Cisco FlexConnect介绍及部署

建议PC端访问

https://www.liuluanyi.cn

FlexConnect介绍

官方解释：

FlexConnect (previously known as Hybrid Remote Edge Access Point or H-REAP) is a wireless solution for branch office and remote office deployments. It enables customersto configure and control access points(AP) in a branch or remote office from the corporate office through a wide area network (WAN) link without deploying a controller in each office. The FlexConnect access points can switch client data traffic locally and perform client authentication locally when their connection to the controller is lost. When they are connected to the controller, they can also send traffic back to the controller. In the connected mode, the FlexConnect access point can also perform local authentication.

中文翻译大概意思为：

• FlexConnect是分支机构和远程办公室部署的无线解决方案 。
• 它使你能够通过WAN链路，在公司配置与控制，分支机构的AP，而无需在每个分支部署控制器。
• FlexConnect AP可以在本地交换客户端数据流量，并在本地执行客户端身份验证。
• 当AP连接到控制器时，也可以将流量发送回控制器

FlexConnect部署场景

上图中使用7500系列作为一个无线控制器，ACS5.2作为一个AAA认证服务器，分支与中心使用V**链路建立通信。红线代表控制平面流量；蓝色代表访问网络流量；绿色代表访问远端数据的数据流量；紫色代表分支数据流量。

本篇文章将主要介绍FlexConnect Groups的部署方式。原因如下：

在实际的企业环境中，瘦AP居多，胖AP几乎不会出现。瘦AP是WEB图形界面配置只能鼠标点点， 不像胖AP可以直接配置刷命令。 如果数量居多，操作起来就很不现实，所以部署的时候一般都采用FlexConnext Group的方式进行部署。

拓扑图简化

术语名词理论介绍

FlexConnect Vlan Override

我用上面的简图做一个通俗的介绍：AP上会有一个WLAN映射一个VLAN，client端连接了这个WLAN就相当于连接了这个映射的VLAN，AP会把这个VLAN送到交换机上对应的VLAN。就是这样一个严格的静态映射。

VLAN Support

大概意思是：上图中一个AP连接着一个交换机，交换机通过access过来相对应的流量是不打标签的，FlexConnect 对于中心转发的流量也不打标签，但是对于Local Switch的流量就不行了，因为它除了access流量还有别的流量。这时候就需要使用VLAN support 使接口相当于起了Trunk。

Vlan Base Central Switch

大概的意思就是AP上有VLAN 20,30,40 没有VLAN80，如果client端连接接入的是Vlan 20,30,40，AP就直接进行转发，如果是接入VLAN 80 ，AP上面没有相应的VLAN，就需要通过到中心去，然后进行转发。（转发的前提，中心有VLAN 80）

Split Tunnel

大概意思是：如果没有使用Split Tunnel技术且是中心转发，client获取地址后，出流量经过AP->WLC，回流量经过WLC->AP->Server->AP->client。这样就很麻烦。由于远端使用的是DHCP，会有路由回包问题，如果使用 Split Tunnel技术 ，AP上做了NAT/PAT，就可以解决了。

注意点

FlexConnect 映射VLAN的顺序

优先级高的可以把低的覆盖：WLAN 下映射接口< Group < AP < Override WLAN on AP < AAA Override 授权

实验

central-central实现

数据流量和认证流量都走中心

WLC配置

首先在AP上把模式改成FlexConnect模式 ，此时也不要勾选下面的FlexConnect Local Switching

创建一个WLAN并应用

开启aaa override

配置AAA服务器

AAA服务作授权VLAN

结果验证

客户端连接上，可在认证服务器上查看，交换机上查看，WLC上查看

如果在WLC查看，可在MONITOR下面的client进行详情查看。

Central-Local实现

如果AP连接的交换机上没有相应的VLAN，而中心则有。这时候如果本地有就在本地转发，交换机没有就到中心转发。

WLC配置

创建WLAN、配置AAA认证服务器和结果验证步骤见central-central

开启本地转发功能

创建FlexConnect Groups

做WLAN映射

本地交换机上有VLAN20

结果验证

VLAN Base Central Swithching实现

本地交换机3650上有VLAN20 没有VLAN30

开启相应的功能

在认证服务ISE上修改相应的授权，授权VLAN 30 ，就会出现central-central现象

Split Tunnel

由于这是中心转发技术，请不要把 FlexConnect Local Switching 勾选上

创建FlexConnect ACLs

应用Split ACL Mapping

底部点击阅读原文网页版

阅读效果更佳