Схема включения:
Описание схемы: два WLC резервируют себя через протокол VRRP, интерфейс в сторону точек доступа подключен к коммутатору. Резервирование и организация uplink не рассматривается в данной статье.
Задача: организовать резервирование контроллера WLC.
Решение:
Настройка будет выполнена на базе заводской конфигурации (factory). Интерфейс gi 1/0/1 смотрит в сторону uplink, gi 1/0/2 смотрит в сторону точек доступа.
Для решения поставленной задачи на каждом WLC нужно выполнить:
- Создать object-group для настройки firewall
- Настроить VRRP на интерфейсах
- Настроить Crypto-Sync для синхронизации сертификатов
- Настроить WLC для синхронизации состояния точек доступа
- Настроить Softgre-Controller для синхронизации туннелей
- Настроить WLC для работы в схеме с резервированием
- Настроить Firewall, разрешить обмен vrrp анонсами и отрыть порты для синхронизации туннелей, сертификатов и состояния WLC
- Настроить DHCP сервер в режиме Active-Standby
- Настроить DHCP failover
На интерфейсах, где включен vrrp нужно в обязательном порядке включить:
vrrp timers garp refresh 60
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщения(ий), пока маршрутизатор находится в состоянии Master.
Адресация:
| Интерфейс | VLAN | IP | VRRP IP | Описание |
|---|---|---|---|---|
| Birdge 1 | 2449 | 192.168.1.2/24 | 192.168.1.1/32 | Интерфейс для сети управления |
| Bridge 3 | 3 | 192.168.2.2/24 | 192.168.2.1/32 | Интерфейс для клиентов Wi-Fi |
Порты и протоколы для которых нужно настроить Firewall:
| Сервис | Протокол | Порт | Описание |
|---|---|---|---|
| softgre-controller | TCP | 1337 | Используется для синхронизации softgre туннелей |
| crypto-sync | TCP | 873 | Используется для синхронизации сертификатов и состояния ТД |
| VRRP | VRRP | - | Используется для резервирования |
Пример настройки WLC-1:
Подключаемся к WLC и переходим в режим конфигурирования
wlc# config
Меняем имя устройства
hostname WLC-1
Создаем vlan 2449
vlan 2449 force-up exit
Настраиваем интерфейс gi 1/0/2, для приема тегированного трафика в VLAN 3 и 2449
interface gigabitethernet 1/0/2 mode switchport switchport mode trunk switchport trunk allowed vlan add 3,2449 exit
Создаем object-group для настройки Firewall
object-group service sync port-range 873 exit object-group service softgre_controller port-range 1337 exit
Меняем адресацию и настраиваем VRRP на Bridge
no bridge 1 no bridge 2 bridge 1 vlan 2449 security-zone trusted ip address 192.168.1.2/24 vrrp priority 120 vrrp id 1 vrrp ip 192.168.1.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.2/24 vrrp priority 120 vrrp id 3 vrrp ip 192.168.2.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit
Настраиваем Crypto-Sync для синхронизации сертификатов
crypto-sync local-address 192.168.1.2 remote-address 192.168.1.3 vrrp-group 1 remote-delete enable exit
Настраиваем Softgre-Controller для синхронизации туннелей SoftGRE
softgre-controller peer-address 192.168.1.3 vrrp-group 1 exit
Настраиваем WLC для синхронизации точек доступа
wlc
failover
local-address 192.168.1.2
remote-address 192.168.1.3
vrrp-group 1
enable
exit
exit
Настраиваем правила Firewall, разрешаем протокол VRRP и порты для синхронизации туннелей и сертификатов
security zone-pair trusted self
rule 11
action permit
match protocol vrrp
enable
exit
rule 12
action permit
match protocol tcp
match destination-port softgre_controller
enable
exit
rule 13
action permit
match protocol tcp
match destination-port sync
enable
exit
exit
security zone-pair users self
rule 11
action permit
match protocol vrrp
enable
exit
exit
Настраиваем DHCP Failover сервер
no ip dhcp-server pool users-pool
no ip dhcp-server pool ap-pool
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.4-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit
ip dhcp-server pool users-pool
network 192.168.2.0/24
address-range 192.168.2.4-192.168.2.254
default-router 192.168.2.1
dns-server 192.168.2.1
exit
ip dhcp-server failover
mode active-standby
local-address 192.168.1.2
remote-address 192.168.1.3
vrrp-group 1
enable
exit
Создаем пользователя в локальном Radius сервере
radius-server local
domain default
user test
password ascii-text 12345678
exit
exit
exit
Применяем и подтверждаем конфигурацию
wlc-1# commit wlc-1# confirm
Пример настройки WLC-2:
Подключаемся к WLC и переходим в режим конфигурирования
wlc# config
Меняем имя устройства
hostname WLC-2
Создаем vlan 2449
vlan 2449 force-up exit
Настраиваем интерфейс gi 1/0/2, для приема тегированного трафика в VLAN 3 и 2449
interface gigabitethernet 1/0/2 mode switchport switchport mode trunk switchport trunk allowed vlan add 3,2449 exit
Создаем object-group для настройки Firewall
object-group service sync port-range 873 exit object-group service softgre_controller port-range 1337 exit
Меняем адресацию и настраиваем VRRP на Bridge
no bridge 1 no bridge 2 bridge 1 vlan 2449 security-zone trusted ip address 192.168.1.3/24 vrrp priority 110 vrrp id 1 vrrp ip 192.168.1.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.3/24 vrrp priority 110 vrrp id 3 vrrp ip 192.168.2.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit
Настраиваем Crypto-Sync для синхронизации сертификатов
crypto-sync local-address 192.168.1.3 remote-address 192.168.1.2 vrrp-group 1 remote-delete enable exit
Настраиваем Softgre-Controller для синхронизации туннелей SoftGRE
softgre-controller peer-address 192.168.1.2 vrrp-group 1 exit
Настраиваем WLC для синхронизации точек доступа
wlc
failover
local-address 192.168.1.3
remote-address 192.168.1.2
vrrp-group 1
enable
exit
exit
Настраиваем правила Firewall, разрешаем протокол VRRP и порты для синхронизации туннелей и сертификатов
security zone-pair trusted self
rule 11
action permit
match protocol vrrp
enable
exit
rule 12
action permit
match protocol tcp
match destination-port softgre_controller
enable
exit
rule 13
action permit
match protocol tcp
match destination-port sync
enable
exit
exit
security zone-pair users self
rule 11
action permit
match protocol vrrp
enable
exit
exit
Настраиваем DHCP Failover сервер
no ip dhcp-server pool users-pool
no ip dhcp-server pool ap-pool
ip dhcp-server pool ap-pool
network 192.168.1.0/24
address-range 192.168.1.4-192.168.1.254
default-router 192.168.1.1
dns-server 192.168.1.1
option 42 ip-address 192.168.1.1
vendor-specific
suboption 12 ascii-text "192.168.1.1"
suboption 15 ascii-text "https://192.168.1.1:8043"
exit
exit
ip dhcp-server pool users-pool
network 192.168.2.0/24
address-range 192.168.2.4-192.168.2.254
default-router 192.168.2.1
dns-server 192.168.2.1
exit
ip dhcp-server failover
mode active-standby
local-address 192.168.1.3
remote-address 192.168.1.2
vrrp-group 1
enable
exit
Создаем пользователя в локальном Radius сервере)
radius-server local
domain default
user test
password ascii-text 12345678
exit
exit
exit
Применяем и подтверждаем конфигурацию
wlc-2# commit wlc-2# confirm