На волне проходящего марафона Cisco "Новая классика WLAN", хотелось бы рассказать, как я переходил с Cisco 5508 на Cisco 9800-CL в далеком 2019 году.
Предисловие
Меня иногда посещает идея, что когда у Cisco получается уже продукт, в котором почти нет багов, интерфейс удобен и богатый функционал, этот продукт начинают хоронить. Так вышло с Firepower который пришёл на замену ASA (но пока не смог вытеснить), так же случилось и с AirOS, который заменили на IOS-XE. Конечно, это мнение обывателя, и на самом деле в новых линейках появился новый функционал, быстродействие и т.д. и т.п. Но мне, как человеку проработавшему много лет с одной серией оборудования, когда ты уже знаешь основные баги, "подводные камни", можешь уже с закрытыми глазами найти в интерфейсе нужное меню или помнишь наизусть все команды, очень трудно взять и перейти абсолютно на новую линейку.
Отрицание
Обычно шок и отрицание возникают у пациентов, которым сообщили смертельный диагноз в самом начале развития болезни.
В 2019 году в нашей компании в качестве Wi-Fi контроллера использовалась пара AIR-CT5508-500-K9 в HA. Это был уже давно зарекомендовавший себя контроллер, с которым я был знаком с 2015 года. Но, количество точек в компании росло и по расчётам к 2020му году, мы должны были выйти за 500 точек доступа (а это уже физический лимит контроллера 5508). В начале я не особо раздумывал и просто начал согласовывать спецификацию на Wi-Fi контроллер 5520. Но во время консультации с Cisco, у меня спросили: "А почему Вы не хотите перейти на 9800 серию". Я если честно, про неё в то время даже не слышал. Начав гуглить этот вопрос, я нашёл описание, красивые слайды, даже кое-какие гайды. Потом у меня был ВКС от Софьей Струнской и Анной Комшой по 9800 серии. И начались у меня бессонные ночи в размышлениях, что же всё таки выбрать.
С одной стороны 9800 - это новое ПО, с новым интерфейсом, с новыми багами. C другой стороны, старый добрый AirOS, где уже все понятно, в интернете тонны инструкций. Но с третьей стороны, если вы видите, что появился новый продукт с таким же функционалом, как и текущий, готовьтесь к тому, что текущий уйдет в EoS. А с четвёртой, мне всегда интересно всё новое и "замутить" какой-нибудь новый проект.
Выбирать мне пришлось между парой 5520+лицензии и парой 9800-CL+DNA Essentials (по цене, даже 9800 дешевле выходил. Правда, стоит отметить, если бы ещё наш менеджер, рассказал бы про Промо, было бы ещё дешевле). В итоге, когда я должен был прислать руководству спецификацию на 5520, я прислал спецификацию на 9800-CL и лицензии DNA Essentials. И вот спецификация ушла дальше, а я стал запрашивать демо.
Гнев
Когда пациент не в силах отрицать очевидное, его переполняют ярость, раздражение, зависть и негодование. Он задает вопрос: «Почему именно я?»
После того, как мне дали ссылку на образ, я его развернул. И тут в общем-то все и началось....
Началось всё, с банального Wizard. Вроде бы, wizard для того и нужен, чтобы быть дружелюбным, но только не этот. Вы можете набить все поля, а в конце он вам скажет, что что-то пошло не так и обнулит, всё что вы записывали.
Начинал я с версии 16.11. Первым всплыло, что просто так подружить контроллеры 9800-CL и 5508 нельзя. После написания в TAC, оказалось, что есть "допиленная" версия для 5508, где реализовали возможность создания мобильной группы между ними. Затем, следом всплыл баг, который я на 5508 решал пол года. Когда ни с того ни с сего, у меня прекращалось вещание потокового видео (при чем до точки мультикаст-поток шёл, а вот точка его уже не передавала CSCvp33020). И конечно же, интерфейс...После модного интерфейса из 8.5, где уже было почти всё, что надо для мониторинга, в 9800-CL всё не на столько гладко.
Например самый главный минус, это скорость подключения, эту проблему не решили даже в 17.5.5.
Так что при покупке 9800 не забудьте распечатать и заламинировать себе вот такую табличку.
Из других багов (тут стоит отметить, что речь идёт о версии 16.12) это проблемы фильтрации, когда он показывает, что нашёл 200 точек доступа, а показывает только 20. Или если одна из точек доступа находится в режиме загрузки, то список точек доступа, у вас не загрузится, а так и будет висеть.
Или когда вы набиваете ACL, а он начинает дублировать строчки, а потом в конце говорит, что не может сохранить, то что сам насоздавал.
Но это цветочки, самым веселым был случай, когда после локального тестирования (нашего кабинета), я решил перевести один кампус на Wi-Fi контроллер 9800-CL. В один из выходных, мне звонит техподдержка и говорит, что у них отвалился Wi-Fi. Я полез разбираться и меня ждал сюрприз. По какой-то неведомой причине сменилась роль, но сменилась криво и часть конфига исчезала, AAA, что не сильно критично, и настройки uplink. Интерфейс из L2 превратился в L3.
После разбирательств с TAC выяснился баг, решением которого было подправить таймеры (CSCvq88794).
Торг
Этот этап довольно непродолжительный. Пациент пытается «договориться» с болезнью.
Так как спецификация ушла в закупку, надо было продолжать. Я методично изучал новый интерфейс попутно открывая кейсы. Получал обещания, что в следующих версиях все исправят, устранят все баги и приведут в порядок интерфейс. Отчасти это происходило и часть проблем решалась. Например, был неприятный сюрприз, когда при настройке порядка 30 точек доступа 1815W с использованием RLAN, оказалось что контроллер не запоминает админ-статус Ethernet портов и после перезапуска их отключает (CSCvs08564). Хорошо, что я окончил курс у Наташи Самойленко. И повозившись несколько часов написал скрипт, который опрашивал статусы портов на точках и если они были отключены, то включал их.
Так как торговаться особо было не с кем, то этот этап прошёл быстро.
Депрессия
Оцепенение, раздражительность и обиды вскоре сменяются ощущением огромной потери. Наступает депрессия.
Ещё одной проблемой стало то, что текущий веб интерфейс не предназначен для мобильных устройств (я уже молчу за приложение для Android, 9800-CL увы с ним не дружил). Поэтому, если в дороге нужно было что-то настроить или посмотреть, приходилось цепляться к компьютеру, а уже с него заходить на контроллер.
Для того чтобы посмотреть серийные номера списком, нужно было лезть и запрашивать через CLI (сейчас это исправили).
Смирение
К этому этапу больной уже выплеснул все прежние чувства. Теперь он начинает размышлять о грядущей смерти, но испытывая при этом спокойствие.
Спустя пол года после начала разворачивания контроллера, я в целом освоился и контроллер мне начал нравиться. Проблему отсутствия информации в интерфейсе решилась связкой telegraf+influxdb+grafana, так как 9800-CL построен на IOS-XE и он уже поддерживает потоковую телеметрию и netconf. Получилось что-то такое, где информацию можно собирать каждую секунду
Или вот мой телефон и и RSSI с SNR. Пустые места, это я ушел туда где не ловит или где ещё работал старый контроллер
Так же к плюсам серии Catalist 9800 можно отнести:
Возможность увидеть диффы
Очень гибкая система конфигурации сети. Если раньше у нас был только AP Groups теперь мы можем очень гибко производить настройки и применять их на точки доступа.
Конечно возникает вопрос, и как этим всем управлять. Тут конечно кому-то может понравиться, кому-то нет. Тут появилась такая вещь как REXEP, правда только по названию точки доступа, где вы можете написать правило, что точке доступа с таким именем нужно присвоить такие теги. Хотя можно и по старинке, выбрать список нужных точек и всем назначить определенные теги.
Точки доступа теперь при применении настроек не перезагружаются, конечно дисконект есть, но не полная перезагрузка (ориентировочно секунд 30).
Обновление. Если у вас HA, то считайте простоя почти не будет. У 9800-CL своеобразный интерфейс обновления, но в целом процедура проходит безболезненно. В начале контроллеры обновляются по очереди, далее начинают обновляться точки доступа (можно даже указать процент точек доступа которые будут обновляться за раз). Единственное, я так и не понял, как это сделать в назначенное время. Важный момент! Обязательно сделайте в конце commit. Иначе через два часа вас ждёт сюрприз в виде отката ПО и соответственно простой.
Лицензирование. Здесь главный плюс, что теперь лицензируются не контроллеры, а точки доступа. Так что если у вас есть виртуальная среда, вы вполне можете использовать пару в "бою" и допустим один для обкатки новых версий или каких-то проектов и вам это будет стоить только ресурсов в вашей виртуальной среде. Ну и конечно же можно пользоваться "триалом", но не долго. Дальше уже решает по своей совести.
Дебаг, он же Radioactive Trace. Хотя у меня есть претензии к нему, так как бывало что вместо полезной информации я получал какую-то непонятную информацию (TAC тоже из того вывода ничего не смог понять). Но в целом иметь возможность собирать дебаг в реальном времени и больше не говорить "А вот сейчас переподключись, я посмотрю", а можно сразу скачать дебаг, при чем за нужное время. Хотя увлекаться тоже не стоит, так как это все создает нагрузку.
Новые фишки, текущие и будущие. Возможно конечно в AirOS это все то же будет появляться, но насколько я понял сейчас приоритет уже у 9800. Тут и поддержка WPA3 и WiFi6 ну и некоторые другие функции. Скажем так, если сравнивать версию с которой я начинал 16.11 и последнюю 17.5.1, мне уже нужно заново изучать этот контроллер. Он "допиливается" и очень интенсивно.
Советы:
Если вы считаете, что виртуальный контроллер это что-то глючное и неработающее, спросите у себя, а все ли вы выполнили пункты из инструкции. Включили ли promiscuity mode или отключили Vmotion (у меня был случай, когда я не мог понять, почему у меня веб интерфейс периодически виснет, как раз в это время был открыт VCenter, где я и заметил что контроллер куда-то начал мигрировать). И если за виртуальную инфраструктуру отвечаете не вы, то лучше постойте сзади у того кто будет вам разворачивать контроллеры.
Не забывайте, что когда у вас HA и несколько хостов ESXi, тогда VLAN под Redundant port должен быть прописан не только внутри виртуальной инфраструктуры.
А если вы мигрируете виртуальную машину, перед включением убедитесь что сетевой интерфейс Redundant port включён.
Если вы все время вместо интерфейса контроллера, видите wizard, значит у вас не прописан wireless management interface и не сгенерен под него сертификат.
Management интерфейс должен быть один, при чем тот, к которому подключаются точки доступа. Да, все будет работать и на другом интерфейсе, но последний аргумент когда TAC не хочет разбираться это то, что они не поддерживают конфигурацию с несколькими интерфейсами. Это касается и всякой динамической маршрутизации, VRF. Она вроде бы есть, но использовать её нельзя. Ну или тогда на помощь TAC можете не надеяться.
Так как тут используется IOS-XE у нас есть замечательная возможность использовать Automate Tester для проверки доступности RADIUS сервера. (сейчас это уже добавили в веб интерфейс)
Если вы настраиваете 802.1X, не забудьте настроить accounting. Да в статье от Cisco его нет, но если вы хотите видеть ваших клиентов на Firepower (если конечно у вас есть ISE и стык с Firepower), то его обязательно нужно прописывать.
Не забывайте, что все новые точки доступа (хотя 28ю тяжело назвать уже новой) поддерживают Dual-Band Radios, соответственно и Flexible Radio Assignment там так же будет работать. Следите, чтобы клиенты с 2.4 не остались без Wi-Fi (хотя может так им и надо, быстрее мы попадем в эпоху высоких скоростей).
Я бы советовал использовать по максимуму Filter для назначения тегов, а не статическую привязку. Я очень надеюсь что REGEX доведут до ума и он будет работать не только вида AP* или *-IT. Очень удобно, когда нужно поменять теги и у вас сразу все применится на точки которые попадают под это правило. Я у себя настроил что точки доступа у которых имя по умолчанию, они падают в default группу, где висит rf-profile где отключено вещание.
Эпилог
Данная статья была написана, не для того чтобы отпугнуть от новой линейки. А просто показать как развивался продукт. На текущий момент, лично у меня, больших проблем уже не замечено. HA работает, клиенты не жалуются, интерфейс постепенно допиливают. AirOS уже доживает свое, можно конечно до последнего держаться за него, но есть ли в этом большой смысл..
P.S.
В заключение я хотел бы поблагодарить Софью Струнскую и Виктора Платова, за их помощь в процессе осваивания Catalyst 9800 и за их советы по беспроводным сетям.
UPDATE
Добавил, совет по обновлению. Про Commit. Что не стоит про него забывать. Был у меня случай, когда я забыл про него, а так как я обновлялся с утра, то в рабочее время меня ждал сюрприз, в виде перезагрузки и отката прошивки.
nuearth
Спасибо, полезная статья.
Да, каждая новая линейка это боль на начальных этапах. Системы стали настолько сложны, а конкуренты настолько быстры, что почти все вендоры запускают сырой продукт который потом допиливается в процессе мук его пользователей.
Я рад, что моё плотное знакомство с 9800 в боевом режиме началось уже с 17.3 и мне эта платформа нравится всё больше и больше.
saniapa Автор
Я с багами ещё как-то смирился, но вот интерфейс...Когда в AirOS он уже вылизан (в том же 8.10), а тут...Хотя конечно между 16.12 и 17.5 огромная разница. Но я считаю, что не зря решил вложиться в 9800, а не в 5520, который уходит в EoS.
Сейчас вот всё думаю, начать ли писать инструкции как и что настраивать в 9800. Вроде бы за год уже мануалов много появилось, возможно и смысла уже большого нет.
nuearth
Однозначно писать. Годных русскоязычных материалов мало!
К моему удивлению, далеко не все Wi-Fi инженеры хорошо на англ читают.
Мне чуток помог этот документ Cisco Catalyst 9800 Series Configuration Best Practices было бы время сам бы наверно что-то написал по поводу 9800, да увы, пока туго, и пару черновиков в очереди…