はじめに
このドキュメントでは、ワイヤレス LAN コントローラ(WLC)上の FlexConnect 機能の機能マトリックスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Control And Provisioning of Wireless Access Points(CAPWAP)プロトコル
- Lightweight アクセスポイント(AP)および Cisco WLC の設定
使用するコンポーネント
このドキュメントの情報は、CUWN リリース 7.0.116.0 以降に基づくものです。この記事はリリース8.8で更新されました。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
FlexConnect
FlexConnect は、ブランチ オフィスおよびリモート オフィスでの導入に向けた無線ソリューションです。H-REAP によって、各オフィスにコントローラを導入することなく、ブランチ オフィスやリモート オフィスにある AP を、本部から WAN リンク経由で設定して制御できます。FlexConnect AP は、クライアント データ トラフィックをローカルに切り替え、クライアント認証をローカルに実行できます。コントローラに接続されているときには、トラフィックをコントローラに送り返すこともできます。FlexConnect は次のコンポーネントでのみサポートされます。
- 700、1130AG、1140、1240AG、1250、1700、1810、1815、1830、1840、1850、AP801、1600、1700、2600、2700、2800、350 i、3500E、3600、3700、3800、1040、1520、1530、1550、1560、1570、および1260 AP
- Cisco Flex 8500および7500、Cisco 5500、3504、vWLC、および2500シリーズコントローラ
- Catalyst 3750G Integrated WLC スイッチ
- Cisco WiSM および WiSM2
- サービス統合型ルータ用のコントローラ ネットワーク モジュール
FlexConnect ローカル認証は、ラウンドトリップ遅延が 100 ms を超えず、最小帯域幅が 128 kb/s のリモート オフィス設定を維持できない場合に役立ちます。FlexConnect の最大許容遅延は、使用されている機能に関係なく 300 ms です。
次の項では、FlexConnect 機能マトリックスの概要を説明します。
注:802より前の11n AP(1130や1240など)は、今後のコードでもサポートされます。ただし、これらの AP にはリリース 7.3 時点の新機能が付属していません。したがって、これらの AP はリリース 7.3 以降の FlexConnect 機能をサポートしません。同様に、第1世代の802.11n APには、WLCに参加できる場合でも8.1機能セットのFlexConnect機能はありません。詳細については、リリース ノートを参照してください。
注:802.11ac wave 2 APおよびCatalyst APは、AireOSリリースのみに焦点を当てたこのマトリクスに代わる、このドキュメントの対象です。https://www.cisco.com/c/en/us/td/docs/wireless/access_point/feature-matrix/ap-feature-matrix.html
FlexConnect 機能マトリックス - リリース 7.0.116 以降の新旧機能
セキュリティ - クライアント
FlexConnect のセキュリティ サポートは、さまざまなモードや状態によって異なります。この表は、サポートされているセキュリティ機能をまとめたものです。
|
WAN アップ(中央スイッチング) |
WAN アップ(ローカル スイッチング) |
WAN アップ(ローカル スイッチング、ローカル認証) |
WAN ダウン(スタンドアロン) |
オープン/静的 WEP |
Yes |
Yes |
Yes |
Yes |
WPA-PSK |
Yes |
Yes |
Yes |
Yes |
802.1x(WPA/WPA2) |
Yes |
Yes |
Yes |
Yes |
MAC フィルタ認証 |
Yes |
Yes |
いいえ |
いいえ |
CCKM 高速ローミング |
Yes |
Yes |
いいえ |
接続されたクライアントの場合は「可能」。新しいクライアントの場合は「なし」。 |
セキュリティ - インフラストラクチャ
|
WAN アップ(中央スイッチング) |
WAN アップ(ローカル スイッチング) |
WAN ダウン(スタンドアロン) |
データ DTLS 暗号化 |
Yes |
N/A |
N/A |
ローカル EAP(7.0 ~ 7.4) |
可能(LEAP/EAP-FAST) |
可能(LEAP/EAP-FAST) |
可能(LEAP/EAP-FAST) |
ローカル EAP(7.5 以降) |
可能(LEAP/EAP-FAST/PEAP/EAP-TLS) |
可能(LEAP/EAP-FAST/PEAP/EAP-TLS) |
可能(LEAP/EAP-FAST/PEAP/EAP-TLS) |
RADIUS のバックアップ |
可能(7.0.116) |
可能(7.0.116) |
Yes |
MIC |
Yes |
Yes |
該当なし |
セキュリティ
FlexConnect のセキュリティ サポートは、さまざまなモードや状態によって異なります。この表は、WLC リリース 7.0.116.0 以降でサポートされているセキュリティ機能の新旧機能をまとめたものです。
|
WAN アップ(中央スイッチング) |
WAN アップ(ローカル スイッチング) |
WAN アップ(ローカル スイッチング、ローカル認証) |
WAN ダウン(スタンドアロン) |
適応型ワイヤレス侵入防御(aWIPS) |
Yes |
Yes |
Yes |
いいえ |
不正、侵入検知(IDS) |
Yes |
Yes |
Yes |
いいえ |
管理フレーム保護(MFP)(クライアント、インフラストラクチャ) |
Yes |
あり(Wave 2 APSでは不可) |
あり(Wave 2 APSでは不可) |
いいえ |
802.11w「MFP」 |
サポート(7.5) |
サポート(7.5) |
サポート(7.5) |
サポート(7.5) |
802.11r の高速移行 |
Yes |
Yes |
いいえ |
いいえ |
自己署名証明書(SSC) |
Yes |
Yes |
Yes |
N/A |
Rogue Location Discovery Protocol(RLDP) |
ホップ、WAN速度に応じて動作可能 |
ホップ、WAN速度に依存して動作可能(Wave 2 APでは不可) |
ホップ、WAN速度に応じて動作可能(Wave 2 APでは不可) |
いいえ |
Opportunistic Key Caching(OKC)高速ローミング |
Yes |
Yes |
Yes |
なし(1) |
FlexConnect ローカル認証 |
N/A |
Yes |
Yes |
Yes |
Ipv4 AAAオーバーライド |
Yes |
Yes |
Yes |
Yes |
Ipv6 AAAオーバーライド |
Yes |
可能(5) |
可能(5) |
可能(5) |
VLAN 名を含む FlexGroup 別 AAA VLAN 割り当て |
N/A |
サポート(8.1) |
サポート(8.1) |
サポート(8.1) |
スタティック ACL |
Yes |
可能(2) いいえ |
可能(2) いいえ |
可能(2) いいえ |
ユーザ単位 RADIUS ACL(4) |
サポート(7.5) |
サポート(7.5) |
サポート(7.5) |
いいえ |
L2 ACL |
サポート(7.5) |
サポート(7.5) |
サポート(7.5) |
サポート(7.5) |
DNS ACL |
サポート(7.6) |
いいえ |
いいえ |
いいえ |
P2P ブロッキング |
Yes |
Yes |
Yes |
Yes |
メッシュ LSC |
N/A |
N/A |
N/A |
N/A |
個人所有デバイス持ち込み/ISE(BYOD) |
Yes |
可能(7.2.110.0) |
いいえ |
いいえ |
ネイバー パケットの PCI 準拠 |
Yes |
Yes |
Yes |
いいえ |
ロシア DTLS サポート |
Yes |
N/A |
いいえ |
いいえ |
wIPS 拡張ローカル モード(ELM) |
Yes |
Yes |
Yes |
いいえ |
WLAN ごとのクライアント制限 |
Yes |
可能(3) |
Yes |
いいえ |
無線ごとのクライアント制限 |
Yes |
Yes |
Yes |
Yes |
クライアント除外ポリシー |
Yes |
可能(3) |
Yes |
いいえ |
[Radius NAC] |
Yes |
Yes |
いいえ |
いいえ |
APレベルのTrustSec SXP |
可能(8.4) |
可能(8.4) |
可能(8.4) |
可能(8.4) |
WLCでのTrustSec SXP |
可能(8.3) |
可能(8.3) |
可能(8.3) |
可能(8.3) |
アイデンティティPSK |
可能(8.5) |
可能(8.5) |
いいえ |
可能(8.5) |
P2PブロッキングでのID PSK |
可能(8.8) |
可能(8.8) |
いいえ |
いいえ |
AAAによって適用されるポリシーおよびクォータ管理 |
可能(8.8) |
対応(Flex +ブリッジを含む)(8.8) |
いいえ |
いいえ |
(1) 可能(Connected モードでの関連付けがあるクライアントの場合) (2) FlexConnectアクセスコントロールリスト(ACL)を使用する必要があります。Flex ACL が AP ネイティブ VLAN でサポートされないことに注意してください。 (3)アソシエーション応答が成功した後にクライアントの認証が取り消されるように、WLCによって制限または除外が行われます。 (4) FlexConnect のユーザ単位の ACL は、ローカル モード AP 上の WLAN ACL をオーバーライドするように、Flex AP 上の VLAN ACL はオーバーライドしません。ユーザ単位のACLがプッシュされ、AAA-VLAN ACLがFlexグループで設定されている場合、両方が有効になります。 (5)FlexConnectローカルスイッチングでは、マルチキャストはSSIDがマッピングされているVLANに対してのみ転送され、オーバーライドされたVLANには転送されません。したがって、マルチキャストトラフィックは誤ったVLANから転送されるため、IPv6は期待どおりに動作しません。したがって、VLAN割り当てはipv6を使用したローカルスイッチングではサポートされません |
注:任意の時点で、APには最大16のVLANがあります。最初に、AP設定(WLAN-VLAN)に従ってVLANが選択され、次に、残りのVLANがFlexConnectグループで設定または表示された順序でFlexConnectグループからプッシュされます。VLANスロットがいっぱいになると、エラーメッセージが表示されます
音声とビデオ
この表は、FlexConnect を持つ WLC リリース 7.0.116.0 以降でサポートされている音声サービスとビデオ サービスの新旧機能一覧です。
|
WAN アップ(中央スイッチング)100 ms RTT |
WAN アップ(ローカル スイッチング)100 ms RTT |
WAN ダウン(スタンドアロン) |
音声 |
○(RTT 100 ミリ秒) |
○(RTT 100 ミリ秒) |
○(RTT 100 ミリ秒) |
可能(RTT が 900 ms の場合)(CCKM および OKC) |
可能(RTT が 900 ms の場合)(CCKM および OKC) |
QoS マーキング(1) |
Yes |
Yes |
Yes |
QoS ユーザ別の帯域幅コントラクト |
サポート(7.4) |
サポート(7.5) |
いいえ |
UAPSD |
Yes |
Yes |
Yes |
音声診断 |
Yes |
Yes |
いいえ |
音声メトリック |
Yes |
Yes |
いいえ |
TSPEC/コール アドミッション制御(CAC) |
可能(CCX 以外) |
可能(CCX 以外) |
いいえ |
可能 - CCX(2) |
可能 - CCX(2) |
(1) DSCP/dot1p の両方のマーキングが含まれます。 (2) WLC 上の CAC、ローミング失敗時の認証の取り消し。 |
サービス
この表は、FlexConnect を持つ WLC リリース 7.0.116.0 以降でサポートされているサービスの新旧機能一覧です。
|
WAN アップ(中央スイッチング) |
WAN アップ(ローカル スイッチング) |
WAN アップ(ローカル スイッチング、ローカル認証) |
WAN ダウン(スタンドアロン) |
内部 Web 認証 |
Yes |
Yes |
いいえ |
N/A |
外部 Web 認証 |
可能(7.2.110.0) |
可能(7.2.110.0) |
いいえ |
N/A |
CleanAir(3500 での SI) |
Yes |
Yes |
Yes |
N/A |
マルチキャスト ユニキャスト(Videostream) |
可能(7500、8500、vWLC を除く) |
あり(8.0)(Wave 2 APは対象外) |
あり(8.0)(Wave 2 APは対象外) |
あり(8.0)(Wave 2 APは対象外) |
場所 |
○(BW/スケールの制限あり) |
BW/スケール制限あり |
BW/スケール制限あり |
N/A |
Radio Resource Management |
Yes |
Yes |
Yes |
いいえ |
NG RRM - RF スタティック グルーピング |
可能(1) |
可能(1) |
Yes |
いいえ |
SE 接続(Cleanair アップデート) |
Yes |
Yes |
Yes |
なし(2) |
S60 の機能拡張 |
Yes |
Yes |
Yes |
いいえ |
プロファイリング |
Yes |
はい(中央DHCP処理を有効にした場合) |
はい(中央DHCP処理を有効にした場合) |
いいえ |
AVC3 |
サポート(7.4) |
サポート(8.1) |
サポート(8.1) |
いいえ |
Bonjour ゲートウェイ |
Yes |
いいえ |
いいえ |
いいえ |
mDNS AP |
Yes |
いいえ |
いいえ |
いいえ |
LSS |
Yes |
いいえ |
いいえ |
いいえ |
オリジン ベースのサービス |
Yes |
いいえ |
いいえ |
いいえ |
プライオリティ MAC |
Yes |
いいえ |
いいえ |
いいえ |
Bonjour ブラウザ |
Yes |
いいえ |
いいえ |
いいえ |
Flex + ブリッジ モード |
あり(wave2では8.0だが8.8) |
あり(wave2では8.0だが8.8) |
あり(wave2では8.0だが8.8) |
あり(wave2では8.0だが8.8) |
(1) RRM 固有の要件を適用(TPC に最低 4 AP)。 (2) WLCからの切断後のスタンドアロンではYes、リブートではNo。 (3) FlexConnect AVC は 2504を除くすべての WLC(vWLC を含む)でサポートされます。 |
インフラストラクチャ
|
WAN アップ(中央スイッチング) |
WAN アップ(ローカル スイッチング) |
WAN ダウン(スタンドアロン) |
パッシブ クライアント |
いいえ |
Yes |
Yes |
プロキシ ARP |
あり(8.0)(Wave 2 APでは8.3mr1) |
あり(8.0)(Wave 2 APでは8.3mr1) |
あり(8.0)(Wave 2 APでは8.3mr1) |
Syslog |
Yes |
Yes |
Yes |
CDP |
Yes |
Yes |
Yes |
クライアント リンク |
Yes |
Yes |
可能(2) |
ロード バランシング(3) |
サポート(7.4) |
サポート(7.4) |
いいえ |
Band Select |
Yes |
Yes |
いいえ |
AP Image PreDownload |
Yes |
Yes |
いいえ |
FlexConnect スマート AP イメージ アップグレード |
Yes |
Yes |
可能(1) |
AP 規制区域アップデート(チリ) |
Yes |
Yes |
Yes |
VLAN プーリング/マルチキャストの最適化 |
Yes |
N/A |
N/A |
メッシュ - 24 バックホール |
N/A |
N/A |
N/A |
Cisco WGB サポート |
Yes |
あり(7.3)(Wave 2 APSでは不可) |
あり(7.3)(Wave 2 APSでは不可) |
サードパーティ WGB サポート |
Yes |
Yes |
Yes |
Web 認証プロキシ |
Yes |
Yes |
いいえ |
FlexConnect AP グループの増加 |
Yes |
Yes |
Yes |
クライアント耐障害性 |
N/A |
Yes |
N/A |
DHCP オプション 60[DHCPおぷしょん43] |
Yes |
Yes |
Yes |
DFS/802.11h |
Yes |
Yes |
Yes |
AP グループ VLAN |
Yes |
N/A |
N/A |
FlexGroup による VLAN マッピング |
Yes |
Yes |
Yes |
VLANベースの中央スイッチング |
あり(wave2 APでは8.5、IOS APでは7.3) |
該当なし |
該当なし |
APラグ |
可能(8.8) |
可能(8.8) |
可能(8.8) |
パッシブ クライアント機能は、Flex AP ではサポートされません。ただし AP は、FlexConnect 上ではプロキシ ARP をデフォルトで実行しません(これは、パッシブ クライアント機能の一部です)。逆に、プロキシ ARP はリリース 8.0 以降の FlexConnect AP の機能として追加されました。 (1)リードAPがすでにアップグレードされており、メンバーAPがリードAPで更新されている場合に提供されます。
(2) 第 2 世代の 11n AP 以降上でのみ(1600、2600、3600 など)。 (3) FlexConnect APは、ローカルモードのAPとは異なり、ロードバランシングのためにステータス17のアソシエーション応答を送信(再)しません。代わりに、ステータス0(成功)のアソシエーション応答を送信(再)した後、理由5で認証解除します。これは、AP がアソシエーションをローカルに処理し、ロード バランシング決定が WLC で行われると発生します。 |
モビリティおよびローミング シナリオ
WLAN コンフィギュレーション |
ローカル スイッチング |
中央スイッチング |
CCKM |
PMK(OKC) |
[その他(Others)] |
CCKM |
PMK(OKC) |
[その他(Others)] |
同一 FlexGroup 間のモビリティ |
高速ローミング(1) |
高速ローミング(1) |
完全認証(1) |
高速ローミング |
高速ローミング |
完全認証 |
異なる FlexGroup 間のモビリティ |
完全認証 |
高速ローミング |
完全認証 |
完全認証 |
高速ローミング |
完全認証 |
コントローラ間のモビリティ |
N/A |
N/A |
N/A |
完全認証 |
高速ローミング |
完全認証 |
(1) WLAN が同じ VLAN(同じサブネット)にマッピングされている場合に提供されます。WLANが異なるサブネットにマッピングされている場合、クライアントは新しいIPアドレスを取得する必要があるため、高速ローミングは発生しません。 |
注:FT/802.11r高速ローミングでは、APも同じFlexGroupに属している必要があります。WLC レベルで実行される WPA2 OKC のみで、異なる FlexConnect グループにある AP での高速ローミングが許可されます。
注:Cisco Identity Services Engine(ISE)やACSなどの一元化された認証、許可、アカウンティング(AAA)サーバによる集中アクセスコントロールをサポートするために、AAA Override属性を使用してクライアントごとにIPv6 ACLをプロビジョニングできます。この機能を使用するには、IPv6 ACL をコントローラで設定し、AAA Override 機能をイネーブルにして WLAN を設定する必要があります。IPv6 ACL の AAA 属性は、IPv4 ベースの ACL をプロビジョニングするために使用される Airespace-ACL-Name 属性に似た Airespace-IPv6-ACL-Name です。AAA属性が返すコンテンツは、コントローラで設定されたIPv6 ACLの名前と同じ文字列である必要があります。
関連情報