设为首页收藏本站
开启辅助访问
了解AireOS的FlexConnect功能矩阵 您所在的位置:网站首页 签证acl 了解AireOS的FlexConnect功能矩阵

了解AireOS的FlexConnect功能矩阵

2023-09-13 06:20| 来源: 网络整理| 查看: 265

简介

本文档介绍了无线局域网控制器 (WLC) 上 FlexConnect 的功能表。

先决条件 要求

Cisco 建议您了解以下主题:

无线接入点控制和调配 (CAPWAP) 协议 配置轻型无线接入点 (AP) 和思科 WLC 使用的组件

本文档的信息基于 CUWN 版本 7.0.116.0 及更高版本。本文档已根据版本 8.8 更新。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

背景信息  FlexConnect

FlexConnect 是适用于分支机构和远程办公室部署的无线解决方案。利用该解决方案,可通过广域网链路在公司总部配置和控制分支机构或远程办公室内的 AP,而无需在每个办公室部署一台控制器。FlexConnect AP 可以在本地交换客户端数据流量,并在本地执行客户端身份验证。当连接到控制器后,它们也能将流量发送回控制器。仅以下组件上支持 FlexConnect :

700、1130AG、1140、1240AG,1250、1700、1810、1815、1830、1840、1850,AP801、1600、1700、2600、2700、2800、3500I,3500E,3600、3700、3800、1040、1520、1530, 1550、1560、1570 和 1260 AP Cisco Flex 8500 和 7500、Cisco 5500、3504、vWLC 和 2500 系列控制器 Catalyst 3750G 集成式 WLC 交换机 Cisco WiSM 和 WiSM2 集成多业务路由器的控制器网络模块

当无法为远程办公室维持最低 128 kb/s 的带宽和不超过 100 毫秒的往返延迟时,FlexConnect 的本地身份验证功能非常有用。无论使用什么功能,FlexConnect 的最大允许延迟为 300 毫秒。

下一部分概述 FlexConnect 功能表。

注意:802之前的11n AP(例如1130或1240)仍受后续代码支持。但是,自版本7.3起,这些AP不接收新功能。因此,这些AP不支持版本7.3之后显示的FlexConnect功能。同样,第一代802.11n AP没有8.1功能集的任何FlexConnect功能,即使他们能够加入这样的WLC。请参阅版本说明了解更多信息。

注意:本文档涵盖802.11ac wave 2 AP和Catalyst AP,取代了此仅重点介绍AireOS版本的矩阵:https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html

FlexConnect 功能表 - 软件版本 7.0.116 及更高版本中的新旧功能 安全 - 客户端

FlexConnect 上的安全支持因模式和状态而异。下表总结了支持的安全功能:

WAN 连接(中心交换) WAN 连接(本地交换) WAN 连接(本地交换、本地身份验证) WAN 中断(独立) 开放/静态 WEP Yes Yes Yes Yes WPA-PSK Yes Yes Yes Yes 802.1x (WPA/WPA2) Yes Yes Yes Yes MAC 过滤身份验证 Yes Yes 无 无 CCKM 快速漫游 Yes Yes 无 是(连接的客户端)。否(新客户端)。 安全 - 基础设施 WAN 连接(中心交换) WAN 连接(本地交换) WAN 中断(独立) 数据 DTLS 加密 Yes 不适用 不适用 本地 EAP(7.0 至 7.4) 是 (LEAP/EAP-FAST) 是 (LEAP/EAP-FAST) 是 (LEAP/EAP-FAST) 本地 EAP(7.5 及更高版本) 是 (LEAP/EAP-FAST/PEAP/EAP-TLS) 是 (LEAP/EAP-FAST/PEAP/EAP-TLS) 是 (LEAP/EAP-FAST/PEAP/EAP-TLS) 备份 Radius 是 (7.0.116) 是 (7.0.116) Yes MIC Yes Yes 不适用 安全

FlexConnect 上的安全支持因模式和状态而异。下表总结了 WLC 版本 7.0.116.0 及更高版本支持的新旧安全功能:

WAN 连接(中心交换) WAN 连接(本地交换) WAN 连接(本地交换、本地身份验证) WAN 中断(独立) 自适应无线入侵防御系统 (aWIPS) Yes Yes Yes 无 非法接入和入侵检测 (IDS) Yes Yes Yes 无 管理帧保护(MFP,客户端、基础设施) Yes 是(Wave 2 AP 不支持) 是(Wave 2 AP 不支持) 无 802.11w MFP 是 (7.5) 是 (7.5) 是 (7.5) 是 (7.5) (802.11r) 快速过渡 Yes Yes 无 无 自签证书 (SSC) Yes Yes Yes 不适用 恶意位置发现协议 (RLDP) 能够工作,取决于跳数、WAN速度 能否正常工作,取决于跳数、广域网速度(第2波AP不支持) 能否正常工作,取决于跳数、广域网速度(第2波AP不支持) 无 机会密钥缓存 (OKC) 快速漫游 Yes Yes Yes 否(1) FlexConnect 本地身份验证 不适用 Yes Yes Yes

Ipv4 AAA 覆盖

Yes Yes

Yes

Yes

Ipv6 AAA 覆盖

Yes 是(5)

是(5)

是(5)

每个 FlexGroup 的 AAA VLAN 分配(带 VLAN 名称)

不适用 是 (8.1) 是 (8.1) 是 (8.1) 静态 ACL Yes 是(2)无 是(2)无 是(2)无 每用户 Radius ACL(4) 是 (7.5) 是 (7.5) 是 (7.5) 无 L2 ACL 是 (7.5) 是 (7.5) 是 (7.5) 是 (7.5) DNS ACL 是 (7.6) 无 无 无 P2P 拦截 Yes Yes Yes Yes 网状 LSC 不适用 不适用 不适用 不适用 自带设备/ISE (BYOD) Yes 是 (7.2.110.0)

无 邻居数据包的 PCI 合规性 Yes Yes Yes 无 俄罗斯 DTLS 支持 Yes 不适用 无 无 wIPS 增强型本地模式 (ELM) Yes Yes Yes 无 限制每个 WLAN 的客户端数量 Yes 是(3) Yes 无 限制每射频的客户端数量 Yes Yes Yes Yes 客户端排除政策 Yes 是(3) Yes 无 Radius NAC Yes Yes 无 无 AP 级别的 TrustSec SXP 是 (8.4) 是 (8.4) 是 (8.4) 是 (8.4) WLC 上的 TrustSec SXP 是 (8.3) 是 (8.3) 是 (8.3) 是 (8.3) 身份 PSK 是 (8.5) 是 (8.5) 无 是 (8.5) 身份 PSK(带 P2P 阻止功能) 是 (8.8) 是 (8.8) 无 无 AAA 实施的策略和配额管理 是 (8.8) 是(包括Flex +网桥)(8.8) 无 无

(1)对于在连接模式下具有关联的客户端为“是”。(2)必须使用FlexConnect访问控制列表(ACL)。请注意,AP 原生 VLAN 不支持 Flex ACL。(3)限制/排除由WLC完成,这样客户端在成功关联响应后即被取消授权。

(4)请注意,FlexConnect 上的每用户 ACL 不会覆盖 Flex AP 上的 VLAN ACL,但会覆盖本地模式 AP 上的 WLAN ACL。如果推送每个用户ACL和在flex组上配置AAA-VLAN ACL,则两者都会生效。

(5)使用 FlexConnect 本地交换时,组播仅转发到 SSID 映射到的 VLAN,而不会转发到任何被覆盖的 VLAN。因此,IPv6 无法按预期工作,因为组播流量转发自不正确的 VLAN。因此,使用 IPv6 进行本地交换时不支持 VLAN 分配

注:在任何指定点,AP最多有16个VLAN。首先,根据 AP 配置 (WLAN-VLAN) 选择 VLAN,然后按 FlexConnect 组中配置或显示的顺序从 FlexConnect 组推送剩余的 VLAN。如果 VLAN 插槽已满,则会显示错误消息。

语音与视频

下表列出了 WLC 版本 7.0.116.0 及更高版本(含 FlexConnect)支持的新旧语音和视频服务:

WAN 连接(中心交换)100 毫秒 RTT WAN 连接(本地交换)100 毫秒 RTT WAN 中断(独立) 语音 是,RTT 为 100毫秒 是,RTT 为 100毫秒 是,RTT 为 100毫秒 是,RTT 900毫秒(使用 CCKM 和 OKC) 是,RTT 900毫秒(使用 CCKM 和 OKC) QoS 标记(1) Yes Yes Yes QoS 每用户带宽合同 是 (7.4) 是 (7.5) 无 UAPSD Yes Yes Yes 语音诊断 Yes Yes 无 语音指标 Yes Yes 无 TSPEC /呼叫准入控制 (CAC) 是 - 非 CCX 是 - 非 CCX 无 是 - CCX(2) 是 - CCX(2)

(1)包括两个 DSCP/dot1p 标记。(2) WLC 上的 CAC,漫游失败时取消授权。

服务

下表列出了 WLC 版本 7.0.116.0 及更高版本(含 FlexConnect)支持的新旧服务:

WAN 连接(中心交换) WAN 连接(本地交换) WAN 连接(本地交换、本地身份验证) WAN 中断(独立) 内部 Web 身份验证 Yes Yes 无 不适用 外部 Web 身份验证 是 (7.2.110.0) 是 (7.2.110.0) 无 不适用 CleanAir(3500 上的 SI) Yes Yes Yes  不适用 组播-单播(视频流) 是(7500、8500 和 vWLC 除外) 是 (8.0)(Wave 2 AP 不支持) 是 (8.0)(Wave 2 AP 不支持) 是 (8.0)(Wave 2 AP 不支持) 位置 是(有带宽/规模限制) 是(有带宽/规模限制) 是(有带宽/规模限制)  不适用 射频资源管理 Yes Yes Yes 无 NG RRM - 射频静态分组 是(1) 是(1) Yes 无 SE Connect(Cleanair 更新) Yes Yes Yes 否(2) S60 增强功能 Yes Yes Yes  无 分析 Yes 是(如果启用中央 DHCP 处理) 是(如果启用中央 DHCP 处理) 无 AVC3 是 (7.4) 是 (8.1) 是 (8.1) 无 Bonjour 网关 Yes 无 无 无 mDNS AP Yes 无 无 无 LSS Yes 无 无 无 源服务 Yes 无 无 无 优先级 MAC Yes 无 无 无 Bonjour 浏览器 Yes 无 无 无 Flex+Bridge 模式 是(版本 8.0,Wave 2 为 8.8) 是(版本 8.0,Wave 2 为 8.8) 是(版本 8.0,Wave 2 为 8.8) 是(版本 8.0,Wave 2 为 8.8)

(1)任何 RRM 特定要求适用(TPC 至少需要 4 个 AP)。(2)从WLC断开连接后为独立模式,为重启模式,为否模式。

(3)除 2504 之外的所有 WLC(包括 vWLC)均支持 FlexConnect AVC。

基础设施 WAN 连接(中心交换) WAN 连接(本地交换) WAN 中断(独立) 被动客户端 无 Yes Yes 代理 ARP 是(8.0,Wave 2 AP 软件版本为 8.3mr1) 是(8.0,Wave 2 AP 软件版本为 8.3mr1) 是(8.0,Wave 2 AP 软件版本为 8.3mr1) 系统日志 Yes Yes Yes CDP Yes Yes Yes 客户端链路 Yes Yes 是(2) 负载平衡(3) 是 (7.4) 是 (7.4) 无 频段选择 Yes Yes 无 AP 映像预下载 Yes Yes 无 FlexConnect 智能 AP 映像升级 Yes Yes 是(1) AP 规则域更新(智利) Yes Yes Yes VLAN 池/组播优化 Yes 不适用 不适用 网状网 - 24 回程 不适用 不适用 不适用 Cisco WGB 支持  Yes 是 (7.3)(Wave 2 AP 不支持) 是 (7.3)(Wave 2 AP 不支持) 第三方 WGB 支持 Yes Yes Yes Web 身份验证代理 Yes Yes 无 FlexConnect AP 组增加 Yes Yes Yes 客户容错能力 不适用 Yes 不适用 DHCP 选项 60 Yes Yes Yes DFS/802.11h Yes Yes Yes AP 组 VLAN Yes 不适用 不适用 通过 FlexGroup 映射 VLAN Yes Yes Yes 基于 VLAN 的中心交换 是(Wave2 AP 版本为 8.5,IOS AP 为 7.3)  不适用 不适用 AP LAG 是 (8.8) 是 (8.8) 是 (8.8)

Flex AP 不支持被动客户端功能。但是,默认情况下,AP 在 FlexConnect 上不支持代理 ARP(这是被动客户端功能的一部分)。相反,代理 ARP 在 8.0 及更高版本中添加成为 FlexConnect AP 功能。

(1)如果主AP已升级,并且成员AP已使用其主AP进行更新,则提供。

(2)仅适用于第二代 11n 及更高版本的 AP(1600、2600、3600 等)。

(3)FlexConnect AP不会像本地模式AP一样,发送(重新)状态为17的关联响应以进行负载均衡;相反,它们首先发送(重新)状态为0(成功)的关联响应,然后取消验证原因5。当AP在本地处理关联并在WLC上做出负载均衡决策时,会发生这种情况。

移动/漫游场景 WLAN配置 本地交换 中心交换 CCKM PMK (OKC) 其他 CCKM PMK (OKC) 其他 同一 Flex 组之间的移动性 快速漫游(1) 快速漫游(1) 完整身份验证(1) 快速漫游 快速漫游 完整身份验证 不同 Flex 组之间的移动性 完整身份验证 快速漫游 完整身份验证 完整身份验证 快速漫游 完整身份验证 控制器间的移动性 不适用 不适用 不适用 完整身份验证 快速漫游 完整身份验证

(1)前提是 WLAN 映射到同一 VLAN(同一子网)。如果WLAN映射到不同的子网,则不会发生快速漫游,因为客户端必须获取新的IP地址。

注:FT/802.11r快速漫游还要求AP位于同一FlexGroup中。只有WPA2 OKC(发生在WLC级别)可以允许AP位于不同的FlexConnect组中以实现快速漫游。

注意:为了通过集中式身份验证、授权和记帐(AAA)服务器(例如思科身份服务引擎(ISE)或ACS)支持集中式访问控制,可以使用AAA覆盖属性按客户端调配IPv6 ACL。要使用此功能,必须在控制器上配置 IPv6 ACL,并且必须在启用 AAA 覆盖功能的情况下配置 WLAN。IPv6 ACL 的 AAA 属性是 Airespace-IPv6-ACL-Name,跟用来调配 IPv4 ACL 的 Airespace-ACL-Name 属性类似。AAA属性返回的内容必须是与IPv6 ACL名称相同的字符串,如控制器上所配置。

相关信息 H-Reap 设计和部署指南 混合远程边缘接入点 (H-REAP) 基本故障排除 技术支持和文档 - Cisco Systems


【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有