Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la matrice de fonctionnalités FlexConnect sur le contrôleur de réseau local sans fil (WLC).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions 7.0.116.0 et ultérieures de CUWN. Cet article a été mis à jour avec la version 8.8
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
FlexConnect est une solution sans fil pour les déploiements dans les filiales et les bureaux distants. Il vous permet de configurer et de contrôler les points d'accès dans une filiale ou un bureau distant à partir du bureau de l'entreprise via une liaison WAN sans le déploiement d'un contrôleur dans chaque bureau. Les points d'accès FlexConnect peuvent commuter le trafic de données client localement et effectuer l'authentification client localement. Lorsqu'ils sont connectés au contrôleur, ils peuvent également renvoyer le trafic au contrôleur. FlexConnect n'est pris en charge que sur les composants suivants :
L'authentification locale FlexConnect est utile lorsque vous ne pouvez pas gérer une configuration de bureau distant avec une bande passante minimale de 128 kbit/s et une latence aller-retour ne dépassant pas 100 ms. La latence maximale tolérée pour FlexConnect est de 300 ms, quelles que soient les fonctionnalités utilisées.
La section suivante présente la matrice des fonctionnalités FlexConnect.
Remarque : les points d'accès 11n antérieurs à la norme 802, tels que 1130 ou 1240, sont toujours pris en charge par un code ultérieur. Cependant, ces AP ne reçoivent pas de nouvelles fonctionnalités depuis la version 7.3. Par conséquent, ces points d'accès ne prennent pas en charge les fonctionnalités FlexConnect qui apparaissent après la version 7.3. De même, les points d'accès 802.11n de première génération n'ont aucune des fonctionnalités FlexConnect de l'ensemble de fonctionnalités 8.1 même s'ils peuvent joindre un tel WLC. Reportez-vous aux notes de version pour plus d'informations.
Remarque : les points d'accès 802.11ac phase 2 et Catalyst sont couverts par ce document qui remplace cette matrice qui se concentre uniquement sur les versions d'AireOS : https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html
La prise en charge de la sécurité sur FlexConnect varie selon les modes et les états. Ce tableau récapitule les fonctions de sécurité prises en charge :
WAN actif (commutation centrale) | WAN actif (commutation locale) | WAN actif (commutation locale, authentification locale) | WAN hors service (autonome) | |
---|---|---|---|---|
WEP ouvert/statique | Oui | Oui | Oui | Oui |
WPA-PSK | Oui | Oui | Oui | Oui |
802.1x (WPA/WPA2) | Oui | Oui | Oui | Oui |
Authentification du filtre MAC | Oui | Oui | Non | Non |
Itinérance rapide CCKM | Oui | Oui | Non | Oui, pour les clients connectés. Non, pour les nouveaux clients. |
WAN actif (commutation centrale) | WAN actif (commutation locale) | WAN hors service (autonome) | |
---|---|---|---|
Chiffrement DTLS des données | Oui | S/O | S/O |
EAP local (7.0 à 7.4) | Oui (LEAP/EAP-FAST) | Oui (LEAP/EAP-FAST) | Oui (LEAP/EAP-FAST) |
LocalL EAP (7.5 et versions ultérieures) | Oui (LEAP/EAP-FAST/PEAP/EAP-TLS) | Oui (LEAP/EAP-FAST/PEAP/EAP-TLS) | Oui (LEAP/EAP-FAST/PEAP/EAP-TLS) |
Rayon De Secours | Oui (7.0.16) | Oui (7.0.16) | Oui |
MIC | Oui | Oui | Sans objet |
La prise en charge de la sécurité sur FlexConnect varie selon les modes et les états. Ce tableau récapitule les fonctionnalités de sécurité héritées et nouvelles prises en charge avec WLC version 7.0.116.0 et ultérieure :
WAN actif (commutation centrale) | WAN actif (commutation locale) | WAN actif (commutation locale, authentification locale) | WAN hors service (autonome) | |
---|---|---|---|---|
Prévention adaptative des intrusions sans fil (aWIPS) | Oui | Oui | Oui | Non |
Détection des intrusions (IDS) | Oui | Oui | Oui | Non |
Protection des trames de gestion (MFP) (client, infrastructure) | Oui | Oui (non pour la vague 2 APS) | Oui (non pour la vague 2 APS) | Non |
802.11w "MFP" | Oui (7,5) | Oui (7,5) | Oui (7,5) | Oui (7,5) |
Transition rapide 802.11r | Oui | Oui | Non | Non |
Certificat auto-signé (SSC) | Oui | Oui | Oui | S/O |
Protocole RLDP (Rogue Location Discovery Protocol) | peut fonctionner, dépend des sauts, de la vitesse du WAN | peut fonctionner, dépend des sauts, de la vitesse du WAN (non pour la vague 2 APS) | peut fonctionner, dépend des sauts, de la vitesse du WAN (non pour la vague 2 APS) | Non |
Itinérance rapide OKC (Opportunistic Key Caching) | Oui | Oui | Oui | Non(1) |
Authentification locale FlexConnect | S/O | Oui | Oui | Oui |
Remplacement AAA Ipv4 |
Oui | Oui | Oui |
Oui |
Remplacement AAA Ipv6 |
Oui | Oui(5) | Oui(5) |
Oui(5) |
Attribution de VLAN AAA par FlexGroup avec nom de VLAN |
S/O | Oui (8.1) | Oui (8.1) | Oui (8.1) |
ACL statique | Oui | Oui(2) Non |
Oui(2) Non |
Oui(2) Non |
ACL RADIUS par utilisateur(4) | Oui (7,5) | Oui (7,5) | Oui (7,5) | Non |
ACL L2 | Oui (7,5) | Oui (7,5) | Oui (7,5) | Oui (7,5) |
ACL DNS | Oui (7.6) | Non | Non | Non |
Blocage P2P | Oui | Oui | Oui | Oui |
LSC maillé | S/O | S/O | S/O | S/O |
Apportez votre propre périphérique /ISE(BYOD) | Oui | Oui (7.2.10.0) | Non |
Non |
Conformité PCI pour les paquets voisins | Oui | Oui | Oui | Non |
Prise en charge DTLS Russie | Oui | S/O | Non | Non |
wIPS Enhanced Local Mode (ELM) | Oui | Oui | Oui | Non |
Limiter les clients par WLAN | Oui | Oui(3) | Oui | Non |
Limiter les clients par radio | Oui | Oui | Oui | Oui |
Stratégie d'exclusion du client | Oui | Oui(3) | Oui | Non |
Radius NAC | Oui | Oui | Non | Non |
TrustSec SXP au niveau AP | Oui (8.4) | Oui (8.4) | Oui (8.4) | Oui (8.4) |
TrustSec SXP sur WLC | Oui (8.3) | Oui (8.3) | Oui (8.3) | Oui (8.3) |
Identité PSK | Oui (8,5) | Oui (8.5) | Non | Oui (8.5) |
Identité PSK avec blocage P2P | Oui (8,8) | Oui (8,8) | Non | Non |
Gestion des politiques et des quotas avec application AAA | Oui (8,8) | Oui (y compris Flex +Bridge) (8.8) | Non | Non |
(1) Oui pour les clients associés en mode Connecté. (4) Notez que la liste de contrôle d'accès par utilisateur sur FlexConnect ne remplace pas une liste de contrôle d'accès VLAN sur FlexAP comme elle le ferait sur une liste de contrôle d'accès WLAN sur le mode local AP. Si la liste de contrôle d'accès par utilisateur est diffusée et la liste de contrôle d'accès AAA-VLAN configurée sur le groupe flexible, les deux prennent effet. (5)Avec la commutation locale FlexConnect, la multidiffusion est transférée uniquement pour le VLAN auquel le SSID est mappé et non pour les VLAN substitués. Par conséquent, IPv6 ne fonctionne pas comme prévu, car le trafic multidiffusion est transféré à partir du VLAN incorrect. Par conséquent, l'affectation de VLAN n'est pas prise en charge sur la commutation locale avec ipv6 |
Remarque : à un point donné, un point d'accès a un maximum de 16 VLAN. Tout d'abord, les VLAN sont sélectionnés selon la configuration AP (WLAN-VLAN), puis les VLAN restants sont poussés à partir du groupe FlexConnect dans l'ordre dans lequel ils sont configurés ou affichés dans le groupe FlexConnect. Si les logements VLAN sont pleins, un message d'erreur s'affiche
Ce tableau répertorie les services voix et vidéo hérités et nouveaux pris en charge avec WLC version 7.0.116.0 et ultérieure avec FlexConnect :
WAN Up (Commutation centrale) 100 ms RTT | WAN Up (commutation locale) 100 ms RTT | WAN hors service (autonome) | |
---|---|---|---|
Voix | Oui avec RTT 100 ms | Oui avec RTT 100 ms | Oui avec RTT 100 ms |
Oui avec RTT 900 ms (avec CCKM et OKC) | Oui avec RTT 900 ms (avec CCKM et OKC) | ||
Marquages QoS(1) | Oui | Oui | Oui |
Contrat de bande passante QoS par utilisateur | Oui (7.4) | Oui (7,5) | Non |
UAPSD | Oui | Oui | Oui |
Diagnostics vocaux | Oui | Oui | Non |
Métriques vocales | Oui | Oui | Non |
TSPEC/Contrôle d'admission d'appels (CAC) | Oui - non CCX | Oui - non CCX | Non |
Oui - CCX(2) | Oui - CCX(2) | ||
(1) Inclut les deux marquages DSCP/dot1p. |
Ce tableau répertorie les services existants et nouveaux pris en charge avec WLC version 7.0.116.0 et ultérieure avec FlexConnect :
WAN actif (commutation centrale) | WAN actif (commutation locale) | WAN actif (commutation locale, authentification locale) | WAN hors service (autonome) | |
---|---|---|---|---|
Webauth interne | Oui | Oui | Non | S/O |
Webauth externe | Oui (7.2.10.0) | Oui (7.2.10.0) | Non | S/O |
CleanAir (SI sur 3500) | Oui | Oui | Oui | S/O |
Multicast-Unicast (Videostream) | Oui (sauf sur 7500, 8500 et vWLC) | Oui (8.0) (pas sur les points d'accès de vague 2) | Oui (8.0) (pas sur les points d'accès de vague 2) | Oui (8.0) (pas sur les points d'accès de vague 2) |
Emplacement | Oui avec limitation BW/Scale | Oui avec limitation BW/Scale | Oui avec limitation BW/Scale | S/O |
Gestion des ressources radio | Oui | Oui | Oui | Non |
NG RRM - Regroupement statique RF | Oui(1) | Oui(1) | Oui | Non |
SE Connect (mise à jour Cleanair) | Oui | Oui | Oui | Non(2) |
Amélioration S60 | Oui | Oui | Oui | Non |
Profilage | Oui | Oui (si vous avez activé le traitement DHCP central) | Oui (si vous avez activé le traitement DHCP central) | Non |
AVC3 | Oui (7.4) | Oui (8.1) | Oui (8.1) | Non |
Passerelle Bonjour | Oui | Non | Non | Non |
AP mDNS | Oui | Non | Non | Non |
PERTE | Oui | Non | Non | Non |
Services basés sur l'origine | Oui | Non | Non | Non |
MAC prioritaire | Oui | Non | Non | Non |
Navigateur Bonjour | Oui | Non | Non | Non |
Flex+mode Pont | Oui (8,0 mais 8,8 pour wave2) | Oui (8,0 mais 8,8 pour wave2) | Oui (8,0 mais 8,8 pour wave2) | Oui (8,0 mais 8,8 pour wave2) |
(1) Toute exigence spécifique à RRM s'applique (au moins 4 points d'accès pour TPC). (3) AVC FlexConnect pris en charge sur tous les WLC (qui incluent vWLC) sauf le 2504. |
WAN actif (commutation centrale) | WAN actif (commutation locale) | WAN hors service (autonome) | |
---|---|---|---|
Clients passifs | Non | Oui | Oui |
ARP Proxy | Oui (8.0) (8.3mr1 pour les points d'accès de vague 2) | Oui (8.0) (8.3mr1 pour les points d'accès de vague 2) | Oui (8.0) (8.3mr1 pour les points d'accès de vague 2) |
Syslog | Oui | Oui | Oui |
CDP | Oui | Oui | Oui |
Lien client | Oui | Oui | Oui(2) |
Équilibrage de charge(3) | Oui (7.4) | Oui (7.4) | Non |
Sélection de bande | Oui | Oui | Non |
Prétéléchargement de l'image AP | Oui | Oui | Non |
Mise à niveau d'image Smart AP FlexConnect | Oui | Oui | Oui(1) |
Mises à jour du domaine de régularité AP (Chili) | Oui | Oui | Oui |
Pooling VLAN/Mcast Optim. | Oui | S/O | S/O |
Maillage - 24 liaisons | S/O | S/O | S/O |
Assistance Cisco WGB | Oui | Oui (7.3) (non pour la phase 2 APS) | Oui (7.3) (non pour la phase 2 APS) |
Prise en charge WGB tiers | Oui | Oui | Oui |
Proxy d'authentification Web | Oui | Oui | Non |
Augmentation du groupe AP FlexConnect | Oui | Oui | Oui |
Tolérance aux pannes du client | S/O | Oui | S/O |
Option DHCP 60 | Oui | Oui | Oui |
DFS/802.11h | Oui | Oui | Oui |
Groupe AP VLAN | Oui | S/O | S/O |
Mappages de VLAN via FlexGroups | Oui | Oui | Oui |
commutation centrale basée sur le vlan | Oui (8,5 pour les AP wave2, 7,3 pour les AP IOS) | Sans objet | Sans objet |
DÉCALAGE AP | Oui (8,8) | Oui (8,8) | Oui (8,8) |
La fonctionnalité de client passif n'est pas prise en charge sur les points d'accès Flex. Cependant, les AP ne font pas de proxy ARP par défaut sur FlexConnect (et cela fait partie de la fonctionnalité de client passif). Au contraire, le proxy ARP a été ajouté en tant que fonctionnalité pour les points d'accès FlexConnect avec les versions 8.0 et ultérieures. (1) Fourni si le point d'accès principal est déjà mis à niveau et que les points d'accès membres sont mis à jour avec leur point d'accès principal. (2) Uniquement sur les points d'accès 11n de deuxième génération et ultérieurs (1600, 2600, 3600, etc.). (3) Les points d'accès FlexConnect n'envoient pas de réponses de (ré)association avec l'état 17 pour l'équilibrage de charge comme le font les points d'accès en mode local ; au lieu de cela, ils envoient d'abord des réponses de (ré)association avec l'état 0 (succès) et ensuite se désauth avec la raison 5. Cela se produit lorsque l'AP gère l'association localement et que les décisions d'équilibrage de charge sont prises au niveau du WLC. |
WLAN Configuration |
Commutation locale | Commutation centrale | ||||
---|---|---|---|---|---|---|
CCKM | PMK (OKC) | Autres | CCKM | PMK (OKC) | Autres | |
Mobilité entre un même groupe flexible | Itinérance rapide(1) | Itinérance rapide(1) | Authentification complète(1) | itinérance rapide | itinérance rapide | Authentification complète |
Mobilité Entre Différents Groupes Flex | Authentification complète | itinérance rapide | Authentification complète | Authentification complète | itinérance rapide | Authentification complète |
Mobilité entre contrôleurs | S/O | S/O | S/O | Authentification complète | itinérance rapide | Authentification complète |
(1) À condition que le WLAN soit mappé au même VLAN (même sous-réseau). Si le réseau local sans fil est mappé à différents sous-réseaux, aucune itinérance rapide ne peut se produire car le client doit obtenir une nouvelle adresse IP. |
Remarque : l'itinérance rapide FT/802.11r nécessite également que les points d'accès soient dans le même FlexGroup. Seul WPA2 OKC, qui se produit au niveau du WLC, peut tolérer que les AP soient dans différents groupes FlexConnect pour l'itinérance rapide.
Remarque : afin de prendre en charge le contrôle d'accès centralisé via un serveur AAA (Authentication, Authorization, and Accounting) centralisé, tel que Cisco Identity Services Engine (ISE) ou ACS, la liste de contrôle d'accès IPv6 peut être provisionnée par client à l'aide des attributs AAA Override. Pour utiliser cette fonctionnalité, la liste de contrôle d'accès IPv6 doit être configurée sur le contrôleur et le WLAN doit être configuré avec la fonctionnalité AAA Override activée. L'attribut AAA d'une liste de contrôle d'accès IPv6 est Airespace-IPv6-ACL-Name, similaire à l'attribut Airespace-ACL-Name utilisé afin de fournir une liste de contrôle d'accès basée sur IPv4. Le contenu retourné par l'attribut AAA doit être une chaîne égale au nom de la liste de contrôle d'accès IPv6, telle que configurée sur le contrôleur.
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
12-May-2023 |
Modifications de formatage |
1.0 |
06-Aug-2014 |
Première publication |