EWC: jednoduché riešenie pre malé a stredné bezdrôtové siete
Spoločnosť Cisco je lídrom na trhu v oblasti sieťových inovácií. Pred dvoma rokmi prišla spoločnosť Cisco s novým konceptom kontroléra pre bezdrôtovú sieť Catalyst 9800 a minulý rok predstavila ďalšiu novinku v oblasti bezdrôtovej sieti, ktorá doplnila portfólio kontrolérov Catalyst rodiny. Jedná sa o Cisco Embedded Wireless Controller (EWC) pre bezdrôtové prístupové body (WAP) Catalyst 9100.
Cisco EWC je softvérovo definovaný kontrolér, ktorý je integrovaný v operačnom systéme WAP. Nakoľko je kontrolná funkcia integrovaná vo WAP tak nie je nutné dokupovať či umiestňovať dodatočný hardvér v podobe fyzického kontroléra do siete. Takisto ako hardvérové kontroléry rady Catalyst aj tento softvérovo definovaný kontrolér EWC funguje na operačnom systéme IOS XE a teda aj jeho ovládanie je totožné s hardvérovými verziami.
Architektúra Cisco EWC je funkčne veľmi podobná konceptu Mobility Express pre Aironet WAP. Jedná sa o zjednodušenú, finančne výhodnejšiu no stále na funkcionalitu bohatú architektúru. WAP, na ktorom je nasadení EWC (WAP-EWC), sa v sieti správa ako kontrolér t.j. ostatné WAP (označované ako podriadené prístupové body) v sieti sa pripájajú na WAP-EWC a sú nim riadené. Samotný aktívny prístupový bod (WAP-EWC) má teda dve funkcie:
- Funkciu kontroléra, ktorý má za úlohu manažment podriadených prístupových bodov
- Funkciu WAP, čím umožňuje pripojenie bezdrôtových klientov do siete.
Ostatné podriadené bezdrôtové prístupové body operujú v sieti ako takzvané LWAP (z anglického Lightweight Access Point) a poskytujú prístup klientom do siete.
Nakoľko kontrolér v prípade EWC nasadenia beží priamo na WAP a teda zdieľa aj jeho výpočtovú kapacitu, jeho nasadenie v sieti má určité obmedzenia. Na rozdiel od hardvérových verzií kontroléra, EWC kontrolér umožňuje iba tzv. lokálne prepínanie. Znamená to, že iba riadiace dáta z jednotlivých WAP sú posielané na WAP-EWC a klientske dáta sú prepínané priamo do infraštruktúry. Je teda nutná dodatočná konfigurácia v infraštruktúre pre každé pripojené AP. Existujú dve možnosti ako môžu byť tieto klientske dáta následne posielané do infraštruktúry. Prvým a jednoduchším riešením z pohľadu konfigurácie v LAN sieti je, že všetky dáta z jednotlivých SSID na danom WAP sú posielané do manažmentovej VLAN. V tomto prípade sa WAP pripája na access port na prepínači a nedochádza teda k segmentácia dát. Toto nasadenie je vhodné teda len pre veľmi malé nasadenia. Druhou možnosťou, ktorá vyžaduje zložitejšiu konfiguráciu, je, že klientske dáta sú prepínané na WAP do jednotlivých VLAN na základe príslušnosti k určitému SSID. To znamená, že WAP musí byť pripojené k trunk portu na prepínači.
EWC architektúra neprináša len obmedzenia, ale aj množstvo zaujímavých funkcionalít. Z bezpečnostných funkcionalít je to napríklad aWIPS, blokovanie na základe DNS mien, detekcie a identifikácie rogue WAP, či integráciu s Cisco Umbrella. EWC ponúka funkcionality aj v oblasti vysokej dostupnosti, tak aby bola zaručená funkčnosť siete v prípade výpadku aktívneho WAP-EWC. Za týmto účelom je možné definovať tzv. aktívny a standby kontrolér. Oba tieto kontroléri fungujú v sieti paralelne a len v prípade výpadku aktívneho kontroléra, standby kontrolér preberá jeho funkciu a stáva sa aktívnym. Ak sa v sieti nachádzajú aj ďalšie WAP-EWC a po výpadku predchádzajúceho WAP-EWC je v sieti len aktívny kontrolér, automaticky sa zvolí ďalší standby kontrolér. To umožňuje zaručiť funkčnosť siete aj v prípade viacerých výpadkov WAP-EWC.
Tento softvérovo definovaný kontrolér je podporovaný na všetkých WAP rady Catalyst, t.j. Cisco Catalyst 9115, Cisco Catalyst 9117, Cisco Catalyst 9120 a Cisco Catalyst 9130. Okrem rozdielov v špecifikácii samotných modelov sa v prípade EWC tieto modely líšia aj počtom podporovaných WAP, ktoré môže dané WAP-EWC manažovať, a podporovaného počtu bezdrôtových klientov v EWC architektúre. Zhrnutie základných vlastností ako aj počet podporovaných WAP či klientov pre jednotlivé modely WAP-EWC možno vidieť na nasledovnom obrázku.
Na rozdiel od architektúry Mobility Express, kde nebolo nutné zakúpenie špeciálnych licencií pre fungovanie WAP ako kontroléra, v prípade EWC nastala zmena. Pre každé AP, ktoré sa pripája na EWC kontrolér, je vyžadovaná DNA licencia podobne ako to je pre všetky ostatné kontroléry rady Catalyst 9800. Prehľad DNA licencií je uvedený nižšie.
Medzi základné vlastnosti EWC architektúry patrí nie len jednoduchá konfigurácia ale aj jednoduchosť pri jej prvotnom nasadení tzv. zero day konfigurácii. Zero day konfiguráciu je možné uskutočniť tromi rôznymi spôsobmi.
- Pomocou CLI, kedy je nutné sa pripojiť k WAP-EWC pomocou konzolového káblu, a následne nakonfigurovať základné parametre.
- Konfigurácia cez bezdrôtovú sieť, ktorú začne WAP-EWC vysielať po jeho naštartovaní sa. SSID tejto siete je CiscoAirprovision-XXXX (WPA2-Personal), kde XXXX sú posledné 4 znaky z MAC adresy konfigurovaného WAP-EWC. Znamená to teda, že každé WAP-EWC bude vysielať sieť s rozdielnym SSID. V prípade, ak nasadzujete viacero WAP-EWC na rovnakej lokalite, budete presne vedieť na ktoré WAP-EWC sa pripájate a konfigurujete. Na túto sieť sa pripojíte použitím hesla password či už pomocou počítača alebo telefónu. Po prihlásení sa na stránke https://mywifi.cisco.com/ s údajmi webui/cisco budeme presmerovaný na zero day konfiguráciu
3. Najjednoduchším spôsobom ako prvotne nakonfigurovať WAP-EWC je pomocou mobilnej aplikácie. V tomto prípade je však nutné si túto aplikáciu v prvom rade nainštalovať do telefónu. Po jej spustení dostaneme dve možnosti, buď nakonfigurovať nové WAP-EWC, alebo manažovať už existujúce siete, ku ktorým má užívateľ cez aplikácia prístup.
Po výbere možnosti Setup, sa užívateľ buď pripojí manuálne k CiscoAirprovision sieti alebo naskenuje QR kód na zadnej strane WAP. Po naskenovaný QR kódu sa automaticky nastavia všetky potrebné parametre siete v mobilnom zariadení a užívateľ je presmerovaný na prihlasovaciu stránku. Po zadaní prihlasovacích údajov webui/cisco môže užívateľ pokračovať v zero day konfigurácii.
Prvá časť pozostáva zo všeobecných informácií ako sú krajina, kde je nasadené dané WAP (kvôli reguláciám v danom regióne), prihlasovacie údaje pre administrátora a takisto základná IP konfigurácia. V nasledujúcej sekcii je možné vytvoriť bezdrôtovú sieť, zadať jej SSID meno, vybrať typ siete “Employee“ alebo “Guest“, zabezpečenie siete a heslo potrebné pre prihlásenie sa do siete.
V poslednom kroku je ešte nutné vyplniť názov lokality a základná konfigurácia je hotová.
Po vykonaní základnej konfigurácie je možné túto sieť začať využívať bez reštartu WAP, čiže nie je nutné žiadne výrazné čakanie. Po prihlásení v aplikácii sa zobrazí dashboard, kde sú vidno základné údaje o vašej sieti.
Manažment WAP-EWC je možný buď cez vyššie spomenutú aplikáciu alebo WebUI. V prípade väčších nasadení by však management jednotlivých AP cez aplikáciu alebo WebUI mohol byť náročný a tak existuje ešte možnosť manažmentu WAP-EWC prostredníctvom DNA centra. Cisco Prime Infrastructure ako manažmentový nástroj nie je podporovaný.
EWC architektúra ponúka veľmi jednoduché ale efektívne riešenie pre malé a stredné firmy a ich bezdrôtovú sieť. Vďaka širokej škále modelov WAP, ktoré EWC podporujú, si môžete vybrať vhodný model pre vašu sieť. V prípade záujmu vám veľmi radi pomôžeme s výberom správneho WAP-EWC a návrhom bezdrôtovej siete.