...

Шаг	Описание	Команда	Ключи
1	Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса.	wlc(config)# bridge <BR-NUM>	<BR-NUM> – номер сетевого моста.
2	Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адрес для все всех юнитов кластера. (дДля работы кластерного интерфейса поддерживается только IPv4-адресация.)	wlc(config-bridge)# ip address <ADDR/LEN> [unit <ID>]	<ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации.
3	Установить идентификатор VRRP-маршрутизатора.	wlc(config-bridge)# vrrp id <VRID>	<VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255].
4	Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address).	wlc(config-bridge)# vrrp ip <ADDR/LEN> [ secondary ]	<ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс. secondary – ключ для установки дополнительного IP-адреса.
5	Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей.	wlc(config-bridge)# vrrp group <GRID>	<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
6	Включить VRRP-процесс на IP-интерфейсе.	wlc(config-bridge)# vrrp
7	Активировать сетевой мост.	wlc(config-bridge)# enable
8	Перейти в режим конфигурирования кластера.	wlc(config)# cluster
9	Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере.	wlc(config-cluster)# cluster-interface bridge [<BRIDGE-ID>]	<BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
10	Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно).	wlc(config-cluster)# sync config disable
11	Перейти в режим конфигурирования юнита в кластере.	wlc(config-cluster)# unit <ID>	<ID> – номер юнита, принимает значения [1..2].
12	Настроить MAC-адрес для определенного юнита.	wlc(config-cluster-unit)# mac-address <ADDR>	<ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
13	Включить работу кластера.	wlc(config-cluster)# enable
14	Сменить юнит у устройства (смена юнита устройства вступает в силу после перезагрузки.)	wlc# set unit id <ID>	<ID> – номер юнита, принимает значения [1..2].

...

В настоящем руководстве приведено описание настройки кластера для администратора сервисного маршрутизатора wlc (далее — маршрутизатор).

draw.io Diagram

border	true

diagramName	wlcsynclink
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	765
revision	1

Рисунок 1 — Схема реализации HA Cluster

...

Создайте VLAN 2449, который будет выступать вланом как vlan управления для ТД:

Блок кода

title	WLC-1

wlc-1(config)# vlan 2449

...

Блок кода

title	WLC-1

wlc-1(config-vlan)# force-up
wlc-1(config-vlan)# exit

Для того , чтобы задать адресацию на Bridge, предварительно необходимо удалить заводские настройки интерфейса:

...

Сконфигурируйте интерфейс Второго юнита. Настройки идентичны с интерфейсом, сконфигурированным выше:

Блок кода

title	WLC-1

wlc-1(config)# interface gigabitethernet 2/0/2
wlc-1(config-if-gi)# description "Local"
wlc-1(config-if-gi)# mode switchport
wlc-1(config-if-gi)# switchport mode trunk
wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449
wlc-1(config-if-gi)# exit

...

Примечание
Для работы синхронизации сервисов WLC, а также кластера необходима синхронизация времени между юнитами. В примере указан демонстрационный ipIP-адрес NTP-сервера.

Укажите минимальное время опроса и максимальное время опроса:

...

Примечание

Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, физический интерфейс которого будет включен в кластерный интерфейс первого устройства.

В качестве примера такой конфигурации подойдет factory-конфигурация. (В factory-конфигурации для vwlc нет настроенного dhcp-client).

В процессе ZTP устройство автоматически выставит себе:

1) Конфигурацию;

2) Юнит;

3) Версию ПО, на котором работает Active wlc;

4) Лицензию, если она предварительно загружена на Active wlc.

...

Примечание

На заводской конфигурации unit принимает значение по умолчанию (unit = 1).

Смена юнита устройства вступает в силу после перезагрузки.

Убедитесь в том, что настройка юнита применилась успешно:

...

Примечание

После включения кластера и установления юнитов в состояние Joined далее , настройка устройств осуществляется настройкой Active устройства.

Синхронизируются команды конфигурации, а также команды: commit, confirm, rollback, restore, save, copy <source> system:candidate-config.

В случае, если конфигурирование осуществляется на Standby, то синхронизации не будет.

Есть возможность отключения синхронизации командой sync config disable.

Если между юнитами кластера не будет синхронизирована версия ПО, то команды commit, confirm не будут синхронизироваться на Standby устройство.

...

1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным wlc вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force, либо либо подключить Standby по ZTP.

...

Примечание

Команда sync cluster system force выполняет синхронизацию подсистем, включая в себя синхронизацию конфигурации running-config, candidate-config, версии ПО, лицензии. По окончанию синхронизации Stanby устройство кластера перезагрузится кластера перезагрузится для применения новой версии прошивки, а также лицензии.

При использовании команды sync cluster system force, даже если все подсистемы кластеры синхронизированы (команда show cluster sync status), Stanby устройство начнет синхронизацию подсистем и по окончанию перезагрузится.

Подключение сервисов

После успешной настройки кластера можно приступать к конфигурации сервисов.

...

Настройка будет выполнена на базе заводской конфигурации , с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 связывают два юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 смотрят в сторону точки доступа.

Задача:

Создать Создать object-group для настройки firewall
Настроить Настроить VRRP на интерфейсах
Настроить Crypto-Sync для синхронизации сертификатов
Настроить WLC для синхронизации состояния точек доступа
Настроить Настроить Softgre-Controller для синхронизации туннелей
Настроить Firewall, разрешить обмен VRRP анонсами и отрыть порты для синхронизации туннелей, сертификатов и состояния WLC
Настроить DHCP-сервер в режиме Active-Standby
Настроить DHCP failover
Настроить WEB profiles

draw.io Diagram

border	true

diagramName	wlc
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	1049
revision	1

Рисунок 2 — Схема реализации WLC

Исходная конфигурация кластера:

...

Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:

Блок кода

title	WLC-1

wlc-1(config)# object-group service sync

Укажите порт, который используется для синхронизации сертификатов:

...

Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются туннели SoftGRE:

Блок кода

title	WLC-1

wlc-1(config)# object-group service softgre_controller

Укажите порт, который используется для синхронизации туннелей SoftGRE:

Блок кода

title	WLC-1

wlc-1(config-object-group-service)# port-range 1337
wlc-1(config-object-group-service)# exit

Сконфигурируйте Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:

...

Блок кода

title	WLC-1

wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
wlc-1(config-object-group-network)# exit

Сконфигурируйте object object-group для настройки failover-сервисов SYNC_SRC:

...

Блок кода

title	WLC-1

wlc-1(config)# bridge 3

Нужно удалить Удалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:

...

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair)# rule 11

Укажите действие правила - – разрешение:

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair-rule)# action permit

Укажите совпадение Укажите совпадение по протоколу VRRP:

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair-rule)# match protocol vrrp

...

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair)# rule 12

Укажите действие правила - Разрешение – разрешение:

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair-rule)# action permit

...

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair)# rule 4

Укажите действие правила - – разрешение:

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair-rule)# action permit

...

Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:

...

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair)# rule 11

Укажите действие правила - – разрешение:

Блок кода

title	WLC-1

wlc-1(config-security-zone-pair-rule)# action permit

...

Блок кода

title	WLC-1

wlc-1(config-firewall-failover)# enable 
wlc-1(config-firewall-failover)# exit

Нужно удалить пулы заданный , заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:

Перейдите в конфигурирование пула DHCP-сервера для ТД:

Блок кода

title	WLC-1

wlc-1(config)# ip dhcp-server pool ap-pool

Удаляем Удалите пул и создаем создайте новый:

Блок кода

title	WLC-1

wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254
wlc-1(config-dhcp-server)# address-range 192.168.1.4-192.168.1.254
wlc-1(config-dhcp-server)# exit

...

Блок кода

title	WLC-1

wlc-1(config)# ip dhcp-server pool users-pool

Удаляем Удалите пул и создаем создайте новый:

Блок кода

title	WLC-1

wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254
wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254
wlc-1(config-dhcp-server)# exit

...

С алгоритмом настройки MultiWAN можно ознакомиться по ссылке в разделе: Алгоритм настройки MultiWAN.

Пример настройки

Задача:

Настроить MultiWAN в кластере маршрутизаторов wlc-1 и wlc-2 со следующими параметрами:

...

draw.io Diagram

border	true

diagramName	wlcwan
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	1271
revision	1

Рисунок 3 — Схема реализации MultiWAN

...

Блок кода

title	WLC-1

wlc-1(config)# bridge 20
wlc-1(config-bridge)# wan load-balance nexthop 192.0.4.1
wlc-1(config-bridge)# wan load-balance target-list WAN
wlc-1(config-bridge)# wan load-balance enable
wlc-1(config-bridge)# exit

Укажите Укажите статический маршрут и создайте правило для балансировки трафика:

...

draw.io Diagram

border	true

diagramName	wlcipsec
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	1181
revision	1

Рисунок 4 – Схема реализации IPsec VPN

...

Блок кода

title	WLC-1

wlc-1(config)# object-group service ISAKMP
wlc-1(config-object-group-service)# port-range 500
wlc-1(config-object-group-service)# port-range 4500
wlc-1(config-object-group-service)# exit

Добавьте правила, разрешающее разрешающие прохождение пакетов протоколов VRRP и ESP, а также UDP-пакетов с портами 500 и 4500, через IPsec-туннель:

...

Примечание
Аналогичную настройку требуется выполнить на устройстве, находящемся на другой стороне туннеля.

Просмотр состояния туннеля осуществляется с помощью следующей команды:

...

Настройка Firewall-failover

Firewall-failover необходим для резервирования сессий Firewall.

С алгоритмом настройки Firewall-failover можно failover можно ознакомиться по ссылке в разделе: Алгоритм настройки Firewall-failover.

Пример настройки

Задача:

Настроить Firewall-failover в кластере маршрутизаторов wlc-1 и wlc-2 со следующими параметрами:

...

draw.io Diagram

border	true

diagramName	wlcfirewall
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	986
revision	1

Рисунок 5 — Схема реализации Firewall-failover

...

Блок кода

title	WLC-1

wlc-1(config)# object-group service FAILOVER
wlc-1(config-object-group-service)# port-range 9999
wlc-1(config-object-group-service)# exit

Создайте разрешающие Создайте разрешающее правило для зоны безопасности SYNC, разрешив прохождение трафика трафика Firewall-failover:

Блок кода

title	WLC-1

wlc-1(config)# security zone-pair SYNC self 
wlc-1(config-security-zone-pair)# rule 4
wlc-1(config-security-zone-pair-rule)# action permit 
wlc-1(config-security-zone-pair-rule)# match protocol udp 
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER 
wlc-1(config-security-zone-pair-rule)# enable 
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit

...

DHCP-failover позволяет обеспечить высокую доступность службы DHCP.

С алгоритмом настройки DHCPнастройки DHCP-failover можно failover можно ознакомиться по ссылке в разделе: разделе Алгоритм настройки DHCP-failover.

Пример настройки

Задача:

Настроить DHCP-failover в кластере маршрутизаторов wlc-1 и wlc-2 со следующими параметрами:

...

draw.io Diagram

border	true

diagramName	wlcdhcp
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	986
revision	1

Рисунок 6 — Схема реализации DHCP-failover

...

Выданные адреса DHCP можно просмотреть посмотреть с помощью команды:

Блок кода

title	WLC-1

wlc-1# show ip dhcp binding 
IP address         MAC / Client ID                                                 Binding type   Lease expires at       
----------------   -------------------------------------------------------------   ------------   --------------------   
192.168.2.10       02:00:00:69:91:12                                               active         2025-01-09 23:58:36    
192.168.2.11       02:00:00:2a:a6:85                                               active         2025-01-09 23:58:39

...

С алгоритмом настройки можно ознакомиться по ссылке в разделе : Настройка SNMP-сервера и отправки SNMP TRAP.

Пример настройки

Задача:

обеспечить возможность мониторинга сети через management-интерфейс каждого устройства в кластере:
обеспечить возможность мониторинга состояния сети и внесения изменений в конфигурацию устройства, выполняющего роль VRRP Master;
устройство управления (MGMT) доступно по IP-адресу 192.168.1.12.

draw.io Diagram

border	true

diagramName	wlcsnmp
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	986
revision	1

Рисунок 7 – Схема реализации SNMP

Исходная конфигурация кластера:

...

Source NAT (SNAT) представляет собой механизм, осуществляющий замену исходного IP-адреса в заголовках IP-пакетов, проходящих через сетевой шлюз. При передаче трафика из внутренней (локальной) сети в во внешнюю (публичную) сеть, исходный адрес заменяется на один из назначенных публичных IP-адресов шлюза. В ряде случаев осуществляется дополнительное преобразование исходного порта (NATP – Network Address and Port Translation), что обеспечивает корректное направление обратного трафика. При поступлении пакетов из публичной сети в локальную происходит обратная процедура – восстановление оригинальных значений IP-адреса и порта для обеспечения корректной маршрутизации внутри внутренней сети.

С алгоритмом настройки можно ознакомиться по ссылке в разделе : Алгоритм настройки Source NAT.

Пример настройки

Задача:

предоставить доступ в Интернет хостам, находящимся в локальной сети;
клиентская подсеть: 192.168.2.0/24;
публичный IP адрес адрес – VIP-адрес на интерфейсе.

draw.io Diagram

border	true

diagramName	wlcsourcenat
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	1521
revision	1

Рисунок 8 — Схема реализации Source NAT

...

Добавьте набор правил SNAT. В атрибутах набора укажем укажите применение правил исключительно для пакетов, направляемых в зону WAN. При этом правила осуществляют проверку адреса источника на принадлежность к пулу INTERNET_USERS и выполняют трансляцию исходного адреса в VIP IP-адрес интерфейса:

...

draw.io Diagram

border	true

diagramName	wlcdstnat
simpleViewer	false
width
links	auto
tbstyle	top
lbox	true
diagramWidth	1521
revision	1

Рисунок 9 — Схема реализации Destination NAT

...

Создайте профиль адреса сервера из WAN-сети, с которого будет приниматься запросы:

...

Блок кода

title	WLC-1

wlc-1(config)# security zone-pair untrusted trusted
wlc-1(config-security-zone-pair)# rule 1
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol tcp
wlc-1(config-security-zone-pair-rule)# match destination-port object-group SERVER_DMZ  
wlc-1(config-security-zone-pair-rule)# match destination-nat
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit

Просмотр таблицы NAT-трансляций осуществляется посредством следующей команды:

...

Дерево страниц

Сравнение версий

Старая версия 1

Новая версия 2

Ключ

Подключение сервисов

Задача:

Исходная конфигурация кластера:

Пример настройки

Задача:

Пример настройки

Задача:

Пример настройки

Задача:

Пример настройки

Задача:

Исходная конфигурация кластера:

Пример настройки

Задача:

Дерево страниц

История страницы

Сравнение версий

Старая версия 1

Новая версия 2

Ключ

Подключение сервисов

Задача:

Исходная конфигурация кластера:

Пример настройки

Задача:

Настройка Firewall-failover

Пример настройки

Задача:

Пример настройки

Задача:

Пример настройки

Задача:

Исходная конфигурация кластера:

Пример настройки

Задача: