Flexconnect部署

該記錄主要用於針對於無線網絡中Flexconnect的部署，可能涉及到的有Flexconnect中的組件，如何部署。（注意：在7.2版本以前，Flexconnect叫做HREAP），目前都稱作為Flexconnect。

1、Flexconnect的架構如下

FlexConnect是分支機構和遠程辦公室部署的無線解決方案。使得客戶能夠集中控制和管理來自來自數據中心的AP流量；在每個分支機構分發客戶端的數據流量；每個流量都以最有效的方式到達目的地。

 

集中AP控制流量優點：單一的監控和故障排查、容易管理、安全無縫的移動訪問數據中心資源、減少分支機構物理占用面積、運營成本更節約。

分部Client流量的優點：生存能力（WLC或通往WLC的WAN鏈路down，無線不中斷）、增加分支可擴展性。

Flexconnect還支持集中客戶端數據流量，但是僅限於Guest數據流量，下表描述了僅針對數據流量也在數據中心集中交換的非Guest Client的WLAN L2安全類型的限制。

L2 Security Support for Centrally Switched Non-Guest Users

WLAN L2 Security	Type	Result
None	N/A	Allowed
WPA + WPA2	802.1x	Allowed
	CCKM	Allowed
	802.1x + CCKM	Allowed
	PSK	Allowed
802.1x	WEP	Allowed
Static WEP	WEP	Allowed
WEP + 802.1x	WEP	Allowed
CKIP	-	Allowed

注意：這些身份驗證限制不適用於其數據流量在分支機構distributed的客戶端。

L3 Security Support for Centrally and Locally Switched Users

WLAN L3 Security	Type	Result
Web Authentication	Internal	Allowed
	External	Allowed
	Customized	Allowed
Web Pass-Through	Internal	Allowed
	External	Allowed
	Customized	Allowed
Conditional Web Redirect	External	Allowed
Splash Page Web Redirect	External	Allowed

Flexconnect外部webauth部署詳情可參考：http://www.cisco.com/en/US/products/ps11635/products_tech_note09186a0080bc9d11.shtml

更多的Flexconnect AP States和數據流量轉發情況，可參考：http://www.cisco.com/en/US/docs/wireless/controller/7.2/configuration/guide/cg_flexconnect.html

 

2、Flexconnect的模式

Connected：當一個FlexConnect的CAPWAP控制平面回到控制器啟動並運行時，它被稱為處於連接模式，這意味着WAN鏈路沒有關閉。

Standalone：獨立模式被指定為FlexConnect在不再具有連接回控制器的連接時進入的操作狀態。 即使在電源故障和WLC或WAN故障的情況下，處於獨立模式的FlexConnect AP也將繼續使用上次已知的配置運行。

其中如何運作的理論情況，可參考：https://www.cisco.com/c/en/us/support/docs/wireless/5500-series-wireless-controllers/71250-h-reap-design-deploy.html

 

3、WAN需求

FlexConnect AP部署在分支站點，並通過WAN鏈路從數據中心進行管理。 最大傳輸單元（MTU）必須至少為500字節。

Deployment Type	WAN Bandwidth (Min)	WAN RTT Latency (Max)	Max APs per Branch	Max Clients per Branch
Data	64 Kbps	300 ms	5	25
Data	640 Kbps	300 ms	50	1000
Data	1.44Mbps	1 sec	50	1000
Data + Voice	128 Kbps	100 ms	5	25
Data + Voice	1.44Mbps	100 ms	50	1000
Monitor	64 Kbps	2 sec	5	N/A
Monitor	640 Kbps	2 sec	50	N/A

強烈建議每個AP的最小帶寬限制為12.8 Kbps，數據部署的往返延遲不超過300 ms，數據+語音部署的往返延遲不超過100 ms。

 

對於大范圍的部署的情況，每個分支最多部署100個AP，支持2000個客戶端。對於不同Feature的使用帶寬延遲等要求也有所不同，例如：

Key Features

Adaptive wIPS, Context Aware (RFIDs), Rogue Detection, Clients with central 802.1X auth and CleanAir.

Test Results

For 100 APs, 2000 Clients, 1000 RFIDs, 500 Rogue APs, and 2500 Rogue Clients (Features above turned on):

Recommended BW = 1.54 Mbps

Recommended RTT latency = 400 ms

Test Results

For 100 APs, 2000 Clients, no rogue, and no RFIDs. (Features above turned off).

Recommended BW = 1.024 Mbps

Recommended Latency = 300 ms

 

4、分支機構無線設計

4.1 主要設計要求

分支大小可擴展至100個AP和250,000平方英尺（每個AP 5000平方英尺）
集中管理和故障排除
沒有運營停機時間
基於客戶端的流量細分
無縫且安全的無線連接到企業資源
符合PCI標准
支持guests

注意：使用wIPS模式實施的Flexconnect AP可以根據AP檢測到的活動顯着提高帶寬利用率。 如果規則啟用了取證，則鏈路利用率平均可以上升近100 Kbps。

 

4.2 AP Group

在WLC上創建了WLAN后，可以選擇性地將它們（使用AP Group）分布到不同的AP，以便更好地管理無線網絡。典型地，WLAN上的所有用戶都映射到WLC上的單個接口。因此，與該WLAN關聯的所有用戶都在同一子網或VLAN上。但是，我們可以選擇通過創建AP Group，在多個interfaces或特定條件的一組users之間分布負載情況。此外，可以在單獨的VLAN中配置這些AP Group，以簡化網絡管理。

當管理多個分支，為了便於操作，簡化管理，為每個分支都創建一個AP Group來滿足需求。

• 各分支的集中轉發SSID DataCenter給分支本地的管理員接入。
• 分支本地轉發SSID Store使用不同的WPA2-PSK密鑰來讓手持掃描儀使用。

如下圖：

配置WLC：

A-新建WLAN，命名為Profile name為Store1，SSID名字為store，選擇WLAN ID為17（因為1-16默認為一組default-ap-group，無法刪除，為了滿足每個分支使用不同的WPA2-PSK密鑰，使用ID17 以上的數字）。

 

 B-在WLAN-Security選項下面，Auth Key Mgmt部分下拉選擇PSK，在PSK Format部分選擇ASCII

C-開啟WLAN

D-重復A-C步驟，創建一個新的WLAN profile Store2，SSID為store，WLAN ID為18

E-點擊WLANs > Advanced > AP group > Add Group添加AP Group，命名為Store1，可以添加一個和本地相關的描述，例如這里表示Chengdu.另一個AP Group也這樣建立。

F-在對應的AP Group中添加或編輯WLANs，添加WLAN Hello此步驟是可選的，僅在你希望允許遠程資源訪問時才需要。

注意：不允許在單個AP  Group下添加具有相同SSID的多個WLAN Profile。

另外，這里沒有細節的去展示將AP添加進AP Group，客戶端需要接入AP才能訪問服務。

 

4.3 Flexconnect Group

在大多數典型的分支部署中，很容易預見到客戶端802.1X身份驗證是在數據中心集中進行的。因此引發了以下問題：

     如果WLC掛掉，無線客戶端如何執行802.1X身份驗證並訪問數據中心服務？
     如果分支和數據中心之間的WAN鏈接down了，無線客戶端如何執行802.1X身份驗證？
     WAN故障期間對分支機動性有任何影響嗎？
     FlexConnect解決方案是否不提供運營分支停機時間？

FlexConnect Group主要是為了應對這些挑戰而設計的。 此外，它還可以輕松組織每個分支站點，因為每個分支站點的所有FlexConnect AP都是單個FlexConnect組的一部分。

注意：FLEX Group和AP Group完全是兩碼事！

 

FLEX Group的主要目標：

Backup RADIUS Server Failover：我們可以將WLC配置為允許獨立模式（Standalone）下的FlexConnect AP對備份RADIUS服務器執行完整的802.1X身份驗證。 為了提高分支的彈性，管理員可以配置一主一備RADIUS Server，也可以配置Primary和Secondary都作為備份。 僅當FlexConnect AP未連接到WLC時，才使用這些服務器。

值得注意的是：Backup Radius 審計不支持。

Local Authentication：在7.0.98.0 版本之前，僅當FlexConnect處於獨立模式（Standalone）時才支持本地身份驗證，以確保在WAN鏈接失敗期間不會影響客戶端連接。 在7.0.116.0版本中，即使FlexConnect AP處於連接模式（Connected），也支持此功能。

如圖所示，圖中的FLEX AP與WLC斷開了，但是Client依然能夠接入服務，只要AP能夠訪問到RADIUS server，如果RADIUS Server在分支中有部署，那即便WAN斷開也沒沒有關系。

 

值得注意的是：如果本地認證開啟了，即便AP是Connected模式，也會采用本地認證；如果本地認證是關閉的，那么AP在Connected的模式的時候，WLC認證客戶端，將使用Central RADIUS Server，如果AP處於Standalone模式，AP將通過本地RADIUS或配置在FLEX Group中的local EAP來認證Client。此功能可與FlexConnect備份RADIUS服務器功能結合使用。 如果FlexConnect組同時配置了備份RADIUS服務器和本地身份驗證，則FlexConnect訪問點始終首先嘗試使用主備份RADIUS服務器對客戶端進行身份驗證，然后嘗試使用輔助備份RADIUS服務器（如果主服務器無法訪問），最后 FlexConnect上的本地EAP服務器訪問點本身（如果主服務器和輔助服務器不可訪問）。

上圖中FLEX AP作為Local-EAP Server。

我們可以將控制器配置為允許處於獨立或連接模式的FlexConnect AP為最多100個靜態配置的用戶執行LEAP或EAP-FAST身份驗證。 FLEX AP加入控制器時，將該靜態用戶名和密碼列表發送到該特定FlexConnect組的每個FlexConnect AP。 組中的每個AP僅對其自己的關聯客戶端進行身份驗證。如上圖所示，如果無法訪問數據中心內的RADIUS / ACS服務器，則FlexConnect AP會自動充當Local-EAP服務器，以便為無線分支客戶端執行Dot1X身份驗證。

 

CCKM/OKC 快速漫游

CCKM / OKC快速漫游需要FlexConnect組才能與FlexConnect AP配合使用。通過從完整的EAP認證中緩存主密鑰的衍生物來實現快速漫游，以便當無線客戶端漫游到不同的AP時可以進行簡單且安全的密鑰交換。當客戶端從一個AP漫游到另一個AP時，此功能可防止執行完整的RADIUS EAP身份驗證。 FlexConnect AP需要獲取可能關聯的所有客戶端的CCKM / OKC緩存信息，以便他們可以快速處理它而不是將其發送回控制器。例如，如果有一個具有300個AP的控制器和有100個可能關聯的客戶端，那發送所有的100個客戶端CCKM / OKC緩存是不切實際的。如果你創建包含有限數量的AP的FlexConnect組（例如，你在遠程辦公室中為四個AP創建了一個組），則客戶端僅在這四個接入點之間漫游，並且CCKM / OKC，僅當客戶與其中一個關聯時，緩存就分布在這四個訪問點中。
此功能以及備份Radius和本地身份驗證（Local-EAP）可確保我們的分支站點不會停止運行。

 

注意：不支持在FlexConnect和非FlexConnect AP之間實現CCKM / OKC快速漫游。

 

配置FLEX Group

配置使用LEAP Local Authentication

 

注意：選中“啟用AP本地身份驗證”框，以便在AP處於獨立模式時啟用本地身份驗證。

注意：如果你有備份控制器，請確保FlexConnect組完全相同，並且每個FlexConnect組都包含AP MAC地址條目。

添加users

注意：最多不能添加超過100個users！

到WLAN的Advanced去開啟Local Authentication，Local Authentication只在FLEX Local Switching模式支持。在開啟Local Authentication之前確認是否創建了FLEX Group！

 

4.4 Flexconnect VLAN Override

在當前的FlexConnect架構中，存在嚴格的WLAN到VLAN的映射，因此在FlexConnect AP上的特定WLAN上關聯的客戶端必須遵守映射到它的VLAN。 此方法具有局限性，因為它要求客戶端與不同的SSID關聯，以便繼承不同的基於VLAN的策略。

從7.2版本開始，支持在為本地交換配置的單個WLAN上的AAA覆蓋。 為了進行動態VLAN分配，AP將根據使用單個FlexConnect AP的現有WLAN-VLAN映射或使用FlexConnect組上的ACL-VLAN映射的配置預先創建VLAN的接口。 WLC用於在AP上預創建子接口。

• 對於在central authentication mode和local authentication mode下為local Switching配置的WLAN，版本7.2支持AAA VLAN Override。
• 應在配置為local Switching的WLAN上啟用AAA Override。

• FlexConnect AP應具有從WLC預先創建的VLAN，以進行動態VLAN分配。
• 如果AP客戶端上不存在AAA Override返回的VLAN，則它們將從AP的默認VLAN接口獲取IP。

關鍵點配置：

添加AAA Server

注意AP的模式默認是Local，修改為FLEX模式，然后AP會重啟。

將FLEX的AP加入FLEX Group。

FLEX AP應該連接在一個trunk port，並且WLAN-VLAN映射和AAA overridden VLAN應該在trunk port上被允許。

eg:

interface GigabitEthernet1/0/1

 description AP3500

 switchport trunk encapsulate dot1q

 switchport trunk native vlan 20

 switchport trunk allowed vlan 20,30

 switchport mode trunk

如上配置中，VLAN 20是被用作WLAN VLAN mapping，VLAN 30是用作AAA Override 。

接下來為FlexConnect AP配置WLAN到VLAN映射（WLAN to VLAN Mapping）。 根據此配置，AP將具有VLAN的接口。 當AP收到VLAN配置時，會創建相應的dot11和以太網子接口並添加到bridge-group。 關聯在此WLAN上的客戶端和在客戶端關聯時，將分配其VLAN（默認，基於WLAN-VLAN映射）。

在AAA服務器中創建用戶，並配置用戶在IETF Radius屬性中返回VLAN ID。

為了進行動態VLAN分配，AP將使用針對各個FlexConnect AP的現有WLAN-VLAN映射或使用FlexConnect組上的ACL-VLAN映射，根據配置預先創建動態VLAN的接口。

然后嘗試連接客戶端，並使用AAA上定義的賬戶密碼認證以返回AAA VLAN（vlan30）。

限制：

不支持Cisco Airespace特定屬性，僅支持IETF屬性VLAN ID。
每個AP最多可以配置16個VLAN，可以通過單個FlexConnect AP的WLAN-VLAN映射，也可以使用FlexConnect組上的ACL-VLAN映射。

 

4.5 FLEX VLAN基於Central Switching

在WLC 7.2版本，對locally switched的AAA Override VLAN(動態分配）將客戶端放到AAA Server提供的VLAN中。如果AAA Server提供的VLAN不在AP上，那么客戶端將被放在WLAN映射的VLAN里，並且流量將會執行local Switching。在WLC 7.3 之前，FLEX AP特定WLAN的流量可以被集中轉發或本地轉發，取決於WLAN的配置。
在WLC 7.3之后，FLEX AP的流量被集中轉發還是本地轉發取決於FLEX AP是否有對應的VLAN。如果VLAN存在，就實現本地轉發，如果VLAN不存在，就集中轉發。

 

當Flex AP處於Connected模式時， 配置為Local Switching的WLAN上的流量：

-如果VLAN作為AAA屬性之一返回並且Flex AP數據庫中不存在該VLAN，則流量將集中轉發，並且將為客戶端分配從AAA服務器返回的此VLAN / interface，前提是WLC上存在VLAN 。
-如果VLAN作為AAA屬性之一返回並且Flex AP數據庫中不存在該VLAN，則流量將集中轉發。如果WLC上也不存在該VLAN，則將為客戶端分配映射到WLC上的WLAN的VLAN / interface。
-如果VLAN作為AAA屬性之一返回並且該Flex AP數據庫中存在該VLAN，則流量將在本地轉發。
-如果未從AAA服務器返回VLAN，則將在該FlexConnect AP上為客戶端分配WLAN映射VLAN，並且流量將在本地轉發。

當Flex AP處於Standalone模式時，配置為Local Switching的WLAN上的流量：

-如果AAA服務器返回的VLAN不在Flex AP數據庫中，則客戶端將被置於默認VLAN（即Flex AP上的WLAN映射VLAN）。當AP連接回來時，該客戶端將被取消身份驗證並將集中轉發流量。
-如果AAA服務器返回的VLAN存在於Flex AP數據庫中，則客戶端將被置於返回的VLAN中，流量將在本地轉發。
-如果未從AAA服務器返回VLAN，則將在該FlexConnect AP上為客戶端分配WLAN映射VLAN，並且流量將在本地轉發。

 

關鍵點：

a.WLAN 的AAA Override開啟

b.WLAN 的FLEX local Switching開啟

c.WLAN 的vlan based Central Switching開啟

d.AP模式修改為Flexconnect

e.確保FlexConnect AP的數據庫中存在某個子接口，可以通過特定Flex AP上的WLAN-VLAN Mapping或通過從Flex組配置VLAN來實現。 在此示例中，VLAN 63在Flex AP上的WLAN-VLAN映射中配置。

f.在此示例中，VLAN 62在WLC上配置為動態接口之一，並且未映射到WLC上的WLAN。 WLC上的WLAN映射到管理VLAN（即VLAN 61）。

將客戶端與此Flex AP上配置的WLAN關聯，並從AAA服務器返回VLAN 62。 此Flex AP上不存在VLAN 62，但它作為動態接口存在於WLC上，因此流量將集中轉發，並且客戶端將在WLC上分配VLAN 62。 這里已為客戶端分配VLAN 62，並將數據轉發和身份驗證設置為Central。

如果另一個用戶在此創建的WLAN上關聯到同一AP，並且從AP服務器（WLC和WLC）上不存在的某個VLAN返回，則流量將集中轉發，並且將為客戶端分配WLAN映射接口。 WLC（即此示例設置中的VLAN 61），因為WLAN映射到為VLAN 61配置的管理接口。

如果另一個用戶在此創建的WLAN上與其關聯，並且從AAA服務器（該Flex AP上存在）返回VLAN 63，則將為客戶端分配VLAN 63並且流量將在本地轉發。

限制：

僅在為Central Authentication 和Local Switching配置的WLAN上支持基於VLAN的Central Switching。
應在FlexConnect AP上配置AP子接口（即VLAN Mapping）。

 

5、WLAN VLAN Mapping的優先級關系

WLAN級WLAN-VLAN映射的優先級最低。
較高優先級映射將覆蓋較低優先級的映射
AP級WLAN-VLAN映射具有最高優先級
刪除更高優先級映射后，下一個最高優先級映射將生效。

 

 

Other：更多的Flexconnect feature，可以參考：

https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-7/Flex_7500_DG.html

應該囊括了不少Flexconnect相關的知識，很不錯！