思科8500系列無線控制器部署指南
目錄
簡介
本檔案介紹Cisco 8500無線LAN控制器(WLC),並提供其部署的一般准則。本文旨在:
-
概述Cisco 8500 WLC及其在思科統一架構中的部署。
-
突出顯示服務提供商的主要功能
-
提供特定於Cisco 8500控制器的設計建議和注意事項。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
產品概觀
在思科統一架構中,無線接入點(AP)部署為以下三種主要模式之一,以便為無線客戶端提供服務:
-
本地模式 — 本地模式AP將所有流量通道化到控制器(通過CAPWAP),由控制器處理標籤資料包並將其放在有線網路上。
-
FlexConnect模式 — FlexConnect模式主要設計為通過允許資料在本地交換(在控制器上支援集中交換)來支援無線分支網路,同時通過集中式控制器通過WAN連線控制和管理AP。來自FlexConnect AP的流量流可以採用最有效的路徑,因為管理員可以靈活地配置某些型別的流量在本地交換,或者使其通過隧道在中心站點的控制器上進行集中交換。有關FlexConnect操作理論的詳細資訊,請參閱H-Reap/FlexConnect設計手冊和Cisco Flex 7500部署指南。
-
網橋模式 — 網橋模式下的AP被配置為建立沒有有線網路佈線的無線網狀網路。有關網格操作理論的詳細資訊,請參閱網格設計和部署指南。
Cisco 5500系列控制器和WiSM2控制器都支援各種模式的AP操作,分別擴展到500和1000個AP,分別擴展到7000和15,000個無線客戶端。企業中移動客戶端的爆炸性增長(通過自帶裝置(BYOD)來實現)、關鍵任務應用中的無線部署,以及在服務提供商網路中採用Wi-Fi以支援新的業務模式,要求無線網路提供更高的客戶端規模、更大的恢復能力以及蜂窩網路和Wi-Fi網路之間的無縫IP移動性。思科統一無線網路軟體7.3版可解決這些主要難題。7.3版提供了全新的Cisco 8500系列無線控制器,具有高度可擴展的客戶端計數、高可用性(HA)功能(通過使數千個接入點能夠亞秒級故障轉移至備用控制器,從而最大程度地減少控制器停機時間),以及服務提供商功能(例如Wi-Fi認證的Passpoint(HS2.0),可實現安全的公共連線,以及代理移動IPv6(PMIPv6),可確保蜂窩和Wi-Fi之間的無縫移動。
Cisco 8500控制器的某些關鍵屬性包括:
-
高客戶端密度(在1 RU中有64,000個客戶端)
-
支援6000個AP、6000個AP組、2000個FlexConnect組,每個FlexConnect組最多支援100個AP
-
支援4096 VLAN
-
支援50,000個RFID跟蹤,檢測和遏制多達24,000個欺詐AP和多達32,000個欺詐客戶端
-
具有次秒級AP狀態切換的高可用性
-
室外AP支援
-
支援所有AP操作模式(本地、FlexConnect、監控、欺詐檢測器、監聽器和網橋)
-
通過PMIPv6 MAG實施實現資料包核心網路的無縫移動性(RFC 5213)
-
WFA Passpoint認證(正在進行 — 檢查WFA網站
,瞭解最新狀態) -
802.11r快速漫遊
-
流量流的雙向速率限制
-
適用於富媒體流的影片流
-
使用權(RTU)許可,簡化許可證啟用和持續許可操作
下表一目瞭然地顯示了思科大規模控制器比較:
| 8500 | 7500 | 5500 | WiSM2 | |
|---|---|---|---|---|
| 部署型別 | 企業大型園區+ SP Wi-Fi | 集中站點控制器,適用於大量分散式、無控制器的分支機構 | 企業園區和全面服務分支機構 | 企業園區 |
| 操作模式 | 本地模式、FlexConnect、網格 | 僅限FlexConnect | 本地模式、FlexConnect、網格 | 本地模式、FlexConnect、網格 |
| 最大規模 | 6000個AP 64,000客戶端 | 6000個AP 64,000客戶端 | 500個AP 7000客戶端 | 1000個AP 15,000客戶端 |
| AP計數範圍 | 300-6k個接入點 | 300-6k個接入點 | 12-500個接入點 | 100-1000個AP |
| 授權 | 使用權(使用EULA) | 使用權(使用EULA) | 基於CISL(未更改) | 基於CISL(未更改) |
| 連線 | 2個10G埠 | 2個10G埠 | 8x1G埠 | 與Catalyst背板的內部連線 |
| 電源 | AC/DC雙冗餘 | AC雙冗餘 | AC(冗餘PSU選項) | AC/DC Catalyst機箱冗餘PSU選項 |
| FlexConnect組的最大數量 | 2000 | 2000 | 100 | 100 |
| 每個FlexConnect組的最大AP數量 | 100 | 100 | 25 | 25 |
| 最大欺詐AP數管理 | 24,000 | 24,000 | 2000 | 4000 |
| 惡意客戶端管理的最大數量 | 32,000 | 32,000 | 2500 | 5000 |
| RFID的最大數量 | 50,000 | 50,000 | 5000 | 10,000 |
| 每個RRM組的最大AP數 | 6000 | 6000 | 1000 | 2000 |
| 最大AP組數 | 6000 | 6000 | 500 | 500 |
| 最大介面組數 | 512 | 512 | 64 | 64 |
| 每個介面組的最大介面數 | 64 | 64 | 64 | 64 |
| 支援的最大VLAN數 | 4096 | 4096 | 512 | 512 |
| 支援的最大WLAN | 512 | 512 | 512 | 512 |
| 支援的快速安全漫遊(FSR)客戶端* | 64000 | 64000 | 14000 | 30000 |
*支持的來回至此平台的FSR客戶端數量(更多詳情請參閱平台間移動性下的設計注意事項)。
產品規格
產品介紹
平台功能
8500控制器平台目前不支援的功能
8500控制器平台目前不支援以下功能:
-
本機驗證(其中控制器擔任驗證伺服器)
-
內部DHCP伺服器
-
有線訪客
-
TrustSec SXP
Cisco 8500控制器的外觀
預設情況下,思科8500控制器啟用控制檯重定向,波特率9600模擬無流量控制的VT100終端。8500控制器與現有控制器平台的開機順序相同。
與所有其他控制器平台一樣,初始啟動需要使用嚮導選單進行配置。
GUI也與先前的控制器相同。
思科8500控制器中突出顯示的功能
可擴充性
Cisco 8500系列WLC在小型1RU外形中提供服務提供商級別的可擴充性。它允許服務提供商通過單點控制和管理來整合多個控制器,降低運營成本。該單點控制和管理最多可以支援分佈在4096個VLAN和6000個AP上的64,000個客戶端。
本地模式支援
Cisco 8500控制器平台支援本地模式、網橋模式和FlexConnect模式AP。8500控制器支援運行軟體版本7.3的Cisco 5500系列控制器支援的所有AP型號。
高可用性 — AP狀態切換
在傳統的控制器AP故障轉移模型中,每個AP上配置了主控制器、輔助控制器和第三控制器的唯一IP地址。當AP的活動控制器關閉時,AP將進入發現狀態,並且需要新控制器的整個加入過程。
新推出的高可用性AP狀態切換(AP SSO)型號提供盒到盒冗餘,其中一個控制器處於活動狀態,另一個控制器處於熱備用狀態,通過冗餘(HA)埠監視活動控制器的運行狀況。
作用中控制器上的組態會透過備援連線埠同步到備用控制器。在HA中,兩個控制器共用相同組態,包括管理介面的IP位址。此外,AP的CAPWAP狀態(對於處於RUN狀態的AP)也會同步。因此,當活動控制器發生故障時,AP不會進入發現狀態。此模式將盒式故障情況下的停機時間減少到亞秒,在上游網路連線問題(例如網關丟失)的情況下減少到最多三秒。
注意:運行7.3版本代碼的5500、7500和WiSM-2平台也支援HA/AP SSO功能。
提供專用備用控制器SKU(AIR-CT8510-HA-K9),當連線到主8500控制器時,支援多達6000個AP的備用操作,如下所述。
有關HA功能的詳細資訊,請參閱高可用性(AP SSO)部署指南。
新許可模式
7.3版還為Cisco Flex 7500和Cisco 8500系列控制器引入了新的「使用權」(RTU)許可模式。這是一個基於榮譽的許可方案,允許在受支援的控制器上啟用AP許可證,同時接受終端使用者許可協定(EULA)。 RTU許可方案通過消除對Cisco.com的額外步驟、附加工具或訪問PAK許可證或退貨授權(RMA)傳輸的需要,簡化了新增、刪除或傳輸現場的AP附加許可證。
評估許可證的有效期為90天。系統將生成通知,通知您在評估許可證到期前15天開始購買永久許可證。
如果您連線的AP數超過購買的AP數,Cisco Prime基礎設施1.2中跟蹤的控制器的許可狀態將變為紅色。
有關RTU許可證型號的詳細資訊,請參閱思科使用權許可(RTU)文檔。
許可證型別
以下是三種許可證型別:
-
永久許可證 — AP計數由製造部門程式設計為NVM;這也稱為基本AP計數許可證。此類許可證不可轉讓。
-
Adder接入點計數許可證 — 您可以通過接受EULA來啟用。加法器許可證可以轉讓。
-
評估許可證 — 用於演示和/或試用期,有效期為90天,預設為控制器的全部容量。可使用CLI命令隨時啟用評估許可證。
許可證CLI命令:
(8500) >show license ?
all Displays All The License(s).
capacity Displays License currently used by AP
detail Displays Details Of A Given License.
evaluation Displays Evaluation License(s).
expiring Displays Expiring License(s).
feature Displays License Enabled Features.
in-use Displays License That Are In-Use.
permanent Displays Permanent License(s).
statistics Displays License Statistics.
status Displays License Status.
summary Displays Brief Summary Of All License(s).
適用於封包核心整合的無縫IP行動化(作為PMIPv6 MAG與WLC整合)
代理移動IPv6(PMIPv6)是IETF標準的基於網路的移動管理協定,用於構建與訪問技術無關的通用移動核心網路(在RFC 5213 
中指定)。 它支援各種接入技術,例如WiFi、WiMAX、3GPP和3GPP2型接入架構。PMIPv6啟用與移動IP相同的功能,無需修改主機的TCP/IP協定棧。使用PMIPv6,主機可以更改其到Internet的連線點,而無需更改其IP地址。此功能由網路實施,網路負責跟蹤主機的移動並代表主機啟動所需的移動信令。
PMIPv6架構定義了以下功能實體:
-
本機行動錨點(LMA)
-
行動存取閘道(MAG)
-
行動節點(MN)
-
行動網路(CN)
LMA是PMIPv6架構的核心元素。它是分配和通告MN IP地址的點。LMA建立到控制器(運行版本7.3或更高版本)的雙向隧道,並充當PMIPv6 MAG。MAG(即控制器)與LMA介面,並代表無線客戶端(MN)執行移動性管理。
網路上的其他裝置(定義為CN)將能夠通過LMA通過其家鄉地址到達無線客戶端(MN),LMA向CN通告該MN字首的可達性。
有關PMIPv6無縫IP移動功能的詳細資訊,請參閱思科無線代理移動IPv6配置指南。
您可以在此處看到8500控制器上的常規PMIPv6設定螢幕:
註:PMIPv6 MAG功能當前僅適用於Cisco 8500、5500和WiSM-2控制器平台。
注意:7.3版支援與最多10個LMA和40,000個PMIPv6客戶端的通訊。
WiFi Passpoint 1.0(或HotSpot 2.0)
Passpoint(HotSpot2.0)有三大技術支柱:IEEE 802.11u、WPA2-Enterprise和基於EAP的身份驗證。
Wi-Fi認證Passpoint(HS2.0)可確保簡單而安全地連線到公共Wi-Fi熱點以解除安裝蜂窩資料,從而確保降低總擁有成本。
以下AP操作模式支援HS2.0:
-
本地模式AP
-
網橋模式AP(僅根AP)
-
FlexConnect;中央交換機和本地交換模式
注意:Passpoint功能在軟體版本7.3中提供,適用於能夠運行7.2版本的所有控制器平台和CAPWAP AP(Office Extend AP600除外)。
如需設定這些功能的詳細資訊,請參閱思科無線LAN控制器組態設定指南7.3版。
這些影象顯示各種802.11u配置選項:
控制器上的4k VLAN支援
為了滿足服務提供商的可擴充性要求,7.3軟體版本將支援的VLAN數量擴展到了4096。
由於最大介面數也從512增加到4096(4095 +管理介面)和關聯的VLAN,因此這支援每個介面/VLAN基於位置的服務。
註:只有8500和Flex7500控制器支援4k VLAN。
雙冗餘直流電源
為了滿足服務提供商的直流電源要求,8500可以在雙冗餘–48V直流電源配置中訂購。
輸入電壓範圍:最小:-40VDC和最大值:-75直流伏
注意:直流供電的8510控制器不隨隨附任何國家/地區特定的電源線。對於直流供電裝置,您應該使用自己的12G電線並連線到直流電源。
面向服務提供商的其他重要功能
以下其他面向服務供應商的重要功能已在Cisco WLC中以7.3代碼引入:
-
適用於FlexConnect本地交換的中央DHCP
-
CAPWAP管理上的VLAN標籤(對本徵VLAN沒有CAPWAP限制)
-
RADIUS計費增強功能
-
MAC身份驗證故障轉移到802.1x身份驗證
-
搭配802.11u/熱點的FlexConnect,用於行動網路分流
-
基於標準的802.11r快速漫遊
-
雙向速率限制(具有較高粒度的每使用者吞吐量限制)
-
適用於富媒體流的VideoStream(在本地模式下)
-
FlexConnect VLAN型中央交換
-
FlexConnect分割通道
-
FlexConnect WGB/UWGB支援
-
AP上的PPPoE客戶端
-
AP上的NAT/PAT支援
一些與Service Provider相關的新功能整合到7.4代碼中:
-
LAG支援(次秒鏈路故障切換)
-
為已傳送的Called-Station-ID RADIUS屬性增加了6個選項:
-
ap-group-name
-
ap-location
-
ap-name
-
ap-name-ssid
-
flex-group-name
-
vlan-id
-
-
為傳送到DHCP伺服器的Option-82新增了六(6)個選項:
-
ap-group-name
-
ap-location
-
apname-vlan-id
-
ap-ethmac-ssid
-
flex-group-name
-
apmac-vlan-id
-
-
可在FlexConnect組級別配置的主要RADIUS伺服器和輔助RADIUS伺服器;平台支援的FlexGroup數量最多為2倍(即8500控制器上最多4000個RADIUS伺服器)
-
多個控制器管理增強功能(更快的HA升級過程、SFTP檔案傳輸、服務埠HA增強功能、精細TACACS+控制)
-
上游QOS(雙目錄客戶端速率限制)
-
使用AP乙太網利用率的AP客戶端負載平衡
-
每個VLAN介面的DHCP代理模式
-
通過HA-SKU訂購的WLC可用作「N+1」故障切換場景中的輔助路由器(支援整個平台容量)
-
可以將AP無線電設定為僅接受802.11n客戶端(「不」與「綠域」相混淆)
設計注意事項
多點傳播
Cisco 8500控制器啟用了組播支援,其操作與Cisco 5500系列控制器類似,但有以下限制:
-
如果8500控制器上的所有AP均配置為本地模式,則組播將成為預設模式,且支援所有功能(例如VideoStream)。 此案例與5500控制器相同。
-
如果AP配置為混合使用本地模式和FlexConnect模式:
-
如果FlexConnect AP上需要IPv6:
-
禁用全域性組播模式並更改為組播單播模式。
-
IPv6/GARP將在FlexConnect和本地模式AP上運行,但組播資料和VideoStream功能將被禁用。
-
-
FlexConnect AP不需要IPv6/GARP:
-
將模式更改為Multicast-Multicast並啟用全域性組播模式和IGMP/MLD監聽。
-
本地模式AP支援IPv6、GARP、組播資料和VideoStream。
-
-
注意:在FlexConnect AP上執行IPv6操作需要組播單播(對於RA和NS資料包傳送)。
平台間移動
在大多數網路中,通常需要支援移動組中的異構無線控制器。可以使用此類異構配置進行升級、遷移或備份。在這些情況下,網路設計中應考慮支援的快速安全漫遊(FSR)客戶端的數量。例如,假設由以下WLC平台的混合組成的大型無線網路,所有這些平台都配置在同一移動組中:
-
8500(支援64,000個客戶端的FSR)
-
7500(支援64,000個客戶端的FSR)
-
WiSM2(支援30,000個客戶端的FSR)
-
5500(支援14,000個客戶端的FSR)
在此情況中:
-
64,000個經過身份驗證的客戶端可以在7500和8500之間無縫地來回漫遊。
-
30,000個經過身份驗證的客戶端可以在多個WiSM2控制器之間或WiSM2到8500或7500控制器之間無縫地來回漫遊。
-
14,000個通過身份驗證的客戶端可以在多個5500控制器之間或5500到WiSM2、8500或7500控制器之間無縫地來回漫遊。
超過這些限制的無線客戶端需要在會話超時後重新加入。
本地EAP身份驗證
本地EAP身份驗證資料庫無法擴展到8500控制器上支援的64,000個客戶端。雖然尚未在使用者介面中禁用將8500用作身份驗證伺服器的功能,但它的用途只是支援測試設定,而不是用於生產部署。
連結彙總(LAG)
軟體版本7.4及更高版本支援跨2x10G介面的LAG。LAG配置允許具有快速故障切換鏈路冗餘的主用 — 主用鏈路操作。
注意:額外的活動10G鏈路不會更改控制器網路總吞吐量。
意見