Утверждаю Президент фонда « Бег в удовольствие »;pdf

Обновления ПО AireOS 8.0 и IOS-XE
3.6 – обзор новых возможностей
Виктор Платов, инженер-консультант, CCIE
Максим Сафаргалеев, системный инженер
15 июля 2014
Нужно ли переводить слайды?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
2
Содержание
AireOS 8.0

Введение

Переработанный FlexConnect

Улучшенные механизмы High Availability

AVC Phase 3

Новые возможности RRM / HDX

«Мелкие» улучшения
IOS-XE 3.6

Поддержка новых моделей ТД

Локальное профилирование и классификация

Смешанный режим 802.11r
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
3
Матрица совместимости 8.0
ПО контроллера БЛВС 8.0
Продукт
Версия
Статус
WLC (AireOs)
8.0
Июль 2014
WLC(IOS)
3.6
Июль 2014
CPI
2.1*
Апрель 2014
CPI
2.2^
Октябрь/Ноябрь 2014
MSE
8.0
Июль 2014
ISE
1.2.1 и 1.3
1.2.1 – Май 2014. 1.3 – Август 2014
*Поддерживает фичи 8.0 только в режиме монитора;
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
^Полная поддержка релиза 8.0.
Cisco Confidential
4
Аппаратные платформы, поддерживаемые в 8.0
Продукт
ТД
Поддерживаемые аппаратные платформы
Модули WSSI, 11ac, 3G
1260, 3500, 600,1600, 3600, 2600, 3700, 2700, 702, 702W,
802,1530, 1552WU, 1550**
*1040, *1140,*#1130, *#1240, **1520
КБЛВС
MSE
2500, WLCM2, 5500, WiSM2, 7500 , 8500, vWLC, HA-SKU, UCS-E
3355, Virtual Appliance
*EOL Platforms in 8.0
*# фичи аналогичны 7.6; фичи 8.0 не подерживаются
** 1520 и 1550 с 64MB не будут поддерживать PPPoE и PMIPv6
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
5
Привычный интерфейс контроллера
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
6
Теперь его можно раскрасить 
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
7
Переработанный FlexConnect
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
8
Flex – 7.2
• Smart AP Image Upgrade
Flex – 7.5, 7.6, 8.0
Flex – 7.3 & 7.4
• Flex 7500 Scale Update
• PEAP and EAP-TLS
Support (7.5)
• ACL на FlexConnect AP
• VLAN Based Central
• FlexConnect Group specific
Switching
WLAN-VLAN mapping(7.5)
• AAA Over-ride of VLAN -
dynamic VLAN assignment
for locally switched clients
• Split Tunneling
• AAA Client ACL(7.5)
• Central DHCP Processing
•
Ethernet Fallback (7.6)
• WGB/uWGB Support with
•
Videostream for Local
switching (8.0)
• Bidirectional Rate Limiting
•
Faster time to deploy (8.0)
• Support for ISE BYOD
•
Flex with Mesh
deployment support (8.0)
• FlexConnect Re-branding
• Fast Roaming for Voice
local switching
Clients
• Peer to Peer Blocking
Registration & Provisioning
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
9
9
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
10
FlexConnect VideoStream поддерживается на:
Контроллеры
5508, 7510, 8510, 2504, vWLC, WiSM2
Точки доступа
1140, 1260, 3500, 1600, 2600, 3600, 3700, 2700, 1530
Релиз ПО
CUWN Release 8.0
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
11
Настройка FlexConnect VideoStream
Включить VideoStream глобально
(Cisco Controller) >config media-stream multicast-direct ?
enable
Enable Global Multicast to Unicast Conversion
disable
Disable Global Multicast to Unicast Conversion
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
12
Настройка FlexConnect VideoStream
Добавить описание потока
(Cisco Controller) >configure media-stream add multicast-direct <media-streamname> <start-IP> <end-IP> [template | detail <bandwidth> <packet-size> <Reevaluation> video <priority> <drop|fallback>]’
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
13
Настройка FlexConnect VideoStream
Включить VideoStream на уровне WLAN
(Cisco Controller) >config wlan media-stream multicast-direct 1 ?
enable
Enables Multicast-direct on the WLAN
disable
Disables Multicast-direct on the WLAN.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
14
Мониторинг FlexConnect VideoStream
На контроллере БЛВС
(Cisco Controller) >show flexconnect media-stream client summary
Client Mac
----------------7c:d1:c3:86:7e:dc
88:cb:87:bd:0c:ab
d8:96:95:02:7e:b4
Stream Name
-------------------Media2
Media2
Media2
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Multicast IP
--------------229.77.77.28
229.77.77.28
229.77.77.28
AP-Name
------------------------AP_1600
AP_1600
AP_1600
VLAN
----0
0
0
Type
---------------Multicast Direct
Multicast Direct
Multicast Direct
Cisco Confidential
15
Мониторинг FlexConnect VideoStream
WireShark
Data Rate : 24 Mbps
Destination MAC: 01:00:5E:02:02:02
Обычный мультикаст
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Rate : 115 Mbps
Destination MAC: 00:A0:B0:A4:01:18
QoS : 4-Video
Multicast Direct
Cisco Confidential
16
Мониторинг FlexConnect VideoStream
Точка доступа
AP_1600#show capwap mcast flexconnect clients
======
Bridge Group: 1
=======
Multcast Group Address 229.77.77.28::
MCUC List:
Number of MCUC Client: 3
88cb.87bd.0cab(Bridge Group = 1 Vlan = 0)
7cd1.c386.7edc(Bridge Group = 1 Vlan = 0)
d896.9502.7eb4(Bridge Group = 1 Vlan = 0)
-------MC Only List:
Number of MC Only Client: 0
-------© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
17
Ограничения FlexConnect VideoStream
Отсутствует admission control для запросов на подключение к видео потокам локально
коммутируемых клиентов
Из-за ограничения на размер поля полезной нагрузки пакета CAPWAP, только первые
100 медиапотоков будут отправлены с контроллера на ТД
Например, config media-stream add multicast-direct stream1 225.0.0.1 225.0.0.10
template coarse является одной записью из 100 возможных
Роуминг в случае недоступности контроллера (standalone mode) на FlexConnect ТД
поддерживаться не будет
Поддерживается только IPv4
Session Message Config не поддерживается
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
18
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
19
Настройка ТД в режим FlexConnect
Устраняет необходимость перезагрузки ТД при ее переводе в режим FlexConnect
Любые другие изменения режима/подрежима (кроме wIPS) все еще требуют перезагрузки
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
20
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
21
Режим работы Flex + Bridge (Flex для Mesh точек доступа)
• Новый режим работы ТД, позволяющий
подключить удаленные mesh точки доступа
Центральный
офис
Контроллеры БЛВС
• Control plane поддерживает:
Централизованный
трафик
• Connected (контроллер доступен)
• Standalone (контроллер недоступен)
• Data Plane поддерживает:
• Централизованную коммутацию (split MAC)
• Локальную коммутацию (local MAC)
• Flexconnect Groups
WAN
• Максимально 8 Mesh хопов, 32 MAPна RAP
• Поддержка Local AAA
• Контроллер может иметь набор из Bridge и
Локальный
трафик
Flex + Bridge точек доступа
• MAP использует VLAN-ы родительских
RAP
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Филиал
Local Data WLAN
Central Data WLAN
Cisco Confidential
22
2
Flex+bridge Failover
Secondary
Primary
• AP SSO поддерживается только для RAP
• Внедрения Flex+bridge должны использовать
схему резервирования N+1
• Для отказоустойчивости можно использовать
несколько RAP с секторными антеннами
• RAP переходит в режим standalone при
недоступности контроллера
WAN
Филиал
• MAP переходят в режим standalone когда
контроллер недоступен, а шлюз доступен
• В режиме standalone mode новые ТД не могут
Сервер
приложений
подключиться к Mesh дереву
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
23
Flex+bridge MAP наследование VLAN
MAP
RAP1
Проводные VLANы: 10, 20
Беспроводные VLANы: 10, 20

Проводные VLAN-ы должны совпадать
с беспроводными VLAN-ами,
настроенными на RAP

MAP унаследует проводные VLANы (до
4-ех на1552) от своего родителя

Настройка VLAN будет меняться
каждый раз при смене родителя
Проводные VLANы: 30, 40
Беспроводные VLANы: 30, 40
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
RAP2
Настроенные
VLAN-ы:
10,
20
30,
60, 40
70
Проводные
VLAN-ы будут
унаследованы
при смене
родителя
Cisco Confidential
24
Настройка Flex + Bridge
Wireless  Access Points  AP_NAME  General
Wireless  Access Points  AP_NAME  FlexConnect
После
изменения ТД
перезагрузитс
я
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Аналогично ТД
в режиме Flex
Cisco Confidential
25
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
26
Фаза 1 : APSSO
7.3
• Active – Standby 1:1
Redundancy
• Оба контроллера используют
одинаковые IP адреса
• Синхронизация конфигурации
(полная и инкрементальная)
• Active – Standby могут быть
• Поддерживается на
контроллерах 5500 / 7500 /
8500 и WiSM-2
• Время восстановления 5 -
1000 мс в случае отказа
устройства, ~3 секунды в
случае проблем с сетью
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
•
Автоматическое восстановление
из режима maintenance при
восстановлении доступности
Peer-RP и шлюза
•
Поддержка Internal DHCP сервера
в режиме SSO
•
Поддержка SSO для sleeping
clients
•
Поддержка SSO для OEAP 600
•
Статистика CAC и Call Statistics
копируется на Standby
•
Улучшен механизм проверки
доступности шлюза для снижения
числа ложных срабатываний
•
ICMP Peer ping эхо пакеты
заменены на UDP сообщения
•
Уменьшено время настройки HA
пары
географически распределены
L2 VLAN/Оптика
• База данных клиентов
копируется на Standby
•
• ТД не переходят в состояние
Discovery в случае выхода из
строя активного контроллера
Фаза 3 : Улучшения в
8.0
Фаза 2 : Client SSO
7.5
•
Информация о клиенте
синхронизируется когда
он перемещается в
состояние RUN
Не требуется
реассоциация клиента
при аварийном
переключении
• Время восстановления
сервиса= Время
детектирования
неисправности+ время
переключения(восстановление
сети/сходимость)
Cisco Confidential
27
Статус Bulk Sync
Механизм слежения за статусом Bulk Sync,
синхронизации информации о ТД и
клиентах
Статус может быть Pending/Inprogress/Complete
Вывод команды “show redundancy
summary” будет отражать статус Bulk Sync
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
28
Улучшенные Debug-и: Redundancy Statistics
Новые категории
статистических
данных
All
Infra
Transport
Keep-Alive
GW-Reachability
Config-Sync
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
29
Настраиваемые параметры Keepalive и Peer search
Keep-alive retry
От 3 до 10
Keep-alive timer
От 100 до 1000мс
Peer search timer
От 60 до 300с
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
30
Остальные улучшения
ICMP ping on RMI заменен на UDP сообщение (RMI – Redundancy Management Interface)
•Лучше, потому что ICMP Ping могут теряться при высокой нагрузке на сеть
Улучшения механизма проверки доступности шлюза : после 6 последовательных потерь пинга, на
адрес шлюза отсылается ARP запрос
•Получение ответа является подтверждением того, что шлюз «жив». Уменьшает кол-во ложных срабатываний
Standby WLC входит в режим MTC «на лету» без перезагрузки
•После восстановления доступа к Peer-RP и шлюзу, механизм автовосстановления из режима MTC перезагрузит WLC и
«спарит» его с активным контроллером (фича релиза 7.6)
Faster HA Pair Up – отказ от сравнения XML файлов конфигурации и лишней перезагрузки standby
контроллера во время «спаривания»
•XML отсылается с активного контроллера на резервный во время инициализации перед процессом сравнения файлов
конфигурации. Устраняется двойная перезагрузка.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
31
Улучшения Client SSO
Поддержка встроенного DHCP сервера
Синхронизация статистики AP Radio CAC
Поддержка Sleeping Client
Поддержка ТД OEAP600
Поддержка 802.11ас клиентов
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
32
Поддержка встроенного DHCP сервера
‘Internal DHCP Server’
может быть настроен
на контроллерах в
режиме HA
Вся информация
синхронизируется с
резервным
контроллером, что
позволяет
продолжить работу
DHCP сервера сразу
после аварийного
переключения
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
33
Поддержка SSO для «спящих» клиентов
БД Sleeping Client
синхронизируется
между активным и
резервным
контроллерами
«Спящим» клиентам
не требуется
проходить повторную
Web аутентификацию
если они проснулись
не позже sleeping
client timeout даже
после аварийного
переключения
контроллеров
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
34
Поддержка SSO для ТД OEAP600
ТД OEAP600 не
переустанавливают
CAPWAP туннель
Аварийное
переключение
контроллеров
прозрачно для
клиентов
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
35
AVC Фаза 3
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
36
AVC - 7.4
Фаза 1
•
•
•
•
Классификация и контроль1039
приложений с использованием движка
NBAR2
Поддержка 16 AVC профилей с 32
правилами на профиль
Один AVC профиль на один WLAN;
одинаковый AVC профиль может быть
приложен к различным WLAN-ам
AVC профиль, приложенный к WLAN,
содержит правило с действием MARK
или DROP
•
Графическое отображение на
контроллере всех
классифицированных приложений
•
Один NetFlow exporter и monitor на
контроллер БЛВС
•
Мониторинг AVC NetFlow с
использованием PI (лицензия PAM)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
AVC – 7.5
Фаза 2
• Поддержка Protocol
Pack 4.1
• Поддержка
дополнительных
приложений – всего
1056
• Динамическая загрузка
Protocol Pack для
поддержки
дополнительных
приложений
AVC – 8.0
Фаза 3
• Protocol Pack 9.0
• NBAR Engine rel 3.1
• Динамическое применение AVC
профилей на клиентов с
использованием RADIUS
атрибутов
• Ограничение полосы
пропускания для конкретного
приложения, используемого
конкретным пользователем
• Интеграция AVC профилей в
локальные политики доступа
• Маркирование AVC Directional
QoS DSCP отдельно для
Upstream и Downstream
трафика
• Поддержка 1088 приложений
Cisco Confidential
37
AAA AVC Profile Override для клиентов
До релиза 8.0 AVC Profile настраивался для каждого WLAN, и все
клиенты, подключенные к этому WLAN, использовали данный AVC profile.

В релизе 8.0 AVC profile может быть применен динамически с
использованием AAA Override. Т.е. даже клиенты одного SSID могут
использовать разные AVC профили

Соответствующий AAA атрибут настраивается на AAA серверах, например,
Open Radius/Cisco ACS/ISE.

Данный AAA атрибут определен как Cisco “AV-Pair и может быть задан в
виде пары строка/значение на стороне ААА сервера.

AAA AVC Profile определен как Cisco AV Pair. Строковая переменная
называется “avc-profile-name” . Значение должно совпадать с именем
профиля, заранее созданного на контроллере.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
38
PI/AAA
Контроллер БЛВС
Cisco-av-pair=avc-profile-name=<имя профиля>
Cisco-av-pair=role=<имя роли>
Switch
Учитель
Ученик
AP
YouTube Facebook
Skype
bittorrent
YouTube Facebook
Skype
bittorrent
SSID: Classroom
Security:WPA2/802.1x
Учитель
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Ученик
Cisco Confidential
39
Настройка ISE для AVC
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
40
Настройка AVC для AAA override
Пример – Учитель, Ученик
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
41
Проверка динамических профилей AVC с использованием
CLI
> show client detail
(WLC) >show client detail 18:20:32:bd:52:b7
Client MAC Address............................... 18:20:32:bd:52:b7
Client Username ................................. student1
Client State..................................... Associated
Client User Group................................ student
Client NAC OOB State............................. Access
Wireless LAN Id.................................. 2
Wireless LAN Network Name (SSID)................. ClassroomAVC
Wireless LAN Profile Name........................ ClassroomAVC
Policy Manager State............................. RUN
Policy Manager Rule Created...................... Yes
Audit Session ID................................. 0a0a0a0500000061533434e9
AAA Role Type.................................... student
Local Policy Applied............................. None
AVC Profile Name: ............................... student-AVC
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
42
AVC профиль в настройках
WLAN
(WLC-IPv6) >show avc profile detailed <Profile Name>
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
43
Гранулярные политики AVC – Примеры использования
Политики использования приложений для каждого пользователя и для каждого
устройства
Ролевая политика контроля приложений
• Alice(медсестра) и Bob(IT администратор) работают в больнице
• Оба Alice и Bob подключены к одному SSID.
• Bob может использовать некоторые приложения (например,
YouTube), Alice нет
Политика, основанная на ролях и типе клиентского устройства
• Alice получает доступ к информации EMR с корпоративного ноутбука
• Alice не может получить доступ к EMR с ее персонального iPAD
Политика, основанная на роях, типе устройств и характера
использования приложений
• Alice имеет ограниченный (rate limit) доступ в Skype с ее iPhone и
ограничения использования (только скачивание) для Bittorrent
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
44
AVC Directional QoS DSCP Marking для
Upstream/Downstream трафика

До релиза 8.0 маркирование QOS можно было настроить как правило в AVC
профиле. Данная фича настраивалась как DSCP маркирования и
применялось двунаправленно как к upstream, так и к downstream трафику.

В релизе 8.0 стал доступен дополнительный конфигурационный
параметр (direction), который позволяет определить направление
трафика, в котором следует осуществлять маркировку – Upstream
или Downstream.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
45
Настройка Directional DSCP
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
46
AVC Per-Application Per-Client Rate Limiting on WLAN

До релиза 8.0 у нас был только bi-directional per client bandwidth
control.

downstream rate-limiting per client осуществляет контроллер, upstream точка доступа.

В релизе 8.0 стала доступна возможность ограничения пропускной
способности для каждого приложения каждого клиента в обоих
направлениях.

Данная фича подразумевает наличие контроля за пропускной
способностью приложений каждого клиента.
 Находится над per client bandwidth contracts
 Может работать совместно с per-client downstream rate-limiting, который
более приоритетен
Замечание: Rate Limiting не поддерживается на контроллере
2504; AVC не поддерживается на vWLC;
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
47
AVC Per Application Per Client Based Rate Limiting on WLAN
- Ограничения

Число приложений, для которых ограничивается полоса пропускания
не более 3. Данное ограничение вводится на этапе настройки.

Только одно правило может быть настроено на приложение.


Одинаковые значения используются для upstream и downstream.


Приложение не может иметь одновременно правило Mark и rate-limit.
Скорость должна быть настроена в виде общей скорости для
up/downstream.
Данные правила rate-limit не будут применяться динамически к
клиентам. Применение правил происходит ТОЛЬКО как результат
аутентификации/реаутентификации.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
48
Интеграция AVC Profiles в правила Local Policy

Обеспечивает возможность применения AVC profiles (используются
для контроля за приложениями) на основе роли, возвращаемой от
AAA сервера
1.
На основе user-group
2.
Per-user
3.
Per-user и per-device( задано в политике)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
49
Интеграция AVC Profiles в правила Local Policy

AVC profile определяется как часть Local policy.

Любой client/user во время аутентификации с использованием AAA
сервера получит роль, определяемую для конкретного пользователя
или группы пользователей как результат ответа AAA сервера.

Полученная роль используется для применения локальной политики

После успешного сопоставления ролей выбирается нужная локальная
политика, и AVC profile, указанный в данной политике, применяется к
клиенту/пользователю.

Тип устройства, указанный в политике, также может являться
фактором принятия решения о том, к какому типу устройств нужно
применять AVC profile.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
50
Настройка AVC profile и локальной политики
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
51
Обзор новых возможностей AVC в 8.0
•
Движок NBAR2 версии 3.1 в виде библиотеки для легкого и быстрого обновления
•
Новый Protocol Pack ver 9.0 для нового движка– отсутствие обратной совместимости
•
Local Policy может быть применена к клиентам одного WLAN для контроля за доступом определенных
устройств к определенным приложениями
•
В релизах 7.5 и 7.6 все пользователи одного WLAN используют одинаковый AVC профиль
•
В 8.0 появляется возможность динамически применять AVC профили к различным клиентам одного
WLAN с использованием RADIUS атрибутов
•
В релизах 7.5 и 7.6 мы поддерживали ограничение полосы пропускания для конкретного клиента в
обоих направлениях
 В направлении Downstream контроль за полосой обеспечивал контроллер, тогда как в направлении
Upstream скорость контролировала ТД.
•
В релизе 8.0 мы стали поддерживать ограничение полосы пропускания для конкретного приложения.




Данный контроль будет осуществляться после Per-User и per-SSID bandwidth contracts.
Число приложений, для которых выполняется действие rate-limiting ограничено тремя
Правила не применяются к пользователям динамически в любое время. Только на этап аутентификации.
Ограничение полосы пропускания осуществляется в обоих направлениях сразу.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
52
Новые возможности RRM / HDX
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
53
8.0 Новые возможности RRM
• DCA в RF profiles!
• RX_SOP
• Optimized Roaming
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
54
DCA в RF Profiles – Почему?
• Поддержка географически распределенных
(через границы государств) сетей– одна AP group
на страну- каждая со своим списком доступных
каналов в RF Profiles
• Управление сетью с каналами разной ширины
(802.11n/ac 40/80МГц)
• Назначение канала в зависимости от физической
области пространства – служба разработки на
втором этаже, бухгалтерия на первом, мы хотим
минимизировать их влияние друг на друга
• Конференц-центр – позволяет назначать
диапазоны каналов каждому участнику для
изоляции зон покрытия
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
55
RRM DCA в RF Profiles – правила применения
• На контроллере должен быть сконфигурирован
соответствующий country code для того, чтобы
включить настройку соответствующих ему
каналов.
• Каналы должны быть выбраны в глобальной
настройке DCA. Иначе они будут недоступны для
настройки внутри RF профилей
• Необходимо отключить сети 802.11a/b для
изменения набора DCA каналов или их ширины
(20/40/80)
• В RF профиле можно настроить назначение
каналов иной ширины, чем это указано глобально
• Соответствующие RF Profiles и AP groups должны
быть настроены на каждом контроллере, которые
управляют точками доступа, которые Вы хотите
поместить в данную AP group.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
56
RX-SOP – (Receive - Start of Packet) – Что это такое?
• Receiver Start of Packet Detection Threshold (RX-SOP) определяет уровень WiFi сигнала в
dBm на котором радиоинтерфейс ТД может демодулировать и декодировать пакет.
• Чем выше этот уровень, тем менее чувствителен радиоинтерфейс точки доступа, тем
меньше зона покрытия одной точки доступа
• Путем уменьшения размера ячейки, мы можем влиять на очень много параметров,
начиная от распределения клиентов и заканчивая нашим видением утилизации канала
• Этот функционал предназначен для сетей с высокой плотностью абонентов – и требует
четкого понимания того, что Вы хотите в итоге получить
• Клиент должен иметь возможность куда-то подключиться, если мы его игнорируем
текущей точкой доступа
Предостережение – это аналогично установке кирпичной стены – если вы ее
построите выше, чем клиенты могут быть услышаны – вы их больше не услышите.
На самом деле.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
57
RX-SOP – Зачем это использовать?
• Уменьшаем чувствительность к интерференции и шуму – уменьшаем утилизацию канала
• Это четко очерчивает границу соты– мы будем слышать только то, что хотим покрыть
• Предосторожности –
• Вы можете существенно уменьшить зону беспроводного покрытия
• Вы можете сделать так, что нужные клиент не смогут подключиться и работать с Вашими
точками доступа
• Данный функционал предназначен для использования совместно с текущими техниками
для решения специфических проблем в том случае, когда Вы осознаете требуемую зону
покрытия и модель использования сети клиентами
• RX-SOP доступен на глобальном уровне и внутри RF профилей – мы настоятельно
рекомендуем применять функционал через RF профили для решения специфических для
сетей с высокой плотностью абонентов сетей.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
58
Настройка RX-SOP
• Возможные значения High, Medium, Low, Auto
• Auto значение по умолчанию. RX-SOP равен
CCA threshold
• Большинство сетей могут использовать
настройку LOW и при этом заметить
улучшения
• Данная настройка влияет на все пакеты,
принимаемые приемником
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
59
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
60
Современное
решение
Слабый Wi-Fi
сигнал
Падение
производительности
всей соты
-85dB
Cisco “Optimized Roaming”
-80dB
-80dB
-80dB
Удовлетворенность
пользователя
«Статичность» клиента –
главная причина плохой
производительности
WiFi
Эффективное
использование
ячейки
3G или 4G
61
Optimized Roaming
• Устанавливает пороговое значение RSSI
и/или минимальная Data rate при которых
клиенту будет отсылаться deauth
• Разработано для поддержки Cellular Hand
Off
• Доступна настройка четырех глобальных
параметров
• Включено/Выключено
• Интервал (секунды)
• Пороговое значение Data Rate
• Пороговое значение RSSI, настраиваемое
через CHDM
• Триггером является событие Pre-Coverage
hole – настраивается в секции CHDM
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
62
Настройка Optimized Roaming
• Enable/Disable – Глобальная настройка
• Interval = #кол-во секунд между проверками
радио
• Data Rate threshold• Используется совместно с RSSI threshold, если
настроен, то используется как ключевой триггер:
и data rate и rssi должны сработать для
деаутентификации– по умолчанию выключено
• RSSI threshold – устанавливается через data
RSSI в настройках CHDM на глобальном уровне
и в разделе RRM в RF Profile
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
63
Логика Optimized Roaming
• Использует CHDM Data RSSI как триггер
• В одиночку – решение принимается на основе
RSSI принимаемого от клиента сигнала
• В комбинации с Data Rate – дает дополнительный
триггер и позволяет CHDM функционировать
• При использовании совместно с Client Low RSSI
check, используется бОльшее из двух значений (с
гистерезисом в 6 dB).
Data RSSI
Data Rate
Result
True
Disable (default)
Deauth
True
False
No Action
True
True
Deauth
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
64
Сравнение Optimized Roaming и Low RSSI
• Low RSSI check – это совершенно независимый функционал: он устанавливает
минимальный уровень RSSI принимаемого от клиента сигнала, необходимый для его
ассоциации с ТД
• В Optimized Roaming имеется встроенный 6 dB гистерезис для предотвращения пинг-понга
• Т.е. если Optimized roaming настроен на -75, тогда для переподключения клиента к точке
доступа его сигнал должен увеличиться до -69 dBm
• Алгоритм проверяет low RSSI и Optimized roaming перед тем, как позволить клиенту
подключиться – оба критерия должны выполняться
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
65
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
66
CAPWAP: Поддержка Data Tunnel Keep-Alive

Часто требуется разместить удаленные ТД за маршрутизатором (или МСЭ) с
функционалом Port Address Translation (PAT)

Маршрутизаторы удаляют запись в UDP таблице после 5 отсутствия трафика

В настоящее время, регулярные Keep-Alives отправляются через CAPWAP Control
Tunnel, но не используются для CAPWAP Data tunnel

Это “может” привести к ситуации, в которой ТД имеет живое Control соединение с
контроллером БЛВС с валидной записью в таблицах маршрутизатора, тогда как
пакеты данных будут «улетать» в «черную дыру». ТД предполагает, что никаких
проблем нет, тогда как МСЭ может отбрасывать эти пакеты, из-за отсутствия
информации в таблице трансляций.

ТД может оставаться в этом состоянии долгое время, период которого неограничен.
Перезагрузка ТД или Интернет соединения (действия пользователя по умолчанию )
на некоторое время решают проблему, что делает основную причину ненайденной.

8.0 предлагает решение этой проблемы!
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
67
PPPoE Client на FlexConnect ТД вернулся!

FlexConnect ТД может быть PPPoE клиентом

Исключает необходимость во внешнем
PPPoE маршрутизаторе

Впервые появилась в 7.3, убрана в 7.5

Снова появилась в 8.0, в
оптимизированном виде!
IP 802.11 CAPWAP
PPPoE
PPPoE Клиент на
FlexConnect ТД
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
PPPoE
CAPWAP
PPPoE Сервер
802.11
IP
Контроллер
Cisco Confidential
68
Мы позволим Вам отсылать любые Vendor Specific
Attributes которые Вы пожелаете!
Один заказчик хочет добавить несколько VSA в сообщения RADIUS Accounting для
конкретного SSID…
Другой заказчик хочет добавить другой набор VSA как в сообщения RADIUS
Authentication так и Accounting…
…Как мы можем масштабируемо удовлетворить эти запросы?!
Легко: позволим им определять атрибуты самим!
В 8.0, сервис-провайдеры могут научить свои контроллеры новым VSA
Это достигается путем импорта XML текстового файла, который говорит контроллеру:
1.
Список VSA и их значений
2.
Что с ними делать
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
69
Vendor Specific AVP – Как выглядит этот файл?
<radiusFile>
<avpList SSID_PROF=“SSIDProfileName” incAuth="true" incAcct="false">
<radiusAttributes>
<attributeName>SVR-Zip-Code</attributeName>
<vendorId>14369</vendorId>
<attributeId>14</attributeId>
<valueType>STRING</valueType>
<attributeValue>33612</attributeValue>
</radiusAttributes>
<radiusAttributes>
…
</radiusAttributes>
</avpList>
<avpList SSID_PROF=“SSIDProfileName” incAuth=“false” incAcct=“true”>
<radiusAttributes>
…
</radiusAttributes>
</avpList>
</radiusFile>
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
70
Vendor Specific AVPs- Как загрузить файл в контроллер?
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
71
Выбор RADIUS сервера по REALM
NAI (Network Access Identifier) – это идентификатор в формате “[email protected]”
В случае dot1x, NAI виден контроллеру как часть EAP Identity Response
В случае EAP-SIM или EAP-AKA NAI выглядит как:
0<IMSI>@wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org†
Все, что после“@” и есть значение Realm
Но, знали ли Вы, что значение Realm уникально для каждого сервис-провайдера?
Что если контроллер будет использовать значение Realm для выбора RADIUS сервера
для аутентификации и/или аккаунтинга беспроводных клиентов? Будет ли от этого
польза?
Мы сделали именно это :)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
†More
Cisco Confidential
details in the slide notes
72
RADIUS selection by REALM – Как это настроить?

Легко как раз-два:
1.
2.
Включить фичу на уровне WLAN
Задать при добавлении RADIUS сервера соответствующие значения REALM (до 30 сервер)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
73
RADIUS selection by REALM – Тонкости функционирования

При dot1x аутентификации контроллер может видеть только EAP outer identity.

Если NAI-realm включен для данного WLAN, но от клиента не получен EAP outer
identity, контроллер, как обычно, выберет первый RADIUS сервер из списка
доступных.

Однако если полученная outer identity будет содержать REALM или просто иметь в
своем составе символ“@”, но при этом данное значение REALM не будет совпадать
ни с одним из заданных для RADIUS серверов, данный беспроводной клиент
будет деассоциирован

Это хорошо работает для EAP-SIM & EAP-AKA, однако если к тому же самому WLAN
будут подключаться клиенты с использованием других методов EAP, к выбору имен
пользователей надо подходить осторожно.
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
74
Поддержка HTTPS для WebAuth гостевых пользователей

Наконец! Теперь при использовании 8.0, если клиент начинает работу с https://
веб-страницы, он будет перенаправлен на WebAuth страницу аутентификации!

Но обратите внимание, что теперь страницы ошибки SSL Warning Page теперь не
избежать…
До 8.0
После 8.0!
Запомните: Это не является проблемой реализации Cisco!
Та же самая ошибка появится независимо от производителя. Так
задуман HTTPs!
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
75
Теперь можно изменять идентификаторы SSID and WLAN Profile
•
До 8.0 заказчики вынуждены были удалять WLAN создавать новый, чтобы
изменить эти параметры
•
В 8.0 данные изменения можно сделать в любое время через GUI, CLI или
SNMP
До 8.0
После 8.0!
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
76
Ping от Dynamic Interfaces (extended Ping)

Долгожданный инструмент поиска неисправностей, который активно продвигал TAC

Extended Ping доступен только через CLI.

GUI по прежнему будет иметь только базовый Ping, когда эхо пакеты отправляются с
менеджмент интерфейса

Не буду утомлять вас еще одним сложным слайдом; вот как это работает:
(8500-1) > ping
10.1.1.254 ?
[<interface-name>] [<repeat count[1-100]>] [<packet size[10-2000]>]
Enter interface name and/or repeat count(1-100) and/or packet size(10-2000).
Example:
(8500-1) > ping
10.1.1.254 MyDynamicInt 10 1000
Send count=10, Receive count=10 from 10.1.1.254, Packet size = 1000
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
77
Теперь IP address отображается в выводе команды
“show ap summary”
+ добавлен новый фильтр AP IP address
• Не надо слов…
(8500-1) >show ap summary
Number of APs.................................... 1
Global AP User Name.............................. Not Configured
Global AP Dot1x User Name........................ Not Configured
AP Name
Slots AP Model
Ethernet MAC
Location
Country
IP Address Clients DSE Location
---------- ----- ----------------- ----------------- --------- ---------- ----------- -------- --------------
8.0AP
2
AIR-CAP3602I-A-K9 44:d3:ca:42:57:a7 MyLab
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
US
10.40.27.18 0
[0 ,0 ,0 ]
Cisco Confidential
78
Больший контроль над аппаратными ресурсами

Заказчики хотят иметь больше информации об утилизации аппаратных ресурсов
контроллера

Примеры: iowait, cpu, (cpu by system, by user), load per cpu, average load, etc..

Вот список новых команд“ show system … ”добавленных в 8.0:
(8500-1) >show system ?
dmesg
Displays dmesg logs
interfaces Displays information about the configured network interfaces
interrupts Displays the number of interrupts
iostat
Displays CPU and input/output statistics for devices
meminfo
Displays system memory information
neighbours Displays the IPv6 Neighbor Cache
netstat
Display system network stats
process
Displays process related information
route
Displays system routing table
slabs
Displays memory usage on slab level
timers
Display system timer info
top
Displays the cpu usage
vmstat
Displays system virtual memory statistics
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
79
“show run-config startup-commands”

Новый метод получения стартап конфигурации

Может быть использован для восстановления настроек (Copy & Paste ready)

Аналог того, что пишется в файл при "transfer upload datatype config”
 Замечания:



Отнимает много процессорного времени, вызывает
«замирание» CLI/GUI на довольно продолжительное
время (до 60секунд в моих тестах)
Однако влияние ограничено только одним процессором
(из восьми) и не влияет на обработку пользовательского
трафика или время ответа на ping со стороны
контроллера
Перед выполнением команды отображается следующее
сообщение:
This may take some time. Are you sure you want to start? (Y/N)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
80
Новые команды CLI ТД для настройки режима работы
(mesh, local)
Забавный факт:
5% поставляемых нами внутриофисных ТД, заказываются с опцией ПО Mesh!!!

Также, принимая внимание тот факт, что наши внешние ТД поддерживают как Local, так и Bridge
(mesh) режимы, существует ненулевая вероятность того, что ТД будет настроена неправильно

Обычно, сначала мы должны подключить к контроллеру ТД в режиме Bridge, указав при этом ее
MAC адрес в Auth-list, для того, чтобы изменить ей режим работы.

До настоящего времени у нас были только секретные, неподдерживаемые т
недокументированные команды "test mesh mode”

В 8.0 мы добавлены 2 новых, документированных, поддерживаемых TAC команды:
capwap ap mode local†
†после
&
capwap ap mode bridge†
ввода этих команд ТД перезагрузится
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
81
Новые команды CLI ТД to configure mode (cont.) –
советы по использованию

ТД в режиме Local могут поставляться с урезанным образом ПО(…-rcvk9w8-…),
который не содержит Radio firmware

Перед переключением ТД из режима Local в режим Bridge убедитесь, что ТД имеет
полноценный образ ПО (…-k9w8-…), и что MAC адрес ТД добавлен в фильтр на
контроллере

Конечно, «старые» скрытые и неподдерживаемые команды также позволяли
изменить роль Mesh ТД (т.е. RAP/ MAP), а также настроить значение BGN. Этот
расширенный функционал пока недоступен в виде официально поддерживаемых
команд, которые появились в 8.0
 test mesh mode bridge (или local)
Эти команды не
 test mesh role rap (или map)
поддерживаются TAC-ом!
 test mesh bgn Mybgn (настраивает значение BGN)
 reload (требуется ручная перезагрузка)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
82
Включение Telnet & SSH на ТД
До 8.0:

Включение Telnet или SSH было доступно только для
конкретной ТД
В 8.0:

Появится возможность управлять этим настройками
глобально для всех ТД, подключенных или которые только
будут подключены к контроллеру

Теперь совершенно новые ТД будут позволять собой
управлять по Telnet/SSH сразу после получения IP адреса

После включения Telnet/SSH также будет доступен даже на
неподключенных ТД, независимо от их режима работы
(например: Bridge mode)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
83
debug client: Assoc/Reassoc будет отображать имя ТД!
До 8.0: сообщения Association/Re-Association в выводе команды debug client <MAC
addr> отображали только BSSID.
Жизнь была бы немного проще, если там отображалось бы имя ТД. И это случится в
8.0!
До 8.0
После 8.0!
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
84
show client detail: будет содержать WLAN Name & Profile
…потому что это экономит время при поиске неисправностей!
До 8.0
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
После 8.0!
Cisco Confidential
85
IOS-XE 3.6.0SE
Совместимость IOS-XE 3.6.0SE
WLC IOS-XE 3.6 Based Solutions
Продукт
Версия
Статус
WLC(IOS)
3.6
CCO Июнь/июль 2014
WLC (AireOs)
7.6 / 8.0
CCO Июнь/июль 2014
CPI
2.1*
CCO Апрель 2014
MSE
8.0
CCO Июнь/июль 2014
ISE
1.2 and 1.3
1.2 Поставляется. 1.3 CCO Июль/Август2014
*Поддерживает новые устройства, но не новый функционал
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
87
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
88
Новые ТД, поддерживаемые в IOS XE 3.6

AP2700I, AP 2700E

AP1532I, AP1532E

AP702W

AP702I, AP702E
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
89
Поддержка режим работы и функционала
ТД / Режим
Local
Monitor
Sniffer
2700I/2700E
✓
✓
✓
1532I/1532E
✓
✓
✗
702W
✓
✓
✓
702I/702E
✓
✓
✓

Нет поддержки AVC на 702W, 702I, 702E ( 128 M memory )

Ограничение в 100 клиентов на радио для 702I, 702E

Поддержка режимов Single и Dual Band для1532I/1532E

Подрежим wIPS поддерживается для режимов local и monitor
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
90
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
91
Обзор функционала AVC
3.2.0SE
3.3.0SE
3.6
• Flexible Netflow v9
• mQC based Hierarchical
QOS для 4 аппаратных
очередей для
беспроводного трафика на
контроллере
• NBAR2 выполняется на
ТД 11n второго
поколения Gen-2 AP's
• Экспорт статистики с
помощью Flexible Netflow
• Netflow апдейты
отправляются от ТД к
контроллерам каждые
90секунд
• Protocol pack = 5.1
• Привязка AVC к
QOS(Маркирование)
• Новый движок NBAR2 #16
• Новый protocol pack версии
8.0
• Привязка роли
пользователя и типа
устройства в политики AVC
• Microsoft Lync 2013 и Cisco
Jabber
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
92
IOX-XE 3.6 AVC поддерживаемый функционал

Добавлена буква “C” к AVC – стал возможен контроль за приложениями
посредством политик QoS

Поддерживается на: 5760/3850/3650

Использует Protocol Pack v8.0 – NBAR2 Engine v16

Поддерживает Seamless Roaming

Более1000 приложений

Поддерживается на 11n ТД второго поколения(ТД1600, 2600, 2700, 3600,
3700 и 1532)- Не поддерживается на ТД700

Centralized и Converged Access

С помощью Flexible Netflow v9 полученную статистику можно
экспортировать в PI(PAM) и внешние коллекторы (Plixir, ActionPacked, и т.д.)
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
93
IOS-XE 3.6 AVC Политики QoS

Политики QoS могут применяться отдельно для Upstream и Downstream трафика

Контроль приложений обеспечивается на ТД для Upstream QoS и на
коммутаторе/контроллере для Downstream QoS, при этом классификация
выполняется на ТД

Направление Upstream*: Mark, Police и Drop

Направление Downstream **: Mark и Police (нет Drop)
• Действие DROP (может сбросить только upstream трафик)
• Действие MARK (трафик приложений может быть помечен различными
значениями DSCP или CoS. Маркировка доступна как для upstream, так и для
downstream трафика
• Действие POLICE (интенсивность трафика приложений может быть ограничена
вплоть до 8 Kбит/с. Полисинг может быть применен как к upstream, так и
downstream трафику.
*Направление Upstream: Беспроводной клиентТДКонтроллер
**Направление Downstream: КонтроллерТДБеспроводной клиент
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
94
IOS-XE 3.6 Политики AVC QoS

Application Recognition and Control настраивается в политике Client QoS

Пример политики контроля приложений в зависимости от роли
пользователя:
•
•
•

Alice(медсестра) и Bob (IT администратор) работают в больнице
И Alice, и Bob подключены к одному SSID, но при этом Bob может пользоваться
некоторыми приложениями, тогда как Alice – нет
Достигается путем задания на контроллере двух политик QoS и использования
AAA override совместно с ISE
AVC настраивается в GUI в два шага:
1- Создание QoS Policy
2- Применение QoS Policy к WLAN

Мониторинг за AVC осуществляется через dashboard, для каждого
клиента и SSID
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
95
NBAR/AVC Кратко:
•
Одна и та же политика QoS может быть приложена к различным WLANам. Но
один WLAN может иметь только одну политику QoS
•
Доступно три варианта действий DROP/MARK/POLICE для каждого
классифицированного приложения
•
Только 1 NetFlow exporter и monitor может быть настроен на WLAN
•
Статистика AVC отображается только для 30 самых активных приложений как
в GUI, так и в CLI
•
Любое приложение, которые не распознаются NBAR движком контроллера,
попадают в раздел UNCLASSFIED/Unknown трафик
• Ограничения NBAR
•
Трафик IPv6 не классифицируется
•
Трафик многоадресной рассылки не классифицируется
•
Protocol Pack не обновляются- они привязаны к релизу ПО
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
96
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
97
Локальное профилирование и применение политик
доступа
ISE имеет богатый BYOD функционал: например, определение
типа устройств, автоматическая настройка, проверка состояния и
применение политики доступа
Есть заказчики, которым применение ISE дорого, но при этом
требуется реализовать ряд его функций
Профилирование устройств контроллером на основе MAC OUI,
HTTP, DHCP
Применение политик на пользователя или на устройство
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
98
Профили устройств
• Определение типа устройства (профилирование) использует шаблоны
профилей на контроллере
• Беспроводные клиент профилируются на основе MAC OUI, DHCP, HTTP
user agent
• Релиз IOS XE 3.6 содержит 287 предустановленных профилей
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
99
Настройка локального профилирования
• На уровне WLAN, включите Local HTTP Profiling
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
100
Профилирование клиентских устройств
• Когда профилирование включено, тип пользовательского оборудования
отображается на странице Monitor
• Диаграмма процентного соотношения типов устройств будет доступна в 3.6
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
101
Классификация
MAC
Учительr
Ученик
OUI
Device type
Username
User Role
Admin
Device Type
UserRole
Джон
Identity
VLAN
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACL
Session
timeout
Egress
QoS
Ingress
QoS
Cisco Confidential
102
Настройка применения политики
3-х
шаговый
процесс
Создание Servicetemplate
VLAN
Policy Map
Создание Policy-Map
Ассоциирование Service
Policy с WLAN/VLAN
ACL
Session
timeout
Egress
QoS
Ingress
QoS
Service
Template
Username
VLAN
User-Role
ACL
MAC
Session t/o
WLAN Service Policy
Username
OUI
User-Role
Ingress QoS
Device Type
VLAN
Egress QoS
t/o
OUI
Egress
QoS
Device Type
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACL
MAC
Ingress
QoS
Cisco Confidential
103
Что нужно знать!
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
104
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential
105
Поддержка 802.11r Mixed-mode
Устройство/Адаптер
Версия драйвера
Поддерживает
iPad
iOS 6
✔
iPad Air
iOS 7.0
✔
iPod
iOS 6.1.3
✔
Android
Samsung Galaxy S4
✔
✔
D Link
Linksys AE2500
5.100.68.46 (6/10/2011)
✔
MAC
OS X 10.9.2
✔
Cisco 7921
✔
Cisco 9971
✔
MAC
OS X 10.9
✗
MAC
OS X 10.7.4
✗
Netgear
6.30.145.30 (03/26/2013)
✗
ADU
4.3.0.305
✗
Juniper Odyssey
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Удалено ограничение,
требовавшее
отдельный WLAN для
поддержки 802.11r
Некоторые клиенты,
не поддерживающие
11r, могут
подключаться к SSID с
включенным 802.11r
✗
Cisco Confidential
106
Настройка 802.11r Mixed-mode
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Client
AKM
FT
802.1x
Capable
802.1x
Enable
Non 802.1x
Client
PSK
Enable
Cisco Confidential
107
Thank you.