Sans fil : Contrôleurs sans fil de la gamme Cisco 5500

Matrice de caractéristique de FlexConnect

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires

Introduction

Ce document décrit la matrice de caractéristique pour la caractéristique de FlexConnect sur le contrôleur LAN Sans fil (WLC). Cette matrice de caractéristique applique à la version 7.0.116 et ultérieures du réseau sans fil unifié Cisco (CUWN).

Remarque: De nouvelles caractéristiques sont ajoutées à FlexConnect avec chaque nouvelle release. Examinez les notes de mise à jour pour les derniers détails.

Remarque: Dans les versions plus tôt que la version 7.2, FlexConnect s'est appelé Hybrid REAP (HREAP). Il est maintenant toujours référé comme Flexconnect.

Contribué par Nicolas Darchis, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Contrôle et ravitaillement de protocole des points d'accès sans fil (CAPWAP)
  • Configuration du Point d'accès léger (aps) et des Cisco WLC

Composants utilisés

Les informations dans ce document sont basées sur des releases 7.0.116.0 CUWN et plus tard. Cet article a été mis à jour avec la version 8.1.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales 

FlexConnect

FlexConnect est une solution Sans fil pour des déploiements de succursale et de bureau de distant. Il te permet de configurer et contrôler des aps dans un bureau de branchement ou de distant de l'entreprise par un lien WAN sans déploiement d'un contrôleur dans chaque bureau. Le FlexConnect aps peut commuter le trafic de données de client localement et exécuter l'authentification client localement. Quand ils sont connectés au contrôleur, ils peuvent également envoyer le trafic de nouveau au contrôleur. FlexConnect est seulement pris en charge sur ces composants :

  • 700, 1130AG, 1140, 1240AG, 1250, 1700, AP801, 1600, 1700, 2600, aps de 2700, 3500I, 3500E, 3600, 3700, 1040, 1520, 1550, et 1260
  • Flexible 8500 et 7500 de Cisco, Cisco 5500, 4400, et contrôleurs de gamme 2500
  • Commutateur intégré par 3750G du Catalyst WLC
  • Cisco WiSM et WiSM2
  • Module réseau de contrôleur pour des Integrated Services Router

L'authentification locale de FlexConnect est utile où vous ne pouvez pas mettre à jour un bureau distant installé avec une bande passante minimale de 128 kb/s et une latence aller-retour sans plus considérablement que 100 ms. La latence tolérée par maximum pour FlexConnect est 300 ms, indépendamment des caractéristiques qui sont utilisées.

La section suivante trace les grandes lignes de la matrice de caractéristique de FlexConnect.

Remarque: Pre-802, 11n aps, tels que 1130 ou 1240, sont encore pris en charge par code postérieur. Cependant, ces aps ne reçoivent pas de nouvelles caractéristiques en date de la version 7.3. Par conséquent, ces aps ne prennent en charge pas les caractéristiques de FlexConnect qui apparaissent après version 7.3. De même, la première génération 802.11n aps n'aura pas les caractéristiques l'unes des de Flexconnect de l'ensemble de caractéristiques 8.1 même si elles peuvent joindre un tel WLC. Référez-vous au pour en savoir plus de notes de mise à jour.

Matrice de caractéristique de FlexConnect - Caractéristiques existantes et nouvelles dans la version 7.0.116 et ultérieures

Sécurité - Client

Le support de Sécurité sur FlexConnect varie avec des modes différents et des états. Cette table récapitule les fonctionnalités de sécurité qui sont prises en charge :

 WAN (commutation centrale)WAN (commutation locale)WAN (commutation locale, authentification locale)WAN vers le bas (autonome)
Ouvrez-vous/WEP statiqueOuiOuiOuiOui
WPA-PSKOuiOuiOuiOui
802.1x (WPA/WPA2)OuiOuiOuiOui
Authentification de filtre d'adresses MACOuiOuiNonNon
CCKM jeûnent itinéranceOuiOuiOuiOui, pour les clients connectés. Non, pour de nouveaux clients.

Sécurité - Infrastructure

 WAN (commutation centrale)WAN (commutation locale)WAN vers le bas (autonome)
Cryptage des données DTLSOuiS/OS/O
EAP local (7.0 7.4)Oui (LEAP/EAP-FAST)Oui (LEAP/EAP-FAST)Oui (LEAP/EAP-FAST)
EAP local (7.5 et plus tard)Oui (LEAP/EAP-FAST/PEAP/EAP-TLS)Oui (LEAP/EAP-FAST/PEAP/EAP-TLS)Oui (LEAP/EAP-FAST/PEAP/EAP-TLS)
Rayon de sauvegardeOui (7.0.116)Oui (7.0.116)Oui
MICOuiOuiSans objet

Sécurité

Le support de Sécurité sur FlexConnect varie avec des modes différents et des états. Cette table récapitule le legs et les nouvelles fonctionnalités de sécurité prises en charge avec WLC libèrent 7.0.116.0 et plus tard :

 WAN (commutation centrale)WAN (commutation locale)WAN (commutation locale, authentification locale)WAN vers le bas (autonome)
Prévention des intrusions Sans fil adaptative (aWIPS)OuiOuiOuiNon
Escroc, détection d'intrusion (ID)OuiOuiOuiNon
Management Frame Protection (MFP) (client, infrastructure)OuiOuiOuiNon
802.11w « MFP »Oui (7.5)Oui (7.5)Oui (7.5)Oui (7.5)
802.11r jeûnent transitionOuiOuiOuiNon
Certificat Auto-signé (SSC)OuiOuiOuiS/O
Discovery Protocol escroc d'emplacement (RLDP)Pourrait fonctionner, dépend des sauts, la vitesse BLÊMEPourrait fonctionner, dépend des sauts, la vitesse BLÊMEPourrait fonctionner, dépend des sauts, la vitesse BLÊMENon
Le Key Caching opportuniste (OKC) rapide errentOuiOuiOuiNo(1)
Gens du pays de FlexConnect authentiquesS/OOuiOuiOui

Dépassement d'AAA

OuiOui

Oui

Oui

Affectation de l'AAA VLAN par FlexGroup avec le nom VLAN

S/OYes(8.1)Yes(8.1)Yes(8.1)
ACL statiqueOuiOui(2)
Non
Oui(2)
Non
Oui(2)
Non
ACL de rayon de Par-utilisateurOui (7.5)Oui (7.5)Oui (7.5)Non
ACL L2Oui (7.5)Oui (7.5)Oui (7.5)Oui (7.5)
ACL DE DNOui (7.6)NonNonNon
Blocage de P2POuiOuiOuiOui
Maille LSCS/OS/OS/OS/O
Bring Your Own Device /ISE (BYOD)OuiOui (7.2.110.0)

Non

Non
Conformité PCI pour des paquets voisinsOuiOuiOuiNon
Support de la Russie DTLSOuiS/ONonNon
mode local amélioré de wIPS (ORME)OuiOuiOuiNon
Clients de limite par WLANOuiOui(3)OuiNon
Clients de limite par radioOuiOuiOuiOui
Stratégie d'exclusion de clientOuiOui(3)OuiNon
Rayon NACOuiOuiNonNon
TrustSec SXPNonNonNonNon

(1) oui pour les clients qui ont l'association au mode connecté.
(2) le Listes de contrôle d'accès (ACL) de FlexConnect devrait être utilisé. Notez que le flexible ACLs ne sont pas pris en charge sur AP VLAN indigène !
(3) des limites/exclusion faite par WLC ainsi client seront déautorisées après une réponse réussie d'association.

Voix et vidéo

Ce tableau présente le legs et la nouveaux Voix et services vidéos pris en charge avec WLC libèrent 7.0.116.0 et plus tard avec FlexConnect :

 De WAN DURÉE DE TRANSMISSION du ms 100 (commutation centrale)De WAN DURÉE DE TRANSMISSION du ms 100 (commutation locale)WAN vers le bas (autonome)
VoixOui avec le ms de la DURÉE DE TRANSMISSION 100Oui avec le ms de la DURÉE DE TRANSMISSION 100Oui avec le ms de la DURÉE DE TRANSMISSION 100
Oui avec le ms de la DURÉE DE TRANSMISSION 900 (avec CCKM et OKC)Oui avec le ms de la DURÉE DE TRANSMISSION 900 (avec CCKM et OKC)
Marquages de QoS(1)OuiOuiOui
Contrat de bande passante de Par-utilisateur de QoSOui (7.4)Oui (7.5)Non
UAPSDOuiOuiOui
Diagnostics de VoixOuiOuiNon
Mesures de VoixOuiOuiNon
Contrôle d'admission TSPEC /Call (CAC)Oui - non CCXOui - non CCXNon
Oui - CCX(2)Oui - CCX(2)

(1) inclut les deux marquages DSCP/dot1p.
(2) CAC sur WLC, déautorisation sur la panne d'itinérance.

Services

Ce tableau présente le legs et les nouveaux services pris en charge avec la release 7.0.116.0 WLC et plus tard avec FlexConnect :

 WAN (commutation centrale)WAN (commutation locale)WAN (commutation locale, authentification locale)WAN vers le bas (autonome)
Webauth interneOuiOuiNonS/O
Webauth externeOui (7.2.110.0)Oui (7.2.110.0)NonS/O
CleanAir (SI sur 3500)OuiOuiOui S/O
Multidiffusion-Unicast (Videostream)Oui (excepté sur 7500, 8500 et vWLC)Oui (8.0)Oui (8.0)Oui (8.0)
EmplacementOui avec la limite BW/ScaleOui avec la limite de BW /ScaleOui avec la limite de BW /Scale S/O
Gestion des ressources par radioOuiOuiOuiNon
NG RRM - Groupement statique rfOui(1)Oui(1)OuiNon
L'expert en logiciel se connectent (la mise à jour de Cleanair)OuiOuiOuiNo(2)
Amélioration S60OuiOuiOui Non
ProfilageOuiOuiOuiNon
AVCOui (7.4)Oui (8.1)Oui (8.1)Non
Passerelle de BonjourOuiNonNonNon
mdn APOuiNonNonNon
LSSOuiNonNonNon
Service basé sur d'origineOuiNonNonNon
MAC prioritaireOuiNonNonNon
Navigateur de BonjourOuiNonNonNon
Mode Flex+BridgeOui (8.0)Oui (8.0)Oui (8.0)Oui (8.0)

(1) toutes les conditions requises de RRM-particularité s'appliquent (au moins 4 aps pour TPC).
(2) oui pour autonome après avoir déconnecté de WLC, mais pour non pour la réinitialisation.

Remarque: Le mode AP de FlexConnect ne peut pas joindre l'adresse de groupe de multidiffusion configurée au WLC, ainsi il ne peut pas recevoir les paquets de multidiffusion qui sont envoyés par WLC (des paquets de multidiffusion envoyés par la commutation centrale de flexible est reçus par le mode local aps). Si la Multidiffusion doit être expédiée pour la commutation centrale de FlexConnect, vous devez configurer la Multidiffusion de mode AP à Unicast. Cette configuration est globale puisqu'elle s'applique au mode local AP.

Infrastructure

 WAN (commutation centrale)WAN (commutation locale)WAN vers le bas (autonome)
Clients passifsNonNonNon
ARP ProxyOui (8.0)Oui (8.0)Oui (8.0)
SyslogOuiOuiOui
CDPOuiOuiOui
Lien de clientOuiOuiOui(2)
Équilibrage de charge(3)Oui (7.4)Oui (7.4)Non
Bande choisieOuiOuiNon
Image PreDownload APOuiOuiNon
Mise à niveau d'image intelligente de FlexConnect APOuiOuiOui(1)
Mises à jour de domaine de régularité AP (Chili)OuiOuiOui
Mise en commun VLAN/Mcast Optim.OuiS/OS/O
Maille - 24 liaisonsS/OS/OS/O
Support de Cisco WGB OuiOui (7.3)Oui (7.3)
support du tiers WGBOuiOuiOui
Proxy authentique de WebOuiOuiNon
Augmentation de groupe de FlexConnect APOuiOuiOui
Tolérance aux pannes de clientS/OOuiS/O
Option 60 DHCPOuiOuiOui
DFS/802.11hOuiOuiOui
Groupe VLAN APOuiS/OS/O
Mappages de VLAN par FlexGroupsOuiOuiOui

(1) des aps fournis si le maître AP est déjà mis à jour et slaves sont mis à jour avec leur maître AP.

(2) seulement sur la seconde génération 11n aps et plus tard (1600, 2600, 3600, et ainsi de suite).

(3) FlexConnect aps n'envoient pas (au sujet de) des réponses d'association avec l'état 17 pour l'Équilibrage de charge de même que font le mode local aps ; au lieu de cela, ils envoient d'abord (au sujet de) les réponses d'association avec l'état 0 (succès) et puis le deauth avec la raison 5. Ceci se produit pendant qu'AP manipule l'association localement et des décisions d'Équilibrage de charge sont pris au WLC.

Remarque: La fonctionnalité client passive n'est pas prise en charge sur le flexible aps. Cependant, les aps ne font pas le proxy ARP par défaut sur FlexConnect (et celui est une partie de la fonctionnalité client passive). Au contraire, le proxy ARP a été ajouté comme caractéristique pour FlexConnect aps avec la version 8.0 et ultérieures.

Scénarios de mobilité/itinérance

Configuration WLANCommutation localeCommutation centrale
CCKMPMK (OKC)D'autresCCKMPMK (OKC)D'autres
Mobilité entre le même groupe de flexibleRapide errez(1)Rapide errez(1)Plein authentique(1)Rapide errezRapide errezPlein authentique
Mobilité entre le groupe différent de flexiblePlein authentiqueRapide errezPlein authentiquePlein authentiquePlein authentiquePlein authentique
Mobilité inter de contrôleurS/OS/OS/OPlein authentiqueRapide errezPlein authentique

(1) le WLAN fourni est tracé au même VLAN (le même sous-réseau). Si le WLAN est tracé aux différents sous-réseaux, aucune itinérance rapide ne peut se produire car le client devra obtenir un nouvel IP address.

Remarque: Errer rapide FT/802.11r exige également des aps d'être dans le même FlexGroup. Seulement WPA2 OKC, qui se produit au niveau WLC, peut tolérer des aps pour être dans différents groupes de FlexConnect pour l'itinérance rapide.

Remarque: Afin de prendre en charge a centralisé le contrôle d'accès par une authentification centralisée, autorisation, et le serveur de comptabilité (AAA), tel que le Logiciel Cisco Identity Services Engine (ISE) ou ACS, l'ACL d'IPv6 peut provisioned sur une base de par-client avec l'utilisation des attributs de priorité d'AAA. Afin d'utiliser cette caractéristique, l'ACL d'IPv6 doit être configuré sur le contrôleur, et le WLAN doit être configuré avec la fonction activée de priorité d'AAA. L'aaa attribute pour un ACL d'IPv6 est Airespace-IPv6-ACL-Name, semblables à l'attribut d'Airespace-ACL-nom utilisé afin de provision un ACL IPv4-based. Le contenu attribut-retourné par AAA devrait être une chaîne qui est égale au nom de l'ACL d'IPv6, comme configuré sur le contrôleur.

Les informations relatives


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 112042