Внедрение БЛВС в территориально распределенных и филиальных сетях Виктор Платов, системный инженер
Внедрение БЛВС в территориально распределенных и филиальных сетях
Виктор Платов, системный инженер
АННОТАЦИЯ
Доклад освещает проблемы при разработке территориально-распределенных и филиальных сетей беспроводной связи. В процессе доклада будут освещаться требования, которые предъявляется для магистральных каналов между филиалами и штаб-квартирой, а также в деталях будет представлено новое решение от Cisco для создания и разворачивания территориально-распределенных и филиальных сетей БЛВС.
Содержание
• Архитектура Cisco Unified Wireless • Филиалы с локальными контроллерами • Описание режима H-REAP и связанных с ним ограничений • AP Groups и H-REAP Groups • Проектирование надежной сети • Управление филиальной сетью H-REAP • Пример внедрения
Архитектура Cisco Unified Wireless
• Компоненты • Контроллеры БЛВС • Точки доступа Aironet • Система управления(WCS/
NCS) • Mobility Service Engine (MSE)
• Принципы работы • ТД должна установить
CAPWAP соединение с контроллером
• Конфигурация контроллером загружается на ТД
• Весь Wi-Fi трафик отправляется на контроллер для обработки и дальнейшей передачи
Контроллеры БЛВС
ТД Aironet
WCS/NCS
MSE
Campus Network
Содержание
• Архитектура Cisco Unified Wireless
• Филиалы с локальными контроллерами • Описание режима H-REAP и связанных с ним ограничений • AP Groups и H-REAP Groups • Проектирование надежной сети • Управление филиальной сетью H-REAP • Пример внедрения
Дизайн филиальной сети с локальными контроллерами Обзор
• В филиалах могут быть установлены локальные контроллеры БЛВС
• Обычно используются небольшие контроллеры: WLC-25xx или модульные решения для ISR/ISR-G2
• Поддерживается отказоустойчивый дизайн с централизованным резервным контроллером; WAN соединения могут накладывать ряд ограничений вплоть до отказа от подобного дизайна
ОфисB ОфисA
WLC-25xx WLCM для ISR/ISR-G2
Централизованный резервный контроллер БЛВС
WAN
Центральный офис
• Однотипная конфигурация для каждого филиала • Layer-3 роуминг в филиале • ACL на уровне филиала • Peer to peer blocking • Поддержка WGB • Reliable Multicast (VideoStream) • Динамические VLAN Замечание: Если Вы используете в филиале ISR/ISR G2, мы рекомендуем включать IOS Firewall на границе сети.
Дизайн филиальной сети с локальными контроллерами Преимущества
Содержание
• Архитектура Cisco Unified Wireless • Филиалы с локальными контроллерами
• Описание режима H-REAP и связанных с ним ограничений
• AP Groups и H-REAP Groups • Проектирование надежной сети • Управление филиальной сетью H-REAP • Пример внедрения
Обзор протокола CAPWAP Control and Provisioning of Wireless Access Point
• CAPWAP – это стандартный протокол, который описывает процесс управления Контроллером доступа ( Access Controller, AC) множеством Беспроводных точек терминации (Wireless Termination Points,WTP)
• CAPWAP описывает передачу как трафика управления, так и трафика данных
– Трафик управления шифруется DTLS – Трафик данных опционально шифруется DTLS (импорт в РФ ограничен!)
• CAPWAP поддерживает только Layer 3 режим
CAPWAP Контроллер
Wi-Fi Клиент
Бизнес приложение
Control Plane
Data Plane Точка доступа
Режимы CAPWAP Split MAC
• Протокол CAPWAP поддерживает два режима работы – Split MAC (Централизованный режим) – Local MAC (H-REAP/FlexConnect)
• Split MAC
WTP AC STA
Wireless Phy MAC Sublayer
CAPWAP Data Plane
Wireless Frame
802.3 Frame
Режимы работы CAPWAP Local MAC
• Режим работы Local MAC позволяет коммутировать кадры либо локально на ТД, либо отсылать контроллеру в виде кадров 802.3
• Локальная коммутация
WTP AC
Wireless Phy MAC Sublayer
Wireless Frame
802.3 Frame
STA
§ В режиме H-REAP локальная или централизованная коммутация зависит от настроек SSID
Глоссарий H-REAP
• Connected mode – H-REAP ТД имеет соединение с контроллером (состояние connected), аутентифицирует клиентов с помощью контроллера.
• Standalone mode – В случае, если контроллер недоступен H-REAP ТД переходит в состояние standalone и аутентифицирует клиентов самостоятельно.
• Local Switching – Данные коммутируются локально на ТД в определенный VLAN для каждого SSID
• Central Switching – Данные туннелируются на контроллер для обработки и дальнейшей передачи
Архитектура филиальной сети HREAP – Hybrid Remote Edge Access Point
• Гибридная архитектура
• Единая точка мониторинга и управления
• Два варианта коммутации трафика – Централизованная (split MAC) или – Локальная(local MAC)
• Отказоустойчивость только для локального трафика
• Тип коммутации трафика зависит от настроек ТД и WLAN(SSID)
WAN
Центральный офис
Филиал
Трафик централизованной обработки
Трафик локальной обработки
Кластер контроллеров
БЛВС Трафик централизованной обработки
Настройка H-REAP Шаг 1: Настройка режима ТД
• Конфигурируется для каждой точки доступа, требуется ее перезагрузка
• Поддерживаемые ТД: AP-1130, AP-1240, AP-1040, AP-1140, AP-1260, AP-1250, AP-3500, AP-3600
Настройка H-REAP Local Switching Шаг 2: Включение Local Switching для WLAN
• Только WLAN с включенной опцией “Local Switching” будут локально коммутироваться на H-REAP ТД
Настройка H-REAP VLAN Mapping Шаг 3: Дополнительные настройки H-REAP
• H-REAP ТД может быть подключена как к порту доступа на коммутаторе, так и к 802.1Q транку
• Таблица соответствия WLAN ->VLAN настраивается для каждой ТД (используя контроллер), или с помощью шаблонов для группы ТД (используя систему управления WCS/NCS)
Настройка H-REAP VLAN Mapping Шаг 4: Настройте SSID to VLAN Mapping на каждой ТД
• Соответствие SSID и 802.1Q VLAN настраивается для каждой H-REAP ТД
• Используйте систему управления WCS/NCS для шаблонной настройки
Настройка H-REAP VLAN Mapping Шаг 4: Использование WCS
• С помощью WCS/NCS, настройки могут быть применены сразу ко всем ТД, используя один шаблон
Ограничения архитектуры H-REAP
• Ограничения, накладываемые на WAN каналы – RTT меньше 300мс для передачи данных (100мс для передачи голоса) – Минимальное значение для MTU WAN канала 500 байтов (оригинальный пакет должен иметь не более 4-х фрагментов)
• Некоторый функционал недоступен в режимах standalone или local switching
– ACL в режиме local switching – MAC/Web Auth в режиме standalone – См. полный список «H-REAP Feature Matrix » http://www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080b3690b.shtml
Отличительные особенности
Ø Оптимизация для работы на WAN каналах
• сети с большой задержкой
• работа при отказе WAN каналов Ø Безопасность
802.1x based port authentication Ø Поддержка передачи голоса
• Voice CAC
• OKC/CCKM
Экономика роста числа небольших офисов
• Flex 7500 Wireless Controller
Точек доступа 300-2,000 Клиентов 20,000 Филиалов 500 Точек доступа/ Филиал 50 Режим работы FlexConnect Размер 1 RU Интерфейсы 2x 10GE Лицензии расширения 100, 200, 500, 1K
New
Улучшения FlexConnect в версии ПО 7.0.116
• Отказоустойчивость в случае выхода из строя WAN канала – ТД FlexConnect AP предоставляет беспроводной доступ и сервисы своим клиентам даже в случае потери подключения к primary контроллеру
• Локальная аутентификация пользователей – Позволяет проводить аутентификацию клиентов непосредственно на ТД вместо контроллера
• Масштабирование – Размер H-REAP групп: 500 (7500) и 100 (5500) – Кол-во ТД на группу: 50 (7500) и 25 (5500)
• Быстрый роуминг в филиалах – Opportunistic Key Caching (OKC) между ТД в филиале
Содержание
• Архитектура Cisco Unified Wireless • Филиалы с локальными контроллерами • Описание режима H-REAP и связанных с ним ограничений
• AP Groups и H-REAP Groups • Проектирование надежной сети • Управление филиальной сетью H-REAP • Пример внедрения
Что такое AP Groups
• AP groups – это логическая группа ТД, предоставляющих одинаковые WiFi сервисы; Данное разделение может быть:
– по физическому месторасположению, и/или – По функциональности (данные, голос, гостевой доступ, …)
• Одинаковые AP groups должны быть настроены на всех контроллерах в mobility group
Обзор
Филиал A Филиал B
Центральный офис
WAN
AP Group 1
AP Group 2 AP Group 3
Flex 7500
Что такое AP Groups Правила, которые надо знать
• Правила, которые надо знать: • Каждая ТД может входить только в одну AP Group • Одна WLAN(SSID) может быть в нескольких AP Groups • WLAN с ID 1-16 не могут быть удалены из группы по умолчанию
‘default-group’ • WLAN с ID больше чем 16 не могут входить в ‘default-group’ • Все ТД для которых не настроена AP Group или настроена неизвестная AP Group автоматически помещаются в ‘default-group’
• Частые ошибки: • Не создавать AP group, но создать WLAN с ID 17+. • Создать AP groups, создать WLAN с ID 17+ но не настроить соответствия между WLAN и AP Group.
AP Groups
Настройка: Создание новой группы
AP Groups Настройка: добавление ТД в группу
WAN/MAN
Использование AP Groups
• AP groups предоставляют возможность предоставлять Wi-Fi сервисы (WLAN) в зависимости от расположения абонентов
• Пример – Центральный офис
– Corporate-Voice, Corporate-Data, Guest-Access
– Производство
– Corporate-Voice, Corporate-Data, Scanners
– Склад
– Corporate-Data, Guest-Access
SSID на каждый офис Центральный офис
Склад Производство
AP Group 2
AP Group 3
AP Group 1
Corporate-Voice
Guest-access
Corporate-Data
Guest-Access
Corporate-Data
@ Интернет
Scanners
Использование AP Groups Per AP Group SSID to VLAN Mapping
• AP groups позволяют статически назначать соответствие между Wi-Fi сервисом (WLAN) и VLAN по местоположению
• Для пользователей все выглядит одинаково, но различная IP адресация позволяет производить гибкие мониторинг или фильтрацию
• Также может использоваться для деления подсетей
Corporate-Data
Corporate-Data Corporate-Data
VLAN-1
VLAN-2
VLAN-3
Производство Склад
Центральный офис
WAN/MAN
AP Group 1
AP Group 2 AP Group 3
AP Groups Настройка/VLAN Mapping
AP Groups Масштабирование
Масштабирование Flex 7500 WLC 5508 WLC 4400 WLC 2100
# AP Groups 500 500 300 50
# WLAN (SSID) 512 512 512 512
# VLAN (Interfaces) 512 512 512 512
New
Что такое H-REAP Groups Обзор
• H-REAP groups позволяют ТД иметь общую информацию:
Ø CCKM/OKC ключи для быстрого роуминга
Ø Local backup RADIUS servers IP/keys Ø Local user authentication Ø Local EAP authentication
• Масштабирование Ø 500 H-REAP groups дляFlex 7500 Ø 50 ТД в каждой H-REAP group
H-REAP Group 1
Филиал Филиал
WAN
Центральный офис
H-REAP Group 2
Flex 7500 Cluster
H-REAP Groups и ключи CCKM/OKC
• Ключи CCKM/OKC хранятся на HREAP ТД для Layer 2 быстрого роуминга
• HREAP ТД получают CCKM/OKC ключи от контроллера БЛВС
• Если HREAP ТД загрузилась в standalone режиме, она не получит CCKM ключей от контроллера БЛВС, следовательно быстрый роуминг поддерживаться не будет
WAN
Центральный офис
Филиал H-REAP Group 1 H-REAP
Group 2
Филиал
Сервер RADIUS
CCKM Keys
Добавить новую H-REAP группу
Добавить в H-REAP группу точки доступа
H-REAP Groups и ключи CCKM
Содержание
• Архитектура Cisco Unified Wireless • Филиалы с локальными контроллерами • Описание режима H-REAP и связанных с ним ограничений • AP Groups и H-REAP Groups
• Проектирование надежной сети • Управление филиальной сетью H-REAP • Пример внедрения
Отказоустойчивость H-REAP Отказ WAN
• H-REAP переключится в режим local switched
– Прозрачно для локально коммутируемых SSIDs – Отключатся все клиенты всех SSID, коммутируемых централизованно
• Ключи для статической аутентификации (WPA-PSK) хранятся локально на H-REAP ТД
• Теряемый функционал – RRM, WIDS, определение местоположения, возможность выбора режимов работы ТД – Web authentication, NAC
Филиал
WAN
Центральный офис
Сервер приложений
Отказоустойчивость H-REAP Отказ контроллера БЛВС
• H-REAP ТД сперва переключится в режим local switched
– Прозрачно для локально коммутируемых SSIDs – Отключатся все клиенты всех SSID, коммутируемых централизованно
• В пределах H-REAP группы работает CCKM роуминг
• После этого H-REAP ТД начинает искать резервный контроллер и пытается к нему подключиться; После подключения ТД синхронизирует свою конфигурацию с контроллером и начинает передавать трафик централизованном коммутируемых WLAN
• Во время синхронизации конфигурации с резервным контроллером трафик локальных клиентов продолжает передаваться
Филиал
WAN
Центральный офис
Сервер приложений
H-REAP Group: локальная аутентификация Отказ централизованного RADIUS сервера • В обычных условиях аутентификация осуществляется централизованно
• При выходе из строя WAN канала, ТД аутентифицирует новых клиентов с помощью заранее заданного локального сервера RADIUS
• Подключенные клиенты остаются подключенными
• Поддерживается роуминг – быстрый роуминг CCKM, или – повторная аутентификация
Филиал
WAN
Центральный офис
H-REAP Group 1
Центральный сервер RADIUS
Резервный локальный сервер RADIUS
CCKM Fast Roaming
H-REAP Group: Local Backup RADIUS Настройка
• Задайте primary и secondary резервные сервера RADIUS для каждой H-REAP группы
H-REAP Group: Локальная аутентификация на точке доступа Сценарий отказа • Обычно аутентификация
производится централизованно • В случае выхода из строя WAN
канала, ТД аутентифицирует клиентов, используя встроенную базу данных пользователей
• Каждая H-REAP ТД имеет локальную копию пользовательской базы данных
• Подключенные клиенты продолжают работу
• Доступен роуминг: – CCKM fast roaming или – локальная повторная аутентификация
Поддерживается только LEAP и EAP-FAST !
Филиал
WAN
Центральный офис
Центральный RADIUS сервер
CCKM Fast Roaming
H-REAP Group 1
H-REAP Group: Локальная аутентификация на точке доступа Настройка
• Создайте пользователей (макс 100) и их пароли • Задайте параметры EAP (LEAP или EAP-FAST)
Отказоустойчивость H-REAP Поведение при отказе WAN (загрузка в Standalone режиме)
• Центрально коммутируемые WLANs будут переведены в состояние shutdown
• WLAN с Web-аутентификацией будут отключены • Локально коммутируемые WLANs будут работать:
– Разрешены Open, Shared и WPA-PSK аутентификация – Локальная аутентификация 802.1x поддерживается, если настроены локальный или встроенный в ТД серверы RADIUS
• Что не поддерживается – RRM, CCKM, WIDS, определение местоположения, другие режимы работы ТД, NAC.
Неподдерживаемый сценарий Смена режима работы ТД при отказе
• ТД не может автоматически поменять режим своей работы с local на H-REAP в случае выхода из строя локального контроллера
– Смена режима – это вопрос настройки ТД
• Почему это не нужно – Потребуются два варианта настройки порта коммутатора, куда подключена ТД (access port для локального контроллера, 802.1Q для H-REAP) – Потеря функционала при переключении в H-REAP – Если Вас устраивает локальный H-REAP, зачем покупать локальный контроллер
!
Филиал
Центральный офис
WAN
Сервер приложений
Неподдерживаемый сценарий !
Неподдерживаемый сценарий Автоматическое включение локальной коммутации
• H-REAP ТД не может быть настроена с двумя одинаковыми SSID: один в режиме централизованной коммутации, другой – в режиме локальной коммутации: при недоступности контроллера SSID с локальной коммутацией становится активным
– Изменение состояния SSID – задача настройки на уровне контроллера
• Cisco использовать локальную коммутацию. Почему?
– В случае отказа клиенты всегда будут подключены.
Филиал
Центральный офис
Резервный сервер приложений
SSID “Data” (Central Switching)
SSID “Data” (Local Switching)
H-REAP AP
Disable Enable
Основной сервер приложений
Неподдерживаемый сценарий !
!
WAN
Изменение функционала при отказах
Функционал WAN Up (Connected)
WAN Down (Standalone)
Static Security Keys (WEP, WPA2/PSK) Yes Yes
802.1x/EAP Yes Yes
RADIUS Yes Yes (local RADIUS Backup)
Local Authentication Yes Yes
OKC Fast Roaming Yes Yes (not new clients)
WebAuth & MAC Auth Yes No
New
New
Содержание
• Архитектура Cisco Unified Wireless • Филиалы с локальными контроллерами • Описание режима H-REAP и связанных с ним ограничений • AP Groups и H-REAP Groups • Проектирование надежной сети
• Управление филиальной сетью H-REAP • Пример внедрения
Мониторинг задержки H-REAP • RTT для ТД H-REAP AP не должен превышать 300мс • Задержку можно отслеживать с помощью Latency tool
Обновление ПО на H-REAP точках доступа Сомнения
• Филиалы, использующие H-REAP ТД, обычно подключены к низкоскоростным WAN каналами
• В каждом офисе может быть небольшое количество ТД, но сеть корпорации может состоять из большого числа филиалов
• Обновление ПО на ~2000 ТД через низкоскоростные WAN является серьезной проблемой:
• Время, необходимое для загрузки ПО на все точки доступа • Переполнение WAN канала • Потенциальный риск ошибок при загрузке ПО
WAN
Обновление ПО на H-REAP точках доступа Безопасный процесс
Необходимо использовать возможность предварительной загрузки ПО на ТД (Pre-Download) и контролировать процесс до начала непосредственной смены ПО 1. Загрузите новую версию ПО на контроллер БЛВС (она станет primary) 2. Укажите контроллеру в качестве загрузочной версии ПО предыдущую (secondary), чтобы предотвратить параллельное неконтролируемое скачивание ПО точками доступа в случае случайной перезагрузки контроллера
Филиал-1 Филиал-N
Wireless Control System
Wireless LAN Controller
Primary Secondary
Firmware Image
7.0
6.0 7.0 7.0 6.0
Центральный офис
WAN
3. « Pre-download» ПО на точки доступа. Используйте secondary загрузочный образ контроллера (при этом обычное функционирование ТД не нарушается)—можно делать поочередно на каждой ТД, чтобы не перегружать WAN канал
4. Убедитесь, что загрузка завершена успешно на всех ТД
5. Переключите загрузку ТД и контроллера на новую версию ПО
6. Перезагрузите контроллер
6.0 7.0 7.0 6.0
6.0 7.0 7.0 6.0
Центральный офис
Филиал-1 Филиал-N
Wireless Control System
Wireless LAN Controller
Primary Secondary
Firmware Image
Primary Secondary
AP Firmware Image
Обновление ПО на H-REAP точках доступа Безопасный процесс
Содержание
• Архитектура Cisco Unified Wireless • Филиалы с локальными контроллерами • Описание режима H-REAP и связанных с ним ограничений • AP Groups и H-REAP Groups • Проектирование надежной сети • Управление филиальной сетью H-REAP
• Пример внедрения
Пожелания заказчика • ~1000 среднего размера магазинов (“Супермаркетов”) • До 5 ТД на магазин • L2 связность между ТД. ТД подключены к access портам (по настоящий момент 802.1Q транки не используются)
• Присутствуют локальные ресурсы (сервера, …) • Беспроводные сервисы:
– SSID для сканеров штрих-кодов : • WPA-PSK • Одинаковое SSID имя для всех магазинов, ключ разный • локальная коммутация
– SSID для ноутбуков : • WPA/TKIP или WPA2/AES • Одно SSID имя и один VLAN на все магазины • Централизованная аутентификация с использованием сервера RADIUS
• Централизованная коммутация
ЦОД
Магазин-1
WAN
Локальные ресурсы
H-REAP
Кластер CT-5508
RADIUS
Scanners (WPA-PSK)
SSID-Scanner (Key-Store-1) SSID-Laptop
(WPA2)
Laptops (WPA2)
Магазин-N
H-REAP
Scanners (WPA-PSK)
SSID-Scanner (Key-Store-N) SSID-Laptop
(WPA2)
Laptops (WPA2)
1000 Магазинов
Локальные ресурсы
WLAN 17 : Store 1 § SSID=Scanner § WPA-PSK=XYZ § Local VLAN=native … WLAN 17+N : Store-N § SSID=Scanner § WPA-PSK=ZYX § Local VLAN=native
WLAN 200 : Store-Data § SSID=Laptop § WPA/RADIUS § Central VLAN=Tag-β
ЦОД
Магазин-1
WAN
H-REAP
Scanners (WPA-PSK)
SSID-Scanner (Key-Store-1) SSID-Laptop
(WPA2)
Laptops (WPA2)
AP-Group-1
Магазин-N
H-REAP
Scanners (WPA-PSK)
SSID-Scanner (Key-Store-N) SSID-Laptop
(WPA2)
Laptops (WPA2)
AP-Group-N
1000 Магазинов
Локальные ресурсы Локальные ресурсы
Кластер CT-5508 AP Group 1 : Store 1
§ WLANs : Store-1 Store-data … AP Group N : Store-N § SSID=Scanner § WLANs : Store-N
Store-data
RADIUS
Масштаб проекта • 1000 магазинов, в среднем 5 ТД на магазин : 5000 ТД • 10 x CT-5508-500 для управления 5000 ТД • 1000 магазинов значит:
• 1000 WLAN profiles с 1000 одинаковыми SSID для сканеров штрих-кодов и разными WPA2-PSK ключами каждый. Один на магазин
• 1 WLAN profile для ноутбуков с централизованной коммутацией и централизованной аутентификацией на сервере RADIUS
• 1000 AP Groups для каждого WLAN profile каждого магазина
• Функционал CT-5508-500 используемый заказчиком : • 100 магазинов управляются одним CT-5508 • 100 различных WLAN Profiles одинаковыми H-REAP SSID на контроллер CT • 100 AP Groups на CT • В первой фазе проекта H-REAP Groups не используются
Выводы • Решение Cisco Unified Wireless Network обеспечивает возможность организации территориально распределенной беспроводной филиальной сети
• Для этой цели был создан специальный режим работы точек доступа H-REAP
• Также существует ряд механизмов, позволяющих полностью исключить или минимизировать влияние на филиальную сеть событий, связанных с выходом из строя центрального оборудования или каналов связи
Deployment Guide URL- http://www.cisco.com/*****
Recommended Reading
Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас!