思科 8500 系列无线控制器部署指南

简介

本文档介绍Cisco 8500无线LAN控制器(WLC)，并提供其部署的一般指南。本文档旨在：

• 概述Cisco 8500 WLC及其在思科统一架构中的部署。

• 突出显示主要服务提供商功能

• 提供Cisco 8500控制器特有的设计建议和注意事项。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

产品概述

在思科统一架构中，无线接入点(AP)部署在以下三种主要模式之一，以服务于无线客户端：

• 本地模式 — 本地模式AP将所有流量通过隧道传输到控制器（通过CAPWAP），控制器在控制器处理标记数据包并将其放置在有线网络上。

• FlexConnect模式 - FlexConnect模式主要设计为支持无线分支网络，它允许数据在本地交换（支持控制器的中央交换），而AP则通过集中控制器通过WAN连接进行控制和管理。来自FlexConnect AP的流量可以采用最有效的路径，因为管理员可以灵活地配置要在本地交换的特定类型的流量，或者让流量通过隧道在中心站点的控制器中集中交换。有关FlexConnect运营理论的详细信息，请参阅H-Reap/FlexConnect设计指南和Cisco Flex 7500部署指南。

• 网桥模式 — 在网桥模式下配置AP以构建无线网状网络，其中无线网络布线不可用。有关网状拓扑工作原理的详细信息，请参阅网状设计和部署指南。

Cisco 5500系列控制器和WiSM2控制器都支持分别扩展至500和1000个AP的所有AP操作模式，以及分别扩展至7000和15,000个无线客户端。自带设备(BYOD)、在任务关键型应用中部署无线以及在运营商网络中采用Wi-Fi支持新业务模式使企业移动客户端激增，这要求无线网络在蜂窝网络和Wi-Fi网络之间提供更高的客户端规模、更强的恢复力和无缝IP移动性。思科统一无线网络软件7.3版可解决这些关键挑战。7.3版提供新的思科8500系列无线控制器，具有高度可扩展的客户端计数、高可用性(HA)功能，可通过支持数千个接入点到备用控制器的次秒故障切换来最大限度地减少控制器停机时间，以及Wi-Fi认证密码(HS2.0)等运营商功能，以实现安全公共连接和代理移动IPv6(HA)PMIPv6)，确保蜂窝网和Wi-Fi之间的无缝移动性。

Cisco 8500控制器的一些关键属性包括：

• 高客户端密度（1 RU中有64,000个客户端）

• 支持6000个AP、6000个AP组、2000个FlexConnect组，每个FlexConnect组最多100个AP

• 支持4096个VLAN

• 支持50,000个RFID跟踪，检测并遏制多达24,000个非法AP和32,000个非法客户端

• 具有次秒级AP状态切换的高可用性

• 室外AP支持

• 支持所有AP操作模式（本地、FlexConnect、监控器、欺诈检测器、嗅探器和网桥）

• 采用PMIPv6 MAG实施的分组核心网络实现无缝移动性(RFC 5213)

• WFA Passpoint Certified(正在进行中 — 检查WFA网 站以了解最新状态)

• 802.11r快速漫游

• 流量的双向速率限制

• 用于富媒体流的视频流

• 使用权(RTU)许可，易于实施许可证和持续许可操作

下表显示了思科大规模控制器比较概览：

	8500	7500	5500	WiSM2
部署类型	企业大型园区+ SP Wi-Fi	用于大量分布式无控制器分支机构的中央站点控制器	企业园区和全服务分支机构	企业园区
运作模式	本地模式、FlexConnect、网状	仅FlexConnect	本地模式、FlexConnect、网状	本地模式、FlexConnect、网状
最大扩展	6000个AP 64,000个客户端	6000个AP 64,000个客户端	500个AP 7000个客户端	1000个AP 15,000个客户端
AP计数范围	300-6k个AP	300-6k个AP	12-500个接入点	100-1000个AP
许可	使用权（使用EULA）	使用权（使用EULA）	基于CISL（未更改）	基于CISL（未更改）
连接性	2个10G端口	2个10G端口	8个1G端口	与Catalyst背板的内部连接
电源	交流/直流双冗余	交流双冗余	交流（冗余PSU选项）	AC/DC Catalyst机箱冗余PSU选项
FlexConnect组的最大数量	2000	2000	100	100
每个FlexConnect组的最大AP数	100	100	25	25
非法AP管理的最大数量	24,000	24,000	2000	4000
欺诈客户端管理的最大数量	32,000	32,000	2500	5000
RFID的最大数量	50,000	50,000	5000	10,000
每个RRM组的最大AP数	6000	6000	1000	2000
最大AP组数	6000	6000	500	500
最大接口组数	512	512	64	64
每个接口组的最大接口数	64	64	64	64
支持的最大VLAN数	4096	4096	512	512
支持的最大WLAN数	512	512	512	512
支持的快速安全漫游(FSR)客户端*	64000	64000	14000	30000

*支持来回到此平台的FSR客户端数(平台间移动下的“设计注意事项”部分的更多详细信息)。

产品规格

数据表

请参阅Cisco 8500系列控制器产品手册。

平台功能

8500控制器平台当前不支持的功能

8500控制器平台当前不支持以下功能：

• 本地身份验证（其中控制器充当身份验证服务器）

• 内部 DHCP 服务器

• 有线访客

• TrustSec SXP

Cisco 8500控制器的外观

默认情况下，Cisco 8500控制器启用控制台重定向，波特率为9600，模拟无流量控制的VT100终端。8500控制器的启动顺序与现有控制器平台相同。

与所有其他控制器平台一样，初始启动需要使用向导菜单进行配置。

GUI也与以前的控制器保持相同。

Cisco 8500控制器的突出功能

可扩展性

Cisco 8500系列WLC在小型1RU外形中提供运营商级可扩展性。它使服务提供商能够通过单点控制和管理整合多个控制器，并降低运营成本，最多可为分布在4096个VLAN和6000个AP上的64,000个客户端提供控制和管理。

本地模式支持

Cisco 8500控制器平台支持本地模式、网桥模式和FlexConnect模式AP。8500控制器支持运行软件版本7.3的Cisco 5500系列控制器支持的所有AP型号。

高可用性 — AP状态化切换

在传统控制器AP故障转移模型中，在每个AP上配置了主控制器、辅助控制器和第三控制器的唯一IP地址。当AP的活动控制器关闭时，AP进入发现状态，并且需要对新控制器执行整个加入过程。

新引入的高可用性AP状态切换(AP SSO)模式提供了一个机箱到机箱冗余，其中一个控制器处于主用状态，另一个控制器处于热备用状态，通过冗余(HA)端口监控主用控制器的运行状况。

主用控制器上的配置通过冗余端口同步到备用控制器。在HA中，两个控制器共享同一组配置，包括管理接口的IP地址。此外，还同步AP的CAPWAP状态（对于处于RUN状态的AP）。因此，当活动控制器发生故障时，AP不会进入发现状态。此模型将机箱故障时的停机时间减少到次秒，上游网络连接问题（例如网关丢失）时的停机时间缩短到三秒。

注意：运行7.3版本代码的5500、7500和WiSM-2平台也支持HA/AP SSO功能。

专用备用控制器SKU(AIR-CT8510-HA-K9)可用，并支持在连接到主8500控制器时为多达6000个AP进行备用操作，如下所述。

有关HA功能的详细信息，请参阅高可用性(AP SSO)部署指南。

新许可模式

版本7.3还为Cisco Flex 7500和Cisco 8500系列控制器引入了新的“使用权”(RTU)许可模式。这是基于荣誉的许可方案，允许在接受最终用户许可协议(EULA)的受支持控制器上启用AP许可证。RTU许可证方案通过消除对附加步骤、附加工具或访问Cisco.com进行PAK许可证或退货授权(RMA)传输的需求，简化了现场AP附加许可证的添加、删除或传输。

评估许可证的有效期为90天。系统将生成通知，通知您从评估许可证到期前15天开始购买永久许可证。

如果连接的AP数超过购买的AP数，Cisco Prime基础设施1.2中跟踪的控制器的许可状态将变为红色。

有关RTU许可证型号的详细信息，请参阅文档“Cisco使用权许可(RTU)”。

许可证类型

以下是三种许可证类型：

• 永久许可证- AP计数通过制造编程到NVM;这也称为基本AP计数许可证。此类许可证不可转让。

• 附加接入点计数许可证 — 您可以通过接受EULA激活。附加许可证可转移。

• 评估许可证 — 用于演示和/或试用期，有效期为90天，默认为控制器的全部容量。可以随时使用CLI命令激活评估许可证。

许可证CLI命令：

(8500) >show license ?
               
all            Displays All The License(s).
capacity       Displays License currently used by AP
detail         Displays Details Of A Given License.
evaluation     Displays Evaluation License(s).
expiring       Displays Expiring License(s).
feature        Displays License Enabled Features.
in-use         Displays License That Are In-Use.
permanent      Displays Permanent License(s).
statistics     Displays License Statistics.
status         Displays License Status.
summary        Displays Brief Summary Of All License(s).

与WLC作为PMIPv6 MAG集成的无缝IP移动性

代理移动IPv6(PMIPv6)是IETF标准的基于网络的移动管理协议，用于构建与访问技术无关的公共移动核心网络(在RFC 5213中指定 )。 它支持各种接入技术，如基于WiFi、WiMAX、3GPP和3GPP2的接入架构。PMIPv6支持与移动IP相同的功能，无需对主机的TCP/IP协议栈进行任何修改。使用PMIPv6，主机可以更改其Internet的连接点，而无需更改其IP地址。此功能由网络实施，网络负责跟踪主机的移动并代表主机启动所需的移动信令。

PMIPv6架构定义了以下功能实体：

• 本地移动锚点(LMA)

• 移动接入网关(MAG)

• 移动节点(MN)

• 蜂窝网络(CN)

LMA是PMIPv6架构的核心元素。它是分配和通告MN IP地址的点。LMA建立到控制器（运行版本7.3或更高版本）的双向隧道，并用作PMIPv6 MAG。MAG（即控制器）与LMA接口，并代表无线客户端(MN)执行移动性管理。

网络上的其他设备（定义为CN）将能够通过LMA通过其家乡地址到达无线客户端(MN),LMA向CN通告MN前缀的可达性。

有关PMIPv6无缝IP移动功能的详细信息，请参阅思科无线代理移动IPv6配置指南。

在此，您可以在8500控制器上看到常规PMIPv6设置屏幕：

注意：PMIPv6 MAG功能目前仅适用于Cisco 8500、5500和WiSM-2控制器平台。

注意：版本7.3支持与最多10个LMA和40,000个PMIPv6客户端的通信。

WiFi Passpoint 1.0（或HotSpot 2.0）

Passpoint(HotSpot2.0)有三个技术支柱：IEEE 802.11u、WPA2-Enterprise和基于EAP的身份验证。

Wi-Fi认证密码点(HS2.0)确保与公共Wi-Fi热点的简单安全连接，以卸载蜂窝网数据，从而确保降低总拥有成本。

HS2.0支持在以下AP操作模式下提供：

• 本地模式AP

• 网桥模式AP（仅根AP）

• FlexConnect;中央交换机和本地交换模式

注意：软件版本7.3中提供了Passpoint功能，适用于所有能够运行7.2版本（Office Extend AP600除外）的控制器平台和CAPWAP AP。

有关配置这些功能的详细信息，请参阅Cisco无线LAN控制器配置指南7.3版。

这些图像显示各种802.11u配置选项：

控制器支持4k VLAN

为了满足服务提供商的可扩展性要求，7.3软件版本将支持的VLAN数量扩展到4096。

这允许每个接口/VLAN基于位置的服务，因为最大接口数也从512增加到4096（4095 +管理接口）和关联VLAN。

注意：仅8500和Flex7500控制器支持4k VLAN。

双冗余直流电源

为了满足服务提供商的直流电源要求，8500可在双冗余–48V直流电源配置中订购。

输入电压范围：最低：-40VDC和最大：-75VDC

注意：直流电源8510控制器不附带任何国家/地区特定的电源线。对于直流电源设备，您应使用自己的12G电线并连接到直流电源。

面向服务提供商的其他重要功能

Cisco WLC中引入了以下面向服务提供商的重要功能，代码为7.3:

• 用于FlexConnect本地交换的中央DHCP

• CAPWAP管理上的VLAN标记（对本征VLAN无CAPWAP限制）

• RADIUS记帐增强功能

• MAC身份验证故障切换到802.1x身份验证

• 支持802.11u/热点的FlexConnect，用于移动网络卸载

• 基于标准的802.11r快速漫游

• 双向速率限制（粒度更高的每用户吞吐量限制）

• 用于富媒体流的VideoStream（在本地模式下）

• 基于FlexConnect VLAN的中央交换

• FlexConnect拆分隧道

• FlexConnect WGB/UWGB支持

• AP上的PPPoE客户端

• AP上的NAT/PAT支持

7.4代码中集成了一些与服务提供商相关的新功能：

• LAG支持（次秒链路故障切换）

• 为已发送的被叫站ID RADIUS属性添加了6个选项：

  • ap-group-name

  • AP位置

  • ap-name

  • ap-name-ssid

  • flex-group-name

  • vlan-id

• 为发送到DHCP服务器的Option-82添加了六(6)个选项：

  • ap-group-name

  • AP位置

  • apname-vlan-id

  • ap-ethmac-ssid

  • flex-group-name

  • apmac-vlan-id

• FlexConnect组级别的可配置主RADIUS和辅助RADIUS服务器；平台支持的FlexGroups数量限制为2倍（即8500控制器上支持多达4000台RADIUS服务器）

• 几项控制器管理增强功能（更快的高可用性升级过程、SFTP文件传输、服务端口高可用性增强功能、精细的TACACS+控制）

• 上游QOS（双向客户端速率限制）

• 使用AP以太网的AP客户端负载均衡

• 每个VLAN接口的DHCP代理模式

• 与HA-SKU一起订购的WLC可用作“N+1”故障切换场景中的辅助设备（支持全平台容量）

• AP无线电可设置为仅接受802.11n客户端（“不”与“绿色字段”混淆）

设计注意事项

组播

Cisco 8500控制器中启用了组播支持，其运行与Cisco 5500系列控制器相当，但受以下限制：

1. 如果8500控制器上的所有AP都配置为本地模式，则组播组播将是默认模式，并且支持所有功能（例如VideoStream）。 此场景与5500控制器相同。

2. 如果AP配置为本地模式和FlexConnect模式的混合：

   • 如果FlexConnect AP上需要IPv6:

     1. 禁用全局组播模式并更改为组播单播模式。

     2. IPv6/GARP将在FlexConnect和本地模式AP上运行，但组播数据和VideoStream功能将被禁用。

   • FlexConnect AP上不需要IPv6/GARP:

     1. 将模式更改为Multicast-Multicast并启用全局组播模式和IGMP/MLD监听。

     2. 本地模式AP支持IPv6、GARP、组播数据和VideoStream。

注意：FlexConnect AP上的IPv6操作（用于RA和NS数据包传输）需要组播单播。

平台间移动性

在大多数网络中，通常需要支持移动组中的异构无线控制器。这些可以是使用这种异构配置进行升级、迁移或备份的实例。在这些情况下，网络设计中应考虑支持的快速安全漫游(FSR)客户端的数量。例如，考虑由以下WLC平台组成的大型无线网络，所有这些平台都配置在同一移动组中：

• 8500（支持64,000个客户端的FSR）

• 7500（支持64,000个客户端的FSR）

• WiSM2（支持30,000个客户端的FSR）

• 5500（支持14,000个客户端的FSR）

在这种情况下：

1. 64,000个经过身份验证的客户端可以在7500和8500之间无缝漫游。

2. 30,000个经过身份验证的客户端可以在多个WiSM2控制器之间或在WiSM2到8500或7500控制器之间无缝漫游。

3. 14,000个经过身份验证的客户端可以在多个5500控制器之间或在5500控制器与WiSM2、8500或7500控制器之间无缝漫游。

超过这些限制的无线客户端需要在会话超时后重新加入。

本地EAP身份验证

本地EAP身份验证数据库不会扩展到8500控制器上支持的64,000个客户端。虽然在用户界面中尚未禁用使8500充当身份验证服务器的功能，但其目的只是支持测试设置，而不是用于生产部署。

链路聚合 (LAG)

软件版本7.4及更高版本支持跨2x10G接口的LAG。LAG配置允许主用 — 主用链路操作，具有快速故障切换链路冗余。

注意：附加的活动10G链路不会更改控制器网络总吞吐量。

相关信息

• 运营商Wi-Fi解决方案概述
• 思科Prime基础设施1.2
• CUWN软件版本7.3
• 技术支持和文档 - Cisco Systems