Guide de déploiement du contrôleur sans fil de la gamme Cisco 8500

Introduction

Ce document présente le contrôleur LAN sans fil (WLC) Cisco 8500 et fournit des directives générales pour son déploiement. Le présent document a pour objet :

• Présentation du WLC Cisco 8500 et de son déploiement dans l'architecture unifiée Cisco.

• Mettre en surbrillance les principales fonctionnalités du fournisseur de services

• Fournir des recommandations et des considérations de conception spécifiques au contrôleur Cisco 8500.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Présentation du produit

Dans Cisco Unified Architecture, un point d'accès sans fil (AP) est déployé dans l'un des trois principaux modes afin de servir les clients sans fil :

• Mode local - Un point d'accès en mode local transmet tout le trafic au contrôleur (via CAPWAP), où le contrôleur gère le marquage des paquets et leur placement sur le réseau câblé.

• Mode FlexConnect - Le mode FlexConnect est principalement conçu pour prendre en charge les réseaux de succursales sans fil en permettant la commutation locale des données (avec prise en charge de la commutation centralisée au niveau du contrôleur), tandis que les points d'accès sont contrôlés et gérés via une connexion WAN par un contrôleur centralisé. Le flux de trafic d'un point d'accès FlexConnect peut emprunter le chemin le plus efficace, car l'administrateur a la flexibilité de configurer certains types de trafic à commuter localement, ou de le faire commuter par tunnel sur le contrôleur du site central. Pour plus d'informations sur la théorie des opérations FlexConnect, reportez-vous au Guide de conception H-Reap/FlexConnect et au Guide de déploiement Cisco Flex 7500.

• Mode pont - Un point d'accès en mode pont est configuré pour créer un réseau maillé sans fil où le câblage réseau câblé n'est pas disponible. Pour plus d'informations sur la théorie de fonctionnement du maillage, reportez-vous au Guide de conception et de déploiement du maillage.

Le contrôleur de la gamme Cisco 5500 et le contrôleur WiSM2 prennent en charge tous les modes de fonctionnement des points d'accès qui peuvent évoluer jusqu'à 500 et 1 000 points d'accès respectivement, et 7 000 et 15 000 clients sans fil respectivement. L'explosion du nombre de clients mobiles dans les entreprises grâce au BYOD (Bring Your Own Device), au déploiement de la technologie sans fil dans les applications stratégiques et à l'adoption du Wi-Fi dans les réseaux des fournisseurs de services permettant de nouveaux modèles commerciaux nécessitent que les réseaux sans fil offrent une évolutivité client supérieure, une résilience accrue et une mobilité IP transparente entre les réseaux cellulaires et Wi-Fi. Le logiciel Cisco Unified Wireless Network Version 7.3 répond à ces défis majeurs. La version 7.3 fournit le nouveau contrôleur sans fil de la gamme Cisco 8500 avec un nombre de clients hautement évolutif, une fonctionnalité haute disponibilité (HA) qui minimise les temps d'arrêt des contrôleurs en permettant le basculement de milliers de points d'accès à un contrôleur de secours, et des fonctionnalités de fournisseur de services telles que le point de passe certifié Wi-Fi (HS2.0) pour une connectivité publique sécurisée et le protocole IPv6 mobile proxy (PMIPv6) transparent. la mobilité entre le réseau cellulaire et le Wi-Fi.

Certains des attributs clés du contrôleur Cisco 8500 sont les suivants :

• Densité de clients élevée (64 000 clients dans 1 RU)

• Prise en charge de 6 000 points d'accès, de 6 000 groupes de points d'accès, de 2 000 groupes FlexConnect et d'un maximum de 100 points d'accès par groupe FlexConnect

• Prise en charge des VLAN 4096

• Prise en charge du suivi de 50 000 RFID et de la détection et du confinement de 24 000 points d'accès indésirables et de 32 000 clients indésirables

• HA avec commutation avec état AP en moins d'une seconde

• Prise en charge des points d'accès extérieurs

• Prise en charge de tous les modes de fonctionnement des points d'accès (local, FlexConnect, moniteur, Détecteur de code indésirable, Sniffer et Bridge)

• Mobilité transparente avec le réseau Packet Core avec mise en oeuvre de la norme MAG PMIPv6 (RFC 5213)

• Certifié de point de passe WFA (en cours - consultez le site WFA pour connaître l'état le plus récent)

• Itinérance rapide 802.11r

• Limite de débit bidirectionnelle des flux de trafic

• Flux vidéo pour flux multimédias

• Licence de droit d'utilisation (RTU) pour faciliter l'activation des licences et les opérations de licence en cours

Ce tableau présente en un coup d'oeil la comparaison des contrôleurs à grande échelle de Cisco :

	8500	7500	5500	WiSM2
Type de déploiement	Grand campus + Wi-Fi SP	Contrôleur de site central pour un grand nombre de branches distribuées sans contrôleur	Campus d'entreprise et filiale à service complet	Campus d'entreprise
Modes opérationnels	Mode local, FlexConnect, Mesh	FlexConnect uniquement	Mode local, FlexConnect, Mesh	Mode local, FlexConnect, Mesh
Échelle maximale	6 000 points d'accès 64 000 clients	6 000 points d'accès 64 000 clients	500 points d'accès 7 000 clients	1 000 points d'accès 15 000 clients
Plage de comptage AP	300 à 6 000 points d'accès	300 à 6 000 points d'accès	12 à 500 points d'accès	100 à 1 000 points d'accès
Licence	Droit d'utilisation (avec CLUF)	Droit d'utilisation (avec CLUF)	Basé sur CISL (inchangé)	Basé sur CISL (inchangé)
Connectivité	2 ports 10G	2 ports 10G	8 ports 1G	Connexions internes aux fonds de panier Catalyst
Alimentation	Double redondance CA/CC	Double redondant CA	CA (alimentation redondante en option)	Option d'alimentation redondante du châssis Catalyst CA/CC
Nombre maximal de groupes FlexConnect	2000	2000	100	100
Nombre maximal de points d'accès par groupe FlexConnect	100	100	25	25
Nombre maximal de points d'accès indésirables	24,000	24,000	2000	4000
Nombre maximal de clients non fiables	32,000	32,000	2500	5000
Nombre maximal de RFID	50,000	50,000	5000	10,000
Nombre maximal de points d'accès par groupe RRM	6000	6000	1000	2000
Groupes d'AP maximum	6000	6000	500	500
Groupes d'interfaces maximum	512	512	64	64
Nombre maximal d'interfaces par groupe d'interfaces	64	64	64	64
Nombre maximal de VLAN pris en charge	4096	4096	512	512
Nombre maximal de WLAN pris en charge	512	512	512	512
Clients FSR (Fast Secure Roaming) pris en charge*	64000	64000	14000	30000

* Nombre pris en charge de clients FSR de part et d'autre de cette plate-forme (plus de détails dans la section Considérations de conception sous Mobilité interplate-forme).

Spécifications du produit

Fiche technique

Reportez-vous à la fiche technique des contrôleurs de la gamme Cisco 8500.

Fonctionnalité de la plate-forme

Fonctionnalités non prises en charge actuellement sur la plate-forme de contrôleur 8500

Ces fonctionnalités ne sont pas actuellement prises en charge sur la plate-forme du contrôleur 8500 :

• Authentification locale (où le contrôleur agit en tant que serveur d'authentification)

• Serveur DHCP interne

• Invité filaire

• SXP TrustSec

Présentation du contrôleur Cisco 8500

Le contrôleur Cisco 8500 permet la redirection de console par défaut avec un débit en bauds 9600 simulant un terminal VT100 sans contrôle de flux. Le contrôleur 8500 a la même séquence de démarrage que les plates-formes de contrôleur existantes.

Comme pour toutes les autres plates-formes de contrôleur, le démarrage initial nécessite une configuration à l'aide du menu Wizard.

L'interface utilisateur graphique reste également identique aux contrôleurs précédents.

Fonctionnalités mises en évidence dans le contrôleur Cisco 8500

Évolutivité

Le WLC de la gamme Cisco 8500 offre une évolutivité de type fournisseur de services dans un petit format 1RU. Il permet aux fournisseurs de services de consolider plusieurs contrôleurs et de réduire les coûts d'exploitation avec un point de contrôle et de gestion unique pour un maximum de 64 000 clients répartis sur 4 096 VLAN et 6 000 points d'accès.

Prise en charge du mode local

La plate-forme du contrôleur Cisco 8500 prend en charge les points d'accès en mode local, Bridge et FlexConnect. Le contrôleur 8500 prend en charge tous les modèles de points d'accès pris en charge par un contrôleur de la gamme Cisco 5500 exécutant le logiciel version 7.3.

Haute disponibilité - Commutation avec état AP

Dans le modèle traditionnel de basculement de point d'accès du contrôleur, une adresse IP unique pour le contrôleur principal, secondaire et tertiaire a été configurée sur chaque point d'accès. Lorsque le contrôleur actif du point d'accès est tombé en panne, le point d'accès est passé à l'état de découverte, et un processus de jointure complet à un nouveau contrôleur était requis.

Le nouveau modèle AP SSO (High Availability AP Stateful Switchover) fournit une redondance Box-to-Box avec un contrôleur à l'état Actif et un second contrôleur à l'état Hot Standby où il surveille l'état de santé du contrôleur Actif via un port redondant (HA).

La configuration sur le contrôleur actif est synchronisée avec le contrôleur de secours via le port redondant. En HA, les deux contrôleurs partagent le même ensemble de configuration, y compris l'adresse IP de l'interface de gestion. En outre, l'état CAPWAP de l'AP (pour les AP dans l'état RUN) est également synchronisé. Par conséquent, les points d'accès ne passent pas à l'état Découverte lorsque le contrôleur actif échoue. Ce modèle réduit le temps d'arrêt dans le cas d'une panne de boîtier à moins de trois secondes et jusqu'à trois secondes dans le cas de problèmes de connectivité réseau en amont (par exemple, perte de passerelle).

Remarque : La fonctionnalité HA/AP SSO est également prise en charge sur les plates-formes 5500, 7500 et WiSM-2 exécutant le code de version 7.3.

Une référence de contrôleur de secours dédiée (AIR-CT8510-HA-K9) est disponible et prend en charge le fonctionnement de secours pour un maximum de 6 000 points d'accès lorsqu'ils sont connectés au contrôleur principal 8500 comme décrit ici.

Pour plus d'informations sur la fonctionnalité HA, reportez-vous au Guide de déploiement de la haute disponibilité (AP SSO).

Nouveau modèle de licence

La version 7.3 introduit également un nouveau modèle de licence “ Right to Use ” (RTU) pour les contrôleurs Cisco Flex 7500 et Cisco 8500. Il s'agit d'un système de licence basé sur l'honneur qui permet d'activer les licences AP sur les contrôleurs pris en charge avec l'acceptation du contrat de licence utilisateur final (CLUF) Le système de licence RTU simplifie l'ajout, la suppression ou le transfert de licences d'ajout AP sur le terrain en éliminant la nécessité d'une étape supplémentaire, d'outils supplémentaires ou d'un accès à Cisco.com pour les transferts de licence PAK ou de retour de matériel.

Les licences d'évaluation sont valables 90 jours. Des notifications seront générées afin de vous informer d'acheter une licence permanente à partir de 15 jours avant l'expiration de la licence d'évaluation.

Si vous avez plus de points d'accès connectés que ceux achetés, le statut de licence du contrôleur suivi dans l'infrastructure Cisco Prime 1.2 devient rouge.

Pour plus d'informations sur le modèle de licence RTU, référez-vous au document Licence de droit d'utilisation (RTU) de Cisco.

Types de licences

Voici les trois types de licence :

• Licences permanentes - Le nombre de points d'accès est programmé dans NVM par la fabrication ; on parle également de licences de nombre de points d'accès de base. Ce type de licence n'est pas transférable.

• Adder Access Point Count Licenses - Vous pouvez l'activer en acceptant le CLUF. Les licences supplémentaires sont transférables.

• Licences d'évaluation - Utilisées pour les périodes de démonstration et/ou d'essai, sont valides pendant 90 jours, et par défaut à la pleine capacité du contrôleur. La licence d'évaluation peut être activée à tout moment à l'aide d'une commande CLI.

Commandes CLI de licence :

(8500) >show license ?
               
all            Displays All The License(s).
capacity       Displays License currently used by AP
detail         Displays Details Of A Given License.
evaluation     Displays Evaluation License(s).
expiring       Displays Expiring License(s).
feature        Displays License Enabled Features.
in-use         Displays License That Are In-Use.
permanent      Displays Permanent License(s).
statistics     Displays License Statistics.
status         Displays License Status.
summary        Displays Brief Summary Of All License(s).

Mobilité IP transparente pour intégration de Packet Core avec le WLC en tant que MAG PMIPv6

Proxy Mobile IPv6 (PMIPv6) est un protocole de gestion de la mobilité basé sur le réseau IETF standard permettant de créer des réseaux centraux mobiles communs et indépendants de la technologie d'accès (spécifiés dans RFC 5213 ). Il prend en charge diverses technologies d'accès telles que les architectures d'accès WiFi, WiMAX, 3GPP et 3GPP2. PMIPv6 offre les mêmes fonctionnalités que Mobile IP sans aucune modification de la pile de protocoles TCP/IP de l'hôte. Avec PMIPv6, l'hôte peut modifier son point de connexion à Internet sans modifier son adresse IP. Cette fonctionnalité est mise en oeuvre par le réseau, qui est chargé de suivre les mouvements de l'hôte et d'initier la signalisation de mobilité requise en son nom.

L'architecture PMIPv6 définit ces entités fonctionnelles :

• Ancrage de mobilité locale (LMA)

• Passerelle d'accès mobile (MAG)

• Noeud mobile (MN)

• Réseaux cellulaires (CN)

La LMA est l'élément central de l'architecture PMIPv6. C'est le point d'affectation et d'annonce des adresses IP MN. La LMA établit un tunnel bidirectionnel vers le contrôleur (version 7.3 ou ultérieure) et fonctionne comme un MAG PMIPv6. Le MAG (c'est-à-dire le contrôleur) est en interface avec la LMA et assure la gestion de la mobilité pour le compte du client sans fil (MN).

Un autre périphérique du réseau (défini comme CN) pourra atteindre le client sans fil (MN) via son adresse de domicile via la LMA, qui annonce l'accessibilité du préfixe du MN au CN.

Pour plus d'informations sur la fonctionnalité de mobilité IP transparente PMIPv6, reportez-vous au Guide de configuration IPv6 mobile du proxy sans fil Cisco.

L'écran paramètres PMIPv6 généraux s'affiche ici sur un contrôleur 8500 :

Remarque : La fonctionnalité PMIPv6 MAG est actuellement disponible uniquement pour les plates-formes de contrôleur Cisco 8500, 5500 et WiSM-2.

Remarque : la version 7.3 prend en charge la communication avec jusqu'à 10 LMA et 40 000 clients PMIPv6.

WiFi Passpoint 1.0 (ou HotSpot 2.0)

Passpoint (HotSpot2.0) repose sur trois piliers technologiques : Authentification IEEE 802.11u, WPA2-Enterprise et EAP.

Le Passpoint certifié Wi-Fi (HS2.0) assure une connexion simple et sécurisée aux points d'accès Wi-Fi publics pour le déchargement des données cellulaires, ce qui garantit un coût total d'acquisition réduit.

La prise en charge de HS2.0 est disponible sur les modes de fonctionnement des points d'accès suivants :

• Point d'accès en mode local

• Point d'accès en mode pont (point d'accès racine uniquement)

• FlexConnect ; Commutateur central et mode de commutation local

Remarque : Les fonctionnalités Passpoint sont disponibles dans la version 7.3 du logiciel pour toutes les plates-formes de contrôleur et les points d'accès CAPWAP qui sont capables d'exécuter la version 7.2 (sauf Office Extend AP600).

Pour plus d'informations sur la configuration de ces fonctionnalités, reportez-vous au Guide de configuration du contrôleur de réseau local sans fil Cisco, version 7.3.

Ces images affichent différentes options de configuration 802.11u :

Prise en charge de VLAN 4k au niveau du contrôleur

Afin de répondre aux exigences d'évolutivité du fournisseur de services, la version 7.3 du logiciel étend le nombre de VLAN pris en charge à 4096.

Cela permet d'activer le service basé sur l'emplacement par interface/VLAN car le nombre maximal d'interfaces a également été augmenté de 512 à 4096 (4095 + interface de gestion) et les VLAN associés.

Remarque : le VLAN 4k est pris en charge uniquement sur les contrôleurs 8500 et Flex7500.

Alimentation CC double redondante

Afin de répondre aux besoins en alimentation CC du fournisseur de services, le modèle 8500 peut être commandé dans une configuration d'alimentation CC double redondante de 48 V.

Plage de tension d'entrée : Minimum : -40 VCC et maximum : -75 VCC

Remarque : Le contrôleur 8510 alimenté en CC n'est livré avec aucun des cordons d'alimentation spécifiques au pays. Pour les unités alimentées en CC, vous devez utiliser votre propre câble 12G et vous connecter au module d'alimentation CC.

Autres fonctions importantes orientées fournisseur de services

Ces autres fonctions importantes orientées fournisseur de services ont été introduites dans les WLC Cisco avec le code 7.3 :

• DHCP central pour commutation locale FlexConnect

• Étiquetage VLAN sur la gestion CAPWAP (aucune restriction CAPWAP au VLAN natif)

• Améliorations de la comptabilité RADIUS

• Basculement de l'authentification MAC vers l'authentification 802.1x

• FlexConnect avec 802.11u/hotspot pour le délestage du réseau mobile

• Itinérance rapide 802.11r basée sur des normes

• Limitation du débit bidirectionnel (limites de débit par utilisateur avec une granularité supérieure)

• VideoStream pour flux multimédias (en mode local)

• Commutation centrale basée sur VLAN FlexConnect

• Tunnellisation fractionnée FlexConnect

• Prise en charge FlexConnect WGB/UWGB

• Client PPPoE sur un point d'accès

• Prise en charge NAT/PAT sur un point d'accès

Certaines des nouvelles fonctionnalités associées au fournisseur de services sont intégrées au code 7.4 :

• Prise en charge LAG (basculement de liaison en moins d'une seconde)

• Ajout de 6 options supplémentaires pour l'attribut RADIUS Called-Station-ID envoyé :

  • ap-group-name

  • ap-location

  • ap-name

  • ap-name-ssid

  • flex-group-name

  • vlan-id

• Ajout de six (6) choix supplémentaires pour l'option 82 envoyée à un serveur DHCP :

  • ap-group-name

  • ap-location

  • apname-vlan-id

  • ap-ethmac-ssid

  • flex-group-name

  • apmac-vlan-id

• Serveurs RADIUS principal et secondaire configurables au niveau du groupe FlexConnect ; avec une limite allant jusqu'à 2x le nombre de FlexGroups pris en charge sur la plate-forme (c'est-à-dire jusqu'à 4 000 serveurs RADIUS sur un contrôleur 8500)

• Plusieurs améliorations de gestion des contrôleurs (processus de mise à niveau de haute disponibilité plus rapide, transferts de fichiers SFTP, amélioration de la haute disponibilité des ports de service, contrôle TACACS+ granulaire)

• QoS en amont (limitation du débit client rép)

• Équilibrage de charge du client AP à l'aide de l'utilisation Ethernet AP

• Mode proxy DHCP par interface VLAN

• Le WLC commandé avec la référence HA peut être utilisé comme secondaire dans un scénario de basculement « N+1 » (prenant en charge la capacité de la plate-forme complète)

• La radio AP peut être configurée pour accepter uniquement les clients 802.11n (« Non » à confondre avec « Champ vert »)

Considérations de conception

Multidiffusion

La prise en charge de la multidiffusion est activée dans le contrôleur Cisco 8500 et son fonctionnement est comparable à celui des contrôleurs de la gamme Cisco 5500, mais avec ces restrictions :

1. Si tous les points d'accès du contrôleur 8500 sont configurés en mode local, Multicast-Multicast sera le mode par défaut et toutes les fonctionnalités sont prises en charge (par exemple, VideoStream). Ce scénario est identique à un contrôleur 5500.

2. Si les points d'accès sont configurés comme un mélange de mode local et de mode FlexConnect :

   • Si IPv6 est requis sur les AP FlexConnect :

     1. Désactivez le mode de multidiffusion globale et passez en mode de multidiffusion monodiffusion.

     2. IPv6/GARP fonctionne sur les points d'accès FlexConnect et en mode local, mais les données multidiffusion et la fonctionnalité VideoStream sont désactivées.

   • IPv6/GARP n'est pas requis sur les points d'accès FlexConnect :

     1. Remplacez le mode par Multicast-Multicast et Enable Global Multicast Mode et IGMP/MLD Snooping.

     2. IPv6, GARP, Multicast Data et VideoStream sont pris en charge sur les points d'accès en mode local.

Remarque : Multicast-Unicast est requis pour le fonctionnement IPv6 sur les points d'accès FlexConnect (pour la remise de paquets RA et NS).

Mobilité interplate-forme

Dans la plupart des réseaux, la prise en charge de contrôleurs sans fil hétérogènes dans un groupe de mobilité est généralement requise. Il peut s'agir d'instances de mise à niveau, de migration ou de sauvegarde avec une configuration aussi hétérogène. Dans ces cas, le nombre de clients Fast Secure Roaming (FSR) pris en charge doit être pris en compte dans la conception du réseau. Par exemple, considérez un grand réseau sans fil composé d'une combinaison des plates-formes WLC suivantes, toutes configurées dans le même groupe de mobilité :

• 8500 (prend en charge FSR pour 64 000 clients)

• 7500 (prend en charge FSR pour 64 000 clients)

• WiSM2 (prend en charge FSR pour 30 000 clients)

• 5500 (prend en charge FSR pour 14 000 clients)

In this scenario:

1. 64 000 clients authentifiés peuvent circuler en toute transparence entre les années 750 et 8500.

2. 30 000 clients authentifiés peuvent circuler en toute transparence entre plusieurs contrôleurs WiSM2 ou entre un contrôleur WiSM2 à 8500 ou 7500.

3. 14 000 clients authentifiés peuvent se déplacer en toute transparence entre plusieurs contrôleurs 500 ou entre un 5 500 et un WiSM2, 8 500 ou 7 500.

Les clients sans fil dépassant ces limites nécessiteront une réadhésion après le délai d'expiration de la session.

Authentification EAP locale

La base de données d'authentification EAP locale ne s'adapte pas aux 64 000 clients pris en charge sur le contrôleur 8500. Bien que la fonctionnalité permettant au 8500 d'agir en tant que serveur d'authentification n'ait pas été désactivée dans l'interface utilisateur, son objectif est uniquement de prendre en charge la configuration des tests et non pour le déploiement de production.

Agrégation de liaisons (LAG)

LAG sur les interfaces 2x10G est pris en charge dans les versions 7.4 et ultérieures du logiciel. La configuration du LAG permet une opération de liaison active-active avec redondance de liaison de basculement rapide.

Remarque : La liaison 10G active supplémentaire ne modifie pas le débit total du réseau du contrôleur.

Informations connexes

• Présentation de la solution Wi-Fi pour les prestataires de services
• Infrastructure Cisco Prime 1.2
• Logiciel CUWN version 7.3
• Support et documentation techniques - Cisco Systems