Diseño Validado CisCo

Diseño validado CisCo
Introducción al diseño del campus

Existe una tendencia a descartar la red como una simple plomería, a pensar que todo lo que debe
considerar es tamaño y la longitud de las tuberías o las velocidades y las alimentaciones de los enlaces, y
descartar el resto como sin importancia. Sólo ya que la fontanería en un estadio grande o de gran altura
tiene que ser diseñada para escala, propósito, redundancia, protección de manipulación o denegación de
operación, y la capacidad de manejar cargas máximas, la red requiere una consideración similar
Eration. Como los usuarios dependen de la red para acceder a la mayoría de la información que necesitan
para hacer su trabajo y Para transportar su voz o video con fiabilidad, la red debe ser capaz de
proporcionar un transporte resistente e inteligente.
El diseño de red confiable también necesita incorporar versatilidad para abordar las necesidades
cambiantes de un organización.
Estos son algunos conceptos clave que debe abordar al crear un diseño de red confiable y versátil. los
la red debe ser:
• Autocuración: continuamente disponible y disponible.
• Autodefensa: proteger a la organización y sus usuarios.
• Optimización automática: adaptación a las necesidades cambiantes, más allá de los límites de los
estándares básicos.
• Autoconsciente: impulsar el cambio a través de la percepción de la actividad de la red.
Mientras observa el diseño de una red, considere las tendencias de la red y las necesidades futuras de una
organización.
• La red debe estar lista para escalar adecuadamente a lo largo del tiempo para satisfacer las demandas de
la organización.
Es de apoyo.
• Porque la demanda de puntos de acceso inalámbrico (AP) con la última tecnología 802.11ac Wave 2
supera 1 Gbps, y el IEEE ha ratificado el estándar 802.3bz que define 2.5 Gbps y 5 Gbps Ethernet, debe
implementar una red que esté lista para satisfacer la demanda sin requerir una actualización del cobre
existente Planta de cableado de Ethernet. Acomoda estas últimas demandas mediante la implementación
de plataformas de red que incluyen Tecnología Cisco® Catalyst Multigigabit.
• A medida que implementa nuevos dispositivos con mayores requisitos de energía, como iluminación,
cámaras de vigilancia, virtual terminales de escritorio, interruptores de acceso remoto y AP, su diseño
debe tener la capacidad de soportar energía sobre Ethernet con 60W por puerto, ofrecido con Cisco
Universal Power Over Ethernet, y la capa de acceso también debe proporcionar energía perpetua PoE
durante la actualización del interruptor y los eventos de reinicio. El Cisco Catalyst 9000
Los switches de capa de acceso de la serie tienen capacidad de PoE perpetua y están listos para 100 W
por puerto, como esa tecnología se vuelve disponible.
• Los problemas de cumplimiento impulsan la elección de plataformas requeridas cuando se admiten
certificaciones de estándares y MACsec. Para esos casos, también debe estar preparado para hacer que los
datos analíticos estén disponibles, utilizando tecnologías como NetFlow.
• Internet de las cosas e Internet de todo impacta el diseño actual de la red. Su red debe Soporta TrustSec
y otras tecnologías de segmentación y virtualización para permitir la escala y usos y políticas ampliadas
para la red impulsados por estas tendencias
• Las necesidades de ancho de banda se duplican potencialmente varias veces durante la vida útil de una
red para que la red implementado hoy necesita estar preparado para agregar usando Ethernet de 10 Gbps a
40 Gbps a 100 Gbps capacidades en el tiempo.
• Las plataformas de red implementadas hoy deberían ofrecer la mejor longevidad en el futuro, en lugar
de seleccionar el equipo que solo cumple con los límites de las necesidades actuales.
Página 1
página 2
Diseño validado de C
• Para reducir la complejidad operativa, puede usar un controlador centralizado con API abiertas, lo que
permitedespliegue de menor riesgo de dispositivos y servicios de red a través de la interfaz de usuario y
los sistemas de orquestación existentes: Cisco DNA Center automatiza la configuración y administración
de este dispositivo de red para lograr la organización de su organización intención.
Cisco Digital Network Architecture (DNA) proporciona una hoja de ruta para la digitalización y una ruta
para obtener beneficios inmediatos efectos de automatización de red, garantía y seguridad. La red de área
local (LAN) del campus es la red que admite dispositivos que las personas usan en una ubicación para
conectarse a la información. El uso de la palabra campus no implica cualquier tamaño geográfico en
particular: la LAN del campus puede variar en tamaño desde un solo interruptor en un pequeño control
remoto sitio hasta una gran infraestructura de edificios múltiples, que soporta aulas, oficinas alfombradas
y lugares similares donde las personas usan sus dispositivos para sus actividades diarias. El diseño del
campus incorpora LAN por cable y conectividad LAN inalámbrica para una solución completa de acceso
a la red. Esta guía explica:
• El diseño de la fundación LAN cableada del campus.
• Cómo la WLAN extiende el acceso seguro a la red para su fuerza de trabajo móvil.
• Cómo la WLAN puede proporcionar acceso de invitados para contratistas y visitantes a sus
instalaciones.
Si no recibió esta guía de Cisco Design Zone, puede verificar la última versión de esta guía.
Para obtener guías de diseño, guías de implementación y documentos técnicos relacionados, consulte la
siguiente página:
https://www.cisco.com/go/designzone
Página 2
página 3
Diseño validado de Cisco
Campus LAN y guía de diseño de LAN inalámbrica
LAN de campus y diseño de LAN inalámbrica

Guia
Diseñar una LAN para el caso de uso del campus no es una propuesta de diseño único para todos. La
escala de LAN del campus puede ser tan simple como un solo interruptor y un AP inalámbrico en un sitio
remoto pequeño o en un equipo grande, distribuido y de múltiples edificios plex con puerto cableado de
alta densidad y requisitos inalámbricos. La implementación puede requerir una disponibilidad muy alta
para los servicios ofrecidos por la red, con baja tolerancia al riesgo, o puede haber tolerancia para la
reparación de fallas Probar con interrupciones prolongadas del servicio para un número limitado de
usuarios considerados aceptables. Opciones de plataforma para Estas implementaciones a menudo están
impulsadas por las necesidades de capacidad de red, el dispositivo y las capacidades de red ofrecidas,
y también la necesidad de cumplir con los requisitos de cumplimiento que son importantes para la
organización.
Usted impone la mayor parte de la complejidad del diseño de LAN cableada del campus al agregar grupos
de conmutadores de acceso por interconectando las capas de acceso a las capas de distribución. Si los
dispositivos que se conectan a la capa de acceso tienen un requisito para comunicarse con una adyacencia
lógica de Capa 2 y esas conexiones cubren múltiples cables físicos armarios conectados a una capa de
distribución, entonces es posible adaptar el diseño tradicional del campus multicapa a abordar las
necesidades de adyacencia de la capa 2. Sin embargo, los diseños tradicionales impulsan configuraciones
más complejas con protocolos adicionales que deben mantenerse consistentes en múltiples dispositivos.
Para mejorar el diseño, existen alternativas preferidas que hacen que la implementación sea más fácil de
administrar y menos propenso a errores, al tiempo que mejora el rendimiento general de la red. Dichas
alternativas incluyen la distribución simplificada.
opción de capa de bution utilizando una pila de conmutadores o un sistema de conmutación virtual (VSS)
o un sistema virtual StackWise, lo que hace que la implementación y la resolución de problemas sean
mucho más fáciles para el personal de soporte.
Hay una alternativa de diseño disponible para organizaciones que no tienen la necesidad de extender la
conectividad de Capa 2 a través de un límite de acceso a la agregación o tener otros medios para
implementar esta funcionalidad, como cuando utilizando la tecnología Campus Fabric, una parte integral
del acceso definido por software de Cisco (SD-Access). La alternativa tive es extender la conectividad de
Capa 3 a la capa de acceso. La implementación de un acceso de capa 3 bien diseñado.
La red garantiza la coherencia, la configuración, el rendimiento, la escalabilidad y la alta disponibilidad
de la red en comparación con Diseño tradicional del campus multicapa.
La motivación para las opciones de diseño recomendadas no es que sean las únicas opciones disponibles,
sino que Las recomendaciones destacan las opciones preferidas dado el alcance de los requisitos. Aunque
lo tradicional
El diseño de campus multicapa mencionado anteriormente es una opción de diseño válida ampliamente
implementada, el diseño no es uno eso generalmente se recomienda a la luz de las mejores alternativas
que están actualmente disponibles.
Cuando integra los componentes inalámbricos del diseño del campus con los componentes cableados, el
diseño puede a menudo se trata como una superposición que depende de los servicios proporcionados por
la infraestructura del campus subyacente Ture. Esto es especialmente evidente para redes más grandes,
porque aumenta la capacidad con dispositivos dedicados un requerimiento. Las redes más pequeñas,
como las de sitios remotos pequeños, ofrecen oportunidades de simplificación y optimización que
también se refleja en las opciones de diseño que se muestran a continuación.
Las opciones de diseño principales se agrupan por escala, y luego las selecciones apropiadas se basan en
las capacidades deseado. La selección del espectro de capacidades se basa en las necesidades de una
implementación específica.
A medida que avanza en la guía de diseño, debe tener en cuenta las siguientes capacidades al considerar
cuáles de las categorías mencionadas anteriormente son más importantes para la implementación de su
red.
Página 3
página 4
Autocuración
Para mantener su red continuamente activa y disponible, preste atención a los conceptos de alta
disponibilidad para ambos Infraestructura de conmutación cableada y también para la infraestructura
inalámbrica que se integra con ella. La resistencia no es solo se basa en la redundancia de componentes y
en cómo se hacen las interconexiones en el diseño modular del campus, pero También qué capacidades
pueden mejorar esa resistencia física.
Por ejemplo, ¿puede detectar y reaccionar a la interferencia de RF y mitigar su impacto en su red de
acceso inalámbrico?
¿trabajo? ¿Se puede eliminar el equipo de la red y mantener la conectividad para que las personas
mantengan la información?
¿sin interrupción?
La resistencia se mejora al evitar los impactos de la red, como se describe con el siguiente conjunto de
capacidades.
Autodefensa
Para proteger a la organización y a sus usuarios de las interrupciones de su productividad, evitando las
interrupciones antes de que comenzar es la forma más segura de mantener los servicios de red
disponibles. Hay una variedad de capacidades para ayudar con esta tarea.
Para la infraestructura cableada, el conjunto básico de características de seguridad de la infraestructura de
Catalyst incluye muchas capacidades para evitar que las interrupciones intencionales y no intencionales
afecten la red, lo que se puede aumentar hasta utilizando políticas mejoradas a través de la segmentación
de TrustSec. La red inalámbrica también puede defenderse a través de implementación de detección de
dispositivos no autorizados, entre otras características.
Los mecanismos básicos de defensa deberían ser parte de todas las redes, con el alcance de las
capacidades elegidas en función de necesidades de despliegue. Una vez que la red puede defenderse
adecuadamente, el siguiente paso es optimizarla, como escrito con el siguiente grupo de capacidades.
Auto-optimización
Para adaptarse a las necesidades cambiantes, más allá de los límites de los estándares básicos publicados,
es un requisito clave para más redes avanzadas Los estándares básicos no abordan la intención de una
organización específica sobre cómo deberían comportarse los dispositivos en su red. Los teléfonos
móviles pueden tener usos personales, pero deben tener acceso prioritario a una RF compartida limitada
recurso para las aplicaciones que son importantes para una función de una organización. Al elegir de la
especificación Trum de capacidades disponibles, se pueden crear redes con capacidades de misión crítica
que puedan abordar estas necesidades.
Autoconsciente
Para impulsar el cambio a través de la información sobre la actividad de la red, las mejores redes pueden
informar sobre el tráfico que transporte y cómo se relaciona con la misión de una
organización. Visibilidad de la aplicación desde dispositivos tanto cableados como inalámbricos
Los vicios que utilizan NetFlow, el Reconocimiento de aplicaciones basadas en red (NBAR) y otras
capacidades pueden dar una idea de cómo los usuarios interactúan con las aplicaciones y otros usuarios en
la red. Además de solo informar información, la capacidad Los vínculos como la hiperlocación
inalámbrica y el análisis permiten a las organizaciones proporcionar servicios específicos de ubicación a
usuarios. Así que, en esencia, la red puede proporcionar información sobre cómo los usuarios usan la red
mientras están en el Al mismo tiempo, proporciona o anuncia servicios basados en el acceso de un
usuario a la red.
Las capacidades destacadas en estas categorías son una pequeña muestra de las capacidades que están
cada vez más disponibles. capaz de hacer sus elecciones de diseño en todo el espectro desde la base hasta
el diseño de misión crítica opciones, como se muestra a continuación, para cada red de campus dentro de
la elección de tamaño de topología apropiada.
Página 4
página 5
Diseño de campus grande de alta densidad
El diseño de campus grande de alta densidad tiene múltiples capas de distribución conectadas a una capa
central y densidad densa Mands en la capa de acceso para puertos cableados y dispositivos WLAN. El
diseño preferido tiene capacidad para soportar más de 15,000 usuarios y dispositivos cableados e
inalámbricos, está altamente disponible para una continuidad comercial crítica y tiene la capacidades para
soportar funciones avanzadas como NetFlow y virtualización y segmentación de redes. Puedes seleccione
este diseño para casos donde las densidades pueden no ser tan altas como las admitidas; sin embargo, los
requisitos dictan necesidades de continuidad comercial crítica o capacidades avanzadas.
Campus Core
Si hay tres o más distribuciones interconectadas o requisitos para la conectividad en una ubicación
común, usted use un núcleo LAN de capa 3 para simplificar la conectividad y la administración. Utiliza
una de los dos núcleos opciones para cumplir con las necesidades básicas en el diseño de campus grande
de alta densidad. Las plataformas emblemáticas para estos opciones:
• Cisco Nexus 7700 Series: los miembros de la familia en la serie Cisco Nexus tienen una variedad de
opciones de densidad y se puede segmentar en contextos de dispositivos virtuales, lo que permite utilizar
los mismos dispositivos para un núcleo de campus y un núcleo de centro de datos. Cuando existen
requisitos para que los conmutadores principales se administren independientemente con
la capacidad de tener PortChannels virtuales entre los conmutadores, o la necesidad de 10/40/100 Gigabit
de alta densidad Ethernet, estos conmutadores son la opción preferida.
• Catalyst 6800 Series con Supervisor 6T: los miembros de la familia en la serie Catalyst se adaptan a
una variedad de densidades centrales, que cubren las características comúnmente utilizadas en el núcleo
de un campus. Opcionalmente, puede fusionar el dispositivos en un modo VSS, con opciones para
supervisores redundantes en cada conmutador miembro que ofrece una gran configuración disponible,
administrada como un solo dispositivo.
Distribución por cable del campus, acceso por cable e inalámbrico
En el campus grande de alta densidad, eliges la distribución y el acceso por cable en función de la
mayoría plataformas altamente disponibles para el rol, la más alta densidad y la más amplia selección de
opciones de interfaz, redundante plano de control de potencia y modular, con las funciones de software
más avanzadas.
En el diseño de campus grande de alta densidad, la opción inalámbrica centralizada es la opción preferida,
utilizando AP con 802.11ac Wave 2 y capacidades CleanAir.
Página 5
página 6
Tabla 1 Plataformas de implementación sugeridas para campus grandes de alta densidad
Clase de empresa: base
capacidades de red de base
Avanzado — base
más red adicional
capacidades
misión crítica: la mejor de su clase
capacidades de red
Interruptores de núcleo
Cisco Nexus 7700 Series con
Supervisor 2E o Cisco Cata-
chasis modular lyst 6807-XL
emparejar con Supervisor 6T
Opción para VSS Quad Su-
supervisor con estado de cambio
configuración
Cisco Nexus 7700 Se-
Ries con el Supervisor 2E
o Cisco Catalyst 6807-
Par de chasis modular XL
con Supervisor 6T
Opción para VSS Quad
Supervisor con estado swi-
configuración de cambio
Cisco Nexus 7700 Series con
Supervisor 2E o Cisco Catalyst
Par de chasis modular 6807-XL con
Supervisor 6T
Opción para el Supervisor VSS Quad
configuración de conmutación con estado
Distribución / agregación
interruptores
Cisco Catalyst 9500-24Q
con StackWise Virtual
Cisco Catalyst 9500-
24Q con StackWise
Virtual o Cisco Catalyst
6880-X y 6840-X
chasis fijo extensible
emparejar la configuración VSS
Cisco Catalyst 9500-24Q con
StackWise Virtual o Cisco Catalyst
Par de chasis modular 6807-XL con
Supervisor 6T VSS Quad Supervi-
configuración de conmutación con estado sor
ción
Interruptores de acceso
Cisco 2960-X y 2960-XR
Serie con módulos de pila
Cisco Catalyst 9300
Serie apilable
interruptores
Cisco Catalyst 9300 Series stack-
interruptores capaces o Cisco Catalyst
Serie 9400
Controlador WLAN
Cisco 8500 centralizado
Serie (AireOS) en HA SSO
modo
Cisco 8500 centralizado
Serie (AireOS) en HA
Modo SSO
Cisco centralizado 8500 Series
(AireOS) en modo HA SSO
aps
Cisco 1850 Series
Cisco 2800 Series
Cisco 3800 Series
Capacidades clave: cableadas
1 acceso Gigabit Ethernet,
PoE +
1/10/40 Gigabit Ether-
servicios de red, MACsec,
TrustSec MPLS, Net-
Flujo, UPOE
Mayor disponibilidad 1/10/40/100
Servicios Gigabit Ethernet, MACsec,
TrustSec MPLS, NetFlow, UPOE
Capacidades clave: inalámbrica
Datos combinados de 2 Gbps,
802.11ac Wave 2, 4x4 MU-
MIMO: 3SS, 20/40/80 MHz,
Transmitir Beamforming
5 Gbps combinados
Datos, onda 802.11ac
2, 4x4 MU-MIMO: 3SS,
20/40/80/160 MHz,
HDX, CleanAir, Cli-
entLink 4.0 + Transmitir
Beamforming, Video-
Corriente
Datos combinados de 5 Gbps, 802.11ac
Wave 2, 4x4 MU-MIMO: 3SS,
20/40/80/160 MHz, mGig + GE, HDX,
CleanAir, ClientLink 4.0 + Transmitir
Beamforming, VideoStream
Diseño de campus de densidad media
El diseño del campus de densidad media es una capa de distribución única, que puede ser independiente o
usarse como colapsada núcleo conectado a otra distribución u otros servicios, o quizás conectado al
enrutador WAN en un sitio remoto que ha crecido lo suficiente como para necesitar una capa de
agregación. Las demandas en la capa de acceso para puertos cableados y Los dispositivos WLAN
generalmente son cientos o miles para un diseño grande, con requisitos para menos de unos pocos grupos
de 50 o menos AP. El diseño preferido se esfuerza por la continuidad típica del negocio no necesita
requiere cada componente redundante ofrecido y capacidades de red estándar.
Página 6
página 7
Distribución por cable del campus, acceso por cable e inalámbrico
Usted elige la distribución por cable y el acceso con un sesgo hacia el tamaño y la flexibilidad para
acomodar adaptar los requisitos de espacio y potencia de las instalaciones de tamaño medio de una
manera que se pueda expandir elásticamente una organización crece Donde las densidades y las
capacidades avanzadas de funciones de software no son tan exigentes.
A continuación, se muestran opciones con una preferencia de ahorro más económica y común.
Los diseños de densidad media son equivalentes al diseño de campus de sitio pequeño con la adición de
una distribución capa.
Tabla 2 Plataformas de implementación sugeridas para campus medio
Clase de empresa: base de base
capacidades de red
Avanzado: base plus
capacidades de red adicionales
misión crítica: la mejor de su clase
capacidades de red
Distribución/
conmutadores de agregación
Cisco Catalyst 9500-24Q con
StackWise Virtual o Cisco Cata-
conmutadores apilables lyst 3850-X
con StackWise Virtual o
Cisco Catalyst 6880-X
par de chasis fijo extensible
Configuración VSS
con StackWise Virtual o
Cisco Catalyst 9400 Series
con Supervisor 1XL par VSS
configuración
Interruptores de acceso
Cisco 2960-X y 2960-XR Se-
Ries con módulos de pila
interruptores apilables
Control inalámbrico
FlexConnect con Cisco
Control remoto serie 8500/5500
troller en modo HA SSO o Cisco
Controlador local de la serie 3500 en HA
Modo SSO
Cisco 5500/3500 Series local
controlador en modo HA SSO
Cisco 8500 Series local cons
troller en modo HA SSO
aps
Cisco 1850 Series
Cisco 2800 Series
Cisco 3800 Series
Capacidades clave: cableadas
Servicios de 1/10 Gigabit Ethernet,
MACsec, TrustSec NetFlow
Servidor 1/10 Gigabit Ethernet
vicios, MACsec, TrustSec
NetFlow, UPOE
1/10/40 Gigabit Ethernet
servicios, MACsec, TrustSec,
NetFlow, UPOE
Llave
capacidades inalámbricas
20/40/80 MHz, haz de transmisión
formando
5 Gbps combinados
20/40/80/160 MHz, HDX,
CleanAir, ClientLink 4.0 +
Transmitir Beamforming, Vid-
eoStream
5 Gbps combinados
20/40/80/160 MHz, mGig + GE,
HDX, CleanAir, ClientLink
4.0 + Transmitir Beamforming,
Video en directo
Página 7
página 8
Diseño del campus de smaLL-site
El diseño del campus de sitio pequeño es un conmutador de acceso único o una pila de conmutadores de
acceso único. Las demandas en el acceso legal para puertos con cable y dispositivos WLAN generalmente
se cuenta en docenas (frente a los cientos en el medio diseño), con requisitos para menos de 25 AP. El
diseño preferido se esfuerza por minimizar el costo con un número mínimo
Se ofrecen componentes y características, aunque las opciones avanzadas y de misión crítica son opciones
disponibles para redes que requieren estas capacidades.
Acceso por cable al campus y acceso inalámbrico
En el diseño del campus de sitios pequeños, usted elige el acceso por cable con un sesgo hacia el tamaño
y la flexibilidad en para acomodar los requisitos de espacio y energía de sitios pequeños. Densidades y
características avanzadas de software
Las capacidades actuales no son un requisito tan fuerte, por lo que se muestran las opciones con la
preferencia más económica.
Tabla 3 Plataformas de implementación sugeridas para campus pequeños
Clase de empresa: base
red de cimientos
capacidades
Avanzado: base plus
capacidades de red adicionales
misión crítica: la mejor red de su clase
capacidades
Acceso
interruptores
Cisco 2960-X y 2960-XR
Serie con módulos de pila
Cisco Catalyst 9300 Series stack-
interruptores capaces
Inalámbrico
controlador
FlexConnect con Cisco
Control remoto serie 8500/5500
o Cisco 3500 Series local
Cisco 5500/3500 Series local
Cisco 5500/3500 Series local con-
troller en modo HA SSO
aps
Cisco 1850 Series
Cisco 2800 Series
Cisco 3800 Series
Llave
capacidades
cableado
Acceso Gigabit Ethernet
Servicios de 1 Gigabit Ethernet,
MACsec, TrustSec NetFlow,
PoE +
Servicios Gigabit Ethernet, MACsec,
TrustSec NetFlow, UPOE
Llave
capacidades
inalámbrico
Datos combinados de 2 Gbps,
802.11ac Wave 2, 4x4 MU-
MIMO: 3SS, 20/40/80 MHz,
Transmitir Beamforming
5 Gbps combinados
20/40/80/160 MHz, HDX,
CleanAir, ClientLink 4.0 +
Transmitir Beamforming, Vid-
eoStream
20/40/80/160 MHz, mGig + GE, HDX,
CleanAir, ClientLink 4.0 + Transmitir
Beamforming, VideoStream
Pagina 8
página 9
Fundamentos de diseño de LAN

cableada en el campus
La LAN es la infraestructura de red que proporciona acceso a los servicios y recursos de comunicación de
la red para usuarios finales y dispositivos distribuidos en un solo piso o edificio. Usted crea una red de
campus por interconexión ing un grupo de LAN que se distribuyen en un área geográfica pequeña. Los
conceptos de diseño de red del campus son inclusivos redes pequeñas que usan un solo conmutador LAN,
hasta redes muy grandes con miles de conexiones.
La LAN cableada del campus permite la comunicación entre dispositivos en un edificio o grupo de
edificios, así como interconexión a WAN e Internet edge en el núcleo de la red.
Específicamente, este diseño proporciona una base de red y servicios que permiten:
• Conectividad LAN escalonada.
• Acceso a la red por cable para empleados.
• Multidifusión IP para una distribución eficiente de datos.
• Infraestructura cableada lista para servicios multimedia.
Modelo de diseño jerárquico
La LAN cableada del campus utiliza un modelo de diseño jerárquico para dividir el diseño en grupos o
capas modulares. Romper el diseño en capas permite que cada capa implemente funciones específicas, lo
que simplifica la red diseño y, por lo tanto, el despliegue y la gestión de la red.
La modularidad en el diseño de red le permite crear elementos de diseño que se pueden replicar en toda la
red.
La replicación proporciona una manera fácil de escalar la red, así como un método de implementación
consistente.
En arquitecturas de red planas o malladas, los cambios tienden a afectar a una gran cantidad de
sistemas. Dede jerárquica
El signo ayuda a restringir los cambios operativos en un subconjunto de la red, lo que facilita su
administración y mejorar la resistencia. La estructuración modular de la red en elementos pequeños y
fáciles de entender también facilita resistencia a través de aislamiento de fallas mejorado.
Un diseño LAN jerárquico incluye las siguientes tres capas:
• Capa de acceso: proporciona a los puntos finales y a los usuarios acceso directo a la red.
• Capa de distribución: agrega capas de acceso y proporciona conectividad a los servicios
• Capa central: proporciona conectividad entre capas de distribución para entornos LAN grandes
Página 9
página 10
Fundamentos de diseño de LAN cableada en el campus
Figura 1 Diseño jerárquico de LAN
7146F
Cliente
Acceso
Distribución
Núcleo
Cada capa (acceso, distribución y núcleo) proporciona una funcionalidad y capacidad diferentes a la
red. Dependiente sobre las características del sitio de implementación, es posible que necesite una, dos o
las tres capas. Por ejemplo, un un sitio que ocupa un solo edificio podría requerir solo las capas de acceso
y distribución, mientras que un campus de múltiples edificios tiples probablemente requerirán las tres
capas.
Independientemente de cuántas capas se implementen en una ubicación, la modularidad de este diseño
garantiza que cada capa proporcionará los mismos servicios y, en esta arquitectura, utilizará los mismos
métodos de diseño.
Figura 2 Escalabilidad mediante el uso de un diseño modular
7147
F
Cliente
Acceso
Distribución
Núcleo / Distribución
ESCALA
Cliente
Acceso
Núcleo
Página 10
página 11
capa de acceso
La capa de acceso es donde están los dispositivos controlados por el usuario, los dispositivos accesibles
por el usuario y otros dispositivos de punto final conectado a la red. La capa de acceso proporciona
conectividad por cable e inalámbrica y contiene características y servicios que garantizan la seguridad y la
resistencia para toda la red.
Figura 3 Conectividad de capa de acceso
2085F
Acceso
Cambiar
Inalámbrico
Punto de acceso
Personal
Telepresencia
Mano
Teléfono IP
Usuario
LAN, WAN
e internet
• Conectividad del dispositivo: la capa de acceso proporciona conectividad del dispositivo de gran ancho
de banda. Para ayudar a hacer el red una parte transparente del trabajo diario del usuario final, la capa de
acceso debe soportar ráfagas de tráfico de ancho de banda cuando los usuarios realizan tareas rutinarias,
como enviar correos electrónicos grandes o abrir un archivo desde una página web interna
Debido a que muchos tipos de dispositivos de usuario final se conectan en la capa de acceso
(computadoras personales, teléfonos IP, cables)
menos AP y cámaras de videovigilancia IP: la capa de acceso puede admitir muchas redes lógicas,
entregando beneficios para el rendimiento, la gestión y la seguridad.
• servicios de resistencia y seguridad: el diseño de la capa de acceso debe garantizar que la red esté
disponible para todos usuarios que lo necesitan, siempre que lo necesiten. Como punto de conexión entre
la red y los dispositivos del cliente, la capa de acceso debe ayudar a proteger la red de errores humanos y
de ataques maliciosos. Esta protección incluye garantizar que los usuarios tengan acceso solo a los
servicios autorizados, evitando que los dispositivos del usuario final tomen sobre el papel de otros
dispositivos en la red y, cuando sea posible, verificando que cada dispositivo de usuario final esté
permitido en la red.
• Capacidades tecnológicas avanzadas: la capa de acceso proporciona un conjunto de servicios de red que
admiten tecnologías avanzadas, como voz y video. La capa de acceso debe proporcionar acceso
especializado para dispositivos utilizando tecnologías avanzadas, para garantizar que el tráfico de estos
dispositivos no se vea afectado por el tráfico de otros dispositivos y también para garantizar la entrega
eficiente del tráfico que necesitan muchos dispositivos en la red.
plataformas de capa de acceso
Las opciones preferidas para la LAN cableada del campus incluyen los siguientes switches Cisco como
plataformas de capa de acceso:
• Switches Cisco Catalyst serie 9300
• Switches Cisco Catalyst serie 9400
• Switches Cisco Catalyst 2960-X y 2960-XR Series
Página 15
pagina 12
Capa de distribución
La capa de distribución admite muchos servicios importantes. En una red donde la conectividad necesita
atravesar el LAN de extremo a extremo, ya sea entre diferentes dispositivos de capa de acceso o desde un
dispositivo de capa de acceso a la WAN, la capa de distribución facilita esta conectividad.
• Escalabilidad: en cualquier sitio con más de dos o tres dispositivos de capa de acceso, no es práctico
interconectar todos interruptores de acceso. La capa de distribución sirve como un punto de agregación
para múltiples conmutadores de capa de acceso.
La capa de distribución puede reducir los costos operativos al hacer que la red sea más eficiente, al
requerir menos memoria, creando dominios de fallas que compartimentan fallas o cambios en la red, y
procesando recursos para dispositivos en otra parte de la red. La capa de distribución también aumenta la
disponibilidad de la red en que contiene fallas a dominios más pequeños.
• reducir la complejidad y aumentar la capacidad de recuperación: la LAN con cable del campus tiene la
opción de usar un dispositivo simplificado capa de contribución, en la que un nodo de capa de
distribución consta de una sola entidad lógica que se puede implementar usando un par de interruptores
físicamente separados que funcionan como un solo dispositivo o usando una pila física de interruptores
operando como un solo dispositivo. La resistencia es proporcionada por componentes físicamente
redundantes como fuentes de alimentación, supervisores y módulos, así como el cambio de estado a
planos de control lógico redundantes.
Este enfoque reduce la complejidad de configurar y operar la capa de distribución porque hay menos
protocolos se requieren cols. Se necesita poca o ninguna sintonización para proporcionar una
convergencia de casi un segundo o menos de un segundo fallas o interrupciones.
Diseño de dos niveles
La capa de distribución proporciona conectividad a los servicios basados en la red, a la WAN y al borde
de Internet.
Los servicios basados en la red pueden incluir, entre otros, Servicios de aplicaciones de área amplia
(WAAS) y WLAN controladores Dependiendo del tamaño de la LAN, estos servicios y la interconexión a
la WAN e Internet edge puede residir en un conmutador de capa de distribución que también agrega la
conectividad de la capa de acceso LAN. Esto es también se conoce como un diseño central colapsado
porque la distribución sirve como la capa de agregación de Capa 3 para todos los dispositivos.
Página 16
página 13
Figura 4 Diseño de dos niveles: capa de distribución que funciona como un núcleo colapsado
2086F
LAN
Acceso
Colapsado
LAN Core
Servidor
Habitación
Cliente
Acceso
Interruptores
VSS Switch
Cambiar
Apilar
Inalámbrico
Controlador LAN
Servidores
Cortafuegos
PÁLIDO
Enrutadores
Cortafuegos
PÁLIDO
Internet
Diseño de tres niveles
Los diseños LAN más grandes requieren una capa de distribución dedicada para servicios basados en la
red en lugar de compartir conectividad con dispositivos de capa de acceso. Como la densidad de
enrutadores WAN, controladores WAAS, dispositivos de borde de Internet y WLAN
Si los controladores crecen, la capacidad de conectarse a un solo conmutador de capa de distribución se
vuelve difícil de administrar. Cuando conectan al menos tres distribuciones juntas, usar una capa central
para la conectividad de distribución debería ser una consideración.
Página 13
página 14
Existen varios factores que impulsan el diseño de LAN con múltiples módulos de capa de distribución:
• El número de puertos y el ancho de banda de puertos que puede proporcionar la plataforma de capa de
distribución afecta el rendimiento de la red performance y rendimiento.
• La resistencia de la red es un factor cuando todos los servicios basados en LAN y red dependen de una
sola plataforma, independientemente del diseño de esa plataforma, puede presentar un único punto de
falla o un dominio de falla inaceptablemente grande.
• El control de cambios y la frecuencia afectan la resiliencia. Cuando todos los servicios de LAN, WAN y
otros servicios de red están en solidario en una sola capa de distribución, los errores operativos o de
configuración pueden afectar toda la operación de la red.
• La dispersión geográfica de los conmutadores de acceso LAN a través de muchos edificios en una
instalación de campus más grande requieren más interconexiones de fibra óptica de vuelta a un solo
núcleo colapsado.
Al igual que la capa de acceso, la capa de distribución también proporciona calidad de servicio (QoS)
para los flujos de aplicaciones para garantizar las aplicaciones críticas y las aplicaciones multimedia
funcionan según lo diseñado.
Figura 5 Diseño de tres niveles con una capa de distribución de servicios de red
7148F
LAN
Distribución
Capa
Cliente
Acceso
Interruptores
Servicios de red
Capa de distribución
Inalámbrico
Controlador LAN
Cortafuegos
Internet
PÁLIDO
LAN
Núcleo
Plataformas de capa de distribución
Los conmutadores Cisco preferidos para implementar la capa de distribución de la LAN cableada del
campus incluyen:
• Conmutadores Cisco Catalyst serie 3850-X
• Switches Cisco Catalyst serie 6807-XL con Supervisor Engine 6T
• Conmutadores Cisco Catalyst 9500-24Q
Página 14
página 15
Capa central
En un entorno LAN grande, a menudo surge la necesidad de tener múltiples conmutadores de capa de
distribución. Una razón para esto es que cuando los conmutadores de capa de acceso se encuentran en
varios edificios geográficamente dispersos, puede guardar la fibra óptica potencialmente costosa se
extiende entre edificios al ubicar un interruptor de capa de distribución en cada uno de esos edificios
ings. A medida que las redes crecen más allá de tres capas de distribución en una sola ubicación, las
organizaciones deben usar una capa central para optimizar el diseño.
Otra razón para usar múltiples conmutadores de capa de distribución es cuando el número de
conmutadores de capa de acceso se conecta el acceso a una sola capa de distribución excede los objetivos
de rendimiento del diseñador de red. De forma modular y escaldada diseño capaz, puede colocar capas de
distribución para centros de datos, conectividad WAN o servicios de Internet Edge.
En entornos donde existen múltiples conmutadores de capa de distribución en las proximidades y donde
la fibra óptica proporciona la capacidad de interconexión de gran ancho de banda, una capa central reduce
la complejidad de la red, de N * (N-1) a N enlaces para distribuciones de N, como se muestra en las
siguientes dos figuras.
Figura 6 Topología LAN con una capa central
7149F
Figura 7 Topología LAN sin una capa central
2089F
Página 15
página 16
La capa central de la LAN es una parte crítica de la red escalable y, sin embargo, es una de las más
simples por diseño. Los la capa de distribución proporciona los dominios de falla y control, y el núcleo
representa el control ininterrumpido 24x7x365 conectividad entre ellos, que las organizaciones deben
tener en el entorno empresarial moderno donde la conectividad la importancia de los recursos para
realizar negocios es crítica. La conectividad hacia y desde el núcleo es solo de Capa 3, que impulsa
Mayor resistencia y estabilidad.
Plataformas Core Layer
Los conmutadores Cisco preferidos utilizados como plataformas de capa central del campus son:
• Switches Cisco Nexus serie 7700 con Supervisor 2E
• Conmutadores Cisco Catalyst 6807-XL con Cisco Catalyst 6500 Supervisor Engine 6T
La capacidad, la densidad y las características son las principales diferencias en la selección de la
plataforma de conducción. Ambas plataformas principales tener plataformas hermanas que pueden ser
apropiadas para el papel central en redes existentes o redes donde no se requieren capacidades de las
plataformas principales.
Opciones de diseño de Campus WireD netWork

Cuando escala desde un solo conmutador en una LAN del campus hasta una red completa de campus de
tres niveles, la confiabilidad de la red es cada vez más importante, porque el tiempo de inactividad de la
red probablemente afecta a una mayor población de usuarios con un mayor lugar de trabajo e importancia
económica. Para mitigar las preocupaciones sobre la falta de disponibilidad de recursos de red, campus
diseños incluyen opciones de resistencia adicionales, como enlaces redundantes, conmutadores y
componentes de conmutadores. En diseños tradicionales de campus multicapa, la resistencia adicional
tiene un costo de complejidad de configuración, con la mayoría de la complejidad introducida a partir de
la interacción de las capas de acceso y agregación de la LAN del campus.
La función principal de la capa de distribución es agregar conmutadores de capa de acceso en un edificio
o cámara determinados pus. La capa de distribución proporciona un límite entre el dominio de la capa 2
de la capa de acceso y la capa 3 dominio que proporciona una ruta al resto de la red. Este límite
proporciona dos funciones clave para la LAN.
En el lado de la capa 2, la capa de distribución crea un límite para el protocolo de árbol de expansión
(STP), limitando la propagación.
ción de fallas de capa 2. En el lado de la capa 3, la capa de distribución proporciona un punto lógico para
resumir el enrutamiento IP información cuando ingresa a la red. El resumen reduce las tablas de rutas IP
para facilitar la resolución de problemas y reduce la sobrecarga del protocolo para una recuperación más
rápida de fallas
Diseño tradicional de capas de distribución del campus multicapa

Los diseños de LAN tradicionales utilizan un enfoque de varios niveles con la capa 2 desde la capa de
acceso a la capa de distribución, donde existe el límite de la capa 3. La conectividad desde la capa de
acceso a la capa de distribución puede resultar en ya sea un diseño sin bucle o en bucle.
En el diseño de red tradicional, la capa de distribución tiene dos conmutadores independientes para
resistencia. Es recomendable reparó que restringe una LAN virtual de capa 2 (VLAN) a un único armario
de cableado o par de enlace ascendente de acceso para reducir o eliminar los bucles de topología que STP
debe bloquear y que son un punto común de falla en las LAN. Restringir la conexión de una VLAN a un
solo conmutador proporciona un diseño sin bucles, pero limita la flexibilidad de la red.
Para crear una puerta de enlace IP resistente para VLAN en el diseño tradicional, debe usar protocolos de
redundancia de primer salto, que proporcionan a los hosts una dirección MAC constante y una puerta de
enlace IP para una VLAN. Protocolo de enrutamiento en espera activa (HSRP) y el protocolo de
redundancia de enrutador virtual (VRRP) son los protocolos de redundancia de puerta de enlace más
comunes, pero solo permiten que los hosts envíen datos de uno de los enlaces ascendentes de acceso a la
capa de distribución y requieren configuración para cada conmutador de agregación para permitirle
distribuir VLAN a través de enlaces ascendentes. Carga de puerta de enlace el protocolo de equilibrio
(GLBP) proporciona una mayor utilización del enlace ascendente para el tráfico que sale de la capa de
acceso al equilibrar cargar desde hosts a través de múltiples enlaces ascendentes, pero solo puede usarlo
en una topología no en bucle.
Página 16
página 17
Todos estos protocolos de redundancia requieren que ajuste la configuración predeterminada del
temporizador para permitir segunda convergencia de red, que puede afectar los recursos de la CPU del
conmutador Algunas organizaciones requieren que la misma VLAN de capa 2 se extienda a armarios de
múltiples capas de acceso para acomodar crear una aplicación o servicio. El diseño en bucle hace que el
árbol de expansión bloquee los enlaces, lo que reduce el ancho de banda del resto de la red y puede causar
una convergencia de red más lenta. Las ineficiencias y el mayor potencial para los ingenieros de redes de
unidades de configuración incorrecta para buscar alternativas más atractivas.
Figura 8 Diseño tradicional sin bucle con una VLAN por conmutador de acceso
2103F
Enlace de capa 3
VLAN 30
VLAN 40
VL
AN 40
VL
AN 30
Figura 9 Diseño en bucle tradicional con VLAN que abarcan conmutadores de acceso
2104F
VLAN 30
Interfaz
Obstruido
Interfaz
Obstruido
VLAN 30
VLAN 30
VL
AN 30
VL
AN 30
Capa de acceso enrutada al diseño de distribución
En otro enfoque para el diseño de la capa de acceso y distribución, puede usar la Capa 3 hasta la capa de
acceso.
Los beneficios de este diseño son que elimina los bucles de árbol de expansión y reduce los protocolos
porque la puerta de IP camino es ahora el interruptor de acceso. Debido a que no hay enlaces de bloqueo
de árbol de expansión, puede usar ambos enlaces ascendentes para acceder a la capa y aumentar el ancho
de banda efectivo disponible para los usuarios.
El desafío con el diseño de la capa de acceso enrutada es que los dominios de capa 2 están confinados a
un solo acceso closet, que limita la flexibilidad para aplicaciones que requieren conectividad de capa 2
que se extiende a través del acceso múltiple armarios
Página 17
página 18
Diseño de acceso definido por software
Puede superar las limitaciones de la capa 2 antes mencionadas del diseño de la capa de acceso enrutada
agregando capas de red con capacidad para una red de campus que ya está utilizando una red de acceso de
Capa 3; la adición de la fabricación es automática red utilizando la tecnología SD-Access. El diseño SD-
Access permite el uso de redes virtuales (redes superpuestas) ejecutándose en una red física (red
subyacente) para crear topologías alternativas para conectar dispositivos. En la virtualización de red, SD-
Access permite la segmentación definida por software y la aplicación de políticas basado en la identidad
del usuario y la pertenencia a grupos, integrado con la tecnología Cisco TrustSec.
Para información adicional, ver el Guía de diseño de acceso diseñada por software .
Diseño de capa de distribución simplificado

Una alternativa que puede manejar los requisitos de acceso de la capa 2 y evitar la complejidad de la
tradicional multicapas del campus se llama diseño de capa de distribución simplificado . El diseño utiliza
múltiples interruptores físicos que actúan como un solo conmutador lógico, como la pila de conmutadores
o un VSS, o el único físico menos redundante preferido interruptor de cal. Una ventaja de este diseño es
que la dependencia del árbol de expansión se minimiza y todos los enlaces ascendentes del la capa de
acceso a la distribución está activa y pasa el tráfico. Incluso en el diseño distribuido de VLAN, elimina
enlaces de árbol bloqueado debido a topologías en bucle. Reduce la dependencia del árbol de expansión
utilizando EtherChannel a la capa de acceso con enlaces ascendentes de doble referencia. Esta es una
característica clave de este diseño, y puedes equilibre la carga de hasta ocho enlaces si es necesario para
un ancho de banda adicional. Al mismo tiempo, múltiples enlaces en un Ethercanal tienen mejores
características de rendimiento que los enlaces independientes individuales.
Figura 10 Diseño de distribución simplificado con una VLAN por conmutador de acceso
2105F
VLAN 30
VLAN 40
Figura 11 Diseño de distribución simplificado con VLAN que abarcan conmutadores de acceso
2106F
VLAN 30
VLAN 30
EtherChannel es una interfaz lógica que puede usar un protocolo de plano de control para administrar los
miembros físicos del haz. Es mejor ejecutar un protocolo de canal en lugar de usar el modo forzado
porque un protocolo de canal realiza comprobaciones de coherencia para las interfaces programadas para
estar en el canal y proporciona protección al sistema de configuraciones inconsistentes. Los switches
Cisco Catalyst proporcionan tanto el protocolo de agregación de puertos (PAgP), que es un protocolo de
Cisco ampliamente implementado y un protocolo de agregación de enlaces (LACP), que se basa en IEEE
802.3ad.
Página 18
página 19
Hay varias otras ventajas para el diseño simplificado de la capa de distribución. Ya no necesita puerta de
enlace IP protocolos de redundancia tales como HSRP, VRRP y GLBP, porque la puerta de enlace IP
predeterminada ahora está en un único interfaz lógica y la resistencia son proporcionadas por el
conmutador o conmutadores de capa de distribución. Además, la red convergerá más rápido ahora que no
depende del árbol de expansión para desbloquear enlaces cuando ocurre una falla, porque EtherChannel
proporciona una conmutación por error rápida en menos de un segundo entre enlaces en un paquete de
enlace ascendente.
La topología de la red desde la capa de distribución hasta la capa de acceso es lógicamente una topología
de concentrador y radio, lo que reduce la complejidad del diseño y la resolución de problemas. El diseño
de topología de cubo y radio proporciona una operación eficiente para IP Multicast en la capa de
distribución porque ahora hay un único enrutador lógico designado para reenviar paquetes de
multidifusión IP a una VLAN dada en la capa de acceso.
Finalmente, al usar el diseño de capa de distribución lógica única, hay menos cuadros para administrar, lo
que reduce la cantidad de tiempo dedicado al aprovisionamiento y mantenimiento continuos.
Página 19
página 20
Fundamentos de diseño de LAN inalámbrica del campus
La WLAN del campus proporciona conectividad ubicua de datos y voz para los empleados, acceso
inalámbrico a Internet para invitados y conectividad para dispositivos de Internet de las
cosas. Independientemente de su ubicación dentro de la organización, en campus grandes o en sitios
remotos: los usuarios inalámbricos tienen la misma experiencia cuando se conectan a voz, video,
y servicios de datos.
Los beneficios de la WLAN del campus incluyen:
• Aumento de la productividad a través del acceso seguro a la red, independiente de la ubicación
comprobaciones y comunicación.
• Flexibilidad de red adicional: ubicaciones difíciles de cablear conectadas de forma inalámbrica, sin una
construcción costosa.
• Implementación rentable: adopción de tecnologías virtualizadas dentro de la arquitectura inalámbrica
general.
• Fácil de administrar y operar: desde un solo panel de vidrio, control centralizado de un entorno
inalámbrico distribuido
• implementación plug-and-play: aprovisionamiento automático cuando un AP está conectado a la red
cableada compatible trabajo.
• diseño resistente y tolerante a fallas: conectividad inalámbrica confiable en entornos de misión crítica,
que incluye radiofrecuencia completa (RF): gestión del espectro.
• Soporte para usuarios inalámbricos: modelos de diseño para traer su propio dispositivo (BYOD).
• transmisión eficiente del tráfico de multidifusión: compatibilidad con muchas aplicaciones de
comunicación grupal, como video y pulsar para hablar.
INFRAESTRUCTURA
La WLAN del campus se basa en estos componentes principales de hardware y software:
• Controladores WLAN de Cisco
• AP ligeros de Cisco
• Infraestructura Cisco Prime (PI)
• Cisco Mobility Services Engine (MSE) / Cisco Connected Mobile Experiences (CMX)
Página 24
página 21
CONTROLADORES DE CISCO WLAN
La WLAN del campus es un diseño inalámbrico basado en el controlador, que simplifica la
administración de la red mediante el uso de Cisco Controladores WLAN (WLC) para centralizar la
configuración y el control de los AP inalámbricos. Este enfoque permite la
WLAN para operar como una red de información inteligente y para soportar servicios avanzados. Los
siguientes son algunos de los beneficios del diseño basado en controlador:
• Gastos operativos más bajos: permite configuraciones de toque cero para AP ligeros; diseño fácil de
canal y configuraciones de energía y administración en tiempo real, incluida la identificación de agujeros
RF para optimizar la RF ambiente; movilidad sin interrupciones a través de los diversos AP dentro del
grupo de movilidad; y una visión holística de la
red, decisiones de apoyo sobre escala, seguridad y operaciones generales.
• Activación optimizada: permite la configuración simplificada del controlador WLAN y la red
inalámbrica general a través de la implementación de mejores prácticas durante la configuración inicial de
WLC.
• Mejor retorno de la inversión: permite instancias virtualizadas del controlador WLAN, solo para el
virtual controlador de LAN inalámbrica (vWLC), que reduce el costo total de propiedad al aprovechar su
inversión en virtualización
• Forma más fácil de escalar con un diseño óptimo: permite que la red se escale bien, al admitir un
sistema centralizado diseño de modo cal) para entornos de campus y diseño de Cisco FlexConnect para
sitios remotos lean.
• Conmutación con estado de alta disponibilidad: permite una conectividad sin interrupciones a los
dispositivos inalámbricos del cliente durante una falla del controlador WLAN.
Los controladores Cisco WLAN son responsables de las funciones WLAN de todo el sistema, como las
políticas de seguridad, la intrusión prevención, gestión de RF, QoS y movilidad. Funcionan en conjunto
con los AP ligeros de Cisco para admite aplicaciones inalámbricas críticas para el negocio. Desde
servicios de voz y datos hasta seguimiento de ubicación, Cisco WLAN los controladores proporcionan el
control, la escalabilidad, la seguridad y la confiabilidad que los administradores de red necesitan para
construir de forma segura, redes inalámbricas escalables.
La siguiente tabla resume los controladores WLAN de Cisco a los que se hace referencia en esta guía.
Tabla 4 plataformas de controlador WLAN
plataforma
Despliegue
modo
privilegiado
Topología
máximo
aps
máximo
Clientela
Controlador
Rendimiento
Cisco 8540
Centralizado o
FlexConnect
Gran sitio único o múltiple
6,000
64,000
40 Gbps
Cisco 5520
Centralizado o
FlexConnect
Gran sitio único o múltiple
1,500
20,000
20 Gbps
Cisco 3504
Centralizado o
FlexConnect
Pequeño sitio de controlador local
150
3.000
4 Gbps
Cisco vWLC
(Pequeño)
FlexConnect
Número medio de sitios pequeños
200
6,000
500 Mbps
Cisco vWLC
(Grande)
FlexConnect
Gran cantidad de sitios pequeños
3.000
32,000
1 Gbps
Debido a que la flexibilidad de la licencia de software le permite agregar puntos de acceso adicionales
cuando cambian los requisitos comerciales, usted
puede elegir el controlador que satisfaga sus necesidades a largo plazo, pero usted compra un punto de
acceso incremental
licencias solo cuando las necesita.
Página 21
página 22
Aps de Cisco Lightweight
En la arquitectura de red inalámbrica unificada de Cisco, los AP son ligeros. Esto significa que no pueden
actuar de forma independiente de un controlador WLAN. Cuando el AP se comunica con el controlador
WLAN, descarga su configuración y sincroniza su imagen de software o firmware. Los AP se pueden
convertir para actuar en funcionamiento autónomo, pero la operación autónoma requiere que cada AP sea
administrado individualmente, por lo tanto no está cubierto en esta guía.
Las AP ligeras de Cisco funcionan en conjunto con un controlador WLAN de Cisco para conectar
dispositivos inalámbricos a la LAN mientras admite funciones simultáneas de reenvío de datos y
monitoreo del aire. El campus ofrece WLAN robusta cobertura inalámbrica con hasta nueve veces el
rendimiento de las redes 802.11a / b / g. La siguiente tabla resume los AP discutidos en esta guía.
Tabla 5 AP de Cisco Aironet
Serie 1850
Serie 2800
Serie 3800
Mejor para
Redes pequeñas a medianas
De alta densidad, de tamaño mediano a grande
redes
Misión crítica, alta densidad, grande
redes de tamaño
Caracteristicas
Radio 802.11ac Wave 2, 4x4
entrada múltiple, salida múltiple
(MIMO), 4 flujos espaciales
Radio 802.11ac Wave 2, 3x4
MIMO, 3 corrientes espaciales
Radio 802.11ac Wave 2, 4x4 MIMO,
3 corrientes espaciales
Antenas
Interno externo
Interno externo
Interno externo
Soporte HDX
No
si
si
Aire limpio
No
si
si
Análisis de espectro
si
si
si
ClientLink
No (TxBF basado en estándares)
Sí (4.0)
Sí (4.0)
Datos combinados
Velocidad
2 Gbps
5 Gbps
5 Gbps
La compatibilidad con dos tecnologías clave diferencia los AP seleccionados para la implementación en
la WLAN del campus:
• Tecnología Cisco CleanAir: Brinda a los gerentes de TI visibilidad en su espectro inalámbrico para
administrar interfiera con la RF y evite tiempos de inactividad inesperados Cisco CleanAir proporciona
protección de rendimiento para Redes 802.11. Esta inteligencia de nivel de silicio crea una red
inalámbrica que se recupera automáticamente y se optimiza automáticamente mitiga el impacto de la
interferencia inalámbrica.
• 802.11ac: La especificación IEEE 802.11ac Wave 2 proporciona mejoras significativas a la red
inalámbrica
Rendimiento laboral.
Motor de servicios de movilidad / experiencias móviles conectadas
Cisco MSE / Cisco CMX es una plataforma que ayuda a las organizaciones a ofrecer servicios móviles
innovadores y mejorar el negocio de procesos a través de una mayor visibilidad en la red, servicios
móviles personalizados basados en la ubicación, y Seguridad inalámbrica reforzada MSE / CMX está
disponible en los siguientes factores de forma:
• Dispositivo Cisco MSE 3365
• Máquina virtual que ejecuta VMware ESXi 5.1 o posterior
• CMX Cloud
Page 22
página 23
iseño validado de Cisco
Actualmente hay dos versiones de MSE / CMX con nombres ligeramente diferentes. MSE 8.0 se refiere
tanto a MSE plataforma con el software CMX versión 8.0 ejecutándose en ella. Con CMX versión 10.1 y
superior, este nombre ha sido cambiado a CMX .
La siguiente tabla resume los servicios ofrecidos por las diferentes versiones de MSE / CMX.
Tabla 6 Servicios ofrecidos por MSE 8.0 y CMX 10.2.2
Servicio
mse 8.0
CmX 10.2.2
Servicios basados en la localización
si
si
Prevención de intrusiones inalámbricas de Cisco
Sistema (wIPS)
si
No (planeado)
CMX Analytics
Lugar y presencia
Hiperlocación y FastLocate
CMX Connect
si
si
CMX Mobile App Server y SDK
si
No (planeado)
Conserje móvil
si
No
MODELOS DE DISEÑO INALÁMBRICO
Esta guía describe los siguientes tres modelos de diseño y su uso recomendado:
• Modelo de diseño centralizado (modo local)
• Modelo de diseño FlexConnect
• Modelo de diseño inalámbrico de acceso SD
Modelo de diseño centralizado (modo local)
Un modelo de diseño centralizado, también conocido como modelo de diseño en modo local, se
recomienda principalmente para sitios grandes
despliegues Los beneficios de un diseño centralizado incluyen administración de direcciones IP,
configuración simplificada y solución de problemas y roaming a escala. En un modelo de diseño
centralizado, el controlador WLAN y los AP son ambos ubicado dentro del mismo sitio. Puede conectar
el controlador WLAN a un bloque de servicios del centro de datos, uno de los servicios bloquean el
núcleo del campus o una capa de distribución LAN. Tráfico inalámbrico entre clientes WLAN y el
LAN se canaliza utilizando el protocolo de control y aprovisionamiento de puntos de acceso inalámbrico
(CAPWAP) entre el controlador y el AP.
Página 23
página 24
Figura 12 Modelo de diseño en modo local
1179F
LAN
Bloque de servicios VSS
WLC en sitio N + 1
LAN Core
Interruptores
Centro de datos
WLC en el sitio
HA par
A Internet Edge
Ancla Invitada
Controladores
Túnel CAPWAP
Túnel de movilidad CAPWAP
al Ancla Invitado
Datos inalámbricos
Voz Inalámbrica
Tráfico de invitados
Una arquitectura centralizada utiliza el controlador como un punto único para administrar la seguridad de
capa 2 y la red inalámbrica de Políticas de trabajo. También permite que los servicios se apliquen al
tráfico alámbrico e inalámbrico de forma coherente y coordinada moda.
Además de proporcionar los beneficios tradicionales de un enfoque de red inalámbrica unificada de
Cisco, el modo local el modelo de diseño cumple con las siguientes demandas del cliente:
• Movilidad sin interrupciones: permite el roaming rápido en todo el campus, para que los usuarios
permanezcan conectados a su sesión
incluso mientras camina entre varios pisos o edificios adyacentes con subredes cambiantes
• Capacidad para admitir medios enriquecidos: mejora la solidez de la voz con control de admisión de
llamadas y multidifusión con Tecnología Cisco VideoStream
• Política centralizada: permite la inspección inteligente mediante el uso de firewalls, así como la
inspección de aplicaciones, control de acceso a la red, aplicación de políticas y clasificación precisa del
tráfico
Página 24
página 25
Si algo de lo siguiente es cierto en un sitio, debería considerar implementar un controlador localmente en
el sitio:
• El sitio tiene un centro de datos.
• El sitio tiene una capa de distribución LAN.
• El sitio tiene más de 100 AP.
• El sitio tiene una latencia WAN superior a 100 ms de ida y vuelta a un controlador compartido
propuesto en las plataformas recomendadas para grandes diseños centralizados (modo local) son Cisco
8540 y 5520 WLAN controladores, debido a su escalabilidad y soporte de funciones. Para sitios más
pequeños, puede implementar la WLAN Cisco 3504 controlador como controlador local dentro del sitio.
Modelo de diseño Cisco flexConnect

Cisco FlexConnect es una solución inalámbrica principalmente para implementaciones que consisten en
múltiples sitios remotos pequeños (ramas) conectadas a un sitio central. FlexConnect proporciona una
solución altamente rentable, que permite a las organizaciones Zations para configurar y controlar APs de
sitios remotos desde la sede a través de la WAN, sin implementar un controlador en cada sitio
remoto. Los AP de Cisco que operan en modo FlexConnect pueden cambiar el tráfico de datos del cliente
interfaz cableada local y puede usar troncales 802.1Q para segmentar múltiples WLAN. La VLAN nativa
de la troncal se utiliza para todas las comunicaciones CAPWAP entre el AP y el controlador. Este modo
de operación se conoce como Conmutación local FlexConnect y es el modo de operación descrito en esta
guía.
Página 25
página 26
Figura 13 Modelo de diseño de Cisco FlexConnect
1180F
PÁLIDO
Remoto
Sitio
Remoto
Sitio
Remoto
Sitio
FlexConnect
WLC HA Pair
FlexConnect
WLC virtual
N+1
Centro de datos
A Internet Edge Guest
Controladores de ancla
Túnel CAPWAP
al Ancla Invitado
Datos inalámbricos
Voz Inalámbrica
Cisco FlexConnect también puede canalizar el tráfico de regreso al controlador centralizado, que puede
usarse para invitados inalámbricos acceso. Puede usar un par de controladores compartidos o un par de
controladores dedicados para implementar Cisco FlexConnect. en un modelo de controlador compartido,
los AP configurados en modo local y FlexConnect comparten un controlador común. La arquitectura del
controlador compartido requiere que el controlador WLAN sea compatible con la conmutación local
FlexConnect y modo local. En esta guía, los controladores WLAN que admiten ambos son las series
Cisco 8500, 5500 y 3500controladores inalámbricos es posible que pueda usar una implementación
compartida si cumple con todos los siguientes requisitos:
• Tiene un par de controladores de modo local existente en el mismo sitio que su agregación WAN.
• El par de controladores tiene suficiente capacidad adicional para admitir los AP Cisco FlexConnect.
• El número de grupos FlexConnect necesarios coincide con las capacidades del par de controladores.
Si no cumple con los requisitos para un controlador compartido, puede implementar Cisco 8500, Cisco
5500 o Cisco, controladores inalámbricos de la serie 3500. Para obtener la mayor resistencia, implemente
un par de controladores en SSO de alta disponibilidad (HA) configuración. Alternativamente, puede
implementar alta disponibilidad N + 1 para proporcionar resistencia entre sitios si lo desea.
También puede emplear controladores duales y resistentes configurados en un modelo N + 1 HA con
Cisco v WLC.
Página 26
página 27
Si todo lo siguiente es cierto en un sitio, debería considerar implementar Cisco FlexConnect en el sitio:
• La LAN del sitio es un conmutador de capa de acceso único o una pila de conmutadores.
• El sitio tiene menos de 50 AP.
• El sitio es uno de los muchos sitios remotos pequeños conectados a una ubicación central
• El sitio tiene una latencia WAN de menos de 100 ms de ida y vuelta al controlador compartido.
Modelo de diseño inalámbrico de acceso SD
SD-Access Wireless es la solución inalámbrica habilitada para fabric que se integra completamente con
un modelo de SD-Access con cable.
El principal beneficio de SD-Access Wireless es que los clientes pueden tener una política común y una
experiencia unificada a través de cable e inalámbrico. En este modelo, los WLC de tejido comunican la
información del cliente inalámbrico al plano de control de fabric y los AP de fabric encapsulan el tráfico
en la ruta de datos de VXLAN.
Consejo técnico
El tráfico del plano de control inalámbrico SD-Access se pasa al WLC, mientras que el tráfico del plano de datos se pasa
directamente en la tela.
7110F
Nodo de borde
Nodo de borde
Intermedio
Nodo
Servicios compartidos
Distribución (VSS)
Intermedio
Nodo
Nodo de borde
L2 MEC
AP
Nodo de borde
Inalámbrico
Controladores LAN
Acceso SD
Tela
Overlay y Underlay
Conectividad de red
Requisitos para implementar SD-Access Wireless
• Despliegue por cable SD-Access
• El modo Fabric admite puntos de acceso conectados directamente a nodos de borde de tejido SD-Access
• Modo de tela compatible con WLC
• 20 ms o menos de latencia entre los AP de tejido y el WLC de tejido
Page 27
página 28
CONSIDERACIONES DE DISEÑO INALÁMBRICO
Alta disponibilidad
A medida que más dispositivos con funciones críticas se trasladan al medio inalámbrico, la alta
disponibilidad de la infraestructura inalámbrica. Esto se está volviendo cada vez más importante. La
comunicación de audio, video y texto en tiempo real depende de la empresa de red inalámbrica, y la
expectativa de tiempo de inactividad cero se está convirtiendo en la norma. Los impactos negativos de la
tecnología inalámbrica, las interrupciones de la red son tan impactantes como las interrupciones de la red
cableada. Implementando alta disponibilidad dentro de la infraestructura inalámbrica involucra múltiples
componentes y funcionalidades implementadas en toda la red infraestructura, que en sí misma debe estar
diseñada para una alta disponibilidad. Esta sección trata sobre la alta disponibilidad específica
a la implementación de plataformas de controlador inalámbrico. La redundancia a nivel de plataforma se
refiere a la capacidad de mantener servicio inalámbrico cuando se pierde la conectividad a una o más
plataformas de controlador WLAN físicas dentro de un sitio.
Los métodos de alta disponibilidad discutidos en esta guía de diseño son los siguientes:
• SSO de alta disponibilidad
• N + 1 de alta disponibilidad
• Agregación de enlaces del controlador WLAN
SSO de alta disponibilidad
Cisco AireOS admite la conmutación con estado de punto de acceso y la conmutación con estado del
cliente. Estas dos características son colectivamente denominado HA SSO . Por simplicidad y eficacia,
HA SSO es la opción preferida para proporcionar alta disponibilidad. Mediante el uso del modelo de
licencia HA SSO rentable, las implementaciones inalámbricas de Cisco pueden mejorar
La disponibilidad de la red inalámbrica con tiempos de recuperación del controlador en el rango de menos
de un segundo durante una WLAN interrupción del controlador. Además, HA SSO permite que el
controlador WLAN resistente tenga una licencia rentable como un controlador resistente en espera con su
recuento de licencias de punto de acceso heredado automáticamente de su primario emparejado
Controlador WLAN Esto se logra mediante la compra de un controlador resistente en espera utilizando el
SKU HA disponible para los controladores WLAN de las series Cisco 5500 y 8500.
La configuración y las actualizaciones de software del controlador WLAN primario se sincronizan
automáticamente con controlador WLAN de reserva resistente.
Alta disponibilidad N + 1
Puede usar la arquitectura N + 1 HA para proporcionar redundancia a los controladores WLAN en un
solo sitio o en sitios separados geográficamente con un costo total de implementación más bajo. A
menudo se implementa junto con la Arquitectura FlexConnect para proporcionar alta disponibilidad en
centros de datos para sucursales remotas. Usted puede usar un solo controlador WLAN de respaldo para
proporcionar respaldo para múltiples controladores WLAN primarios. HA SSO la funcionalidad no es
compatible con N + 1 HA. Cuando falla el controlador primario, la máquina de estado AP CAPWAP es
Reiniciado con N + 1 HA, los controladores WLAN son independientes entre sí y no comparten
configuración o direcciones IP en cualquiera de sus interfaces. Cada WLC debe administrarse por
separado, puede ejecutar hardware diferente y puede implementarse en diferentes centros de datos a
través del enlace WAN.
Se recomienda (pero no es obligatorio) que ejecute la misma versión de software en los WLC utilizados
para N + 1 HA, en para reducir el tiempo de inactividad a medida que los AP establecen sesiones
CAPWAP para los controladores de respaldo. Puedes configurar una APs con prioridad con N + 1
HA. Los AP con alta prioridad en el controlador primario siempre se conectan primero al controlador de
respaldo, incluso si tienen que expulsar AP de baja prioridad. Cuando un WLC primario reanuda la
operación, los AP retroceden del WLC de respaldo al WLC primario automáticamente, si la opción de
respaldo AP está habilitada.
Página 28
página 29
Puede configurar un controlador secundario HA-SKU como controlador de respaldo para N + 1 HA. El
HA-SKU único El identificador de dispositivo proporciona la capacidad del número máximo de AP
admitidos en ese hardware. No puedes configurar el HA-SKU secundario N + 1 en combinación con HA
SSO. Son mutuamente excluyentes
Agregación de enlaces del controlador WLAN

La mayoría de los dispositivos de controlador inalámbrico de Cisco tienen múltiples puertos físicos de 1 o
10 Gigabit Ethernet. En típicos de las implementaciones, una o más WLAN / identificadores de conjunto
de servicios (SSID) se asignan a una interfaz dinámica, que es entonces mapeado a un puerto físico. En
un diseño centralizado, el tráfico inalámbrico se transmite a través de la infraestructura de red y terminado
en los puertos físicos. Con el uso de un solo puerto físico por WLAN, el rendimiento de cada WLAN está
limitada al rendimiento del puerto. Por lo tanto, una alternativa es implementar la agregación de enlaces
(LAG) a través de los puertos del sistema de distribución, combinándolos en una única interfaz de alta
velocidad. cuando el LAG está habilitado, el controlador inalámbrico administra dinámicamente la
redundancia de puertos y los AP de equilibrio de carga transparentemente. El LAG también simplifica la
configuración del controlador porque ya no es necesario configurar el primario y puertos secundarios para
cada interfaz. Si alguno de los puertos del controlador falla, el tráfico se migra automáticamente a uno de
Los otros puertos. Mientras esté funcionando al menos un puerto del controlador, el controlador
inalámbrico continuará funcionando, las AP permanecen conectados a la red y los clientes inalámbricos
continúan enviando y recibiendo datos. LAG requiere que se configure un grupo de puertos EtherChannel
en el conmutador Catalyst conectado. El EtherChannel
el grupo de puertos se puede configurar en varias tarjetas de línea en el conmutador Catalyst o en varios
conmutadores en un Catalyst cambiar la configuración VSS, para redundancia adicional. Cuando se
configura a través de interruptores que se conoce como multi chasis EtherChannel .
La siguiente figura muestra un ejemplo de agregación de enlaces de controlador inalámbrico en una
configuración de alta disponibilidad para un par VSS del conmutador Catalyst. Se utiliza una conectividad
similar cuando se conecta a una pila de conmutadores de distribución.
Figura 14 Ejemplos de agregación de enlaces
7150F
Primario
Redundancia
Puerto
Cisco WLC
Par HA-SSO
Colocarse
Grupo LAG único por controlador:
Puertos físicos 1-4 en WLC primario y
Puertos 1-4 en Standby WLC, conectado a
Varias tarjetas de línea a través de un par VSS Catalyst.
Alternativamente, use StackWise Virtual
o una pila de interruptores.
La distribución de los puertos desde los WLC activos y en espera a través de ambos conmutadores dentro
del par VSS es la recomendación.diseño reparado Este diseño minimiza el tráfico que cruza el enlace del
conmutador virtual entre el conmutador Catalyst es en el par VSS durante la operación normal (sin fallas),
porque los WLC activos y en espera tienen puertos conectado a ambos interruptores. Este diseño también
evita un cambio del WLC activo al WLC en espera en el evento de una falla del interruptor dentro del par
VSS. Sin embargo, en el caso de una falla del interruptor dentro del par VSS, el
de número de puertos conectados al WLC activo se reduce a la mitad.
Consejo técnico
Configura los interruptores Catalyst incondicionalmente a LAG (modo activado), porque el controlador inalámbrico
no es compatible con LACP o PAgP.
Page 29
página 30
La siguiente tabla resume el soporte de alta disponibilidad con los diversos controladores.
Tabla 7 Soporte de funciones de alta disponibilidad
Modelo de Cisco WLC
Ha sso
N + 1 HA
Redundancia de pila
RETRASO
8540
si
si
-
si
5520
si
si
-
si
3504
si
si
-
si
vWLC
No
si
-
A través de VMware
soporte muLtiCast
Las aplicaciones de video y voz continúan creciendo a medida que se agregan teléfonos inteligentes,
tabletas y PC a las redes inalámbricas
en todos los aspectos de nuestra vida diaria. En cada uno de los modelos de diseño inalámbrico, el soporte
de multidifusión al que los usuarios acceden
personalizado en una red cableada está disponible de forma inalámbrica. Se requiere multidifusión para
permitir la entrega eficiente
de ciertas aplicaciones uno a muchos, como video y comunicaciones grupales push-to-talk. Al extender el
soporte de multidifusión más allá del campus y centro de datos, los usuarios móviles ahora pueden usar
aplicaciones basadas en multidifusión
Plicaciones
La WLAN del campus admite la transmisión de multidifusión para el controlador in situ mediante el uso
de multidifusión-multidifusión
modo, que utiliza una dirección IP de multidifusión para comunicar de manera más eficiente las
transmisiones de multidifusión a AP que
tener usuarios inalámbricos suscribiéndose a un grupo de multidifusión particular. En esta guía, el modo
multicast-multicast es compatible
portado mediante el uso de los controladores WLAN de las series Cisco 3500, 5500 y 8500.
Los sitios remotos que usan Cisco vWLC con Cisco FlexConnect en modo de conmutación local también
pueden beneficiarse de
El uso de aplicaciones basadas en multidifusión. La multidifusión en sitios remotos aprovecha el soporte
subyacente de WAN y LAN
de tráfico multicast. Cuando se combina con AP en modo FlexConnect utilizando conmutación local, los
suscriptores a múltiples
las transmisiones de transmisión se atienden directamente a través de la red WAN o LAN sin que se
coloque una sobrecarga adicional en el
Controlador WLAN
Guest Wireless
El uso de la infraestructura cableada e inalámbrica existente en el campus para el acceso de los huéspedes
proporciona una manera conveniente y económica
5to modo de ofrecer acceso a Internet a visitantes y contratistas. La red inalámbrica de invitados
proporciona lo siguiente
funcionalidad:
• Proporciona acceso a Internet a los invitados a través de un SSID inalámbrico abierto, con control de
acceso de autenticación web
• Admite la creación de credenciales de autenticación temporales para cada invitado por un usuario
interno autorizado
• Mantiene el tráfico en la red de invitados separado de la red interna para evitar que un invitado acceda
cesar los recursos de la red interna
• Admite modelos de diseño centralizados y Cisco FlexConnect
34
página 31
Figura 15 Descripción general de la arquitectura inalámbrica
Bloque de servicios VSS
WLC en el sitio
HA par
En el sitio
WLC N + 1
PÁLIDO
Remoto
Sitio
LAN Core
Interruptores
1178F
Sitio regional
Internet Edge
Centro de datos
Internet
Sitio remoto
WLC
En el sitio
WLC
HA o N + 1
Ancla Invitada
Controlador (es)
HA o N + 1
Túnel CAPWAP
al Ancla Invitado
Voz Inalámbrica
Datos inalámbricos
Sede
Si tiene un solo par de controladores para toda la organización y ese par de controladores está conectado a
la misma
Con el interruptor de distribución como el firewall perimetral de Internet, puede usar una implementación
compartida.
En una implementación compartida, se crea una VLAN en el conmutador de distribución para conectar
lógicamente el tráfico de invitados
desde los controladores WLAN hasta la zona desmilitarizada (DMZ). La DMV Guest VLAN no tendrá
un asociado
Interfaz de capa 3 o interfaz virtual de conmutador. Como tal, cada cliente inalámbrico en la red de
invitados utilizará el Inter-
cortafuegos de red como su puerta de enlace predeterminada.
Si no cumple con los requisitos para una implementación compartida, puede usar Cisco 5500 o Cisco
3500 Series
Controladores LAN inalámbricos para implementar un controlador invitado dedicado. El controlador está
conectado directamente
La DMZ de borde de Internet y el tráfico de invitados de cualquier otro controlador de la organización se
canaliza a este controlador.
Otros controladores pueden proporcionar servicios de anclaje para invitados como se describe, pero no
están cubiertos en esta guía.
Tanto en los modelos de diseño inalámbrico para invitados compartidos como dedicados, el firewall de
borde de Internet restringe el acceso desde
La red de invitados. La red de invitados solo puede acceder a Internet y a los servidores internos DHCP y
DNS.
Página 35
página 32
La mayoría de los departamentos de TI de las organizaciones eligen que los usuarios inalámbricos
invitados se autentiquen primero, antes de permitir
acceso a internet. Este paso a veces se acompaña con la lectura del usuario invitado y la aceptación de un
acuerdo
Política de uso aceptable (AUP) o acuerdo de usuario final (EUA) antes de acceder a Internet. Desde la
organización
El departamento de TI generalmente no tiene control sobre las capacidades de hardware o software de los
dispositivos inalámbricos invitados, el
la decisión de autenticación y autorización a menudo se basa solo en un usuario y contraseña
invitados. En otras palabras, el
El dispositivo con el que el invitado está accediendo a la red no puede ser considerado para ninguna
decisión de política. Un típico
La forma de implementar la autenticación del usuario invitado es a través del navegador web del usuario
invitado, un método conocido como web
autenticación o WebAuth . Con este método de autenticación, el invitado inalámbrico primero debe abrir
su web
navegador, o aplicación móvil con navegador integrado, a una URL ubicada en algún lugar dentro de
Internet. El navegador
la sesión se redirige a un portal web que contiene una página de inicio de sesión que solicita credenciales
de inicio de sesión. Sobre el éxito
autenticación completa, el usuario invitado puede acceder a Internet o ser redirigido a otro sitio web. Esta
El método de autenticación también se conoce como portal cautivo .
Existen varias formas de autenticar invitados en las WLAN, como las siguientes:
• WebAuth local: con este método, la sesión web del dispositivo invitado es redirigida por la red
inalámbrica invitada
controlador a un portal web que contiene la pantalla de inicio de sesión dentro del controlador
inalámbrico invitado. La creación del huésped
las referencias se comprueban con la base de datos local dentro del controlador inalámbrico invitado. La
ventaja de
esta opción es que toda la administración del acceso inalámbrico de invitado se limita al controlador
inalámbrico de invitado
dentro de la DMZ. La desventaja de esta opción es que las credenciales de invitado se mantienen por
separado dentro de
controlador inalámbrico invitado.
• Autenticación web central: con este método, la sesión web del dispositivo invitado es redirigida por
controlador inalámbrico invitado a un portal web externo que contiene la pantalla de inicio de sesión. Las
credenciales del invitado son
luego se compara con una base de datos externa dentro de una autenticación, autorización y contabilidad
(AAA)
servidor. Cisco Identity Services Engine (ISE) puede proporcionar tanto el portal web externo como las
funciones del servidor AAA
tionalidad Al colocar el portal de inicio de sesión de WebAuth en un servidor central, el administrador de
red puede proporcionar
Una página de inicio de sesión unificada, con un AUP o EUA opcional, para todos los accesos de
invitados inalámbricos sin tener que crear un
página de inicio de sesión separada en cada controlador inalámbrico invitado. Al mover la base de datos
de credenciales de invitado y el invitado
patrocinador portal a un servidor AAA, el administrador de red puede proporcionar un lugar central para
crear y
administrar credenciales de invitado, en lugar de tener que crear credenciales de invitado en cada
controlador inalámbrico de invitado.
• Incorporación de invitados basada en CmX: la incorporación de invitados basada en CMX a menudo es
implementada por organizaciones que
desea proporcionar acceso gratuito a Internet dentro de su sede, a cambio de recopilar información de
clientes que visitan el sitio. Con este método, los huéspedes pueden usar la red inalámbrica y acceder
Internet desde el lugar iniciando sesión con sus credenciales de redes sociales existentes. El dueño del
lugar puede
también elija permitir el inicio de sesión anónimo en la red inalámbrica. El propietario del lugar también
puede elegir opcionalmente
para mostrar una página de bienvenida y un formulario de registro, personalizado para la ubicación de ese
lugar en particular. Puedes ac-
compilar la incorporación de huéspedes basada en CMX mediante la implementación de la plataforma
Cisco CMX (también conocida como Mobility
Motor de servicios ). Puede implementar la plataforma de servicios de movilidad empresarial de Cisco
junto con CMX para
ir más allá de simplemente proporcionar conectividad, involucrando al visitante a través de un navegador
web o una aplicación móvil
desplegado en el dispositivo móvil.
Cisco officeextend
Para el teletrabajador a domicilio, es imperativo que el acceso a los servicios comerciales sea confiable y
consistente,
brindando una experiencia comparable a estar en el campus. Pero en la conexión inalámbrica de 2,4 GHz
de uso común
Los entornos de banda, residenciales y urbanos tienen muchas fuentes potenciales de congestión, tales
como
juegos, teléfonos inteligentes, tabletas y monitores para bebés. Para apoyar a los usuarios cuyas
habilidades técnicas varían ampliamente, un teletrabajador
La solución debe proporcionar una forma simplificada y simplificada de implementar dispositivos que
permitan un acceso seguro a
ambiente corporativo.
Page 36
página 33
Las operaciones de TI tienen un conjunto diferente de desafíos a la hora de implementar una solución de
teletrabajo, que incluye
asegurar, mantener y gestionar adecuadamente el entorno del teletrabajador desde una ubicación
centralizada. Porque
los gastos operativos son una consideración constante, TI debe implementar una solución rentable que
proteja un
inversión de la organización sin sacrificar calidad o funcionalidad.
Cisco OfficeExtend satisface los requisitos de facilidad de uso, calidad de experiencia y costo
operativo. los
La solución Cisco OfficeExtend se basa en dos componentes principales:
• Controlador de LAN inalámbrica Cisco 3500 Series o Cisco 5500 Series o Cisco 8500 Series
• Punto de acceso OfficeExtend de la serie Cisco Aironet 1810W
Controladores Cisco WLAN
Los controladores WLAN de Cisco funcionan en conjunto con los puntos de acceso Cisco OfficeExtend
para admitir negocios críticos
Aplicaciones inalámbricas para teletrabajadores. Los controladores WLAN de Cisco proporcionan
control, escalabilidad, seguridad y confiabilidad.
Es importante que los administradores de red necesiten crear un entorno de teletrabajador seguro y
escalable.
Un controlador independiente puede admitir hasta 500 sitios Cisco OfficeExtend. Para una solución
resistente, Cisco recomienda
repara el despliegue de controladores en pares.
Los siguientes controladores son opciones preferidas para Cisco OfficeExtend:
• Controlador de LAN inalámbrica de la serie Cisco 3500
• Controlador de LAN inalámbrica de la serie Cisco 5500
Debido a que la flexibilidad de la licencia de software le permite agregar puntos de acceso adicionales a
medida que cambian los requisitos comerciales, puede
elija el controlador que satisfaga sus necesidades a largo plazo, permitiéndole pagar solo por lo que
necesita, cuando
lo necesita.
Para permitir a los usuarios conectar sus dispositivos de punto final a la red inalámbrica local de la
organización o a su
redes inalámbricas de teletrabajo en el hogar sin reconfiguración, Cisco OfficeExtend utiliza los mismos
SSID inalámbricos en
hogares de teletrabajadores como aquellos que admiten datos y voz dentro de la organización.
Puntos de acceso Cisco OfficeExtend
El punto de acceso OfficeExtend de la serie Cisco Aironet 1810W es liviano, lo que significa que no
puede actuar de manera independiente
de un controlador WLAN. Para ofrecer conectividad WLAN remota utilizando el mismo perfil que en la
oficina corporativa,
el AP valida todo el tráfico contra políticas de seguridad centralizadas. Mediante el uso de controladores
WLAN para la centralización de
políticas, Cisco OfficeExtend minimiza los gastos generales de administración asociados con los firewalls
basados en el hogar. Un dato
La conexión de seguridad de la capa de transporte de Gram asegura las comunicaciones entre el AP y el
controlador WLAN.
Cisco OfficeExtend ofrece un rendimiento inalámbrico 802.11ac y evita la congestión causada por
dispositivos residenciales
porque funciona simultáneamente en las bandas de RF de 2.4 GHz y 5 GHz. El AP también proporciona
Ether con cable
conectividad neta además de inalámbrica. El punto de acceso Cisco OfficeExtend proporciona seg-
medición del tráfico doméstico y corporativo, que permite la conectividad del dispositivo doméstico sin
introducir seguridad
riesgos para la política corporativa.
Modelos de diseño de OfficeExtend
Para la implementación más flexible y segura de Cisco OfficeExtend, implemente un par de controladores
dedicados para Cisco
OfficeExtend usando los controladores LAN inalámbricos Cisco 5500 o 3500 Series. En el modelo de
diseño dedicado, el
el controlador está conectado directamente a la DMZ de borde de Internet y el tráfico de Internet termina
en la DMZ (como
opuesto a en la red interna), mientras que el tráfico del cliente todavía está conectado directamente a la
red interna.
Page 37
página 34
Figura 16 Modelo de diseño dedicado de Cisco OfficeExtend
Internet Edge
Enrutadores
7151
F
DMZ Switch
OfficeExtend
WLC
Internet
ANUNCIO
ISE
Internet Edge
Centro de datos
Teletrabajador
LAN remota
Voz Inalámbrica
Datos inalámbricos
CAPWAP
RADIO
servicios de nombres de dominio de multidifusión y puerta de enlace Bonjour
Bonjour es el protocolo de configuración cero de Apple para anunciar, descubrir y conectarse a servicios
de red
como compartir archivos, imprimir y compartir multimedia. El protocolo Bonjour fue originalmente
diseñado para la red doméstica.
uso de trabajo y servicios de nombres de dominio de multidifusión (mDNS) a través de multidifusión
local de enlace para compartir servicios de red.
Aunque este enfoque funciona bien en las redes domésticas, una limitación de la multidifusión local de
enlace es que estas redes
los servicios solo se compartirán dentro de un solo dominio de Capa 2 (como una VLAN o WLAN). En
una empresa WLAN
escenario, utiliza diferentes WLAN y VLAN para diferentes clases de dispositivos, incluidos dispositivos
corporativos, em-
dispositivos ployee, dispositivos personales y dispositivos invitados (así como WLAN de cuarentena para
dispositivos no aprobados). Como
por ejemplo, las operaciones básicas de Bonjour, como imprimir en una impresora con cable desde una
WLAN, pueden no ser compatibles de forma nativa.
Para abordar esta limitación y satisfacer la demanda de los usuarios de dispositivos BYOD Apple dentro
de la empresa, Cisco desarrolló
abrió la función Bonjour Gateway para sus WLC. Esta característica resuelve la limitación de dominio de
Capa 2 para Bonjour por
permitiendo que el WLC espíe, guarde en caché y responda proxy a las solicitudes de servicio de Bonjour
que pueden residir en diferentes
Dominios de capa 2. Además, estas respuestas pueden ser controladas selectivamente por políticas
administrativas, de modo que
solo se permitirán ciertos servicios de Bonjour en dominios específicos de Capa 2.
38
página 35
El protocolo Bonjour utiliza consultas mDNS. Estas consultas se envían a través del puerto UDP 5353 a
este grupo reservado
direcciones:
• Dirección de grupo IPv4: 224.0.0.251
• Dirección de grupo IPv6: FF02 :: FB
Es importante resaltar que las direcciones mDNS utilizadas por Bonjour son direcciones de multidifusión
de enlace local y solo son
reenviado dentro del dominio de capa 2 local, porque la multidifusión local de enlace debe permanecer
local por diseño. Más lejos-
Además, los enrutadores ni siquiera pueden usar el enrutamiento de multidifusión para redirigir las
consultas mDNS, porque el tiempo de vida (TTL) de
estos paquetes se establecen en 1.
Bonjour se desarrolló originalmente para redes domésticas típicas, con un solo dominio de Capa 2, donde
este enlace local
La limitación de mDNS rara vez planteó restricciones prácticas de implementación. Sin embargo, en un
despliegue de campus empresarial:
ment -donde puede existir un gran número de dominios de Capa 2 cableados e inalámbricos- esta
limitación limita severamente Bon-
funcionalidad de viaje, porque los clientes de Bonjour solo ven servicios alojados localmente y no ven ni
se conectan a los servicios
alojado en otras subredes. Esta limitación de multidifusión local de enlace de Bonjour mDNS se ilustra en
la siguiente figura.
Figura 17 Limitación de implementación de Bonjour en redes empresariales
1336F
CAPWAP
Túnel
Bonjour es
Enlace de multidifusión local
y no puede ser enrutado
VLAN X
Punto de acceso
224.0.0.251
WLC
Apple TV
iPad
224.0.0.251
AirPrint
Acceso
VLAN Y
La característica Bonjour Gateway (la característica de la puerta de enlace mDNS más a menudo
habilitada para Bonjour) se entromete y almacena
todos los anuncios de servicio de Bonjour en varias VLAN y se pueden configurar para responder
selectivamente a Bonjour
consultas
Opciones de implementación de la política de servicio de Bonjour Gateway
Una ventaja funcional clave de la puerta de enlace Bonjour es que se puede configurar para responder
selectivamente al servicio Bonjour
solicitudes de vicios, lo que permite el control administrativo de los servicios de Bonjour dentro de la
empresa. Políticas de Bonjour
se puede aplicar de la siguiente manera:
• Por WLAN
• Por VLAN
• Por interfaz / grupo de interfaces
Página 39
página 36
Control y visibilidad de aplicaciones de Cisco
La solución Cisco Application Visibility and Control (AVC), ya compatible con plataformas de
enrutamiento de Cisco como
Cisco ASR 1000 y Cisco ISR: está disponible en plataformas WLC, incluidos Cisco 3500, 5500 y 8500
WLC en modo de conmutación central.
El conjunto de características de Cisco AVC aumenta la eficiencia, la productividad y la capacidad de
administración de la red inalámbrica. Anuncio-
Además, el soporte de AVC integrado en la infraestructura WLAN extiende la QoS basada en
aplicaciones de Cisco
soluciones de punta a punta.
AVC incluye estos componentes:
• Tecnología de inspección profunda de paquetes (DPI) de próxima generación llamada Aplicación
basada en red de próxima generación
Reconocimiento (NBAR2), que permite la identificación y clasificación de aplicaciones. Disponible en
Cisco
Plataformas basadas en iOS, NBAR2 es una tecnología de inspección de paquetes profundos que incluye
soporte de L4-L7 con estado
clasificación.
• Capacidad para comentar aplicaciones usando DiffServ, que luego puede usar para priorizar o des-
priorizar aplicaciones
para el tratamiento de QoS en redes cableadas e inalámbricas.
• Una plantilla para Cisco NetFlow v9 para seleccionar y exportar datos de interés para Cisco PI o un
tercero NetFlow
recopilador para recopilar, analizar y guardar informes para la resolución de problemas, la planificación
de la capacidad y el cumplimiento
poses
Estos componentes AVC se muestran en la siguiente figura.
Figura 18 Componentes de Cisco AVC
BIBLIOTECA NBAR
Paquete profundo
Inspección
POLÍTICA
Marca de paquete
Y cae
FLUJO NETO (PLANTILLA ESTÁTICA)
Proporciona exportación de flujo
1341
F
Platino
Tráfico
Oro
Plata
Bronce
INSPECCIONE EL PAQUETE
Dirección IP origen
Dirección IP de destino
Puerto de origen
Puerto de destino
Capa 3 Portocol
Byte TOS (DSCP)
Interfaz de entrada
CACHÉ DE FLUJO NETO
Información de flujo
Dirección, puertos
Paquetes
11000
Bytes / Paquetes
1528
Crear un flujo a partir de atributos de paquete
Nebraska
TFL
OW KEY FIEL
DS
Page 40
página 37
Cisco AVC en el WLC hereda NBAR2 de Cisco IOS que proporciona tecnología DPI para clasificar con
estado
Clasificación de aplicación L4-L7. Esta es una tecnología crítica para la gestión de aplicaciones porque ya
no es un
cuestión sencilla de configurar una lista de acceso basada en los números de puerto TCP o UDP para
identificar positivamente
Una aplicación. De hecho, a medida que las aplicaciones han madurado, particularmente en la última
década, un número cada vez mayor
de las aplicaciones se han vuelto opacas a dicha identificación. Por ejemplo, el protocolo HTTP (puerto
TCP 80) puede transportar
miles de aplicaciones potenciales dentro de él y en las redes actuales parece funcionar más como un
programa de transporte
tocol, en lugar de como el protocolo de capa de aplicación OSI para el que fue diseñado
originalmente. Por lo tanto, para identificar
aplicaciones con precisión, las tecnologías DPI como NBAR2 son críticas.
Después de que el motor NBAR reconoce las aplicaciones por sus firmas de protocolo discretas, registra
esta información
en una tabla de flujo común para que otras características de WLC puedan aprovechar este resultado de
clasificación. Las características incluyen QoS,
NetFlow y las funciones de firewall, todas las cuales pueden tomar medidas basadas en esta clasificación
detallada.
Cisco AVC proporciona:
• Visibilidad de la aplicación en Cisco WLC al habilitar la Visibilidad de la aplicación para cualquier
WLAN configurada. Una vez tú
activar la Visibilidad de la aplicación, el motor NBAR clasifica las aplicaciones en esa WLAN
particular. Puedes ver
Visibilidad de la aplicación en el WLC a nivel de red general, por WLAN o por cliente.
• Control de aplicaciones en Cisco WLC creando un perfil (o política) AVC y conectándolo a una
WLAN. los
AVC Profile es compatible con las reglas de QoS por aplicación y proporciona las siguientes acciones
para tomar en cada clase
aplicación aplicada: Marcar (con DSCP), Permiso (y transmitir sin cambios) o Descartar.
Los casos clave de uso comercial para Cisco AVC incluyen:
• Clasificación y marcado de aplicaciones de dispositivos móviles inalámbricos: identificación y
diferenciación de voz en tiempo real,
video, o aplicaciones críticas para el negocio de aplicaciones menos importantes (pero potencialmente
hambrientas de ancho de banda) en
para priorizar, des-priorizar o descartar el tráfico de aplicaciones específicas.
• Planificación de capacidades y tendencias: alinear la red para obtener una comprensión más clara de qué
aplicaciones
Las opciones están consumiendo ancho de banda y el uso de aplicaciones de tendencia para ayudar a los
administradores de red a planificar
mejoras de infraestructura.
Sistema inalámbrico de prevención de intrusiones
La solución Cisco wIPS ofrece una solución de seguridad inalámbrica a tiempo completo, flexible y
escalable, basada en 24x7x365 para
Satisfacer las necesidades de cada cliente. La seguridad es un factor importante en las implementaciones
de WLAN de hoy y el sistema Cisco wIPS
está diseñado para cumplir con todos los desafíos de seguridad de capa 1, 2 y 3 de una implementación de
WLAN. Usando una solución Cisco de un
WLC, PI y MSE con servicios de ubicación con reconocimiento de contexto, wIPS puede localizar,
mitigar y contener ataques en el campus
ambientes. Se muestran los distintos tipos de ataques que puede soportar wIPS.
Page 41
página 38
Tabla 8 ataques wIPS y solución Cisco
wips ataques y amenazas
Solución de Cisco
Ataques en el cable
AP inalámbricos rebeldes
Puente inalámbrico ad-hoc
WLC, PI y MSE con Context-Aware detecta, localiza, mitiga y contiene estos
ataques
Ataques por aire
Malvado gemelo / tarro de miel AP
Negación de servicio
Reconocimiento
Herramientas de craqueo
WLC, PI y MSE con un wIPS detectan y envían alertas para estos ataques.
Amenazas no 802.11
Pícaros manipulados
Bluetooth, microondas
Bloqueadores de RF
CleanAir AP, WLC, PI y MSE con Context-Aware detecta ubicaciones y envía una alerta
por estos ataques
Ataques por cable
Un AP en modo optimizado para wIPS realizará una evaluación y mitigación de amenazas deshonestas
utilizando la misma lógica
como implementaciones actuales de la red inalámbrica unificada de Cisco. Esto permite que un AP de
wIPS escanee, detecte y contenga
AP rebeldes y redes ad hoc. Una vez descubierta, se informa esta información sobre dispositivos
inalámbricos falsos
a Cisco PI, donde tiene lugar la agregación de alarmas no autorizadas. Sin embargo, con esta
funcionalidad viene la advertencia de que si
Se inicia un ataque de contención utilizando un AP de modo wIPS, su capacidad para realizar un canal
metódico centrado en el ataque
el escaneo se interrumpe mientras dura la contención.
Ataques por aire
Cisco Adaptive Wireless IPS integra la detección y mitigación de amenazas inalámbricas completas en la
red inalámbrica
infraestructura para ofrecer la red inalámbrica más completa, precisa y rentable de la industria
solución de seguridad
Amenazas no 802.11
La tecnología Cisco CleanAir detecta amenazas que no son 802.11. La tecnología CleanAir es una
herramienta efectiva para monitorear y
gestione las condiciones de RF de su red. Cisco MSE extiende esas capacidades.
Sistema de wips adaptativo de Cisco
Los componentes básicos del sistema para un sistema Cisco Adaptive wIPS incluyen:
• AP en modo de monitor Cisco wIPS, en modo local mejorado o con Cisco WSM
• Controlador (s) WLAN
• Cisco MSE que ejecuta el servicio Cisco wIPS
• Infraestructura Cisco Prime
Page 42
página 39
Una implementación integrada de wIPS es un diseño de sistema en el que los AP en modo no wIPS y los
AP en modo wIPS están interrelacionados.
mezclado en los mismos controladores y administrado por la misma infraestructura principal. Esto puede
ser cualquier combinación de
modo local, modo FlexConnect, modo local mejorado, modo monitor y AP modulares que admiten el
WSM.
Al superponer la protección de wIPS y los recursos compartidos de datos utilizando WSM en los AP,
puede reducir los costos de infraestructura.
Figura 19 operación de wIPS con Cisco MSE
1342F
Cisco Prime
Infraestructura
Cliente
Local mejorado
Modo AP
Modo local AP
Modo local +
Módulo WSSI
MSE con wIPS
Servicio
Modo wIPS AP
Cliente
Cliente
wips modos de implementación

Cisco Adaptive Wireless IPS tiene tres opciones para AP de modo wIPS. Para explicar mejor las
diferencias entre el
AP de modo wIPS, esta sección describe cada modo.
Figura 20 modos de operación de wIPS
Modo de monitor AP
Modo local mejorado
AP3600 con módulo WSSI
1343F
Datos, wIPS y
CleanAir AP
Datos
Servicio
Modo de monitor
con wIPS
Datos, monitor
con wIPS
Servicio de datos, wIPS y CleanAir
Cobertura "en el canal"
Mejor esfuerzo "fuera de canal wIPS
cobertura
wIPS y CleanAir "All Channel"
cobertura
Servicio de datos "en el canal"
cobertura
Page 43
página 40
Modo local mejorado
ELM proporciona detección de wIPS en el canal, lo que significa que los atacantes se detectan en el canal
que sirve
ents. Para todos los demás canales, ELM proporciona la mejor detección de wIPS. Esto significa que cada
cuadro que la radio hará
salga del canal por un corto período de tiempo. Mientras la radio está fuera del canal, si ocurre un ataque
mientras ese canal está
escaneado, se detectará el ataque.
Como ejemplo de modo local mejorado en un AP de la serie 3800, suponga que la radio de 2.4 GHz está
funcionando en el canal
6. El AP monitoreará constantemente el canal 6 y cualquier ataque al canal 6 será detectado y
reportado. Si un at-
el ataque ocurre en el canal 11 mientras el AP está escaneando el canal 11 fuera del canal, se detectará el
ataque.
Las características de ELM incluyen:
• Escaneo de seguridad de wIPS para escaneo en canal 7x24 (2.4 GHz y 5 GHz), con el mejor esfuerzo
fuera del canal
apoyo.
• AP que también atiende a clientes y con puntos de acceso Cisco Aironet de segunda generación (G2),
CleanAir
El análisis de espectro está habilitado en el canal (2.4 GHz y 5 GHz).
• Escaneo adaptativo de wIPS en el canal de datos que sirve AP locales y FlexConnect.
• Protección sin requerir una red de superposición separada.
• Soporte para el cumplimiento de PCI para las WLAN.
• Detección completa de ataques 802.11 y no 802.11.
• Capacidades forenses y de informes.
• Flexibilidad para configurar AP de modo monitor integrados o dedicados.
• Preprocesamiento en los AP, que minimiza el retorno de datos (es decir, funciona en enlaces de muy
poco ancho de banda).
• Bajo impacto en el AP que sirve los datos del cliente.
Modo de monitor
El modo monitor proporciona detección de wIPS fuera del canal, lo que significa que el AP permanecerá
en cada canal durante un período prolongado
período de tiempo, permitiendo que el AP detecte ataques en todos los canales. La radio de 2.4 GHz
escanea todos los canales de 2.4 GHz,
mientras que el canal de 5 GHz escanea todos los canales de 5 GHz. Se necesitaría instalar un AP
adicional para el acceso del cliente.
Algunas de las características del modo monitor:
• El punto de acceso en modo monitor (MMAP) está dedicado a operar en modo monitor y puede agregar
opcionalmente
Escaneo de seguridad de wIPS de todos los canales (2.4 GHz y 5 GHz).
• Para los puntos de acceso Cisco Aironet G2 Series, el análisis de espectro CleanAir está habilitado en
todos los canales (2,4 GHz y 5 GHz).
• Los MMAP no sirven a los clientes.
• Un AP de Cisco con el módulo WSM utiliza una combinación de operación dentro y fuera del
canal. Esto significa
que las radios internas AP 2.4 GHz y 5 GHz escanearán el canal con el que sirven a los clientes y
El módulo WSM operará adicionalmente en modo monitor y escaneará todos los canales.
Page 44
página 41
Detección deshonesta
Puede considerar cualquier dispositivo que comparta su espectro y que no esté administrando como un
dispositivo no autorizado. Un pícaro
se vuelve peligroso en los siguientes escenarios:
• Rogue AP con el mismo SSID que su red (honeypot)
• Dispositivo Rogue AP también en la red cableada
• pícaros ad-hoc
• Pícaros establecidos por un extraño con intenciones maliciosas.
Hay tres fases principales de administración de dispositivos no autorizados en la solución CUWN:
• Detección: la solución utiliza el escaneo RRM para detectar la presencia de dispositivos no autorizados.
• Clasificación: la solución utiliza un protocolo de detección de ubicación no autorizado, detectores no
autorizados y rastreo de puertos de conmutador
para identificar si el dispositivo no autorizado está conectado a la red cableada. Reglas de clasificación de
pícaros
También ayuda a filtrar pícaros en categorías específicas en función de sus características.
• mitigación: la solución utilizaba el rastreo y el apagado del puerto del conmutador, la ubicación no
autorizada y la contención no autorizada en
para rastrear la ubicación física y anular la amenaza de dispositivos maliciosos.
Figura 21 Gestión rogue de Cisco
1344F
Cisco Prime
Infraestructura
Listas de ruta
Grupo de ruta
s
Co
re red
Distribución
UN
acceso
WLC
Pícaro
Detector
Rogue AP
Rogue AP
Cisco AP
Rogue AP
Auto Contain Valid Client en Rogue
RRM
Exploración
ARP
Olfatear
Puerto de conmutación automático
Rastreo
RLDP
Página 45
página 42
Para obtener información adicional sobre un rango de versiones de controlador WLAN, visite cisco.com
y buscar "Rogue inalámbrico
Administración."
gestión de recursos de radio
Para optimizar la eficiencia, el software RRM integrado en el controlador de LAN inalámbrica de Cisco
actúa como administrador para controlar
Monitorear constantemente las mediciones por aire y controlar la RF transmitida. Mide:
• Señal: sus propios AP que pertenecen a la misma red de RF.
• Interferencia: otros dispositivos 802.11 que funcionan cerca y que su red puede escuchar.
• Ruido: cualquier energía en el espectro de RF que no se pueda demodular como protocolo 802.11.
• Carga: carga instantánea del usuario en la red.
• Cobertura: el RSSI y la relación señal / ruido estimada por el sistema para los clientes conectados a su
red.
Con esta información, RRM puede reconfigurar periódicamente la red de RF 802.11 para obtener la mejor
eficiencia. Para hacer esto,
RRM realiza estas funciones:
• monitoreo de recursos de radio: recopilación de las métricas
• Control de potencia de transmisión: ajuste para niveles de potencia óptimos
• Asignación dinámica de canal (DCa): para garantizar que las asignaciones de canal no se superpongan
• Detección y corrección de agujeros de cobertura: garantizar que tenga una cobertura adecuada y detectar
clientes
que puede estar en un agujero de cobertura
RRM detecta y configura automáticamente nuevos WLC de Cisco y AP ligeros a medida que se agregan a
la red.
trabajo. Luego ajusta automáticamente los AP ligeros asociados y cercanos para optimizar la cobertura y
la capacidad.
Para obtener información más detallada sobre lo que hace RRM y cómo toma sus medidas, visite
cisco.com y
busque el último Libro blanco sobre la gestión de recursos de radio.
Control de potencia de transmisión
Cisco WLC controla dinámicamente la potencia de transmisión AP en función de las condiciones WLAN
en tiempo real. Tu puedes elegir
entre dos versiones de control de potencia de transmisión: TPCv1 y TPCv2. Con TPCv1, generalmente la
energía se puede mantener baja
para ganar capacidad extra y reducir la interferencia. Con TPCv2, la potencia de transmisión se ajusta
dinámicamente con el objetivo
de mínima interferencia. TPCv2 es adecuado para redes densas. TPCv1 es la configuración
predeterminada y es adecuada para
usar en la mayoría de las implementaciones.
Anulación del algoritmo TPC con la configuración de potencia de transmisión mínima y
máxima
El algoritmo TPC equilibra la potencia de RF en muchos entornos de RF diversos. Sin embargo, es
posible que automático
el control de potencia no podrá resolver algunos escenarios en los que no fue posible un diseño de RF
adecuado
implementar debido a restricciones arquitectónicas o restricciones del sitio, por ejemplo, cuando todos los
AP deben montarse en un
pasillo central, colocando los AP muy juntos pero que requieren cobertura hasta el borde del edificio.
En estos escenarios, puede configurar límites de potencia de transmisión máximos y mínimos para anular
la recomendación de TPC
menciones La configuración de potencia máxima y mínima de TPC se aplica a todos los AP que
pertenecen al mismo grupo de AP
mediante el uso de un perfil de RF. Cuando se usa como una opción de configuración global, la
configuración se aplica a todos los AP conectados
al controlador específico.
Página 46
página 43
Si configura una potencia de transmisión mínima, RRM no permite que ningún AP conectado al
controlador vaya debajo
este nivel de potencia de transmisión, independientemente de qué función esté dirigiendo el cambio de
potencia (RRM TPC o agujero de cobertura)
detección). Por ejemplo, si configura una potencia de transmisión mínima de 11 dBm, entonces ningún
AP transmitirá por debajo de 11
dBm, a menos que el AP se configure manualmente y ya no esté bajo el control de RRM.
Para obtener detalles adicionales sobre el algoritmo TPC que forma parte de RRM, visite cisco.com y
busque la última versión. Radio
Libro blanco de gestión de recursos.
Asignación dinámica de canales
La especificación 802.11 define múltiples canales para la operación. Los canales son esencialmente de
frecuencia diferente
rangos que no se superponen y se pueden asignar utilizando un designador de canal. El comportamiento
es análogo a
carriles en una carretera: solo obtiene el beneficio completo del carril si está completamente separado de
otro carril en el
misma carretera Si los carriles se superponen entre sí (o peor, se unen en un solo carril), entonces la
carretera se desacelera
gatear.
Los canales en una red de RF funcionan de manera similar. Sin embargo, hay una consideración adicional
de poder, equivalente a
haciendo el carril más ancho o más angosto (la cobertura del AP). El trabajo de Dynamic Channel
Assignment es rastrear
carriles disponibles (canales), que difieren según las regulaciones según el país de instalación. En
segundo lugar, DCA como-
firma canales a AP que no entren en conflicto con los canales ya asignados. Para un AP dado, el
rendimiento potencial es
depende del funcionamiento sin interferencias. DCA es consciente de los canales en los que puede operar
comió y asigna estos canales para que estén lo más libres de interferencias posible, según las
observaciones por aire.
Una vez que se han instalado todos los puntos de acceso, es una buena práctica calibrar DCA invocando
el inicio de RRM
modo. El modo de inicio RRM se invoca en las siguientes condiciones:
• En un entorno de controlador único, el modo de inicio RRM se invoca después de una actualización
exitosa del control
software de troller; de lo contrario, se inicia manualmente (ver más abajo).
• En un entorno de controladores múltiples, el modo de inicio RRM se invoca después de que un líder del
Grupo RF tiene éxito:
completamente actualizado el software; de lo contrario, se invoca manualmente desde la CLI.
Puede activar el modo de inicio RRM desde la CLI, utilizando el siguiente comando:
config 802.11a / b reinicio global del canal
El modo de inicio RRM se ejecuta durante 100 minutos (10 iteraciones a intervalos de 10 minutos). El
modo de inicio consta de 10
DCA funciona con alta sensibilidad y sin amortiguación (haciendo que los cambios de canal sean fáciles
y sensibles al medio ambiente)
ment) para converger a un plan de canales de estado estable. Una vez que finaliza el modo de inicio, DCA
continúa ejecutándose en el
intervalo y sensibilidad según lo especificado por la organización.
Para obtener detalles adicionales sobre el algoritmo DCA que forma parte de RRM, visite cisco.com y
busque la última versión. Dy-
Libro blanco de asignación de canales namic .
Cobertura de detección y corrección de agujeros
El algoritmo de detección de agujeros de cobertura RRM puede detectar áreas de cobertura de radio débil
en una WLAN que están debajo
El nivel necesario para un rendimiento de radio robusto. Esta función puede alertarlo sobre la necesidad
de un servicio adicional (o reubicación).
cated) AP ligero.
Si los clientes en un AP ligero se detectan en niveles de umbral inferiores a los especificados en la
configuración de RRM,
el AP envía una alerta de "agujero de cobertura" al controlador. Los umbrales incluyen RSSI, conteo de
clientes fallidos, porcentaje-
antigüedad de los paquetes fallidos y número de paquetes fallidos. La alerta indica la existencia de un
área donde los clientes están
continuamente experimentando una cobertura de señal pobre sin tener un AP viable al que vagar. El
controlador muestra
crimina entre agujeros de cobertura que pueden y no pueden corregirse. Para agujeros de cobertura que se
pueden corregir,
el controlador mitiga el agujero de cobertura al aumentar el nivel de potencia de transmisión para ese AP
específico. Para clientes
Page 47
página 44
que están tomando malas decisiones de itinerancia (denominados "clientes fijos"), el Algoritmo de
Cobertura Hole informa un
falso positivo. El sistema se valida para garantizar que un cliente se escuche mejor en otro AP y no sea
innecesariamente
mudarse a otro AP por una razón arbitraria.
Para obtener detalles adicionales sobre la detección y mitigación de agujeros de cobertura, visite
cisco.com y busque la última versión
Discusión sobre el algoritmo de detección y mitigación de agujeros de cobertura en el Libro Blanco sobre
la gestión de recursos de radio .
Beneficios de la rrm
RRM produce una red con capacidad, rendimiento y confiabilidad óptimos. Te libera de tener que
continuar
Monitoree la red en busca de problemas de ruido e interferencia, que pueden ser transitorios y difíciles de
solucionar.
RRM garantiza que los clientes disfruten de una conexión fluida y sin problemas en toda la red
inalámbrica unificada de Cisco.
trabajo.
SELECCIÓN DE BANDA
La mayoría de los dispositivos de consumo que se lanzan hoy operan en uno o ambos de los dos rangos
de frecuencia, o bandas Dual-
los dispositivos de banda son bastante comunes; sin embargo, las bandas compatibles con los dispositivos
no se crean por igual. los
Las propiedades y el número de frecuencias disponibles para dispositivos de 2,4 GHz y 5 GHz difieren
significativamente, con 5 GHz
teniendo hasta 8 veces el ancho de banda disponible como 2.4 GHz. Aun así, las propiedades físicas de
2.4 GHz permiten un
el dispositivo se escuchará mucho más (1,5 veces más) que los dispositivos de 5 GHz que funcionan al
mismo nivel de potencia.
Band Select permite la identificación de clientes de doble banda y ayuda a los dispositivos a tomar
decisiones informadas sobre qué
rango de frecuencia y AP para seleccionar. El sistema hace esto simplemente no respondiendo las sondas
de 2.4 GHz desde un
cliente y respondiendo inmediatamente al cliente cuando el cliente utiliza sondas de 5 GHz. Este
comportamiento del sistema fomenta
envejece a los clientes para usar el ancho de banda superior disponible en 5 GHz y aumenta la capacidad
general de la red.
Se aconseja a las organizaciones que habiliten Band Select en todos los entornos. Para más información
sobre la configuración de Band
Seleccione, visite cisco.com y busque "Wireless Controller Configuration 802.11 Bands".
asignación de radio flexible
La asignación de radio flexible (FRA) es una nueva característica que aprovecha las opciones de
hardware disponibles en Cisco
Puntos de acceso de la serie 2800/3800. Tenga en cuenta de la discusión de Selección de banda que hay
limitaciones a 2.4 GHz.
Si está implementando AP para una cobertura y densidad óptimas de 5 GHz, es probable que tenga una
densidad innecesariamente alta
de radios de 2.4 GHz y sus opciones de selección de canales limitadas, lo que causará problemas de
interferencia. Medidas de FRA
esto e identifica APs cuya radio de 2.4 GHz se puede asignar selectivamente a un rol que optimiza el uso
de RF
espectro.
FRA primero identifica AP redundantes y luego logra cambiar la radio XOR individual a otra banda. FRA
depende
en hardware capaz, así como DCA existente, para gestionar el cambio de roles de interfaz. FRA también
pro-
presenta una nueva métrica, Factor de superposición de cobertura, que los administradores pueden usar
para seleccionar y configurar manualmente redundantes
radios dentro del despliegue.
Para un administrador del campus que implementa modelos Cisco 2800i / 3800i, FRA en modo
automático es muy conservador y hará un
buen trabajo de asegurar que la cobertura sea lo suficientemente densa sin conducirla a niveles donde la
interferencia nuevamente se vuelve
un problema.
Para aquellos que implementan los modelos Cisco 2800i / 3800i, la recomendación es dejar los AP en
auto-FRA y habilitar
auto-FRA desde la GUI.
Para obtener detalles adicionales sobre la configuración de FRA, visite cisco.com y buscar "Asignación
de radio flexible y Redun-
radios dant ".
48
página 45
CisCo CLientLink
La tecnología de red inalámbrica Cisco ClientLink utiliza la formación de haces para mejorar la relación
señal / ruido
para todos los clientes inalámbricos y no se limita a aquellos que admiten el estándar 802.11n (que tiene
un cliente mínimo
adopción de implementación) o el estándar 802.11ac.
Todos los Cisco 2800 Series y 3800 AP admiten Cisco ClientLink, que se habilita automáticamente y
proporciona un
mayor relación señal / ruido percibida para todos los clientes (incluso los antiguos 802.11a, b, g). Como
resultado, la red permite
velocidades de datos más altas y mayor eficiencia de tiempo aire. En resumen, la comunicación es más
rápida, por lo que hay más tiempo disponible para
todos.
ClientLink es una innovación de Cisco disponible desde 2010 para hacer que las redes 802.11 sean más
robustas. El ClientLink implementa
la mentalización es única porque no tiene requisitos de soporte del lado del cliente, lo que significa que no
depende de
fabricante del cliente para implementar cualquier cosa para lograr los beneficios de ClientLink.
Se introdujo un estándar del lado del cliente para la formación de haces con 802.11n; sin embargo, el
estándar nunca fue ampliamente
implementado en el mercado. Con 802.11ac, la formación de haces del lado del cliente es un requisito que
está bien soportado, pero
solo para los nuevos clientes certificados. ClientLink cierra la brecha de soporte y permite que todos los
clientes vean beneficios en
actuación.
Para obtener detalles adicionales sobre ClientLink, visite cisco.com y busque “Cisco ClientLink:
optimización del rendimiento del dispositivo-
mance con 802.11n ".
SELECCIÓN DE BANDEJA DINÁMICA: DB
Con la introducción de 802.11n, y más tarde con 802.11ac Wave 1 y Wave 2, tiene la capacidad de usar
múltiples
ple canales juntos como una sola asignación en un AP determinado. Esto aumenta la cantidad de ancho de
banda disponible para
un canal dado y mejora el rendimiento y la velocidad aparente percibida por el cliente. Sin embargo, para
usar estos
los canales combinados, un AP y un cliente deben admitir la capacidad, que no es posible con 802.11n
clientela. Los clientes con pocas funciones y casi todos los teléfonos inteligentes 802.11n están limitados
a un ancho de canal de 20 MHz;
mientras que un cliente 802.11ac debe admitir un ancho de canal de hasta 80 MHz para obtener la
certificación.
Los clientes en la mayoría de las redes actuales son en gran medida dispositivos 802.11n, junto con
algunos clientes 802.11ac. Esta mezclado
Se espera que el medio ambiente sea común durante algún tiempo en el mercado.
La vinculación de canales —utilizando múltiples canales individuales para crear un solo supercanal—
tiene la ventaja de proporcionar
mayor rendimiento utilizable para un cliente con la capacidad de usar el canal. Sin embargo, al usar
múltiples canales para
crear uno solo, se consumen fragmentos más grandes del espectro, disminuyendo el número total de
canales de fering para usar con DCA. Esto puede resultar en una reutilización agresiva del canal si hay
suficientes AP (cada uno
requiere un canal operativo) y una mayor interferencia cocanal (lo opuesto a la eficiencia).
La selección dinámica de ancho de banda funciona con el algoritmo DCA para monitorear los AP y los
tipos y capacidades del cliente
lazos con los AP. Con base en este análisis, DBS asigna anchos de canal apropiados a los AP para
equilibrar dinámicamente
Ance la selección de ancho de banda para los tipos de clientes y el tráfico que utiliza cada AP.
DBS permite el uso de ancho de banda de tamaño apropiado para los clientes que se atiende, evita el
desperdicio de múltiples canales
nels para dispositivos que probablemente no podrían usar la capacidad adicional, y evita la interferencia
asociada creada por
esos dispositivos Por estos motivos, debe ejecutar DCA en modo DBS.
Para obtener detalles adicionales, visite cisco.com y busque la "Guía de implementación de High Density
Experience (HDX)".
Página 49
página 46
Campus WireLess CLeanair
Cisco CleanAir es una solución de inteligencia de espectro, diseñada para administrar de manera
proactiva la interferencia no Wi-Fi, que
también opera en los espectros de 2.4 y 5 GHz. Muchos dispositivos de consumo también usan las
mismas frecuencias que usted
utilizar en Wi-Fi 802.11. Los dispositivos como auriculares Bluetooth, hornos microondas y muchos
dispositivos IOT nuevos usan diferentes
diferentes protocolos pero ocupan las mismas frecuencias requeridas para el funcionamiento de la
WLAN.
Cisco CleanAir es una innovación disponible solo cuando se implementa en el silicio de los AP con
capacidad CleanAir. Aire limpio
está dedicado a detectar e identificar fuentes de interferencia que de otro modo simplemente aparecerían
como ruido para un
Conjunto de chips de wifi.
Todos los puntos de acceso Cisco de las series 2800 y 3800 incluyen el conjunto de chips CleanAir. La
tecnología fue lanzada en 2010
y se ha adaptado continuamente para mantener el ritmo del mercado y la naturaleza cambiante del
espectro WLAN. Clea-
nAir supervisa la capacidad de ancho de banda de canal completo de un AP compatible con CleanAir,
independientemente de la implementación de la recuperación
requisitos, y como resultado, monitorea el rango de canales de 20 MHz-160 MHz.
CleanAir puede informar análisis y hallazgos a través del controlador WLAN. Puede usar ciertas
implementaciones de CMX
y Cisco Prime para mapear tanto la interferencia como el impacto de la interferencia para facilitar el
análisis y la resolución de problemas.
disparo.
En el nivel del controlador, puede usar dos estrategias de mitigación para ayudar a mantener su red y
evitar interrupciones
asociado con fuentes comunes de interferencia no Wi-Fi:
• evitación de interferencia persistente: permite que el WLC rastree e informe al DCA sobre las
interferencias que no son Wi-Fi. por
Por ejemplo, puede haber un horno de microondas que se active bastante a la hora del almuerzo todos los
días. Persistente
Evitar interferencias recuerda este dispositivo e indica al DCA que elija canales para los AP afectados que
no será interferido por esta fuente periódica de interferencia.
• eD-rrm: ayuda a mitigar las interrupciones de las fuentes de interferencia (quizás una cámara de video)
que utilizan el 100%
del tiempo aire disponible cuando está habilitado. Porque esta interferencia no es reconocible como otra
cosa que no sea
ruido al chipset 802.11, todos los clientes y puntos de acceso normalmente esperan que el canal esté
menos ocupado. ED-RRM
proporciona una red de seguridad al hacer dos cosas:
◦ Reconociendo que algo no es ruido, sino que está transmitiendo e interfiriendo intencionalmente con el
operaciones de red.
◦ Forzar el AP lejos del canal problemático a un canal donde las operaciones puedan reanudarse. Y por
tanto-
La solución es de acción muy rápida (30 segundos o menos), y se incorpora la información sobre la
interferencia.
en RRM a través de DCA, alertando a DCA sobre interrupciones de interferencia relacionadas con el
canal recién abandonado.
Como práctica recomendada, debe habilitar CleanAir, Evitación persistente de dispositivos y ED-RRM.
Para obtener detalles adicionales, visite cisco.com y busque Cisco CleanAir Technology: Intelligence in
Action White Pa-
pers .
SEGURO WLANS
Los dispositivos inalámbricos deben conectarse a la infraestructura de red de forma segura siempre que
sea posible. En un entorno empresarial
Además, debe configurar las WLAN para admitir WPA2 con cifrado AES-CCMP y autenticación 802.1x
de
dispositivos. Esto a veces se conoce como WPA Enterprise en dispositivos inalámbricos. La mayoría de
los dispositivos inalámbricos modernos
soporte WPA2. No se recomienda el uso de métodos de seguridad más antiguos, como WEP o WPA,
debido a
vulnerabilidades de la curiosidad. La autenticación 802.1x requiere un servidor AAA, como Cisco ISE,
que proporciona servicios centralizados
gestión y control basados en políticas para usuarios finales que acceden a la red inalámbrica.
Página 50
página 47
Normalmente, el servidor AAA implementará el protocolo RADIUS entre él y el WLC. Autenticación de
final
los usuarios se logran mediante una sesión de protocolo de autenticación extensible (EAP) entre el
dispositivo inalámbrico y
El servidor AAA. La sesión EAP se transporta a través de RADIUS entre el WLC y el servidor
AAA. Dependiente
según las capacidades del dispositivo inalámbrico, las capacidades del servidor AAA y los requisitos de
seguridad del
organización, se pueden implementar múltiples variantes de EAP, como PEAP y EAP-TLS. PEAP hace
uso de
Credenciales de usuario estándar (ID de usuario y contraseña) para la autenticación. EAP-TLS utiliza
certificados digitales para
autenticación.
Se recomienda que implemente servidores AAA redundantes para una alta disponibilidad en caso de que
uno o más servidores
dejar de estar disponible temporalmente. A menudo, el servidor AAA está configurado para hacer
referencia a un directorio externo o datos
tienda como Active Directory (AD) de Microsoft. Esto permite al administrador de la red aprovechar el
AD existente
credenciales en lugar de duplicarlas dentro del servidor AAA. Esto también se puede extender para
proporcionar funciones basadas en roles
control de acceso (RBAC) para usuarios finales mediante el uso de grupos AD. Por ejemplo, puede ser
deseable proporcionar
acceso restringido a la red para contratistas a largo plazo, en oposición al acceso otorgado a los
empleados. El uso de
un directorio externo o un almacén de datos también pueden proporcionar un punto único para otorgar o
revocar credenciales, no solo para
acceso a la infraestructura de red, pero para acceder a otros recursos dentro de la organización. El servidor
AAA
en sí mismo puede aplicar reglas adicionales basadas en políticas para la autorización a la red, como tipo
de dispositivo, hora del día, ubicación
ción, etc., dependiendo de las capacidades del servidor AAA. Los registros y la contabilidad de AAA
pueden usarse para proporcionar
Una pista de auditoría del acceso de cada empleado a la infraestructura de red inalámbrica.
El uso de WPA2 con cifrado AES-CCMP en la WLAN no se extiende a los marcos de
administración. Por lo tanto,
El uso opcional de tramas de administración protegidas (PMF) es aconsejable para las WLAN cuando sea
posible. PMF es parte de
El estándar IEEE 802.11, que proporciona un nivel de protección criptográfica a marcos de gestión
robustos como
como marcos de des-autenticación y disociación, evitando que sean falsificados. Cabe señalar que el
Los beneficios de PMF requieren clientes inalámbricos para soportar PMF. Cisco también ofrece una
versión anterior de Management
Frame Protection (MFP) que tiene infraestructura y componentes de cliente.
En un entorno de oficina en casa, puede ser necesario configurar una WLAN para admitir WPA2 con
clave precompartida
(PSK) Esto a veces se conoce como WPA Personal en dispositivos inalámbricos. Esto puede ser necesario
porque el
La implementación de un servidor AAA no es rentable para la cantidad de usuarios finales que acceden a
la WLAN. Esta
También puede ser necesario en otros entornos si no hay un usuario final asociado con un dispositivo
inalámbrico, el cable
menos dispositivo no admite la capacidad de configurar un ID de usuario y contraseña, o el dispositivo
inalámbrico no puede admitir
Un certificado digital. Dado que el PSK se comparte entre todos los dispositivos que acceden a la
infraestructura inalámbrica, puede ser
necesario cambiar el PSK si un empleado que conoce el PSK deja la organización. Además, con
WPA PSK, no hay una pista de auditoría fácil del acceso de cada empleado a la red.
El uso de una WLAN abierta y dedicada sigue siendo común, pero no ideal, para el acceso inalámbrico de
invitados. por lo tanto, el
Todavía puede ser necesaria la configuración de una WLAN no segura en la infraestructura de
red. Invitado de acceso abierto
Las WLAN a menudo se implementan para minimizar la complejidad de incorporar a un invitado que
solo necesita tempo-
Rary conectividad de red inalámbrica. Por lo general, la WLAN invitada se termina fuera del firewall
corporativo, que
no permite el acceso entrante a los recursos corporativos, por lo que los invitados solo pueden tener
acceso a Internet. Delaware-
pendiente de los requisitos de la organización, se puede solicitar a los invitados que se autentiquen antes
de que se les permita
Para acceder a internet. Por lo general, se utiliza un modelo de portal cautivo con WebAuth, en el que las
sesiones web de invitados son
redirigido a un portal, que autentica al invitado antes de permitir el acceso a Internet.
Control de acceso administrativo
Se recomienda implementar un control de acceso administrativo seguro a los componentes de la
infraestructura inalámbrica.
para mitigar el acceso no autorizado. Por lo general, puede implementar el control de acceso
administrativo a través de
la base de datos de usuarios local en cada dispositivo de infraestructura, o mediante un servidor AAA
centralizado, como Cisco ISE.
Para una pequeña cantidad de dispositivos de infraestructura de red, configurar cuentas de administrador
local individuales en cada
51
página 48
dispositivo de infraestructura puede ser aceptable. Se recomienda que el número de administradores sea
limitado y que
Cada administrador tiene una cuenta única. Una cuenta de administrador compartida limita la capacidad
de auditar quién accedió
un dispositivo de red particular y cambios de configuración potencialmente realizados. Cuando los
empleados abandonan la organización,
o pasar a otros grupos, su acceso administrativo debe ser revocado de inmediato. Con administrador
individual
cuentas, solo la cuenta para el empleado particular necesita ser revocada.
A medida que crece el número de dispositivos de infraestructura dentro de la red, la carga administrativa
de configurar
Las cuentas de administrador local individuales en cada dispositivo de infraestructura pueden volverse
inmanejables. Por lo tanto es
recomienda que controle el acceso administrativo a través de un servidor AAA, que proporciona políticas
centralizadas
gestión y control. Se recomienda que implemente servidores AAA redundantes para una alta
disponibilidad en caso de que
uno o más servidores dejan de estar disponibles temporalmente. Los administradores de red aún pueden
configurar un individuo
cuenta de administrador local en cada dispositivo de infraestructura para acceso local a través del puerto
de la consola, en caso de que toda la red
se perderá el acceso al dispositivo de infraestructura.
El servidor AAA puede hacer referencia a un directorio externo o almacén de datos como AD. Esto
permite que la red ad-
ministro para aprovechar las credenciales de AD existentes en lugar de duplicarlas dentro del servidor
AAA. Esto también puede ser
extendido para proporcionar RBAC a los administradores mediante el uso de grupos de AD. El uso de un
directorio externo o
el almacén de datos también puede proporcionar un punto único para otorgar o revocar credenciales, no
solo para el control de acceso administrativo
a múltiples dispositivos de infraestructura, pero para acceder a otros recursos dentro de la organización.
Siempre que sea posible, la selección de una contraseña segura, que consta de una longitud mínima y una
combinación de letras,
números y / o caracteres especiales: deben aplicarse. Donde sea posible, un número máximo de fallas
Los intentos completos para acceder al dispositivo, antes de que la cuenta se deshabilite por un período de
tiempo, también deben aplicarse.
Los intentos exitosos y no exitosos deben registrarse localmente o en un servidor de registro central. Esto
ayuda
mitigar (y / o alertar al personal de operaciones de red apropiado sobre) los intentos de fuerza bruta para
obtener acceso
a dispositivos de infraestructura. Cuando se admiten múltiples niveles de acceso administrativo, se
recomienda que
hacerlos cumplir, con administradores que tengan el nivel de acceso mínimo requerido para realizar sus
tareas respectivas.
También se recomienda que limite el número de inicios de sesión simultáneos de un solo nombre de
usuario.
Puede ser ventajoso limitar dónde se inicia el acceso al dispositivo de infraestructura inalámbrica y qué
Se permiten protocolos. Puede lograr esto de múltiples maneras. Por ejemplo, puede implementar la
administración
interfaz de controladores WLAN en una VLAN separada (y, por lo tanto, una subred IP separada) del
tráfico del cliente inalámbrico
fic. En dicha implementación, una lista de control de acceso (ACL) implementada en el conmutador de
Capa 3 adyacente a la WLAN
El controlador puede limitar el acceso a la interfaz de administración. Esto desplaza la carga de la CPU de
una ACL fuera de la WLAN
controlador al interruptor de capa 3. Alternativamente, puede configurar una CPU ACL en el controlador
WLAN para filtrar
protocolos de gestión. También puede rechazar la administración del controlador WLAN a través de un
dispositivo inalámbrico, un método
eso también puede proporcionar seguridad adicional si la intención es administrar la infraestructura
inalámbrica desde una central
centro de operaciones de red.
El acceso a los dispositivos de infraestructura inalámbrica debe realizarse a través de protocolos seguros
como HTTPS y SSHv2 cuando sea posible.
Sible. El acceso a través de protocolos no encriptados como HTTP y Telnet debe deshabilitarse siempre
que sea posible. Esta
protege la confidencialidad de la información dentro de la sesión de gestión. Cuando se utiliza SNMP, se
recomienda
reparó que habilita SNMPv3 cuando sea posible. SNMPv2c se basa en una cadena de comunidad
compartida que se envía
Texto claro a través de la red. Tenga cuidado cuando use SNMPv2c, particularmente cuando use SNMP
para lectura / escritura
acceso. SNMPv3 utiliza credenciales únicas (ID de usuario / contraseña) y también puede proporcionar
cifrado y autenticación de datos
servicios de cationes al tráfico SNMP.
Perfiles locales
Cisco ISE actualmente ofrece un amplio conjunto de características que proporcionan identificación de
dispositivos, incorporación, postura y políticas.
Como alternativa, la creación de perfiles locales en el WLC realiza la creación de perfiles de dispositivos
basados en protocolos como HTTP y
DHCP para identificar los dispositivos finales en la red. El usuario puede configurar las políticas basadas
en dispositivos y
Page 52
página 49
aplicar por usuario o política de dispositivo en la red. El WLC también mostrará estadísticas basadas en
por usuario o
puntos finales por dispositivo y políticas aplicables por dispositivo. Con el perfil local puede implementar
BYOD en un pequeño
escala dentro del propio WLC.
La creación de perfiles y la aplicación de políticas se configuran como dos componentes separados. La
configuración en el WLC
se basa en parámetros definidos específicos para clientes que se unen a la red. Los atributos de política
que son de interés.
son:
• rol: define el tipo de usuario o el grupo de usuarios al que pertenece el usuario (Ejemplos: Estudiante o
Empleado)
• Dispositivo: define el tipo de dispositivo (Ejemplos: máquina Windows, teléfono inteligente o
dispositivo Apple)
• Hora del día: permite definir la configuración a la hora del día en que los puntos finales están permitidos
en la red.
trabajo
• Tipo de eap: comprueba el método EAP utilizado por el cliente.
Los parámetros anteriores son configurables como atributos de coincidencia de políticas. Después de que
el WLC tiene una coincidencia correspondiente
A los parámetros anteriores por punto final, la aplicación de la política entra en escena. La aplicación de
la política será
basado en atributos de sesión como:
• VLAN
• ACL
• Tiempo de espera de la sesión
• QoS
• Cliente dormido
• FlexConnect ACL
• Perfil AVC (agregado en la versión 8.0)
• Perfil mDNS (agregado en la versión 8.0)
El usuario puede configurar estas políticas y aplicar puntos finales con políticas específicas. Los clientes
inalámbricos son
perfil basado en el agente de usuario MAC OUI, DHCP y HTTP (se requiere Internet válido para un perfil
HTTP exitoso)
En g). El WLC utiliza estos atributos y perfiles de clasificación predefinidos para identificar el
dispositivo.
MEJOR LISTA DE PRÁCTICAS
Para conveniencia de los ingenieros de implementación de redes, comenzando con la versión 8.1 del
software CUWN (AireOS), el mejor
La lista de verificación de prácticas está disponible en el panel de control para los controladores
WLAN. La lista de verificación se utiliza para ajustar WLC
configuración para que coincida con las mejores prácticas sugeridas por Cisco. La lista de verificación
compara la configuración local
en el controlador con las mejores prácticas recomendadas y destaca todas las características que
difieren. El cheque también
proporciona un panel de configuración simple para activar las mejores prácticas. Se recomienda el uso de
las mejores prácticas.
para una implementación de WLAN que involucra WLC.
Page 53
página 50
Componentes comunes en diseños de campus
Componentes comunes en diseños de

campus
Gestión de dispositivos con CisCo ise
Sin un punto centralizado de aplicación de políticas de identidad y acceso, es difícil garantizar la
fiabilidad de una red.
funciona a medida que aumenta el número de dispositivos de red y administradores.
Cisco ISE funciona como un servidor AAA centralizado que combina autenticación de usuario, acceso de
usuario y administrador
control y control de políticas en una única solución. Cisco ISE utiliza un modelo de política basado en
reglas, que permite la seguridad
políticas de seguridad que otorgan privilegios de acceso en función de muchos atributos y condiciones
diferentes además de los de un usuario
identidad.
Las capacidades de Cisco ISE junto con una configuración AAA en los dispositivos de red reducen la
administración
tive problemas que rodean tener información de cuenta local estática en cada dispositivo. Cisco ISE
puede proporcionar centralizado
control de autenticación, que permite a la organización otorgar o revocar rápidamente el acceso a un
usuario en cualquier red
dispositivo de trabajo
La asignación de usuarios basada en reglas a grupos de identidad puede basarse en la información
disponible en un directorio externo
o un almacén de identidad como Microsoft Active Directory. Los dispositivos de red se pueden clasificar
en varios dispositivos
grupos, que pueden funcionar como una jerarquía basada en atributos como ubicación, fabricante o rol en
la red
trabajo. La combinación de identidad y grupos de dispositivos le permite crear fácilmente reglas de
autorización que definen
qué administradores de red pueden autenticarse contra qué dispositivos.
Estas mismas reglas de autorización permiten la autorización a nivel de privilegio, que se puede utilizar
para dar acceso limitado a
Los comandos en un dispositivo. Por ejemplo, una regla puede dar a los administradores de red acceso
total a todos los comandos o
limitar los usuarios del servicio de asistencia a los comandos de monitoreo.
CisCo DigitaL netWork arCHiteCture Center
DNA Center es un controlador para la planificación, preparación, instalación e integración. SD-Access es
uno de los muchos
paquetes de aplicaciones de software que se ejecutan en DNA Center.
DNA Center gestiona centralmente cuatro áreas principales de flujo de trabajo.
• Diseño: configura los ajustes globales del dispositivo, los perfiles del sitio de red para el inventario del
dispositivo físico, DNS, DHCP, IP
direccionamiento, gestión de imágenes de software, plug-and-play y acceso de usuarios.
• política: define la intención comercial de aprovisionamiento en la red, incluida la creación de redes
virtuales, como:
firma de puntos finales para redes virtuales y definición de contrato de políticas para grupos.
• provisión: proporciona dispositivos para la administración y crea dominios de estructura, nodos de plano
de control, borde
nodos, nodos de borde, tejido inalámbrico, CUWN inalámbrico y conectividad externa.
• Aseguramiento: permite el panel de puntajes de estado, vistas de 360 ° de cliente / dispositivo, nodos,
clientes y trazados de ruta.
DNA Center admite la integración mediante API. Por ejemplo, la gestión de la dirección IP de Infoblox y
la aplicación de políticas
La integración mental con ISE está disponible a través de DNA Center. Un conjunto completo de API
REST hacia el norte
permite la automatización, integración e innovación.
• Toda la funcionalidad del controlador se expone a través de las API REST en dirección norte.
• Las organizaciones y los socios del ecosistema pueden crear fácilmente nuevas aplicaciones.
• Todas las solicitudes API REST en dirección norte se rigen por el mecanismo RBAC del controlador.
Page 54
página 51
DNA Center es clave para permitir la automatización de las implementaciones de dispositivos en la red,
proporcionando la velocidad y el control
Consistencia requerida para la eficiencia operativa. Las organizaciones que usan DNA Center pueden
beneficiarse de un menor costo
y menor riesgo al implementar y mantener sus redes.
Despliegue del campus utilizando la infraestructura de CisCo prime
A medida que las redes y la cantidad de servicios que soportan continúan evolucionando, las
responsabilidades de los administradores de red
Los tractores para mantener y mejorar su eficiencia y productividad también crecen. Usando una solución
de gestión de red
puede habilitar y mejorar la eficiencia operativa de los administradores de red.
Cisco Prime Infrastructure es una sofisticada herramienta de administración de red que puede ayudar a
soportar el extremo a extremo
gestión de tecnologías y servicios de red que son críticos para el funcionamiento de su organización; se
alinea
funcionalidad de administración de red con la forma en que los administradores de red hacen su
trabajo. Cisco Prime Infrastruc-
ture proporciona una GUI intuitiva basada en la web a la que se puede acceder desde cualquier lugar
dentro de la red y proporciona
Usted tiene una vista completa del uso y rendimiento de la red.
Con una red de campus y los servicios que puede soportar, Cisco Prime Infrastructure puede desempeñar
un papel fundamental en
operaciones diarias de la red.
Centro de trabajo del dispositivo
Cisco Prime Infrastructure incluye el Centro de trabajo de dispositivos. Algunas de las funciones que se
encuentran en Device Work Cen-
ter son:
• Descubrimiento: crea y mantiene un inventario actualizado de dispositivos administrados, incluida la
imagen de software
información y detalles de configuración del dispositivo.
• Archivos de configuración: mantiene un archivo activo de múltiples iteraciones de archivos de
configuración para cada usuario.
dispositivo envejecido.
• gestión de imágenes de software: permite que un administrador de red importe imágenes de software de
Cisco.com,
dispositivos administrados, URL o sistemas de archivos, y luego distribúyalos a un solo dispositivo o
grupo de dispositivos.
Plantillas de configuración y tareas
Al usar la función Tareas de configuración para aplicar plantillas de configuración a muchos dispositivos,
los administradores pueden guardar
Muchas horas de trabajo. Cisco Prime Infrastructure proporciona un conjunto de plantillas y puede usarlas
para crear un
tarea de configuración, proporcionando valores específicos del dispositivo según sea necesario. Para otras
necesidades de configuración, Cisco Prime Infra-
La estructura le permite definir sus propias plantillas.
alarmas, eventos y mensajes de syslog
Cisco Prime Infrastructure proporciona la función de alarmas y eventos, que es una pantalla unificada con
información detallada
sics La función proporciona información procesable y la capacidad de abrir automáticamente solicitudes
de servicio con el
Centro de asistencia técnica de Cisco.
informes
Cisco Prime Infrastructure le proporciona un único punto de inicio para todos los informes que puede
configurar, programar y
ver. La página de la Plataforma de lanzamiento de informes proporciona acceso a más de 100 informes,
cada uno de los cuales puede personalizar como
necesario.
Página 55
página 52
CleanAir Support
Cisco Prime Infrastructure admite la administración de puntos de acceso inalámbricos habilitados para
CleanAir, lo que permite a los administradores
ver eventos de interferencia.
soporte de módulo de análisis de red
Para una mayor visibilidad en su red, Cisco Prime Infrastructure admite la administración y la generación
de informes para Cisco
Productos del módulo de análisis de red.
Calidad del campus de servicio
Debido a que el tráfico de comunicación en tiempo real es muy sensible a retrasos y caídas, la red debe
asegurarse de que esto
El tipo de tráfico se maneja con prioridad para que el flujo de audio o video no se interrumpa. QoS es la
tecnología
eso responde a esta necesidad.
La función principal de QoS en las redes de campus de medios enriquecidos es gestionar la pérdida de
paquetes, donde los enlaces de gran ancho de banda
con una congestión instantánea del orden de milisegundos puede causar desbordamientos del búfer y una
mala experiencia del usuario
ence. Otro objetivo de la QoS del campus es aplicar políticas en el borde para permitir un tratamiento
constante del tráfico para un
Experiencia de usuario predecible en toda la red empresarial.
QoS permite a una organización definir diferentes tipos de tráfico y crear un manejo más determinista
para
tráfico de tiempo QoS es especialmente útil en el manejo de la congestión, donde un canal de
comunicaciones completo podría evitar
las transmisiones de voz o video dejan de ser inteligibles en el lado receptor. La congestión es común
cuando los enlaces están sobre-
suscrito agregando tráfico de varios dispositivos, y también cuando el tráfico en un enlace a un
dispositivo ha llegado
de enlaces ascendentes con mayor ancho de banda. En lugar de crear ancho de banda, QoS toma el ancho
de banda de una clase
y se lo da a otra clase.
Dentro de la LAN cableada del campus, Cisco mantiene los perfiles de QoS lo más simple posible al
tiempo que garantiza el soporte para
aplicaciones que necesitan entrega especial. Este enfoque establece un marco sólido, escalable y modular
para
implementar QoS en toda la red.
Los objetivos principales de implementar QoS dentro de la red son:
• Servicio de entrega acelerada de comunicaciones para aplicaciones compatibles en tiempo real.
• Continuidad del negocio para aplicaciones críticas para el negocio.
• Equidad entre todas las demás aplicaciones cuando ocurre congestión.
• Aplicaciones en segundo plano sin prioridad y aplicaciones orientadas al entretenimiento no comercial
para que
no demore las aplicaciones interactivas o críticas para el negocio.
• Una ventaja confiable en la red para garantizar que los usuarios no puedan inyectar sus propios valores
de prioridad arbitrarios
y para permitir que la organización confíe en el tráfico marcado en toda la red.
Para lograr estos objetivos, el diseño implementa QoS en toda la red de la siguiente manera:
• Establecer un número limitado de clases de tráfico (es decir, cuatro a doce clases) dentro de la red que
necesitan
manejo parcial (por ejemplo, voz en tiempo real, video en tiempo real, datos de alta prioridad, tráfico
interactivo, tráfico por lotes,
y clases por defecto).
• Clasificar aplicaciones en las clases de tráfico.
• Aplicar un manejo especial a las clases de tráfico para lograr el comportamiento de red previsto.
Page 56
página 53
Para implementar QoS, use la función EasyQoS en DNA Center para configurar la calidad de servicio en
el dispositivo descubierto
vicios en tu red. EasyQoS le permite agrupar dispositivos y asignar clases de servicio. Cisco DNA Center
traduce sus selecciones de QoS en configuraciones de dispositivo adecuadas e implementa las
configuraciones en los dispositivos.
Para obtener información adicional, visite cisco.com y buscar "EasyQOS"
57
página 54
Apéndice — Glosario
3SS tres corrientes espaciales
Servidor AAA de autenticación, autorización y servidor de contabilidad
Lista de control de acceso de ACL
Servidor de control de acceso Cisco ACS
punto de acceso ap
aQ calidad del aire
Política de uso aceptable
AVC Cisco Visibilidad y control de aplicaciones
ByoD trae tu propio dispositivo
Control CapWap y aprovisionamiento de protocolo de puntos de acceso inalámbrico
CmX Experiencias móviles conectadas de Cisco
CuWn Red inalámbrica unificada de Cisco
Asignación de canal dinámico DCA
Selección de frecuencia dinámica DFS
Zona desmilitarizada DmZ
Arquitectura de red digital de Cisco DNA
Inspección profunda de paquetes dpi
protocolo de autenticación extensible eap
acuerdo de usuario final de eua
fra Asignación de radio flexible
G2 segunda generación
Protocolo de equilibrio de carga de puerta de enlace gLBp
HA alta disponibilidad
Ha sso alta disponibilidad de cambio de estado
Protocolo de enrutamiento de espera en caliente de Hsrp
ise Cisco Identity Services Engine
banda industrial, científica y médica del ismo
Protocolo de agregación de enlaces LaCp
LAG agregación de enlaces
Red de área local LAN
servicios de nombres de dominio de multidifusión mDNS
Protección del marco de gestión mfp
58
página 55
mimo de entrada múltiple, diseño de salida múltiple
punto de acceso al modo monitor mmap
mse Motor de servicios de movilidad de Cisco
nBar2 Reconocimiento de aplicaciones basadas en red de próxima generación
protocolo de agregación de puerto pagp
capa física pHy
pi Infraestructura Cisco Prime
marcos de gestión protegidos pmf
clave previamente compartida psk
Qam modulación de amplitud en cuadratura
Qos calidad de servicio
Control de acceso basado en roles de rBaC
frecuencia de radio rf
gestión de recursos de radio rrm
rssi recibió fuerza de señal
SD-Access Acceso definido por software
Identificador del conjunto de servicios SSID
sso cambio de estado
protocolo de árbol de expansión stp
Enlace virtual de SVL StackWise
Control de potencia de transmisión tpC
TTL tiempo de vida
Transformación de haz de transmisión basada en estándares txBf
upoe Cisco Universal Power Over Ethernet
Red de área local virtual VLAN
protocolo de redundancia de enrutador virtual vrrp
Sistema de conmutación virtual VSS
VSW Virtual StackWise
Controlador de red de área local inalámbrica virtual vWLC
Servicios de aplicación de área amplia de WAAS
Red de área amplia WAN
Sistema de detección de intrusos inalámbrico WIDS
elimina el sistema de prevención de intrusiones inalámbricas de Cisco
Red de área local inalámbrica WLAN
Page 59
página 56
Controlador de red de área local inalámbrica WLC
Módulo de seguridad inalámbrico Wsm
60
Sede de las Américas
Cisco Systems, Inc.
San jose, ca
Sede de Asia Pacífico
Cisco Systems (EE. UU.) Pte. Limitado.
Singapur
Sede de Europa
Cisco Systems International BV Amsterdam,
Los países bajos
Cisco tiene más de 200 oficinas en todo el mundo. Las direcciones, los números de teléfono y los números de fax figuran en el sitio web de Cisco en www.cisco.com/go/offices.
TODOS LOS DISEÑOS, ESPECIFICACIONES, DECLARACIONES, INFORMACIÓN Y RECOMENDACIONES (COLECTIVAMENTE, "DISEÑOS") EN ESTE
MANUAL SE PRESENTAN "COMO
ES ", CON TODAS LAS FALLAS. CISCO Y SUS PROVEEDORES RENUNCIAN A TODAS LAS GARANTÍAS, INCLUIDAS, SIN LIMITACIÓN, LA GARANTÍA DE
COMERCIABILIDAD,
APTITUD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN O DERIVADO DE UN CURSO DE TRATAMIENTO, USO O PRÁCTICA COMERCIAL. EN
NINGÚN CASO
CISCO O SUS PROVEEDORES SERÁN RESPONSABLES POR CUALQUIER DAÑO INDIRECTO, ESPECIAL, CONSECUENTE O INCIDENTAL, INCLUYENDO,
SIN LIMITACIÓN,
PÉRDIDA DE GANANCIAS O PÉRDIDA O DAÑO A LOS DATOS DERIVADOS DEL USO O LA INCAPACIDAD DE UTILIZAR LOS DISEÑOS, INCLUSO SI CISCO
O SUS PROVEEDORES HAN SIDO
ASESORADO DE LA POSIBILIDAD DE TALES DAÑOS. LOS DISEÑOS ESTÁN SUJETOS A CAMBIOS SIN PREVIO AVISO. Los usuarios son los únicos responsables
de
SU APLICACIÓN DE LOS DISEÑOS. LOS DISEÑOS NO CONSTITUYEN EL ASESORAMIENTO TÉCNICO U OTRO PROFESIONAL DE CISCO, SUS
PROVEEDORES
O SOCIOS LOS USUARIOS DEBEN CONSULTAR A SUS PROPIOS ASESORES TÉCNICOS ANTES DE IMPLEMENTAR LOS DISEÑOS. LOS RESULTADOS
PUEDEN VARIAR DEPENDIENDO DE
FACTORES NO PROBADOS POR CISCO.
Las direcciones de Protocolo de Internet (IP) utilizadas en este documento no están destinadas a ser direcciones reales. Cualquier ejemplo, salida de pantalla de comando y
figuras incluidas
en el documento se muestran solo con fines ilustrativos. Cualquier uso de direcciones IP reales en contenido ilustrativo es involuntario y casual.
© 2018 Cisco Systems, Inc. Todos los derechos reservados.
Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y / o sus filiales en los EE. UU. Y otros países. Para ver una lista de las marcas
registradas de Cisco, vaya
a esta URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros mencionadas son propiedad de sus respectivos dueños. El uso de la palabra pareja no
implica una relación de asociación entre Cisco y cualquier otra compañía. (1110R

Diseño Validado CisCo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diseño Validado CisCo

Cargado por

Copyright:

Formatos disponibles

Diseño validado CisCo

Introducción al diseño del campus

Introducción al diseño del campus

LAN de campus y diseño de LAN inalámbrica

Fundamentos de diseño de LAN

Opciones de diseño de Campus WireD netWork

Diseño tradicional de capas de distribución del campus multicapa

Diseño de capa de distribución simplificado

Modelo de diseño Cisco flexConnect

Agregación de enlaces del controlador WLAN

wips modos de implementación

Componentes comunes en diseños de

También podría gustarte