Архитектура Cisco SD-Access для беспроводных корпоративных сетей

Архитектура SD-Access
беспроводных
корпоративных сетей
Виктор Платов
инженер-консультант, Enterprise Mobility, CCIE #24288

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Agenda
 SD-Access: why would your customer care? Why Fabric?
 Архитектура SD-Access Wireless
 Adoption/Migration scenarios
 SDA: Key takeaways
2

Software Defined Access – Wireless Integration
Session Objective
Is your Campus Network facing some, or all, of these challenges?
• Host and IoT onboarding and Mobility (w/o stretching VLANs)
• Network Segmentation (w/o implementing MPLS)
• Role-based Access Control (w/o hop-by-hop TrustSec)
• Common Policy for Wired and Wireless (w/o using multiple tools)
• Consistency Across Campus, WAN and Branch (w/o using multiple tools)
The goal of this session is to explain the value of SD-Access Fabric and show you how
with DNA SD-Access Wireless you can overcome some of these challenges.
3

Digital Transformation - Challenge for Enterprise IT
Spent of
Network Operations
$60B
Resources
Data growth
Connected devices
Threat surface areas
An evolved world needs a network evolved.
Mobility IoT Cloud
Devices per
Person
3.64
Things
Connected
7.5B
Enterprise Trends driving Digital Transformation
4

© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
Key Challenges for Traditional Networks
Slow Issue ResolutionComplex to ManageSecure Onboarding
More users and endpoints
Policy based on VLANs
Very hard to Segment
Very little Automation
Mostly all CLI driven
Error prone
Separate user policies for
wired and wireless networks
Different policy definition and
enforcement points
Traditional Networks Cannot Keep Up!

Industry Best-Practices
and Policy Compliance
Decouple Policy from Network
Topology
Proactive Issue Identification and
Resolution
Simple Policy Definition
and Enforcement
Monitoring
and Troubleshooting
Automation Assurance
Introducing Software-Defined Access
Policy-Based Automation from Edge to Cloud
Secure Fabric
Virtual Networks and
Groups Made Easy
6

DNA Software Capabilities
Cloud Service Management
Automation Analytics
Virtualization
DNA-Ready Physical and Virtual infrastructure
Security
DNA Center
APIC-EM, ISE, NDP
SD-Access Wireless

SD-Access Fabric:
why would you care?

Enterprise Network
PAYLOAD DATA IP SRC IP DSTPROT
DST
PORT
SRC
PORT
DSCP
• Only Transitive information
• Survives end to end
Policy is based on “5 Tuple”
• QoS
• Security
• Redirect/copy
• Traffic engineering
• etc.
Network Policy
What is the Problem?
Policy Model Today
10

Enterprise Network
PAYLOAD DATA IP SRC IP DSTPROT
DST
PORT
SRC
PORT
DSCP
User/device info?
Network Policy
IP
ADDRESSES
 Locate you
 Identify you
 Drive “treatment”
 Constrain you
IP Address
“meaning”
OVERLOAD
VLAN 10
SSID B
SSID A
VLAN 20
VLAN 40
SSID D
SSID C
VLAN 30
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Policy Model Today
11

User Group policy rollout - Today
 Customer Policy requirements:
Customer
requirements
Customer
Policy
 Three user Groups
 One single SSID
 Differentiated policies per Group
 Guest segmentation (wired and wireless)
Employee
BYOD
Contractor
Production
Serv.
Developer Serv.
L2 Switch
L3 Switch
Trunks
Trunk
BYOD Employee Contractor
One SSID
Production
Servers
AAA
DHCP
AD
WLC
Developer
Servers
LAN Core
Network
Touch Points
12

L2 Switch
L3 Switch
Trunks
Trunk
One SSID
Production
Servers
AAA
DHCP
WLAN
Developer
Servers
LAN Core
Multiple Steps and
Touch Points
1. Define Groups in AD
2. Define Policies
 VLAN/subnet based
3. Implement VLANs/Subnets
 Create VLANs
 Define DHCP scope
 Create subnets and L3 interfaces
 Routing for new subnets
 Map SSID to Interface/VLAN
4. Implement Policy
 Define ACLs
 Apply ACLs
5. Many different User Interfaces
AAA WLC Devices CLI
….
User Group policy rollout - Today
What if You Need to Add Another Group & Policy?
AD
13

Campus
Workspace of the future
You need a Distributed Data plane without the complications that normally
comes along in terms of IP addressing, roaming, etc.
Is the
Centralized
WLC a
pb??
WLC
DHCPDNS
AAA
AD
LDAP
Data Center WLC
What about…
 Fully leveraging the speed
of 802.11ac/ax?
 Mobility everywhere
 Handling east-west traffic
from tools like Spark room?
And Video, video and
video…
 Onbording Sensors and IoT
devices securely
 Leveraging great innovation
at the switch level
 etc...
What
about IP
addressing
design?
14

But What If …
If we could “break the dependence”
between IP addressing and policy, we
could greatly simplify networks – and
make networks much more functional.
… we could make the IP address
just be a LOCATOR for you, and
provide other ways to group users /
devices to apply POLICY?
Key Assertion
15

With a Fabric…
If we could “break the dependence”
between IP addressing and policy, we
could greatly simplify networks – and
make networks much more functional.
… we could make the IP address
just be a LOCATOR for you, and
provide other ways to group users /
devices to apply POLICY?
Key Assertion
You could build and run your network in a simpler way …
Apply Policy irrespectively of network constructs (VLAN, subnet, IP address)
Easily implement Network Segmentation (w/o implementing MPLS)
Provide L2 and L3 flexibility (w/o stretching VLANs)
16

What exactly is a Fabric?
A Fabric provides an Overlay network
An Overlay is a logical topology used to virtually connect devices, built on top of
some arbitrary physical Underlay topology.
An Overlay network often uses alternate forwarding attributes to provide additional
services, not provided by the Underlay.
• GRE or mGRE
• MPLS or VPLS
• IPSec or DMVPN
• CAPWAP
• LISP
• OTV
• DFA
• ACI
Examples of Network Overlays
17

What exactly is a Fabric?
Flexible Virtual Services
• Mobility - Map Endpoints to Edges
• Services - Deliver using Overlay
• Scalability - Reduce Protocol State
• Flexible and Programmable
Simple Transport Forwarding
• Redundant Devices and Paths
• Keep It Simple and Manageable
• Optimize Packet Handling
• Maximize Network Reliability (HA)
Separation of the “Forwarding Plane” from the “Services Plane”
IT Challenge (Business): Network Uptime IT Challenge (Employee): New Services
The Boss YOU The User
18

What is unique about SDA Fabric?
Key components
1. Control-Plane based on LISP
2. Data-Plane based on VXLAN
3. Policy-Plane with Cisco TrustSec (CTS)
UADP and QFP
allow for Flexibility –
Key to Supporting the
Evolution to Network
Fabrics
Cisco Hardware and Software innovations
Key Differences
• L2 + L3 Overlay -vs- L2 or L3 Only
• Host Mobility with Anycast Gateway
• Adds VRF + SGT into Data-Plane
• Virtual Tunnel Endpoints (No Static)
• No Topology Limitations (Basic IP)
VRF + SGT
19

Locator / ID Separation Protocol
Location and Identity separation
IP core
Device IPv4 or IPv6
Address represents both
Identity and Location
Traditional Behavior -
Location + ID are “Combined”
10.1.0.1 When the Device moves, it gets a
new IPv4 or IPv6 Address for its new
Identity and Location
20.2.0.9
Device IPv4 or IPv6 Address
represents Identity only
End Point ID (EID) space
When the Device moves, it keeps
the same IPv4 or IPv6 Address.
It has the Same Identity
Overlay Behavior -
Location & ID are “Separated”
IP core
Only the Location Changes
(Route Locator (RLOC)
10.1.0.1
10.1.0.1
Location is Here
20
192.168.1.1
192.168.25.1
Underlay addressing space

ORIGINAL
PACKET
PAYLOADETHERNET IP
PACKET IN
LISP
PAYLOADIPLISPUDPIPETHERNET
PAYLOADETHERNET IPVXLANUDPIPETHERNET
PACKET IN
VXLAN
Supports L2
& L3 Overlay
Supports L3
Overlay
Key Components - VXLAN
21

Key Components – Cisco TrustSec (CTS)
3. Policy-Plane based on CTS
PAYLOADETHERNET IPVXLANUDPIPETHERNET
VRF + SGT
VRF = Virtual Routing & Forwarding
SGT = Scalable Group Tagging
22

Cisco TrustSec
Traditional Access Control is Extremely Complex
Access Layer
Enterprise
Backbone
Voice
VLAN
Voice
Data
VLAN
Employee
Aggregation Layer
Supplier
Guest
VLAN
BYOD
BYOD
VLAN
Non-Compliant
Quarantine
VLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL VACLLimits of Traditional
Segmentation
• Security Policy based on
Topology (Address)
• High cost and complex
maintenance
Applications
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Classification
Static or Dynamic VLAN
assignments
Propagation
Carry “Segment”
context through the
network using VLAN, IP
address, VRF
Enforcement
IP Based Policies - ACLs,
Firewall Rules
23

VLAN BVLAN A
Campus Switch
DC Switch
or Firewall
Application
Servers
ISE
Enterprise
Backbone
Enforcement
Campus Switch
Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
DC switch receives policy for
only what is connected
Classification
Static or Dynamic SGT
assignments
Propagation
Carry “Group” context
through the network
using only SGT
Enforcement
Group Based Policies
ACLs, Firewall Rules
Cisco TrustSec
Traditional Access Control is Extremely Complex
24

Overlay encapsulation (VXLAN)
Fabric Underlay – Forwarding plane
• Connects the network elements to each other
• Optimized for traffic forwarding (scalability, performance)
• Networking constructs like IP, VLANs, live here
Overlay
control plane
(LISP)
Underlay
Overlay
Employee
Supplier
Devices
Fabric breaks dependency between IP and Policy. Separation of Forwarding
and Services planes. In Fabric Polices are tied to User/Device Identity
Fabric brings Policy Simplification
DNA Center – Automation and Assurance
• Single User Interface for Fabric Management & Orchestration
• Policies definition based on User, Device or App Group
• Design, Deploy and Monitoring and Troubleshooting
Fabric Overlay – Services plane
• Dynamically connects Users/Devices/Things
• IP is an ID not used for traffic forwarding
• End to End Policies and Segmentation
25

You convinced me on Fabric…but
still, why integrating Wireless?

ISE / AD
WLC
CAPWAP (Control)
Упрощение IP адресации? WLC как mobility
Anchor
Да, контроллерУпрощенное администрирование?
CAPWAPНаложенная сеть?
WLC как Mobility
AnchorL3 роуминг в кампусе?
Foreign-AnchorСегментация гостевого трафика?
Сильные стороны централизованной инфраструктуры БЛВС
CAPWAP (Data)
27

ISE / AD
Распределенный Feature Plane AVC, NetFlow,
VRF-Lite, MPLSСегментация
Масштабируемый
TCAM
Широкие возможности
фильтрации трафика
Масштабирование
и надежностьРаспределенный Data Plane
12 классов,
обработка очередейВыдающиеся возможности QoS
Сильные стороны проводной сети
28

Интеграция БЛВС в архитектуру
SD-Access воплощает лучшее
обоих миров
29

Архитектура SD-Access Wireless

Архитектура SD-Access
Роли и терминология
ISE / AD
 Control-Plane (CP) Node – Map System that
manages Endpoint ID to Location relationships.
Also known as Host Tracking DB (HTDB)
 Edge Nodes – A Fabric device (e.g.. Access
or Distribution) that connects wired endpoints
to the SDA Fabric
 Group Repository – External ID Services
(e.g.. ISE) is leveraged for dynamic User or
Device to Group mapping and policy definition
 Border Nodes – A Fabric device (e.g.. Core)
that connects External L3 network(s) to the
SDA Fabric
Group
Repository
SD-Access Fabric
Intermediate
Nodes (Underlay)
Fabric Mode
WLC
Fabric Edge
Nodes
 DNA Controller –SDN Controller provides
GUI management abstraction via multiple
Service Apps, which share information
DNA Center
C
Control-Plane
Nodes
B
 Fabric Wireless Controller – Wireless
Controller (WLC) fabric-enabled, participate in
LISP control planeFabric
Mode APs
 Fabric Mode APs – Access Points that are
fabric-enabled. Wireless traffic is VXLAN
encapsulated at AP
Fabric Border
B
31
DHCP
APIC-EM
NDP

воплощает преимущества обеих систем путем...
1
2
3
Упрощения Control & Management Plane
Оптимизации Data Plane
Интегрированного управления политиками
доступа и сегментацией трафика
32

Упрощение Control Plane
ISE / AD
WLC
DNAC
SD-Access
Fabric
BB
Абстракция
политик и
автоматизация
настройки
Автоматизация
 DNAC упрощает внедрение фабрики,
 включая интеграцию БЛВС
C
Fabric enabled WLC:
WLC является частью LISP
control plane
Централизованный Wireless Control Plane
 WLC управляет клиентскими сессиями
 AP Mgmt, Mobility, RRM и т.д..
 Преимущества CUWN
CAPWAP
Cntrl plane
LISP
Cntrl plane
1
LISP control plane Management
 WLC интегрируется с LISP control plane
 WLC уведомляет CP о беспроводных клиентах
 Mobility является неотъемлемой часть фабрики
благодаря LISP CP
33

Control Plane Node – зачем он нужен
 Обычная БД хостов, отслеживающая привязку
Endpoint ID к Edge Node (RLOCs)
 БД хостов поддерживает несколько типов
Endpoint ID (EID), таких как IPv4 /32, IPv6 /128* или
MAC/48
 Получает регистрации префиксов от Edge Nodes
(для проводных клиентов) и от Fabric mode WLC
(для беспроводных клиентов)
 Отвечает на lookup requests от FE для определения
местоположения хостов
 Updates Fabric Edge nodes, Border nodes with
wireless Клиент mobility and RLOC information
Fabric Control-Plane Node основан на LISP Map Server / Resolver
Содержит LISP Endpoint ID Database с информацией о доступности хостов через
фабрику
1
CPEID VNI RLOC
10.1.1.20 10 192.168.1.1
C
10.1.1.20
192.168.1.1
FE1
(*) в последующих релизах ПО
34

Control Plane Node
 WLC отвечает за: AP image/config, Radio Resource
Management (RRM), управление клиентскими сессиями,
роуминг
 Во время интеграции с фабрикой:
• Для БЛВС, клиентский MAC адрес используется как EID.
• Взаимодействует с Host Tracking DB на Control-Plane node для
регистрации привязки Клиент MAC адреса к SGT и L2 VNI
• VN information – это Layer 2 VN (L2 VNID) и привязывается к
VLAN на FE коммутаторах
• Отвечает за обновление Host Tracking DB во время роуминга
беспроводных клиентов
• Fabric enabled WLC должен быть установлен в том же месте, что
и точки доступа (задержка между ТД и WLC должна быть < 20мс)
Fabric Mode WLC интегрируется с LISP Control Plane
Control Plane централизован в WLC для всего функционала БЛВС
1
EID VNI RLOC
ab:12:cd:34:2f.56 10 192.168.1.1
C
192.168.1.1
ab:12:cd:34:2f.56
FE1
35

ISE / AD
WLC
DNAC
SD-Access
Fabric
BB
Абстракция
политик и
автоматизация
настройки
C
Fabric enabled WLC:
WLC - часть LISP control plane
VXLAN от ТД
 маркирование и сегментация трафика от
границы сети
Оптимизированный распределенный Data Plane
 Fabric overlay с Anycast GW + «Растянутые» подсети
 «Большие» VLAN без проблем
 Любой роуминг происходит на втором уровнеFabric enabled ТД:
ТД инкапсулирует трафик
Fabric SSID в VXLAN
CAPWAP
Cntrl plane
VXLAN
Data plane
LISP
Cntrl plane
VXLAN
(Data Plane)
2Архитектура SD-Access Wireless
Оптимизация Data Plane
Автоматизация
 DNAC упрощает развертывание фабрики,
 включая интеграцию БЛВС
Централизованный Wireless Control Plane
 WLC управляет клиентскими сессиями
 AP Mgmt, Mobility, RRM и т.д..
 Преимущества CUWN
LISP control plane Management
 WLC интегрируется с LISP control plane
 WLC уведомляет CP о беспроводных клиентах
 Mobility является неотъемлемой часть фабрики
благодаря LISP CP
36

Оптимизация Data Plane: Fabric Edge
 Осуществляет идентификацию и аутентификацию
проводных клиентов
 Регистрирует Endpoint ID (IP адрес) на Control-Plane
Node(-ах)
 Предоставляет VN сервис для беспроводных клиентов
 Подключает ТД к «фабрике» и формирует до них
VXLAN туннели
 Реализует Anycast L3 Gateway для подключенных к
нему клиентов
Fabric Edge Node основан на LISP Tunnel Router
Передает трафик пользователей и устройств подключенных к «фабрике»
2
C
Fabric Edge (FE)
37

Оптимизация Data Plane: Anycast Gateway
 Принцип работы аналогичен HSRP / VRRP с общими
виртуальными IP и MAC адресами
 Одинаковый Switched Virtual Interface (SVI) настроен
на каждом Edge с одинаковыми Virtual IP и MAC
 Если хост перемещается от Edge A к Edge B, то ему не
надо менять (L3) Default Gateway!
Anycast GW реализует единый L3 Default Gateway
Основан на Virtual IP address (VIP)
2
GW GW GW
C
IP 10.1.1.1
MAC ab:12:cd:34:ef:56
10.1.1.1 10.1.1.1
FE A FE B
10.1.1.10 10.1.1.10
38

Оптимизация Data Plane: «Растянутые» подсети
 IP трафик хоста попадает на SVI его Fabric Edge и
далее передается LISP-ом
 LISP Dynamic EID осуществляет регистрацию и
мобильность каждому хосту (/32, /128, MAC)
 Нет необходимости «растягивать» VLAN на
несколько коммутаторов доступа, чтобы хосты 1 и 2
имели L2 соседство
 Клиент 1, подключенный к Fabric Edge (FE) A, может
обмениваться трафиком с клиентами Fabric Edge (FE)
B, т.к. они находятся в одной IP подсети.
Stretched subnets позволяет «растянуть» IP подсеть через оверлей
Основано на Anycast GW + LISP Dynamic EID + VXLAN overlay
2
GW GW GW
Dynamic
EID
FE A
10.1.1.10
FE B
C
10.1.1.110.1.1.1
10.1.1.11
39

Оптимизация Data Plane: «Растянутые» подсети
 Fabric mode AP – это ТД в режиме local и должна быть
напрямую подключена к FE
 CAPWAP control plane передается на WLC, используя
«фабрику»
 Режим Fabric включается на уровне SSID:
• Для SSID в режиме Fabric ТД преобразует трафик 802.11 в
трафик 802.3 и инкапсулирует его в VXLAN, добавляя VNI и
SGT атрибуты клиентского устройства
• Передает пользовательский трафик, используя forwarding
table, получаемую от WLC. Обычно VXLAN DST – первый хоп
на пути трафика.
 ТД реализует все «беспроводные» фичи: политики
SSID, AVC, QoS т.д.
Fabric Mode AP интегрируется с VXLAN Data Plane
Wireless Data Plane распределен между точками доступа
2
VXLAN
(Data)
CAPWAP
Control plane
40

Упрощение политик и Сегментирование
SD Fabric
B
CVXLAN
(Data)
IP payload 802.11IP
IP payload 802.3
EID
IP
VXLAN
SRC: AP
DST:FEA
UDP
ТД удаляет
заголовок 802.11
ТД добавляет заголовок
802.3/VXLAN/underlay IP2
1
3
FE A
FE B
41
Клиент A
Клиент B

SD Fabric
B
CVXLAN
(Data)
IP payload 802.3
EID
IP
VXLAN
SRC: AP
DST:FEA
UDP
2
R
Client SGT
16bits
Client VN
24bits
R
ТД добавляет информацию о
политике к VXLAN заголовку
и отправляет пакет
Клиентский VRF кодируется
Layer 2 Virtual Network (L2
VNID)
Иерархическое сегментирование:
1. Virtual Network (VN) == VRF - изолированный Control Plane + Data
Plane
2. Scalable Group Tag (SGT) – Идентификатор группы пользователей
3
FE A
FE B
42
Клиент A
Клиент B

SD Fabric
B
CVXLAN
(Data)
IP payload 802.3
EID
IP
VXLAN
SRC:FEA
DST:FEB
UDP
FE декапсулирует заголовок
VXLAN, извлекает L2 VNID и
определяет подходящий VLAN и
L2 LISP.
Затем FEA производит поиск FE
хоста назначения и
инкапсулирует трафик для
передачи на FE B
3
Клиент is placed in
the right VRF
3
FE A
FE B
43
FEA осуществляет
поиск в CP клиента B
Клиент A
Клиент B

SD Fabric
B
CVXLAN
(Data)
IP payload 802.3
EID
IP
VXLAN
SRC:FEA
DST:FEB
UDP
FE удаляет внешний IP заголовок,
анализирует L2 VNID и помещает
его в нужный VLAN.
Применяет политику , основанную
на анализе SGT, перед отправкой
пакета получателю
4
Помещен в VRF
Применена SGT политика
Клиентская
политика
переносится
через
оверлей в
неизменном
виде
3
FE A
FE B
44
Клиент A
Клиент B

L3 Switch
LAN core
точка настройки
1. Задать группы в AD
2. Спроектировать и внедрить сеть в DNA-C
 Создать виртуальные сети
 Определить политики
• Role/Group based
 Применить политики
• На основании SGT
3. Политика присваивается как результат авторизации и
применяется в любом месте сети
Trunk
WLC
DNA Center
L3 Switch
VN
ID
BYOD SGT
VXN
HDR
Fabric
SRC
Fabric
DST
EmployeeContractor
исходный пакет
Единый SSID
Production
Servers
Developer
Servers
AAA
DHCP
AD
Employee
SGT 100
BYOD
SGT 200
Contractor
SGT 300
Production Serv.
SGT 10
Developer Serv.
SGT 20
Corporate VN
Преимущества SD-Access Wireless
Внедрение групповых политик пользователей
45

L3 Switch
LAN core
Точка управления
1. Задать группы в AD
2. Спроектировать и внедрить сеть в DNA-C
 Создать виртуальные сети
 Определить политики
• Role/Group based
 Применить политики
• На основании SGT
3. Upon user authentication, Policy is
automatically applied and carried end to end
Trunk
WLC
DNA Center
L3 Switch
Единый SSID
Production
Servers
Developer
Servers
AAA
DHCP
AD
Employee
SGT 100
BYOD
SGT 200
Contractor
SGT 300
Production Serv.
SGT 10
Developer Serv.
SGT 20
Corporate VN
SD-Access Wireless Benefits
Внедрение групповых политик пользователей
Guest Virtual Network
IoT/HVAC Virtual Network
единая
точка
настройки
46

с SDA
 Data Plane
распределенный и
оптимизированный
 Единая подсеть для
упрощения дизайна
 Мобильность – часть
функционала «фабрики»
SD-Access Wireless Benefits
Рабочее пространство нового поколения с SDA
Оптимизированный Data plane без недостатков распределенной обработки трафика
The
advantages
of distributed
DP without
the pain
WLC
DHCPDNS
AAA
AD
LDAP
Data Center WLC
SDA Fabric
C B
CAPWAP
(Control)
VXLAN
(Data)
Interface VLAN
vrf forwarding Employee
ip address 10.10.10.1/24
Interface VLAN
vrf forwarding Employee
ip address 10.10.10.1/24
47

Какие продукты
поддерживаются?

Поддержка SD-Access оборудованием
ASR-1000-X
ASR-1000-HX
ISR 4430
ISR 4450
WirelessRoutingSwitching
AIR-CT5520
AIR-CT8540
Wave 2 APs (1800, 2800,3800)
Wave 1 APs* (1700, 2700,3700)
Catalyst 9400
Catalyst 9300
Catalyst 9500
Catalyst 4500E Catalyst 6K Nexus 7700
Catalyst 3850 and 3650
AIR-CT3504
CSRv
*с ограничениями
Subtended
CDB
2960-CX
3560-CX
NEW
NEW
NEW
NEW
NEW
49

3504 WLC
• AIR-CT3504
• 1G/mGig
• AireOS 8.5+
SD-Access – интеграция БЛВС с фабрикой
Поддержка аппаратурой
Wave 2 APs
• 1800/2800/3800
• 11ac Wave2 APs
• 1G/MGIG RJ45
• AireOS 8.5+
5520 WLC
• AIR-CT5520
• No 5508
• 1G/10G SFP+
• AireOS 8.5+
8540 WLC
• AIR-CT8540
• 8510 supported
• 1G/10G SFP+
• AireOS 8.5+
Wave 1 APs
• 1700/2700/3700
• 11ac Wave1 APs*
• 1G RJ45
• AireOS 8.5+
*with Caveats
NEW
50

Catalyst 9400
• Catalyst 9400
• Sup1E
• 9400 Cards
• IOS-XE 16.6.1+
SD-Access – Edge Node
Platform Support
Catalyst 4K
• Catalyst 4500
• Sup8E/9E (Uplinks)
• 4700 Cards (Down)
• IOS-XE 3.10.1+
Catalyst 3K
• Catalyst 3650/3850
• 1/MGIG RJ45
• 10/40G NM Cards
• IOS-XE 16.6.1+
Catalyst 9300
• Catalyst 9300
• 1/MGIG RJ45
• 10/40/mG NM Cards
• IOS-XE 16.6.1+
NEW NEW
For Your
Reference
51

Catalyst 9500
• Catalyst 9500
• 10/40G SFP/QSFP
• 10/40G NM Cards
• IOS-XE 16.6.1+
Catalyst 3K
• Catalyst 3850
• 1/10G SFP+
• 10/40G NM Cards
• IOS-XE 16.6.1+
SD-Access – Control-Plane
Platform Support
Catalyst 6K
• Catalyst 6800
• Sup2T/6T
• 6880-X or 6840-X
• IOS 15.5.1SY+
ASR1K, ISR4K & CSRv
• CSRv
• ASR 1000-X/HX
• ISR 4430/4450
• IOS-XE 16.6.1+
NEW
For Your
Reference
52

Catalyst 9500
• Catalyst 9500
• 40G QSFP
• 10/40G NM Cards
• IOS-XE 16.6.1+
SD-Access – Border Node
Platform Support
Nexus 7K
• Nexus 7700
• Sup2E
• M3 Cards
• NXOS 7.3.2+
Catalyst 3K
• Catalyst 3850
• 1/10G SFP+
• 10/40G NM Cards
• IOS-XE 16.6.1+
ASR1K & ISR4K
• ASR 1000-X/HX
• ISR 4430/4450
• 1/10G/40G
• IOS-XE 16.6.1+
Catalyst 6K
• Catalyst 6800
• Sup2T/6T
• 6880-X or 6840-X
• IOS 15.5.1SY+
NEW
For Your
Reference
53

SD-Access Wireless
Basic Flows

SD-Access Wireless Basic Workflows
Add WLC to Fabric
• In DNAC, add WLC to Fabric Domain
• Fabric configuration is pushed to WLC. WLC becomes Fabric aware. Most importantly
WLC is configured with credentials to established a secure connection to CP
• WLC is ready to participate in SD-Access Wireless
SDA Fabric
B
C
DNAC
1
1
2
2
3
FE1
Fabric WLC
55

AP Join
• User configure AP pool in DNAC. DNAC pre-provision a configuration macro on the FEs
• AP is plugged in and powers up. FE discovers it’s an AP via CDP and applies the macro
to assign the switch port the the right VLAN
• AP gets an IP address via DHCP. AP is registered as a “special” wired host to Fabric
IP Network
B
C
DNAC
1
1
2
AP directly connected
CDP
2
3
FE1
Fabric WLC
56

4
AP Join
 Fabric Edge registers AP’s IP address (EID) and updates the Control Plane (CP)
 AP joins WLC using traditional methods. Fabric AP joins as a Local mode AP
 WLC checks if it is fabric-capable (Wave 2 or Wave 1 APs)
 If AP is supported for Fabric, WLC queries the CP to know if AP is connected to Fabric
SDA Fabric
B
C
AP Check
AP RLOC?
6
7
5
4
6
7
5
AP EID register
FE1
CAPWAP Join
CAPWAP in VXLAN
Fabric WLC
57

AP Join
SDA Fabric
B
C
AP RLOC
9
8
AP L2 EID register
 Control Plane (CP) replies to WLC with RLOC. This means AP is attached to Fabric
 WLC does a L2 LISP registration for AP in CP (a.k.a. AP “special” secure Клиент
registration). This is used to pass important metadata information from WLC to the FE
8
9
FE1
Fabric WLC
58

AP Join
• In response to this proxy registration, Control Plane (CP) notifies Fabric Edge and pass the
metadata received from WLC (flag that says it’s an AP and the AP IP address)
• Fabric Edge processes the information, it learns it’s an AP and creates a VXLAN tunnel interface to
the specified IP (optimization: switch side is ready for Клиентs to join)
SDA Fabric
B
C
AP EID update
FE1
interface Tunnel
Fabric WLC
59
10
11
10
11

Клиент Onboarding
• Клиент authenticates to a Fabric enabled WLAN. WLC gets SGT from ISE, updates AP with
Клиент L2VNID and SGT. WLC knows RLOC of AP from internal DB
SDA Fabric
B
C
1
1
Клиент Join
Fabric WLC
Клиент SGT/VNID and RLOC
CAPWAP in VXLAN
FE1
60

• Клиент authenticates to a Fabric enabled WLAN. WLC gets SGT from ISE, updates AP with
Клиент L2VNID and SGT. WLC knows RLOC of AP from internal DB
• WLC proxy registers Клиент L2 info in CP; this is LISP modified message to pass additional info,
like the Клиент SGT
• FE gets notified by CP and adds Клиент MAC in L2 forwarding table and go and fetch the policy
from ISE based on the Клиент SGT
SDA Fabric
B
C
2
Клиент MAC register
1
2
3
Клиент in FWD
table
3
Fabric WLC
FE1
61

• Клиент initiates DHCP Request
• AP encapsulates it in VXLAN with L2 VNI info
• Fabric Edge maps L2 VNID to VLAN interface and forwards DHCP in the overlay (same as
for a wired Fabric Клиент)
SDA Fabric
C
4
5
4
5
6
B
DHCP packet + L2 vnid
6
DHCP flow
Fabric WLC
DHCP
FE1
62

• Клиент receives an IP address from DHCP
• DHCP snooping (and/or ARP for static) triggers a Клиент register by the Fabric Edge to the
CP
This completes Клиент onboarding process
SDA Fabric
B
C8
Клиент IP, L3 VNI, RLOC IP
7
8
C
Fabric WLC
DHCP
7FE1
63

Клиент Roams
• Клиент roams to AP2 on FE2 (inter-switch roaming). WLC get’s notified by AP
• WLC updates the L2 MAC entry in CP with new RLOC FE2
• WLC also updates forwarding table on AP
1
SDA Fabric
B
C
FE1
FE2
AP1
AP2
2
C
1
2
3
Клиент L2 MAC entry
update
Клиент update to AP
3
Fabric WLC
64

Клиент Roams
• CP then notifies
• Fabric Edge FE2 to add the Клиент MAC to forwarding table pointing to tunnel
• Fabric Edge FE1 to do clean up for the wireless Клиент
• Fabric Border to update internal RLOC for this Клиент
• FE will update the L3 entry (IP) in CP data base upon receiving traffic
• Roam is Layer 2 as FE2 has the same VLAN interface (Anycast GW)
4
SDA Fabric
B
FE1
FE2
AP1
AP2
4
5
5
Клиент IP, L3 VNI, RLOC IP
6
C
Fabric WLC
20.2.4.1/20
Клиент SVI
20.2.4.1/20
Клиент SVI
65

SD-Access Wireless
Особенности дизайна

ISE / AD
SD-Access
Fabric
C
BB
APIC-EM ISE / AD
SD-Access
Fabric
C
BB
APIC-EM
Интеграция БЛВС в SDA «Фабрику»
SD-Access WirelessCUWN БЛВС «поверх» (OTT)
VS.
Non-Fabric
WLC
Non-Fabric
APs
Fabric enabled
APs
Fabric
enabled WLC
 CAPWAP для Control Plane и Data Plane
 SDA Fabric – просто транспорт
 Поддерживается любым ПО и всеми моделями
WLC/AP
 Предварительный этап перед полноценным SDA
 CAPWAP Control Plane, VXLAN Data plane
 WLC/APs интегрированы в «Фабрику»,
преимущества SD-Access
 Требуется обновление ПО (8.5+)
 Оптимально работает с 802.11ac Wave 2 ТД
CAPWAP
Cntrl & Data
CAPWAP
Cntrl plane
VXLAN
Data plane
67

CUWN Over the Top (OTT)
• Определение:
• Wireless OTT: БЛВС CAPWAP является «внешним» сервисом для «Фабрики»:
т.е. традиционная БЛВС. «Фабрика» является простейшим сервисом для
CAPWAP.
• Почему wireless OTT?
• Вариант развития сети: миграция на «фабрику» проводной части сети,
получения опыта, ограничения бюджета и т.д..)
• Отсутствие подходящей аппаратуры: заказчик не хочет или не может
мигрировать на новые программные/аппаратные средства, необходимые для
внедрения «фабрики»
SD-Access
Fabric
Non Fabric AP
Non Fabric WLC
CAPWAP tunnel
68

SD-Access Wireless Network Design
Wireless as an Overlay (OTT)
 WLC подключается вне «фабрики»
 Border анонсирует WLC Management подсеть в «фабрику»
 Border анонсирует префиксы «фабрики» в сеть WLC Management
EID prefix 10.1.0.0/20
192.168.1.0/24
WLC Mgmt subnet
IP Network
B
SDA Fabric
10.1.0.200
192.168.1.5
Mgmt InterfaceC
69

IP Network
B
SDA Fabric
10.1.0.200
 ТД расположены в оверлейном пространстве на
коммутаторах Fabric
 Единая подсеть для всех ТД в кампусе
 ТД регистрируются в Host Tracking Database (CP) как
проводные клиенты
 Упрощенный дизайн подключения ТД (единая подсеть)
10.1.0.254/20
AP VLAN
10.1.0.254/20
AP VLAN
10.1.0.201
C
70

IP Network
B
SDA Fabric
10.2.7.254.35
 SSID привязываются к VLAN/Subnet на WLC в виде dynamic interfaces
 Border анонсирует подсети беспроводных клиентов в «Фабрику»
10.2.7.254.0/21
Wireless Клиентs Subnet
10.2.7.5/21
Dynamic InterfaceC
71

IP Network
B
SDA Fabric
 CAPWAP туннель строится между ТД и контроллером
 Трафик приходит на Fabric Edge коммутатор, который инкапсулирует CAPWAP в VXLAN и
отправляет его на Border
 Внешний VXLAN заголовок удаляется, и внутренний CAPWAP пакет пересылается
контроллеру
10.2.7.5/21
Dynamic Interface
CAPWAP CAPWAP in VXLAN CAPWAP
C
72

IP Network
B
SDA Fabric
10.2.7.254.35
 Клиенты аутентифицируются и подключаются контроллером БЛВС
 Клиенты БЛВС в этом случае являются внешними для «фабрики»
10.2.7.5/21
Dynamic Interface
CAPWAP CAPWAP in VXLAN CAPWAP
active WLC
C
73

IP Network
B
SDA Fabric
10.2.7.254.35
 Обмен трафиком между проводным хостом в «Фабрике» и беспроводным клиентом вне ее
происходит через Internal Border – АНАЛОГИЧНО ЦЕНТРАЛИЗОВАННОЙ КОММУТАЦИИ
CUWN!!
 С точки зрения «Фабрики», это – обычная коммуникация фабрик-хоста с хостом, лежащим
за ее пределами
10.2.7.5/21
Dynamic Interface
active WLC
wired host
10.1.18.24
C
74

Wireless as an Overlay (OTT) - Особенности
IP Network
B
SDA Fabric
CAPWAP CAPWAP in VXLAN OTT WLC
C
Единая сеть для
ТД – простота
внедрения ТД
Поддерживаются
все модели ТД
Увеличьте MTU на
пути трафика, чтобы
предотвратить
сегментацию
Внешний по
отношению к
«фабрике».
Нет надобности в
обновлении.
Cisco Prime
Для управления
используйте Cisco
Prime
75

SD-Access Wireless
Integrated Design

Интегрированная БЛВС
 WLC подключаются как внешнее по отношению к «фабрике» устройство
 WLC должен располагаться локально к ТД –Flex или WLC через WAN не поддерживается
 Border анонсирует подсеть WLC Management в «фабрику»
 Border анонсирует префиксы «фабрики» в сеть WLC Management
APs’ EID prefix 10.1.0.0/20
192.168.1.0/24
WLC Mgmt subnet
IP Network
B
SDA Fabric
C
Fabric WLC
77

IP Network
B
SDA Fabric
10.1.0.200
 Точки доступа напрямую подключены к Fabric Edge
 ТД работают в оверлей пространстве фабрики на Fabric Edges
 Единая подсеть для ТД в рамках всей «Фабрики»
 ТД регистрируются в CP базе данных
 Упрощенный дизайн IP для ТД (единая подсеть)
10.1.0.254/20
AP VLAN
10.1.0.254/20
AP VLAN
10.1.0.201
C
Fabric WLC
78

IP Network
B
SDA Fabric
 Клиентские подсети распределены по Fabric Edge коммутаторам
 Нет необходимости указывать клиентские подсети на WLC
 Клиентские подсети привязаны к VLAN с Anycast Gateway на
всех Fabric коммутаторах
 Только Layer-2 роуминг
20.2.4.0/20
Клиентский VLAN
20.2.4.0/20
20.2.4.13
20.2.4.80
C
Fabric WLC
79

IP Network
B
SDA Fabric
 Трафик беспроводных клиентов обрабатывается
распределенно
 Контроллер БЛВС вне пути трафика
 Обмен трафиком с проводным клиентом осуществляется
напрямую через «фабрику»
10.1.18.0/20
20.2.4.0/20
20.2.4.13
проводной хост
10.1.18.24
C
Fabric WLC
80

IP Network
B
SDA Fabric
 Включение в «фабрику» включается для каждого WLAN
 CAPWAP WLAN может одновременно использоваться с Fabric-enabled
WLAN на одном и том же Fabric-enabled WLC
172.16.3.5/24
Dynamic interface
20.2.4.0/20
20.2.4.13
172.16.3.80
C
Non-Fabric SSID
Fabric SSID
81

Гостевой доступ SD-Access Wireless
Традиционное решение CUWN с Anchor контроллером
Internet
SDA Fabric
 Гостевой WLAN привязан к Guest Anchor в DMZ
 Проверенное CUWN решение, защита инвестиций
 Ограничение в 71 Guest Tunnels
 Отдельное решение от Wired Guest, Anchor WLC настраивается отдельно
10.10.10.40
DMZ
B
Foreign WLC Anchor WLC
C
CAPWAP
EoIP
83

Все интегрировано в DNAC
1. Интеграция ISE и
DNA-C
2. Настройка «в одном
окне»
84

Выделенная VN для гостей
Internet
SDA Fabric
 Гостевой сервис – это всего лишь еще одна VN в «фабрике», созданная через DNAC
 Использует возможности «фабрики» по сегментации (VNI, SGT)
 Можно использовать «точечные» политики доступа для гостевой VN с помощью SGT
 Единое решение и политика для проводного и беспроводного гостевого доступа
10.10.10.40
DMZ
B
WLC
Guest VRF
C
85

Гостевая сеть как выделенный Fabric Domain
Internet
SDA Fabric
 Решение гостевого доступа, управляемое DNA-C
 Использует выделенный Control/Data Plane
 Единое решение для проводного и беспроводного гостевого доступа
 Единая политика для проводного и беспроводного гостевого доступа
 Лучшая масштабируемость гостевых VXLAN туннелей на Guest Border
10.10.10.40
DMZ
B
WLC Guest FB
C
BC
86

SD-Access Fabric
Важная информация:
 Мультикаст трафик передается через оверлей в
пространстве EID как для проводных, так и беспроводных
клиентов
 Для включения передачи мультикаст трафика для
беспроводных клиентов, режим Global Multicast и IGMP
snooping должны быть включены на WLC
 В начальной версии ПО мультикаст трафик использует
head-end replication
Мультикаст
non
Fabric
FE1
Multicast source
Overlay
VXLAN tunnels
B
FE2
VXLAN
FB
Fabric RP
88

SD-Access Fabric
Как передается мультикаст – от Multicast Receiver до RP
non
Fabric
FE
Multicast source
 Multicast клиент (приемник) находится в оверлее, источник
мультикаст трафика может быть как вне, так и внутри
«фабрики»
 PIM-SM/PIM-SSM должны быть включены в оверлее
 Клиент отсылает IGMP join для интересующей его
мультикаст группы (G)
 ТД инкапсулирует его в VXLAN и отсылает коммутатору.
 Fabric Edge node (FE) обрабатывает IGMP запрос и
отсылает PIM Join на Fabric Rendezvous Point RP
(предполагаем, что используется PIM-SM)
 RP должна присутствовать в оверлее как часть адресного
пространства клиентских хостов.
IGMP join
Underlay
VXLAN
PIM join
B
FB
Fabric RP
89

SD-Access Fabric
Как передается мультикаст – От источника мультикаст трафика до RP
non
Fabric
FE
Multicast source
 Источник мультикаст трафика отсылает его Fabric
Border(FB), т.к. он является DR для данного сегмента.
 FB получает мультикаст трафик и отсылает PIM Join в
сторону RP (используется PIM-SM)
 Теперь RP имеет информацию как об источниках, так и
приемниках мулькаст трафика данной группы.
Underlay
VXLAN
PIM join
B Multicast traffic
FB
Fabric RP
90

SD-Access Fabric
Как передается мультикаст – Data Plane
non
Fabric
FE
Multicast source
 Мы уже знаем, что RP имеет информацию об источнике и
приемниках для данной мультикаст группы.
 FB посредством VXLAN туннеля отсылает мультикст
трафик на RP, а RP, в свою очередь, пересылает данный
трафик нужному FE с помощью другого VXLAN туннеля.
 FE получает VXLAN пакеты, декапсулирует их, применяет
политики, после чего отправляет точке доступа в VXLAN
туннеле.
 ТД удаляет VXLAN заголовок и пересылает исходный IP
мультикаст пакет нужным клиентам.
Underlay
VXLAN
B
VXLAN tunnels
FB
Fabric RP
91

SD-Access Fabric
 После того как первый пакет приходит на FE, срабатывает
shortest path failover (SPT) и трафик начинает «ходить»
между FB и FE напрямую.
 FE узнает, что именно данный FB подключен к мультикаст
источнику после анализа первого мультикаст пакета, и
отсылает PIM join напрямую к FB для данной мультикст
группе.
 FB теперь знает, какие FE-и имеют клиентов,
запрашивающих трафик определенных групп.
 Он осуществляет репликацию и VXLAN инкапсуляцию
мультикаст трафика, после чего отправляет его
юникастом каждому из заинтересованных FE-ей
 Мультикаст трафик передается через оверлей
 FE получает VXLAN пакеты, декапсулирует, применяет
политики и отправляет их на ТД.
 ТД удаляет VXLAN заголовок и отправляет исходный IP
мультикаст пакет нужным клиентам
Как передается мультикаст
non
Fabric
FE1
Multicast source
Overlay
VXLAN tunnels
B
FE2
VXLAN
FB
Fabric RP
92

Высокая
доступность
SD-Access Wireless

SD-Access Wireless HA
Резервирование контроллеров БЛВС с помощью SSO
Wireless LAN Controller узел control plane в «фабрике»
• WLC регистрирует беспроводных клиентов в Host
Tracking DB. В терминах LISP WLC работает как
Proxy ETR
• WLC подключается вне «фабрики»
• Резервирование SSO
• Пара WLC SSO видятся «фабрикой» одним узлом
• Только активный WLC взаимодействует с CP, при этом
состояние этого взаимодействия синхронизируется между
активным и резервным контроллерами
• В случае аварии, новый активный WLC шлет CP node
обновления для всех активных клиентов (LISP-refresh)
• ТД и клиенты остаются подключенными
C
Active Standby
SSO pair
CP
B B
94

WLC redundancy with SSO
Wireless LAN Controller узел control plane в «фабрике»
Tracking DB. В терминах LISP WLC работает как
Proxy ETR
• Резервирование SSO
• Пара WLC SSO видятся «фабрикой» одним узлом
• Только активный WLC взаимодействует с CP, при этом
состояние этого взаимодействия синхронизируется между
активным и резервным контроллерами
• В случае аварии, новый активный WLC шлет CP node
обновления для всех активных клиентов (LISP-refresh)
• ТД и клиенты остаются подключенными
C
Active
HTDB
B B
Bulk update
95

WLC резервирование N+1
Wireless Lan Controller узел control plane в «фабрике»
Tracking DB. В терминах LISP WLC работает как Proxy
ETR
 Stateless Redundancy в форме N+1
• На ТД настраиваются Primary и Secondary контроллеры
• ТД и клиенты изначально используют Primary
• В случае его отказа, ТД подключается к Secondary
• Клиенты также отключаются и подключаются к Secondary
• Secondary осуществляет регистрацию клиентов на CP
C
SecondaryPrimary
B B
CAPWAP Control
Клиентs
registrations
96
не поддерживается
DNAC (план ноябрь)

Отказоустойчивость Control Plane
Control Plane основан на LISP Map Server / Resolver
 Host Database содержит привязку Endpoint ID к
Edge Node и некоторую другую информацию
(например SGT)
 Поддерживается сценарий Active / Active
отказоустойчивости
 На WLC (и Fabric Edges) настраиваются два CP
узла, синхронизация происходит с обоими
 если один из них выходит из строя, вся клиентская
информация доступна через оставшийся CP узел
C
B
C
Клиент updates
97

Отказоустойчивость CP
Control Plane базируется на LISP Map Server / Resolver
C
B
C
Client updates
98

SD-Access Wireless – Branch Design
Dedicated Branch Fabric Domain
WLC
Campus Fabric
C B
ISE / AD DNAC
Campus
Core
Services block
WAN Branch
Fabric
 Benefits:
 Support for any WAN link latency
 Direct Internet Access available
 Considerations
 Need a local WLC
 Limited scalability in DNAC version 1 in terms of number of branches
(10 Fabric domains in November release)
local WLC
Internet
C B
Per branch Fabric:
dedicated FB, CP and WLC
B
100

SD-Access Wireless
Adoption/Migration scenarios

SD-Access Wireless Adoption
The focus for FCS is greenfield
It’s a journey….
1 Supported adoption scenarios for AireOS
2 Best practices for adoption
102

ISE / AD
SD-Access
Fabric
C
BB
APIC-EM ISE / AD
SD-Access
Fabric
C
BB
APIC-EM
Wireless Integration in SDA Fabric
SD-Access WirelessCUWN wireless Over The Top (OTT)
VS.
Non-Fabric
WLC
Non-Fabric
APs
Fabric enabled
APs
Fabric
enabled WLC
 CAPWAP for Control Plane and Data Plane
 SDA Fabric is just a transport
 Supported on any WLC/AP software and hardware
 Migration step to full SDA
 CAPWAP Control Plane, VXLAN Data plane
 WLC/APs integrated in Fabric, SD-Access advantages
 Requires software upgrade (8.5+)
 Optimized for 802.11ac Wave 2 APs
CAPWAP
Cntrl & Data
CAPWAP
Cntrl plane
VXLAN
Data plane
103

New Cisco wireless customer
Wired
SDA?
New Wireless
customer
“Pure overlay
wireless” play
No
Greenfield
“Overlay to Fabric”
No
Yes Yes Greenfield
Fabric wireless
integration
 Full SDA value
 Tested and supported
 Recommended for FCS
Value prop
for SD-
Access
Wireless?
 Fabric wired first
 Wireless is an Overlay
 Today only Centralized
Wireless is supported
1
104

Internet
Greenfield building – requirements and adoption steps
Fabric building
Guest Fabric node (FB)
ISE / AD
SD-Access
Fabric
DNAC
VXLAN tunnel to
Guest FB
Fabric
WLC
CAPWAP Control
VXLAN
SSID
Guest
SSID
Blizzard
BYOD EmployeeContractor
Fabric APs
VXLAN
(Data)
Requirements HW/SW:
• WLC 3504/5520/8540 with 8.5
• Wave 2 or Wave 1 AP
• ISE 2.3
• Selected devices and software for
FE/FB/CP nodes
Policy:
• Policy based on SGTs and VNIs
Guest
• Dedicated Fabric Domain for Guest
Management/Automation
• DNA-C
Troubleshooting and Assurance
• DNAC
Adoption steps
• Deploy Fabric on the wired side first, including ISE
• Connect WLC external to Fabric
• Configure IP pools in DHCP server
• Use DNA-C for Fabric configuration:
Configure a site for your Fabric buildings
Define the IP pools for the APs and Клиентs
Configure Virtual Networks (one for Guest)
Configure Policies within the VNs
Configure SSIDs and associated IP Pools
Provision WLC to site and add to Fabric
Connect APs to Fabric Edges
• Connect the APs and verify they join the WLC
• Associate Клиентs and verify the basic
connectivity
CBB C
2
105

Internet
Greenfield building
Fabric building
Guest Fabric node (FB)
ISE / AD
SD-Access
Fabric
DNAC
VXLAN tunnel to
Guest FB
Fabric
WLC
CAPWAP Control
VXLAN
SSID
Guest
SSID
Blizzard
BYOD EmployeeContractor
Fabric APs
VXLAN
(Data)
CBB C
Full SD-Access Wireless value
 DNAC and NDP for Automation & Assurance
 Virtual Networks for Segmentation (ex Employee, IoT, Guest)
 ISE for SGT Access Control within VRF (ex. Contractor, BYOD,
Employees)
 Subnet extension across Campus with distributed data plane
 Optimized path for Guest and no Anchor WLC
 And more…
2
106

Existing Cisco wireless customer
Wired
SDA?
Existing Cisco
Wireless
customer
“Pure overlay
wireless” play
No
“Overlay to Fabric”:
Brownfield OTT solution
“Don’t touch my wireless”
Prime for Management
No
Yes Yes
Brownfield
• Isolated building/Campus in one
shot (equivalent to Greenfield)
• Multiple buildings with nomadic
roaming (*)
Migration to SDA
wireless
Value prop
for SD-
Access
Wireless?
(*) Nomadic and seamless roaming here refers to roaming between Fabric and non-Fabric wireless deployments.
Nomadic Roaming = same SSID, but Клиент’s IP addressing changes
1
107

Migration for an existing CUWN deployment
 Customer has a site with AireOS Centralized wireless
 Assumptions:
 Migration to Fabric happens in a single area (e.g. building) at the time and migration is in one shot
 No need for seamless roaming between new SDA area and the existing wireless deployment
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
Non Fabric
2
108

 Migrate wired network to Fabric first
 Add DNAC and ISE (if not present already)
 Wireless is over the top
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
1
SD Fabric
B
C
DNAC
2
3
CAPWAP
CAPWAP
2
109

 Add a dedicated WLC for SD-Access and configure it with same SSIDs
 on CUWN WLC, configure the APs in the area to join the new Fabric WLC
 Traffic now goes through the Fabric
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
1
SD Fabric
B
C
DNAC
2
3
SDA WLC
VXLAN
(Data)
CAPWAP Cntrl
CAPWAP Control
VXLAN
2
No seamless
roaming
110

Recommendations
 Prime for CUWN areas, DNAC for SDA areas
 Dedicated WLC for SD-Access Wireless
 Same SSIDs on Fabric and non-Fabric
DHCP
Services Block
ISE
Cisco Prime
Area 1
Area 2
Non Fabric
SD Fabric
B
C
DNAC
SDA WLC
VXLAN
(Data)
CAPWAP Cntrl
 Same RF Groups for CUWN WLC and SDA WLC
 WLCs in different Mobility Group (no seamless
roaming between areas)
2
No seamless
roaming
111

Traditional Campus
Guest Anchor
Shared WLC
EoIP
CAPWAP
Shared controller for SDA and CUWN
• Shared WLC can manage Fabric and non-Fabric
APs but needs upgrade to 8.5
• New code = more risk for existing non-Fabric
buildings
Management:
• DNAC cannot manage non-Fabric WLC in
brownfield scenarios
• So shared WLC means no DNAC automation
• DNAC can be used for wired and Assurance
• Recommended Prime for non-Fabric wireless
Guest and Policy:
• Can leverage existing Guest Anchor also for Fabric
area/building
• Can leverage ISE for both
WLAN Design:
• Fabric is enabled per SSID
• To have same SSID name in both areas:
1. Need to define and apply AP Groups
2. Need WLANs with same SSID name but
different WLAN profiles
ISE
Consideration for shared WLC for Fabric and non-Fabric
Blizzard
Fabric
APs
SD-Access
Fabric
B CP
CAPWAP
Control
VXLAN
Blizzard
Non-
Fabric
APs
No roaming
between
Fabric and
non-Fabric
Cisco Prime
DNAC
2
Area 1
Area 2
112

Software-Defined Access Summary
Manage Business Outcomes Instead of Managing the Network
Use policy-based automated
provisioning from edge to cloud.
Policy Automation
Look at the entire network as a
single entity and find problems
before your users do.
Network Analytics
Quickly enable network services
across a complete ecosystem
Services Enablement
DNAC automates the Design,
Policy and Provision
Brownfield Integration for
investment protection
Lower OpEx
Policy-based
Automation
Complete
Network Visibility
Fast, Easy
Service Enablement

SDA for Mobility
Innovate Faster with Fabric-Enabled Wireless
Software Defined Wireless
 Centralized management across wired-wireless
 Secure Policy based Automation
 Optimized distributed traffic flows for future scalability
 Simplified enablement of Wi-Fi Services
Simplified
Provisioning
Optimized data plane with
Campus-Wide Roaming
Wired and Wireless
Policy Consistency
Seamless L2 roam
across Campus
Policy stays with user
Consistent Policy for
Wired/Wireless
Easy end to end Virtualization
and Segmentation
DNA Center

Архитектура Cisco SD-Access для беспроводных корпоративных сетей

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (14)

Similar a Архитектура Cisco SD-Access для беспроводных корпоративных сетей

Similar a Архитектура Cisco SD-Access для беспроводных корпоративных сетей (20)

Más de Cisco Russia

Más de Cisco Russia (18)

Último

Último (9)

Архитектура Cisco SD-Access для беспроводных корпоративных сетей