Transcript
Беспроводные сети Cisco: новые продукты и их возможности
Семейство Wi-Fi точек доступа Cisco Aironet Полный переход на 802.11ac Wave 2 Начальный уровень корпоративных решений
Критичные сервисы Лучшая на рынке
3800
1810 Wall Plate • • • •
2x2:2SS 80 MHz; 867 Mbps Tx Beam Forming 1 GE Port uplink 3 GE Local Ports, including 1 PoE out • Local ports 802.1x ready • Integrated BLE Gateway*
1810 Teleworker • 2x2:2SS 80 MHz; 867 Mbps • 3 GE Local Ports downlink, including 1 PoE out • One or Two Local Ports can be tunneled back to corporate
1830 • 3x3:2SS 80MHz; 867Mbps • Spectrum Analysis* • Internal antenna • Tx Beam Forming • 1 GE Port • USB 2.0 • Centralized, FlexConnect and Mobility Express
2800
1850 • 4x4:3SS 80Mhz; 1.7 Gbps • Spectrum Analysis* • Internal or External antenna • Tx Beam Forming • 2 GE Ports • USB 2.0 • Centralized, FlexConnect and Mobility Express
• • • • • • • • • •
4x4:3SS 160 MHz; 5 Gbps 2.4, 5GHz or Dual 5GHz 2 GE Ports Internal or External antenna Smart Antenna Connector Enhanced Location* (External Antenna) CleanAir 160MHz ClientLink 4.0 USB 2.0 Centralized, FlexConnect and Mobility Express*
• • • • • •
• • • • • •
4x4:3SS 160 MHz; 5 Gbps 2.4, 5GHz or Dual 5GHz 1 GE + 1 mGig (5G) Internal or External antenna Smart Antenna Connector Enhanced Location* (External Antenna) CleanAir 160 MHz ClientLink 4.0 StadiumVision USB 2.0 Modularity Centralized, FlexConnect and Mobility Express*
* Future availability
Технологии, которыми располагает только Cisco Ноу-хау для сетей с высокой плотностью последнего поколения
Wireless LAN Zero Impact Application Firewall Возможно только на правильно спроектированной аппаратуре APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
APP
Глубокий анализ пакетов использует выделенный CPU Отсутствие падения производительности при включении AVC/FW Визуализация
Мониторинг
Контроль приложений
Flexible Radio Architecture
Что такое Flexible Radio (XOR)? •
2.4ГГц и 5ГГц на одном чипе
•
Позволяет программно выбирать 2.4ГГц или 5ГГц для подключения абонентов (по-умолчанию 2.4ГГц)
•
Позволяет осуществлять последовательное сканирование всех каналов обоих диапазонов (режим монитора, аналог “WSM”)
•
Выбор режима работы ручной или автомат (RRM)
•
В какой-то степени дальнейшее развитие технологии, используемой в модулях WSM для ТД 3600/3700
Flexible Radio Assignment 5GHz Serving
2.4GHz Serving
5GHz Serving
5GHz Serving
5GHz Serving
Wireless Security Monitor
• •
«Обычное» радиопокрытие в обоих диапазонах Режим работы по-умолчанию
• • •
Увеличение емкости и производительности Максимальная скорость в эфире 5.2Гбит/с Особенно важно для сетей с высокой плотностью
•
Безопасность сети от источников помех, wIPS хакеров и посторонних радиоустройств Сканирование обоих диапазонов от угроз ИБ
• •
5GHz Serving
5GHz Serving
Wireless Service Assurance*
Enhanced Location*
•
Активный мониторинг производительности сети и реакция на сбои Обнаруживает и устраняет сбои и их причины
• •
Улучшает точность позиционирования абонентов Обслуживает абонентов в диапазоне 5ГГц * Планируются позднее
Flexible Radio Architecture Принципы работы со встроенными антеннами
Что такое архитектура Macro/Micro cell?
•
Идея не нова, годами используется в сотовых сетях
•
Метод для передачи нелинейных объемов трафика
•
Позволяет получить больше пропускной способности в отдельной области общей соты
Антенная система ТД AP2800/3800 “I” (без верхней крышки) До настоящего времени интерфейсы ТД обозначались так… На ТД предыдущего поколения 2700/3700 без технологии XOR Radio 0 = 2.4ГГц Radio 1 = 5.0ГГц Теперь на ТД 2800/3800 когда они обслуживают клиентов Radio 0 = 2.4ГГц *или* 5.0ГГц (XOR)* Radio 1 = 5.0ГГц Использование “Flexible Radio Assignment” Micro-cell antenna is 6 dBi @ 5 GHz Macro-cell antenna is 5 dBi @ 5 GHz *когда XOR в 5ГГц, используются Microcell антенны
Radio “0” может быть настроено как 2.4ГГц (по-умолчанию) или переключено в диапазон 5ГГц, или может использоваться для постоянного сканирования радиоэфира
Различия в конструкции антенн Традиционная зона покрытия ТД (Macro-Cell): равномерное круговое распределение сигнала Добились эффективной совместной работы двух радио в одной ТД путем использования специальных антенн, поляризации и особых настроек излучаемой мощности:
ОБА радио друг другу не мешают
Уменьшенная зона покрытия ТД (Micro-Cell): также равномерное круговое распределение сигнала, но используется «узкий» луч, эффективный при высокой плотности абонентов
Flexible Radio Architecture Применение в случае внешних антенн
3802e и 2802e
5GHz Serving
Smart Antenna Connector
Основные антенные разъемы – Диполи и направленные антенны
Smart Antenna Connector
Слот расширения (только 3800)
Используется для подключения антенны к XOR радио
5GHz Serving
FlexPort – гибкость в выборе внешних антенн возможность подключение однодиапазонных антенн
Использование DART разъема позволяет разделить зоны покрытия 2,4 и 5ГГц, либо создать две независимые 5ГГц соты
Режим Macro-Macro,
Micro-Micro или любая их комбинация – свобода выбора
Две направленные антенны для удвоения зоны покрытия или увеличения емкости
DART кабель позволяет физически разносить антенны обоих радио для эффективной работы
5GHz Serving
5GHz Serving
ANT-2566, направленные в разные стороны, или даже «спиной к спине» с наклоном для эффективного внедрения на складах
Можно использовать омни и направленную антенны одновременно
Hyperlocation Antenna AIR-ANT25-LOC-02=
AIR-ANT25-LOC-02=
Для чего вообще она нужна?
AIR-ANT-LOC-02= Направленная антенна AIR-ANT-LOC-01= Встроенная всенаправленная
Внешняя антенна решает проблему гиперлокации на стадионах и других сетях с высокой плотностью абонентов
Антенны для систем с локацией Расширение ТД3600/3700
Большие холлы, склады, атриумы, высокие потолки, уличное применение
Офис, магазин,… (горизонтальный монтаж)
(вертикальный монтаж)
WiFi ant. DART HL
RP-TNC WiFi serving radios
Omni Location + no WiFi
Directional Location + Directional WiFi
• • • • • • • •
• • • • • • • • •
PID: AIR-ANT-LOC-01= 3602i/e, 3702i/e Enterprise office, retail , … Horizontal install, on ceiling DART (HL mod) Dual-band 2x12x12” Oct. 2015
WiFi ant.
PID: AIR-ANT25-LOC-02= 3602i/e/p, 3702i/e/p & 3802e/p (w/ mod. bbd) 2802e, 3802e, 3802p (5G only) Large Hall, Warehouse, Atrium Vertical install, outdoor rated DART (Location) + 4 RP-TNC (WiFi), 3 ft Dual-band 2x14x18” Q4 / CY16
WiFi Ant.: Az/El 2G: 105/60 Gain 2G: 4 dBi
5G: 105/60 5G: 5 dBi
HL Ant.: Az/El 2G: 145/90
5G: 145/90
Вид спереди - AIR-ANT25-LOC-02=
х4 двухдиапазонных элемента (для связи с клиентами 2.4/5ГГц) 4/5 dBi
х8 5ГГц элементов для локации
20 Элементов (16 для локации) + 4 для (подключения клиентских устройств)
х8 двухдиапазонных элементов для локации
Вид сзади - AIR-ANT25-LOC-02=
Aironet 1560 Series ТД уличного применения
Семейство уличных точек доступа 802.11ac Cisco Aironet лучшее и самое полное предложение на рынке
DNA Ready | RF Excellence | CMX
Новинка
Новинка Iкв 2017
1570 1560 1540 • • • • • •
802.11ac Wave 2, MU-MIMO 2x2:2, 80MHz, 867 Mbps Ultra low profile Internal antenna only PoE (802.3af) power Centralized, FlexConnect, Mesh and Mobility Express
• • • • • • • • • •
802.11ac Wave 2, MU-MIMO 3x3:3, 80MHz, 1.3Gbps (I) 2x2:2, 80MHz, 867Mbps (E/D/PS) Internal or External antenna model (I/E) Internal directional antenna model (D) Public Safety 4.9 GHz model (PS) SFP Flexible Antenna Ports CleanAir and ClientLink Centralized, FlexConnect, Mesh and Mobility Express
802.11ac Wave 2
• 802.11ac Wave 1 • 4x4:3 80 MHz; 1.3 Gbps • External antenna model (EAC) • Cable Modem model (IC/EC) • SFP • GPS • Flexible Antenna Ports • CleanAir and ClientLink • Modularity • Centralized, FlexConnect and Mesh Cable Modem Version Only (IC/EC) • DOCSIS 3.0, 24x8 • Internal or External antenna • PoE Out 802.3at (EC only)
Уличные ТД следующего поколения с поддержкой Wave 2 802.11ac • Эволюция ТД1530 Похожий небольшой корпус, низкая цена • Функционал 802.11ac Wave 2 • Версия с встроенными (1562I) или внешними (1562E) антеннами • Добавлен вариант с встроенной направленной антенной (1562D) • Добавлена поддержка SFP
Cisco Aironet® 1560 Series
WNG Outdoor AP
1532I
1532E
1562I
1562D
1562E
1562PS
1572EAC
1572IC/EC
List Price
$1295
$1495
$1695
$1795
$1795
$1995
$4495
$5295 / $6695
Type
802.11n
802.11n
802.11ac W2
802.11ac W2
802.11ac W2
802.11ac W2
802.11ac W1
802.11ac W1
Radios
2.4G: 3x3:3 5G: 2x3:2
2.4G: 2x2:2 5G: 2x2:2
2.4G: 3x3:3 5G: 3x3:3
2.4G: 2x2:2 5G: 2x2:2
2.4G: 2x2:2 5G: 2x2:2
2.4G: 2x2:2 4.9G: 2x2:2
2.4G: 4x4:3 5G: 4x4:3
2.4G: 4x4:3 5G: 4x4:3
Internal
Flexible Antenna Port (dual or single band)
Internal
Internal Directional
Flexible Antenna Port (dual or single band)
Flexible Antenna Port (dual or single band)
Flexible Antenna Port (dual or single band)
IC: Internal EC: External
n
n
n
n
n
n
n
n (EC)
Antennas
SPF Port PoE out
n
Cable modem
Power options
UPoE/3at 24-57 VDC
PoE (802.3at) 24-57 VDC
UPoE/802.3at 48 VDC
PoE+ (802.3at) 48 VDC
PoE+ (802.3at) 48 VDC
PoE+ (802.3at) 48 VDC
AC, 12 VDC, PoE
40-90V cable plant 12VDC
Data rate (2.4/5G) Mbps
216 / 300
144 / 300
216 / 1300
144 / 867
144 / 867
144 / 867
216 / 1300
216 / 1300
Clients per radio
100
100
200
200
200
200
200
200
CleanAir
n
n
n
n
n
n
ClientLink
n
n
n
n
n
n
BandSelect
n
n
n
n
n
n
n
n
FlexConnect
n
n
n
n
n
n
n
n
Wireless mesh
n
n
n
n
n
n
n
n
Temp Range °C
-30 to 65
-30 to 65
-40 to 65
-40 to 65
-40 to 65
-40 to 65
-40 to 65
-40 to 65
ТД Cisco Aironet 1562I Series
Вариант с встроенными антеннами • 3x3 и 3 пространственных потока • Блок питания DC или UPoE • Доступен AC/DC БП уличного исполнения • 2x3:2 при питании 802.3at PoE
• Небольшие размеры • 7dBi (2.4ГГц) и 4dBi (5ГГц) • Широкая зона покрытия
• Области применения: • Уличные Wi-Fi сети общего назначения, хотспоты
Cisco Aironet® 1560 Series Next-Generation Wave 2 802.11ac Outdoor Access Point
ТД Cisco Aironet 1562D
Встроенные направленные антенны • 2x2 и 2 пространственных потока • Блок питания DC или UPoE • Доступен AC/DC БП уличного исполнения
• Небольшие размеры • 9dBi (2.4ГГц) и 10dBi (5ГГц) • Узкая зона покрытия Угол раскрыва~
[email protected]ГГц и 40@5ГГц)
• Области применения:
Cisco Aironet® 1560 Series
• Уличные сети с высокой плотностью абонентов • Беспроводной мост точка-точка
Next-Generation Wave 2 802.11ac Outdoor Access Point
ТД Cisco Aironet 1562E Series Внешние антенны
• 2x2 и 2 пространственных потока • Блок питания DC или UPoE • Доступен AC/DC БП уличного исполнения
• Небольшой размер • Антенные разъемы с технологией Flexible Antenna Port, позволяющие программно выбирать тип антенны • Поддерживаются все уличные антенны Cisco
• Область применения:
Cisco Aironet® 1560 Series
• Уличные беспроводные сети/хотспоты с зоной покрытия сложной формы • Лучшая чувствительность с внешними всенаправленными антеннами
Next-Generation Wave 2 802.11ac Outdoor Access Point
Уличный блок питания- AIR-PWRADPT-RGD1=
БП переменного тока мощностью 60Вт вход – 90-264 VAC выход – 48VDC @ 1.25A Рабочий диапазон температур от -30C до +60C
Монтажный кронштейн AIR-ACC1560-PMK1
Уличный инжектор питания (PoE)
Для России AIR-PWRINJ-60RGD2= (Россия)
Размеры и среднее время наработки на отказ (MTBF)
Вес 2.55кг AP1560 Series MTBF
Часов
AP1562I, full operation 3x3 mode
166,075
AP1562e
187,550
AP1562d
165,995
1562I (Internal Antenna)
1562D (Directional)
1562E (External Antenna)
Новые программные возможности ПО 8.4 • •
• • • •
WLC 8.4 ISE Simplification TrustSec Support HyperV Support of vWLC OpenDNS Integration URL Filtering Client Whitelisting
WLC 8.4 ISE Simplification
WLC ISE Configuration Challenges
При добавлении ISE или настройки WLAN на использование ISE, требуется произвести много настроек, что занимает много времени и ошибок.
WLC 8.4 ISE настройки в один Click
*Мобильное приложение в настоящий момент не поддерживается
Day 0 WLC ISE Default Settings
One-Click Day-0 Express Setup
• Configures WLAN with ISE default settings • Configures WLC global ISE defaults
WLC ISE Default Settings - Global WLC 1-Click ISE Defaults
Добавляет ISE как Authentication server
Добавляет этот же сервер в качестве Accounting server.
Enable CoA
WLC ISE Default Settings - WLAN WLAN 1-Click ISE Defaults
Добавляет ISE как Authentication server Настраивает аналогично (IP и shared-secret) for Accounting server. Включает AAA override.
Устанавливает NAC State в “ISE NAC”.
Включает DHCP Profiling и HTTP Profiling.
8.4 Wireless TrustSec
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Проблема сегментирования сети access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782
Кампус Сложные политики, основанные на IP адресах Требуют обновления при смене топологии
Сотрудники Контракторы Аутсорсеры
VLANs
Гости
Филиал
Устройства Вырастание сегментов за L3 границы
Line of Business
Compliance
BYOD
Различные требования к сегментированию сети
Поддерживать безопасность и соответствие правилам во время роста сети
Традиционные подходы к сегментированию очень трудозатратны Приложения
access-list access-list access-list access-list access-list access-list access-list access-list access-list access-list access-list access-list access-list access-list
102 102 102 102 102 102 102 102 102 102 102 102 102 102
deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Enforcement IP based policies. ACLs, Firewall rules
Enterprise Backbone
Propagation Carry segment context over the network through VLAN tags / IP address / VRF
Aggregation Layer Static ACL Routing Redundancy DHCP Scope Address VLAN
Ограничение традиционной сегментации • Политики зависят от топологии • Высокая стоимость и сложность поддержки
VACL
Access Layer
Non-Compliant
Voice
Quarantine VLAN
Voice VLAN
Employee
Supplier
BYOD
Data VLAN
Guest VLAN
BYOD VLAN
Classification Static / Dynamic VLAN assignments
Включение TrustSec в сети предприятия WAN SERVICES
Routers BRANCH OFFICE
NXOS
Data Center Network
Campus Network
Internet
Switches
Wireless DATA CENTER
IOS Switches
CAMPUS NETWORK
Public Cloud
DNA Security & Compliance Security and
Поддержка Wireless TrustSec 5
Employee
6
Voice
7
Partner
B
A
Propagation
Classification (Assigning SGTs)
Enforcement
Inline SGT & SXP
Static & Dynamic
Compliance
Security Group ACL
Assignments
WLC 8.4
Switching modes
Feature
Platform
Inline SGT tagging and SGACL enforcement
17xx, 27xx,37xx, 18xx, 28xx, 1560 and 38xx 3504*, 5520 and 8540
Local/Flex Mode/Central Switching Flex Mode/Local Switching
SXPv2
5520, 8540, 8510, 7510, vWLC, 5508, WISM2, 2504
SXPv4
SXP
AP Inline Tagging
WLC Inline Tagging
Enforcement
✕ ✓(v2)
✕
✓
✓
✓
✓
✓
✓
Flex + Bridge
✓Wave1 ✕ 11acW2
✕
✕
✓Wave1 ✕ 11acW2
Mesh
✕ ✓(v2)
✕
✓
17xx, 27xx,37xx, 18xx, 28xx, 1560 and 38xx
✓(Indoor only)
Простая настройка и поддержка политик Data Center
Независимо от топологии или местоположения, политики (Security Group Tag) остаются с пользователями, устройствами и серверами
Shared Services Remediation
Application Servers DC Switch
Enterprise Backbone
TrustSec упрощает управление ACL как для intra, так и interVLAN трафика Wired/Wireless
ISE
Wired/Wireless
TrustSec enabled WLC & AP receives policy for only what is connected
Employee Tag Supplier Tag Non-Compliant Employee
VLAN: Data-2
Employee
Supplier
VLAN: Data-1
Non-Compliant
Non-Compliant Tag
Классификация на входе, применение политик на выходе Destination Classification Web_Dir: SGT 20 CRM: SGT 30 User authenticated Classified as Marketing (5)
Cat3850
Cat6800
Cat6800
Nexus 7000
Nexus 5500
Nexus 2248 Web_Dir DST: 10.1.100.52 SGT: 20
Enterprise Backbone
5 SRC: 10.1.10.220
Lookup Destination SGT 20
SRC:10.1.10.220 DST: 10.1.100.52 SGT: 5
Nexus 2248 WLC5508
DST SRC
Web_Dir (20)
CRM (30)
Marketing (5)
Permit
Deny
BYOD (7)
Deny
SGACL-A
CRM DST: 10.1.200.100 SGT: 30
SGACL скачиваются только для «своих» клиентов Описание сегментации в ISE Employees (4)
I Iknow is I запросил политики have SGT-4, nothing thereзащиты policySGT-4 for it? для toa protect
SGT=5
SGT=4
Active SGT’s SGT x DGT pairs SG-ACLs per SGT x SGT cell ACE per SG-ACL
AP WLC 10 100 10 x 10 100 x 100 128 256 50 50
SGT=3
TrustSec позволяет WLC и ТД запрашивать политики ТОЛЬКО для хостов, находящихся под их защитой
SGACL Enforcement
Employees (SGT=4)
Contractors (5)
Поддержка vWLC на Hyper-V
Эволюция виртуального контроллера
Преимущества Hyper-V
Интеграция контроллера БЛВС и OpenDNS
OpenDNS- Offering Domain Level Visibility Internet wide visibility
OpenDNS Cloud
CATEGORY
IDENTITY
Malware
Internal IP
Phishing
AD User
Ransomware, malware/Botnet COVERAGE PROTECTION
DNS layer Security
Predictive Threat Intelligence
INTELLIGENCE
• • • •
Security VisibilityApplication Insights, Policy Compliance
Cloud delivered network security service Malware and Breach Protection in real time Uses evolving Big Data and data mining methods to proactively predict attacks Category based Filtering (60+ content categories)
PERFORMANCE
RELIABILITY High Speed, Scalable
OpenDNS- DNS layer Network Security Today’s Challenges Internet-wide Visibility
Alert Priority
Evolving Threat Intel
Limited Resources
What does OpenDNS Offer? Enrich security systems with real time data
How does it Happen? agc.com
1.2.3.4
Global Network using Recursive DNS
Prioritize investigations from Botnet, Malware
Predictive Intelligence using Statistical models
Stay ahead of attacks
Block by domains, URLs for all Ports
Speed and agility across Cloud/ scalable
Insightful reporting
OpenDNS to Enhance Security Visibility
THREAT MANAGEMENT
CLOUD BASED WEB FILTERING
INSIGHTFUL REPORTING
Data analysis methods
Low cost architecture
Powerful reporting and analytics
MICRO TO MACRO LEVEL VISIBILITY
Network
Local Intelligence
Mobile
Endpoint
Virtual
Global Context
Cloud Apps
openDNS- How does it work? Ingest Millions of data points per second across markets, geographies, protocols
Apply
Identify
Statistical models, Human Intelligence, Anomaly Detection, Temporal Patterns
Malicious and safe sites
X k.amu www
a.bc
p2p www
b.com X l.emu
OpenDNS - Terminology. How does it work on WLC?
API Token Issued from OpenDNS Portal. Used for device registration
Device Identity Unique device identifier. Policy enforced per identifier.
WLC intercepts DNS packet, redirects query to OpenDNS cloud servers at
EDNS
FQDN
Extension mechanism for DNS
Fully Qualified Domain Name
OpenDNS cloud, based on FQDN in DNS query returns
IPv4
• 208.67.222.222
Malicious FQDN
• Return blocked page to client
Ipv4
• 208.67.220.220
Safe FQDN
• Returns Destination IP
NOTE If the blocked domain was from HTTPS request, client’s web browser will see certificate error because OpenDNS cloud may not have the certificates from the blocked server.
OpenDNS- WLC Packet Flow WLC and OpenDNS registration (One Time) • •
Security Enforcement
OpenDNS: Get API. Token for device registration WLC: Apply Token and create Profile Device (Profile) Registration HTTPS used in this phase
Content Filtering
OpenDNS Cloud
Compliance
Category based Filtering
Whitelist & Blacklist
Internet
Wireless client traffic flow DNS Request
• •
DNS Response
• • •
+ Snoop DNS pkt Tag it with Identity
Web Services
Client sends DNS query WLC snoops DNS query, forwards it with EDNS OpenDNS applies Profile specific Policy Sends DNS response to WLC WLC forwards the response to client
OpenDNS- Cloud config Create an OpenDNS account with active subscription license.
Obtain API-Token from dashboard to be used on WLC
OpenDNS- Profile Creation on WLC (GUI, CLI) Configure openDNS
Configure API Token
Security > OpenDNS
Config openDNS enable Config openDNS api-token
Config openDNS profile create Config wlan opeDNS-profile enable
Create Profiles
OpenDNS WLC config Map the Profile to WLAN/AP Group/Local Policy
WLAN> Advanced
5
To check OpenDNS profile Mappings, Security >OpenDNS
OpenDNS WLC Integration- Additional Details Support
1. WLC platform- 5508,5520,7500,8510,8540. ME, vWLC not supported 2. AP mode- Local mode, Flex central switching. 3. 10 different OpenDNS Profiles configurable on WLC
Licensing
1. 14 day free Licensing 2. Covered under CiscoOne Advanced Subscription
OpenDNS Limitations
1. Application or Host uses IP address directly instead of DNS to query domains. 2. Required to configure web proxy for WLC to register to OpenDNS account (incase WLC cannot communicate directly to server)
Not part of WLC 8.4 release
1. 2. 3. 4. 5. 6.
DNS Crypt – client DNS traffic Token Generation linking Configure Policy from WLC Stats/Dashboard at WLC Ipv6 support Local URL splitting
URL Filtering (Enhanced)
URL Filtering - Simple, Easy to deploy Today’s Process How can I control access to custom resources in my network? Access Control List
Application Visibility Control
• IP address based • Requires creating and maintaining thousands of access list entries.
• Applications in Protocol Pack inspected • Cannot define custom / user specific application
WARNING OVERWORK AND STRESS AHEAD
Awareness
Analytics
Control
Why URL Filtering for Wireless? BW Consumption
Productivity Improvement Tool
Productivity Employee Distractions Spam URL Filtering solves
Threats Security
Inappropriate Content
Content Control
Compliance
URL Filtering Flow Internet / Intranet
URL Filtering ACL on controller Based on DNS snooping
Blocked URLs
Blocked Files Blocked Content
Approved Content
URL ACL Implementation 1
2
3 https://www.
X
APPLY LIST
X
• •
Configure Whitelist or Blacklist to allow or deny access to domains. Configure External Server IP address
Tie the created URL ACL to • Interface • WLAN • Local Policy (highest priority)
Whitelist allows domains to be permitted
Add role based actions
Blacklist restricts browsing to domains
Add timeout actions
External server IP for blocked pages
Device aware actionable policies
Browsing is restricted to specified domains for all protocols.
Key Points Working •
DNS Snooping
Migration •
No AVC dependability Platform Support
•
5520, 8540, 8510, 5508
Protocols
Configuration is similar Filtering
2504, vWLC, ME not supported
• •
Both HTTP, HTTPs supported
8.3 Filtering Enhanced, no NBAR based
64 URL access lists, 100 rules per list (8540, 5520). 8510 - lower No Sub URL support White and Black lists supported but not the mix of them.
Without DNS
Direct IP access will be blocked in whitelist.
All protocols matched for the rule
Reverse DNS lookup not allowed
10 Wildcards, 5 subdomain per wildcard
(different for 5508, 8510)
No Sub-URL support
WHITELIST
BLACKLIST
www.cisco.com/dir
mail.cisco.com *.cisco.com
press.cisco.com
www.cisco.com www.cisco.com/sevt
Role Based Access Control Policy tie-in with URL ACL Devices
User Role Aware
User Role
Users Application
AAA
WLC
Employee
Engineer
Switch
Cisco-av-pair=role=
Internal Secure Server
Sales
Roles
Internal Company Resources
Sales
Engineer
Role Based Access Control- Configuration USER GROUPS
• Configure user group based authn / authz for groups • Sales • Eng
ISE Returning ROLE
URL ACL
POLICY
• ISE configured to return role in cisco AV pair under Authz profile: • Sales • Eng
• Configure two URL ACLs • ACL_Sales = blocking access to internal server • ACL_Eng= permitting access to internal server
• Tie ISE returned ROLE and ACLs to respective Local Policy: Sales_Policy = ROLE Sales & ACL_Sales Eng_Policy = ROLE Eng & ACL_Eng
• Tie both policies to the WLAN Profile
PROFILE
WLC
Migration of Config from 8.3 to 8.4 8.3 URL Rules to 8.4 (Migration)
8.4 URL Rules to 8.3 (Downgrade)
abb.com
1
cbb.com
Blacklist ACL
• • •
avb.com
ACL changed to Whitelist Deny rules wiped out Manually configure new ACL list type as Blacklist
dbb.com
2
fbb.com
Whitelist ACL
• •
White & Black list ACL
• •
Unchanged Continue to use feature
pvb.com
dbb.com
3
fbb.com
pvb.com
Permits will remain Denies will be removed. (Manual change reqd)
• • •
No change in URL ACL rules Only HTTP protocol support NBAR engine based URL Filtering
Cisco Wireless web-classification: OpenDNS vs URL Filtering Feature
OpenDNS
URL Filtering
Architecture
Cloud
On-Prem
Granular SSID / User-Role filtering
Yes
Yes
Block internal enterprise domains
No
Yes
Malware / Botnet /Ransom ware detection
Yes
No
Domain Rules
No limits
100 rules per ACL
Blocked URL landing page
Yes
Yes
Cloud subscription
Yes
No (part of base WLC license)
Domain visibility with reporting
Yes
No
Proactive security alerts with dynamic security compliance
Yes
No
Domain category filtering
Yes
No
Which one to position? OpenDNS is for customers with cloud strategy while URL filtering is for enterprise customers with a known URL filtering policy
Lobby Admin Client Whitelist
Lobby Admin Client Whitelist
Site Specific
Local administrator
Limited Access
WLAN Config
Local admin access with restricted privileges for site
Add/Remove users
Ability to add whitelist users per WLAN
Management of users in an easy fashion
Feature Workflow Global Admin
Lobby Admin (LA)
Logs into WLC guest user page
Sees list of clients connected on WLAN
Under Whitelist Menu, chooses WLAN for MAC addition
Selects all or specific clients and add to client whitelist
Disables MAC filtering on WLAN to allow clients to join
Enables MAC filtering on WLAN. Only whitelisted clients allowed to join WLAN
Add Lobby admin on WLC
Enable Lobby ambassador access on WLAN
Digital Network Architecture with Wave 2 11ac AP 2800/3800 Feature Highlights
Wireless excellence and innovations delivered only by Cisco Aironet 2800, 3800 Series Access Points LAS VEGAS
Apple Fast Lane Automatically assures highest priority, fastest performance for trusted apps on trusted Apple devices
Zero Impact AVC Hardware Based Application Visibility and Control without Impact to Performance.
Multi-Gigabit Uplinks Free Up Wireless With Faster Wired Network Offload
TOKYO
Cisco CleanAir® Remediates device Impacting Interference from other WiFi and non-WiFi devices
Flex Dynamic Frequency Selection Automatically Adjusts So Not to Interfere With Other Radio Systems
Optimized Roaming Gb+
Turbo Performance Scales to Support More Devices Running High Bandwidth Apps.
Flexible Radio Assignment Software defined radio automatically adjusts to dual 5GHz to better serve high client environment
Intelligently Connects the Proper Access Point as People Move
Cisco ClientLink Improves Performance of Legacy and 802.11ac Devices. Future Proof Expandability Add Functionality Via Module, Smart Antenna Port or USB Port
Session Objectives
This is all great…
Feature Parity de-mystified. What, really? Let’s go! • Wave2 11ac is Best in Class and Enterprise Ready
BUT What about Feature Parity?
• Relook at Key Highlights What can I position to my customers? Where can I find resources?
• Understanding Feature Parity
Do I have the complete picture ?
• Re-building confidence for you and your customers
Resources to find answers and drive adoption Wave2 11ac AP Feature Matrix http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/83/b_feature_matrix_for_802_11ac_wave2_access_points.html
8.3 Release Notes http://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/crn83.html
Code Recommendation
Wave2 & 5520/8540
Now
Near Future
8.2.130.0
8.3.110.0 ( Nov ) 8.2.140.0
Cross-functional Tiger Teams (TAC, Field, Engg, Mktg) to drive the early deployments since FCS (6/15) Initial feedback from the field is addressed in the 8.2.130 (MR3) SW Created frequent MR releases on 8.2 to incorporate field feedback
RF Optimized Connectivity
XOR Radio FRA
Client Link 4.0
Optimized Roaming RX-SOP
• Enabled by Dual 5GHz • Adjust Radio Bands to Better Serve the Environment
RRM, DCA, TPC, CHDM
Event Driven RRM
HDX Turbo Performance
Cisco CleanAir®
5GHz Serving
2.4GHz 5/2.4GHz Serving Monitor Load Balancing Band Select
Pervasive Wi-Fi
Off-Channel Scanning
Flex DFS DBS
RF Profiles
XOR Radio and FRA 5Hz 2.4GHz Serving Serving
5GHz. Serving
5GHz. Serving
2.4GHz 5GHz Serving
FRA-auto (default value) or Manual Auto 2.4 -> 5GHz or Monitor Mode
Transition to 2.4 GHz if coverage drops
5GHz. Serving
2.4-5GHz 2.4GHz Monitoring Serving
Micro Macro Cell Transitions Client Steering • • •
802.11v BSS Transition – Default Enable 802.11k – Default Enable Probe Suppression – Default Disable
Client Types • • •
11v capable – 802.11v BSS Transition Non-11v capable – 802.11k neighbor list + disassociation No 11k or 11v support – Probe Suppression
-65 dBm
-51 dBm
-51 dBm ≥
55 dBm?
-51 dBm
Probe Response
Micro – 5GHz on XOR Macro -- Dedicated 5 GHz
Optimize Wi-Fi with CleanAir Quickly Identify and Mitigate Wi-Fi Impacting Interference 48
48 48
48 48
48 48 48
Channel 48 Network Air Quality and Interference Location with PI 3.1.x and MSE 8.0.
Interference on 20/40/80/160 MHz Air Quality and Interference by AP/radio on WLC AQ Threshold trap and Interference Device trap (per radio) CleanAir-enabled RRM
Interference Devices and Air Quality Report CleanAir Enabled RRM Mitigated RF interference for improved reliability and performance
Improved Client Performance
Air Quality
Wi-Fi and non-Wi-Fi aware
Performance
Dynamic mitigation ED-RRM
Granular spectrum visibility and control
Complete Automatic Interference Mitigation Solution for Rogues and Non-Wi-Fi Interference
FlexDFS with Dynamic Bandwidth Selection FlexDFS + DBS
64
60
56
52
Automatic and intelligent use of spectrum
Primary 20
Secondary 20
52
56
Secondary 40
60
64
Interference is impacting only channel 60
Optimizes HD Experience
Identifies radar frequency to 1 MHz
FlexDFS isolates radar event to 20MHz
DBS allows best channel and width
DBS combined with FlexDFS: Increased confidence in using wider channel bandwidth; reduced radio flapping
Better Support for Users on the Move Optimized Roaming Optimized Roaming: Wireless Devices Client Stickiness Connect to the Most Effective AP
Fine-tuning HDX with RF Profiles
Pre-canned RF Profiles Client Distribution Data Rates DCA, TPC, CHDM Profile Threshold for Traps High Density Features
Dynamic Bandwidth Selection
Optimized Roaming RXSOP CORE: • CleanAir • ClientLink 4.0
TPC, DCA CHDM
• Turbo Performance
Wi-Fi Triggered EDRRM
FlexDFS
8.3 MR1
Security and Threat Mitigation
802.1x WPA2/AES
TKIP Encryption
MAC Auth
MFP, 802.11w
P2P Blocking
Rogue Detection
8.4
Secure Access
awIPS, ELM
TrustSec SXP Inline Tagging
Local Policy w/ QoS and AVC
BYOD NAC RADIUS
AAA Override VLAN, ACL, QoS
Client Exclusion
Cisco Wireless Security Deployment with AP3800/2800 Maintains Capacity and Avoids Interference Good
Better
Best
Features
ELM
Monitor Mode AP
ELM with FRA Monitor Mode
Deployment Density
Per AP
1 in 5 APs
1 radio per 5 APs
Client Serving with Security Monitoring
Y
N
Y
wIPS Security Monitoring
50 ms off-channel scan on selected channels on 2.4 and 5 GHz
7 x 24 All Channels on 2.4GHz and 5GHz
7 x 24 All Channels on 2.4GHz and 5GHz
CleanAir Spectrum Intelligence
7 x 24 on client serving channel
7 x 24 All Channels on 2.4GHz and 5GHz
7 x 24 All Channels on 2.4GHz and 5GHz
2.4 GHz
Enhanced Local Mode Access Point
5 GHz
Monitor Mode Access Point
Serving channel
Off-Ch
Serving channel
Off-Ch
Serving channel
Off-Ch
t
t
5 GHz
Ch2
Ch36
Ch38
…
…
… Ch1
Ch11
Ch1
Ch11
Ch2
Ch2
Ch157
Ch161
t
Ch11 …
…
…
…
Ch1
Ch36
t
Ch38
BETTER
t 5 GHz
ELM with FRA Wireless Security Monitoring
Off-Ch
GOOD
2.4 GHz
Serving channel
BEST
2.4 GHz 5 GHz
Off-Ch
Serving channel
…
… Ch1
Ch2
Ch11
Ch36
Ch38
5GHz. / 2.4GHz. … … .5GHz. / Security
Serving channel
t
Off-Ch Ch157
Ch161
t
Rogue Detection and Mitigation
Rogue Classification and Containment • Rogue Rules • Manual Classification – Friendly/Malicious • Manual and Auto Containment CleanAir with Rogue AP Types • WiFi Invalid Channel • WiFi Inverted Rogue Location • Real-time with PI, MSE, CleanAir • Location of Rogue APs and Clients , Ad-hoc Rogue, Non-wifi interferers
Data Serving AP
FRA with MM
Serve Client Serve on 2.4 GHz Clients on 5 GHz 50 ms offchannel 50 ms offchannel
Serve Client Scan 1.2s on dedicated 5 per channel GHz
Scan 1.2s per channel
Monitor Mode AP
Service Ready Feature Highlights
Voice Optimization, CAC, WMM Policy
AAA Override of AVC Profile
AVC Netflow
Local Profiling
OKC, CCKM Fast Roaming
Per-Client/Per-SSID BW Contract
QoS Profiles 8.3 MR1
Videostream Multicast VLAN
Bonjour Apple Services Adaptive 11r ,11k, 11v FastLane
Service Ready
Zero Impact Application Visibility and Control
APP
APP
APP
APP
Setting up AVC profiles and rules Drop/ Mark for several video apps like YouTube and Netflix on iPhone, iPad APPMark APP APP Drop/ for otherAPP apps such as Jabber and Webex Profiles with block and pass rules combined Rate Limiting of Video/Voice apps APP APP APP APP AAA override for AVC profile AVC Profile with Local Policy Classification APP
APP
APP
APP
Maintain Performance with Zero Impact AVC Gain Visibility into the Network
Monitor Critical Applications
Control Application Performance
Adaptive 11r and Cisco Fastlane Optimized Wi-Fi Connectivity 8.3
Aironet AP’s: • • • •
• • • • • • • • • • • • •
WLC’s:
Prioritized Business applications 8.3 MR1
Aironet Wave 2 AP’s:
AP1600/2600 Series Access Points AP1810 • 2504 AP1700/2700 Series Access Points AP1815 • 5508 AP3500 Series Access Points AP1850 • 5520 AP3600 Series Access Points + 11ac Module, AP1830 • 7510 WSM, HALO, 3602P, 5310, 8718, 8818 AP3800 AP3700 Series Access Points + WSM, HALO, • 8510 AP2800 3702P, 5310, 8718, 8818 • 8540 AP1560 OEAP600 SeriesIntelligent, OfficeExtend Access Points and efficient • WISM2 AP700 Series Access Points Business data gets priority roaming is automatically• vWLC AP700W Series Access Points and speed even if network (KVM + configured ASA55xx Integrated Access Point (AP702i) ESXi) AP802 Integrated Access Point congested AP803 Integrated Access Point AP1530 Series Access Points Reduces complexity - IT can focus on the business– the network does AP1550 Series Access Points the heavy lifting AP1570 Series Access Points AP1560 Series Access Point IW3700 iOS and Cisco devices recognize each other and enable AP1040/1140/1260 Series Access Points special capabilities
is
Cisco and Apple Best Practices RF • • • • • • •
Preferred 5 GHz network design Apple client device should observe a minimum of 2 APs with an RSSI measurement of -67 dBm Average Channel Utilization < 40%. Client SNR >= 25 dB. 802.11 retransmissions < 15%, Packet Loss < 1% and Jitter < 100 ms. Cisco highly recommends leaving all MCS rates enabled Channel width 40 Mhz or Best for Typical deployments, 20 MHz for High Density
QoS • • • • • •
Enable FastLane : Trust DSCP, Platinum for Unicast, EDCA as FastLane and over 70 lines of Best Practice Configuration WMM Set to Required AVC profile is AUTOQOS-AVCPROFILE 11k and 11v BSS Transition Enabled mDNS Snooping Enabled FT should be enabled or Adaptive, AKM Set to FT PSK or FT 802.1x
http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Optimizing_WiFi_Connectivity_and_Prioritizing_Business_Apps.pdf http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf
mDNS and Bonjour Services mDNS Profiles – Select services mDNS Profile with Local Policy – Services per-user and per-device mDNS Policies – Services based on AP Location and user role mDNS AP – Services Behind a L3 boundary Location Specific Services
Teacher Service Profile
AirPrint
AirPlay
Teacher Service Instance List
Student Service Instance List
Apple TV1
Apple TV1
File Share
Student Service Profile
iTunes Sharing
AirPlay
File Share
Apple TV2 Teacher Network Student Network
mDNS Service Instances Groups
AirPrint
QoS and Bidirectional Rate-limiting QoS Profile QoS Profile Metal Profiles QoS Policy w/ Role and Device type Per-User Bandwidth Contract Per-SSID Bandwidth Contract AAA Override of QoS profile QoS Roles for Guest Users
Device Type
AAA Override
POLICY
Radius Server (e.g.. ISE Base, ACS)
Time of Day
Authentication
Local Policy Elements
User Role
Enterprise Infra Feature Highlights
Plug n Play AP Multicast
Pre-Image Download
8.3
Webauth Guest Access
OEAP 8.3 MR1
Fast SSID
Client IPv6 Native IPv6
Flex, Local, Sniffer, Monitor, ME
WiFi Tagging
8.3 MR1
FIPS Support
Enterprise Infra
8.4
Client and Native IPv6
IPv6 Client IPv4 Client 802.11
IPv4
IPv6
802.11 CAPWAPv6
IPv6 CAPWAP ( DHCP option 52, DNS) Full DHCPv6/SLAAC or static v6 Control and Management IPv6 NTP over IPv6 Syslog over IPv6 Radius Over IPv6 8.4 CDP v6 IPv4
Mgmt: 2001:db8:a::2/64 10.10.10.2
Ethernet
IPv6
VLAN
IPv6 Guest Access IPv6 Source Guard IPv6 RA Guard IPv6 Client Mobility RA Throttling IPv6 ACL – Local mode IPv6 Client Visibility IPv6 Neighbor discovery Caching IPv6 Bridging IPv6 multicast IPv6 AAA support IPv6 QOS 8.2 MR1
Ethernet
IPv4/v6 router 2001:db8:a::1/64 10.10.10.1
2001:db8:a:0:2329:9834:3231:1111 10.10.10.52
CAPWAPv6 Tunnel
2001:db8:a:0:222:bdff:fef7:5594 IPv6 Client IPv4 Client 802.11
2001:db8:a:0:8a56:caff:1547:9150 10.10.10.51
IP: 2001:db8:a:5/64 SNMP Server, Syslog Server, tftp/ftp/scp Server
RADIUS
IP: 2001:db8:a:7/64
IP: 2001:db8:a:6/64 NTP Server
2800/3800 as OEAP
DTLS • Control – DTLS enabled • Data – DTLS for client traffic tunneled back to corporate WLC CDP and LLDP • PoE Uplink – CDP and LLDP on the uplink PoE port for power negotiation Authentication and Security • Advanced Encryption Standard (AES) for Wi-Fi Protected Access 2 (WPA2) • 802.1X, RADIUS authentication, authorization and accounting (AAA) on WLAN 802.11i • MAC filtering Personal SSID support • Personal SSID support for local home networking
WiFi CCX Tag v1 Support
8.3 MR1 Cisco Prime Infrastructure
(Cisco Controller) >show rfid summary Wireless LAN Controller
Total Number of RFID : 1 ----------------- -------- ------------------ ------ --------------------RFID ID VENDOR Closest AP RSSI Time Since Last Heard ----------------- -------- ------------------ ------ --------------------00:23:a7:8e:20:d0 Redpine
APE00E.DA78.56C0
-57
28 seconds ago
Cisco Controller) >show ap summary Number of APs.................................... 2 RFID Tags
Global AP User Name.............................. Not Configured Global AP Dot1x User Name........................ Not Configured AP Name -----------------AP_3802_1 APE00E.DA78.56C0
Slots ----2 2
AP Model -------------------AIR-AP3802I-S-K9 AIR-AP2802I-S-K9
Ethernet MAC ----------------00:42:68:a0:d1:aa e0:0e:da:78:56:c0
Location ---------------default location default location
Country ---------SG SG
IP Address --------------192.168.6.35 192.168.6.94
Clients -------0 0
DSE Location -------------[0 ,0 ,0 ] [0 ,0 ,0 ]
FlexConnect Feature Parity on Wave 2 APs Security
Infrastructure
Local Switching/ Local Auth WLAN-VLAN Mapping Local Auth w/ External RADIUS Data DTLS Encryption VLAN Based Central Switching Native VLAN, VLAN support on FCG Proxy ARP 8.4 NAT/PAT 8.4 ClientLink Load Balancing Band Select Smart AP Image upgrade Default Flex Group Syslog
Advanced WIPS TrustSec SXP and SGT 8.4 WPA-PSK 802.1x(WPA/WPA2) TKIP Encryption Rogue Detection AAA Override – ACL, VLAN AAA Override – QoS 8.4 VLAN ACL Per Client ACL L2 ACL Client Exclusion Policies MFP 11w PMF
Services
AVC Policy EoGRE v4/v6 on FC 8.4 Webauth – Internal/External QoS Markings and Profiles AP Plug and Play OKC, CCKM, 802.11r Adaptive 11r, FastLane
Feature Matrix : http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_wave2.html
FlexConnect
Apple + Cisco для корпоративных Wi-Fi сетей – вместе веселее!
Беспроводная инфраструктура и клиентские устройства
Access mode
802.1Q Trunk
AP
WLAN Controller
802.1Q Trunk Ethernet Switch
AP
“бесконтрольная”
зона
Мы контролируем здесь все 101
Партнерство Cisco-Apple дает эти преимущества Оптимизация Wi-Fi подключения
Автоматическая настройка и включение интеллектуального роуминга
Приоритезация бизнес приложений
Бизнес приложения получают приоритет и необходимую полосу даже в загруженной сети
Упрощение - IT может сфокусироваться на бизнес задачах – сеть делает «черновую» работу iOS и Cisco устройства распознают друг друга и включают необходимый функционал
Оптимальное подключение Wi-Fi
802.11k, 802.11v, 802.11r помогают при роуминге
Association
802.11r роуминг без повторной аутентификации 802.11k список ближайших точек доступа 802.11v BSS Transition дает клиенту наилучший вариант для роуминга Переключение на Cisco-AP-2
Fast Transition (802.11r) Cisco-AP-1*
* Yes, it works on AireOS and Meraki!
Cisco-AP-2*
Решение Optimized Roaming Cisco-Apple уменьшает сложность управления до 50%
Устаревший клиент не может подключиться к SSID с включенным 11r
Устаревшие клиент, не поддерживающие 11r/k/v, могут подключаться к тому же SSID
ТД распознает устройства apple и включает 11r для них
Association
802.11k, 802.11v включены по умолчанию
ТД другого производителя
* Yes, it works on AireOS and Meraki!
Cisco-AP*
Характеристики роуминга: до 10-ти раз лучше Время (с)*
No QoS, No 802.11r/k/v
QoS, 802.11r/k/v
*Временной интервал между последним пакетом на «старой» ТД и первым пакетом на «новой» ТД
Приоритезация бизнес приложений
Приоритезация бизнес приложений Приоритезация бизнес приложений и трафика реального времени
Простая настройка
Служба IT получает полный контроль над QoS приложений
Создание профилей Fast Lane Profiles
Apple Configurator
Meraki Systems Manager MDM
Fast Lane работает только между устройствами Apple и инфраструктурой Cisco
QoS Profile or no QoS Profile
QoS профиль не учитывается Приложение может выставлять UP, но не DSCP*
QoS Profile В случае наличия профиля, все приложения из White List могут выставлять уровень приоритета
Поддерживает Fast lane
ТД стороннего производителя * DSCP может быть помечен с помощью IP_TOS/IPv6_TCLASS когда SO_NET_SERVICE_TYPE установлен в best effort
Cisco-AP** ** Yes, it works on AireOS and Meraki!
Fast Lane позволяет приоритезировать только те приложения, которые являются критичными в данной сети Поддерживает Fast lane
Поддерживает Fast lane
Администратор устанавливает на устройство Apple IOS профиль QoS* Приложения из whitelist получают требуемый QoS ** Остальные приложения получают BE/BK
Профиль для этой сети: Minecraft = Real-timeinteractive Viber = BE
Поддерживает Fast lane
Cisco-AP
Профиль для этой сети: Minecraft = BE Viber = Voice
Поддерживает Fast lane
*если профиль отсутствует, все приложения могут запросить любой уровень сервиса **Fast Lane не изменяет уровень QoS, запрошенный приложением
Cisco-AP
Это – законченное решение, а не функционал только Wi-Fi сети Роуминг Over the Air или over the DS 802.11r?
Перегрузка здесь и/или здесь?
Как настраивать контроллеры БЛВС, коммутаторы, UC, QoS?
Влияние филиальной сети/ маршрутизации?
Это – законченное решение, а не функционал только Wi-Fi сети
What QoS marking should we recommend to Apple, for what traffic? (QoS Expert) Need an in-house Voice app expert (what codecs, what bit rates, what choreography, how to test?) Need an architect (what is typical campus, branch topology? Where do WLCs reside?)
Need R&S expert (RNA and best practice for routing, switching)
And yes, need a couple of wireless gurus…
Fast Lane обеспечивает надежную передачу голосового трафика даже в условиях загруженной сети •
Загруженная сеть, голосовые пакеты отсылаются каждые 20мс
•
Мы измеряли временные интервалы между голосовыми пакетами в эфире
Средний интервал между пакетами 40мс (не здорово) Interval (seconds)
Средний интервал между пакетами 20мс (хорошо) Interval (seconds)
Много пиков, некоторые до 0.6 секунды (плохое качество аудио)
No Fast Lane
Capture time (seconds)
Мало пиков, максимум, 0.1секунды (приемлемое качество голоса)
Fast Lane
Fastlane и Optimized Roaming дают преимущества для всех критически важных приложений
66x уменьшение вероятности плохого качества звука во время WI-FI calling 10x лучше ощущения от работы с Интернет До 50% уменьшение служебного трафика из-за сокращения числа SSIDs
86% меньше объем информационного обмена во время роуминга Экономия заряда батареи
Технические подробности
Adaptive 11r Feature enabled by default on a newly created SSID • Even if 802.11r is not enabled on the WLAN, it is enabled for the WLAN for the Apple IOS 10
devices (adaptive 11r) by default:
Show wlan 3 …/… Security 802.11 Authentication:........................ Open System FT Support.................................... Adaptive
Adaptive 11r • Adaptive 11r means that the WLAN security is set to WPA2 (NOT to static 802.11r, no need for
“hybrid” mode either):
11k Configuration • Feature enabled by default on a newly created SSID • Dual band neighbor list selectively enable for Apple devices that supportive Adaptive capability
11v Configuration • 802.11v features are enabled by default on a newly created SSID
Show client detail
Fast lane on WLC • Enabled from the QoS tab
of WLAN configuration • Enabling the first WLAN
for Fastlane also enables AutoQoS (best QoS config) globally • Application Visibility is
semi-independent
Fast lane • Enabling Fastlane: • Configures best QoS globally • Sets the WLAN for Platinum • Sets WMM to Required • (Notice AV is still disabled)
Fast lane • Enabling Fastlane enables best QoS config
globally: • Platinum profile sets Max Priority to voice (UP
6), non-WMM and multicast to BE, 802.1p disabled, bandwidth contracts disabled • EDCA profile is set to Fastlane
Fast lane •
Enabling Fastlane enables best QoS config globally:
•
ACM is enabled on both bands (load-based), with max RF bandwidth 50% and roaming bandwidth to 6%
•
Expedited bandwidth is enabled
Fast lane •
Enabling Fastlane enables best QoS config globally:
•
DSCP is trusted upstream (instead of UP)
•
DSCP to UP map is configured as per IETF recommendations (“wellknown” DSCP values mapped to IETFrecommended values, “unexpected” DSCP values mapped to BE
Fast lane •
When Fastlane is enabled on a WLAN, enabling AV automatically applies the AUTOQOS-AVC-PROFILE
Fast lane •
As long as Fastlane is enabled, you cannot (and should not) change the AVC Profile (you can disable/enable AV, but not change the AVC profile)
1
