Беспроводные сети Cisco: новые продукты и их возможности

1. Беспроводные сети Cisco:
новые продукты и их возможности

2. Семейство Wi-Fi точек доступа Cisco Aironet
Полный переход на 802.11ac Wave 2
Начальный уровень корпоративных решений Критичные сервисы Лучшая на рынке
1850
• 4x4:3SS 80Mhz; 1.7
Gbps
• Spectrum Analysis*
• Internal or External
antenna
• Tx Beam Forming
• 2 GE Ports
• USB 2.0
• Centralized, FlexConnect
and Mobility Express
2800
• 4x4:3SS 160 MHz; 5 Gbps
• 2.4, 5GHz or Dual 5GHz
• 2 GE Ports
• Internal or External antenna
• Smart Antenna Connector
• Enhanced Location*
(External Antenna)
• CleanAir 160MHz
• ClientLink 4.0
• USB 2.0
• Centralized, FlexConnect
and Mobility Express*
3800
• 4x4:3SS 160 MHz; 5 Gbps
• 2.4, 5GHz or Dual 5GHz
• 1 GE + 1 mGig (5G)
• Internal or External antenna
• Smart Antenna Connector
• Enhanced Location* (External
Antenna)
• CleanAir 160 MHz
• ClientLink 4.0
• StadiumVision
• USB 2.0
• Modularity
• Centralized, FlexConnect and
Mobility Express*
1810 Wall Plate
• 2x2:2SS 80 MHz; 867 Mbps
• Tx Beam Forming
• 1 GE Port uplink
• 3 GE Local Ports, including 1
PoE out
• Local ports 802.1x ready
• Integrated BLE Gateway*
1830
• 3x3:2SS 80MHz;
867Mbps
• Spectrum Analysis*
• Internal antenna
• Tx Beam Forming
• 1 GE Port
• USB 2.0
• Centralized, FlexConnect
and Mobility Express
1810 Teleworker
• 2x2:2SS 80 MHz; 867 Mbps
• 3 GE Local Ports downlink,
including 1 PoE out
• One or Two Local Ports can be
tunneled back to corporate
* Future availability

3. Технологии, которыми располагает только Cisco
Ноу-хау для сетей с высокой плотностью последнего поколения

4. Wireless LAN Zero Impact Application Firewall
Отсутствие падения производительности при включении AVC/FW
Визуализация Мониторинг Контроль
приложений
APP APP APP APP
APP APP APP APP
APP APP APP APP
APP APP APP APP
Глубокий анализ пакетов использует выделенный CPU
Возможно только на правильно
спроектированной аппаратуре

5. Flexible Radio Architecture

6. • 2.4ГГц и 5ГГц на одном чипе
• Позволяет программно выбирать 2.4ГГц или 5ГГц для
подключения абонентов (по-умолчанию 2.4ГГц)
• Позволяет осуществлять последовательное сканирование всех
каналов обоих диапазонов (режим монитора, аналог “WSM”)
• Выбор режима работы ручной или автомат (RRM)
• В какой-то степени дальнейшее развитие технологии,
используемой в модулях WSM для ТД 3600/3700
Что такое Flexible Radio (XOR)?

7. • «Обычное» радиопокрытие в обоих диапазонах
• Режим работы по-умолчанию
Flexible Radio Assignment
5GHz
Serving
2.4GHz
Serving
Wireless
Security
Monitor
Wireless
Service
Assurance*
• Увеличение емкости и производительности
• Максимальная скорость в эфире 5.2Гбит/с
• Особенно важно для сетей с высокой плотностью
• Безопасность сети от источников помех, wIPS
хакеров и посторонних радиоустройств
• Сканирование обоих диапазонов от угроз ИБ
• Активный мониторинг производительности сети
и реакция на сбои
• Обнаруживает и устраняет сбои и их причины
* Планируются позднее
5GHz
Serving
5GHz
Serving
5GHz
Serving
5GHz
Serving
Enhanced
Location*
• Улучшает точность позиционирования абонентов
• Обслуживает абонентов в диапазоне 5ГГц5GHz
Serving

8. Flexible Radio Architecture
Принципы работы со встроенными антеннами

9. Что такое архитектура Macro/Micro cell?
• Идея не нова, годами используется в сотовых сетях
• Метод для передачи нелинейных объемов трафика
• Позволяет получить больше пропускной
способности в отдельной области общей соты

10. Антенная система ТД AP2800/3800 “I” (без верхней крышки)
До настоящего времени интерфейсы ТД
обозначались так…
На ТД предыдущего поколения 2700/3700 без
технологии XOR
Radio 0 = 2.4ГГц
Radio 1 = 5.0ГГц
Теперь на ТД 2800/3800 когда они
обслуживают клиентов
Radio 0 = 2.4ГГц *или* 5.0ГГц (XOR)*
Radio 1 = 5.0ГГц
Использование “Flexible Radio Assignment”
Radio “0” может быть настроено как 2.4ГГц (по-умолчанию)
или переключено в диапазон 5ГГц,
или может использоваться для постоянного сканирования
радиоэфира
Micro-cell antenna is 6 dBi @ 5 GHz
Macro-cell antenna is 5 dBi @ 5 GHz
*когда XOR в 5ГГц, используются Microcell
антенны

11. Различия в конструкции антенн
Традиционная зона покрытия ТД
(Macro-Cell): равномерное
круговое распределение сигнала
Уменьшенная зона покрытия ТД
(Micro-Cell): также равномерное
круговое распределение
сигнала, но используется
«узкий» луч, эффективный при
высокой плотности абонентов
Добились эффективной совместной работы
двух радио в одной ТД путем использования
специальных антенн, поляризации и особых
настроек излучаемой мощности:
ОБА радио друг другу не мешают

12. Flexible Radio Architecture
Применение в случае внешних антенн

13. Smart Antenna
Connector
Слот расширения
(только 3800)
Основные антенные разъемы – Диполи и направленные антенны
3802e и 2802e
Smart Antenna Connector
Используется для подключения антенны к XOR радио
5GHz
Serving
5GHz
Serving

14. FlexPort – гибкость в выборе внешних антенн
возможность подключение однодиапазонных антенн
Использование DART разъема позволяет разделить зоны покрытия 2,4 и 5ГГц, либо создать две
независимые 5ГГц соты

15. Режим Macro-Macro,
Micro-Micro или любая их комбинация – свобода выбора
DART кабель позволяет
физически разносить антенны
обоих радио для эффективной
работы
ANT-2566, направленные в
разные стороны, или даже
«спиной к спине» с наклоном
для эффективного внедрения
на складах
Две направленные
антенны для
удвоения зоны
покрытия или
увеличения
емкости
Можно использовать омни и
направленную антенны одновременно
5GHz
Serving
5GHz
Serving

16. Hyperlocation Antenna
AIR-ANT25-LOC-02=

17. AIR-ANT25-LOC-02=
Для чего вообще она нужна?
AIR-ANT-LOC-01= Встроенная
всенаправленная
AIR-ANT-LOC-02= Направленная антенна
Внешняя антенна решает проблему
гиперлокации на стадионах и других сетях
с высокой плотностью абонентов

18. Антенны для систем с локацией
Directional Location + Directional WiFi
• PID: AIR-ANT25-LOC-02=
• 3602i/e/p, 3702i/e/p & 3802e/p (w/ mod. bbd)
• 2802e, 3802e, 3802p (5G only)
• Large Hall, Warehouse, Atrium
• Vertical install, outdoor rated
• DART (Location) + 4 RP-TNC (WiFi), 3 ft
• Dual-band
•  2x14x18”
•  Q4 / CY16
Omni Location + no WiFi
• PID: AIR-ANT-LOC-01=
• 3602i/e, 3702i/e
• Enterprise office, retail , …
• Horizontal install, on ceiling
• DART (HL mod)
• Dual-band
•  2x12x12”
• Oct. 2015
Большие холлы, склады,
атриумы, высокие потолки,
уличное применение
(вертикальный монтаж)
Расширение
ТД3600/3700
Офис, магазин,…
(горизонтальный монтаж)
DART
HL RP-TNC
WiFi serving radios
WiFi ant. WiFi ant.
WiFi Ant.:
Az/El  2G: 105/60 5G: 105/60
Gain  2G: 4 dBi 5G: 5 dBi
HL Ant.:
Az/El  2G: 145/90 5G: 145/90

19. Вид спереди - AIR-ANT25-LOC-02=
х8 двухдиапазонных элементов
для локации
х8 5ГГц элементов для локации
х4 двухдиапазонных элемента
(для связи с клиентами 2.4/5ГГц) 4/5 dBi
20 Элементов (16 для локации) + 4 для
(подключения клиентских устройств)

20. Вид сзади - AIR-ANT25-LOC-02=

21. Aironet 1560 Series ТД
уличного применения

22. Семейство уличных точек доступа 802.11ac Cisco Aironet
лучшее и самое полное предложение на рынке
1560
• 802.11ac Wave 2, MU-MIMO
• 3x3:3, 80MHz, 1.3Gbps (I)
• 2x2:2, 80MHz, 867Mbps (E/D/PS)
• Internal or External antenna model (I/E)
• Internal directional antenna model (D)
• Public Safety 4.9 GHz model (PS)
• SFP
• Flexible Antenna Ports
• CleanAir and ClientLink
• Centralized, FlexConnect, Mesh and
Mobility Express
1570
• 802.11ac Wave 1
• 4x4:3 80 MHz; 1.3 Gbps
• External antenna model (EAC)
• Cable Modem model (IC/EC)
• SFP
• GPS
• Flexible Antenna Ports
• CleanAir and ClientLink
• Modularity
• Centralized, FlexConnect and Mesh
Cable Modem Version Only (IC/EC)
• DOCSIS 3.0, 24x8
• Internal or External antenna
• PoE Out 802.3at (EC only)
1540
• 802.11ac Wave 2, MU-MIMO
• 2x2:2, 80MHz, 867 Mbps
• Ultra low profile
• Internal antenna only
• PoE (802.3af) power
• Centralized, FlexConnect, Mesh and
Mobility Express
Новинка
Iкв 2017
Новинка
DNA Ready | RF Excellence | CMX
802.11ac Wave 2

23. Уличные ТД следующего поколения
с поддержкой Wave 2 802.11ac
Cisco Aironet® 1560
Series
• Эволюция ТД1530
Похожий небольшой корпус, низкая цена
• Функционал 802.11ac Wave 2
• Версия с встроенными (1562I) или
внешними (1562E) антеннами
• Добавлен вариант с встроенной
направленной антенной (1562D)
• Добавлена поддержка SFP

24. WNG Outdoor
AP
1532I 1532E 1562I 1562D 1562E 1562PS 1572EAC 1572IC/EC
List Price $1295 $1495 $1695 $1795 $1795 $1995 $4495 $5295 / $6695
Type 802.11n 802.11n 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W2 802.11ac W1 802.11ac W1
Radios
2.4G: 3x3:3
5G: 2x3:2
2.4G: 2x2:2
5G: 2x2:2
2.4G: 3x3:3
5G: 3x3:3
2.4G: 2x2:2
5G: 2x2:2
2.4G: 2x2:2
5G: 2x2:2
2.4G: 2x2:2
4.9G: 2x2:2
2.4G: 4x4:3
5G: 4x4:3
2.4G: 4x4:3
5G: 4x4:3
Antennas Internal
Flexible Antenna Port
(dual or single band)
Internal
Internal -
Directional
Flexible Antenna
Port
(dual or single
band)
Flexible Antenna
Port
(dual or single
band)
Flexible Antenna Port
(dual or single band)
IC: Internal
EC: External
SPF Port n n n n n n
PoE out n n (EC)
Cable modem n
Power options
UPoE/3at
24-57 VDC
PoE (802.3at)
24-57 VDC
UPoE/802.3at
48 VDC
PoE+ (802.3at)
48 VDC
PoE+ (802.3at)
48 VDC
PoE+ (802.3at)
48 VDC
AC, 12 VDC, PoE
40-90V cable
plant
12VDC
Data rate (2.4/5G)
Mbps
216 / 300 144 / 300 216 / 1300 144 / 867 144 / 867 144 / 867 216 / 1300 216 / 1300
Clients per radio 100 100 200 200 200 200 200 200
CleanAir n n n n n n
ClientLink n n n n n n
BandSelect n n n n n n n n
FlexConnect n n n n n n n n
Wireless mesh n n n n n n n n
Temp Range °C -30 to 65 -30 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65 -40 to 65

25. ТД CiscoAironet 1562I Series
Вариант с встроенными антеннами
Cisco Aironet® 1560
Series
• 3x3 и 3 пространственных потока
• Блок питания DC или UPoE
• Доступен AC/DC БП уличного исполнения
• 2x3:2 при питании 802.3at PoE
• Небольшие размеры
• 7dBi (2.4ГГц) и 4dBi (5ГГц)
• Широкая зона покрытия
• Области применения:
• Уличные Wi-Fi сети общего назначения,
хотспоты
Next-Generation Wave 2 802.11ac Outdoor Access Point

26. ТД CiscoAironet 1562D
Встроенные направленные антенны
Cisco Aironet® 1560
Series
• 2x2 и 2 пространственных потока
• Блок питания DC или UPoE
• Доступен AC/DC БП уличного исполнения
• Небольшие размеры
• 9dBi (2.4ГГц) и 10dBi (5ГГц)
• Узкая зона покрытия
Угол раскрыва~ 60@2.4ГГц и 40@5ГГц)
• Области применения:
• Уличные сети с высокой плотностью
абонентов
• Беспроводной мост точка-точка
Next-Generation Wave 2 802.11ac Outdoor Access Point

27. ТД CiscoAironet 1562E Series
Внешние антенны
Cisco Aironet® 1560
Series
• 2x2 и 2 пространственных потока
• Блок питания DC или UPoE
• Доступен AC/DC БП уличного исполнения
• Небольшой размер
• Антенные разъемы с технологией Flexible Antenna
Port, позволяющие программно выбирать тип
антенны
• Поддерживаются все уличные антенны Cisco
• Область применения:
• Уличные беспроводные сети/хотспоты с зоной
покрытия сложной формы
• Лучшая чувствительность с внешними
всенаправленными антеннами
Next-Generation Wave 2 802.11ac Outdoor Access Point

28. Уличный блок питания- AIR-PWRADPT-RGD1=
БП переменного тока
мощностью 60Вт
вход – 90-264 VAC
выход – 48VDC @ 1.25A
Рабочий диапазон температур
от -30C до +60C
Монтажный кронштейн
AIR-ACC1560-PMK1

29. Уличный инжектор питания (PoE)
Для России
AIR-PWRINJ-60RGD2=
(Россия)

30. Размеры и среднее время наработки на отказ
(MTBF)
AP1560 Series MTBF Часов
AP1562I, full operation
3x3 mode 166,075
AP1562e 187,550
AP1562d 165,995
Вес 2.55кг

31. 1562I (Internal Antenna) 1562D (Directional)

32. 1562E (External Antenna)

33. • WLC 8.4 ISE Simplification
• TrustSec Support
• HyperV Support of vWLC
• OpenDNS Integration
• URL Filtering
• Client Whitelisting
Новые программные возможности ПО 8.4

34. WLC 8.4 ISE Simplification

35. WLC ISE Configuration Challenges
При добавлении ISE или настройки
WLAN на использование ISE, требуется
произвести много настроек, что
занимает много времени и ошибок.
WLC 8.4
ISE
настройки
в один
Click
*Мобильное приложение в настоящий момент не поддерживается

36. One-Click
Day-0
Express
Setup
• Configures WLAN
with ISE default
settings
• Configures WLC
global ISE defaults
Day 0 WLC ISE Default Settings

37. WLC ISE Default Settings - Global
WLC 1-Click ISE Defaults
Добавляет ISE как Authentication server
Добавляет этот же сервер в качестве
Accounting server.
Enable CoA

38. WLAN 1-Click ISE
Defaults
Добавляет ISE как Authentication server
Настраивает аналогично (IP и shared-secret)
for Accounting server.
Включает AAA override.
Устанавливает NAC State в “ISE NAC”.
Включает DHCP Profiling и HTTP Profiling.
WLC ISE Default Settings - WLAN

39. 8.4 Wireless TrustSec

40. access-list 102 deny tcp 82.1.221.1255.255.255.255eq 2587 174.222.14.1250.0.31.255lt 4993
access-list 102 deny tcp 103.10.93.140255.255.255.255eq 970 71.103.141.910.0.0.127lt 848
access-list 102 deny ip 32.15.78.2270.0.0.127eq 1493 72.92.200.1570.0.0.255gt 4878
access-list 102 permit icmp 100.211.144.2270.0.1.255lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.300.0.0.255gt 26 207.4.250.132 0.0.1.255gt 1111
access-list 102 deny ip 167.17.174.350.0.1.255eq 3914 140.119.154.142255.255.255.255eq 4175
access-list 102 permit tcp 37.85.170.240.0.0.127lt 3146 77.26.232.980.0.0.127gt 1462
access-list 102 permit tcp 155.237.22.2320.0.0.127gt 1843 239.16.35.190.0.1.255lt 4384
access-list 102 permit icmp 136.237.66.158255.255.255.255eq 946 119.186.148.2220.255.255.255eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255gt 3972 47.135.28.1030.0.0.255eq 467
Проблема сегментирования сети
Line of Business
BYODCompliance
Различные требования к
сегментированию сети
Сложные политики, основанные на IP адресах
Сотрудники
Контракторы
Аутсорсеры
Гости
Устройства
Кампус Филиал
Вырастание сегментов за
L3 границы
VLANs
Требуют обновления при смене топологии
access-list 102 deny tcp 103.10.93.140255.255.255.255eq 970 71.103.141.910.0.0.127lt 848
access-list 102 deny ip 32.15.78.2270.0.0.127eq 1493 72.92.200.1570.0.0.255gt 4878
access-list 102 permit icmp 100.211.144.2270.0.1.255lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.300.0.0.255gt 26 207.4.250.132 0.0.1.255gt 1111
access-list 102 deny ip 167.17.174.350.0.1.255eq 3914 140.119.154.142255.255.255.255eq 4175
access-list 102 permit tcp 37.85.170.240.0.0.127lt 3146 77.26.232.980.0.0.127gt 1462
access-list 102 permit tcp 155.237.22.2320.0.0.127gt 1843 239.16.35.190.0.1.255lt 4384
access-list 102 permit icmp 136.237.66.158255.255.255.255eq 946 119.186.148.2220.255.255.255eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255gt 3972 47.135.28.1030.0.0.255eq 467
access-list 102 permit udp 126.183.90.850.0.0.255eq 3256 114.53.254.245255.255.255.255 lt 1780
access-list 102 deny icmp 203.36.110.37255.255.255.255lt 999 229.216.9.2320.0.0.127gt 3611
access-list 102 permit tcp 131.249.33.1230.0.0.127lt 4765 71.219.207.890.255.255.255eq 606
access-list 102 deny tcp 112.174.162.1930.255.255.255gt 368 4.151.192.1360.0.0.255gt 4005
access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.470.0.0.127eq 199
access-list 102 deny udp 130.237.66.56255.255.255.255 lt 3943 141.68.48.1080.0.0.255 gt 3782
Поддерживать безопасность и
соответствие правилам во
время роста сети

41. Традиционные подходы к сегментированию
очень трудозатратны
Access Layer
Enterprise
Backbone
Voice
VLAN
Voice
Data
VLAN
Employee
Aggregation Layer
Supplier
Guest
VLAN
BYOD
BYOD
VLAN
Non-Compliant
Quarantine
VLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL VACL
Ограничение традиционной
сегментации
• Политики зависят от топологии
• Высокая стоимость и сложность
поддержки
Приложения
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Classification
Static / Dynamic
VLAN assignments
Propagation
Carry segment context
over the network
through VLAN tags /
IP address / VRF
Enforcement
IP based policies.
ACLs, Firewall
rules

42. NXOS
Switches
Wireless
Включение TrustSec в сети предприятия
Data Center
Network Campus
Network
Public
CloudDATA CENTER
CAMPUS NETWORK
BRANCH OFFICE
SERVICES
IOS
Switches
WAN
Internet
Routers

43. DNA Security &
ComplianceSecurity and
Compliance
5 Employee
6 Voice
7 Partner
Classification
(Assigning SGTs)
Static & Dynamic
Assignments
A B
Propagation
Inline SGT & SXP
Enforcement
Security Group ACL
Поддержка Wireless TrustSec
Feature Platform
Inline SGT
tagging and SG-
ACL enforcement
17xx, 27xx,37xx, 18xx, 28xx,
1560 and 38xx
3504*, 5520 and 8540
SXPv2 5520, 8540, 8510, 7510, vWLC,
5508, WISM2, 2504
SXPv4 17xx, 27xx,37xx, 18xx, 28xx,
1560 and 38xx
WLC 8.4
Switching
modes
SXP AP Inline Tagging WLC Inline Tagging Enforcement
Local/Flex
Mode/Central
Switching
✕
✓(v2)
✕ ✓ ✓
Flex
Mode/Local
Switching
✓ ✓ ✓ ✓
Flex + Bridge
✓Wave1
✕ 11acW2
✕ ✕
✓Wave1
✕ 11acW2
Mesh
✕
✓(v2)
✕ ✓
✓(Indoor
only)

44. Простая настройка и поддержка политик
VLAN: Data-1VLAN: Data-2
Wired/Wireless
Data Center
DC Switch
Application
Servers
ISE
Enterprise
Backbone
Remediation
Wired/Wireless
Employee Supplier Non-CompliantEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
TrustSec enabled WLC &
AP receives policy for only
what is connected
Независимо от топологии или
местоположения, политики
(Security Group Tag) остаются с
пользователями, устройствами
и серверами
TrustSec упрощает управление
ACL как для intra, так и inter-
VLAN трафика

45. Классификация на входе, применение политик на выходе
Cat3850 Cat6800 Nexus 2248
WLC5508
Nexus 2248
Cat6800 Nexus 7000 Nexus 5500
User authenticated
Classified as Marketing (5)
Lookup
Destination SGT 20
DST: 10.1.100.52
SGT: 20
SRC: 10.1.10.220
DST: 10.1.200.100
SGT: 30
Web_Dir
CRM
DST 
 SRC
Web_Dir
(20)
CRM
(30)
Marketing
(5)
Permit Deny
BYOD
(7)
Deny SGACL-A
Destination Classification
Web_Dir: SGT 20
CRM: SGT 30
Enterprise
Backbone5
SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5

46. SGACL скачиваются только
для «своих» клиентов
Employees (4) Contractors (5)
Описание сегментации в ISE
SGT=3
SGT=4
SGT=5
SGACL
Enforcement
I have nothing
to protect
I know SGT-4, is
there a policy for it?
I запросил политики
для защиты SGT-4
TrustSec позволяет WLC и ТД запрашивать политики ТОЛЬКО для
хостов, находящихся под их защитой
Employees
(SGT=4)
AP WLC
Active SGT’s 10 100
SGT x DGT pairs 10 x 10 100 x 100
SG-ACLs per SGT x SGT cell 128 256
ACE per SG-ACL 50 50

47. Поддержка vWLC на Hyper-V

48. Эволюция виртуального контроллера

49. Преимущества Hyper-V

50. Интеграция контроллера
БЛВС и OpenDNS

51. OpenDNS- Offering Domain Level Visibility
COVERAGE
PROTECTION
INTELLIGENCE
PERFORMANCE
RELIABILITY
Predictive Threat
Intelligence
High Speed,
Scalable
Ransomware,
malware/Botnet
Security Visibility-
Application Insights,
Policy Compliance
Internet wide
visibility
• Cloud delivered network security service
• Malware and Breach Protection in real time
• Uses evolving Big Data and data mining methods
to proactively predict attacks
• Category based Filtering (60+ content categories)
OpenDNS Cloud
CATEGORY IDENTITY
Malware Internal IP
Phishing AD User
DNS layer Security

52. OpenDNS- DNS layer Network Security
Today’s Challenges
Internet-wide Visibility
Alert Priority
Evolving Threat Intel
Limited Resources
What does OpenDNS Offer?
Enrich security systems
with real time data
Prioritize investigations
from Botnet, Malware
Stay ahead of attacks
Speed and agility across
Cloud/ scalable
agc.com
How does it Happen?
Global Network using
Recursive DNS
Predictive Intelligence
using Statistical models
1.2.3.4
Block by domains,
URLs for all Ports
Insightful reporting

53. OpenDNS to Enhance Security Visibility
CLOUD BASED WEB FILTERING THREAT MANAGEMENT INSIGHTFUL REPORTING
Low cost
architecture
Data analysis
methods
Powerful reporting
and analytics
MICRO TO MACRO LEVEL VISIBILITY
Network EndpointMobile Virtual Cloud Apps
Local Intelligence
Global Context

54. openDNS- How does it work?
Ingest Apply Identify
k.amuX
a.bc
b.com
l.emuX
www
p2p
www
Millions of data points per
second across markets,
geographies, protocols
Statistical models, Human
Intelligence, Anomaly
Detection, Temporal Patterns
Malicious and safe
sites

55. API Token
Issued from OpenDNS
Portal. Used for device
registration
Device Identity
Unique device identifier.
Policy enforced per
identifier.
Extension mechanism for
DNS
EDNS FQDN
Fully Qualified Domain
Name
OpenDNS - Terminology. How does it work on WLC?
WLC intercepts DNS packet,
redirects query to OpenDNS cloud
servers at
OpenDNS cloud, based on FQDN
in DNS query returns
• 208.67.222.222IPv4
• 208.67.220.220Ipv4
• Return blocked page to
client
Malicious FQDN
• Returns Destination IPSafe FQDN
NOTE If the blocked domain was from HTTPS request, client’s web browser will see certificate error because
OpenDNS cloud may not have the certificates from the blocked server.

56. OpenDNS- WLC Packet Flow
Internet
Web Services
OpenDNS Cloud
DNS Request
DNS Response
• OpenDNS: Get API. Token for device registration
• WLC: Apply Token and create Profile
Device (Profile) Registration
HTTPS used in this phase
WLC and OpenDNS registration
(One Time)
• Client sends DNS query
• WLC snoops DNS query, forwards it
with EDNS
• OpenDNS applies Profile specific Policy
• Sends DNS response to WLC
• WLC forwards the response to client
Wireless client traffic flow
Snoop DNS pkt
Tag it with Identity
Security Enforcement Content Filtering
Compliance Category based Filtering Whitelist & Blacklist
+

57. Create an OpenDNS account with
active subscription license.
OpenDNS- Cloud config
Obtain API-Token from
dashboard to be used
on WLC

58. OpenDNS- Profile Creation on WLC (GUI, CLI)
Configure openDNS Configure API Token Create Profiles
 Config openDNS enable
 Config openDNS api-token <token>
 Config openDNS profile create <profile-name>
 Config wlan opeDNS-profile <wlan-id> <profile name>
enable
Security > OpenDNS

59. OpenDNS WLC config
To check OpenDNS profile Mappings,
Security >OpenDNS5WLAN> Advanced
Map the Profile to WLAN/AP Group/Local Policy

60. OpenDNS WLC Integration- Additional Details
Support
1. WLC platform- 5508,5520,7500,8510,8540.
ME, vWLC not supported
2. AP mode- Local mode, Flex central switching.
3. 10 different OpenDNS Profiles configurable on WLC
Licensing
1. 14 day free Licensing
2. Covered under CiscoOne Advanced Subscription
1. Application or Host uses IP address directly
instead of DNS to query domains.
2. Required to configure web proxy for WLC to
register to OpenDNS account (incase WLC
cannot communicate directly to server)
1. DNS Crypt – client DNS traffic
2. Token Generation linking
3. Configure Policy from WLC
4. Stats/Dashboard at WLC
5. Ipv6 support
6. Local URL splitting
Not part of WLC 8.4 releaseOpenDNS Limitations

61. URL Filtering (Enhanced)

62. URL Filtering - Simple, Easy to deploy
• IP address based
• Requires creating and maintaining
thousands of access list entries.
How can I control access to custom resources in my network?
Today’s Process
Access Control List Application Visibility Control
WARNING
OVERWORK
AND STRESS
AHEAD
• Applications in Protocol Pack inspected
• Cannot define custom / user specific
application
Awareness Analytics Control

63. Why URL Filtering for Wireless?
Productivity
Improvement Tool
URL Filtering
solves
Productivity
Threats
Inappropriate
Content
BW
Consumption
Employee
Distractions
Spam
Security
Content
Control
Compliance

64. URL Filtering Flow
URL Filtering ACL on controllerInternet / Intranet Approved Content
Blocked URLs
Blocked Content
Blocked Files
Based on DNS snooping

65. URL ACL Implementation
3
https://www.
Browsing is restricted to specified
domains for all protocols.
1
X
X
• Configure Whitelist or Blacklist to allow or
deny access to domains.
• Configure External Server IP address
Whitelist allows domains to be permitted
Blacklist restricts browsing to domains
External server IP for blocked pages
2
APPLY LIST
Tie the created URL ACL to
• Interface
• WLAN
• Local Policy (highest priority)
Add timeout actions
Add role based actions
Device aware actionable policies

66. Key Points
DNS SnoopingWorking
• No AVC dependability
5520, 8540, 8510, 5508Platform Support
• 2504, vWLC, ME not supported
Protocols Both HTTP, HTTPs supported
All protocols matched for the rule
8.3 Filtering Enhanced, no NBAR basedMigration
• Configuration is similar
64 URL access lists, 100 rules per list (8540,
5520). 8510 - lowerFiltering
• No Sub URL support
• White and Black lists supported but not the mix of them.
Without DNS Direct IP access will be blocked in whitelist.
Reverse DNS lookup not allowed
BLACKLIST
*.cisco.com
mail.cisco.com
press.cisco.com
10 Wildcards, 5 subdomain per wildcard (different for 5508, 8510)
WHITELIST
www.cisco.com
www.cisco.com/dir
www.cisco.com/sevt
No Sub-URL support

67. Role Based Access Control
Employee
Users
Roles
Internal
Company
Resources
User
Role
Application
Devices
AAA
EngineerSales
WLC Switch
Internal
Secure
Server
Engineer Sales
Cisco-av-pair=role=<role name>
Policy tie-in with URL ACL
User Role Aware

68. Role Based Access Control- Configuration
USER
GROUPS
• Configure user group based authn / authz for groups
• Sales
• Eng
Returning
ROLE
• ISE configured to return role in cisco AV pair under Authz profile:
• Sales
• Eng
URL ACL
• Configure two URL ACLs
• ACL_Sales = blocking access to internal server
• ACL_Eng= permitting access to internal server
POLICY
• Tie ISE returned ROLE and ACLs to respective Local Policy:
Sales_Policy = ROLE Sales & ACL_Sales
Eng_Policy = ROLE Eng & ACL_Eng
PROFILE
• Tie both policies to the WLAN Profile
ISE
WLC

69. Migration of Config from 8.3 to 8.4
8.3 URL Rules to 8.4 (Migration) 8.4 URL Rules to 8.3 (Downgrade)
1
abb.com
cbb.com
avb.com
2
dbb.com
fbb.com
pvb.com
Whitelist ACL
3
dbb.com
fbb.com
pvb.com
White & Black
list ACL
• ACL changed to Whitelist
• Deny rules wiped out
• Manually configure new
ACL list type as Blacklist
• Unchanged
• Continue to use feature
• Permits will remain
• Denies will be removed.
(Manual change reqd)
• No change in URL ACL rules
• Only HTTP protocol support
• NBAR engine based URL Filtering
Blacklist ACL

70. Cisco Wireless web-classification: OpenDNS vs URL Filtering
Which one to position? OpenDNS is for customers with cloud strategy while URL filtering is for enterprise
customers with a known URL filtering policy
Feature OpenDNS URL Filtering
Architecture Cloud On-Prem
Granular SSID / User-Role filtering Yes Yes
Block internal enterprise domains No Yes
Malware / Botnet /Ransom ware detection Yes No
Domain Rules No limits 100 rules per ACL
Blocked URL landing page Yes Yes
Cloud subscription Yes No (part of base WLC license)
Domain visibility with reporting Yes No
Proactive security alerts with dynamic security compliance Yes No
Domain category filtering Yes No

71. Lobby Admin Client Whitelist

72. Lobby Admin Client Whitelist
Local administrator Local admin access with
restricted privileges for site
Ability to add whitelist
users per WLAN
Management of users
in an easy fashion
Site Specific Limited Access WLAN Config Add/Remove users

73. Feature Workflow
Lobby Admin (LA)
Logs into WLC guest user page
Under Whitelist Menu, chooses
WLAN for MAC addition
Disables MAC filtering on WLAN
to allow clients to join
Sees list of clients connected
on WLAN
Selects all or specific clients and
add to client whitelist
Enables MAC filtering on WLAN.
Only whitelisted clients allowed to
join WLAN
Global Admin
Add Lobby admin on WLC
Enable Lobby ambassador
access on WLAN

74. Digital Network Architecture
with Wave 2 11acAP 2800/3800 Feature Highlights

75. Flexible Radio Assignment
Software defined radio automatically
adjusts to dual 5GHz to better serve high
client environment
Optimized Roaming
Intelligently Connects the Proper
Access Point as People Move
Turbo Performance
Scales to Support More Devices
Running High Bandwidth Apps.
Zero Impact AVC
Hardware Based Application Visibility and
Control without Impact to Performance.
Cisco CleanAir®
Remediates device Impacting Interference
from other WiFi and non-WiFi devices
Cisco ClientLink
Improves Performance of
Legacy and 802.11ac Devices.
Future Proof Expandability
Add Functionality Via Module, Smart
Antenna Port or USB Port
Multi-Gigabit Uplinks
Free Up Wireless With Faster
Wired Network Offload
Gb+
Flex Dynamic Frequency Selection
Automatically Adjusts So Not to Interfere
With Other Radio Systems
Wireless excellence and innovations delivered only by
Cisco Aironet 2800, 3800 Series Access Points
Apple Fast Lane
Automatically assures highest priority, fastest
performance for trusted apps on trusted Apple devices
LAS VEGAS TOKYO

76. This is all great…
BUT What about
Feature Parity?
Feature Parity de-mystified.
What, really? Let’s go!
Session Objectives
• Wave2 11ac is Best in
Class and Enterprise
Ready
• Relook at Key
Highlights
• Understanding
Feature Parity
• Re-building
confidence for you and
your customers
What can I position to
my customers?
Where can I find
resources?
Do I have the complete
picture ?

77. Wave2 11ac AP Feature Matrix
http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-
3/b_feature_matrix_for_802_11ac_wave2_access_points.html
8.3 Release Notes
http://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/crn83.html
Resources to find answers and drive
adoption
Now Near Future
Wave2 & 5520/8540 8.2.130.0 8.3.110.0 ( Nov )
8.2.140.0
Code Recommendation
Cross-functional Tiger Teams (TAC, Field, Engg, Mktg) to drive the early deployments since
FCS (6/15)
Initial feedback from the field is addressed in the 8.2.130 (MR3) SW
Created frequent MR releases on 8.2 to incorporate field feedback

78. Optimized Roaming
RX-SOP
Pervasive
Wi-Fi
HDX Turbo
Performance
Event Driven
RRM
XOR Radio
FRA
Cisco CleanAir®
RF Profiles
RRM, DCA, TPC, CHDM
Load Balancing
Band Select
Client Link 4.0
Off-Channel
Scanning
Flex DFS
DBS
5GHz
Serving
2.4GHz
Serving
5/2.4GHz
Monitor
• Enabled by Dual 5GHz
• Adjust Radio Bands to Better Serve the
Environment
RF Optimized
Connectivity

79. XOR Radio and FRA
2.4GHz
Serving
2.4-5GHz
Monitoring
5GHz.
Serving
5GHz.
Serving
2.4GHz
Serving
5GHz.
Serving
5GHz
Serving5Hz
Serving
2.4GHz
Serving
 FRA-auto (default value) or Manual
 Auto 2.4 -> 5GHz or Monitor Mode
 Transition to 2.4 GHz if coverage drops

80. Micro  Macro Cell Transitions
-51 dBm
-65 dBm
-51 dBm-51 dBm≥ 55
dBm?
Probe Response
Client Steering
• 802.11v BSS Transition – Default Enable
• 802.11k – Default Enable
• Probe Suppression – Default Disable
Client Types
• 11v capable – 802.11v BSS Transition
• Non-11v capable – 802.11k neighbor list +
disassociation
• No 11k or 11v support – Probe Suppression Micro – 5GHz on XOR
Macro -- Dedicated 5 GHz

81. Optimize Wi-Fi with CleanAir
Quickly Identify and Mitigate Wi-Fi Impacting Interference
Channel 48
48
48
48
48
48
48
48
48
48
48
48
 Interference on 20/40/80/160 MHz
 Air Quality and Interference by
AP/radio on WLC
 AQ Threshold trap and Interference
Device trap (per radio)
 CleanAir-enabled RRM
Network Air Quality and Interference Location with PI 3.1.x and MSE 8.0.

82. Interference Devices and Air Quality Report
CleanAir Enabled RRM
Mitigated RF interference for improved
reliability and performance
Wi-Fi and
non-Wi-Fi
aware
Dynamic
mitigation
ED-RRM
Granular
spectrum
visibility and
control
Air Quality Performance
Improved Client
Performance
Complete Automatic Interference Mitigation Solution for Rogues and Non-Wi-Fi Interference

83. FlexDFS with Dynamic Bandwidth Selection
Identifies radar
frequency to
1 MHz
FlexDFS
isolates radar
event to
20MHz
DBS allows
best channel
and width
Interference is impacting
only channel 60
FlexDFS + DBS
Automatic and intelligent use of spectrum
52
56
60
64
DBS combined with FlexDFS: Increased confidence in using wider channel bandwidth; reduced radio flapping
Primary
20
Secondary
20
Secondary
40
52 56 60 64
Optimizes
HD Experience

84. Better Support for Users on the Move
Optimized Roaming
Optimized Roaming: Wireless Devices
Connect to the Most Effective APClient Stickiness

85. Fine-tuning HDX with RF Profiles
Wi-Fi
Triggered ED-
RRM
Optimized
Roaming
RXSOP
Dynamic
Bandwidth
Selection
TPC, DCA
CHDM
FlexDFS
CORE:
• CleanAir
• ClientLink 4.0
• Turbo Performance
 Pre-canned RF Profiles
 Client Distribution
 Data Rates
 DCA, TPC, CHDM
 Profile Threshold for Traps
 High Density Features

86. Security and Threat
Mitigation
Secure
Access
P2P
Blocking
Client Exclusion
802.1x
WPA2/AES
TKIP Encryption
AAA Override
VLAN, ACL, QoS
Local Policy w/
QoS and AVC
MFP, 802.11w
TrustSec SXP
Inline Tagging
awIPS, ELM
MAC Auth Rogue Detection
BYOD
NAC RADIUS
8.4
8.3 MR1

87. 5GHz. / 2.4GHz.
.5GHz. / Security
Cisco Wireless Security Deployment with AP3800/2800
Maintains Capacity and Avoids Interference
Good Better Best
Features ELM Monitor Mode AP ELM with FRA
Monitor Mode
Deployment Density Per AP 1 in 5 APs 1 radio per 5 APs
Client Serving with Security
Monitoring
Y N Y
wIPS Security Monitoring 50 ms off-channel scan on selected
channels on 2.4 and 5 GHz
7 x 24 All Channels on 2.4GHz and
5GHz
7 x 24 All Channels on 2.4GHz and
5GHz
CleanAir Spectrum Intelligence 7 x 24 on client serving channel 7 x 24 All Channels on 2.4GHz and
5GHz
7 x 24 All Channels on 2.4GHz and
5GHz
Serving channel Serving channelOff-Ch Off-Ch
Serving channel Serving channelOff-Ch Off-Ch
Enhanced Local Mode
Access Point
 GOOD
2.4 GHz
5 GHz
t
t
Monitor Mode
Access Point
 BETTER
2.4 GHz
5 GHz
t
t
Ch11Ch2
Ch38
Ch1
Ch36
…
Ch11Ch2Ch1
…
Ch11Ch2Ch1
…
…
Ch161Ch157 Ch38Ch36
…… …
t
2.4 GHz
5 GHz
t
Ch11Ch2Ch1
…
Ch38Ch36 Ch161Ch157
…… …
ELM with FRA Wireless Security
Monitoring
 BEST
Serving channel Serving channelOff-Ch Off-Ch
5 GHz t

88. Serve Client
on 2.4 GHz
50 ms off-
channel
Serve
Clients on 5
GHz
50 ms off-
channel
Rogue Detection and Mitigation
 Rogue Classification and
Containment
• Rogue Rules
• Manual Classification –
Friendly/Malicious
• Manual and Auto
Containment
 CleanAir with Rogue AP
Types
• WiFi Invalid Channel
• WiFi Inverted
 Rogue Location
• Real-time with PI, MSE,
CleanAir
• Location of Rogue APs
and Clients , Ad-hoc
Rogue, Non-wifi
interferers
Data Serving AP
Scan
1.2s per
channel
Monitor Mode AP
FRA with MM
Serve Client
on dedicated 5
GHz
Scan 1.2s
per channel

89. Service Ready
Feature Highlights
Videostream
Multicast VLAN
Per-Client/Per-SSID
BW Contract
Local Profiling
Bonjour
Apple Services
Service
Ready
AVC
Netflow
AAA Override of
AVC Profile
Voice Optimization,
CAC, WMM Policy
Adaptive 11r ,11k, 11v
FastLane
QoS Profiles
OKC, CCKM
Fast Roaming
8.3 MR1

90. Zero Impact Application Visibility and Control
Maintain Performance with Zero Impact AVC
Gain Visibility
into the Network
Monitor Critical
Applications
Control Application
Performance
APP APP APP APP
APP APP APP APP
APP APP APP APP
APP APP APP APP
 Setting up AVC profiles and rules
 Drop/ Mark for several video apps like YouTube and Netflix on iPhone, iPad
 Drop/ Mark for other apps such as Jabber and Webex
 Profiles with block and pass rules combined
 Rate Limiting of Video/Voice apps
 AAA override for AVC profile
 AVC Profile with Local Policy Classification

91. Adaptive 11r and Cisco Fastlane
Optimized Wi-Fi Connectivity Prioritized Business applications
Intelligent, and efficient
roaming is automatically
configured
iOS and Cisco devices recognize each other and enable
special capabilities
Business data gets priority
and speed even if network is
congested
Reduces complexity - IT can focus on the business– the network does
the heavy lifting
8.3 MR1
Aironet Wave 2 AP’s:
 AP1810
 AP1815
 AP1850
 AP1830
 AP3800
 AP2800
 AP1560
Aironet AP’s:
• AP1600/2600 Series Access Points
• AP1700/2700 Series Access Points
• AP3500 Series Access Points
• AP3600 Series Access Points + 11ac Module,
WSM, HALO, 3602P, 5310, 8718, 8818
• AP3700 Series Access Points + WSM, HALO,
3702P, 5310, 8718, 8818
• OEAP600 Series OfficeExtend Access Points
• AP700 Series Access Points
• AP700W Series Access Points
• ASA55xx Integrated Access Point (AP702i)
• AP802 Integrated Access Point
• AP803 Integrated Access Point
• AP1530 Series Access Points
• AP1550 Series Access Points
• AP1570 Series Access Points
• AP1560 Series Access Point
• IW3700
• AP1040/1140/1260 Series Access Points
WLC’s:
• 2504
• 5508
• 5520
• 7510
• 8510
• 8540
• WISM2
• vWLC
(KVM +
ESXi)
8.3

92. RF
• Preferred 5 GHz network design
• Apple client device should observe a minimum of 2 APs with an
RSSI measurement of -67 dBm
• Average Channel Utilization < 40%.
• Client SNR >= 25 dB.
• 802.11 retransmissions < 15%, Packet Loss < 1% and Jitter < 100
ms.
• Cisco highly recommends leaving all MCS rates enabled
• Channel width 40 Mhz or Best for Typical deployments, 20 MHz for
High Density
QoS
• Enable FastLane : Trust DSCP, Platinum for Unicast, EDCA as
FastLane and over 70 lines of Best Practice Configuration
• WMM Set to Required
• AVC profile is AUTOQOS-AVCPROFILE
• 11k and 11v BSS Transition Enabled
• mDNS Snooping Enabled
• FT should be enabled or Adaptive, AKM Set to FT PSK or FT 802.1x
Cisco and Apple Best Practices
http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Optimizing_WiFi_Connectivity_and_Prioritizing_Business_Apps.pdf
http://www.cisco.com/c/dam/en/us/td/docs/wireless/controller/technotes/8-3/Enterprise_Best_Practices_for_Apple_Devices_on_Cisco_Wireless_LAN.pdf

93. Teacher Network
Student Network
AirPrint AirPlay File
Share
Teacher
Service Profile
AirPlay File
Share
Student
Service Profile
iTunes
Sharing
AirPrint
mDNS Service Instances Groups
Apple TV1 Apple TV1
Apple TV2
Teacher Service
Instance List
Student Service
Instance List
mDNS and Bonjour Services
 mDNS Profiles – Select
services
 mDNS Profile with Local
Policy – Services per-user
and per-device
 mDNS Policies – Services
based on AP Location and
user role
 mDNS AP – Services Behind
a L3 boundary
 Location Specific Services

94. Authentication
Time of Day
User Role
 QoS Profile Metal Profiles
 QoS Policy w/ Role and Device type
 Per-User Bandwidth Contract
 Per-SSID Bandwidth Contract
 AAA Override of QoS profile
 QoS Roles for Guest Users
QoS and Bidirectional Rate-limiting
Device Type
LocalPolicyElements
POLICY
Radius Server
(e.g.. ISE Base, ACS)
AAA
Override
QoS Profile

95. Enterprise Infra
Feature Highlights
Fast SSID
Client IPv6
Native IPv6
Flex, Local, Sniffer,
Monitor, ME
FIPS Support
Enterprise
Infra
Pre-Image Download
AP Multicast
WiFi Tagging
OEAP
Webauth
Guest Access
Plug n Play
8.3 MR1 8.3 MR1
8.4
8.3

96. IPv4
IPv4 Client
Client and Native IPv6
CAPWAPv6 Tunnel
IPv4 Client
802.11
802.11
802.11
CAPWAPv6
Ethernet
IPv4
VLAN
Ethernet
Mgmt: 2001:db8:a::2/64
10.10.10.2
IP: 2001:db8:a:5/64
SNMP Server, Syslog Server,
tftp/ftp/scp Server
IP: 2001:db8:a:7/64
2001:db8:a:0:222:bdff:fef7:5594
2001:db8:a:0:8a56:caff:1547:9150
IP: 2001:db8:a:6/64
NTP Server
IPv4/v6 router
2001:db8:a::1/64
10.10.10.110.10.10.52
IPv6 Client
10.10.10.51
2001:db8:a:0:2329:9834:3231:1111
IPv6 Client
IPv6
IPv6
RADIUS
 IPv6 Guest Access
 IPv6 Source Guard
 IPv6 RA Guard
 IPv6 Client Mobility
 RA Throttling
 IPv6 ACL – Local mode
 IPv6 Client Visibility
 IPv6 Neighbor discovery Caching
 IPv6 Bridging
 IPv6 multicast
 IPv6 AAA support
 IPv6 QOS
 IPv6 CAPWAP ( DHCP option 52, DNS)
 Full DHCPv6/SLAAC or static v6
 Control and Management IPv6
 NTP over IPv6
 Syslog over IPv6
 Radius Over IPv6
 CDP v6
8.4
8.2 MR1

97. 2800/3800 as OEAP
 DTLS
• Control – DTLS enabled
• Data – DTLS for client traffic tunneled back to corporate WLC
 CDP and LLDP
• PoE Uplink – CDP and LLDP on the uplink PoE port for power negotiation
 Authentication and Security
• Advanced Encryption Standard (AES) for Wi-Fi Protected Access 2 (WPA2)
• 802.1X, RADIUS authentication, authorization and accounting (AAA) on WLAN 802.11i
• MAC filtering
 Personal SSID support
• Personal SSID support for local home networking

98. WiFi CCX Tag v1 Support
(Cisco Controller) >show rfid summary
Total Number of RFID : 1
----------------- -------- ------------------ ------ ---------------------
RFID ID VENDOR Closest AP RSSI Time Since Last Heard
----------------- -------- ------------------ ------ ---------------------
00:23:a7:8e:20:d0 Redpine APE00E.DA78.56C0 -57 28 seconds ago
Cisco Controller) >show ap summary
Number of APs.................................... 2
Global AP User Name.............................. Not Configured
Global AP Dot1x User Name........................ Not Configured
AP Name Slots AP Model Ethernet MAC Location Country IP Address Clients DSE Location
------------------ ----- -------------------- ----------------- ---------------- ---------- --------------- -------- --------------
AP_3802_1 2 AIR-AP3802I-S-K9 00:42:68:a0:d1:aa default location SG 192.168.6.35 0 [0 ,0 ,0 ]
APE00E.DA78.56C0 2 AIR-AP2802I-S-K9 e0:0e:da:78:56:c0 default location SG 192.168.6.94 0 [0 ,0 ,0 ]
Wireless LAN
Controller
Cisco Prime
Infrastructure
RFID Tags
8.3 MR1

99. FlexConnect Feature Parity on Wave 2 APs
FlexConnect
 Local Switching/ Local Auth
 WLAN-VLAN Mapping
 Local Auth w/ External RADIUS
 Data DTLS Encryption
 VLAN Based Central Switching
 Native VLAN, VLAN support on FCG
 Proxy ARP
 NAT/PAT
 ClientLink
 Load Balancing
 Band Select
 Smart AP Image upgrade
 Default Flex Group
 Syslog
 Advanced WIPS
 TrustSec SXP and SGT
 WPA-PSK
 802.1x(WPA/WPA2)
 TKIP Encryption
 Rogue Detection
 AAA Override – ACL, VLAN
 AAA Override – QoS
 VLAN ACL
 Per Client ACL
 L2 ACL
 Client Exclusion Policies
 MFP
 11w PMF
 AVC Policy
 EoGRE v4/v6 on FC
 Webauth – Internal/External
 QoS Markings and Profiles
 AP Plug and Play
 OKC, CCKM, 802.11r
 Adaptive 11r, FastLane8.4
8.4 8.4
8.4 8.4
Feature Matrix : http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_wave2.html
Infrastructure Security Services

100. Apple + Cisco для корпоративных
Wi-Fi сетей – вместе веселее!

101. Беспроводная инфраструктура и
клиентские устройства
101
WLAN Controller
AP
Ethernet Switch
AP
802.1Q Trunk802.1Q TrunkAccess mode
Мы контролируем здесь все
“бесконтрольная”
зона

102. Партнерство Cisco-Apple дает эти преимущества
Оптимизация Wi-Fi подключения Приоритезация бизнес приложений
Автоматическая настройка и
включение интеллектуального
роуминга
iOS и Cisco устройства распознают друг друга
и включают необходимый функционал
Бизнес приложения получают
приоритет и необходимую
полосу даже в загруженной сети
Упрощение - IT может сфокусироваться на бизнес
задачах – сеть делает «черновую» работу

103. Оптимальное
подключение Wi-Fi

104. 802.11k, 802.11v, 802.11r помогают при роуминге
802.11r роуминг без повторной аутентификации
802.11k список ближайших точек доступа
802.11v BSS Transition дает клиенту наилучший вариант для роуминга
Переключение на Cisco-AP-2
Association
Fast Transition (802.11r)
Cisco-AP-1* Cisco-AP-2** Yes, it works on AireOS and Meraki!

105. Association
Решение Optimized Roaming Cisco-Apple
уменьшает сложность управления до 50%
Устаревший клиент не
может подключиться к
SSID с включенным
11r
ТД распознает
устройства apple и
включает 11r для них
802.11k, 802.11v
включены по умолчанию
Устаревшие клиент, не
поддерживающие 11r/k/v,
могут подключаться к
тому же SSID
Cisco-AP*
ТД другого
производителя * Yes, it works on AireOS and Meraki!

106. Характеристики роуминга: до 10-ти раз лучше
QoS, 802.11r/k/vNo QoS, No 802.11r/k/v
Время (с)*
*Временной интервал между последним пакетом на «старой» ТД и первым пакетом на «новой» ТД

107. Приоритезация
бизнес приложений

108. Приоритезация бизнес приложений
Приоритезация бизнес приложений и трафика
реального времени
Простая настройка
Служба IT получает полный контроль над QoS приложений

109. Создание профилей Fast Lane Profiles
Apple Configurator
Meraki Systems
Manager MDM

110. Fast Lane работает только между устройствами
Apple и инфраструктурой Cisco
QoS профиль не
учитывается
Приложение
может выставлять
UP, но не DSCP*
QoS Profile or
no QoS Profile
В случае наличия
профиля, все
приложения из White
List могут выставлять
уровень приоритета
QoS
Profile
Cisco-AP**ТД стороннего производителя
Поддерживает Fast lane
* DSCP может быть помечен с помощью IP_TOS/IPv6_TCLASS когда SO_NET_SERVICE_TYPE установлен в best effort ** Yes, it works on AireOS and Meraki!

111. Fast Lane позволяет приоритезировать только те приложения,
которые являются критичными в данной сети
Поддерживает
Fast lane Администратор устанавливает на устройство Apple
IOS профиль QoS*
Приложения из whitelist получают требуемый QoS **
Остальные приложения получают BE/BK
Поддерживает
Fast lane
Профиль для этой сети:
Minecraft = Real-time-
interactive
Viber = BE
Профиль для этой
сети:
Minecraft = BE
Viber = Voice
Cisco-AP
Поддерживает
Fast lane
Поддерживает
Fast lane
Cisco-AP
*если профиль отсутствует, все приложения могут запросить любой уровень сервиса
**Fast Lane не изменяет уровень QoS, запрошенный приложением

112. Это – законченное решение, а не функционал
только Wi-Fi сети
Роуминг Over the Air или over the DS 802.11r?
Перегрузка здесь и/или здесь?
Влияние филиальной сети/
маршрутизации?
Как настраивать контроллеры БЛВС, коммутаторы, UC, QoS?

113. Это – законченное решение, а не функционал
только Wi-Fi сети
What QoS marking should we recommend to Apple, for what traffic? (QoS Expert)
Need an in-house Voice app expert (what codecs, what bit rates, what choreography, how to test?)
Need an architect (what is typical campus, branch topology? Where do WLCs reside?)
Need R&S expert (RNA and best practice for routing, switching)
And yes, need a couple of wireless gurus…

114. No Fast Lane
Fast Lane обеспечивает надежную передачу голосового
трафика даже в условиях загруженной сети
• Загруженная сеть, голосовые пакеты отсылаются каждые 20мс
• Мы измеряли временные интервалы между голосовыми пакетами в эфире
Capture time (seconds)
Средний интервал между пакетами 40мс (не здорово)
Много пиков, некоторые до 0.6 секунды
(плохое качество аудио)
Interval (seconds)
Fast Lane
Interval (seconds)
Средний интервал между пакетами 20мс (хорошо)
Мало пиков, максимум, 0.1секунды
(приемлемое качество голоса)

115. Fastlane и Optimized Roaming дают преимущества
для всех критически важных приложений
До 50% уменьшение
служебного трафика из-за
сокращения числа SSIDs
86% меньше объем
информационного обмена
во время роуминга
Экономия заряда батареи
66x уменьшение вероятности плохого
качества звука во время WI-FI calling
10x лучше ощущения от работы с Интернет

116. Технические подробности

117. Adaptive 11r
• Even if 802.11r is not enabled on the WLAN, it is enabled for the WLAN for the Apple IOS 10
devices (adaptive 11r) by default:
Show wlan 3
…/…
Security
802.11 Authentication:........................ Open System
FT Support.................................... Adaptive
Feature enabled by default on a newly created SSID

118. Adaptive 11r
• Adaptive 11r means that the WLAN security is set to WPA2 (NOT to static 802.11r, no need for
“hybrid” mode either):

119. 11k Configuration
• Feature enabled by default on a newly created SSID
• Dual band neighbor list selectively enable for Apple devices that supportive Adaptive capability

120. 11v Configuration
• 802.11v features are enabled by default on a newly created SSID

121. Show client detail

122. Fast lane on WLC
• Enabled from the QoS tab
of WLAN configuration
• Enabling the first WLAN
for Fastlane also enables
AutoQoS (best QoS config)
globally
• Application Visibility is
semi-independent

123. Fast lane
• Enabling Fastlane:
• Configures best QoS globally
• Sets the WLAN for Platinum
• Sets WMM to Required
• (Notice AV is still disabled)

124. Fast lane
• Enabling Fastlane enables best QoS config
globally:
• Platinum profile sets Max Priority to voice (UP
6), non-WMM and multicast to BE, 802.1p
disabled, bandwidth contracts disabled
• EDCA profile is set to Fastlane

125. Fast lane
• Enabling Fastlane enables
best QoS config globally:
• ACM is enabled on both
bands (load-based), with
max RF bandwidth 50%
and roaming bandwidth to
6%
• Expedited bandwidth is
enabled

126. Fast lane
• Enabling Fastlane enables
best QoS config globally:
• DSCP is trusted upstream
(instead of UP)
• DSCP to UP map is
configured as per IETF
recommendations (“well-
known” DSCP values
mapped to IETF-
recommended values,
“unexpected” DSCP values
mapped to BE

127. Fast lane
• When Fastlane is enabled on
a WLAN, enabling AV
automatically applies the
AUTOQOS-AVC-PROFILE

128. Fast lane
• As long as Fastlane is enabled, you cannot (and should not) change the AVC
Profile (you can disable/enable AV, but not change the AVC profile)

129. 1