Беспроводные сети cisco: новые продукты и их возможности

Беспроводные сети Cisco:новые продукты и их возможности

Семейство Wi-Fi точек доступа Cisco Aironet Полный переход на 802.11ac Wave 2

Начальный уровень корпоративных решений Критичные сервисы Лучшая на рынке

1850

• 4x4:3SS 80Mhz; 1.7 Gbps

• Spectrum Analysis*

• Internal or External antenna

• Tx Beam Forming

• 2 GE Ports

• USB 2.0

• Centralized, FlexConnect and Mobility Express

2800

• 4x4:3SS 160 MHz; 5 Gbps

• 2.4, 5GHz or Dual 5GHz

• 2 GE Ports


• Smart Antenna Connector

• Enhanced Location* (External Antenna)

• CleanAir 160MHz

• ClientLink 4.0

• USB 2.0

• Centralized, FlexConnect and Mobility Express*

3800

• 4x4:3SS 160 MHz; 5 Gbps

• 2.4, 5GHz or Dual 5GHz

• 1 GE + 1 mGig (5G)


• Smart Antenna Connector

• Enhanced Location* (External Antenna)

• CleanAir 160 MHz

• ClientLink 4.0

• StadiumVision

• USB 2.0

• Modularity

• Centralized, FlexConnect and Mobility Express*

1810 Wall Plate• 2x2:2SS 80 MHz; 867 Mbps

• Tx Beam Forming

• 1 GE Port uplink

• 3 GE Local Ports, including 1 PoE out

• Local ports 802.1x ready

• Integrated BLE Gateway*

1830

• 3x3:2SS 80MHz; 867Mbps

• Spectrum Analysis*

• Internal antenna

• Tx Beam Forming

• 1 GE Port

• USB 2.0

• Centralized, FlexConnect and Mobility Express

1810 Teleworker• 2x2:2SS 80 MHz; 867 Mbps

• 3 GE Local Ports downlink, including 1 PoE out

• One or Two Local Ports can be tunneled back to corporate

* Future availability

Технологии, которыми располагает только CiscoНоу-хау для сетей с высокой плотностью последнего поколения

Wireless LAN Zero Impact Application Firewall

Отсутствие падения производительности при включении AVC/FW

Визуализация Мониторинг Контроль

приложений

APP APP APP APP

APP APP APP APP

APP APP APP APP

APP APP APP APP

Глубокий анализ пакетов использует выделенный CPU

Возможно только на правильно

спроектированной аппаратуре

Flexible Radio Architecture

• 2.4ГГц и 5ГГц на одном чипе

• Позволяет программно выбирать 2.4ГГц или 5ГГц для подключения абонентов (по-умолчанию 2.4ГГц)

• Позволяет осуществлять последовательное сканирование всех каналов обоих диапазонов (режим монитора, аналог “WSM”)

• Выбор режима работы ручной или автомат (RRM)

• В какой-то степени дальнейшее развитие технологии, используемой в модулях WSM для ТД 3600/3700

Что такое Flexible Radio (XOR)?

• «Обычное» радиопокрытие в обоих диапазонах

• Режим работы по-умолчанию

Flexible Radio Assignment

5GHz

Serving

2.4GHz

Serving

Wireless

Security

Monitor

Wireless

Service

Assurance*

• Увеличение емкости и производительности

• Максимальная скорость в эфире 5.2Гбит/с

• Особенно важно для сетей с высокой плотностью

• Безопасность сети от источников помех, wIPS

хакеров и посторонних радиоустройств

• Сканирование обоих диапазонов от угроз ИБ

• Активный мониторинг производительности сети

и реакция на сбои

• Обнаруживает и устраняет сбои и их причины

* Планируются позднее

5GHz

Serving

5GHz

Serving

5GHz

Serving

5GHz

Serving

Enhanced

Location*

• Улучшает точность позиционирования абонентов

• Обслуживает абонентов в диапазоне 5ГГц5GHz

Serving

Flexible Radio ArchitectureПринципы работы со встроенными антеннами

Что такое архитектура Macro/Micro cell?

• Идея не нова, годами используется в сотовых сетях

• Метод для передачи нелинейных объемов трафика

• Позволяет получить больше пропускной способности в отдельной области общей соты

Антенная система ТД AP2800/3800 “I” (без верхней крышки)

До настоящего времени интерфейсы ТД

обозначались так…

На ТД предыдущего поколения 2700/3700 без

технологии XOR

Radio 0 = 2.4ГГц

Radio 1 = 5.0ГГц

Теперь на ТД 2800/3800 когда они

обслуживают клиентов

Radio 0 = 2.4ГГц *или* 5.0ГГц (XOR)*

Radio 1 = 5.0ГГц

Использование “Flexible Radio Assignment”Radio “0” может быть настроено как 2.4ГГц (по-умолчанию)

или переключено в диапазон 5ГГц,

или может использоваться для постоянного сканирования

радиоэфира

Micro-cell antenna is 6 dBi @ 5 GHz

Macro-cell antenna is 5 dBi @ 5 GHz

*когда XOR в 5ГГц, используются Microcell

антенны

Различия в конструкции антенн

Традиционная зона покрытия ТД

(Macro-Cell): равномерное

круговое распределение сигнала

Уменьшенная зона покрытия ТД

(Micro-Cell): также равномерное

круговое распределение

сигнала, но используется

«узкий» луч, эффективный при

высокой плотности абонентов

Добились эффективной совместной работы

двух радио в одной ТД путем использования

специальных антенн, поляризации и особых

настроек излучаемой мощности:

ОБА радио друг другу не мешают

Flexible Radio ArchitectureПрименение в случае внешних антенн

Smart Antenna

ConnectorСлот расширения

(только 3800)

Основные антенные разъемы – Диполи и направленные антенны

3802e и 2802e Smart Antenna Connector

Используется для подключения антенны к XOR радио

5GHz

Serving 5GHz

Serving

FlexPort – гибкость в выборе внешних антеннвозможность подключение однодиапазонных антенн

Использование DART разъема позволяет разделить зоны покрытия 2,4 и 5ГГц, либо создать две

независимые 5ГГц соты

Режим Macro-Macro,Micro-Micro или любая их комбинация – свобода выбора

DART кабель позволяет

физически разносить антенны

обоих радио для эффективной

работы

ANT-2566, направленные в

разные стороны, или даже

«спиной к спине» с наклоном

для эффективного внедрения

на складах

Две направленные

антенны для

удвоения зоны

покрытия или

увеличения

емкости

Можно использовать омни и

направленную антенны одновременно

5GHz

Serving 5GHz

Serving

Hyperlocation AntennaAIR-ANT25-LOC-02=

AIR-ANT25-LOC-02=Для чего вообще она нужна?

AIR-ANT-LOC-01= Встроенная

всенаправленная

AIR-ANT-LOC-02= Направленная антенна

Внешняя антенна решает проблему

гиперлокации на стадионах и других сетях

с высокой плотностью абонентов

Антенны для систем с локацией

Directional Location + Directional WiFi• PID: AIR-ANT25-LOC-02=

• 3602i/e/p, 3702i/e/p & 3802e/p (w/ mod. bbd)

• 2802e, 3802e, 3802p (5G only)

• Large Hall, Warehouse, Atrium

• Vertical install, outdoor rated

• DART (Location) + 4 RP-TNC (WiFi), 3 ft

• Dual-band

• 2x14x18”

• Q4 / CY16

Omni Location + no WiFi• PID: AIR-ANT-LOC-01=

• 3602i/e, 3702i/e

• Enterprise office, retail , …

• Horizontal install, on ceiling

• DART (HL mod)

• Dual-band

• 2x12x12”

• Oct. 2015

Большие холлы, склады,

атриумы, высокие потолки,

уличное применение(вертикальный монтаж)

Расширение

ТД3600/3700 Офис, магазин,…

(горизонтальный монтаж)

DARTHL RP-TNC

WiFi serving radios

WiFi ant. WiFi ant.

WiFi Ant.: Az/El 2G: 105/60 5G: 105/60Gain 2G: 4 dBi 5G: 5 dBi

HL Ant.: Az/El 2G: 145/90 5G: 145/90

Вид спереди - AIR-ANT25-LOC-02=

х8 двухдиапазонных элементов

для локации

х8 5ГГц элементов для локации

х4 двухдиапазонных элемента

(для связи с клиентами 2.4/5ГГц) 4/5 dBi

20 Элементов (16 для локации) + 4 для

(подключения клиентских устройств)

Вид сзади - AIR-ANT25-LOC-02=

Aironet 1560 Series ТД уличного применения

Семейство уличных точек доступа 802.11ac Cisco Aironetлучшее и самое полное предложение на рынке

1560

• 802.11ac Wave 2, MU-MIMO

• 3x3:3, 80MHz, 1.3Gbps (I)

• 2x2:2, 80MHz, 867Mbps (E/D/PS)

• Internal or External antenna model (I/E)

• Internal directional antenna model (D)

• Public Safety 4.9 GHz model (PS)

• SFP

• Flexible Antenna Ports

• CleanAir and ClientLink

• Centralized, FlexConnect, Mesh and Mobility Express

1570

• 802.11ac Wave 1

• 4x4:3 80 MHz; 1.3 Gbps

• External antenna model (EAC)

• Cable Modem model (IC/EC)

• SFP

• GPS

• Flexible Antenna Ports

• CleanAir and ClientLink

• Modularity

• Centralized, FlexConnect and Mesh

Cable Modem Version Only (IC/EC)

• DOCSIS 3.0, 24x8


• PoE Out 802.3at (EC only)

1540

• 802.11ac Wave 2, MU-MIMO

• 2x2:2, 80MHz, 867 Mbps

• Ultra low profile

• Internal antenna only

• PoE (802.3af) power

• Centralized, FlexConnect, Mesh and Mobility Express

Новинка

Iкв 2017

Новинка

DNA Ready | RF Excellence | CMX

802.11ac Wave 2

Уличные ТД следующего поколения с поддержкой Wave 2 802.11ac

Cisco Aironet® 1560

Series

• Эволюция ТД1530

Похожий небольшой корпус, низкая цена

• Функционал 802.11ac Wave 2

• Версия с встроенными (1562I) или

внешними (1562E) антеннами

• Добавлен вариант с встроенной

направленной антенной (1562D)

• Добавлена поддержка SFP

WNG Outdoor

AP1532I 1532E 1562I 1562D 1562E 1562PS 1572EAC 1572IC/EC

List Price $1295 $1495 $1695 $1795 $1795 $1995 $4495 $5295 / $6695

Type 802.11n 802.11n 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W1 802.11ac W1

Radios2.4G: 3x3:3

5G: 2x3:2

2.4G: 2x2:2

5G: 2x2:2

2.4G: 3x3:3

5G: 3x3:3

2.4G: 2x2:2

5G: 2x2:2

2.4G: 2x2:2

5G: 2x2:2

2.4G: 2x2:2

4.9G: 2x2:2

2.4G: 4x4:3

5G: 4x4:3

2.4G: 4x4:3

5G: 4x4:3

Antennas InternalFlexible Antenna Port

(dual or single band)Internal

Internal -

Directional

Flexible Antenna

Port

(dual or single

band)

Flexible Antenna

Port

(dual or single

band)

Flexible Antenna Port

(dual or single band)

IC: Internal

EC: External

SPF Port n n n n n n

PoE out n n (EC)

Cable modem n

Power optionsUPoE/3at

24-57 VDC

PoE (802.3at)

24-57 VDC

UPoE/802.3at

48 VDC

PoE+ (802.3at)

48 VDC

PoE+ (802.3at)

48 VDC

PoE+ (802.3at)

48 VDCAC, 12 VDC, PoE

40-90V cable

plant

12VDC

Data rate (2.4/5G)

Mbps216 / 300 144 / 300 216 / 1300 144 / 867 144 / 867 144 / 867 216 / 1300 216 / 1300

Clients per radio 100 100 200 200 200 200 200 200

CleanAir n n n n n n

ClientLink n n n n n n

BandSelect n n n n n n n n

FlexConnect n n n n n n n n

Wireless mesh n n n n n n n n

Temp Range °C -30 to 65 -30 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65

ТД Cisco Aironet 1562I Series Вариант с встроенными антеннами


Series

• 3x3 и 3 пространственных потока

• Блок питания DC или UPoE• Доступен AC/DC БП уличного исполнения

• 2x3:2 при питании 802.3at PoE

• Небольшие размеры• 7dBi (2.4ГГц) и 4dBi (5ГГц)

• Широкая зона покрытия

• Области применения: • Уличные Wi-Fi сети общего назначения,

хотспоты

Next-Generation Wave 2 802.11ac Outdoor Access Point

ТД Cisco Aironet 1562DВстроенные направленные антенны


Series



• Небольшие размеры• 9dBi (2.4ГГц) и 10dBi (5ГГц)

• Узкая зона покрытия

Угол раскрыва~ [email protected]ГГц и 40@5ГГц)

• Области применения: • Уличные сети с высокой плотностью

абонентов

• Беспроводной мост точка-точка


ТД Cisco Aironet 1562E Series Внешние антенны


Series



• Небольшой размер• Антенные разъемы с технологией Flexible Antenna

Port, позволяющие программно выбирать тип

антенны

• Поддерживаются все уличные антенны Cisco

• Область применения: • Уличные беспроводные сети/хотспоты с зоной

покрытия сложной формы

• Лучшая чувствительность с внешними

всенаправленными антеннами


Уличный блок питания- AIR-PWRADPT-RGD1=

БП переменного тока

мощностью 60Вт

вход – 90-264 VAC

выход – 48VDC @ 1.25A

Рабочий диапазон температур

от -30C до +60C

Монтажный кронштейн

AIR-ACC1560-PMK1

Уличный инжектор питания (PoE)

Для России

AIR-PWRINJ-60RGD2=

(Россия)

Размеры и среднее время наработки на отказ (MTBF)

AP1560 Series MTBF Часов

AP1562I, full operation

3x3 mode 166,075

AP1562e 187,550

AP1562d 165,995

Вес 2.55кг

1562I (Internal Antenna) 1562D (Directional)

1562E (External Antenna)

• WLC 8.4 ISE Simplification

• TrustSec Support

• HyperV Support of vWLC

• OpenDNS Integration

• URL Filtering

• Client Whitelisting

Новые программные возможности ПО 8.4

WLC 8.4 ISE Simplification

WLC ISE Configuration Challenges

При добавлении ISE или настройкиWLAN на использование ISE, требуется

произвести много настроек, что занимает много времени и ошибок.

WLC 8.4ISE

настройки в один Click

*Мобильное приложение в настоящий момент не поддерживается

One-Click Day-0

Express Setup

• Configures WLANwith ISE default settings

• Configures WLC global ISE defaults

Day 0 WLC ISE Default Settings

WLC ISE Default Settings - Global

WLC 1-Click ISE Defaults

Добавляет ISE как Authentication server

Добавляет этот же сервер в качествеAccounting server.

Enable CoA

WLAN 1-Click ISE Defaults

Добавляет ISE как Authentication server

Настраивает аналогично (IP и shared-secret) for Accounting server.

Включает AAA override.

Устанавливает NAC State в “ISE NAC”.

Включает DHCP Profiling и HTTP Profiling.

WLC ISE Default Settings - WLAN

8.4 Wireless TrustSec

access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993


access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878

access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216

access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111

access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175

access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462

access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384

access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878

access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467

Проблема сегментирования сети

Line of Business

BYODCompliance

Различные требования к сегментированию сети

Сложные политики, основанные на IP адресах

Сотрудники

Контракторы

Аутсорсеры

Гости

УстройстваКампус Филиал

Вырастание сегментов за

L3 границы

VLANs

Требуют обновления при смене топологии


access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878

access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216

access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111

access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175

access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462

access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384

access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878


access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780

access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611

access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606

access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005


access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782

Поддерживать безопасность и соответствие правилам во

время роста сети

Традиционные подходы к сегментированию очень трудозатратны

Access Layer

Enterprise

Backbone

Voice

VLAN

Voice

Data

VLAN

Employee

Aggregation Layer

Supplier

Guest

VLAN

BYOD

BYOD

VLAN

Non-Compliant

Quarantine

VLAN

VLAN

Address

DHCP Scope

Redundancy

Routing

Static ACL VACLОграничение традиционной

сегментации

• Политики зависят от топологии

• Высокая стоимость и сложность

поддержки

Приложения

access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384

Classification

Static / Dynamic

VLAN assignments

Propagation

Carry segment context

over the network

through VLAN tags /

IP address / VRF

Enforcement

IP based policies.

ACLs, Firewall

rules

NXOS

Switches

Wireless

Включение TrustSec в сети предприятия

Data Center

Network Campus

Network

Public

CloudDATA CENTER

CAMPUS NETWORK

BRANCH OFFICE

SERVICES

IOSSwitches

WAN

Internet

Routers

DNA Security &

ComplianceSecurity and

Compliance

5 Employee

6 Voice

7 Partner

Classification

(Assigning SGTs)

Static & Dynamic

Assignments

A B

Propagation

Inline SGT & SXP

Enforcement

Security Group ACL

Поддержка Wireless TrustSec

Feature Platform

Inline SGT

tagging and SG-

ACL enforcement

17xx, 27xx,37xx, 18xx, 28xx,

1560 and 38xx

3504*, 5520 and 8540

SXPv2 5520, 8540, 8510, 7510, vWLC,

5508, WISM2, 2504

SXPv4 17xx, 27xx,37xx, 18xx, 28xx,

1560 and 38xx

WLC 8.4Switching

modesSXP AP Inline Tagging WLC Inline Tagging Enforcement

Local/Flex

Mode/Central

Switching

✕

✓(v2)✕ ✓ ✓

Flex

Mode/Local

Switching✓ ✓ ✓ ✓

Flex + Bridge✓Wave1✕ 11acW2

✕ ✕✓Wave1✕ 11acW2

Mesh✕

✓(v2)✕ ✓

✓(Indoor

only)

Простая настройка и поддержка политик

VLAN: Data-1VLAN: Data-2

Wired/Wireless

Data Center

DC Switch

Application

Servers

ISE

Enterprise

Backbone

Remediation

Wired/Wireless

Employee Supplier Non-CompliantEmployeeNon-Compliant

Shared

Services

Employee Tag

Supplier Tag

Non-Compliant Tag

TrustSec enabled WLC &

AP receives policy for only

what is connected

Независимо от топологии или

местоположения, политики

(Security Group Tag) остаются с

пользователями, устройствами

и серверами

TrustSec упрощает управление

ACL как для intra, так и inter-

VLAN трафика

Классификация на входе, применение политик на выходе

Cat3850 Cat6800 Nexus 2248

WLC5508

Nexus 2248

Cat6800 Nexus 7000 Nexus 5500

User authenticated

Classified as Marketing (5)Lookup

Destination SGT 20

DST: 10.1.100.52

SGT: 20

SRC: 10.1.10.220DST: 10.1.200.100

SGT: 30

Web_Dir

CRM

DST

SRC

Web_Dir

(20)

CRM

(30)

Marketing

(5)Permit Deny

BYOD

(7)Deny SGACL-A

Destination Classification

Web_Dir: SGT 20

CRM: SGT 30

Enterprise

Backbone5

SRC:10.1.10.220

DST: 10.1.100.52

SGT: 5

SGACL скачиваются только для «своих» клиентов

Employees (4) Contractors (5)

Описание сегментации в ISE

SG

T=

3

SG

T=

4

SG

T=

5

SGACL

Enforcement

I have nothing to protect

I know SGT-4, is there a policy for it?

I запросил политики для защиты SGT-4

TrustSec позволяет WLC и ТД запрашивать политики ТОЛЬКО для

хостов, находящихся под их защитой

Employees

(SGT=4)

AP WLC

Active SGT’s 10 100

SGT x DGT pairs 10 x 10 100 x 100

SG-ACLs per SGT x SGT cell 128 256

ACE per SG-ACL 50 50

Поддержка vWLC на Hyper-V

Эволюция виртуального контроллера

Преимущества Hyper-V

Интеграция контроллера БЛВС и OpenDNS

OpenDNS- Offering Domain Level Visibility

COVERAGE

PROTECTION

INTELLIGENCE

PERFORMANCE

RELIABILITY

Predictive Threat

Intelligence

High Speed,

Scalable

Ransomware,

malware/Botnet

Security Visibility-

Application Insights,

Policy Compliance

Internet wide

visibility

• Cloud delivered network security service

• Malware and Breach Protection in real time

• Uses evolving Big Data and data mining methods

to proactively predict attacks

• Category based Filtering (60+ content categories)

OpenDNS Cloud

CATEGORY IDENTITY

Malware Internal IP

Phishing AD User

DNS layer Security

OpenDNS- DNS layer Network Security

Today’s Challenges

Internet-wide Visibility

Alert Priority

Evolving Threat Intel

Limited Resources

What does OpenDNS Offer?

Enrich security systems

with real time data

Prioritize investigations

from Botnet, Malware

Stay ahead of attacks

Speed and agility across

Cloud/ scalable

agc.com

How does it Happen?

Global Network using

Recursive DNS

Predictive Intelligence

using Statistical models

1.2.3.4

Block by domains,

URLs for all Ports

Insightful reporting

OpenDNS to Enhance Security Visibility

CLOUD BASED WEB FILTERING THREAT MANAGEMENT INSIGHTFUL REPORTING

Low cost

architecture

Data analysis

methodsPowerful reporting

and analytics

MICRO TO MACRO LEVEL VISIBILITY

Network EndpointMobile Virtual Cloud Apps

Local IntelligenceGlobal Context

openDNS- How does it work?

Ingest Apply Identify

k.amuX

a.bc

b.com

l.emuX

www

p2p

www

Millions of data points per

second across markets,

geographies, protocols

Statistical models, Human

Intelligence, Anomaly

Detection, Temporal Patterns

Malicious and safe

sites

API Token

Issued from OpenDNS

Portal. Used for device

registration

Device Identity

Unique device identifier.

Policy enforced per

identifier.

Extension mechanism for

DNS

EDNS FQDN

Fully Qualified Domain

Name

OpenDNS - Terminology. How does it work on WLC?

WLC intercepts DNS packet, redirects query to OpenDNS cloud servers at

OpenDNS cloud, based on FQDN in DNS query returns

• 208.67.222.222IPv4

• 208.67.220.220Ipv4

• Return blocked page to client

Malicious FQDN

• Returns Destination IP Safe FQDN

NOTE If the blocked domain was from HTTPS request, client’s web browser will see certificate error because

OpenDNS cloud may not have the certificates from the blocked server.

OpenDNS- WLC Packet Flow

Internet

Web Services

OpenDNS Cloud

DNS Request

DNS Response

• OpenDNS: Get API. Token for device registration

• WLC: Apply Token and create Profile

Device (Profile) Registration

HTTPS used in this phase

WLC and OpenDNS registration

(One Time)

• Client sends DNS query

• WLC snoops DNS query, forwards it

with EDNS

• OpenDNS applies Profile specific Policy

• Sends DNS response to WLC

• WLC forwards the response to client

Wireless client traffic flow

Snoop DNS pkt

Tag it with Identity

Security Enforcement Content Filtering

Compliance Category based Filtering Whitelist & Blacklist

+

Create an OpenDNS account with

active subscription license.

OpenDNS- Cloud config

Obtain API-Token from

dashboard to be used

on WLC

OpenDNS- Profile Creation on WLC (GUI, CLI)

Configure openDNS Configure API Token Create Profiles

Config openDNS enable

Config openDNS api-token <token>

Config openDNS profile create <profile-name>

Config wlan opeDNS-profile <wlan-id> <profile name>

enable

Security > OpenDNS

OpenDNS WLC config

To check OpenDNS profile Mappings,

Security >OpenDNS5WLAN> Advanced

Map the Profile to WLAN/AP Group/Local Policy

OpenDNS WLC Integration- Additional Details

Support

1. WLC platform- 5508,5520,7500,8510,8540.

ME, vWLC not supported

2. AP mode- Local mode, Flex central switching.

3. 10 different OpenDNS Profiles configurable on WLC

Licensing

1. 14 day free Licensing

2. Covered under CiscoOne Advanced Subscription

1. Application or Host uses IP address directly

instead of DNS to query domains.

2. Required to configure web proxy for WLC to

register to OpenDNS account (incase WLC

cannot communicate directly to server)

1. DNS Crypt – client DNS traffic

2. Token Generation linking

3. Configure Policy from WLC

4. Stats/Dashboard at WLC

5. Ipv6 support

6. Local URL splitting

Not part of WLC 8.4 releaseOpenDNS Limitations

URL Filtering (Enhanced)

URL Filtering - Simple, Easy to deploy

• IP address based

• Requires creating and maintaining

thousands of access list entries.

How can I control access to custom resources in my network?

Today’s Process

Access Control List Application Visibility Control

WARNING

OVERWORK

AND STRESS

AHEAD

• Applications in Protocol Pack inspected

• Cannot define custom / user specific

application

Awareness Analytics Control

Why URL Filtering for Wireless?

Productivity Improvement Tool

URL Filtering

solves

Productivity

Threats

Inappropriate

Content

BW

Consumption

Employee

Distractions

Spam

Security

Content

Control

Compliance

URL Filtering Flow

URL Filtering ACL on controllerInternet / Intranet Approved Content

Blocked URLs

Blocked Content

Blocked Files

Based on DNS snooping

URL ACL Implementation

3

https://www.

Browsing is restricted to specified

domains for all protocols.

1

X

X

• Configure Whitelist or Blacklist to allow or

deny access to domains.

• Configure External Server IP address

Whitelist allows domains to be permitted

Blacklist restricts browsing to domains

External server IP for blocked pages

2

APPLY LIST

Tie the created URL ACL to

• Interface

• WLAN

• Local Policy (highest priority)

Add timeout actions

Add role based actions

Device aware actionable policies

Key Points

DNS SnoopingWorking

• No AVC dependability

5520, 8540, 8510, 5508 Platform Support

• 2504, vWLC, ME not supported

Protocols Both HTTP, HTTPs supported

All protocols matched for the rule

8.3 Filtering Enhanced, no NBAR basedMigration

• Configuration is similar

64 URL access lists, 100 rules per list (8540, 5520). 8510 - lowerFiltering

• No Sub URL support

• White and Black lists supported but not the mix of them.

Without DNS Direct IP access will be blocked in whitelist.

Reverse DNS lookup not allowed

BLACKLIST

*.cisco.com

mail.cisco.com

press.cisco.com

10 Wildcards, 5 subdomain per wildcard (different for 5508, 8510)

WHITELIST

www.cisco.com

www.cisco.com/dir

www.cisco.com/sevt

No Sub-URL support

Role Based Access Control

Employee

Users

Roles

Internal

Company

Resources

User Role

Application

Devices

AAA

EngineerSales

WLC SwitchInternal

Secure

Server

Engineer Sales

Cisco-av-pair=role=<role name>

Policy tie-in with URL ACLUser Role Aware

Role Based Access Control- Configuration

USER GROUPS

• Configure user group based authn / authz for groups

• Sales

• Eng

Returning ROLE

• ISE configured to return role in cisco AV pair under Authz profile:

• Sales

• Eng

URL ACL

• Configure two URL ACLs

• ACL_Sales = blocking access to internal server

• ACL_Eng= permitting access to internal server

POLICY

• Tie ISE returned ROLE and ACLs to respective Local Policy:

Sales_Policy = ROLE Sales & ACL_Sales

Eng_Policy = ROLE Eng & ACL_Eng

PROFILE

• Tie both policies to the WLAN Profile

ISE

WLC

Migration of Config from 8.3 to 8.48.3 URL Rules to 8.4 (Migration) 8.4 URL Rules to 8.3 (Downgrade)

1

abb.com

cbb.com

avb.com

2

dbb.com

fbb.com

pvb.com

Whitelist ACL

3

dbb.com

fbb.com

pvb.com

White & Black

list ACL

• ACL changed to Whitelist

• Deny rules wiped out

• Manually configure new

ACL list type as Blacklist

• Unchanged

• Continue to use feature

• Permits will remain

• Denies will be removed.

(Manual change reqd)

• No change in URL ACL rules

• Only HTTP protocol support

• NBAR engine based URL FilteringBlacklist ACL

Cisco Wireless web-classification: OpenDNS vs URL Filtering

Which one to position? OpenDNS is for customers with cloud strategy while URL filtering is for enterprise

customers with a known URL filtering policy

Feature OpenDNS URL Filtering

Architecture Cloud On-Prem

Granular SSID / User-Role filtering Yes Yes

Block internal enterprise domains No Yes

Malware / Botnet /Ransom ware detection Yes No

Domain Rules No limits 100 rules per ACL

Blocked URL landing page Yes Yes

Cloud subscription Yes No (part of base WLC license)

Domain visibility with reporting Yes No

Proactive security alerts with dynamic security compliance Yes No

Domain category filtering Yes No

Lobby Admin Client Whitelist

Lobby Admin Client Whitelist

Local administrator Local admin access with

restricted privileges for siteAbility to add whitelist

users per WLAN

Management of users

in an easy fashion

Site Specific Limited Access WLAN Config Add/Remove users

Feature WorkflowLobby Admin (LA)

Logs into WLC guest user page

Under Whitelist Menu, chooses

WLAN for MAC addition

Disables MAC filtering on WLAN

to allow clients to join

Sees list of clients connected

on WLAN

Selects all or specific clients and

add to client whitelist

Enables MAC filtering on WLAN.

Only whitelisted clients allowed to

join WLAN

Global Admin

Add Lobby admin on WLC

Enable Lobby ambassador

access on WLAN

Digital Network Architecture with Wave 2 11ac

AP 2800/3800 Feature Highlights

Flexible Radio AssignmentSoftware defined radio automatically

adjusts to dual 5GHz to better serve high

client environment

Optimized RoamingIntelligently Connects the Proper

Access Point as People Move

Turbo PerformanceScales to Support More Devices

Running High Bandwidth Apps.

Zero Impact AVCHardware Based Application Visibility and

Control without Impact to Performance.

Cisco CleanAir®

Remediates device Impacting Interference

from other WiFi and non-WiFi devices

Cisco ClientLink Improves Performance of

Legacy and 802.11ac Devices.

Future Proof Expandability Add Functionality Via Module, Smart

Antenna Port or USB Port

Multi-Gigabit UplinksFree Up Wireless With Faster

Wired Network Offload

Gb+

Flex Dynamic Frequency SelectionAutomatically Adjusts So Not to Interfere

With Other Radio Systems

Wireless excellence and innovations delivered only byCisco Aironet 2800, 3800 Series Access Points

Apple Fast LaneAutomatically assures highest priority, fastest

performance for trusted apps on trusted Apple devices

LAS VEGAS TOKYO

This is all great…

BUT What about Feature Parity?

Feature Parity de-mystified. What, really? Let’s go!

Session Objectives

• Wave2 11ac is Best in Class and Enterprise Ready

• Relook at Key Highlights

• Understanding Feature Parity

• Re-building confidence for you and your customers

What can I position to my customers?

Where can I find resources?

Do I have the complete picture ?

Wave2 11ac AP Feature Matrix http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-

3/b_feature_matrix_for_802_11ac_wave2_access_points.html

8.3 Release Notes http://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/crn83.html

Resources to find answers and drive

adoption

Now Near Future

Wave2 & 5520/8540 8.2.130.0 8.3.110.0 ( Nov )

8.2.140.0

Code Recommendation

Cross-functional Tiger Teams (TAC, Field, Engg, Mktg) to drive the early deployments since

FCS (6/15)

Initial feedback from the field is addressed in the 8.2.130 (MR3) SW

Created frequent MR releases on 8.2 to incorporate field feedback

http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_for_802_11ac_wave2_access_points.html

Optimized Roaming

RX-SOP

Pervasive

Wi-Fi

HDX Turbo

Performance

Event Driven

RRM

XOR Radio

FRA

Cisco CleanAir®

RF Profiles

RRM, DCA, TPC, CHDM

Load Balancing

Band Select

Client Link 4.0

Off-Channel

Scanning

Flex DFS

DBS

5GHzServing

2.4GHzServing

5/2.4GHzMonitor

• Enabled by Dual 5GHz

• Adjust Radio Bands to Better Serve the Environment

RF Optimized Connectivity

XOR Radio and FRA2.4GHz

Serving

2.4-5GHz

Monitoring

5GHz.

Serving

5GHz.

Serving

2.4GHz

Serving5GHz.

Serving

5GHz

Serving5Hz

Serving

2.4GHz

Serving

FRA-auto (default value) or Manual

Auto 2.4 -> 5GHz or Monitor Mode

Transition to 2.4 GHz if coverage drops

Micro Macro Cell Transitions

-51 dBm

-65 dBm

-51 dBm-51 dBm≥ 55 dBm?

Probe Response

Client Steering

• 802.11v BSS Transition – Default Enable

• 802.11k – Default Enable

• Probe Suppression – Default Disable

Client Types

• 11v capable – 802.11v BSS Transition

• Non-11v capable – 802.11k neighbor list +

disassociation

• No 11k or 11v support – Probe Suppression Micro – 5GHz on XOR

Macro -- Dedicated 5 GHz

Optimize Wi-Fi with CleanAirQuickly Identify and Mitigate Wi-Fi Impacting Interference

Channel 48

48

48

48

48

48

48

48

48

48

48

48

Interference on 20/40/80/160 MHz

Air Quality and Interference by

AP/radio on WLC

AQ Threshold trap and Interference

Device trap (per radio)

CleanAir-enabled RRM

Network Air Quality and Interference Location with PI 3.1.x and MSE 8.0.

Interference Devices and Air Quality Report

CleanAir Enabled RRMMitigated RF interference for improved

reliability and performance

Wi-Fi and

non-Wi-Fi

aware

Dynamic

mitigation

ED-RRM

Granular

spectrum

visibility and

control

Air Quality Performance

Improved Client

Performance

Complete Automatic Interference Mitigation Solution for Rogues and Non-Wi-Fi Interference

FlexDFS with Dynamic Bandwidth Selection

Identifies radar

frequency to

1 MHz

FlexDFS

isolates radar

event to

20MHz

DBS allows

best channel

and width

Interference is impacting

only channel 60

FlexDFS + DBSAutomatic and intelligent use of spectrum

52

56

60

64

DBS combined with FlexDFS: Increased confidence in using wider channel bandwidth; reduced radio flapping

Primary

20

Secondary

20

Secondary

40

52 56 60 64

Optimizes

HD Experience

Better Support for Users on the MoveOptimized Roaming

Optimized Roaming: Wireless Devices

Connect to the Most Effective APClient Stickiness

Fine-tuning HDX with RF Profiles

Wi-Fi

Triggered ED-

RRM

Optimized

Roaming

RXSOP

Dynamic

Bandwidth

Selection

TPC, DCA

CHDM

FlexDFS

CORE:

• CleanAir

• ClientLink 4.0

• Turbo Performance

Pre-canned RF Profiles

Client Distribution

Data Rates

DCA, TPC, CHDM

Profile Threshold for Traps

High Density Features

Security and Threat Mitigation

Secure

Access

P2P

Blocking

Client Exclusion

802.1x

WPA2/AES

TKIP Encryption

AAA Override

VLAN, ACL, QoS

Local Policy w/

QoS and AVC

MFP, 802.11w

TrustSec SXP

Inline Tagging awIPS, ELM

MAC Auth Rogue Detection

BYOD

NAC RADIUS

8.4

8.3 MR1

5GHz. / 2.4GHz.

.5GHz. / Security

Cisco Wireless Security Deployment with AP3800/2800 Maintains Capacity and Avoids Interference

Good Better Best

Features ELM Monitor Mode AP ELM with FRA

Monitor Mode

Deployment Density Per AP 1 in 5 APs 1 radio per 5 APs

Client Serving with Security

Monitoring

Y N Y

wIPS Security Monitoring 50 ms off-channel scan on selected

channels on 2.4 and 5 GHz

7 x 24 All Channels on 2.4GHz and

5GHz


5GHz

CleanAir Spectrum Intelligence 7 x 24 on client serving channel 7 x 24 All Channels on 2.4GHz and

5GHz


5GHz

Serving channel Serving channelOff-Ch Off-Ch

Serving channel Serving channelOff-Ch Off-Ch

Enhanced Local Mode

Access Point

GOOD

2.4 GHz

5 GHz

t

t

Monitor Mode

Access Point

BETTER

2.4 GHz

5 GHz

t

t

Ch11Ch2

Ch38

Ch1

Ch36

…Ch11Ch2Ch1

…

Ch11Ch2Ch1

…

…

Ch161Ch157 Ch38Ch36

…… …

t

2.4 GHz

5 GHz

tCh11Ch2Ch1

…

Ch38Ch36 Ch161Ch157

…… …ELM with FRA Wireless Security

Monitoring

BEST

Serving channel Serving channelOff-Ch Off-Ch5 GHz t

Serve Client on 2.4 GHz

50 ms off-channel

Serve Clients on 5

GHz

50 ms off-channel

Rogue Detection and Mitigation

Rogue Classification and

Containment

• Rogue Rules

• Manual Classification –

Friendly/Malicious

• Manual and Auto

Containment

CleanAir with Rogue AP

Types

• WiFi Invalid Channel

• WiFi Inverted

Rogue Location

• Real-time with PI, MSE,

CleanAir

• Location of Rogue APs

and Clients , Ad-hoc

Rogue, Non-wifi

interferers

Data Serving AP

Scan

1.2s per channel

Monitor Mode AP

FRA with MM

Serve Client on dedicated 5

GHz

Scan 1.2s per channel

Service ReadyFeature Highlights

Videostream

Multicast VLAN

Per-Client/Per-SSID

BW Contract

Local Profiling

Bonjour

Apple Services

Service

Ready

AVC

Netflow

AAA Override of

AVC Profile

Voice Optimization,

CAC, WMM Policy

Adaptive 11r ,11k, 11v

FastLane

QoS Profiles

OKC, CCKM

Fast Roaming

8.3 MR1

Zero Impact Application Visibility and Control

Maintain Performance with Zero Impact AVC

Gain Visibility

into the Network

Monitor Critical

Applications

Control Application

Performance

APP APP APP APP

APP APP APP APP

APP APP APP APP

APP APP APP APP

Setting up AVC profiles and rules Drop/ Mark for several video apps like YouTube and Netflix on iPhone, iPad Drop/ Mark for other apps such as Jabber and Webex Profiles with block and pass rules combined Rate Limiting of Video/Voice apps AAA override for AVC profile AVC Profile with Local Policy Classification

Adaptive 11r and Cisco Fastlane

Optimized Wi-Fi Connectivity Prioritized Business applications

Intelligent, and efficient

roaming is automatically

configured

iOS and Cisco devices recognize each other and enable

special capabilities

Business data gets priority

and speed even if network is

congested

Reduces complexity - IT can focus on the business– the network does

the heavy lifting

8.3 MR1

Aironet Wave 2 AP’s: AP1810

AP1815

AP1850

AP1830

AP3800

AP2800

AP1560

Aironet AP’s:• AP1600/2600 Series Access Points

• AP1700/2700 Series Access Points

• AP3500 Series Access Points

• AP3600 Series Access Points + 11ac Module,

WSM, HALO, 3602P, 5310, 8718, 8818

• AP3700 Series Access Points + WSM, HALO,

3702P, 5310, 8718, 8818

• OEAP600 Series OfficeExtend Access Points


• AP700W Series Access Points

• ASA55xx Integrated Access Point (AP702i)

• AP802 Integrated Access Point

• AP803 Integrated Access Point




• AP1560 Series Access Point

• IW3700

• AP1040/1140/1260 Series Access Points

WLC’s: • 2504

• 5508

• 5520

• 7510

• 8510

• 8540

• WISM2

• vWLC

(KVM +

ESXi)

8.3

RF• Preferred 5 GHz network design• Apple client device should observe a minimum of 2 APs with an

RSSI measurement of -67 dBm• Average Channel Utilization < 40%.• Client SNR >= 25 dB.• 802.11 retransmissions < 15%, Packet Loss < 1% and Jitter < 100

ms.• Cisco highly recommends leaving all MCS rates enabled • Channel width 40 Mhz or Best for Typical deployments, 20 MHz for

High Density

QoS• Enable FastLane : Trust DSCP, Platinum for Unicast, EDCA as

FastLane and over 70 lines of Best Practice Configuration • WMM Set to Required• AVC profile is AUTOQOS-AVCPROFILE• 11k and 11v BSS Transition Enabled• mDNS Snooping Enabled• FT should be enabled or Adaptive, AKM Set to FT PSK or FT 802.1x

Cisco and Apple Best Practices

http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Optimizing_WiFi_Connectivity_and_Prioritizing_Business_Apps.pdfhttp://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf

http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Optimizing_WiFi_Connectivity_and_Prioritizing_Business_Apps.pdf

Teacher NetworkStudent Network

AirPrint AirPlay File

Share

Teacher

Service Profile

AirPlay File

Share

Student

Service Profile

iTunes

SharingAirPrint

mDNS Service Instances Groups

Apple TV1 Apple TV1

Apple TV2

Teacher Service

Instance ListStudent Service

Instance List

mDNS and Bonjour Services

mDNS Profiles – Select

services

mDNS Profile with Local

Policy – Services per-user

and per-device

mDNS Policies – Services

based on AP Location and

user role

mDNS AP – Services Behind

a L3 boundary

Location Specific Services

Authentication

Time of Day

User Role

QoS Profile Metal Profiles

QoS Policy w/ Role and Device type

Per-User Bandwidth Contract

Per-SSID Bandwidth Contract

AAA Override of QoS profile

QoS Roles for Guest Users

QoS and Bidirectional Rate-limiting

Device Type

Lo

ca

l Po

licy E

lem

en

ts

POLICY

Radius Server

(e.g.. ISE Base, ACS)

AA

A

Overr

ide

QoS Profile

Enterprise Infra Feature Highlights

Fast SSID

Client IPv6

Native IPv6Flex, Local, Sniffer,

Monitor, ME

FIPS Support

Enterprise

Infra

Pre-Image Download

AP Multicast

WiFi Tagging

OEAP

Webauth

Guest Access

Plug n Play

8.3 MR1 8.3 MR1

8.4

8.3

IPv4

IPv4 Client

Client and Native IPv6

CAPWAPv6 Tunnel

IPv4 Client

802.11

802.11

802.11

CAPWAPv6

Ethernet

IPv4

VLAN

Ethernet

Mgmt: 2001:db8:a::2/6410.10.10.2

IP: 2001:db8:a:5/64SNMP Server, Syslog Server,

tftp/ftp/scp Server

IP: 2001:db8:a:7/64

2001:db8:a:0:222:bdff:fef7:5594

2001:db8:a:0:8a56:caff:1547:9150

IP: 2001:db8:a:6/64NTP Server

IPv4/v6 router2001:db8:a::1/64

10.10.10.110.10.10.52

IPv6 Client

10.10.10.51

2001:db8:a:0:2329:9834:3231:1111

IPv6 Client

IPv6

IPv6

RADIUS

IPv6 Guest Access IPv6 Source Guard IPv6 RA Guard IPv6 Client Mobility RA Throttling IPv6 ACL – Local mode IPv6 Client Visibility IPv6 Neighbor discovery Caching IPv6 Bridging IPv6 multicast IPv6 AAA support IPv6 QOS

IPv6 CAPWAP ( DHCP option 52, DNS) Full DHCPv6/SLAAC or static v6 Control and Management IPv6 NTP over IPv6 Syslog over IPv6 Radius Over IPv6 CDP v6

8.4

8.2 MR1

2800/3800 as OEAP

DTLS• Control – DTLS enabled • Data – DTLS for client traffic tunneled back to corporate WLC

CDP and LLDP• PoE Uplink – CDP and LLDP on the uplink PoE port for power negotiation

Authentication and Security• Advanced Encryption Standard (AES) for Wi-Fi Protected Access 2 (WPA2)• 802.1X, RADIUS authentication, authorization and accounting (AAA) on WLAN 802.11i• MAC filtering

Personal SSID support• Personal SSID support for local home networking

WiFi CCX Tag v1 Support

(Cisco Controller) >show rfid summary

Total Number of RFID : 1

----------------- -------- ------------------ ------ ---------------------

RFID ID VENDOR Closest AP RSSI Time Since Last Heard

----------------- -------- ------------------ ------ ---------------------

00:23:a7:8e:20:d0 Redpine APE00E.DA78.56C0 -57 28 seconds ago

Cisco Controller) >show ap summary

Number of APs.................................... 2

Global AP User Name.............................. Not Configured

Global AP Dot1x User Name........................ Not Configured

AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients DSE Location

------------------ ----- -------------------- ----------------- ---------------- ---------- --------------- -------- --------------

AP_3802_1 2 AIR-AP3802I-S-K9 00:42:68:a0:d1:aa default location SG 192.168.6.35 0 [0 ,0 ,0 ]

APE00E.DA78.56C0 2 AIR-AP2802I-S-K9 e0:0e:da:78:56:c0 default location SG 192.168.6.94 0 [0 ,0 ,0 ]

Wireless LAN

Controller

Cisco Prime

Infrastructure

RFID Tags

8.3 MR1

FlexConnect Feature Parity on Wave 2 APs

FlexConnect

Local Switching/ Local Auth

WLAN-VLAN Mapping

Local Auth w/ External RADIUS

Data DTLS Encryption

VLAN Based Central Switching

Native VLAN, VLAN support on FCG

Proxy ARP

NAT/PAT

ClientLink

Load Balancing

Band Select

Smart AP Image upgrade

Default Flex Group

Syslog

Advanced WIPS

TrustSec SXP and SGT

WPA-PSK

802.1x(WPA/WPA2)

TKIP Encryption

Rogue Detection

AAA Override – ACL, VLAN

AAA Override – QoS

VLAN ACL

Per Client ACL

L2 ACL

Client Exclusion Policies

MFP

11w PMF

AVC Policy

EoGRE v4/v6 on FC

Webauth – Internal/External

QoS Markings and Profiles

AP Plug and Play

OKC, CCKM, 802.11r

Adaptive 11r, FastLane8.4

8.4 8.4

8.4 8.4

Feature Matrix : http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_wave2.html

Infrastructure Security Services

http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_wave2.html

Apple + Cisco для корпоративных Wi-Fi сетей – вместе веселее!

Беспроводная инфраструктура и клиентские устройства

101

WLAN Controller

AP

Ethernet SwitchAP

802.1Q Trunk802.1Q TrunkAccess mode

Мы контролируем здесь все

“бесконтрольная”

зона

Партнерство Cisco-Apple дает эти преимущества

Оптимизация Wi-Fi подключения Приоритезация бизнес приложений

Автоматическая настройка и

включение интеллектуального

роуминга

iOS и Cisco устройства распознают друг друга

и включают необходимый функционал

Бизнес приложения получают

приоритет и необходимую

полосу даже в загруженной сети

Упрощение - IT может сфокусироваться на бизнес

задачах – сеть делает «черновую» работу

Оптимальное подключение Wi-Fi

802.11k, 802.11v, 802.11r помогают при роуминге

802.11r роуминг без повторной аутентификации

802.11k список ближайших точек доступа

802.11v BSS Transition дает клиенту наилучший вариант для роуминга

Переключение на Cisco-AP-2

Association

Fast Transition (802.11r)

Cisco-AP-1* Cisco-AP-2** Yes, it works on AireOS and Meraki!

Association

Решение Optimized Roaming Cisco-Apple уменьшает сложность управления до 50%

Устаревший клиент не

может подключиться к

SSID с включенным

11r

ТД распознает

устройства apple и

включает 11r для них

802.11k, 802.11v

включены по умолчанию

Устаревшие клиент, не

поддерживающие 11r/k/v,

могут подключаться к

тому же SSID

Cisco-AP*ТД другого

производителя * Yes, it works on AireOS and Meraki!

Характеристики роуминга: до 10-ти раз лучше

QoS, 802.11r/k/vNo QoS, No 802.11r/k/v

Время (с)*

*Временной интервал между последним пакетом на «старой» ТД и первым пакетом на «новой» ТД

Приоритезация бизнес приложений

Приоритезация бизнес приложений

Приоритезация бизнес приложений и трафика

реального времени

Простая настройка

Служба IT получает полный контроль над QoS приложений

Создание профилей Fast Lane Profiles

Apple Configurator

Meraki Systems

Manager MDM

Fast Lane работает только между устройствами Apple и инфраструктурой Cisco

QoS профиль не

учитывается

Приложение

может выставлять

UP, но не DSCP*

QoS Profile or no QoS Profile

В случае наличия

профиля, все

приложения из White

List могут выставлять

уровень приоритета

QoS Profile

Cisco-AP**ТД стороннего производителя

Поддерживает Fast lane

* DSCP может быть помечен с помощью IP_TOS/IPv6_TCLASS когда SO_NET_SERVICE_TYPE установлен в best effort ** Yes, it works on AireOS and Meraki!

Fast Lane позволяет приоритезировать только те приложения, которые являются критичными в данной сети

Поддерживает

Fast lane Администратор устанавливает на устройство Apple

IOS профиль QoS*

Приложения из whitelist получают требуемый QoS **

Остальные приложения получают BE/BK


Fast lane

Профиль для этой сети:Minecraft = Real-time-

interactive

Viber = BE

Профиль для этой

сети:Minecraft = BE

Viber = Voice

Cisco-AP


Fast lane


Fast lane

Cisco-AP*если профиль отсутствует, все приложения могут запросить любой уровень сервиса

**Fast Lane не изменяет уровень QoS, запрошенный приложением

Это – законченное решение, а не функционал только Wi-Fi сети

Роуминг Over the Air или over the DS 802.11r?

Перегрузка здесь и/или здесь?Влияние филиальной сети/

маршрутизации?

Как настраивать контроллеры БЛВС, коммутаторы, UC, QoS?

Это – законченное решение, а не функционал только Wi-Fi сети

What QoS marking should we recommend to Apple, for what traffic? (QoS Expert)

Need an in-house Voice app expert (what codecs, what bit rates, what choreography, how to test?)

Need an architect (what is typical campus, branch topology? Where do WLCs reside?)

Need R&S expert (RNA and best practice for routing, switching)

And yes, need a couple of wireless gurus…

No Fast Lane

Fast Lane обеспечивает надежную передачу голосового трафика даже в условиях загруженной сети

• Загруженная сеть, голосовые пакеты отсылаются каждые 20мс

• Мы измеряли временные интервалы между голосовыми пакетами в эфире

Capture time (seconds)

Средний интервал между пакетами 40мс (не здорово)

Много пиков, некоторые до 0.6 секунды

(плохое качество аудио)

Interval (seconds)

Fast Lane

Interval (seconds)

Средний интервал между пакетами 20мс (хорошо)

Мало пиков, максимум, 0.1секунды

(приемлемое качество голоса)

Fastlane и Optimized Roaming дают преимущества для всех критически важных приложений

До 50% уменьшение

служебного трафика из-за

сокращения числа SSIDs

86% меньше объем

информационного обмена

во время роуминга

Экономия заряда батареи

66x уменьшение вероятности плохого

качества звука во время WI-FI calling

10x лучше ощущения от работы с Интернет

Технические подробности

Adaptive 11r

• Even if 802.11r is not enabled on the WLAN, it is enabled for the WLAN for the Apple IOS 10 devices (adaptive 11r) by default:

Show wlan 3

…/…

Security

802.11 Authentication:........................ Open System

FT Support.................................... Adaptive

Feature enabled by default on a newly created SSID

Adaptive 11r

• Adaptive 11r means that the WLAN security is set to WPA2 (NOT to static 802.11r, no need for “hybrid” mode either):

11k Configuration

• Feature enabled by default on a newly created SSID

• Dual band neighbor list selectively enable for Apple devices that supportive Adaptive capability

1Pre

11v Configuration

• 802.11v features are enabled by default on a newly created SSID

1Pre

Show client detail

Fast lane on WLC

• Enabled from the QoS tabof WLAN configuration

• Enabling the first WLANfor Fastlane also enables AutoQoS (best QoS config) globally

• Application Visibility is semi-independent

Fast lane

• Enabling Fastlane:

• Configures best QoS globally

• Sets the WLAN for Platinum

• Sets WMM to Required

• (Notice AV is still disabled)

Fast lane

• Enabling Fastlane enables best QoS config globally:

• Platinum profile sets Max Priority to voice (UP 6), non-WMM and multicast to BE, 802.1p disabled, bandwidth contracts disabled

• EDCA profile is set to Fastlane

Fast lane


• ACM is enabled on both bands (load-based), with max RF bandwidth 50% and roaming bandwidth to 6%

• Expedited bandwidth is enabled

Fast lane


• DSCP is trusted upstream (instead of UP)

• DSCP to UP map is configured as per IETF recommendations (“well-known” DSCP values mapped to IETF-recommended values, “unexpected” DSCP values mapped to BE

Fast lane

• When Fastlane is enabled on a WLAN, enabling AV automatically applies the AUTOQOS-AVC-PROFILE

Fast lane

• As long as Fastlane is enabled, you cannot (and should not) change the AVC Profile (you can disable/enable AV, but not change the AVC profile)

Беспроводные сети cisco: новые продукты и их возможности

Technology