...
| Примечание |
|---|
Более приоритетным является hostname, указанный с привязкой к unit. |
Необходимо удалить заводские настройки Bridge, чтобы далее сконфигурировать его с нуля:
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# security-zone trusted
|
Необходимо задать адресацию для первого и второго юнита кластера:
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp 2
wlc-1(config-vrrp)# ip address 192.168.1.1/32
wlc-1(config-vrrp)# priority 130 unit 1
wlc-1(config-vrrp)# priority 120 unit 2
wlc-1(config-vrrp)# group 1
wlc-1(config-vrrp)# preempt disable
wlc-1(config-vrrp)# enable
wlc-1(config-vrrp)# exit
|
Отключите работу spanning-tree и включите работу Bridge:
...
| Блок кода |
|---|
|
wlc-1(config)# interface gigabitethernet 1/0/2
|
Для удобства укажите описание интерфейса:
...
| Блок кода |
|---|
|
wlc-1(config-if-gi)# switchport mode trunk
|
...
Добавьте VLAN 3 и 2449, которые будут обрабатываться интерфейсом:
...
Сконфигурируйте интерфейс Второго второго юнита. Настройки идентичны с интерфейсом, сконфигурированным выше:
...
| Блок кода |
|---|
|
wlc-1(config)# security zone SYNC
wlc-1(config-security-zone)# exit
wlc-1(config)# security zone-pair SYNC self
wlc-1(config-security-zone-pair)# rule 1
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol icmp
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# rule 2
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Создайте VLAN 5, который будет выступать как VLAN синхронизации VLAN синхронизации кластера:
| Блок кода |
|---|
|
wlc-1(config)# vlan 5 |
...
| Примечание |
|---|
Для работы кластерного интерфейса поддерживается только IPv4-адресация. На cluster-интерфейсе необходима настройка адресов с привязкой к unit. |
Настройте идентификатор VRRP, принадлежность VRRP-маршрутизатора к группе, IP-адрес VRRP:
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# enable
wlc-1(config-bridge)# exit |
Настройте физические порты порты синхронизации маршрутизаторов wlc-1 и wlc-2:
Добавьте ранее созданный VLAN 5 синхронизации кластера, к интерфейсу:
| Блок кода |
|---|
|
wlc-1(config)# interface gigabitethernet 1/0/2
wlc-1(config-if-gi)# switchport trunk allowed vlan add 5
wlc-1(config-if-gi)# exit |
...
| Примечание |
|---|
Для работы синхронизации сервисов WLC, а также кластера необходима синхронизация времени между юнитами.
В примере указан демонстрационный IP-адрес NTP-сервера. |
Укажите минимальное время опроса и максимальное время опроса:
...
| Примечание |
|---|
Более приоритетным является hostname, указанный с привязкой к unit. |
...
Необходимо удалить заводские настройки Bridge, чтобы далее сконфигурировать его с нуля:
...
Настройте VRRP:
| Примечание |
|---|
Для избежания лишних переключений VRRP, в приведенном примере отключен перехват перехват роли Master у текущего Master-устройства с более низким приоритетом. Если вам требуется перехват роли, то нужно вводить задержку для перехвата, чтобы сервисы успели синхронизировать данные. | Блок кода |
|---|
vrrp preempt delay 120 |
|
| Блок кода |
|---|
|
wlc-1(config-bridge)# vrrp 2
wlc-1(config-vrrp)# ip address 192.168.1.1/32
wlc-1(config-vrrp)# priority 130 unit 1
wlc-1(config-vrrp)# priority 120 unit 2
wlc-1(config-vrrp)# priority 110 unit 3
wlc-1(config-vrrp)# group 1
wlc-1(config-vrrp)# preempt disable
wlc-1(config-vrrp)# enable
wlc-1(config-vrrp)# exit
|
Отключите работу spanning-tree и включите работу Bridge:
...
Перейдите к конфигурированию интерфейса Первого первого юнита:
| Блок кода |
|---|
|
wlc-1(config)# interface gigabitethernet 1/0/2
|
Для удобства укажите описание интерфейса:
...
| Блок кода |
|---|
|
wlc-1(config-if-gi)# switchport mode trunk
|
...
Добавьте VLAN 3 и 2449, которые будут обрабатываться интерфейсом:
...
| Блок кода |
|---|
|
wlc-1(config)# security zone SYNC
wlc-1(config-security-zone)# exit
wlc-1(config)# security zone-pair SYNC self
wlc-1(config-security-zone-pair)# rule 1
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol icmp
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# rule 2
wlc-1(config-security-zone-pair-rule)# action permit
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
wlc-1(config-security-zone-pair-rule)# enable
wlc-1(config-security-zone-pair-rule)# exit
wlc-1(config-security-zone-pair)# exit |
Создайте VLAN 5, который будет выступать как VLAN синхронизации кластера :
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# enable
wlc-1(config-bridge)# exit |
Настройте физические порты синхронизации маршрутизаторов wlc-1, wlc-2 и wlc-3:
...
Добавьте ранее созданный VLAN 5 синхронизации кластера, к интерфейсу:
| Блок кода |
|---|
|
wlc-1(config)# interface gigabitethernet 1/0/2
wlc-1(config-if-gi)# switchport trunk allowed vlan add 5
wlc-1(config-if-gi)# exit
|
Сконфигурируйте интерфейс 2 и 3 юнита. Настройки идентичны с интерфейсом, сконфигурированным выше:
...
| Блок кода |
|---|
|
wlc-1(config-cluster)# unit 1
wlc-1(config-cluster-unit)# mac-address E4:5A:D4:A0:BE:35
wlc-1(config-cluster-unit)# exit
wlc-1(config-cluster)# unit 2
wlc-1(config-cluster-unit)# mac-address A8:F9:4B:AF:35:84
wlc-1(config-cluster-unit)# exit
wlc-1(config-cluster)# unit 3
wlc-1(config-cluster-unit)# mac-address 68:13:E2:7E:82:2E
wlc-1(config-cluster-unit)# exit |
| Примечание |
|---|
В качестве mac-address указывается системный MAC-адрес устройства, его можно узнать с помощью команды show system | include MAC. Данный блок настройки кластера должен присутствовать на обоих юнитах. |
...
| Примечание |
|---|
При изменении номера юнита контролера не происходит автоматической конвертации конфигурации. В случае если до контролера настроен удаленный доступ и у него меняется номер юнита, необходимо до перезагрузки настроить ip-интерфейсы для нового юнита аналогично текущим. |
...
1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным wlc вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force, либо подключить Standby по ZTP.
...
| Примечание |
|---|
Команда sync cluster system force выполняет синхронизацию подсистем, включая в себя синхронизацию конфигурации running-config, candidate-config, версии ПО, лицензии. По окончанию синхронизации Stanby устройство кластера перезагрузится для применения новой версии прошивки, а также лицензии. При использовании команды sync cluster system force, даже если все подсистемы кластеры синхронизированы (команда show cluster sync status), Stanby устройство начнет синхронизацию подсистем и по окончанию перезагрузится. |
Журналы WLC
По умолчанию хранения хранение журналов осуществляется на внутренней памяти контролера. Для переноса журналов на HDD, необходимо предварительно инициализировать накопители, разметить , и присвоить имя созданному разделу.
| Примечание |
|---|
Для корректной работы по синхронизации журналов на HDD необходимо задать одинаковое имя раздела на всех накопителях. |
Для просмотра информации и о подключенном HDD используйте команду:
...
Процесс переноса журнала описан в разделе: Настройка журналирования событий WLC.
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации сервисов.
...
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнитаюнитов. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
...
| draw.io Diagram |
|---|
| border | true |
|---|
| |
|---|
| diagramName | wlc |
|---|
| simpleViewer | false |
|---|
| width | |
|---|
| links | auto |
|---|
| tbstyle | top |
|---|
| lbox | true |
|---|
| diagramWidth | 909 |
|---|
| revision | 4 |
|---|
|
Схема реализации WLC
Исходная конфигурация кластера:
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
vlan 2449
force-up
exit
vlan 5
exit
security zone SYNC
exit
bridge 1
vlan 5
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip 198.51.100.1/24
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp 2
ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,5,2449
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,5,2449
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
...
Решение:
Перейдите в режим конфигурации:
...
| Блок кода |
|---|
|
wlc-1(config-object-group-service)# port-range 5432
wlc-1(config-object-group-service)# exit |
...
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_SRC |
...
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_DST |
Укажите IP-адреса для Первого первого и Второго второго юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
wlc-1(config-object-group-network)# exit |
Перейдите в Bridge 3.:
| Блок кода |
|---|
|
wlc-1(config)# bridge 3 |
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# no ip address all
wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 1
wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 2 |
Укажите индентификатор VRRP:
...
| Блок кода |
|---|
|
wlc-1(config-vrrp)# preempt disable |
Включить Включите периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
| Блок кода |
|---|
|
wlc-1(config-vrrp)# timers garp refresh 60 |
Включите работу VRRP:
| Блок кода |
|---|
|
wlc-1(config-vrrp)# enable
wlc-1(config-vrrp)# exit |
Отключите работу spanning-tree:
...
| Блок кода |
|---|
|
wlc-1(config-failover)# vrrp-group 1
wlc-1(config-failover)# exit |
Перейдите в блок конфигурации синхронизации сертификатов:
...
| Блок кода |
|---|
|
wlc-1(config-wlc)# failover
wlc-1(config-wlc)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафика:
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
...
Для настройки правил зон безопасности создайте профиль для порта Firewall-failover:
| Блок кода |
|---|
|
wlc-1(config)# object-group service FAILOVER |
...
| Блок кода |
|---|
|
wlc-1(config-object-group-service)# port-range 9999
wlc-1(config-object-group-service)# exit |
...
Перейдите в конфигурацию security zone-pair для синхронизации сервисов кластера:
...
| Блок кода |
|---|
|
wlc-1# show vrrp
Unit 1* 'wlc-1'
------------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
1 198.51.100.1/24 130 Disabled Master -- 1
2 192.168.1.1/32 130 Disabled Master -- 1
3 192.168.2.1/32 130 Disabled Master -- 1
Unit 2 'wlc-2'
------------------
Virtual router Virtual IP Priority Preemption State Inherit Sync group ID
-------------- --------------------------------- -------- ---------- ------ ------- -------------
1 198.51.100.1/24 120 Disabled Backup -- 1
2 192.168.1.1/32 120 Disabled Backup -- 1
3 192.168.2.1/32 120 Disabled Backup -- 1
|
Настройка WLC (схема 1+2)
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнитаюнитов. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
...
Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 + Gi 3/0/3 3 связывают три юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 + Gi 3/0/2 смотрят в сторону точки доступа.
...
| draw.io Diagram |
|---|
| border | true |
|---|
| |
|---|
| diagramName | wlc3 |
|---|
| simpleViewer | false |
|---|
| links | auto |
|---|
| tbstyle | top |
|---|
| lbox | true |
|---|
| diagramWidth | 918 |
|---|
| revision | 2 |
|---|
|
Схема реализации WLC
Исходная конфигурация кластера:
...
| Блок кода |
|---|
|
wlc-1(config-object-group-service)# port-range 5432
wlc-1(config-object-group-service)# exit |
...
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
| Блок кода |
|---|
|
wlc-1(config)# object-group network SYNC_SRC |
Укажите IP-адреса для Первогопервого, Второго второго и Третьего третьего юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2
wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 3
wlc-1(config-object-group-network)# exit
|
...
| Примечание |
|---|
Адреса для удаленных устройств необходимо указывать по следующей схеме: индекс индекс текущего юнита указывается адресам удаленных устройств устройств для синхронизации. Например: индекса юнита 2 необходимо указать адреса юнитов 1,3,4 (при наличии), юниту 1 необходимо указать адреса юнитов 2,3. |
Укажите IP-адреса для удаленных устройств для Первогопервого, Второго второго и Третьего третьего юнитов кластера:
| Блок кода |
|---|
|
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 1
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2
wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 2
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 3
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 3
wlc-1(config-object-group-network)# exit |
Перейдите в Bridge 3.:
| Блок кода |
|---|
|
wlc-1(config)# bridge 3 |
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# no ip address all
wlc-1(config-bridge)# ip address 192.168.2.4/24 unit 1
wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 2
wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 3 |
Укажите индентификатор VRRP:
...
| Блок кода |
|---|
|
wlc-1(config-bridge)# no spanning-tree |
Включите Bridge:
| Блок кода |
|---|
|
wlc-1(config-bridge)# enable
wlc-1(config-bridge)# exit |
Перейдите в режим конфигурирования резервирования ip failover:
...
| Блок кода |
|---|
|
wlc-1(config)# crypto-sync |
Укажите режим работы:
| Блок кода |
|---|
|
wlc-1(config-crypto-sync)# remote-delete |
Включите работу синхронизации сертификатов:
...
| Блок кода |
|---|
|
wlc-1(config)# wlc |
Включите работу синхронизации сервиса WLC:
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 12 |
Укажите действие правила правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair)# rule 10 |
Укажите действие правила правила – разрешение:
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу VRRP:
...
| Блок кода |
|---|
|
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу UDP:
...
| Блок кода |
|---|
|
wlc-1# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized
Last synchronization: 2026-02-02 16:14:23
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
crypto-sync:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:14:27
WLC:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
WLC database:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:28
WEB profiles:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:24 |
C В случае со с текущей схемой, когда одна из нод будет недоступна, синхронизация будет продолжиться продолжится между оставшимися нодами со следующим сообщением:
...
| Блок кода |
|---|
|
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
security zone SYNC
exit
bridge 1
vlan 5
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
group 1
preempt disable
authentication key ascii-text encrypted 88B11079B51D
authentication algorithm md5
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Решение:
Перейдем Перейдите в режим конфигурирования устройства:
| Блок кода |
|---|
|
wlc-1# configure
wlc-1(config)# |
Добавим в system Добавьте в system prompt информацию о статусе полной синхронизации кластера:
| Блок кода |
|---|
|
wlc-1(config)# system prompt '(Cluster: %s%)' |
Добавим в system Добавьте в system prompt информацию о номере юнита администрируемого устройства:
| Блок кода |
|---|
|
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u%)' |
Добавим в system Добавьте в system prompt информацию о роли устройства в кластере:
| Блок кода |
|---|
|
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r%)' |
Добавим в system Добавьте в system prompt информацию о статусе кластерного VRRP:
| Блок кода |
|---|
|
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)' |
Добавим в system Добавьте в system prompt информацию о hostname устройства:
| Блок кода |
|---|
|
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)|%h%' |
Применим Примените конфигурацию и обновим обновите пользовательскую сессию CLI:
| Блок кода |
|---|
|
wlc-1# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be.
wlc-1# confirm
Configuration has been confirmed. Commit timer canceled.
wlc-1# exit
wlc-1 login: admin
Password:
********************************************
* Welcome to wlc *
********************************************
(Cluster: Yes | Unit: 1 | State: Active | VRRP id 1: Master)|wlc-1# |
Обновим пользовательскую Обновите пользовательскую сессию CLI на втором устройстве:
...
| Примечание |
|---|
Чтобы system prompt корректно работал, необходимо обновить пользовательскую сессию. |
...
Настройка других сервисов
Настройка других других сервисов описана в документации ESR:
