- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-WLAN高可靠性配置
本章节下载: 13-WLAN高可靠性配置 (403.90 KB)
目 录
在集中式转发模式下,AC在汇聚层上承担了大量AP的状态维护和数据转发工作。AC设备的故障将导致无线网络的服务中断。双链路备份组网中,两AC互为备份,极大的降低了单AC故障造成无线网络中断的风险。
双链路备份适用于对于流量传输连续性要求不高的环境。
双链路备份功能为AP提供两个上行链路,在两条链路上分别建立主隧道与备隧道。AP与主备AC仅建立CAPWAP隧道,但AC间互不感知,因而在主AC不可用等情况下,通过AC转发的数据流量在进行CAPWAP主备隧道切换时会出现短暂中断现象。当发生故障的主AC恢复正常后,可以通过配置CAPWAP隧道抢占功能来根据AP连接AC的优先级决定CAPWAP主隧道。
图1-1 双链路备份组网图
为使双链路备份功能能够正常运行,需要在两台AC设备上均完成以下配置:
完成手工AP或自动AP相关配置,确保AP可以与两台AC分别建立CAPWAP隧道连接。需要注意的是,若选择手工AP方式建立CAPWAP隧道连接,则要求两台AC上配置的AP名称相同且都配置序列号或都配置MAC地址。相关配置请参见“AP管理配置指导”中的“AP管理”。
在对AP进行配置时,可以采用如下方式:
· 针对单台AP,在AP视图下进行配置。
· 针对同一个AP组内的AP,在AP组视图下针对AP组进行配置。
· 在全局配置视图下针对所有AP进行全局配置。
对于一台AP,这些配置的生效优先级从高到低为:针对AP的配置、AP组中的配置、全局配置。
(1) 配置优先级及备AC的IP地址
(2) (可选)配置CAPWAP主隧道抢占功能
(3) (可选)配置终端保持功能
双链路备份下,AP需要先和一个AC建立CAPWAP隧道,该隧道即为主隧道,建立CAPWAP主隧道的AC为该AP的主AC。因此,如果要为AP指定需要连接的主AC,需要在该AC上配置较高的AP连接优先级,保证AP优先与该AC建立CAPWAP隧道,确立其主AC的身份。
主AC上需要配置备AC的IP地址,当AP与主AC建立CAPWAP主隧道后,将根据主AC下发的配置与备AC建立CAPWAP备隧道。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
(3) 配置AP连接AC的优先级。
priority priority
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:AP连接优先级为4。
(4) 配置备份AC的IP地址。
backup-ac { ip ipv4-address | ipv6 ipv6-address }
缺省情况下:
¡ AP视图:继承AP组配置。
¡ AP组视图:未配置备份AC的IP地址。
在双链路备份组网环境中,缺省情况下,当AP连接的主AC故障时,备AC才会将CAPWAP备份隧道转换为主隧道。当备份AC开启了CAPWAP主隧道抢占功能后,如果备份AC上配置的AP连接AC的优先级高于主AC上配置的优先级,则备份AC在延迟10分钟后将CAPWAP备份隧道切换为主隧道。
(1) 进入系统视图。
system-view
(2) 进入AP视图、AP组视图或全局配置视图。
¡ 进入AP视图。
wlan ap ap-name
¡ 进入AP组视图。
wlan ap-group group-name
¡ 进入全局配置视图。
wlan global-configuration
(3) 配置CAPWAP主隧道抢占功能。
wlan tunnel-preempt { disable | enable }
缺省情况下:
AP视图:继承AP组配置。
AP组视图:继承全局配置视图配置。
全局配置视图:CAPWAP主隧道抢占功能处于关闭状态。
双链路组网中,当备AC升为主AC时,备AC会与主AC平滑全部终端表项,无线终端会同时掉线,并花费较长时间才能再次上线。使能本功能后,备AC会缓慢的与主AC平滑表项,使无线终端缓慢的自行上下线,从而保持终端在线。
本功能配合Portal认证时,请配置MAC-trigger快速认证功能,使用户可以无感知完成认证。
(1) 进入系统视图。
system-view
(2) 进入全局配置视图。
wlan global-configuration
(3) 配置终端保持功能。
client-persistence enable
缺省情况下,保持终端在线功能处于关闭状态。
在完成上述配置后,在AC任意视图下执行display命令可以显示配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令清除双链路备份的相关信息。
表1-1 双链路备份显示和维护
|
操作 |
命令 |
|
显示通过保持终端在线功能保活的终端信息。 |
display wlan persistent-client |
|
清除通过保持终端在线功能保活的终端。 |
reset wlan persistent-client |
AP通过Router A与AC 1和AC 2连接,要求使用双链路备份对AC进行备份,AC 1工作在主用状态,AC 2工作在备用状态,当AC 1发生故障或主备AC切换时,AP可以通过AC 2通信,当AC 1恢复工作后,AP重新关联到AC 1。
图1-2 双链路备份典型组网图
(1) 配置AC 1
# 创建Vlan-interface1接口并配置IP地址用来建立CAPWAP隧道。
<AC1> system-view
[AC1] interface vlan-interface 1
[AC1-Vlan-interface1] ip address 10.1.1.1 24
[AC1-Vlan-interface1] quit
# 创建ap1并配置AP连接的优先级为7。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC1-wlan-ap-ap1] priority 7
# 配置备AC IP地址。
[AC1-wlan-ap-ap1] backup-ac ip 11.1.1.1
# 配置CAPWAP隧道抢占功能。
[AC1-wlan-ap-ap1] wlan tunnel-preempt enable
[AC1-wlan-ap-ap1] quit
(2) 配置AC 2
# 创建Vlan-interface1接口并配置IP地址用来建立CAPWAP隧道。
<AC2> system-view
[AC2] interface Vlan-interface 1
[AC2-Vlan-interface1] ip address 11.1.1.1 24
[AC2-Vlan-interface1] quit
# 创建ap1并配置AP连接的优先级为5。
[AC2] wlan ap ap1 model WA6320
[AC2-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC2-wlan-ap-ap1] priority 5
# 配置备AC IP地址。
[AC2-wlan-ap-ap1] backup-ac ip 10.1.1.1
# 配置CAPWAP隧道抢占功能。
[AC2-wlan-ap-ap1] wlan tunnel-preempt enable
[AC2-wlan-ap-ap1] quit
# AP首先在AC 1上线,此时将AC 1的Vlan-interface1接口关闭,等待一段时间(不超过3分钟,期间流量会中断),而后AP会在AC 2上线,在AC 2上查看AP的状态为R/M。
# 重新开启AC 1的Vlan-interface1接口,AP会重新在AC 1上线,在AC 1上查看AP的状态为R/M,在AC 2 上查看AP的状态为R/B。
大型WLAN网络中通常需要多个AC来管理大量AP,各个AC独立工作管理难度大,且单台AC设备的故障将导致其下连接的无线网络服务中断。为了解决上述问题,可以将多台AC组成云集群,并在成员AC之间进行AP热备份,既能保证对AP进行统一管理,同时对AP的信息进行备份,又能保证在有AC出现故障时,保持AP在线和无线服务不中断。
以AC是否为云集群中的主用设备将AC区分为以下角色:
· 主AC:即云集群中的主设备,负责管理整个云集群的资源。
· 从AC:即云集群中的从设备,处理业务、转发报文的同时作为主AC的备份设备运行。当主AC故障时,系统会自动从从AC中选举一个新的主AC接替原主AC工作。
以AC能否和AP建立CAPWAP隧道将AC区分为以下角色:
· 活跃AC:可以和AP建立CAPWAP隧道的AC,主AC一定是活跃AC。
· 非活跃AC:除活跃AC外的其它AC,不可以和AP建立CAPWAP隧道,非活跃AC仅能是从AC。当有活跃AC出现故障,非活跃AC将被选为活跃AC。
以AP和AC的位置关系将AC区分为直连AC和非直连AC,AP发起CAPWAP隧道连接时,云集群内收到AP首报文的AC为直连AC。
通过AP热备份,活跃AC会将连接的所有AP的信息备份到云集群内的其它AC上。当活跃AC发生故障,会重新选举一个主AC成为活跃AC,并恢复故障AC上的AP。
配置AP热备份前,请先将要进行AP热备份的AC组成云集群,有关云集群的详细介绍和配置请参见“虚拟化配置指导”中的“云集群”。
通过AP热备份,活跃AC会将连接的所有AP的信息备份到云集群内的其它AC上。当活跃AC发生故障,会重新选举一个主AC成为活跃AC,并恢复故障AC上的AP。
关闭AP热备份功能后,所有AC将删除其上已经备份的AP信息。
(1) 进入系统视图。
system-view
(2) 开启AP热备份功能。
wlan ap-backup hot-backup enable
缺省情况下,AP热备份功能处于关闭状态。
大型WLAN网络中可以通过多台AC组成云集群实现成员AC之间对AP的热备份。当有AC发生故障,其他AC可以恢复故障AC上的AP,但由于AC之间没有备份客户端的数据,就需要客户端重新接入。为了解决上述问题,可以在开启AP热备份的基础上,在成员AC之间进行客户端热备份,保证AC出现故障时,AP和客户端仍能保持在线。
设备仅对客户端热备份功能开启后接入的客户端进行备份。关闭客户端热备份功能后,所有AC将删除其上已经备份的客户端信息。
客户端热备份功能需要与AP热备份功能配合使用,只有AP热备份功能和客户端热备份功能同时开启,客户端热备份功能才会生效。
开启AP热备份功能和客户端热备功能之后,活跃AC就能将其上连接的所有AP和客户端信息备份到云集群内的其它AC上。当活跃AC发生故障,主AC会选择一个AC来恢复故障AC上的AP和客户端信息。有关AP热备份功能和AC的选择规则请参见“2 AP热备份”。
(1) 进入系统视图。
system-view
(2) 开启客户端热备份功能。
wlan client-backup hot-backup enable
缺省情况下,客户端热备份功能处于关闭状态。
只有在客户端热备份功能开启的情况下,本功能才会生效。
本功能仅对新接入的客户端生效。
客户端上线后,如果在热备份延时时间内发生了主备AC切换,客户端需要重新上线。
客户端上线后,如果在热备份延时时间内主AC客户端管理进程发生重启,则只要发生主备AC切换,客户端就需要重新上线。
(1) 进入系统视图。
system-view
(2) 配置客户端热备份延时时间。
wlan client-backup hot-backup delay delay-time
缺省情况下,客户端热备份的延时时间为60秒。
完成客户端热备份配置且有客户端上线后,在AC任意视图下执行display命令可以显示客户端的备份信息。
表3-1 客户端热备份显示和维护
|
操作 |
命令 |
|
显示AC上备份的802.1X认证用户信息 |
display dot1x connection-backup [ ap ap-name [ radio radio-id ] ] slot slot-number |
|
显示AC上备份的MAC地址认证用户信息 |
display mac-authentication connection-backup [ ap ap-name [ radio radio-id ] ] slot slot-number |
|
显示云集群中指定成员设备上的客户端热备份信息 |
display wlan client-backup [ ap ap-name [ radio radio-id ] | mac-address mac-address ] [ verbose ] [ slot slot-number ] |
WLAN支持多机备份功能可以提高WLAN业务的可靠性。在主AC和备AC上配置支持多机备份后,二者之间会通过多机备份建立WLAN数据备份通道,主AC将通过该通道向备AC实时同步WLAN业务数据等信息。当主AC故障或者链路故障时,备AC能够接替主AC继续工作,确保用户业务不会中断。有关多机备份的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
· 互为备份的AC上必须引用相同的多机备份实例。
· AC版本不一致的情况下,不支持备份数据。
· 仅AC旁挂组网支持多机备份,即AC不能做网关或DHCP Server。
· 多机备份场景下开启accounting-on功能时,多机备份功能失效。
· 多机备份场景下,与VRRP备份组AC 1、AC 2相连的交换机接口不允许启用STP功能,若交换机配置了全局STP功能,请将与VRRP备份组相连的接口配置为边缘端口。
· 两台AC的软件版本需保持一致,认证相关的配置和多机备份的配置需保持一致,无线服务模板的配置,AP或AP组下无线服务模板绑定顺序需保持一致,否则可能造成终端数据无法备份。
· 对于802.1X、MAC远程认证,需配置主备AC的NAS-IP为VRRP虚IP地址。
· VSRP、VRRP和AP上线需在同一VLAN。
· 请不要将VRRP业务VLAN绑定在多个物理接口下。
· 为保证系统稳定性,建议配置VRRP通告报文的发送间隔大于300厘秒。
· VRRP抢占模式下,建议延迟抢占时间保持默值(60分钟)。如果需要配置延迟抢占时间,建议大于10分钟。
· 为兼容不支持热备份的AP,需要在AC上配置AP的优先级,使AP和AC1建立主链路,和AC2建立备链路。
· 当AP使用静态配置的方式获取AC地址时,需要为AP手工指定主备两台AC的IP地址。
· 如果AC上配置了自动AP,请将自动AP固化后再进行多机备份配置。
· WLAN多机热备不支持使用虚拟IP作为AP的接入IP。
· 在使用过程中,如果主备AC上新增了无线服务模板的配置,在增加配置之后,需要通过save命令保存配置,再通过reboot命令将主备AC全部重启。
· 本功能不支持IPv6组网。
(1) 进入系统视图。
system-view
(2) 进入全局配置视图。
wlan global-configuration
(3) 配置WLAN功能绑定多机备份实例。
vsrp-instance vsrp-instance-name
缺省情况下,WLAN功能未绑定多机备份实例。
多机备份组网环境中,本端设备在进行无线客户端数据备份之前,需要与对端备份设备建立一条多机备份数据备份通道,此通道为TCP连接。两端成功建立了TCP连接后,AC上的无线客户端数据将通过该通道进行实时备份。
· 主用设备和备用设备上配置的对应端口号必须一致,否则TCP连接将建立失败,数据备份通道不通。
· 修改端口号,会导致已建立的TCP连接断开,并使用新端口建立新连接。
(1) 进入系统视图。
system-view
(2) 进入全局配置视图。
wlan global-configuration
(3) 配置无线客户端数据备份通道的TCP端口号。
client vsrp-port port-number
缺省情况下,无线客户端数据备份通道的TCP端口号为60048。
在多机备份组网环境中,主AC故障或者链路故障时,备AC升为主AC接替原主AC,原主AC从故障中恢复后,可以通过手动回切功能将其再次切换为主AC,并配置延迟生效时间。
请保证主AC的VRRP备份组优先级高于备AC。
需要在主AC和备AC同步配置本功能,并配置相同的延迟生效时间,回切才能生效。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) VRRP备份组在不抢占模式下执行一次手动回切,并配置延迟生效时间。
vrrp vrid virtual-router-id manual-preempt [ delay-time time-value ]
缺省情况下,发生主备倒换现象时不进行回切。
本命令的详情请参见“可靠性命令参考”中的“VRRP”。
可在任意视图下执行如下命令,显示应用于WLAN功能的多机备份实例的运行信息
display wlan client vsrp instance [ instance-name ]
AC 1、AC 2和AP通过Switch建立连接,形成双链路组网,AC 1和AC 2之间形成VRRP+VSRP的热备份通道,Switch作为DHCP Server为Client分配IP地址。AC 1的IP地址为192.168.66.24,AC 2的IP地址为192.168.66.26,AP的IP地址为192.168.66.11。
要求使用EAP-PEAP方式进行802.1X用户身份认证。
图4-1 WLAN功能支持多机备份典型配置组网图
(1) 配置各接口的IP地址和全网路由
# 按照组网图配置设备各接口的IP地址。(配置步骤略)
(2) 配置RADIUS Server(iMC V7)
# 增加接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置。
¡ 选择或手工增加接入设备,添加IP地址为192.168.66.1(VRRP的虚IP)的接入设备。
# 增加接入策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
¡ 设置接入策略名为dot1x。
¡ 选择证书认证为EAP证书认证。
¡ 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
¡ 设置服务名为dot1x。
¡ 设置缺省接入策略为已经创建的dot1x策略。
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
¡ 添加用户user。
¡ 添加帐号名为user,密码为dot1x。
¡ 选中之前配置的服务dot1x。
· 配置VRRP
# 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为250(此值高于AC 2上配置的优先级,使得AC 1可以选举为Master AC)。
<AC1> system-view
[AC1] interface vlan-interface 1
[AC1-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1
[AC1-Vlan-interface1] vrrp vrid 1 priority 250
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为120000厘秒(20分钟)。
[AC1-Vlan-interface1] vrrp vrid 1 preempt-mode delay 120000
[AC1-Vlan-interface1] quit
· 配置Track联调动项。
# 创建下行接口GigabitEthernet1/0/1所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的VRRP、VSRP和CAPWAP所在链路故障链路故障。
[AC1] track 1 interface gigabitethernet1/0/1
· 配置多机备份
# 创建多机备份对端pname,指定对端地址为192.168.66.26,本端地址为192.168.66.24,使得AC 1使用Vlan-Interface 1作为多机备份数据备份通道。
[AC1] vsrp peer pname
[AC1-vsrp-peer-pname] peer 192.168.66.26 local 192.168.66.24
# 配置关联Track项,Track序号为1。
[AC1-vsrp-peer-pname] track 1
[AC1-vsrp-peer-pname] quit
# 创建多机备份实例inst,配置备份通道的备份ID为1、对端为pname。
[AC1] vsrp instance inst
[AC1-vsrp-instance-inst] backup id 1 peer pname
# 绑定接口vlan-interface上的VRRP备份组1。
[AC1-vsrp-instance-inst] bind vrrp vrid 1 interface vlan-interface1
[AC1-vsrp-instance-inst] quit
# 配置WLAN功能绑定多机备份实例inst。
[AC1] wlan global-configuration
[AC1-wlan-global-configuration] vsrp-instance inst
[AC1-wlan-global-configuration] quit
· 配置AAA
# 配置802.1X认证方式为EAP。
[AC1] dot1x authentication-method eap
# 配置RADIUS方案,名称为imc,主认证和主计费服务器的IP地址为192.168.66.141,端口号为1812,认证密钥为明文12345678,计费密钥为明文12345678,发送给RADIUS服务器的用户名不携带ISP域名,指定发送RADIUS报文的源IP为192.168.66.1。
[AC1] radius scheme imc
[AC1-radius-imc] primary authentication 192.168.66.141 key simple 12345678
[AC1-radius-imc] primary accounting 192.168.66.141 key simple 12345678
[AC1-radius-imc] user-name-format without-domain
[AC1-radius-imc] nas-ip 192.168.66.1
[AC1-radius-imc] quit
# 配置名称为dot1x的ISP域,并将认证、授权的方式配置为使用RADIUS方案imc。
[AC1] domain dot1x
[AC1-isp-dot1x] authentication lan-access radius-scheme imc
[AC1-isp-dot1x] authorization lan-access radius-scheme imc
[AC1-isp-dot1x] accounting lan-access radius-scheme imc
[AC1-isp-dot1x] quit
· 配置无线服务模板
# 配置无线服务模板名称为wlas_imc_dot1x,用户认证方式为802.1X,ISP域为dot1x,SSID为wlas_imc_ dot1x,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。
[AC1] wlan service-template wlas_imc_dot1x
[AC1-wlan-st-wlas_imc_dot1x] client-security authentication-mode dot1x
[AC1-wlan-st-wlas_imc_dot1x] dot1x domain dot1x
[AC1-wlan-st-wlas_imc_dot1x] ssid wlas_imc_dot1x
[AC1-wlan-st-wlas_imc_dot1x] akm mode dot1x
[AC1-wlan-st-wlas_imc_dot1x] cipher-suite ccmp
[AC1-wlan-st-wlas_imc_dot1x] security-ie rsn
# 开启无线服务模板。
[AC1-wlan-st-wlas_imc_dot1x] service-template enable
[AC1-wlan-st-wlas_imc_dot1x] quit
· 配置AP绑定无线服务模板
# 创建ap1。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道为149,并使能射频。
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] channel 149
[AC1-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC1-wlan-ap-ap1-radio-1] service-template wlas_imc_dot1x
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
· 保存配置并重启AC
[AC2] save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Configuration is saved to device successfully.
[AC2] quit
<AC2> reboot
Start to check configuration with next startup configuration file, please wait..
.......DONE!
Current configuration may be lost after the reboot, save current configuration?
[Y/N]:y
This command will reboot the device. Continue? [Y/N]:y
· 配置VRRP
# 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为200(此值低于AC 1上配置的优先级,使得AC 1可以选举为Master AC)。
<AC2> system-view
[AC2] interface vlan-interface 1
[AC2-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1
[AC2-Vlan-interface1] vrrp vrid 1 priority 200
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为120000厘秒(20分钟)。
[AC2-Vlan-interface1] vrrp vrid 1 preempt-mode delay 120000
[AC2-Vlan-interface1] quit
· 配置Track联调动项。
# 创建接口GigabitEthernet1/0/2所连链路状态关联的Track项1。如果Track项的状态为Negative,则说明设备的VRRP、VSRP和CAPWAP所在链路故障。
[AC2] track 1 interface gigabitethernet1/0/2
· 配置多机备份
# 创建多机备份对端pname,指定对端地址为192.168.66.24,本端地址为192.168.66.26,使得AC2使用Vlan-Interface1作为多机备份数据备份通道。
[AC2] vsrp peer pname
[AC2-vsrp-peer-pname] peer 192.168.66.24 local 192.168.66.26
# 配置关联Track项,Track序号为1。
[AC2-vsrp-peer-pname] track 1
[AC2-vsrp-peer-pname] quit
# 创建多机备份实例inst,配置备份通道的备份ID为1、对端为pname。
[AC2] vsrp instance inst
[AC2-vsrp-instance-inst] backup id 1 peer pname
# 绑定接口vlan-interface上的VRRP备份组1。
[AC2-vsrp-instance-inst] bind vrrp vrid 1 interface vlan-interface1
[AC2-vsrp-instance-inst] quit
# 配置WLAN功能绑定多机备份实例inst。
[AC2] wlan global-configuration
[AC2-wlan-global-configuration] vsrp-instance inst
[AC2-wlan-global-configuration] quit
· 配置AAA
# 配置802.1X认证方式为EAP。
[AC2] dot1x authentication-method eap
# 配置RADIUS方案,名称为imc,主认证服务器的IP地址为192.168.66.141,端口号为1812,认证密钥为明文12345678,计费密钥为明文12345678,发送给RADIUS服务器的用户名不携带ISP域名,指定发送RADIUS报文的源IP为192.168.66.1。
[AC2] radius scheme imc
[AC2-radius-imc] primary authentication 192.168.66.141 key simple 12345678
[AC2-radius-imc] primary accounting 192.168.66.141 key simple 12345678
[AC2-radius-imc] user-name-format without-domain
[AC2-radius-imc] nas-ip 192.168.66.1
[AC2-radius-imc] quit
# 配置名称为dot1x的ISP域,并将认证、授权的方式配置为使用RADIUS方案imc。
[AC2] domain dot1x
[AC2-isp-dot1x] authentication lan-access radius-scheme imc
[AC2-isp-dot1x] authorization lan-access radius-scheme imc
[AC2-isp-dot1x] accounting lan-access radius-scheme imc
[AC2-isp-dot1x] quit
· 配置无线服务模板
# 配置无线服务模板名称为wlas_imc_dot1x,用户认证方式为802.1X,ISP域为dot1x,SSID为wlas_imc_ dot1x,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。
[AC2] wlan service-template wlas_imc_dot1x
[AC2-wlan-st-wlas_imc_dot1x] client-security authentication-mode dot1x
[AC2-wlan-st-wlas_imc_dot1x] dot1x domain dot1x
[AC2-wlan-st-wlas_imc_dot1x] ssid wlas_imc_dot1x
[AC2-wlan-st-wlas_imc_dot1x] akm mode dot1x
[AC2-wlan-st-wlas_imc_dot1x] cipher-suite ccmp
[AC2-wlan-st-wlas_imc_dot1x] security-ie rsn
# 使能无线服务模板。
[AC2-wlan-st-wlas_imc_dot1x] service-template enable
[AC2-wlan-st-wlas_imc_dot1x] quit
· 配置AP绑定无线服务模板
# 创建ap1。
[AC2] wlan ap ap1 model 6320
[AC2-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道为149,并使能射频。
[AC2-wlan-ap-ap1] radio 1
[AC2-wlan-ap-ap1-radio-1] channel 149
[AC2-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC2-wlan-ap-ap1-radio-1] service-template wlas_imc_dot1x
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
· 保存配置并重启AC
[AC2] save
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Configuration is saved to device successfully.
[AC2] quit
<AC2> reboot
Start to check configuration with next startup configuration file, please wait..
.......DONE!
Current configuration may be lost after the reboot, save current configuration?
[Y/N]:y
This command will reboot the device. Continue? [Y/N]:y
# 以上配置完成后,在AC 1上可以查看到本端的WLAN多机备份设备状态为主用设备,在AC 2上可以查看到本端的WLAN多机备份设备状态为备用设备,且通道均UP。
[AC1] display wlan client vsrp instance inst
VSRP instance name : inst
Instance peer address : 192.168.66.26
Instance status : Master
Channel status : Up
Created at : 2021-11-30 15:51:26
[AC2] display wlan client vsrp instance inst
VSRP instance name : inst
Instance peer address : 192.168.66.24
Instance status : Backup
Channel status : Up
Created at : 2021-11-30 10:55:30
# 无线客户端通过802.1X方式接入wlas_imc_dot1x服务后,输入用户名user,密码dot1x。其中Android终端阶段2身份验证选择MSCHAPV2,CA证书可以选择不验证;如果选择验证CA证书,需要在终端上安装CA证书。
# 通过display dot1x connection命令显示802.1X用户连接信息,可以看到AC 1和AC 2上的802.1X用户信息。
[AC1] display dot1x connection
Total connections: 1
User MAC address : aa22-40a8-aa85
AP name : ap1
Radio ID : 1
SSID : wlas_imc_dot1x
BSSID : 0868-8dfd-1650
Username : user
Authentication domain : dot1x
IPv4 address : 192.168.66.172
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : 1
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : Default
Session timeout last from : 2021/11/30 21:08:27
Session timeout period : 86400 s
Online from : 2021/11/30 21:08:27
Online duration : 0h 0m 3s
[AC2] display dot1x connection-backup
Total backup connections: 1
User MAC address : aa22-40a8-aa85
AP name : ap1
Radio ID : 1
SSID : wlas_imc_dot1x
BSSID : 0868-8dfd-1650
Username : user
Authentication domain : dot1x
IPv4 address : 192.168.66.172
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : 1
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : Default
Session timeout period : 86400 s
Online from : 2021/11/30 21:08:27
Online duration : 0h 1m 35s
# 通过display wlan client显示命令查看无线客户端在线情况,可以看到AC 1和AC 2上的用户信息。
[AC1] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
aa22-40a8-aa85 user ap1 1 192.168.66.172 1
[AC2] display wlan client-backup
Total number of clients: 1
MAC address User name AP name R IP address VLAN
aa22-40a8-aa85 user ap1 1 192.168.66.172 1
AC 1、AC 2和AP通过Switch建立连接,形成双链路组网,AC 1和AC 2之间形成VRRP+VSRP的热备份通道,Switch作为DHCP Server为Client分配IP地址。AC 1的IP地址为192.168.66.24,AC 2的IP地址为192.168.66.26,AP的IP地址为192.168.66.11。
要求在AC 1和AC 2发生主备倒换后,配置手动回切功能,使AC 1重新作为主AC工作。
图4-2 WLAN功能支持多机备份典型配置组网图
(1) 配置AC 1
# 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为250(此值高于AC 2上配置的优先级,使得AC 1可以选举为Master AC)。如已配置,请忽略此步骤。
<AC1> system-view
[AC1] interface vlan-interface 1
[AC1-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1
[AC1-Vlan-interface1] vrrp vrid 1 priority 250
# 配置VRRP备份组工作在手动抢占模式,在主备倒换发生后配置,手动回切时间为120分钟。
[AC1-Vlan-interface1] vrrp vrid 1 manual-preempt delay-time 120
[AC1-Vlan-interface1]quit
(2) 配置AC 2
# 在接口Vlan-Interface 1上创建VRRP备份组1,并配置虚拟IP为192.168.66.1,优先级为200(此值低于AC 1上配置的优先级,使得AC 1可以选举为Master AC)。如已配置,请忽略此步骤。
<AC1> system-view
[AC1] interface vlan-interface 1
[AC1-Vlan-interface1] vrrp vrid 1 virtual-ip 192.168.66.1
[AC1-Vlan-interface1] vrrp vrid 1 priority 250
# 配置VRRP备份组工作在手动抢占模式,在主备倒换发生后配置,手动回切时间为120分钟。
[AC1-Vlan-interface1] vrrp vrid 1 manual-preempt delay-time 120
[AC1-Vlan-interface1]quit
# 以上配置完成后,在AC 1上可以查看到本端的WLAN多机备份设备状态为主用设备,在AC 2上可以查看到本端的WLAN多机备份设备状态为备用设备,且通道均UP。
[AC1] display wlan client vsrp instance inst
VSRP instance name : inst
Instance peer address : 192.168.66.26
Instance status : Master
Channel status : Up
Created at : 2021-11-30 15:51:26
[AC2] display wlan client vsrp instance inst
VSRP instance name : inst
Instance peer address : 192.168.66.24
Instance status : Backup
Channel status : Up
Created at : 2021-11-30 10:55:30
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
