Обзор cisco wifi, 01-2015 part 2

© 2014-2015 Elcore | Elko.by. All rights reserved.

Обзор беспроводных продуктов Cisco

Максим Порицкий

инженер по направлению Сisco, ССIE R&S

[email protected]

январь 2015

53 © 2014-2015 Elcore | Elko.by. All rights reserved.

Часть 1 (Теория)

Теоретические основы WIFI

Стандарты 802.11n, 802.11ac

Радио-функционал от Cisco

Часть 2 (Продуктовый обзор)

Типовой дизайн WIFI сетей

WIFI точки доступа (внутренние, внешние)

WIFI контроллеры

Система обнаружения местоположения и wIPS - MSE

Система управления – Prime Infrastructure

Заключение

Cодержание


Часть 2: Типовой дизайн WIFI-сетей


Autonomous FlexConnect Centralized Converged Access

Traffic Distributed at AP

Traffic Centralized at Controller

Traffic Distributed at Switch Standalone APs

Маленькая

Wireless сеть

Удаленный

офис

Центральный

офис / кампус

Удаленный офис /

кампус

WAN

Типы дизайнов


Компоненты

• Aironet access points (APs)

• Wireless LAN controller (WLC)

• Cisco Prime Infrastructure

• Mobility Services Engine (MSE)

Принципы:

• Overlay Architecture

• AP must have CAPWAP connectivity with WLC

• Soft & Configuration downloaded to AP by WLC

• All Wi-Fi traffic is forwarded to the WLC

Wireless LAN

Controller

Aironet Access

Point

Campus

Network

Централизованный дизайн (Centralized)

PI

ISE

MSE

СAPWAP

SSID 101 - VLAN 101

SSID 102 - VLAN 102


Распределенный дизайн (FlexConnect)

Разделение Management и data plane

Two modes of operation:

Connected (когда WLC доступен – AAA в центре)

Standalone (когда WLC недоступен – AAA удаленно)

Data Plane реализует:

Central switching (коммутация в центре)

Local switching (локальная коммутация)

Traffic Switching mode конфигурится для AP и для WLAN (SSID)

WAN

Центральный

офис

Удаленный

офис с

FlexConnect

Централизованный

трафик

Локальный трафик

Cluster of

WLC

Централизованный

трафик PI

ISE

MSE

СAPWAP

SSID 101 - VLAN 101

SSID 102 - VLAN 102


Sub-Domain

#1

Sub-Domain

#2

Mobility Group

SPG SPG

PI ISE

MA MA MA MA MA MA

MC MC

Converged Access

MA – терминирует CAPWAP туннели + L2/L3 роуминг внутри SPG

MC – обеспечивает L2/L3 роуминг между доменами + RRM и другие глобальные функции


Controller

MAP

MAP MAP

RAP

Outdoor mesh

Data Center /

Service block

PI

ISE

MSE


Часть 2: WIFI точки доступа (внутренние)


CleanAir Обеспечение надежной и стабильной работы WIFI с учетом

сторонних помех в эфире

ClientLink Формирование направленного сигнала к клиенту для улучшения производительности его работы (User Experience)

VideoStream Оптимизация передачи видео в WIFI

BandSelect Увеличение производительности за счет оптимальной загрузки радиоэфира 2.4 и 5 ГГц

Технологические преимущества

CleanAir


1700 2700

3700

Enterprise Best In Class Mission Critical

867 Mbps, 3x3 MIMO: 2 SS

Dual band (2,4 и 5 ГГц)

CleanAir Express 80 MHz

VideoStream, BandSelect

TxBF 802.11n, a/g

HW Ready ECBF 802.11ac

1.3 Gbps, 3x4 MIMO: 3 SS


HDX

CleanAir 80 MHz

ClientLink 3.0


1.3 Gbps, 4x4 MIMO: 3 SS


HDX

CleanAir 80 MHz

ClientLink 3.0


Модульная: security, 3G Small Cell, Wave 2 802.11ac

802.11ac

802.11ac

802.11ac

Cisco Aironet Indoor Access Point - 802.11ac


1700 2700

3700

Enterprise Best In Class Mission Critical

Внутренние антенны

PoE/PoE+, БП, power injector

1GE + AUX-порт Ethernet (телефон, проектор, POS-терминал)

Унифицированное и автономное ПО в комплекте

Внутренние, внешние и P-антенны

1 x GE

PoE+, БП, power injector

off channel scan for WIPS, Rogue Detection, Context Aware, CleanAir, and RRM

802.11ac

802.11ac

802.11ac

Cisco Aironet Indoor Access Point - 802.11ac

Внутренние, внешние антенны

PoE+, БП, power injector

1GE + AUX-порт Ethernet (телефон, проектор, POS-терминал)



Cisco Aironet Indoor Access Point - 802.11n

Small Remote

700W 802.11n



Встроенный антенны

1xGE + 4xGE (1xPoE)


Унифицированная или автономная (future)

700W: настенная - отели, школы/институты

700I 802.11n



Встроенный антенны

1xGE


Унифицированная или автономная

700i: малый бизнес


Cisco Aironet 2700 и 3700 – преимущественная архитектура

DSP CPU

DRAM (128MB)

DSP

Customized AP Design

DRAM

(512MB)

Dual-Core

CPU 800 MHz

Radio – 5GHz

CPU

DRAM (128MB)

Radio – 2.4GHz

Traditional AP Design

DRAM

(512MB)

Dual-Core

CPU

800MHz

Radio – 2.4GHz

Radio – 5GHz

Выполнение всех функций возложено на 1xCPU

1x Dual

Core

Processors

6x Total (1x Dual Core,

2x Radio, 2x DSP)

512 MB

Memory

768 MB

Merchant Silicon Cisco AP3700

and AP2700

Competition

Merchant Silicon

ASIC-driven RF Architecture

Благодаря ASIC на каждом radio блоке доступны выделенные CPU и memory для

распределенной обработке пакетов и выполнение функционала. Architecture also allows unique 4x4 MIMO antenna

design.


Cisco Aironet Access Point - сравнение Indoor AP Series 700I 700W 1700 2700 3700

Wi-Fi Standards 802.11a/b/g/n 802.11a/b/g/n 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac

Max Data Rate per Radio 300 Mbps 300 Mbps 867 Mbps

Over 1 Gbps Over 1Gbps

RF Design Dual-Radio, Dual-Band

2x2:2

Dual-Radio, Dual-Band

2x2:2


3x3:2


3x4:3


4x4:3

Performance/Coverage/

Investment Protection ** ** *** **** *****

Max Clients per AP (2.4+5) 200 200 200 400 400

RRM ✔ ✔ ✔ ✔ ✔

High Density Experience ✔ ✔

CleanAir CleanAir Express ✔ ✔

ClientLink ECBF ClientLink 3.0

ECBF for 802.11ac

ClientLink 3.0

ECBF for 802.11ac

Max ClientLink Clients per AP

(2.4 ГГц + 5 ГГц) 256 256

BandSelect ✔ ✔ ✔ ✔ ✔

VideoStream ✔ ✔ ✔ ✔ ✔

Rogue AP Detection ✔ ✔ ✔ ✔ ✔

Adaptive wIPS ✔ ✔ ✔ ✔ ✔

External Antenna Opt ✔ ✔

Module Options WSM (Security), Wave 2

802.11ac (2015)


Часть 2: WIFI точки доступа (внешние)


Internal - 2G: 3x3:3; 5G: 2x3:2

External - 2G: 2x2:2; 5G: 2x2:2

Dual-Radio, Dual-band (2,4 и 5 ГГц) и single-band антенны

Меньшие размеры, низкая цена

Меньший функционал

1xGE – WAN, 1xGE – LAN

Power: PoE или VDC


2x3 MIMO: 2 SS


Множество моделей и опций

DOCSIS3 8x4, SFP, Ethernet

GPS

CleanAir, ClientLink

Внутренние и внешние антенны

Работа в сложных условиях окружающей среды

4x4 MIMO: 3 SS


HDX Technology

CleanAir, ClientLink, Optimized Roaming for Outdoors

1xGE – WAN, 1xGE – LAN

SFP, DOCSIS3 24x8, GPS

Внутренние и внешние антенны

Modular – Future

Автономное ПО – future in 2015

Cisco Aironet Outdoor Access Point Series

1530 1550

1570

Базовые Best In Class Высокая функциональность

802.11n

802.11ac

802.11n


Outdoor AP 1532I 1532E 1552I 1552E/EU 1552C/CU

Type Internal antennas External antenna Internal antennas External antennas Cable modem

Antennas Internal, dual-band

Flexible Antenna Port

(dual-band or single

band)

Internal, dual-band E: Ext. dual-band

EU: Ext. single band

C: Internal

CU: Ext. single-band

Fiber SPF optics NO NO n

PoE out (802.3af) LAN port, (no PoE) LAN port, (no PoE) n

Cable modem NO NO n

Battery backup option NO NO n

Power options PoE (UPoE / 802.3at*)

24-57 VDC

PoE (802.3at)

24-57 VDC AC, 12 VDC AC, 12 VDC, PoE

40-90V PoC

12VDC

Data rate (2.4 / 5 G) 215 / 300 Mbps 145 / 300 Mbps 145 / 300 Mbps 145 / 300 Mbps 145 / 300 Mbps

Radio design

Tx-Rx:SS

3x3:3 (2.4 GHz)

2x3:2 (5 GHz)

2x2:2 (2.4 GHz)

2x2:2 (5 GHz) 2x3:2 2x3:2 2x3:2

Clients per radio 100 100 200 200 200

CleanAir NO NO n n n

ClientLink NO NO n n n

BandSelect n n n n n

VideoStream n n n n n

Rogue AP detection n n n n n

FlexConnect n n n n n

Wireless mesh n n n n n

Temperature range °C -30 to 65 -30 to 65 -40 to 55 -40 to 55 -40 to 55


AP Model 1552C/CU 1552E/EU 1552I 1572I-C 1572E-C 1572E-AC

WiFi Standards 802.11a/b/g/n 802.11a/b/g/n 802.11a/b/g/n 802.11a/b/g/n/ac 802.11a/b/g/n/ac 802.11a/b/g/n/ac

Max Data Rate; 5G Radio 300 Mbps 300 Mbps 300 Mbps 1.3 Gbps 1.3 Gbps 1.3 Gbps

RF Design (#Tx , #Rx, #SS) 2x3:2 2x3:2 2x3:2 4x4:3 4x4:3 4x4:3

Max Tx power (conducted) 28 dBm 28 dBm 28 dBm 30 dBm 30 dBm 30 dBm

Antenna Configuration

Internal, dual-band

2/5 GHz: 2/4 dBi

/ External single-band

External, dual-band

2/5 GHz: 4/7 dBi

Internal, dual-band

2/5 GHz: 2/4 dBi

Internal, dual-

band

2/5 GHz: 4/6 dBi

External,

Flexible Ant.

Ports, more dbi

External,

Flexible Ant.

Ports, more dbi

Input Power options /

operation temp

PoC, DC

-40 to 55

AC/DC, PoE

-40 to 55

AC, DC

-40 to 55

PoC, DC

-40 to 65

PoC, DC

-40 to 65

AC, DC, UPoE

-40 to 65

PoE out - 802.3af - - 802.3at 802.3at

Cable Modem; DOCSIS3.0 NA/EU: 8x4 - - NA/EU/JP: 24x8

NA/EU/JP: 24x8 -

SFP support - ✔ - ✔ ✔ ✔

GPS ✔ ✔ ✔ ✔ ✔ ✔

Module Support (future) - - - ✔ ✔ ✔

HDX - - - ✔ ✔ ✔

Optimized Roaming/Cellular

Handoff - - - ✔ ✔ ✔

CleanAir 40 MHz 40 MHz 40 MHz 80 MHz 80 MHz 80 MHz

ClientLink v1.0 (a/g) v1.0 (a/g) v1.0 (a/g) v3.0 v3.0 v3.0


1532E – гибкая настройка антенных портов

SW Switch

Top Ports: No Used

30x120º

30x30º 30x30º

30x30º

Bottom Ports: dual band 2.4 + 5 GHz

Top Ports: 5 GHz

Bottom Ports: 2.4 GHz

1532E поддерживает либо dual-band, либо single-band антенны на одной платформе

Конфигурация программная

Dual-band режим – используются 2 нижние антенны - omni или directional антенны. Верхние не используются

Single-band режим – используются 2 нижние антенны под 2.4 ГГц, 2 верхние антенны под 5 ГГц

Транзитный

(backhaul)

Клиенты


1572E/E-C – гибкая настройка антенных портов 1572E/E-C поддерживает либо dual-band, либо single-band антенны на одной

платформе

Конфигурация программная

Dual-band режим – все 4 антенны Dual-band - omni или directional антенны

Single-band режим – используются 2 нижние антенны под 2.4 ГГц, 2 верхние антенны под 5 ГГц

3x3 (8 dBi)

30x120

4x4 (13 dBi)

30x30

2x2

30x30

2x2

30x30

2x2

30x30

AIR-ANT2513P4M-N AIR-ANT2588P3M-N AIR-ANT2568VG-N

AIR-ANT2547VG-N

AIR-ANT2413P2M-N

AIR-ANT5114P2M-N

AIR-ANT2480V-N

AIR-ANT5114P2M-N

All 4 ports dual band 2.4 + 5 GHz

All 4 ports dual band 2.4 + 5 GHz Top Ports: 5 GHz

Bottom Ports: 2.4 GHz

Транзитный

(backhaul)

Клиенты

SW Switch


Product ID Freq. Band Gain Type Required Qty. List Price

AIR-ANT2547V-N 2.4 / 5 GHz 4 / 7 dBi Omnidirectional 2 $299

AIR-ANT2547VG-N (серый) 2.4 / 5 GHz 4 / 7 dBi Omnidirectional 2 $349

AIR-ANT2588P3M-N= 2.4 / 5 GHz 8 / 8 dBi Directional 120x30 1 $949

AIR-ANT2450V-N= 2.4 GHz 5 dBi Omnidirectional 2 $159

AIR-ANT2480V-N= 2.4 GHz 8 dBi Omnidirectional 2 $399

AIR-ANT2413P2M-N= 2.4 GHz 13 dBi Directional 30x30 1 $599

AIR-ANT5180V-N= 5 GHz 8 dBi Omnidirectional 2 $249

AIR-ANT5114P2M-N= 5 GHz 14 dBi Directional 30x30 1 $599

1532E - антенны (как и для 1550)


ANT2568 ANT2547

14.5” 11”

Product ID Freq. Band Gain Type Required Qty.

(# Ports) List Price

AIR-ANT2568VG-N (new) 2.4 / 5 GHz 6 / 8 dBi Omnidirectional 4 (1) $399

AIR-ANT2547VG-N* 2.4 / 5 GHz 4 / 7 dBi Omnidirectional 4 (1) $349

AIR-ANT2588P3M-N= (3TxRx/DRE)

2.4 / 5 GHz 8 / 8 dBi Directional 120x30 1 (3) $949

AIR-ANT2513P4M-N= (4TxRx/DRE)

2.4 / 5 GHz 13/13 dBi Directional 30x30 1 (4) $1,499

AIR-ANT2450V-N= 2.4 GHz 5 dBi Omnidirectional 2 or 4 (1) $159

AIR-ANT2480V-N= 2.4 GHz 8 dBi Omnidirectional 2 or 4 (1) $399

AIR-ANT2413P2M-N= 2.4 GHz 13 dBi Directional 30x30 1 or 2 (2) $599

AIR-ANT5180V-N= 5 GHz 8 dBi Omnidirectional 2 or 4 (1) $249

AIR-ANT5140V-N= 5 GHz 4 dBi Omnidirectional 2 or 4 (1) $249

AIR-ANT5114P2M-N= 5 GHz 14 dBi Directional 30x30 1 or 2 (2) $599

DRE: Dual radiating elements; TxRx: Transmits, Receive

1572E/E-C - антенны


Поддержка модулей (сisco или 3rd party )

Cохранение инвестиций как на 3600/3700

+ =

1570 – поддержка модулей (в будущем)


1570 – SFP Uplink

SFP adaptor

(AIR-ACC15-SFP-GLD=)

1572I

1572E

1572E + SFP

На всех ТД 1570 серии

Поддержка GLC-LX-SM-RGD=

Поддержка GLC-SX-MM-RGD=


1570 – GPS

Встроенный GPS приемник

На всех ТД 1570 серии

Мониторинг ТД

Опциональная GPS антенна (AIR-ANT-GPS-1, 299$)

1572I 1572E

Коннектор Антенна


1530 Power Injectors и power adapter

PoE

AIR-PWRINJ1500-2=

или

AIR-PWRINJ-30=

или

Microsemi - PD-9501GO

power injector, indoor, 80W

или

power injector, indoor, 30W

или

power injector, outdoor, IP66, -40 to +50C

DC DC connector included

DC (from AC) AIR-PWRADPT-1530= power adapter (AC to DC), outdoor, IP67, -30 to +60C

Уличное освещение AIR-PWRADPT-1530=

AIR-PWR-ST-LT-R3P= power adapter (AC to DC), outdoor, IP67, -30 to +60C

Power cord, 4 ft (1.2м), Streetlight Tap


1570 Power Injectors и power adapter

1572E(AC)

1572IC/1572EC

AC AIR-CORD-R3P-40UE= (кабель)

AIR-ACC15-AC-PLGS= (AC-Power Connector Kit) NO

DC DC connector included

DC (from AC) AIR-PWRADPT-1570= (AC/DC power adapter)

AIR-ACC15-DC-PLGS= (DC-Power connector)

Уличное

освещение

AIR-PWRADPT-1570= (AC/DC power adapter)

AIR-PWR-ST-LT-R3P= (Power cord, 4 ft (1.2м), Street Light Tap)

PoE UPOE from switch

AIR-PWRINJ1500-2= (power injector, indoor, 80W)

PoC NO YES


1530 - P2P bridge сигнализация, Install mode


Industrial

1552WU

Haz-Location (Class 1 Div2/Zone2)

1552H и 1552S - функционал идентичный 1552E без резервной батареи

1552WU - функционал идентичный 1552E без резервной батареи и SFP

Выделенные радиоинтерфейсы для ISA и WiHART

Industrial - Internet of Things

Cisco Aironet Outdoor 802.11n Access Points

Industrial

1552H Industrial

1552S ISA100.11a

(IEEE 802.15.4)

WirelessHART

(IEC 62591)


Часть 2: WIFI Контроллеры


Ключевой компонент Cisco Unified Wireless Network

Обеспечивает централизованное управление и конфигурацию AP (CAPWAP)

Обеспечивает взаимодействие в реальном режиме времени с AP, MSE, PI, ISE

Обеспечивает централизованные сервисы для CUWN:

Политики безопасности

QoS

Радиочастотное управление (RRM) + CleanAir

Система предотвращения вторжений (wIPS)

Мобильность (wireless roaming)

Видимость и контроль трафика (AVC)

Отказоустойчивость (SSO AP, SSO client)

WIFI контроллер


Портфолио WIFI контроллеров

2500 Virtual WLC UCS-E on ISR G2

Flex 7500

8500 5760 5508 WISM2

С6K

Catalyst 3850 Virtual

Controller

12 to 500 APs 7000 clients 8 Gbps

100 to 1000 APs 15,000 clients 20 Gbps



Большой / центральный офис, SP

Небольшой / удаленный офис Удаленный офис

(контроллер в DC)

5 to 75 APs 1000 clients 1 Gbps

5 to 200 APs 3000 clients 500 Mbps

1-50 APs per switch/stack (Directly connected APs) 2000 clients per stack 40 Gbps per switch

5 to 200 APs 3000 clients 500 Mbps


1-25 APs per switch/stack (Directly connected APs) 1000 clients per stack 40 Gbps per switch

Catalyst 3650


Объединение контроллеров (WLCs) в логическую группу, с возможностью совместного владения ими системной информации

Обеспечить мобильность и бесшовный роуминг клиентов

До 24 контроллеров в группе

Автоматически создается “Full mesh of tunnels" между контроллерами в группе

WLC 1

WLC 2

WLC 3

WLC 4

Mobility Group

Группа мобильности (Mobility Group)


Wireless Controller A

RF Group = <asciii string>

Wireless Controller B

RF Group = <ascii string>

RF Group - объединение WLC для “system-wide” RRM. Общее имя группы и их ТД

“слышат” друг-дуга

RF Group Leader анализирует всю “system-wide” информацию для оптимизации работы

“системы” в целом через RRM

RRM – алгоритм динамической настройки каналов (DCA) и контроля передающей

мощности (TPC)

Радиочастотная группа (RF Group)

ТД передают “RRM neighbor data packets” на полной мощности через определенные интервалы для

формирования общей RF группы и передают соседскую информацию на свой WLC


RRM - Dynamic Channel Assignment

• Ensures that available RF spectrum is utilized well across frequencies/channels

• Best network throughput is achieved without sacrificing stability or AP availability to clients

Анализирует и оптимизирует распределение частотных

каналов для устранения влияния друг на друга

RF Channel “6” RF Channel “1”

RF Channel “11”

После отработки

RRM


Мощность излучаемого сигнала не

оптимальная – повышенная – вызывает

помехи

RRM уменьшает уровень сигнала –

устраняет (минимизирует) помехи,

увеличивает производительность WIFI

RRM -Transmit Power Control


RF Channel “11”


RRM


RRM -Transmit Power Control


RF Channel “11”

RRM обеспечивает баланс мощности сигнала ТД между необходимостью покрытия

своей зоны и отсутствием помех на соседние каналы

RRM пытается уравновесить “систему” чтобы все ТД слышали соседей на -65 dBm

(RSSI)

Если соседняя ТД “пропала”, другая усиливает сигнал для перекрытия “дыры”


RRM


Client Database Client Database

Mobility Message Exchange

Roaming Data Path

VLAN X

Layer 2: одинаковый клиентский VLAN присутствует на обоих контроллерах

Client database context перемещается с WLC1 к WLC2

Client database и другая информация о клиенте обновляется для ТД, к которой он подключился

Клиент становится LOCAL на WLC-2. WLC-2 распространяет доступность клиента

Нет смены IP адреса для клиента

WLC 1 WLC 2


L2 роуминг

client context

MAC, IP, QoS, SSID, AP, security




Layer 3: различные клиентские VLAN на контроллерах

WLC-2 не знает о VLAN X

Client database entry копируется с WLC1 на WLC2

Client database и другая информация о клиенте обновляется для ТД, к которой он подключился

WLC 1 WLC 2

VLAN X VLAN Z

L3 роуминг

client context


client context


ANCHOR FOREIGN



client context

WLC 1 WLC 2 client context

VLAN X VLAN Z

WLC-1 становится “якорем” для клиентской станции

Клиентский трафик передается через EoIP туннель и мапируется на свой VLAN X

Нет смены IP адреса для клиента

L3 роуминг

EoIP

ANCHOR FOREIGN

MAC, IP, QoS, SSID, AP, security MAC, IP, QoS, SSID, AP, security


N+1 Failover (Deterministic, stateless

HA)

Каждый контроллер конфигурится отдельно

Доступно для всех типов

контроллеров

Crosses L3 boundaries

Flexible: 1:1, N:1, N:N

HA-SKU available (> 7.4)

AP SSO (SSID Stateful

switchover)

WLC: 5508, WiSM2, 7500, 8510 (7.3, 7.4)

Direct physical connection

Same HW and SW

1:1 box redundancy

WLC: 3650, 3850, 5760 (IOS-XE 3.3.0SE)

AP state is synched

No SSID downtime

HA-SKU available (> 7.4)

Stack

HA SSO

(Client SSO+

AP SSO)

Minimum release: 7.5

WLC: 5508, WiSM2, 7500, 8510

L2 connection

Same HW and software

1:1 box redundancy

Active Client State is synched

No Application downtime

HA-SKU available

Requirements Benefits

Netw

ork

Up

tim

e

Типы отказоустойчивости контроллеров


Резервирование контроллеров HA SSO = AP SSO + Client SSO

Redundant Port – back2back (7.3, 7.4); L2 (7.5)

Active Controller

Hot Stand-by Controller

RP 1

RP 2

L2 network (7.5+)

Multi Chassis

Connectivity

Single Chassis

Connectivity


Standby WLC

Redundancy Link Established (Over dedicated Redundancy Port)

AP and Client info Sync Keep-Alive failure/Notify Peer

Клиентская сессия не затрагивается.

Новой ассоциации не требуется.

Клиент ассоциировался

AP зарегистрировалась

AP сессия не затрагивается. CAPWAP не

переустанавливается

Effective downtime for client is Detection time + Switchover time

Switch

Redundancy Role Negotiation

Active WLC

Резервирование контроллеров - HA SSO


Выкл. питания = 350-500 msec*

Другие ошибки = 5-100 msec*

Потеря GW = 3-4 seconds*

Резервирование контроллеров – время сходимости

*В зависимости от кол-ва ТД


Часть 2: Mobility Services Engine (MSE)


Задача 1: Определение местоположения WIFI устройств: WLC, ТД, WIFI клиентов,

RFID tags, несанкционированных ТД и клиентов

Задача 2: Обеспечение wIPS функционала на всей WIFI сети

Позиционируется на текущий момент в виде виртуальной машины

Cisco рекомендуют разносить функционал определение местоположения и wIPS на

разные MSE

MSE


Определение местоположения:

Базовое местоположение (base location) – на основе триангуляции

уровней сигналов с ТД при отправке клиентом пробных (probe) пакетов

FastLocate - на основе триангуляции уровней сигналов с ТД при

отправке клиентом пробных (probe) пакетов и пакетов данных. Более

качественное обнаружение.

FastLocate - Необходим Wireless Security Module (WSM) на каждой ТД,

участвующей в определении (3600, 3700). Больше ресурсов – 5:1.

MSE – местоположение (location)

http://www.cisco.com/c/en/us/products/interfaces-modules/aironet-access-point-module-wireless-security-spectrum-intelligence/index.html


MSE - wIPS

Функционал Base wIPS (WLC) MSE wIPS (WLC +

MSE)

Обнаружение, классификация,

месторасположение и ограничение

несанкционированных ТД и устройств

Yes Yes

Отслеживание порта подключения на коммутаторе

и его блокирования

Yes Yes

Идентификация и классификация DoS attack No Yes

Идентификация и классификация Wireless

intrusion attack (115 сигнатур)

No Yes

Активное устранение атак (де-ассоциация

клиентов, блокировка порта коммутатора)

No Yes

Агрегация уведомлений, уменьшение ложных

срабатываний, обнаружение аномалий трафика

No Yes


Enhanced Local Mode Monitor Mode AP WSSI Module

Adaptive wIPS – рекомендации по внедрению

Serve Client for

16s

Scan 50ms* for Attacks

Scan 1.2s* for Attacks

24x7 Scanning

Serve Clients

Local Mode

Monitor Mode

Best Effort Scanning

Enable ELM on every deployed AP

Deploy 1 MM AP for every 5 Local Mode AP

Enh Local Mode

Serve Clients

Scan 1.2s* for Attacks

Local Mode

24x7 Scanning

Deploy 1 WSSI for every 5 Local Mode AP

* На канал


Обнаружение несанкционированных ТД и устройств Prime и Mobility Services Engine

Обнаружение в реальном режиме времени множество устройств (up to MSE limits)

Местоположение Rogue Clients, Rouge Ad-Hoc networks & Non-WiFi Interferers

Хранение исторической информации

Non-WiFi Interferer

WiFi Interferer

Microwave Bluetooth


Non-WiFi Interferers Rogue Access Point

Зона влияния несанкционированных ТД и устройств Prime и Mobility Services Engine


Масштабируемость MSE

High-End vMSE Standard vMSE Low-End vMSE

Base Location 5 000 AP

50 000 устройств

2 500 AP


200 AP


Presence 5 000 AP


2 500 AP


wIPS 10 000 AP 6 000 AP 1 000 AP

Программно-аппаратные требования:

http://www.cisco.com/c/en/us/products/collateral/wireless/mobility-services-

engine/data_sheet_c78-475378.html?cachemode=refresh

http://www.cisco.com/c/en/us/products/collateral/wireless/mobility-services-engine/data_sheet_c78-475378.html?cachemode=refresh










MSE HA

1:1

Direct or L2 Network

connection

Поддержка HA для всех сервисов

Failover Automatic or Manual

Failover times < 1 min

На каждый узел нужна Activation

license (L-MSE-7.0-K9)

1 набор лицензий на пару узлов

Требования Выгоды


Часть 2: Prime Infrastructure (PI)


Cisco Prime Infrastructure Одна сеть, одна политика, одно управление

Беспроводная сеть

Проводная сеть

Удаленный доступ

PRIME INFRASTRUCTURE

Коммутаторы

ISE MSE

Маршрутизаторы / межсетевые экраны /

VPN Контроллер WLAN

Данные по сети

Данные по приложениям

Местоположение, спектр Устройства, клиенты

SNMP

Syslog

Netflow


Масштабируемость PI

Программно-аппаратные требования:

http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/prime-

infrastructure/datasheet-c78-733439.html

Express

Virtual

Appliance

Express Plus

Virtual

Appliance

Standard

Virtual

Appliance

Pro Virtual

Appliance

Physical

Appliance

(Gen 1)

Max unified

access points

300 2,500 5,000 20,000 5,000

Max

autonomous

access points

300 500 3,000 3,000 3,000

Max WLAN

controllers

5 50 500 1,000 500

Max wireless

clients

30,000 30,000 75,000 200,000 75,000

http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/prime-infrastructure/datasheet-c78-733439.html













Prime HA

An active / standby (1:1) mode

Same software / hardware

3 heartbeats (timeout 2

seconds) missing to failover to

standby PI

Во время failover DB сохраняется

Failover Automatic or Manual

Failback is always manual

Для второго узла нужна HA

licenses

1 набор лицензий на пару узлов

Требования Выгоды


Заключение


Часть 1 (Теория)

Теоретические основы WIFI

Стандарты 802.11n, 802.11ac

Радио-функционал от Cisco

Часть 2 (Продуктовый обзор)

Типовой дизайн WIFI сетей

WIFI точки доступа (внутренние, внешние)

WIFI контроллеры

Система обнаружения местоположения и wIPS - MSE

Система управления – Prime Infrastructure

Что мы изучили


Cпасибо за внимание!

Максим Порицкий

инженер по направлению Сisco, ССIE R&S

[email protected]

январь 2015