Резервирование WLC

Схема включения:

Описание схемы: два WLC резервируют себя через протокол VRRP, интерфейс в сторону точек доступа подключен к коммутатору. Резервирование и организация uplink не рассматривается в данной статье.

Задача: организовать резервирование контроллера WLC.

Решение:

Для решения поставленной задачи на каждом WLC нужно выполнить:

Создать object-group для настройки firewall
Настроить vrrp на интерфейсах
Настроить crypto-sync для синхронизации сертификатов
Настроить WLC для синхронизации состояния точек доступа
Настроить softgre-controller для синхронизации туннелей
Настроить WLC для работы в схеме с резервированием
Настроить firewall, разрешить обмен vrrp анонсами и отрыть порты для синхронизации туннелей, сертификатов и состояния WLC
Настроить DHCP сервер в режиме active-standby
Настроить DHCP failover
Настроить синхронизацию сессия Firewall

На интерфейсах, где включен vrrp нужно в обязательном порядке включить:

  vrrp timers garp refresh 60

Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщения(ий), пока маршрутизатор находится в состоянии Master.

Пример настройки WLC-1:

Подключаемся к WLC-30 и переходим в режим конфигурирования

wlc-30# config

Меняем имя устройства

hostname WLC-1

Создаем vlan 2449

vlan 2449
  force-up
exit

Настраиваем интерфейс gi 1/0/2

interface gigabitethernet 1/0/2
  mode switchport
  switchport mode trunk
  switchport trunk allowed vlan add 3,2449
exit

Создаем object-group для настройки firewall

object-group service sync
  port-range 873
exit
object-group service softgre_controller
  port-range 1337
exit

Меняем конфигурацию Bridge

no bridge 1
no bridge 2

bridge 1
  vlan 2449
  security-zone trusted
  ip address 192.168.1.2/24
  vrrp priority 120
  vrrp id 1
  vrrp ip 192.168.1.1/32
  vrrp group 1
  vrrp preempt disable
  vrrp timers garp refresh 60
  vrrp
  no spanning-tree
  enable
exit 
bridge 3
  vlan 3
  mtu 1458
  security-zone users
  ip address 192.168.2.2/24
  vrrp priority 120 
  vrrp id 3
  vrrp ip 192.168.2.1/32
  vrrp group 1
  vrrp preempt disable
  vrrp timers garp refresh 60
  vrrp
  no spanning-tree
  enable
exit

Настраиваем crypto-sync

crypto-sync
  local-address 192.168.1.2
  remote-address 192.168.1.3
  vrrp-group 1
  remote-delete
  enable
exit

Настраиваем softgre-controller

softgre-controller
  peer-address 192.168.1.3
  vrrp-group 1
exit

Настраиваем WLC

wlc
  failover
    local-address 192.168.1.2
    remote-address 192.168.1.3
    vrrp-group 1
    enable
  exit
exit

Настраиваем firewall

security zone-pair trusted self
  rule 11
    action permit
    match protocol vrrp
    enable
  exit
  rule 12
    action permit
    match protocol tcp
    match destination-port softgre_controller
    enable
  exit  
  rule 13
    action permit
    match protocol tcp
    match destination-port sync
    enable
  exit
exit 
security zone-pair users self
  rule 11
    action permit
    match protocol vrrp
    enable
  exit
exit

Настраиваем DHCP сервер

no ip dhcp-server pool users-pool
no ip dhcp-server pool ap-pool

ip dhcp-server pool ap-pool
  network 192.168.1.0/24
  address-range 192.168.1.4-192.168.1.254
  default-router 192.168.1.1
  dns-server 192.168.1.1
  option 42 ip-address 192.168.1.1
  vendor-specific
    suboption 12 ascii-text "192.168.1.1"
    suboption 15 ascii-text "https://192.168.1.1:8043"
  exit
exit
ip dhcp-server pool users-pool
  network 192.168.2.0/24
  address-range 192.168.2.4-192.168.2.254
  default-router 192.168.2.1
  dns-server 192.168.2.1
exit

ip dhcp-server failover
  mode active-standby
  local-address 192.168.1.2
  remote-address 192.168.1.3
  vrrp-group 1
  enable
exit

Настраиваем radius server (создаем пользователя)

radius-server local
  domain default
    user test
      password ascii-text 12345678
    exit
  exit
exit

Применяем и подтверждаем конфигурацию

wlc-1# commit 
wlc-1# confirm

Пример настройки WLC-2: