| 01 | 您所在的位置:网站首页 › md5 计算序列号 域名 授权 › 01 |
01
|
2
WLAN功能支持多机备份
2.1 功能简介
WLAN支持多机备份功能可以提高WLAN业务的可靠性。在主AC和备AC上配置支持多机备份后,二者之间会通过多机备份建立WLAN数据备份通道,主AC将通过该通道向备AC实时同步WLAN业务数据等信息。当主AC故障或者链路故障时,备AC能够接替主AC继续工作,确保用户业务不会中断。有关多机备份的详细介绍,请参见“可靠性配置指导”中的“多机备份”。 2.2 配置限制和指导· 互为备份的AC上必须引用相同的多机备份实例。 · AC版本不一致的情况下,不支持备份数据。 · 仅AC旁挂组网支持多机备份,即AC不能做网关或DHCP Server。 · 多机备份场景下开启accounting-on功能时,多机备份功能失效。 · 多机备份场景下,与VRRP备份组AC 1、AC 2相连的交换机接口不允许启用STP功能,若交换机配置了全局STP功能,请将与VRRP备份组相连的接口配置为边缘端口。 · 两台AC的软件版本需保持一致,认证相关的配置和多机备份的配置需保持一致,无线服务模板的配置,AP或AP组下无线服务模板绑定顺序需保持一致,否则可能造成终端数据无法备份。 · 对于802.1X、MAC远程认证,需配置主备AC的NAS-IP为VRRP虚IP地址。 · VSRP、VRRP和AP上线需在同一VLAN。 · 请不要将VRRP业务VLAN绑定在多个物理接口下。 · 为保证系统稳定性,建议配置VRRP通告报文的发送间隔大于300厘秒。 · VRRP抢占模式下,建议延迟抢占时间保持默值(60分钟)。如果需要配置延迟抢占时间,建议大于10分钟。 · 为兼容不支持热备份的AP,需要在AC上配置AP的优先级,使AP和AC1建立主链路,和AC2建立备链路。 · 当AP使用静态配置的方式获取AC地址时,需要为AP手工指定主备两台AC的IP地址。 · 如果AC上配置了自动AP,请将自动AP固化后再进行多机备份配置。 · WLAN多机热备不支持使用虚拟IP作为AP的接入IP。 · 在使用过程中,如果主备AC上新增了无线服务模板的配置,在增加配置之后,需要通过save命令保存配置,再通过reboot命令将主备AC全部重启。 · 本功能不支持IPv6组网。 2.3 配置WLAN功能绑定多机备份实例(1) 进入系统视图。 system-view (2) 进入全局配置视图。 wlan global-configuration (3) 配置WLAN功能绑定多机备份实例。 vsrp-instance vsrp-instance-name 缺省情况下,WLAN功能未绑定多机备份实例。 2.4 配置无线客户端数据备份通道的TCP端口号 1. 功能简介多机备份组网环境中,本端设备在进行无线客户端数据备份之前,需要与对端备份设备建立一条多机备份数据备份通道,此通道为TCP连接。两端成功建立了TCP连接后,AC上的无线客户端数据将通过该通道进行实时备份。 2. 配置限制和指导· 主用设备和备用设备上配置的对应端口号必须一致,否则TCP连接将建立失败,数据备份通道不通。 · 修改端口号,会导致已建立的TCP连接断开,并使用新端口建立新连接。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入全局配置视图。 wlan global-configuration (3) 配置无线客户端数据备份通道的TCP端口号。 client vsrp-port port-number 缺省情况下,无线客户端数据备份通道的TCP端口号为60048。 2.5 配置WLAN多机备份的手动回切功能 1. 功能简介在多机备份组网环境中,主AC故障或者链路故障时,备AC升为主AC接替原主AC,原主AC从故障中恢复后,可以通过手动回切功能将其再次切换为主AC,并配置延迟生效时间。 2. 配置限制和指导请保证主AC的VRRP备份组优先级高于备AC。 需要在主AC和备AC同步配置本功能,并配置相同的延迟生效时间,回切才能生效。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) VRRP备份组在不抢占模式下执行一次手动回切,并配置延迟生效时间。 vrrp vrid virtual-router-id manual-preempt [ delay-time time-value ] 缺省情况下,发生主备倒换现象时不进行回切。 本命令的详情请参见“可靠性命令参考”中的“VRRP”。 2.6 WLAN功能支持多机备份显示和维护可在任意视图下执行如下命令,显示应用于WLAN功能的多机备份实例的运行信息 display wlan client vsrp instance [ instance-name ] 2.7 WLAN功能支持多机备份典型配置举例 2.7.1 WLAN功能支持多机备份典型配置举例 1. 组网需求AC 1、AC 2和AP通过Switch建立连接,形成双链路组网,AC 1和AC 2之间形成VRRP+VSRP的热备份通道,Switch作为DHCP Server为Client分配IP地址。AC 1的IP地址为192.168.66.24,AC 2的IP地址为192.168.66.26,AP的IP地址为192.168.66.11。 要求使用EAP-PEAP方式进行802.1X用户身份认证。 图2-1 WLAN功能支持多机备份典型配置组网图
2. 配置步骤 (1) 配置各接口的IP地址和全网路由 # 按照组网图配置设备各接口的IP地址。(配置步骤略) (2) 配置RADIUS Server(iMC V7) # 增加接入设备 登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 ¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置。 ¡ 选择或手工增加接入设备,添加IP地址为192.168.66.1(VRRP的虚IP)的接入设备。 # 增加接入策略。 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。 ¡ 设置接入策略名为dot1x。 ¡ 选择证书认证为EAP证书认证。 ¡ 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。 # 增加接入服务。 选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击按钮,进入增加接入服务页面。 ¡ 设置服务名为dot1x。 ¡ 设置缺省接入策略为已经创建的dot1x策略。 # 增加接入用户。 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击按钮,进入增加接入用户页面。 ¡ 添加用户user。 ¡ 添加帐号名为user,密码为dot1x。 ¡ 选中之前配置的服务dot1x。 (3) 配置AC 1 · 配置VRRP # 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为250(此值高于AC 2上配置的优先级,使得AC 1可以选举为Master AC)。 system-view [AC1] interface vlan-interface 1 [AC1-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1 [AC1-Vlan-interface1] vrrp vrid 1 priority 250 # 配置VRRP备份组工作在抢占模式,抢占延迟时间为120000厘秒(20分钟)。 [AC1-Vlan-interface1] vrrp vrid 1 preempt-mode delay 120000 [AC1-Vlan-interface1] quit · 配置Track联调动项。 # 创建下行接口GigabitEthernet1/0/1所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的VRRP、VSRP和CAPWAP所在链路故障链路故障。 [AC1] track 1 interface gigabitethernet1/0/1 · 配置多机备份 # 创建多机备份对端pname,指定对端地址为192.168.66.26,本端地址为192.168.66.24,使得AC 1使用Vlan-Interface 1作为多机备份数据备份通道。 [AC1] vsrp peer pname [AC1-vsrp-peer-pname] peer 192.168.66.26 local 192.168.66.24 # 配置关联Track项,Track序号为1。 [AC1-vsrp-peer-pname] track 1 [AC1-vsrp-peer-pname] quit # 创建多机备份实例inst,配置备份通道的备份ID为1、对端为pname。 [AC1] vsrp instance inst [AC1-vsrp-instance-inst] backup id 1 peer pname # 绑定接口vlan-interface上的VRRP备份组1。 [AC1-vsrp-instance-inst] bind vrrp vrid 1 interface vlan-interface1 [AC1-vsrp-instance-inst] quit # 配置WLAN功能绑定多机备份实例inst。 [AC1] wlan global-configuration [AC1-wlan-global-configuration] vsrp-instance inst [AC1-wlan-global-configuration] quit · 配置AAA # 配置802.1X认证方式为EAP。 [AC1] dot1x authentication-method eap # 配置RADIUS方案,名称为imc,主认证和主计费服务器的IP地址为192.168.66.141,端口号为1812,认证密钥为明文12345678,计费密钥为明文12345678,发送给RADIUS服务器的用户名不携带ISP域名,指定发送RADIUS报文的源IP为192.168.66.1。 [AC1] radius scheme imc [AC1-radius-imc] primary authentication 192.168.66.141 key simple 12345678 [AC1-radius-imc] primary accounting 192.168.66.141 key simple 12345678 [AC1-radius-imc] user-name-format without-domain [AC1-radius-imc] nas-ip 192.168.66.1 [AC1-radius-imc] quit # 配置名称为dot1x的ISP域,并将认证、授权的方式配置为使用RADIUS方案imc。 [AC1] domain dot1x [AC1-isp-dot1x] authentication lan-access radius-scheme imc [AC1-isp-dot1x] authorization lan-access radius-scheme imc [AC1-isp-dot1x] accounting lan-access radius-scheme imc [AC1-isp-dot1x] quit · 配置无线服务模板 # 配置无线服务模板名称为wlas_imc_dot1x,用户认证方式为802.1X,ISP域为dot1x,SSID为wlas_imc_ dot1x,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。 [AC1] wlan service-template wlas_imc_dot1x [AC1-wlan-st-wlas_imc_dot1x] client-security authentication-mode dot1x [AC1-wlan-st-wlas_imc_dot1x] dot1x domain dot1x [AC1-wlan-st-wlas_imc_dot1x] ssid wlas_imc_dot1x [AC1-wlan-st-wlas_imc_dot1x] akm mode dot1x [AC1-wlan-st-wlas_imc_dot1x] cipher-suite ccmp [AC1-wlan-st-wlas_imc_dot1x] security-ie rsn # 开启无线服务模板。 [AC1-wlan-st-wlas_imc_dot1x] service-template enable [AC1-wlan-st-wlas_imc_dot1x] quit · 配置AP绑定无线服务模板 # 创建ap1。 [AC1] wlan ap ap1 model WA6320 [AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T # 配置信道为149,并使能射频。 [AC1-wlan-ap-ap1] radio 1 [AC1-wlan-ap-ap1-radio-1] channel 149 [AC1-wlan-ap-ap1-radio-1] radio enable # 绑定无线服务模板。 [AC1-wlan-ap-ap1-radio-1] service-template wlas_imc_dot1x [AC1-wlan-ap-ap1-radio-1] quit [AC1-wlan-ap-ap1] quit · 保存配置并重启AC [AC2] save The current configuration will be written to the device. Are you sure? [Y/N]:y Please input the file name(*.cfg)[flash:/startup.cfg] (To leave the existing filename unchanged, press the enter key): flash:/startup.cfg exists, overwrite? [Y/N]:y Validating file. Please wait... Configuration is saved to device successfully. [AC2] quit reboot Start to check configuration with next startup configuration file, please wait.. .......DONE! Current configuration may be lost after the reboot, save current configuration? [Y/N]:y This command will reboot the device. Continue? [Y/N]:y (4) 配置AC 2 · 配置VRRP # 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为200(此值低于AC 1上配置的优先级,使得AC 1可以选举为Master AC)。 system-view [AC2] interface vlan-interface 1 [AC2-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1 [AC2-Vlan-interface1] vrrp vrid 1 priority 200 # 配置VRRP备份组工作在抢占模式,抢占延迟时间为120000厘秒(20分钟)。 [AC2-Vlan-interface1] vrrp vrid 1 preempt-mode delay 120000 [AC2-Vlan-interface1] quit · 配置Track联调动项。 # 创建接口GigabitEthernet1/0/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的VRRP、VSRP和CAPWAP所在链路故障。 [AC2] track 1 interface gigabitethernet1/0/2 · 配置多机备份 # 创建多机备份对端pname,指定对端地址为192.168.66.24,本端地址为192.168.66.26,使得AC2使用Vlan-Interface1作为多机备份数据备份通道。 [AC2] vsrp peer pname [AC2-vsrp-peer-pname] peer 192.168.66.24 local 192.168.66.26 # 配置关联Track项,Track序号为1。 [AC2-vsrp-peer-pname] track 1 [AC2-vsrp-peer-pname] quit # 创建多机备份实例inst,配置备份通道的备份ID为1、对端为pname。 [AC2] vsrp instance inst [AC2-vsrp-instance-inst] backup id 1 peer pname # 绑定接口vlan-interface上的VRRP备份组1。 [AC2-vsrp-instance-inst] bind vrrp vrid 1 interface vlan-interface1 [AC2-vsrp-instance-inst] quit # 配置WLAN功能绑定多机备份实例inst。 [AC2] wlan global-configuration [AC2-wlan-global-configuration] vsrp-instance inst [AC2-wlan-global-configuration] quit · 配置AAA # 配置802.1X认证方式为EAP。 [AC2] dot1x authentication-method eap # 配置RADIUS方案,名称为imc,主认证服务器的IP地址为192.168.66.141,端口号为1812,认证密钥为明文12345678,计费密钥为明文12345678,发送给RADIUS服务器的用户名不携带ISP域名,指定发送RADIUS报文的源IP为192.168.66.1。 [AC2] radius scheme imc [AC2-radius-imc] primary authentication 192.168.66.141 key simple 12345678 [AC2-radius-imc] primary accounting 192.168.66.141 key simple 12345678 [AC2-radius-imc] user-name-format without-domain [AC2-radius-imc] nas-ip 192.168.66.1 [AC2-radius-imc] quit # 配置名称为dot1x的ISP域,并将认证、授权的方式配置为使用RADIUS方案imc。 [AC2] domain dot1x [AC2-isp-dot1x] authentication lan-access radius-scheme imc [AC2-isp-dot1x] authorization lan-access radius-scheme imc [AC2-isp-dot1x] accounting lan-access radius-scheme imc [AC2-isp-dot1x] quit · 配置无线服务模板 # 配置无线服务模板名称为wlas_imc_dot1x,用户认证方式为802.1X,ISP域为dot1x,SSID为wlas_imc_ dot1x,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。 [AC2] wlan service-template wlas_imc_dot1x [AC2-wlan-st-wlas_imc_dot1x] client-security authentication-mode dot1x [AC2-wlan-st-wlas_imc_dot1x] dot1x domain dot1x [AC2-wlan-st-wlas_imc_dot1x] ssid wlas_imc_dot1x [AC2-wlan-st-wlas_imc_dot1x] akm mode dot1x [AC2-wlan-st-wlas_imc_dot1x] cipher-suite ccmp [AC2-wlan-st-wlas_imc_dot1x] security-ie rsn # 使能无线服务模板。 [AC2-wlan-st-wlas_imc_dot1x] service-template enable [AC2-wlan-st-wlas_imc_dot1x] quit · 配置AP绑定无线服务模板 # 创建ap1。 [AC2] wlan ap ap1 model 6320 [AC2-wlan-ap-ap1] serial-id 219801A28N819CE0002T # 配置信道为149,并使能射频。 [AC2-wlan-ap-ap1] radio 1 [AC2-wlan-ap-ap1-radio-1] channel 149 [AC2-wlan-ap-ap1-radio-1] radio enable # 绑定无线服务模板。 [AC2-wlan-ap-ap1-radio-1] service-template wlas_imc_dot1x [AC2-wlan-ap-ap1-radio-1] quit [AC2-wlan-ap-ap1] quit · 保存配置并重启AC [AC2] save The current configuration will be written to the device. Are you sure? [Y/N]:y Please input the file name(*.cfg)[flash:/startup.cfg] (To leave the existing filename unchanged, press the enter key): flash:/startup.cfg exists, overwrite? [Y/N]:y Validating file. Please wait... Configuration is saved to device successfully. [AC2] quit reboot Start to check configuration with next startup configuration file, please wait.. .......DONE! Current configuration may be lost after the reboot, save current configuration? [Y/N]:y This command will reboot the device. Continue? [Y/N]:y 3. 验证配置# 以上配置完成后,在AC 1上可以查看到本端的WLAN多机备份设备状态为主用设备,在AC 2上可以查看到本端的WLAN多机备份设备状态为备用设备,且通道均UP。 [AC1] display wlan client vsrp instance inst VSRP instance name : inst Instance peer address : 192.168.66.26 Instance status : Master Channel status : Up Created at : 2021-11-30 15:51:26
[AC2] display wlan client vsrp instance inst VSRP instance name : inst Instance peer address : 192.168.66.24 Instance status : Backup Channel status : Up Created at : 2021-11-30 10:55:30 # 无线客户端通过802.1X方式接入wlas_imc_dot1x服务后,输入用户名user,密码dot1x。其中Android终端阶段2身份验证选择MSCHAPV2,CA证书可以选择不验证;如果选择验证CA证书,需要在终端上安装CA证书。 # 通过display dot1x connection命令显示802.1X用户连接信息,可以看到AC 1和AC 2上的802.1X用户信息。 [AC1] display dot1x connection Total connections: 1 User MAC address : aa22-40a8-aa85 AP name : ap1 Radio ID : 1 SSID : wlas_imc_dot1x BSSID : 0868-8dfd-1650 Username : user Authentication domain : dot1x IPv4 address : 192.168.66.172 Authentication method : EAP Initial VLAN : 1 Authorization VLAN : 1 Authorization ACL number : N/A Authorization user profile : N/A Authorization CAR : N/A Termination action : Default Session timeout last from : 2021/11/30 21:08:27 Session timeout period : 86400 s Online from : 2021/11/30 21:08:27 Online duration : 0h 0m 3s
[AC2] display dot1x connection-backup Total backup connections: 1
User MAC address : aa22-40a8-aa85 AP name : ap1 Radio ID : 1 SSID : wlas_imc_dot1x BSSID : 0868-8dfd-1650 Username : user Authentication domain : dot1x IPv4 address : 192.168.66.172 Authentication method : EAP Initial VLAN : 1 Authorization VLAN : 1 Authorization ACL number : N/A Authorization user profile : N/A Authorization CAR : N/A Termination action : Default Session timeout period : 86400 s Online from : 2021/11/30 21:08:27 Online duration : 0h 1m 35s # 通过display wlan client显示命令查看无线客户端在线情况,可以看到AC 1和AC 2上的用户信息。 [AC1] display wlan client Total number of clients: 1
MAC address User name AP name R IP address VLAN aa22-40a8-aa85 user ap1 1 192.168.66.172 1
[AC2] display wlan client-backup Total number of clients: 1
MAC address User name AP name R IP address VLAN aa22-40a8-aa85 user ap1 1 192.168.66.172 1 2.7.2 WLAN功能支持多机备份手动回切典型配置举例 1. 组网需求AC 1、AC 2和AP通过Switch建立连接,形成双链路组网,AC 1和AC 2之间形成VRRP+VSRP的热备份通道,Switch作为DHCP Server为Client分配IP地址。AC 1的IP地址为192.168.66.24,AC 2的IP地址为192.168.66.26,AP的IP地址为192.168.66.11。 要求在AC 1和AC 2发生主备倒换后,配置手动回切功能,使AC 1重新作为主AC工作。 图2-2 WLAN功能支持多机备份典型配置组网图
2. 配置步骤 (1) 配置AC 1 # 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为250(此值高于AC 2上配置的优先级,使得AC 1可以选举为Master AC)。如已配置,请忽略此步骤。 system-view [AC1] interface vlan-interface 1 [AC1-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1 [AC1-Vlan-interface1] vrrp vrid 1 priority 250 # 配置VRRP备份组工作在手动抢占模式,在主备倒换发生后配置,手动回切时间为120分钟。 [AC1-Vlan-interface1] vrrp vrid 1 manual-preempt delay-time 120 [AC1-Vlan-interface1]quit (2) 配置AC 2 # 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为200(此值低于AC 1上配置的优先级,使得AC 1可以选举为Master AC)。如已配置,请忽略此步骤。 system-view [AC1] interface vlan-interface 1 [AC1-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1 [AC1-Vlan-interface1] vrrp vrid 1 priority 250 # 配置VRRP备份组工作在手动抢占模式,在主备倒换发生后配置,手动回切时间为120分钟。 [AC1-Vlan-interface1] vrrp vrid 1 manual-preempt delay-time 120 [AC1-Vlan-interface1]quit 3. 验证配置# 以上配置完成后,在AC 1上可以查看到本端的WLAN多机备份设备状态为主用设备,在AC 2上可以查看到本端的WLAN多机备份设备状态为备用设备,且通道均UP。 [AC1] display wlan client vsrp instance inst VSRP instance name : inst Instance peer address : 192.168.66.26 Instance status : Master Channel status : Up Created at : 2021-11-30 15:51:26
[AC2] display wlan client vsrp instance inst VSRP instance name : inst Instance peer address : 192.168.66.24 Instance status : Backup Channel status : Up Created at : 2021-11-30 10:55:30
|
【本文地址】