Exposicion 01. Cisco - CVD-Campus LAN-WLAN Design Guide - CAPs 1, 2, 3, 4.en - Es

Diseño Validado de Cisco
Campus LAN y Guía de diseño

Wireless LAN
de enero de 2018
Tabla de contenido
Tabla de contenido
Campus Diseño Introducción ............................................... .................................................. ........... 1
Campus LAN y LAN inalámbrica Guía para el diseño ........................................... ................................ 3
Diseño de alta densidad grande Campus ............................................ .................................................. .................................. 5
Mediana Densidad Diseño Campus ............................................. .................................................. ...................................... 6
Microcítico Sitio Diseño Campus ............................................. .................................................. ............................................... 8
Campus de LAN alámbrica Fundamentos del Diseño ............................................. .......................................... 9
Modelo jerárquico Diseño ............................................... .................................................. ............................................... 9
Capa de acceso ................................................ .................................................. .................................................. ............. 11
Capa de distribución ................................................ .................................................. .................................................. ....... 12
Capa central ................................................ .................................................. .................................................. ................ 15
Campus de la red por cable Opciones de Diseño ............................................. .................................................. ........................ dieciséis
Campus Wireless LAN Fundamentos del Diseño ............................................. .................................... 20
Infraestructura ................................................. .................................................. .................................................. ............ 20
Los controladores WLAN de Cisco ............................................... .................................................. ............................................... 21
Los modelos de diseño inalámbricas ............................................... .................................................. ............................................... 23
Consideraciones de diseño inalámbricas ............................................... .................................................. ................................... 28
Soporte de multidifusión ................................................ .................................................. .................................................. ...... 30
Selección de banda ................................................ .................................................. .................................................. ............... 44
Asignación flexible Radio ............................................... .................................................. ........................................... 44
Cisco ClientLink ................................................ .................................................. .................................................. ......... 45
Selección de ancho de banda dinámico-DBS ............................................. .................................................. ............................... 45
Campus Wireless CleanAir ............................................... .................................................. ........................................... 46
WLANs seguras ................................................ .................................................. .................................................. .......... 46
Lista de comprobación de Prácticas ............................................... .................................................. ............................................... 49

Tabla de contenido
Componentes comunes en el Campus Los diseños ............................................. ....................................... 50
Gestión de dispositivos Utilización de Cisco ISE ............................................. .................................................. ............................ 50
Cisco Digital arquitectura de red de centro de ............................................. .................................................. ..................... 50
Despliegue del campus mediante Cisco Prime Infraestructura ............................................ .................................................. ... 51
Campus de Calidad de Servicio .............................................. .................................................. ............................................ 52
Apéndice Glosario ............................................... .................................................. ...................... 54

Campus Diseño Introducción

Hay una tendencia a descontar la red como una simple fontanería, pensar que todo lo que tiene que tener en cuenta es el tamaño y la longitud de las tuberías o las
velocidades y avances de los enlaces, y para descartar el resto como algo sin importancia. Así como tiene que ser diseñado para la escala, el propósito, la
redundancia, la protección de la manipulación o denegación de la operación, y la capacidad de manejar cargas de pico la fontanería en un gran estadio o de gran
altura, la red requiere con- sideración similar. A medida que los usuarios dependen de la red para acceder a la mayoría de la información que necesitan para hacer
su trabajo y para el transporte de la voz o vídeo con fiabilidad, la red debe ser capaz de proporcionar el transporte resistente, inteligente. El diseño de la red fiable
también necesita incorporar versatilidad con el fin de responder a las necesidades cambiantes de una organización.
Aquí están algunos conceptos clave que se debe hacer frente a la hora de crear un diseño de red fiable y versátil. La red debe ser:
• Autocuración -Continuously y disponible.
• Auto-defensa -Proteger la organización y sus usuarios.
• Auto-optimización -Adecuación a las necesidades cambiantes, más allá de los límites de las normas básicas.
• Conscientes de sí mismos -Conducción cambio a través de penetración en la actividad de red.
Como se mira a un diseño de red, tenga en cuenta las tendencias de redes y las necesidades futuras de una organización.
• La red debe estar listo para escalar apropiadamente a través del tiempo con el fin de satisfacer las demandas de la organización que está apoyando.
• Debido a las demandas de los puntos de acceso inalámbrico (AP) con la última tecnología 802.11ac Wave 2 superen 1 Gbps, y el IEEE ha ratificado el
estándar que define 802.3bz 2,5 Gbps y 5 Gbps Ethernet, debe implementar una red que está dispuesta a apoyar la la demanda sin que se requiera una
actualización de la planta de cableado Ethernet de cobre existente. A acomodar estas últimas demandas mediante la implementación de plataformas de
red, incluyendo la tecnología de Cisco Catalizador multigigabit.
• Como implementar nuevos dispositivos con mayores requerimientos de energía, como la iluminación, cámaras de vigilancia, terminales de escritorio virtuales,
conmutadores de acceso remoto, y los puntos de acceso, su diseño debe tener la capacidad para suministrar energía a través de Ethernet con 60W por puerto, ofrecido
con Cisco universal Power Over Ethernet, y la capa de acceso también deben proporcionar energía perpetua PoE durante los eventos de actualización interruptor y
reiniciar el sistema. Los Cisco Catalyst 9000 switches de la capa de acceso de la serie son perpetuos con capacidad PoE y listo para 100W por puerto, como que la
tecnología esté disponible.
• Las cuestiones de cumplimiento en coche una selección de plataformas requeridas al apoyar a las certificaciones y estándares MACsec. Para esos casos,
también debe estar preparado para hacer que los datos analíticos disponibles, utilizando tecnologías como NetFlow.
• La Internet de las cosas y de los impactos de Internet Todo el diseño de redes de hoy en día. Su red debe apoyar TrustSec y otras
tecnologías de segmentación y de virtualización con el fin de permitir a los usos escala y ampliadas y políticas para la red impulsada por
estas tendencias.
• necesidades de ancho de banda se duplica potencialmente varias veces durante la vida útil de una red para que la red desplegada hoy tiene que
estar preparado para agregarse usando 10 Gbps Ethernet a 40 Gbps a 100 Gbps capacidades con el tiempo.
• Las plataformas de redes desplegadas hoy en día deben ofrecer la mejor longevidad en el futuro, frente a la selección del equipo que sólo cumple con los límites
de las necesidades de hoy en día.
Diseño Validado de Cisco Página 1

• Para reducir la complejidad operativa, se puede utilizar un controlador centralizado con APIs abiertos, lo que permite el despliegue muy rápido, de bajo riesgo de los
dispositivos y servicios de red a través de la interfaz de usuario y la orquestación de los sistemas existentes de Cisco ADN Center automatiza esta configuración y
gestión de dispositivos de red para lograr su organización de intención.
Arquitectura de Red Digital de Cisco (ADN) proporciona una guía para la digitalización y un camino para darse cuenta de beneficios inmediatos de la
automatización de la red, la seguridad y la seguridad. los campus red de área local (LAN) es la red que es compatible con dispositivos utilizan las personas dentro de
un lugar para conectarse a la información. El uso de la palabra campus no implica ninguna en particular geográfica de tamaño del campus LAN puede variar en
tamaño desde un solo interruptor en un pequeño sitio remoto hasta una gran infraestructura de varios edificios, apoyando aulas, espacio de oficina alfombrada, y
lugares similares donde las personas utilizan sus dispositivos para su actividades diarias. El diseño del campus incorpora tanto la conectividad LAN y wireless LAN
cableada para una solución de acceso a la red completa. Esta guía explica:
• El diseño del campus cableada LAN fundación.
• ¿Cómo se extiende la WLAN de acceso de red seguro para su fuerza de trabajo móvil.
• ¿Cómo la WLAN puede proporcionar acceso de invitado a contratistas y visitantes a sus instalaciones. Si no recibió esta guía de Zona
de Diseño de Cisco, se puede comprobar la ultima versión de esta guía. Para las guías relacionadas con el diseño, de despliegue, y libros
blancos, consulte la siguiente página:
https://www.cisco.com/go/designzone
Diseño Validado de Cisco página 2

Campus LAN y Diseño de LAN inalámbrica Orientación
El diseño de una LAN para el caso de uso del campus no es una sola de diseño único para todos proposición. La escala del campus LAN puede ser tan simple como un solo interruptor y punto
de acceso inalámbrico en un pequeño sitio remoto o una grande, distribuida, la creación de múltiples com- plejo con el puerto de cable de alta densidad y requisitos inalámbricos. La
implementación puede requerir muy alta disponibilidad de los servicios ofrecidos por la red, con una baja tolerancia al riesgo, o puede haber tolerancia para proach AP-fix-a-fracaso con las
interrupciones del servicio extendidos para un número limitado de usuarios considera aceptable. opciones de plataforma para estos despliegues son a menudo impulsados por necesidades de
capacidad de la red, las capacidades del dispositivo y de la red ofrecidos, así como la necesidad de cumplir con los requisitos de cumplimiento que son importantes para la organización. Se
impone la mayor parte del campus de LAN alámbrica complejidad del diseño, al agregar los grupos de conmutadores de acceso mediante la interconexión de las capas de acceso a las capas
de distribución. Si los dispositivos que se conectan a la capa de acceso tienen una re quirement para comunicarse con una adyacencia lógica de Capa 2 y esas conexiones cubren varios
armarios de cableado físicos conectados a una capa de distribución, entonces es posible adaptar el diseño tradicional del campus de múltiples capas para hacer frente a la capa 2 necesidades
de adyacencia. Sin embargo, los diseños tradicionales en coche configuraciones más complejas con los protocolos adicionales que deben mantenerse consistente a través de múltiples
dispositivos. Si los dispositivos que se conectan a la capa de acceso tienen una re quirement para comunicarse con una adyacencia lógica de Capa 2 y esas conexiones cubren varios armarios
de cableado físicos conectados a una capa de distribución, entonces es posible adaptar el diseño tradicional del campus de múltiples capas para hacer frente a la capa 2 necesidades de
adyacencia. Sin embargo, los diseños tradicionales en coche configuraciones más complejas con los protocolos adicionales que deben mantenerse consistente a través de múltiples
dispositivos. Si los dispositivos que se conectan a la capa de acceso tienen una re quirement para comunicarse con una adyacencia lógica de Capa 2 y esas conexiones cubren varios armarios de cableado físico
Para mejorar el diseño, existen alternativas que hacen más fácil de manejar y menos propenso a errores del despliegue, al tiempo que mejora el rendimiento
general de la red preferida. Estas alternativas incluyen la opción de capa de distribu- ción simplificada usando una pila de switches o un sistema de conmutación
virtual (VSS) o un sistema virtual StackWise, lo que hace que la implementación y solución de problemas mucho más fácil para el personal de apoyo.
Una alternativa de diseño está disponible para las organizaciones que o bien no tienen la necesidad de extender la conectividad de Capa 2 través de un límite de
acceso a la agregación o tener otros medios de aplicación de esta funcionalidad, como por ejemplo cuando se utiliza la tecnología Campus Tela-una parte integral
de Cisco El acceso definida por software (SD-Access). El tivo alterna- es extender la conectividad de Capa 3 a la capa de acceso. La implementación de una red
de acceso de Capa 3 bien diseñado asegura consistente, configuración, rendimiento, escalabilidad y alta disponibilidad de la red en comparación con el diseño
tradicional del campus de múltiples capas.
La motivación para las elecciones de diseño recomendados no es que son las únicas opciones disponibles, sino que las recomendaciones resaltar
opciones preferidas, dada la magnitud de las necesidades. A pesar de que el diseño tradicional del campus multicapa anteriormente mencionado es un
despliegue a la elección del diseño válido, el diseño no es uno que normalmente se recomienda a la luz de las mejores alternativas que están disponibles
actualmente.
Mediante la integración de los componentes inalámbricos del diseño del campus con los componentes cableados, el diseño se puede tratar como una superposición
que depende de los servicios prestados por el campus de la infraestructura subyacente. Esto es especialmente evidente para redes más grandes, porque el aumento
de la capacidad con dispositivos dedicados convierte en un requisito. Las redes más pequeñas, como las de pequeños sitios remotos, ofrecen oportunidades para la
simplificación y optimización que también se reflejan en las opciones de diseño que se muestran a continuación.
Las opciones de diseño primario se agrupan por la escala, y luego selecciones apropiadas se basan en las capacidades deseadas. La selección de la
gama de capacidades se basa en las necesidades de una implementación específica. A medida que avanza a través de la guía de diseño, usted debe
tener las siguientes capacidades en cuenta al considerar cuál de las categorías mencionadas anteriormente son los más importantes para su despliegue
de red.

Autocuración
Para mantener su red de forma continua y disponible, prestar atención a los conceptos de alta disponibilidad tanto para una re-wired silient infraestructura de
conmutación y también para la infraestructura inalámbrica que se integra con él. Capacidad de recuperación no sólo se basa en la redundancia de componentes y cómo
se hacen las interconexiones en el diseño modular del campus, sino también lo que puede mejorar las capacidades de que la resistencia física.
Por ejemplo, se puede detectar y reaccionar a la interferencia de RF y mitigar su impacto en el acceso inalámbrico de trabajo NET? Puede ser
removido equipos de la red y la conectividad para las personas a la información se mantiene sin interrupción?
Capacidad de recuperación se ve reforzada por evitar los impactos de la red para empezar, como se describe con el siguiente conjunto de capacidades.
Auto-defensa
Para proteger la organización y sus usuarios de las interrupciones a su productividad, evitando las interrupciones antes de que comiencen es la forma más segura de
mantener los servicios de red disponibles. Hay una gama de capacidades para ayudar con esta tarea. Para la infraestructura cableada, el conjunto básico de Catalyst
características de infraestructura de seguridad incluye muchas capacidades para mantener las interrupciones intencionales y no intencionales de impactar la red, que
puede ser aumentada hasta el final a través de políticas mejoradas usando TrustSec segmentación. La red inalámbrica también puede defenderse mediante la
aplicación de detección de dispositivo no autorizado, entre otras características.
mecanismos de defensa básicas deben ser parte de todas las redes, con la extensión de las capacidades elegidos en base a las necesidades de despliegue. Una vez
que la red puede defenderse adecuadamente, el siguiente paso es optimizar sí mismo, como se describe con el siguiente grupo de las capacidades.
Auto-optimización
Para adaptarse a las necesidades cambiantes, más allá de los límites de las normas publicadas sólo la base, es un requisito clave para las redes más avanzadas. normas
básicas no se refieren a la intención de una organización específica de cómo deben comportarse los dispositivos en su red. Los teléfonos móviles pueden tener usos
personales, pero necesitan tener acceso prioritario a un recurso compartido de RF limitado para las aplicaciones que son importantes para una función de una
organización. Al elegir a partir del espectro de las capacidades disponibles, las redes con capacidades de misión crítica pueden ser creados que son capaces de hacer
frente a estas necesidades.
Conscientes de sí mismos
Para impulsar el cambio a través de una idea de la actividad de red, las mejores redes pueden reportar una idea de tráfico que transportan y cómo se relaciona
con la misión de una organización. visibilidad de las aplicaciones de ambos vicios de- cableadas e inalámbricas utilizando NetFlow, red basada en el
reconocimiento de aplicaciones (NBAR) y otras capacidades, se puede dar una idea de cómo interactúan los usuarios con aplicaciones y otros usuarios en la red.
Además sólo un informe de información, lazos capabili- como hyperlocation inalámbrico y análisis permiten a las organizaciones para proporcionar servicios
específicos de la ubicación de los usuarios. Así que, en esencia, la red puede proporcionar información sobre cómo los usuarios utilizan la red y, al mismo tiempo,
proporcionar o publicitar los servicios de acceso de un usuario a la red.
Las capacidades de relieve en estas categorías son una pequeña muestra de las capacidades que son cada vez más capaces dispo- como tomar sus decisiones de
diseño en todo el espectro desde la fundación de las opciones de diseño de misión crítica, como se muestra a continuación, para cada red del campus dentro de la
adecuada topología dimensionamiento elección.

Diseño de alta densidad Campus grande

El diseño de alta densidad campus grande tiene múltiples capas de distribución conectadas a una capa de núcleo y mands de- densos en la capa de acceso para los
puertos cableados y dispositivos WLAN. El diseño preferido tiene capacidad para soportar más de 15.000 usuarios y dispositivos cableados e inalámbricos, es
altamente disponible para la continuidad crítica del negocio, y tiene la capacidad para apoyar las funciones avanzadas tales como NetFlow y virtualización de la red y
la segmentación. Puede seleccionar este diseño para los casos donde las densidades pueden no ser tan alto como el apoyo; Sin embargo, los requisitos dictan las
necesidades de continuidad de negocio crítico o capacidades avanzadas.
Core campus
Si hay tres o más interconectados distribuciones o requisitos para la conectividad en un lugar común, se utiliza un núcleo LAN de capa 3 con el fin de
simplificar la conectividad y la gestión. Se utiliza una de las dos opciones básicas con el fin de satisfacer las necesidades básicas en el diseño gran
campus de alta densidad. Las plataformas emblemáticas de estas opciones:
• Cisco Nexus 7700 Series -Familia miembros de la serie Nexus de Cisco tienen una variedad de opciones de densidad y se pueden segmentar en contextos de
dispositivo virtual, permitiendo que los mismos dispositivos que se utilizarán para un núcleo de campus y un núcleo del centro de datos. Cuando existe una
demanda de conmutadores de núcleo para ser administrados de forma independiente con la capacidad de tener PortChannels virtuales entre los interruptores, o
una necesidad de alta densidad 10/40/100 Gigabit Ethernet, estos interruptores son la opción preferida.
• Catalizador 6800 Series con el supervisor 6T miembros -Familia en la serie Catalyst acomodar una variedad de densidades de núcleo, que abarca las
características usadas comúnmente en un núcleo campus. Opcionalmente, puede combinar los dispositivos en un modo de VSS, con opciones para los
supervisores redundantes en cada interruptor miembro de que ofrecen una configuración de alta disponibilidad, administrado como un solo dispositivo.
Campus conexión de cable de distribución, acceso con conexión de cable y Wireless
En el campus grande de alta densidad, a tomar decisiones para la distribución por cable y acceso basado en las plataformas más alta disponibilidad para el papel,
la densidad más alta y la más amplia selección de opciones de interfaz, alimentación redundante y el plano de control modular, con el software más avanzado
posibilidades funcionales que ofrece. En el diseño campus grande de alta densidad, inalámbrico centralizado es la opción preferida, el uso de puntos de acceso
con 802.11ac Wave 2 y capacidades CleanAir.

tabla 1 De alta densidad de gran campus sugirió plataformas de despliegue
Avanzado-fundación además de
capacidades de la red de cimentación a base de capacidades de red adicionales misión crítica-mejor en las capacidades
clase empresarial de red de clase
Cisco Nexus 7700 Series con Supervisor Cisco Nexus 7700 Ries Se- con Cisco Nexus 7700 Series con Supervisor 2E o
2E o Cisco Cata- lyst 6807-XL par chasis Supervisor 2E o Cisco Catalyst Cisco Catalyst 6807-XL par chasis modular con
modular con la Opción Supervisor 6T para 6807- XL par chasis modular con la Opción Supervisor 6T para la configuración de
la configuración de conmutación de estado la Opción Supervisor 6T para la conmutación de estado VSS Quad Supervisor
VSS Quad Supervisor configuración tchover swi- stateful
VSS Quad Supervisor
conmutadores de núcleo
Cisco Catalyst 9500-24Q con Cisco Catalyst ® 9500 24Q con Cisco Catalyst 9500-24Q con StackWise Virtual o
StackWise virtual 6880-X y 6840-X configuración de Cisco Catalyst 6807-XL par chasis modular con
par VSS StackWise Virtual o Cisco Supervisor 6T VSS Quad Supervisor de
Catalyst extensible chasis fijo conmutación de estado guración ción
Distribución interruptores /
agregación
Cisco 2960-X y 2960-XR Series con Cisco Catalyst 9300 Series Cisco Catalyst 9300 Series stack- interruptores
módulos de pila Switches apilables capaces o Cisco Catalyst 9400 Series
conmutadores de acceso
Centralizado de Cisco 8500 Series Centralizado de Cisco 8500 Centralizado de Cisco 8500 Series
(AireOS) en modo HA SSO Series (AireOS) en modo HA (AireOS) en modo HA SSO
controlador WLAN SSO
APS Cisco 1850 Series Cisco 2800 Series Cisco 3800 Series
1 Acceso Gigabit Ethernet, PoE + 1/10/40 servicios de red Gigabit, servicios de Ethernet Gigabit disponibilidad
éter-MACSec, TrustSec MPLS, 1/10/40/100 más altos, MACSec, TrustSec MPLS,
Net-Flow, UPOE NetFlow, UPOE
capacidades cableados clave
2 Gbps de datos combinados, 5 Gbps de datos combinada, 5 Gbps datos combinados, 802.11ac Wave 2, 4x4
802.11ac Wave 2, 4x4 MU- MIMO: 802.11ac Wave MU-MIMO: 3SS, 20/40/80 / 160MHz, mGig + GE,
3SS, 20/40/80 MHz, transmitir 2, 4x4 MU-MIMO: 3SS, 20/40/80 HDX, CleanAir, ClientLink 4,0 + Transmit
Beamforming / 160MHz, HDX, CleanAir, CLI- Beamforming, VideoStream
entLink 4,0 + Transmit
Beamforming, Vídeo- Corriente
Capacidades clave-inalámbrica
de densidad media Diseño Campus

El diseño campus de densidad media es una sola capa de distribución, que puede ser independiente o utilizarse como un núcleo colapsado conectado a otra
distribución, u otros servicios, o tal vez conectado a WAN del router en un sitio remoto que ha crecido suficientemente grande como para necesitar una agregación
capa. Las exigencias en la capa de acceso para los puertos de conexión de cable y dispositivos WLAN típicamente número en el cientos frente a los miles para un
diseño grande, con requisitos de menos de unos pocos grupos de 50 o menos puntos de acceso. El diseño preferido pretenda la continuidad de negocio típico
necesidades no requiere que cada componente redundante ofrecido y capacidades de red estándar.

Campus conexión de cable de distribución, acceso con conexión de cable y Wireless
A tomar decisiones para la distribución por cable y acceso con un sesgo hacia el tamaño y la flexibilidad con el fin de adecuarlas a las necesidades de espacio y
energía de las instalaciones de tamaño medio, de manera que puede expandirse elásticamente como una organización crece. Cuando las densidades y
capacidades avanzadas de componentes de software no son tan fuertes de un requisito, se muestran las opciones con una preferencia ahorradores más económico
y común.
Los diseños de densidad media son equivalentes al diseño campus de pequeña sitio con la adición de una capa de distribución.
Tabla 2 campus medio sugirió plataformas de despliegue
capacidades de la red de cimentación a base de Avanzado-cimiento más

clase empresarial La misión adicional de capacidades de red crítico-mejor
capacidades endesulaclase
red
Cisco Catalyst 9500-24Q con StackWise Cisco Catalyst 9500-24Q con Cisco Catalyst 9500-24Q con StackWise
3850-X conmutadores apilables virtual o Cisco configuración de par VSS StackWise Virtual o Cisco Catalyst 9400 Series con
Catalyst Virtual o Cisco Catalyst 6880-X configuración de par VSS Supervisor 1XL
Distribución/ extensible chasis fijo
conmutadores de agregación
Cisco 2960-X y 2960-XR Ries Se- con Cisco Catalyst 9300 Series Switches Cisco Catalyst 9300 Series Switches
conmutadores de acceso módulos de pila apilables apilables
FlexConnect con controlador remoto Cisco Series Cisco 5500/3500 controlador local Cisco 8500 Series Troller con- local en
8500/5500 Series en el modo de SSO HA o en el modo de HA SSO modo HA SSO
Cisco 3500 Series controlador local en el modo
de HA SSO
Control inalámbrico
1/10 servicios Ethernet Gigabit, MACSec, 1/10 Gigabit Ethernet servicios, 1/10/40 servicios Ethernet Gigabit,
TrustSec NetFlow MACSec, TrustSec NetFlow, UPOE MACSec, TrustSec, NetFlow, UPOE
capacidades cableados clave
2 Gbps datos combinados, 802.11ac Wave 2, 5 Gbps de datos combinada, 5 Gbps de datos combinada,
4x4 MU-MIMO: 3SS, 20/40/80 MHz, transmitir 802.11ac Wave 802.11ac Wave
viga-formando 2, 4x4 MU-MIMO: 3SS, 20/40/80 / 2, 4x4 MU-MIMO: 3SS, 20/40/80 /
160MHz, HDX, CleanAir, ClientLink 4,0 160MHz, mGig + GE, HDX, CleanAir,
+ Transmit Beamforming, Vid- ClientLink
Llave eoStream 4,0 + Transmit Beamforming,
capacidades inalámbrica VideoStream

Pequeño-Design sitio Campus

El diseño del campus de pequeña sitio es un conmutador de acceso único o pila de switches de acceso único. Las exigencias en la capa acceso para los puertos de
conexión de cable y dispositivos WLAN número típicamente en las decenas (frente a los cientos en el diseño medio), con requisitos de menos de 25 puntos de acceso. El
diseño preferido se esfuerza por minimizar costes con fibras No. de orden mínimo de componentes y características que ofrece, a pesar de opciones avanzadas y misión
crítica son las opciones disponibles para las redes que requieren estas capacidades.
Punto de acceso a Campus y acceso inalámbrico

En el diseño del campus pequeño in situ, a tomar decisiones para el acceso a Internet alámbrico con un sesgo hacia tamaño y la flexibilidad para adaptarse a los
requisitos de espacio y energía de sitios pequeños. Se muestran las densidades y software avanzado distintas prestaciones capacidades tura no son tan fuertes de un
requisito, por lo que las opciones con la preferencia más económica.
Tabla 3 Pequeño campus sugirió plataformas de despliegue
capacidades de la red de
cimentación a base de clase Avanzado-cimiento más
empresarial misión de capacidades de red crítico-Mejor adicional en red de clase
capacidades
conmutadores Cisco 2960-X y 2960-XR Series con Cisco Catalyst 9300 Series Switches Cisco Catalyst 9300 Series stack- interruptores
de acceso módulos de pila apilables capaces
FlexConnect con controlador remoto Series Cisco 5500/3500 controlador local Cisco Serie 5500/3500 Troller con- local en modo
Cisco 8500/5500 Series en el modo de en el modo de HA SSO HA SSO
SSO HA o Cisco 3500 Series
Control controlador local en el modo de HA
inalámbrico SSO
Llave Acceso Gigabit Ethernet 1 servicios Ethernet Gigabit, MACSec, servicios de Ethernet Gigabit, MACSec, TrustSec
capacidades- TrustSec NetFlow, PoE + NetFlow, UPOE
cableada
2 Gbps de datos combinados, 5 Gbps de datos combinada, 5 Gbps datos combinados, 802.11ac Wave 2, 4x4
802.11ac Wave 2, 4x4 MU- MIMO: 802.11ac Wave MU-MIMO: 3SS, 20/40/80 / 160MHz, mGig + GE,
3SS, 20/40/80 MHz, transmitir 2, 4x4 MU-MIMO: 3SS, 20/40/80 / HDX, CleanAir, ClientLink 4,0 + Transmit
Beamforming 160MHz, HDX, CleanAir, ClientLink 4,0 Beamforming, VideoStream
Llave + Transmit Beamforming, Vid-
inalámbrico eoStream
capacidades-

Campus de LAN alámbrica Fundamentos del Diseño

El LAN es la infraestructura de red que proporciona acceso a servicios de comunicación de red y recursos para los usuarios finales y los dispositivos
distribuidos en una sola planta o edificio. Se crea una red de campus por interconnect- ing un grupo de redes de área local que se extienden sobre un área
geográfica pequeña. conceptos de diseño de red del campus son pequeñas redes inclusivas que utilizan un único conmutador LAN, hasta redes muy
grandes con miles de conexiones. El campus LAN cableada permite la comunicación entre dispositivos en un edificio o grupo de edificios, así como la
interconexión a la red WAN y el borde de Internet en el núcleo de la red. En concreto, este diseño proporciona una base y los servicios de red que permiten:
• conectividad LAN gradas.
• acceso a la red cableada para los empleados.
• Multidifusión IP para la distribución eficiente de los datos.
• infraestructura de cableado listo para servicios multimedia.
Diseño del modelo jerárquico

El campus LAN cableada utiliza un modelo de diseño jerárquico para romper el diseño en grupos modulares o capas. Rompiendo el diseño arriba
en capas permite que cada capa para implementar funciones específicas, lo que simplifica el diseño de la red y por lo tanto el despliegue y
gestión de la red.
La modularidad en el diseño de la red le permite crear elementos de diseño que se pueden replicar en toda la red. La replicación proporciona una manera fácil de
ampliar la red, así como un método de implementación consistente. En las arquitecturas de redes planas o en malla, los cambios tienden a afectar a un gran número de
sistemas. di- seño jerárquica ayuda a limitar los cambios operacionales a un subconjunto de la red, lo que hace que sea fácil de manejar, así como mejorar la capacidad
de recuperación. estructuración modular de la red en elementos, fácil de entender-pequeñas también facilita la capacidad de recuperación a través de la mejora de
aislamiento de fallos.
Un diseño jerárquico LAN incluye las tres capas siguientes:
• Capa de acceso -Proporciona puntos finales y los usuarios acceso directo a la red
• capa de distribución -Aggregates capas de acceso y proporciona conectividad a los servicios
• capa de núcleo conectividad -Proporciona entre capas de distribución para entornos LAN grandes

Figura 1 LAN diseño jerárquico
Core
del acceso de cliente
Distribución
7146F
Cada capa de acceso, distribución, y el núcleo-proporciona diferentes funcionalidad y la capacidad de la red. Dependiendo de las características del lugar
de despliegue, puede que tenga uno, dos, o los tres de las capas. Por ejemplo, un sitio que ocupa un único edificio sólo se podría requerir las capas de
acceso y distribución, mientras que un campus de edificios múlti- ples requerirá muy probablemente las tres capas.
Independientemente del número de capas se aplican en un lugar, la modularidad de este diseño se asegura de que cada capa proporcionará los mismos
servicios, y en esta arquitectura, se utilizan los mismos métodos de diseño.
Figura 2 Escalabilidad mediante el uso de un diseño modular
Núcleo
Core / Distribución cliente
ESCALA acceso de
de acceso Distribución de
7147F
de cliente

capa de acceso
La capa de acceso es donde los dispositivos controlados por el usuario, dispositivos accesibles para el usuario, y otros dispositivos de punto final están
conectados a la red. La capa de acceso proporciona conectividad cableada e inalámbrica y contiene las funciones y servicios que garanticen la seguridad y la
resistencia para toda la red.
figura 3 conectividad de capa de acceso
Punto de acceso
personal portátil inalámbrico
telepresencia
conmutador
de acceso
La
LAN, WAN e
Internet
2085F
Usuario Teléfono IP
• conectividad de dispositivos -La capa de acceso proporciona conectividad dispositivo de alto ancho de banda. Para ayudar a que la red de una parte transparente de trabajo del día
a día de un usuario final, la capa de acceso debe ser compatible con ráfagas de tráfico de alto ancho de banda cuando los usuarios realizan tareas rutinarias, tales como el envío
de grandes mensajes de correo electrónico o abrir un archivo desde una web interno página.
Debido a que muchos tipos de dispositivos de usuario final se conectan a los ordenadores personales de capa de acceso, teléfonos IP, puntos de acceso de alambre menos,
y las cámaras de vigilancia de vídeo IP de la capa de acceso puede soportar muchas redes lógicas, la entrega de beneficios para el rendimiento, la gestión y la seguridad.
• los servicios de seguridad y de resiliencia -El diseño capa de acceso debe asegurarse de que la red esté disponible para todos los usuarios que lo necesiten,
cuando lo necesiten. A medida que el punto de conexión entre los dispositivos de red y cliente, la capa de acceso debe ayudar a proteger la red contra los
errores humanos y de los ataques maliciosos. Esta protección incluye asegurar que los usuarios sólo tienen acceso a los servicios autorizados, evitando
dispositivos de usuario final de ING tak- sobre el papel de otros dispositivos en la red, y, cuando sea posible, verificando que cada dispositivo del usuario
final está permitido en la red.
• capacidades de tecnología avanzada -La capa de acceso proporciona un conjunto de servicios de red que soportan tecnologías avanzada, tales como voz y
vídeo. La capa de acceso debe proporcionar acceso especializada para los dispositivos que utilizan tecnologías avanzadas, para asegurar que el tráfico de
estos dispositivos no se vea afectada por el tráfico de otros dispositivos y también para asegurar la entrega eficiente del tráfico que se necesita por muchos
dispositivos en la red.
plataformas de capa de acceso
Las opciones preferidas para el campus LAN alámbrica incluyen los siguientes interruptores Cisco como plataformas de capa de acceso:
• Cisco Catalyst 9300 Series Switches
• Cisco Catalyst 9400 Series Switches
• Cisco Catalyst 2960-X y 2960-X Series Switches

capa de distribución
La capa de distribución es compatible con muchos servicios importantes. En una red donde la conectividad necesita atravesar el extremo a extremo-LAN, ya sea
entre diferentes dispositivos de la capa de acceso o desde un dispositivo de capa de acceso a la WAN, la capa de distribución facilita este conectividad.
• escalabilidad -En cualquier sitio con más de dos o tres dispositivos de capa de acceso, no es práctico para interconectar todos los conmutadores de acceso. La capa
de distribución sirve como un punto de agregación de múltiples conmutadores de capa de acceso.
La capa de distribución puede reducir los costos operativos al hacer la red más eficiente, requiriendo menos memoria, mediante la creación de dominios de
falla que compartimentan fallos o cambios en la red, y mediante el procesamiento de los recursos para los dispositivos en la red en otros lugares. La capa de
distribución también aumenta la disponibilidad de la red por contener faltas de dominios más pequeños.
• reducir la complejidad y aumentar la resiliencia -La campus cableada LAN tiene la opción de utilizar una capa de distribución simplificado, en el que un nodo de
distribución de capas consiste en una sola entidad lógica que puede ser implementado usando un par de interruptores separados físicamente que operan como un solo
dispositivo o el uso de una pila física de conmutadores que operan como un solo dispositivo. Capacidad de recuperación es proporcionada por componentes
físicamente redundantes como fuentes de alimentación, supervisores, y los módulos, así como la conmutación de estado redundantes planos de control lógicos.
Este enfoque reduce la complejidad de la configuración y el funcionamiento de la capa de distribución, ya que se necesitan menos protocolos. Se necesita poca o
ninguna sintonía para proporcionar cerca de segundos o fracciones de segundo convergencia en torno a los fallos o interrupciones.
Diseño de dos niveles
La capa de distribución proporciona conectividad a los servicios basados en la red, a la WAN, y al borde Internet. servicios basados en la red pueden incluir, pero
no limitado a los servicios de aplicaciones de área ancha (WAAS) y controladores WLAN. Dependiendo del tamaño de la LAN, estos servicios y la interconexión a
la red WAN y el borde de Internet puede residir en un conmutador de capa de distribución que también se agrega la conectividad de capa de acceso a internet.
Esto también se conoce como un diseño de núcleo colapsado porque la distribución sirve como la capa de agregación de Capa 3 para todos los dispositivos.
Diseño Validado de Cisco pagina 12

Figura 4 De dos niveles de diseño: Distribución capa que funciona como un núcleo colapsado
servidores
firewall
cambiar la
pila
Controlador de LAN Los routers

inalámbrica WAN
servidores
PÁLIDO
Interruptor de VSS
firewall
Core sala de
Internet
derrumbó LAN
Interruptores de
acceso de cliente
internet se
El acceso a
2086F
Diseño de tres niveles
LAN diseños más grandes requieren una capa de distribución especial para los servicios basados en la red frente a compartir la conectividad con los dispositivos de la capa de
acceso. A medida que la densidad de routers WAN, controladores de dispositivos de borde WAAS, internet y controladores WLAN crece, la capacidad de conectarse a un solo
interruptor de la capa de distribución se vuelve difícil de manejar. Cuando consigue conectando al menos tres distribuciones juntos, usando una capa de núcleo para la conectividad
de distribución debe ser una ación considerable.

Hay una serie de factores que impulsan diseño LAN con múltiples módulos de capa de distribución:
• El número de puertos y ancho de banda de puerto que la plataforma de la capa de distribución puede proporcionar afecta red per- Formance y el rendimiento.
• resistencia de la red es un factor cuando todo LAN y los servicios basados en la red se basan en una sola plataforma, independientemente del diseño de la
plataforma, se puede presentar un único punto de fallo o un dominio de error inaceptablemente grande.
• El control de cambios y la frecuencia afecta la capacidad de recuperación. Cuando todo LAN, WAN, y otros servicios de red están Consolidated en una sola capa de
distribución, errores operacionales o de configuración pueden afectar a todo el funcionamiento en red.
• dispersión geográfica de los conmutadores de acceso a internet a través de muchos edificios en una instalación del campus más grande requeriría más de fibra
óptica interconecta nuevo a un solo núcleo colapsado.
Al igual que la capa de acceso, la capa de distribución también proporciona una calidad de servicio (QoS) para flujos de aplicaciones para aplicaciones críticas guaran- tee y
aplicaciones multimedia funcionar como están diseñados.
Figura 5 Diseño de tres capas con una capa de distribución de servicios de red
LAN
Core
Controlador de LAN
Distribución inalámbrica
de LAN Capa de Red de Servicios
Capa de Distribución
firewall
Interruptores
de acceso de
cliente
Internet
PÁLIDO
7148F
plataformas de distribución-Layer
Los interruptores Cisco preferidos para la implementación de la capa de distribución de la campus LAN cableada incluyen:
• Cisco Catalyst 3850 Series Switches-X
• Cisco Catalyst 6807 Series Switches-XL con el Supervisor Engine 6T
• Cisco Catalyst 9500-24Q Interruptores

capa de núcleo
En un entorno LAN grande, hay a menudo surge la necesidad de tener múltiples switches de la capa de distribución. Una razón para esto es que cuando los switches de capa
de acceso se encuentran en varios edificios dispersos geográficamente, puede guardar carreras de fibra óptica entre edificios potencialmente costosos mediante la localización
de un conmutador de capa de distribución en cada uno de esos edificios. Como las redes crecen más allá de tres capas de distribución en una sola ubicación, las
organizaciones deben utilizar una capa de núcleo para optimizar el diseño.
Otra razón para utilizar múltiples switches de capa de distribución es cuando el número de switches de capa de acceso Connect-ing a una sola capa de distribución
excede los objetivos de rendimiento del diseñador de la red. En un diseño modular y scal- poder, se puede colocar capas de distribución para el centro de datos,
conectividad WAN o Internet servicios de vanguardia. En entornos en los que existen switches de la capa múltiple de distribución en estrecha proximidad y en donde la
fibra óptica proporcionan la capacidad para interconexión de alta ancho de banda, una capa de núcleo reduce la complejidad de la red, a partir de N * (N-1) a N enlaces
para N distribuciones, como se muestra en las dos figuras siguientes.
Figura 6 topología LAN con una capa de núcleo
7149F
Figura 7 topología LAN sin una capa de núcleo

2089F

La capa de núcleo de la LAN es una parte crítica de la red escalable, y sin embargo es uno de los más sencillos de diseño. La capa de distribución
proporciona los dominios de fallo y de control, y el núcleo representa la conectividad sin parar con- 24x7x365 entre ellos, que las organizaciones deben tener
en el entorno empresarial moderno, donde connectiv- dad a los recursos para realizar negocios es crítica. Conectividad hacia y desde el núcleo es la capa
3-solamente, que impulsa el aumento de la resistencia y la estabilidad.
plataformas capa de núcleo
Los interruptores Cisco preferidos usados como plataformas de capa de núcleo de campus son:
• Cisco Nexus 7700 Series Switches con el supervisor 2E
• Cisco Catalyst 6807-XL Switches Cisco Catalyst 6500 Supervisor Engine 6T La capacidad, densidad y características son las principales diferencias de
conducción selección de plataforma. Ambas plataformas de plomo tienen plataformas de hermanos que pueden ser apropiados para el papel principal en redes
o redes existentes donde no se requieren todas las capacidades de las plataformas de plomo.
Campus opciones de red por cable Diseño

Cuando se cambia la escala de un solo interruptor en un campus LAN a una red completa del campus de tres niveles, la fiabilidad de la red es cada vez más importante, ya que el tiempo de
inactividad de la red probablemente afecta a una mayor población de usuarios con un lugar de trabajo más grande y significado económico. Para mitigar las preocupaciones sobre la falta de
disponibilidad de recursos de la red, diseños de pus cam- incluyen opciones de resiliencia adicionales, tales como enlaces redundantes, interruptores y componentes de cambiar. En diseños
tradicionales del campus de múltiples capas, la elasticidad añadido tiene un costo de complejidad de la configuración, con la mayor parte de la complejidad introducida por la interacción de las
capas de acceso y agregación de los campus LAN. La función principal de la capa de distribución es a agregarse switches de la capa de acceso en un edificio determinado o pus cam-. La capa
de distribución proporciona un límite entre la capa 2 de dominio de la capa de acceso y el dominio de capa 3 que proporciona una ruta de acceso al resto de la red. Este límite proporciona dos
funciones clave para la LAN. Por el lado de la capa 2, la capa de distribución crea un límite de Spanning Tree Protocol (STP), lo que limita ción propaga- de Capa 2 fallos. En el lado de la capa
3, la capa de distribución proporciona un punto lógico para resumir la información de enrutamiento IP cuando entra en la red. El resumen reduce tablas de rutas IP para la solución de
problemas más fácil y reduce la sobrecarga del protocolo para la recuperación más rápida de fallos. la capa de distribución crea un límite para Spanning Tree Protocol (STP), lo que limita ción
propaga- de la capa 2 fallos. En el lado de la capa 3, la capa de distribución proporciona un punto lógico para resumir la información de enrutamiento IP cuando entra en la red. El resumen
reduce tablas de rutas IP para la solución de problemas más fácil y reduce la sobrecarga del protocolo para la recuperación más rápida de fallos. la capa de distribución crea un límite para
Spanning Tree Protocol (STP), lo que limita ción propaga- de la capa 2 fallos. En el lado de la capa 3, la capa de distribución proporciona un punto lógico para resumir la información de
enrutamiento IP cuando entra en la red. El resumen reduce tablas de rutas IP para la solución de problemas más fácil y reduce la sobrecarga del protocolo para la recuperación más rápida de fallos.
Campus multicapa tradicional Diseño Capa de distribución

LAN tradicionales diseños utilizan un enfoque de múltiples capas con la capa 2 de la capa de acceso a la capa de distribución, donde existe el límite
de Capa 3. La conectividad de la capa de acceso a la capa de distribución puede resultar en un diseño o bucle libre de bucles.
En el diseño de la red tradicional, la capa de distribución tiene dos interruptores independientes para resiliencia. Se recomendó que se restringe una capa 2 de LAN virtual (VLAN) a
un único armario de cableado o el acceso par de enlace ascendente con el fin de reducir o eliminar la topología STP bucles que debe bloquear y que son un punto común de fallo
en redes LAN. Restrict- ing una VLAN a un único conmutador ofrece un diseño libre de bucles, pero sí flexibilidad de la red límite. Para crear una puerta de enlace IP resistente
para las VLAN en el diseño tradicional, debe utilizar protocolos de redundancia de primer salto, que proporcionan los anfitriones con una dirección MAC consistente y puerta de
enlace IP para una VLAN. protocolo de enrutamiento de espera caliente (HSRP) y el protocolo de redundancia de encaminador virtual (VRRP) son los protocolos de puerta de
enlace de redundancia más comunes, pero que sólo permiten a los hosts envían datos a cabo uno de los enlaces ascendentes de acceso a la capa de distribución y requieren una
configuración adicional para cada switch de agregación con el fin de permitir que le permite distribuir las VLAN a través de enlaces ascendentes. Puerta de enlace load- protocolo
de equilibrado (GLPB) proporciona una mayor utilización de enlace ascendente para el tráfico de salida de la capa de acceso al equilibrar la carga de los hosts a través de múltiples
enlaces ascendentes, pero sólo se puede utilizar en una topología sin bucles.

Todos estos protocolos de redundancia requieren que afinar los ajustes del temporizador predeterminado con el fin de permitir la convergencia sub segunda red, lo que
puede afectar a los recursos de CPU del interruptor.
Algunas organizaciones requieren la misma capa 2 VLAN extenderse a varios armarios de capa de acceso a adecuarlas a una aplicación o servicio. El
diseño de bucle hace que el árbol de expansión para bloquear los enlaces, lo que reduce el ancho de banda del resto de la red y puede causar más
lenta convergencia de redes. Las ineficiencias y el aumento del potencial de los ingenieros de redes unidad mala configuración para buscar
alternativas más atractivas.
Figura 8 Diseño tradicional libre de bucles con una VLAN por switch de acceso
Layer-3 Enlace
VLAN 40
VLAN 30
VL
30
AN
AN
40
VL
2103F
Figura 9 diseño de bucle tradicional con las VLAN que abarcan los conmutadores de acceso
VLAN 30
VL
30
AN
AN
30
VL
VLAN 30
VLAN 30
interfaz interfaz
bloqueado bloqueado
2104F
enrutada capa de acceso a Diseño Distribución

En otro enfoque para acceder y diseño de la capa de distribución, puede utilizar la capa 3 hasta llegar a la capa de acceso. Las ventajas de este diseño son que eliminar
bucles árbol de expansión y reducir los protocolos porque la forma en puerta-IP es ahora el conmutador de acceso. Debido a que no hay enlaces de bloqueo del árbol de
expansión, puede utilizar ambos enlaces ascendentes de la capa de acceso y aumentar el ancho de banda efectivo disponible para los usuarios.
El reto con el diseño de la capa de acceso enrutado es que la capa 2 dominios se limitan a un solo armario de acceso, que limita la flexibilidad para
aplicaciones que requieren capa de conectividad 2 que se extiende a través de múltiples armarios de acceso.

Diseño de acceso definidos por software

Puede superar la mencionada capa 2 limitaciones del diseño de la capa de acceso enrutado mediante la adición de pability ca- tela para una red de
campus que ya está usando una red de acceso de Capa 3; la adición de la tela es automat- ed utilizando la tecnología de SD-Access. El diseño
SD-Access permite el uso de redes virtuales (redes superpuestas) que se ejecutan en una red física (red de base) con el fin de crear topologías
alternativas para conectar dispositivos. Además de la virtualización de la red, SD-Access permite la segmentación definida por software y aplicación de
políticas basadas en la identidad del usuario y la pertenencia al grupo, integrado con la tecnología de Cisco TrustSec. Para más infor- mación, consulte la Software
de diseño Guía de diseño de acceso .
Distribución simplificada capa de diseño

Una alternativa que puede manejar Capa 2 requisitos de acceso y evitar la complejidad de la universidad tradicional multi-capa se denomina diseño de la capa de
distribución simplificado. El diseño utiliza múltiples conmutadores físicos que actúan como un único conmutador lógico, tales como pila interruptor o un VSS, o el
interruptor de menos preferidos único, altamente redundante física. Una ventaja de este diseño es que la dependencia de árbol de expansión se reduce al mínimo, y
todos los enlaces ascendentes de la capa de acceso a la distribución están activos y el tráfico. Incluso en el diseño de VLAN distribuido, que abarca a eliminar enlaces
bloqueados debido a los árboles de topologías de bucle. A reducir la dependencia de árbol de expansión mediante el uso de EtherChannel a la capa de acceso con
enlaces ascendentes de base dual. Esta es una característica clave de este diseño, y se puede equilibrar la carga de hasta ocho enlaces si es necesario para el ancho de
banda adicional. Al mismo tiempo, varios enlaces en un Canal de éter-tienen mejores características de rendimiento frente a enlaces individuales independientes.
Figura 10 diseño de la distribución simplificada con una VLAN por switch de acceso
VL
AN
30
40
AN
VL
2105F
Figura 11 diseño de la distribución simplificada con las VLAN que abarcan los conmutadores de acceso
VL
AN
30
30
AN
VL
2106F
EtherChannel es una interfaz lógica que puede utilizar un protocolo de plano de control para gestionar los miembros físicas del haz. Es mejor para ejecutar un
protocolo de canal en lugar de utilizar el modo forzado en porque un protocolo de canal per- forma comprobaciones de coherencia para las interfaces
programadas para estar en el canal y proporciona protección al sistema de configuraciones inconsistentes. switches Cisco Catalyst proporcionan tanto protocolo
de agregación de puerto (PAgP), que es un protocolo diseñado Cisco ampliamente desplegado, y el protocolo de agregación de enlaces (LACP), que se basa en
IEEE
802.3ad.

Hay varias otras ventajas para el diseño de la capa de distribución simplificado. Ya no necesita IP protocolos de puerta de enlace de redundancia como HSRP, VRRP, y GLBP,
porque la puerta de enlace IP por defecto es ahora en una sola interfaz lógica y la resistencia es proporcionada por el interruptor de la capa de distribución o interruptores.
Además, la red convergerá más rápido ahora que no está en función de árbol de expansión para desbloquear enlaces cuando se produce un fallo, ya que proporciona una rápida
EtherChannel menos de un segundo de conmutación por error entre los eslabones de un paquete de enlace ascendente.
La topología de la red de la capa de distribución de la capa de acceso es lógicamente una topología de concentrador y radios, lo que reduce la complejidad del
diseño y resolución de problemas. El diseño de la topología hub-and-spoke proporciona una operación más eficiente para multidifusión IP en la capa de
distribución porque ahora hay un solo enrutador designado lógico para reenviar paquetes IP de multidifusión a una VLAN dada en la capa de acceso.
Finalmente, usando el diseño de la capa de distribución lógica única, hay menos cajas para gestionar, lo que reduce la cantidad de tiempo gastado en el
aprovisionamiento y mantenimiento continuo.

Campus Wireless LAN Fundamentos del Diseño

La WLAN del campus proporciona datos ubicuos y conectividad de voz para los empleados, acceso inalámbrico a Internet para los huéspedes, y la conectividad de
Internet de los dispositivos de las cosas. Independientemente de su ubicación dentro de la organización de grandes campus o en los usuarios de lotes inalámbricos
remotos tienen la misma experiencia cuando se conecta a la voz, vídeo y servicios de datos.
Los beneficios de la WLAN campus incluyen:
• aumento de la productividad a través de un acceso seguro a la red independiente de la ubicación productividad -medibles mejoramientos y la
comunicación.
• flexibilidad de la red adicional ubicaciones -Hard-a cable conectados de forma inalámbrica, sin construcción costosa.
• implementación rentable -Aprobación de las tecnologías de virtualización dentro de la arquitectura inalámbrica global.
• fácil de administrar y operar -De un único panel de vidrio, el control centralizado de un ronment bientes inalámbrica distribuida.
• plug-and-play despliegue aprovisionamiento -Automático cuando un AP está conectado al apoyar el trabajo NET cable.
• diseño resistente, tolerante a fallos conectividad inalámbrica -rELiAbLE en entornos de misión crítica, incluyendo la gestión -spectrum
completa de frecuencia de radio (RF).
• El apoyo a los usuarios inalámbricos -Llevar-su-propio-dispositivo de modelos de diseño (BYOD).
• la transmisión eficiente del tráfico de multidifusión Soporte para muchas aplicaciones de comunicación de grupo, como el vídeo y push-to-talk.
infraestructura
La WLAN campus está construido en torno a estos principales componentes de hardware y software:
• controladores WLAN Cisco
• Puntos de acceso ligeros de Cisco
• Cisco Prime Infraestructura (PI)
• Cisco Mobility Services Engine (MSE) de Cisco / Experiencias móviles conectados (CMX)

Controladores WLAN de Cisco

La WLAN campus es un diseño inalámbrico basado en un controlador, lo que simplifica la gestión de redes mediante el uso de controladores de Cisco WLAN (WLCs)
para centralizar la configuración y el control de puntos de acceso inalámbricos. Este enfoque permite a la WLAN para operar como una red de información inteligente y
de apoyo a los servicios avanzados. Los siguientes son algunos de los beneficios del diseño basado en un controlador:
• disminuir los gastos operativos -Permite configuraciones sin interacción de los puntos de acceso ligeros; diseño fácil de los ajustes de canales y de energía y gestión en
tiempo real, incluyendo la identificación de todos los agujeros de RF con el fin de optimizar el entorno de RF; movilidad sin interrupciones a través de los diversos puntos
de acceso dentro del grupo de movilidad; y una visión holística de la red, el apoyo a las decisiones acerca de la escala, la seguridad y las operaciones generales.
• optimizado su vez-UP- Permite la configuración simplificada de controlador de WLAN y la red inalámbrica en general a través de la implementación
de buenas prácticas durante la configuración inicial WLC.
• Mejora de la rentabilidad de la inversión -Permite instancias virtualizadas de la WLAN controlador-para sólo el controlador virtual LAN inalámbrica (vWLC) -la
reducción del coste total de propiedad mediante el aprovechamiento de su inversión en ización virtual-.
• manera más fácil a escala con un diseño óptimo -Permite la red para escalar bien, mediante el apoyo a un diseño centralizado (modo de cal LO-) para
entornos de campus, y el diseño de Cisco FlexConnect para sitios remotos magras.
• La alta disponibilidad de conmutación de estado -Permite conectividad sin interrupciones a los dispositivos de cliente inalámbricos durante un fallo de controlador de WLAN.
Los controladores WLAN de Cisco son responsables de las funciones WLAN en todo el sistema, tales como las políticas de seguridad, prevención de intrusiones, gestión de RF,
QoS y movilidad. Trabajan en conjunto con los puntos de acceso ligeros de Cisco con el fin de dar soporte a aplicaciones inalámbricas esenciales para la empresa. Desde los
servicios de voz y datos de seguimiento de localización, controladores WLAN de Cisco proporcionan el control, escalabilidad, seguridad y fiabilidad que los administradores de
red necesitan para construir redes inalámbricas seguras y escalables.
La siguiente tabla resume los controladores Cisco WLAN referenciados dentro de esta guía.
Tabla 4 plataformas controlador de WLAN
modo de
topología APS Los clientes controlador de
plataforma implementación preferida máximos máximos rendimiento
Cisco 8540 Centralizado o Gran sitio único o múltiple 6000 64000 40 Gbps
FlexConnect
Cisco 5520 Centralizado o Gran sitio único o múltiple 1500 20000 20 Gbps
FlexConnect
Cisco 3504 Centralizado o Pequeño controlador de sitio local 150 3000 4 Gbps
FlexConnect
Cisco vWLC FlexConnect Medio Número de sitios pequeños 200 6000 500 Mbps
(Pequeño)
Cisco vWLC FlexConnect Gran número de pequeños sitios 3000 32000 1 Gbps
(grande)
Debido a la flexibilidad de licencia de software le permite añadir puntos de acceso adicionales cuando los requerimientos del negocio cambian, se puede elegir el
controlador que apoyará sus necesidades a largo plazo, pero que adquirir licencias de acceso de punto incrementales sólo cuando los necesite.

APS ligeros de Cisco

En la arquitectura de red inalámbrica unificada de Cisco, son puntos de acceso ligero. Esto significa que no pueden actuar Ly Independiente- de un controlador de
WLAN. Cuando el AP se comunica con el controlador de WLAN, se descarga su configuración y sincroniza su imagen de software o firmware. Los puntos de
acceso pueden ser convertidos a actuar de funcionamiento autónomo, pero el funcionamiento autónomo requiere que cada punto de ser gestionado de forma
individual, por lo que no está cubierto en esta guía. Cisco APs ligeros trabajan en conjunto con un controlador de Cisco WLAN con el fin de conectar dispositivos
inalámbricos a la LAN mientras que el apoyo simultáneo funciones de monitoreo de aire de datos de reenvío y. La WLAN campus ofrece cobertura inalámbrica
robusta con hasta nueve veces el rendimiento de las redes 802.11a / b / g. La siguiente tabla resume los puntos de acceso discutidos en esta guía.
Tabla 5 Cisco Aironet AP
1850 Series Serie 2800 3800 Series
Entre pequeña y mediana redes De alta densidad, medianas y grandes Misión crítica, de alta densidad, las redes de gran
Mejor para redes tamaño
802.11ac Wave 2 radio, 4x4 de entrada 802.11ac onda de radio, 2 MIMO 3x4, 3 802.11ac onda de radio, 2 MIMO 4x4, 3 transferencias
múltiple, salida múltiple (MIMO), 4 transferencias espaciales espaciales
Caracteristicas secuencias espaciales
antenas Interno externo Interno externo Interno externo
apoyo HDX No Sí Sí
Aire limpio No Sí Sí
Análisis de espectro Sí Sí Sí
ClientLink No (TxBF basada en estándares) Sí (4.0) Sí (4.0)
La velocidad de datos 2 Gbps 5 Gbps 5 Gbps

combinada
Soporte para dos tecnologías clave que diferencia a los puntos de acceso seleccionados para el despliegue en el campus de WLAN:
• La tecnología Cisco CleanAir IT -Proporciona administradores visibilidad en su espectro inalámbrico con el fin de origen humano interferencia RF edad y evitar el
tiempo de inactividad inesperado. Cisco CleanAir proporciona protección para el desempeño
Redes 802.11. Esta inteligencia a nivel de silicio crea una red inalámbrica auto-sanación, auto-optimización que mitiga el impacto de la
interferencia inalámbrica.
• 802.11ac -La especificación IEEE 802.11ac Wave 2 proporciona mejoras significativas en el rendimiento trabajo en red inalámbrica.
servicios de movilidad de motor / conectado experiencias móviles

Cisco MSE / CMX Cisco es una plataforma que ayuda a las organizaciones a ofrecer servicios móviles innovadores y mejorar los procesos Ness Busi- través de
una mayor visibilidad en la red, los servicios móviles basados en la localización a medida, y reforzaron la seguridad inalámbrica.
MSE / CMX está disponible en los siguientes factores de forma:
• Cisco MSE 3365 aparato
• máquina virtual en ejecución VMware ESXi 5.1 o posterior
• Nube CMX

Actualmente hay dos versiones del MSE / CMX con nombres ligeramente diferentes. MSE 8.0 se refiere tanto a la plataforma MSE con el software
CMX versión 8.0 se ejecutan en él. Con CMX liberar 10.1 y superior, este nombre se ha cambiado a CMX.
La siguiente tabla resume los servicios ofrecidos por las diferentes versiones de MSE / CMX.
Tabla 6 Los servicios ofrecidos por MSE 8.0 y 10.2.2 CMX
Servicio MSE 8.0 CMX 10.2.2
Servicios basados en la localización Sí Sí
Sistema inalámbrico de Cisco Intrusion Prevention Sí No (planificada)

(WIPS)
CMX Analytics Ubicación y presencia Hyperlocation y FastLocate
Conectar CMX Sí Sí
CMX móvil servidor de aplicaciones y SDK Sí No (planificada)
Conserje móvil Sí No
Los modelos inalámbricos de diseño
Esta guía describe los siguientes tres modelos de diseño y su uso recomendado:
• Centralizado (Modo Local) Modelo de Diseño
• FlexConnect Diseño Modelo
• SD-Acceso Inalámbrico Diseño Modelo
Centralizado (en modo local) Modelo de Diseño

Un modelo de diseño centralizado, también conocido como -Modo local modelo de diseño, se recomienda principalmente para grandes implementaciones del sitio.
Los beneficios de un diseño centralizado incluyen la gestión de direcciones IP, configuración simplificada y resolución de problemas, y la itinerancia a escala. En un
modelo de diseño centralizado, el controlador de WLAN y puntos de acceso están situados tanto en el mismo sitio. Se puede conectar el controlador de WLAN a un
bloque de servicios de centro de datos, un servicios separados bloquean del núcleo campus, o una capa de distribución LAN. tráfico inalámbrico entre los clientes
WLAN y la LAN es tunelizado utilizando el control y aprovisionamiento de puntos de acceso inalámbricos de protocolo (CAPWAP) entre el controlador y el AP.

Figura 12 -Modo local modelo de diseño
VSS Servicios bloque

Centro de datos
Para Edge internet
En el lugar WLC N + 1
Invitado ancla
controladores
LAN Switches
Core
En el lugar WLC
Par de HA
CAPWAP túnel CAPWAP
MobilityTunnel a visitantes ancla
CAPWAP Movilidad túnel sin
hilos de datos de voz de
visitantes Tráfico
LAN
1179F
Una arquitectura centralizada utiliza el controlador como un único punto para la gestión de seguridad de la capa 2 y políticas de trabajo Net- inalámbricas. También permite
a los servicios que han de aplicarse al tráfico inalámbrico y por cable de una manera coherente y coordinada.
Además de proporcionar los beneficios tradicionales de un enfoque de red inalámbrica unificada de Cisco, el modelo de diseño-modo local cumple con las
demandas de los clientes siguientes:
• La movilidad sin límites -Permite rápida itinerancia a través del campus, por lo que los usuarios no desconectarse de su sesión incluso mientras camina entre
los distintos pisos o edificios adyacentes con el cambio de subredes
• Capacidad para apoyar a los medios ricos -Mejora la robustez de la voz con el control de admisión de llamadas y multicast con la tecnología de Cisco
VideoStream
• política centralizada -Permite la inspección inteligente a través del uso de cortafuegos, así como la inspección de aplicaciones, control de acceso
de red, aplicación de políticas y clasificación precisa de tráfico

Si alguna de lo siguiente es cierto en un sitio, se debe considerar la implementación de un controlador localmente en el sitio:
• El sitio cuenta con un centro de datos.
• El sitio tiene una capa de distribución LAN.
• El sitio cuenta con más de 100 puntos de acceso.
• El sitio tiene una latencia WAN superior a 100 ms de ida y vuelta a un controlador compartido propuesto. Las plataformas recomendadas para grandes diseños
centralizados (en modo local) son los controladores WLAN Cisco 8540 y 5520, debido a su capacidad de ampliación y soporte de las funciones. Para los sitios más
pequeños, puede implementar el controlador WLAN de Cisco 3504 como un controlador local dentro del sitio.
modelo Cisco FlexConnect Diseño

Cisco FlexConnect es una solución inalámbrica principalmente para implementaciones que constan de múltiples pequeños sitios remotos (ramas) conectados en
un sitio central. FlexConnect proporciona una solución muy rentable, lo que permite organizaciones para configurar y controlar a distancia in situ APs desde la
sede central a través de la WAN, sin desplegar un controlador en cada sitio remoto. Cisco AP que funcionan en modo FlexConnect puede conmutar el tráfico de
datos de clientes a cabo su interfaz de cable local y se puede utilizar troncos 802.1Q con el fin de segmentos múltiples redes WLAN. VLAN nativa del tronco se
utiliza para todas las comunicaciones CAPWAP entre el AP y el controlador. Este modo de operación se denomina
conmutación local FlexConnect y es el modo de operación descrito en esta guía.

Figura 13 Cisco FlexConnect modelo de diseño
Para controladores de Internet

Edge Guest Anchor
FlexConnect
FlexConnect
Virtual WLC N +
WLC HA Par
1
Centro de datos
PÁLIDO
CAPWAP túnel CAPWAP
MobilityTunnel a visitantes ancla
CAPWAP Movilidad túnel sin
hilos de datos de voz de
visitantes Tráfico
Sitio Sitio Sitio
remoto remoto remoto
1180F
Cisco FlexConnect puede también tráfico de túnel de vuelta al controlador centralizado, que puede ser utilizado para el acceso inalámbrico para invitados. Se puede utilizar
un par de controladores compartido o un par de controladores dedicados a fin de implementar Cisco FlexConnect. En un modelo de controlador compartido, tanto a nivel
local y en modo AP FlexConnect configurados comparten un controlador común. Una arquitectura de controlador compartida requiere que el apoyo controlador WLAN
tanto de conmutación local FlexConnect y el modo local. En esta guía, los controladores WLAN que soportan ambos son el Cisco 8500, 5500, 3500 y controladores
inalámbricos de la serie.
Usted puede ser capaz de utilizar una implementación compartida si cumple con todos los requisitos siguientes:
• Tiene un par de controladores en modo local existente en el mismo sitio que su agregación WAN.
• El par controlador tiene suficiente capacidad adicional para apoyar el Cisco FlexConnect APs.
• El número de grupos FlexConnect requeridos coincide con las capacidades del par de controladores. Si usted no cumple con los requisitos para un controlador
compartida, puede implementar Cisco 8500, Cisco 5500, Cisco o controladores inalámbricos de la serie 3500. Para más alta resistencia, desplegar un par de
controladores en la configuración de SSO alta disponibilidad (HA). Como alternativa, puede implementar N + 1 una alta disponibilidad con el fin de proveer elasticidad
entre sitios si se desea. También puede emplear controladores duales, elásticos configurados en un modelo HA N + 1 usando el Cisco vWLC.

Si todas las condiciones siguientes son verdaderas en un sitio, se debe considerar el despliegue de Cisco FlexConnect en el sitio:
• El sitio de internet es un único conmutador de acceso de capa o el interruptor de pila.
• El sitio cuenta con menos de 50 puntos de acceso.
• El sitio es uno de los muchos pequeños sitios remotos conectados a una ubicación central
• El sitio tiene una latencia WAN menos de 100 ms de ida y vuelta al controlador compartido.
SD-modelo de acceso inalámbrico Diseño

SD-Wireless Access es la solución inalámbrica tela habilitado que se integra completamente con un modelo SD-acceso por cable. El principal beneficio de SD-El
acceso inalámbrico es que los clientes pueden tener una política común y la experiencia unificada a través de cable e inalámbrica. En este modelo, los WLCs tela
comunican la información del cliente inalámbrico para el plano de control de la tela, y los puntos de acceso de tela encapsulan el tráfico en la ruta de datos VXLAN.
Consejo técnico
tráfico de plano de control-Access SD Wireless se pasa a la WLC, mientras que el tráfico del plano de datos se pasa directamente a la tela.
(VSS)
Superposición y arpillera de Controlador de LAN

conectividad de red inalámbrica (s)
nodo frontera de Nodo L2 MEC

compartidos de distribución
Intermedio Intermedio
El nodo de servicios Nodo frontera
nodo de borde nodo de borde
SD-Acceso
Tela
7110F
AP
Requisitos para el despliegue de acceso inalámbrico-SD
• SD-Acceso despliegue Wired
• modo de Tela soportado puntos de acceso conectados directamente a SD-Access nodos de borde de la tela
• modo de Tela apoyado WLC
• 20 ms o menos latencia entre los puntos de acceso de la tela y la tela WLC

WireLess consideraciones de diseño de alta
disponibilidad
A medida que más dispositivos con funciones críticas se mueven al medio inalámbrico, alta disponibilidad de la infraestructura inalámbrica se está convirtiendo cada vez
más importante. audio en tiempo real, video y comunicación de texto se basa en la red inalámbrica de la empresa, y la expectativa de cero tiempo de inactividad se está
convirtiendo en la norma. Los impactos negativos de las interrupciones de red inalámbricas son tan impactante como las interrupciones de la red cableada. La
implementación de alta disponibilidad dentro de la infraestructura inalámbrica involucra múltiples componentes y funcionalidad desplegados en la infraestructura de red
global, que a su vez debe estar diseñado para una alta disponibilidad. En esta sección se discute la alta disponibilidad específica para la implementación de plataformas
de controladores inalámbricos. redundancia a nivel de la plataforma refiere a la capacidad para mantener el servicio inalámbrico cuando se pierde la conectividad a una o
más plataformas de controladores WLAN físicas dentro de un sitio. Los métodos de alta disponibilidad discutido dentro de esta guía de diseño son como sigue:
• La alta disponibilidad de SSO
• N + 1 de alta disponibilidad
• controlador WLAN agregación de enlaces
Alta disponibilidad de SSO
Cisco AireOS apoya el acceso de punto de conmutación de estado y el cliente de conmutación de estado. Estas dos características se refieren colectivamente
como HA SSO. Por tanto simplicidad y eficacia, HA SSO es la opción preferida para proporcionar una alta disponibilidad. Al utilizar el modelo de licencia HA SSO
rentable, implementaciones inalámbricas de Cisco pueden mejorar la disponibilidad de la red inalámbrica con tiempos de recuperación controlador en el rango de
sub-segundo durante una interrupción del controlador WLAN. Además, HA SSO permite que el controlador WLAN resistente a ser rentable licencia como un
controlador elástico de espera con su licencia de acceso de punto recuento heredado automáticamente de su controlador WLAN primaria emparejado. Esto se
logra mediante la compra de un controlador elástico de espera usando la SKU HA disponible para el Cisco 5500 y 8500 controladores de la serie de WLAN.
Las mejoras de configuración y de software del controlador de WLAN primaria se sincronizan automáticamente al controlador WLAN de espera
elástico.
N + 1 de alta disponibilidad
Se puede utilizar la arquitectura N + 1 HA con el fin de proporcionar redundancia para los controladores de WLAN dentro de un solo sitio o en sitios geográficamente
separadas con menor coste total de implementación. Se despliega a menudo junto con la arquitectura FlexConnect con el fin de proporcionar una alta disponibilidad
en los centros de datos para sucursales remotas. Puede utilizar un solo controlador WLAN copia de seguridad con el fin de proporcionar copia de seguridad para
múltiples controladores WLAN primaria. funcionalidad HA SSO no se admite para N + 1 HA. Cuando el controlador principal falla, la máquina de estado AP CAPWAP
se reinicia.
Con N + 1 HA, controladores WLAN son independientes entre sí y no comparten direcciones de configuración o de IP en cualquiera de sus interfaces. Cada WLC
debe gestionarse por separado, se puede ejecutar un hardware diferente, y puede ser desplegado en diferentes centros de datos a través del enlace WAN.
Se recomienda (aunque no es obligatorio) que ejecute la misma versión de software a través WLCs utilizados para N + 1 ha, con el fin de reducir el tiempo de inactividad como los
puntos de acceso establecen sesiones CAPWAP a los controladores de copia de seguridad. Puede CONFIG- AP ure con una prioridad con N + 1 HA. APs con alta prioridad en el
controlador primario conecte siempre primero en el controlador de reserva, incluso si tienen que empujar a los puntos de acceso de baja prioridad. Cuando un WLC primaria
reanuda el funcionamiento, los puntos de acceso caen de vuelta de la copia de seguridad WLC a la WLC primaria de forma automática, si la opción de reserva AP está activado.

Puede configurar un controlador secundario HA-SKU como un controlador de copia de seguridad para N + 1 HA. El identificador único de dispositivo HA-SKU
proporciona la capacidad del número máximo de puntos de acceso soportados en ese hardware. No se puede configurar el N + 1 Secundario HA-SKU en combinación
con HA SSO. Ellos son mutuamente excluyentes
WLAN Controller Link Aggregation

La mayoría de los aparatos controlador inalámbrico de Cisco tienen múltiples puertos físicos Ethernet 1 o 10 Gigabit. En ployments típicos de-, uno o más WLANs / identificadores de conjunto
de servicios (SSID) se asignan a una interfaz dinámica, que luego se asigna a un puerto físico. En un diseño centralizado, el tráfico inalámbrico está retrocedido a través de la red de infra-
estructura y termina en los puertos físicos. Con el uso de un único puerto físico por WLAN, el rendimiento de cada WLAN es limitado al rendimiento del puerto. Por lo tanto una alternativa
consiste en implementar la agregación de enlaces (LAG) a través de los puertos del sistema de distribución, la agrupación en una sola interfaz de alta velocidad. Cuando se habilita la LAG, el
controlador inalámbrico gestiona dinámicamente la redundancia de puerto y equilibra la carga de los puntos de acceso de forma transparente. LAG también simplifica la configuración del
controlador, porque ya no es necesario configurar los puertos primario y secundario para cada interfaz. Si cualquiera de los puertos de controlador falla, el tráfico se migra automáticamente a
uno de los otros puertos. Siempre que al menos un puerto de controlador está funcionando, el controlador inalámbrico continúa operando, APs permanecen conectados a la red, y los clientes
inalámbricos continuar para enviar y recibir datos. GAL requiere un puerto Grupo EtherChannel a configurarse en el switch Catalyst adjunto. El grupo de puertos EtherChannel se puede
configurar a través de múltiples tarjetas de línea en el conmutador Catalyst, o a través de conmutadores en una configuración de VSS switch Catalyst, para la redundancia adicional. Cuando se
configura a través de interruptores que se conoce como una el tráfico se migra automáticamente a uno de los otros puertos. Siempre que al menos un puerto de controlador está funcionando,
el controlador inalámbrico continúa operando, APs permanecen conectados a la red, y los clientes inalámbricos continuar para enviar y recibir datos. GAL requiere un puerto Grupo
EtherChannel a configurarse en el switch Catalyst adjunto. El grupo de puertos EtherChannel se puede configurar a través de múltiples tarjetas de línea en el conmutador Catalyst, o a través
de conmutadores en una configuración de VSS switch Catalyst, para la redundancia adicional. Cuando se configura a través de interruptores que se conoce como una el tráfico se migra
automáticamente a uno de los otros puertos. Siempre que al menos un puerto de controlador está funcionando, el controlador inalámbrico continúa operando, APs permanecen conectados a la
red, y los clientes inalámbricos continuar para enviar y recibir datos. GAL requiere un puerto Grupo EtherChannel a configurarse en el switch Catalyst adjunto. El grupo de puertos EtherChannel se puede configur
La siguiente figura muestra un ejemplo de agregación de enlaces controlador inalámbrico en una configuración de alta disponibilidad a un par VSS switch Catalyst.
conectividad similar se utiliza cuando se conecta a una pila de switches de distribución.
Figura 14 ejemplos agregación de enlaces
Redundancia
Puerto
Cisco WLC
HA-SSO Par
Primario Colocarse
Individual LAG Grupo por controlador: Puertos físicos 1-4 en

WLC primaria y puertos 1-4 en Standby WLC, conectar a
múltiples Linecards a través de un catalizador VSS Par. Como
alternativa, utilice StackWise virtual o un interruptor de pila.
7150F
Difusión de los puertos de los WLCs activa y en espera a través de los dos interruptores dentro del par VSS es el diseño reco- reparado. Este diseño
minimiza el tráfico que cruza el enlace conmutador virtual entre el catalizador cambia en el par VSS durante el funcionamiento normal (no fallo), porque
tanto los WLCs activo y de reserva tienen puertos conectados a los dos interruptores. Este diseño también evita una conmutación del WLC activo a la
WLC de espera en el caso de un fallo del interruptor dentro del par VSS. Sin embargo, en el caso de un fallo del interruptor dentro del par VSS, el
número de puertos conectados a la WLC activo se reduce a la mitad.
Consejo técnico
Se establece el switches Catalyst incondicionalmente a LAG (modo-a), ya que el controlador inalámbrico no admite LACP
o PAgP.

La siguiente tabla resume el soporte de alta disponibilidad con los diversos controladores.
Tabla 7 soporte de las funciones de alta disponibilidad
modelo Cisco WLC Ha sso N + 1 HA redundancia pila RETRASO
8540 Sí Sí - Sí
5520 Sí Sí - Sí
3504 Sí Sí - Sí
vWLC No Sí - A través de VMware
Compatibilidad con multidifusión
Las aplicaciones de video y voz continúan creciendo a medida que los teléfonos inteligentes, tabletas y PCs se añaden a las redes inalámbricas en todos los aspectos de
nuestra vida diaria. En cada uno de los modelos de diseño inalámbricas, el soporte multicast a los que los usuarios están AC- customed en una red cableada está
disponible de forma inalámbrica. Multidifusión se requiere con el fin de permitir la prestación eficiente de ciertas aplicaciones de uno a muchos, como el vídeo y
push-to-talk comunicaciones de grupo. Al extender el apoyo de multidifusión más allá del campus y centros de datos, los usuarios móviles pueden ahora utilizar aplica-
ciones a base de multidifusión.
La WLAN campus soporta la transmisión de multidifusión para el controlador en el sitio a través del uso de modo de multidifusión-multicast, que utiliza una dirección IP de
multidifusión con el fin de comunicar de manera más eficiente secuencias de multidifusión a los puntos de acceso que tienen los usuarios inalámbricos que se suscriben a un grupo
de multidifusión particular. En esta guía, el modo de multidifusión de multidifusión se Apoyado utilizando el Cisco 3500, 5500, 8500 y controladores de la serie WLAN.
sitios remotos que utilizan el Cisco vWLC mediante Cisco FlexConnect en el modo de conmutación local también pueden beneficiarse del uso de aplicaciones
basadas en multidifusión. Multidifusión en sitios remotos aprovecha el subyacente de soporte WAN y LAN de tráfico multicast. Cuando se combina con los puntos de
acceso en el modo de FlexConnect utilizando conmutación local, los abonados a multi- corrientes elenco se limpian directamente por la red WAN o LAN sin
sobrecarga adicional que se coloca en el controlador WLAN.
inalámbrica para huéspedes
Utilizando el cable existente del campus y la infraestructura inalámbrica para el acceso de invitados proporciona una manera conveniente tiva, el costo-effec- para ofrecer
acceso a Internet para los visitantes y contratistas. La red inalámbrica para huéspedes ofrece las siguientes funciones:
• Proporciona acceso a Internet a los clientes a través de un SSID inalámbrica abierta, con control de acceso de autenticación Web
• Apoya la creación de credenciales de autenticación temporales para cada huésped por un usuario interno autorizado
• Mantiene el tráfico en la red de invitados separada de la red interna con el fin de evitar que un invitado de cessing AC- recursos de la
red interna
• Es compatible con los modelos de diseño centralizados y Cisco FlexConnect

Figura 15 Introducción a la arquitectura inalámbrica
VSS Servicios bloque

Edge internet Centro de datos
En el lugar
WLC N + 1
Internet
LAN Switches
Core
En el lugar WLC
Par de HA
Sitio remoto
oN+1 WLCs
huéspedes (s) HA
anclaje de PÁLIDO
controlador de
WLCs HA o N + 1
En el lugar
Sede
Sitio
remoto
CAPWAP túnel CAPWAP Inalámbrica de voz
MobilityTunnel a visitantes ancla inalámbrico de datos de
CAPWAP Movilidad túnel

tráfico de visitantes
sitio de la región
1178F
Si usted tiene un solo par de controladores para toda la organización y ese par controlador está conectado al mismo conmutador de distribución como el firewall
perimetral de Internet, puede utilizar una implementación compartida.
En una implementación compartida, una VLAN se crea en el conmutador de distribución con el fin de conectar lógicamente el tráfico de invitado de los controladores
WLAN a la zona desmilitarizada (DMZ). La DMZ Guest VLAN no tendrá una interfaz de capa 3 asociado o cambiar la interfaz virtual. Como tal, cada cliente
inalámbrico de la red de invitados utilizará el firewall perimetral Inter- net como su puerta de enlace predeterminada.
Si usted no cumple con los requisitos para una implementación compartida, puede utilizar Cisco 5500 o Cisco 3500 Series controladores de LAN inalámbrica con el fin
de implementar un controlador de invitados dedicado. El controlador está conectado directamente a la DMZ Internet borde, y el tráfico de invitados de cada otro
controlador en la organización es tunelizado a este controlador. Otros controladores pueden proporcionar servicios de los clientes de anclaje como se describe pero
no se tratan en esta guía. En los dos modelos de diseño inalámbrica para huéspedes compartidos y dedicados, el firewall perimetral de Internet restringe el acceso
desde la red de invitados. La red de invitados sólo es capaz de acceder a Internet y los servidores DHCP y DNS internos.

Los departamentos de TI mayoría de las organizaciones prefieren que los usuarios se autentican inalámbrica para huéspedes en primer lugar, antes de permitir el ac-
ceso a Internet. Este paso es a veces acompañado con la lectura de usuario invitado y acordar una política de uso apague con (AUP) o acuerdo de usuario final (EUA)
antes de acceder a Internet. Desde el departamento de TI de la organización normalmente no tiene control sobre las capacidades de hardware o software de los
dispositivos inalámbricos de invitados, la decisión de autenticación y autorización se basa a menudo en solamente un nombre de usuario y contraseña de invitados. En
otras palabras, el dispositivo con el que el cliente tiene acceso a la red no puede ser considerado para cualquier decisión de política. Una forma típica de la
implementación de la autenticación de usuario invitado es a través del navegador web del usuario invitado, un método conocido como la autenticación web o WebAuth. Con
este método de autenticación, el cliente inalámbrico debe primero abrir su navegador web o aplicación móvil con navegador integrado, a un URL situado en algún lugar
dentro de Internet. La sesión del navegador es redirigido a un portal web que contuviera una página de inicio de sesión que solicita las credenciales de inicio de sesión.
Tras la autenticación ful éxito-, el usuario invitado se permite ya sea el acceso a Internet o redirigido a otro sitio web. Este método de autenticación también se conoce
como una portal cautivo.
Hay varias formas de huéspedes en las redes WLAN, tales como la autenticación de la siguiente:
• WebAuth local -Con este método, la sesión de web del dispositivo huésped se redirige por el controlador inalámbrico de invitados a un portal web que contiene
la pantalla de acceso dentro del controlador inalámbrico de huéspedes. dentials CRE del huésped se cotejan con la base de datos local en el controlador
inalámbrico de invitados. La ventaja de esta opción es que toda la gestión del acceso inalámbrico de invitados se limita al controlador inalámbrico de invitados
dentro de la zona de distensión. La desventaja de esta opción es que las credenciales de los huéspedes se mantienen por separado dentro del controlador
inalámbrico de invitados.
• autentificación alma central -Con este método, la sesión de web del dispositivo huésped se redirige por el controlador inalámbrico de invitados a un
portal web externo que contiene la pantalla de inicio de sesión. Las credenciales del huésped se cotejan con una base de datos externa dentro de un
servidor de autenticación, autorización y contabilidad (AAA). Cisco Identidad Servicios Motor (ISE) puede proporcionar tanto el portal web externo y
AAA funcionalidad servidor. Mediante la colocación de la portal WebAuth inicio de sesión en un servidor central, el administrador de la red puede
proporcionar una página-con inicio de sesión unificado un AUP opcional o EUA-para todos los accesos huésped inalámbrica sin tener que crear una
página de inicio de sesión independiente en cada controlador inalámbrico de huéspedes. Al mover la base de datos de credenciales de invitados y el
portal patrocinador invitado a un servidor AAA, el administrador de la red puede proporcionar un lugar central para crear y gestionar las credenciales
de invitados,
• invitado de abordaje basado en CMX invitado de abordaje basado en -CMX se implementa a menudo por organizaciones que deseen proporcionar acceso
gratuito a Internet en su lugar, a cambio de recoger alguna información de los clientes que visitan el sitio. Con este método, los huéspedes pueden utilizar la red
inalámbrica y acceder a Internet desde el lugar por el acceso utilizando sus credenciales de redes sociales existentes. El propietario lugar también puede optar
por permitir el acceso anónimo a la red inalámbrica. El propietario lugar también puede elegir opcionalmente para mostrar un formulario de una página de
bienvenida y registro, a medida para esa localización lugar en particular. Puede AC- complish invitado de abordaje basado en CMX mediante el despliegue de
la plataforma de Cisco CMX (también conocido como el Servicios de Movilidad del motor). Puede implementar la empresa de servicios de movilidad de la
plataforma de Cisco junto con CMX con el fin de ir más allá de simplemente proporcionar conectividad mediante la participación del visitante a través de un
navegador web o aplicación móvil desplegado en el dispositivo móvil.
officeextend Cisco
Para el trabajador a distancia basado en el hogar, es imperativo que el acceso a los servicios de negocio sea fiable y consistente, proporcionando una experiencia que es
comparable a estar en el campus. Pero en la banda inalámbrica de 2,4 GHz de uso común, los entornos residenciales y urbanas tienen muchas fuentes potenciales de
congestión, tales como conjuntos inalámbricos accionados con la mano, teléfonos inteligentes, tabletas y monitores para bebés. Para apoyar a los usuarios cuyas
habilidades técnicas variar ampliamente, una solución teletrabajador debe proporcionar una manera ágil y simplificada para implementar dispositivos que permiten el
acceso seguro al entorno corporativo.

las operaciones de TI tienen un conjunto diferente de desafíos a la hora de implementar una solución de teletrabajo, incluyendo correctamente, éste el
mantenimiento y la gestión del entorno de teletrabajo desde una ubicación centralizada. Debido a que los gastos operativos son una consideración
constante, debe implementar una solución rentable que protege la inversión de una organización sin sacrificar la calidad o la funcionalidad.
El Cisco OfficeExtend satisface los, la calidad de la experiencia y los requisitos operacionales costo de facilidad de uso. La solución Cisco OfficeExtend
se basa en dos componentes principales:
• Cisco serie 3500 o Cisco 5500 Series o Cisco 8500 Wireless LAN Controller Series
• Cisco Aironet Serie 1810W OfficeExtend Punto de Acceso
Los controladores WLAN de Cisco
controladores de WLAN de Cisco trabajan en conjunto con Cisco OfficeExtend APs con el fin de soportar aplicaciones inalámbricas críticas de negocio para los trabajadores a
distancia. Los controladores WLAN de Cisco proporcionan el control, escalabilidad, seguridad y fiabilidad de que los administradores de red necesitan para construir un entorno de
teletrabajador segura y escalable.
Un controlador independiente puede soportar hasta 500 sitios Cisco OfficeExtend. Para una solución resistente, Cisco recomienda despliegue de
controladores en pares.
Los siguientes controladores son opciones para Cisco OfficeExtend preferidos:
• Controlador Cisco 3500 Series Wireless LAN
• Controlador Cisco 5500 Series Wireless LAN
Debido a la flexibilidad de licencia de software le permite añadir puntos de acceso adicionales a medida que cambian los requisitos de negocio, se puede elegir el
controlador que apoyará sus necesidades a largo plazo, lo que le permite pagar sólo por lo que necesita, cuando lo necesite.
Para permitir a los usuarios conectar sus dispositivos de punto final a cualquier red inalámbrica en el sitio de la organización o de sus redes inalámbricas domésticas
en- teletrabajo sin reconfiguración, Cisco OfficeExtend utiliza el mismo SSID inalámbricas en los hogares de los teletrabajadores como los que soportan datos y voz
dentro de la organización.
Cisco OfficeExtend Puntos de Acceso
El Aironet Serie 1810W OfficeExtend punto de acceso de Cisco es ligero, lo que significa que no puede actuar de forma independiente de un
controlador WLAN. Para ofrecer conectividad WLAN remoto utilizando el mismo perfil que en la oficina corporativa, la AP valida todo el tráfico en
contra de las políticas de seguridad centralizadas. Mediante el uso de controladores WLAN para la centralización de las políticas, Cisco
OfficeExtend minimiza la sobrecarga de administración asociados con los servidores de seguridad basados en el hogar. Una conexión de
seguridad de capa de transporte Data- gramo asegura las comunicaciones entre el AP y el controlador de WLAN. Cisco OfficeExtend ofrece un
rendimiento inalámbrico 802.11ac y evita la congestión causada por los dispositivos residenciales debido a que opera simultáneamente en el 2,4
GHz y las bandas de RF-5 GHz. La AP también ofrece conectividad de red éter-cable, además de inalámbrico.
Modelos OfficeExtend Diseño
Para el despliegue más flexible y segura de Cisco OfficeExtend, desplegar un par controlador dedicado para Cisco OfficeExtend utilizando el Cisco 5500
o 3500 controladores de la serie de LAN inalámbrica. En el modelo de diseño dedicado, el controlador está conectado directamente a la DMZ borde
Internet y el tráfico de Internet se termina en la DMZ (en oposición a en la red interna), mientras que el tráfico cliente todavía está conectado
directamente a la red interna.

Figura 16 Cisco OfficeExtend modelo de diseño dedicado
Internet
teletrabajador
Edge Routers de
Internet
Centro de datos ANUNCIO Interruptor DMZ
OfficeExtend
ISE
WLCs
Wireless LAN remota Edge internet
de datos de voz
inalámbrico CAPWAP
RADIUS
servicios de nombres de dominio de multidifusión y la puerta de enlace Bonjour 7151F
Bonjour es protocolo de configuración cero de Apple para la publicidad, descubrir y conectarse a servicios tales como compartir archivos, compartir impresoras, y el intercambio de medios de
red. El protocolo Bonjour fue diseñado originalmente para su uso red doméstica y utiliza los servicios de nombres de dominio de multidifusión (mDNS) a través de la multidifusión local de
enlace para compartir los servicios de red. Aunque este enfoque funciona bien en redes domésticas, una limitación de la multidifusión local de enlace es que estos servicios de red sólo serán
compartidos dentro de un único dominio de nivel 2 (por ejemplo, una VLAN o WLAN). En un escenario de WLAN empresarial, se utilizan diferentes redes WLAN y redes VLAN para diferentes
clases de dispositivos, incluyendo dispositivos corporativos, dispositivos pleado em-, dispositivos personales y dispositivos de clientes (así como las WLAN de cuarentena para dispositivos no
autorizados). Como tal, operaciones-tales Bonjour básicos como la impresión en una impresora con cable de una WLAN-pueden no ser compatibles de forma nativa. Para hacer frente a esta
limitación y para satisfacer la demanda del usuario para los dispositivos BYOD de Apple dentro de la empresa, Cisco desa- OpEd la función de puerta de enlace para Bonjour sus WLCs. Esta
característica resuelve la limitación de dominio de nivel 2 para Bonjour al permitir que el WLC que sean escuchados, caché, y de proxy responden a las solicitudes de servicio de Bonjour que
pueden residir en diferentes dominios de nivel 2. Además, estas respuestas pueden ser controladas selectivamente por las políticas administrativas, por lo que sólo ciertos servicios Bonjour
serán permitidos en determinados dominios de nivel 2. Esta característica resuelve la limitación de dominio de nivel 2 para Bonjour al permitir que el WLC que sean escuchados, caché, y de
proxy responden a las solicitudes de servicio de Bonjour que pueden residir en diferentes dominios de nivel 2. Además, estas respuestas pueden ser controladas selectivamente por las
políticas administrativas, por lo que sólo ciertos servicios Bonjour serán permitidos en determinados dominios de nivel 2. Esta característica resuelve la limitación de dominio de nivel 2 para
Bonjour al permitir que el WLC que sean escuchados, caché, y de proxy responden a las solicitudes de servicio de Bonjour que pueden residir en diferentes dominios de nivel 2. Además, estas respuestas pueden

El protocolo Bonjour utiliza consultas mDNS. Estas consultas se envían a través del puerto UDP 5353 a estas direcciones de grupo reservadas:
• Grupo de direcciones IPv4: 224.0.0.251
• Grupo de direcciones IPv6: FF02 :: FB
Es importante destacar que las direcciones utilizadas por mDNS Bonjour son las direcciones de multidifusión de enlace local y sólo se envían dentro del dominio local de Capa 2,
porque multidifusión local de enlace está destinado a permanecer locales por diseño. ULTERIORES más, los routers no pueden incluso utilizar el enrutamiento de multidifusión para
redirigir las consultas acuses de recibo, ya que el tiempo de vida (TTL) de estos paquetes se establece en 1.
Bonjour fue desarrollado originalmente para redes domésticas típicas, con un único dominio de nivel 2, donde esta limitación de enlace local de mDNS rara vez se
plantea ninguna restricción de implementación prácticos. Sin embargo, en un campus de la empresa Desplegar ción, donde un gran número de cable e inalámbricas
pueden existir Capa-2 dominios esta limitación limita seriamente la funcionalidad Bonjour, Bonjour porque los clientes sólo ven los servicios alojados de forma local y
no ven o se conectan a servicios alojados en otras subredes. Esta limitación de multidifusión de enlace local de Bonjour mDNS se ilustra en la siguiente figura.
Figura 17 limitación despliegue Bonjour en las redes empresariales
Bonjour es Enlace de
multidifusión local y no puede
ser enrutado
224.0.0.251
Apple TV
AirPrint
Acceso VLAN Y
CAPWAP
túnel WLC
224.0.0.251
Protectores
1336F
VLAN X Punto de
Acceso
La característica Bonjour Gateway (puerta de enlace de la función mDNS más a menudo habilitado Bonjour) snoops y almacena en caché todos los anuncios de servicio
Bonjour en múltiples VLAN y se puede configurar para responder a las preguntas de forma selectiva Bonjour.
Opciones de implementación de políticas Bonjour Service Gateway
Una ventaja funcional clave de la puerta de enlace Bonjour es que puede ser configurado para responder selectivamente a Bonjour servicio solicitudes,
permitiendo así el control administrativo de servicios Bonjour dentro de la empresa. Bonjour políticas se pueden aplicar sobre la base siguiente:
• por WLAN
• por VLAN
• Por Interface / Interfaz-Group

Cisco Application Visibilidad y Control

La visibilidad de las aplicaciones Cisco y Control (AVC) solución ya soportado sobre plataformas de enrutamiento de Cisco como el Cisco ASR 1000 y
Cisco ISR-está disponible en plataformas WLC, incluyendo el Cisco 3500, 5500, y 8500 WLCs en modo de conmutación central.
El conjunto de características Cisco AVC aumenta la eficiencia, la productividad y capacidad de administración de la red inalámbrica. Ad-nalmente, el apoyo de AVC
incrustado dentro de la infraestructura WLAN amplía las soluciones de QoS basados en aplicaciones de extremo a extremo de Cisco.
AVC incluye estos componentes:
• La próxima generación de la tecnología de inspección profunda de paquetes (DPI) llamada Siguiente apli- cación basada en la Red de Nueva Generación
(reconocimiento NBAR2), que permite la identificación y la clasificación de aplicaciones. Disponible en plataformas basadas en Cisco IOS, NBAR2 es una tecnología de
inspección profunda de paquetes que incluye la ayuda de la clasificación de estado L4-L7.
• Capacidad de observación se utilizan aplicaciones DiffServ, que luego se puede utilizar para priorizar o cierre definitivo de priorizar las solicitudes de tratamiento de QoS
tanto sobre las redes cableadas e inalámbricas.
• Una plantilla para Cisco NetFlow v9 para seleccionar y exportar datos de interés para Cisco IP o un colector NetFlow de terceros para recopilar, analizar y
guardar los informes para la solución de problemas, planificación de capacidad, y de cumplimiento poses PUR.
Estos componentes AVC se muestran en la siguiente figura.
Figura 18 componentes de Cisco AVC
Tráfico
NBAR BIBLIOTECA
inspección profunda de
paquetes
Platino CONTROLAR EL PAQUETE CACHE netflow
Oro Dirección IP origen flujo de información Los paquetes Bytes / paquetes
Plata Dirección IP de destino Dirección, puertos 11000 1528

NetFlow campos clave
Bronce Puerto de origen
Puerto de destino Crear un flujo de paquetes de Atributos
POLÍTICA Capa 3 Portocol

paquetes Marcos
TOS Byte (DSCP)
y soltar
Interfaz de entrada
Netflow (plantilla estática)
Proporciona un flujo de exportación

1341F

Cisco AVC en el WLC hereda NBAR2 de Cisco IOS que proporciona la tecnología DPI para clasificar clasificación de aplicaciones con estado L4-L7. Esta
es una tecnología crítica para la gestión de aplicaciones, ya que ya no es una cuestión sencilla de configurar una lista de acceso basado en el protocolo
TCP o UDP número de puerto (s) para identificar positivamente una aplicación. De hecho, como han madurado aplicaciones, particularmente en la última
década, un número cada vez mayor de aplicaciones se han convertido en opaco a dicha identificación. Por ejemplo, el protocolo HTTP (puerto TCP 80) se
puede llevar a miles de aplicaciones potenciales en su interior y en las redes de hoy en día parece funcionar más como un protocolo de transporte, en
lugar de como el protocolo de capa de aplicación OSI que fue diseñado originalmente para ser. Por lo tanto, para identificar con precisión las aplicaciones,
Después de que el motor de NBAR reconoce aplicaciones por sus firmas de protocolo discretos, se registra esta información en una tabla de flujo común para que otras
características WLC pueden aprovechar este resultado de clasificación. Las características incluyen QoS, NetFlow, y las características de firewall, todos los cuales
pueden actuar en base a esta clasificación detallada. Cisco ofrece AVC:
• Visibilidad de las aplicaciones en el Cisco WLC permitiendo visibilidad de las aplicaciones para cualquier WLAN configurado. Una vez que desactiva la
visibilidad de la aplicación en el motor NBAR clasifica aplicaciones en dicho WLAN particular. Se puede ver en la visibilidad de las aplicaciones WLC a nivel
general de la red, por WLAN o por cliente.
• Control de la aplicación en el Cisco WLC mediante la creación de un perfil de AVC (o política) y lo conecta a una WLAN. El AVC es compatible con las normas
de calidad de servicio por aplicación y proporciona las siguientes acciones a tomar en cada aplicación cado clasifi-: Mark (con DSCP), Permiso (y transmitir sin
cambios) o la gota. casos de uso de negocio clave para Cisco AVC incluyen:
• La clasificación y marcado aplicaciones de dispositivos móviles inalámbricos -Identificación y diferenciadora de voz en tiempo real, video o aplicaciones críticas
para el negocio de las aplicaciones menos importantes (pero potencialmente ancho de banda) con el fin de priorizar, de-priorizar, o dejar el tráfico de
aplicaciones específicas.
• La planificación de capacidad y tendencias -Baselining la red para obtener una comprensión más clara de lo aplicaciones están consumiendo ancho de banda y el uso
de aplicaciones de tendencias con el fin de ayudar a los administradores de red para planificar mejoras de la infraestructura.
sistema de prevención de intrusiones inalámbricas
La solución Cisco WiPS ofrece una solución flexible y escalable, basado en 24x7x365 tiempo completo de seguridad inalámbrica para satisfacer las necesidades de cada cliente. La
seguridad es un factor muy importante en las implementaciones WLAN de hoy en día, y el sistema de Cisco WiPS está diseñado para satisfacer todas las capas 1, 2, 3 y desafíos de
seguridad de una implementación de WLAN. El uso de una solución de Cisco de un WLC, PI, y MSE con los servicios de localización de contexto conscientes, WiPS pueden
localizar, mitigar y contener ataques en entornos de campus. Se muestran los diferentes tipos de ataques que pueden apoyar WiPS.

Tabla 8 WiPS ataques y solución de Cisco
WiPS ataques y amenazas solución de Cisco
ataques a los hilos puntos de acceso WLC, PI, y con MSE detecta sensibles al contexto, localiza, mitiga, y contiene estos ataques.
vulnerables inalámbrica ad-hoc puente
inalámbrico
Los ataques over-the-Air Evil Twin / WLC, PI, y MSE con WiPS detectar y enviar alertas para estos ataques.
tarro de miel AP denegación de
servicio Reconocimiento
herramientas Cracking
Las amenazas no-802.11 pícaros CleanAir AP, WLC, PI y MSE con sensible al contexto detecta localiza y envía una alerta para estos ataques.
manipulado Bluetooth, emisores de
interferencias de RF de microondas
Ataques a hilos
Un AP en el modo de WIPS-optimizados llevará a cabo la evaluación de amenazas pícaro y mitigación mediante el uso de la misma lógica que los actuales implementaciones de
red inalámbrica unificada de Cisco. Esto permite que un WIPS AP para escanear, detectar, y contiene puntos de acceso vulnerables y redes ad hoc. Una vez descubierto, esta
información con respecto a los dispositivos inalámbricos deshonestos se informa que Cisco PI, donde la agregación de alarma rogue tiene lugar. Sin embargo, con esta
funcionalidad viene la advertencia de que si un ataque de contención se pone en marcha mediante un modo de AP WiPS, su capacidad para llevar a cabo una búsqueda de
canales centrado ataque metódico se interrumpe durante la duración de la contención.
Los ataques Over-the-Air
Adaptable de Cisco IPS inalámbrico incorpora detección de amenazas inalámbrica completa y mitigación en la infraestructura de red inalámbrica
para ofrecer solución de seguridad inalámbrica rentable más completa, precisa y operativa de la industria.
Las amenazas no-802.11
La tecnología Cisco CleanAir detecta que no son 802.11 amenazas. La tecnología CleanAir es una herramienta eficaz para supervisar y gestionar las condiciones
de RF de su red. Cisco MSE extiende esas capacidades.
sistema WIPS adaptativos Cisco

Los componentes básicos del sistema para un sistema adaptable de Cisco WiPS incluyen:
• APs en Cisco WIPS modo monitor, en modo local mejorada, o con Cisco WSM
• controlador (s) WLAN
• Cisco MSE que ejecuta el servicio de Cisco WiPS
• Cisco Prime Infraestructura

Un despliegue WIPS integrado es un diseño del sistema en el que los puntos de acceso modo no WIPS y el modo de WIPS APs son inter- mezclado en el mismo controlador
(s) y administrado por la misma infraestructura Prime. Esto puede ser cualquier combinación de modo local, el modo de FlexConnect, modo local mejorada, el modo monitor,
y los puntos de acceso modulares que soportan el WSM. Al superponer acciones de protección de datos utilizando WiPS y WSM en los puntos de acceso, puede reducir los
costos de infraestructura.
Figura 19 WiPS operación con Cisco MSE
Cisco Prime
Infraestructura
Enhanced local
Cliente MSE con WiPS
modo AP
Servicio
Cliente Modo Local AP WiPS modo AP
1342F
Modo Local +
Cliente
Módulo WSSI
WiPS modos de implementación
Adaptable de Cisco Wireless IPS tiene tres opciones para los puntos de acceso en modo WiPS. Para explicar mejor las diferencias entre los puntos de acceso en modo WiPS, esta
sección describe cada modo.
Figura 20 WiPS modos de operación
Los datos, WiPS y Sirviendo Modo Monitor con Los datos, Monitor
CleanAir AP de datos WiPS con WiPS
Modo local mejorada Modo Monitor AP AP3600 con WSSI Módulo
Porción de datos, WiPS y Clean Air “en el WiPS y la cobertura Clean Air “todos los
canal” cobertura canales”
Mejor Esfuerzo “Off cobertura WiPS Sirviendo a la cobertura de datos “en el

1343F
Channel canal”

Modo local mejorada

ELM proporciona la detección WIPS en canales, lo que significa que los atacantes se detectan en el canal que está sirviendo entos CLI-. Para todos los demás canales,
ELM proporciona la detección WIPS de mejor esfuerzo. Esto significa que cada fotograma de la radio se apagará canales para un corto período de tiempo. Mientras
que la radio está fuera de canal, si ocurre un ataque mientras que el canal se escanea, se detectará el ataque.
Como un ejemplo de modo local mejorada en una serie AP 3800, supongamos que el radio de 2,4 GHz está operando en el canal
6. El AP hará un seguimiento continuo de canal 6 y cualquier ataque contra el canal 6 será detectado y reportado. Si un ataque se produce en el canal 11
mientras que el AP está escaneando canal 11 fuera de canal, se detectará el ataque. ELM características incluyen:
• WiPS análisis de seguridad de 7x24 situ la búsqueda de canales (2.4 GHz y 5 GHz), con el mejor esfuerzo de apoyo fuera de canal.
• AP, además, servir a los clientes y con Cisco Aironet segunda generación (G2) Puntos de Acceso Series, análisis de espectro CleanAir está
habilitado en canales (2,4 GHz y 5 GHz).
• Adaptativa de exploración WIPS en el canal de datos que sirve APs locales y FlexConnect.
• Protección sin necesidad de una red superpuesta separada.
• Apoyo al cumplimiento de PCI para las redes WLAN.
• 802.11 y 802.11 no detección de ataque completo.
• Medicina forense y la capacidad de generar informes.
• Flexibilidad para configurar el modo de monitor puntos de acceso integrados o dedicados.
• Pre-procesamiento en los puntos de acceso, lo que minimiza el backhaul de datos (es decir, funciona a través de enlaces de muy bajo ancho de banda).
• Bajo impacto en los datos de los clientes que sirven AP.
Modo de monitor
El modo monitor proporciona una detección WIPS fuera de canal, lo que significa el AP habitará en cada canal durante un periodo extender de tiempo, permitiendo que el AP para
detectar ataques en todos los canales. El radio de 2,4 GHz escanea todos los 2.4 GHz canales, mientras que el canal 5 GHz escanea todos los canales 5 GHz. Un punto de
acceso adicional tendría que ser instalado para acceso de cliente. Algunas de las características del modo de monitor:
• El punto de acceso en modo de monitor (MMAP) está dedicada a funcionar en el modo de monitor y opcionalmente puede añadir WIPS de exploración de
seguridad de todos los canales (2,4 GHz y 5 GHz).
• Para Cisco Aironet G2 APs Series, análisis de espectro CleanAir está habilitado en todos los canales (2,4 GHz y 5 GHz).
• MMAPs no sirven clientes.
• Un AP Cisco con el módulo de WSM utiliza una combinación de la operación en el canal y fuera de canal. Esto significa que los AP 2.4 GHz y
radios internos 5 GHz escanear el canal con el que están sirviendo a clientes y el módulo de WSM serán adicionalmente operar en modo de
monitor y escanear todos los canales.

Detección de puntos
Se puede considerar a cualquier dispositivo que comparte su espectro y que no va a administrar como un dispositivo no autorizado. Un pícaro se vuelve peligrosa en los
siguientes escenarios:
• Rogue AP con el mismo SSID que su red (honeypot)
• dispositivo no autorizado AP también en la red cableada
• pícaros ad-hoc
• Pícaros establecido por un intruso con malas intenciones
Hay tres fases principales de la gestión de dispositivo no autorizado en la solución CUWN:
• Detección -La solución utiliza RRM de exploración con el fin de detectar la presencia de dispositivos no autorizados.
• Clasificación -La solución utiliza protocolo de descubrimiento de ubicación rogue, detectores de deshonestos, y puerto de conmutación rastreo con el fin de identificar
si el dispositivo no autorizado está conectado a la red cableada. reglas de clasificación Rogue también ayudan en la filtración de pícaros en categorías específicas
en función de sus características.
• mitigación -La solución utilizada traza puerto del conmutador y el cierre, la ubicación pícaro, pícaro y contención con el fin de rastrear la ubicación
física y anular la amenaza de dispositivos no autorizados.
Figura 21 gestión pícaro Cisco

Red de núcleo
Cisco Prime
Infraestructura
Auto Switchport
Distribución
WLC
Rastreo
Detector de
Rogue
Las listas
de rutas
ARP oler
Grupos de
RLDP
rutas
Acceso
Escaneo
RRM
Rogue AP Cisco AP Rogue AP Rogue AP

1344F
Auto Contener cliente válido sobre el Rogue

Para obtener información adicional acerca de un controlador versiones gama WLAN, visite cisco.com y buscar “Gestión Rogue inalámbrica.”
gestión de recursos de radio

Para optimizar la eficiencia, el software RRM incrustado en el Cisco Wireless LAN Controller actúa como un administrador para supervisar constantemente
con- over-the-air métricas y controlar la RF transmitida. Mide:
• Señal -Sus propios puntos de acceso que pertenecen a la misma red de RF.
• Interferencia 802.11 dispositivos -los que operan cerca que pueden ser escuchados por la red.
• ruido energía -Cualquier en el espectro de RF que no puede ser desmodulada como 802.11 protocolo.
• Carga carga de usuarios -Instantaneous en la red.
• Cobertura -La RSSI y la relación señal-ruido estimados por el sistema para clientes conectados a la red.
Con esta información, RRM puede reconfigurar periódicamente la red de RF 802.11 para una mejor eficiencia. Para ello, RRM realiza estas
funciones:
• monitoreo de recursos de radio -Collecting las métricas
• Transmitir de control de potencia -Ajuste para niveles de potencia óptimos
• asignación de canal dinámico (DCA) -Asegurar que las asignaciones de canal no se superponen
• la detección de agujeros de cobertura y corrección -Garantizar que tiene una cobertura adecuada y clientes detectar que puede estar en un agujero de la
cobertura
RRM detecta y configura automáticamente nuevos Cisco WLCs y ligeros puntos de acceso, ya que se agregan a la obra NET. A continuación, ajusta
automáticamente los puntos de acceso ligeros y asociados cercanos para optimizar la cobertura y capacidad. Para obtener información más detallada
acerca de lo RRM hace y cómo lo hace sus mediciones, visite cisco.com y buscar el último Libro Blanco de la Gestión de Recursos Radio .
Transmitir Control de Potencia
El Cisco WLC controla dinámicamente la potencia de transmisión de AP sobre la base de condiciones de WLAN en tiempo real. Se puede elegir entre dos versiones de control de
potencia de transmisión: TPCv1 y TPCv2. Con TPCv1, típicamente de potencia puede mantenerse baja para ganar capacidad extra y reducir las interferencias. potencia Con
TPCv2, transmitir se ajusta dinámicamente con el objetivo de un mínimo de interferencia. TPCv2 es adecuado para redes densas. TPCv1 es la configuración predeterminada y
está bien adaptado para su uso en la mayoría de las implementaciones.
Anulación del algoritmo de TPC con ajustes mínimos y máximos de potencia de transmisión
El poder saldos algoritmo de TPC RF en muchos entornos de RF diversos. Sin embargo, es posible que el control automático de potencia no será capaz de resolver
algunos de los escenarios en los que un diseño de RF adecuada no fue posible implementar debido a las restricciones o sitio arquitectónica restricciones, por ejemplo,
cuando todos los puntos de acceso deben estar montados en un pasillo central, la colocación de los puntos de acceso muy cerca, pero que requieren la cobertura hasta el
borde del edificio. En estos escenarios, puede configurar límites máximo y mínimo de potencia de transmisión para anular TPC recomendaciones. Los ajustes máximo y
mínimo de potencia TPC se aplican a todos los puntos de acceso que pertenecen al mismo grupo AP a través del uso de un perfil de RF. Cuando se utiliza como una
opción de configuración global, los ajustes se aplican a todos los puntos de acceso conectados al controlador específico.

Si configura una potencia de transmisión mínima, RRM no permite que ningún AP conectada al controlador para ir por debajo de este nivel de potencia de transmisión,
independientemente de la función es dirigir el cambio de potencia (TPC RRM o la detección de agujeros de cobertura). Por ejemplo, si configura una potencia de transmisión
mínima de 11 dBm, entonces no AP transmitirá por debajo de 11 dBm, a menos que el punto de acceso está configurado manualmente y ya no está bajo el control de RRM.
Para detalles adicionales sobre el algoritmo de TPC que es parte del mecanismo de reacción rápida, visite cisco.com y la búsqueda de la última Libro Blanco de la Gestión de
Recursos Radio .
Asignación dinámica de canales
La especificación 802.11 define múltiples canales para el funcionamiento. Los canales son esencialmente diferentes rangos de frecuencia que no se solapan y se
pueden asignar utilizando un designador de canal. El comportamiento es análogo al carriles en una carretera de sólo reciba el beneficio completo de la pista si está
completamente separado del otro carril en la misma autopista. Si los carriles se superponen entre sí (o, peor aún, se funden en un solo carril), luego la autopista se
desacelera a paso de tortuga.
Canales en una red de RF funcionan de manera similar. Sin embargo, hay una consideración adicional de energía, equivalente a hacer carril más ancho o más estrecho (la
cobertura del punto de acceso). El trabajo de asignación dinámica de canales es rastrear los carriles disponibles (canales), que se diferencian por las regulaciones en
función del país de instalación. En segundo lugar, DCA como- señales de los canales a los puntos de acceso que no entren en conflicto con los canales ya asignados. Para
un determinado AP, el potencial de rendimiento es dependiente de un funcionamiento sin interferencias. DCA es consciente de lo canales en los que se le permite oper-
comió y asigna estos canales para ser lo más observaciones como sea posible sin interferencias, basado en más de-the-air. Después de haber instalado todos los puntos
de acceso, es una buena práctica a continuación, calibrar DCA invocando el modo de puesta en marcha RRM. El modo de inicio RRM se invoca en las siguientes
condiciones:
• En un entorno de un solo controlador, el modo de inicio RRM se invoca después de una correcta actualización del software del controlador; de lo contrario, se
inicia manualmente (véase más adelante).
• En un entorno de múltiples controlador, el modo de inicio RRM se invoca después de un líder del Grupo RF ha éxito- totalmente actualizado el
software; de lo contrario, se invoca de forma manual desde la CLI. Puede activar el modo de inicio de RRM CLI, con el siguiente comando:
config 802.11a / b reinicio mundial de canal
modo de inicio RRM tiene una duración de 100 minutos (10 iteraciones en intervalos de 10 minutos). El modo de inicio consiste en 10 DCA funciona con alta
sensibilidad y sin amortiguación (canal de hacer cambios fácil y sensible para el medio ENTORNO) para converger a un plan de canales en estado estacionario. Una
vez finalizado el modo de inicio, el DCA sigue funcionando en el intervalo de sensibilidad y como se especifica por la organización.
Para obtener detalles adicionales sobre el algoritmo DCA que forma parte del mecanismo de reacción rápida, visite cisco.com y la búsqueda de la última Asignación DY- NAMIC
Canal Libro Blanco .
Cobertura detección de agujeros y corrección
El algoritmo de detección de agujeros cobertura RRM puede detectar áreas de cobertura de radio débil en una WLAN que están por debajo del nivel necesario para el
rendimiento de radio robusta. Esta característica se puede alertar a la necesidad de un (CATed o reubicar) adicional ligera AP.
Si se detectan los clientes en un punto de acceso ligero a niveles umbral más bajo de los especificados en la configuración del mecanismo de reacción rápida, el AP envía
una alerta de “agujero de cobertura” al controlador. Los umbrales de RSSI incluyen, fracasó recuento cliente, por- centaje de paquetes fallidos, y el número de paquetes
fallidos. La alerta indica la existencia de un área donde los clientes están experimentando continuamente mala cobertura de la señal sin tener un punto de acceso viable a la
que vagar. El controlador dis- criminates entre los agujeros de cobertura que pueden y no pueden ser corregidos. Para agujeros de cobertura que pueden ser corregidos, el
controlador mitiga el agujero cobertura aumentando el nivel de potencia de transmisión para que específica AP. para los clientes

que están tomando decisiones de roaming pobres (que se refiere como “clientes pegajosos”), la cobertura del agujero algoritmo informa de un falso positivo. El sistema
valida para asegurar que un cliente se escucha mejor en otro punto de acceso y no se está moviendo innecesariamente a otro AP por una razón arbitraria.
Para obtener detalles adicionales sobre la detección y mitigación de Cobertura Hole, visite cisco.com y la búsqueda de la última discusión Cobertura orificio
de detección y mitigación en el algoritmo Libro Blanco de la Gestión de Recursos Radio .
Beneficios de la RRM
RRM produce una red con capacidad óptima, rendimiento y fiabilidad. Se le libera de tener que continua- aliado supervisar la red para los problemas
de ruido e interferencia, que puede ser transitoria y difícil de solucionar. RRM asegura que los clientes disfruten de una conexión perfecta y sin
problemas a lo largo de la obra NET inalámbrica unificada de Cisco.
Selección de banda
La mayoría de los dispositivos de consumo se publica hoy operan en una o ambas de las dos gamas de frecuencia, o alzacuello dispositivos de doble banda son
bastante comunes; Sin embargo, las bandas soportadas por los dispositivos no son iguales. Las propiedades y número de frecuencias disponibles para 2,4 GHz y 5
GHz dispositivos difieren significativamente, con 5 GHz que tiene tanto como 8 veces el ancho de banda disponible como 2,4 GHz. Aun así, las propiedades físicas 2,4
GHz permitir que un dispositivo a ser oído mucho más (1,5 veces más) que los 5 dispositivos GHz que operan al mismo nivel de potencia. Selección de banda permite la
identificación de clientes de banda dual y ayuda a los dispositivos a tomar decisiones informadas sobre qué rango de frecuencia y AP para seleccionar. El sistema hace
esto simplemente no responder a los 2,4 GHz sondas de un cliente y al responder de inmediato al cliente cuando el cliente utiliza sondas de 5 GHz. Este
comportamiento del sistema edades Anime a los clientes utilizar el mayor ancho de banda disponible en 5 GHz y aumenta la capacidad total de la red. Se recomienda a
las organizaciones para permitir Selección de banda en todos los ambientes. Para obtener más información sobre la configuración de Selección de banda, visite
cisco.com y la búsqueda de “Configuración del mando inalámbrico 802.11 Bandas”.
asignación flexible de radio

Asignación de radio flexible (FRA) es una nueva característica que se aprovecha de las opciones de hardware disponible en los puntos de acceso de la serie Cisco
2800/3800. Nota de la discusión Selección de banda que hay limitaciones a 2,4 GHz. Si va a implementar puntos de acceso para una cobertura óptima de 5 GHz y la
densidad, es probable que tenga una densidad innecesariamente alto de 2,4 GHz y radios de sus opciones de selección de canales limitados, lo que provocará problemas de
interferencia. medidas FRA esta e identifica los puntos de acceso de radio de 2,4 GHz, cuyo pueden ser asignados de manera selectiva a un papel que optimiza el uso del
espectro de radiofrecuencia.
FRA primero identifica los puntos de acceso redundantes y luego se las arregla cambiando la radio XOR sola a otra banda. FRA se basa en hardware capaz así como DCA
existentes a fin de gestionar la conmutación de las funciones de interfaz. FRA también Vides pro de una nueva métrica, solape de cobertura Factor, que los administradores
pueden utilizar para seleccionar y configurar las radios redundantes dentro del despliegue manualmente.
Para un administrador de campus de la implementación de modelos de Cisco 2800i / 3800i, FRA en el modo automático es muy conservador y va a hacer un buen trabajo de asegurar que
la cobertura es lo suficientemente densa sin conducir a niveles donde la interferencia de nuevo se convierte en un problema.
Para aquellos que implementan modelos Cisco 2800i / 3800i, la recomendación es dejar los puntos de acceso en auto-FRA y permitir la auto-FRA de la interfaz gráfica de usuario.
Para obtener más detalles sobre la configuración de FRA, visite cisco.com y buscar “Asignación de radio flexible y Redun- dant radios.”

Cisco ClientLink
tecnología de redes inalámbricas de Cisco ClientLink utiliza la formación de haz con el fin de mejorar la relación señal-ruido para todos los clientes
inalámbricos y no se limita a los que apoyan el estándar 802.11n (que tiene la adopción ejecución mínimo de cliente) o el estándar 802.11ac.
Todos Cisco Serie 2800 y 3800 puntos de acceso Cisco Support ClientLink, que se activa automáticamente y proporciona una relación señal-ruido percibido más alto
para todos los clientes (incluso 802.11a, b, g). Como resultado, la red permite mayores velocidades de datos y una mayor eficiencia de tiempo aire. En resumen, la
comunicación es más rápido, por lo que hay más tiempo disponible para todos.
ClientLink es una innovación de Cisco disponible desde 2010 para que las redes 802.11 más robusto. La puesta en imple- ClientLink es único porque no
tiene ningún requisito para el lado del cliente, lo que significa que no se basa en el fabricante del cliente para implementar cualquier cosa para lograr los
beneficios ClientLink.
Un estándar del lado del cliente se introdujo para la conformación de haz con 802.11n; Sin embargo, el estándar nunca fue implementado ampliamente en el mercado. Con
802.11ac, la formación de haces del lado del cliente es un requisito que está bien soportado, pero sólo para los clientes más nuevos certificados. ClientLink cierra la brecha
apoyo y permite que todos los clientes puedan ver los beneficios en el rendimiento.
Para detalles adicionales sobre ClientLink, visite cisco.com y buscar “Cisco ClientLink: Optimización de dispositivos DESEMPEÑO con 802.11n.”
Ancho de banda dinámico SELECCIÓN-DB

Con la introducción de 802.11n, y más tarde con 802.11ac Wave 1 y Wave 2, que tiene la capacidad de utilizar canales múltiples ples juntos como una sola
asignación en un determinado punto de acceso. Esto aumenta la cantidad de ancho de banda disponible para un canal dado y mejora el rendimiento y la
velocidad aparente percibida por el cliente. Sin embargo, para utilizar estos canales combinados, un AP y un cliente debe soportar la capacidad tanto, que no es
posible con los clientes 802.11n. smartphones cuentan con pocos clientes y casi todos 802.11n se limitan a un ancho de canal de 20 MHz; mientras que un
cliente 802.11ac debe soportar hasta la anchura del canal 80 MHz con el fin de ser certificados. Los clientes en la mayoría de las redes de hoy en día son en
gran medida los dispositivos 802.11n, junto con algunos clientes 802.11ac. Se espera que este entorno mixto a ser común durante algún tiempo en el mercado.
canales de unión -usando múltiples canales individuales para crear un solo canal súper-tiene la ventaja de proporcionar el rendimiento más utilizable a un cliente
con la capacidad de utilizar el canal. Sin embargo, en el uso de múltiples canales para crear una sola, trozos más grandes del espectro se consumen,
disminuyendo el número total de canales Fering no inter utilizar con DCA. Esto puede resultar en canal de re-uso agresivo si hay suficientes puntos de acceso
(cada uno requiere un canal de operación) y la interferencia aumento de co-canal (lo contrario de eficiencia). Ancho de banda de Selección Dinámica trabaja con
el algoritmo DCA para controlar los puntos de acceso y los tipos de cliente y corbatas capabili- utilizando los puntos de acceso. Basándose en este análisis, DBS
asigna anchuras de canal adecuadas a los puntos de acceso a BAL- dinámicamente Ance la selección de ancho de banda para los tipos de clientes y el tráfico
que utiliza cada AP.
DBS permite el ancho de banda de tamaño apropiado para ser utilizado para los clientes servidos, evita desperdiciar múltiples Nels Chan para los dispositivos que
probablemente no podrían utilizar la capacidad añadida, y evita la interferencia asociada creado por dichos dispositivos. Por estas razones, se debe ejecutar en
modo DCA DBS. Para obtener detalles adicionales, visite cisco.com y buscar “Experiencia de alta densidad (HDX) Guía de implementación.”

Inalámbricas de campus Cleanair

Cisco CleanAir es una solución diseñada inteligencia de espectro para gestionar proactivamente no-interferencia Wi-Fi, que también opera en los 2,4 GHz y 5
espectros. Muchos dispositivos de consumo también utilizan las mismas frecuencias que se utilizan en 802.11 Wi-Fi. Los dispositivos tales como auriculares Bluetooth,
hornos de microondas, y muchos nuevos dispositivos IOT utilizan protocolos diferentes pero ocupan las mismas frecuencias necesarias para el funcionamiento de la
WLAN.
Cisco CleanAir está disponible una innovación sólo cuando se implementa en el silicio de AP-CleanAir capaces. CleanAir está dedicado a la detección y la
identificación de las fuentes de interferencia que de otro modo simplemente aparecerá como ruido a un conjunto de chips Wi-Fi.
Todo Cisco Serie 2800 y 3800 puntos de acceso de la serie incluyen el chipset CleanAir. La tecnología fue lanzado en 2010 y se ha adaptado continuamente
para mantener el ritmo del mercado y la naturaleza cambiante del espectro inalámbrico. CleanAir supervisa la capacidad de ancho de banda de canal completa
de un AP CleanAir-capaz independientemente de las quirements re- despliegue, y como resultado, se monitoriza la gama de 20 MHz-160 MHz canales.
CleanAir puede informar de análisis y resultados a través del controlador WLAN. Puede utilizar ciertas implementaciones CMX y Cisco Prime para asignar
tanto la interferencia y el impacto de la interferencia para facilitar el análisis y eliminar el problema.
A nivel del controlador, se pueden utilizar dos estrategias de mitigación para ayudar a mantener su red y evitar los cortes asociados con las fuentes de
interferencia que no son comunes Wi-Fi:
• evitación de interferencia persistente -Permite el WLC seguir y divulgar fuentes de interferencia no Wi-Fi a DCA. Por ejemplo, puede haber un horno de
microondas que se vuelve muy activa la hora de comer todos los días. Persistente de evitación de interferencias recuerda este dispositivo e instruye
DCA para recoger canales para los puntos de acceso afectados que no será interferida por esta fuente de interferencia periódica.
• ED-RRM -Ayuda a atenuar los trastornos de fuentes de interferencia (tal vez una cámara de vídeo) que utilizan el 100% del tiempo de transmisión disponible cuando está
activado. Debido a que esta interferencia no es reconocible como algo más que ruido para el chipset 802.11 nada, todos los clientes y puntos de acceso normalmente
esperan a que el canal se vuelva menos ocupado. ED-RRM proporciona una red de seguridad al hacer dos cosas:
◦ Reconociendo que hay algo que no es ruido, pero en cambio está transmitiendo e interferir con las operaciones de la red intencionadamente.
◦ Obligando a la AP lejos del canal problemática a un canal en el que las operaciones se pueden reanudar. La lución reso- es muy rápido actuando (30
segundos o menos), y la información acerca de la interferencia se incorpora en RRM a través de DCA, alertando DCA sobre interrupciones de interferencia
relacionados con el canal simplemente abandonado. Como práctica recomendada, debe activar la CleanAir, persistente evitación de dispositivos, y
ED-RRM. Para obtener detalles adicionales, visite cisco.com y buscar la Tecnología Cisco CleanAir: Inteligencia en Acción pers blanca PA- .
WLANs seguras
Los dispositivos inalámbricos deben conectarse a la infraestructura de red de forma segura siempre que sea posible. En una empresa ENTORNO, debe configurar las
redes WLAN para apoyar WPA2 con cifrado AES-CCMP, y la autenticación 802.1x de dispositivos. Esto se refiere a veces como WPA Enterprise en dispositivos
inalámbricos. La mayoría de los dispositivos inalámbricos actuales son compatibles con WPA2. El uso de métodos de seguridad más antiguos, como WEP o WPA, no
se recomienda debido a las vulnerabilidades de seguridad conocidas. la autenticación 802.1x requiere un servidor AAA-tales como Cisco ISE-que proporciona gestión
y control centralizado basado en políticas para los usuarios finales acceden a la red inalámbrica.

Normalmente, el servidor AAA implementará el protocolo RADIUS entre sí mismo y el WLC. Autenticación de los usuarios finales se lleva a cabo a través
de una sesión de protocolo de autenticación extensible (EAP) entre el dispositivo inalámbrico y el servidor AAA. La sesión EAP se transporta a través de
RADIUS entre el WLC y el servidor AAA. Dependiendo de las capacidades del dispositivo inalámbrico, las capacidades del servidor AAA, y los requisitos
de seguridad de la organización, múltiples variantes de EAP, como PEAP y EAP-TLS, se pueden implementar. PAEP hace uso de credenciales de
usuario estándar (identificación de usuario y contraseña) para la autenticación. EAP-TLS utiliza certificados digitales para la autenticación.
Es muy recomendable que implemente servidores AAA redundantes de alta disponibilidad en caso de que uno o más servidores se vuelven temporalmente no
disponible. A menudo, el servidor AAA está configurado para hacer referencia a un almacén de directorio o de datos externo, como Microsoft Active Directory (AD).
Esto permite al administrador de la red para aprovechar las credenciales de anuncios existentes en lugar de duplicarlos en el servidor AAA. Esto también se puede
extender para proporcionar control de acceso basado en roles (RBAC) para los usuarios finales mediante el uso de grupos de anuncios. Por ejemplo, puede ser
deseable proporcionar acceso a la red restringido a los contratistas a largo plazo, en contraposición a los empleados acceso concedido. El uso de un directorio
externo o almacén de datos también puede proporcionar un único punto de conceder o revocar las credenciales, no sólo para el acceso a la infraestructura de red,
pero para el acceso a otros recursos dentro de la organización. El propio servidor AAA puede aplicar reglas basadas en políticas adicionales de autorización a la red,
tal tipo de dispositivo, la hora del día, localización, etc., dependiendo de las capacidades del servidor AAA. AAA registros y la contabilidad se pueden utilizar para
proporcionar una pista de auditoría de acceso de cada empleado a la infraestructura de red inalámbrica.
El uso de WPA2 con cifrado AES-CCMP en la WLAN no se extiende a los marcos de gestión. Por lo tanto, el uso opcional de tramas de gestión
protegidas (PMF) es recomendable para redes WLAN cuando sea posible. PMF es parte del estándar IEEE 802.11, que proporciona un nivel de
protección criptográfica de los marcos de gestión robustas, tales como marcos de-autenticación y disociación, que les impiden ser falsa. Cabe señalar
que los beneficios de PMF Qué exige clientes inalámbricos para apoyar PMF. Cisco también ofrece una versión anterior de protección del marco de
gestión (MFP) que tiene tanto la infraestructura como los componentes del cliente.
En un entorno de oficina en casa, puede ser necesario configurar una WLAN para apoyar WPA2 con clave pre-compartida (PSK). Esto se refiere a veces
como WPA Personal en los dispositivos inalámbricos. Esto puede ser necesario debido a la implementación de un servidor AAA no es rentable para el
número de usuarios finales que acceden a la WLAN. Esto también puede ser necesario en otros entornos si no hay usuario final asociado con un
dispositivo inalámbrico, el dispositivo inalámbrico no soporta la capacidad de configurar un ID de usuario y contraseña, o el dispositivo inalámbrico no
puede apoyar un certificado digital. Dado que el PSK es compartida entre todos los dispositivos que acceden a la infraestructura inalámbrica, puede que
sea necesario cambiar el PSK si un empleado que conoce el PSK deja la organización. Por otra parte, con WPA PSK, no hay una pista de auditoría de
fácil acceso de cada empleado a la red.
El uso de una WLAN dedicado, abierta todavía es común, pero no es ideal, para el acceso inalámbrico para invitados. Por lo tanto, la configuración de una WLAN
no segura sobre la infraestructura de la red todavía puede ser necesario. WLANs huésped de libre acceso se implementan a menudo con el fin de minimizar la
complejidad de la incorporación a un invitado que sólo necesita tempo- ral conectividad de red inalámbrica. Por lo general, la WLAN invitados se termina fuera del
cortafuegos de la empresa, que no permite el acceso de entrada a los recursos corporativos, para que los huéspedes se les puede permitir el acceso sólo a
Internet. Dependiendo de las necesidades de la organización, los huéspedes pueden ser necesarios para autenticar antes de poder acceder a Internet.
Típicamente, un modelo de captura-portal se utiliza con WebAuth, en el que las sesiones de invitados web se redirigen a un portal, que autentifica al cliente antes
de permitir el acceso a Internet.
Control de acceso administrativa

Se recomienda que implemente el control de acceso administrativo seguro a los componentes de infraestructura inalámbrica con el fin de mitigar contra el acceso no
autorizado. Normalmente, puede implementar el control de acceso administrativo a través de la base de datos local en cada dispositivo de infraestructura, oa través de
un servidor centralizado AAA-tales como Cisco ISE. Para un pequeño número de dispositivos de infraestructura de red, la configuración de las cuentas de administrador
local en cada individuo

dispositivo de la infraestructura puede ser aceptable. Se recomienda que el número de administradores ser limitado y que cada administrador de tener una
cuenta única. Una cuenta de administrador compartida limita la capacidad de auditar que se accede a un dispositivo de red en particular y los cambios de
configuración potencialmente hechas. Cuando los empleados dejan la organización, o se mudan a otros grupos, su acceso administrativo se revocará
inmediatamente. Con las cuentas de administrador individuales, sólo la cuenta para el empleado en particular necesita ser revocada.
A medida que el número de dispositivos de infraestructura dentro de la red crece, la carga administrativa de la configuración de administrador local individual
cuentas en cada dispositivo de la infraestructura puede llegar a ser inmanejable. Por lo tanto es
recomienda que el control de acceso administrativo a través de un servidor AAA, lo que proporciona una gestión centralizada y el control basado en políticas. Se
recomienda implementar servidores AAA redundantes de alta disponibilidad en caso de que uno o más servidores se vuelven temporalmente no disponible. Los
administradores de red pueden todavía configurar una cuenta de administrador local individual en cada dispositivo de la infraestructura para el acceso local a través del
puerto de consola, se debería perder todo acceso de red al dispositivo de la infraestructura.
El servidor AAA puede por sí mismo hacer referencia a un almacén de directorio o datos externos tales como AD. Esto permite a la red Ad-ministrator aprovechar las credenciales de anuncios
existentes en lugar de duplicarlos en el servidor AAA. Esto también se puede extender para proporcionar RBAC para los administradores a través de la utilización de grupos de anuncios. El uso
de un directorio o almacenar datos externa también puede proporcionar un único punto de conceder o revocar las credenciales, no sólo para el control de acceso administrativo a múltiples
dispositivos de infraestructura, pero para el acceso a otros recursos dentro de la organización. Cuando sea posible, la selección de una contraseña segura-que consiste en una longitud mínima,
y la combinación de letras, números y / o caracteres especiales-debe cumplir. Siempre que sea posible, un número máximo de intentos sin éxito ful para acceder al dispositivo, antes de que la
cuenta está deshabilitada por un período de tiempo, También debe ser forzada. los intentos exitosos y no exitosos deben ser registrados de forma local o en un servidor central de registro. Esto
ayuda a mitigar en contra (y / o alertar al personal de operaciones de red) apropiada sobre los intentos de forzar el acceso a los dispositivos de la infraestructura. Donde se admiten varios
niveles de acceso administrativo, se recomienda que las hacen cumplir, con los administradores de tener el nivel mínimo de acceso requerido para el desempeño de sus respectivas tareas.
También se recomienda que se limite el número de entradas simultáneas a partir de un único nombre de usuario. Puede ser ventajoso limitar donde el acceso al dispositivo de infraestructura
inalámbrica se inicia y qué protocolos están permitidos. Esto se puede hacer de varias maneras. Por ejemplo, puede implementar la interfaz de gestión de controladores WLAN en una VLAN
separada (y por lo tanto una subred IP separada) de FIC cliente inalámbrico traf-. En una implementación de este tipo, una lista de control de acceso (ACL) desplegado en el conmutador de
capa 3 adyacente al controlador WLAN puede limitar el acceso a la interfaz de gestión. Esto desplaza la carga de la CPU de una ACL fuera el controlador WLAN para el conmutador de capa 3.
Como alternativa, puede configurar una rotura de la CPU en el controlador WLAN para filtrar protocolos agement-hombre. También puede no permitir la gestión del controlador WLAN a través
de un dispositivo inalámbrico, un método que también puede proporcionar seguridad adicional si la intención es la gestión de la infraestructura inalámbrica desde un centro de centro de
operaciones de red. una lista de control de acceso (ACL) desplegado en el conmutador de capa 3 adyacente al controlador WLAN puede limitar el acceso a la interfaz de gestión. Esto desplaza
la carga de la CPU de una ACL fuera el controlador WLAN para el conmutador de capa 3. Como alternativa, puede configurar una rotura de la CPU en el controlador WLAN para filtrar
protocolos agement-hombre. También puede no permitir la gestión del controlador WLAN a través de un dispositivo inalámbrico, un método que también puede proporcionar seguridad adicional
si la intención es la gestión de la infraestructura inalámbrica desde un centro de centro de operaciones de red. una lista de control de acceso (ACL) desplegado en el conmutador de capa 3
adyacente al controlador WLAN puede limitar el acceso a la interfaz de gestión. Esto desplaza la carga de la CPU de una ACL fuera el controlador WLAN para el conmutador de capa 3. Como
alternativa, puede configurar una rotura de la CPU en el controlador WLAN para filtrar protocolos agement-hombre. También puede no permitir la gestión del controlador WLAN a través de un
dispositivo inalámbrico, un método que también puede proporcionar seguridad adicional si la intención es la gestión de la infraestructura inalámbrica desde un centro de centro de operaciones
de red.
El acceso a los dispositivos de infraestructura inalámbrica debe ser a través de protocolos seguros como HTTPS y SSHv2 donde posible. El acceso a través
de protocolos no cifrados como HTTP y Telnet debe desactivarse cuando sea posible. Esto protege la confidencialidad de la información dentro de la sesión de
gestión. Cuando se utiliza SNMP, se recomendó que habilita SNMPv3 cuando sea posible. SNMPv2c se basa en una cadena de comunidad compartida que se
envía en texto sin cifrar a través de la red. Tener precaución cuando se utiliza SNMPv2c, sobre todo cuando se utiliza SNMP para acceso de lectura / escritura.
SNMPv3 utiliza credenciales únicas (id de usuario / contraseña) y también puede proporcionar servicios de cationes de cifrado y datos autenti- al tráfico SNMP.
perfilado local
Cisco ISE actualmente ofrece un rico conjunto de características que proporcionan la identificación de dispositivos, de abordaje, la postura y la política. Como alternativa,
el perfil local en el WLC hace el perfilado de los dispositivos basados en protocolos tales como HTTP y DHCP con el fin de identificar los dispositivos finales de la red. El
usuario puede configurar las políticas basadas en dispositivos y

hacer cumplir por usuario o por la política de dispositivo en la red. El WLC también mostrará las estadísticas sobre la base de por usuario o por dispositivo criterios de
valoración y políticas aplicables por dispositivo. Con perfiles locales se puede implementar BYOD a pequeña escala dentro de la propia WLC.
La aplicación de perfiles y políticas se configuran como dos componentes separados. La configuración en el WLC se basa en parámetros definidos
específicos a los clientes unirse a la red. Los atributos de política que son de interés son:
• papel : Define el tipo de usuario o el grupo de usuarios al que pertenece el usuario (Ejemplos: estudiante o empleado)
• Dispositivo : Define el tipo de dispositivo (por ejemplo: máquinas de Windows, teléfono inteligente o dispositivo de Apple)
• Hora del día -Permite de configuración para definir en el momento del día que los puntos finales están permitidos en el trabajo NET
• tipo de EAP Se utiliza para comprobar el método EAP utilizado por el cliente
Los parámetros anteriores se pueden configurar como atributos de concordancia política. Después de que el WLC tiene un partido correspondiente a los parámetros
anteriores al punto final, el cumplimiento de la política entra en el cuadro. la aplicación de políticas se basará en atributos de la sesión como:
• VLAN
• ACL
• Hora de término de la sesión
• QoS
• dormir cliente
• FlexConnect ACL
• perfil AVC (añadido en 8.0 release)
• perfil mDNS (añadido en 8.0 release)
El usuario puede configurar estas políticas y hacer cumplir los criterios de valoración con las políticas especificadas. Los clientes inalámbricos se perfilan basado en
el MAC OUI, agente de DHCP, y el usuario HTTP (Internet válida necesaria para el éxito de HTTP profil- ing). El WLC utiliza estos atributos y perfiles predefinidos
de clasificación para identificar el dispositivo.
Lista de verificación de las mejores prácticas
Para mayor comodidad de los ingenieros de despliegue de red, a partir de la versión de software CUWN (AireOS) 8.1, una lista de las mejores prácticas está disponible en el
tablero de instrumentos para controladores WLAN. La lista de verificación se utiliza para la configuración WLC ajustar para que coincida con las mejores prácticas según lo
sugerido por Cisco. La lista de verificación compara la configuración local en el controlador con las mejores prácticas recomendadas y pone de relieve todas las características
que difieren. La verificación también proporciona un panel de configuración sencilla para encender las mejores prácticas. El uso de las mejores prácticas es muy recomendable
para una implementación de WLAN que implica WLCs.

Componentes comunes en el Campus Los diseños
La gestión de dispositivos mediante Cisco ISE

Sin un acceso centralizado y el punto de aplicación de políticas de identidad, es difícil asegurar la fiabilidad de una red como el número de dispositivos
de red y los administradores de los aumentos.
Cisco ISE funciona como un servidor AAA centralizado que combina la autenticación de usuarios, control de acceso de usuarios y administradores, y control de políticas
en una única solución. Cisco ISE utiliza un modelo de política basada en reglas, que permite políticas de seguridad que otorgan privilegios de acceso basado en
muchos atributos y condiciones diferentes, además de la identidad de un usuario.
Las capacidades de Cisco ISE, junto con una configuración de AAA en los dispositivos de red reducen los problemas tivas administraciones que rodean que tiene
información de cuenta local estática en cada dispositivo. Cisco ISE puede proporcionar un control centralizado de autenticación, que permite a la organización para conceder
o revocar rápidamente el acceso de un usuario en cualquier dispositivo de trabajo NET.
mapeo basado en normas de los usuarios a los grupos de identidad puede basarse en la información disponible en un directorio externo o un almacén de
identidades como Microsoft Active Directory. Los dispositivos de red se pueden clasificar en varios grupos de dispositivos, que pueden funcionar como una
jerarquía basada en atributos tales como la ubicación, el fabricante, o papel en la obra NET. La combinación de grupos de identidad y el dispositivo le permite crear
fácilmente reglas de autorización que definen lo que los administradores de red pueden autenticarse en el que los dispositivos.
Estas mismas reglas de autorización permiten la autorización de nivel de privilegio, que puede ser usado para dar acceso limitado a los comandos en un dispositivo. Por ejemplo, una
regla puede proporcionar a los administradores de red acceso completo a todos los comandos o limitar los usuarios de servicio de ayuda a la vigilancia de comandos.
Cisco Digital Network Architecture Centre

ADN Center es un controlador para la planificación, la preparación, la instalación y la integración. SD-El acceso es uno de los muchos paquetes de software de aplicaciones que se
ejecutan en el ADN Center. ADN Centro gestiona de forma centralizada cuatro grandes áreas de flujo de trabajo.
• Diseño -Configures configuración global del dispositivo, perfiles de sitio de red para el inventario de dispositivos físicos, DNS, DHCP, direccionamiento IP, gestión de
imágenes de software, plug-and-play, y el acceso de los usuarios.
• política los intentos de negocio: define para el aprovisionamiento en la red, incluyendo la creación de redes virtuales, signment como- de puntos finales a las
redes virtuales, y la definición de contrato de la póliza para grupos.
• provisión Provisiones dispositivos para la gestión y crea dominios de tela, nodos de plano de control, nodos de borde, nodos de borde,
inalámbricos tela, inalámbricos CUWN, y conectividad externa.
• Garantía -Permite puntuaciones de salud salpicadero, cliente / dispositivo 360 °, nodo, cliente, y la ruta de traza.
ADN Center soporta la integración usando APIs. Por ejemplo, la gestión de direcciones IP y la integración de Infoblox ción política Enforcement con ISE están
disponibles a través del ADN Center. Un amplio conjunto de APIs REST en dirección norte permite la automatización, la integración y la innovación.
• Toda la funcionalidad de controlador está expuesta a través de las API REST hacia el norte.
• Organizaciones y socios del ecosistema pueden crear fácilmente nuevas aplicaciones.
• Todas las solicitudes de la API northbound REST se rigen por el mecanismo controlador RBAC.

ADN Center es clave para permitir la automatización de los despliegues de dispositivos en la red que proporciona la velocidad y la consistencia necesaria para la
eficiencia operativa. Las organizaciones que utilizan ADN Center son capaces de beneficiarse de un menor coste y un menor riesgo al implementar y mantener
sus redes.
Despliegue del campus mediante Cisco infraestructura de primer

A medida que las redes y el número de servicios que apoyan continúan evolucionando, las responsabilidades de los administradores de red para
mantener y mejorar su eficiencia y la productividad también crecer. El uso de una solución de gestión de red puede activar y mejorar la eficiencia operativa
de los administradores de red.
Cisco Prime Infraestructura es una herramienta de gestión de red sofisticada que puede ayudar a apoyar la gestión de extremo a extremo de las tecnologías y
servicios que son críticos para el funcionamiento de su organización de la red; se alinea funcionalidad de gestión de la red con la forma en que los administradores
de red a hacer su trabajo. Cisco Prime Infrastructure tura proporciona una interfaz gráfica de usuario intuitiva, basada en la web que se puede acceder desde
cualquier lugar dentro de la red y le da una vista completa de un uso de la red y el rendimiento.
Con una red de campus y de los servicios que puede soportar, Cisco Prime Infrastructure puede desempeñar un papel fundamental en las operaciones de red del día a
día.
Centro de trabajo dispositivo
Cisco Prime Infraestructura incluye el dispositivo de centro de trabajo. Algunas de las características que se encuentran en el dispositivo de centro de trabajo son:
• Descubrimiento -Builds y mantiene un inventario actualizado de los dispositivos administrados, incluyendo información de imágenes de software y dispositivos
detalles de configuración.
• archivos de configuración -Mantiene un archivo activo de múltiples iteraciones de archivos de configuración para cada dispositivo envejecido hombre-.
• gestión de imágenes de software -Permite un administrador de red para importar imágenes de software de Cisco.com, los dispositivos gestionados, URLs, o
sistemas de archivos, y luego distribuirlos a un único dispositivo o grupo de dispositivos.
plantillas de configuración y tareas

Utilizando la configuración Tareas cuentan aplicar plantillas de configuración para muchos dispositivos, los administradores pueden ahorrar muchas horas de trabajo. Cisco
Prime Infrastructure proporciona un conjunto de plantillas y se puede utilizar para crear una tarea de configuración, que proporciona los valores específicos del dispositivo,
según sea necesario. Para otras necesidades de configuración, estructura Cisco Prime Infra le permite definir sus propias plantillas.
alarmas, eventos y mensajes de registro del sistema
Cisco Prime Infrastructure proporciona las alarmas y eventos cuentan, que es una presentación unificada con sics foren- detalladas. La característica
proporciona información útil y la capacidad de las solicitudes de servicio para abrir automáticamente con el centro de asistencia técnica de Cisco.
la presentación de informes
Cisco Prime Infraestructura que proporciona un único punto de lanzamiento para todos los informes que se pueden configurar, programar y vista. La página Informe plataforma de
lanzamiento proporciona acceso a más de 100 informes, cada uno de los cuales puede personalizar según sea necesario.

Soporte CleanAir
Cisco Prime Infrastructure soporta la gestión de CleanAir habilitado puntos de acceso inalámbricos, permitiendo a los administradores para ver eventos de interferencia.
soporte de módulo de análisis de red

Para una mayor visibilidad en la red, Cisco Prime Infrastructure soporta la gestión y elaboración de informes para los productos módulo de análisis de red de
Cisco.
Campus de calidad de servicio

Debido a que el tráfico de comunicaciones en tiempo real es muy sensible a retrasar y soltar, la red debe garantizar que este tipo de tráfico se maneja con
prioridad para que el flujo de audio o vídeo no se interrumpe. QoS es la tecnología que responde a esta necesidad.
La función principal de QoS en redes de campus de medios enriquecidos es la gestión de la pérdida de paquetes, donde los enlaces de banda ancha con congestión instantánea
del orden de milisegundos pueden provocar desbordamientos de búfer y una experiencia usuario pobre. Otro de los objetivos de calidad de servicio del campus es aplicar
políticas que en el borde para permitir un tratamiento consistente de tráfico para una experiencia de usuario predecible a través de toda la red de la empresa.
QoS permite a una organización para definir diferentes tipos de tráfico y crear un manejo más determinista para el tráfico en tiempo real. QoS es especialmente útil
en el manejo de la congestión, donde un canal de comunicaciones completa podría prevenir flujos de voz o de vídeo de ser inteligible en el lado receptor. La
congestión es común cuando los enlaces están suscritas por exceso de agregación de tráfico de un número de dispositivos, y también cuando el tráfico en un
enlace a un dispositivo ha venido de enlaces ascendentes con mayor ancho de banda. En lugar de crear el ancho de banda, QoS tiene un ancho de banda de una
clase y se lo da a otra clase.
Dentro del campus LAN cableada, Cisco mantiene los perfiles de calidad de servicio lo más simple posible al tiempo que garantiza el soporte para
aplicaciones que necesitan entrega especial. Este enfoque establece un marco sólido, escalable y modular para implementar QoS en toda la red.
Los objetivos principales de implementar QoS dentro de la red son:
• servicio de entrega acelerada de las comunicaciones para aplicaciones en tiempo real compatibles.
• la continuidad del negocio para aplicaciones críticas de negocio.
• Equidad entre todas las demás aplicaciones cuando se produce la congestión.
• despriorizada aplicaciones en segundo plano y las aplicaciones orientadas al entretenimiento no comerciales para que éstas no retrasen aplicaciones
interactivas o críticas para el negocio.
• Un borde de confianza alrededor de la red para garantizar que los usuarios no pueden inyectar sus propios valores de prioridad arbitraria y para permitir
que la organización confía en el tráfico marcado en toda la red. Para lograr estos objetivos, el diseño implementa QoS a través de la red de la siguiente
manera:
• Establecer un número limitado de clases de tráfico (es decir, cuatro a doce clases) dentro de la red que necesitan manejo (por ejemplo, voz en tiempo real,
vídeo en tiempo real, los datos de alta prioridad, el tráfico interactivo, el tráfico de lotes especial, y las clases por defecto).
• Clasificar las aplicaciones en las clases de tráfico.
• Aplicar un tratamiento especial a las clases de tráfico para lograr comportamiento de la red prevista.

Para implementar QoS, utilice la función EasyQoS en el ADN Center para configurar la calidad del servicio en los dispositivos descubiertos en su red. EasyQoS que
permite dispositivo de agrupación y asignación de clase de servicio. Cisco ADN Centro traduce sus selecciones de calidad de servicio en configuraciones de
dispositivos adecuados y despliega las configuraciones en los dispositivos. Para obtener información adicional, visite cisco.com y buscar “EasyQOS”

Apéndice Glosario
Apéndice Glosario
3SS tres flujos espaciales
servidor AAA autentificación, autorización y contabilidad servidor
ACL lista de control de acceso
ACS Servidor de control de acceso de Cisco
ap punto de acceso
aQ calidad del aire
AUP política de uso aceptable
AVC Visibilidad y control de aplicaciones Cisco
BYOD trae tu propio dispositivo
CAPWAP control y aprovisionamiento de protocolo de puntos de acceso inalámbricos
CMX Cisco Experiencias móviles conectados
CuWn Cisco Unified Wireless Network
DCA asignación dinámica de canales
DFS selección dinámica de frecuencias
DMZ zona desmilitarizada
DNA Arquitectura de Red Digital de Cisco
dpi inspección profunda de paquetes
eap protocolo de autenticación extensible
EUA acuerdo de usuario final
fra Asignación Radio flexibles
G2 segunda generación
GLPB protocolo de equilibrio de carga de puerta de enlace
DECIR AH alta disponibilidad
Ha sso alta disponibilidad de conmutación de estado
HSRP protocolo de enrutamiento de espera caliente
ise Cisco Identidad Servicios Motor
ismo industrial, científica y médica banda
LACP protocolo de agregación de enlaces
RETRASO agregar un link
LAN Red de área local
mDNS servicios de nombres de dominio de multidifusión
MFP Protección del marco de gestión

Apéndice Glosario
MIMO de entrada múltiple, salida múltiple diseño
mmap monitor de modo de punto de acceso
MSE Cisco Mobility Services Engine
nBar2 Siguiente Reconocimiento aplicación de red Generación
PAgP Protocolo de agregado de puerto
PHY capa fisica
Pi Cisco Prime Infraestructura
PMF tramas de gestión protegidas
PSK clave pre-compartida
QAM modulación de amplitud de cuadratura
QoS calidad de servicio
rbac control de acceso basado en roles
rf frecuencia de radio
RRM gestión de recursos de radio
RSSI intensidad de señal recibida
SD-Acceso El acceso definida por software
SSID identificador de conjunto de servicios
sso la conmutación de estado
STP protocolo de árbol de expansión
SVL StackWise Virtual Link
TPC transmitir de control de potencia
TTL tiempo para vivir
txBf basado en los estándares de formación de haces de transmisión
UPOE Cisco universal Power Over Ethernet
VLAN red de área local virtual
vrrp protocolo de redundancia de enrutador virtual
VSS sistema de conmutación virtual
VSW StackWise virtual
vWLC controlador de red de área local inalámbrica virtual
WAAS Servicios de aplicaciones de área amplia
PÁLIDO red de área amplia
WIDS sistema de detección de intrusión inalámbrica
wips Sistema de prevención de intrusiones inalámbricas de Cisco
WLAN Red inalámbrica local

Apéndice Glosario
WLC controlador de red de área local inalámbrica
wsm Módulo de seguridad inalámbrica

Se puede utilizar el formulario de comentarios enviar comentarios y sugerencias
acerca de esta guía.
Américas Sede Sede de Asia y el Pacífico Sede de Europa

Cisco Systems, Inc. de Cisco Systems (EE.UU.) Pte. Ltd. Cisco Systems International BV Ámsterdam, Países
San José, CA Singapur Bajos
Cisco cuenta con más de 200 oficinas en todo el mundo. Direcciones, números de teléfono y de fax pueden encontrarse en el sitio web de Cisco en www.cisco.com/go/offices.
TODOS LOS diseños, especificaciones, ESTADOS, LA INFORMACIÓN Y RECOMENDACIONES (colectivamente, “diseños”) de este manual SE PRESENTAN “TAL CUAL”, CON TODOS LOS FALLOS.
CISCO Y SUS PROVEEDORES RECHAZAN todas las garantías, incluyendo, sin limitación, el garantía de comerciabilidad, idoneidad para un propósito PARTICULAR Y NO o producto de una CURSO DE
GESTIÓN, USO O PRÁCTICA COMERCIAL. IN NO CASO CISCO O SUS PROVEEDORES RESPONSABLES DE CUALQUIER daño indirecto, especial, consecuente, o incidentales, incluyendo, sin
limitación, PÉRDIDA DE GANANCIAS O PÉRDIDAS O DAÑO DE DATOS DERIVADOS DEL USO O IMPOSIBILIDAD DE USO DE LOS DISEÑOS, INCLUSO SI CISCO O SUS proveedores hayan sido
advertidos de la posibilidad de tales daños. LOS diseños están sujetos a cambios sin notificación. Usuarios son los únicos responsables de su aplicación de los diseños. LOS DISEÑOS no constituyen la
CONSEJO PROFESIONAL técnicos o de otro Cisco, sus proveedores o socios. Los usuarios deben consultar con sus propios asesores TÉCNICO Antes de implementar los diseños. Los resultados pueden
variar dependiendo de factores NO LA PRUEBA DE CISCO.
Cualquier dirección de Protocolo de Internet (IP) utilizadas en este documento no están destinados a ser direcciones reales. Todos los ejemplos, salida de la pantalla de mando, y figuras incluidos en el documento se muestran solamente
con fines ilustrativos. Cualquier uso de direcciones IP reales en el contenido ilustrativo es accidental y casual. © 2018 Cisco Systems, Inc. Todos los derechos reservados.
Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y / o sus filiales en los EE.UU. y otros países. Para ver una lista de las marcas comerciales de Cisco, vaya a la siguiente
dirección: www.cisco.com/go/trademarks. Las marcas de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra socio no implica una relación de sociedad entre Cisco y cualquier otra compañía.
(1110R)
Diseño Validado de Cisco B-000120C-1 01/18

Exposicion 01. Cisco - CVD-Campus LAN-WLAN Design Guide - CAPs 1, 2, 3, 4.en - Es

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Exposicion 01. Cisco - CVD-Campus LAN-WLAN Design Guide - CAPs 1, 2, 3, 4.en - Es

Enviado por

Direitos autorais:

Formatos disponíveis

Diseño Validado de Cisco

Campus LAN y Guía de diseño

Campus LAN y LAN inalámbrica Guía para el diseño ........................................... ................................ 3

Diseño de alta densidad grande Campus ............................................ .................................................. .................................. 5

Mediana Densidad Diseño Campus ............................................. .................................................. ...................................... 6

Microcítico Sitio Diseño Campus ............................................. .................................................. ............................................... 8

Campus de LAN alámbrica Fundamentos del Diseño ............................................. .......................................... 9

Modelo jerárquico Diseño ............................................... .................................................. ............................................... 9

Capa de acceso ................................................ .................................................. .................................................. ............. 11

Capa de distribución ................................................ .................................................. .................................................. ....... 12

Capa central ................................................ .................................................. .................................................. ................ 15

Campus Wireless LAN Fundamentos del Diseño ............................................. .................................... 20

Infraestructura ................................................. .................................................. .................................................. ............ 20

Los controladores WLAN de Cisco ............................................... .................................................. ............................................... 21

Los modelos de diseño inalámbricas ............................................... .................................................. ............................................... 23

Consideraciones de diseño inalámbricas ............................................... .................................................. ................................... 28

Soporte de multidifusión ................................................ .................................................. .................................................. ...... 30

Selección de banda ................................................ .................................................. .................................................. ............... 44

Asignación flexible Radio ............................................... .................................................. ........................................... 44

Cisco ClientLink ................................................ .................................................. .................................................. ......... 45

Selección de ancho de banda dinámico-DBS ............................................. .................................................. ............................... 45

Campus Wireless CleanAir ............................................... .................................................. ........................................... 46

WLANs seguras ................................................ .................................................. .................................................. .......... 46

Lista de comprobación de Prácticas ............................................... .................................................. ............................................... 49

Diseño Validado de Cisco

Componentes comunes en el Campus Los diseños ............................................. ....................................... 50

Gestión de dispositivos Utilización de Cisco ISE ............................................. .................................................. ............................ 50

Cisco Digital arquitectura de red de centro de ............................................. .................................................. ..................... 50

Campus de Calidad de Servicio .............................................. .................................................. ............................................ 52

Apéndice Glosario ............................................... .................................................. ...................... 54

Diseño Validado de Cisco

Campus Diseño Introducción

• Autocuración -Continuously y disponible.

• Auto-defensa -Proteger la organización y sus usuarios.

• Conscientes de sí mismos -Conducción cambio a través de penetración en la actividad de red.

Diseño Validado de Cisco Página 1

• El diseño del campus cableada LAN fundación.

blancos, consulte la siguiente página:

Diseño Validado de Cisco página 2

Campus LAN y Diseño de LAN inalámbrica Orientación

Diseño Validado de Cisco página 3

Diseño Validado de Cisco página 4

Diseño de alta densidad Campus grande

Campus conexión de cable de distribución, acceso con conexión de cable y Wireless

con 802.11ac Wave 2 y capacidades CleanAir.

Diseño Validado de Cisco página 5

tabla 1 De alta densidad de gran campus sugirió plataformas de despliegue

de densidad media Diseño Campus

Diseño Validado de Cisco página 6

Campus conexión de cable de distribución, acceso con conexión de cable y Wireless

Tabla 2 campus medio sugirió plataformas de despliegue

capacidades de la red de cimentación a base de Avanzado-cimiento más

Diseño Validado de Cisco página 7

Pequeño-Design sitio Campus

Punto de acceso a Campus y acceso inalámbrico

Tabla 3 Pequeño campus sugirió plataformas de despliegue

Diseño Validado de Cisco página 8

Campus de LAN alámbrica Fundamentos del Diseño

• conectividad LAN gradas.

• acceso a la red cableada para los empleados.

• Multidifusión IP para la distribución eficiente de los datos.

• infraestructura de cableado listo para servicios multimedia.

Diseño del modelo jerárquico

Servicios basados en la localización Sí Sí