Connected mobile experience-интеллектуальные сервисы беспроводных сетей Cisco
Архитектура Cisco SD-Access для беспроводных корпоративных...
-
Upload
cisco-russia -
Category
Technology
-
view
95 -
download
2
Transcript of Архитектура Cisco SD-Access для беспроводных корпоративных...
Архитектура SD-Accessбеспроводных корпоративных сетей
Виктор Платов
инженер-консультант, Enterprise Mobility, CCIE #24288
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Agenda
SD-Access: why would your customer care? Why Fabric?
Архитектура SD-Access Wireless
Adoption/Migration scenarios
SDA: Key takeaways
2
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Software Defined Access – Wireless IntegrationSession Objective
Is your Campus Network facing some, or all, of these challenges?
• Host and IoT onboarding and Mobility (w/o stretching VLANs)
• Network Segmentation (w/o implementing MPLS)
• Role-based Access Control (w/o hop-by-hop TrustSec)
• Common Policy for Wired and Wireless (w/o using multiple tools)
• Consistency Across Campus, WAN and Branch (w/o using multiple tools)
The goal of this session is to explain the value of SD-Access Fabric and show you how
with DNA SD-Access Wireless you can overcome some of these challenges.
3
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Digital Transformation - Challenge for Enterprise IT
Spent of
Network Operations$60BResources
Data growth
Connected devices
Threat surface areas
An evolved world needs a network evolved.
Mobility IoT Cloud Devices per
Person
3.64Things
Connected
7.5B
Enterprise Trends driving Digital Transformation
4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Key Challenges for Traditional Networks
Slow Issue ResolutionComplex to ManageSecure Onboarding
More users and endpoints
Policy based on VLANs
Very hard to Segment
Very little Automation
Mostly all CLI driven
Error prone
Separate user policies for
wired and wireless networks
Different policy definition and
enforcement points
Traditional Networks Cannot Keep Up!
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Industry Best-Practices
and Policy Compliance
Decouple Policy from Network
Topology
Proactive Issue Identification and
Resolution
Simple Policy Definition
and Enforcement
Monitoring
and Troubleshooting
Automation Assurance
Introducing Software-Defined AccessPolicy-Based Automation from Edge to Cloud
Secure Fabric
Virtual Networks and
Groups Made Easy
6
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
DNA Software Capabilities
Cloud Service Management
Automation Analytics
Virtualization
DNA-Ready Physical and Virtual infrastructure
Security
DNA CenterAPIC-EM, ISE, NDP
SD-Access Wireless
SD-Access Fabric:why would you care?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Enterprise Network
PAYLOAD DATA IP SRC IP DSTPROTDST
PORTSRC
PORTDSCP
• Only Transitive information• Survives end to end
Policy is based on “5 Tuple”
• QoS
• Security
• Redirect/copy
• Traffic engineering
• etc.
Network Policy
What is the Problem?Policy Model Today
10
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Enterprise Network
PAYLOAD DATA IP SRC IP DSTPROTDST
PORTSRC
PORTDSCP
User/device info?
Network Policy
IP
ADDRESSES
Locate you Identify you Drive “treatment” Constrain you
IP Address “meaning” OVERLOAD
VLAN 10
SSID B
SSID A
VLAN 20
VLAN 40
SSID D
SSID C
VLAN 30
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
What is the Problem?Policy Model Today
11
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
What is the Problem?User Group policy rollout - Today
Customer Policy requirements:
Customer
requirements
Customer
Policy
Three user Groups
One single SSID
Differentiated policies per Group
Guest segmentation (wired and wireless)
Employee
BYOD
Contractor
Production
Serv.Developer Serv.
L2 Switch
L3 Switch
Trunks
Trunk
BYOD Employee Contractor
One SSID
Production
Servers
AAA
DHCP
AD
WLC
Developer
Servers
LAN Core
Network
Touch Points
12
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
L2 Switch
L3 Switch
Trunks
Trunk
BYOD Employee Contractor
One SSID
Production
Servers
AAA
DHCP
WLAN
Developer
Servers
LAN Core
Multiple Steps and
Touch Points
1. Define Groups in AD
2. Define Policies VLAN/subnet based
3. Implement VLANs/Subnets Create VLANs
Define DHCP scope
Create subnets and L3 interfaces
Routing for new subnets
Map SSID to Interface/VLAN
4. Implement Policy Define ACLs
Apply ACLs
5. Many different User Interfaces
AAA WLC Devices CLI
….
What is the Problem?User Group policy rollout - Today
What if You Need to Add Another Group & Policy?
AD
13
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Campus
What is the Problem?Workspace of the future
You need a Distributed Data plane without the complications that normally comes along in terms of IP addressing, roaming, etc.
Is the
Centralized
WLC a
pb??
WLC
DHCPDNSAAA
ADLDAP
Data Center WLCWhat about…
Fully leveraging the speed of 802.11ac/ax?
Mobility everywhere
Handling east-west traffic from tools like Spark room? And Video, video and video…
Onbording Sensors and IoT devices securely
Leveraging great innovation at the switch level
etc...
What
about IP
addressing
design?
14
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
But What If …
If we could “break the dependence” between IP addressing and policy, we could greatly simplify networks – and make networks much more functional.
… we could make the IP address
just be a LOCATOR for you, and
provide other ways to group users /
devices to apply POLICY?
Key Assertion
15
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
With a Fabric…
If we could “break the dependence” between IP addressing and policy, we could greatly simplify networks – and make networks much more functional.
… we could make the IP address
just be a LOCATOR for you, and
provide other ways to group users /
devices to apply POLICY?
Key Assertion
You could build and run your network in a simpler way …
Apply Policy irrespectively of network constructs (VLAN, subnet, IP address)
Easily implement Network Segmentation (w/o implementing MPLS)
Provide L2 and L3 flexibility (w/o stretching VLANs)
16
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
What exactly is a Fabric?
A Fabric provides an Overlay networkAn Overlay is a logical topology used to virtually connect devices, built on top of some arbitrary physical Underlay topology.
An Overlay network often uses alternate forwarding attributes to provide additional services, not provided by the Underlay.
• GRE or mGRE
• MPLS or VPLS
• IPSec or DMVPN
• CAPWAP
• LISP
• OTV
• DFA
• ACI
Examples of Network Overlays
17
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
What exactly is a Fabric?
Flexible Virtual Services• Mobility - Map Endpoints to Edges
• Services - Deliver using Overlay
• Scalability - Reduce Protocol State
• Flexible and Programmable
Simple Transport Forwarding• Redundant Devices and Paths
• Keep It Simple and Manageable
• Optimize Packet Handling
• Maximize Network Reliability (HA)
Separation of the “Forwarding Plane” from the “Services Plane”
IT Challenge (Business): Network Uptime IT Challenge (Employee): New Services
The Boss YOU The User
18
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
What is unique about SDA Fabric?Key components
1. Control-Plane based on LISP
2. Data-Plane based on VXLAN
3. Policy-Plane with Cisco TrustSec (CTS)
UADP and QFPallow for Flexibility –Key to Supporting theEvolution to Network
Fabrics
Cisco Hardware and Software innovationsKey Differences
• L2 + L3 Overlay -vs- L2 or L3 Only
• Host Mobility with Anycast Gateway
• Adds VRF + SGT into Data-Plane
• Virtual Tunnel Endpoints (No Static)
• No Topology Limitations (Basic IP)
VRF + SGT
19
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Locator / ID Separation ProtocolLocation and Identity separation
IP core
Device IPv4 or IPv6
Address represents both
Identity and Location
Traditional Behavior -
Location + ID are “Combined”
10.1.0.1When the Device moves, it gets a
new IPv4 or IPv6 Address for its new
Identity and Location
20.2.0.9
Device IPv4 or IPv6 Address
represents Identity only
End Point ID (EID) space
When the Device moves, it keeps
the same IPv4 or IPv6 Address.
It has the Same Identity
Overlay Behavior -
Location & ID are “Separated”
IP core
Only the Location Changes
(Route Locator (RLOC)
10.1.0.1
10.1.0.1
Location is Here
20
192.168.1.1192.168.25.1
Underlay addressing space
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ORIGINAL
PACKETPAYLOADETHERNET IP
PACKET IN
LISPPAYLOADIPLISPUDPIPETHERNET
PAYLOADETHERNET IPVXLANUDPIPETHERNETPACKET IN
VXLAN
Supports L2
& L3 Overlay
Supports L3
Overlay
What is unique about SDA Fabric?Key Components - VXLAN
1. Control-Plane based on LISP
2. Data-Plane based on VXLAN
21
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
What is unique about SDA Fabric?Key Components – Cisco TrustSec (CTS)
1. Control-Plane based on LISP
2. Data-Plane based on VXLAN
3. Policy-Plane based on CTS
PAYLOADETHERNET IPVXLANUDPIPETHERNET
VRF + SGT
VRF = Virtual Routing & Forwarding
SGT = Scalable Group Tagging
22
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco TrustSecTraditional Access Control is Extremely Complex
Access Layer
EnterpriseBackbone
VoiceVLAN
Voice
DataVLAN
Employee
Aggregation Layer
Supplier
GuestVLAN
BYOD
BYODVLAN
Non-Compliant
QuarantineVLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL VACLLimits of Traditional
Segmentation
• Security Policy based on
Topology (Address)
• High cost and complex
maintenance
Applications
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
ClassificationStatic or Dynamic VLAN assignments
PropagationCarry “Segment” context through the network using VLAN, IP address, VRF
EnforcementIP Based Policies - ACLs, Firewall Rules
23
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
VLAN BVLAN A
Campus Switch
DC Switchor Firewall
ApplicationServers
ISE
EnterpriseBackbone
Enforcement
Campus Switch
Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant
SharedServices
Employee Tag
Supplier Tag
Non-Compliant Tag
DC switch receives policy for only what is connected
ClassificationStatic or Dynamic SGT assignments
PropagationCarry “Group” context through the network using only SGT
EnforcementGroup Based Policies ACLs, Firewall Rules
Cisco TrustSecTraditional Access Control is Extremely Complex
24
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Overlay encapsulation (VXLAN)
Fabric Underlay – Forwarding plane• Connects the network elements to each other• Optimized for traffic forwarding (scalability, performance)• Networking constructs like IP, VLANs, live here
Overlay
control plane
(LISP)
Underlay
Overlay
Employee
Supplier
Devices
Fabric breaks dependency between IP and Policy. Separation of Forwarding and Services planes. In Fabric Polices are tied to User/Device Identity
Fabric brings Policy Simplification
What is unique about SDA Fabric?
DNA Center – Automation and Assurance• Single User Interface for Fabric Management & Orchestration• Policies definition based on User, Device or App Group• Design, Deploy and Monitoring and Troubleshooting
Fabric Overlay – Services plane• Dynamically connects Users/Devices/Things• IP is an ID not used for traffic forwarding• End to End Policies and Segmentation
25
You convinced me on Fabric…but still, why integrating Wireless?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
WLC
CAPWAP (Control)
Упрощение IP адресации? WLC как mobility
Anchor
Да, контроллерУпрощенное администрирование?
CAPWAPНаложенная сеть?
WLC как Mobility
AnchorL3 роуминг в кампусе?
Foreign-AnchorСегментация гостевого трафика?
Сильные стороны централизованной инфраструктуры БЛВС
CAPWAP (Data)
27
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
Распределенный Feature Plane AVC, NetFlow,
VRF-Lite, MPLSСегментация
Масштабируемый
TCAM
Широкие возможности
фильтрации трафика
Масштабирование
и надежностьРаспределенный Data Plane
12 классов,
обработка очередейВыдающиеся возможности QoS
Сильные стороны проводной сети
28
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Интеграция БЛВС в архитектуру SD-Access воплощает лучшее обоих миров
29
Архитектура SD-Access Wireless
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access
Роли и терминология
ISE / AD
Control-Plane (CP) Node – Map System that manages Endpoint ID to Location relationships.Also known as Host Tracking DB (HTDB)
Edge Nodes – A Fabric device (e.g.. Access or Distribution) that connects wired endpoints to the SDA Fabric
Group Repository – External ID Services (e.g.. ISE) is leveraged for dynamic User or Device to Group mapping and policy definition
Border Nodes – A Fabric device (e.g.. Core) that connects External L3 network(s) to the SDA Fabric
Group
Repository
SD-Access Fabric
Intermediate
Nodes (Underlay)
Fabric Mode
WLC
Fabric Edge
Nodes
DNA Controller –SDN Controller provides GUI management abstraction via multiple Service Apps, which share information
DNA Center
CControl-Plane
Nodes
B
Fabric Wireless Controller – Wireless Controller (WLC) fabric-enabled, participate in LISP control planeFabric
Mode APs Fabric Mode APs – Access Points that are
fabric-enabled. Wireless traffic is VXLAN encapsulated at AP
Fabric Border
B
31
DHCP
APIC-EM
NDP
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access Wirelessвоплощает преимущества обеих систем путем...
1
2
3
Упрощения Control & Management Plane
Оптимизации Data Plane
Интегрированного управления политиками
доступа и сегментацией трафика
32
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessУпрощение Control Plane
ISE / AD
WLC
DNAC
SD-AccessFabric
BB
Абстракция
политик и
автоматизация
настройки
Автоматизация
DNAC упрощает внедрение фабрики,
включая интеграцию БЛВС
C
Fabric enabled WLC:
WLC является частью LISP
control plane
Централизованный Wireless Control Plane
WLC управляет клиентскими сессиями
AP Mgmt, Mobility, RRM и т.д..
Преимущества CUWN
CAPWAP
Cntrl plane
LISP
Cntrl plane
1
LISP control plane Management
WLC интегрируется с LISP control plane
WLC уведомляет CP о беспроводных клиентах
Mobility является неотъемлемой часть фабрики
благодаря LISP CP
33
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessControl Plane Node – зачем он нужен
Обычная БД хостов, отслеживающая привязку Endpoint ID к Edge Node (RLOCs)
БД хостов поддерживает несколько типов Endpoint ID (EID), таких как IPv4 /32, IPv6 /128* илиMAC/48
Получает регистрации префиксов от Edge Nodes(для проводных клиентов) и от Fabric mode WLC (для беспроводных клиентов)
Отвечает на lookup requests от FE для определения местоположения хостов
Updates Fabric Edge nodes, Border nodes with wireless Клиент mobility and RLOC information
Fabric Control-Plane Node основан на LISP Map Server / Resolver
Содержит LISP Endpoint ID Database с информацией о доступности хостов через фабрику
1
CPEID VNI RLOC
10.1.1.20 10 192.168.1.1
C
10.1.1.20
192.168.1.1
FE1
(*) в последующих релизах ПО34
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessControl Plane Node
WLC отвечает за: AP image/config, Radio Resource Management (RRM), управление клиентскими сессиями, роуминг
Во время интеграции с фабрикой:
• Для БЛВС, клиентский MAC адрес используется как EID.
• Взаимодействует с Host Tracking DB на Control-Plane node для регистрации привязки Клиент MAC адреса к SGT и L2 VNI
• VN information – это Layer 2 VN (L2 VNID) и привязывается к VLAN на FE коммутаторах
• Отвечает за обновление Host Tracking DB во время роумингабеспроводных клиентов
• Fabric enabled WLC должен быть установлен в том же месте, что и точки доступа (задержка между ТД и WLC должна быть < 20мс)
Fabric Mode WLC интегрируется с LISP Control Plane
Control Plane централизован в WLC для всего функционала БЛВС
1
EID VNI RLOC
ab:12:cd:34:2f.56 10 192.168.1.1C
192.168.1.1
ab:12:cd:34:2f.56
FE1
35
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
WLC
DNAC
SD-AccessFabric
BB
Абстракция
политик и
автоматизация
настройки
C
Fabric enabled WLC:
WLC - часть LISP control plane
VXLAN от ТД
маркирование и сегментация трафика от
границы сети
Оптимизированный распределенный Data Plane Fabric overlay с Anycast GW + «Растянутые» подсети
«Большие» VLAN без проблем
Любой роуминг происходит на втором уровнеFabric enabled ТД:
ТД инкапсулирует трафик
Fabric SSID в VXLAN
CAPWAP
Cntrl plane
VXLAN
Data plane
LISP
Cntrl plane
VXLAN
(Data Plane)
2Архитектура SD-Access WirelessОптимизация Data Plane
Автоматизация
DNAC упрощает развертывание фабрики,
включая интеграцию БЛВС
Централизованный Wireless Control Plane WLC управляет клиентскими сессиями AP Mgmt, Mobility, RRM и т.д.. Преимущества CUWN
LISP control plane Management
WLC интегрируется с LISP control plane
WLC уведомляет CP о беспроводных клиентах
Mobility является неотъемлемой часть фабрики
благодаря LISP CP
36
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessОптимизация Data Plane: Fabric Edge
Осуществляет идентификацию и аутентификациюпроводных клиентов
Регистрирует Endpoint ID (IP адрес) на Control-Plane Node(-ах)
Предоставляет VN сервис для беспроводных клиентов
Подключает ТД к «фабрике» и формирует до них VXLAN туннели
Реализует Anycast L3 Gateway для подключенных к нему клиентов
Fabric Edge Node основан на LISP Tunnel Router
Передает трафик пользователей и устройств подключенных к «фабрике»
2
C
Fabric Edge (FE)
37
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessОптимизация Data Plane: Anycast Gateway
Принцип работы аналогичен HSRP / VRRP с общимивиртуальными IP и MAC адресами
Одинаковый Switched Virtual Interface (SVI) настроен на каждом Edge с одинаковыми Virtual IP и MAC
Если хост перемещается от Edge A к Edge B, то ему не надо менять (L3) Default Gateway!
Anycast GW реализует единый L3 Default Gateway
Основан на Virtual IP address (VIP)
2
GW GW GW
C
IP 10.1.1.1
MAC ab:12:cd:34:ef:5610.1.1.1 10.1.1.1
FE A FE B
10.1.1.10 10.1.1.10
38
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessОптимизация Data Plane: «Растянутые» подсети
IP трафик хоста попадает на SVI его Fabric Edge и далее передается LISP-ом
LISP Dynamic EID осуществляет регистрацию и мобильность каждому хосту (/32, /128, MAC)
Нет необходимости «растягивать» VLAN на несколько коммутаторов доступа, чтобы хосты 1 и 2 имели L2 соседство
Клиент 1, подключенный к Fabric Edge (FE) A, может обмениваться трафиком с клиентами Fabric Edge (FE) B, т.к. они находятся в одной IP подсети.
Stretched subnets позволяет «растянуть» IP подсеть через оверлей
Основано на Anycast GW + LISP Dynamic EID + VXLAN overlay
2
GW GW GW
Dynamic
EID
FE A
10.1.1.10
FE B
C
10.1.1.110.1.1.1
10.1.1.11
39
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessОптимизация Data Plane: «Растянутые» подсети
Fabric mode AP – это ТД в режиме local и должна бытьнапрямую подключена к FE
CAPWAP control plane передается на WLC, используя «фабрику»
Режим Fabric включается на уровне SSID:
• Для SSID в режиме Fabric ТД преобразует трафик 802.11 в трафик 802.3 и инкапсулирует его в VXLAN, добавляя VNI иSGT атрибуты клиентского устройства
• Передает пользовательский трафик, используя forwarding table, получаемую от WLC. Обычно VXLAN DST – первый хоп на пути трафика.
ТД реализует все «беспроводные» фичи: политики SSID, AVC, QoS т.д.
Fabric Mode AP интегрируется с VXLAN Data Plane
Wireless Data Plane распределен между точками доступа
2
VXLAN
(Data)
CAPWAP
Control plane
40
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessУпрощение политик и Сегментирование
SD Fabric
B
CVXLAN
(Data)
IP payload 802.11IP
IP payload 802.3EIDIP
VXLANSRC: APDST:FEA
UDP
ТД удаляет заголовок 802.11
ТД добавляет заголовок 802.3/VXLAN/underlay IP2
1
3
FE A
FE B
41
Клиент A
Клиент B
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessУпрощение политик и Сегментирование
SD Fabric
B
CVXLAN
(Data)
IP payload 802.3EIDIP
VXLANSRC: APDST:FEA
UDP
2
RClient SGT
16bitsClient VN
24bitsR
ТД добавляет информацию о политике к VXLAN заголовку и отправляет пакет
Клиентский VRF кодируется Layer 2 Virtual Network (L2 VNID)
Иерархическое сегментирование:
1. Virtual Network (VN) == VRF - изолированный Control Plane + Data
Plane
2. Scalable Group Tag (SGT) – Идентификатор группы пользователей
3
FE A
FE B
42
Клиент A
Клиент B
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessУпрощение политик и Сегментирование
SD Fabric
B
CVXLAN
(Data)
IP payload 802.3EIDIP
VXLANSRC:FEADST:FEB
UDP
FE декапсулирует заголовок VXLAN, извлекает L2 VNID и определяет подходящий VLAN иL2 LISP.
Затем FEA производит поиск FE хоста назначения и инкапсулирует трафик для передачи на FE B
3
Клиент is placed in
the right VRF
3
FE A
FE B
43
FEA осуществляет
поиск в CP клиента B
Клиент A
Клиент B
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Архитектура SD-Access WirelessУпрощение политик и Сегментирование
SD Fabric
B
CVXLAN
(Data)
IP payload 802.3EIDIP
VXLANSRC:FEADST:FEB
UDP
FE удаляет внешний IP заголовок, анализирует L2 VNID и помещает его в нужный VLAN.
Применяет политику , основанную на анализе SGT, перед отправкой пакета получателю
4
Помещен в VRF
Применена SGT политика
Клиентская
политика
переносится
через
оверлей в
неизменном
виде
3
FE A
FE B
44
Клиент A
Клиент B
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
L3 Switch
LAN core
точка настройки
1. Задать группы в AD
2. Спроектировать и внедрить сеть в DNA-C
Создать виртуальные сети
Определить политики• Role/Group based
Применить политики• На основании SGT
3. Политика присваивается как результат авторизации и
применяется в любом месте сети
TrunkWLC
DNA Center
L3 Switch
VN
IDBYOD SGT
VXN
HDR
Fabric
SRC
Fabric
DSTEmployeeContractor
исходный пакет
BYOD Employee Contractor
Единый SSID
Production
Servers
Developer
Servers
AAA
DHCP
AD
Employee
SGT 100
BYOD
SGT 200
Contractor
SGT 300
Production Serv.
SGT 10
Developer Serv.
SGT 20
Corporate VN
Преимущества SD-Access WirelessВнедрение групповых политик пользователей
45
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
L3 Switch
LAN core
Точка управления
1. Задать группы в AD
2. Спроектировать и внедрить сеть в DNA-C Создать виртуальные сети
Определить политики• Role/Group based
Применить политики• На основании SGT
3. Upon user authentication, Policy is
automatically applied and carried end to end
TrunkWLC
DNA Center
L3 Switch
BYOD Employee Contractor
Единый SSID
Production
Servers
Developer
Servers
AAA
DHCP
AD
Employee
SGT 100
BYOD
SGT 200
Contractor
SGT 300
Production Serv.
SGT 10
Developer Serv.
SGT 20
Corporate VN
SD-Access Wireless Benefits Внедрение групповых политик пользователей
Guest Virtual Network
IoT/HVAC Virtual Network
единая
точка
настройки
46
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
с SDA
Data Plane распределенный и оптимизированный
Единая подсеть для упрощения дизайна
Мобильность – часть функционала «фабрики»
SD-Access Wireless Benefits Рабочее пространство нового поколения с SDA
Оптимизированный Data plane без недостатков распределенной обработки трафика
The
advantages
of distributed
DP without
the pain
WLC
DHCPDNSAAA
ADLDAP
Data Center WLC
SDA Fabric
C B
CAPWAP
(Control)
VXLAN
(Data)
Interface VLAN
vrf forwarding Employee
ip address 10.10.10.1/24
Interface VLAN
vrf forwarding Employee
ip address 10.10.10.1/24
47
Какие продукты поддерживаются?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Поддержка SD-Access оборудованием
ASR-1000-X
ASR-1000-HX
ISR 4430
ISR 4450
WirelessRoutingSwitching
AIR-CT5520
AIR-CT8540
Wave 2 APs (1800, 2800,3800)
Wave 1 APs* (1700, 2700,3700)
Catalyst 9400
Catalyst 9300
Catalyst 9500
Catalyst 4500E Catalyst 6K Nexus 7700
Catalyst 3850 and 3650
AIR-CT3504
CSRv
*с ограничениями
Subtended
CDB
2960-CX
3560-CX
NEW
NEW
NEWNEW
NEW
49
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
3504 WLC
• AIR-CT3504
• 1G/mGig
• AireOS 8.5+
SD-Access – интеграция БЛВС с фабрикойПоддержка аппаратурой
Wave 2 APs
• 1800/2800/3800
• 11ac Wave2 APs
• 1G/MGIG RJ45
• AireOS 8.5+
5520 WLC
• AIR-CT5520
• No 5508
• 1G/10G SFP+
• AireOS 8.5+
8540 WLC
• AIR-CT8540
• 8510 supported
• 1G/10G SFP+
• AireOS 8.5+
Wave 1 APs
• 1700/2700/3700
• 11ac Wave1 APs*
• 1G RJ45
• AireOS 8.5+
*with CaveatsNEW
50
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Catalyst 9400
• Catalyst 9400
• Sup1E
• 9400 Cards
• IOS-XE 16.6.1+
SD-Access – Edge NodePlatform Support
Catalyst 4K
• Catalyst 4500
• Sup8E/9E (Uplinks)
• 4700 Cards (Down)
• IOS-XE 3.10.1+
Catalyst 3K
• Catalyst 3650/3850
• 1/MGIG RJ45
• 10/40G NM Cards
• IOS-XE 16.6.1+
Catalyst 9300
• Catalyst 9300
• 1/MGIG RJ45
• 10/40/mG NM Cards
• IOS-XE 16.6.1+
NEW NEW
For YourReference
51
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Catalyst 9500
• Catalyst 9500
• 10/40G SFP/QSFP
• 10/40G NM Cards
• IOS-XE 16.6.1+
Catalyst 3K
• Catalyst 3850
• 1/10G SFP+
• 10/40G NM Cards
• IOS-XE 16.6.1+
SD-Access – Control-PlanePlatform Support
Catalyst 6K
• Catalyst 6800
• Sup2T/6T
• 6880-X or 6840-X
• IOS 15.5.1SY+
ASR1K, ISR4K & CSRv
• CSRv
• ASR 1000-X/HX
• ISR 4430/4450
• IOS-XE 16.6.1+
NEW
For YourReference
52
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Catalyst 9500
• Catalyst 9500
• 40G QSFP
• 10/40G NM Cards
• IOS-XE 16.6.1+
SD-Access – Border Node Platform Support
Nexus 7K
• Nexus 7700
• Sup2E
• M3 Cards
• NXOS 7.3.2+
Catalyst 3K
• Catalyst 3850
• 1/10G SFP+
• 10/40G NM Cards• IOS-XE 16.6.1+
ASR1K & ISR4K
• ASR 1000-X/HX
• ISR 4430/4450
• 1/10G/40G
• IOS-XE 16.6.1+
Catalyst 6K
• Catalyst 6800
• Sup2T/6T
• 6880-X or 6840-X
• IOS 15.5.1SY+
NEW
For YourReference
53
SD-Access Wireless
Basic Flows
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Add WLC to Fabric
• In DNAC, add WLC to Fabric Domain
• Fabric configuration is pushed to WLC. WLC becomes Fabric aware. Most importantly
WLC is configured with credentials to established a secure connection to CP
• WLC is ready to participate in SD-Access Wireless
SDA Fabric
B
C
DNAC
1
1
2
2
3
FE1
Fabric WLC
55
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows AP Join
• User configure AP pool in DNAC. DNAC pre-provision a configuration macro on the FEs
• AP is plugged in and powers up. FE discovers it’s an AP via CDP and applies the macro
to assign the switch port the the right VLAN
• AP gets an IP address via DHCP. AP is registered as a “special” wired host to Fabric
IP Network
B
C
DNAC
1
1
2
AP directly connected
CDP
2
3
FE1
Fabric WLC
56
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
4
SD-Access Wireless Basic Workflows AP Join
Fabric Edge registers AP’s IP address (EID) and updates the Control Plane (CP)
AP joins WLC using traditional methods. Fabric AP joins as a Local mode AP
WLC checks if it is fabric-capable (Wave 2 or Wave 1 APs)
If AP is supported for Fabric, WLC queries the CP to know if AP is connected to Fabric
SDA Fabric
B
C
AP CheckAP RLOC?
67
5
4
6
7
5
AP EID register
FE1
CAPWAP Join
CAPWAP in VXLAN
Fabric WLC
57
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows AP Join
SDA Fabric
B
C
AP RLOC
9
8
AP L2 EID register
Control Plane (CP) replies to WLC with RLOC. This means AP is attached to Fabric
WLC does a L2 LISP registration for AP in CP (a.k.a. AP “special” secure Клиент
registration). This is used to pass important metadata information from WLC to the FE
8
9
FE1
Fabric WLC
58
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows AP Join
• In response to this proxy registration, Control Plane (CP) notifies Fabric Edge and pass the metadata received from WLC (flag that says it’s an AP and the AP IP address)
• Fabric Edge processes the information, it learns it’s an AP and creates a VXLAN tunnel interface to the specified IP (optimization: switch side is ready for Клиентs to join)
SDA Fabric
B
C
AP EID update
FE1
interface Tunnel
Fabric WLC
59
10
11
10
11
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Клиент Onboarding
• Клиент authenticates to a Fabric enabled WLAN. WLC gets SGT from ISE, updates AP with
Клиент L2VNID and SGT. WLC knows RLOC of AP from internal DB
SDA Fabric
B
C
1
1
Клиент Join
Fabric WLC
Клиент SGT/VNID and RLOC
CAPWAP in VXLAN
FE1
60
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Клиент Onboarding
• Клиент authenticates to a Fabric enabled WLAN. WLC gets SGT from ISE, updates AP with
Клиент L2VNID and SGT. WLC knows RLOC of AP from internal DB
• WLC proxy registers Клиент L2 info in CP; this is LISP modified message to pass additional info,
like the Клиент SGT
• FE gets notified by CP and adds Клиент MAC in L2 forwarding table and go and fetch the policy
from ISE based on the Клиент SGT
SDA Fabric
B
C
2Клиент MAC register
1
2
3
Клиент in FWD
table
3
Fabric WLC
FE1
61
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Клиент Onboarding
• Клиент initiates DHCP Request
• AP encapsulates it in VXLAN with L2 VNI info
• Fabric Edge maps L2 VNID to VLAN interface and forwards DHCP in the overlay (same as
for a wired Fabric Клиент)
SDA Fabric
C
4
5
4
5
6
B
DHCP packet + L2 vnid
6
DHCP flow
Fabric WLC
DHCP
FE1
62
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Клиент Onboarding
• Клиент receives an IP address from DHCP
• DHCP snooping (and/or ARP for static) triggers a Клиент register by the Fabric Edge to the
CP
This completes Клиент onboarding process
SDA Fabric
B
C8
Клиент IP, L3 VNI, RLOC IP
7
8
C
Fabric WLC
DHCP
7FE1
63
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Клиент Roams
• Клиент roams to AP2 on FE2 (inter-switch roaming). WLC get’s notified by AP
• WLC updates the L2 MAC entry in CP with new RLOC FE2
• WLC also updates forwarding table on AP
1
SDA Fabric
B
C
FE1
FE2
AP1
AP2
2
C1
2
3
Клиент L2 MAC entry
update
Клиент update to AP
3
Fabric WLC
64
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Basic Workflows Клиент Roams
• CP then notifies
• Fabric Edge FE2 to add the Клиент MAC to forwarding table pointing to tunnel
• Fabric Edge FE1 to do clean up for the wireless Клиент
• Fabric Border to update internal RLOC for this Клиент
• FE will update the L3 entry (IP) in CP data base upon receiving traffic
• Roam is Layer 2 as FE2 has the same VLAN interface (Anycast GW)
4
SDA Fabric
B
FE1
FE2
AP1
AP2
4
5
5
Клиент IP, L3 VNI, RLOC IP
6
C
Fabric WLC
20.2.4.1/20Клиент SVI
20.2.4.1/20Клиент SVI
65
SD-Access Wireless
Особенности дизайна
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
SD-Access
Fabric
C
BB
APIC-EM ISE / AD
SD-Access
Fabric
C
BB
APIC-EM
Интеграция БЛВС в SDA «Фабрику»
SD-Access WirelessCUWN БЛВС «поверх» (OTT)
VS.
Non-Fabric
WLC
Non-Fabric
APs
Fabric enabled
APs
Fabric
enabled WLC
CAPWAP для Control Plane и Data Plane
SDA Fabric – просто транспорт
Поддерживается любым ПО и всеми моделями
WLC/AP
Предварительный этап перед полноценным SDA
CAPWAP Control Plane, VXLAN Data plane
WLC/APs интегрированы в «Фабрику»,
преимущества SD-Access
Требуется обновление ПО (8.5+)
Оптимально работает с 802.11ac Wave 2 ТД
CAPWAP
Cntrl & Data
CAPWAP
Cntrl plane
VXLAN
Data plane
67
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
CUWN Over the Top (OTT)
• Определение:• Wireless OTT: БЛВС CAPWAP является «внешним» сервисом для «Фабрики»:
т.е. традиционная БЛВС. «Фабрика» является простейшим сервисом для CAPWAP.
• Почему wireless OTT?• Вариант развития сети: миграция на «фабрику» проводной части сети,
получения опыта, ограничения бюджета и т.д..)
• Отсутствие подходящей аппаратуры: заказчик не хочет или не может мигрировать на новые программные/аппаратные средства, необходимые для внедрения «фабрики»
SD-Access
Fabric
Non Fabric APNon Fabric WLC
CAPWAP tunnel
68
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT)
WLC подключается вне «фабрики»
Border анонсирует WLC Management подсеть в «фабрику»
Border анонсирует префиксы «фабрики» в сеть WLC Management
EID prefix 10.1.0.0/20
192.168.1.0/24
WLC Mgmt subnet
IP Network
BSDA Fabric
10.1.0.200
192.168.1.5
Mgmt InterfaceC
69
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT)
IP Network
BSDA Fabric
10.1.0.200
ТД расположены в оверлейном пространстве на коммутаторах Fabric
Единая подсеть для всех ТД в кампусе
ТД регистрируются в Host Tracking Database (CP) как проводные клиенты
Упрощенный дизайн подключения ТД (единая подсеть)
10.1.0.254/20
AP VLAN
10.1.0.254/20
AP VLAN
10.1.0.201
C
70
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT)
IP Network
BSDA Fabric
10.2.7.254.35
SSID привязываются к VLAN/Subnet на WLC в виде dynamic interfaces
Border анонсирует подсети беспроводных клиентов в «Фабрику»
10.2.7.254.0/21
Wireless Клиентs Subnet
10.2.7.5/21
Dynamic InterfaceC
71
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT)
IP Network
BSDA Fabric
CAPWAP туннель строится между ТД и контроллером
Трафик приходит на Fabric Edge коммутатор, который инкапсулирует CAPWAP в VXLAN и отправляет его на Border
Внешний VXLAN заголовок удаляется, и внутренний CAPWAP пакет пересылается контроллеру
10.2.7.5/21
Dynamic Interface
CAPWAP CAPWAP in VXLAN CAPWAP
C
72
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT)
IP Network
BSDA Fabric
10.2.7.254.35
Клиенты аутентифицируются и подключаются контроллером БЛВС
Клиенты БЛВС в этом случае являются внешними для «фабрики»
10.2.7.5/21
Dynamic Interface
CAPWAP CAPWAP in VXLAN CAPWAP
active WLC
C
73
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT)
IP Network
BSDA Fabric
10.2.7.254.35
Обмен трафиком между проводным хостом в «Фабрике» и беспроводным клиентом вне ее происходит через Internal Border – АНАЛОГИЧНО ЦЕНТРАЛИЗОВАННОЙ КОММУТАЦИИ CUWN!!
С точки зрения «Фабрики», это – обычная коммуникация фабрик-хоста с хостом, лежащим за ее пределами
10.2.7.5/21
Dynamic Interface
active WLC
wired host
10.1.18.24
C
74
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignWireless as an Overlay (OTT) - Особенности
IP Network
B
SDA Fabric
CAPWAP CAPWAP in VXLAN OTT WLC
C
Единая сеть для
ТД – простота
внедрения ТД
Поддерживаются
все модели ТД
Увеличьте MTU на
пути трафика, чтобы
предотвратить
сегментацию
Внешний по
отношению к
«фабрике».
Нет надобности в
обновлении.
Cisco Prime
Для управления
используйте Cisco
Prime
75
SD-Access WirelessIntegrated Design
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignИнтегрированная БЛВС
WLC подключаются как внешнее по отношению к «фабрике» устройство
WLC должен располагаться локально к ТД –Flex или WLC через WAN не поддерживается
Border анонсирует подсеть WLC Management в «фабрику»
Border анонсирует префиксы «фабрики» в сеть WLC Management
APs’ EID prefix 10.1.0.0/20
192.168.1.0/24
WLC Mgmt subnet
IP Network
BSDA Fabric
C
Fabric WLC
77
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignИнтегрированная БЛВС
IP Network
BSDA Fabric
10.1.0.200
Точки доступа напрямую подключены к Fabric Edge
ТД работают в оверлей пространстве фабрики на Fabric Edges
Единая подсеть для ТД в рамках всей «Фабрики»
ТД регистрируются в CP базе данных
Упрощенный дизайн IP для ТД (единая подсеть)
10.1.0.254/20AP VLAN
10.1.0.254/20
AP VLAN
10.1.0.201
EID prefix 10.1.0.0/20
C
Fabric WLC
78
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignИнтегрированная БЛВС
IP Network
BSDA Fabric
Клиентские подсети распределены по Fabric Edge коммутаторам
Нет необходимости указывать клиентские подсети на WLC
Клиентские подсети привязаны к VLAN с Anycast Gateway на всех Fabric коммутаторах
Только Layer-2 роуминг
20.2.4.0/20
Клиентский VLAN
EID prefix 20.2.4.0/20
20.2.4.0/20
Клиентский VLAN
20.2.4.13
20.2.4.80
C
Fabric WLC
79
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignИнтегрированная БЛВС
IP Network
BSDA Fabric
Трафик беспроводных клиентов обрабатывается распределенно
Контроллер БЛВС вне пути трафика
Обмен трафиком с проводным клиентом осуществляется напрямую через «фабрику»
10.1.18.0/20
Клиентский VLAN
20.2.4.0/20
Клиентский VLAN
20.2.4.13
проводной хост
10.1.18.24
C
Fabric WLC
80
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Network DesignИнтегрированная БЛВС
IP Network
BSDA Fabric
Включение в «фабрику» включается для каждого WLAN
CAPWAP WLAN может одновременно использоваться с Fabric-enabled WLAN на одном и том же Fabric-enabled WLC
172.16.3.5/24
Dynamic interface
20.2.4.0/20
Клиентский VLAN
20.2.4.13
172.16.3.80
C
Non-Fabric SSID
Fabric SSID
81
Гостевой доступ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Гостевой доступ SD-Access WirelessТрадиционное решение CUWN с Anchor контроллером
InternetSDA Fabric
Гостевой WLAN привязан к Guest Anchor в DMZ
Проверенное CUWN решение, защита инвестиций
Ограничение в 71 Guest Tunnels
Отдельное решение от Wired Guest, Anchor WLC настраивается отдельно
10.10.10.40
DMZ
B
Foreign WLC Anchor WLC
C
CAPWAP
EoIP
83
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Гостевой доступ SD-Access WirelessВсе интегрировано в DNAC
1. Интеграция ISE и
DNA-C
2. Настройка «в одном
окне»
84
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Гостевой доступ SD-Access WirelessВыделенная VN для гостей
InternetSDA Fabric
Гостевой сервис – это всего лишь еще одна VN в «фабрике», созданная через DNAC
Использует возможности «фабрики» по сегментации (VNI, SGT)
Можно использовать «точечные» политики доступа для гостевой VN с помощью SGT
Единое решение и политика для проводного и беспроводного гостевого доступа
10.10.10.40
DMZ
B
WLC
Guest VRF
C
85
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Гостевой доступ SD-Access WirelessГостевая сеть как выделенный Fabric Domain
InternetSDA Fabric
Решение гостевого доступа, управляемое DNA-C
Использует выделенный Control/Data Plane
Единое решение для проводного и беспроводного гостевого доступа
Единая политика для проводного и беспроводного гостевого доступа
Лучшая масштабируемость гостевых VXLAN туннелей на Guest Border
10.10.10.40
DMZ
B
WLC Guest FB
C
BC
86
Мультикаст
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Fabric
Важная информация:
Мультикаст трафик передается через оверлей в пространстве EID как для проводных, так и беспроводных клиентов
Для включения передачи мультикаст трафика для беспроводных клиентов, режим Global Multicast и IGMP snooping должны быть включены на WLC
В начальной версии ПО мультикаст трафик используетhead-end replication
Мультикаст
non
Fabric
FE1
Multicast source
Overlay
VXLAN tunnels
B
FE2
VXLAN
FB
Fabric RP
88
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access FabricКак передается мультикаст – от Multicast Receiver до RP
non
Fabric
FE
Multicast source
Multicast клиент (приемник) находится в оверлее, источник мультикаст трафика может быть как вне, так и внутри «фабрики»
PIM-SM/PIM-SSM должны быть включены в оверлее
Клиент отсылает IGMP join для интересующей его мультикаст группы (G)
ТД инкапсулирует его в VXLAN и отсылает коммутатору.
Fabric Edge node (FE) обрабатывает IGMP запрос и отсылает PIM Join на Fabric Rendezvous Point RP (предполагаем, что используется PIM-SM)
RP должна присутствовать в оверлее как часть адресного пространства клиентских хостов.
IGMP join
Underlay
VXLAN
PIM join
B
FB
Fabric RP
89
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access FabricКак передается мультикаст – От источника мультикаст трафика до RP
non
Fabric
FE
Multicast source
Источник мультикаст трафика отсылает его Fabric Border(FB), т.к. он является DR для данного сегмента.
FB получает мультикаст трафик и отсылает PIM Join в сторону RP (используется PIM-SM)
Теперь RP имеет информацию как об источниках, так и приемниках мулькаст трафика данной группы.
Underlay
VXLAN
PIM join
B Multicast traffic
FB
Fabric RP
90
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access FabricКак передается мультикаст – Data Plane
non
Fabric
FE
Multicast source
Мы уже знаем, что RP имеет информацию об источнике и приемниках для данной мультикаст группы.
FB посредством VXLAN туннеля отсылает мультиксттрафик на RP, а RP, в свою очередь, пересылает данный трафик нужному FE с помощью другого VXLAN туннеля.
FE получает VXLAN пакеты, декапсулирует их, применяет политики, после чего отправляет точке доступа в VXLAN туннеле.
ТД удаляет VXLAN заголовок и пересылает исходный IP мультикаст пакет нужным клиентам.
Underlay
VXLAN
B
VXLAN tunnels
FB
Fabric RP
91
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Fabric После того как первый пакет приходит на FE, срабатывает
shortest path failover (SPT) и трафик начинает «ходить» между FB и FE напрямую.
FE узнает, что именно данный FB подключен к мультикастисточнику после анализа первого мультикаст пакета, и отсылает PIM join напрямую к FB для данной мультикстгруппе.
FB теперь знает, какие FE-и имеют клиентов, запрашивающих трафик определенных групп.
Он осуществляет репликацию и VXLAN инкапсуляцию мультикаст трафика, после чего отправляет его юникастом каждому из заинтересованных FE-ей
Мультикаст трафик передается через оверлей
FE получает VXLAN пакеты, декапсулирует, применяет политики и отправляет их на ТД.
ТД удаляет VXLAN заголовок и отправляет исходный IP мультикаст пакет нужным клиентам
Как передается мультикаст
non
Fabric
FE1
Multicast source
Overlay
VXLAN tunnels
B
FE2
VXLAN
FB
Fabric RP
92
Высокая доступность SD-Access Wireless
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless HAРезервирование контроллеров БЛВС с помощью SSO
Wireless LAN Controller узел control plane в «фабрике»
• WLC регистрирует беспроводных клиентов в Host
Tracking DB. В терминах LISP WLC работает как
Proxy ETR
• WLC подключается вне «фабрики»
• Резервирование SSO• Пара WLC SSO видятся «фабрикой» одним узлом
• Только активный WLC взаимодействует с CP, при этом
состояние этого взаимодействия синхронизируется между
активным и резервным контроллерами
• В случае аварии, новый активный WLC шлет CP node
обновления для всех активных клиентов (LISP-refresh)
• ТД и клиенты остаются подключенными
C
Active Standby
SSO pair
CPB B
94
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless HAWLC redundancy with SSO
Wireless LAN Controller узел control plane в «фабрике»
• WLC регистрирует беспроводных клиентов в Host
Tracking DB. В терминах LISP WLC работает как
Proxy ETR
• WLC подключается вне «фабрики»
• Резервирование SSO• Пара WLC SSO видятся «фабрикой» одним узлом
• Только активный WLC взаимодействует с CP, при этом
состояние этого взаимодействия синхронизируется между
активным и резервным контроллерами
• В случае аварии, новый активный WLC шлет CP node
обновления для всех активных клиентов (LISP-refresh)
• ТД и клиенты остаются подключенными
C
Active
HTDBB B
Bulk update
95
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless HAWLC резервирование N+1
Wireless Lan Controller узел control plane в «фабрике»
• WLC регистрирует беспроводных клиентов в Host
Tracking DB. В терминах LISP WLC работает как Proxy
ETR
• WLC подключается вне «фабрики»
Stateless Redundancy в форме N+1• На ТД настраиваются Primary и Secondary контроллеры
• ТД и клиенты изначально используют Primary
• В случае его отказа, ТД подключается к Secondary
• Клиенты также отключаются и подключаются к Secondary
• Secondary осуществляет регистрацию клиентов на CP
C
SecondaryPrimary
B B
CAPWAP Control
Клиентs registrations
96
не поддерживается
DNAC (план ноябрь)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless HAОтказоустойчивость Control Plane
Control Plane основан на LISP Map Server / Resolver
Host Database содержит привязку Endpoint ID к
Edge Node и некоторую другую информацию
(например SGT)
Поддерживается сценарий Active / Active
отказоустойчивости
На WLC (и Fabric Edges) настраиваются два CP
узла, синхронизация происходит с обоими
если один из них выходит из строя, вся клиентская
информация доступна через оставшийся CP узел
C
B
C
Клиент updates
97
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless HAОтказоустойчивость CP
Control Plane базируется на LISP Map Server / Resolver
C
B
C
Client updates
98
Branch Design
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – Branch DesignDedicated Branch Fabric Domain
WLC
Campus Fabric
C B
ISE / AD DNAC
Campus
Core
Services blockWAN Branch
Fabric
Benefits:
Support for any WAN link latency
Direct Internet Access available
Considerations
Need a local WLC
Limited scalability in DNAC version 1 in terms of number of branches (10 Fabric domains in November release)
local WLCInternet
C B
Per branch Fabric:
dedicated FB, CP and WLC
B
100
SD-Access Wireless
Adoption/Migration scenarios
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless Adoption
The focus for FCS is greenfield
It’s a journey….
1 Supported adoption scenarios for AireOS
2 Best practices for adoption
102
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
SD-Access
Fabric
C
BB
APIC-EM ISE / AD
SD-Access
Fabric
C
BB
APIC-EM
Wireless Integration in SDA Fabric
SD-Access WirelessCUWN wireless Over The Top (OTT)
VS.
Non-Fabric
WLC
Non-Fabric
APs
Fabric enabled
APs
Fabric
enabled WLC
CAPWAP for Control Plane and Data Plane
SDA Fabric is just a transport
Supported on any WLC/AP software and hardware
Migration step to full SDA
CAPWAP Control Plane, VXLAN Data plane
WLC/APs integrated in Fabric, SD-Access advantages
Requires software upgrade (8.5+)
Optimized for 802.11ac Wave 2 APs
CAPWAP
Cntrl & Data
CAPWAP
Cntrl plane
VXLAN
Data plane
103
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless AdoptionNew Cisco wireless customer
Wired
SDA?
New Wireless
customer
“Pure overlay
wireless” play
No
Greenfield
“Overlay to Fabric”
No
Yes Yes Greenfield
Fabric wireless
integration
Full SDA value
Tested and supported
Recommended for FCS
Value prop
for SD-
Access
Wireless?
Fabric wired first
Wireless is an Overlay
Today only Centralized
Wireless is supported
1
104
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Internet
SD-Access Wireless AdoptionGreenfield building – requirements and adoption steps
Fabric building
Guest Fabric node (FB)
ISE / AD
SD-Access
Fabric
DNAC
VXLAN tunnel to
Guest FB
Fabric
WLC
CAPWAP Control
VXLAN
SSIDGuest
SSIDBlizzard
BYOD EmployeeContractor
Fabric APs
VXLAN
(Data)
Requirements HW/SW:
• WLC 3504/5520/8540 with 8.5
• Wave 2 or Wave 1 AP
• ISE 2.3
• Selected devices and software for
FE/FB/CP nodes
Policy:
• Policy based on SGTs and VNIs
Guest
• Dedicated Fabric Domain for Guest
Management/Automation
• DNA-C
Troubleshooting and Assurance
• DNAC
Adoption steps
• Deploy Fabric on the wired side first, including ISE
• Connect WLC external to Fabric
• Configure IP pools in DHCP server
• Use DNA-C for Fabric configuration:
Configure a site for your Fabric buildings
Define the IP pools for the APs and Клиентs
Configure Virtual Networks (one for Guest)
Configure Policies within the VNs
Configure SSIDs and associated IP Pools
Provision WLC to site and add to Fabric
Connect APs to Fabric Edges
• Connect the APs and verify they join the WLC
• Associate Клиентs and verify the basic
connectivity
CBB C
2
105
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Internet
SD-Access Wireless AdoptionGreenfield building
Fabric building
Guest Fabric node (FB)
ISE / AD
SD-Access
Fabric
DNAC
VXLAN tunnel to
Guest FB
Fabric
WLC
CAPWAP Control
VXLAN
SSIDGuest
SSIDBlizzard
BYOD EmployeeContractor
Fabric APs
VXLAN
(Data)
CBB C
Full SD-Access Wireless value
DNAC and NDP for Automation & Assurance
Virtual Networks for Segmentation (ex Employee, IoT, Guest)
ISE for SGT Access Control within VRF (ex. Contractor, BYOD,
Employees)
Subnet extension across Campus with distributed data plane
Optimized path for Guest and no Anchor WLC
And more…
2
106
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless AdoptionExisting Cisco wireless customer
Wired
SDA?
Existing Cisco
Wireless
customer
“Pure overlay
wireless” play
No
“Overlay to Fabric”:
Brownfield OTT solution
“Don’t touch my wireless”
Prime for Management
No
Yes Yes
Brownfield
• Isolated building/Campus in one
shot (equivalent to Greenfield)
• Multiple buildings with nomadic
roaming (*)
Migration to SDA
wireless
Value prop
for SD-
Access
Wireless?
(*) Nomadic and seamless roaming here refers to roaming between Fabric and non-Fabric wireless deployments.
Nomadic Roaming = same SSID, but Клиент’s IP addressing changes
1
107
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless AdoptionMigration for an existing CUWN deployment
Customer has a site with AireOS Centralized wireless
Assumptions: Migration to Fabric happens in a single area (e.g. building) at the time and migration is in one shot
No need for seamless roaming between new SDA area and the existing wireless deployment
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
Non Fabric
2
108
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless AdoptionMigration for an existing CUWN deployment
Migrate wired network to Fabric first
Add DNAC and ISE (if not present already)
Wireless is over the top
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
1
SD FabricB
C
DNAC
2
3CAPWAP
CAPWAP
2
109
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless AdoptionMigration for an existing CUWN deployment
Add a dedicated WLC for SD-Access and configure it with same SSIDs
on CUWN WLC, configure the APs in the area to join the new Fabric WLC
Traffic now goes through the Fabric
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
1
SD FabricB
C
DNAC
2
3
SDA WLC
VXLAN
(Data)
CAPWAP Cntrl
CAPWAP Control
VXLAN
2
No seamless
roaming
110
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless AdoptionMigration for an existing CUWN deployment
Recommendations
Prime for CUWN areas, DNAC for SDA areas
Dedicated WLC for SD-Access Wireless
Same SSIDs on Fabric and non-Fabric
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
SD FabricB
C
DNAC
SDA WLC
VXLAN
(Data)
CAPWAP Cntrl
Same RF Groups for CUWN WLC and SDA WLC
WLCs in different Mobility Group (no seamless
roaming between areas)
2
No seamless
roaming
111
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Traditional Campus
Guest Anchor
Shared WLC
EoIP
CAPWAP
Shared controller for SDA and CUWN• Shared WLC can manage Fabric and non-Fabric
APs but needs \upgrade to 8.5
• New code = more risk for existing non-Fabric
buildings
Management:• DNAC cannot manage non-Fabric WLC in
brownfield scenarios
• So shared WLC means no DNAC automation
• DNAC can be used for wired and Assurance
• Recommended Prime for non-Fabric wireless
Guest and Policy:• Can leverage existing Guest Anchor also for Fabric
area/building
• Can leverage ISE for both
WLAN Design:• Fabric is enabled per SSID
• To have same SSID name in both areas:1. Need to define and apply AP Groups
2. Need WLANs with same SSID name but
different WLAN profiles
ISE
SD-Access Wireless AdoptionConsideration for shared WLC for Fabric and non-Fabric
Blizzard
Fabric
APs
SD-Access
Fabric
B CP
CAPWAP
Control
VXLAN
Blizzard
Non-
Fabric
APs
No roaming
between
Fabric and
non-Fabric
Cisco PrimeDNAC
2
Area 1Area 2
112
Key Takeaways
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 114
Software-Defined Access SummaryManage Business Outcomes Instead of Managing the Network
Use policy-based automated
provisioning from edge to cloud.
Policy Automation
Look at the entire network as a
single entity and find problems
before your users do.
Network Analytics
Quickly enable network services
across a complete ecosystem
Services Enablement
DNAC automates the Design,
Policy and Provision
Brownfield Integration for
investment protection
Lower OpEx
Policy-based
Automation
Complete
Network Visibility
Fast, Easy
Service Enablement
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 115
SDA for MobilityInnovate Faster with Fabric-Enabled Wireless
Software Defined Wireless
Centralized management across wired-wireless
Secure Policy based Automation
Optimized distributed traffic flows for future scalability
Simplified enablement of Wi-Fi Services
Simplified Provisioning
Optimized data plane with Campus-Wide Roaming
Wired and Wireless Policy Consistency
Seamless L2 roam
across Campus
Policy stays with user
Consistent Policy for
Wired/Wireless
Easy end to end Virtualization and Segmentation
DNA Center
Thank you