简介
本文档介绍了无线局域网控制器 (WLC) 上 FlexConnect 的功能表。
先决条件
要求
Cisco 建议您了解以下主题:
- 无线接入点控制和调配 (CAPWAP) 协议
- 配置轻型无线接入点 (AP) 和思科 WLC
使用的组件
本文档的信息基于 CUWN 版本 7.0.116.0 及更高版本。本文档已根据版本 8.8 更新。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
FlexConnect
FlexConnect 是适用于分支机构和远程办公室部署的无线解决方案。利用该解决方案,可通过广域网链路在公司总部配置和控制分支机构或远程办公室内的 AP,而无需在每个办公室部署一台控制器。FlexConnect AP 可以在本地交换客户端数据流量,并在本地执行客户端身份验证。当连接到控制器后,它们也能将流量发送回控制器。仅以下组件上支持 FlexConnect :
- 700、1130AG、1140、1240AG,1250、1700、1810、1815、1830、1840、1850,AP801、1600、1700、2600、2700、2800、3500I,3500E,3600、3700、3800、1040、1520、1530, 1550、1560、1570 和 1260 AP
- Cisco Flex 8500 和 7500、Cisco 5500、3504、vWLC 和 2500 系列控制器
- Catalyst 3750G 集成式 WLC 交换机
- Cisco WiSM 和 WiSM2
- 集成多业务路由器的控制器网络模块
当无法为远程办公室维持最低 128 kb/s 的带宽和不超过 100 毫秒的往返延迟时,FlexConnect 的本地身份验证功能非常有用。无论使用什么功能,FlexConnect 的最大允许延迟为 300 毫秒。
下一部分概述 FlexConnect 功能表。
注意:802之前的11n AP(例如1130或1240)仍受后续代码支持。但是,自版本7.3起,这些AP不接收新功能。因此,这些AP不支持版本7.3之后显示的FlexConnect功能。同样,第一代802.11n AP没有8.1功能集的任何FlexConnect功能,即使他们能够加入这样的WLC。请参阅版本说明了解更多信息。
注意:本文档涵盖802.11ac wave 2 AP和Catalyst AP,取代了此仅重点介绍AireOS版本的矩阵:https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html
FlexConnect 功能表 - 软件版本 7.0.116 及更高版本中的新旧功能
安全 - 客户端
FlexConnect 上的安全支持因模式和状态而异。下表总结了支持的安全功能:
|
|
WAN 连接(中心交换) |
WAN 连接(本地交换) |
WAN 连接(本地交换、本地身份验证) |
WAN 中断(独立) |
| 开放/静态 WEP |
Yes |
Yes |
Yes |
Yes |
| WPA-PSK |
Yes |
Yes |
Yes |
Yes |
| 802.1x (WPA/WPA2) |
Yes |
Yes |
Yes |
Yes |
| MAC 过滤身份验证 |
Yes |
Yes |
无 |
无 |
| CCKM 快速漫游 |
Yes |
Yes |
无 |
是(连接的客户端)。否(新客户端)。 |
安全 - 基础设施
|
|
WAN 连接(中心交换) |
WAN 连接(本地交换) |
WAN 中断(独立) |
| 数据 DTLS 加密 |
Yes |
不适用 |
不适用 |
| 本地 EAP(7.0 至 7.4) |
是 (LEAP/EAP-FAST) |
是 (LEAP/EAP-FAST) |
是 (LEAP/EAP-FAST) |
| 本地 EAP(7.5 及更高版本) |
是 (LEAP/EAP-FAST/PEAP/EAP-TLS) |
是 (LEAP/EAP-FAST/PEAP/EAP-TLS) |
是 (LEAP/EAP-FAST/PEAP/EAP-TLS) |
| 备份 Radius |
是 (7.0.116) |
是 (7.0.116) |
Yes |
| MIC |
Yes |
Yes |
不适用 |
安全
FlexConnect 上的安全支持因模式和状态而异。下表总结了 WLC 版本 7.0.116.0 及更高版本支持的新旧安全功能:
|
|
WAN 连接(中心交换) |
WAN 连接(本地交换) |
WAN 连接(本地交换、本地身份验证) |
WAN 中断(独立) |
| 自适应无线入侵防御系统 (aWIPS) |
Yes |
Yes |
Yes |
无 |
| 非法接入和入侵检测 (IDS) |
Yes |
Yes |
Yes |
无 |
| 管理帧保护(MFP,客户端、基础设施) |
Yes |
是(Wave 2 AP 不支持) |
是(Wave 2 AP 不支持) |
无 |
| 802.11w MFP |
是 (7.5) |
是 (7.5) |
是 (7.5) |
是 (7.5) |
| (802.11r) 快速过渡 |
Yes |
Yes |
无 |
无 |
| 自签证书 (SSC) |
Yes |
Yes |
Yes |
不适用 |
| 恶意位置发现协议 (RLDP) |
能够工作,取决于跳数、WAN速度 |
能否正常工作,取决于跳数、广域网速度(第2波AP不支持) |
能否正常工作,取决于跳数、广域网速度(第2波AP不支持) |
无 |
| 机会密钥缓存 (OKC) 快速漫游 |
Yes |
Yes |
Yes |
否(1) |
| FlexConnect 本地身份验证 |
不适用 |
Yes |
Yes |
Yes |
| Ipv4 AAA 覆盖 |
Yes |
Yes |
Yes |
Yes |
| Ipv6 AAA 覆盖 |
Yes |
是(5) |
是(5) |
是(5) |
| 每个 FlexGroup 的 AAA VLAN 分配(带 VLAN 名称) |
不适用 |
是 (8.1) |
是 (8.1) |
是 (8.1) |
| 静态 ACL |
Yes |
是(2)
无 |
是(2)
无 |
是(2)
无 |
| 每用户 Radius ACL(4) |
是 (7.5) |
是 (7.5) |
是 (7.5) |
无 |
| L2 ACL |
是 (7.5) |
是 (7.5) |
是 (7.5) |
是 (7.5) |
| DNS ACL |
是 (7.6) |
无 |
无 |
无 |
| P2P 拦截 |
Yes |
Yes |
Yes |
Yes |
| 网状 LSC |
不适用 |
不适用 |
不适用 |
不适用 |
| 自带设备/ISE (BYOD) |
Yes |
是 (7.2.110.0) |
无 |
无 |
| 邻居数据包的 PCI 合规性 |
Yes |
Yes |
Yes |
无 |
| 俄罗斯 DTLS 支持 |
Yes |
不适用 |
无 |
无 |
| wIPS 增强型本地模式 (ELM) |
Yes |
Yes |
Yes |
无 |
| 限制每个 WLAN 的客户端数量 |
Yes |
是(3) |
Yes |
无 |
| 限制每射频的客户端数量 |
Yes |
Yes |
Yes |
Yes |
| 客户端排除政策 |
Yes |
是(3) |
Yes |
无 |
| Radius NAC |
Yes |
Yes |
无 |
无 |
| AP 级别的 TrustSec SXP |
是 (8.4) |
是 (8.4) |
是 (8.4) |
是 (8.4) |
| WLC 上的 TrustSec SXP |
是 (8.3) |
是 (8.3) |
是 (8.3) |
是 (8.3) |
| 身份 PSK |
是 (8.5) |
是 (8.5) |
无 |
是 (8.5) |
| 身份 PSK(带 P2P 阻止功能) |
是 (8.8) |
是 (8.8) |
无 |
无 |
| AAA 实施的策略和配额管理 |
是 (8.8) |
是(包括Flex +网桥)(8.8) |
无 |
无 |
| (1)对于在连接模式下具有关联的客户端为“是”。
(2)必须使用FlexConnect访问控制列表(ACL)。请注意,AP 原生 VLAN 不支持 Flex ACL。
(3)限制/排除由WLC完成,这样客户端在成功关联响应后即被取消授权。 (4)请注意,FlexConnect 上的每用户 ACL 不会覆盖 Flex AP 上的 VLAN ACL,但会覆盖本地模式 AP 上的 WLAN ACL。如果推送每个用户ACL和在flex组上配置AAA-VLAN ACL,则两者都会生效。 (5)使用 FlexConnect 本地交换时,组播仅转发到 SSID 映射到的 VLAN,而不会转发到任何被覆盖的 VLAN。因此,IPv6 无法按预期工作,因为组播流量转发自不正确的 VLAN。因此,使用 IPv6 进行本地交换时不支持 VLAN 分配 |
注:在任何指定点,AP最多有16个VLAN。首先,根据 AP 配置 (WLAN-VLAN) 选择 VLAN,然后按 FlexConnect 组中配置或显示的顺序从 FlexConnect 组推送剩余的 VLAN。如果 VLAN 插槽已满,则会显示错误消息。
语音与视频
下表列出了 WLC 版本 7.0.116.0 及更高版本(含 FlexConnect)支持的新旧语音和视频服务:
|
|
WAN 连接(中心交换)100 毫秒 RTT |
WAN 连接(本地交换)100 毫秒 RTT |
WAN 中断(独立) |
| 语音 |
是,RTT 为 100毫秒 |
是,RTT 为 100毫秒 |
是,RTT 为 100毫秒 |
| 是,RTT 900毫秒(使用 CCKM 和 OKC) |
是,RTT 900毫秒(使用 CCKM 和 OKC) |
| QoS 标记(1) |
Yes |
Yes |
Yes |
| QoS 每用户带宽合同 |
是 (7.4) |
是 (7.5) |
无 |
| UAPSD |
Yes |
Yes |
Yes |
| 语音诊断 |
Yes |
Yes |
无 |
| 语音指标 |
Yes |
Yes |
无 |
| TSPEC /呼叫准入控制 (CAC) |
是 - 非 CCX |
是 - 非 CCX |
无 |
| 是 - CCX(2) |
是 - CCX(2) |
| (1)包括两个 DSCP/dot1p 标记。
(2) WLC 上的 CAC,漫游失败时取消授权。 |
服务
下表列出了 WLC 版本 7.0.116.0 及更高版本(含 FlexConnect)支持的新旧服务:
|
|
WAN 连接(中心交换) |
WAN 连接(本地交换) |
WAN 连接(本地交换、本地身份验证) |
WAN 中断(独立) |
| 内部 Web 身份验证 |
Yes |
Yes |
无 |
不适用 |
| 外部 Web 身份验证 |
是 (7.2.110.0) |
是 (7.2.110.0) |
无 |
不适用 |
| CleanAir(3500 上的 SI) |
Yes |
Yes |
Yes |
不适用 |
| 组播-单播(视频流) |
是(7500、8500 和 vWLC 除外) |
是 (8.0)(Wave 2 AP 不支持) |
是 (8.0)(Wave 2 AP 不支持) |
是 (8.0)(Wave 2 AP 不支持) |
| 位置 |
是(有带宽/规模限制) |
是(有带宽/规模限制) |
是(有带宽/规模限制) |
不适用 |
| 射频资源管理 |
Yes |
Yes |
Yes |
无 |
| NG RRM - 射频静态分组 |
是(1) |
是(1) |
Yes |
无 |
| SE Connect(Cleanair 更新) |
Yes |
Yes |
Yes |
否(2) |
| S60 增强功能 |
Yes |
Yes |
Yes |
无 |
| 分析 |
Yes |
是(如果启用中央 DHCP 处理) |
是(如果启用中央 DHCP 处理) |
无 |
| AVC3 |
是 (7.4) |
是 (8.1) |
是 (8.1) |
无 |
| Bonjour 网关 |
Yes |
无 |
无 |
无 |
| mDNS AP |
Yes |
无 |
无 |
无 |
| LSS |
Yes |
无 |
无 |
无 |
| 源服务 |
Yes |
无 |
无 |
无 |
| 优先级 MAC |
Yes |
无 |
无 |
无 |
| Bonjour 浏览器 |
Yes |
无 |
无 |
无 |
| Flex+Bridge 模式 |
是(版本 8.0,Wave 2 为 8.8) |
是(版本 8.0,Wave 2 为 8.8) |
是(版本 8.0,Wave 2 为 8.8) |
是(版本 8.0,Wave 2 为 8.8) |
| (1)任何 RRM 特定要求适用(TPC 至少需要 4 个 AP)。
(2)从WLC断开连接后为独立模式,为重启模式,为否模式。 (3)除 2504 之外的所有 WLC(包括 vWLC)均支持 FlexConnect AVC。 |
基础设施
|
|
WAN 连接(中心交换) |
WAN 连接(本地交换) |
WAN 中断(独立) |
| 被动客户端 |
无 |
Yes |
Yes |
| 代理 ARP |
是(8.0,Wave 2 AP 软件版本为 8.3mr1) |
是(8.0,Wave 2 AP 软件版本为 8.3mr1) |
是(8.0,Wave 2 AP 软件版本为 8.3mr1) |
| 系统日志 |
Yes |
Yes |
Yes |
| CDP |
Yes |
Yes |
Yes |
| 客户端链路 |
Yes |
Yes |
是(2) |
| 负载平衡(3) |
是 (7.4) |
是 (7.4) |
无 |
| 频段选择 |
Yes |
Yes |
无 |
| AP 映像预下载 |
Yes |
Yes |
无 |
| FlexConnect 智能 AP 映像升级 |
Yes |
Yes |
是(1) |
| AP 规则域更新(智利) |
Yes |
Yes |
Yes |
| VLAN 池/组播优化 |
Yes |
不适用 |
不适用 |
| 网状网 - 24 回程 |
不适用 |
不适用 |
不适用 |
| Cisco WGB 支持 |
Yes |
是 (7.3)(Wave 2 AP 不支持) |
是 (7.3)(Wave 2 AP 不支持) |
| 第三方 WGB 支持 |
Yes |
Yes |
Yes |
| Web 身份验证代理 |
Yes |
Yes |
无 |
| FlexConnect AP 组增加 |
Yes |
Yes |
Yes |
| 客户容错能力 |
不适用 |
Yes |
不适用 |
| DHCP 选项 60 |
Yes |
Yes |
Yes |
| DFS/802.11h |
Yes |
Yes |
Yes |
| AP 组 VLAN |
Yes |
不适用 |
不适用 |
| 通过 FlexGroup 映射 VLAN |
Yes |
Yes |
Yes |
| 基于 VLAN 的中心交换 |
是(Wave2 AP 版本为 8.5,IOS AP 为 7.3) |
不适用 |
不适用 |
| AP LAG |
是 (8.8) |
是 (8.8) |
是 (8.8) |
| Flex AP 不支持被动客户端功能。但是,默认情况下,AP 在 FlexConnect 上不支持代理 ARP(这是被动客户端功能的一部分)。相反,代理 ARP 在 8.0 及更高版本中添加成为 FlexConnect AP 功能。 (1)如果主AP已升级,并且成员AP已使用其主AP进行更新,则提供。
(2)仅适用于第二代 11n 及更高版本的 AP(1600、2600、3600 等)。 (3)FlexConnect AP不会像本地模式AP一样,发送(重新)状态为17的关联响应以进行负载均衡;相反,它们首先发送(重新)状态为0(成功)的关联响应,然后取消验证原因5。当AP在本地处理关联并在WLC上做出负载均衡决策时,会发生这种情况。 |
移动/漫游场景
WLAN
配置 |
本地交换 |
中心交换 |
| CCKM |
PMK (OKC) |
其他 |
CCKM |
PMK (OKC) |
其他 |
| 同一 Flex 组之间的移动性 |
快速漫游(1) |
快速漫游(1) |
完整身份验证(1) |
快速漫游 |
快速漫游 |
完整身份验证 |
| 不同 Flex 组之间的移动性 |
完整身份验证 |
快速漫游 |
完整身份验证 |
完整身份验证 |
快速漫游 |
完整身份验证 |
| 控制器间的移动性 |
不适用 |
不适用 |
不适用 |
完整身份验证 |
快速漫游 |
完整身份验证 |
| (1)前提是 WLAN 映射到同一 VLAN(同一子网)。如果WLAN映射到不同的子网,则不会发生快速漫游,因为客户端必须获取新的IP地址。 |
注:FT/802.11r快速漫游还要求AP位于同一FlexGroup中。只有WPA2 OKC(发生在WLC级别)可以允许AP位于不同的FlexConnect组中以实现快速漫游。
注意:为了通过集中式身份验证、授权和记帐(AAA)服务器(例如思科身份服务引擎(ISE)或ACS)支持集中式访问控制,可以使用AAA覆盖属性按客户端调配IPv6 ACL。要使用此功能,必须在控制器上配置 IPv6 ACL,并且必须在启用 AAA 覆盖功能的情况下配置 WLAN。IPv6 ACL 的 AAA 属性是 Airespace-IPv6-ACL-Name,跟用来调配 IPv4 ACL 的 Airespace-ACL-Name 属性类似。AAA属性返回的内容必须是与IPv6 ACL名称相同的字符串,如控制器上所配置。
相关信息
反馈