El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
En este documento se describe la matriz de funciones para la función de FlexConnect en el controlador de LAN inalámbrica (WLC).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información de este documento se basa en CUWN Releases 7.0.116.0 y posteriores. Este artículo se ha actualizado con la versión 8.8
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
FlexConnect es una solución inalámbrica para implementaciones en sucursales y oficinas remotas. Permite configurar y controlar los puntos de acceso en una sucursal u oficina remota desde la oficina corporativa a través de un enlace WAN sin la implementación de un controlador en cada oficina. Los puntos de acceso de FlexConnect pueden conmutar el tráfico de datos del cliente de forma local y realizar la autenticación del cliente de forma local. Cuando se conectan al controlador, también pueden enviar el tráfico de vuelta al controlador. FlexConnect solo es compatible con estos componentes:
La autenticación local de FlexConnect es útil cuando no se puede mantener una configuración de oficina remota con un ancho de banda mínimo de 128 kb/s y una latencia de ida y vuelta no superior a 100 ms. La latencia máxima tolerada para FlexConnect es de 300 ms, independientemente de las funciones que se utilicen.
En la siguiente sección se describe la matriz de funciones de FlexConnect.
Nota: Los AP 11n anteriores a 802, como 1130 o 1240, todavía son compatibles con el código posterior. Sin embargo, estos AP no reciben nuevas funciones a partir de la versión 7.3. Por lo tanto, estos puntos de acceso no admiten las funciones de FlexConnect que aparecen después de la versión 7.3. Del mismo modo, los AP 802.11n de primera generación no tienen ninguna de las funciones de FlexConnect del conjunto de funciones 8.1 incluso si pueden unirse a un WLC de este tipo. Consulte las notas de la versión para obtener más información.
Nota: Los AP 802.11ac wave 2 y los AP Catalyst están cubiertos por este documento que reemplaza esta matriz que se centra solamente en las versiones de AireOS: https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html
La compatibilidad con la seguridad de FlexConnect varía según los modos y estados. En esta tabla se resumen las funciones de seguridad compatibles:
WAN Up (switching central) | WAN activa (switching local) | WAN activa (conmutación local, autenticación local) | WAN desactivada (independiente) | |
---|---|---|---|---|
WEP abierta/estática | Yes | Yes | Yes | Yes |
WPA-PSK | Yes | Yes | Yes | Yes |
802.1x (WPA/WPA2) | Yes | Yes | Yes | Yes |
Autenticación de filtro MAC | Yes | Yes | No | No |
Itinerancia rápida de CCKM | Yes | Yes | No | Sí, para clientes conectados. No, para nuevos clientes. |
WAN Up (switching central) | WAN activa (switching local) | WAN desactivada (independiente) | |
---|---|---|---|
Cifrado DTLS de datos | Yes | N/A | N/A |
EAP local (7.0 a 7.4) | Sí (LEAP/EAP-FAST) | Sí (LEAP/EAP-FAST) | Sí (LEAP/EAP-FAST) |
EAP local (7.5 y versiones posteriores) | Sí (LEAP/EAP-FAST/PEAP/EAP-TLS) | Sí (LEAP/EAP-FAST/PEAP/EAP-TLS) | Sí (LEAP/EAP-FAST/PEAP/EAP-TLS) |
Radio de backup | Sí (7.0.116) | Sí (7.0.116) | Yes |
MIC | Yes | Yes | No aplicable |
La compatibilidad con la seguridad de FlexConnect varía según los modos y estados. Esta tabla resume las características de seguridad nuevas y heredadas soportadas con WLC Release 7.0.116.0 y posteriores:
WAN Up (switching central) | WAN activa (switching local) | WAN activa (conmutación local, autenticación local) | WAN desactivada (independiente) | |
---|---|---|---|---|
Prevención de intrusiones inalámbricas adaptables (aWIPS) | Yes | Yes | Yes | No |
Detección de intrusiones (IDS) no fiables | Yes | Yes | Yes | No |
Protección de tramas de gestión (MFP) (cliente, infraestructura) | Yes | Sí (no para APS de la fase 2) | Sí (no para APS de la fase 2) | No |
"MFP" 802.11w | Sí (7.5) | Sí (7.5) | Sí (7.5) | Sí (7.5) |
Transición rápida a 802.11r | Yes | Yes | No | No |
Certificado de firma automática (SSC) | Yes | Yes | Yes | N/A |
Protocolo de detección de ubicaciones no fiables (RLDP) | puede funcionar, depende de los saltos, la velocidad de la WAN | puede funcionar, depende de los saltos, la velocidad de la WAN (no para los AP de la onda 2) | puede funcionar, depende de los saltos, la velocidad de la WAN (no para los AP de la onda 2) | No |
Itinerancia rápida de Opportunistic Key Caching (OKC) | Yes | Yes | Yes | Nº (1) |
Autenticación local de FlexConnect | N/A | Yes | Yes | Yes |
Anulación AAA de Ipv4 |
Yes | Yes | Yes |
Yes |
Anulación AAA de Ipv6 |
Yes | Sí (5) | Sí (5) |
Sí (5) |
Asignación de VLAN AAA por FlexGroup con nombre de VLAN |
N/A | Sí (8.1) | Sí (8.1) | Sí (8.1) |
ACL estática | Yes | Sí (2) No |
Sí (2) No |
Sí (2) No |
ACL RADIUS por usuario(4) | Sí (7.5) | Sí (7.5) | Sí (7.5) | No |
ACL L2 | Sí (7.5) | Sí (7.5) | Sí (7.5) | Sí (7.5) |
ACL de DNS | Sí (7.6) | No | No | No |
Bloqueo P2P | Yes | Yes | Yes | Yes |
LSC de malla | N/A | N/A | N/A | N/A |
Uso de dispositivos propios/ISE (BYOD) | Yes | Sí (7.2.110.0) | No |
No |
Conformidad con PCI para paquetes vecinos | Yes | Yes | Yes | No |
Compatibilidad con DTLS de Rusia | Yes | N/A | No | No |
Modo local mejorado (ELM) wIPS | Yes | Yes | Yes | No |
Limitar clientes por WLAN | Yes | Sí (3) | Yes | No |
Límite de clientes por radio | Yes | Yes | Yes | Yes |
Directiva de exclusión de clientes | Yes | Sí (3) | Yes | No |
Radius NAC | Yes | Yes | No | No |
TrustSec SXP en el nivel de PA | Sí (8.4) | Sí (8.4) | Sí (8.4) | Sí (8.4) |
TrustSec SXP en WLC | Sí (8.3) | Sí (8.3) | Sí (8.3) | Sí (8.3) |
Identidad PSK | Sí (8.5) | Sí (8.5) | No | Sí (8.5) |
Identidad PSK con bloqueo P2P | Sí (8.8) | Sí (8.8) | No | No |
Gestión de políticas y cuotas conforme a AAA | Sí (8.8) | Sí (incluido Flex +Bridge) (8.8) | No | No |
(1) Sí para los clientes que tienen asociación en el modo conectado. (4) Tenga en cuenta que la ACL por usuario en FlexConnect no invalida una ACL de VLAN en el AP flexible como si invalidara una ACL de WLAN en el AP de modo local. Si se insertan ambos por usuario-ACL y se configura AAA-VLAN ACL en el grupo flex, ambos surten efecto. (5)Con el switching local de FlexConnect, la multidifusión se reenvía solo para la VLAN a la que está asignado el SSID y no para ninguna VLAN anulada. Por lo tanto, IPv6 no funciona como se esperaba porque el tráfico de multidifusión se reenvía desde la VLAN incorrecta. Por lo tanto, la asignación de vlan no se soporta en el switching local con ipv6 |
Nota: En cualquier punto dado, un AP tiene un máximo de 16 VLAN. En primer lugar, las VLAN se seleccionan según la configuración del punto de acceso (WLAN-VLAN) y, a continuación, las VLAN restantes se envían desde el grupo FlexConnect en el orden en que se configuran o muestran en el grupo FlexConnect. Si las ranuras VLAN están llenas, se muestra un mensaje de error
Esta tabla enumera los servicios de voz y video antiguos y nuevos soportados con WLC Release 7.0.116.0 y posteriores con FlexConnect:
WAN Up (conmutación central) 100 ms RTT | WAN Up (conmutación local) 100 ms RTT | WAN desactivada (independiente) | |
---|---|---|---|
Voice | Sí, con RTT de 100 ms | Sí, con RTT de 100 ms | Sí, con RTT de 100 ms |
Sí, con RTT de 900 ms (con CCKM y OKC) | Sí, con RTT de 900 ms (con CCKM y OKC) | ||
Calidad de servicio(1) | Yes | Yes | Yes |
Contrato de ancho de banda QoS por usuario | Sí (7.4) | Sí (7.5) | No |
UAPSD | Yes | Yes | Yes |
Diagnóstico de voz | Yes | Yes | No |
Métricas de voz | Yes | Yes | No |
TSPEC/Control de admisión de llamadas (CAC) | Sí - no CCX | Sí - no CCX | No |
Sí: CCX(2) | Sí: CCX(2) | ||
(1) Incluye ambas marcas DSCP/dot1p. |
Esta tabla enumera los servicios nuevos y antiguos soportados con WLC Release 7.0.116.0 y posteriores con FlexConnect:
WAN Up (switching central) | WAN activa (switching local) | WAN activa (conmutación local, autenticación local) | WAN desactivada (independiente) | |
---|---|---|---|---|
Webauth interno | Yes | Yes | No | N/A |
Webauth externo | Sí (7.2.110.0) | Sí (7.2.110.0) | No | N/A |
CleanAir (SI en 3500) | Yes | Yes | Yes | N/A |
Multidifusión-unidifusión (Videostream) | Sí (excepto en 7500, 8500 y vWLC) | Sí (8.0) (no en los puntos de acceso de la etapa 2) | Sí (8.0) (no en los puntos de acceso de la etapa 2) | Sí (8.0) (no en los puntos de acceso de la etapa 2) |
Ubicación | Sí, con limitación de ancho de banda/escala | Sí, con limitación de ancho de banda/escalabilidad | Sí, con limitación de ancho de banda/escalabilidad | N/A |
Gestión de recursos de radio | Yes | Yes | Yes | No |
NG RRM - Agrupación estática de RF | Sí (1) | Sí (1) | Yes | No |
SE Connect (actualización de Cleanair) | Yes | Yes | Yes | Nº (2) |
Mejora de S60 | Yes | Yes | Yes | No |
Perfiles | Yes | Sí (si ha activado el procesamiento DHCP central) | Sí (si ha activado el procesamiento DHCP central) | No |
AVC3 | Sí (7.4) | Sí (8.1) | Sí (8.1) | No |
Gateway Bonjour | Yes | No | No | No |
AP mDNS | Yes | No | No | No |
LSS | Yes | No | No | No |
Servicios basados en el origen | Yes | No | No | No |
MAC de prioridad | Yes | No | No | No |
Explorador Bonjour | Yes | No | No | No |
Modo Flex+Bridge | Sí (8.0 pero 8.8 para wave2) | Sí (8.0 pero 8.8 para wave2) | Sí (8.0 pero 8.8 para wave2) | Sí (8.0 pero 8.8 para wave2) |
(1) Se aplican todos los requisitos específicos de RRM (al menos 4 AP para TPC). (3) FlexConnect AVC es compatible con todos los WLC (que incluyen vWLC) excepto 2504. |
WAN Up (switching central) | WAN activa (switching local) | WAN desactivada (independiente) | |
---|---|---|---|
Clientes pasivos | No | Yes | Yes |
Proxy ARP | Sí (8.0) (8.3mr1 para AP de onda 2) | Sí (8.0) (8.3mr1 para AP de onda 2) | Sí (8.0) (8.3mr1 para AP de onda 2) |
Syslog | Yes | Yes | Yes |
CDP | Yes | Yes | Yes |
Enlace de cliente | Yes | Yes | Sí (2) |
Equilibrio de carga(3) | Sí (7.4) | Sí (7.4) | No |
Selección de banda | Yes | Yes | No |
PreDownload de imagen AP | Yes | Yes | No |
Actualización de imagen de punto de acceso inteligente FlexConnect | Yes | Yes | Sí (1) |
Actualizaciones de dominio de regulación de AP (Chile) | Yes | Yes | Yes |
Agrupación VLAN/Mcast Optim. | Yes | N/A | N/A |
Malla - 24 red de retorno | N/A | N/A | N/A |
Compatibilidad con Cisco WGB | Yes | Sí (7.3) (no para APS de la fase 2) | Sí (7.3) (no para APS de la fase 2) |
Compatibilidad con WGB de terceros | Yes | Yes | Yes |
Proxy de autenticación web | Yes | Yes | No |
Aumento del grupo de puntos de acceso de FlexConnect | Yes | Yes | Yes |
Tolerancia a fallos del cliente | N/A | Yes | N/A |
Opción DHCP 60 | Yes | Yes | Yes |
DFS/802.11h | Yes | Yes | Yes |
VLAN de grupo de AP | Yes | N/A | N/A |
Asignaciones de VLAN mediante FlexGroups | Yes | Yes | Yes |
Switching central basado en VLAN | Sí (8.5 para AP wave2, 7.3 para AP IOS) | No aplicable | No aplicable |
RETRASO DEL AP | Sí (8.8) | Sí (8.8) | Sí (8.8) |
La función de cliente pasivo no se soporta en los AP Flex. Sin embargo, los AP no realizan ARP proxy de forma predeterminada en FlexConnect (y eso es parte de la función de cliente pasivo). Por el contrario, ARP proxy se agregó como una función para los AP FlexConnect con la versión 8.0 y posteriores. (1) Se proporciona si el punto de acceso del cliente potencial ya está actualizado y los puntos de acceso del miembro se actualizan con su punto de acceso del cliente potencial. (2) Solo en los puntos de acceso 11n de segunda generación y posteriores (1600, 2600, 3600, etc.). (3) Los AP de FlexConnect no envían respuestas de (re)asociación con estado 17 para el equilibrio de carga, al igual que los AP de modo local; en su lugar, primero envían respuestas de (re)asociación con estado 0 (correcto) y, a continuación, mueren con motivo 5. Esto ocurre cuando el AP maneja la asociación localmente y las decisiones de balanceo de carga se toman en el WLC. |
WLAN Configuración |
Conmutación local | Switching central | ||||
---|---|---|---|---|---|---|
CCKM | PMK (OKC) | Otros | CCKM | PMK (OKC) | Otros | |
Movilidad entre el mismo grupo flexible | Viaje de negocios(1) | Viaje de negocios(1) | Aut. completa(1) | Itinerancia rápida | Itinerancia rápida | Autenticación completa |
Movilidad entre diferentes grupos de Flex | Autenticación completa | Itinerancia rápida | Autenticación completa | Autenticación completa | Itinerancia rápida | Autenticación completa |
Movilidad entre controladores | N/A | N/A | N/A | Autenticación completa | Itinerancia rápida | Autenticación completa |
(1) La WLAN proporcionada se asigna a la misma VLAN (misma subred). Si la WLAN se mapea a diferentes subredes, no puede ocurrir un roaming rápido ya que el cliente tiene que obtener una nueva dirección IP. |
Nota: La itinerancia rápida FT/802.11r también requiere que los AP estén en el mismo FlexGroup. Solo WPA2 OKC, que sucede en el nivel WLC, puede tolerar que los AP estén en diferentes grupos de FlexConnect para el roaming rápido.
Nota: para admitir el control de acceso centralizado a través de un servidor de autenticación, autorización y contabilidad (AAA) centralizado, como Cisco Identity Services Engine (ISE) o ACS, la ACL IPv6 se puede aprovisionar por cliente mediante el uso de atributos de anulación de AAA. Para utilizar esta función, la ACL IPv6 se debe configurar en el controlador y la WLAN se debe configurar con la función AAA Override habilitada. El atributo AAA para una ACL IPv6 es Airespace-IPv6-ACL-Name, similar al atributo Airespace-ACL-Name utilizado para aprovisionar una ACL basada en IPv4. El contenido devuelto por el atributo AAA debe ser una cadena de caracteres que sea igual al nombre de la ACL IPv6, según lo configurado en el controlador.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
12-May-2023 |
Cambios de formato |
1.0 |
06-Aug-2014 |
Versión inicial |