SDA-cisco: Wireless Integration and OTT (Over The Top)

Home » Blog » SDN » SDA Software Defined Access » SDA-cisco: Wireless Integration and OTT (Over The Top)

SDA-cisco: Wireless Integration and OTT (Over The Top)

19.02 2024 | by massimiliano

La tecnologia Cisco SDA (Software Defined Access) con DNA Center software nasce per un sistema di orchestrazione in termini di […]



La tecnologia Cisco SDA (Software Defined Access) con DNA Center software nasce per un sistema di orchestrazione in termini di Automation (NCP for wired and wireless services), Assurance (data-collectors NDP) ed Identity Services (ISE for SGT groups).

La rete wireless trova il suo punto di forza attraverso il sistema centralizzato WLC (Wireless Lan Controller) che permette un network overlay mediante tunnel CAPWAP tra esso e gli Access-Point, un WLC mobility anchor (L3 roaming across campus) ed un Foreign Anchor per Segmentation Traffic Guest 

SD-Access Wireless architecture è costituita da un Control Plane ed un Data Plane, rappresentati nei paragrafi seguenti.

SDA Wireless Architecture Control Plane

Il Control Plane si basa sul protocollo LISP Map Server/Resover; questo significa:

  • Un Database che traccia ogni EndPoint-ID verso il Fabric Edge (RLOC Route Locator) in grado di supportare multipli tipi di EID quali IPv4 /32, IPv6 /128 e MAC /48
  • La ricezione di prefix per la registrazione di wireless client dal Fabric mode WLC (Fabric Enabled WLC generalmente colocato al di fuori della Fabric SDA)
  • Aggiornamento di Fabric Edge, Border Node per il wireless client mobility e le informazioni RLOC (posizione)

Il WLC è sempre responsabile per la configurazione/image di un AP, radio resource management (RRM) e client session management e roaming.

Interagisce con il DB Host Tracking Control-Plane per la registrazione di un client wireless associando poi il SGT e L2-VNI.

Il WLC quindi è integrato con il protocollo LISP (Control Plane Management)

Il Fabric mode WLC è responsabile di:

  • Wireless client MAC address usato come EID
  • La VN è di fatto un Layer-2 VNID mappata con un Vlan-Id a livello Fabric Edge
  • Necessità di essere collocato nello stesso site dove presente l’Access-Point di riferimento (latency tra AP e WLC deve essere < 20 ms).

SDA Wireless Architecture Data Plane

La componente Data Plane permette un overlay con un Anycast GW (streched subnet) ed il trasporto gerarchico di micro-segmentation a partire dal Fabric Edge.

Un tunnel VXLAN si crea tra l’Access Point ed il Fabric Edge (Enabled AP) con encapsulation del SSID.

Il Fabric Edge è responsabile:

  • Identificare l’endpoint
  • Registrare l’indirizzo IP dell’endpoint con il Control Plane Node
  • Provvede al servizio Layer 3 VNID per il wireless client
  • Automatizza l’onboarding dell’AP e crea un tunnel VXLAN tra esso e l’AP
  • Provvede alla configurazione di un anycast gateway (SVI-L3) per l’endpoint.

Quindi:

  • Fabric mode AP ha una configurazione di tipo locale e pertanto necessità di essere direttamente collegato al Fabric Edge (oppure prevede un Extended Node)
  • il CAPWAP tunnel è instaurato sino al WLC attraverso la Fabric SDA come trasporto
  • Per il Fabric enabled SSID, gli AP convertono il traffico 802.11 in 802.3 encapsulandolo nel tunnel VXLAN con i valori di VNI e SGT dell’endpoint
  •  La trasmissione del traffico client si basa su una tabella registrata a livello WLC; il next-hop è sempre il VXLAN DST.
  • L’AP applica specifiche policy wireless quali il SSID, AVC, QoS, etc.

SDA Wireless Workflow Onboarding

Adding WLC to Fabric

  1. In DNAC provisionare il WLC ed inserirlo a livello di Fabric Site
  2. Fabric configuration è inserita (pushing) al WLC; il WLC diventa Fabric Aware. Stabilire credenziali compatibili per una sicura connessione tra il WLC ed il Control Plane Node.

AP INFRA_VN

3. INFRA_VN è utilizzata per l’onboarding dell’Access-Point (AP) in SDA Fabric overlay (la INFRA-VN è mappata in GRT)

4. AP Pool Type: in modo automatico viene configurato lato Fabric Edge e WLC

5. Layer-2 Extension: inizializza il servizio L2 LISP.

AP JOIN

6. La configurazione dell’AP pool eseguita in DNAC avviene in INFRA_VN e pre-provisiona una macro configurazione in tutti i Fabrid Edge Node

7. L’onboarding di un AP avviene solo se è settato il valore “No Authentication template” in DNAC Cisco (se qualsiasi altro authentication template fosse settato, è necessario una assegnazione statica per mappare l’AP’s switch-ports al corretto IP Pool).

Client Onboarding

Il Wireless Pool assegnato per i client wireless in DNAC, è quindi associato alla VN durante l’host onboarding phase (L2 LISP necessità di essere enabled).

SSID è mappato al Pool, il segmento WLAN viene abilitato ed il client viene visto appartenente al SSID.

Layer-2 Extension deve essere settato in ON per abilitare L2 LISP e L2 Extension client Pool/Subnet.

Cisco Wireless Network Legacy

In un ambiente di Campus il collegamento di Access-Point Cisco che permettono l’accesso in rete ad host mobili, avviene per mezzo di logici tunnel che terminano ad un concentratore WLC (Wireless Lan Controller) consentendo una piena gestione in termini di provisioning e security di gruppi di utenti.

I tunnel sono di due tipi:

  • CAPWAP: il traffico generato da un user viene trasportato via tunnel capwap a livello 3 (network)
    • In questo caso si rende necessario la configurazione di una interfaccia di gestione (AP-manager) a livello 3 per il controllo degli AP e la configurazione di una interfaccia di management per il traffico layer 2.
  • LWAPP: il traffico viene incapsulato sia in modalità layer 2 (data-link) e layer 3 (network) mode

Si riporta per completezza di informazioni le caratteristiche dei due tunnel, che ricordiamo in fase di discovery process, questi sono assolutamente trasparenti all’end-user.

FeaturesLWAPPCAPWAP
L2 mode supportYesNo
SecurityAES-CCMPAES-CCMP with DTLS protocols
Control Plane EncryptionYesYes
Data Plane EncryptionNoDepending from hardware (5500 only)
Fragmentation and reassemblyIP fragmentationCAPWAP fragmentation
MTU discoveryNoYes
Protocol control port122225246
Protocol data port122235247

Il processo di comunicazione segue questi steps:

Discovery: questo processo prevede una trasmissione in broadcast da parte di AP mediante un “discovery request” ed il WLC risponde con un “discovery responce”; questo permette un’associazione tra AP e WLC;

Image Download: qualora il WLC annunciasse una versione di software superiore a quella di un AP, questi una volta unitosi al concentratore possono fare richiesta di un “update firmware”; l’AP cosi ha la possibilità di eseguire un download della release ed una volta completata entra nello stato di reset, installa la nuova release e riprova ad associarsi al WLC;

Configuration AP: con l’aggiornamento eseguito ed allineato al WLC, l’AP fa richiesta di essere configurato dal controller; questo avviene per mezzo di una trasmissione di “current configuration” da parte dell’Access-Point e di una risposta di “updated configuration” da parte del WLC;

Run: sia l’AP che il WLC lavorano nello stato di “run”

SDA Wireless OTT (Over The Top)

L’architettura SDA Wireless OTT risulta essere in differenti modelli quali il CUWN (Cisco Unified Wireless Network), il FlexConnect e il Mixed.

La modalità CUWN OTT (Over The Top), è indicata di seguito

  • CAPWAP tunnel for Control and Data Plane
  • SDA Fabric is only a transport
  • Supported on any WLC/AP software and hardware
  • Only centralized mode is supported

Nessun vantaggio viene offerto dalla soluzione SD-Access Fabric.

Tradizionali tunnel CAPWAP wireless OTT sono presenti on-top rispetto alla Fabric SDA.

Il WLC è collegato ad un Border Node, il quale annuncia la rete di management dove è collegato, verso la Fabric SDA.

Il Border Node, inoltre, annuncia Fabric Prefix per AP verso la parte outside Fabric

SDA Wireless Workflow OTT

Gli APs in overlay sono registrati/autenticati nello stesso modo di un wired client.

Appena un AP endpoint autenticato e con IP address assegnato via DHCP server, il nodo Fabric Edge perfoma due compiti:

  • Inserisce l’indirizzo MAC address e l’IP address assegnato al suo database
  • Registra l’endpoint MAC ed IP addressess con il Control Plane (CP) e questa registrazione è fatta attraverso il protocollo LISP.

  • Il valore SSID è mappato ad una Vlan/Subnet a livello WLC utilizzando la dynamic interface
  • Il Border Node annuncia la rete wireless all’interno della Fabric

  • Un tunnel CAPWAP viene costruito tra AP e WLC
  • Se l’AP si trova nella INFRA_VN (GRT), il traffico attraversa il tunnel CAPWAP in underlay dall’AP verso il WLC (questo significa che non vi è nessun encapsulation VXLAN Fabric).
  • Il client wireless è autenticato ed onboarded dal WLC; in questo caso gli endpoint sono external alla Fabric.

Torna in alto