Архитектура Cisco SD-Access для беспроводных корпоративных...

Архитектура SD-Accessбеспроводных корпоративных сетей

Виктор Платов

инженер-консультант, Enterprise Mobility, CCIE #24288

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public

Agenda

SD-Access: why would your customer care? Why Fabric?

Архитектура SD-Access Wireless

Adoption/Migration scenarios

SDA: Key takeaways

2


Software Defined Access – Wireless IntegrationSession Objective

Is your Campus Network facing some, or all, of these challenges?

• Host and IoT onboarding and Mobility (w/o stretching VLANs)

• Network Segmentation (w/o implementing MPLS)

• Role-based Access Control (w/o hop-by-hop TrustSec)

• Common Policy for Wired and Wireless (w/o using multiple tools)

• Consistency Across Campus, WAN and Branch (w/o using multiple tools)

The goal of this session is to explain the value of SD-Access Fabric and show you how

with DNA SD-Access Wireless you can overcome some of these challenges.

3


Digital Transformation - Challenge for Enterprise IT

Spent of

Network Operations$60BResources

Data growth

Connected devices

Threat surface areas

An evolved world needs a network evolved.

Mobility IoT Cloud Devices per

Person

3.64Things

Connected

7.5B

Enterprise Trends driving Digital Transformation

4

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

Key Challenges for Traditional Networks

Slow Issue ResolutionComplex to ManageSecure Onboarding

More users and endpoints

Policy based on VLANs

Very hard to Segment

Very little Automation

Mostly all CLI driven

Error prone

Separate user policies for

wired and wireless networks

Different policy definition and

enforcement points

Traditional Networks Cannot Keep Up!


Industry Best-Practices

and Policy Compliance

Decouple Policy from Network

Topology

Proactive Issue Identification and

Resolution

Simple Policy Definition

and Enforcement

Monitoring

and Troubleshooting

Automation Assurance

Introducing Software-Defined AccessPolicy-Based Automation from Edge to Cloud

Secure Fabric

Virtual Networks and

Groups Made Easy

6


DNA Software Capabilities

Cloud Service Management

Automation Analytics

Virtualization

DNA-Ready Physical and Virtual infrastructure

Security

DNA CenterAPIC-EM, ISE, NDP

SD-Access Wireless

SD-Access Fabric:why would you care?


Enterprise Network

PAYLOAD DATA IP SRC IP DSTPROTDST

PORTSRC

PORTDSCP

• Only Transitive information• Survives end to end

Policy is based on “5 Tuple”

• QoS

• Security

• Redirect/copy

• Traffic engineering

• etc.

Network Policy

What is the Problem?Policy Model Today

10


Enterprise Network

PAYLOAD DATA IP SRC IP DSTPROTDST

PORTSRC

PORTDSCP

User/device info?

Network Policy

IP

ADDRESSES

Locate you Identify you Drive “treatment” Constrain you

IP Address “meaning” OVERLOAD

VLAN 10

SSID B

SSID A

VLAN 20

VLAN 40

SSID D

SSID C

VLAN 30

access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384

What is the Problem?Policy Model Today

11


What is the Problem?User Group policy rollout - Today

Customer Policy requirements:

Customer

requirements

Customer

Policy

Three user Groups

One single SSID

Differentiated policies per Group

Guest segmentation (wired and wireless)

Employee

BYOD

Contractor

Production

Serv.Developer Serv.

L2 Switch

L3 Switch

Trunks

Trunk

BYOD Employee Contractor

One SSID

Production

Servers

AAA

DHCP

AD

WLC

Developer

Servers

LAN Core

Network

Touch Points

12


L2 Switch

L3 Switch

Trunks

Trunk


One SSID

Production

Servers

AAA

DHCP

WLAN

Developer

Servers

LAN Core

Multiple Steps and

Touch Points

1. Define Groups in AD

2. Define Policies VLAN/subnet based

3. Implement VLANs/Subnets Create VLANs

Define DHCP scope

Create subnets and L3 interfaces

Routing for new subnets

Map SSID to Interface/VLAN

4. Implement Policy Define ACLs

Apply ACLs

5. Many different User Interfaces

AAA WLC Devices CLI

….

What is the Problem?User Group policy rollout - Today

What if You Need to Add Another Group & Policy?

AD

13


Campus

What is the Problem?Workspace of the future

You need a Distributed Data plane without the complications that normally comes along in terms of IP addressing, roaming, etc.

Is the

Centralized

WLC a

pb??

WLC

DHCPDNSAAA

ADLDAP

Data Center WLCWhat about…

Fully leveraging the speed of 802.11ac/ax?

Mobility everywhere

Handling east-west traffic from tools like Spark room? And Video, video and video…

Onbording Sensors and IoT devices securely

Leveraging great innovation at the switch level

etc...

What

about IP

addressing

design?

14


But What If …

If we could “break the dependence” between IP addressing and policy, we could greatly simplify networks – and make networks much more functional.

… we could make the IP address

just be a LOCATOR for you, and

provide other ways to group users /

devices to apply POLICY?

Key Assertion

15


With a Fabric…

If we could “break the dependence” between IP addressing and policy, we could greatly simplify networks – and make networks much more functional.

… we could make the IP address

just be a LOCATOR for you, and

provide other ways to group users /

devices to apply POLICY?

Key Assertion

You could build and run your network in a simpler way …

Apply Policy irrespectively of network constructs (VLAN, subnet, IP address)

Easily implement Network Segmentation (w/o implementing MPLS)

Provide L2 and L3 flexibility (w/o stretching VLANs)

16


What exactly is a Fabric?

A Fabric provides an Overlay networkAn Overlay is a logical topology used to virtually connect devices, built on top of some arbitrary physical Underlay topology.

An Overlay network often uses alternate forwarding attributes to provide additional services, not provided by the Underlay.

• GRE or mGRE

• MPLS or VPLS

• IPSec or DMVPN

• CAPWAP

• LISP

• OTV

• DFA

• ACI

Examples of Network Overlays

17


What exactly is a Fabric?

Flexible Virtual Services• Mobility - Map Endpoints to Edges

• Services - Deliver using Overlay

• Scalability - Reduce Protocol State

• Flexible and Programmable

Simple Transport Forwarding• Redundant Devices and Paths

• Keep It Simple and Manageable

• Optimize Packet Handling

• Maximize Network Reliability (HA)

Separation of the “Forwarding Plane” from the “Services Plane”

IT Challenge (Business): Network Uptime IT Challenge (Employee): New Services

The Boss YOU The User

18


What is unique about SDA Fabric?Key components

1. Control-Plane based on LISP

2. Data-Plane based on VXLAN

3. Policy-Plane with Cisco TrustSec (CTS)

UADP and QFPallow for Flexibility –Key to Supporting theEvolution to Network

Fabrics

Cisco Hardware and Software innovationsKey Differences

• L2 + L3 Overlay -vs- L2 or L3 Only

• Host Mobility with Anycast Gateway

• Adds VRF + SGT into Data-Plane

• Virtual Tunnel Endpoints (No Static)

• No Topology Limitations (Basic IP)

VRF + SGT

19


Locator / ID Separation ProtocolLocation and Identity separation

IP core

Device IPv4 or IPv6

Address represents both

Identity and Location

Traditional Behavior -

Location + ID are “Combined”

10.1.0.1When the Device moves, it gets a

new IPv4 or IPv6 Address for its new

Identity and Location

20.2.0.9

Device IPv4 or IPv6 Address

represents Identity only

End Point ID (EID) space

When the Device moves, it keeps

the same IPv4 or IPv6 Address.

It has the Same Identity

Overlay Behavior -

Location & ID are “Separated”

IP core

Only the Location Changes

(Route Locator (RLOC)

10.1.0.1

10.1.0.1

Location is Here

20

192.168.1.1192.168.25.1

Underlay addressing space


ORIGINAL

PACKETPAYLOADETHERNET IP

PACKET IN

LISPPAYLOADIPLISPUDPIPETHERNET

PAYLOADETHERNET IPVXLANUDPIPETHERNETPACKET IN

VXLAN

Supports L2

& L3 Overlay

Supports L3

Overlay

What is unique about SDA Fabric?Key Components - VXLAN



21


What is unique about SDA Fabric?Key Components – Cisco TrustSec (CTS)



3. Policy-Plane based on CTS

PAYLOADETHERNET IPVXLANUDPIPETHERNET

VRF + SGT

VRF = Virtual Routing & Forwarding

SGT = Scalable Group Tagging

22


Cisco TrustSecTraditional Access Control is Extremely Complex

Access Layer

EnterpriseBackbone

VoiceVLAN

Voice

DataVLAN

Employee

Aggregation Layer

Supplier

GuestVLAN

BYOD

BYODVLAN

Non-Compliant

QuarantineVLAN

VLAN

Address

DHCP Scope

Redundancy

Routing

Static ACL VACLLimits of Traditional

Segmentation

• Security Policy based on

Topology (Address)

• High cost and complex

maintenance

Applications

access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384

ClassificationStatic or Dynamic VLAN assignments

PropagationCarry “Segment” context through the network using VLAN, IP address, VRF

EnforcementIP Based Policies - ACLs, Firewall Rules

23


VLAN BVLAN A

Campus Switch

DC Switchor Firewall

ApplicationServers

ISE

EnterpriseBackbone

Enforcement

Campus Switch

Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant

SharedServices

Employee Tag

Supplier Tag

Non-Compliant Tag

DC switch receives policy for only what is connected

ClassificationStatic or Dynamic SGT assignments

PropagationCarry “Group” context through the network using only SGT

EnforcementGroup Based Policies ACLs, Firewall Rules

Cisco TrustSecTraditional Access Control is Extremely Complex

24


Overlay encapsulation (VXLAN)

Fabric Underlay – Forwarding plane• Connects the network elements to each other• Optimized for traffic forwarding (scalability, performance)• Networking constructs like IP, VLANs, live here

Overlay

control plane

(LISP)

Underlay

Overlay

Employee

Supplier

Devices

Fabric breaks dependency between IP and Policy. Separation of Forwarding and Services planes. In Fabric Polices are tied to User/Device Identity

Fabric brings Policy Simplification

What is unique about SDA Fabric?

DNA Center – Automation and Assurance• Single User Interface for Fabric Management & Orchestration• Policies definition based on User, Device or App Group• Design, Deploy and Monitoring and Troubleshooting

Fabric Overlay – Services plane• Dynamically connects Users/Devices/Things• IP is an ID not used for traffic forwarding• End to End Policies and Segmentation

25

You convinced me on Fabric…but still, why integrating Wireless?


ISE / AD

WLC

CAPWAP (Control)

Упрощение IP адресации? WLC как mobility

Anchor

Да, контроллерУпрощенное администрирование?

CAPWAPНаложенная сеть?

WLC как Mobility

AnchorL3 роуминг в кампусе?

Foreign-AnchorСегментация гостевого трафика?

Сильные стороны централизованной инфраструктуры БЛВС

CAPWAP (Data)

27


ISE / AD

Распределенный Feature Plane AVC, NetFlow,

VRF-Lite, MPLSСегментация

Масштабируемый

TCAM

Широкие возможности

фильтрации трафика

Масштабирование

и надежностьРаспределенный Data Plane

12 классов,

обработка очередейВыдающиеся возможности QoS

Сильные стороны проводной сети

28


Интеграция БЛВС в архитектуру SD-Access воплощает лучшее обоих миров

29

Архитектура SD-Access Wireless


Архитектура SD-Access

Роли и терминология

ISE / AD

Control-Plane (CP) Node – Map System that manages Endpoint ID to Location relationships.Also known as Host Tracking DB (HTDB)

Edge Nodes – A Fabric device (e.g.. Access or Distribution) that connects wired endpoints to the SDA Fabric

Group Repository – External ID Services (e.g.. ISE) is leveraged for dynamic User or Device to Group mapping and policy definition

Border Nodes – A Fabric device (e.g.. Core) that connects External L3 network(s) to the SDA Fabric

Group

Repository

SD-Access Fabric

Intermediate

Nodes (Underlay)

Fabric Mode

WLC

Fabric Edge

Nodes

DNA Controller –SDN Controller provides GUI management abstraction via multiple Service Apps, which share information

DNA Center

CControl-Plane

Nodes

B

Fabric Wireless Controller – Wireless Controller (WLC) fabric-enabled, participate in LISP control planeFabric

Mode APs Fabric Mode APs – Access Points that are

fabric-enabled. Wireless traffic is VXLAN encapsulated at AP

Fabric Border

B

31

DHCP

APIC-EM

NDP


Архитектура SD-Access Wirelessвоплощает преимущества обеих систем путем...

1

2

3

Упрощения Control & Management Plane

Оптимизации Data Plane

Интегрированного управления политиками

доступа и сегментацией трафика

32


Архитектура SD-Access WirelessУпрощение Control Plane

ISE / AD

WLC

DNAC

SD-AccessFabric

BB

Абстракция

политик и

автоматизация

настройки

Автоматизация

DNAC упрощает внедрение фабрики,

включая интеграцию БЛВС

C

Fabric enabled WLC:

WLC является частью LISP

control plane

Централизованный Wireless Control Plane

WLC управляет клиентскими сессиями

AP Mgmt, Mobility, RRM и т.д..

Преимущества CUWN

CAPWAP

Cntrl plane

LISP

Cntrl plane

1

LISP control plane Management

WLC интегрируется с LISP control plane

WLC уведомляет CP о беспроводных клиентах

Mobility является неотъемлемой часть фабрики

благодаря LISP CP

33


Архитектура SD-Access WirelessControl Plane Node – зачем он нужен

Обычная БД хостов, отслеживающая привязку Endpoint ID к Edge Node (RLOCs)

БД хостов поддерживает несколько типов Endpoint ID (EID), таких как IPv4 /32, IPv6 /128* илиMAC/48

Получает регистрации префиксов от Edge Nodes(для проводных клиентов) и от Fabric mode WLC (для беспроводных клиентов)

Отвечает на lookup requests от FE для определения местоположения хостов

Updates Fabric Edge nodes, Border nodes with wireless Клиент mobility and RLOC information

Fabric Control-Plane Node основан на LISP Map Server / Resolver

Содержит LISP Endpoint ID Database с информацией о доступности хостов через фабрику

1

CPEID VNI RLOC

10.1.1.20 10 192.168.1.1

C

10.1.1.20

192.168.1.1

FE1

(*) в последующих релизах ПО34


Архитектура SD-Access WirelessControl Plane Node

WLC отвечает за: AP image/config, Radio Resource Management (RRM), управление клиентскими сессиями, роуминг

Во время интеграции с фабрикой:

• Для БЛВС, клиентский MAC адрес используется как EID.

• Взаимодействует с Host Tracking DB на Control-Plane node для регистрации привязки Клиент MAC адреса к SGT и L2 VNI

• VN information – это Layer 2 VN (L2 VNID) и привязывается к VLAN на FE коммутаторах

• Отвечает за обновление Host Tracking DB во время роумингабеспроводных клиентов

• Fabric enabled WLC должен быть установлен в том же месте, что и точки доступа (задержка между ТД и WLC должна быть < 20мс)

Fabric Mode WLC интегрируется с LISP Control Plane

Control Plane централизован в WLC для всего функционала БЛВС

1

EID VNI RLOC

ab:12:cd:34:2f.56 10 192.168.1.1C

192.168.1.1

ab:12:cd:34:2f.56

FE1

35


ISE / AD

WLC

DNAC

SD-AccessFabric

BB

Абстракция

политик и

автоматизация

настройки

C

Fabric enabled WLC:

WLC - часть LISP control plane

VXLAN от ТД

маркирование и сегментация трафика от

границы сети

Оптимизированный распределенный Data Plane Fabric overlay с Anycast GW + «Растянутые» подсети

«Большие» VLAN без проблем

Любой роуминг происходит на втором уровнеFabric enabled ТД:

ТД инкапсулирует трафик

Fabric SSID в VXLAN

CAPWAP

Cntrl plane

VXLAN

Data plane

LISP

Cntrl plane

VXLAN

(Data Plane)

2Архитектура SD-Access WirelessОптимизация Data Plane

Автоматизация

DNAC упрощает развертывание фабрики,

включая интеграцию БЛВС

Централизованный Wireless Control Plane WLC управляет клиентскими сессиями AP Mgmt, Mobility, RRM и т.д.. Преимущества CUWN

LISP control plane Management

WLC интегрируется с LISP control plane

WLC уведомляет CP о беспроводных клиентах

Mobility является неотъемлемой часть фабрики

благодаря LISP CP

36


Архитектура SD-Access WirelessОптимизация Data Plane: Fabric Edge

Осуществляет идентификацию и аутентификациюпроводных клиентов

Регистрирует Endpoint ID (IP адрес) на Control-Plane Node(-ах)

Предоставляет VN сервис для беспроводных клиентов

Подключает ТД к «фабрике» и формирует до них VXLAN туннели

Реализует Anycast L3 Gateway для подключенных к нему клиентов

Fabric Edge Node основан на LISP Tunnel Router

Передает трафик пользователей и устройств подключенных к «фабрике»

2

C

Fabric Edge (FE)

37


Архитектура SD-Access WirelessОптимизация Data Plane: Anycast Gateway

Принцип работы аналогичен HSRP / VRRP с общимивиртуальными IP и MAC адресами

Одинаковый Switched Virtual Interface (SVI) настроен на каждом Edge с одинаковыми Virtual IP и MAC

Если хост перемещается от Edge A к Edge B, то ему не надо менять (L3) Default Gateway!

Anycast GW реализует единый L3 Default Gateway

Основан на Virtual IP address (VIP)

2

GW GW GW

C

IP 10.1.1.1

MAC ab:12:cd:34:ef:5610.1.1.1 10.1.1.1

FE A FE B

10.1.1.10 10.1.1.10

38


Архитектура SD-Access WirelessОптимизация Data Plane: «Растянутые» подсети

IP трафик хоста попадает на SVI его Fabric Edge и далее передается LISP-ом

LISP Dynamic EID осуществляет регистрацию и мобильность каждому хосту (/32, /128, MAC)

Нет необходимости «растягивать» VLAN на несколько коммутаторов доступа, чтобы хосты 1 и 2 имели L2 соседство

Клиент 1, подключенный к Fabric Edge (FE) A, может обмениваться трафиком с клиентами Fabric Edge (FE) B, т.к. они находятся в одной IP подсети.

Stretched subnets позволяет «растянуть» IP подсеть через оверлей

Основано на Anycast GW + LISP Dynamic EID + VXLAN overlay

2

GW GW GW

Dynamic

EID

FE A

10.1.1.10

FE B

C

10.1.1.110.1.1.1

10.1.1.11

39


Архитектура SD-Access WirelessОптимизация Data Plane: «Растянутые» подсети

Fabric mode AP – это ТД в режиме local и должна бытьнапрямую подключена к FE

CAPWAP control plane передается на WLC, используя «фабрику»

Режим Fabric включается на уровне SSID:

• Для SSID в режиме Fabric ТД преобразует трафик 802.11 в трафик 802.3 и инкапсулирует его в VXLAN, добавляя VNI иSGT атрибуты клиентского устройства

• Передает пользовательский трафик, используя forwarding table, получаемую от WLC. Обычно VXLAN DST – первый хоп на пути трафика.

ТД реализует все «беспроводные» фичи: политики SSID, AVC, QoS т.д.

Fabric Mode AP интегрируется с VXLAN Data Plane

Wireless Data Plane распределен между точками доступа

2

VXLAN

(Data)

CAPWAP

Control plane

40


Архитектура SD-Access WirelessУпрощение политик и Сегментирование

SD Fabric

B

CVXLAN

(Data)

IP payload 802.11IP

IP payload 802.3EIDIP

VXLANSRC: APDST:FEA

UDP

ТД удаляет заголовок 802.11

ТД добавляет заголовок 802.3/VXLAN/underlay IP2

1

3

FE A

FE B

41

Клиент A

Клиент B



SD Fabric

B

CVXLAN

(Data)


VXLANSRC: APDST:FEA

UDP

2

RClient SGT

16bitsClient VN

24bitsR

ТД добавляет информацию о политике к VXLAN заголовку и отправляет пакет

Клиентский VRF кодируется Layer 2 Virtual Network (L2 VNID)

Иерархическое сегментирование:

1. Virtual Network (VN) == VRF - изолированный Control Plane + Data

Plane

2. Scalable Group Tag (SGT) – Идентификатор группы пользователей

3

FE A

FE B

42

Клиент A

Клиент B



SD Fabric

B

CVXLAN

(Data)


VXLANSRC:FEADST:FEB

UDP

FE декапсулирует заголовок VXLAN, извлекает L2 VNID и определяет подходящий VLAN иL2 LISP.

Затем FEA производит поиск FE хоста назначения и инкапсулирует трафик для передачи на FE B

3

Клиент is placed in

the right VRF

3

FE A

FE B

43

FEA осуществляет

поиск в CP клиента B

Клиент A

Клиент B



SD Fabric

B

CVXLAN

(Data)


VXLANSRC:FEADST:FEB

UDP

FE удаляет внешний IP заголовок, анализирует L2 VNID и помещает его в нужный VLAN.

Применяет политику , основанную на анализе SGT, перед отправкой пакета получателю

4

Помещен в VRF

Применена SGT политика

Клиентская

политика

переносится

через

оверлей в

неизменном

виде

3

FE A

FE B

44

Клиент A

Клиент B


L3 Switch

LAN core

точка настройки

1. Задать группы в AD

2. Спроектировать и внедрить сеть в DNA-C

Создать виртуальные сети

Определить политики• Role/Group based

Применить политики• На основании SGT

3. Политика присваивается как результат авторизации и

применяется в любом месте сети

TrunkWLC

DNA Center

L3 Switch

VN

IDBYOD SGT

VXN

HDR

Fabric

SRC

Fabric

DSTEmployeeContractor

исходный пакет


Единый SSID

Production

Servers

Developer

Servers

AAA

DHCP

AD

Employee

SGT 100

BYOD

SGT 200

Contractor

SGT 300

Production Serv.

SGT 10

Developer Serv.

SGT 20

Corporate VN

Преимущества SD-Access WirelessВнедрение групповых политик пользователей

45


L3 Switch

LAN core

Точка управления

1. Задать группы в AD

2. Спроектировать и внедрить сеть в DNA-C Создать виртуальные сети

Определить политики• Role/Group based

Применить политики• На основании SGT

3. Upon user authentication, Policy is

automatically applied and carried end to end

TrunkWLC

DNA Center

L3 Switch


Единый SSID

Production

Servers

Developer

Servers

AAA

DHCP

AD

Employee

SGT 100

BYOD

SGT 200

Contractor

SGT 300

Production Serv.

SGT 10

Developer Serv.

SGT 20

Corporate VN

SD-Access Wireless Benefits Внедрение групповых политик пользователей

Guest Virtual Network

IoT/HVAC Virtual Network

единая

точка

настройки

46


с SDA

Data Plane распределенный и оптимизированный

Единая подсеть для упрощения дизайна

Мобильность – часть функционала «фабрики»

SD-Access Wireless Benefits Рабочее пространство нового поколения с SDA

Оптимизированный Data plane без недостатков распределенной обработки трафика

The

advantages

of distributed

DP without

the pain

WLC

DHCPDNSAAA

ADLDAP

Data Center WLC

SDA Fabric

C B

CAPWAP

(Control)

VXLAN

(Data)

Interface VLAN

vrf forwarding Employee

ip address 10.10.10.1/24

Interface VLAN

vrf forwarding Employee

ip address 10.10.10.1/24

47

Какие продукты поддерживаются?


Поддержка SD-Access оборудованием

ASR-1000-X

ASR-1000-HX

ISR 4430

ISR 4450

WirelessRoutingSwitching

AIR-CT5520

AIR-CT8540

Wave 2 APs (1800, 2800,3800)

Wave 1 APs* (1700, 2700,3700)

Catalyst 9400

Catalyst 9300

Catalyst 9500

Catalyst 4500E Catalyst 6K Nexus 7700

Catalyst 3850 and 3650

AIR-CT3504

CSRv

*с ограничениями

Subtended

CDB

2960-CX

3560-CX

NEW

NEW

NEWNEW

NEW

49


3504 WLC

• AIR-CT3504

• 1G/mGig

• AireOS 8.5+

SD-Access – интеграция БЛВС с фабрикойПоддержка аппаратурой

Wave 2 APs

• 1800/2800/3800

• 11ac Wave2 APs

• 1G/MGIG RJ45

• AireOS 8.5+

5520 WLC

• AIR-CT5520

• No 5508

• 1G/10G SFP+

• AireOS 8.5+

8540 WLC

• AIR-CT8540

• 8510 supported

• 1G/10G SFP+

• AireOS 8.5+

Wave 1 APs

• 1700/2700/3700

• 11ac Wave1 APs*

• 1G RJ45

• AireOS 8.5+

*with CaveatsNEW

50


Catalyst 9400

• Catalyst 9400

• Sup1E

• 9400 Cards

• IOS-XE 16.6.1+

SD-Access – Edge NodePlatform Support

Catalyst 4K

• Catalyst 4500

• Sup8E/9E (Uplinks)

• 4700 Cards (Down)

• IOS-XE 3.10.1+

Catalyst 3K

• Catalyst 3650/3850

• 1/MGIG RJ45

• 10/40G NM Cards

• IOS-XE 16.6.1+

Catalyst 9300

• Catalyst 9300

• 1/MGIG RJ45

• 10/40/mG NM Cards

• IOS-XE 16.6.1+

NEW NEW

For YourReference

51


Catalyst 9500

• Catalyst 9500

• 10/40G SFP/QSFP

• 10/40G NM Cards

• IOS-XE 16.6.1+

Catalyst 3K

• Catalyst 3850

• 1/10G SFP+

• 10/40G NM Cards

• IOS-XE 16.6.1+

SD-Access – Control-PlanePlatform Support

Catalyst 6K

• Catalyst 6800

• Sup2T/6T

• 6880-X or 6840-X

• IOS 15.5.1SY+

ASR1K, ISR4K & CSRv

• CSRv

• ASR 1000-X/HX

• ISR 4430/4450

• IOS-XE 16.6.1+

NEW

For YourReference

52


Catalyst 9500

• Catalyst 9500

• 40G QSFP

• 10/40G NM Cards

• IOS-XE 16.6.1+

SD-Access – Border Node Platform Support

Nexus 7K

• Nexus 7700

• Sup2E

• M3 Cards

• NXOS 7.3.2+

Catalyst 3K

• Catalyst 3850

• 1/10G SFP+

• 10/40G NM Cards• IOS-XE 16.6.1+

ASR1K & ISR4K

• ASR 1000-X/HX

• ISR 4430/4450

• 1/10G/40G

• IOS-XE 16.6.1+

Catalyst 6K

• Catalyst 6800

• Sup2T/6T

• 6880-X or 6840-X

• IOS 15.5.1SY+

NEW

For YourReference

53

SD-Access Wireless

Basic Flows


SD-Access Wireless Basic Workflows Add WLC to Fabric

• In DNAC, add WLC to Fabric Domain

• Fabric configuration is pushed to WLC. WLC becomes Fabric aware. Most importantly

WLC is configured with credentials to established a secure connection to CP

• WLC is ready to participate in SD-Access Wireless

SDA Fabric

B

C

DNAC

1

1

2

2

3

FE1

Fabric WLC

55


SD-Access Wireless Basic Workflows AP Join

• User configure AP pool in DNAC. DNAC pre-provision a configuration macro on the FEs

• AP is plugged in and powers up. FE discovers it’s an AP via CDP and applies the macro

to assign the switch port the the right VLAN

• AP gets an IP address via DHCP. AP is registered as a “special” wired host to Fabric

IP Network

B

C

DNAC

1

1

2

AP directly connected

CDP

2

3

FE1

Fabric WLC

56


4


Fabric Edge registers AP’s IP address (EID) and updates the Control Plane (CP)

AP joins WLC using traditional methods. Fabric AP joins as a Local mode AP

WLC checks if it is fabric-capable (Wave 2 or Wave 1 APs)

If AP is supported for Fabric, WLC queries the CP to know if AP is connected to Fabric

SDA Fabric

B

C

AP CheckAP RLOC?

67

5

4

6

7

5

AP EID register

FE1

CAPWAP Join

CAPWAP in VXLAN

Fabric WLC

57



SDA Fabric

B

C

AP RLOC

9

8

AP L2 EID register

Control Plane (CP) replies to WLC with RLOC. This means AP is attached to Fabric

WLC does a L2 LISP registration for AP in CP (a.k.a. AP “special” secure Клиент

registration). This is used to pass important metadata information from WLC to the FE

8

9

FE1

Fabric WLC

58



• In response to this proxy registration, Control Plane (CP) notifies Fabric Edge and pass the metadata received from WLC (flag that says it’s an AP and the AP IP address)

• Fabric Edge processes the information, it learns it’s an AP and creates a VXLAN tunnel interface to the specified IP (optimization: switch side is ready for Клиентs to join)

SDA Fabric

B

C

AP EID update

FE1

interface Tunnel

Fabric WLC

59

10

11

10

11


SD-Access Wireless Basic Workflows Клиент Onboarding

• Клиент authenticates to a Fabric enabled WLAN. WLC gets SGT from ISE, updates AP with

Клиент L2VNID and SGT. WLC knows RLOC of AP from internal DB

SDA Fabric

B

C

1

1

Клиент Join

Fabric WLC

Клиент SGT/VNID and RLOC

CAPWAP in VXLAN

FE1

60



• Клиент authenticates to a Fabric enabled WLAN. WLC gets SGT from ISE, updates AP with

Клиент L2VNID and SGT. WLC knows RLOC of AP from internal DB

• WLC proxy registers Клиент L2 info in CP; this is LISP modified message to pass additional info,

like the Клиент SGT

• FE gets notified by CP and adds Клиент MAC in L2 forwarding table and go and fetch the policy

from ISE based on the Клиент SGT

SDA Fabric

B

C

2Клиент MAC register

1

2

3

Клиент in FWD

table

3

Fabric WLC

FE1

61



• Клиент initiates DHCP Request

• AP encapsulates it in VXLAN with L2 VNI info

• Fabric Edge maps L2 VNID to VLAN interface and forwards DHCP in the overlay (same as

for a wired Fabric Клиент)

SDA Fabric

C

4

5

4

5

6

B

DHCP packet + L2 vnid

6

DHCP flow

Fabric WLC

DHCP

FE1

62



• Клиент receives an IP address from DHCP

• DHCP snooping (and/or ARP for static) triggers a Клиент register by the Fabric Edge to the

CP

This completes Клиент onboarding process

SDA Fabric

B

C8

Клиент IP, L3 VNI, RLOC IP

7

8

C

Fabric WLC

DHCP

7FE1

63


SD-Access Wireless Basic Workflows Клиент Roams

• Клиент roams to AP2 on FE2 (inter-switch roaming). WLC get’s notified by AP

• WLC updates the L2 MAC entry in CP with new RLOC FE2

• WLC also updates forwarding table on AP

1

SDA Fabric

B

C

FE1

FE2

AP1

AP2

2

C1

2

3

Клиент L2 MAC entry

update

Клиент update to AP

3

Fabric WLC

64


SD-Access Wireless Basic Workflows Клиент Roams

• CP then notifies

• Fabric Edge FE2 to add the Клиент MAC to forwarding table pointing to tunnel

• Fabric Edge FE1 to do clean up for the wireless Клиент

• Fabric Border to update internal RLOC for this Клиент

• FE will update the L3 entry (IP) in CP data base upon receiving traffic

• Roam is Layer 2 as FE2 has the same VLAN interface (Anycast GW)

4

SDA Fabric

B

FE1

FE2

AP1

AP2

4

5

5

Клиент IP, L3 VNI, RLOC IP

6

C

Fabric WLC

20.2.4.1/20Клиент SVI

20.2.4.1/20Клиент SVI

65

SD-Access Wireless

Особенности дизайна


ISE / AD

SD-Access

Fabric

C

BB

APIC-EM ISE / AD

SD-Access

Fabric

C

BB

APIC-EM

Интеграция БЛВС в SDA «Фабрику»

SD-Access WirelessCUWN БЛВС «поверх» (OTT)

VS.

Non-Fabric

WLC

Non-Fabric

APs

Fabric enabled

APs

Fabric

enabled WLC

CAPWAP для Control Plane и Data Plane

SDA Fabric – просто транспорт

Поддерживается любым ПО и всеми моделями

WLC/AP

Предварительный этап перед полноценным SDA

CAPWAP Control Plane, VXLAN Data plane

WLC/APs интегрированы в «Фабрику»,

преимущества SD-Access

Требуется обновление ПО (8.5+)

Оптимально работает с 802.11ac Wave 2 ТД

CAPWAP

Cntrl & Data

CAPWAP

Cntrl plane

VXLAN

Data plane

67


CUWN Over the Top (OTT)

• Определение:• Wireless OTT: БЛВС CAPWAP является «внешним» сервисом для «Фабрики»:

т.е. традиционная БЛВС. «Фабрика» является простейшим сервисом для CAPWAP.

• Почему wireless OTT?• Вариант развития сети: миграция на «фабрику» проводной части сети,

получения опыта, ограничения бюджета и т.д..)

• Отсутствие подходящей аппаратуры: заказчик не хочет или не может мигрировать на новые программные/аппаратные средства, необходимые для внедрения «фабрики»

SD-Access

Fabric

Non Fabric APNon Fabric WLC

CAPWAP tunnel

68


SD-Access Wireless Network DesignWireless as an Overlay (OTT)

WLC подключается вне «фабрики»

Border анонсирует WLC Management подсеть в «фабрику»

Border анонсирует префиксы «фабрики» в сеть WLC Management

EID prefix 10.1.0.0/20

192.168.1.0/24

WLC Mgmt subnet

IP Network

BSDA Fabric

10.1.0.200

192.168.1.5

Mgmt InterfaceC

69



IP Network

BSDA Fabric

10.1.0.200

ТД расположены в оверлейном пространстве на коммутаторах Fabric

Единая подсеть для всех ТД в кампусе

ТД регистрируются в Host Tracking Database (CP) как проводные клиенты

Упрощенный дизайн подключения ТД (единая подсеть)

10.1.0.254/20

AP VLAN

10.1.0.254/20

AP VLAN

10.1.0.201

C

70



IP Network

BSDA Fabric

10.2.7.254.35

SSID привязываются к VLAN/Subnet на WLC в виде dynamic interfaces

Border анонсирует подсети беспроводных клиентов в «Фабрику»

10.2.7.254.0/21

Wireless Клиентs Subnet

10.2.7.5/21

Dynamic InterfaceC

71



IP Network

BSDA Fabric

CAPWAP туннель строится между ТД и контроллером

Трафик приходит на Fabric Edge коммутатор, который инкапсулирует CAPWAP в VXLAN и отправляет его на Border

Внешний VXLAN заголовок удаляется, и внутренний CAPWAP пакет пересылается контроллеру

10.2.7.5/21

Dynamic Interface

CAPWAP CAPWAP in VXLAN CAPWAP

C

72



IP Network

BSDA Fabric

10.2.7.254.35

Клиенты аутентифицируются и подключаются контроллером БЛВС

Клиенты БЛВС в этом случае являются внешними для «фабрики»

10.2.7.5/21

Dynamic Interface

CAPWAP CAPWAP in VXLAN CAPWAP

active WLC

C

73



IP Network

BSDA Fabric

10.2.7.254.35

Обмен трафиком между проводным хостом в «Фабрике» и беспроводным клиентом вне ее происходит через Internal Border – АНАЛОГИЧНО ЦЕНТРАЛИЗОВАННОЙ КОММУТАЦИИ CUWN!!

С точки зрения «Фабрики», это – обычная коммуникация фабрик-хоста с хостом, лежащим за ее пределами

10.2.7.5/21

Dynamic Interface

active WLC

wired host

10.1.18.24

C

74


SD-Access Wireless Network DesignWireless as an Overlay (OTT) - Особенности

IP Network

B

SDA Fabric

CAPWAP CAPWAP in VXLAN OTT WLC

C

Единая сеть для

ТД – простота

внедрения ТД

Поддерживаются

все модели ТД

Увеличьте MTU на

пути трафика, чтобы

предотвратить

сегментацию

Внешний по

отношению к

«фабрике».

Нет надобности в

обновлении.

Cisco Prime

Для управления

используйте Cisco

Prime

75

SD-Access WirelessIntegrated Design


SD-Access Wireless Network DesignИнтегрированная БЛВС

WLC подключаются как внешнее по отношению к «фабрике» устройство

WLC должен располагаться локально к ТД –Flex или WLC через WAN не поддерживается

Border анонсирует подсеть WLC Management в «фабрику»

Border анонсирует префиксы «фабрики» в сеть WLC Management

APs’ EID prefix 10.1.0.0/20

192.168.1.0/24

WLC Mgmt subnet

IP Network

BSDA Fabric

C

Fabric WLC

77



IP Network

BSDA Fabric

10.1.0.200

Точки доступа напрямую подключены к Fabric Edge

ТД работают в оверлей пространстве фабрики на Fabric Edges

Единая подсеть для ТД в рамках всей «Фабрики»

ТД регистрируются в CP базе данных

Упрощенный дизайн IP для ТД (единая подсеть)

10.1.0.254/20AP VLAN

10.1.0.254/20

AP VLAN

10.1.0.201


C

Fabric WLC

78



IP Network

BSDA Fabric

Клиентские подсети распределены по Fabric Edge коммутаторам

Нет необходимости указывать клиентские подсети на WLC

Клиентские подсети привязаны к VLAN с Anycast Gateway на всех Fabric коммутаторах

Только Layer-2 роуминг

20.2.4.0/20

Клиентский VLAN


20.2.4.0/20


20.2.4.13

20.2.4.80

C

Fabric WLC

79



IP Network

BSDA Fabric

Трафик беспроводных клиентов обрабатывается распределенно

Контроллер БЛВС вне пути трафика

Обмен трафиком с проводным клиентом осуществляется напрямую через «фабрику»

10.1.18.0/20


20.2.4.0/20


20.2.4.13

проводной хост

10.1.18.24

C

Fabric WLC

80



IP Network

BSDA Fabric

Включение в «фабрику» включается для каждого WLAN

CAPWAP WLAN может одновременно использоваться с Fabric-enabled WLAN на одном и том же Fabric-enabled WLC

172.16.3.5/24

Dynamic interface

20.2.4.0/20


20.2.4.13

172.16.3.80

C

Non-Fabric SSID

Fabric SSID

81

Гостевой доступ


Гостевой доступ SD-Access WirelessТрадиционное решение CUWN с Anchor контроллером

InternetSDA Fabric

Гостевой WLAN привязан к Guest Anchor в DMZ

Проверенное CUWN решение, защита инвестиций

Ограничение в 71 Guest Tunnels

Отдельное решение от Wired Guest, Anchor WLC настраивается отдельно

10.10.10.40

DMZ

B

Foreign WLC Anchor WLC

C

CAPWAP

EoIP

83


Гостевой доступ SD-Access WirelessВсе интегрировано в DNAC

1. Интеграция ISE и

DNA-C

2. Настройка «в одном

окне»

84


Гостевой доступ SD-Access WirelessВыделенная VN для гостей

InternetSDA Fabric

Гостевой сервис – это всего лишь еще одна VN в «фабрике», созданная через DNAC

Использует возможности «фабрики» по сегментации (VNI, SGT)

Можно использовать «точечные» политики доступа для гостевой VN с помощью SGT

Единое решение и политика для проводного и беспроводного гостевого доступа

10.10.10.40

DMZ

B

WLC

Guest VRF

C

85


Гостевой доступ SD-Access WirelessГостевая сеть как выделенный Fabric Domain

InternetSDA Fabric

Решение гостевого доступа, управляемое DNA-C

Использует выделенный Control/Data Plane

Единое решение для проводного и беспроводного гостевого доступа

Единая политика для проводного и беспроводного гостевого доступа

Лучшая масштабируемость гостевых VXLAN туннелей на Guest Border

10.10.10.40

DMZ

B

WLC Guest FB

C

BC

86

Мультикаст


SD-Access Fabric

Важная информация:

Мультикаст трафик передается через оверлей в пространстве EID как для проводных, так и беспроводных клиентов

Для включения передачи мультикаст трафика для беспроводных клиентов, режим Global Multicast и IGMP snooping должны быть включены на WLC

В начальной версии ПО мультикаст трафик используетhead-end replication

Мультикаст

non

Fabric

FE1

Multicast source

Overlay

VXLAN tunnels

B

FE2

VXLAN

FB

Fabric RP

88


SD-Access FabricКак передается мультикаст – от Multicast Receiver до RP

non

Fabric

FE

Multicast source

Multicast клиент (приемник) находится в оверлее, источник мультикаст трафика может быть как вне, так и внутри «фабрики»

PIM-SM/PIM-SSM должны быть включены в оверлее

Клиент отсылает IGMP join для интересующей его мультикаст группы (G)

ТД инкапсулирует его в VXLAN и отсылает коммутатору.

Fabric Edge node (FE) обрабатывает IGMP запрос и отсылает PIM Join на Fabric Rendezvous Point RP (предполагаем, что используется PIM-SM)

RP должна присутствовать в оверлее как часть адресного пространства клиентских хостов.

IGMP join

Underlay

VXLAN

PIM join

B

FB

Fabric RP

89


SD-Access FabricКак передается мультикаст – От источника мультикаст трафика до RP

non

Fabric

FE

Multicast source

Источник мультикаст трафика отсылает его Fabric Border(FB), т.к. он является DR для данного сегмента.

FB получает мультикаст трафик и отсылает PIM Join в сторону RP (используется PIM-SM)

Теперь RP имеет информацию как об источниках, так и приемниках мулькаст трафика данной группы.

Underlay

VXLAN

PIM join

B Multicast traffic

FB

Fabric RP

90


SD-Access FabricКак передается мультикаст – Data Plane

non

Fabric

FE

Multicast source

Мы уже знаем, что RP имеет информацию об источнике и приемниках для данной мультикаст группы.

FB посредством VXLAN туннеля отсылает мультиксттрафик на RP, а RP, в свою очередь, пересылает данный трафик нужному FE с помощью другого VXLAN туннеля.

FE получает VXLAN пакеты, декапсулирует их, применяет политики, после чего отправляет точке доступа в VXLAN туннеле.

ТД удаляет VXLAN заголовок и пересылает исходный IP мультикаст пакет нужным клиентам.

Underlay

VXLAN

B

VXLAN tunnels

FB

Fabric RP

91


SD-Access Fabric После того как первый пакет приходит на FE, срабатывает

shortest path failover (SPT) и трафик начинает «ходить» между FB и FE напрямую.

FE узнает, что именно данный FB подключен к мультикастисточнику после анализа первого мультикаст пакета, и отсылает PIM join напрямую к FB для данной мультикстгруппе.

FB теперь знает, какие FE-и имеют клиентов, запрашивающих трафик определенных групп.

Он осуществляет репликацию и VXLAN инкапсуляцию мультикаст трафика, после чего отправляет его юникастом каждому из заинтересованных FE-ей

Мультикаст трафик передается через оверлей

FE получает VXLAN пакеты, декапсулирует, применяет политики и отправляет их на ТД.

ТД удаляет VXLAN заголовок и отправляет исходный IP мультикаст пакет нужным клиентам

Как передается мультикаст

non

Fabric

FE1

Multicast source

Overlay

VXLAN tunnels

B

FE2

VXLAN

FB

Fabric RP

92

Высокая доступность SD-Access Wireless


SD-Access Wireless HAРезервирование контроллеров БЛВС с помощью SSO

Wireless LAN Controller узел control plane в «фабрике»

• WLC регистрирует беспроводных клиентов в Host

Tracking DB. В терминах LISP WLC работает как

Proxy ETR

• WLC подключается вне «фабрики»

• Резервирование SSO• Пара WLC SSO видятся «фабрикой» одним узлом

• Только активный WLC взаимодействует с CP, при этом

состояние этого взаимодействия синхронизируется между

активным и резервным контроллерами

• В случае аварии, новый активный WLC шлет CP node

обновления для всех активных клиентов (LISP-refresh)

• ТД и клиенты остаются подключенными

C

Active Standby

SSO pair

CPB B

94


SD-Access Wireless HAWLC redundancy with SSO

Wireless LAN Controller узел control plane в «фабрике»


Tracking DB. В терминах LISP WLC работает как

Proxy ETR


• Резервирование SSO• Пара WLC SSO видятся «фабрикой» одним узлом

• Только активный WLC взаимодействует с CP, при этом

состояние этого взаимодействия синхронизируется между

активным и резервным контроллерами

• В случае аварии, новый активный WLC шлет CP node

обновления для всех активных клиентов (LISP-refresh)

• ТД и клиенты остаются подключенными

C

Active

HTDBB B

Bulk update

95


SD-Access Wireless HAWLC резервирование N+1

Wireless Lan Controller узел control plane в «фабрике»


Tracking DB. В терминах LISP WLC работает как Proxy

ETR


Stateless Redundancy в форме N+1• На ТД настраиваются Primary и Secondary контроллеры

• ТД и клиенты изначально используют Primary

• В случае его отказа, ТД подключается к Secondary

• Клиенты также отключаются и подключаются к Secondary

• Secondary осуществляет регистрацию клиентов на CP

C

SecondaryPrimary

B B

CAPWAP Control

Клиентs registrations

96

не поддерживается

DNAC (план ноябрь)


SD-Access Wireless HAОтказоустойчивость Control Plane

Control Plane основан на LISP Map Server / Resolver

Host Database содержит привязку Endpoint ID к

Edge Node и некоторую другую информацию

(например SGT)

Поддерживается сценарий Active / Active

отказоустойчивости

На WLC (и Fabric Edges) настраиваются два CP

узла, синхронизация происходит с обоими

если один из них выходит из строя, вся клиентская

информация доступна через оставшийся CP узел

C

B

C

Клиент updates

97


SD-Access Wireless HAОтказоустойчивость CP

Control Plane базируется на LISP Map Server / Resolver

C

B

C

Client updates

98

Branch Design


SD-Access Wireless – Branch DesignDedicated Branch Fabric Domain

WLC

Campus Fabric

C B

ISE / AD DNAC

Campus

Core

Services blockWAN Branch

Fabric

Benefits:

Support for any WAN link latency

Direct Internet Access available

Considerations

Need a local WLC

Limited scalability in DNAC version 1 in terms of number of branches (10 Fabric domains in November release)

local WLCInternet

C B

Per branch Fabric:

dedicated FB, CP and WLC

B

100

SD-Access Wireless

Adoption/Migration scenarios


SD-Access Wireless Adoption

The focus for FCS is greenfield

It’s a journey….

1 Supported adoption scenarios for AireOS

2 Best practices for adoption

102


ISE / AD

SD-Access

Fabric

C

BB

APIC-EM ISE / AD

SD-Access

Fabric

C

BB

APIC-EM

Wireless Integration in SDA Fabric

SD-Access WirelessCUWN wireless Over The Top (OTT)

VS.

Non-Fabric

WLC

Non-Fabric

APs

Fabric enabled

APs

Fabric

enabled WLC

CAPWAP for Control Plane and Data Plane

SDA Fabric is just a transport

Supported on any WLC/AP software and hardware

Migration step to full SDA

CAPWAP Control Plane, VXLAN Data plane

WLC/APs integrated in Fabric, SD-Access advantages

Requires software upgrade (8.5+)

Optimized for 802.11ac Wave 2 APs

CAPWAP

Cntrl & Data

CAPWAP

Cntrl plane

VXLAN

Data plane

103


SD-Access Wireless AdoptionNew Cisco wireless customer

Wired

SDA?

New Wireless

customer

“Pure overlay

wireless” play

No

Greenfield

“Overlay to Fabric”

No

Yes Yes Greenfield

Fabric wireless

integration

Full SDA value

Tested and supported

Recommended for FCS

Value prop

for SD-

Access

Wireless?

Fabric wired first

Wireless is an Overlay

Today only Centralized

Wireless is supported

1

104


Internet

SD-Access Wireless AdoptionGreenfield building – requirements and adoption steps

Fabric building

Guest Fabric node (FB)

ISE / AD

SD-Access

Fabric

DNAC

VXLAN tunnel to

Guest FB

Fabric

WLC

CAPWAP Control

VXLAN

SSIDGuest

SSIDBlizzard

BYOD EmployeeContractor

Fabric APs

VXLAN

(Data)

Requirements HW/SW:

• WLC 3504/5520/8540 with 8.5

• Wave 2 or Wave 1 AP

• ISE 2.3

• Selected devices and software for

FE/FB/CP nodes

Policy:

• Policy based on SGTs and VNIs

Guest

• Dedicated Fabric Domain for Guest

Management/Automation

• DNA-C

Troubleshooting and Assurance

• DNAC

Adoption steps

• Deploy Fabric on the wired side first, including ISE

• Connect WLC external to Fabric

• Configure IP pools in DHCP server

• Use DNA-C for Fabric configuration:

Configure a site for your Fabric buildings

Define the IP pools for the APs and Клиентs

Configure Virtual Networks (one for Guest)

Configure Policies within the VNs

Configure SSIDs and associated IP Pools

Provision WLC to site and add to Fabric

Connect APs to Fabric Edges

• Connect the APs and verify they join the WLC

• Associate Клиентs and verify the basic

connectivity

CBB C

2

105


Internet

SD-Access Wireless AdoptionGreenfield building

Fabric building

Guest Fabric node (FB)

ISE / AD

SD-Access

Fabric

DNAC

VXLAN tunnel to

Guest FB

Fabric

WLC

CAPWAP Control

VXLAN

SSIDGuest

SSIDBlizzard

BYOD EmployeeContractor

Fabric APs

VXLAN

(Data)

CBB C

Full SD-Access Wireless value

DNAC and NDP for Automation & Assurance

Virtual Networks for Segmentation (ex Employee, IoT, Guest)

ISE for SGT Access Control within VRF (ex. Contractor, BYOD,

Employees)

Subnet extension across Campus with distributed data plane

Optimized path for Guest and no Anchor WLC

And more…

2

106


SD-Access Wireless AdoptionExisting Cisco wireless customer

Wired

SDA?

Existing Cisco

Wireless

customer

“Pure overlay

wireless” play

No

“Overlay to Fabric”:

Brownfield OTT solution

“Don’t touch my wireless”

Prime for Management

No

Yes Yes

Brownfield

• Isolated building/Campus in one

shot (equivalent to Greenfield)

• Multiple buildings with nomadic

roaming (*)

Migration to SDA

wireless

Value prop

for SD-

Access

Wireless?

(*) Nomadic and seamless roaming here refers to roaming between Fabric and non-Fabric wireless deployments.

Nomadic Roaming = same SSID, but Клиент’s IP addressing changes

1

107


SD-Access Wireless AdoptionMigration for an existing CUWN deployment

Customer has a site with AireOS Centralized wireless

Assumptions: Migration to Fabric happens in a single area (e.g. building) at the time and migration is in one shot

No need for seamless roaming between new SDA area and the existing wireless deployment

DHCP

Services Block

ISE

Cisco Prime

Area 1

Area 2

Non Fabric

Non Fabric

2

108



Migrate wired network to Fabric first

Add DNAC and ISE (if not present already)

Wireless is over the top

DHCP

Services Block

ISE

Cisco Prime

Area 1

Area 2

Non Fabric

1

SD FabricB

C

DNAC

2

3CAPWAP

CAPWAP

2

109



Add a dedicated WLC for SD-Access and configure it with same SSIDs

on CUWN WLC, configure the APs in the area to join the new Fabric WLC

Traffic now goes through the Fabric

DHCP

Services Block

ISE

Cisco Prime

Area 1

Area 2

Non Fabric

1

SD FabricB

C

DNAC

2

3

SDA WLC

VXLAN

(Data)

CAPWAP Cntrl

CAPWAP Control

VXLAN

2

No seamless

roaming

110



Recommendations

Prime for CUWN areas, DNAC for SDA areas

Dedicated WLC for SD-Access Wireless

Same SSIDs on Fabric and non-Fabric

DHCP

Services Block

ISE

Cisco Prime

Area 1

Area 2

Non Fabric

SD FabricB

C

DNAC

SDA WLC

VXLAN

(Data)

CAPWAP Cntrl

Same RF Groups for CUWN WLC and SDA WLC

WLCs in different Mobility Group (no seamless

roaming between areas)

2

No seamless

roaming

111


Traditional Campus

Guest Anchor

Shared WLC

EoIP

CAPWAP

Shared controller for SDA and CUWN• Shared WLC can manage Fabric and non-Fabric

APs but needs \upgrade to 8.5

• New code = more risk for existing non-Fabric

buildings

Management:• DNAC cannot manage non-Fabric WLC in

brownfield scenarios

• So shared WLC means no DNAC automation

• DNAC can be used for wired and Assurance

• Recommended Prime for non-Fabric wireless

Guest and Policy:• Can leverage existing Guest Anchor also for Fabric

area/building

• Can leverage ISE for both

WLAN Design:• Fabric is enabled per SSID

• To have same SSID name in both areas:1. Need to define and apply AP Groups

2. Need WLANs with same SSID name but

different WLAN profiles

ISE

SD-Access Wireless AdoptionConsideration for shared WLC for Fabric and non-Fabric

Blizzard

Fabric

APs

SD-Access

Fabric

B CP

CAPWAP

Control

VXLAN

Blizzard

Non-

Fabric

APs

No roaming

between

Fabric and

non-Fabric

Cisco PrimeDNAC

2

Area 1Area 2

112

Key Takeaways


Software-Defined Access SummaryManage Business Outcomes Instead of Managing the Network

Use policy-based automated

provisioning from edge to cloud.

Policy Automation

Look at the entire network as a

single entity and find problems

before your users do.

Network Analytics

Quickly enable network services

across a complete ecosystem

Services Enablement

DNAC automates the Design,

Policy and Provision

Brownfield Integration for

investment protection

Lower OpEx

Policy-based

Automation

Complete

Network Visibility

Fast, Easy

Service Enablement


SDA for MobilityInnovate Faster with Fabric-Enabled Wireless

Software Defined Wireless

Centralized management across wired-wireless

Secure Policy based Automation

Optimized distributed traffic flows for future scalability

Simplified enablement of Wi-Fi Services

Simplified Provisioning

Optimized data plane with Campus-Wide Roaming

Wired and Wireless Policy Consistency

Seamless L2 roam

across Campus

Policy stays with user

Consistent Policy for

Wired/Wireless

Easy end to end Virtualization and Segmentation

DNA Center

Thank you

Архитектура Cisco SD-Access для беспроводных корпоративных...

Technology

Transcript of Архитектура Cisco SD-Access для беспроводных корпоративных...