簡介
本文件說明無線 LAN 控制器 (WLC) 之 FlexConnect 功能的對照表。
必要條件
需求
思科建議您瞭解以下主題:
- 無線存取點(CAPWAP)通訊協定的控制與布建
- 輕量型存取點(AP)和Cisco WLC的組態
採用元件
本檔案中的資訊是根據CUWN版本7.0.116.0及更新版本。本文已用8.8版更新
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
FlexConnect
FlexConnect是適用於分支機構和遠端辦公室部署的無線解決方案。它使您能夠通過WAN鏈路從公司辦公室配置和控制分支機構或遠端辦公室中的AP,而無需在每個辦公室部署控制器。FlexConnect AP可以在本地交換客戶端資料流量並在本地執行客戶端身份驗證。連線到控制器時,它們也會將流量傳送回控制器。FlexConnect僅在以下元件上受支援:
- 700、1130AG、1140、1240AG、1250、1700、1810、1815、1830、1840、1850、AP801、1600、1700、2600、2700、2800、3500I、3500 e、3600、3700、3800、1040、1520、1530、1550、1560、1570和1260 AP
- Cisco Flex 8500和7500、Cisco 5500、3504、vWLC和2500系列控制器
- Catalyst 3750G整合式WLC交換器
- Cisco WiSM和WiSM2
- 適用於整合式服務路由器的控制器網路模組
FlexConnect本地身份驗證在您無法維持最低頻寬為128 kb/s、往返延遲不超過100毫秒的遠端辦公室設定時非常有用。無論使用何種功能,FlexConnect的最大容許延遲為300毫秒。
下一節將概述FlexConnect功能表。
註:802之前的11n AP(如1130或1240)仍受後續代碼支援。但是,自版本7.3起,這些AP不會接收新功能。因此,這些AP不支援7.3版之後顯示的FlexConnect功能。同樣地,第一代802.11n AP沒有8.1功能集的任何一個FlexConnect功能,即使他們能夠加入這樣的WLC。有關詳細資訊,請參閱發行說明。
註意:本文檔涵蓋802.11ac wave 2 AP和Catalyst AP,取代此僅關注AireOS版本的矩陣:https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html
FlexConnect功能表 — 7.0.116版及更高版本中的傳統功能和新功能
安全 — 客戶端
FlexConnect上的安全支援因不同的模式和狀態而異。下表總結了支援的安全功能:
|
|
WAN Up(中央交換) |
WAN Up(本地交換) |
WAN Up(本地交換、本地身份驗證) |
WAN故障(獨立) |
| 開放/靜態WEP |
是 |
是 |
是 |
是 |
| WPA-PSK |
是 |
是 |
是 |
是 |
| 802.1x(WPA/WPA2) |
是 |
是 |
是 |
是 |
| MAC過濾器身份驗證 |
是 |
是 |
否 |
否 |
| CCKM快速漫遊 |
是 |
是 |
否 |
是,對於連線的客戶端。不,對於新客戶。 |
安全 — 基礎設施
|
|
WAN Up(中央交換) |
WAN Up(本地交換) |
WAN故障(獨立) |
| 資料DTLS加密 |
是 |
不適用 |
不適用 |
| 本地EAP(7.0到7.4) |
是(LEAP/EAP-FAST) |
是(LEAP/EAP-FAST) |
是(LEAP/EAP-FAST) |
| LocaL EAP(7.5及更高版本) |
是(LEAP/EAP-FAST/PEAP/EAP-TLS) |
是(LEAP/EAP-FAST/PEAP/EAP-TLS) |
是(LEAP/EAP-FAST/PEAP/EAP-TLS) |
| 備份Radius |
是(7.0.116) |
是(7.0.116) |
是 |
| MIC |
是 |
是 |
不適用 |
安全性
FlexConnect上的安全支援因不同的模式和狀態而異。下表總結WLC 7.0.116.0及更新版本支援的傳統和新的安全功能:
|
|
WAN Up(中央交換) |
WAN Up(本地交換) |
WAN Up(本地交換、本地身份驗證) |
WAN故障(獨立) |
| 調適型無線入侵防禦(aWIPS) |
是 |
是 |
是 |
否 |
| 惡意,入侵檢測(IDS) |
是 |
是 |
是 |
否 |
| 管理幀保護(MFP)(客戶端、基礎架構) |
是 |
是(第2波APS為「否」) |
是(第2波APS為「否」) |
否 |
| 802.11w "MFP" |
是(7.5) |
是(7.5) |
是(7.5) |
是(7.5) |
| 802.11r快速過渡 |
是 |
是 |
否 |
否 |
| 自簽名證書(SSC) |
是 |
是 |
是 |
不適用 |
| 無管理系統位置探索通訊協定(RLDP) |
可以工作,取決於跳數、WAN速度 |
可以工作,取決於跳數、WAN速度(對於第2波AP則否) |
可以工作,取決於跳數、WAN速度(第2波AP不支援) |
否 |
| 機會式金鑰快取(OKC)快速漫遊 |
是 |
是 |
是 |
否(1) |
| FlexConnect本地身份驗證 |
不適用 |
是 |
是 |
是 |
| Ipv4 AAA覆寫 |
是 |
是 |
是 |
是 |
| Ipv6 AAA覆蓋 |
是 |
是(5) |
是(5) |
是(5) |
| 每個具有VLAN名稱的FlexGroup的AAA VLAN分配 |
不適用 |
是(8.1) |
是(8.1) |
是(8.1) |
| 靜態ACL |
是 |
是(2)
否 |
是(2)
否 |
是(2)
否 |
| 每使用者RADIUS ACL(4) |
是(7.5) |
是(7.5) |
是(7.5) |
否 |
| L2 ACL |
是(7.5) |
是(7.5) |
是(7.5) |
是(7.5) |
| DNS ACL |
是(7.6) |
否 |
否 |
否 |
| P2P封鎖 |
是 |
是 |
是 |
是 |
| 網狀LSC |
不適用 |
不適用 |
不適用 |
不適用 |
| 自帶裝置/ISE(BYOD) |
是 |
是(7.2.110.0) |
否 |
否 |
| 鄰居資料包的PCI合規性 |
是 |
是 |
是 |
否 |
| 俄羅斯DTLS支援 |
是 |
不適用 |
否 |
否 |
| wIPS增強型本機模式(ELM) |
是 |
是 |
是 |
否 |
| 限制每個WLAN的客戶端 |
是 |
是(3) |
是 |
否 |
| 限制每個無線電的客戶端 |
是 |
是 |
是 |
是 |
| 客戶端排除策略 |
是 |
是(3) |
是 |
否 |
| Radius NAC |
是 |
是 |
否 |
否 |
| AP級別的TrustSec SXP |
是(8.4) |
是(8.4) |
是(8.4) |
是(8.4) |
| WLC上的TrustSec SXP |
是(8.3) |
是(8.3) |
是(8.3) |
是(8.3) |
| 身份PSK |
是(8.5) |
是(8.5) |
否 |
是(8.5) |
| 具有P2P阻止的身份PSK |
是(8.8) |
是(8.8) |
否 |
否 |
| AAA實施的策略和配額管理 |
是(8.8) |
是(包括Flex +網橋)(8.8) |
否 |
否 |
| (1)在Connected mode下具有關聯的客戶端為Yes。
(2)必須使用FlexConnect存取控制清單(ACL)。請注意,AP本徵VLAN不支援彈性ACL!
(3)WLC執行的限制/排除,使客戶端在成功關聯響應後取消授權。 (4)請注意,FlexConnect上的每使用者ACL不會覆蓋flex AP上的VLAN ACL,就像它會覆蓋本地模式AP上的WLAN ACL一樣。如果推送了每個使用者ACL並在彈性組上配置了AAA-VLAN ACL,則兩者都會生效。 (5)通過FlexConnect本地交換,組播僅轉發給SSID對映到的VLAN,而不轉發給任何被覆蓋的VLAN。因此,IPv6無法按預期工作,因為組播流量是從錯誤的VLAN轉發的。因此,使用ipv6的本地交換不支援vlan分配 |
註:在任何指定點,一個AP最多有16個VLAN。首先,根據AP配置(WLAN-VLAN)選擇VLAN,然後按照在FlexConnect組中配置或顯示的順序將剩餘的VLAN從FlexConnect組中推送。如果VLAN插槽已滿,將顯示錯誤消息
語音和影片
下表列出WLC 7.0.116.0版及更高版本與FlexConnect一起支援的舊版和新版語音和影片服務:
|
|
WAN Up(中央交換)100 ms RTT |
WAN Up(本地交換)100 ms RTT |
WAN故障(獨立) |
| 語音 |
是,RTT為100毫秒 |
是,RTT為100毫秒 |
是,RTT為100毫秒 |
| 是,RTT 900 ms(CCKM和OKC) |
是,RTT 900 ms(CCKM和OKC) |
| QoS標記(1) |
是 |
是 |
是 |
| 每使用者QoS頻寬合約 |
是(7.4) |
是(7.5) |
否 |
| UAPSD |
是 |
是 |
是 |
| 語音診斷 |
是 |
是 |
否 |
| 語音指標 |
是 |
是 |
否 |
| TSPEC /通話許可控制(CAC) |
是 — 非CCX |
是 — 非CCX |
否 |
| 是 — CCX(2) |
是 — CCX(2) |
| (1)同時包含DSCP/dot1p標籤。
(2)WLC上的CAC,漫遊失敗時取消授權。 |
服務
下表列出WLC 7.0.116.0版及更新版本支援的FlexConnect舊服務和新服務:
|
|
WAN Up(中央交換) |
WAN Up(本地交換) |
WAN Up(本地交換、本地身份驗證) |
WAN故障(獨立) |
| 內部Webauth |
是 |
是 |
否 |
不適用 |
| 外部Webauth |
是(7.2.110.0) |
是(7.2.110.0) |
否 |
不適用 |
| CleanAir(SI在3500上) |
是 |
是 |
是 |
不適用 |
| 多點傳送 — 單點傳播(視訊流) |
是(7500、8500和vWLC除外) |
是(8.0)(不在第2波AP上) |
是(8.0)(不在第2波AP上) |
是(8.0)(不在第2波AP上) |
| 位置 |
是,具有BW/規模限制 |
是,具有BW/規模限制 |
是,具有BW/規模限制 |
不適用 |
| 無線電資源管理 |
是 |
是 |
是 |
否 |
| NG RRM - RF靜態分組 |
是(1) |
是(1) |
是 |
否 |
| SE連線(Cleanair更新) |
是 |
是 |
是 |
第(2) |
| S60增強功能 |
是 |
是 |
是 |
否 |
| 分析 |
是 |
是(如果已啟用中央DHCP處理) |
是(如果已啟用中央DHCP處理) |
否 |
| AVC3 |
是(7.4) |
是(8.1) |
是(8.1) |
否 |
| Bonjour網關 |
是 |
否 |
否 |
否 |
| mDNS AP |
是 |
否 |
否 |
否 |
| LSS |
是 |
否 |
否 |
否 |
| 基於原點的服務 |
是 |
否 |
否 |
否 |
| 優先順序MAC |
是 |
否 |
否 |
否 |
| Bonjour瀏覽器 |
是 |
否 |
否 |
否 |
| Flex+網橋模式 |
是(對於wave2,為8.0但為8.8) |
是(對於wave2,為8.0但為8.8) |
是(對於wave2,為8.0但為8.8) |
是(對於wave2,為8.0但為8.8) |
| (1)適用任何RRM特定要求(至少為TPC提供4個AP)。
(2)從WLC斷開連線後獨立模式為「是」,但重新啟動後為「否」。 (3)除2504外,所有WLC(包括vWLC)都支援FlexConnect AVC。 |
基礎設施
|
|
WAN Up(中央交換) |
WAN Up(本地交換) |
WAN故障(獨立) |
| 被動使用者端 |
否 |
是 |
是 |
| 代理 ARP |
是(8.0)(第2波AP為8.3mr1) |
是(8.0)(第2波AP為8.3mr1) |
是(8.0)(第2波AP為8.3mr1) |
| 系統日誌 |
是 |
是 |
是 |
| CDP |
是 |
是 |
是 |
| 客戶端連結 |
是 |
是 |
是(2) |
| 負載平衡(3) |
是(7.4) |
是(7.4) |
否 |
| 頻段選擇 |
是 |
是 |
否 |
| AP映像預先下載 |
是 |
是 |
否 |
| FlexConnect智慧AP映像升級 |
是 |
是 |
是(1) |
| AP規範域更新(智利) |
是 |
是 |
是 |
| VLAN池/組播選項。 |
是 |
不適用 |
不適用 |
| 網狀 — 24個回程 |
不適用 |
不適用 |
不適用 |
| Cisco WGB支援 |
是 |
是(7.3)(第2波APS為「否」) |
是(7.3)(第2波APS為「否」) |
| 第三方WGB支援 |
是 |
是 |
是 |
| Web驗證代理 |
是 |
是 |
否 |
| FlexConnect AP組增加 |
是 |
是 |
是 |
| 客戶端容錯 |
不適用 |
是 |
不適用 |
| DHCP選項60 |
是 |
是 |
是 |
| DFS/802.11h |
是 |
是 |
是 |
| AP組VLAN |
是 |
不適用 |
不適用 |
| 通過FlexGroups的VLAN對映 |
是 |
是 |
是 |
| 基於VLAN的集中交換 |
是(Wave2 AP為8.5,IOS AP為7.3) |
不適用 |
不適用 |
| AP LAG |
是(8.8) |
是(8.8) |
是(8.8) |
| Flex AP上不支援被動客戶端功能。但是,AP在FlexConnect上預設情況下不代理ARP(這是被動客戶端功能的一部分)。相反,在8.0及更新版本中,代理ARP作為FlexConnect AP的功能而新增。 (1)如果主用AP已升級,並且成員AP已更新其主用AP,則提供。
(2)僅在第二代11n AP及更高版本(1600、2600、3600等)上。 (3)FlexConnect AP不會像本地模式AP一樣為負載平衡傳送(重新)狀態為17的關聯響應;相反,它們首先傳送(重新)狀態為0(成功)的關聯響應,然後使用原因5取消身份驗證。當AP在本地處理關聯並在WLC上做出負載平衡決策時,會發生這種情況。 |
移動性/漫遊方案
WLAN
組態 |
本地交換 |
中央交換 |
| CCKM |
PMK(OKC) |
其他 |
CCKM |
PMK(OKC) |
其他 |
| 同一彈性群組之間的行動化 |
快速漫遊(1) |
快速漫遊(1) |
完整身份驗證(1) |
快速漫遊 |
快速漫遊 |
完全身份驗證 |
| 不同彈性群組之間的行動化 |
完全身份驗證 |
快速漫遊 |
完全身份驗證 |
完全身份驗證 |
快速漫遊 |
完全身份驗證 |
| 控制器間移動 |
不適用 |
不適用 |
不適用 |
完全身份驗證 |
快速漫遊 |
完全身份驗證 |
| (1)提供的WLAN對映到同一個VLAN(同一子網)。如果WLAN對映到不同的子網,則不會發生快速漫遊,因為客戶端必須獲取新的IP地址。 |
注意:FT/802.11r快速漫遊還要求接入點位於同一個FlexGroup中。只有WPA2 OKC(發生在WLC級別)可以允許AP位於不同的FlexConnect組中以實現快速漫遊。
註:為了通過集中式身份驗證、授權和記帳(AAA)伺服器(例如思科身份服務引擎(ISE)或ACS)支援集中式訪問控制,可以使用AAA覆蓋屬性按客戶端調配IPv6 ACL。若要使用此功能,必須在控制器上設定IPv6 ACL,且必須在啟用AAA覆寫功能的情況下設定WLAN。IPv6 ACL的AAA屬性是Airespace-IPv6-ACL-Name,與用於預配基於IPv4的ACL的Airespace-ACL-Name屬性類似。AAA屬性返回的內容必須是與控制器上配置的IPv6 ACL名稱相同的字串。
相關資訊
意見