Готовимся к CCIE Enterprise - Wireless deployment models

Первоисточник можно найти здесь http://ciscodump.net/library/ccnp&ccieent350401.pdf

Wireless LAN Topologies

Точки доступа Cisco могут работать в одном из двух режимов - autonomous или lightweight - в зависимости от установленной прошивки. Как следует из названий, autonomous точки доступа являются самодостаточными и автономными, в то время как lightweight точки доступа требуют чего-то большего для нормального функционирования. В следующих разделах рассматривается каждый режим. Lightweight режим интересен тем, что он может поддерживать несколько различных топологий сети, в зависимости от того, где расположены контроллеры беспроводной локальной сети (WLC).

Autonomous Topology

Автономные точки доступа являются самодостаточными, каждая из которых предлагает один или несколько полнофункциональных автономных базовых наборов услуг (BSS). Они также являются расширением коммутируемой сети, соединяя SSID с проводными VLAN на уровне доступа. Рисунок ниже показывает основную архитектуру; хотя внизу нарисованы только 4 AP, типичная корпоративная сеть может состоять из сотен и тысяч AP.

Обратите внимание, что на рисунке автономные точки доступа предоставляют пользователям две wifi сети с SSID wlan100 и wlan200. AP также пересылают трафик между беспроводными LAN и двумя проводными VLAN 100 и 200. Это значит что, автономные AP должны быть подключены транком к свичам уровня доступа. Автономная точка доступа также должна быть настроена с IP-адресом управления (10.10.10.10 на рисунке выше), чтобы использовать удаленное управление. В конце концов, вам потребуется настроить SSID, VLAN и другие параметры. Обычно менеджмент сеть - отдельный vlan (в данном случае VLAN 10). Каждый AP должна быть настроена и обслуживаться индивидуально, если вы не используете платформу управления, такую как Cisco Prime Infrastructure.

Топология, использующая автономные точки доступа, имеет одну приятную особенность: короткий и простой путь для передачи данных между беспроводными и проводными сетями. Рассмотрим двух пользователей беспроводной связи, показанных на рисунке ниже, которые связаны с одной и той же автономной точкой доступа. Один юзер будет доступен другому через AP, без необходимости переходить в проводную сеть. Как будет показано в следующих разделах, это не всегда имеет место с облегченными топологиями AP.

Lightweight AP Topologies

В качестве быстрого обзора напомним, что точки доступа Cisco можно настроить для работы в автономном (autonomous) или облегченном (lightweight) режиме. В облегченном режиме точка доступа теряет свою самодостаточность для обеспечения работоспособного BSS. Вместо этого она должен присоединиться к WLC, чтобы стать полностью функциональным устройством. Это сотрудничество известно как split-MAC architecture, где точка доступа обрабатывает большинство процессов 802.11 в реальном времени, а WLC выполняет функции управления.

AP и WLC объединены логической парой CAPWAP туннелей, которые проходят через инфраструктуру проводной сети. Управление трафиком и данными осуществляется через туннели. К одному WLC может быть подключено множество AP, каждый со своей парой CAPWAP туннелей. Таким образом беспроводная сеть может масштабироваться, при условии, что WLC может поддерживать это максимальное количество используемых AP, либо потребуется дополнительные WLC.

Несколько топологий могут быть построены из WLC и набора AP. Они различаются в зависимости от того, где находится WLC в сети. Например, WLC можно разместить в центре, обычно в центре обработки данных или рядом с ядром сети, чтобы вы могли максимизировать количество точек доступа, подключенных к нему. Это известно как централизованная или унифицированная топология беспроводной локальной сети, как показано на рисунке ниже. Трафик к и от беспроводных пользователей проходит от AP через туннели CAPWAP, которые достигают центра сети. Централизованный WLC также предоставляет удобное место для применения политик безопасности, которые затрагивают всех пользователей беспроводной сети.

На рисунке показаны четыре точки доступа, подключенные к одному WLC, но в вашей сети может быть больше точек доступа - много, много больше. Крупная корпоративная сеть может иметь тысячи точек доступа на своем уровне доступа. Масштабируемость становится важным фактором в централизованном проектировании. Каждая модель Cisco WLC поддерживает определенное максимальное количество точек доступа. Если у вас больше точек доступа, чем максимально возможное для этой модели, вам нужно добавить больше WLC к дизайну, каждый из которых расположен в центре. Унифицированный WLC Cisco дизайн, предназначенный для крупного предприятия, может поддерживать до 6000 точек доступа.

Обратите внимание, что сетевая инфраструктура для централизованного решения имеет ту же иерархию, что и автономная топология. Единственные различия состоят в том, что AP работают в облегченном режиме, и WLC присутствует в ядре схемы. Рисунок выше показывает один из туннелей CAPWAP, соединяющих одну AP с WLC, хотя у каждой AP имеются свои собственные туннели к контроллеру. Каждая точка доступа по-прежнему имеет свой уникальный IP-адрес управления, но она подключается к коммутатору уровня доступа через канал доступа, а не транковым линком. Даже если задействованы несколько VLAN и WLAN, они передаются по одному и тому же туннелю CAPWAP в и из точки доступа. Следовательно, точке доступа требуется только один IP-адрес для организации туннеля.

Централизованная архитектура также влияет на мобильность пользователей. Например, когда пользователь беспроводной сети перемещается по зонам покрытия четырех AP на рисунке выше, он может быть ассоциирован с несколькими различными AP по очереди на уровне доступа. Поскольку все AP присоединены к одному WLC, этот WLC может легко поддерживать подключение пользователя ко всем другим областям wifi сети, когда он перемещается.

Централизованное расположение WLC также влияет на путь, по которому должны идти wifi данные. Напомним, что два беспроводных пользователя, связанные с автономной AP, могут связываться друг с другом через точку доступа. Путь между двумя пользователями беспроводной сети в централизованной сети показан на рисунке ниже. Трафик от одного клиента должен пройти через AP, где он будет инкапсулирован в туннеле CAPWAP, и затем направиться в ядро сети, чтобы достичь WLC, где он будет деинкапсулирован и исследован.

NOTE: Длина туннельного пути может быть большой проблемой для lightweight APs. The round-trip time (RTT) между AP и контроллером должно быть менее 100 мс, чтобы поддерживать беспроводную связь почти в real time. Если путь имеет задержку больше 100mc, то точки доступа могут решить, что контроллер не отвечает достаточно быстро и могут отключиться и найти другой, более отзывчивый контроллер.

Теперь представьте, что WLC может быть расположен ниже в иерархии сети. На рисунке ниже WLC совмещен со свичем уровня доступа. Это подойдет, когда платформа коммутатора также может поддерживать функцию WLC. Это известно как an embedded wireless network topology, потому что WLC встроен в аппаратное обеспечение коммутатора.

Уровень доступа может быть удобным местом для WLC. Пользователи беспроводной сети в конечном итоге подключаются к WLC, который служит уровнем виртуального доступа. Почему бы не переместить уровень беспроводного доступа так, чтобы он совпадал с уровнем проводного доступа? Со всеми типами доступа пользователей, объединенными в один уровень, становится намного проще делать такие вещи, как применять общие политики доступа и безопасности, которые влияют на всех пользователей.

Каждая точка доступа подключается к коммутатору доступа для подключения к сети, и для split-MAC функционирвания. И в результате длина CAPWAP тоннеля становиться не длиннее патч-корда, которым подключена AP к свичу доступа.

The embedded topology может быть экономически эффективной, поскольку одна и та же платформа коммутации используется как для проводных, так и для беспроводных целей. В идеале каждый коммутатор уровня доступа должен иметь свой собственный встроенный WLC. Cisco embedded WLC обычно поддерживает до 200 точек доступа.

Может показаться странным, что число поддерживаемых AP так мало, когда плотность физических портов коммутатора может быть довольно большой. Если бы вы думали об этом с точки зрения беспроводной связи, то увидели бы больше смысла. Каждая точка доступа подключена к коммутатору доступа с помощью кабеля витой пары, длина которого ограничена 100 метрами. Поэтому все точки доступа должны быть расположены в радиусе 100 метров от коммутатора доступа. Есть не так много точек доступа, чтобы физически вписаться в эту область.

The embedded model может также решить некоторые проблемы с подключением на площадках филиалов, предоставляя полностью функциональный WLC на месте, в коммутаторе уровня доступа. С локальным WLC AP могут продолжать работать без зависимости от центральной WLC, который доступен через WAN соединение.

Если CAPWAP туннель относительно короткий в полученной топологии, это должно означать, что беспроводные устройства могут взаимодействовать друг с другом более эффективно. Действительно, как показано на рисунке ниже, путь трафика от одного пользователя к другому должен проходить через AP, коммутатор доступа (и WLC) и обратно через AP. Напротив, трафик от беспроводного пользователя к центральному ресурсу, такому как ЦОД или Интернет, проходит через CAPWAP туннель, не инкапсулируется на коммутаторе уровня доступа (и WLC) и обычно проходит вверх топологии через остальные уровни сети.

Как вы могли догадаться, можно переместить WLC даже ниже уровня доступа и в AP. Рисунок иллюстрирует топологию Mobility Express, где полнофункциональная точка доступа Cisco также запускает программное обеспечение, которое действует как WLC. Это может быть полезно на небольших площадках, таких как малые, средние или многопользовательские филиалы, где вы не хотите вкладывать средства в выделенные WLC. AP, в которой размещается WLC, формирует туннель CAPWAP с WLC, как и остальные AP. WLC Mobility Express может поддерживать до 100 точек доступа.

Объединение Lightweight APs и WLCs

Cisco lightweight wireless AP должна быть соединена с WLC для функционирования. Каждая AP должна обнаружить и связать себя с контроллером, до того как подключаться беспроводные клиенты. Cisco lightweight APs спроектированы как “touch free,” так что вы можете просто распаковать новую AP и подключить ее к проводной сети, без предварительной настройки. Естественно, вы должны настроить порт коммутатора, к которому подключается точка доступа, с правильным VLAN доступа, режимом доступа и настройками встроенного питания. С этого момента AP может включиться и использовать различные методы, чтобы найти рабочий WLC для присоединения.

Состояния точки доступа

С момента включения до полного функционирования набора базовых услуг (BSS), a lightweight AP работает в различных состояниях. Каждое из возможных состояний четко определено как часть Control and Provisioning of Wireless Access Points (CAPWAP) спецификаций. Здесь они для ясности несколько упрощены. AP входит в состояния в определенном порядке; последовательность состояний называется state machine (что-то типа автоматизации состояний). Вы должны ознакомиться с state machine AP чтобы понять, как AP формирует рабочие отношения с WLC. Если AP по какой-то причине не может сформировать эти отношения, ваши знания о состояниях state machine могут помочь вам решить проблему.

NOTE: CAPWAP определен в RFC 5415 и в нескольких других RFC. Термины, используемые в RFC, несколько отличаются от тех, которые использует Cisco. Например, access controller (AC) относится к WLC, тогда как wireless termination point (WTP) относится к AP.

Последовательность наиболее распространенных состояний (рисунок ниже) выглядит следующим образом:

1. Загрузка AP: Как только AP получает питание, она загружается с небольшого образа IOS, чтобы можно было отрабатывать последующие состояния и коммуницировать через сетевое соединение. Точка доступа также должна получать IP-адрес от Dynamic Host Configuration Protocol (DHCP) сервера или от статической настройки, чтобы она могла обмениваться данными по сети.
2. Обнаружение WLC: AP проходит серию шагов, чтобы найти один или несколько контроллеров, к которым он может подключиться. Подробнее эти шаги описаны далее в следующем разделе.
3. CAPWAP туннель: точка доступа пытается построить CAPWAP туннель с одним или несколькими контроллерами. Туннель обеспечит безопасный Datagram Transport Layer Security (DTLS) канал для последующих управляющих сообщений AP - WLC. AP и WLC аутентифицируют друг друга посредством обмена цифровыми сертификатами.
4. Соединение с WLC: AP выбирает WLC из списка кандидатов и затем отправляет CAPWAP Join соRequest общение ему. WLC отвечает сообщением CAPWAP Join Response. Следующий раздел объясняет, как AP выбирает WLC, для присоединения.
5. Загрузка образа: WLC информирует AP о своем software release. Если собственное программное обеспечение отличается, то AP загружает соответствующий образ от контроллера, перезагружается, чтобы применить новый образ, а затем возвращается к шагу 1. Если releases совпадают, то загрузки не требуется.
6. Загрузка конфигурации: AP получает параметры конфигурации от WLC и может обновить существующие значения конфигом от контроллера. Настройки включают RF, service set identifier (SSID), настройки безопасности и quality of service (QoS) параметры.
7. Состояние выполнения: как только AP полностью инициализирован, WLC переводит его в состояние «выполнения». AP и WLC затем начинают предоставлять BSS и начинают подключать wifi клиентов.
8. Reset: Если WLC сбрасывает AP, то это разрывает существующие клиентские ассоциации и CAPWAP туннели к WLC. Затем AP перезагружается и запускается через state machine заново.

Имейте в виду, что вы не можете контролировать, какой образ программного обеспечения запускает lightweight AP. Скорее WLC, к которому присоединяется AP, определяет release, основанный на его собственной версии программного обеспечения. Загрузка нового образа может занять значительное время, особенно если существует большое количество точек доступа, ожидающих одной и той же загрузки с одного WLC. Это может не иметь значения, если загружается и загружает код недавно установленная точка доступа, потому что у него еще нет wifi клиентов. Однако, если работающая точка доступа перезагружается или присоединяется к другому контроллеру, клиенты будут ждать, пока не загрузится образ и конфиг. Поэтому есть смысл заранее планировать software releases для ваших WLS. Это окупится позже с точки зрения минимизации времени простоя. Рассмотрите случаи, когда AP требуется загрузить другой release:

• AP присоединяется к WLC, но имеет несоответствующую версию софта.
• Обновление кода выполняется на самом WLC, требуя обновления также всех ассоциированных AP.
• WLC падает, заставляя отбросить все ассоциированные AP. AP будут вынуждены подключиться к другому WLC.

Если есть вероятность, что AP может переместиться с одного WLC на другой, вы должны убедиться, что оба контроллера работают с одним и тем же code release. В противном случае перемещение AP должно происходить в выбранной ситуации, например, во время запланированного периода обслуживания. К счастью, если вы загрузили новый code release в контроллер, но еще не перезагрузили его, вы можете предварительно загрузить новый code в точки доступа контроллера. AP загрузят новый образ, но будут продолжать работу на предыдущем release. Когда придет время перезагрузить контроллер для активации нового образа, точки доступа уже подготовят новый образ, не тратя время на его загрузку. После того как контроллер поднимется, AP перезагрузяться на своем новом образе и присоединяться к контроллеру.

Discovering a WLC

Точка доступа должна очень постараться, чтобы обнаружить все контроллеры, к которым она может подключиться - и все это без какой-либо предварительной настройки с вашей стороны. Чтобы совершить этот подвиг, используются несколько методов обнаружения. Цель обнаружения - просто создать список доступных контроллеров-кандидатов, используя следующие методы:

• Предварительное знание о доступных WLC.
• Информация DHCP и DNS, чтобы предложить варианты.
• Бродкастовый запросы в локальной сети.

Чтобы обнаружить WLC, AP отправляет unicast CAPWAP Discovery Request на IP-адрес контроллера по UDP порт 5246 или бродкастовую рассылку в локальную подсеть. Если контроллер существует и работает, он возвращает CAPWAP Discovery Response для AP. Последовательность шагов обнаружения следующая:

• Step 1. AP отправляет бродкастом CAPWAP Discovery Request по своей проводной локальной подсети. Все WLC находящиеся в подсети отвечают CAPWAP Discovery Response.

Note: Если точка доступа и контроллеры находятся в разных подсетях, вы можете настроить локальный маршрутизатор так, чтобы он передавал любые широковещательные запросы через UDP порт 5246 на конкретные адреса контроллеров. Используйте следующие команды конфигурации:

router(config)# ip forward-protocol udp 5246
router(config)# interface vlan n
router (config-int)# ip helper-address WLC1-MGMT-ADDR
router(config-int)# ip helper-address WLC2-MGMT-ADDR

• Step 2. Точка доступа может быть «заполнена» максимум тремя контроллерами - первичным, вторичным и третичным. Они хранятся в энергонезависимой памяти, так что точка доступа может запомнить их после перезагрузки или сбоя питания. Если AP ранее присоединялась к контроллеру, она должна была сохранить до 8 из списка адресов WLC, к которым она присоединялась. Точка доступа пытается связаться с максимально возможным количеством контроллеров, чтобы составить список кандидатов.
• Step 3. Сервер DHCP, который предоставляет AP IP-адрес, также может отправить опцию 43 DHCP, чтобы предложить список адресов WLC.
• Step 4. Точка доступа пытается разрешить имя CISCO-CAPWAP-CONTROLLER.localdomain с помощью запроса DNS (где localdomain - это имя домена, полученное из DHCP). Если имя разрешается в IP-адрес, контроллер пытается связаться с WLC по этому адресу.
• Step 5. Если ни один из шагов не был успешным, AP resets себя и запускает процесс обнаружения снова и снова.

Selecting a WLC

Когда точка доступа завершила процесс обнаружения, она должна была составить список действующих контроллеров-кандидатов. Теперь AP должна начать процесс, чтобы выбрать один WLC и попытаться присоединиться к нему. Присоединение к WLC включает в себя отправку ему CAPWAP Join Request и ожидание его возврата CAPWAP Join Response. С этого момента AP и WLC создают туннель DTLS для защиты своих управляющих сообщений CAPWAP.

Процесс выбора WLC состоит из следующих трех этапов:

• Step 1. Если точка доступа ранее присоединялась к контроллеру и была настроена или «заполнена» первичным, вторичным и третичным контроллерами, она пытается последовательно подключиться к этим контроллерам.
• Step 2. Если AP не знает ни о каком возможном контроллере, она пытается обнаружить его. Если контроллер настроен как главный контроллер, он отвечает на запрос AP.
• Step 3. AP пытается присоединиться к наименее загруженному WLC, чтобы попытаться сбалансировать загрузку контроллеров точками доступа. На этапе обнаружения каждый контроллер сообщает о своей загрузке - соотношении количества подключенных в данный момент AP к общей количеству AP. У наименее загруженного WLC самое низкое соотношение.

Если AP обнаруживает контроллер, но получает отказ при попытке присоединиться к нему, в чем может быть причина? Каждый контроллер имеет установленное максимальное количество точек доступа, которые он может поддерживать. Это определяется платформой или лицензией. Если к контроллеру уже подключено максимальное количество точек доступа, он отклоняет любые дополнительные точки доступа.

На AP можно настроить значение приоритета чтобы обеспечить более гибкую поддержку AP на WLC. У всех AP по умолчанию low приоритет. Вы можете изменить его на low, medium, high,or critical. Контроллер пытается разместить у себя как можно больше точек доступа с более высоким приоритетом. Как только контроллер заполнен AP, он отклоняет AP с самым низким приоритетом, чтобы освободить место для новой AP, которая имеет более высокий приоритет.

Поддержание доступности WLC.

После того как точка доступа обнаружила, выбрала и присоединилась к контроллеру, она должна оставаться подключенной к этому контроллеру, чтобы оставаться работоспособной. Учтите, что один контроллер может поддерживать до 1000 или даже 6000 точек доступа - этого достаточно, чтобы охватить очень большое здание или целое предприятие. Если что-то вызывает сбой контроллера, отвалиться большое количество точек доступа. В худшем случае, когда у предприятия единственный WLC, его сбой повлечет за собой катастрофические последствия.

К счастью, точка доступа Cisco может обнаружить несколько контроллеров, а не только тот, к которому она подключена. Если присоединенный контроллер становится недоступным, точка доступа может просто выбрать следующий наименее загруженный контроллер и запросить присоединение к нему. В случае отказа контроллера, заполненного 1000 AP, все 1000 AP должны обнаружить сбой, обнаружить другие подходящие контроллеры и затем выбрать наименее загруженный для подключения. В течение этого времени wifi клиенты будут без связи.

Наиболее детерминированный подход заключается в использовании первичных, вторичных и третичных полей контроллера, которые хранятся в каждой точке доступа. Если какое-либо из этих полей сконфигурировано с именем или адресом контроллера, AP знает, какие три контроллера нужно попробовать последовательно, прежде чем прибегнуть к более общему поиску.

Как только AP присоединяется к контроллеру, она отправляет сообщения keepalive (также так называемые heartbeat) на контроллер через проводную сеть с регулярным интервалом. По умолчанию keepalives отправляются каждые 30 секунд. Ожидается, что контроллер ответит на каждое keepalive в качестве доказательства того, что оно все еще живо и работает. Если на keepalive не получен ответ, AP эскалирует тест, отправляя еще четыре keepalive с интервалом в 3 секунды. Если контроллер отвечает, все хорошо; если он не отвечает, AP предполагает, что контроллер умер. AP тогда быстро ищет контроллер, к которому можно присоединиться.

Используя значения по умолчанию, точка доступа может обнаружить сбой контроллера всего за 35 секунд. Вы можете настроить обычный keepalive таймер от 1 до 30 секунд, а «быстрый» heartbeat таймер - от 1 до 10 секунд. Используя минимальные значения, сбой может быть обнаружен через какие-то 6 секунд.

Чтобы сделать процесс намного более эффективным, WLC также поддерживают high availability (HA) со stateful switchover (SSO) избыточностью. SSO группирует контроллеры в high availability пары, где один контроллер выполняет active роль, а другой находится в hot standby режиме. AP должны знать только основной контроллер, который является active unit, поскольку каждый active контроллер имеет свой собственный standby контроллер. В этом случае нет необходимости настраивать вторичный или третичный контроллер на AP, если вам не требуется дополнительный уровень избыточности.

Каждая точка доступа узнает о паре HA на этапе CAPWAP discovery, а затем создает CAPWAP туннель с активным контроллером. Active юнит синхронизирует CAPWAP тоннели, состояния AP, состояния клиентов, конфигурации и файлы образов с hot standby юнитом. Активный контроллер также синхронизирует состояние каждого ассоциированного клиента, который находится в состоянии RUN, с контроллером hot standby. Если active контроллер умирает, standby контроллер уже будет в режиме ожидания и будет иметь текущую информацию о каждой AP и wifi клиенте, что сделает процесс переключения при отказе прозрачным для конечных пользователей.

Режимы AP Cisco

С WLC вы можете настроить lightweight AP для работы в одном из следующих специализированных режимов:

• Local: lightweight режим по умолчанию, который предлагает один или несколько функционирующих BSS на отдельном канале. В моменты, когда она не передает, AP сканирует другие каналы для измерения уровня шума (measure the level of noise), измерения помех (measure interference), обнаружения rogue devices и сопоставления с событиями intrusion detection system (IDS).
• Монитор: Точка доступа не передает вообще, но ее приемник может действовать как выделенный сенсор. Точка доступа проверяет наличие событий IDS, обнаруживает rogue access points, и определяет местоположение станций с помощью location-based services.
• FlexConnect: AP на удаленной площадке может локально передавать трафик между SSID и VLAN, если CAPWAP туннель к WLC падает и если она настроена для этого.
• Sniffer: AP определяют свои радиостанции для приема трафика 802.11 из других источников, подобно анализатору или устройству захвата пакетов. Захваченный трафик затем направляется на ПК с программным обеспечением сетевого анализатора, таким как LiveAction Omnipeek или Wireshark, где он может быть проанализирован в дальнейшем.
• Rogue detector: Точка доступа посвящает себя обнаружению мошеннических устройств путем сопоставления MAC-адресов, слышимых в проводной сети, с теми, которые слышны в эфире. Мошеннические устройства - это те, которые появляются в обеих сетях.
• Bridge: AP становится выделенным мостом (point-to-point or point-to-multipoint) между двумя сетями. Две точки доступа в режиме моста могут использоваться для связи двух мест, разделенных расстоянием. Несколько точек доступа в режиме моста могут образовывать внутреннюю или наружную mesh сеть.
• Flex+Bridge: FlexConnect включена на mesh AP.
• SE-Connect: AP выделяет свои радиостанции для анализа спектра на всех беспроводных каналах. Вы можете удаленно подключить ПК с программным обеспечением, таким как MetaGeek Chanalyzer или Cisco Spectrum Expert, к точке доступа для сбора и анализа данных спектрального анализа для обнаружения источников помех.

NOTE: Помните, что lightweight AP обычно находится в локальном режиме, когда она предоставляет BSS и позволяет клиентским устройствам подключаться к беспроводным LANs. Когда точка доступа настроена на работу в одном из других режимов, локальный режим (и BSS) отключается.