FlexConnect est une architecture qui existe déjà depuis plusieurs années et qui, avant la version AireOS 7.2, était appelée H-REAP (Hybrid Remote Edge Access Point).
Les fonctions supportées par ce mode de déploiement ont beaucoup évolué et nous souhaitons faire un point sur les dernières nouveautés, ainsi que sur les options recommandées pour l’optimisation de la bande passante d’un site distant par exemple.
Les détails de toutes les fonctions décrites ci-dessous et beaucoup d’autres sont disponibles dans le guide de déploiement officiel pour FlexConnect :
http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-1/Flex-7500/Flex_7500_DG.html
La solution FlexConnect permet de commuter localement le trafic data des clients wifi derrière le switch où un AP est branché, au lieu de remonter ce trafic en central vers le contrôleur.
La commutation locale peut s’appliquer juste à certains sites ou même uniquement à certains SSID d’un site.
L’autre principal avantage de cette architecture est qu’un AP FlexConnect, en cas de perte du WLC, continue à garder connectés les clients déjà associés et peut également accepter de nouveaux clients, selon différents cas de figure.
Pour un SSID avec portail captif, seuls les clients déjà authentifiés restent connectés. Pour les SSID en WPA PSK (Pre-Shared Key) la clé PSK est gérée en local et de nouveaux clients peuvent s’associer à l’AP en mode FlexConnect. Pour les SSID en WPA 802.1X de nouveaux clients pourraient toujours être authentifiés (voir options ci-dessous).
Une autre option permet aussi de commuter en local seulement le trafic de certains clients et de remonter en central le trafic d’autres clients, tout en restant sur le même SSID.
Cette fonction s’appelle “VLAN based central switching”, elle est supportée à partir de la version 7.3 et consiste à utiliser l’affectation dynamique d’un VLAN depuis un serveur RADIUS pour décider de commuter en local ou en central.
http://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-1/Flex-7500/Flex_7500_DG.html#pgfId-43615
Si le VLAN affecté automatiquement par attribut RADIUS a été configuré en local dans l’AP FlexConnect, le client est affecté à ce VLAN et commuté en local.
Si le VLAN n’existe pas en local dans l’AP FlexConnect, mais existe en central dans la configuration du WLC, le client est commuté en central et affecté à l’interface dynamique du WLC correspondant au VLAN communiqué en RADIUS.
Si le VLAN n’existe ni en local dans l’AP FlexConnect ni en central dans le WLC, le client est commuté en central dans le VLAN de l’interface dynamique configurée pour le WLAN.
Le “VLAN based central switching” est utilisé par exemple dans le cas d’un client wifi opérant principalement dans un site distant précis où il doit accéder à des ressources locales. Quand il est sur son site, ce client wifi est affecté au VLAN local. Par ailleurs, quand le client se déplace dans un autre site où son VLAN n’existe pas, il peut continuer à bénéficier d’un accès vers les ressources d’un site central.
En plus de l’affectation dynamique de VLAN, les APs FlexConnect supportent également l’affectation dynamique d’ACL ou encore de limitation de la bande passante par attributs RADIUS.
Cette dernière option permet de mieux gérer le volume du trafic d’un client invité, souvent moins prioritaire qu’un employé par exemple, afin d’optimiser le débit de la connexion WAN d’un site distant.
Toujours parmi les fonctions de sécurité, les APs FlexConnect, si le lien vers le WLC est perdu, peuvent se charger eux-mêmes d’envoyer les requêtes RADIUS pour les authentifications 802.1X vers des serveurs RADIUS de backup configurés sous le FlexConnect Group.
Cette option garantit une redondance complète d’un site distant en cas de perte du site central, même pour de nouveaux clients nécessitant une authentification 802.1X.
Depuis la version 8.1, la visibilité et le contrôle applicatifs (AVC, Application Visibility and Control) sont supportés également pour le trafic client commuté localement.
AVC permet de classifier les applications en remontant jusqu’à la couche de niveau 7. Une fois les applications classifiées, on peut préciser les actions à mener : marquage DSCP, limitation de la bande passante ou encore interdiction complète de l’application. Les statistiques sur les applications sont remontées depuis la borne vers le WLC, puis du WLC vers Prime ou d’autres collecteurs en NetFlow.
Deux des dernières options les plus recommandées que je souhaiterais rappeler pour les déploiements FlexConnect sont “AP Pre-Image Download” et “Smart AP Image Upgrade”.
La première s’applique aux mises à jour de tout type de déploiement, pas seulement au FlexConnect, et consiste à pré-télécharger une nouvelle version dans les APs avant de redémarrer le WLC suite à l’upgrade. De cette manière, les APs sont déjà prêts à utiliser la nouvelle image dès que le WLC redémarre après la mise à jour.
Le “Smart AP Image Upgrade” permet de désigner, pour chaque modèle d’AP, un AP FlexConnect du site distant en tant que “maître”. Cet AP maître uniquement téléchargera une éventuelle nouvelle version pour la mise à jour et la redistribuera aux autres APs du même modèle et du même site distant. Cette option est fondamentale pour optimiser la bande passante des sites distants et ne pas causer des éventuelles congestions du réseau WAN pendant les mises à jour d’une infrastructure Wi-Fi étendue.
Nous vous invitons à consulter les guides de déploiement et les autres documents officiels pour tous les détails sur les fonctions décrites dans cet article et leur configuration :
Flex 7500 Wireless Branch Controller Deployment Guide
FlexConnect Feature Matrix
Merci de votre attention et à bientôt pour d’autres articles !
Federico