SD-Access Cisco Wireless Integration and OTT (Over The Top) workflow

Home » Blog » Switching » Software-Defined » SD-Access and DNAC Cisco » SD-Access Cisco Wireless Integration and OTT (Over The Top) workflow

SD-Access Cisco Wireless Integration and OTT (Over The Top) workflow

20.06 2023 | by massimiliano

SD-Access Cisco Wireless Integration and OTT (Over The Top) workflow  Cisco SDA (Software Defined Access) con DNA Center software per […]


https://www.ingegnerianetworking.com/wp-content/uploads/2023/06/sda11-889.png

SD-Access Cisco Wireless Integration and OTT (Over The Top) workflow

 Cisco SDA (Software Defined Access) con DNA Center software per un sistema di orchestrazione in termini di Automation (NCP for wired and wireless services), Assurance (data-collectors NDP) ed Identity Services (ISE for SGT groups).

La rete wireless trova il suo punto di forza attraverso il sistema centralizzato WLC (Wireless Lan Controller) che permette un network overlay mediante tunnel CAPWAP tra esso e gli Access-Point, un WLC mobility anchor (L3 roaming across campus) ed un Foreign Anchor per Segmentation Traffic Guest.

SD-Access Wireless architecture è costituita da un Control Plane ed un Data Plane, rappresentati nei paragrafi seguenti.

 

SD-Access Wireless Architecture Control Plane

 

Il Control Plane si basa sul protocollo LISP Map Server/Resover; questo significa:

  • Un Database che traccia ogni EndPoint-ID verso il Fabric Edge (RLOC Route Locator) in grado di supportare multipli tipi di EID quali IPv4 /32, IPv6 /128 e MAC /48
  • La ricezione di prefix per la registrazione di wireless client dal Fabric mode WLC (Fabric Enabled WLC generalmente colocato al di fuori della Fabric SDA)
  • Aggiornamento di Fabric Edge, Border Node per il wireless client mobility e le informazioni RLOC (posizione)

 

Il WLC è sempre responsabile per la configurazione/image di un AP, radio resource management (RRM) e client session management e roaming.

Interagisce con il DB Host Tracking Control-Plane per la registrazione di un client wireless associando poi il SGT e L2-VNI.

Il WLC quindi è integrato con il protocollo LISP (Control Plane Management)

Il Fabric mode WLC è responsabile di:

  • Wireless client MAC address usato come EID
  • La VN è di fatto un Layer-2 VNID mappata con un Vlan-Id a livello Fabric Edge
  • Necessità di essere collocato nello stesso site dove presente l’Access-Point di riferimento (latency tra AP e WLC deve essere < 20 ms).

 

sda11

 

 

SD-Access Wireless Architecture Data Plane

 

La componente Data Plane permette un overlay con un Anycast GW (streched subnet) ed il trasporto gerarchico di micro-segmentation a partire dal Fabric Edge.

Un tunnel VXLAN si crea tra l’Access Point ed il Fabric Edge (Enabled AP) con encapsulation del SSID.

Il Fabric Edge è responsabile:

  • Identificare l’endpoint
  • Registrare l’indirizzo IP dell’endpoint con il Control Plane Node
  • Provvede al servizio Layer 3 VNID per il wireless client
  • Automatizza l’onboarding dell’AP e crea un tunnel VXLAN tra esso e l’AP
  • Provvede alla configurazione di un anycast gateway (SVI-L3) per l’endpoint.

 

Quindi:

  • Fabric mode AP ha una configurazione di tipo locale e pertanto necessità di essere direttamente collegato al Fabric Edge (oppure prevede un Extended Node)
  • il CAPWAP tunnel è instaurato sino al WLC attraverso la Fabric SDA come trasporto
  • Per il Fabric enabled SSID, gli AP convertono il traffico 802.11 in 802.3 encapsulandolo nel tunnel VXLAN con i valori di VNI e SGT dell’endpoint
  • La trasmissione del traffico client si basa su una tabella registrata a livello WLC; il next-hop è sempre il VXLAN DST.
  • L’AP applica specifiche policy wireless quali il SSID, AVC, QoS, etc.

 

sda12

 

 

SD-Access Wireless Workflow Onboarding

 

Adding WLC to Fabric

  1. In DNAC provisionare il WLC ed inserirlo a livello di Fabric Site
  2. Fabric configuration è inserita (pushing) al WLC; il WLC diventa Fabric Aware. Stabilire credenziali compatibili per una sicura connessione tra il WLC ed il Control Plane Node.

 

AP INFRA_VN

  1. INFRA_VN è utilizzata per l’onboarding dell’Access-Point (AP) in SDA Fabric overlay (la INFRA-VN è mappata in GRT)
  2. AP Pool Type: in modo automatico viene configurato lato Fabric Edge e WLC
  3. Layer-2 Extension: inizializza il servizio L2 LISP.

AP JOIN

  1. La configurazione dell’AP pool eseguita in DNAC avviene in INFRA_VN e pre-provisiona una macro configurazione in tutti i Fabrid Edge Node.
  2. L’onboarding di un AP avviene solo se è settato il valore “No Authentication template” in DNAC Cisco (se qualsiasi altro authentication template fosse settato, è necessario una assegnazione statica per mappare l’AP’s switch-ports al corretto IP Pool).

 

sda13 

 

 

Client Onboarding

 

Il Wireless Pool assegnato per i client wireless in DNAC, è quindi associato alla VN durante l’host onboarding phase (L2 LISP necessità di essere enabled).

SSID è mappato al Pool, il segmento WLAN viene abilitato ed il client viene visto appartenente al SSID.

Layer-2 Extension deve essere settato in ON per abilitare L2 LISP e L2 Extension client Pool/Subnet.

 

sda14

 

SD-Access Wireless OTT (Over The Top) overview

 

In un ambiente di Campus il collegamento di Access-Point Cisco che permettono l’accesso in rete ad host mobili, avviene per mezzo di logici tunnel che terminano ad un concentratore WLC (Wireless Lan Controller) consentendo una piena gestione in termini di provisioning e security di gruppi di utenti.

I tunnel sono di due tipi:

  • CAPWAP: il traffico generato da un user viene trasportato via tunnel capwap a livello 3 (network)
    • In questo caso si rende necessario la configurazione di una interfaccia di gestione (AP-manager) a livello 3 per il controllo degli AP e la configurazione di una interfaccia di management per il traffico layer 2.
  • LWAPP: il traffico viene incapsulato sia in modalità layer 2 (data-link) e layer 3 (network) mode

 

Si riporta per completezza di informazioni le caratteristice dei due tunnel, che ricordiamo in fase di discovery process, questi sono assolutamente trasparenti all’end-user.

 

sda15

Il processo di comunicazione segue questi steps:

 

  • Discovery: questo processo prevede una trasmissione in broadcast da parte di AP mediante un “discovery request” ed il WLC risponde con un “discovery responce”; questo permette un’associazione tra AP e WLC;
  • Image Download: qualora il WLC annunciasse una versione di software superiore a quella di un AP, questi una volta unitosi al concentratore possono fare richiesta di un “update firmware”; l’AP cosi ha la possibilità di eseguire un download della release ed una volta completata entra nello stato di reset, installa la nuova release e riprova ad associarsi al WLC;
  • Configuration AP: con l’aggiornamento eseguito ed allineato al WLC, l’AP fa richiesta di essere configurato dal controller; questo avviene per mezzo di una trasmissione di “current configuration” da parte dell’Access-Point e di una risposta di “updated configuration” da parte del WLC;
  • Run: sia l’AP che il WLC lavorano nello stato di “run”

 

sda16

 

 

 

L’architettura SDA Wireless OTT risulta essere in differenti modelli quali il CUWN (Cisco Unified Wireless Network), il FlexConnect e il Mixed.

 

  • CAPWAP tunnel for Control and Data Plane
  • SDA Fabric is only a transport
  • Supported on any WLC/AP software and hardware
  • Only centralized mode is supported

 

Nessun vantaggio viene offerto dalla soluzione SD-Access Fabric.

 

sda17

 

Tradizionali tunnel CAPWAP wireless OTT sono presenti on-top rispetto alla Fabric SDA.

Il WLC è collegato ad un Border Node, il quale annuncia la rete di management dove è collegato, verso la Fabric SDA.

Il Border Node, inoltre, annuncia Fabric Prefix per AP verso la parte outside Fabric.

 

SD-Access Wireless OTT workflow 

 

Gli APs in overlay sono registrati/autenticati nello stesso modo di un wired client.

Appena un AP endpoint autenticato e con IP address assegnato via DHCP server, il nodo Fabric Edge perfoma due compiti:

  • Inserisce l’indirizzo MAC address e l’IP address assegnato al suo database
  • Registra l’endpoint MAC ed IP addressess con il Control Plane (CP) e questa registrazione è fatta attraverso il protocollo LISP.

 

 sda18

 

  • Il valore SSID è mappato ad una Vlan/Subnet a livello WLC utilizzando la dynamic interface.
  • Il Border Node annuncia la rete wireless all’interno della Fabric.

 

sda19

 

  • Un tunnel CAPWAP viene costruito tra AP e WLC
  • Se l’AP si trova nella INFRA_VN (GRT), il traffico attraversa il tunnel CAPWAP in underlay dall’AP verso il WLC (questo significa che non vi è nessun encapsulation VXLAN Fabric).
  • Il client wireless è autenticato ed onboarded dal WLC; in questo caso gli endpoint sono external alla Fabric.

 

 sda20

 

 

Torna in alto