Cluster используется для резервирования работы устройств в сети. Резервирование обеспечивается за счет синхронизации работы различных сервисов между устройствами, а также за счет организации единой точки управления устройствами.
Нумерация портов зависима от номера юнита. У юнита 1 нумерация интерфейса будет 1/0/x. У юнита 2 нумерация интерфейсов будет 2/0/x. и т.д. для юнита 3 и 4. Чтобы не потерять доступ до устройства после смены номера юнита необходимо настроить интерфейсы с нумерацией 2/0/x, 3/0/x, 4/0/x заранее. |
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса. | wlc(config)# bridge <BR-NUM> | <BR-NUM> – номер сетевого моста. |
| 2 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адрес для всех юнитов кластера. (Для работы кластерного интерфейса поддерживается только IPv4-адресация.) | wlc(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
| 3 | Установить идентификатор VRRP-маршрутизатора. | wlc(config-bridge)# vrrp <VRID> | <VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 4 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address). | wlc(config-vrrp)#ip <ADDR/LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс. secondary – ключ для установки дополнительного IP-адреса. |
| 5 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | wlc(config-vrrp)# group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32]. |
| 6 | Включить VRRP-процесс на IP-интерфейсе. | wlc(config-vrrp)# enable | |
| 7 | Активировать сетевой мост. | wlc(config-bridge)# enable | |
8 | Перейти в режим конфигурирования кластера. | wlc(config)# cluster | |
| 9 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | wlc(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
| 10 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | wlc(config-cluster)# sync config disable | |
| 11 | Перейти в режим конфигурирования юнита в кластере. | wlc(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..4]. |
| 12 | Настроить MAC-адрес для определенного юнита. | wlc(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
| 13 | Включить работу кластера. | wlc(config-cluster)# enable | |
| 14 | Сменить юнит у устройства (смена юнита устройства вступает в силу после перезагрузки.) | wlc# set unit id <ID> | <ID> – номер юнита, принимает значения [1..4]. |
Данные между юнитами кластера через канал синхронизации передаются в открытом виде. Также все вводимые команды конфигурирования, содержащие чувствительную информацию не в encrypted-виде, будут переданы в том же виде, в котором введены, после чего будут преобразованы в encrypted-вид. |
В настоящем руководстве приведено описание настройки кластера для администратора сервисного маршрутизатора wlc (далее — маршрутизатор).
Схема реализации HA Cluster
Для более удобного и ясного восприятия рекомендуется переименовать устройства. В кластерной версии прошивки предусмотрена возможность указать имя устройства с привязкой к юниту. Устройство будет использовать только тот hostname, юнитом которого он является:
wlc# configure wlc(config)# hostname wlc-1 unit 1 wlc(config)# hostname wlc-2 unit 2 |
Более приоритетным является hostname, указанный с привязкой к unit. |
Необходимо удалить заводские настройки Bridge, чтобы далее сконфигурировать его с нуля:
wlc-1(config)# no bridge 1 |
Создайте VLAN 2449, который будет выступать как vlan управления для ТД:
wlc-1(config)# vlan 2449 |
Укажите параметр, который отвечает за постоянное состояние UP:
wlc-1(config-vlan)# force-up wlc-1(config-vlan)# exit |
Для того чтобы задать адресацию на Bridge, предварительно необходимо удалить заводские настройки интерфейса:
wlc-1(config)# no interface gigabitethernet 1/0/2 |
Создайте Bridge для управления ТД:
wlc-1(config)# bridge 5 |
Укажите VLAN:
wlc-1(config-bridge)# vlan 2449 |
Задайте зону безопасности:
wlc-1(config-bridge)# security-zone trusted |
Необходимо задать адресацию для первого и второго юнита кластера:
wlc-1(config-bridge)# ip address 192.168.1.3/24 unit 1 wlc-1(config-bridge)# ip address 192.168.1.2/24 unit 2 |
Для схемы 1+2 используйте следующие адреса:
wlc-1(config-bridge)# ip address 192.168.1.4/24 unit 1 wlc-1(config-bridge)# ip address 192.168.1.3/24 unit 2 wlc-1(config-bridge)# ip address 192.168.1.2/24 unit 3 |
Настройте VRRP:
Для избежания лишних переключений VRRP, в приведенном примере отключен перехват роли Master у текущего Master-устройства с более низким приоритетом.
Если вам требуется перехват роли, то нужно вводить задержку для перехвата, чтобы сервисы успели синхронизировать данные.
|
wlc-1(config-bridge)# vrrp 2 wlc-1(config-vrrp)# ip address 192.168.1.1/32 wlc-1(config-vrrp)# priority 130 unit 1 wlc-1(config-vrrp)# priority 120 unit 2 wlc-1(config-vrrp)# group 1 wlc-1(config-vrrp)# preempt disable wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit |
Для схемы 1+2 необходимо задать приоритет для третьего юнит
wlc-1(config-bridge)# vrrp 2 wlc-1(config-vrrp)# priority 110 unit 3 wlc-1(config-vrrp)# exit |
Отключите работу spanning-tree и включите работу Bridge:
wlc-1(config-bridge)# no spanning-tree wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit |
Перейдите к конфигурированию интерфейса Первого юнита:
wlc-1(config)# interface gigabitethernet 1/0/2 |
Для удобства укажите описание интерфейса:
wlc-1(config-if-gi)# description "Local" |
Переведите режим работы интерфейса в L2:
wlc-1(config-if-gi)# mode switchport |
Укажите режим работы интерфейса trunk:
wlc-1(config-if-gi)# switchport mode trunk |
Добавьте VLAN 3 и 2449, которые будут обрабатываться интерфейсом:
wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449 wlc-1(config-if-gi)# exit |
Сконфигурируйте интерфейс Второго юнита. Настройки идентичны с интерфейсом, сконфигурированным выше:
wlc-1(config)# interface gigabitethernet 2/0/2 wlc-1(config-if-gi)# description "Local" wlc-1(config-if-gi)# mode switchport wlc-1(config-if-gi)# switchport mode trunk wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449 wlc-1(config-if-gi)# exit |
Если используется схема (1+2) необходимо выполнить настройку третьего юнита по аналогии с юнитом 2
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
Так как кластер выполняет синхронизацию состояний между устройствами, необходимо создать зону безопасности SYNC (synchronization) и разрешить прохождение трафика протокола VRRP:
wlc-1(config)# security zone SYNC wlc-1(config-security-zone)# exit wlc-1(config)# security zone-pair SYNC self wlc-1(config-security-zone-pair)# rule 1 wlc-1(config-security-zone-pair-rule)# action permit wlc-1(config-security-zone-pair-rule)# match protocol icmp wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# rule 2 wlc-1(config-security-zone-pair-rule)# action permit wlc-1(config-security-zone-pair-rule)# match protocol vrrp wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Перейдите к настройкам кластерного интерфейса:
wlc-1(config)# bridge 1 |
В версии ПО 1.36.2 в качестве cluster-интерфейса поддержан только bridge. |
Укажите, к какому VLAN относится bridge, и зону безопасности:
wlc-1(config-bridge)# vlan 1 wlc-1(config-bridge)# security-zone SYNC |
Далее укажите IP-адреса:
wlc-1(config-bridge)# ip address 198.51.100.254/24 unit 1 wlc-1(config-bridge)# ip address 198.51.100.253/24 unit 2 |
Для работы кластерного интерфейса поддерживается только IPv4-адресация. На cluster-интерфейсе необходима настройка адресов с привязкой к unit. |
Настройте идентификатор VRRP, принадлежность VRRP-маршрутизатора к группе, IP-адрес VRRP:
wlc-1(config-bridge)# vrrp 1 wlc-1(config-vrrp)# ip address 198.51.100.1/24 wlc-1(config-vrrp)# priority 130 unit 1 wlc-1(config-vrrp)# priority 120 unit 2 wlc-1(config-vrrp)# group 1 wlc-1(config-vrrp)# preempt disable wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit |
Для настройки кластера адрес VRRP должен быть исключительно из той же подсети, что и адреса на интерфейсе. |
Включите протокол bridge:
wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit |
Настройте физические порты для выделенного линка синхронизации маршрутизаторов wlc-1 и wlc-2:
wlc-1(config)# interface gigabitethernet 1/0/3 wlc-1(config-if-gi)# description "Network: SYNC" wlc-1(config-if-gi)# mode switchport wlc-1(config-if-gi)# exit wlc-1(config)# interface gigabitethernet 2/0/3 wlc-1(config-if-gi)# description "Network: SYNC" wlc-1(config-if-gi)# mode switchport wlc-1(config-if-gi)# exit |
Для проверки работы протокола VRRP выполните следующую команду:
wlc-1# show vrrp Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 130 Disabled Master -- 1 2 192.168.1.1/32 130 Disabled Master -- 1 |
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
Для запуска кластера необходимо указать заранее настроенный кластерный интерфейс и юниты, которые будут выполнять роли Active и Standby.
Перейдите в режим настройки кластера:
wlc-1(config)# cluster |
Настройте юниты:
wlc-1(config-cluster)# unit 1 wlc-1(config-cluster-unit)# mac-address E4:5A:D4:A0:BE:35 wlc-1(config-cluster-unit)# exit wlc-1(config-cluster)# unit 2 wlc-1(config-cluster-unit)# mac-address A8:F9:4B:AF:35:84 wlc-1(config-cluster-unit)# exit |
В качестве mac-address указывается системный MAC-адрес устройства, его можно узнать с помощью команды show system | include MAC. Данный блок настройки кластера должен присутствовать на обоих юнитах. |
Укажите кластерный интерфейс, созданный ранее, и активируйте кластер:
wlc-1(config-cluster)# cluster-interface bridge 1 wlc-1(config-cluster)# enable wlc-1(config-cluster)# exit |
Перейдите к настройке NTP:
wlc-1(config)# ntp server 100.110.0.65 |
Для работы синхронизации сервисов WLC, а также кластера необходима синхронизация времени между юнитами. |
Укажите минимальное время опроса и максимальное время опроса:
wlc-1(config-ntp-server)# minpoll 1 wlc-1(config-ntp-server)# maxpoll 4 wlc-1(config-ntp-server)# exit |
Отключите ntp broadcast-client:
wlc-1(config)# no ntp broadcast-client enable |
Укажите часовой пояс:
wlc-1(config)# clock timezone gmt +7 wlc-1(config)# exit |
После настроек кластера конфигурация на wlc-1 и wlc-2 должны выглядеть идентично, следующим образом:
|
Первое устройство полностью настроено и готово к работе.
Аналогичные настройки необходимо произвести на втором устройстве. Также возможна настройка второго устройства средствами ZTP.
Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, физический интерфейс которого будет включен в кластерный интерфейс первого устройства. В качестве примера такой конфигурации подойдет factory-конфигурация. (В factory-конфигурации для vwlc нет настроенного dhcp-client). В процессе ZTP устройство автоматически выставит себе: 1) Конфигурацию; 2) Юнит; 3) Версию ПО, на котором работает Active wlc; 4) Лицензию, если она предварительно загружена на Active wlc. |
Чтобы изменить юнит на других устройвах, выполните следующие команды:
wlс# set unit id 2 Unit ID will be 2 after reboot wlc# reload system Do you really want to reload system now? (y/N): y |
wlc# set unit id 3 Unit ID will be 3 after reboot wlc-2# reload system Do you really want to reload system now? (y/N): y |
На заводской конфигурации unit принимает значение по умолчанию (unit = 1). Смена юнита устройства вступает в силу после перезагрузки. |
При изменении номера юнита контролера не происходит автоматической конвертации конфигурации. |
В заводской конфигурации присутствуют настройки интерфейсов только для юнита по умолчанию (unit = 1). |
Убедитесь, что настройка юнита применилась успешно:
wlc-2# show unit id Unit ID is 2 Unit ID will be 2 after reboot |
Объединение устройств в кластер невозможно, если они относятся к одному и тому же юниту. |
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние кластера можно узнать, выполнив команду:
wlc-1# show cluster status Unit Hostname Role MAC address State IP address ---- -------------------- ---------- ----------------- -------------- --------------- 1* wlc-1 Active e4:5a:d4:a0:be:35 Joined 198.51.100.254 2 wlc-2 Standby a8:f9:4b:af:35:84 Joined 198.51.100.253 |
После включения кластера и установления юнитов в состояние Joined, настройка устройств осуществляется настройкой Active устройства. Синхронизируются команды конфигурации, а также команды: commit, confirm, rollback, restore, save, copy <source> system:candidate-config. В случае, если конфигурирование осуществляется на Standby, то синхронизации не будет. Есть возможность отключения синхронизации командой sync config disable. Если между юнитами кластера не будет синхронизирована версия ПО, то команды commit, confirm не будут синхронизироваться на Standby устройство. |
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние синхронизации подсистем кластера можно узнать, выполнив команду:
wlc-1# show cluster sync status System part Synced ---------------------- ------ candidate-config Yes running-config Yes SW version Yes licence Yes licence (After reboot) Yes date Yes |
В версии 1.36.2 не поддержана синхронизация шифрованных паролей. |
Через минуту после включения кластера синхронизируется время, на Standby установится время Active-юнита. Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется. |
Для синхронизации файлов лицензий в кластере необходимо загрузить их все на Active-устройство командой copy в директорию system:cluster-unit-licences.
Все загруженные лицензии в данной директории передаются остальным участникам кластера.
wlc-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences |*************************| 100% (680B) Licence loaded successfully. |
На каждый wlc нужна отдельная лицензия (WLC-WIDS-WIPS, BRAS и т. д.). Для активации функций кластера отдельная лицензия не нужна. |
Установить лицензию в кластере можно одним из способов:
1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным wlc вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force либо подключить Standby по ZTP.
wlc-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences |*************************| 100% (680B) Licence loaded successfully. wlc-1# wlc-1# wlc-1# wlc-1# show cluster-unit-licences Serial number Features --------------- ------------------------------------------------------------ NP0B003634 WLC-WIDS-WIPS,BRAS NP0B009033 WLC-WIDS-WIPS,BRAS wlc-1# sync cluster system force |
Команда sync cluster system force выполняет синхронизацию подсистем, включая в себя синхронизацию конфигурации running-config, candidate-config, версии ПО, лицензии. По окончанию синхронизации Stanby устройство кластера перезагрузится для применения новой версии прошивки, а также лицензии. При использовании команды sync cluster system force, даже если все подсистемы кластеры синхронизированы (команда show cluster sync status), Stanby устройство начнет синхронизацию подсистем и по окончанию перезагрузится. |
По умолчанию хранения журналов осуществляется на внутренней памяти контролера. Для переноса журналов на HDD, необходимо предварительно инициализировать накопители, разметить, и присвоить имя созданному разделу.
Для корректной работы по синхронизации журналов на HDD необходимо задать одинаковое имя раздела на всех накопителях. |
Для просмотра информации и подключенном HDD используйте команду:
wlc-1# sh storage-devices hdd Name Filesystem Total, MB Used, MB Free, MB ------------------------------ ---------- ---------- ---------- ---------- journal ext4 469251.69 8600.00 460651.69 |
Процесс переноса журнала описан в разделе: Настройка журналирования событий WLC
После успешной настройки кластера можно приступать к конфигурации сервисов.
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнита. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
Для настройки синхронизации требуется сконфигурировать несколько обязательных сервисов, таких как:
На клиентских интерфейсах, где включен vrrp, необходимо включить:
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщений, пока маршрутизатор находится в состоянии Master. Настройку нужно включать, если клиентский трафик туннелируется. |
Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 связывают два юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 смотрят в сторону точки доступа.
Схема реализации WLC
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
vlan 2449
force-up
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip 198.51.100.1/24
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp 2
ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Перейдите в режим конфигурации:
wlc-1# config |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:
wlc-1(config)# object-group service sync |
Укажите порт, который используется для синхронизации сертификатов:
wlc-1(config-object-group-service)# port-range 873 wlc-1(config-object-group-service)# exit |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются журналы WLC:
wlc-1(config)# object-group service journal_sync |
Укажите порт, который используется для синхронизации журналов WLC:
wlc-1(config-object-group-service)# port-range 5432 wlc-1(config-object-group-service)# exit |
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
wlc-1(config)# object-group network SYNC_SRC |
Укажите IP-адреса для первого и второго юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2 wlc-1(config-object-group-network)# exit |
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
wlc-1(config)# object-group network SYNC_DST |
Укажите IP-адреса для Первого и Второго юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2 wlc-1(config-object-group-network)# exit |
Перейдите в Bridge 3.
wlc-1(config)# bridge 3 |
Удалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:
wlc-1(config-bridge)# no ip address all wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 1 wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 2 |
Укажите индентификатор VRRP:
wlc-1(config-bridge)# vrrp 3 |
Укажите виртуальный VRRP-адрес:
wlc-1(config-vrrp)# ip address 192.168.2.1/24 |
Укажите группу VRRP:
wlc-1(config-vrrp)# group 1 |
Укажите приоритет для каждого юнита:
wlc-1(config-vrrp)# priority 130 unit 1 wlc-1(config-vrrp)# priority 120 unit 2 |
Отключите перехват роли мастера:
wlc-1(config-vrrp)# preempt disable |
Включить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
wlc-1(config-vrrp)# timers garp refresh 60 |
Включите работу VRRP:
wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit |
Отключите работу spanning-tree:
wlc-1(config-bridge)# no spanning-tree |
Включите Bridge:
wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit |
Перейдите в режим конфигурирования резервирования ip failover:
wlc-1(config)# ip failover |
В качестве локального адреса укажите object-group SYNC_SRC:
wlc-1(config-failover)# local-address object-group SYNC_SRC |
В качестве удаленного адреса укажите object-group SYNC_DST:
wlc-1(config-failover)# remote-address object-group SYNC_DST |
Укажите группу VRRP:
wlc-1(config-failover)# vrrp-group 1 wlc-1(config-failover)# exit |
Перейдите в блок конфигурации синхронизации сертификатов:
wlc-1(config)# crypto-sync |
Укажите режим работы:
wlc-1(config-crypto-sync)# remote-delete |
Включите работу синхронизации сертификатов:
wlc-1(config-crypto-sync)# enable wlc-1(config-crypto-sync)# exit |
Перейдите в блок настройки SoftGRE-туннелей:
wlc-1(config)# softgre-controller |
Включите работу синхронизации:
wlc-1(config-softgre-controller)# failover wlc-1(config-softgre-controller)# exit |
Перейдите в блок конфигурации WLC:
wlc-1(config)# wlc |
Включите работу синхронизации сервиса WLC:
wlc-1(config-wlc)# failover wlc-1(config-wlc)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафика:
wlc-1(config)# security zone-pair trusted self |
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit |
Создайте правило:
wlc-1(config-security-zone-pair)# rule 12 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Перейдите в конфигурацию security-zone и откройте порты для синхронизации сертификатов, SoftGRE-туннелей и журналов WLC:
wlc-1(config)# security zone-pair SYNC self |
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 10 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group journal_sync |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:
wlc-1(config)# security zone-pair users self |
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Для настройки правил зон безопасности создайте профиль для порта Firewall-failover:
wlc-1(config)# object-group service FAILOVER |
Укажите порт, который используется для синхронизации сессий Firewall:
wlc-1(config-object-group-service)# port-range 9999 wlc-1(config-object-group-service)# exit |
Перейдите в конфигурацию security zone-pair для синхронизации сервисов кластера:
wlc-1(config)# security zone-pair SYNC self |
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 5 |
Укажите действие правила:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу UDP:
wlc-1(config-security-zone-pair-rule)# match protocol udp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER |
Включите работу нового правила:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Перейдите к настройке Firewall-failover:
wlc-1(config)# ip firewall failover |
Укажите режим резервирования сессий unicast:
wlc-1(config-firewall-failover)# sync-type unicast |
Укажите номер UDP-порта службы резервирования сессий Firewall:
wlc-1(config-firewall-failover)# port 9999 |
Включите резервирование сессий Firewall:
wlc-1(config-firewall-failover)# enable wlc-1(config-firewall-failover)# exit |
Нужно удалить пулы, заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:
Перейдите в конфигурирование пула DHCP-сервера для ТД:
wlc-1(config)# ip dhcp-server pool ap-pool |
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254 wlc-1(config-dhcp-server)# address-range 192.168.1.5-192.168.1.254 wlc-1(config-dhcp-server)# exit |
Перейдите в конфигурирование пула DHCP-сервера для клиентов:
wlc-1(config)# ip dhcp-server pool users-pool |
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254 wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254 wlc-1(config-dhcp-server)# exit |
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
wlc-1(config)# ip dhcp-server failover |
Укажите режим работы:
wlc-1(config-dhcp-server-failover)# mode active-standby |
Включите работу синхронизации:
wlc-1(config-dhcp-server-failover)# enable wlc-1(config-dhcp-server-failover)# exit |
Включите синхронизацию WEB-интерфейса:
wlc-1(config)# ip http failover |
Примените и подтвердите внесенные изменения:
wlc-1# commit wlc-1# confirm |
|
Статус синхронизации сервисов можно посмотреть командой:
wlc-1# show high-availability state
VRRP role: Master
AP Tunnels:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:12
DHCP server:
VRF: --
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:28
crypto-sync:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:29
Firewall:
Firewall sessions and NAT translations:
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-02-05 16:38:30
WLC:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:29
WEB profiles:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:36 |
Статус синхронизации VRRP можно посмотреть командой:
wlc-1# show vrrp Unit 1* 'wlc-1' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 130 Disabled Master -- 1 2 192.168.1.1/32 130 Disabled Master -- 1 3 192.168.2.1/32 130 Disabled Master -- 1 Unit 2 'wlc-2' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 120 Disabled Master -- 1 2 192.168.1.1/32 120 Disabled Master -- 1 3 192.168.2.1/32 120 Disabled Master -- 1 |
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнита. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
Настройка схемы 1+2 и 1+3 производится по аналогии со схемой 1+1 и указанием необходимых параметров для дополнительных юнитов. |
Для настройки синхронизации требуется сконфигурировать несколько обязательных сервисов, таких как:
На клиентских интерфейсах, где включен vrrp, необходимо включить:
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщений, пока маршрутизатор находится в состоянии Master. Настройку нужно включать, если клиентский трафик туннелируется. |
Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 + Gi 3/0/3 связывают три юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 + Gi 3/0/2 смотрят в сторону точки доступа.
Схема реализации WLC
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
unit 3
mac-address 68:13:e2:7e:80:46
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
hostname wlc-3 unit 3
vlan 2449
force-up
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
ip address 198.51.100.252/24 unit 3
vrrp 1
ip 198.51.100.1/24
group 1
enable
exit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.4/24 unit 1
ip address 192.168.1.3/24 unit 2
ip address 192.168.1.2/24 unit 3
vrrp 2
ip 192.168.1.1/32
group 1
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 3/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 3/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Перейдите в режим конфигурации:
wlc-1# config |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:
wlc-1(config)# object-group service sync |
Укажите порт, который используется для синхронизации сертификатов:
wlc-1(config-object-group-service)# port-range 873 wlc-1(config-object-group-service)# exit |
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются журналы WLC:
wlc-1(config)# object-group service journal_sync |
Укажите порт, который используется для синхронизации журналов WLC:
wlc-1(config-object-group-service)# port-range 5432 wlc-1(config-object-group-service)# exit |
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
wlc-1(config)# object-group network SYNC_SRC |
Укажите IP-адреса для Первого, Второго и Третьего юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2 wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 3 wlc-1(config-object-group-network)# exit |
Сконфигурируйте object-group для настройки failover-сервисов SYNC_DST:
wlc-1(config)# object-group network SYNC_DST |
Адреса для удаленных устройств необходимо указывать по следующей схеме: индекс текущего юнита указывается адресам удаленных устройств для синхронизации. Например: индекса юнита 2 необходимо указать адреса юнитов 1,3,4(при наличии), юниту 1 необходимо указать адреса юнитов 2,3 |
Укажите IP-адреса для удаленных устройств для Первого, Второго и Третьего юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2 wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 2 wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 3 wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 3 wlc-1(config-object-group-network)# exit |
Перейдите в Bridge 3.
wlc-1(config)# bridge 3 |
Удалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:
wlc-1(config-bridge)# no ip address all wlc-1(config-bridge)# ip address 192.168.2.4/24 unit 1 wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 2 wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 3 |
Укажите индентификатор VRRP:
wlc-1(config-bridge)# vrrp 3 |
Укажите виртуальный VRRP-адрес:
wlc-1(config-vrrp)# ip address 192.168.2.1/24 |
Укажите группу VRRP:
wlc-1(config-vrrp)# group 1 |
Включить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
wlc-1(config-vrrp)# timers garp refresh 60 |
Включите работу VRRP:
wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit |
Отключите работу spanning-tree:
wlc-1(config-bridge)# no spanning-tree |
Включите Bridge:
wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit |
Перейдите в режим конфигурирования резервирования ip failover:
wlc-1(config)# ip failover |
В качестве локального адреса укажите object-group SYNC_SRC:
wlc-1(config-failover)# local-address object-group SYNC_SRC |
В качестве удаленного адреса укажите object-group SYNC_DST:
wlc-1(config-failover)# remote-address object-group SYNC_DST |
Укажите группу VRRP:
wlc-1(config-failover)# vrrp-group 1 wlc-1(config-failover)# exit |
Перейдите в блок конфигурации синхронизации сертификатов:
wlc-1(config)# crypto-sync |
Укажите режим работы:
wlc-1(config-crypto-sync)# remote-delete |
Включите работу синхронизации сертификатов:
wlc-1(config-crypto-sync)# enable wlc-1(config-crypto-sync)# exit |
Перейдите в блок настройки SoftGRE-туннелей:
wlc-1(config)# softgre-controller |
Включите работу синхронизации:
wlc-1(config-softgre-controller)# failover wlc-1(config-softgre-controller)# exit |
Перейдите в блок конфигурации WLC:
wlc-1(config)# wlc |
Включите работу синхронизации сервиса WLC:
wlc-1(config-wlc)# failover wlc-1(config-wlc)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафика:
wlc-1(config)# security zone-pair trusted self |
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit |
Создайте правило:
wlc-1(config-security-zone-pair)# rule 12 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Перейдите в конфигурацию security-zone и откройте порты для синхронизации сертификатов и журналов WLC:
wlc-1(config)# security zone-pair SYNC self |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 10 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group journal_sync |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:
wlc-1(config)# security zone-pair users self |
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11 |
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp |
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Для настройки правил зон безопасности создайте профиль для порта Firewall-failover:
wlc-1(config)# object-group service FAILOVER |
Укажите порт, который используется для синхронизации сессий Firewall:
wlc-1(config-object-group-service)# port-range 9999 wlc-1(config-object-group-service)# exit |
Перейдите в конфигурацию security zone-pair для синхронизации сервисов кластера:
wlc-1(config)# security zone-pair SYNC self |
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 5 |
Укажите действие правила:
wlc-1(config-security-zone-pair-rule)# action permit |
Укажите совпадение по протоколу UDP:
wlc-1(config-security-zone-pair-rule)# match protocol udp |
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER |
Включите работу нового правила:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit |
Настройка Firewall-failover:
Укажите multicast-группу, multicast IP-адрес, на который будут отправляться сообщения для синхронизации:
WLC-1(config)# ip failover WLC-1(config-failover)# multicast-address 224.0.0.1 WLC-1(config-failover)# multicast-group 2000 WLC-1(config-failover)# exit |
Перейдите к настройке Firewall-failover:
wlc-1(config)# ip firewall failover |
Укажите режим резервирования сессий multicast:
wlc-1(config-firewall-failover)# sync-type multicast |
Укажите номер UDP-порта службы резервирования сессий Firewall:
wlc-1(config-firewall-failover)# port 9999 |
Включите резервирование сессий Firewall:
wlc-1(config-firewall-failover)# enable wlc-1(config-firewall-failover)# exit |
Нужно удалить пулы, заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:
Перейдите в конфигурирование пула DHCP-сервера для ТД:
wlc-1(config)# ip dhcp-server pool ap-pool |
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254 wlc-1(config-dhcp-server)# address-range 192.168.1.5-192.168.1.254 wlc-1(config-dhcp-server)# exit |
Перейдите в конфигурирование пула DHCP-сервера для клиентов:
wlc-1(config)# ip dhcp-server pool users-pool |
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254 wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254 wlc-1(config-dhcp-server)# exit |
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
wlc-1(config)# ip dhcp-server failover |
Укажите режим работы:
wlc-1(config-dhcp-server-failover)# mode active-standby |
Включите работу синхронизации:
wlc-1(config-dhcp-server-failover)# enable wlc-1(config-dhcp-server-failover)# exit |
Включите синхронизацию WEB-интерфейса:
wlc-1(config)# ip http failover |
Примените и подтвердите внесенные изменения:
wlc-1# commit wlc-1# confirm |
|
Статус синхронизации сервисов можно посмотреть командой:
wlc-1# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized
Last synchronization: 2026-02-02 16:14:23
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
crypto-sync:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:14:27
WLC:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
WLC database:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:28
WEB profiles:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:24 |
wlc-30-1# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized
Last synchronization: 2026-02-02 16:14:23
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
crypto-sync:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:14:27
WLC:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
WLC database:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:28
WEB profiles:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:24 |
C случае со текущей схемой, когда одна из нод будет недоступна, синхронизация будет продолжиться между оставшимися нодами со следующим сообщением:
wlc-3# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
DHCP server:
VRF: --
Mode: Active-Standby
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
crypto-sync:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:28:51
WLC:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
WLC database:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:51 |
Статус синхронизации VRRP можно посмотреть командой:
wlc-1# show vrrp Unit 1* 'wlc-1' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 130 Disabled Master -- 1 2 192.168.1.1/32 130 Disabled Master -- 1 3 192.168.2.1/32 130 Disabled Master -- 1 Unit 2 'wlc-2' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 120 Disabled Backup -- 1 2 192.168.1.1/32 120 Disabled Backup -- 1 3 192.168.2.1/32 120 Disabled Backup -- 1 Unit 3 'wlc-3' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 110 Disabled Backup -- 1 2 192.168.1.1/32 110 Disabled Backup -- 1 3 192.168.2.1/32 110 Disabled Backup -- 1 |
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе Настройка общесистемных параметров.
Настроить system prompt в кластере маршрутизаторов wlc-1 и wlc-2 со следующими параметрами:
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
group 1
authentication key ascii-text encrypted 88B11079B51D
authentication algorithm md5
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit |
Перейдем в режим конфигурирования устройства:
wlc-1# configure wlc-1(config)# |
Добавим в system prompt информацию о статусе полной синхронизации кластера:
wlc-1(config)# system prompt '(Cluster: %s%)' |
Добавим в system prompt информацию о номере юнита администрируемого устройства:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u%)' |
Добавим в system prompt информацию о роли устройства в кластере:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r%)' |
Добавим в system prompt информацию о статусе кластерного VRRP:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)' |
Добавим в system prompt информацию о hostname устройства:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)|%h%' |
Применим конфигурацию и обновим пользовательскую сессию CLI:
wlc-1# commit Configuration has been successfully applied and saved to flash. Commit timer started, changes will be. wlc-1# confirm Configuration has been confirmed. Commit timer canceled. wlc-1# exit wlc-1 login: admin Password: ******************************************** * Welcome to wlc * ******************************************** (Cluster: Yes | Unit: 1 | State: Active | VRRP id 1: Master)|wlc-1# |
Обновим пользовательскую сессию CLI на втором устройстве:
wlc-2# 2024-12-27T15:25:04+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: unit 1 'wlc-1' starts a synchronous operation 'commit' 2024-12-27T15:25:09+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: 'commit' successful performed wlc-2# exit wlc-2 login: admin Password: ******************************************** * Welcome to wlc * ******************************************** (Cluster: Yes | Unit: 2 | State: Standby | VRRP id 1: Backup)|wlc-2# |
Чтобы system prompt корректно работал, необходимо обновить пользовательскую сессию. |
Настройка других других сервисов описана в документации ESR: