4. Wireless LAN Zero Impact Application Firewall
Отсутствие падения производительности при включении AVC/FW
Визуализация Мониторинг Контроль
приложений
APP APP APP APP
APP APP APP APP
APP APP APP APP
APP APP APP APP
Глубокий анализ пакетов использует выделенный CPU
Возможно только на правильно
спроектированной аппаратуре
6. • 2.4ГГц и 5ГГц на одном чипе
• Позволяет программно выбирать 2.4ГГц или 5ГГц для
подключения абонентов (по-умолчанию 2.4ГГц)
• Позволяет осуществлять последовательное сканирование всех
каналов обоих диапазонов (режим монитора, аналог “WSM”)
• Выбор режима работы ручной или автомат (RRM)
• В какой-то степени дальнейшее развитие технологии,
используемой в модулях WSM для ТД 3600/3700
Что такое Flexible Radio (XOR)?
7. • «Обычное» радиопокрытие в обоих диапазонах
• Режим работы по-умолчанию
Flexible Radio Assignment
5GHz
Serving
2.4GHz
Serving
Wireless
Security
Monitor
Wireless
Service
Assurance*
• Увеличение емкости и производительности
• Максимальная скорость в эфире 5.2Гбит/с
• Особенно важно для сетей с высокой плотностью
• Безопасность сети от источников помех, wIPS
хакеров и посторонних радиоустройств
• Сканирование обоих диапазонов от угроз ИБ
• Активный мониторинг производительности сети
и реакция на сбои
• Обнаруживает и устраняет сбои и их причины
* Планируются позднее
5GHz
Serving
5GHz
Serving
5GHz
Serving
5GHz
Serving
Enhanced
Location*
• Улучшает точность позиционирования абонентов
• Обслуживает абонентов в диапазоне 5ГГц5GHz
Serving
9. Что такое архитектура Macro/Micro cell?
• Идея не нова, годами используется в сотовых сетях
• Метод для передачи нелинейных объемов трафика
• Позволяет получить больше пропускной
способности в отдельной области общей соты
10. Антенная система ТД AP2800/3800 “I” (без верхней крышки)
До настоящего времени интерфейсы ТД
обозначались так…
На ТД предыдущего поколения 2700/3700 без
технологии XOR
Radio 0 = 2.4ГГц
Radio 1 = 5.0ГГц
Теперь на ТД 2800/3800 когда они
обслуживают клиентов
Radio 0 = 2.4ГГц *или* 5.0ГГц (XOR)*
Radio 1 = 5.0ГГц
Использование “Flexible Radio Assignment”
Radio “0” может быть настроено как 2.4ГГц (по-умолчанию)
или переключено в диапазон 5ГГц,
или может использоваться для постоянного сканирования
радиоэфира
Micro-cell antenna is 6 dBi @ 5 GHz
Macro-cell antenna is 5 dBi @ 5 GHz
*когда XOR в 5ГГц, используются Microcell
антенны
11. Различия в конструкции антенн
Традиционная зона покрытия ТД
(Macro-Cell): равномерное
круговое распределение сигнала
Уменьшенная зона покрытия ТД
(Micro-Cell): также равномерное
круговое распределение
сигнала, но используется
«узкий» луч, эффективный при
высокой плотности абонентов
Добились эффективной совместной работы
двух радио в одной ТД путем использования
специальных антенн, поляризации и особых
настроек излучаемой мощности:
ОБА радио друг другу не мешают
13. Smart Antenna
Connector
Слот расширения
(только 3800)
Основные антенные разъемы – Диполи и направленные антенны
3802e и 2802e
Smart Antenna Connector
Используется для подключения антенны к XOR радио
5GHz
Serving
5GHz
Serving
14. FlexPort – гибкость в выборе внешних антенн
возможность подключение однодиапазонных антенн
Использование DART разъема позволяет разделить зоны покрытия 2,4 и 5ГГц, либо создать две
независимые 5ГГц соты
15. Режим Macro-Macro,
Micro-Micro или любая их комбинация – свобода выбора
DART кабель позволяет
физически разносить антенны
обоих радио для эффективной
работы
ANT-2566, направленные в
разные стороны, или даже
«спиной к спине» с наклоном
для эффективного внедрения
на складах
Две направленные
антенны для
удвоения зоны
покрытия или
увеличения
емкости
Можно использовать омни и
направленную антенны одновременно
5GHz
Serving
5GHz
Serving
17. AIR-ANT25-LOC-02=
Для чего вообще она нужна?
AIR-ANT-LOC-01= Встроенная
всенаправленная
AIR-ANT-LOC-02= Направленная антенна
Внешняя антенна решает проблему
гиперлокации на стадионах и других сетях
с высокой плотностью абонентов
19. Вид спереди - AIR-ANT25-LOC-02=
х8 двухдиапазонных элементов
для локации
х8 5ГГц элементов для локации
х4 двухдиапазонных элемента
(для связи с клиентами 2.4/5ГГц) 4/5 dBi
20 Элементов (16 для локации) + 4 для
(подключения клиентских устройств)
22. Семейство уличных точек доступа 802.11ac Cisco Aironet
лучшее и самое полное предложение на рынке
1560
• 802.11ac Wave 2, MU-MIMO
• 3x3:3, 80MHz, 1.3Gbps (I)
• 2x2:2, 80MHz, 867Mbps (E/D/PS)
• Internal or External antenna model (I/E)
• Internal directional antenna model (D)
• Public Safety 4.9 GHz model (PS)
• SFP
• Flexible Antenna Ports
• CleanAir and ClientLink
• Centralized, FlexConnect, Mesh and
Mobility Express
1570
• 802.11ac Wave 1
• 4x4:3 80 MHz; 1.3 Gbps
• External antenna model (EAC)
• Cable Modem model (IC/EC)
• SFP
• GPS
• Flexible Antenna Ports
• CleanAir and ClientLink
• Modularity
• Centralized, FlexConnect and Mesh
Cable Modem Version Only (IC/EC)
• DOCSIS 3.0, 24x8
• Internal or External antenna
• PoE Out 802.3at (EC only)
1540
• 802.11ac Wave 2, MU-MIMO
• 2x2:2, 80MHz, 867 Mbps
• Ultra low profile
• Internal antenna only
• PoE (802.3af) power
• Centralized, FlexConnect, Mesh and
Mobility Express
Новинка
Iкв 2017
Новинка
DNA Ready | RF Excellence | CMX
802.11ac Wave 2
23. Уличные ТД следующего поколения
с поддержкой Wave 2 802.11ac
Cisco Aironet® 1560
Series
• Эволюция ТД1530
Похожий небольшой корпус, низкая цена
• Функционал 802.11ac Wave 2
• Версия с встроенными (1562I) или
внешними (1562E) антеннами
• Добавлен вариант с встроенной
направленной антенной (1562D)
• Добавлена поддержка SFP
24. WNG Outdoor
AP
1532I 1532E 1562I 1562D 1562E 1562PS 1572EAC 1572IC/EC
List Price $1295 $1495 $1695 $1795 $1795 $1995 $4495 $5295 / $6695
Type 802.11n 802.11n 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W1 802.11ac W1
Radios
2.4G: 3x3:3
5G: 2x3:2
2.4G: 2x2:2
5G: 2x2:2
2.4G: 3x3:3
5G: 3x3:3
2.4G: 2x2:2
5G: 2x2:2
2.4G: 2x2:2
5G: 2x2:2
2.4G: 2x2:2
4.9G: 2x2:2
2.4G: 4x4:3
5G: 4x4:3
2.4G: 4x4:3
5G: 4x4:3
Antennas Internal
Flexible Antenna Port
(dual or single band)
Internal
Internal -
Directional
Flexible Antenna
Port
(dual or single
band)
Flexible Antenna
Port
(dual or single
band)
Flexible Antenna Port
(dual or single band)
IC: Internal
EC: External
SPF Port n n n n n n
PoE out n n (EC)
Cable modem n
Power options
UPoE/3at
24-57 VDC
PoE (802.3at)
24-57 VDC
UPoE/802.3at
48 VDC
PoE+ (802.3at)
48 VDC
PoE+ (802.3at)
48 VDC
PoE+ (802.3at)
48 VDC
AC, 12 VDC, PoE
40-90V cable
plant
12VDC
Data rate (2.4/5G)
Mbps
216 / 300 144 / 300 216 / 1300 144 / 867 144 / 867 144 / 867 216 / 1300 216 / 1300
Clients per radio 100 100 200 200 200 200 200 200
CleanAir n n n n n n
ClientLink n n n n n n
BandSelect n n n n n n n n
FlexConnect n n n n n n n n
Wireless mesh n n n n n n n n
Temp Range °C -30 to 65 -30 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65
25. ТД CiscoAironet 1562I Series
Вариант с встроенными антеннами
Cisco Aironet® 1560
Series
• 3x3 и 3 пространственных потока
• Блок питания DC или UPoE
• Доступен AC/DC БП уличного исполнения
• 2x3:2 при питании 802.3at PoE
• Небольшие размеры
• 7dBi (2.4ГГц) и 4dBi (5ГГц)
• Широкая зона покрытия
• Области применения:
• Уличные Wi-Fi сети общего назначения,
хотспоты
Next-Generation Wave 2 802.11ac Outdoor Access Point
26. ТД CiscoAironet 1562D
Встроенные направленные антенны
Cisco Aironet® 1560
Series
• 2x2 и 2 пространственных потока
• Блок питания DC или UPoE
• Доступен AC/DC БП уличного исполнения
• Небольшие размеры
• 9dBi (2.4ГГц) и 10dBi (5ГГц)
• Узкая зона покрытия
Угол раскрыва~ 60@2.4ГГц и 40@5ГГц)
• Области применения:
• Уличные сети с высокой плотностью
абонентов
• Беспроводной мост точка-точка
Next-Generation Wave 2 802.11ac Outdoor Access Point
27. ТД CiscoAironet 1562E Series
Внешние антенны
Cisco Aironet® 1560
Series
• 2x2 и 2 пространственных потока
• Блок питания DC или UPoE
• Доступен AC/DC БП уличного исполнения
• Небольшой размер
• Антенные разъемы с технологией Flexible Antenna
Port, позволяющие программно выбирать тип
антенны
• Поддерживаются все уличные антенны Cisco
• Область применения:
• Уличные беспроводные сети/хотспоты с зоной
покрытия сложной формы
• Лучшая чувствительность с внешними
всенаправленными антеннами
Next-Generation Wave 2 802.11ac Outdoor Access Point
28. Уличный блок питания- AIR-PWRADPT-RGD1=
БП переменного тока
мощностью 60Вт
вход – 90-264 VAC
выход – 48VDC @ 1.25A
Рабочий диапазон температур
от -30C до +60C
Монтажный кронштейн
AIR-ACC1560-PMK1
30. Размеры и среднее время наработки на отказ
(MTBF)
AP1560 Series MTBF Часов
AP1562I, full operation
3x3 mode 166,075
AP1562e 187,550
AP1562d 165,995
Вес 2.55кг
33. • WLC 8.4 ISE Simplification
• TrustSec Support
• HyperV Support of vWLC
• OpenDNS Integration
• URL Filtering
• Client Whitelisting
Новые программные возможности ПО 8.4
35. WLC ISE Configuration Challenges
При добавлении ISE или настройки
WLAN на использование ISE, требуется
произвести много настроек, что
занимает много времени и ошибок.
WLC 8.4
ISE
настройки
в один
Click
*Мобильное приложение в настоящий момент не поддерживается
37. WLC ISE Default Settings - Global
WLC 1-Click ISE Defaults
Добавляет ISE как Authentication server
Добавляет этот же сервер в качестве
Accounting server.
Enable CoA
38. WLAN 1-Click ISE
Defaults
Добавляет ISE как Authentication server
Настраивает аналогично (IP и shared-secret)
for Accounting server.
Включает AAA override.
Устанавливает NAC State в “ISE NAC”.
Включает DHCP Profiling и HTTP Profiling.
WLC ISE Default Settings - WLAN
42. NXOS
Switches
Wireless
Включение TrustSec в сети предприятия
Data Center
Network Campus
Network
Public
CloudDATA CENTER
CAMPUS NETWORK
BRANCH OFFICE
SERVICES
IOS
Switches
WAN
Internet
Routers
44. Простая настройка и поддержка политик
VLAN: Data-1VLAN: Data-2
Wired/Wireless
Data Center
DC Switch
Application
Servers
ISE
Enterprise
Backbone
Remediation
Wired/Wireless
Employee Supplier Non-CompliantEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
TrustSec enabled WLC &
AP receives policy for only
what is connected
Независимо от топологии или
местоположения, политики
(Security Group Tag) остаются с
пользователями, устройствами
и серверами
TrustSec упрощает управление
ACL как для intra, так и inter-
VLAN трафика
46. SGACL скачиваются только
для «своих» клиентов
Employees (4) Contractors (5)
Описание сегментации в ISE
SGT=3
SGT=4
SGT=5
SGACL
Enforcement
I have nothing
to protect
I know SGT-4, is
there a policy for it?
I запросил политики
для защиты SGT-4
TrustSec позволяет WLC и ТД запрашивать политики ТОЛЬКО для
хостов, находящихся под их защитой
Employees
(SGT=4)
AP WLC
Active SGT’s 10 100
SGT x DGT pairs 10 x 10 100 x 100
SG-ACLs per SGT x SGT cell 128 256
ACE per SG-ACL 50 50
51. OpenDNS- Offering Domain Level Visibility
COVERAGE
PROTECTION
INTELLIGENCE
PERFORMANCE
RELIABILITY
Predictive Threat
Intelligence
High Speed,
Scalable
Ransomware,
malware/Botnet
Security Visibility-
Application Insights,
Policy Compliance
Internet wide
visibility
• Cloud delivered network security service
• Malware and Breach Protection in real time
• Uses evolving Big Data and data mining methods
to proactively predict attacks
• Category based Filtering (60+ content categories)
OpenDNS Cloud
CATEGORY IDENTITY
Malware Internal IP
Phishing AD User
DNS layer Security
52. OpenDNS- DNS layer Network Security
Today’s Challenges
Internet-wide Visibility
Alert Priority
Evolving Threat Intel
Limited Resources
What does OpenDNS Offer?
Enrich security systems
with real time data
Prioritize investigations
from Botnet, Malware
Stay ahead of attacks
Speed and agility across
Cloud/ scalable
agc.com
How does it Happen?
Global Network using
Recursive DNS
Predictive Intelligence
using Statistical models
1.2.3.4
Block by domains,
URLs for all Ports
Insightful reporting
53. OpenDNS to Enhance Security Visibility
CLOUD BASED WEB FILTERING THREAT MANAGEMENT INSIGHTFUL REPORTING
Low cost
architecture
Data analysis
methods
Powerful reporting
and analytics
MICRO TO MACRO LEVEL VISIBILITY
Network EndpointMobile Virtual Cloud Apps
Local Intelligence
Global Context
54. openDNS- How does it work?
Ingest Apply Identify
k.amuX
a.bc
b.com
l.emuX
www
p2p
www
Millions of data points per
second across markets,
geographies, protocols
Statistical models, Human
Intelligence, Anomaly
Detection, Temporal Patterns
Malicious and safe
sites
55. API Token
Issued from OpenDNS
Portal. Used for device
registration
Device Identity
Unique device identifier.
Policy enforced per
identifier.
Extension mechanism for
DNS
EDNS FQDN
Fully Qualified Domain
Name
OpenDNS - Terminology. How does it work on WLC?
WLC intercepts DNS packet,
redirects query to OpenDNS cloud
servers at
OpenDNS cloud, based on FQDN
in DNS query returns
• 208.67.222.222IPv4
• 208.67.220.220Ipv4
• Return blocked page to
client
Malicious FQDN
• Returns Destination IPSafe FQDN
NOTE If the blocked domain was from HTTPS request, client’s web browser will see certificate error because
OpenDNS cloud may not have the certificates from the blocked server.
56. OpenDNS- WLC Packet Flow
Internet
Web Services
OpenDNS Cloud
DNS Request
DNS Response
• OpenDNS: Get API. Token for device registration
• WLC: Apply Token and create Profile
Device (Profile) Registration
HTTPS used in this phase
WLC and OpenDNS registration
(One Time)
• Client sends DNS query
• WLC snoops DNS query, forwards it
with EDNS
• OpenDNS applies Profile specific Policy
• Sends DNS response to WLC
• WLC forwards the response to client
Wireless client traffic flow
Snoop DNS pkt
Tag it with Identity
Security Enforcement Content Filtering
Compliance Category based Filtering Whitelist & Blacklist
+
57. Create an OpenDNS account with
active subscription license.
OpenDNS- Cloud config
Obtain API-Token from
dashboard to be used
on WLC
59. OpenDNS WLC config
To check OpenDNS profile Mappings,
Security >OpenDNS5WLAN> Advanced
Map the Profile to WLAN/AP Group/Local Policy
60. OpenDNS WLC Integration- Additional Details
Support
1. WLC platform- 5508,5520,7500,8510,8540.
ME, vWLC not supported
2. AP mode- Local mode, Flex central switching.
3. 10 different OpenDNS Profiles configurable on WLC
Licensing
1. 14 day free Licensing
2. Covered under CiscoOne Advanced Subscription
1. Application or Host uses IP address directly
instead of DNS to query domains.
2. Required to configure web proxy for WLC to
register to OpenDNS account (incase WLC
cannot communicate directly to server)
1. DNS Crypt – client DNS traffic
2. Token Generation linking
3. Configure Policy from WLC
4. Stats/Dashboard at WLC
5. Ipv6 support
6. Local URL splitting
Not part of WLC 8.4 releaseOpenDNS Limitations
62. URL Filtering - Simple, Easy to deploy
• IP address based
• Requires creating and maintaining
thousands of access list entries.
How can I control access to custom resources in my network?
Today’s Process
Access Control List Application Visibility Control
WARNING
OVERWORK
AND STRESS
AHEAD
• Applications in Protocol Pack inspected
• Cannot define custom / user specific
application
Awareness Analytics Control
64. URL Filtering Flow
URL Filtering ACL on controllerInternet / Intranet Approved Content
Blocked URLs
Blocked Content
Blocked Files
Based on DNS snooping
65. URL ACL Implementation
3
https://www.
Browsing is restricted to specified
domains for all protocols.
1
X
X
• Configure Whitelist or Blacklist to allow or
deny access to domains.
• Configure External Server IP address
Whitelist allows domains to be permitted
Blacklist restricts browsing to domains
External server IP for blocked pages
2
APPLY LIST
Tie the created URL ACL to
• Interface
• WLAN
• Local Policy (highest priority)
Add timeout actions
Add role based actions
Device aware actionable policies
66. Key Points
DNS SnoopingWorking
• No AVC dependability
5520, 8540, 8510, 5508Platform Support
• 2504, vWLC, ME not supported
Protocols Both HTTP, HTTPs supported
All protocols matched for the rule
8.3 Filtering Enhanced, no NBAR basedMigration
• Configuration is similar
64 URL access lists, 100 rules per list (8540,
5520). 8510 - lowerFiltering
• No Sub URL support
• White and Black lists supported but not the mix of them.
Without DNS Direct IP access will be blocked in whitelist.
Reverse DNS lookup not allowed
BLACKLIST
*.cisco.com
mail.cisco.com
press.cisco.com
10 Wildcards, 5 subdomain per wildcard (different for 5508, 8510)
WHITELIST
www.cisco.com
www.cisco.com/dir
www.cisco.com/sevt
No Sub-URL support
67. Role Based Access Control
Employee
Users
Roles
Internal
Company
Resources
User
Role
Application
Devices
AAA
EngineerSales
WLC Switch
Internal
Secure
Server
Engineer Sales
Cisco-av-pair=role=<role name>
Policy tie-in with URL ACL
User Role Aware
68. Role Based Access Control- Configuration
USER
GROUPS
• Configure user group based authn / authz for groups
• Sales
• Eng
Returning
ROLE
• ISE configured to return role in cisco AV pair under Authz profile:
• Sales
• Eng
URL ACL
• Configure two URL ACLs
• ACL_Sales = blocking access to internal server
• ACL_Eng= permitting access to internal server
POLICY
• Tie ISE returned ROLE and ACLs to respective Local Policy:
Sales_Policy = ROLE Sales & ACL_Sales
Eng_Policy = ROLE Eng & ACL_Eng
PROFILE
• Tie both policies to the WLAN Profile
ISE
WLC
69. Migration of Config from 8.3 to 8.4
8.3 URL Rules to 8.4 (Migration) 8.4 URL Rules to 8.3 (Downgrade)
1
abb.com
cbb.com
avb.com
2
dbb.com
fbb.com
pvb.com
Whitelist ACL
3
dbb.com
fbb.com
pvb.com
White & Black
list ACL
• ACL changed to Whitelist
• Deny rules wiped out
• Manually configure new
ACL list type as Blacklist
• Unchanged
• Continue to use feature
• Permits will remain
• Denies will be removed.
(Manual change reqd)
• No change in URL ACL rules
• Only HTTP protocol support
• NBAR engine based URL Filtering
Blacklist ACL
70. Cisco Wireless web-classification: OpenDNS vs URL Filtering
Which one to position? OpenDNS is for customers with cloud strategy while URL filtering is for enterprise
customers with a known URL filtering policy
Feature OpenDNS URL Filtering
Architecture Cloud On-Prem
Granular SSID / User-Role filtering Yes Yes
Block internal enterprise domains No Yes
Malware / Botnet /Ransom ware detection Yes No
Domain Rules No limits 100 rules per ACL
Blocked URL landing page Yes Yes
Cloud subscription Yes No (part of base WLC license)
Domain visibility with reporting Yes No
Proactive security alerts with dynamic security compliance Yes No
Domain category filtering Yes No
72. Lobby Admin Client Whitelist
Local administrator Local admin access with
restricted privileges for site
Ability to add whitelist
users per WLAN
Management of users
in an easy fashion
Site Specific Limited Access WLAN Config Add/Remove users
73. Feature Workflow
Lobby Admin (LA)
Logs into WLC guest user page
Under Whitelist Menu, chooses
WLAN for MAC addition
Disables MAC filtering on WLAN
to allow clients to join
Sees list of clients connected
on WLAN
Selects all or specific clients and
add to client whitelist
Enables MAC filtering on WLAN.
Only whitelisted clients allowed to
join WLAN
Global Admin
Add Lobby admin on WLC
Enable Lobby ambassador
access on WLAN
75. Flexible Radio Assignment
Software defined radio automatically
adjusts to dual 5GHz to better serve high
client environment
Optimized Roaming
Intelligently Connects the Proper
Access Point as People Move
Turbo Performance
Scales to Support More Devices
Running High Bandwidth Apps.
Zero Impact AVC
Hardware Based Application Visibility and
Control without Impact to Performance.
Cisco CleanAir®
Remediates device Impacting Interference
from other WiFi and non-WiFi devices
Cisco ClientLink
Improves Performance of
Legacy and 802.11ac Devices.
Future Proof Expandability
Add Functionality Via Module, Smart
Antenna Port or USB Port
Multi-Gigabit Uplinks
Free Up Wireless With Faster
Wired Network Offload
Gb+
Flex Dynamic Frequency Selection
Automatically Adjusts So Not to Interfere
With Other Radio Systems
Wireless excellence and innovations delivered only by
Cisco Aironet 2800, 3800 Series Access Points
Apple Fast Lane
Automatically assures highest priority, fastest
performance for trusted apps on trusted Apple devices
LAS VEGAS TOKYO
76. This is all great…
BUT What about
Feature Parity?
Feature Parity de-mystified.
What, really? Let’s go!
Session Objectives
• Wave2 11ac is Best in
Class and Enterprise
Ready
• Relook at Key
Highlights
• Understanding
Feature Parity
• Re-building
confidence for you and
your customers
What can I position to
my customers?
Where can I find
resources?
Do I have the complete
picture ?
77. Wave2 11ac AP Feature Matrix
http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-
3/b_feature_matrix_for_802_11ac_wave2_access_points.html
8.3 Release Notes
http://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/crn83.html
Resources to find answers and drive
adoption
Now Near Future
Wave2 & 5520/8540 8.2.130.0 8.3.110.0 ( Nov )
8.2.140.0
Code Recommendation
Cross-functional Tiger Teams (TAC, Field, Engg, Mktg) to drive the early deployments since
FCS (6/15)
Initial feedback from the field is addressed in the 8.2.130 (MR3) SW
Created frequent MR releases on 8.2 to incorporate field feedback
78. Optimized Roaming
RX-SOP
Pervasive
Wi-Fi
HDX Turbo
Performance
Event Driven
RRM
XOR Radio
FRA
Cisco CleanAir®
RF Profiles
RRM, DCA, TPC, CHDM
Load Balancing
Band Select
Client Link 4.0
Off-Channel
Scanning
Flex DFS
DBS
5GHz
Serving
2.4GHz
Serving
5/2.4GHz
Monitor
• Enabled by Dual 5GHz
• Adjust Radio Bands to Better Serve the
Environment
RF Optimized
Connectivity
79. XOR Radio and FRA
2.4GHz
Serving
2.4-5GHz
Monitoring
5GHz.
Serving
5GHz.
Serving
2.4GHz
Serving
5GHz.
Serving
5GHz
Serving5Hz
Serving
2.4GHz
Serving
FRA-auto (default value) or Manual
Auto 2.4 -> 5GHz or Monitor Mode
Transition to 2.4 GHz if coverage drops
81. Optimize Wi-Fi with CleanAir
Quickly Identify and Mitigate Wi-Fi Impacting Interference
Channel 48
48
48
48
48
48
48
48
48
48
48
48
Interference on 20/40/80/160 MHz
Air Quality and Interference by
AP/radio on WLC
AQ Threshold trap and Interference
Device trap (per radio)
CleanAir-enabled RRM
Network Air Quality and Interference Location with PI 3.1.x and MSE 8.0.
82. Interference Devices and Air Quality Report
CleanAir Enabled RRM
Mitigated RF interference for improved
reliability and performance
Wi-Fi and
non-Wi-Fi
aware
Dynamic
mitigation
ED-RRM
Granular
spectrum
visibility and
control
Air Quality Performance
Improved Client
Performance
Complete Automatic Interference Mitigation Solution for Rogues and Non-Wi-Fi Interference
83. FlexDFS with Dynamic Bandwidth Selection
Identifies radar
frequency to
1 MHz
FlexDFS
isolates radar
event to
20MHz
DBS allows
best channel
and width
Interference is impacting
only channel 60
FlexDFS + DBS
Automatic and intelligent use of spectrum
52
56
60
64
DBS combined with FlexDFS: Increased confidence in using wider channel bandwidth; reduced radio flapping
Primary
20
Secondary
20
Secondary
40
52 56 60 64
Optimizes
HD Experience
84. Better Support for Users on the Move
Optimized Roaming
Optimized Roaming: Wireless Devices
Connect to the Most Effective APClient Stickiness
85. Fine-tuning HDX with RF Profiles
Wi-Fi
Triggered ED-
RRM
Optimized
Roaming
RXSOP
Dynamic
Bandwidth
Selection
TPC, DCA
CHDM
FlexDFS
CORE:
• CleanAir
• ClientLink 4.0
• Turbo Performance
Pre-canned RF Profiles
Client Distribution
Data Rates
DCA, TPC, CHDM
Profile Threshold for Traps
High Density Features
86. Security and Threat
Mitigation
Secure
Access
P2P
Blocking
Client Exclusion
802.1x
WPA2/AES
TKIP Encryption
AAA Override
VLAN, ACL, QoS
Local Policy w/
QoS and AVC
MFP, 802.11w
TrustSec SXP
Inline Tagging
awIPS, ELM
MAC Auth Rogue Detection
BYOD
NAC RADIUS
8.4
8.3 MR1
87. 5GHz. / 2.4GHz.
.5GHz. / Security
Cisco Wireless Security Deployment with AP3800/2800
Maintains Capacity and Avoids Interference
Good Better Best
Features ELM Monitor Mode AP ELM with FRA
Monitor Mode
Deployment Density Per AP 1 in 5 APs 1 radio per 5 APs
Client Serving with Security
Monitoring
Y N Y
wIPS Security Monitoring 50 ms off-channel scan on selected
channels on 2.4 and 5 GHz
7 x 24 All Channels on 2.4GHz and
5GHz
7 x 24 All Channels on 2.4GHz and
5GHz
CleanAir Spectrum Intelligence 7 x 24 on client serving channel 7 x 24 All Channels on 2.4GHz and
5GHz
7 x 24 All Channels on 2.4GHz and
5GHz
Serving channel Serving channelOff-Ch Off-Ch
Serving channel Serving channelOff-Ch Off-Ch
Enhanced Local Mode
Access Point
GOOD
2.4 GHz
5 GHz
t
t
Monitor Mode
Access Point
BETTER
2.4 GHz
5 GHz
t
t
Ch11Ch2
Ch38
Ch1
Ch36
…
Ch11Ch2Ch1
…
Ch11Ch2Ch1
…
…
Ch161Ch157 Ch38Ch36
…… …
t
2.4 GHz
5 GHz
t
Ch11Ch2Ch1
…
Ch38Ch36 Ch161Ch157
…… …
ELM with FRA Wireless Security
Monitoring
BEST
Serving channel Serving channelOff-Ch Off-Ch
5 GHz t
88. Serve Client
on 2.4 GHz
50 ms off-
channel
Serve
Clients on 5
GHz
50 ms off-
channel
Rogue Detection and Mitigation
Rogue Classification and
Containment
• Rogue Rules
• Manual Classification –
Friendly/Malicious
• Manual and Auto
Containment
CleanAir with Rogue AP
Types
• WiFi Invalid Channel
• WiFi Inverted
Rogue Location
• Real-time with PI, MSE,
CleanAir
• Location of Rogue APs
and Clients , Ad-hoc
Rogue, Non-wifi
interferers
Data Serving AP
Scan
1.2s per
channel
Monitor Mode AP
FRA with MM
Serve Client
on dedicated 5
GHz
Scan 1.2s
per channel
89. Service Ready
Feature Highlights
Videostream
Multicast VLAN
Per-Client/Per-SSID
BW Contract
Local Profiling
Bonjour
Apple Services
Service
Ready
AVC
Netflow
AAA Override of
AVC Profile
Voice Optimization,
CAC, WMM Policy
Adaptive 11r ,11k, 11v
FastLane
QoS Profiles
OKC, CCKM
Fast Roaming
8.3 MR1
90. Zero Impact Application Visibility and Control
Maintain Performance with Zero Impact AVC
Gain Visibility
into the Network
Monitor Critical
Applications
Control Application
Performance
APP APP APP APP
APP APP APP APP
APP APP APP APP
APP APP APP APP
Setting up AVC profiles and rules
Drop/ Mark for several video apps like YouTube and Netflix on iPhone, iPad
Drop/ Mark for other apps such as Jabber and Webex
Profiles with block and pass rules combined
Rate Limiting of Video/Voice apps
AAA override for AVC profile
AVC Profile with Local Policy Classification
91. Adaptive 11r and Cisco Fastlane
Optimized Wi-Fi Connectivity Prioritized Business applications
Intelligent, and efficient
roaming is automatically
configured
iOS and Cisco devices recognize each other and enable
special capabilities
Business data gets priority
and speed even if network is
congested
Reduces complexity - IT can focus on the business– the network does
the heavy lifting
8.3 MR1
Aironet Wave 2 AP’s:
AP1810
AP1815
AP1850
AP1830
AP3800
AP2800
AP1560
Aironet AP’s:
• AP1600/2600 Series Access Points
• AP1700/2700 Series Access Points
• AP3500 Series Access Points
• AP3600 Series Access Points + 11ac Module,
WSM, HALO, 3602P, 5310, 8718, 8818
• AP3700 Series Access Points + WSM, HALO,
3702P, 5310, 8718, 8818
• OEAP600 Series OfficeExtend Access Points
• AP700 Series Access Points
• AP700W Series Access Points
• ASA55xx Integrated Access Point (AP702i)
• AP802 Integrated Access Point
• AP803 Integrated Access Point
• AP1530 Series Access Points
• AP1550 Series Access Points
• AP1570 Series Access Points
• AP1560 Series Access Point
• IW3700
• AP1040/1140/1260 Series Access Points
WLC’s:
• 2504
• 5508
• 5520
• 7510
• 8510
• 8540
• WISM2
• vWLC
(KVM +
ESXi)
8.3
92. RF
• Preferred 5 GHz network design
• Apple client device should observe a minimum of 2 APs with an
RSSI measurement of -67 dBm
• Average Channel Utilization < 40%.
• Client SNR >= 25 dB.
• 802.11 retransmissions < 15%, Packet Loss < 1% and Jitter < 100
ms.
• Cisco highly recommends leaving all MCS rates enabled
• Channel width 40 Mhz or Best for Typical deployments, 20 MHz for
High Density
QoS
• Enable FastLane : Trust DSCP, Platinum for Unicast, EDCA as
FastLane and over 70 lines of Best Practice Configuration
• WMM Set to Required
• AVC profile is AUTOQOS-AVCPROFILE
• 11k and 11v BSS Transition Enabled
• mDNS Snooping Enabled
• FT should be enabled or Adaptive, AKM Set to FT PSK or FT 802.1x
Cisco and Apple Best Practices
http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Optimizing_WiFi_Connectivity_and_Prioritizing_Business_Apps.pdf
http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf
93. Teacher Network
Student Network
AirPrint AirPlay File
Share
Teacher
Service Profile
AirPlay File
Share
Student
Service Profile
iTunes
Sharing
AirPrint
mDNS Service Instances Groups
Apple TV1 Apple TV1
Apple TV2
Teacher Service
Instance List
Student Service
Instance List
mDNS and Bonjour Services
mDNS Profiles – Select
services
mDNS Profile with Local
Policy – Services per-user
and per-device
mDNS Policies – Services
based on AP Location and
user role
mDNS AP – Services Behind
a L3 boundary
Location Specific Services
94. Authentication
Time of Day
User Role
QoS Profile Metal Profiles
QoS Policy w/ Role and Device type
Per-User Bandwidth Contract
Per-SSID Bandwidth Contract
AAA Override of QoS profile
QoS Roles for Guest Users
QoS and Bidirectional Rate-limiting
Device Type
LocalPolicyElements
POLICY
Radius Server
(e.g.. ISE Base, ACS)
AAA
Override
QoS Profile
95. Enterprise Infra
Feature Highlights
Fast SSID
Client IPv6
Native IPv6
Flex, Local, Sniffer,
Monitor, ME
FIPS Support
Enterprise
Infra
Pre-Image Download
AP Multicast
WiFi Tagging
OEAP
Webauth
Guest Access
Plug n Play
8.3 MR1 8.3 MR1
8.4
8.3
96. IPv4
IPv4 Client
Client and Native IPv6
CAPWAPv6 Tunnel
IPv4 Client
802.11
802.11
802.11
CAPWAPv6
Ethernet
IPv4
VLAN
Ethernet
Mgmt: 2001:db8:a::2/64
10.10.10.2
IP: 2001:db8:a:5/64
SNMP Server, Syslog Server,
tftp/ftp/scp Server
IP: 2001:db8:a:7/64
2001:db8:a:0:222:bdff:fef7:5594
2001:db8:a:0:8a56:caff:1547:9150
IP: 2001:db8:a:6/64
NTP Server
IPv4/v6 router
2001:db8:a::1/64
10.10.10.110.10.10.52
IPv6 Client
10.10.10.51
2001:db8:a:0:2329:9834:3231:1111
IPv6 Client
IPv6
IPv6
RADIUS
IPv6 Guest Access
IPv6 Source Guard
IPv6 RA Guard
IPv6 Client Mobility
RA Throttling
IPv6 ACL – Local mode
IPv6 Client Visibility
IPv6 Neighbor discovery Caching
IPv6 Bridging
IPv6 multicast
IPv6 AAA support
IPv6 QOS
IPv6 CAPWAP ( DHCP option 52, DNS)
Full DHCPv6/SLAAC or static v6
Control and Management IPv6
NTP over IPv6
Syslog over IPv6
Radius Over IPv6
CDP v6
8.4
8.2 MR1
97. 2800/3800 as OEAP
DTLS
• Control – DTLS enabled
• Data – DTLS for client traffic tunneled back to corporate WLC
CDP and LLDP
• PoE Uplink – CDP and LLDP on the uplink PoE port for power negotiation
Authentication and Security
• Advanced Encryption Standard (AES) for Wi-Fi Protected Access 2 (WPA2)
• 802.1X, RADIUS authentication, authorization and accounting (AAA) on WLAN 802.11i
• MAC filtering
Personal SSID support
• Personal SSID support for local home networking
98. WiFi CCX Tag v1 Support
(Cisco Controller) >show rfid summary
Total Number of RFID : 1
----------------- -------- ------------------ ------ ---------------------
RFID ID VENDOR Closest AP RSSI Time Since Last Heard
----------------- -------- ------------------ ------ ---------------------
00:23:a7:8e:20:d0 Redpine APE00E.DA78.56C0 -57 28 seconds ago
Cisco Controller) >show ap summary
Number of APs.................................... 2
Global AP User Name.............................. Not Configured
Global AP Dot1x User Name........................ Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients DSE Location
------------------ ----- -------------------- ----------------- ---------------- ---------- --------------- -------- --------------
AP_3802_1 2 AIR-AP3802I-S-K9 00:42:68:a0:d1:aa default location SG 192.168.6.35 0 [0 ,0 ,0 ]
APE00E.DA78.56C0 2 AIR-AP2802I-S-K9 e0:0e:da:78:56:c0 default location SG 192.168.6.94 0 [0 ,0 ,0 ]
Wireless LAN
Controller
Cisco Prime
Infrastructure
RFID Tags
8.3 MR1
99. FlexConnect Feature Parity on Wave 2 APs
FlexConnect
Local Switching/ Local Auth
WLAN-VLAN Mapping
Local Auth w/ External RADIUS
Data DTLS Encryption
VLAN Based Central Switching
Native VLAN, VLAN support on FCG
Proxy ARP
NAT/PAT
ClientLink
Load Balancing
Band Select
Smart AP Image upgrade
Default Flex Group
Syslog
Advanced WIPS
TrustSec SXP and SGT
WPA-PSK
802.1x(WPA/WPA2)
TKIP Encryption
Rogue Detection
AAA Override – ACL, VLAN
AAA Override – QoS
VLAN ACL
Per Client ACL
L2 ACL
Client Exclusion Policies
MFP
11w PMF
AVC Policy
EoGRE v4/v6 on FC
Webauth – Internal/External
QoS Markings and Profiles
AP Plug and Play
OKC, CCKM, 802.11r
Adaptive 11r, FastLane8.4
8.4 8.4
8.4 8.4
Feature Matrix : http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_wave2.html
Infrastructure Security Services
100. Apple + Cisco для корпоративных
Wi-Fi сетей – вместе веселее!
101. Беспроводная инфраструктура и
клиентские устройства
101
WLAN Controller
AP
Ethernet Switch
AP
802.1Q Trunk802.1Q TrunkAccess mode
Мы контролируем здесь все
“бесконтрольная”
зона
102. Партнерство Cisco-Apple дает эти преимущества
Оптимизация Wi-Fi подключения Приоритезация бизнес приложений
Автоматическая настройка и
включение интеллектуального
роуминга
iOS и Cisco устройства распознают друг друга
и включают необходимый функционал
Бизнес приложения получают
приоритет и необходимую
полосу даже в загруженной сети
Упрощение - IT может сфокусироваться на бизнес
задачах – сеть делает «черновую» работу
104. 802.11k, 802.11v, 802.11r помогают при роуминге
802.11r роуминг без повторной аутентификации
802.11k список ближайших точек доступа
802.11v BSS Transition дает клиенту наилучший вариант для роуминга
Переключение на Cisco-AP-2
Association
Fast Transition (802.11r)
Cisco-AP-1* Cisco-AP-2** Yes, it works on AireOS and Meraki!
105. Association
Решение Optimized Roaming Cisco-Apple
уменьшает сложность управления до 50%
Устаревший клиент не
может подключиться к
SSID с включенным
11r
ТД распознает
устройства apple и
включает 11r для них
802.11k, 802.11v
включены по умолчанию
Устаревшие клиент, не
поддерживающие 11r/k/v,
могут подключаться к
тому же SSID
Cisco-AP*
ТД другого
производителя * Yes, it works on AireOS and Meraki!
106. Характеристики роуминга: до 10-ти раз лучше
QoS, 802.11r/k/vNo QoS, No 802.11r/k/v
Время (с)*
*Временной интервал между последним пакетом на «старой» ТД и первым пакетом на «новой» ТД
110. Fast Lane работает только между устройствами
Apple и инфраструктурой Cisco
QoS профиль не
учитывается
Приложение
может выставлять
UP, но не DSCP*
QoS Profile or
no QoS Profile
В случае наличия
профиля, все
приложения из White
List могут выставлять
уровень приоритета
QoS
Profile
Cisco-AP**ТД стороннего производителя
Поддерживает Fast lane
* DSCP может быть помечен с помощью IP_TOS/IPv6_TCLASS когда SO_NET_SERVICE_TYPE установлен в best effort ** Yes, it works on AireOS and Meraki!
111. Fast Lane позволяет приоритезировать только те приложения,
которые являются критичными в данной сети
Поддерживает
Fast lane Администратор устанавливает на устройство Apple
IOS профиль QoS*
Приложения из whitelist получают требуемый QoS **
Остальные приложения получают BE/BK
Поддерживает
Fast lane
Профиль для этой сети:
Minecraft = Real-time-
interactive
Viber = BE
Профиль для этой
сети:
Minecraft = BE
Viber = Voice
Cisco-AP
Поддерживает
Fast lane
Поддерживает
Fast lane
Cisco-AP
*если профиль отсутствует, все приложения могут запросить любой уровень сервиса
**Fast Lane не изменяет уровень QoS, запрошенный приложением
112. Это – законченное решение, а не функционал
только Wi-Fi сети
Роуминг Over the Air или over the DS 802.11r?
Перегрузка здесь и/или здесь?
Влияние филиальной сети/
маршрутизации?
Как настраивать контроллеры БЛВС, коммутаторы, UC, QoS?
113. Это – законченное решение, а не функционал
только Wi-Fi сети
What QoS marking should we recommend to Apple, for what traffic? (QoS Expert)
Need an in-house Voice app expert (what codecs, what bit rates, what choreography, how to test?)
Need an architect (what is typical campus, branch topology? Where do WLCs reside?)
Need R&S expert (RNA and best practice for routing, switching)
And yes, need a couple of wireless gurus…
114. No Fast Lane
Fast Lane обеспечивает надежную передачу голосового
трафика даже в условиях загруженной сети
• Загруженная сеть, голосовые пакеты отсылаются каждые 20мс
• Мы измеряли временные интервалы между голосовыми пакетами в эфире
Capture time (seconds)
Средний интервал между пакетами 40мс (не здорово)
Много пиков, некоторые до 0.6 секунды
(плохое качество аудио)
Interval (seconds)
Fast Lane
Interval (seconds)
Средний интервал между пакетами 20мс (хорошо)
Мало пиков, максимум, 0.1секунды
(приемлемое качество голоса)
115. Fastlane и Optimized Roaming дают преимущества
для всех критически важных приложений
До 50% уменьшение
служебного трафика из-за
сокращения числа SSIDs
86% меньше объем
информационного обмена
во время роуминга
Экономия заряда батареи
66x уменьшение вероятности плохого
качества звука во время WI-FI calling
10x лучше ощущения от работы с Интернет
117. Adaptive 11r
• Even if 802.11r is not enabled on the WLAN, it is enabled for the WLAN for the Apple IOS 10
devices (adaptive 11r) by default:
Show wlan 3
…/…
Security
802.11 Authentication:........................ Open System
FT Support.................................... Adaptive
Feature enabled by default on a newly created SSID
118. Adaptive 11r
• Adaptive 11r means that the WLAN security is set to WPA2 (NOT to static 802.11r, no need for
“hybrid” mode either):
119. 11k Configuration
• Feature enabled by default on a newly created SSID
• Dual band neighbor list selectively enable for Apple devices that supportive Adaptive capability
122. Fast lane on WLC
• Enabled from the QoS tab
of WLAN configuration
• Enabling the first WLAN
for Fastlane also enables
AutoQoS (best QoS config)
globally
• Application Visibility is
semi-independent
123. Fast lane
• Enabling Fastlane:
• Configures best QoS globally
• Sets the WLAN for Platinum
• Sets WMM to Required
• (Notice AV is still disabled)
124. Fast lane
• Enabling Fastlane enables best QoS config
globally:
• Platinum profile sets Max Priority to voice (UP
6), non-WMM and multicast to BE, 802.1p
disabled, bandwidth contracts disabled
• EDCA profile is set to Fastlane
125. Fast lane
• Enabling Fastlane enables
best QoS config globally:
• ACM is enabled on both
bands (load-based), with
max RF bandwidth 50%
and roaming bandwidth to
6%
• Expedited bandwidth is
enabled
126. Fast lane
• Enabling Fastlane enables
best QoS config globally:
• DSCP is trusted upstream
(instead of UP)
• DSCP to UP map is
configured as per IETF
recommendations (“well-
known” DSCP values
mapped to IETF-
recommended values,
“unexpected” DSCP values
mapped to BE
127. Fast lane
• When Fastlane is enabled on
a WLAN, enabling AV
automatically applies the
AUTOQOS-AVC-PROFILE
128. Fast lane
• As long as Fastlane is enabled, you cannot (and should not) change the AVC
Profile (you can disable/enable AV, but not change the AVC profile)