...
Шаг | Описание | Команда | Ключи |
|---|
| 1 | Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса. | wlc(config)# bridge <BR-NUM> | <BR-NUM> – номер сетевого моста. |
| 2 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адрес для всех юнитов кластера. (Для работы кластерного интерфейса поддерживается только IPv4-адресация.) | wlc(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
| 3 | Установить идентификатор VRRP-маршрутизатора. | wlc(config-bridge)# vrrp id <VRID> | <VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 4 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address). | wlc(config-bridgevrrp)# vrrp ip #ip <ADDR/LEN> LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько
IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс.
secondary – ключ для установки дополнительного IP-адреса. |
| 5 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | wlc(config-bridgevrrp)# vrrp group # group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32]. |
| 6 | Включить VRRP-процесс на IP-интерфейсе. | wlc(config-bridgevrrp)# vrrpenable |
|
| 7 | Активировать сетевой мост. | wlc(config-bridge)# enable |
|
8 | Перейти в режим конфигурирования кластера. | wlc(config)# cluster |
|
| 9 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | wlc(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
| 10 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | wlc(config-cluster)# sync config disable |
|
| 11 | Перейти в режим конфигурирования юнита в кластере. | wlc(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..4]. |
| 12 | Настроить MAC-адрес для определенного юнита. | wlc(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
| 13 | Включить работу кластера. | wlc(config-cluster)# enable |
|
| 14 | Сменить юнит у устройства (смена юнита устройства вступает в силу после перезагрузки.) | wlc# set unit id <ID> | <ID> – номер юнита, принимает значения [1..4]. |
...
| Примечание |
|---|
Более приоритетным является hostname, указанный с привязкой к unit. |
Необходимо удалить заводские настройки Bridge, чтобы далее сконфигурировать его с нуля:
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# ip address 192.168.1.3/24 unit 1
wlc-1(config-bridge)# ip address 192.168.1.2/24 unit 2
|
Настройте VRRPДля схемы 1+2 используйте следующие адреса:
| Блок кода |
|---|
title | WLC-1 |
|---|
wlc-1(config-bridge)# vrrp id 2ip address 192.168.1.4/24 unit 1
wlc-1(config-bridge)# vrrpip ipaddress 192.168.1.1/323/24 unit 2
wlc-1(config-bridge)# vrrpip groupaddress 1
wlc-1(config-bridge)# vrrp
|
...
Настройте VRRP:
| Примечание |
|---|
Для избежания лишних переключений VRRP, в приведенном примере отключен перехват роли Master у текущего Master-устройства с более низким приоритетом. Если вам требуется перехват роли, то нужно вводить задержку для перехвата, чтобы сервисы успели синхронизировать данные. | Блок кода |
|---|
vrrp preempt delay 120 |
|
| Блок кода |
|---|
|
wlc-1(config-bridge)# novrrp spanning-tree2
wlc-1(config-bridgevrrp)# enableip address 192.168.1.1/32
wlc-1(config-bridgevrrp)# exit
|
Перейдите к конфигурированию интерфейса Первого юнита:
| Блок кода |
|---|
|
priority 130 unit 1
wlc-1(config-vrrp)# interfacepriority 120 gigabitethernetunit 1/0/2
|
Для удобства укажите описание интерфейса:
| Блок кода |
|---|
|
wlc-1(config-if-givrrp)# descriptiongroup "Local"
|
Переведите режим работы интерфейса в L2:
| Блок кода |
|---|
|
1
wlc-1(config-if-givrrp)# preempt modedisable switchport
|
Укажите режим работы интерфейса trunk:
| Блок кода |
|---|
|
wlc-1(config-if-givrrp)# switchportenable mode trunk
|
Для схемы 1+2 необходимо задать приоритет для третьего юнит Добавьте VLAN 3 и 2449, которые будут обрабатываться интерфейсом:
| Блок кода |
|---|
|
wlc-1(config-if-gibridge)# switchport trunk allowed vlan add 3,2449vrrp 2
wlc-1(config-vrrp)# priority 110 unit 3
wlc-1(config-vrrp)# exit
|
Отключите работу spanning-tree и включите работу Bridge:
| Блок кода |
|---|
|
wlc-1(config-bridge)# no spanning-tree
wlc-1(config-if-gibridge)# enable
wlc-1(config-bridge)# exit
|
Сконфигурируйте интерфейс Второго юнита. Настройки идентичны с интерфейсом, сконфигурированным вышеПерейдите к конфигурированию интерфейса Первого юнита:
| Блок кода |
|---|
|
wlc-1(config)# interface gigabitethernet 21/0/2
|
Для удобства укажите описание интерфейса:
| Блок кода |
|---|
|
wlc-1(config-if-gi)# description "Local"
|
Переведите режим работы интерфейса в L2:
| Блок кода |
|---|
|
wlc-1(config-if-gi)# mode switchport
|
Укажите режим работы интерфейса trunk:
| Блок кода |
|---|
|
wlc-1(config-if-gi)# switchport mode trunk
|
Добавьте VLAN 3 и 2449, которые будут обрабатываться интерфейсом:
| Блок кода |
|---|
|
wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449
wlc-1(config-if-gi)# exit
|
Сконфигурируйте интерфейс Второго юнита. Настройки идентичны с интерфейсом, сконфигурированным выше:
| Блок кода |
|---|
|
wlc-1(config)# interface gigabitethernet 2/0/2
wlc-1(config-if-gi)# description "Local"
wlc-1(config-if-gi)# mode switchport
wlc-1(config-if-gi)# switchport mode trunk
wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449
wlc-1(config-if-gi)# exit |
Если используется схема (1+2) необходимо выполнить настройку третьего юнита по аналогии с юнитом 2
Настройка кластерного Настройка кластерного интерфейса
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
...
| Блок кода |
|---|
|
wlc-1(config)# security zone SYNC
wlc-1(config-security-zone)# exit
wlc-1(config)# security zone-pair SYNC self
wlc-1(config-security-zone-pair)# rule 1
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol icmp
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# rule 2
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Перейдите к Перейдите к настройкам кластерного интерфейса:
| Блок кода |
|---|
|
wlc-1(config)# bridge 1
|
| Примечание |
|---|
В версии ПО 1.3036.4 2 в качестве cluster-интерфейса поддержан только bridge. |
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp id 1
wlc-1(config-bridgevrrp)# vrrpip group 1address 198.51.100.1/24
wlc-1(config-bridge)# vrrp ip 198.51.100.1/24vrrp)# priority 130 unit 1
wlc-1(config-vrrp)# priority 120 unit 2
wlc-1(config-vrrp)# group 1
wlc-1(config-vrrp)# preempt disable
wlc-1(config-vrrp)# enable
wlc-1(config-vrrp)# exit |
| Примечание |
|---|
Для настройки кластера адрес VRRP должен быть исключительно из той же подсети, что и адреса на интерфейсе. |
Включите протокол VRRP и bridge:
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp
wlc-1(config-bridge)# enable
wlc-1(config-bridge)# exit |
Настройте физические порты для выделенного линка синхронизации маршрутизаторов wlc-1 и wlc-2:
...
| Блок кода |
|---|
|
wlc-1# show vrrp
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
1 198.51.100.1/24 100130 EnabledDisabled Backup Master
2 -- 1 192.168.1.1/32
2 100 Enabled Backup 192.168.1.1/32 130 Disabled Master -- 1 |
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
...
| Блок кода |
|---|
|
wlc-1(config-cluster)# cluster-interface bridge 1
wlc-1(config-cluster)# enable
wlc-1(config-cluster)# exit |
Перейдите к настройке NTP:
...
| Раскрыть |
|---|
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
object-group service airtune
port-range 8099
exit
object-group service dhcp_client
port-range 68
exit
object-group service dhcp_server
port-range 67
exit
object-group service dns
port-range 53
exit
object-group service netconf
port-range 830
exit
object-group service ntp
port-range 123
exit
object-group service radius_auth
port-range 1812
exit
object-group service sa
port-range 8043-8044
exit
object-group service ssh
port-range 22
exit
object-group service sync
port-range 873
exit
object-group service journal_sync
port-range 5432
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
radius-server local
nas ap
key ascii-text password
network 192.168.1.0/24
exit
nas local
key ascii-text password
network 127.0.0.1/32
exit
domain default
user test
password ascii-text password1
exit
exit
virtual-server default
enable
exit
enable
exit
radius-server host 127.0.0.1
key ascii-text password
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
boot host auto-config
boot host auto-update
vlan 3
force-up
exit
vlan 2449
force-up
exit
vlan 2
exit
no spanning-tree
domain lookup enable
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
priority vrrp130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
vrrp exit
enable
exit
bridge 2
vlan 2
security-zone untrusted
ip address dhcp
no spanning-tree
enable
exit
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.1/24
no spanning-tree
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp id 2
vrrp ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit vrrp2
group 1
preempt disable
vrrp
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/4
mode switchport
exit
interface tengigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
mode switchport
exit
interface gigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/4
mode switchport
exit
interface tengigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 2/0/2
mode switchport
exit
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit
security zone-pair trusted self
rule 10
action permit
match protocol tcp
match destination-port object-group ssh
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol udp
match source-port object-group dhcp_client
match destination-port object-group dhcp_server
enable
exit
rule 40
action permit
match protocol udp
match destination-port object-group ntp
enable
exit
rule 50
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 60
action permit
match protocol udp
match destination-port object-group dns
enable
exit
rule 70
action permit
match protocol tcp
match destination-port object-group netconfsa
enable
exit
rule 80
action permit
match protocol tcpudp
match destination-port object-group saradius_auth
enable
exit
rule 90
action permit
match protocol udp
match destination-port object-group radius_auth
enable
exit
rule 100
action permit
match protocol gre
enable
exit
rule 110
action permit
match protocol tcp
match destination-port object-group airtune
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol udp
match source-port object-group dhcp_server
match destination-port object-group dhcp_client
enable
exit
exit
security zone-pair users self
rule 10
action permit
match protocol icmp
enable
exit
rule 20
action permit
match protocol udp
match source-port object-group dhcp_client
match destination-port object-group dhcp_server
enable
exit
rule 30
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 40
action permit
match protocol udp
match destination-port object-group dns
enable
exit
exit
security zone-pair users untrusted
rule 1
action permit
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
security passwords default-expired
nat source
ruleset factory
to zone untrusted
rule 10
description "replace 'source ip' by outgoing interface ip address"
action source-nat interface
enable
exit
exit
exit
ip dhcp-server
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.45-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit
ip dhcp-server pool users-pool
network 192.168.2.0/24
address-range 192.168.2.4-192.168.2.254
default-router 192.168.2.1
dns-server 192.168.2.1
exit
softgre-controller
nas-ip-address 127.0.0.1
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit
wlc
outside-address 192.168.1.1
service-activator
aps join auto
exit
airtune
enable
exit
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
ssid-profile default-ssid
exit
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit
ap-profile default-ap
password ascii-text password
exit
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text password
domain default
exit
ip-pool default-ip-pool
description "default-ip-pool"
ap-location default-location
exit
enable
exit
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 100.110.0.65
minpoll 1
maxpoll 4
exit |
|
...
| Блок кода |
|---|
|
wlc-1# show cluster sync status
System part Synced
---------------------- ------
candidate-config Yes
running-config Yes
SW version Yes
licence Yes
licence (After reboot) Yes
date Yes |
| Примечание |
|---|
В версии 1.3036.4 2 не поддержана синхронизация шифрованных паролей. |
...
| Примечание |
|---|
На каждый wlc нужна отдельная лицензия (WiWLC-WIDS-FiWIPS, BRAS и т. д.). Для активации функций кластера отдельная лицензия не нужна. |
...
| Блок кода |
|---|
|
wlc-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences
|*************************| 100% (680B) Licence loaded successfully.
wlc-1#
wlc-1#
wlc-1#
wlc-1# show cluster-unit-licences
Serial number Features
--------------- ------------------------------------------------------------
NP0B003634 BRAS,IPS,WIFI WLC-WIDS-WIPS,BRAS
NP0B009033 BRAS,IPS,WIFI WLC-WIDS-WIPS,BRAS
wlc-1# sync cluster system force |
| Примечание |
|---|
Команда sync cluster system force выполняет синхронизацию подсистем, включая в себя синхронизацию конфигурации running-config, candidate-config, версии ПО, лицензии. По окончанию синхронизации Stanby устройство кластера перезагрузится для применения новой версии прошивки, а также лицензии. При использовании команды sync cluster system force, даже если все подсистемы кластеры синхронизированы (команда show cluster sync status), Stanby устройство начнет синхронизацию подсистем и по окончанию перезагрузится. |
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации сервисов.
Настройка WLC (Схема 1+1)
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнита. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
Для настройки синхронизации требуется сконфигурировать несколько обязательных сервисов, таких как:
- WLC;
- SoftGRE-Controller;
- DHCP-server;
- Crypto-sync;
- WEB.
| Информация |
|---|
На клиентских интерфейсах, где включен vrrp, необходимо включить: | Блок кода |
|---|
vrrp timers garp refresh 60 |
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщений, пока маршрутизатор находится в состоянии Master. Настройку нужно включать, если клиентский трафик туннелируется. |
Пример настройки
Журналы WLC
По умолчанию хранения журналов осуществляется на внутренней памяти контролера. Для переноса журналов на HDD, необходимо предварительно инициализировать накопители, разметить, и присвоить имя созданному разделу.
| Примечание |
|---|
Для корректной работы по синхронизации журналов на HDD необходимо задать одинаковое имя раздела на всех накопителях. |
Для просмотра информации и подключенном HDD используйте команду:
| Блок кода |
|---|
wlc-1# sh storage-devices hdd
Name Filesystem Total, MB Used, MB Free, MB
------------------------------ ---------- ---------- ---------- ----------
journal ext4 469251.69 8600.00 460651.69 |
Процесс переноса журнала описан в разделе: Настройка журналирования событий WLC
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации сервисов.
Настройка WLC (Схема 1+1)
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнита. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
Для настройки синхронизации требуется сконфигурировать несколько обязательных сервисов, таких как:
- WLC;
- SoftGRE-Controller;
- DHCP-server;
- Crypto-sync;
- WEB.
| Информация |
|---|
На клиентских интерфейсах, где включен vrrp, необходимо включить: | Блок кода |
|---|
vrrp timers garp refresh 60 |
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщений, пока маршрутизатор находится в состоянии Master. Настройку нужно включать, если клиентский трафик туннелируется. |
Пример настройки
Настройка будет выполнена на базе Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 связывают два юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 смотрят в сторону точки доступа.
...
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster- | 1cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
vlan 2449
force-upinterface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
vlan 2449
force-up
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip 198.51.100.1/24
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp 2
ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
exit
bridgerule 1
vlan action 1permit
security-zone SYNCmatch protocol icmp
ip address 198.51.100.254/24 unit 1 enable
exit
iprule 2
address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp id 2
vrrp ip 192.168.1.1/32
vrrp group 1
vrrp
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Перейдите в режим конфигурации:
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:
| Блок кода |
|---|
|
wlc-1(config)# object-group service sync |
Укажите порт, который используется для синхронизации сертификатов:
| Блок кода |
|---|
|
wlc-1(config-object-group-service)# port-range 873
wlc-1(config-object-group-service)# exit |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются журналы WLC:
| Блок кода |
|---|
|
wlc-1(config)# object-group service journal_sync |
Укажите порт, который используется для синхронизации журналов WLC:
| Блок кода |
|---|
|
wlc-1(config-object-group-service)# port-range 5432
wlc-1(config-object-group-service)# exit |
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_SRC |
Укажите IP-адреса для первого и второго юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
wlc-1(config-object-group-network)# exit
|
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_DST |
Укажите IP-адреса для Первого и Второго юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
wlc-1(config-object-group-network)# exit |
Перейдите в Bridge 3.
| Блок кода |
|---|
|
wlc-1(config)# bridge 3 |
Удалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-bridge)# no ip address all
wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 1
wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 2 |
Укажите индентификатор VRRP:
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp 3 |
Укажите виртуальный VRRP-адрес:
| Блок кода |
|---|
|
wlc-1(config-vrrp)# ip address 192.168.2.1/24 |
Укажите группу VRRP:
| Блок кода |
|---|
|
wlc-1(config-vrrp)# group 1 |
Укажите приоритет для каждого юнита:
| Блок кода |
|---|
|
wlc-1(config-vrrp)# priority 130 unit 1
wlc-1(config-vrrp)# priority 120 unit 2 |
Отключите перехват роли мастераПерейдите в режим конфигурации:
| Блок кода |
|---|
|
wlc-1# config-1(config-vrrp)# preempt disable |
Включить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии MasterСоздайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:
| Блок кода |
|---|
|
wlc-1(config-vrrp)# object-group service synctimers garp refresh 60 |
Включите работу VRRPУкажите порт, который используется для синхронизации сертификатов:
| Блок кода |
|---|
|
wlc-1(config-object-group-servicevrrp)# port-range 873enable
wlc-1(config-object-group-servicevrrp)# exit |
Отключите работу spanning-treeСоздайте object-group для открытия портов в настройках Firewall, через которые синхронизируются журналы WLC:
| Блок кода |
|---|
|
wlc-1(config-bridge)# no object-group service journal_syncspanning-tree |
Включите BridgeУкажите порт, который используется для синхронизации журналов WLC:
| Блок кода |
|---|
|
wlc-1(config-object-group-servicebridge)# port-range 5432enable
wlc-1(config-object-group-servicebridge)# exit |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются туннели SoftGREПерейдите в режим конфигурирования резервирования ip failover:
| Блок кода |
|---|
|
wlc-1(config)# ip failover |
В качестве локального адреса укажите object-group
...
Укажите порт, который используется для синхронизации туннелей SoftGRESYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config-object-group-servicefailover)# portlocal-range 1337
wlc-1(config-address object-group-service)# exit SYNC_SRC |
В качестве удаленного адреса укажите Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRCDST:
| Блок кода |
|---|
|
wlc-1(config-failover)# remote-address object-group network SYNC_SRCDST |
Укажите IP-адреса для Первого и Второго юнитов кластерагруппу VRRP:
| Блок кода |
|---|
|
wlc-1(config-object-group-networkfailover)# ip address-range 198.51.100.254 unit vrrp-group 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
wlc-1(config-object-group-networkfailover)# exit
|
Перейдите в блок конфигурации синхронизации сертификатовСконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_DSTcrypto-sync |
Укажите режим работыУкажите IP-адреса для Первого и Второго юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-objectcrypto-group-networksync)# remote-delete |
Включите работу синхронизации сертификатов:
| Блок кода |
|---|
|
ip address-range 198.51.100.253 unit 1
wlc-1(config-objectcrypto-group-networksync)# ip address-range 198.51.100.254 unit 2enable
wlc-1(config-objectcrypto-group-networksync)# exit |
Перейдите в Bridge 3.блок настройки SoftGRE-туннелей:
| Блок кода |
|---|
|
wlc-1(config)# bridge 3softgre-controller |
Включите работу синхронизацииУдалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-bridge)# no ip address all
wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 1softgre-controller)# failover
wlc-1(config-softgre-bridgecontroller)# ip address 192.168.2.2/24 unit 2exit |
Перейдите в блок конфигурации WLCУкажите индентификатор VRRP:
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp id 3wlc |
Включите работу синхронизации сервиса WLCУкажите виртуальный VRRP-адрес:
| Блок кода |
|---|
|
wlc-1(config-bridgewlc)# vrrp ip 192.168.2.1/24failover
wlc-1(config-wlc)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафикаУкажите группу VRRP:
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp group 1security zone-pair trusted self |
Создайте правилоВключить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
| Блок кода |
|---|
|
wlc-1(config-security-bridgezone-pair)# vrrp timers garp refresh 60rule 11 |
Укажите действие правила – разрешениеВключите работу VRRP:
| Блок кода |
|---|
|
wlc-1(config-bridge-security-zone-pair-rule)# vrrpaction permit |
Укажите совпадение по протоколу VRRPОтключите работу spanning-tree:
| Блок кода |
|---|
|
wlc-1(config-bridgesecurity-zone-pair-rule)# match no spanning-tree |
...
Включите Bridgeправило:
| Блок кода |
|---|
|
wlc-1(config-bridge-security-zone-pair-rule)# enable
wlc-1(config-bridgesecurity-zone-pair-rule)# exit |
Перейдите в режим конфигурирования резервирования ip failoverСоздайте правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# ip failoverrule 12 |
Укажите действие правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCPВ качестве локального адреса укажите object-group SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config-failoversecurity-zone-pair-rule)# local-address object-group SYNC_SRCmatch protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-groupВ качестве удаленного адреса укажите object-group SYNC_DST:
| Блок кода |
|---|
|
wlc-1(config-failover-security-zone-pair-rule)# remotematch destination-addressport object-group SYNC_DSTsync |
Включите правилоУкажите группу VRRP:
| Блок кода |
|---|
|
wlc-1(config-failover-security-zone-pair-rule)# vrrp-group 1enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-failoverpair)# exit |
Перейдите в блок конфигурации синхронизации сертификатовконфигурацию security-zone и откройте порты для синхронизации сертификатов, SoftGRE-туннелей и журналов WLC:
| Блок кода |
|---|
|
wlc-1(config)# crypto-syncsecurity zone-pair SYNC self |
Создайте новое правилоУкажите режим работы:
| Блок кода |
|---|
|
wlc-1(config-security-cryptozone-syncpair)# remote-delete |
Укажите действие правила – разрешениеВключите работу синхронизации сертификатов:
| Блок кода |
|---|
|
wlc-1(config-crypto-sync)# enable
wlc-1(config-crypto-sync)# exitsecurity-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCPПерейдите в блок настройки SoftGRE-туннелей:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# softgre-controllermatch protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-groupВключите работу синхронизации:
| Блок кода |
|---|
|
wlc-1(config-softgre-controller)# failover
wlc-1(config-softgre-controller)# exit |
Перейдите в блок конфигурации WLC:
| Блок кода |
|---|
|
wlc-1(config)# wlc |
security-zone-pair-rule)# match destination-port object-group journal_sync |
Включите правилоВключите работу синхронизации сервиса WLC:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# failoverexit
wlc-1(config-wlcsecurity-zone-pair)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair trustedusers self |
Создайте правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила – разрешение:
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit |
Создайте правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 12 |
Укажите действие правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
Для настройки правил зон безопасности создайте профиль для порта Firewall-failoverУкажите совпадение по протоколу TCP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
...
...
Укажите порт, который используется для синхронизации сессий Firewall
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync |
Включите правило:
| Блок кода |
|---|
|
wlc-1(config-securityobject-zonegroup-pair-ruleservice)# enable
wlc-1(config-security-zone-pair-rule)# exitport-range 9999
wlc-1(config-securityobject-zonegroup-pairservice)# exit |
Перейдите в конфигурацию security zone-zone и откройте порты pair для синхронизации сертификатов, SoftGRE-туннелей и журналов WLCсервисов кластера:
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair SYNC self |
Создайте новое правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 45 |
Укажите действие правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCPUDP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match protocol udp tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match destination-port object-group softgre_controllerFAILOVER |
Включите правилоработу нового правила:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Создайте новое правилоПерейдите к настройке Firewall-failover:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# ip rulefirewall 10failover |
Укажите действие правила – разрешениережим резервирования сессий unicast:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rulefirewall-failover)# action permit |
Укажите совпадение по протоколу TCP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
Укажите номер UDP-порта службы резервирования сессий FirewallУкажите совпадение по порту назначения, в качестве которого выступает object-group:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rulefirewall-failover)# match destination-port object-group journal_sync9999 |
Включите правилорезервирование сессий Firewall:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rulefirewall-failover)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-securityfirewall-zone-pairfailover)# exit |
Нужно удалить пулы, заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:
Перейдите в конфигурирование пула DHCP-сервера для ТДПерейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:
| Блок кода |
|---|
|
wlc-1(config)# securityip zonedhcp-pairserver userspool selfap-pool |
Удалите пул и создайте новыйСоздайте правило:
| Блок кода |
|---|
|
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254
wlc-1(config-dhcp-server)# address-range 192.168.1.5-192.168.1.254
wlc-1(config-securitydhcp-zone-pairserver)# ruleexit 11 |
Перейдите в конфигурирование пула DHCP-сервера для клиентовУкажите действие правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit ip dhcp-server pool users-pool |
Удалите пул и создайте новыйУкажите совпадение по протоколу VRRP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-ruledhcp-server)# matchno protocol vrrp |
Включите правило:
| Блок кода |
|---|
|
address-range 192.168.2.2-192.168.2.254
wlc-1(config-security-zone-pair-ruledhcp-server)# enableaddress-range 192.168.2.4-192.168.2.254
wlc-1(config-security-zone-pair-ruledhcp-server)# exit
|
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# exitip dhcp-server failover |
Укажите режим работыДля настройки правил зон безопасности создайте профиль для порта Firewall-failover:
| Блок кода |
|---|
|
wlc-1(config-dhcp-server-failover)# object-group service FAILOVERmode active-standby |
Включите работу синхронизацииУкажите порт, который используется для синхронизации сессий Firewall:
| Блок кода |
|---|
|
wlc-1(config-objectdhcp-groupserver-servicefailover)# port-range 9999enable
wlc-1(config-objectdhcp-groupserver-servicefailover)# exit |
Перейдите в конфигурацию security zone-pair для синхронизации сервисов кластераВключите синхронизацию WEB-интерфейса:
| Блок кода |
|---|
|
wlc-1(config)# securityip zone-pair SYNC self |
Примените и подтвердите внесенные измененияСоздайте новое правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 5 |
Укажите действие правила:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу UDP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match protocol udp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER |
Включите работу нового правила:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Перейдите к настройке Firewall-failover:
| Блок кода |
|---|
|
wlc-1(config)# ip firewall failover |
Укажите режим резервирования сессий unicast:
| Блок кода |
|---|
|
wlc-1(config-firewall-failover)# sync-type unicast |
Укажите номер UDP-порта службы резервирования сессий Firewall:
| Блок кода |
|---|
|
wlc-1(config-firewall-failover)# port 9999 |
Включите резервирование сессий Firewall:
| Блок кода |
|---|
|
wlc-1(config-firewall-failover)# enable
wlc-1(config-firewall-failover)# exit |
Нужно удалить пулы, заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:
Перейдите в конфигурирование пула DHCP-сервера для ТД:
| Блок кода |
|---|
|
wlc-1(config)# ip dhcp-server pool ap-pool |
Удалите пул и создайте новый:
| Блок кода |
|---|
|
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254
wlc-1(config-dhcp-server)# address-range 192.168.1.4-192.168.1.254
wlc-1(config-dhcp-server)# exit |
Перейдите в конфигурирование пула DHCP-сервера для клиентов:
| Блок кода |
|---|
|
wlc-1(config)# ip dhcp-server pool users-pool |
Удалите пул и создайте новый:
| Блок кода |
|---|
|
wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254
wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254
wlc-1(config-dhcp-server)# exit |
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
| Блок кода |
|---|
|
wlc-1(config)# ip dhcp-server failover |
Укажите режим работы:
| Блок кода |
|---|
|
wlc-1(config-dhcp-server-failover)# mode active-standby |
Включите работу синхронизации:
| Блок кода |
|---|
|
wlc-1(config-dhcp-server-failover)# enable
wlc-1(config-dhcp-server-failover)# exit |
Включите синхронизацию WEB-интерфейса:
| Блок кода |
|---|
|
wlc-1(config)# ip http failover |
Примените и подтвердите внесенные изменения:
| Блок кода |
|---|
|
wlc-1# commit
wlc-1# confirm |
Полная конфигурация WLC-1
Полная конфигурация WLC-1
| Раскрыть |
|---|
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
object-group service airtune
port-range 8099
exit
object-group service dhcp_client
port-range 68
exit
object-group service dhcp_server
port-range 67
exit
object-group service dns
port-range 53
exit
object-group service ntp
port-range 123
exit
object-group service radius_auth
port-range 1812
exit
object-group service sa
port-range 8043-8044
exit
object-group service ssh
port-range 22
exit
object-group service sync
port-range 873
exit
object-group service journal_sync
port-range 5432
exit
object-group service FAILOVER
port-range 9999
exit
object-group network SYNC_SRC
ip address-range 198.51.100.254 unit 1
ip address-range 198.51.100.253 unit 2
exit
object-group network SYNC_DST
ip address-range 198.51.100.253 unit 1
ip address-range 198.51.100.254 unit 2
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
radius-server local
nas ap
key ascii-text password
network 192.168.1.0/24
exit
nas local
key ascii-text password
network 127.0.0.1/32
exit
domain default
user test
password ascii-text password1
exit
exit
virtual-server default
enable
exit
enable
exit
radius-server host 127.0.0.1
key ascii-text password
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
boot host auto-config
boot host auto-update
vlan 3
force-up
exit
vlan 2449
force-up
exit
vlan 2
exit
no spanning-tree
domain lookup enable
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip 198.51.100.1/24
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
enable
exit
bridge 2
vlan 2
security-zone untrusted
ip address dhcp
no spanning-tree
enable
exit
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.3/24 unit 1
ip address 192.168.2.2/24 unit 2
vrrp 3
ip 192.168.2.1/32
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
timers garp refresh 60
enable
no spanning-tree
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp 2
ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 1/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/4
mode switchport
exit
interface tengigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
mode switchport
exit
interface gigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 2/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/4
mode switchport
exit
interface tengigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 2/0/2
mode switchport
exit
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit
ip failover
local-address object-group SYNC_SRC
remote-address object-group SYNC_DST
vrrp-group 1
exit
security zone-pair trusted self
rule 10
action permit
match protocol tcp
match destination-port object-group ssh
enable
exit
rule 11
action permit
match protocol vrrp
enable
exit
rule 12
action permit
match protocol tcp
match destination-port object-group sync
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol udp
match source-port object-group dhcp_client
match destination-port object-group dhcp_server
enable
exit
rule 40
action permit
match protocol udp
match destination-port object-group ntp
enable
exit
rule 50
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 60
action permit
match protocol udp
match destination-port object-group dns
enable
exit
rule 70
action permit
match protocol tcp
match destination-port object-group sa
enable
exit
rule 80 |
|
| Раскрыть |
|---|
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
object-group service airtune
port-range 8099
exit
object-group service dhcp_client
port-range 68
exit
object-group service dhcp_server
port-range 67
exit
object-group service dns
port-range 53
exit
object-group service netconf
port-range 830
exit
object-group service ntp
port-range 123
exit
object-group service radius_auth
port-range 1812
exit
object-group service sa
port-range 8043-8044
exit
object-group service ssh
port-range 22
exit
object-group service sync
port-range 873
exit
object-group service journal_sync
port-range 5432
exit
object-group service softgre_controller
port-range 1337
exit
object-group service FAILOVER
port-range 9999
exit
object-group network SYNC_SRC
ip address-range 198.51.100.254 unit 1
ip address-range 198.51.100.253 unit 2
exit
object-group network SYNC_DST
ip address-range 198.51.100.253 unit 1
ip address-range 198.51.100.254 unit 2
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
radius-server local
nas ap
key ascii-text password
network 192.168.1.0/24
exit
nas local
key ascii-text password
network 127.0.0.1/32
exit
domain default
user test
password ascii-text password1
exit
exit
virtual-server default
enable
exit
enable
exit
radius-server host 127.0.0.1
key ascii-text password
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
boot host auto-config
boot host auto-update
vlan 3
force-up
exit
vlan 2449
force-up
exit
vlan 2
exit
no spanning-tree
domain lookup enable
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
vrrp
enable
exit
bridge 2
vlan 2
security-zone untrusted
ip address dhcp
no spanning-tree
enable
exit
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.3/24 unit 1
ip address 192.168.2.2/24 unit 2
vrrp id 3
vrrp ip 192.168.2.1/32
vrrp group 1
vrrp timers garp refresh 60
vrrp
no spanning-tree
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp id 2
vrrp ip 192.168.1.1/32
vrrp group 1
vrrp
no spanning-tree
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 1/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/4
mode switchport
exit
interface tengigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
mode switchport
exit
interface gigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 2/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/4
mode switchport
exit
interface tengigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 2/0/2
mode switchport
exit
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit
ip failover
local-address object-group SYNC_SRC
remote-address object-group SYNC_DST
vrrp-group 1
exit
security zone-pair trusted self
rule 10
action permit
match protocol tcpudp
match destination-port object-group sshradius_auth
enable
exit
rule 1190
action permit
match protocol vrrpgre
enable
exit
rule 12100
action permit
match protocol tcp
match destination-port object-group syncairtune
enable
exit
exit
security zone-pair trusted trusted
rule 201
action permit
match protocol icmpenable
exit
exit
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair untrusted self
rule 301
action permit
match protocol udp
match source-port object-group dhcp_clientserver
match destination-port object-group dhcp_serverclient
enable
exit
exit
security zone-pair users self
rule 4010
action permit
match protocol udp icmp
enable
exit
rule 11
action permit
match destination-port object-group ntpprotocol vrrp
enable
exit
rule 5020
action permit
match protocol tcp udp
match source-port object-group dhcp_client
match destination-port object-group dnsdhcp_server
enable
exit
rule 6030
action permit
match protocol udptcp
match destination-port object-group dns
enable
exit
rule 7040
action permit
match protocol tcpudp
match destination-port object-group netconfdns
enable
exit
exit
security zone-pair users untrusted
rule 801
action permit
matchenable
protocol tcpexit
exit
match destination-port object-group sa
enable
exit
rule 90security zone-pair SYNC self
rule 1
action permit
match protocol udpicmp
match destination-port object-group radius_auth
enable
exit
rule 1002
action permit
match protocol grevrrp
enable
exit
rule 1103
action permit
match protocol tcpah
match destination-port object-group airtune
enable
exit
exit
security zone-pair trusted trusted
rule 1 rule 5
action permit
enable
match protocol exitudp
exit
security zone-pair trusted untrusted
match rule 1
action permitdestination-port object-group FAILOVER
enable
exit
exit
security zone-pair untrusted self
rule 110
action permit
match protocol udp permit
match source-port object-group dhcp_serverprotocol tcp
match destination-port object-group dhcpjournal_clientsync
enable
exit
exit
security zone-pair users self
passwords default-expired
nat source
ruleset factory
to zone untrusted
rule 10
description action permit
match protocol icmp
enable
exit
rule 11"replace 'source ip' by outgoing interface ip address"
action source-nat interface
enable
action permit
match protocol vrrp
enable
exit
rule 20
action permit
match protocol udpexit
exit
exit
ip dhcp-server
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.5-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
matchsuboption source-port12 objectascii-group dhcp_clienttext "192.168.1.1"
matchsuboption destination-port15 objectascii-group dhcp_servertext "https://192.168.1.1:8043"
enableexit
exit
ip dhcp-server rulepool 30users-pool
network action permit192.168.2.0/24
address-range 192.168.2.4-192.168.2.254
default-router match protocol tcp
match destination-port object-group dns
enable
exit
rule 40
action permit
match protocol udp
match destination-port object-group dns
enable
exit
exit
security zone-pair users untrusted
rule 1
action permit192.168.2.1
dns-server 192.168.2.1
exit
ip dhcp-server failover
mode active-standby
enable
exit
softgre-controller
nas-ip-address 127.0.0.1
failover
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit
wlc
outside-address 192.168.1.1
service-activator
aps join auto
exit
airtune
enable
exit
exit
security zone-pair SYNC self failover
rule 1ap-location default-location
action permitdescription "default-location"
matchmode protocol icmptunnel
enableap-profile default-ap
exit
rule 2ssid-profile default-ssid
exit
action permitssid-profile default-ssid
match protocol vrrp
description "default-ssid"
ssid enable"default-ssid"
exit
rule 3radius-profile default-radius
actionvlan-id permit3
match protocol ahsecurity-mode WPA2_1X
enable802.11kv
exit
ruleband 42g
actionband permit5g
matchenable
protocol tcpexit
match destination-port object-group softgre_controller
ap-profile default-ap
password enableascii-text password
exit
rule 5
action permitradius-profile default-radius
match protocol udpauth-address 192.168.1.1
match destinationauth-portpassword objectascii-grouptext FAILOVERpassword
domain enabledefault
exit
exit
rule 10ip-pool default-ip-pool
action permitdescription "default-ip-pool"
match protocol tcp
match destination-port object-group journal_syncap-location default-location
exit
enable
exit
exitip ssh server
securityclock timezone passwords default-expiredgmt +7
natntp sourceenable
ntp ruleset factoryserver 100.110.0.65
minpoll 1
to zone untrustedmaxpoll 4
exit
crypto-sync
remote-delete
rule 10
description "replace 'source ip' by outgoing interface ip address"
enable
exit
|
|
Статус синхронизации сервисов можно посмотреть командой:
| Блок кода |
|---|
|
| Блок кода |
|---|
|
wlc-1# show high-availability state
VRRP role: action source-nat interface
enable
exitMaster
AP exit
exit
ip dhcp-server
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.4-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit
ip dhcp-server pool users-pool
network 192.168.2.0/24
address-range 192.168.2.4-192.168.2.254
default-router 192.168.2.1
dns-server 192.168.2.1
exit
ip dhcp-server failover
mode active-standby
enable
exit
softgre-controller
nas-ip-address 127.0.0.1
failover
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit
wlc
outside-address 192.168.1.1
service-activator
aps join auto
exit
airtune
enable
exit
failover
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
ssid-profile default-ssid
exit
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit
ap-profile default-ap
password ascii-text password
exit
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text password
domain default
exit
ip-pool default-ip-pool
description "default-ip-pool"
ap-location default-location
exit
enable
exit
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 100.110.0.65
minpoll 1
maxpoll 4
exit
crypto-sync
remote-delete
enable
exit
|
Статус синхронизации сервисов можно посмотреть командой:
wlc-1# show high-availability state
VRRP role:Tunnels:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:12
DHCP server:
VRF: --
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:28
crypto-sync:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:29
Firewall:
Firewall sessions and NAT translations:
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: Master
AP Tunnels2025-02-05 16:38:30
WLC:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:1229
DHCP option 82 tableWEB profiles:
State: DisabledSuccessful synchronization
Last state changesynchronization: 2025-02-
DHCP server:
VRF: 05 16:38:36 |
Статус синхронизации VRRP можно посмотреть командой:
| Блок кода |
|---|
|
wlc-1# show vrrp
Unit 1* 'wlc-1'
------------------
Virtual router Virtual IP --
State: Priority Preemption State Inherit Sync group ID Successful synchronization
Last synchronization: 2025-02-05 16:38:28
crypto-sync:
State:
-------------- --------------------------------- -------- ---------- ------ ------- -------------
1 Successful synchronization
Last synchronization: 198.51.100.1/24 2025-02-05 16:38:29
Firewall:
Firewall sessions and NAT translations:
Tracking VRRP Group 130 Disabled 1
TrackingMaster VRRP Group-- state: Master
1 State: Successful synchronization
2 Fault Reason: 192.168.1.1/32 --
Last synchronization: 2025-02-05 16:38:30
WLC:
State: 130 Disabled Master -- 1 Successful synchronization
Last synchronization:
3 2025-02-05 16:38:29
WEB profiles:
State: Successful synchronization
Last synchronization: 192.168.2.1/32 130 Disabled Master -- 1
Unit 2025-02-05 16:38:36 |
Статус синхронизации VRRP можно посмотреть командой:
| Блок кода |
|---|
|
wlc-1# show vrrp 2 'wlc-2'
------------------
Virtual router Virtual IP Priority Preemption State Inherit SynchronizationSync group ID
-------------- --------------------------------- -------- ---------- ------ ------- ------------------
1 198.51.100.1/3224 120 100 Disabled Enabled Master -- Master 1
2 192.168.1.1/32 100120 Disabled Master Enabled-- Master 1
3 192.168.2.1/32 100 Enabled Master 1 120 Disabled Master -- 1
|
Настройка WLC (схема 1+2)
...
Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 + Gi 3/0/3 связывают два три юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 + Gi 3/0/2 смотрят в сторону точки доступа.
...
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
unit 3
mac-address 68:13:e2:7e:80:46
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
hostname wlc-23 unit 3
vlan 2449
force-up
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
ip address 198.51.100.252/24 unit 3
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp group 1
enable
vrrpexit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.4/24 unit 1
ip address 192.168.1.3/24 unit 2
ip address 192.168.1.2/24 unit 3
vrrp id 2
vrrp ip 192.168.1.1/32
vrrp group 1
vrrp enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 3/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 3/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
...
| Блок кода |
|---|
|
wlc-1(config-object-group-service)# port-range 5432
wlc-1(config-object-group-service)# exit |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются туннели SoftGRE:
| Блок кода |
|---|
|
wlc-1(config)# object-group service softgre_controller |
Укажите порт, который используется для синхронизации туннелей SoftGRE:
...
...
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_SRC |
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp id 3 |
Укажите виртуальный VRRP-адрес:
| Блок кода |
|---|
|
wlc-1(config-bridgevrrp)# vrrpip ipaddress 192.168.2.1/24 |
Укажите группу VRRP:
| Блок кода |
|---|
|
wlc-1(config-bridgevrrp)# vrrp group 1 |
Включить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp timers garp refresh 60 |
Включите работу VRRP:
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp |
Отключите работу spanning-tree:
| Блок кода |
|---|
|
wlc-1(config-bridge)# no spanning-tree |
Включите Bridge:
| Блок кода |
|---|
|
wlc-1(config-bridge)# enable
wlc-1(config-bridge)# exit |
Перейдите в режим конфигурирования резервирования ip failover:
| Блок кода |
|---|
|
wlc-1(config)# ip failover |
В качестве локального адреса укажите object-group SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config-failovervrrp)# timers local-address object-group SYNC_SRCgarp refresh 60 |
Включите работу VRRPВ качестве удаленного адреса укажите object-group SYNC_DST:
| Блок кода |
|---|
|
wlc-1(config-failovervrrp)# enable remote-address object-group SYNC_DST
wlc-1(config-vrrp)# exit |
Отключите работу spanning-treeУкажите группу VRRP:
| Блок кода |
|---|
|
wlc-1(config-failoverbridge)# vrrp-group 1
wlc-1(config-failover)# exitno spanning-tree |
Включите BridgeПерейдите в блок конфигурации синхронизации сертификатов:
| Блок кода |
|---|
|
wlc-1(config-bridge)# crypto-syncenable
wlc-1(config-bridge)# exit |
Перейдите в режим конфигурирования резервирования ip failoverУкажите режим работы:
| Блок кода |
|---|
|
wlc-1(config-crypto-sync)# remote-delete |
В качестве локального адреса укажите object-group SYNC_SRCВключите работу синхронизации сертификатов:
| Блок кода |
|---|
|
wlc-1(config-crypto-syncfailover)# enable
wlc-1(config-crypto-sync)# exitlocal-address object-group SYNC_SRC |
В качестве удаленного адреса укажите object-group SYNC_DSTПерейдите в блок настройки SoftGRE-туннелей:
| Блок кода |
|---|
|
wlc-1(config-failover)# remote-address softgre-controllerobject-group SYNC_DST |
Укажите группу VRRPВключите работу синхронизации:
| Блок кода |
|---|
|
wlc-1(config-softgre-controllerfailover)# failovervrrp-group 1
wlc-1(config-softgre-controllerfailover)# exit |
Перейдите в блок конфигурации синхронизации сертификатов:
| Блок кода |
|---|
|
wlc-1(config)# crypto-sync |
Укажите режим работы:
| Блок кода |
|---|
|
wlc-1(config-crypto-sync)# wlcremote-delete |
Включите работу синхронизации сервиса WLCсертификатов:
| Блок кода |
|---|
|
wlc-1(config-crypto-wlcsync)# failoverenable
wlc-1(config-wlccrypto-sync)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафикаблок настройки SoftGRE-туннелей:
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair trusted selfsoftgre-controller |
Включите работу синхронизацииСоздайте правило:
| Блок кода |
|---|
|
wlc-1(config-securitysoftgre-zone-paircontroller)# rule 11 |
Укажите действие правила – разрешение:
| Блок кода |
|---|
|
failover
wlc-1(config-security-zone-pair-rulesoftgre-controller)# action permitexit |
Перейдите в блок конфигурации WLCУкажите совпадение по протоколу VRRP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule-1(config)# match protocol vrrpwlc |
Включите правилоработу синхронизации сервиса WLC:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rulewlc)# enablefailover
wlc-1(config-security-zone-pair-rulewlc)# exit |
Создайте правилоПерейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафика:
| Блок кода |
|---|
|
wlc-1(config-)# security- zone-pair)# ruletrusted 12self |
Создайте правилоУкажите действие правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# actionrule permit11 |
Укажите совпадение по протоколу TCPдействие правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# matchaction protocol tcppermit |
Укажите совпадение по порту назначения, в качестве которого выступает object-groupпротоколу VRRP:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync |
Включите правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Перейдите в конфигурацию security-zone и откройте порты для синхронизации сертификатов, SoftGRE-туннелей и журналов WLC:
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair SYNC self |
-security-zone-pair-rule)# exit |
Создайте Создайте новое правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 412 |
Укажите действие правила – разрешение:
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# match destination-port object-group softgre_controller sync |
Включите правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Перейдите в конфигурацию security-zone и откройте порты для синхронизации сертификатов и журналов WLC:
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair SYNC self |
Включите правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
...
Для настройки правил зон безопасности создайте профиль для порта Firewall-failover:
| Блок кода |
|---|
|
wlc-1(config)# object-group service FAILOVER |
...
| Блок кода |
|---|
|
wlc-1(config)# security zone-pair SYNC self |
...
Создайте новое правило:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 5 |
...
Укажите multicast-группу, multicast IP-адрес, на который будут отправляться сообщения для синхронизации:
| Блок кода |
|---|
|
WLC-1(config)# ip failover
WLC-1(config-failover)# multicast-address 224.0.0.1
WLC-1(config-failover)# multicast-group 2000
WLC-1(config-failover)# exit |
...
| Блок кода |
|---|
|
wlc-1(config-firewall-failover)# sync-type multicast |
...
Укажите номер UDP-порта службы резервирования сессий Firewall:
...
| Блок кода |
|---|
|
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254
wlc-1(config-dhcp-server)# address-range 192.168.1.45-192.168.1.254
wlc-1(config-dhcp-server)# exit |
...
| Раскрыть |
|---|
| Блок кода |
|---|
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
unit 3
mac-address 68:13:e2:7e:80:46
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
hostname wlc-3 unit 3
object-group service airtune
port-range 8099
exit
object-group service dhcp_client
port-range 68
exit
object-group service dhcp_server
port-range 67
exit
object-group service dns
port-range 53
exit
object-group service netconf
port-range 830
exit
object-group service ntp
port-range 123
exit
object-group service radius_auth
port-range 1812
exit
object-group service sa
port-range 8043-8044
exit
object-group service ssh
port-range 22
exit
object-group service sync
port-range 873
exit
object-group service journal_sync
port-range 5432873
exit
object-group service softgrejournal_controllersync
port-range 13375432
exit
object-group service FAILOVER
port-range 9999
exit
object-group network SYNC_SRC
ip address-range 198.51.100.254 unit 1
ip address-range 198.51.100.253 unit 2
ip address-range 198.51.100.252 unit 3
exit
object-group network SYNC_DST
ip address-range 198.51.100.253 unit 1
ip address-range 198.51.100.252 unit 1
ip address-range 198.51.100.254 unit 2
ip address-range 198.51.100.252 unit 2
ip address-range 198.51.100.253 unit 3
ip address-range 198.51.100.254 unit 3
exit
syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default
severity info
exit
radius-server local
nas ap
key ascii-text password
network 192.168.1.0/24
exit
nas local
key ascii-text password
network 127.0.0.1/32
exit
domain default
user test
password ascii-text password1
exit
exit
virtual-server default
enable
exit
enable
exit
radius-server host 127.0.0.1
key ascii-text password
exit
aaa radius-profile default_radius
radius-server host 127.0.0.1
exit
boot host auto-config
boot host auto-update
vlan 3
force-up
exit
vlan 2449
force-up
exit
vlan 2
exit
no spanning-tree
domain lookup enable
security zone trusted
exit
security zone untrusted
exit
security zone users
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.2521/24
priority 130 unit 3
vrrp id 1
vrrp ip 198.51.100.1/24
vrrp1
priority 120 unit 2
priority 110 unit 3
group 1
vrrp preempt disable
enable
exit
enable
exit
bridge 2
vlan 2
security-zone untrusted
ip address dhcp
no spanning-tree
enable
exit
bridge 3
vlan 3
mtu 1458
security-zone users
ip address 192.168.2.43/24 unit 1
ip ip address 192.168.2.32/24 unit 2
vrrp ip address3
ip 192.168.2.2/241/32
priority 130 unit 3
vrrp id 3
vrrp ip 192.168.2.1/32
vrrp1
priority 120 unit 2
priority 110 unit 3
group 1
preempt disable
vrrp timers garp refresh 60
vrrp enable
no spanning-tree
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.4/24 unit 1 security-zone trusted
ip address 192.168.1.3/24 unit 21
ip address 192.168.1.2/24 unit 32
vrrp id 2
vrrp ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit 2
priority 110 unit 3
vrrp group 1
vrrp
no preempt disable
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 1/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 1/0/4
mode switchport
exit
interface tengigabitethernet 1/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 1/0/2
mode switchport
exit
interface gigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 2/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/4
mode switchport
exit
interface tengigabitethernet 2/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 2/0/2
mode switchport
exit
interface gigabitethernet 3/0/1
mode switchport
switchport access vlan 2
exit
interface gigabitethernet 3/0/2
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 3/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 3/0/4
mode switchport
exit
interface tengigabitethernet 3/0/1
mode switchport
switchport access vlan 2
exit
interface tengigabitethernet 3/0/2
mode switchport
exit
tunnel softgre 1
mode data
local address 192.168.1.1
default-profile
enable
exit
ip failover
local-address object-group SYNC_SRC
remote-address object-group SYNC_DST
vrrp-group 1
exit
security zone-pair trusted self
rule 10
action permit
match protocol tcp
match destination-port object-group ssh
enable
exit
rule 11
action permit
match protocol vrrp
enable
exit
rule 12
action permit
match protocol tcp
match destination-port object-group sync
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol udp
match source-port object-group dhcp_client
match destination-port object-group dhcp_server
enable
exit
rule 40
action permit
match protocol udp
match destination-port object-group ntp
enable
exit
rule 50
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 60
action permit
match protocol udp
match destination-port object-group dns
enable
exit
rule 70
action permit
match protocol tcp
match destination-port object-group netconfsa
enable
exit
rule 80
action permit
match protocol tcp
match destination-port object-group sa
enable
exit
rule 90
action permit
match protocol udp
match destination-port object-group radius_auth
enable
exit
rule 10090
action permit
match protocol gre
enable
exit
rule 110100
action permit
match protocol tcp
match destination-port object-group airtune
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security zone-pair trusted untrusted
rule 1
action permit
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol udp
match source-port object-group dhcp_server
match destination-port object-group dhcp_client
enable
exit
exit
security zone-pair users self
rule 10
action permit
match protocol icmp
enable
exit
rule 11
action permit
match protocol vrrp
enable
exit
rule 20
action permit
match protocol udp
match source-port object-group dhcp_client
match destination-port object-group dhcp_server
enable
exit
rule 30
action permit
match protocol tcp
match destination-port object-group dns
enable
exit
rule 40
action permit
match protocol udp
match destination-port object-group dns
enable
exit
exit
security zone-pair users untrusted
rule 1
action permit
enable
exit
exit
security zone-pair SYNC self
rule 1
action permit
match protocolaction icmppermit
enable
exit
exit
security zone-pair SYNC self
rule 21
action permit
match protocol vrrpicmp
enable
exit
rule 32
action permit
match protocol ahvrrp
enable
exit
rule 43
action permit
match protocol tcp
match destination-port object-group softgre_controllerah
enable
exit
rule 5
action permit
match protocol udp
match destination-port object-group FAILOVER
enable
exit
exit
rule 10
action permit
match protocol tcp
match destination-port object-group journal_sync
enable
exit
exit
security passwords default-expired
nat source
ruleset factory
to zone untrusted
rule 10
description "replace 'source ip' by outgoing interface ip address"
action source-nat interface
enable
exit
exit
exit
ip dhcp-server
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.45-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit
ip dhcp-server pool users-pool
network 192.168.2.0/24
address-range 192.168.2.4-192.168.2.254
default-router 192.168.2.1
dns-server 192.168.2.1
exit
ip dhcp-server failover
mode active-standby
enable
exit
softgre-controller
nas-ip-address 127.0.0.1
failover
data-tunnel configuration wlc
aaa radius-profile default_radius
keepalive-disable
service-vlan add 3
enable
exit
wlc
outside-address 192.168.1.1
service-activator
aps join auto
exit
airtune
enable
exit
failover
ap-location default-location
description "default-location"
mode tunnel
ap-profile default-ap
ssid-profile default-ssid
exit
ssid-profile default-ssid
description "default-ssid"
ssid "default-ssid"
radius-profile default-radius
vlan-id 3
security-mode WPA2_1X
802.11kv
band 2g
band 5g
enable
exit
ap-profile default-ap
password ascii-text password
exit
radius-profile default-radius
auth-address 192.168.1.1
auth-password ascii-text password
domain default
exit
ip-pool default-ip-pool
description "default-ip-pool"
ap-location default-location
exit
enable
exit
ip ssh server
clock timezone gmt +7
ntp enable
ntp server 100.110.0.65
minpoll 1
maxpoll 4
exit
crypto-sync
remote-delete
enable
exit
|
|
...
| Блок кода |
|---|
|
wlc-1# show vrrp
Unit 1* 'wlc-1'
------------------
wlc-1# show vrrp
Virtual router Virtual IP Priority Preemption State Inherit Synchronization Sync group ID
-------------- --------------------------------- -------- ---------- ------ --------- ----------------
1 198.51.100.1/3224 130 100 Disabled EnabledMaster -- Master 1
2 192.168.1.1/32 100130 Disabled Master Enabled -- Master 1
3 192.168.2.1/32 100130 Disabled Master Enabled-- Master 1
Unit 2 'wlc-2'
------------------
wlc-1# show vrrp
Virtual router Virtual IP Priority Preemption State SynchronizationInherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- ------------------
1 198.51.100.1/3224 100120 Disabled Backup Enabled -- Backup 1
2 192.168.1.1/32 100120 Enabled Backup 1 Disabled Backup -- 1
3 192.168.2.1/32 100120 Disabled Backup Enabled -- Backup 1
Unit Unit 3 'wlc-3'
------------------
wlc-1# show vrrp
Virtual router Virtual IP Priority Preemption State SynchronizationInherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- ------------------
1 198.51.100.1/3224 100110 Disabled Backup Enabled-- Backup 1
2 192.168.1.1/32 100110 Disabled Backup Enabled-- Backup 1
3 192.168.2.1/32 100110 Disabled Backup Enabled-- Backup 1
|
...
Настройка System prompt
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе Настройка общесистемных параметров.
Пример настройки
Задача:
Настроить system prompt в кластере маршрутизаторов wlc-1 и wlc-2 со следующими параметрами:
...
