Matriz de recursos FlexConnect

Introduction

Este documento descreve a matriz de recursos para o recurso FlexConnect no Wireless LAN Controller (WLC). Esta matriz de recursos se aplica ao Cisco Unified Wireless Network (CUWN) versão 7.0.116 e posterior.

Note: Novos recursos são adicionados ao FlexConnect a cada nova versão. Revise as notas de versão para obter os detalhes mais recentes.

Note: Em versões anteriores à versão 7.2, o FlexConnect foi chamado de REAP híbrido (HREAP). Agora, ele é sempre conhecido como FlexConnect.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Controle e provisionamento do protocolo CAPWAP (Wireless Access Points, pontos de acesso sem fio)
• Configuração de access points (APs) leves e Cisco WLCs

Componentes Utilizados

As informações neste documento são baseadas nos CUWN Releases 7.0.116.0 e posteriores. Este artigo foi atualizado com a versão 8.8

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio 

FlexConnect

O FlexConnect é uma solução sem fio para implantações em filiais e escritórios remotos. Ele permite que você configure e controle APs em uma filial ou escritório remoto do escritório corporativo por meio de um link de WAN sem a implantação de um controlador em cada escritório. Os APs FlexConnect podem comutar o tráfego de dados do cliente localmente e executar a autenticação do cliente localmente. Quando estão conectados ao controlador, eles também podem enviar o tráfego de volta ao controlador. O FlexConnect só é suportado nestes componentes:

• 700, 1130AG, 1140, 1240AG, 1250, 1700, 1810, 1815, 1830, 1840, 1850, AP801, 16 00, 1700, 2600, 2700,2800, 3500I, 3500E, 3600, 3700, 3800, 1040, 1520, 153 0, 1550, 1560,1570 e 1260 APs
• Controladores Cisco Flex 8500 e 7500, Cisco 5500, 3504, vWLC e 2500 Series
• Switch WLC integrado Catalyst 3750G
• Cisco WiSM e WiSM2
• Módulo de rede do controlador para roteadores de serviços integrados

A autenticação local FlexConnect é útil quando não é possível manter uma configuração de escritório remoto com uma largura de banda mínima de 128 kb/s e uma latência de ida e volta de não mais de 100 ms. A latência máxima tolerada para o FlexConnect é de 300 ms, independentemente dos recursos usados.

A próxima seção descreve a Matriz de recursos do FlexConnect.

Note: Os APs pré-802 e 11n, como 1130 ou 1240, ainda são suportados por código posterior. No entanto, esses APs não recebem novos recursos a partir da versão 7.3. Portanto, esses APs não suportam os recursos FlexConnect exibidos após a versão 7.3. Da mesma forma, os APs 802.11n de primeira geração não terão nenhum dos recursos do FlexConnect do conjunto de recursos 8.1, mesmo que possam se unir a tal WLC. Consulte as notas de versão para obter mais informações.

Note: Os APs 802.11ac wave 2, como 18xx, 28xx e 38xx executando o SO do AP em vez do IOS típico, podem ter um suporte diferente para o conjunto de recursos. Uma matriz dedicada para APs da onda 2 está disponível aqui: http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_feature_matrix_for_802_11ac_wave2_access_points.html. Os dados básicos relacionados ao flex serão colados nesta matriz abaixo, mas a matriz dedicada "APs da onda 2" sempre terá autoridade sobre este documento.

Matriz de recursos do FlexConnect - recursos antigos e novos na versão 7.0.116 e posterior

Segurança - Cliente

O suporte de segurança no FlexConnect varia com modos e estados diferentes. Esta tabela resume os recursos de segurança suportados:

	WAN ativada (switching central)	WAN ativada (comutação local)	WAN ativada (switching local, autenticação local)	WAN desativada (independente)
WEP aberta/estática	Yes	Yes	Yes	Yes
WPA-PSK	Yes	Yes	Yes	Yes
802.1x (WPA/WPA2)	Yes	Yes	Yes	Yes
Autenticação de filtro MAC	Yes	Yes	No	No
Roaming rápido CCKM	Yes	Yes	No	Sim, para clientes conectados. Não, para novos clientes.

Segurança - Infraestrutura

	WAN ativada (switching central)	WAN ativada (comutação local)	WAN desativada (independente)
Criptografia DTLS de dados	Yes	N/A	N/A
EAP local (7.0 a 7.4)	Sim (LEAP/EAP-FAST)	Sim (LEAP/EAP-FAST)	Sim (LEAP/EAP-FAST)
LocaL EAP (7.5 e posterior)	Sim (LEAP/EAP-FAST/PEAP/EAP-TLS)	Sim (LEAP/EAP-FAST/PEAP/EAP-TLS)	Sim (LEAP/EAP-FAST/PEAP/EAP-TLS)
Raio de backup	Sim (7.0.116)	Sim (7.0.116)	Yes
MIC	Yes	Yes	Não aplicável

Security

O suporte de segurança no FlexConnect varia com modos e estados diferentes. Esta tabela resume os recursos de segurança antigos e novos suportados com o WLC versão 7.0.116.0 e posterior:

	WAN ativada (switching central)	WAN ativada (comutação local)	WAN ativada (switching local, autenticação local)	WAN desativada (independente)
Prevenção de intrusão sem fio adaptável (aWIPS)	Yes	Yes	Yes	No
Invasor, detecção de intrusão (IDS)	Yes	Yes	Yes	No
Proteção de Quadro de Gerenciamento (MFP - Management Frame Protection) (Cliente, Infraestrutura)	Yes	Sim (não para APS da onda 2)	Sim (não para APS da onda 2)	No
"MFP" 802.11w	Sim (7.5)	Sim (7.5)	Sim (7.5)	Sim (7.5)
Transição rápida 802.11r	Yes	Yes	No	No
Certificado autoassinado (SSC)	Yes	Yes	Yes	N/A
Protocolo de descoberta de local invasor (RLDP)	Pode funcionar, depende de saltos, da velocidade da WAN	Pode funcionar, depende de saltos, velocidade da WAN (não para APS da onda 2)	Pode funcionar, depende de saltos, velocidade da WAN (não para APS da onda 2)	No
Roam Rápido de Cache de Chave Oportunista (OKC)	Yes	Yes	Yes	Nº (1)
Autenticação local do FlexConnect	N/A	Yes	Yes	Yes
Substituição de AAA do Ipv4	Yes	Yes	Yes	Yes
Substituição de AAA do Ipv6	Yes	Sim(5)	Sim(5)	Sim(5)
Atribuição de VLAN AAA por FlexGroup com nome de VLAN	N/A	Sim (8.1)	Sim (8.1)	Sim (8.1)
ACL estática	Yes	Sim(2) No	Sim(2) No	Sim(2) No
ACL RADIUS por usuário(4)	Sim (7.5)	Sim (7.5)	Sim (7.5)	No
ACL L2	Sim (7.5)	Sim (7.5)	Sim (7.5)	Sim (7.5)
ACL DNS	Sim (7.6)	No	No	No
Bloqueio P2P	Yes	Yes	Yes	Yes
LSC de malha	N/A	N/A	N/A	N/A
Traga seu próprio dispositivo /ISE(BYOD)	Yes	Sim (7.2.110.0)	No	No
Conformidade PCI para pacotes vizinhos	Yes	Yes	Yes	No
Suporte DTLS russo	Yes	N/A	No	No
Modo local avançado wIPS (ELM)	Yes	Yes	Yes	No
Limitar clientes por WLAN	Yes	Sim(3)	Yes	No
Limitar clientes por rádio	Yes	Yes	Yes	Yes
Política de Exclusão de Cliente	Yes	Sim(3)	Yes	No
NAC RADIUS	Yes	Yes	No	No
TrustSec SXP no nível de AP	Sim (8.4)	Sim (8.4)	Sim (8.4)	Sim (8.4)
TrustSec SXP em WLC	Sim (8.3)	Sim (8.3)	Sim (8.3)	Sim (8.3)
PSK de identidade	Sim (8.5)	Sim (8.5)	No	Sim (8.5)
PSK de identidade com bloqueio P2P	Sim (8.8)	Sim (8.8)	No	No
Política e gerenciamento de cotas impostas pela AAA	Sim (8.8)	Sim (incluindo Flex +Bridge) (8.8)	No	No
(1) Sim para clientes que têm associação no modo Conectado. (2) As ACLs (Access Control Lists, listas de controle de acesso) FlexConnect devem ser usadas. Observe que ACLs flex não são suportadas na VLAN nativa do AP! (3) Limites/exclusão feitos pelo WLC para que o cliente seja desautorizado após uma Resposta de Associação bem-sucedida. (4) Observe que a ACL por usuário no FlexConnect não substitui uma ACL de VLAN no AP flexível como substituiria uma ACL de WLAN no AP do modo local. Se a ACL AAA-VLAN configurada no grupo flex for enviada para cada ACL de usuário e para o grupo flex, ambos entrarão em vigor. (5) Com a comutação local FlexConnect, o Multicast é encaminhado somente para a VLAN à qual o SSID está mapeado e não para nenhuma VLAN substituída. Portanto, o IPv6 não funciona como esperado porque o tráfego Multicast é encaminhado da VLAN incorreta. Portanto, a atribuição de vlan não é suportada na comutação local com ipv6

Note: Em qualquer ponto, um AP tem um máximo de 16 VLANs. Primeiro, as VLANs são selecionadas de acordo com a configuração do AP (WLAN-VLAN) e, em seguida, as VLANs restantes são enviadas do grupo FlexConnect na ordem em que são configuradas ou exibidas no grupo FlexConnect. Se os slots de VLAN estiverem cheios, uma mensagem de erro será exibida

Voz e Vídeo

Esta tabela lista os serviços de voz e vídeo antigos e novos compatíveis com o WLC versão 7.0.116.0 e posterior com o FlexConnect:

	WAN ativado (switching central) 100 ms RTT	WAN up (comutação local) 100 ms RTT	WAN desativada (independente)
Voz	Sim com RTT 100 ms	Sim com RTT 100 ms	Sim com RTT 100 ms
		Sim com RTT 900 ms (com CCKM e OKC)	Sim com RTT 900 ms (com CCKM e OKC)
Marcas de QoS(1)	Yes	Yes	Yes
Contrato de largura de banda de QoS por usuário	Sim (7.4)	Sim (7.5)	No
UAPSD	Yes	Yes	Yes
Diagnóstico de voz	Yes	Yes	No
Métricas de voz	Yes	Yes	No
TSPEC /Controle de admissão de chamada (CAC)	Sim - não CCX	Sim - não CCX	No
	Sim - CCX(2)	Sim - CCX(2)
(1) Inclui as marcas DSCP/dot1p. (2) CAC na WLC, desautorização em caso de falha de roaming.

Services

Esta tabela lista os serviços antigos e novos suportados com o WLC versão 7.0.116.0 e posterior com o FlexConnect:

	WAN ativada (switching central)	WAN ativada (comutação local)	WAN ativada (switching local, autenticação local)	WAN desativada (independente)
Webauth interno	Yes	Yes	No	N/A
Webauth externo	Sim (7.2.110.0)	Sim (7.2.110.0)	No	N/A
CleanAir (SI no 3500)	Yes	Yes	Yes	N/A
Multicast-Unicast (Videostream)	Sim (exceto no 7500, 8500 e vWLC)	Sim (8.0) (não em APs da onda 2)	Sim (8.0) (não em APs da onda 2)	Sim (8.0) (não em APs da onda 2)
Local	Sim com limitação de BW/escala	Sim com limitação de BW/Escala	Sim com limitação de BW/Escala	N/A
Gerenciamento de recursos de rádio	Yes	Yes	Yes	No
NG RRM - Agrupamento Estático de RF	Sim(1)	Sim(1)	Yes	No
SE Connect (Atualização Cleanair)	Yes	Yes	Yes	Nº(2)
Aprimoramento da S60	Yes	Yes	Yes	No
Criação de perfis	Yes	Sim (se você ativou o processamento DHCP central)	Sim(se você ativou o processamento DHCP central)	No
AVC3	Sim (7.4)	Sim (8.1)	Sim (8.1)	No
Gateway Bonjour	Yes	No	No	No
AP mDNS	Yes	No	No	No
LSS	Yes	No	No	No
Serviços baseados na origem	Yes	No	No	No
MAC de prioridade	Yes	No	No	No
Bonjour Browser	Yes	No	No	No
Modo Flex+Bridge	Sim (8.0 mas 8.8 para a onda2)	Sim (8.0 mas 8.8 para a onda2)	Sim (8.0 mas 8.8 para a onda2)	Sim (8.0 mas 8.8 para a onda2)
(1) Todos os requisitos específicos do RRM se aplicam (pelo menos 4 APs para o TPC). (2) Sim para autônomo após desconexão da WLC, mas não para reinicialização. (3) O FlexConnect AVC é compatível com todas as WLCs (que incluem o vWLC), exceto o 2504.

Infraestrutura

	WAN ativada (switching central)	WAN ativada (comutação local)	WAN desativada (independente)
Clientes passivos	No	Yes	Yes
Proxy ARP	Sim (8.0) (8.3mr1 para APs da onda 2)	Sim (8.0) (8.3mr1 para APs da onda 2)	Sim (8.0) (8.3mr1 para APs da onda 2)
Syslog	Yes	Yes	Yes
CDP	Yes	Yes	Yes
Link do cliente	Yes	Yes	Sim(2)
Balanceamento de carga(3)	Sim (7.4)	Sim (7.4)	No
Seleção de banda	Yes	Yes	No
Pré-download da imagem AP	Yes	Yes	No
Atualização de imagem do FlexConnect Smart AP	Yes	Yes	Sim(1)
Atualizações de domínio de regularidade de AP (Chile)	Yes	Yes	Yes
VLAN Pooling/Mcast Optim.	Yes	N/A	N/A
Malha - 24 backhaul	N/A	N/A	N/A
Suporte Cisco WGB	Yes	Sim (7.3) (não para APS da onda 2)	Sim (7.3) (não para APS da onda 2)
Suporte WGB de terceiros	Yes	Yes	Yes
Proxy de autenticação da Web	Yes	Yes	No
Aumento do grupo AP FlexConnect	Yes	Yes	Yes
Tolerância a falhas do cliente	N/A	Yes	N/A
Opção de DHCP 60	Yes	Yes	Yes
DFS/802.11h	Yes	Yes	Yes
VLANs de grupo AP	Yes	N/A	N/A
Mapeamentos de VLAN por meio de FlexGroups	Yes	Yes	Yes
switching central baseada em vlan	Sim (8.5 para APs wave2, 7.3 para APs IOS)	Não aplicável	Não aplicável
LAG AP	Sim (8.8)	Sim (8.8)	Sim (8.8)
(1) Fornecido se o AP mestre já está atualizado e os APs escravos são atualizados com seu AP mestre. (2) Somente em APs 11n de segunda geração e posteriores (1600, 2600, 3600 e assim por diante). (3) Os APs FlexConnect não enviam (re)respostas de (re)associação com o status 17 para balanceamento de carga como os APs no modo local; em vez disso, eles primeiro enviam (re)respostas de associação com status 0 (sucesso) e depois tratam do motivo 5. Isso ocorre quando o AP lida com a associação localmente e as decisões de balanceamento de carga são tomadas na WLC. Note: O recurso de cliente passivo não é suportado em APs Flex. No entanto, os APs não fazem proxy ARP por padrão no FlexConnect (e isso faz parte do recurso de cliente passivo). Pelo contrário, o proxy ARP foi adicionado como um recurso para APs FlexConnect com a versão 8.0 e posterior.

Cenários de mobilidade/roaming

WLAN Configuração	Switching local			Comutação central
	CCKM	PMK (OKC)	Outros	CCKM	PMK (OKC)	Outros
Mobilidade entre o mesmo grupo flexível	roaming rápido(1)	roaming rápido(1)	Autenticação completa(1)	Roam rápido	Roam rápido	Autenticação completa
Mobilidade entre grupos flexíveis diferentes	Autenticação completa	Roam rápido	Autenticação completa	Autenticação completa	Roam rápido	Autenticação completa
Mobilidade entre controladores	N/A	N/A	N/A	Autenticação completa	Roam rápido	Autenticação completa
(1) A WLAN fornecida é mapeada para a mesma VLAN (mesma sub-rede). Se a WLAN for mapeada para sub-redes diferentes, não poderá ocorrer roaming rápido, pois o cliente terá que obter um novo endereço IP.

Note: O roaming rápido FT/802.11r também exige que os APs estejam no mesmo FlexGroup. Somente o WPA2 OKC, que acontece no nível da WLC, pode tolerar APs em diferentes grupos FlexConnect para roaming rápido.

Note: Para suportar controle de acesso centralizado por meio de um servidor centralizado de Autenticação, Autorização e Contabilidade (AAA - Authentication, Authorization, and Accounting), como o Cisco Identity Services Engine (ISE) ou ACS, a ACL IPv6 pode ser provisionada por cliente com o uso de atributos de Sobreposição de AAA. Para usar esse recurso, a ACL IPv6 deve ser configurada no controlador e a WLAN deve ser configurada com o recurso de substituição de AAA habilitado. O atributo AAA para uma ACL IPv6 é Airespace-IPv6-ACL-Name, semelhante ao atributo Airespace-ACL-Name usado para provisionar uma ACL baseada em IPv4. O conteúdo retornado pelo atributo AAA deve ser uma string igual ao nome da ACL IPv6, conforme configurado no controlador.

Informações Relacionadas

• Guia de implantação e design do H-Reap
• Solução básica de problemas do H-REAP (Hybrid Remote Edge Access Point)
• Guia de configuração de Cisco Wireless LAN Controller, versão 7.0
• Suporte Técnico e Documentação - Cisco Systems