На волне проходящего марафона Cisco "Новая классика WLAN", хотелось бы рассказать, как я переходил с Cisco 5508 на Cisco 9800-CL в далеком 2019 году.

Предисловие

Меня иногда посещает идея, что когда у Cisco получается уже продукт, в котором почти нет багов, интерфейс удобен и богатый функционал, этот продукт начинают хоронить. Так вышло с Firepower который пришёл на замену ASA (но пока не смог вытеснить), так же случилось и с AirOS, который заменили на IOS-XE. Конечно, это мнение обывателя, и на самом деле в новых линейках появился новый функционал, быстродействие и т.д. и т.п. Но мне, как человеку проработавшему много лет с одной серией оборудования, когда ты уже знаешь основные баги, "подводные камни", можешь уже с закрытыми глазами найти в интерфейсе нужное меню или помнишь наизусть все команды, очень трудно взять и перейти абсолютно на новую линейку.

Отрицание

Обычно шок и отрицание возникают у пациентов, которым сообщили смертельный диагноз в самом начале развития болезни.

В 2019 году в нашей компании в качестве Wi-Fi контроллера использовалась пара AIR-CT5508-500-K9 в HA. Это был уже давно зарекомендовавший себя контроллер, с которым я был знаком с 2015 года. Но, количество точек в компании росло и по расчётам к 2020му году, мы должны были выйти за 500 точек доступа (а это уже физический лимит контроллера 5508). В начале я не особо раздумывал и просто начал согласовывать спецификацию на Wi-Fi контроллер 5520. Но во время консультации с Cisco, у меня спросили: "А почему Вы не хотите перейти на 9800 серию". Я если честно, про неё в то время даже не слышал. Начав гуглить этот вопрос, я нашёл описание, красивые слайды, даже кое-какие гайды. Потом у меня был ВКС от Софьей Струнской и Анной Комшой по 9800 серии. И начались у меня бессонные ночи в размышлениях, что же всё таки выбрать.

С одной стороны 9800 - это новое ПО, с новым интерфейсом, с новыми багами. C другой стороны, старый добрый AirOS, где уже все понятно, в интернете тонны инструкций. Но с третьей стороны, если вы видите, что появился новый продукт с таким же функционалом, как и текущий, готовьтесь к тому, что текущий уйдет в EoS. А с четвёртой, мне всегда интересно всё новое и "замутить" какой-нибудь новый проект.

Выбирать мне пришлось между парой 5520+лицензии и парой 9800-CL+DNA Essentials (по цене, даже 9800 дешевле выходил. Правда, стоит отметить, если бы ещё наш менеджер, рассказал бы про Промо, было бы ещё дешевле). В итоге, когда я должен был прислать руководству спецификацию на 5520, я прислал спецификацию на 9800-CL и лицензии DNA Essentials. И вот спецификация ушла дальше, а я стал запрашивать демо.

Гнев

Когда пациент не в силах отрицать очевидное, его переполняют ярость, раздражение, зависть и негодование. Он задает вопрос: «Почему именно я?» 

После того, как мне дали ссылку на образ, я его развернул. И тут в общем-то все и началось....

Началось всё, с банального Wizard. Вроде бы, wizard для того и нужен, чтобы быть дружелюбным, но только не этот. Вы можете набить все поля, а в конце он вам скажет, что что-то пошло не так и обнулит, всё что вы записывали.

Начинал я с версии 16.11. Первым всплыло, что просто так подружить контроллеры 9800-CL и 5508 нельзя. После написания в TAC, оказалось, что есть "допиленная" версия для 5508, где реализовали возможность создания мобильной группы между ними. Затем, следом всплыл баг, который я на 5508 решал пол года. Когда ни с того ни с сего, у меня прекращалось вещание потокового видео (при чем до точки мультикаст-поток шёл, а вот точка его уже не передавала CSCvp33020). И конечно же, интерфейс...После модного интерфейса из 8.5, где уже было почти всё, что надо для мониторинга, в 9800-CL всё не на столько гладко.

Например самый главный минус, это скорость подключения, эту проблему не решили даже в 17.5.5.

Все помнят как перевести это в скорость подключения?
Все помнят как перевести это в скорость подключения?

Так что при покупке 9800 не забудьте распечатать и заламинировать себе вот такую табличку.

Из других багов (тут стоит отметить, что речь идёт о версии 16.12) это проблемы фильтрации, когда он показывает, что нашёл 200 точек доступа, а показывает только 20. Или если одна из точек доступа находится в режиме загрузки, то список точек доступа, у вас не загрузится, а так и будет висеть.

Или когда вы набиваете ACL, а он начинает дублировать строчки, а потом в конце говорит, что не может сохранить, то что сам насоздавал.

Но это цветочки, самым веселым был случай, когда после локального тестирования (нашего кабинета), я решил перевести один кампус на Wi-Fi контроллер 9800-CL. В один из выходных, мне звонит техподдержка и говорит, что у них отвалился Wi-Fi. Я полез разбираться и меня ждал сюрприз. По какой-то неведомой причине сменилась роль, но сменилась криво и часть конфига исчезала, AAA, что не сильно критично, и настройки uplink. Интерфейс из L2 превратился в L3.

После разбирательств с TAC выяснился баг, решением которого было подправить таймеры (CSCvq88794).

Торг

Этот этап довольно непродолжительный. Пациент пытается «договориться» с болезнью.

Так как спецификация ушла в закупку, надо было продолжать. Я методично изучал новый интерфейс попутно открывая кейсы. Получал обещания, что в следующих версиях все исправят, устранят все баги и приведут в порядок интерфейс. Отчасти это происходило и часть проблем решалась. Например, был неприятный сюрприз, когда при настройке порядка 30 точек доступа 1815W с использованием RLAN, оказалось что контроллер не запоминает админ-статус Ethernet портов и после перезапуска их отключает (CSCvs08564). Хорошо, что я окончил курс у Наташи Самойленко. И повозившись несколько часов написал скрипт, который опрашивал статусы портов на точках и если они были отключены, то включал их.

Так как торговаться особо было не с кем, то этот этап прошёл быстро.

Депрессия

Оцепенение, раздражительность и обиды вскоре сменяются ощущением огромной потери. Наступает депрессия.

Ещё одной проблемой стало то, что текущий веб интерфейс не предназначен для мобильных устройств (я уже молчу за приложение для Android, 9800-CL увы с ним не дружил). Поэтому, если в дороге нужно было что-то настроить или посмотреть, приходилось цепляться к компьютеру, а уже с него заходить на контроллер.

Для того чтобы посмотреть серийные номера списком, нужно было лезть и запрашивать через CLI (сейчас это исправили).

Смирение

 К этому этапу больной уже выплеснул все прежние чувства. Теперь он начинает размышлять о грядущей смерти, но испытывая при этом спокойствие.

Спустя пол года после начала разворачивания контроллера, я в целом освоился и контроллер мне начал нравиться. Проблему отсутствия информации в интерфейсе решилась связкой telegraf+influxdb+grafana, так как 9800-CL построен на IOS-XE и он уже поддерживает потоковую телеметрию и netconf. Получилось что-то такое, где информацию можно собирать каждую секунду

Или вот мой телефон и и RSSI с SNR. Пустые места, это я ушел туда где не ловит или где ещё работал старый контроллер

Так же к плюсам серии Catalist 9800 можно отнести:

  • Возможность увидеть диффы

  • Очень гибкая система конфигурации сети. Если раньше у нас был только AP Groups теперь мы можем очень гибко производить настройки и применять их на точки доступа.

    

Получаются группы разных пазлов, из которых вы получается готовый набор тегов, которые уже накидываются на точку доступа.
    Получаются группы разных пазлов, из которых вы получается готовый набор тегов, которые уже накидываются на точку доступа.

Конечно возникает вопрос, и как этим всем управлять. Тут конечно кому-то может понравиться, кому-то нет. Тут появилась такая вещь как REXEP, правда только по названию точки доступа, где вы можете написать правило, что точке доступа с таким именем нужно присвоить такие теги. Хотя можно и по старинке, выбрать список нужных точек и всем назначить определенные теги.

  • Точки доступа теперь при применении настроек не перезагружаются, конечно дисконект есть, но не полная перезагрузка (ориентировочно секунд 30).

  • Обновление. Если у вас HA, то считайте простоя почти не будет. У 9800-CL своеобразный интерфейс обновления, но в целом процедура проходит безболезненно. В начале контроллеры обновляются по очереди, далее начинают обновляться точки доступа (можно даже указать процент точек доступа которые будут обновляться за раз). Единственное, я так и не понял, как это сделать в назначенное время. Важный момент! Обязательно сделайте в конце commit. Иначе через два часа вас ждёт сюрприз в виде отката ПО и соответственно простой.

  • Лицензирование. Здесь главный плюс, что теперь лицензируются не контроллеры, а точки доступа. Так что если у вас есть виртуальная среда, вы вполне можете использовать пару в "бою" и допустим один для обкатки новых версий или каких-то проектов и вам это будет стоить только ресурсов в вашей виртуальной среде. Ну и конечно же можно пользоваться "триалом", но не долго. Дальше уже решает по своей совести.

  • Дебаг, он же Radioactive Trace. Хотя у меня есть претензии к нему, так как бывало что вместо полезной информации я получал какую-то непонятную информацию (TAC тоже из того вывода ничего не смог понять). Но в целом иметь возможность собирать дебаг в реальном времени и больше не говорить "А вот сейчас переподключись, я посмотрю", а можно сразу скачать дебаг, при чем за нужное время. Хотя увлекаться тоже не стоит, так как это все создает нагрузку.

Включаем Conditional Debug Global State. И дальше добавляем адреса по которым нам нужно выгрузить дебаг
Включаем Conditional Debug Global State. И дальше добавляем адреса по которым нам нужно выгрузить дебаг
  • Новые фишки, текущие и будущие. Возможно конечно в AirOS это все то же будет появляться, но насколько я понял сейчас приоритет уже у 9800. Тут и поддержка WPA3 и WiFi6 ну и некоторые другие функции. Скажем так, если сравнивать версию с которой я начинал 16.11 и последнюю 17.5.1, мне уже нужно заново изучать этот контроллер. Он "допиливается" и очень интенсивно.

Советы:

  1. Если вы считаете, что виртуальный контроллер это что-то глючное и неработающее, спросите у себя, а все ли вы выполнили пункты из инструкции. Включили ли promiscuity mode или отключили Vmotion (у меня был случай, когда я не мог понять, почему у меня веб интерфейс периодически виснет, как раз в это время был открыт VCenter, где я и заметил что контроллер куда-то начал мигрировать). И если за виртуальную инфраструктуру отвечаете не вы, то лучше постойте сзади у того кто будет вам разворачивать контроллеры.

  2. Не забывайте, что когда у вас HA и несколько хостов ESXi, тогда VLAN под Redundant port должен быть прописан не только внутри виртуальной инфраструктуры.

  3. А если вы мигрируете виртуальную машину, перед включением убедитесь что сетевой интерфейс Redundant port включён.

  4. Если вы все время вместо интерфейса контроллера, видите wizard, значит у вас не прописан wireless management interface и не сгенерен под него сертификат.

  5. Management интерфейс должен быть один, при чем тот, к которому подключаются точки доступа. Да, все будет работать и на другом интерфейсе, но последний аргумент когда TAC не хочет разбираться это то, что они не поддерживают конфигурацию с несколькими интерфейсами. Это касается и всякой динамической маршрутизации, VRF. Она вроде бы есть, но использовать её нельзя. Ну или тогда на помощь TAC можете не надеяться.

  6. Так как тут используется IOS-XE у нас есть замечательная возможность использовать Automate Tester для проверки доступности RADIUS сервера. (сейчас это уже добавили в веб интерфейс)

  7. Если вы настраиваете 802.1X, не забудьте настроить accounting. Да в статье от Cisco его нет, но если вы хотите видеть ваших клиентов на Firepower (если конечно у вас есть ISE и стык с Firepower), то его обязательно нужно прописывать.

  8. Не забывайте, что все новые точки доступа (хотя 28ю тяжело назвать уже новой) поддерживают Dual-Band Radios, соответственно и Flexible Radio Assignment там так же будет работать. Следите, чтобы клиенты с 2.4 не остались без Wi-Fi (хотя может так им и надо, быстрее мы попадем в эпоху высоких скоростей).

  9. Я бы советовал использовать по максимуму Filter для назначения тегов, а не статическую привязку. Я очень надеюсь что REGEX доведут до ума и он будет работать не только вида AP* или *-IT. Очень удобно, когда нужно поменять теги и у вас сразу все применится на точки которые попадают под это правило. Я у себя настроил что точки доступа у которых имя по умолчанию, они падают в default группу, где висит rf-profile где отключено вещание.

Эпилог

Данная статья была написана, не для того чтобы отпугнуть от новой линейки. А просто показать как развивался продукт. На текущий момент, лично у меня, больших проблем уже не замечено. HA работает, клиенты не жалуются, интерфейс постепенно допиливают. AirOS уже доживает свое, можно конечно до последнего держаться за него, но есть ли в этом большой смысл..

P.S.

В заключение я хотел бы поблагодарить Софью Струнскую и Виктора Платова, за их помощь в процессе осваивания Catalyst 9800 и за их советы по беспроводным сетям.

UPDATE

Добавил, совет по обновлению. Про Commit. Что не стоит про него забывать. Был у меня случай, когда я забыл про него, а так как я обновлялся с утра, то в рабочее время меня ждал сюрприз, в виде перезагрузки и отката прошивки.