Схема включения:
Описание схемы: два WLC резервируют себя через протокол VRRP, интерфейс в сторону точек доступа подключен к коммутатору. Резервирование и организация uplink не рассматривается в данной статье.
Задача: организовать резервирование контроллера WLC.
Решение:
Настройка будет выполнена на базе заводской конфигурации (factory). Интерфейс gi 1/0/1 смотрит в сторону uplink, gi 1/0/2 смотрит в сторону точек доступа.
Для решения поставленной задачи на каждом WLC нужно выполнить:
- Создать object-group для настройки firewall
- Настроить vrrp на интерфейсах
- Настроить crypto-sync для синхронизации сертификатов
- Настроить WLC для синхронизации состояния точек доступа
- Настроить softgre-controller для синхронизации туннелей
- Настроить WLC для работы в схеме с резервированием
- Настроить firewall, разрешить обмен vrrp анонсами и отрыть порты для синхронизации туннелей, сертификатов и состояния WLC
- Настроить DHCP сервер в режиме active-standby
- Настроить DHCP failover
На интерфейсах, где включен vrrp нужно в обязательном порядке включить:
vrrp timers garp refresh 60
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщения(ий), пока маршрутизатор находится в состоянии Master.
Адресация:
Интерфейс | VLAN | IP | VRRP IP | Описание |
---|---|---|---|---|
Birdge 1 | 2449 | 192.168.1.2/24 | 192.168.1.1/32 | Интерфейс для сети управления |
Bridge 3 | 3 | 192.168.2.2/24 | 192.168.2.1/32 | Интерфейс для клиентов Wi-Fi |
Порты и протоколы для которых нужно настроить Firewall:
Сервис | Протокол | Порт | Описание |
---|---|---|---|
softgre-controller | TCP | 1337 | Используется для синхронизации softgre туннелей |
crypto-sync | TCP | 873 | Используется для синхронизации сертификатов и состояния ТД |
VRRP | VRRP | - | Используется для резервирования |
Пример настройки WLC-1:
Подключаемся к WLC и переходим в режим конфигурирования
wlc# config
Меняем имя устройства
hostname WLC-1
Создаем vlan 2449
vlan 2449 force-up exit
Настраиваем интерфейс gi 1/0/2
interface gigabitethernet 1/0/2 mode switchport switchport mode trunk switchport trunk allowed vlan add 3,2449 exit
Создаем object-group для настройки firewall
object-group service sync port-range 873 exit object-group service softgre_controller port-range 1337 exit
Меняем конфигурацию Bridge
no bridge 1 no bridge 2 bridge 1 vlan 2449 security-zone trusted ip address 192.168.1.2/24 vrrp priority 120 vrrp id 1 vrrp ip 192.168.1.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.2/24 vrrp priority 120 vrrp id 3 vrrp ip 192.168.2.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit
Настраиваем crypto-sync
crypto-sync local-address 192.168.1.2 remote-address 192.168.1.3 vrrp-group 1 remote-delete enable exit
Настраиваем softgre-controller
softgre-controller peer-address 192.168.1.3 vrrp-group 1 exit
Настраиваем WLC
wlc failover local-address 192.168.1.2 remote-address 192.168.1.3 vrrp-group 1 enable exit exit
Настраиваем firewall
security zone-pair trusted self rule 11 action permit match protocol vrrp enable exit rule 12 action permit match protocol tcp match destination-port softgre_controller enable exit rule 13 action permit match protocol tcp match destination-port sync enable exit exit security zone-pair users self rule 11 action permit match protocol vrrp enable exit exit
Настраиваем DHCP сервер
no ip dhcp-server pool users-pool no ip dhcp-server pool ap-pool ip dhcp-server pool ap-pool network 192.168.1.0/24 address-range 192.168.1.4-192.168.1.254 default-router 192.168.1.1 dns-server 192.168.1.1 option 42 ip-address 192.168.1.1 vendor-specific suboption 12 ascii-text "192.168.1.1" suboption 15 ascii-text "https://192.168.1.1:8043" exit exit ip dhcp-server pool users-pool network 192.168.2.0/24 address-range 192.168.2.4-192.168.2.254 default-router 192.168.2.1 dns-server 192.168.2.1 exit ip dhcp-server failover mode active-standby local-address 192.168.1.2 remote-address 192.168.1.3 vrrp-group 1 enable exit
Настраиваем radius server (создаем пользователя)
radius-server local domain default user test password ascii-text 12345678 exit exit exit
Применяем и подтверждаем конфигурацию
wlc-1# commit wlc-1# confirm
Пример настройки WLC-2:
Подключаемся к WLC и переходим в режим конфигурирования
wlc# config
Меняем имя устройства
hostname WLC-2
Создаем vlan 2449
vlan 2449 force-up exit
Настраиваем интерфейс gi 1/0/2
interface gigabitethernet 1/0/2 mode switchport switchport mode trunk switchport trunk allowed vlan add 3,2449 exit
Создаем object-group для настройки firewall
object-group service sync port-range 873 exit object-group service softgre_controller port-range 1337 exit
Меняем конфигурацию Bridge
no bridge 1 no bridge 2 bridge 1 vlan 2449 security-zone trusted ip address 192.168.1.3/24 vrrp priority 110 vrrp id 1 vrrp ip 192.168.1.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit bridge 3 vlan 3 mtu 1458 security-zone users ip address 192.168.2.3/24 vrrp priority 110 vrrp id 3 vrrp ip 192.168.2.1/32 vrrp group 1 vrrp preempt disable vrrp timers garp refresh 60 vrrp no spanning-tree enable exit
Настраиваем crypto-sync
crypto-sync local-address 192.168.1.3 remote-address 192.168.1.2 vrrp-group 1 remote-delete enable exit
Настраиваем softgre-controller
softgre-controller peer-address 192.168.1.2 vrrp-group 1 exit
Настраиваем WLC
wlc failover local-address 192.168.1.3 remote-address 192.168.1.2 vrrp-group 1 enable exit exit
Настраиваем firewall
security zone-pair trusted self rule 11 action permit match protocol vrrp enable exit rule 12 action permit match protocol tcp match destination-port softgre_controller enable exit rule 13 action permit match protocol tcp match destination-port sync enable exit exit security zone-pair users self rule 11 action permit match protocol vrrp enable exit exit
Настраиваем DHCP сервер
no ip dhcp-server pool users-pool no ip dhcp-server pool ap-pool ip dhcp-server pool ap-pool network 192.168.1.0/24 address-range 192.168.1.4-192.168.1.254 default-router 192.168.1.1 dns-server 192.168.1.1 option 42 ip-address 192.168.1.1 vendor-specific suboption 12 ascii-text "192.168.1.1" suboption 15 ascii-text "https://192.168.1.1:8043" exit exit ip dhcp-server pool users-pool network 192.168.2.0/24 address-range 192.168.2.4-192.168.2.254 default-router 192.168.2.1 dns-server 192.168.2.1 exit ip dhcp-server failover mode active-standby local-address 192.168.1.3 remote-address 192.168.1.2 vrrp-group 1 enable exit
Настраиваем radius server (создаем пользователя)
radius-server local domain default user test password ascii-text 12345678 exit exit exit
Применяем и подтверждаем конфигурацию
wlc-2# commit wlc-2# confirm