Post on 28-Feb-2019
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
WLC
CAPWAP (Control)
Uproszczona adresacja IP? Kontroler jako Mobility Anchor
KontrolerUproszczone zarządzanie?
CAPWAPSieć nakładkowa?
Kontroler jako Mobility AnchorRoaming L3 ?
Foreign-AnchorSegmentacja ruchu gościnnego?
Klasyczna sieć bezprzewodowa - Zalety
CAPWAP (Data)
3
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
Rozproszone funkcje? AVC, NetFlow
VRF-Lite, MPLSSegmentacja?
Skalowane TCAMZłożone ACL?
Skalowalny i wysoko dostępnyRozproszony Data Plane?
12-klas, kolejkowanieZróżnicowany QoS?
Klasyczna sieć przewodowa – Zalety
4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless łączy najlepsze z obu światów
5
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-AccessTerminologia i reguły
ISE / AD
§ Control-Plane (CP) Node – System mapowania, który zarządza relacją Endpoint ID do Location. Inna nazwa to: Host Tracking DB (HTDB)
§ Edge Nodes – Urządzenie w Fabric (np. Access lub Distribution), które łączy urządzenia końcowe do SDA Fabric
§ Group Repository – Zewnętrzne usługi ID (np. ISE) wykorzystywane do mapowania użytkowników/urządzeń do grup oraz definicję polityk bezpieczeństwa
§ Border Nodes – Urządzenie w Fabric (np.: Core), które łączy Zewnętrzne sieci L3 do SDA Fabric
GroupRepository
SD-Access Fabric
IntermediateNodes (Underlay)
Fabric ModeWLC
Fabric Edge Nodes
§ DNA Controller – Kontroler SDN, posiada GUI, pozwala na zarządzanie przez różne aplikacje, które współdzielą informacjeDNA
Controller
CControl-Plane
Nodes
B
§ Fabric Wireless Controller – Kontroler sieci WLAN pracujący w Fabric, uczestniczy w LISP Control PlaneFabric
Mode APs § Fabric Mode APs – AP pracujące w Fabric. Ruch bezprzewodowy jest enkapsulowany w VXLAN na AP
Fabric Border
B
7
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessŁączy najlepsze z obu światów przez:
1
2
3
Uproszczenie Control & Management Plane
Optymalizacja Data Plane
Integracja polityk bezpieczeństwa orazsegmentacja E2E
8
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architaktura SD-Access WirelessUproszczenie Control Plane
ISE / AD
WLC
DNAC
SD-AccessFabric
BB
Policy Abstraction and Configuration Automation
Automation§ DNAC simplifies the Fabric deployment, § Including the wireless integration component
C
Fabric enabled WLC:WLC is part of LISP control plane
Centralized Wireless Control Plane§ WLC still provides client session management§ AP Mgmt, Mobility, RRM, etc.§ Same operational advantages of CUWN
CAPWAPCntrl plane
LISPCntrl plane
1
LISP control plane Management§ WLC integrates with LISP control plane§ WLC updates the CP for wireless clients§ Mobility is integrated in Fabric thanks to LISP CP
9
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessControl Plane
§ Host Database utrzymuje mapowania Endpoint ID do Edge Node (RLOC)
§ Host Database wspiera wiele typów Endpoint ID (EID), takich jak: IPv4 /32, IPv6 /128* lub MAC/48
§ Otrzymuje informacje o prefixach od Edge Node dlaklientów wired oraz od WLC dla klientów wireless
§ Rozwiązuje lookup request od FE by zlokalizowaćpołożenie hostów/endpointów
§ Informuje Fabric Edge oraz Border Node o hostach/endpointach oraz ich RLOC
Fabric Control-Plane Node bazuje na LISP Map Server / ResolverUtrzymuje LISP Endpoint ID Database co zapewnia łączność w Overlay
1
CPEID VNI RLOC
10.1.1.20 10 192.168.1.1C
10.1.1.20
192.168.1.1
FE1
(*) po FCS10
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access Wireless
§ WLC jest odpowiedzialny za: AP image/config, Radio Resource Management (RRM) oraz zarządzanie sesjąklientów i roaming
§ Integracja z Fabric:• Dla Wireless: MAC address klienta jest wykorzystywany jako EID. • Współpracuje z Host Tracking DB na Control-Plane Node by
rejestrować Client MAC address z SGT oraz L2 VNI • Informacja o VN to Layer 2 VN (L2 VNID) i jest mapowany do VLAN
na FE• Odpowiada za aktualizację Host Tracking DB o informację o
roamingu klientów bezprzewodowych• WLC(Fabric-enabled) musi być kolokowany z AP
Fabric Mode WLC integruje się z LISP Control PlaneControl Plane jest zcentralizowany na kontrolerze dla wszystkich usług Wireless
1
EID VNI RLOC
ab:12:cd:34:2f.56 10 192.168.1.1C
192.168.2.1
ab:12:cd:34:2f.56
FE1
11
Control Plane
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
WLC
DNAC
SD-AccessFabric
BB
Policy Abstraction and Configuration Automation
C
Fabric enabled WLC:WLC is part of LISP control plane
VXLAN from the AP§ Carrying hierarchical policy segmentation starting
from the edge of the network
Optimized Distributed Data Plane § Fabric overlay with Anycast GW + Stretched subnet§ VLAN extension with no complications§ All roaming are Layer 2Fabric enabled AP:
AP encapsulates Fabric SSID traffic in VXLAN
CAPWAPCntrl plane
VXLANData plane
LISPCntrl plane
VXLAN (Data Plane)
2Architektura SD-Access WirelessOptymalizacja Data Plane
Automation§ DNAC simplifies the Fabric deployment, § Including the wireless integration component
Centralized Wireless Control Plane§ WLC still provides client session management§ AP Mgmt, Mobility, RRM, etc.§ Same operational advantages of CUWN
LISP control plane Management§ WLC integrates with LISP control plane§ WLC updates the CP for wireless clients§ Mobility is integrated in Fabric thanks to LISP CP
12
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessOptymalizacja Data Plane: Fabric Edge
§ Odpowiedzialny za identyfikację i uwierzytelnianie klientów przewodowych
§ Rejestruje informacje o Endpoint ID (adres IP) do Control-Plane Node/ów
§ Zapewnia usługi VN dla klientów bezprzewodowych§ Podłącza AP do Fabric oraz tworzy tunele VXLAN z AP§ Zapewnia usługę Anycast L3 Gateway dla podłączonych
klientów
Fabric Edge Node bazuje na LISP Tunnel RouterZapewnia łączność dla użytkowników i urządzeń podłączonych do Fabric
2
C
Fabric Edge (FE)
13
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessOptymalizacja Data Plane: Anycast Gateway
§ Podobne zachowanie i funkcja jak HSRP / VRRP ze współdzielonym Virtual IP oraz adresem MAC
§ Ten sam Switched Virtual Interface (SVI) znajduje się na każdym Edge, z tym samym Virtual IP oraz adresem MAC
§ Jeżeli (kiedy) Host przełącza się między Edge A a Edge B, nie musi zmieniać swojej bramy domyślnej (L3) DefaultGateway
Anycast GW zapewnia pojedynczy L3 Default GatewayBazuje na Virtual IP address (VIP)
2
GW GW GW
C
IP 10.1.1.1
MAC ab:12:cd:34:ef:56 10.1.1.1 10.1.1.1
FE A FE B
10.1.1.10 10.1.1.10
14
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessOptymalizacja Data Plane: Stretched subnets
§ Fabric mode AP to AP w trybie local-mode i musi być bezpośrednio podłączony do FE
§ CAPWAP control plane łączy się z WLC wykorzystując Fabric
§ “Fabric” uruchamia się per SSID:• Dla SSID pracujących w Fabric-mode, AP konwertuje ruch
802.11 na 802.3 i enkapsuluje w VXLAN zachowując info o VNI oraz SGT od klienta
• Przekazuje ruch klienta bazując na tablicy (forwarding table) zgodnie z WLC. Zwykle VXLAN DST jest na first hop switch.
§ AP nakłada wszystkie ustawienia sieci bezprzewodowej: polityki SSID, AVC, QoS, itd.
Fabric Mode AP integruje się z VXLAN Data PlaneData Plane sieci bezprzewodowej jest rozproszony na wszystkie AP
2
VXLAN (Data)
CAPWAPControl plane
15
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessUproszczenie polityk bezpieczeństwa i segmentacja
SD Fabric
BCVXLAN
(Data)
IPpayload 802.11IP
IPpayload 802.3EIDIP VXLAN
underlayIPUDP
AP removes the 802.11 header
AP adds the 802.3/VXLAN/underlay IP header
2
1
3
FE A
FE B
16
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessUproszczenie polityk bezpieczeństwa i segmentacja
SD Fabric
BCVXLAN
(Data)
IPpayload 802.3EIDIP VXLAN
underlayIPUDP
2
R ClientSGT Client VRF R
APs embed the Policy information in the VXLAN header and forwards it
Hierarchical Segmentation:1. Virtual Network (VN) == VRF - isolated Control Plane + Data Plane2. Scalable Group Tag (SGT) – User Group identifier
3
FE A
FE B
17
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessUproszczenie polityk bezpieczeństwa i segmentacja
SD Fabric
BCVXLAN
(Data)
IPpayload 802.3EIDIP VXLAN
underlayIPUDP
FE removes the outer IP header, looks at the L2 VNID and maps it to the VLAN and L2 LISP instance.
Then encapsulates to the destination FE
3
Client is placed in the right VRF
3
FE A
FE B
18
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Architektura SD-Access WirelessUproszczenie polityk bezpieczeństwa i segmentacja
SD Fabric
BCVXLAN
(Data)
IPpayload 802.3EIDIP VXLAN
underlayIPUDP
FE removes the outer IP header, looks at the L2 VNID maps it to the VLAN.
Also looks at the SGT and apply the policy before forwarding the packet
4
SGT policy is applied
Client Policy is carried end to end in the
overlay
3
FE A
FE B
19
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
3504 WLC
• AIR-CT3504• 1G/mGig• AireOS 8.5+
SD-Access – Fabric WirelessWspierane platformy
Wave 2 APs
• 1800/2800/3800• 11ac Wave2 APs• 1G/MGIG RJ45• AireOS 8.5+
5520 WLC
• AIR-CT5520• No 5508• 1G/10G SFP+• AireOS 8.5+
8540 WLC
• AIR-CT8540• 8510 supported• 1G/10G SFP+• AireOS 8.5+
Wave 1 APs
• 1700/2700/3700• 11ac Wave1 APs*• 1G RJ45• AireOS 8.5+
*z ograniczeniamiNEW
21
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyDodanie WLC do Fabric
• W GUI DNA-C, dodaj WLC do Fabric Domain
• Konfiguracja Fabric jest wgrywana na WLC. WLC zaczyna komunikować się z Fabric. WLC nawiązuje bezpieczne połączenie z CP z wykorzystaniem odpowiedniego klucza
• WLC jest gotowy do pracy w architekturze SD-Access Wireless
SDA Fabric
B
C
DNAC
1
1
2
2
3
FE1
Fabric WLC
23
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie AP (AP join)
• Użytkownik konfiguruje pulę adresów dla AP w DNA-C. DNA-C tworzy makro konfiguracyjne na wszystkich FE
• AP jest podłączony i pobiera zasilanie. FE wykrywa AP za pomocą CDP i uruchamia makro na porcie przełącznika, wstawiając AP w odpowiedni VLAN
• AP otrzymuje adres IP z DHCP. AP jest rejestrowany jako “specjalny” host przewodowy do Fabric
IP Network
B
C
DNAC
1
1
2
AP jest bezpośrednio podłączony
CDP
2
3
FE1
Fabric WLC
24
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
1
SD-Access Wireless – podstawowe mechanizmyPodłączenie AP (AP join)
§ Fabric Edge rejestruje adres IP danego AP (EID) i aktualizuje informacje w Control Plane (CP)
§ AP podłącza się do WLC za pomocą tradycyjnych metod. Fabric AP pracuje jako Local mode AP
§ WLC sprawdza czy AP jest odpowiedni do pracy w Fabric (Wave 2 lub Wave 1 AP)
§ Jeżeli weryfikacja jest pozytywna -> WLC pyta CP czy AP jest podłączony do Fabric
SDA Fabric
B
C
AP CheckAP RLOC?
34
2
1
3
4
2
AP EID register
FE1
CAPWAP Join
CAPWAP in VXLAN
Fabric WLC
25
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie AP (AP join)
SDA Fabric
B
C
AP RLOC
6
5
AP L2 EID register
§ CP odpowiada do WLC przesyłając RLOC. To oznacza, że AP jest podłączony do Fabric
§ WLC wykonuje L2 LISP registration w imieniu AP w CP (a.k.a. AP “special” secure clientregistration). To jest wykorzystywane do przesłania informacji metadata od WLC do FE
5
6
FE1
Fabric WLC
26
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie AP (AP join)
• W odpowiedzi na proxy registration CP informuje Fabric Edge i przesyła metadata otrzymane z WLC (flaga mówiąca o tym, że jest to AP oraz jaki jest jego IP adres)
• Fabric Edge przetwarza te informacje, uczy się adresu IP AP oraz tworzy Interface tunnel dla VXLAN pod kątem otrzymanego adresu IP (optymalizacja: strona przełącznika jest gotowa na obsługę klientów)
SDA Fabric
B
C8
AP EID update
7
7
8
FE1
interface Tunnel
Fabric WLC
27
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie klienta bezprzewodowego
• Klient uwierzytelnia się do WLANu (Fabric Enabled). WLC otrzymuje informację o SGT z ISE, informuje AP o L2VNID oraz SGT. WLC wie za jakim RLOC znajduje się AP z internal DB
SDA Fabric
B
C1
1
Client Join
Fabric WLCClient SGT/VNID and RLOC
CAPWAP in VXLAN
FE1
28
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie klienta bezprzewodowego
• Klient uwierzytelnia się do WLANu (Fabric Enabled). WLC otrzymuje informację o SGT z ISE, informuje AP o L2VNID oraz SGT. WLC wie za jakim RLOC znajduje się AP z internal DB
• WLC wykonuje proxy registration informacji L2 o kliencie w CP; to jest zmodyfikowana wiadomość LISP, przekazująca dodatkowe informacje, takie jak: SGT
• FE jest informowane przez CP i dodaje MAC adres klienta do L2 forwarding table i pobiera politykę dla klienta z ISE w oparciu o SGT
SDA Fabric
B
C
2Client MAC register
1
2
3
Client in FWD table
3
Fabric WLC
FE1
29
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie klienta bezprzewodowego
• Klient wysyła DHCP Request
• AP enkapsuluje ruch w VXLAN wraz z informacją L2 VNI
• FE mapuje L2 VNID do VLANu na interfejsie i przesyła zapytanie DHCP w overlay (tak samojak w przypadku klienta przewodowego)
SDA Fabric
C4
5
4
5
6
B
DHCP packet + L2 vnid
6
DHCP flow
Fabric WLC
DHCPFE1
30
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyPodłączenie klienta bezprzewodowego
• Klient otrzymuje adres IP z serwera DHCP
• DHCP snooping (i/lub ARP dla statycznych) uruchamia rejestrację klienta przezFE do CP
To kończy proces podłączenia (onboardingu) klienta
SDA Fabric
B
C8
Client IP, L3 VNI, RLOC IP
7
8
C
Fabric WLC
DHCP7FE1
31
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyRoaming klienta bezprzewodowego
• Klient roamuje do AP2 na FE2 (inter-switch roaming). WLC jest informowany przez AP
• WLC aktualizuje wpis L2 MAC w CP z nowym RLOC = FE2
• WLC aktualizuje również forwarding table na AP
1
SDA Fabric
B
C
FE1
FE2
AP1
AP2
2
C1
2
3
Client L2 MAC entry update
client update to AP
3
Fabric WLC
32
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless – podstawowe mechanizmyRoaming klienta bezprzewodowego
• CP wysyła notyfikację do:• Fabric Edge FE2 to add the client MAC to forwarding table pointing to tunnel• Fabric Edge FE1 to do clean up for the wireless client• Fabric Border to update internal RLOC for this client
• FE aktualizuje wpis L3 (IP) w bazie danych CP w momencie otrzymania ruchu
• Roaming jest Layer 2 jakoże FE2 ma ten sam VLAN interface (Anycast GW)
4
SDA Fabric
B
FE1
FE2
AP1
AP2
4
5
5
Client IP, L3 VNI, RLOC IP
6
C
Fabric WLC
20.2.4.1/20Client SVI
20.2.4.1/20Client SVI
33
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE / AD
SD-Access Fabric
C
BB
APIC-EM ISE / AD
SD-Access Fabric
C
BB
APIC-EM
Sposoby integracji WLAN z SDA FabricSD-Access Wireless (zintegrowany)CUWN wireless Over The Top (OTT)
VS.
Non-Fabric WLC
Non-Fabric APs
Fabric enabledAPs
Fabric enabled WLC
§ CAPWAP for Control Plane and Data Plane§ SDA Fabric is just a transport§ Supported on any WLC/AP software and hardware§ Migration step to full SDA
§ CAPWAP Control Plane, VXLAN Data plane§ WLC/APs integrated in Fabric, SD-Access advantages§ Requires software upgrade (8.5+)§ Optimized for 802.11ac Wave 2 APs
CAPWAPCntrl & Data
CAPWAPCntrl plane
VXLANData plane
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
CUWN Over the Top (OTT)• Definicja:
• Wireless OTT: CAPWAP jest dodatkową siecią nakładkową w stosunku do Fabric: tradycyjna sieć oparta o CAPWAP, siecią transportową dla CAPWAP jest Fabric
• Kiedy OTT?• Jako krok migracyjny: dla klientów, którzy muszą/chcą zmigrować najpierw część
przewodową (inne zespoły zarządzające siecią przewodową/bezprzewodową, czas by zapoznać się z Fabric, inne cykle zakupowe, itp.)
• Rozwiązanie długookresowe: dla klientów którzy nie chcą/nie mogą przejść bezpośrednio w model zintegrowany (nowe oprogramowanie, 802.11n, sieć bezprzewodowa zbyt krytyczna by wprowadzać zmiany)
SD-Access Fabric
Non Fabric AP Non Fabric WLC
CAPWAP tunnel
36
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless OTTWireless as an Overlay (OTT) - uwagi
IP Network
B
SDA Fabric
CAPWAP CAPWAP in VXLAN OTT WLC
C
Wspólna podsieć dla AP – proste
wdrożenie
Wspiera wszystkie modele AP
Zwiększ MTU wzdłuż ścieżki by zapobiec
fragmentacji
Zewnętrzne do Fabric.Nie ma potrzeby aktualizacji
oprogramowania . Wszystkie usługi działają jak
do tej pory.
Cisco Prime
Cisco PrimeInfrastructure do
zarządzania
37
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access WirelessWLAN zintegrowany
§ WLCs connect external to fabric
§ WLC local to the Site – no support for Flex or WLC over WAN
§ Border advertises WLC Management subnet to the Fabric
§ Border advertises Fabric prefixes to the WLC Management network
APs’ EID prefix 10.1.0.0/20
192.168.1.0/24 WLC Mgmt subnet
IP Network
BSDA Fabric
C
Fabric WLC
39
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access WirelessWLAN zintegrowany
IP Network
BSDA Fabric
10.1.0.200
§ Access Points are directly connected to the Fabric Edge
§ APs are in overlay space on Fabric Edges
§ One subnet for APs across the entire Fabric
§ APs get registered in the CP database
§ Simplified IP design for AP onboarding (one subnet)
10.1.0.254/20AP VLAN
10.1.0.254/20AP VLAN
10.1.0.201
EID prefix 10.1.0.0/20
C
Fabric WLC
40
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access WirelessWLAN zintegrowany
IP Network
BSDA Fabric
§ Client subnets are distributed on Fabric Edge switches
§ No need to define client subnets on WLC
§ Client subnets are mapped to VLAN with Anycast Gateway on all Fabric Edge switches
§ All roams are Layer-2 Roams
20.2.4.0/20Client VLAN
EID prefix 20.3.4.0/20
20.2.4.0/20Client VLAN
20.2.4.13
20.2.4.80
C
Fabric WLC
41
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access WirelessWLAN zintegrowany
IP Network
BSDA Fabric
§ Wireless client traffic is distributed
§ No hair-pinning to centralized controller
§ Communication to wired clients is directly through Fabric
10.1.18.0/20Client VLAN
20.2.4.0/20Client VLAN
20.2.4.13
wired host10.1.18.24
C
Fabric WLC
42
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access WirelessWLAN zintegrowany
IP Network
BSDA Fabric
§ Fabric capability enabled on a per WLAN basis
§ CAPWAP WLAN can co-exist with Fabric-enabled WLAN using same Fabric-enabled WLC
172.16.3.5/24Dynamic interface
20.2.4.0/20Client VLAN
20.2.4.13
172.16.3.80
C
Non-Fabric SSID
Fabric SSID
43
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Dostęp gościnny w SD-Access WirelessStandardowe rozwiązanie oparte o Anchor
InternetSDA Fabric
§ Guest WLAN anchored at Guest Anchor in DMZ
§ Well proven CUWN solution, protecting investment
§ Restriction of 71 Guest Tunnels
§ Separate solution for Wired Guest, Anchor WLC managed differently
10.10.10.40
DMZ
B
Foreign WLC Anchor WLC
C
CAPWAP
EoIP
45
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Dostęp gościnny w SD-Access WirelessW pełni zintegrowane w DNA-C
1. ISE and DNA-C integration
2. One touch guest solution
46
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Dostęp gościnny w SD-Access WirelessDedykowany VN dla gości
InternetSDA Fabric
§ Guest is just another VN in fabric, configured by DNAC
§ Leverages fabric segmentation (VNI, SGT)
§ Can have granular access in Guest VN with SGT
§ Consistent solution and policy for Wired and Wireless Guests
10.10.10.40
DMZ
B
WLC
Guest VRF
C
47
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Dostęp gościnny w SD-Access WirelessDedykowany Fabric Domain dla gości
InternetSDA Fabric
§ Guest solution managed by DNA-C
§ Leverages dedicated Control/Data Plane for Guest
§ Consistent solution for Wired and Wireless Guests
§ Consistent policy for Wired and Wireless Guests
§ Higher scalability for Guest VXLAN tunnels at the Guest Border
10.10.10.40
DMZ
B
WLC Guest FB
C
BC
48
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Wysoka dostępność SD-Access Wireless Redundancja SSO
Wireless LAN Controller is a control plane node in Fabric
• WLC registers wireless clients in Host Tracking DB (CP). WLC acts as a Proxy ETR in LISP terminology
• WLC is connected outside Fabric
• Stateful Redundancy with SSO• WLC SSO pair is seen as one node by Fabric• Only Active WLC interacts with CP node• Fabric configuration and CP state is synched between Active
and Standby WLC• Upon failure, new Active WLC will bulk update Fabric clients to
the CP node (LISP-refresh)• APs and Clients stay connected
C
Active Standby
SSO pair
CPB B
50
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Wysoka dostępność SD-Access Wireless Redundancja SSO
Wireless LAN Controller is a control plane node in Fabric
§ WLC registers wireless clients in Host Tracking DB (CP). WLC acts as a Proxy ETR in LISP terminology
§ WLC is connected outside Fabric
§ Stateful Redundancy with SSO• WLC SSO pair is seen as one node by Fabric• Only Active WLC interacts with CP node• Fabric configuration and CP state is synched between Active
and Standby WLC• Upon failure, new Active WLC will bulk update Fabric clients to
the CP node (LISP-refresh)• APs and Clients stay connected
C
Active
HTDBB B
Bulk update
51
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Wysoka dostępność SD-Access Wireless Redundancja N+1
Wireless LAN Controller is a control plane node in Fabric
§ WLC registers wireless clients in CP. WLC acts as a Proxy ETR in LISP terminology
§ WLC is connected outside Fabric
§ Stateless Redundancy with N+1• AP is configured with Primary and Secondary• AP and associated clients register with Primary• Upon Primary failure, AP disconnects and joins Secondary• Clients are also disconnected and join Secondary• Secondary performs new client registration in CP
C
SecondaryPrimary
B B
CAPWAP Control
Clients registrations
52
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Wysoka dostępność SD-Access Wireless Redundancja Control Plane
Control Plane bazuje na LISP Map Server / Resolver
§ Host Database, tracks Endpoint ID to Edge Node bindings, along with other attributes (e.g.. SGT)
§ Redundancy is supported in Active / Active configuration
§ WLC (and Fabric Edges) are configured with two CP nodes and synch information to both
§ If one fails, all client information is available at the other CP node
CB
CClient updates
53
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
Wysoka dostępność SD-Access Wireless Redundancja Control Plane
Control Plane bazuje na LISP Map Server / Resolver
CB
CClient updates
54
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public
SD-Access Wireless w oddziałachDedykowany oddziałowy Fabric Domain
WLC
Campus Fabric
C B
ISE / AD DNAC
Campus Core
Services blockWAN Branch
Fabric
§ Benefits:§ Support for any WAN link latency§ Direct Internet Access available
§ Considerations§ Need a local WLC§ Limited scalability in DNAC version 1 in terms of number of branches
(10 Fabric domains in July)
local WLCInternet
C B
Per branch Fabric:dedicated FB, CP and WLC
B
56
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public 57
SDA WirelessInnovate Faster with Fabric-Enabled Wireless
Software Defined Wireless§ Zcentralizowane zarządzanie siecią wired-wireless
§ Automatyzacja tworzenia polityk bezpieczeństwa
§ Rozproszony ruch klientów zapewnia wysoką wydajność
§ Uproszczone uruchamianie usług Wi-Fi
Simplified Provisioning
Optimized data plane with Campus-Wide Roaming
Wired and Wireless Policy Consistency
Seamless L2 roam across Campus
Policy stays with user
Consistent Policy for Wired/Wireless
Easy end to end Virtualization and Segmentation
DNA Center