Guía de despliegue del regulador de bifurcación de la Tecnología inalámbrica de la flexión 7500

Introducción

Este documento describe cómo implementar un controlador de ramificación inalámbrico Cisco Flex 7500. El propósito de este documento está a:

• Explique los diversos elementos de redes de la solución de Cisco FlexConnect, junto con su flujo de la comunicación.

• Proporcione las guías de consulta del General Deployment para diseñar la solución inalámbrica de la bifurcación de Cisco FlexConnect.

• Explique las funciones del software en la versión de código de 7.2.103.0 que alienta la base de información sobre el producto.

Nota: Antes de 7.2, FlexConnect fue llamado Hybrid REAP (HREAP). Ahora se llama FlexConnect.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Descripción general del producto

Figura 1: Flexión 7500 de Cisco

El regulador de la nube de las 7500 Series de la flexión de Cisco es regulador de bifurcación altamente scalable para las implementaciones inalámbricas multisite. Desplegado en la nube privada, el regulador de las 7500 Series de la flexión de Cisco amplía los Servicios inalámbricos a las sucursales distribuidas con el control centralizado que baja el costo total de las operaciones.

Las 7500 Series de la flexión de Cisco (el cuadro 1) puede manejar El regulador de las 7500 Series de la flexión de Cisco soporta el acceso de invitado seguro, detección rogue para la conformidad de la industria del indicador luminoso LED amarillo de la placa muestra gravedad menor del pago (PCI), y Voz y vídeo del Wi-Fi de la en-bifurcación (localmente conmutada).

Esta tabla resalta las diferencias del scalability entre la flexión 7500, WiSM2 y regulador del WLC 5500:

Scalability	Flexión 7500	WiSM2	WLC 5500
Puntos de acceso totales	6,000	1000	500
Clientes totales	64,000	15,000	7,000
Grupos máximos de FlexConnect	2000	100	100
AP máximos por el grupo de FlexConnect	100	25	25
Grupos máximos AP	6000	1000	500

Especificaciones del producto

Hoja de datos

Refiera a http://www.cisco.com/en/US/prod/collateral/wireless/ps6302/ps8322/ps11635/data_sheet_c78-650053.html.

Característica de la plataforma

Figura 2: Vista posterior de la flexión 7500

Puertos de interfaz de red

Puertos de la interfaz	Uso
Fast ethernet	Módulo de la administración integrada (IMM)
Puerto 1: 1G	Puerto del servicio del WLC
Puerto 2: 1G	(RP) del puerto redundante del WLC
Puerto 1: 10G	Interfaz de administración del WLC
Puerto 2: 10G	Puerto de reserva de la interfaz de administración del WLC (falla de puerto)
Accesos de Ethernet opcionales GB	N/A

Nota: 

• El soporte del RETRASO para las interfaces 2x10G permite la operación activo-activa del link con la Redundancia rápida del link de fallas. Un link adicional del active 10G con el RETRASO no cambia la producción de la Tecnología inalámbrica del regulador.

• interfaces 2x10G

• las interfaces 2x10G soportan solamente los cables ópticos con el producto de SFP # SFP-10G-SR.

• Producto lateral de SFP del Switch # X2-10GB-SR

Direcciones MAC del sistema

Puerto 1: 10G (interfaz de administración)	Sistema/dirección MAC de la base
Puerto 2: interfaz de administración 10G(Backup)	Dirección MAC baja + 5
Puerto 1: 1G (puerto del servicio)	Dirección MAC baja + 1
Puerto 2: 1G (puerto redundante)	Dirección MAC baja + 3

La consola en serie reorienta

La consola de los permisos del WLC 7500 reorienta por abandono a la velocidad en baudios de 9600, simulando la terminal de VT100 sin el control de flujo.

Información del inventario

Figura 3: Consola del WLC 7500

(Cisco Controller) >show inventory

Burned-in MAC Address............................ E4:1F:13:65:DB:6C
Maximum number of APs supported.................. 2000
NAME: "Chassis"    , DESCR: "Cisco Wireless Controller"
PID: AIR-CT7510-K9,  VID: V01,  SN: KQZZXWL

La tabla de escritorio de la interfaz de administración (DMI) contiene el hardware del servidor y la información BIOS.

El WLC 7500 visualiza la versión de BIOS, PID/VID y el número de serie como parte del inventario.

Arrancar de la flexión 7500

Las opciones del cargador de arranque de Cisco para el mantenimiento de software son idénticas a las Plataformas existentes del regulador de Cisco.

Figura 4: Inicio encima de la orden

Figura 5: Asistente de configuración del WLC

Nota: El inicio de la flexión 7500 encima de la secuencia es equivalente y constante con las Plataformas existentes del regulador. El primer arranque para arriba requiere la configuración del WLC usando el Asisitente.

Flexión 7500 que autoriza

Autorización de la cuenta de la base AP

Cuenta SKUs de la base AP

300

500

1000

2000

3000

6000

Autorización de la actualización AP

Actualización SKUs AP

100

250

500

1000

A excepción de las cuentas de la base y de la actualización, el procedimiento entero de la autorización que cubre ordenar, la instalación, y el ver es similares al WLC existente 5508 de Cisco.

Refiera a la guía de configuración del WLC 7.3, que cubre el procedimiento entero de la autorización.

Soporte para la versión de software

La flexión 7500 soporta la versión del código 7.0.116.x del WLC y posterior solamente.

Puntos de acceso soportados

Los Puntos de acceso 1040, 1130, 1140, 1550, 3500, 3600, 2600, 1250, 1260, 1240, OEAP 600, el ISR 891 y el ISR 881 se soportan con la flexión 7500.

Arquitectura de FlexConnect

Figura 6: Topología inalámbrica típica de la bifurcación

FlexConnect es una solución de red inalámbrica para las implementaciones de la sucursal y de la oficina remota. También se refiere mientras que un híbrido COSECHA la solución, pero este documento le referirá como FlexConnect.

La solución de FlexConnect habilita al cliente a:

• Centralice el control y el tráfico de administración de los AP del centro de datos.

  • El tráfico de control es marcado por las rociadas rojas en el cuadro 6.

• Distribuya el tráfico de datos del cliente en cada sucursal.

  • El tráfico de datos es marcado por las rociadas azules, verdes, y púrpuras en el cuadro 6.

  • Cada flujo de tráfico va a su destino final en la mayoría de la manera eficiente.

Ventajas de centralizar el tráfico de control del Punto de acceso

• Solo cristal de la supervisión y del troubleshooting

• Facilidad de la Administración

• Acceso móvil asegurado e inconsútil a los recursos del centro de datos

• Reducción en la huella de la bifurcación

• Aumente de los ahorros operativos

Ventajas de distribuir el tráfico de datos del cliente

• Ningún tiempo muerto operativo (supervivencia) contra las fallas de link o la indisponibilidad PÁLIDAS completas del regulador

• Elasticidad de la movilidad dentro de la bifurcación durante las fallas de link PÁLIDAS

• Aumente del scalability de la bifurcación. Los soportes ramifican el tamaño que puede escalar hasta 100 AP y 250,000 pies cuadrados (5000 sq. pies por el AP).

La solución de Cisco FlexConnect también soporta el tráfico de datos del cliente central, pero debe ser limitada al tráfico de datos del invitado solamente. Esta tabla siguiente describe las restricciones en los tipos de la Seguridad de la red inalámbrica (WLAN) L2 solamente para los clientes del NON-invitado cuyo tráfico de datos también se conmuta centralmente en el centro de datos.

Soporte de la Seguridad L2 para los usuarios centralmente conmutados del NON-invitado

Seguridad de la red inalámbrica (WLAN) L2	Tipo	Resultado
Ninguno	N/A	Permitido
WPA + WPA2	802.1x	Permitido
	CCKM	Permitido
	802.1x + CCKM	Permitido
	PSK	Permitido
802.1x	WEP	Permitido
WEP estático	WEP	Permitido
WEP + 802.1x	WEP	Permitido
CKIP		Permitido

Nota: Estas restricciones de la autenticación no se aplican a los clientes cuyo tráfico de datos se distribuye en la bifurcación.

Soporte de la Seguridad L3 para usuarios centralmente y localmente conmutados

Seguridad de la red inalámbrica (WLAN) L3	Tipo	Resultado
Autenticación Web	Interno	Permitido
	Externo	Permitido
	Personalizado	Permitido
Paso de la red	Interno	Permitido
	Externo	Permitido
	Personalizado	Permitido
La red condicional reorienta	Externo	Permitido
La red de la página del chapoteo reorienta	Externo	Permitido

Para más información sobre el despliegue externo del webauth de Flexconnect, refiera por favor al Guía de despliegue externo de Flexconnect WebAuth

Para más información sobre los estados HREAP/FlexConnect AP y las opciones de la transferencia del tráfico de datos, refiera a configurar FlexConnect.

Modos de operación de FlexConnect

Modo de FlexConnect	Descripción
Conectado	Un FlexConnect reputa en el modo conectado cuando su avión del control CAPWAP de nuevo al regulador es ascendente y operativo, significando que el link PÁLIDO no está abajo.
Independiente	Especifican al modo autónomo como el estado operacional que el FlexConnect ingresa cuando tiene no más la Conectividad de nuevo al regulador. FlexConnect AP en el modo autónomo continuará funcionando con los config sabidos último, incluso en caso de corte del suministro de electricidad y WLC o Falla de WAN.

Para más información sobre la teoría de operación de FlexConnect, refiera a la H-cosecha/al diseño y al Guía de despliegue de FlexConnect.

Requisitos PÁLIDOS

FlexConnect AP se despliega en el sitio secundario y se maneja del centro de datos sobre un link PÁLIDO. Se recomienda altamente que la restricción del ancho de banda mínima sigue siendo 12.8 kbps por el AP con el ms no mayor 300 para los Despliegues de datos y 100 de la Latencia de ida y vuelta el de ms para las implementaciones de los datos + de la Voz. La Unidad máxima de transmisión (MTU) (MTU) debe ser por lo menos 500 bytes.

Tipo del despliegue	Ancho de banda WAN (minuto)	Latencia RTT PÁLIDA (máxima)	AP máximos por la bifurcación	Clientes máximos por la bifurcación
Datos	64 kbps	ms 300	5	25
Datos + Voz	kbps 128	ms 100	5	25
Monitor	64 kbps	sec 2	5	N/A
Datos	640 kbps	ms 300	50	1000
Datos + Voz	1.44 Mbps	ms 100	50	1000
Monitor	640 kbps	sec 2	50	N/A

Diseño de red derivada inalámbrico

El resto de este documento resalta las guías de consulta y describe las mejores prácticas para implementar las redes derivadas distribuidas aseguradas. La arquitectura de FlexConnect se recomienda para las redes derivadas inalámbricas que cumplen estos requisitos de diseño.

Requisitos de diseño primarios

• Tamaño de la bifurcación que puede escalar hasta 100 AP y 250,000 pies cuadrados (5000 sq. pies por el AP)

• Administración y troubleshooting centrales

• Ningún tiempo muerto operativo

• Segmentación basada en el cliente del tráfico

• Conectividad de red inalámbrica inconsútil y asegurada a los recursos corporativos

• PCI obediente

• Soporte para los invitados

Figura 7: Diseño de red derivada inalámbrico

Información general

Los clientes de la bifurcación encuentran cada vez más difícil y costoso entregar los servicios de red scalable y seguros completamente equipados a través de las ubicaciones geográficas. Para apoyar a los clientes, Cisco está dirigiendo estos desafíos introduciendo la flexión 7500.

La solución de la flexión 7500 virtualiza la Seguridad, la Administración, las configuraciones y las operaciones complejas del troubleshooting dentro del centro de datos y después transparente amplía esos servicios a cada bifurcación. Las implementaciones usando la flexión 7500 son más fáciles para que la TIC configure, manejan y, lo que es más importante, escalan.

Ventajas

• Aumente el scalability con el soporte de 6000 AP

• Elasticidad creciente usando la tolerancia de fallas de FlexConnect

• Aumente la segmentación del tráfico usando FlexConnect (central y el Local Switching)

• La facilidad de la Administración replicando el almacén diseña con los grupos AP y los grupos de FlexConnect.

Características que dirigen el diseño de red derivada

El resto de las secciones en el uso y las recomendaciones de la característica de la captura de la guía de realizar el diseño de red mostrado en el cuadro 7.

Características:

Características primarias	Resaltados
Grupos AP	Proporciona la facilidad operativa/de la Administración al manejar los sitios con varias sucursales. También, da la flexibilidad de replicar las configuraciones para los sitios secundarios similares.
Grupos de FlexConnect	Los grupos de FlexConnect proporcionan las funciones del radio del backup local, de la itinerancia CCKM/OKC y de la autenticación local rápidas.
Tolerancia de fallas	Mejora la elasticidad inalámbrica de la bifurcación y no proporciona ningún tiempo muerto operativo.
OLMO (modo local aumentado para el wIPS adaptante)	Proporcione las funciones adaptantes del wIPS al servir a los clientes sin ningún impacto al rendimiento del cliente.
Límite del cliente por la red inalámbrica (WLAN)	Limitación de los clientes totales del invitado en la red derivada.
Descarga de la PRE-imagen AP	Reduce el tiempo muerto al actualizar su bifurcación.
Auto-convertido AP en FlexConnect	Funciones para convertir automáticamente los AP en FlexConnect para su bifurcación.
Acceso de invitado	Continúe la arquitectura del acceso de invitado de Cisco existente con FlexConnect.

Matriz de soporte del IPv6

Funciones	Centralmente conmutado			Localmente conmutado
		5500/WiSM-2	Flexión 7500	5500/WiSM-2	Flexión 7500
IPv6 (movilidad del cliente)	Soportados		No soportados	No soportados	No soportados
Guardia del IPv6 RA	Soportados		Soportados	Soportados	Soportados
Guardia del DHCP del IPv6	Soportados		No soportados	No soportados	No soportados
Guardia de la fuente del IPv6	Soportados		No soportados	No soportados	No soportados
El estrangular/límite de velocidad RA	Soportados		No soportados	No soportados	No soportados
IPv6 ACL	Soportados		No soportados	No soportados	No soportados
Visibilidad del cliente del IPv6	Soportados		No soportados	No soportados	No soportados
Almacenamiento en memoria inmediata de la detección de vecino del IPv6	Soportados		No soportados	No soportados	No soportados
El interligar del IPv6	Soportados		No soportados	Soportados	Soportados

Matriz de la función

Refiera a la Matriz de la función de FlexConnect para una Matriz de la función para la característica de FlexConnect.

Grupos AP

Después de crear los WLAN en el regulador, usted puede publicarlos selectivamente (usando los grupos del Punto de acceso) a diversos Puntos de acceso para manejar mejor su red inalámbrica. En una instalación típica, asocian a todos los usuarios en una red inalámbrica (WLAN) a una sola interfaz en el regulador. Por lo tanto, todos los usuarios asociados a esa red inalámbrica (WLAN) están en la misma subred o el VLA N. Sin embargo, usted puede elegir distribuir la carga entre varias interfaces o a un grupo de usuarios basados en los criterios específicos tales como departamentos individuales (tales como márketing, ingeniería u operaciones) creando los grupos del Punto de acceso. Además, estos grupos del Punto de acceso se pueden configurar en los VLAN distintos para simplificar a la Administración de red.

Este documento utiliza a los grupos AP para simplificar a la Administración de red al manejar los almacenes del múltiplo a través de las ubicaciones geográficas. Para la facilidad operativa, el documento crea un grupo ap por el almacén para satisfacer estos requisitos:

• SSID centralmente conmutado Datacenter a través de todos los almacenes para el acceso administrativo local del encargado de tienda.

• Almacén localmente conmutado SSID con diversas claves del WPA2-PSK a través de todos los almacenes para los escáneres de PDA.

Figura 8: Referencia del diseño de red inalámbrica usando los grupos AP

Configuraciones del WLC

Complete estos pasos:

1. En los WLAN > nueva página, ingresan Store1 en el campo de nombre del perfil, ingresan el almacén en el campo SSID, y eligen 17 de la lista desplegable ID.

   Nota: Los ID de WLAN 1-16 son parte del grupo predeterminado y no pueden ser borrados. Para satisfacer nuestro requisito de usar el mismo SSID salve por el almacén con un diverso WPA2-PSK, usted necesita utilizar el ID DE WLAN 17 y más allá porque éstos no son grupo predeterminado de la parte de y se pueden limitar a cada almacén.

   

2. Bajo el > Security (Seguridad) de la red inalámbrica (WLAN), elija el PSK de la lista desplegable del mgmt de la clave del auth, eligen el ASCII de la lista desplegable del formato del PSK, y el tecleo se aplica.

   

3. Haga clic la red inalámbrica (WLAN) > al general, verifique el cambio policial de políticas de seguridad, y marque el cuadro del estatus para habilitar la red inalámbrica (WLAN).

   

4. Relance los pasos 1, 2 y 3 para el nuevo perfil Store2 de la red inalámbrica (WLAN), con el almacén y ID 18 SSID.

   

   

   

5. Cree y habilite el perfil de la red inalámbrica (WLAN) con el nombre del perfil DataCenter, SSID DataCenter y ID 1.

   Nota: En la creación, los ID de WLAN a partir de la 1-16 son automáticamente parte del valor por defecto-ap-grupo.

6. Bajo la red inalámbrica (WLAN), verifique el estatus de los ID de WLAN 1, 17 y 18.

   

7. Haga clic la red inalámbrica (WLAN) > al grupo del grupo de Adavanced > AP > Add.

8. Agregue el nombre del grupo Store1, lo mismo que el perfil Store1 de la red inalámbrica (WLAN), y descripción AP como ubicación del almacén. En este ejemplo, California se utiliza como la ubicación del almacén.

9. El tecleo agrega cuando está hecho.

   

10. Haga clic agregan al grupo y crean el nombre del grupo Store2 AP y la descripción Nueva York.

11. Haga clic en Add (Agregar).

    

12. Verifique la creación del grupo haciendo clic la red inalámbrica (WLAN) > avanzó > los grupos AP.

    

13. Haga clic el nombre del grupo Store1 AP para agregar o para editar la red inalámbrica (WLAN).

14. El tecleo agrega nuevo para seleccionar la red inalámbrica (WLAN).

15. Bajo la red inalámbrica (WLAN), del descenso-abajo de la red inalámbrica (WLAN) SSID, elija el ID DE WLAN 17 store(17).

16. El tecleo agrega después de que se seleccione el ID DE WLAN 17.

17. Relance los pasos 14 -16 para el ID DE WLAN 1 DataCenter(1). Este paso es opcional y necesitado solamente si usted quiere permitir el acceso del recurso remoto.

    

18. Vuelve a la red inalámbrica (WLAN) > avanzó > la pantalla de grupos AP.

19. Haga clic el nombre del grupo Store2 AP para agregar o para editar la red inalámbrica (WLAN).

20. El tecleo agrega nuevo para seleccionar la red inalámbrica (WLAN).

21. Bajo la red inalámbrica (WLAN), del descenso-abajo de la red inalámbrica (WLAN) SSID, elija el ID DE WLAN 18 store(18).

22. El tecleo agrega después de que se seleccione el ID DE WLAN 18.

23. Relance los pasos 14 -16 para el ID DE WLAN 1 DataCenter(1).

    

    Nota: Agregar los perfiles múltiples de la red inalámbrica (WLAN) con el mismo SSID bajo solo grupo AP no se permite.

    

    Nota: Agregar los AP al grupo AP no se captura en este documento, pero es necesario para los clientes a los servicios de red de acceso.

Resumen

• Los grupos AP simplifican a la Administración de red.

• Resolver problemas la facilidad con por el granularity de la bifurcación

• Mayor flexibilidad

Grupos de FlexConnect

Figura 9: Autenticación central del dot1x (flexión 7500 que actúa como authenticator)

En la mayoría de las implementaciones típicas de la bifurcación, es fácil prever que la autenticación del 802.1x del cliente ocurre centralmente en el centro de datos tal y como se muestra en del cuadro 9. Porque el escenario antedicho es perfectamente válido, despierta estas inquietudes:

• ¿Cómo pueden los clientes de red inalámbrica llevar a cabo los servicios del centro de datos de la autenticación y del acceso del 802.1x si la flexión 7500 falla?

• ¿Cómo pueden los clientes de red inalámbrica realizar la autenticación del 802.1x si es PÁLIDO conectan entre la bifurcación y el centro de datos falla?

• ¿Hay impacto en la movilidad de la bifurcación durante las Fallas de WAN?

• ¿La solución de FlexConnect no proporciona ningún tiempo muerto operativo de la bifurcación?

El grupo de FlexConnect se diseña y se debe sobre todo crear para dirigir estos desafíos. Además, facilita la ordenación de cada sitio secundario, porque todos los Puntos de acceso de FlexConnect de cada sitio secundario son parte de al solo grupo de FlexConnect.

Nota: Los grupos de FlexConnect no son análogos a los grupos AP.

Objetivos primarios de los grupos de FlexConnect

Conmutación por falla de reserva del servidor de RADIUS

• Usted puede configurar el regulador para permitir que un Punto de acceso de FlexConnect en el modo autónomo realice la autenticación completa del 802.1x a un servidor de RADIUS de reserva. Para aumentar la elasticidad de la bifurcación, los administradores pueden configurar a un servidor de RADIUS del backup principal o un servidor de RADIUS primario y de backup secundario. Se utilizan estos servidores solamente cuando el Punto de acceso de FlexConnect no está conectado con el regulador.

Nota: Las estadísticas de reserva RADIUS no se soportan.

Autenticación local

• Antes de la versión de código de 7.0.98.0, la autenticación local fue soportada solamente cuando FlexConnect está en el modo autónomo a asegurarse que la conectividad del cliente no es afectada durante la falla de link PÁLIDA. Con la versión de 7.0.116.0, esta característica ahora se soporta incluso cuando los Puntos de acceso de FlexConnect están en el modo conectado.

  Figura 10: Autenticación central del dot1x (FlexConnect AP que actúa como authenticator)

  

  Tal y como se muestra en del cuadro 10, los clientes de la bifurcación pueden continuar realizando la autenticación del 802.1x cuando la bifurcación AP de FlexConnect pierde la Conectividad con la flexión 7500. Mientras el servidor RADIUS/ACS sea accesible del sitio secundario, los clientes de red inalámbrica continuarán autenticando y accediendo los Servicios inalámbricos. Es decir si el RADIUS/ACS está situado dentro de la bifurcación, después de los clientes autenticará y accederá los Servicios inalámbricos incluso durante una Interrupción WAN.

  Nota: Esta característica se puede utilizar conjuntamente con la característica de reserva del servidor de RADIUS de FlexConnect. Si un grupo de FlexConnect se configura con el servidor de RADIUS de reserva y la autenticación local, el Punto de acceso de FlexConnect intenta siempre autenticar los clientes que usan al servidor de RADIUS del backup principal primero, seguido por el servidor de RADIUS del backup secundario (si el primario no es accesible), y finalmente el servidor local en el Punto de acceso de FlexConnect sí mismo EAP (si el primarios y el secundarios no son accesibles).

EAP local (continuación de la autenticación local)

Cuadro 11: Autenticación del dot1x (FlexConnect AP que actúa como servidor Local-EAP)

• Usted puede configurar el regulador para permitir que un FlexConnect AP en el modo independiente o conectado realice la autenticación del SALTO o del EAP-FAST para hasta 100 usuarios estáticamente configurados. El regulador envía la lista estática de nombres de usuario y contraseña a cada Punto de acceso de FlexConnect de ese grupo determinado de FlexConnect cuando se une al regulador. Cada punto de acceso del grupo autentifica solamente a sus propios clientes asociados.

• Esta característica es ideal para clientes que está emigrando de una red autónoma del Punto de acceso a una red ligera del Punto de acceso de FlexConnect y no está interesada en mantener una base de datos de usuarios grande, o agregar otro dispositivo de hardware para substituir las funciones del servidor de RADIUS disponibles en el Punto de acceso autónomo.

• Tal y como se muestra en del cuadro 11, si el servidor RADIUS/ACS dentro del centro de datos no es accesible, después FlexConnect AP actúa automáticamente como servidor Local-EAP para realizar la autenticación del dot1x para los clientes inalámbricos de la bifurcación.

CCKM/OKC ayunan vagando por

• Requieren a los grupos de FlexConnect para CCKM/OKC rápidamente que vagan por para trabajar con los Puntos de acceso de FlexConnect. La itinerancia rápida es alcanzada ocultando un derivado de la clave principal de una autenticación EAP completa de modo que un intercambio de claves simple y seguro pueda ocurrir cuando un cliente de red inalámbrica vaga por a un diverso Punto de acceso. Esta característica previene la necesidad de realizar una autenticación EAP completa RADIUS mientras que el cliente vaga por a partir de un Punto de acceso a otro. Los Puntos de acceso de FlexConnect necesitan obtener la información de la memoria caché CCKM/OKC para todos los clientes que pudieron asociarse así que pueden procesarla rápidamente en vez de enviarla de nuevo al regulador. Si, por ejemplo, usted tiene un regulador con 300 Puntos de acceso y 100 clientes que pudieron asociarse, enviando el caché CCKM/OKC para los 100 clientes no son prácticos. Si usted crea un grupo de FlexConnect que comprende un número limitado de los Puntos de acceso (por ejemplo, usted crea a un grupo para cuatro Puntos de acceso en una oficina remota), los clientes vagan por solamente entre esos cuatro Puntos de acceso, y el caché CCKM/OKC se distribuye entre esos cuatro Puntos de acceso solamente cuando los clientes se asocian a uno de ellos.

• Esta característica junto con el radio y la autenticación local de reserva (Local-EAP) no asegura ningún tiempo muerto operativo para sus sitios secundarios.

  Nota: CCKM/OKC ayunan vagando por entre FlexConnect y los Puntos de acceso NON-FlexConnect no se soportan.

  Cuadro 12: Referencia del diseño de red inalámbrica usando los grupos de FlexConnect

  

Configuración de grupo de FlexConnect del WLC

Complete los pasos en esta sección para configurar a los grupos de FlexConnect para soportar la autenticación local usando el SALTO, cuando FlexConnect está en conectado o modo autónomo. Los ejemplos de configuración en el cuadro 12 ilustran las diferencias objetivas y 1:1 que asocia entre el grupo del grupo y de FlexConnect AP.

1. Nuevos Tecnología inalámbrica del tecleo > grupos inferiores de FlexConnect.

2. Asigne el almacén 1 del nombre del grupo, similar a la configuración de muestra tal y como se muestra en del cuadro 12.

3. El tecleo se aplica cuando se fija el nombre del grupo.

   

4. Haga clic el almacén 1 del nombre del grupo que usted acaba de crear para la configuración adicional.

   

5. El tecleo agrega el AP.

   

6. Marque el cuadro de la autenticación local del permiso AP para habilitar la autenticación local cuando el AP está en el modo autónomo.

   Nota: El paso 20 muestra cómo habilitar la autenticación local para el modo conectado AP.

7. Marque los AP selectos del cuadro actual del regulador para habilitar el menú desplegable del nombre AP.

8. Elija el AP del descenso-abajo que necesita ser parte de este grupo de FlexConnect.

9. El tecleo agrega después de que el AP se elija del descenso-abajo.

10. Relance los pasos 7 y 8 para agregar todos los AP a este grupo de FlexConnect que son también el almacén 1. del grupo ap de la parte de. Véase el cuadro 12 para entender el 1:1 que asocia entre el grupo del grupo ap y de FlexConnect.

    Si usted ha creado un grupo ap por el almacén (cuadro 8), después idealmente todo el los AP de ese grupo ap deben ser parte de este grupo de FlexConnect (cuadro 12). Mantener la relación de transformación de 1:1 entre el grupo del grupo ap y de FlexConnect simplifica la Administración de redes.

    

11. Haga clic la autenticación local > los protocolos y marque el cuadro de la autenticación LEAP del permiso.

12. El tecleo se aplica después de que se fije la casilla de verificación.

    Nota: Si usted tiene un controlador de backup, aseegurese a los grupos de FlexConnect son idéntico y las entradas de MAC Address AP son incluidas por el grupo de FlexConnect.

    

13. Bajo autenticación local, usuarios locales del tecleo.

14. Fije el nombre de usuario, contraseña y confirme los campos de contraseña, después haga clic agregan para crear la entrada de usuario en el servidor local EAP que reside en el AP.

15. Relance el paso 13 hasta que se agote su lista del nombre de usuario local. Usted no puede configurar o agregar a más de 100 usuarios.

16. El tecleo se aplica después de que se complete el paso 14 y no de la cuenta de los usuarios se verifica.

    

17. Del cristal superior, tecleo WLAN.

18. ID DE WLAN 17 del tecleo. Esto fue creada durante la creación del grupo AP. Véase el cuadro 8.

    

19. Bajo la red inalámbrica (WLAN) > edite para el ID DE WLAN 17, tecleo avanzado.

20. Marque el cuadro local del auth de FlexConnect para habilitar la autenticación local en el modo conectado.

    Nota: La autenticación local se soporta solamente para FlexConnect con el Local Switching.

    Nota: Aseegurese siempre crear el grupo de FlexConnect antes de habilitar la autenticación local bajo la red inalámbrica (WLAN).

    

    Los NC también proporcionan el FlexConnect checkbox local del auth para habilitar la autenticación local en el modo conectado como se muestra aquí:

    

    Los NC también proporcionan el recurso para filtrar y para monitorear a los clientes localmente como se muestra autenticados de FlexConnect aquí:

    

    

Verificación usando el CLI

El estado y el Switching Mode de la autenticación de cliente se pueden verificar rápidamente usando este CLI en el WLC:

(Cisco Controller) >show client detail 00:24:d7:2b:7c:0c
Client MAC Address............................... 00:24:d7:2b:7c:0c
Client Username ................................. N/A
AP MAC Address................................... d0:57:4c:08:e6:70
Client State..................................... Associated
H-REAP Data Switching............................ Local
H-REAP Authentication............................ Local

Invalidación del VLA N de FlexConnect

En la arquitectura actual de FlexConnect, hay una asignación estricta de la red inalámbrica (WLAN) al VLA N, y el cliente que consigue asociado en una red inalámbrica (WLAN) determinada en FlexConnect AP tiene que seguir así un VLA N que se asocie a él. Este método tiene limitaciones, porque requiere a los clientes asociarse a diversos SSID para heredar diversas directivas VLAN basadas.

A partir de la versión el 7.2 hacia adelante, la invalidación AAA del VLA N en la red inalámbrica (WLAN) individual configurada para el Local Switching se soporta. Para tener asignación del VLAN dinámico, el AP tendría las interfaces para el VLA N PRE-creado sobre la base de una configuración usando la asignación existente WLAN-VLAN para FlexConnect individual AP o usar la asignación ACL-VLAN en un grupo de FlexConnect. El WLC se utiliza PRE-para crear los subinterfaces en el AP.

Resumen

• La invalidación del VLA N AAA se soporta de la versión 7.2 para los WLAN configurados para el Local Switching en la central y el modo de la autenticación local.

• La invalidación AAA se debe habilitar en la red inalámbrica (WLAN) configurada para el Local Switching.

• El FlexConnect AP debe tener VLA N PRE-creado del WLC para la asignación del VLAN dinámico.

• Si los VLA N vueltos por la invalidación AAA no están presentes en el cliente AP, conseguirán un IP de la interfaz del VLAN predeterminado del AP.

Procedimiento

Complete estos pasos:

1. Cree una red inalámbrica (WLAN) para la autenticación del 802.1x.

   

2. Habilite el soporte de la invalidación AAA para la red inalámbrica (WLAN) del Local Switching en el WLC. Navegue a la red inalámbrica (WLAN) GUI > red inalámbrica (WLAN) > ID DE WLAN > tabulación anticipada.

   

3. Agregue a los detalles del servidor de AAA en el regulador para la autenticación del 802.1x. Para agregar al servidor de AAA, navegue al > Security (Seguridad) del WLC GUI >AAA > radio > autenticación > nuevo.

   

4. El AP está en el modo local por abandono, tan secreto el modo al modo de FlexConnect. El modo local AP se puede convertir al modo de FlexConnect yendo a la Tecnología inalámbrica > todos los AP, y hace clic el AP individual.

   

5. Agregue el FlexConnect AP al grupo de FlexConnect.

   Navegue bajo el WLC GUI > Tecnología inalámbrica > los grupos de FlexConnect > grupo de FlexConnect > la ficha general selectos > Add AP.

   

6. El FlexConnect AP se debe conectar en un puerto troncal y el VLA N asociado red inalámbrica (WLAN) y el VLA N reemplazado AAA se deben permitir en el puerto troncal.

   

   Nota: En esta configuración, 109 vlan se utiliza para la asignación del VLA N de la red inalámbrica (WLAN) y 3 vlan se utiliza para la invalidación AAA.

7. red inalámbrica (WLAN) de la configuración a la asignación del VLA N para el FlexConnect AP. De acuerdo con esta configuración, el AP tendría las interfaces para el VLA N. Cuando el AP recibe la configuración de VLAN, el dot11 y los subinterfaces correspondientes de los Ethernetes se crean y se agregan a un bridge-group. Asocie a un cliente en esta red inalámbrica (WLAN) y cuando el cliente se asocia, se asigna su VLA N (valor por defecto, sobre la base de la asignación WLAN-VLAN).

   Navegue al WLAN GUI > Tecnología inalámbrica > todo el los AP > hacen clic en el específico lengueta AP > de FlexConnect, y hacen clic asociar del VLA N.

   

8. Cree a un usuario en el servidor de AAA y configure al usuario para volver el VLAN ID en el atributo IETF RADIUS.

   

9. Para tener asignación del VLAN dinámico, el AP tendría las interfaces para el VLAN dinámico PRE-creado sobre la base de la configuración usando la asignación existente WLAN-VLAN para el FlexConnect individual AP o usar la asignación ACL-VLAN en el grupo de FlexConnect.

   Para configurar el VLA N AAA en el FlexConnect AP, navegue al WLC GUI > Tecnología inalámbrica > grupo > tecleo de FlexConnect el grupo específico de FlexConnect > VLAN-ACL que asocia, y ingrese el VLA N en el campo de Vlan ID.

   

10. Asocie a un cliente en esta red inalámbrica (WLAN) y autentiqúelo usando el nombre de usuario configurado en el servidor de AAA para volver el VLA N AAA.

11. El cliente debe recibir una dirección IP del VLAN dinámico vuelto vía el servidor de AAA.

12. Para verificar, el WLC del tecleo GUI > monitor > cliente > hace clic en el MAC Address del cliente específico para marcar a los detalles del cliente.

Limitaciones

• Los atributos Airespace-específicos de Cisco no serán soportados y el atributo VLAN ID IETF será soportado solamente.

• Un máximo de 16 VLA N se puede configurar en configuración por-AP vía la asignación WLAN-VLAN para FlexConnect individual AP o usar la asignación ACL-VLAN en el grupo de FlexConnect.

El VLA N de FlexConnect basó la transferencia central

En los Software Release 7.2 del regulador, la invalidación AAA del VLA N (asignación del VLAN dinámico) para los WLAN localmente conmutados pondrá a los clientes de red inalámbrica al VLA N proporcionado por el servidor de AAA. Si el VLA N proporcionado por el servidor de AAA no está presente en el AP, ponen al cliente a un VLA N asociado red inalámbrica (WLAN) en ese AP y tráfico conmutará localmente en ese VLA N. Además, antes de la versión 7.3, el tráfico para una red inalámbrica (WLAN) determinada de FlexConnect AP se puede conmutar centralmente o localmente dependiendo de la configuración de la red inalámbrica (WLAN).

De la versión 7.3 hacia adelante, el tráfico de FlexConnect AP se puede conmutar centralmente o localmente dependiendo de la presencia de un VLA N en un FlexConnect AP.

Resumen

Flujo de tráfico en los WLAN configurados para el Local Switching cuando la flexión AP está en el modo conectado:

• Si se vuelve el VLA N pues uno de los atributos AAA y de ese VLA N no está presente en la base de datos de la flexión AP, el tráfico conmutará centralmente y asignarán el cliente este VLAN/Interface vuelto del servidor de AAA a condición de que el VLA N existe en el WLC.

• Si se vuelve el VLA N pues uno de los atributos AAA y de ese VLA N no está presente en la base de datos de la flexión AP, el tráfico conmutará centralmente. Si ese VLA N no está también presente en el WLC, asignarán el cliente un VLAN/Interface asociado a una red inalámbrica (WLAN) en el WLC.

• Si se vuelve el VLA N pues uno de los atributos AAA y de ese VLA N está presente en la base de datos de FlexConnect AP, el tráfico conmutará localmente.

• Si el VLA N no se vuelve del servidor de AAA, asignarán el cliente un VLA N asociado red inalámbrica (WLAN) en ese FlexConnect AP y tráfico conmutará localmente.

Flujo de tráfico en los WLAN configurados para el Local Switching cuando la flexión AP está en el modo autónomo:

• Si el VLA N vuelto por un servidor de AAA no está presente en la base de datos de la flexión AP, pondrán al cliente al VLAN predeterminado (es decir, un VLA N asociado red inalámbrica (WLAN) en la flexión AP). Cuando el AP conecta detrás, de-autenticarán y conmutará a este cliente el tráfico centralmente.

• Si el VLA N vuelto por un servidor de AAA está presente en la base de datos de la flexión AP, pondrán al cliente en un VLA N vuelto y el tráfico conmutará localmente.

• Si el VLA N no se vuelve de un servidor de AAA, asignarán el cliente un VLA N asociado red inalámbrica (WLAN) en ese FlexConnect AP y tráfico conmutará localmente.

Procedimiento

Complete estos pasos:

1. Configure una red inalámbrica (WLAN) para el Local Switching y habilite la invalidación AAA.

   

2. Habilite la transferencia central basada Vlan en la red inalámbrica (WLAN) creada recientemente.

   

3. Fije modo AP a FlexConnect.

   

4. Aseegurese que el FlexConnect AP tiene cierta sub-interfaz presente en su base de datos, vía la asignación WLAN-VLAN en una flexión determinada AP o vía configurar el VLA N de un grupo de la flexión. En este ejemplo, el VLA N 63 se configura en la asignación WLAN-VLAN en la flexión AP.

   

5. En este ejemplo, el VLA N 62 se configura en el WLC como una de las interfaces dinámicas y no se asocia a la red inalámbrica (WLAN) en el WLC. La red inalámbrica (WLAN) en el WLC se asocia al VLAN de administración (es decir, VLA N 61).

   

6. Asocie a un cliente a la red inalámbrica (WLAN) configurada en el paso 1 en esta flexión AP y vuelva el VLA N 62 del servidor de AAA. El VLA N 62 no está presente en esta flexión AP, sino que está presente en el WLC pues una interfaz dinámica así que el tráfico conmutarán centralmente y el cliente será el VLAN asignado 62 en el WLC. En la salida capturada aquí, el cliente ha sido el VLAN asignado 62 y la transferencia y la autenticación de los datos se fijan a la central.

   

   Nota: Observe que aunque la red inalámbrica (WLAN) se configure para el Local Switching, el campo de la transferencia de los datos para este cliente es central basada en la presencia de un VLA N (es decir, el VLA N 62, que se vuelve del servidor de AAA, no está presente en la base de datos AP).

7. Si otro usuario asocia al mismo AP en esto la red inalámbrica (WLAN) creada y algún VLA N se vuelve del servidor de AAA que no está presente en el AP así como el WLC, el tráfico conmutará centralmente y asignarán el cliente la interfaz asociada red inalámbrica (WLAN) en el WLC (es decir, VLA N 61 en este ejemplo puesto), porque la red inalámbrica (WLAN) se asocia a la interfaz de administración que se configura para el VLA N 61

   

   Nota: Observe que aunque la red inalámbrica (WLAN) se configure para el Local Switching, el campo de la transferencia de los datos para este cliente es central basada en la presencia de un VLA N. Es decir, el VLA N 61, que se vuelve del servidor de AAA, no está presente en la base de datos AP sino no está también presente en la base de datos del WLC. Como consecuencia, asignan el cliente una interfaz predeterminada VLAN/Interface que se asocia a la red inalámbrica (WLAN). En este ejemplo, la red inalámbrica (WLAN) se asocia a una interfaz de administración (es decir, VLA N 61) y así que el cliente ha recibido una dirección IP del VLA N 61.

8. Si otro usuario asocia a él en esto la red inalámbrica (WLAN) creada y el VLA N 63 se vuelve del servidor de AAA (que está presente en esta flexión AP), el cliente será el VLAN asignado 63 y el tráfico conmutará localmente.

   

Limitaciones

• La transferencia central basada VLA N se soporta solamente en los WLAN configurados para la autenticación central y el Local Switching.

• La sub-interfaz AP (es decir, asignación del VLA N) se debe configurar en el FlexConnect AP.

FlexConnect ACL

Con la introducción de ACL en FlexConnect, hay un mecanismo a abastecer a la necesidad del control de acceso en el FlexConnect AP de la protección y a la integridad localmente del tráfico de datos conmutados contra el AP. FlexConnect ACL se crea en el WLC y se debe entonces configurar con el VLA N presente en el grupo de FlexConnect AP o de FlexConnect usando la asignación VLAN-ACL que estará para los VLA N de la invalidación AAA. Éstos entonces se avanzan al AP.

Resumen

• Cree FlexConnect ACL en el regulador.

• Aplique lo mismo en un VLA N presente en FlexConnect AP bajo asignación del VLA N ACL del nivel AP.

• Puede ser aplicado en un VLA N presente en el grupo de FlexConnect bajo asignación VLAN-ACL (hecha generalmente para los VLA N reemplazados AAA).

• Mientras que aplica el ACL en el VLA N, seleccione la dirección para ser aplicado que será “ingreso”, “salida” o “ingreso y salida”.

Procedimiento

Complete estos pasos:

1. Cree un FlexConnect ACL en el WLC. Navegue al > Security (Seguridad) > a la lista de control de acceso > a FlexConnect ACL del WLC GUI.

   

2. Haga clic en New.

3. Configure el nombre ACL.

   

4. Haga clic en Apply (Aplicar).

5. Cree las reglas para cada ACL. Para crear las reglas, navegar al > Security (Seguridad) > a la lista de control de acceso > a FlexConnect ACL del WLC GUI, y hacer clic el ACL arriba creado.

   

6. El tecleo agrega la nueva regla.

   

   Nota: Configure las reglas según el requisito. Si el permiso ninguna ninguna regla no se configura en el extremo, hay un implícito niega cuál bloqueará todo el tráfico.

7. Una vez que se crea el FlexConnect ACL, puede ser asociado para la asignación WLAN-VLAN bajo FlexConnect individual AP o puede ser aplicado en la asignación VLAN-ACL en el grupo de FlexConnect.

8. Asocie FlexConnect ACL configurado arriba en el nivel AP para los VLAN individuales bajo asignaciones del VLA N para FlexConnect individual AP. Navegue al WLC GUI > Tecnología inalámbrica > todo el AP > tecleo el específico lengueta AP > de FlexConnect > asignación del VLA N.

   

9. FlexConnect ACL se puede también aplicar en la asignación VLAN-ACL en el grupo de FlexConnect. Los VLA N creados bajo asignación VLAN-ACL en el grupo de FlexConnect se utilizan principalmente para la invalidación del VLAN dinámico.

   

Limitaciones

• Un máximo de 512 FlexConnect ACL se puede configurar en el WLC.

• Cada ACL individual se puede configurar con 64 reglas.

• Un máximo de 32 ACL se puede asociar por el grupo de FlexConnect o por FlexConnect AP.

• En cualquier punta dada a tiempo, hay un máximo de 16 VLA N y de 32 ACL en el FlexConnect AP.

Túnel dividido de FlexConnect

En las versiones del WLC antes de 7.3, si un cliente que conecta en un FlexConnect AP asociado a una red inalámbrica (WLAN) centralmente conmutada necesita enviar un cierto tráfico a un dispositivo presente en el sitio local/la red, necesitan enviar el tráfico sobre CAPWAP al WLC y después conseguir el mismo tráfico de nuevo al sitio local sobre CAPWAP o usar una cierta Conectividad de la apagado-banda.

De la versión 7.3 hacia adelante, el Túnel dividido introduce un mecanismo por el cual el tráfico enviado por el cliente sea clasificado sobre la base de los contenidos de paquetes usando la flexión ACL. Los paquetes que corresponden con se conmutan localmente de la flexión AP y el resto de los paquetes centralmente se conmuta sobre CAPWAP.

Las funciones del Túnel dividido son una ventaja agregada para OEAP AP puesto donde los clientes en un SSID corporativo pueden hablar con los dispositivos en una red local (impresoras, máquina atada con alambre en un puerto del LAN remoto, o dispositivos de red inalámbrica en un SSID personal) directamente sin el ancho de banda WAN consumidor enviando los paquetes sobre CAPWAP. El Túnel dividido no se soporta en OEAP 600 AP. La flexión ACL se puede crear con las reglas para permitir todos los dispositivos presentes en el sitio local/la red. Cuando los paquetes de un cliente de red inalámbrica en el SSID corporativo hacen juego las reglas en la flexión ACL configurada en OEAP AP, ese tráfico se conmuta localmente y el resto del tráfico (es decir, implícito niegue el tráfico) conmutará centralmente sobre CAPWAP.

La solución del Túnel dividido asume que el subnet/VLAN asociado a un cliente en el sitio central no está presente en el sitio local (es decir, el tráfico para los clientes que reciben una dirección IP de la subred presente en el sitio central no podrá conmutar localmente). Las funciones del Túnel dividido se diseñan para conmutar el tráfico localmente para las subredes que pertenecen al sitio local para evitar el consumo del ancho de banda WAN. Trafique que hace juego las reglas ACL de la flexión se conmuta localmente y el Funcionamiento de NAT se realiza que cambia la dirección IP de origen del cliente a la dirección IP de la interfaz BVI de la flexión el AP que es routable en el sitio local/la red.

Resumen

• Las funciones del Túnel dividido se soportan en los WLAN configurados para la transferencia central de divulgación por la flexión AP solamente.

• El DHCP requerido se debe habilitar en los WLAN configurados para el Túnel dividido.

• La configuración del Túnel dividido es aplicada por la red inalámbrica (WLAN) configurada para la transferencia central encendido por la flexión AP o para toda la flexión AP en un grupo de FlexConnect.

Procedimiento

Complete estos pasos:

1. Configure una red inalámbrica (WLAN) para la transferencia central (es decir, el Local Switching de la flexión no se debe habilitar).

   

2. Fije la asignación de DHCP Address a requerido.

   

3. Fije modo AP a FlexConnect.

   

4. Configure FlexConnect ACL con una regla del permiso para el tráfico que se debe conmutar localmente en la red inalámbrica (WLAN) del switch central. En este ejemplo, se configura la regla ACL de FlexConnect así que alertará el tráfico ICMP de todos los clientes cuál está en la subred de 9.6.61.0 (es decir, exista en el sitio central) a 9.1.0.150 que se conmutará localmente después de que el Funcionamiento de NAT se aplique en la flexión AP. El resto del tráfico golpeará un implícito niega la regla y se conmute centralmente sobre CAPWAP.

   

5. Esto FlexConnect creado ACL se puede avanzar como túnel dividido ACL a la flexión individual AP o se puede también avanzar a toda la flexión AP en una flexión conecta al grupo.

   Complete estos pasos para avanzar la flexión ACL como fractura local ACL a la flexión individual AP:

   1. Haga clic el Local ACL partidos.

      

   2. Seleccione el ID de WLAN en el cual la característica del túnel dividido debe ser habilitada, eligen el Flexión-ACL, y el haga click en Add

      

   3. El Flexión-ACL se avanza como Local-fractura ACL a la flexión AP.

      

   Complete estos pasos para avanzar la flexión ACL como Local ACL partido a un grupo de FlexConnect:

   1. Seleccione el ID de WLAN en el cual la característica del Túnel dividido debe ser habilitada. En la lengueta de la asignación WLAN-ACL, seleccione FlexConnect ACL del grupo de FlexConnect donde se agrega la flexión determinada AP, y del haga click en Add

      

   2. El Flexión-ACL se avanza como LocalSplit ACL para doblar los AP en ese grupo de la flexión.

      

Limitaciones

• Las reglas ACL de la flexión no se deben configurar con el permiso/el enunciado de negación con la misma subred como la fuente y destino.

• El tráfico en una red inalámbrica (WLAN) centralmente conmutada configurada para el Túnel dividido puede ser conmutado localmente solamente cuando un cliente de red inalámbrica inicia el tráfico para un host presente en el sitio local. Si el tráfico es iniciado por los clientes/host en un sitio local para los clientes de red inalámbrica en estos WLAN configurados, no podrá alcanzar el destino.

• El Túnel dividido no se soporta para el Multicast/el tráfico de broadcast. El Multicast/el tráfico de broadcast conmutará centralmente incluso si hace juego la flexión ACL.

Tolerancia de fallas

La tolerancia de fallas de FlexConnect permite que el acceso de red inalámbrica y los servicios ramifiquen los clientes cuando:

• La bifurcación AP de FlexConnect pierde la Conectividad con el regulador primario de la flexión 7500.

• La bifurcación AP de FlexConnect está conmutando al regulador secundario de la flexión 7500.

• La bifurcación AP de FlexConnect está restableciendo la conexión al regulador primario de la flexión 7500.

La tolerancia de fallas de FlexConnect, junto con el EAP local según lo delineado arriba, junta proporciona el tiempo muerto cero de la ramificación durante una interrupción de la red. Esta característica se habilita por abandono y no puede ser inhabilitada. No requiere ninguna configuración en el regulador o el AP. Sin embargo, asegurar los trabajos de la tolerancia de fallas suavemente y es aplicable, este los criterios debe ser mantenido:

• El ordenar y las configuraciones de la red inalámbrica (WLAN) tienen que ser idénticos a través de los reguladores primarios y de reserva de la flexión 7500.

• La asignación del VLA N tiene que ser idéntica a través de los reguladores primarios y de reserva de la flexión 7500.

• El Domain Name de la movilidad tiene que ser idéntico a través de los reguladores primarios y de reserva de la flexión 7500.

• Se recomienda para utilizar la flexión 7500 como ambos los controladores primarios y de backup.

Resumen

• FlexConnect no desconectará a los clientes cuando el AP está conectando de nuevo al mismo regulador proporcionado allí no es ningún cambio en configuración en el regulador.

• FlexConnect no desconectará a los clientes cuando la conexión con el controlador de backup proporcionado allí no es ningún cambio en configuración y el controlador de backup es idéntico al controlador primario.

• FlexConnect no reajustará sus radios en la conexión de nuevo al controlador primario proporcionado allí no es ningún cambio en configuración en el regulador.

Limitaciones

• Soportado solamente para FlexConnect con la central/la autenticación local con el Local Switching.

• Los clientes centralmente autenticados requieren la reautentificación completa si el temporizador de la sesión de cliente expira antes de que el Switches de FlexConnect AP de independiente al modo conectado.

• Los controladores primarios y de backup de la flexión 7500 deben estar en el mismo dominio de la movilidad.

Límite del cliente por la red inalámbrica (WLAN)

Junto con la segmentación del tráfico, la necesidad de restringir al cliente total que accede los Servicios inalámbricos se presenta.

Ejemplo: Limitación de los clientes totales del invitado del Tunelización de la bifurcación de nuevo al centro de datos.

Para dirigir este desafío, Cisco está introduciendo el límite del cliente por la característica de la red inalámbrica (WLAN) que puede restringir a los clientes totales permitidos en a por la base de la red inalámbrica (WLAN).

Objetivo primario

• Establezca los límites en los clientes máximos

• Facilidad operativa

Nota: Ésta no es una forma de QoS.

Por abandono, la característica se inhabilita y no fuerza el límite.

Limitaciones

Esta característica no aplica el límite del cliente cuando el FlexConnect está en el estado independiente de la operación.

Configuración del WLC

Complete estos pasos:

1. Seleccione el ID DE WLAN centralmente conmutado 1 con SSID DataCenter. Esta red inalámbrica (WLAN) fue creada durante la creación del grupo AP. Véase el cuadro 8.

2. Haga clic la ficha Avanzadas para el ID DE WLAN 1.

3. Fije el valor límite del cliente para el campo de texto permitido máximo de los clientes.

4. Se fija el tecleo se aplica después del campo de texto para los clientes permitidos máximo.

   

   El valor por defecto para los clientes permitidos máximo se fija a 0, que implica allí no es ninguna restricción y se inhabilita la característica.

Configuración NC

Para habilitar esta característica de los NC, vaya a la configuración > a los reguladores > al regulador IP > los WLAN > configuración de la red inalámbrica (WLAN) > los detalles de la configuración de la red inalámbrica (WLAN).

Bloqueo entre iguales

En las versiones de software del regulador antes de 7.2, soportaron al peer a peer (P2P) que bloqueaba solamente para los WLAN que conmutaban centrales. El bloqueo del peer a peer se puede configurar en la red inalámbrica (WLAN) con ninguno de estos tres acciones:

• Discapacitado – Bloqueo entre iguales y tráfico Bridged de las neutralizaciones localmente dentro del regulador para los clientes en la misma subred. Éste es el valor predeterminado.

• Descenso – Hace el regulador desechar los paquetes para los clientes en la misma subred.

• Remita contra la corriente – Hace el paquete ser remitido en el VLA N por aguas arriba. Los dispositivos sobre el regulador deciden a qué acción a tomar con respecto al paquete.

De la versión 7.2 hacia adelante, el bloqueo del peer a peer se soporta para los clientes asociados en la red inalámbrica (WLAN) del Local Switching. Por la red inalámbrica (WLAN), la configuración entre iguales es avanzada por el regulador a FlexConnect AP.

Resumen

• El bloqueo del peer a peer se configura por la red inalámbrica (WLAN)

• Por la red inalámbrica (WLAN), la configuración de bloqueo entre iguales es avanzada por el WLC a FlexConnect AP.

• Tratan al peer a peer que bloquea la acción configurada como descenso o conexión en sentido ascendente-delantera en la red inalámbrica (WLAN) como bloqueo del peer a peer habilitado en FlexConnect AP.

Procedimiento

Complete estos pasos:

1. Habilite la acción de bloqueo entre iguales como descenso en la red inalámbrica (WLAN) configurada para el Local Switching de FlexConnect.

   

2. Una vez que el P2P que bloquea la acción se configura como el descenso o Delantero-conexión en sentido ascendente en la red inalámbrica (WLAN) configurada para el Local Switching, se avanza del WLC al FlexConnect AP. El FlexConnect AP salvará esta información en el archivo de configuración de la cosecha en el flash. Con esto, incluso cuando FlexConnect AP está en el modo autónomo, puede aplicar la configuración P2P en los subinterfaces correspondientes.

Limitaciones

• En FlexConnect, la solución P2P que bloquea la configuración no se puede aplicar solamente a un FlexConnect determinado AP o subconjunto de los AP. Se aplica a todo el FlexConnect AP que transmita el SSID.

• La única solución para los clientes centrales de la transferencia soporta el P2P conexión en sentido ascendente-delantero. Sin embargo, esto no será soportada en la solución de FlexConnect. Esto se trata como descenso P2P y los paquetes del cliente se caen en vez de remitido al nodo de red siguiente.

• La única solución para los clientes centrales de la transferencia soporta el P2P que bloquea para los clientes asociados a diversos AP. Sin embargo, esta solución apunta solamente a los clientes conectados con el mismo AP. FlexConnect ACL se puede utilizar como solución alternativa para esta limitación.

Descarga de la PRE-imagen AP

Esta característica permite que el AP descargue el código mientras que es operativa. La descarga de la PRE-imagen AP es extremadamente útil en la reducción del tiempo de inactividad de la red durante el mantenimiento de software o las actualizaciones.

Resumen

• Facilidad de la administración del software

• Horario por las actualizaciones del almacén: los NC son necesarios lograr esto

• Reduce el tiempo muerto

Procedimiento

Complete estos pasos:

1. Actualice la imagen en los controladores primarios y de backup.

   Navegue bajo el WLC GUI > los comandos > archivo de la descarga para comenzar la descarga.

   

2. Salve las configuraciones en los reguladores, pero no reinicie el regulador.

3. Publique el comando download de la PRE-imagen AP del controlador primario.

   1. Navegue al WLC GUI > Tecnología inalámbrica > los Puntos de acceso > todos los AP y elija el Punto de acceso para comenzar la descarga de la PRE-imagen.

   2. Una vez que se elige el Punto de acceso, haga clic la ficha Avanzadas.

   3. Haga clic la descarga primaria para iniciar la descarga de la PRE-imagen.

      

      

      

4. Reinicie los reguladores después de todo que las imágenes AP se descargan.

   Los AP ahora recurren al modo autónomo hasta que los reguladores estén reiniciando.

   Nota: En el modo autónomo, la tolerancia de fallas mantendrá a los clientes asociados.

   Una vez que el regulador está detrás, los AP reinician automáticamente con la imagen PRE-descargada.

   Después de reiniciar, los AP re-se unen al controlador primario y reanudan los servicios del cliente.

Limitaciones

• Trabajos solamente con CAPWAP AP.

Actualización de la imagen elegante de FlexConnect AP

La característica de la descarga de la PRE-imagen reduce la duración de inactividad hasta cierto punto, pero todavía todo el FlexConnect AP tiene que PRE-descarga las imágenes respectivas AP sobre el link PÁLIDO con la latencia más alta.

La actualización de la imagen eficiente AP reducirá el tiempo muerto para cada FlexConnect AP. La idea básica es solamente un AP de cada modelo AP descargará la imagen del regulador y actuará como el master/servidor, y el resto de los AP del mismo modelo trabajará que el esclavo/el cliente y PRE-descarga la imagen AP del master. La distribución de la imagen AP del servidor al cliente estará en una red local y no experimentará el tiempo de espera del link PÁLIDO. Como consecuencia, el proceso será más rápido.

Resumen

• Los AP principales y auxiliares se seleccionan para cada modelo AP por el grupo de FlexConnect

• El master descarga la imagen del WLC

• El esclavo descarga la imagen del master AP

• Reduce el tiempo muerto y guarda el ancho de banda WAN

Procedimiento

Complete estos pasos:

1. Actualice la imagen en el regulador.

   Navegue al WLC GUI > los comandos > archivo de la descarga para comenzar la descarga.

   

2. Salve las configuraciones en los reguladores, pero no reinicie el regulador.

3. Agregue el FlexConnect AP al grupo de FlexConnect.

   Navegue al WLC GUI > Tecnología inalámbrica > los grupos de FlexConnect > grupo de FlexConnect > la ficha general selectos > Add AP.

   

4. Haga clic el checkbox de la actualización de FlexConnect AP para alcanzar la actualización de la imagen eficiente AP.

   Navegue al WLC GUI > Tecnología inalámbrica > los grupos de FlexConnect > lengueta selecta del grupo > de la actualización de la imagen de FlexConnect.

   

5. El master AP puede ser seleccionado manualmente o automáticamente:

   1. Para seleccionar manualmente al master AP, navegar al WLC EL GUI > la Tecnología inalámbrica > los grupos de FlexConnect > lengueta selecta del grupo > de la actualización de la imagen de FlexConnect > FlexConnect AP principales, AP selecto de la lista desplegable, y tecleo agregan al master.

      

      Nota: Solamente un AP por el modelo se puede configurar como master AP. Si el AP principal se configura manualmente, el campo manual será puesto al día como sí.

   2. Para seleccionar automáticamente el AP principal, navegar al WLC GUI > Tecnología inalámbrica > grupos de FlexConnect > lengueta selecta del grupo > de la actualización de la imagen de FlexConnect, y hacer clic la actualización de FlexConnect.

      

      Nota: Si el AP principal se selecciona automáticamente, el campo manual será puesto al día como no.

6. Para comenzar la actualización de la imagen eficiente AP para todos los AP bajo grupo específico de FlexConnect, actualización de FlexConnect del tecleo.

   Navegue al WLC GUI > Tecnología inalámbrica > los grupos de FlexConnect > grupo de FlexConnect > lengueta selectos de la actualización de la imagen, y haga clic la actualización de FlexConnect.

   

   Nota: La cuenta de cantidad de intentos máxima auxiliar es la cantidad de intentos (44 por abandono) en la cual el esclavo AP hará para descargar una imagen del master AP, después de lo cual recurrirá a la descarga la imagen del WLC. Hará 20 tentativas contra el WLC para descargar una nueva imagen después de lo cual el administrador tiene que re-iniciado el proceso de la descarga.

7. Una vez que se inicia la actualización de FlexConnect, sólo el master AP descargará la imagen del WLC. Conforme a toda la página AP, el “papel de la actualización” será puesto al día como el master/central que signifique que el AP principal ha descargado la imagen del WLC que está en la ubicación central. El esclavo AP descargará la imagen del master AP que es en el sitio local y es la razón conforme a toda la página “papel AP de la actualización” será puesto al día como el esclavo/Local.

   Para verificar esto, navegue al WLC GUI > Tecnología inalámbrica.

   

8. Reinicie los reguladores después de todo que las imágenes AP se descargan. Los AP ahora recurren al modo autónomo hasta que los reguladores estén reiniciando.

   Nota: En el modo autónomo, la tolerancia de fallas mantendrá a los clientes asociados.

   Una vez que el regulador está detrás, los AP reinician automáticamente con la imagen PRE-descargada.

   Después de reiniciar, los AP re-se unen al controlador primario y reanudan los servicios del cliente.

Limitaciones

• La selección principal AP está por el grupo de FlexConnect y por el modelo AP en cada grupo.

• Solamente 3 AP auxiliares del mismo modelo pueden actualizar simultáneamente de su master AP y del resto del esclavo que los AP utilizarán el al azar retroceden el temporizador para revisar para el master AP para descargar la imagen AP.

• En el caso que el esclavo AP no puede descargar la imagen del master AP por alguna razón, irá al WLC para traer la nueva imagen.

• Esto trabaja solamente con CAPWAP AP.

Convertido auto AP en el modo de FlexConnect

La flexión 7500 proporciona estas dos opciones para convertir modo AP a FlexConnect:

• Modo manual

• Modo auto del convertido

Modo manual

Este modo está disponible en todas las Plataformas y permite que el cambio ocurra solamente encendido por la base AP.

1. Navegue al WLC GUI > Tecnología inalámbrica > todos los AP y elija el AP.

2. Seleccione FlexConnect como modo AP, después haga clic se aplican.

3. El cambio modo AP hace el AP reiniciar.

   

   Esta opción está también disponible en todas las Plataformas actuales del WLC.

Modo auto del convertido

Este modo está disponible solamente para el regulador de la flexión 7500 y se soporta solamente usando el CLI. Este modo acciona el cambio en todos los AP conectados. Se recomienda que la flexión 7500 está desplegada en un diverso dominio de la movilidad que los reguladores existentes del campus del WLC antes de que usted habilite este CLI:

(Cisco Controller) >config ap autoconvert ?

disable        Disables auto conversion of unsupported mode APs to supported 
                 modes when AP joins
flexconnect    Converts unsupported mode APs to flexconnect mode when AP joins
monitor        Converts unsupported mode APs to monitor mode when AP joins

(Cisco Controller) >

1. La característica de la Auto-conversión se inhabilita por abandono, que se puede verificar usando este comando show:

   (Cisco Controller) >show ap autoconvert
   
   AP Autoconvert .................................. Disabled

   modos NON-soportados AP = modo local, sniffer, detector rogue y Bridge.

   

   Esta opción está actualmente disponible solamente vía los CLI.

   Estos CLI están disponibles solamente en el WLC 7500.

2. La ejecución del flexconnect CLI del autoconvert ap de los config convierte todos los AP en la red con NON-soportado modo AP al modo de FlexConnect. Ninguna AP que están ya en FlexConnect o el modo monitor no son afectada.

   (Cisco Controller) >config ap autoconvert flexconnect
   
   
   (Cisco Controller) >show ap autoconvert
   
   AP Autoconvert .................................. FlexConnect
   
   (Cisco Controller) >

3. La ejecución del monitor CLI del autoconvert ap de los config convierte todos los AP en la red con NON-soportado modo AP al modo monitor. Ninguna AP que están ya en FlexConnect o el modo monitor no son afectada.

   (Cisco Controller >config ap autoconvert monitor
   
   
   (Cisco Controller) >show ap autoconvert
   
   AP Autoconvert ................................. Monitor

   No hay opción para realizar el autoconvertflexconnect ap de los config y el monitor del autoconvert ap de los config al mismo tiempo.

Soporte de FlexConnect WGB/uWGB para el Local Switching WLAN

De la versión 7.3 hacia adelante, WGB/uWGB y atado con alambre/los clientes de red inalámbrica detrás de los WGB se soportan y trabajarán como clientes normales en los WLAN configurados para el Local Switching.

Después de la asociación, el WGB envía los mensajes IAPP para cada uno de su atados con alambre/los clientes de red inalámbrica, y la flexión AP se comportará como sigue:

• Cuando la flexión AP está en el modo conectado, adelante todos los mensajes IAPP al regulador y al regulador procesará los mensajes IAPP lo mismo que el modo local AP. El tráfico para atado con alambre/los clientes de red inalámbrica será conmutado localmente de la flexión AP.

• Cuando el AP está en el modo autónomo, procesa los mensajes IAPP, atados con alambre/los clientes de red inalámbrica en el WGB debe poder registrarse y cancelar. Sobre la transición al modo conectado, la flexión AP enviará la información de los clientes atados con alambre de nuevo al regulador. El WGB enviará los mensajes de inscripción tres veces en que las transiciones de la flexión AP de independiente al modo conectado.

Atado con alambre/los clientes de red inalámbrica heredará la configuración WGB, que no significa ninguna configuración separada como la autenticación AAA, invalidación AAA, y FlexConnect ACL se requiere para los clientes detrás del WGB.

Resumen

• No se requiere ninguna configuración especial en el WLC para soportar el WGB en la flexión AP.

• La tolerancia de fallas se soporta para el WGB y los clientes detrás del WGB.

• El WGB se soporta en un IOS AP: 1240, 1130, 1140, 1260, y 1250.

Procedimiento

Complete estos pasos:

1. No hay configuración especial necesaria para habilitar el soporte WGB/uWGB en FlexConnect AP para los WLAN configurados para el Local Switching como WGB. También, la flexión AP tratan a los clientes detrás del WGB como clientes normales en los WLAN configurados Local Switching. Local Switching de FlexConnect del permiso en una red inalámbrica (WLAN).

   

2. Fije modo AP a FlexConnect.

   

3. Asocie el WGB a los clientes atados con alambre detrás de esta red inalámbrica (WLAN) configurada.

   

4. Para marcar los detalles para el WGB, vaya al monitor > a los clientes, y seleccione el WGB de la lista de clientes.

   

5. Para marcar los detalles del atados con alambre/los clientes de red inalámbrica detrás del WGB, vaya al monitor > a los clientes, y seleccione al cliente.

   

Limitaciones

• Los clientes atados con alambre detrás del WGB estarán siempre en el mismo VLA N que WGN sí mismo. El soporte del VLAN múltiple para los clientes detrás del WGB no se soporta en la flexión AP para los WLAN configurados para el Local Switching.

• Un máximo de 20 clientes (atados con alambre/Tecnología inalámbrica) se soporta detrás del WGB cuando está asociado para doblar el AP en la red inalámbrica (WLAN) configurada para el Local Switching. Este número es lo mismo que lo que tenemos hoy para el soporte WGB en el modo local AP.

• El auth de la red no se soporta para los clientes detrás del WGB asociado en los WLAN configurados para el Local Switching.

Soporte para un mayor número de servidores de RADIUS

Antes de la versión 7.4, la configuración de los servidores de RADIUS en el grupo de FlexConnect fue hecha de una lista global de servidores de RADIUS en el regulador. El número máximo de servidores de RADIUS, que pueden ser configurados en esta lista global, es 17. Con un número creciente de sucursales, es un requisito poder configurar a un servidor de RADIUS por el sitio secundario. En la versión 7.4 hacia adelante, será posible configurar primario y los servidores de RADIUS de reserva por el grupo de FlexConnect que puede o no puede ser parte de la lista global de 17 servidores de autenticación de RADIUS configuraron en el regulador.

Una configuración específica AP para los servidores de RADIUS también será soportada. La configuración específica AP tendrá mayor prioridad que la configuración de grupo de FlexConnect.

El comando de configuración existente en el grupo de FlexConnect, que necesita el índice del servidor de RADIUS en la lista global del servidor de RADIUS en el regulador, será desaprobado y substituido por un comando configuration, que configura a un servidor de RADIUS en el grupo de Flexconnect usando la dirección IP del servidor y del secreto compartido.

Resumen

• Soporte para la configuración de los servidores de RADIUS primarios y de reserva por el grupo de FlexConnect, que puede o no puede estar presente en la lista global de servidores de autenticación de RADIUS.

• El número máximo de servidores de RADIUS únicos que puedan ser agregados en un WLC es el número de grupos de FlexConnect que puedan ser configurados en los tiempos dados dos de una plataforma. Un ejemplo es un primario y un servidor RADIUS secundario por el grupo de FlexConnect.

• La actualización del software de una versión anterior para liberar 7.4 no causará ninguna pérdida de la configuración de RADIUS.

• La cancelacíon del servidor de RADIUS primario se permite sin tuvo que borrando al servidor RADIUS secundario. Esto es constante con la actual configuración de grupo de FlexConnect para el servidor de RADIUS.

Procedimiento

1. Modo de configuración antes de la versión 7.4.

   Un máximo de 17 servidores de RADIUS se puede configurar bajo configuración de la autenticación AAA.

   

2. Los servidores RADIUS primarios y secundarios pueden ser asociados a un grupo de FlexConnect usando una lista desplegable que comprende de los servidores de RADIUS configurados en la página de la autenticación AAA.

   

3. Modo de configuración en el grupo de FlexConnect en la versión 7.4.

   Los servidores RADIUS primarios y secundarios pueden ser configurados bajo grupo de FlexConnect usando una dirección IP, un número del puerto y un secreto compartido.

   

Limitaciones

• El downgrade del software de la versión 7.4 a una versión anterior conservará la configuración pero con algunas limitaciones.

• Configurar un primario/a un servidor RADIUS secundario cuando configuran anterior hará la más vieja entrada ser substituida por el nuevo.

Modo local aumentado (OLMO)

El OLMO se soporta en la solución de FlexConnect. Refiera a la guía de las mejores prácticas en el OLMO para más información.

Soporte del acceso de invitado en la flexión 7500

Cuadro 13: Soporte del acceso de invitado en la flexión 7500

La flexión 7500 permitirá que y continuará soporte la creación del túnel de EoIP a su regulador del ancla del invitado en el DMZ. Para las mejores prácticas en la solución inalámbrica del acceso de invitado, refiera al Guía de despliegue del invitado.

Manejo del WLC 7500 de los NC

La Administración del WLC 7500 de los NC es idéntica al WLCs existente de Cisco.

Para más información sobre los manejos del WLC y el descubrimiento de las plantillas, refieren a la guía de configuración del Cisco Wireless Control System, versión 7.0.172.0.

FAQ

P.. ¿Si configuro los revestimientos en un lugar remoto como FlexConnect, puedo dar a esos revestimientos un controlador primario y secundario?

Ejemplo: Un controlador primario está ubicado en el sitio A y un controlador secundario en el sitio B. Si el controlador en el sitio A falla, el LAP conmuta por error al controlador en el sitio B. ¿Si ambos reguladores son inasequibles hacen la caída del REVESTIMIENTO en el modo autónomo de FlexConnect?

R. Sí. Primero, el LAP conmuta por error al controlador secundario. Todas las WLAN que se conmutan localmente no tienen ningún cambio y todas las que se conmutan centralmente desvían el tráfico hacia el nuevo controlador. Y, si el controlador secundario falla, todas las WLANs marcadas para la conmutación local (y la autentificación de clave previamente compartida/abierta y el autenticador de AP) permanecen activadas.

P.. ¿Cómo los Puntos de acceso configurados en el modo local tratan de los WLAN configurados con el Local Switching de FlexConnect?

A. Las puntas de acceso de modo locales tratan estos WLAN como WLAN normales. La autentificación y el tráfico de datos se tunelizan de nuevo hacia WLC. Durante una falla del link de la WAN, esta WLAN está totalmente inactiva y no hay ningún cliente activo en ella hasta que se restaura la conexión al WLC.

P.. ¿Es posible realizar la autentificación web con conmutación local?

R. Sí, puede tener un SSID con la autentificación web habilitada y descartar el tráfico localmente después de la autentificación web. La autentificación web con conmutación local funciona correctamente.

P.. ¿Puedo utilizar mi Invitado-porta en el regulador para un SSID, que es dirigido localmente por el H COSECHA? En caso afirmativo, ¿qué sucede si pierdo la conectividad con el controlador? ¿Los clientes actuales se descartan inmediatamente?

R. Sí. Puesto que esta WLAN está localmente conmutada, la WLAN está disponible pero no se pueden autentificar clientes nuevos ya que la página web no está disponible. Pero los clientes existentes no se descartan.

Q. ¿Puede FlexConnect certificar la conformidad PCI?

R. Sí. Detección rogue de los soportes de la solución de FlexConnect para satisfacer la conformidad PCI.

Información Relacionada

• Diseño y Guía de despliegue HREAP
• Controladores LAN inalámbricos Cisco de la serie 4400
• Controladores LAN inalámbricos Cisco de la serie 2000
• Cisco Wireless Control System
• Cisco Mobility Services Engine de la serie 3300
• Cisco Aironet de la serie 3500
• Cisco Secure Access Control System
• Soporte Técnico y Documentación - Cisco Systems