Беспроводные сети cisco: новые продукты и их возможности
TRANSCRIPT
Беспроводные сети Cisco:новые продукты и их возможности
Семейство Wi-Fi точек доступа Cisco Aironet Полный переход на 802.11ac Wave 2
Начальный уровень корпоративных решений Критичные сервисы Лучшая на рынке
1850
• 4x4:3SS 80Mhz; 1.7 Gbps
• Spectrum Analysis*
• Internal or External antenna
• Tx Beam Forming
• 2 GE Ports
• USB 2.0
• Centralized, FlexConnect and Mobility Express
2800
• 4x4:3SS 160 MHz; 5 Gbps
• 2.4, 5GHz or Dual 5GHz
• 2 GE Ports
• Internal or External antenna
• Smart Antenna Connector
• Enhanced Location* (External Antenna)
• CleanAir 160MHz
• ClientLink 4.0
• USB 2.0
• Centralized, FlexConnect and Mobility Express*
3800
• 4x4:3SS 160 MHz; 5 Gbps
• 2.4, 5GHz or Dual 5GHz
• 1 GE + 1 mGig (5G)
• Internal or External antenna
• Smart Antenna Connector
• Enhanced Location* (External Antenna)
• CleanAir 160 MHz
• ClientLink 4.0
• StadiumVision
• USB 2.0
• Modularity
• Centralized, FlexConnect and Mobility Express*
1810 Wall Plate• 2x2:2SS 80 MHz; 867 Mbps
• Tx Beam Forming
• 1 GE Port uplink
• 3 GE Local Ports, including 1 PoE out
• Local ports 802.1x ready
• Integrated BLE Gateway*
1830
• 3x3:2SS 80MHz; 867Mbps
• Spectrum Analysis*
• Internal antenna
• Tx Beam Forming
• 1 GE Port
• USB 2.0
• Centralized, FlexConnect and Mobility Express
1810 Teleworker• 2x2:2SS 80 MHz; 867 Mbps
• 3 GE Local Ports downlink, including 1 PoE out
• One or Two Local Ports can be tunneled back to corporate
* Future availability
Технологии, которыми располагает только CiscoНоу-хау для сетей с высокой плотностью последнего поколения
Wireless LAN Zero Impact Application Firewall
Отсутствие падения производительности при включении AVC/FW
Визуализация Мониторинг Контроль
приложений
APP APP APP APP
APP APP APP APP
APP APP APP APP
APP APP APP APP
Глубокий анализ пакетов использует выделенный CPU
Возможно только на правильно
спроектированной аппаратуре
Flexible Radio Architecture
• 2.4ГГц и 5ГГц на одном чипе
• Позволяет программно выбирать 2.4ГГц или 5ГГц для подключения абонентов (по-умолчанию 2.4ГГц)
• Позволяет осуществлять последовательное сканирование всех каналов обоих диапазонов (режим монитора, аналог “WSM”)
• Выбор режима работы ручной или автомат (RRM)
• В какой-то степени дальнейшее развитие технологии, используемой в модулях WSM для ТД 3600/3700
Что такое Flexible Radio (XOR)?
• «Обычное» радиопокрытие в обоих диапазонах
• Режим работы по-умолчанию
Flexible Radio Assignment
5GHz
Serving
2.4GHz
Serving
Wireless
Security
Monitor
Wireless
Service
Assurance*
• Увеличение емкости и производительности
• Максимальная скорость в эфире 5.2Гбит/с
• Особенно важно для сетей с высокой плотностью
• Безопасность сети от источников помех, wIPS
хакеров и посторонних радиоустройств
• Сканирование обоих диапазонов от угроз ИБ
• Активный мониторинг производительности сети
и реакция на сбои
• Обнаруживает и устраняет сбои и их причины
* Планируются позднее
5GHz
Serving
5GHz
Serving
5GHz
Serving
5GHz
Serving
Enhanced
Location*
• Улучшает точность позиционирования абонентов
• Обслуживает абонентов в диапазоне 5ГГц5GHz
Serving
Flexible Radio ArchitectureПринципы работы со встроенными антеннами
Что такое архитектура Macro/Micro cell?
• Идея не нова, годами используется в сотовых сетях
• Метод для передачи нелинейных объемов трафика
• Позволяет получить больше пропускной способности в отдельной области общей соты
Антенная система ТД AP2800/3800 “I” (без верхней крышки)
До настоящего времени интерфейсы ТД
обозначались так…
На ТД предыдущего поколения 2700/3700 без
технологии XOR
Radio 0 = 2.4ГГц
Radio 1 = 5.0ГГц
Теперь на ТД 2800/3800 когда они
обслуживают клиентов
Radio 0 = 2.4ГГц *или* 5.0ГГц (XOR)*
Radio 1 = 5.0ГГц
Использование “Flexible Radio Assignment”Radio “0” может быть настроено как 2.4ГГц (по-умолчанию)
или переключено в диапазон 5ГГц,
или может использоваться для постоянного сканирования
радиоэфира
Micro-cell antenna is 6 dBi @ 5 GHz
Macro-cell antenna is 5 dBi @ 5 GHz
*когда XOR в 5ГГц, используются Microcell
антенны
Различия в конструкции антенн
Традиционная зона покрытия ТД
(Macro-Cell): равномерное
круговое распределение сигнала
Уменьшенная зона покрытия ТД
(Micro-Cell): также равномерное
круговое распределение
сигнала, но используется
«узкий» луч, эффективный при
высокой плотности абонентов
Добились эффективной совместной работы
двух радио в одной ТД путем использования
специальных антенн, поляризации и особых
настроек излучаемой мощности:
ОБА радио друг другу не мешают
Flexible Radio ArchitectureПрименение в случае внешних антенн
Smart Antenna
ConnectorСлот расширения
(только 3800)
Основные антенные разъемы – Диполи и направленные антенны
3802e и 2802e Smart Antenna Connector
Используется для подключения антенны к XOR радио
5GHz
Serving 5GHz
Serving
FlexPort – гибкость в выборе внешних антеннвозможность подключение однодиапазонных антенн
Использование DART разъема позволяет разделить зоны покрытия 2,4 и 5ГГц, либо создать две
независимые 5ГГц соты
Режим Macro-Macro,Micro-Micro или любая их комбинация – свобода выбора
DART кабель позволяет
физически разносить антенны
обоих радио для эффективной
работы
ANT-2566, направленные в
разные стороны, или даже
«спиной к спине» с наклоном
для эффективного внедрения
на складах
Две направленные
антенны для
удвоения зоны
покрытия или
увеличения
емкости
Можно использовать омни и
направленную антенны одновременно
5GHz
Serving 5GHz
Serving
Hyperlocation AntennaAIR-ANT25-LOC-02=
AIR-ANT25-LOC-02=Для чего вообще она нужна?
AIR-ANT-LOC-01= Встроенная
всенаправленная
AIR-ANT-LOC-02= Направленная антенна
Внешняя антенна решает проблему
гиперлокации на стадионах и других сетях
с высокой плотностью абонентов
Антенны для систем с локацией
Directional Location + Directional WiFi• PID: AIR-ANT25-LOC-02=
• 3602i/e/p, 3702i/e/p & 3802e/p (w/ mod. bbd)
• 2802e, 3802e, 3802p (5G only)
• Large Hall, Warehouse, Atrium
• Vertical install, outdoor rated
• DART (Location) + 4 RP-TNC (WiFi), 3 ft
• Dual-band
• 2x14x18”
• Q4 / CY16
Omni Location + no WiFi• PID: AIR-ANT-LOC-01=
• 3602i/e, 3702i/e
• Enterprise office, retail , …
• Horizontal install, on ceiling
• DART (HL mod)
• Dual-band
• 2x12x12”
• Oct. 2015
Большие холлы, склады,
атриумы, высокие потолки,
уличное применение(вертикальный монтаж)
Расширение
ТД3600/3700 Офис, магазин,…
(горизонтальный монтаж)
DARTHL RP-TNC
WiFi serving radios
WiFi ant. WiFi ant.
WiFi Ant.: Az/El 2G: 105/60 5G: 105/60Gain 2G: 4 dBi 5G: 5 dBi
HL Ant.: Az/El 2G: 145/90 5G: 145/90
Вид спереди - AIR-ANT25-LOC-02=
х8 двухдиапазонных элементов
для локации
х8 5ГГц элементов для локации
х4 двухдиапазонных элемента
(для связи с клиентами 2.4/5ГГц) 4/5 dBi
20 Элементов (16 для локации) + 4 для
(подключения клиентских устройств)
Вид сзади - AIR-ANT25-LOC-02=
Aironet 1560 Series ТД уличного применения
Семейство уличных точек доступа 802.11ac Cisco Aironetлучшее и самое полное предложение на рынке
1560
• 802.11ac Wave 2, MU-MIMO
• 3x3:3, 80MHz, 1.3Gbps (I)
• 2x2:2, 80MHz, 867Mbps (E/D/PS)
• Internal or External antenna model (I/E)
• Internal directional antenna model (D)
• Public Safety 4.9 GHz model (PS)
• SFP
• Flexible Antenna Ports
• CleanAir and ClientLink
• Centralized, FlexConnect, Mesh and Mobility Express
1570
• 802.11ac Wave 1
• 4x4:3 80 MHz; 1.3 Gbps
• External antenna model (EAC)
• Cable Modem model (IC/EC)
• SFP
• GPS
• Flexible Antenna Ports
• CleanAir and ClientLink
• Modularity
• Centralized, FlexConnect and Mesh
Cable Modem Version Only (IC/EC)
• DOCSIS 3.0, 24x8
• Internal or External antenna
• PoE Out 802.3at (EC only)
1540
• 802.11ac Wave 2, MU-MIMO
• 2x2:2, 80MHz, 867 Mbps
• Ultra low profile
• Internal antenna only
• PoE (802.3af) power
• Centralized, FlexConnect, Mesh and Mobility Express
Новинка
Iкв 2017
Новинка
DNA Ready | RF Excellence | CMX
802.11ac Wave 2
Уличные ТД следующего поколения с поддержкой Wave 2 802.11ac
Cisco Aironet® 1560
Series
• Эволюция ТД1530
Похожий небольшой корпус, низкая цена
• Функционал 802.11ac Wave 2
• Версия с встроенными (1562I) или
внешними (1562E) антеннами
• Добавлен вариант с встроенной
направленной антенной (1562D)
• Добавлена поддержка SFP
WNG Outdoor
AP1532I 1532E 1562I 1562D 1562E 1562PS 1572EAC 1572IC/EC
List Price $1295 $1495 $1695 $1795 $1795 $1995 $4495 $5295 / $6695
Type 802.11n 802.11n 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W1 802.11ac W1
Radios2.4G: 3x3:3
5G: 2x3:2
2.4G: 2x2:2
5G: 2x2:2
2.4G: 3x3:3
5G: 3x3:3
2.4G: 2x2:2
5G: 2x2:2
2.4G: 2x2:2
5G: 2x2:2
2.4G: 2x2:2
4.9G: 2x2:2
2.4G: 4x4:3
5G: 4x4:3
2.4G: 4x4:3
5G: 4x4:3
Antennas InternalFlexible Antenna Port
(dual or single band)Internal
Internal -
Directional
Flexible Antenna
Port
(dual or single
band)
Flexible Antenna
Port
(dual or single
band)
Flexible Antenna Port
(dual or single band)
IC: Internal
EC: External
SPF Port n n n n n n
PoE out n n (EC)
Cable modem n
Power optionsUPoE/3at
24-57 VDC
PoE (802.3at)
24-57 VDC
UPoE/802.3at
48 VDC
PoE+ (802.3at)
48 VDC
PoE+ (802.3at)
48 VDC
PoE+ (802.3at)
48 VDCAC, 12 VDC, PoE
40-90V cable
plant
12VDC
Data rate (2.4/5G)
Mbps216 / 300 144 / 300 216 / 1300 144 / 867 144 / 867 144 / 867 216 / 1300 216 / 1300
Clients per radio 100 100 200 200 200 200 200 200
CleanAir n n n n n n
ClientLink n n n n n n
BandSelect n n n n n n n n
FlexConnect n n n n n n n n
Wireless mesh n n n n n n n n
Temp Range °C -30 to 65 -30 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65
ТД Cisco Aironet 1562I Series Вариант с встроенными антеннами
Cisco Aironet® 1560
Series
• 3x3 и 3 пространственных потока
• Блок питания DC или UPoE• Доступен AC/DC БП уличного исполнения
• 2x3:2 при питании 802.3at PoE
• Небольшие размеры• 7dBi (2.4ГГц) и 4dBi (5ГГц)
• Широкая зона покрытия
• Области применения: • Уличные Wi-Fi сети общего назначения,
хотспоты
Next-Generation Wave 2 802.11ac Outdoor Access Point
ТД Cisco Aironet 1562DВстроенные направленные антенны
Cisco Aironet® 1560
Series
• 2x2 и 2 пространственных потока
• Блок питания DC или UPoE• Доступен AC/DC БП уличного исполнения
• Небольшие размеры• 9dBi (2.4ГГц) и 10dBi (5ГГц)
• Узкая зона покрытия
Угол раскрыва~ [email protected]ГГц и 40@5ГГц)
• Области применения: • Уличные сети с высокой плотностью
абонентов
• Беспроводной мост точка-точка
Next-Generation Wave 2 802.11ac Outdoor Access Point
ТД Cisco Aironet 1562E Series Внешние антенны
Cisco Aironet® 1560
Series
• 2x2 и 2 пространственных потока
• Блок питания DC или UPoE• Доступен AC/DC БП уличного исполнения
• Небольшой размер• Антенные разъемы с технологией Flexible Antenna
Port, позволяющие программно выбирать тип
антенны
• Поддерживаются все уличные антенны Cisco
• Область применения: • Уличные беспроводные сети/хотспоты с зоной
покрытия сложной формы
• Лучшая чувствительность с внешними
всенаправленными антеннами
Next-Generation Wave 2 802.11ac Outdoor Access Point
Уличный блок питания- AIR-PWRADPT-RGD1=
БП переменного тока
мощностью 60Вт
вход – 90-264 VAC
выход – 48VDC @ 1.25A
Рабочий диапазон температур
от -30C до +60C
Монтажный кронштейн
AIR-ACC1560-PMK1
Уличный инжектор питания (PoE)
Для России
AIR-PWRINJ-60RGD2=
(Россия)
Размеры и среднее время наработки на отказ (MTBF)
AP1560 Series MTBF Часов
AP1562I, full operation
3x3 mode 166,075
AP1562e 187,550
AP1562d 165,995
Вес 2.55кг
1562I (Internal Antenna) 1562D (Directional)
1562E (External Antenna)
• WLC 8.4 ISE Simplification
• TrustSec Support
• HyperV Support of vWLC
• OpenDNS Integration
• URL Filtering
• Client Whitelisting
Новые программные возможности ПО 8.4
WLC 8.4 ISE Simplification
WLC ISE Configuration Challenges
При добавлении ISE или настройкиWLAN на использование ISE, требуется
произвести много настроек, что занимает много времени и ошибок.
WLC 8.4ISE
настройки в один Click
*Мобильное приложение в настоящий момент не поддерживается
One-Click Day-0
Express Setup
• Configures WLANwith ISE default settings
• Configures WLC global ISE defaults
Day 0 WLC ISE Default Settings
WLC ISE Default Settings - Global
WLC 1-Click ISE Defaults
Добавляет ISE как Authentication server
Добавляет этот же сервер в качествеAccounting server.
Enable CoA
WLAN 1-Click ISE Defaults
Добавляет ISE как Authentication server
Настраивает аналогично (IP и shared-secret) for Accounting server.
Включает AAA override.
Устанавливает NAC State в “ISE NAC”.
Включает DHCP Profiling и HTTP Profiling.
WLC ISE Default Settings - WLAN
8.4 Wireless TrustSec
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Проблема сегментирования сети
Line of Business
BYODCompliance
Различные требования к сегментированию сети
Сложные политики, основанные на IP адресах
Сотрудники
Контракторы
Аутсорсеры
Гости
УстройстваКампус Филиал
Вырастание сегментов за
L3 границы
VLANs
Требуют обновления при смене топологии
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780
access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611
access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606
access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005
access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199
access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782
Поддерживать безопасность и соответствие правилам во
время роста сети
Традиционные подходы к сегментированию очень трудозатратны
Access Layer
Enterprise
Backbone
Voice
VLAN
Voice
Data
VLAN
Employee
Aggregation Layer
Supplier
Guest
VLAN
BYOD
BYOD
VLAN
Non-Compliant
Quarantine
VLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL VACLОграничение традиционной
сегментации
• Политики зависят от топологии
• Высокая стоимость и сложность
поддержки
Приложения
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Classification
Static / Dynamic
VLAN assignments
Propagation
Carry segment context
over the network
through VLAN tags /
IP address / VRF
Enforcement
IP based policies.
ACLs, Firewall
rules
NXOS
Switches
Wireless
Включение TrustSec в сети предприятия
Data Center
Network Campus
Network
Public
CloudDATA CENTER
CAMPUS NETWORK
BRANCH OFFICE
SERVICES
IOSSwitches
WAN
Internet
Routers
DNA Security &
ComplianceSecurity and
Compliance
5 Employee
6 Voice
7 Partner
Classification
(Assigning SGTs)
Static & Dynamic
Assignments
A B
Propagation
Inline SGT & SXP
Enforcement
Security Group ACL
Поддержка Wireless TrustSec
Feature Platform
Inline SGT
tagging and SG-
ACL enforcement
17xx, 27xx,37xx, 18xx, 28xx,
1560 and 38xx
3504*, 5520 and 8540
SXPv2 5520, 8540, 8510, 7510, vWLC,
5508, WISM2, 2504
SXPv4 17xx, 27xx,37xx, 18xx, 28xx,
1560 and 38xx
WLC 8.4Switching
modesSXP AP Inline Tagging WLC Inline Tagging Enforcement
Local/Flex
Mode/Central
Switching
✕
✓(v2)✕ ✓ ✓
Flex
Mode/Local
Switching✓ ✓ ✓ ✓
Flex + Bridge✓Wave1✕ 11acW2
✕ ✕✓Wave1✕ 11acW2
Mesh✕
✓(v2)✕ ✓
✓(Indoor
only)
Простая настройка и поддержка политик
VLAN: Data-1VLAN: Data-2
Wired/Wireless
Data Center
DC Switch
Application
Servers
ISE
Enterprise
Backbone
Remediation
Wired/Wireless
Employee Supplier Non-CompliantEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
TrustSec enabled WLC &
AP receives policy for only
what is connected
Независимо от топологии или
местоположения, политики
(Security Group Tag) остаются с
пользователями, устройствами
и серверами
TrustSec упрощает управление
ACL как для intra, так и inter-
VLAN трафика
Классификация на входе, применение политик на выходе
Cat3850 Cat6800 Nexus 2248
WLC5508
Nexus 2248
Cat6800 Nexus 7000 Nexus 5500
User authenticated
Classified as Marketing (5)Lookup
Destination SGT 20
DST: 10.1.100.52
SGT: 20
SRC: 10.1.10.220DST: 10.1.200.100
SGT: 30
Web_Dir
CRM
DST
SRC
Web_Dir
(20)
CRM
(30)
Marketing
(5)Permit Deny
BYOD
(7)Deny SGACL-A
Destination Classification
Web_Dir: SGT 20
CRM: SGT 30
Enterprise
Backbone5
SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5
SGACL скачиваются только для «своих» клиентов
Employees (4) Contractors (5)
Описание сегментации в ISE
SG
T=
3
SG
T=
4
SG
T=
5
SGACL
Enforcement
I have nothing to protect
I know SGT-4, is there a policy for it?
I запросил политики для защиты SGT-4
TrustSec позволяет WLC и ТД запрашивать политики ТОЛЬКО для
хостов, находящихся под их защитой
Employees
(SGT=4)
AP WLC
Active SGT’s 10 100
SGT x DGT pairs 10 x 10 100 x 100
SG-ACLs per SGT x SGT cell 128 256
ACE per SG-ACL 50 50
Поддержка vWLC на Hyper-V
Эволюция виртуального контроллера
Преимущества Hyper-V
Интеграция контроллера БЛВС и OpenDNS
OpenDNS- Offering Domain Level Visibility
COVERAGE
PROTECTION
INTELLIGENCE
PERFORMANCE
RELIABILITY
Predictive Threat
Intelligence
High Speed,
Scalable
Ransomware,
malware/Botnet
Security Visibility-
Application Insights,
Policy Compliance
Internet wide
visibility
• Cloud delivered network security service
• Malware and Breach Protection in real time
• Uses evolving Big Data and data mining methods
to proactively predict attacks
• Category based Filtering (60+ content categories)
OpenDNS Cloud
CATEGORY IDENTITY
Malware Internal IP
Phishing AD User
DNS layer Security
OpenDNS- DNS layer Network Security
Today’s Challenges
Internet-wide Visibility
Alert Priority
Evolving Threat Intel
Limited Resources
What does OpenDNS Offer?
Enrich security systems
with real time data
Prioritize investigations
from Botnet, Malware
Stay ahead of attacks
Speed and agility across
Cloud/ scalable
agc.com
How does it Happen?
Global Network using
Recursive DNS
Predictive Intelligence
using Statistical models
1.2.3.4
Block by domains,
URLs for all Ports
Insightful reporting
OpenDNS to Enhance Security Visibility
CLOUD BASED WEB FILTERING THREAT MANAGEMENT INSIGHTFUL REPORTING
Low cost
architecture
Data analysis
methodsPowerful reporting
and analytics
MICRO TO MACRO LEVEL VISIBILITY
Network EndpointMobile Virtual Cloud Apps
Local IntelligenceGlobal Context
openDNS- How does it work?
Ingest Apply Identify
k.amuX
a.bc
b.com
l.emuX
www
p2p
www
Millions of data points per
second across markets,
geographies, protocols
Statistical models, Human
Intelligence, Anomaly
Detection, Temporal Patterns
Malicious and safe
sites
API Token
Issued from OpenDNS
Portal. Used for device
registration
Device Identity
Unique device identifier.
Policy enforced per
identifier.
Extension mechanism for
DNS
EDNS FQDN
Fully Qualified Domain
Name
OpenDNS - Terminology. How does it work on WLC?
WLC intercepts DNS packet, redirects query to OpenDNS cloud servers at
OpenDNS cloud, based on FQDN in DNS query returns
• 208.67.222.222IPv4
• 208.67.220.220Ipv4
• Return blocked page to client
Malicious FQDN
• Returns Destination IP Safe FQDN
NOTE If the blocked domain was from HTTPS request, client’s web browser will see certificate error because
OpenDNS cloud may not have the certificates from the blocked server.
OpenDNS- WLC Packet Flow
Internet
Web Services
OpenDNS Cloud
DNS Request
DNS Response
• OpenDNS: Get API. Token for device registration
• WLC: Apply Token and create Profile
Device (Profile) Registration
HTTPS used in this phase
WLC and OpenDNS registration
(One Time)
• Client sends DNS query
• WLC snoops DNS query, forwards it
with EDNS
• OpenDNS applies Profile specific Policy
• Sends DNS response to WLC
• WLC forwards the response to client
Wireless client traffic flow
Snoop DNS pkt
Tag it with Identity
Security Enforcement Content Filtering
Compliance Category based Filtering Whitelist & Blacklist
+
Create an OpenDNS account with
active subscription license.
OpenDNS- Cloud config
Obtain API-Token from
dashboard to be used
on WLC
OpenDNS- Profile Creation on WLC (GUI, CLI)
Configure openDNS Configure API Token Create Profiles
Config openDNS enable
Config openDNS api-token <token>
Config openDNS profile create <profile-name>
Config wlan opeDNS-profile <wlan-id> <profile name>
enable
Security > OpenDNS
OpenDNS WLC config
To check OpenDNS profile Mappings,
Security >OpenDNS5WLAN> Advanced
Map the Profile to WLAN/AP Group/Local Policy
OpenDNS WLC Integration- Additional Details
Support
1. WLC platform- 5508,5520,7500,8510,8540.
ME, vWLC not supported
2. AP mode- Local mode, Flex central switching.
3. 10 different OpenDNS Profiles configurable on WLC
Licensing
1. 14 day free Licensing
2. Covered under CiscoOne Advanced Subscription
1. Application or Host uses IP address directly
instead of DNS to query domains.
2. Required to configure web proxy for WLC to
register to OpenDNS account (incase WLC
cannot communicate directly to server)
1. DNS Crypt – client DNS traffic
2. Token Generation linking
3. Configure Policy from WLC
4. Stats/Dashboard at WLC
5. Ipv6 support
6. Local URL splitting
Not part of WLC 8.4 releaseOpenDNS Limitations
URL Filtering (Enhanced)
URL Filtering - Simple, Easy to deploy
• IP address based
• Requires creating and maintaining
thousands of access list entries.
How can I control access to custom resources in my network?
Today’s Process
Access Control List Application Visibility Control
WARNING
OVERWORK
AND STRESS
AHEAD
• Applications in Protocol Pack inspected
• Cannot define custom / user specific
application
Awareness Analytics Control
Why URL Filtering for Wireless?
Productivity Improvement Tool
URL Filtering
solves
Productivity
Threats
Inappropriate
Content
BW
Consumption
Employee
Distractions
Spam
Security
Content
Control
Compliance
URL Filtering Flow
URL Filtering ACL on controllerInternet / Intranet Approved Content
Blocked URLs
Blocked Content
Blocked Files
Based on DNS snooping
URL ACL Implementation
3
https://www.
Browsing is restricted to specified
domains for all protocols.
1
X
X
• Configure Whitelist or Blacklist to allow or
deny access to domains.
• Configure External Server IP address
Whitelist allows domains to be permitted
Blacklist restricts browsing to domains
External server IP for blocked pages
2
APPLY LIST
Tie the created URL ACL to
• Interface
• WLAN
• Local Policy (highest priority)
Add timeout actions
Add role based actions
Device aware actionable policies
Key Points
DNS SnoopingWorking
• No AVC dependability
5520, 8540, 8510, 5508 Platform Support
• 2504, vWLC, ME not supported
Protocols Both HTTP, HTTPs supported
All protocols matched for the rule
8.3 Filtering Enhanced, no NBAR basedMigration
• Configuration is similar
64 URL access lists, 100 rules per list (8540, 5520). 8510 - lowerFiltering
• No Sub URL support
• White and Black lists supported but not the mix of them.
Without DNS Direct IP access will be blocked in whitelist.
Reverse DNS lookup not allowed
BLACKLIST
*.cisco.com
mail.cisco.com
press.cisco.com
10 Wildcards, 5 subdomain per wildcard (different for 5508, 8510)
WHITELIST
www.cisco.com
www.cisco.com/dir
www.cisco.com/sevt
No Sub-URL support
Role Based Access Control
Employee
Users
Roles
Internal
Company
Resources
User Role
Application
Devices
AAA
EngineerSales
WLC SwitchInternal
Secure
Server
Engineer Sales
Cisco-av-pair=role=<role name>
Policy tie-in with URL ACLUser Role Aware
Role Based Access Control- Configuration
USER GROUPS
• Configure user group based authn / authz for groups
• Sales
• Eng
Returning ROLE
• ISE configured to return role in cisco AV pair under Authz profile:
• Sales
• Eng
URL ACL
• Configure two URL ACLs
• ACL_Sales = blocking access to internal server
• ACL_Eng= permitting access to internal server
POLICY
• Tie ISE returned ROLE and ACLs to respective Local Policy:
Sales_Policy = ROLE Sales & ACL_Sales
Eng_Policy = ROLE Eng & ACL_Eng
PROFILE
• Tie both policies to the WLAN Profile
ISE
WLC
Migration of Config from 8.3 to 8.48.3 URL Rules to 8.4 (Migration) 8.4 URL Rules to 8.3 (Downgrade)
1
abb.com
cbb.com
avb.com
2
dbb.com
fbb.com
pvb.com
Whitelist ACL
3
dbb.com
fbb.com
pvb.com
White & Black
list ACL
• ACL changed to Whitelist
• Deny rules wiped out
• Manually configure new
ACL list type as Blacklist
• Unchanged
• Continue to use feature
• Permits will remain
• Denies will be removed.
(Manual change reqd)
• No change in URL ACL rules
• Only HTTP protocol support
• NBAR engine based URL FilteringBlacklist ACL
Cisco Wireless web-classification: OpenDNS vs URL Filtering
Which one to position? OpenDNS is for customers with cloud strategy while URL filtering is for enterprise
customers with a known URL filtering policy
Feature OpenDNS URL Filtering
Architecture Cloud On-Prem
Granular SSID / User-Role filtering Yes Yes
Block internal enterprise domains No Yes
Malware / Botnet /Ransom ware detection Yes No
Domain Rules No limits 100 rules per ACL
Blocked URL landing page Yes Yes
Cloud subscription Yes No (part of base WLC license)
Domain visibility with reporting Yes No
Proactive security alerts with dynamic security compliance Yes No
Domain category filtering Yes No
Lobby Admin Client Whitelist
Lobby Admin Client Whitelist
Local administrator Local admin access with
restricted privileges for siteAbility to add whitelist
users per WLAN
Management of users
in an easy fashion
Site Specific Limited Access WLAN Config Add/Remove users
Feature WorkflowLobby Admin (LA)
Logs into WLC guest user page
Under Whitelist Menu, chooses
WLAN for MAC addition
Disables MAC filtering on WLAN
to allow clients to join
Sees list of clients connected
on WLAN
Selects all or specific clients and
add to client whitelist
Enables MAC filtering on WLAN.
Only whitelisted clients allowed to
join WLAN
Global Admin
Add Lobby admin on WLC
Enable Lobby ambassador
access on WLAN
Digital Network Architecture with Wave 2 11ac
AP 2800/3800 Feature Highlights
Flexible Radio AssignmentSoftware defined radio automatically
adjusts to dual 5GHz to better serve high
client environment
Optimized RoamingIntelligently Connects the Proper
Access Point as People Move
Turbo PerformanceScales to Support More Devices
Running High Bandwidth Apps.
Zero Impact AVCHardware Based Application Visibility and
Control without Impact to Performance.
Cisco CleanAir®
Remediates device Impacting Interference
from other WiFi and non-WiFi devices
Cisco ClientLink Improves Performance of
Legacy and 802.11ac Devices.
Future Proof Expandability Add Functionality Via Module, Smart
Antenna Port or USB Port
Multi-Gigabit UplinksFree Up Wireless With Faster
Wired Network Offload
Gb+
Flex Dynamic Frequency SelectionAutomatically Adjusts So Not to Interfere
With Other Radio Systems
Wireless excellence and innovations delivered only byCisco Aironet 2800, 3800 Series Access Points
Apple Fast LaneAutomatically assures highest priority, fastest
performance for trusted apps on trusted Apple devices
LAS VEGAS TOKYO
This is all great…
BUT What about Feature Parity?
Feature Parity de-mystified. What, really? Let’s go!
Session Objectives
• Wave2 11ac is Best in Class and Enterprise Ready
• Relook at Key Highlights
• Understanding Feature Parity
• Re-building confidence for you and your customers
What can I position to my customers?
Where can I find resources?
Do I have the complete picture ?
Wave2 11ac AP Feature Matrix http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-
3/b_feature_matrix_for_802_11ac_wave2_access_points.html
8.3 Release Notes http://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/crn83.html
Resources to find answers and drive
adoption
Now Near Future
Wave2 & 5520/8540 8.2.130.0 8.3.110.0 ( Nov )
8.2.140.0
Code Recommendation
Cross-functional Tiger Teams (TAC, Field, Engg, Mktg) to drive the early deployments since
FCS (6/15)
Initial feedback from the field is addressed in the 8.2.130 (MR3) SW
Created frequent MR releases on 8.2 to incorporate field feedback
Optimized Roaming
RX-SOP
Pervasive
Wi-Fi
HDX Turbo
Performance
Event Driven
RRM
XOR Radio
FRA
Cisco CleanAir®
RF Profiles
RRM, DCA, TPC, CHDM
Load Balancing
Band Select
Client Link 4.0
Off-Channel
Scanning
Flex DFS
DBS
5GHzServing
2.4GHzServing
5/2.4GHzMonitor
• Enabled by Dual 5GHz
• Adjust Radio Bands to Better Serve the Environment
RF Optimized Connectivity
XOR Radio and FRA2.4GHz
Serving
2.4-5GHz
Monitoring
5GHz.
Serving
5GHz.
Serving
2.4GHz
Serving5GHz.
Serving
5GHz
Serving5Hz
Serving
2.4GHz
Serving
FRA-auto (default value) or Manual
Auto 2.4 -> 5GHz or Monitor Mode
Transition to 2.4 GHz if coverage drops
Micro Macro Cell Transitions
-51 dBm
-65 dBm
-51 dBm-51 dBm≥ 55 dBm?
Probe Response
Client Steering
• 802.11v BSS Transition – Default Enable
• 802.11k – Default Enable
• Probe Suppression – Default Disable
Client Types
• 11v capable – 802.11v BSS Transition
• Non-11v capable – 802.11k neighbor list +
disassociation
• No 11k or 11v support – Probe Suppression Micro – 5GHz on XOR
Macro -- Dedicated 5 GHz
Optimize Wi-Fi with CleanAirQuickly Identify and Mitigate Wi-Fi Impacting Interference
Channel 48
48
48
48
48
48
48
48
48
48
48
48
Interference on 20/40/80/160 MHz
Air Quality and Interference by
AP/radio on WLC
AQ Threshold trap and Interference
Device trap (per radio)
CleanAir-enabled RRM
Network Air Quality and Interference Location with PI 3.1.x and MSE 8.0.
Interference Devices and Air Quality Report
CleanAir Enabled RRMMitigated RF interference for improved
reliability and performance
Wi-Fi and
non-Wi-Fi
aware
Dynamic
mitigation
ED-RRM
Granular
spectrum
visibility and
control
Air Quality Performance
Improved Client
Performance
Complete Automatic Interference Mitigation Solution for Rogues and Non-Wi-Fi Interference
FlexDFS with Dynamic Bandwidth Selection
Identifies radar
frequency to
1 MHz
FlexDFS
isolates radar
event to
20MHz
DBS allows
best channel
and width
Interference is impacting
only channel 60
FlexDFS + DBSAutomatic and intelligent use of spectrum
52
56
60
64
DBS combined with FlexDFS: Increased confidence in using wider channel bandwidth; reduced radio flapping
Primary
20
Secondary
20
Secondary
40
52 56 60 64
Optimizes
HD Experience
Better Support for Users on the MoveOptimized Roaming
Optimized Roaming: Wireless Devices
Connect to the Most Effective APClient Stickiness
Fine-tuning HDX with RF Profiles
Wi-Fi
Triggered ED-
RRM
Optimized
Roaming
RXSOP
Dynamic
Bandwidth
Selection
TPC, DCA
CHDM
FlexDFS
CORE:
• CleanAir
• ClientLink 4.0
• Turbo Performance
Pre-canned RF Profiles
Client Distribution
Data Rates
DCA, TPC, CHDM
Profile Threshold for Traps
High Density Features
Security and Threat Mitigation
Secure
Access
P2P
Blocking
Client Exclusion
802.1x
WPA2/AES
TKIP Encryption
AAA Override
VLAN, ACL, QoS
Local Policy w/
QoS and AVC
MFP, 802.11w
TrustSec SXP
Inline Tagging awIPS, ELM
MAC Auth Rogue Detection
BYOD
NAC RADIUS
8.4
8.3 MR1
5GHz. / 2.4GHz.
.5GHz. / Security
Cisco Wireless Security Deployment with AP3800/2800 Maintains Capacity and Avoids Interference
Good Better Best
Features ELM Monitor Mode AP ELM with FRA
Monitor Mode
Deployment Density Per AP 1 in 5 APs 1 radio per 5 APs
Client Serving with Security
Monitoring
Y N Y
wIPS Security Monitoring 50 ms off-channel scan on selected
channels on 2.4 and 5 GHz
7 x 24 All Channels on 2.4GHz and
5GHz
7 x 24 All Channels on 2.4GHz and
5GHz
CleanAir Spectrum Intelligence 7 x 24 on client serving channel 7 x 24 All Channels on 2.4GHz and
5GHz
7 x 24 All Channels on 2.4GHz and
5GHz
Serving channel Serving channelOff-Ch Off-Ch
Serving channel Serving channelOff-Ch Off-Ch
Enhanced Local Mode
Access Point
GOOD
2.4 GHz
5 GHz
t
t
Monitor Mode
Access Point
BETTER
2.4 GHz
5 GHz
t
t
Ch11Ch2
Ch38
Ch1
Ch36
…Ch11Ch2Ch1
…
Ch11Ch2Ch1
…
…
Ch161Ch157 Ch38Ch36
…… …
t
2.4 GHz
5 GHz
tCh11Ch2Ch1
…
Ch38Ch36 Ch161Ch157
…… …ELM with FRA Wireless Security
Monitoring
BEST
Serving channel Serving channelOff-Ch Off-Ch5 GHz t
Serve Client on 2.4 GHz
50 ms off-channel
Serve Clients on 5
GHz
50 ms off-channel
Rogue Detection and Mitigation
Rogue Classification and
Containment
• Rogue Rules
• Manual Classification –
Friendly/Malicious
• Manual and Auto
Containment
CleanAir with Rogue AP
Types
• WiFi Invalid Channel
• WiFi Inverted
Rogue Location
• Real-time with PI, MSE,
CleanAir
• Location of Rogue APs
and Clients , Ad-hoc
Rogue, Non-wifi
interferers
Data Serving AP
Scan
1.2s per channel
Monitor Mode AP
FRA with MM
Serve Client on dedicated 5
GHz
Scan 1.2s per channel
Service ReadyFeature Highlights
Videostream
Multicast VLAN
Per-Client/Per-SSID
BW Contract
Local Profiling
Bonjour
Apple Services
Service
Ready
AVC
Netflow
AAA Override of
AVC Profile
Voice Optimization,
CAC, WMM Policy
Adaptive 11r ,11k, 11v
FastLane
QoS Profiles
OKC, CCKM
Fast Roaming
8.3 MR1
Zero Impact Application Visibility and Control
Maintain Performance with Zero Impact AVC
Gain Visibility
into the Network
Monitor Critical
Applications
Control Application
Performance
APP APP APP APP
APP APP APP APP
APP APP APP APP
APP APP APP APP
Setting up AVC profiles and rules Drop/ Mark for several video apps like YouTube and Netflix on iPhone, iPad Drop/ Mark for other apps such as Jabber and Webex Profiles with block and pass rules combined Rate Limiting of Video/Voice apps AAA override for AVC profile AVC Profile with Local Policy Classification
Adaptive 11r and Cisco Fastlane
Optimized Wi-Fi Connectivity Prioritized Business applications
Intelligent, and efficient
roaming is automatically
configured
iOS and Cisco devices recognize each other and enable
special capabilities
Business data gets priority
and speed even if network is
congested
Reduces complexity - IT can focus on the business– the network does
the heavy lifting
8.3 MR1
Aironet Wave 2 AP’s: AP1810
AP1815
AP1850
AP1830
AP3800
AP2800
AP1560
Aironet AP’s:• AP1600/2600 Series Access Points
• AP1700/2700 Series Access Points
• AP3500 Series Access Points
• AP3600 Series Access Points + 11ac Module,
WSM, HALO, 3602P, 5310, 8718, 8818
• AP3700 Series Access Points + WSM, HALO,
3702P, 5310, 8718, 8818
• OEAP600 Series OfficeExtend Access Points
• AP700 Series Access Points
• AP700W Series Access Points
• ASA55xx Integrated Access Point (AP702i)
• AP802 Integrated Access Point
• AP803 Integrated Access Point
• AP1530 Series Access Points
• AP1550 Series Access Points
• AP1570 Series Access Points
• AP1560 Series Access Point
• IW3700
• AP1040/1140/1260 Series Access Points
WLC’s: • 2504
• 5508
• 5520
• 7510
• 8510
• 8540
• WISM2
• vWLC
(KVM +
ESXi)
8.3
RF• Preferred 5 GHz network design• Apple client device should observe a minimum of 2 APs with an
RSSI measurement of -67 dBm• Average Channel Utilization < 40%.• Client SNR >= 25 dB.• 802.11 retransmissions < 15%, Packet Loss < 1% and Jitter < 100
ms.• Cisco highly recommends leaving all MCS rates enabled • Channel width 40 Mhz or Best for Typical deployments, 20 MHz for
High Density
QoS• Enable FastLane : Trust DSCP, Platinum for Unicast, EDCA as
FastLane and over 70 lines of Best Practice Configuration • WMM Set to Required• AVC profile is AUTOQOS-AVCPROFILE• 11k and 11v BSS Transition Enabled• mDNS Snooping Enabled• FT should be enabled or Adaptive, AKM Set to FT PSK or FT 802.1x
Cisco and Apple Best Practices
http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Optimizing_WiFi_Connectivity_and_Prioritizing_Business_Apps.pdfhttp://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf
Teacher NetworkStudent Network
AirPrint AirPlay File
Share
Teacher
Service Profile
AirPlay File
Share
Student
Service Profile
iTunes
SharingAirPrint
mDNS Service Instances Groups
Apple TV1 Apple TV1
Apple TV2
Teacher Service
Instance ListStudent Service
Instance List
mDNS and Bonjour Services
mDNS Profiles – Select
services
mDNS Profile with Local
Policy – Services per-user
and per-device
mDNS Policies – Services
based on AP Location and
user role
mDNS AP – Services Behind
a L3 boundary
Location Specific Services
Authentication
Time of Day
User Role
QoS Profile Metal Profiles
QoS Policy w/ Role and Device type
Per-User Bandwidth Contract
Per-SSID Bandwidth Contract
AAA Override of QoS profile
QoS Roles for Guest Users
QoS and Bidirectional Rate-limiting
Device Type
Lo
ca
l Po
licy E
lem
en
ts
POLICY
Radius Server
(e.g.. ISE Base, ACS)
AA
A
Overr
ide
QoS Profile
Enterprise Infra Feature Highlights
Fast SSID
Client IPv6
Native IPv6Flex, Local, Sniffer,
Monitor, ME
FIPS Support
Enterprise
Infra
Pre-Image Download
AP Multicast
WiFi Tagging
OEAP
Webauth
Guest Access
Plug n Play
8.3 MR1 8.3 MR1
8.4
8.3
IPv4
IPv4 Client
Client and Native IPv6
CAPWAPv6 Tunnel
IPv4 Client
802.11
802.11
802.11
CAPWAPv6
Ethernet
IPv4
VLAN
Ethernet
Mgmt: 2001:db8:a::2/6410.10.10.2
IP: 2001:db8:a:5/64SNMP Server, Syslog Server,
tftp/ftp/scp Server
IP: 2001:db8:a:7/64
2001:db8:a:0:222:bdff:fef7:5594
2001:db8:a:0:8a56:caff:1547:9150
IP: 2001:db8:a:6/64NTP Server
IPv4/v6 router2001:db8:a::1/64
10.10.10.110.10.10.52
IPv6 Client
10.10.10.51
2001:db8:a:0:2329:9834:3231:1111
IPv6 Client
IPv6
IPv6
RADIUS
IPv6 Guest Access IPv6 Source Guard IPv6 RA Guard IPv6 Client Mobility RA Throttling IPv6 ACL – Local mode IPv6 Client Visibility IPv6 Neighbor discovery Caching IPv6 Bridging IPv6 multicast IPv6 AAA support IPv6 QOS
IPv6 CAPWAP ( DHCP option 52, DNS) Full DHCPv6/SLAAC or static v6 Control and Management IPv6 NTP over IPv6 Syslog over IPv6 Radius Over IPv6 CDP v6
8.4
8.2 MR1
2800/3800 as OEAP
DTLS• Control – DTLS enabled • Data – DTLS for client traffic tunneled back to corporate WLC
CDP and LLDP• PoE Uplink – CDP and LLDP on the uplink PoE port for power negotiation
Authentication and Security• Advanced Encryption Standard (AES) for Wi-Fi Protected Access 2 (WPA2)• 802.1X, RADIUS authentication, authorization and accounting (AAA) on WLAN 802.11i• MAC filtering
Personal SSID support• Personal SSID support for local home networking
WiFi CCX Tag v1 Support
(Cisco Controller) >show rfid summary
Total Number of RFID : 1
----------------- -------- ------------------ ------ ---------------------
RFID ID VENDOR Closest AP RSSI Time Since Last Heard
----------------- -------- ------------------ ------ ---------------------
00:23:a7:8e:20:d0 Redpine APE00E.DA78.56C0 -57 28 seconds ago
Cisco Controller) >show ap summary
Number of APs.................................... 2
Global AP User Name.............................. Not Configured
Global AP Dot1x User Name........................ Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients DSE Location
------------------ ----- -------------------- ----------------- ---------------- ---------- --------------- -------- --------------
AP_3802_1 2 AIR-AP3802I-S-K9 00:42:68:a0:d1:aa default location SG 192.168.6.35 0 [0 ,0 ,0 ]
APE00E.DA78.56C0 2 AIR-AP2802I-S-K9 e0:0e:da:78:56:c0 default location SG 192.168.6.94 0 [0 ,0 ,0 ]
Wireless LAN
Controller
Cisco Prime
Infrastructure
RFID Tags
8.3 MR1
FlexConnect Feature Parity on Wave 2 APs
FlexConnect
Local Switching/ Local Auth
WLAN-VLAN Mapping
Local Auth w/ External RADIUS
Data DTLS Encryption
VLAN Based Central Switching
Native VLAN, VLAN support on FCG
Proxy ARP
NAT/PAT
ClientLink
Load Balancing
Band Select
Smart AP Image upgrade
Default Flex Group
Syslog
Advanced WIPS
TrustSec SXP and SGT
WPA-PSK
802.1x(WPA/WPA2)
TKIP Encryption
Rogue Detection
AAA Override – ACL, VLAN
AAA Override – QoS
VLAN ACL
Per Client ACL
L2 ACL
Client Exclusion Policies
MFP
11w PMF
AVC Policy
EoGRE v4/v6 on FC
Webauth – Internal/External
QoS Markings and Profiles
AP Plug and Play
OKC, CCKM, 802.11r
Adaptive 11r, FastLane8.4
8.4 8.4
8.4 8.4
Feature Matrix : http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_wave2.html
Infrastructure Security Services
Apple + Cisco для корпоративных Wi-Fi сетей – вместе веселее!
Беспроводная инфраструктура и клиентские устройства
101
WLAN Controller
AP
Ethernet SwitchAP
802.1Q Trunk802.1Q TrunkAccess mode
Мы контролируем здесь все
“бесконтрольная”
зона
Партнерство Cisco-Apple дает эти преимущества
Оптимизация Wi-Fi подключения Приоритезация бизнес приложений
Автоматическая настройка и
включение интеллектуального
роуминга
iOS и Cisco устройства распознают друг друга
и включают необходимый функционал
Бизнес приложения получают
приоритет и необходимую
полосу даже в загруженной сети
Упрощение - IT может сфокусироваться на бизнес
задачах – сеть делает «черновую» работу
Оптимальное подключение Wi-Fi
802.11k, 802.11v, 802.11r помогают при роуминге
802.11r роуминг без повторной аутентификации
802.11k список ближайших точек доступа
802.11v BSS Transition дает клиенту наилучший вариант для роуминга
Переключение на Cisco-AP-2
Association
Fast Transition (802.11r)
Cisco-AP-1* Cisco-AP-2** Yes, it works on AireOS and Meraki!
Association
Решение Optimized Roaming Cisco-Apple уменьшает сложность управления до 50%
Устаревший клиент не
может подключиться к
SSID с включенным
11r
ТД распознает
устройства apple и
включает 11r для них
802.11k, 802.11v
включены по умолчанию
Устаревшие клиент, не
поддерживающие 11r/k/v,
могут подключаться к
тому же SSID
Cisco-AP*ТД другого
производителя * Yes, it works on AireOS and Meraki!
Характеристики роуминга: до 10-ти раз лучше
QoS, 802.11r/k/vNo QoS, No 802.11r/k/v
Время (с)*
*Временной интервал между последним пакетом на «старой» ТД и первым пакетом на «новой» ТД
Приоритезация бизнес приложений
Приоритезация бизнес приложений
Приоритезация бизнес приложений и трафика
реального времени
Простая настройка
Служба IT получает полный контроль над QoS приложений
Создание профилей Fast Lane Profiles
Apple Configurator
Meraki Systems
Manager MDM
Fast Lane работает только между устройствами Apple и инфраструктурой Cisco
QoS профиль не
учитывается
Приложение
может выставлять
UP, но не DSCP*
QoS Profile or no QoS Profile
В случае наличия
профиля, все
приложения из White
List могут выставлять
уровень приоритета
QoS Profile
Cisco-AP**ТД стороннего производителя
Поддерживает Fast lane
* DSCP может быть помечен с помощью IP_TOS/IPv6_TCLASS когда SO_NET_SERVICE_TYPE установлен в best effort ** Yes, it works on AireOS and Meraki!
Fast Lane позволяет приоритезировать только те приложения, которые являются критичными в данной сети
Поддерживает
Fast lane Администратор устанавливает на устройство Apple
IOS профиль QoS*
Приложения из whitelist получают требуемый QoS **
Остальные приложения получают BE/BK
Поддерживает
Fast lane
Профиль для этой сети:Minecraft = Real-time-
interactive
Viber = BE
Профиль для этой
сети:Minecraft = BE
Viber = Voice
Cisco-AP
Поддерживает
Fast lane
Поддерживает
Fast lane
Cisco-AP*если профиль отсутствует, все приложения могут запросить любой уровень сервиса
**Fast Lane не изменяет уровень QoS, запрошенный приложением
Это – законченное решение, а не функционал только Wi-Fi сети
Роуминг Over the Air или over the DS 802.11r?
Перегрузка здесь и/или здесь?Влияние филиальной сети/
маршрутизации?
Как настраивать контроллеры БЛВС, коммутаторы, UC, QoS?
Это – законченное решение, а не функционал только Wi-Fi сети
What QoS marking should we recommend to Apple, for what traffic? (QoS Expert)
Need an in-house Voice app expert (what codecs, what bit rates, what choreography, how to test?)
Need an architect (what is typical campus, branch topology? Where do WLCs reside?)
Need R&S expert (RNA and best practice for routing, switching)
And yes, need a couple of wireless gurus…
No Fast Lane
Fast Lane обеспечивает надежную передачу голосового трафика даже в условиях загруженной сети
• Загруженная сеть, голосовые пакеты отсылаются каждые 20мс
• Мы измеряли временные интервалы между голосовыми пакетами в эфире
Capture time (seconds)
Средний интервал между пакетами 40мс (не здорово)
Много пиков, некоторые до 0.6 секунды
(плохое качество аудио)
Interval (seconds)
Fast Lane
Interval (seconds)
Средний интервал между пакетами 20мс (хорошо)
Мало пиков, максимум, 0.1секунды
(приемлемое качество голоса)
Fastlane и Optimized Roaming дают преимущества для всех критически важных приложений
До 50% уменьшение
служебного трафика из-за
сокращения числа SSIDs
86% меньше объем
информационного обмена
во время роуминга
Экономия заряда батареи
66x уменьшение вероятности плохого
качества звука во время WI-FI calling
10x лучше ощущения от работы с Интернет
Технические подробности
Adaptive 11r
• Even if 802.11r is not enabled on the WLAN, it is enabled for the WLAN for the Apple IOS 10 devices (adaptive 11r) by default:
Show wlan 3
…/…
Security
802.11 Authentication:........................ Open System
FT Support.................................... Adaptive
Feature enabled by default on a newly created SSID
Adaptive 11r
• Adaptive 11r means that the WLAN security is set to WPA2 (NOT to static 802.11r, no need for “hybrid” mode either):
11k Configuration
• Feature enabled by default on a newly created SSID
• Dual band neighbor list selectively enable for Apple devices that supportive Adaptive capability
1Pre
11v Configuration
• 802.11v features are enabled by default on a newly created SSID
1Pre
Show client detail
Fast lane on WLC
• Enabled from the QoS tabof WLAN configuration
• Enabling the first WLANfor Fastlane also enables AutoQoS (best QoS config) globally
• Application Visibility is semi-independent
Fast lane
• Enabling Fastlane:
• Configures best QoS globally
• Sets the WLAN for Platinum
• Sets WMM to Required
• (Notice AV is still disabled)
Fast lane
• Enabling Fastlane enables best QoS config globally:
• Platinum profile sets Max Priority to voice (UP 6), non-WMM and multicast to BE, 802.1p disabled, bandwidth contracts disabled
• EDCA profile is set to Fastlane
Fast lane
• Enabling Fastlane enables best QoS config globally:
• ACM is enabled on both bands (load-based), with max RF bandwidth 50% and roaming bandwidth to 6%
• Expedited bandwidth is enabled
Fast lane
• Enabling Fastlane enables best QoS config globally:
• DSCP is trusted upstream (instead of UP)
• DSCP to UP map is configured as per IETF recommendations (“well-known” DSCP values mapped to IETF-recommended values, “unexpected” DSCP values mapped to BE
Fast lane
• When Fastlane is enabled on a WLAN, enabling AV automatically applies the AUTOQOS-AVC-PROFILE
Fast lane
• As long as Fastlane is enabled, you cannot (and should not) change the AVC Profile (you can disable/enable AV, but not change the AVC profile)
1
2