介绍
本文档介绍了无线局域网控制器(WLC)上FlexConnect功能的功能矩阵。
前提条件
要求
Cisco建议您了解以下主题:
- 无线接入点(CAPWAP)协议的控制和提供
- 轻量级接入点(AP)和Cisco WLC的配置
使用的组件
本文档中的信息基于CUWN 7.0.116.0及更高版本。本文已更新为8.8版
本文档中的信息是根据特定实验室环境中的设备创建的。本文档中使用的所有设备都以清除的(默认)配置开始。如果您的网络处于活动状态,请确保您了解任何命令的潜在影响。
背景信息
FlexConnect(柔性连接)
FlexConnect是用于分支办公室和远程办公室部署的无线解决方案。它使您能够通过WAN链路从公司办公室配置和控制分支机构或远程办公室中的AP,而无需在每个办公室中部署控制器。FlexConnect AP可以在本地切换客户端数据流量,并在本地执行客户端身份验证。当它们连接到控制器时,还可以将流量发送回控制器。FlexConnect仅在以下组件上受支持:
- 700、1130AG、1140、1240AG,1250、1700、1810、1815、1830、1840、1850、AP801、1600、1700,2600、27002800、3500I、3500E、3600、3700、3800、1040、1520、1530、1550、15601570和1260个AP
- Cisco Flex 8500和7500、Cisco 5500、3504、vWLC和2500系列控制器
- Catalyst 3750G集成WLC交换机
- 思科WiSM和WiSM2
- 集成服务路由器的控制器网络模块
FlexConnect本地身份验证在您无法维护最小带宽为128 kb/s且往返延迟不超过100 ms的远程办公室设置的情况下非常有用。无论使用何种功能,FlexConnection的最大允许延迟都是300 ms。
下一节概述FlexConnect功能矩阵。
注释:后期代码仍支持Pre-802、11n AP,如1130或1240。但是,自7.3版起,这些AP没有新功能。因此,这些AP不支持7.3版之后出现的FlexConnect功能。类似地,第一代802.11n接入点即使能够加入这样的WLC,也不具备8.1功能集的任何FlexConnect功能。有关更多信息,请参阅发行说明。
注释:本文档涵盖802.11ac wave 2接入点和Catalyst接入点,取代了仅关注AireOS版本的列表:https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html
FlexConnect功能列表-7.0.116及更高版本中的传统功能和新功能
安全-客户端
FlexConnect上的安全支持因不同模式和状态而异。此表总结了支持的安全功能:
|
WAN Up(中央交换) |
WAN Up(本地交换) |
WAN Up(本地交换、本地身份验证) |
WAN关闭(独立) |
开放/静态WEP |
是的 |
是的 |
是的 |
是的 |
WPA-PSK公司 |
是的 |
是的 |
是的 |
是的 |
802.1x(WPA/WPA2) |
是的 |
是的 |
是的 |
是的 |
MAC筛选器身份验证 |
是的 |
是的 |
不 |
不 |
CCKM快速漫游 |
是的 |
是的 |
不 |
是,适用于已连接的客户端。不,适用于新客户。 |
安全-基础设施
|
WAN Up(中央交换) |
WAN Up(本地交换) |
WAN关闭(独立) |
数据DTLS加密 |
是的 |
不适用 |
不适用 |
本地EAP(7.0至7.4) |
是(LEAP/EAP-FAST) |
是(LEAP/EAP-FAST) |
是(LEAP/EAP-FAST) |
本地EAP(7.5及更高版本) |
是(LEAP/EAP-FAST/PEAP/EAP-TLS) |
是(LEAP/EAP-FAST/PEAP/EAP-TLS) |
是(LEAP/EAP-FAST/PEAP/EAP-TLS) |
备用半径 |
是(7.0.116) |
是(7.0.116) |
是的 |
工业界集团 |
是的 |
是的 |
不适用 |
安全
FlexConnect上的安全支持因不同模式和状态而异。此表总结了WLC 7.0.116.0版和更高版本支持的传统和新安全功能:
|
WAN Up(中央交换) |
WAN向上(本地交换) |
WAN Up(本地交换、本地身份验证) |
WAN关闭(独立) |
自适应无线入侵防御(aWIPS) |
是的 |
是的 |
是的 |
不 |
盗贼、入侵检测(IDS) |
是的 |
是的 |
是的 |
不 |
管理框架保护(MFP)(客户端、基础结构) |
是的 |
是(波2 APS为否) |
是(波2 APS为否) |
不 |
802.11w“MFP” |
是(7.5) |
是(7.5) |
是(7.5) |
是(7.5) |
802.11r快速过渡 |
是的 |
是的 |
不 |
不 |
自签名证书(SSC) |
是的 |
是的 |
是的 |
不适用 |
流氓位置发现协议(RLDP) |
可以工作,取决于跳数和广域网速度 |
可以工作,取决于跳数、广域网速度(波2 APS没有) |
可以工作,取决于跳数、广域网速度(不适用于第2波APS) |
不 |
机会主义密钥缓存(OKC)快速漫游 |
是的 |
是的 |
是的 |
不(1) |
FlexConnect本地身份验证 |
不适用 |
是的 |
是的 |
是的 |
Ipv4 AAA覆盖
|
是的 |
是的 |
是的
|
是的 |
Ipv6 AAA覆盖
|
是的 |
是的(5) |
是的(5)
|
是的(5) |
每个具有VLAN名称的FlexGroup的AAA VLAN分配
|
不适用 |
是(8.1) |
是(8.1) |
是(8.1) |
静态ACL |
是的 |
是的(2) 不 |
是的(2) 不 |
是的(2) 不 |
每用户半径ACL(4) |
是(7.5) |
是(7.5) |
是(7.5) |
不 |
二级ACL |
是(7.5) |
是(7.5) |
是(7.5) |
是(7.5) |
DNS ACL |
是(7.6) |
不 |
不 |
不 |
P2P阻止 |
是的 |
是的 |
是的 |
是的 |
网眼LSC |
不适用 |
不适用 |
不适用 |
不适用 |
自带设备/ISE(BYOD) |
是的 |
是(7.2.110.0) |
不
|
不 |
相邻数据包的PCI合规性 |
是的 |
是的 |
是的 |
不 |
俄罗斯DTLS支持 |
是的 |
不适用 |
不 |
不 |
wIPS增强本地模式(ELM) |
是的 |
是的 |
是的 |
不 |
限制每个WLAN的客户端数 |
是的 |
是的(3) |
是的 |
不 |
限制每个电台的客户端数 |
是的 |
是的 |
是的 |
是的 |
客户端排除策略 |
是的 |
是的(3) |
是的 |
不 |
半径NAC |
是的 |
是的 |
不 |
不 |
AP级别的TrustSec SXP |
是(8.4) |
是(8.4) |
是(8.4) |
是(8.4) |
WLC上的TrustSec SXP |
是(8.3) |
是(8.3) |
是(8.3) |
是(8.3) |
身份PSK |
是(8.5) |
是(8.5) |
不 |
是(8.5) |
使用P2P阻塞的身份PSK |
是(8.8) |
是(8.8) |
不 |
不 |
AAA执行的政策和配额管理 |
是(8.8) |
是(包括Flex+Bridge)(8.8) |
不 |
不 |
(1)是,对于在连接模式下具有关联的客户端。 (2)必须使用FlexConnect访问控制列表(ACL)。请注意,AP本机VLAN不支持flex ACL! (3)WLC进行限制/排除,以便在成功的关联响应后取消对客户端的授权。
(4)请注意,FlexConnect上的per-user ACL不会覆盖flex AP上的VLAN ACL,就像它会覆盖本地模式AP上的WLAN ACL一样。如果推送每用户-ACL并在flex组上配置AAA-VLAN ACL,则两者都会生效。
(5)使用FlexConnect本地交换,多播仅针对SSID映射到的VLAN转发,而不会转发到任何覆盖的VLAN。因此,IPv6无法按预期工作,因为多播流量是从不正确的VLAN转发的。因此,使用ipv6的本地交换不支持vlan分配
|
注释:在任何给定点,一个AP最多有16个VLAN。首先,根据AP配置(WLAN-VLAN)选择VLAN,然后按照FlexConnect组中配置或显示的顺序将其余VLAN从FlexConnection组中推送。如果VLAN插槽已满,将显示错误消息
语音和视频
下表列出了WLC 7.0.116.0版和FlexConnect更高版本支持的传统和新的语音和视频服务:
|
WAN Up(中央交换)100 ms RTT |
WAN Up(本地交换)100 ms RTT |
WAN关闭(独立) |
语音 |
是,RTT为100 ms |
是,RTT为100 ms |
是,RTT为100 ms |
是,RTT 900 ms(CCKM和OKC) |
是,RTT 900 ms(CCKM和OKC) |
QoS标记(1) |
是的 |
是的 |
是的 |
QoS Per-User带宽合同 |
是(7.4) |
是(7.5) |
不 |
UAPSD公司 |
是的 |
是的 |
是的 |
语音诊断 |
是的 |
是的 |
不 |
语音指标 |
是的 |
是的 |
不 |
TSPEC/呼叫允许控制(CAC) |
是-非CCX |
是-非CCX |
不 |
是-CCX(2) |
是-CCX(2) |
(1)包括DSCP/dot1p标记。 (2)WLC上的CAC,漫游失败时取消授权。
|
服务
下表列出了WLC 7.0.116.0版和FlexConnect更高版本支持的旧服务和新服务:
|
WAN Up(中央交换) |
WAN Up(本地交换) |
WAN Up(本地交换、本地身份验证) |
WAN关闭(独立) |
内部Webauth |
是的 |
是的 |
不 |
不适用 |
外部Webauth |
是(7.2.110.0) |
是(7.2.110.0) |
不 |
不适用 |
清洁空气(3500上的SI) |
是的 |
是的 |
是的 |
不适用 |
多播-单播(视频流) |
是(7500、8500和vWLC除外) |
是(8.0)(不在第2波AP上) |
是(8.0)(不在第2波AP上) |
是(8.0)(不在第2波AP上) |
位置 |
是,带BW/刻度限制 |
是,带BW/刻度限制 |
是,带BW/刻度限制 |
不适用 |
无线电资源管理 |
是的 |
是的 |
是的 |
不 |
NG RRM-RF静态分组 |
是的(1) |
是的(1) |
是的 |
不 |
SE Connect(清洁空气更新) |
是的 |
是的 |
是的 |
不(2) |
60系列增强功能 |
是的 |
是的 |
是的 |
没有 |
分析 |
是的 |
是(如果启用了中央DHCP处理) |
是(如果启用了中央DHCP处理) |
不 |
AVC公司三 |
是(7.4) |
是(8.1) |
是(8.1) |
不 |
你好,网关 |
是的 |
不 |
不 |
不 |
mDNS接入点 |
是的 |
不 |
不 |
不 |
LSS公司 |
是的 |
不 |
不 |
不 |
基于来源的服务 |
是的 |
不 |
不 |
不 |
优先级MAC |
是的 |
不 |
不 |
不 |
Bonjour浏览器 |
是的 |
不 |
不 |
不 |
Flex+Bridge模式 |
是(8.0,但对于wave2为8.8) |
是(8.0,但对于wave2为8.8) |
是(8.0,但对于wave2为8.8) |
是(8.0,但对于wave2为8.8) |
(1)任何RRM特定要求都适用(TPC至少有4个AP)。 (2)从WLC断开连接后,单机版为“是”,但重启时为“否”。
(3)除2504外,所有WLC(包括vWLC)都支持FlexConnect AVC。
|
基础设施
|
WAN Up(中央交换) |
WAN Up(本地交换) |
WAN关闭(独立) |
被动客户端 |
不 |
是的 |
是的 |
代理ARP |
是(8.0)(8.3mr1用于波2 AP) |
是(8.0)(第2波AP为8.3mr1) |
是(8.0)(8.3mr1用于波2 AP) |
系统日志 |
是的 |
是的 |
是的 |
CDP公司 |
是的 |
是的 |
是的 |
客户端链接 |
是的 |
是的 |
是的(2) |
负载平衡(3) |
是(7.4) |
是(7.4) |
不 |
波段选择 |
是的 |
是的 |
不 |
AP图像预下载 |
是的 |
是的 |
不 |
FlexConnect Smart AP图像升级 |
是的 |
是的 |
是的(1) |
AP Regularity域更新(智利) |
是的 |
是的 |
是的 |
VLAN池/Mcast Optim。 |
是的 |
不适用 |
不适用 |
网眼布-24回程 |
不适用 |
不适用 |
不适用 |
Cisco WGB支持 |
是的 |
是(7.3)(波2 APS为否) |
是(7.3)(波2 APS为否) |
第三方WGB支持 |
是的 |
是的 |
是的 |
Web身份验证代理 |
是的 |
是的 |
不 |
FlexConnect AP组增加 |
是的 |
是的 |
是的 |
客户端容错 |
不适用 |
是的 |
不适用 |
DHCP选项60 |
是的 |
是的 |
是的 |
DFS/8.11h |
是的 |
是的 |
是的 |
AP组VLAN |
是的 |
不适用 |
不适用 |
通过FlexGroups的Vlan映射 |
是的 |
是的 |
是的 |
基于vlan的中央交换 |
是(wave2接入点为8.5,IOS接入点为7.3) |
不适用 |
不适用 |
AP LAG公司 |
是(8.8) |
是(8.8) |
是(8.8) |
Flex AP不支持被动客户端功能。然而,AP在FlexConnect上默认不执行代理ARP(这是被动客户端功能的一部分)。相反,在8.0版及更高版本中,代理ARP被添加为FlexConnect AP的一项功能。
(1)如果主要AP已升级,并且成员AP已更新其主要AP,则提供此选项。
(2)仅在第二代11n AP和更高版本(1600、2600、3600等)上。
(3)FlexConnect AP与本地模式AP一样,不会发送状态为17的关联响应以进行负载平衡;相反,他们首先发送(重新)关联响应,状态为0(成功),然后发送deauth,原因为5。这发生在AP本地处理关联并且在WLC处做出负载平衡决策时。
|
移动/漫游场景
无线局域网 配置 |
本地切换 |
中央交换机 |
CCKM公司 |
PMK(OKC) |
其他 |
CCKM公司 |
PMK(OKC) |
其他 |
同一Flex组之间的移动性 |
快速漫游(1) |
快速漫游(1) |
完全授权(1) |
快速漫游 |
快速漫游 |
完全授权 |
不同Flex组之间的移动性 |
完全授权 |
快速漫游 |
完全授权 |
完全授权 |
快速漫游 |
完全授权 |
控制器间移动性 |
不适用 |
不适用 |
不适用 |
完全授权 |
快速漫游 |
完全授权 |
(1)提供的WLAN映射到同一VLAN(同一子网)。如果WLAN映射到不同的子网,则不会发生快速漫游,因为客户端必须获得新的IP地址。
|
注释:FT/802.11r快速漫游还要求AP位于同一FlexGroup中。只有发生在WLC级别的WPA2 OKC才能允许AP位于不同的FlexConnect组中进行快速漫游。
注释:为了通过集中式身份验证、授权和记帐(AAA)服务器(如Cisco Identity Services Engine(ISE)或ACS)支持集中式访问控制,可以使用AAA Override属性为每个客户端配置IPv6 ACL。为了使用此功能,必须在控制器上配置IPv6 ACL,并且必须在配置WLAN时启用AAA覆盖功能。IPv6 ACL的AAA属性为Airespace-IPv6-ACL名称,类似于Airespace-ACL名称用于提供基于IPv4的ACL的属性。AAA属性返回的内容必须是一个字符串,该字符串等于控制器上配置的IPv6 ACL的名称。
相关信息