Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la matrice des fonctionnalités de la fonction FlexConnect sur le contrôleur de réseau local sans fil (WLC). Cette matrice de fonctionnalités s'applique à Cisco Unified Wireless Network (CUWN) version 7.0.116 et ultérieure.
Note: De nouvelles fonctionnalités sont ajoutées à FlexConnect avec chaque nouvelle version. Consultez les notes de version pour obtenir les derniers détails.
Note: Dans les versions antérieures à la version 7.2, FlexConnect s'appelait Hybrid REAP (HREAP). Il est désormais toujours appelé FlexConnect.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations de ce document sont basées sur CUWN Versions 7.0.116.0 et ultérieures. Cet article a été mis à jour avec la version 8.8
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
FlexConnect est une solution sans fil pour les déploiements de filiales et de bureaux distants. Il vous permet de configurer et de contrôler les points d'accès dans une succursale ou un bureau distant à partir du bureau de l'entreprise via une liaison WAN sans déploiement d'un contrôleur dans chaque bureau. Les points d'accès FlexConnect peuvent commuter le trafic de données client localement et effectuer l'authentification client localement. Lorsqu'ils sont connectés au contrôleur, ils peuvent également renvoyer le trafic au contrôleur. FlexConnect est uniquement pris en charge sur ces composants :
L'authentification locale FlexConnect est utile lorsque vous ne pouvez pas maintenir une configuration de bureau distant avec une bande passante minimale de 128 kbit/s et une latence aller-retour de 100 ms maximum. La latence maximale tolérée pour FlexConnect est de 300 ms, quelles que soient les fonctionnalités utilisées.
La section suivante présente la matrice de fonctionnalités FlexConnect.
Note: Les AP pré-802, 11n, tels que 1130 ou 1240, sont toujours pris en charge par un code ultérieur. Cependant, ces points d'accès ne reçoivent pas de nouvelles fonctionnalités à partir de la version 7.3. Par conséquent, ces points d'accès ne prennent pas en charge les fonctionnalités FlexConnect qui apparaissent après la version 7.3. De même, les points d'accès 802.11n de première génération ne disposeront d'aucune des fonctionnalités FlexConnect de l'ensemble de fonctionnalités 8.1, même s'ils sont capables de rejoindre un tel WLC. Reportez-vous aux notes de version pour plus d'informations.
Note: Les points d'accès 802.11ac wave 2, tels que 18xx, 28xx et 38xx exécutant le système d'exploitation AP au lieu de l'IOS classique, peuvent avoir une prise en charge différente. Une matrice dédiée pour les points d'accès de la vague 2 est disponible ici : http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_for_802_11ac_wave2_access_points.html. Les données flex de base seront collées dans cette matrice ci-dessous, mais la matrice dédiée « wave 2 AP » aura toujours autorité sur ce document.
La prise en charge de la sécurité sur FlexConnect varie selon les modes et les états. Ce tableau récapitule les fonctions de sécurité prises en charge :
WAN Up (Commutation centralisée) | WAN actif (commutation locale) | WAN actif (commutation locale, authentification locale) | WAN hors service (autonome) | |
---|---|---|---|---|
WEP ouvert/statique | Oui | Oui | Oui | Oui |
WPA-PSK | Oui | Oui | Oui | Oui |
802.1x (WPA/WPA2) | Oui | Oui | Oui | Oui |
Authentification du filtre MAC | Oui | Oui | Non | Non |
Itinérance rapide CCKM | Oui | Oui | Non | Oui, pour les clients connectés. Non, pour les nouveaux clients. |
WAN Up (Commutation centralisée) | WAN actif (commutation locale) | WAN hors service (autonome) | |
---|---|---|---|
Chiffrement DTLS des données | Oui | S/O | S/O |
EAP local (7.0 à 7.4) | Oui (LEAP/EAP-FAST) | Oui (LEAP/EAP-FAST) | Oui (LEAP/EAP-FAST) |
EAP LocaL (7.5 et versions ultérieures) | Oui (LEAP/EAP-FAST/PEAP/EAP-TLS) | Oui (LEAP/EAP-FAST/PEAP/EAP-TLS) | Oui (LEAP/EAP-FAST/PEAP/EAP-TLS) |
Rayon de sauvegarde | Oui (7.0.116) | Oui (7.0.116) | Oui |
MIC | Oui | Oui | Sans objet |
La prise en charge de la sécurité sur FlexConnect varie selon les modes et les états. Ce tableau récapitule les fonctionnalités de sécurité héritées et nouvelles prises en charge par WLC version 7.0.116.0 et ultérieure :
WAN Up (Commutation centralisée) | WAN actif (commutation locale) | WAN actif (commutation locale, authentification locale) | WAN hors service (autonome) | |
---|---|---|---|---|
Prévention adaptative des intrusions sans fil (aWIPS) | Oui | Oui | Oui | Non |
Détection des intrusions non fiables (IDS) | Oui | Oui | Oui | Non |
Protection des trames de gestion (MFP) (Client, Infrastructure) | Oui | Oui (non pour la vague 2 APS) | Oui (non pour la vague 2 APS) | Non |
802.11w « MFP » | Oui (7.5) | Oui (7.5) | Oui (7.5) | Oui (7.5) |
Transition rapide 802.11r | Oui | Oui | Non | Non |
Certificat auto-signé (SSC) | Oui | Oui | Oui | S/O |
Protocole RLDP (Rogue Location Discovery Protocol) | Peut fonctionner, dépend du nombre de sauts et de la vitesse du WAN | Fonctionne, dépend du nombre de sauts, de la vitesse du WAN (non pour l'APS de la vague 2) | Fonctionne, dépend des sauts, de la vitesse WAN (non pour les APS de la vague 2) | Non |
Mise en cache des clés opportunistes (OKC) en itinérance rapide | Oui | Oui | Oui | No 1) |
Authentification locale FlexConnect | S/O | Oui | Oui | Oui |
Remplacement AAA Ipv4 |
Oui | Oui | Oui |
Oui |
Remplacement AAA Ipv6 |
Oui | Oui(5) | Oui(5) |
Oui(5) |
Attribution VLAN AAA par FlexGroup avec nom de VLAN |
S/O | Oui (8.1) | Oui (8.1) | Oui (8.1) |
ACL statique | Oui | Oui(2) Non |
Oui(2) Non |
Oui(2) Non |
Liste de contrôle d'accès RADIUS par utilisateur(4) | Oui (7.5) | Oui (7.5) | Oui (7.5) | Non |
ACL L C2 | Oui (7.5) | Oui (7.5) | Oui (7.5) | Oui (7.5) |
ACL DNS | Oui (7.6) | Non | Non | Non |
Blocage P2P | Oui | Oui | Oui | Oui |
LSC maillé | S/O | S/O | S/O | S/O |
Apportez votre propre périphérique /ISE(BYOD) | Oui | Oui (7.2.110.0) | Non |
Non |
Conformité PCI pour les kits voisins | Oui | Oui | Oui | Non |
Prise en charge DTLS de Russie | Oui | S/O | Non | Non |
wIPS Enhanced Local Mode (ELM) | Oui | Oui | Oui | Non |
Limiter les clients par WLAN | Oui | Oui(3) | Oui | Non |
Limiter les clients par radio | Oui | Oui | Oui | Oui |
Stratégie d'exclusion du client | Oui | Oui(3) | Oui | Non |
Radius NAC | Oui | Oui | Non | Non |
TrustSec SXP au niveau AP | Oui (8.4) | Oui (8.4) | Oui (8.4) | Oui (8.4) |
TrustSec SXP sur WLC | Oui (8.3) | Oui (8.3) | Oui (8.3) | Oui (8.3) |
Identité PSK | Oui (8,5) | Oui (8,5) | Non | Oui (8,5) |
Identité PSK avec blocage P2P | Oui (8,8) | Oui (8,8) | Non | Non |
Gestion des politiques et des quotas appliquée par AAA | Oui (8,8) | Oui (y compris Flex +Bridge) (8,8) | Non | Non |
(1) Oui pour les clients qui ont une association en mode Connecté. (4) Notez que la liste de contrôle d'accès par utilisateur sur FlexConnect ne remplace pas une liste de contrôle d'accès VLAN sur un point d'accès flexible comme si elle remplacait une liste de contrôle d'accès WLAN sur un point d'accès en mode local. Si la liste de contrôle d'accès par utilisateur est poussée et la liste de contrôle d'accès AAA-VLAN configurée sur le groupe flex, les deux prendront effet. (5)Avec la commutation locale FlexConnect, la multidiffusion est transmise uniquement pour le VLAN auquel le SSID est mappé et non à aucun VLAN remplacé. Par conséquent, IPv6 ne fonctionne pas comme prévu, car le trafic de multidiffusion est transféré à partir du VLAN incorrect. Par conséquent, l'affectation de VLAN n'est pas prise en charge sur la commutation locale avec ipv6 |
Note: À tout moment donné, un point d’accès a un maximum de 16 VLAN. Tout d'abord, les VLAN sont sélectionnés selon la configuration de l'AP (WLAN-VLAN), puis les autres VLAN sont repoussés du groupe FlexConnect dans l'ordre dans lequel ils sont configurés ou affichés dans le groupe FlexConnect. Si les logements VLAN sont pleins, un message d'erreur s'affiche
Ce tableau répertorie les services voix et vidéo hérités et nouveaux pris en charge par le WLC version 7.0.116.0 et ultérieure avec FlexConnect :
WAN Up (Commutation centrale) 100 ms RTT | WAN Up (commutation locale) 100 ms RTT | WAN hors service (autonome) | |
---|---|---|---|
Voix | Oui avec RTT 100 ms | Oui avec RTT 100 ms | Oui avec RTT 100 ms |
Oui avec RTT 900 ms (avec CCKM et OKC) | Oui avec RTT 900 ms (avec CCKM et OKC) | ||
Marques QoS(1) | Oui | Oui | Oui |
Contrat de bande passante QoS par utilisateur | Oui (7.4) | Oui (7.5) | Non |
UAPSD | Oui | Oui | Oui |
Diagnostics de la voix | Oui | Oui | Non |
Mesures vocales | Oui | Oui | Non |
TSPEC/Contrôle d'admission des appels (CAC) | Oui - non CCX | Oui - non CCX | Non |
Oui - CCX(2) | Oui - CCX(2) | ||
(1) Inclut les marques DSCP/dot1p. |
Ce tableau répertorie les services hérités et nouveaux pris en charge par le WLC version 7.0.116.0 et ultérieure avec FlexConnect :
WAN Up (Commutation centralisée) | WAN actif (commutation locale) | WAN actif (commutation locale, authentification locale) | WAN hors service (autonome) | |
---|---|---|---|---|
Webauth interne | Oui | Oui | Non | S/O |
Webauth externe | Oui (7.2.110.0) | Oui (7.2.110.0) | Non | S/O |
CleanAir (SI sur 3500) | Oui | Oui | Oui | S/O |
Multidiffusion monodiffusion (Vidéostream) | Oui (sauf sur 7500, 8500 et vWLC) | Oui (8.0) (pas sur les points d'accès de la vague 2) | Oui (8.0) (pas sur les points d'accès de la vague 2) | Oui (8.0) (pas sur les points d'accès de la vague 2) |
Emplacement | Oui avec limite BW/Scale | Oui avec limite BW/Scale | Oui avec limite BW/Scale | S/O |
Gestion des ressources radio | Oui | Oui | Oui | Non |
NG RRM - Regroupement statique RF | Oui(1) | Oui(1) | Oui | Non |
SE Connect (Cleanair Update) | Oui | Oui | Oui | No 2) |
Amélioration du S60 | Oui | Oui | Oui | Non |
Profilage | Oui | Oui (si vous avez activé le traitement DHCP central) | Oui(si vous avez activé le traitement DHCP central) | Non |
AVC3 | Oui (7.4) | Oui (8.1) | Oui (8.1) | Non |
Passerelle Bonjour | Oui | Non | Non | Non |
point d'accès mDNS | Oui | Non | Non | Non |
LSS | Oui | Non | Non | Non |
Services basés sur l'origine | Oui | Non | Non | Non |
MAC prioritaire | Oui | Non | Non | Non |
Navigateur Bonjour | Oui | Non | Non | Non |
Mode Flex+Bridge | Oui (8,0 mais 8,8 pour wave2) | Oui (8,0 mais 8,8 pour wave2) | Oui (8,0 mais 8,8 pour wave2) | Oui (8,0 mais 8,8 pour wave2) |
(1) Toutes les exigences spécifiques à RRM s'appliquent (au moins 4 points d'accès pour TPC). (3) FlexConnect AVC pris en charge sur tous les WLC (qui incluent vWLC) sauf 2504. |
WAN Up (Commutation centralisée) | WAN actif (commutation locale) | WAN hors service (autonome) | |
---|---|---|---|
Clients passifs | Non | Oui | Oui |
ARP Proxy | Oui (8.0) (8.3mr1 pour les points d'accès de la vague 2) | Oui (8.0) (8.3mr1 pour les points d'accès de la vague 2) | Oui (8.0) (8.3mr1 pour les points d'accès de la vague 2) |
Syslog | Oui | Oui | Oui |
CDP | Oui | Oui | Oui |
Liaison client | Oui | Oui | Oui(2) |
Équilibrage de charge(3) | Oui (7.4) | Oui (7.4) | Non |
Sélection de bande | Oui | Oui | Non |
Prétéléchargement de l'image AP | Oui | Oui | Non |
Mise à niveau d'image FlexConnect Smart AP | Oui | Oui | Oui(1) |
Mises à jour du domaine de régularité des points d'accès (Chili) | Oui | Oui | Oui |
Optimisation de mise en commun/diffusion VLAN. | Oui | S/O | S/O |
Maillage - liaison 24 | S/O | S/O | S/O |
Assistance Cisco WGB | Oui | Oui (7.3) (non pour la vague 2 APS) | Oui (7.3) (non pour la vague 2 APS) |
Assistance WGB tierce | Oui | Oui | Oui |
Proxy d'authentification Web | Oui | Oui | Non |
Augmentation du groupe AP FlexConnect | Oui | Oui | Oui |
Tolérance aux pannes des clients | S/O | Oui | S/O |
Option DHCP 60 | Oui | Oui | Oui |
DFS/802.11h | Oui | Oui | Oui |
VLAN de groupe AP | Oui | S/O | S/O |
Mappages de VLAN via FlexGroups | Oui | Oui | Oui |
Commutation centralisée vlan | Oui (8,5 pour les points d'accès wave2, 7,3 pour les points d'accès IOS) | Sans objet | Sans objet |
LAG AP | Oui (8,8) | Oui (8,8) | Oui (8,8) |
(1) Fourni si le point d'accès maître est déjà mis à niveau et que les points d'accès esclaves sont mis à jour avec leur point d'accès maître. (2) Uniquement sur les points d'accès 11n de deuxième génération et versions ultérieures (1600, 2600, 3600, etc.). (3) Les points d'accès FlexConnect n'envoient pas (re)association de réponses avec l'état 17 pour l'équilibrage de charge comme le font les points d'accès en mode local ; au lieu de cela, ils commencent par envoyer des réponses de (re)association avec l'état 0 (réussite), puis la valeur deauth avec la raison 5. Cela se produit lorsque le point d'accès gère l'association localement et que les décisions d'équilibrage de charge sont prises au niveau du WLC. Note: La fonctionnalité de client passif n'est pas prise en charge sur les points d'accès Flex. Cependant, les AP ne font pas le proxy ARP par défaut sur FlexConnect (et cela fait partie de la fonctionnalité de client passif). Au contraire, le proxy ARP a été ajouté comme fonctionnalité pour les AP FlexConnect avec la version 8.0 et ultérieure. |
WLAN Configuration |
Commutation locale | Commutation centrale | ||||
---|---|---|---|---|---|---|
CCKM | PMK (OKC) | Autres | CCKM | PMK (OKC) | Autres | |
Mobilité entre le même groupe flexible | Route rapide(1) | Route rapide(1) | Authentification complète (1) | Rotation rapide | Rotation rapide | Authentification complète |
Mobilité entre différents groupes flexibles | Authentification complète | Rotation rapide | Authentification complète | Authentification complète | Rotation rapide | Authentification complète |
Mobilité inter-contrôleurs | S/O | S/O | S/O | Authentification complète | Rotation rapide | Authentification complète |
(1) Le WLAN fourni est mappé au même VLAN (même sous-réseau). Si le WLAN est mappé à différents sous-réseaux, aucune itinérance rapide ne peut se produire car le client devra obtenir une nouvelle adresse IP. |
Note: L'itinérance rapide FT/802.11r nécessite également que les points d'accès soient dans le même FlexGroup. Seul WPA2 OKC, qui se produit au niveau du WLC, peut tolérer que les AP soient dans différents groupes FlexConnect pour l'itinérance rapide.
Note: Afin de prendre en charge le contrôle d'accès centralisé via un serveur AAA (Authentication, Authorization, and Accounting) centralisé, tel que Cisco Identity Services Engine (ISE) ou ACS, la liste de contrôle d'accès IPv6 peut être provisionnée par client à l'aide des attributs de remplacement AAA. Afin d'utiliser cette fonctionnalité, la liste de contrôle d'accès IPv6 doit être configurée sur le contrôleur et le WLAN doit être configuré avec la fonction de remplacement AAA activée. L'attribut AAA d'une liste de contrôle d'accès IPv6 est Airespace-IPv6-ACL-Name, similaire à l'attribut Airespace-ACL-Name utilisé pour provisionner une liste de contrôle d'accès IPv4. Le contenu renvoyé par l'attribut AAA doit être une chaîne égale au nom de la liste de contrôle d'accès IPv6, telle que configurée sur le contrôleur.