前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Cisco FlexConnect介绍及部署

Cisco FlexConnect介绍及部署

作者头像
刘銮奕
发布2019-07-22 17:22:13
6.3K0
发布2019-07-22 17:22:13
举报
文章被收录于专栏:奕知伴解

建议PC端访问

https://www.liuluanyi.cn

FlexConnect介绍

官方解释:

FlexConnect (previously known as Hybrid Remote Edge Access Point or H-REAP) is a wireless solution for branch office and remote office deployments. It enables customersto configure and control access points(AP) in a branch or remote office from the corporate office through a wide area network (WAN) link without deploying a controller in each office. The FlexConnect access points can switch client data traffic locally and perform client authentication locally when their connection to the controller is lost. When they are connected to the controller, they can also send traffic back to the controller. In the connected mode, the FlexConnect access point can also perform local authentication.

中文翻译大概意思为:

  • FlexConnect是分支机构和远程办公室部署的无线解决方案 。
  • 它使你能够通过WAN链路,在公司配置与控制,分支机构的AP,而无需在每个分支部署控制器。
  • FlexConnect AP可以在本地交换客户端数据流量,并在本地执行客户端身份验证。
  • 当AP连接到控制器时,也可以将流量发送回控制器

FlexConnect部署场景

上图中使用7500系列作为一个无线控制器,ACS5.2作为一个AAA认证服务器,分支与中心使用V**链路建立通信。红线代表控制平面流量;蓝色代表访问网络流量;绿色代表访问远端数据的数据流量;紫色代表分支数据流量。

本篇文章将主要介绍FlexConnect Groups的部署方式。原因如下:

在实际的企业环境中,瘦AP居多,胖AP几乎不会出现。瘦AP是WEB图形界面配置只能鼠标点点, 不像胖AP可以直接配置刷命令。 如果数量居多,操作起来就很不现实,所以部署的时候一般都采用FlexConnext Group的方式进行部署。

拓扑图简化

术语名词理论介绍

FlexConnect Vlan Override

我用上面的简图做一个通俗的介绍:AP上会有一个WLAN映射一个VLAN,client端连接了这个WLAN就相当于连接了这个映射的VLAN,AP会把这个VLAN送到交换机上对应的VLAN。就是这样一个严格的静态映射。

VLAN Support

大概意思是:上图中一个AP连接着一个交换机,交换机通过access过来相对应的流量是不打标签的,FlexConnect 对于中心转发的流量也不打标签,但是对于Local Switch的流量就不行了,因为它除了access流量还有别的流量。这时候就需要使用VLAN support 使接口相当于起了Trunk。

Vlan Base Central Switch

大概的意思就是AP上有VLAN 20,30,40 没有VLAN80,如果client端连接接入的是Vlan 20,30,40,AP就直接进行转发,如果是接入VLAN 80 ,AP上面没有相应的VLAN,就需要通过到中心去,然后进行转发。(转发的前提,中心有VLAN 80)

Split Tunnel

大概意思是:如果没有使用Split Tunnel技术且是中心转发,client获取地址后,出流量经过AP->WLC,回流量经过WLC->AP->Server->AP->client。这样就很麻烦。由于远端使用的是DHCP,会有路由回包问题,如果使用 Split Tunnel技术 ,AP上做了NAT/PAT,就可以解决了。

注意点

FlexConnect 映射VLAN的顺序

优先级高的可以把低的覆盖:WLAN 下映射接口< Group < AP < Override WLAN on AP < AAA Override 授权

实验

central-central实现

数据流量和认证流量都走中心

WLC配置

首先在AP上把模式改成FlexConnect模式 ,此时也不要勾选下面的FlexConnect Local Switching

创建一个WLAN并应用

开启aaa override

配置AAA服务器

AAA服务作授权VLAN

结果验证

客户端连接上,可在认证服务器上查看,交换机上查看,WLC上查看

如果在WLC查看,可在MONITOR下面的client进行详情查看。

Central-Local实现

如果AP连接的交换机上没有相应的VLAN,而中心则有。这时候如果本地有就在本地转发,交换机没有就到中心转发。

WLC配置

创建WLAN、配置AAA认证服务器和结果验证步骤见central-central

开启本地转发功能

创建FlexConnect Groups

做WLAN映射

本地交换机上有VLAN20

结果验证

VLAN Base Central Swithching实现

本地交换机3650上有VLAN20 没有VLAN30

开启相应的功能

在认证服务ISE上修改相应的授权,授权VLAN 30 ,就会出现central-central现象

Split Tunnel

由于这是中心转发技术,请不要把 FlexConnect Local Switching 勾选上

创建FlexConnect ACLs

应用Split ACL Mapping

底部点击阅读原文网页版

阅读效果更佳

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-04-14,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 奕知伴解 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • https://www.liuluanyi.cn
  • FlexConnect介绍
  • FlexConnect部署场景
  • 上图中使用7500系列作为一个无线控制器,ACS5.2作为一个AAA认证服务器,分支与中心使用V**链路建立通信。红线代表控制平面流量;蓝色代表访问网络流量;绿色代表访问远端数据的数据流量;紫色代表分支数据流量。
  • 拓扑图简化
  • 术语名词理论介绍
    • FlexConnect Vlan Override
    • VLAN Support
      • Vlan Base Central Switch
        • Split Tunnel
        • 注意点
        • 实验
          • central-central实现
          • WLC配置
            • 创建一个WLAN并应用
              • 开启aaa override
                • 配置AAA服务器
                  • AAA服务作授权VLAN
                    • 结果验证
                    • Central-Local实现
                    • WLC配置
                      • 开启本地转发功能
                        • 创建FlexConnect Groups
                          • 做WLAN映射
                            • 结果验证
                            • VLAN Base Central Swithching实现
                              • 开启相应的功能
                              • Split Tunnel
                                • 创建FlexConnect ACLs
                                  • 应用Split ACL Mapping
                                  相关产品与服务
                                  多因子身份认证
                                  多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
                                  领券
                                  问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档