In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Funktionsmatrix für die FlexConnect-Funktion auf dem Wireless LAN Controller (WLC). Diese Funktionsmatrix gilt für Cisco Unified Wireless Network (CUWN) Version 7.0.116 und höher.
Hinweis: Mit jeder neuen Version werden FlexConnect neue Funktionen hinzugefügt. Lesen Sie die Versionshinweise für die neuesten Informationen.
Hinweis: In Versionen vor Version 7.2 wurde FlexConnect als Hybrid REAP (HREAP) bezeichnet. Sie wird jetzt immer als FlexConnect bezeichnet.
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf CUWN-Versionen 7.0.116.0 und höher. Dieser Artikel wurde mit Version 8.8 aktualisiert.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
FlexConnect ist eine Wireless-Lösung für Bereitstellungen in Zweigstellen und Zweigstellen. Sie ermöglicht die Konfiguration und Steuerung von APs in einer Zweigstelle oder einer Außenstelle über eine WAN-Verbindung ohne die Bereitstellung eines Controllers in den einzelnen Niederlassungen. Die FlexConnect APs können den Client-Datenverkehr lokal umschalten und die Client-Authentifizierung lokal durchführen. Wenn sie mit dem Controller verbunden sind, können sie auch Datenverkehr zurück an den Controller senden. FlexConnect wird nur für folgende Komponenten unterstützt:
Die lokale FlexConnect-Authentifizierung ist nützlich, wenn Sie keine Remote-Office-Konfiguration mit einer Mindestbandbreite von 128 Kbit/s und einer Round-Trip-Latenz von maximal 100 ms aufrechterhalten können. Die tolerierte maximale Latenz für FlexConnect beträgt 300 ms, unabhängig von den verwendeten Funktionen.
Im nächsten Abschnitt wird die FlexConnect-Funktionsmatrix beschrieben.
Hinweis: APs, die älter als 802 sind, 11n, wie 1130 oder 1240, werden noch von neuem Code unterstützt. Diese APs erhalten jedoch ab Version 7.3 keine neuen Funktionen. Aus diesem Grund unterstützen diese APs keine FlexConnect-Funktionen, die nach Version 7.3 angezeigt werden. Ebenso verfügen 802.11n-APs der ersten Generation über keine der FlexConnect-Funktionen des 8.1-Feature-Sets, selbst wenn sie einem solchen WLC beitreten können. Weitere Informationen finden Sie in den Versionshinweisen.
Hinweis: 802.11ac Wave 2-APs wie 18xx, 28xx und 38xx mit AP-Betriebssystem anstelle des typischen IOS unterstützen möglicherweise andere Funktionen. Eine dedizierte Matrix für Wave 2 APs finden Sie hier: http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_for_802_11ac_wave2_access_points.html. Grundlegende Flex-bezogene Daten werden in diese folgende Matrix eingefügt, aber die dedizierte Matrix für "Wave 2 APs" hat immer die Befugnis für dieses Dokument.
Die Sicherheitsunterstützung auf FlexConnect variiert je nach Modi und Status. In dieser Tabelle sind die unterstützten Sicherheitsfunktionen zusammengefasst:
WAN Up (Central Switching) | WAN Up (Lokales Switching) | WAN Up (Lokales Switching, lokale Authentifizierung) | WAN Down (Standalone) | |
---|---|---|---|---|
Offenes/statisches WEP | Ja | Ja | Ja | Ja |
WPA-PSK | Ja | Ja | Ja | Ja |
802.1x (WPA/WPA2) | Ja | Ja | Ja | Ja |
MAC-Filter-Authentifizierung | Ja | Ja | Nein | Nein |
CCKM Fast Roaming | Ja | Ja | Nein | Ja, für verbundene Clients. Nein, für neue Clients. |
WAN Up (Central Switching) | WAN Up (Lokales Switching) | WAN Down (Standalone) | |
---|---|---|---|
Daten-DTLS-Verschlüsselung | Ja | K/A | K/A |
Lokaler EAP (7,0 bis 7,4) | Ja (LEAP/EAP-FAST) | Ja (LEAP/EAP-FAST) | Ja (LEAP/EAP-FAST) |
LocaL EAP (7.5 und höher) | Ja (LEAP/EAP-FAST/PEAP/EAP-TLS) | Ja (LEAP/EAP-FAST/PEAP/EAP-TLS) | Ja (LEAP/EAP-FAST/PEAP/EAP-TLS) |
Backup-Radius | Ja (7.0.116) | Ja (7.0.116) | Ja |
MIC | Ja | Ja | Nicht zutreffend |
Die Sicherheitsunterstützung auf FlexConnect variiert je nach Modi und Status. In dieser Tabelle sind die älteren und neuen Sicherheitsfunktionen zusammengefasst, die ab WLC 7.0.116.0 unterstützt werden:
WAN Up (Central Switching) | WAN Up (Lokales Switching) | WAN Up (Lokales Switching, lokale Authentifizierung) | WAN Down (Standalone) | |
---|---|---|---|---|
Adaptive Wireless Intrusion Prevention (aWIPS) | Ja | Ja | Ja | Nein |
Nicht autorisierte, Angriffserkennung (IDS) | Ja | Ja | Ja | Nein |
Management Frame Protection (MFP) (Client, Infrastruktur) | Ja | Ja (Nein für Phase 2 APS) | Ja (Nein für Phase 2 APS) | Nein |
802.11w "MFP" | Ja (7,5) | Ja (7,5) | Ja (7,5) | Ja (7,5) |
802.11r Schnelle Umstellung | Ja | Ja | Nein | Nein |
Self-Signed Certificate (SSC) | Ja | Ja | Ja | K/A |
RLDP (Rogue Location Discovery Protocol) | Kann funktionieren, hängt von Hops ab, WAN-Geschwindigkeit | Kann funktionieren, abhängig von Hops, WAN-Geschwindigkeit(nein für Phase 2 APS) | Kann funktionieren, hängt von Hops ab, WAN-Geschwindigkeit (Nein für Phase 2 APS) | Nein |
Opportunistic Key Caching (OKC) Fast Roam | Ja | Ja | Ja | Nr. 1 |
Lokale Auth für FlexConnect | K/A | Ja | Ja | Ja |
IPv4 AAA-Außerkraftsetzung |
Ja | Ja | Ja |
Ja |
IPv6 AAA-Überschreibung |
Ja | Ja (5) | Ja (5) |
Ja (5) |
AAA-VLAN-Zuweisung pro FlexGroup mit VLAN-Namen |
K/A | Ja (8.1) | Ja (8.1) | Ja (8.1) |
Statische ACLs | Ja | Ja (2) Nein |
Ja (2) Nein |
Ja (2) Nein |
Pro Benutzer-Radius-ACL(4) | Ja (7,5) | Ja (7,5) | Ja (7,5) | Nein |
L2-ACL | Ja (7,5) | Ja (7,5) | Ja (7,5) | Ja (7,5) |
DNS-ACL | Ja (7,6) | Nein | Nein | Nein |
P2P-Blockierung | Ja | Ja | Ja | Ja |
Mesh-LSC | K/A | K/A | K/A | K/A |
Bring Your Own Device/ISE(BYOD) | Ja | Ja (7.2.110.0) | Nein |
Nein |
PCI-Compliance für benachbarte Pkte | Ja | Ja | Ja | Nein |
Russland DTLS-Unterstützung | Ja | K/A | Nein | Nein |
wIPS Enhanced Local Mode (ELM) | Ja | Ja | Ja | Nein |
Einschränkung von Clients pro WLAN | Ja | Ja (3) | Ja | Nein |
Clients pro Funkmodul einschränken | Ja | Ja | Ja | Ja |
Richtlinie zum Ausschluss von Clients | Ja | Ja (3) | Ja | Nein |
Radius NAC | Ja | Ja | Nein | Nein |
TrustSec SXP auf AP-Ebene | Ja (8,4) | Ja (8,4) | Ja (8,4) | Ja (8,4) |
TrustSec SXP bei WLC | Ja (8.3) | Ja (8.3) | Ja (8.3) | Ja (8.3) |
Identitäts-PSK | Ja (8,5) | Ja (8,5) | Nein | Ja (8,5) |
Identitäts-PSK mit P2P-Blockierung | Ja (8,8) | Ja (8,8) | Nein | Nein |
AAA-Richtliniendurchsetzung und Quotenmanagement | Ja (8,8) | Ja (einschließlich Flex +Bridge) (8.8) | Nein | Nein |
(1) Ja für Clients, die im Connected-Modus verbunden sind. (4) Beachten Sie, dass die benutzerspezifische ACL auf FlexConnect eine VLAN-ACL auf Flex AP nicht außer Kraft setzt, da sie so eine WLAN-ACL auf einem AP im lokalen Modus überschreiben würde. Wenn beide Benutzer-ACLs per Push und die AAA-VLAN-ACL für die Flex-Gruppe konfiguriert werden, werden beide aktiviert. (5)Beim lokalen FlexConnect-Switching wird Multicast nur für das VLAN weitergeleitet, dem die SSID zugeordnet ist, nicht jedoch für überschriebene VLANs. Aus diesem Grund funktioniert IPv6 nicht wie erwartet, da Multicast-Datenverkehr vom falschen VLAN weitergeleitet wird. Aus diesem Grund wird die VLAN-Zuweisung bei lokalem Switching mit IPv6 nicht unterstützt. |
Hinweis: An jedem Punkt verfügt ein AP über maximal 16 VLANs. Zuerst werden die VLANs gemäß der AP-Konfiguration (WLAN-VLAN) ausgewählt, und dann werden die verbleibenden VLANs von der FlexConnect-Gruppe in der Reihenfolge weitergeleitet, in der sie konfiguriert oder in der FlexConnect-Gruppe angezeigt werden. Wenn die VLAN-Steckplätze voll sind, wird eine Fehlermeldung angezeigt.
In dieser Tabelle sind die bestehenden und neuen Voice- und Video-Services aufgeführt, die mit WLC 7.0.116.0 und höher mit FlexConnect unterstützt werden:
WAN Up (Central Switching) 100 ms RTT | WAN Up (Lokales Switching) 100 ms RTT | WAN Down (Standalone) | |
---|---|---|---|
Sprache | Ja mit RTT 100 ms | Ja mit RTT 100 ms | Ja mit RTT 100 ms |
Ja mit RTT 900 ms (mit CCKM und OKC) | Ja mit RTT 900 ms (mit CCKM und OKC) | ||
QoS-Markierungen (1) | Ja | Ja | Ja |
QoS-Bandbreitenvertrag pro Benutzer | Ja (7,4) | Ja (7,5) | Nein |
UAPSD | Ja | Ja | Ja |
Sprachdiagnose | Ja | Ja | Nein |
Sprachkennzahlen | Ja | Ja | Nein |
TSPEC/Call Admission Control (CAC) | Ja - nicht CCX | Ja - nicht CCX | Nein |
Ja - CCX(2) | Ja - CCX(2) | ||
(1) Beinhaltet beide DSCP-/dot1p-Markierungen. |
In dieser Tabelle sind die alten und neuen Dienste aufgeführt, die von WLC 7.0.116.0 und höher mit FlexConnect unterstützt werden:
WAN Up (Central Switching) | WAN Up (Lokales Switching) | WAN Up (Lokales Switching, lokale Authentifizierung) | WAN Down (Standalone) | |
---|---|---|---|---|
Internes Webauth | Ja | Ja | Nein | K/A |
Externes Webauth | Ja (7.2.110.0) | Ja (7.2.110.0) | Nein | K/A |
CleanAir (SI auf 3500) | Ja | Ja | Ja | K/A |
Multicast-Unicast (Videostream) | Ja (außer bei 7500, 8500 und vWLC) | Ja (8.0) (nicht bei APs der Stufe 2) | Ja (8.0) (nicht bei APs der Stufe 2) | Ja (8.0) (nicht bei APs der Stufe 2) |
Standort | Ja, mit Bandbreiten-/Skalierungsbegrenzung | Ja, mit BW/Skalierungsbegrenzung | Ja, mit BW/Skalierungsbegrenzung | K/A |
Radio Resource Management | Ja | Ja | Ja | Nein |
NG RM = RF Static Grouping | Ja (1) | Ja (1) | Ja | Nein |
SE Connect (CleanAir-Aktualisierung) | Ja | Ja | Ja | Nein (2) |
S60-Erweiterung | Ja | Ja | Ja | Nein |
Profilerstellung | Ja | Ja (wenn Sie die zentrale DHCP-Verarbeitung aktiviert haben) | Ja (wenn Sie die zentrale DHCP-Verarbeitung aktiviert haben) | Nein |
AVC3 | Ja (7,4) | Ja (8.1) | Ja (8.1) | Nein |
Bonjour-Gateway | Ja | Nein | Nein | Nein |
mDNS-AP | Ja | Nein | Nein | Nein |
LSS | Ja | Nein | Nein | Nein |
Ursprüngliche Services | Ja | Nein | Nein | Nein |
Prioritäts-MAC | Ja | Nein | Nein | Nein |
Bonjour-Browser | Ja | Nein | Nein | Nein |
Flex+Bridge-Modus | Ja (8.0, 8.8 für Phase 2) | Ja (8.0, 8.8 für Phase 2) | Ja (8.0, 8.8 für Phase 2) | Ja (8.0, 8.8 für Phase 2) |
(1) Es gelten alle RRM-spezifischen Anforderungen (mindestens 4 APs für TPC). (3) FlexConnect AVC wird von allen WLCs (einschließlich vWLC) außer 2504 unterstützt. |
WAN Up (Central Switching) | WAN Up (Lokales Switching) | WAN Down (Standalone) | |
---|---|---|---|
Passive Clients | Nein | Ja | Ja |
Proxy-ARP | Ja (8.0) (8.3 mr1 für Phase-2-APs) | Ja (8.0) (8.3 mr1 für Phase-2-APs) | Ja (8.0) (8.3 mr1 für Phase-2-APs) |
Syslog | Ja | Ja | Ja |
CDP | Ja | Ja | Ja |
Client-Link | Ja | Ja | Ja (2) |
Lastenausgleich(3) | Ja (7,4) | Ja (7,4) | Nein |
Bandauswahl | Ja | Ja | Nein |
AP-Image-PreDownload | Ja | Ja | Nein |
FlexConnect Smart AP-Image-Upgrade | Ja | Ja | Ja (1) |
Aktualisierungen der AP-Zulassung (Chile) | Ja | Ja | Ja |
VLAN-Pooling/Multicast-Optimierung. | Ja | K/A | K/A |
Mesh - 24 Backhaul | K/A | K/A | K/A |
Cisco WGB-Unterstützung | Ja | Ja (7.3) (Nein für Phase 2 APS) | Ja (7.3) (Nein für Phase 2 APS) |
WGB-Unterstützung von Drittanbietern | Ja | Ja | Ja |
Webauthentifizierungsproxy | Ja | Ja | Nein |
Erhöhung der FlexConnect AP-Gruppe | Ja | Ja | Ja |
Client-Fehlertoleranz | K/A | Ja | K/A |
DHCP-Option 60 | Ja | Ja | Ja |
DFS/802.11h | Ja | Ja | Ja |
AP-Gruppen-VLANs | Ja | K/A | K/A |
VLAN-Zuordnungen durch FlexGroups | Ja | Ja | Ja |
VLAN-basiertes zentrales Switching | Ja (8.5 für WAE2-APs, 7.3 für IOS-APs) | Nicht zutreffend | Nicht zutreffend |
AP-LAG | Ja (8,8) | Ja (8,8) | Ja (8,8) |
(1) Sofern der Master Access Point bereits aktualisiert und Slave-APs mit ihrem Master Access Point aktualisiert werden. (2) Nur bei 11n APs der zweiten Generation und höher (1600, 2600, 3600 usw.) (3) FlexConnect-APs senden keine (erneute)Zuordnungsantworten mit Status 17 für den Lastenausgleich, wie dies bei APs im lokalen Modus der Fall ist. Stattdessen senden sie zunächst (erneut)Zuordnungen zu Status 0 (Erfolg) und dann deauten mit Grund 5. Dies geschieht, wenn der Access Point die Zuordnung lokal abwickelt und Entscheidungen zum Lastenausgleich auf dem WLC getroffen werden. Hinweis: Die passive Client-Funktion wird auf Flex APs nicht unterstützt. Die APs verweisen jedoch standardmäßig auf FlexConnect nicht auf Proxy-ARP (dies ist Teil der passiven Client-Funktion). Im Gegenteil, Proxy-ARP wurde als Funktion für FlexConnect APs mit Version 8.0 und höher hinzugefügt. |
WLAN Konfiguration |
Lokales Switching | Zentrales Switching | ||||
---|---|---|---|---|---|---|
CCKM | PMK (OKC) | Andere | CCKM | PMK (OKC) | Andere | |
Mobilität zwischen derselben Flex Group | Fast Roam (1) | Fast Roam (1) | Vollständige Authentifizierung (1) | Schnelles Roaming | Schnelles Roaming | Vollständige Auth |
Mobilität zwischen verschiedenen Flex-Gruppen | Vollständige Auth | Schnelles Roaming | Vollständige Auth | Vollständige Auth | Schnelles Roaming | Vollständige Auth |
Mobilität zwischen Controllern | K/A | K/A | K/A | Vollständige Auth | Schnelles Roaming | Vollständige Auth |
(1) Das bereitgestellte WLAN ist demselben VLAN (demselben Subnetz) zugeordnet. Wenn WLAN verschiedenen Subnetzen zugewiesen wird, kann kein schnelles Roaming erfolgen, da der Client eine neue IP-Adresse erhalten muss. |
Hinweis: Für schnelles FT/802.11r-Roaming müssen die APs ebenfalls derselben FlexGroup angehören. Nur WPA2 OKC, das auf WLC-Ebene erfolgt, kann APs tolerieren, die sich in verschiedenen FlexConnect-Gruppen befinden, um ein schnelles Roaming zu ermöglichen.
Hinweis: Um eine zentrale Zugriffskontrolle über einen zentralisierten AAA-Server (Authentication, Authorization, Accounting) wie die Cisco Identity Services Engine (ISE) oder ACS zu unterstützen, kann die IPv6-ACL auf Client-Basis mit AAA Override-Attributen bereitgestellt werden. Um diese Funktion nutzen zu können, muss die IPv6-ACL auf dem Controller konfiguriert werden. Für das WLAN muss die Funktion "AAA Override" aktiviert sein. Das AAA-Attribut für eine IPv6-ACL ist Airespace-IPv6-ACL-Name, ähnlich dem Airespace-ACL-Name-Attribut, das zur Bereitstellung einer IPv4-basierten ACL verwendet wird. Der vom AAA-Attribut zurückgegebene Inhalt sollte eine Zeichenfolge sein, die dem Namen der IPv6-ACL entspricht, wie er auf dem Controller konfiguriert wurde.