Настройка Cluster
Cluster используется для резервирования работы устройств в сети. Резервирование обеспечивается за счет синхронизации работы различных сервисов между устройствами, а также за счет организации единой точки управления устройствами.
Нумерация портов зависима от номера юнита.
У юнита 1 нумерация интерфейса будет 1/0/x. У юнита 2 нумерация интерфейсов будет 2/0/x. и т.д. для юнита 3 и 4.
Чтобы не потерять доступ до устройства после смены номера юнита необходимо настроить интерфейсы с нумерацией 2/0/x, 3/0/x, 4/0/x заранее.
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Перейти в режим конфигурирования сетевого моста, который будет использован в качестве кластерного интерфейса. | wlc(config)# bridge <BR-NUM> | <BR-NUM> – номер сетевого моста. |
| 2 | Указать IPv4-адрес и маску подсети для кластерного интерфейса. Необходимо установить адрес для всех юнитов кластера. (Для работы кластерного интерфейса поддерживается только IPv4-адресация.) | wlc(config-bridge)# ip address <ADDR/LEN> [unit <ID>] | <ADDR/LEN> – IP-адрес и длина маски подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. <ID> – номер юнита, принимает значения [1..2]. Дополнительные функции IPv4-адресации см. в разделе Настройка IP-адресации. |
| 3 | Установить идентификатор VRRP-маршрутизатора. | wlc(config-bridge)# vrrp <VRID> | <VRID> – идентификатора VRRP-маршрутизатора, принимает значения [1..255]. |
| 4 | Установить виртуальный IP-адрес VRRP-маршрутизатора (адрес должен быть из той же подсети, что и ip address). | wlc(config-vrrp)#ip <ADDR/LEN> [ secondary ] | <ADDR/LEN> – виртуальный IP-адрес и длина маски, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Можно указать несколько IP-адресов перечислением через запятую. Может быть назначено до 8 IP-адресов на интерфейс. secondary – ключ для установки дополнительного IP-адреса. |
| 5 | Установить принадлежность VRRP-маршрутизатора к группе. Группа предоставляет возможность синхронизировать несколько VRRP-процессов, так если в одном из процессов произойдет смена мастера, то в другом процессе также произойдёт смена ролей. | wlc(config-vrrp)# group <GRID> | <GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32]. |
| 6 | Включить VRRP-процесс на IP-интерфейсе. | wlc(config-vrrp)# enable | |
| 7 | Активировать сетевой мост. | wlc(config-bridge)# enable | |
8 | Перейти в режим конфигурирования кластера. | wlc(config)# cluster | |
| 9 | Установить интерфейс, через который будет происходить обмен служебными сообщениями между юнитами в кластере. | wlc(config-cluster)# cluster-interface bridge [<BRIDGE-ID>] | <BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. |
| 10 | Отключить синхронизацию конфигураций в кластере между юнитами (не обязательно). | wlc(config-cluster)# sync config disable | |
| 11 | Перейти в режим конфигурирования юнита в кластере. | wlc(config-cluster)# unit <ID> | <ID> – номер юнита, принимает значения [1..4]. |
| 12 | Настроить MAC-адрес для определенного юнита. | wlc(config-cluster-unit)# mac-address <ADDR> | <ADDR> – МАС-адрес сетевого моста, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. |
| 13 | Включить работу кластера. | wlc(config-cluster)# enable | |
| 14 | Сменить юнит у устройства (смена юнита устройства вступает в силу после перезагрузки.) | wlc# set unit id <ID> | <ID> – номер юнита, принимает значения [1..4]. |
Данные между юнитами кластера через канал синхронизации передаются в открытом виде. Также все вводимые команды конфигурирования, содержащие чувствительную информацию не в encrypted-виде, будут переданы в том же виде, в котором введены, после чего будут преобразованы в encrypted-вид.
Пример настройки кластера
В настоящем руководстве приведено описание настройки кластера для администратора сервисного маршрутизатора wlc (далее — маршрутизатор).
Схема реализации HA Cluster
Первичная настройка кластера
Для более удобного и ясного восприятия рекомендуется переименовать устройства. В кластерной версии прошивки предусмотрена возможность указать имя устройства с привязкой к юниту. Устройство будет использовать только тот hostname, юнитом которого он является:
wlc# configure wlc(config)# hostname wlc-1 unit 1 wlc(config)# hostname wlc-2 unit 2
Более приоритетным является hostname, указанный с привязкой к unit.
Необходимо удалить заводские настройки Bridge, чтобы далее сконфигурировать его с нуля:
wlc-1(config)# no bridge 1
Создайте VLAN 2449, который будет выступать как vlan управления для ТД:
wlc-1(config)# vlan 2449
Укажите параметр, который отвечает за постоянное состояние UP:
wlc-1(config-vlan)# force-up wlc-1(config-vlan)# exit
Для того чтобы задать адресацию на Bridge, предварительно необходимо удалить заводские настройки интерфейса:
wlc-1(config)# no interface gigabitethernet 1/0/2
Создайте Bridge для управления ТД:
wlc-1(config)# bridge 5
Укажите VLAN:
wlc-1(config-bridge)# vlan 2449
Задайте зону безопасности:
wlc-1(config-bridge)# security-zone trusted
Необходимо задать адресацию для первого и второго юнита кластера:
wlc-1(config-bridge)# ip address 192.168.1.3/24 unit 1 wlc-1(config-bridge)# ip address 192.168.1.2/24 unit 2
Для схемы 1+2 используйте следующие адреса:
wlc-1(config-bridge)# ip address 192.168.1.4/24 unit 1 wlc-1(config-bridge)# ip address 192.168.1.3/24 unit 2 wlc-1(config-bridge)# ip address 192.168.1.2/24 unit 3
Настройте VRRP:
Для избежания лишних переключений VRRP, в приведенном примере отключен перехват роли Master у текущего Master-устройства с более низким приоритетом.
preempt disable
Если вам требуется перехват роли, то нужно вводить задержку для перехвата, чтобы сервисы успели синхронизировать данные.
vrrp preempt delay 120
wlc-1(config-bridge)# vrrp 2 wlc-1(config-vrrp)# ip address 192.168.1.1/32 wlc-1(config-vrrp)# priority 130 unit 1 wlc-1(config-vrrp)# priority 120 unit 2 wlc-1(config-vrrp)# group 1 wlc-1(config-vrrp)# preempt disable wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit
Для схемы 1+2 необходимо задать приоритет для третьего юнит
wlc-1(config-bridge)# vrrp 2 wlc-1(config-vrrp)# priority 110 unit 3 wlc-1(config-vrrp)# exit
Отключите работу spanning-tree и включите работу Bridge:
wlc-1(config-bridge)# no spanning-tree wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit
Перейдите к конфигурированию интерфейса Первого юнита:
wlc-1(config)# interface gigabitethernet 1/0/2
Для удобства укажите описание интерфейса:
wlc-1(config-if-gi)# description "Local"
Переведите режим работы интерфейса в L2:
wlc-1(config-if-gi)# mode switchport
Укажите режим работы интерфейса trunk:
wlc-1(config-if-gi)# switchport mode trunk
Добавьте VLAN 3 и 2449, которые будут обрабатываться интерфейсом:
wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449 wlc-1(config-if-gi)# exit
Сконфигурируйте интерфейс Второго юнита. Настройки идентичны с интерфейсом, сконфигурированным выше:
wlc-1(config)# interface gigabitethernet 2/0/2 wlc-1(config-if-gi)# description "Local" wlc-1(config-if-gi)# mode switchport wlc-1(config-if-gi)# switchport mode trunk wlc-1(config-if-gi)# switchport trunk allowed vlan add 3,2449 wlc-1(config-if-gi)# exit
Если используется схема (1+2) необходимо выполнить настройку третьего юнита по аналогии с юнитом 2
Настройка кластерного интерфейса
Для полноценной работы кластера требуется сконфигурировать кластерный интерфейс, который будет использоваться для передачи control plane трафика. В качестве кластерного интерфейса назначен bridge. В качестве механизма, отвечающего за определение ролей устройств, участвующих в резервировании, назначен протокол VRRP. Настройки cluster-интерфейса должны быть идентичны для всех участников кластера.
Так как кластер выполняет синхронизацию состояний между устройствами, необходимо создать зону безопасности SYNC (synchronization) и разрешить прохождение трафика протокола VRRP:
wlc-1(config)# security zone SYNC wlc-1(config-security-zone)# exit wlc-1(config)# security zone-pair SYNC self wlc-1(config-security-zone-pair)# rule 1 wlc-1(config-security-zone-pair-rule)# action permit wlc-1(config-security-zone-pair-rule)# match protocol icmp wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# rule 2 wlc-1(config-security-zone-pair-rule)# action permit wlc-1(config-security-zone-pair-rule)# match protocol vrrp wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Перейдите к настройкам кластерного интерфейса:
wlc-1(config)# bridge 1
В версии ПО 1.36.2 в качестве cluster-интерфейса поддержан только bridge.
Укажите, к какому VLAN относится bridge, и зону безопасности:
wlc-1(config-bridge)# vlan 1 wlc-1(config-bridge)# security-zone SYNC
Далее укажите IP-адреса:
wlc-1(config-bridge)# ip address 198.51.100.254/24 unit 1 wlc-1(config-bridge)# ip address 198.51.100.253/24 unit 2
Для работы кластерного интерфейса поддерживается только IPv4-адресация.
На cluster-интерфейсе необходима настройка адресов с привязкой к unit.
Настройте идентификатор VRRP, принадлежность VRRP-маршрутизатора к группе, IP-адрес VRRP:
wlc-1(config-bridge)# vrrp 1 wlc-1(config-vrrp)# ip address 198.51.100.1/24 wlc-1(config-vrrp)# priority 130 unit 1 wlc-1(config-vrrp)# priority 120 unit 2 wlc-1(config-vrrp)# group 1 wlc-1(config-vrrp)# preempt disable wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit
Для настройки кластера адрес VRRP должен быть исключительно из той же подсети, что и адреса на интерфейсе.
Включите протокол bridge:
wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit
Настройте физические порты для выделенного линка синхронизации маршрутизаторов wlc-1 и wlc-2:
wlc-1(config)# interface gigabitethernet 1/0/3 wlc-1(config-if-gi)# description "Network: SYNC" wlc-1(config-if-gi)# mode switchport wlc-1(config-if-gi)# exit wlc-1(config)# interface gigabitethernet 2/0/3 wlc-1(config-if-gi)# description "Network: SYNC" wlc-1(config-if-gi)# mode switchport wlc-1(config-if-gi)# exit
Для проверки работы протокола VRRP выполните следующую команду:
wlc-1# show vrrp Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 130 Disabled Master -- 1 2 192.168.1.1/32 130 Disabled Master -- 1
Можно увидеть, что устройство приняло состояние Backup. Через 10 секунд устройство примет состояние Master.
Настройка кластера
Для запуска кластера необходимо указать заранее настроенный кластерный интерфейс и юниты, которые будут выполнять роли Active и Standby.
Перейдите в режим настройки кластера:
wlc-1(config)# cluster
Настройте юниты:
wlc-1(config-cluster)# unit 1 wlc-1(config-cluster-unit)# mac-address E4:5A:D4:A0:BE:35 wlc-1(config-cluster-unit)# exit wlc-1(config-cluster)# unit 2 wlc-1(config-cluster-unit)# mac-address A8:F9:4B:AF:35:84 wlc-1(config-cluster-unit)# exit
В качестве mac-address указывается системный MAC-адрес устройства, его можно узнать с помощью команды show system | include MAC.
Данный блок настройки кластера должен присутствовать на обоих юнитах.
Укажите кластерный интерфейс, созданный ранее, и активируйте кластер:
wlc-1(config-cluster)# cluster-interface bridge 1 wlc-1(config-cluster)# enable wlc-1(config-cluster)# exit
Перейдите к настройке NTP:
wlc-1(config)# ntp server 100.110.0.65
Для работы синхронизации сервисов WLC, а также кластера необходима синхронизация времени между юнитами.
В примере указан демонстрационный IP-адрес NTP-сервера.
Укажите минимальное время опроса и максимальное время опроса:
wlc-1(config-ntp-server)# minpoll 1 wlc-1(config-ntp-server)# maxpoll 4 wlc-1(config-ntp-server)# exit
Отключите ntp broadcast-client:
wlc-1(config)# no ntp broadcast-client enable
Укажите часовой пояс:
wlc-1(config)# clock timezone gmt +7 wlc-1(config)# exit
После настроек кластера конфигурация на wlc-1 и wlc-2 должны выглядеть идентично, следующим образом:
Первое устройство полностью настроено и готово к работе.
Аналогичные настройки необходимо произвести на втором устройстве. Также возможна настройка второго устройства средствами ZTP.
Для активации процесса ZTP необходимо на втором устройстве запустить dhcp-client на bridge-интерфейсе, физический интерфейс которого будет включен в кластерный интерфейс первого устройства.
В качестве примера такой конфигурации подойдет factory-конфигурация. (В factory-конфигурации для vwlc нет настроенного dhcp-client).
В процессе ZTP устройство автоматически выставит себе:
1) Конфигурацию;
2) Юнит;
3) Версию ПО, на котором работает Active wlc;
4) Лицензию, если она предварительно загружена на Active wlc.
Чтобы изменить юнит на других устройвах, выполните следующие команды:
wlс# set unit id 2 Unit ID will be 2 after reboot wlc# reload system Do you really want to reload system now? (y/N): y
wlc# set unit id 3 Unit ID will be 3 after reboot wlc-2# reload system Do you really want to reload system now? (y/N): y
На заводской конфигурации unit принимает значение по умолчанию (unit = 1).
Смена юнита устройства вступает в силу после перезагрузки.
При изменении номера юнита контролера не происходит автоматической конвертации конфигурации.
В случае если до контролера настроен удаленный доступ и у него меняется номер юнита, необходимо до перезагрузки настроить ip-интерфейсы для нового юнита аналогично текущим.
В заводской конфигурации присутствуют настройки интерфейсов только для юнита по умолчанию (unit = 1).
При копировании и применении заводской конфигурации настройка номера юнита не изменяется на значение по умолчанию.
Установить номер юнита по умолчанию возможно следующими способами:
1. Используя консольное подключение;
2. Зажав функциональную кнопку "F" на 15 секунд.
Убедитесь, что настройка юнита применилась успешно:
wlc-2# show unit id Unit ID is 2 Unit ID will be 2 after reboot
Объединение устройств в кластер невозможно, если они относятся к одному и тому же юниту.
Исключение — процесс ZTP, так как в процессе ZTP нужный unit у устройства выставится автоматически.
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние кластера можно узнать, выполнив команду:
wlc-1# show cluster status Unit Hostname Role MAC address State IP address ---- -------------------- ---------- ----------------- -------------- --------------- 1* wlc-1 Active e4:5a:d4:a0:be:35 Joined 198.51.100.254 2 wlc-2 Standby a8:f9:4b:af:35:84 Joined 198.51.100.253
После включения кластера и установления юнитов в состояние Joined, настройка устройств осуществляется настройкой Active устройства.
Синхронизируются команды конфигурации, а также команды: commit, confirm, rollback, restore, save, copy <source> system:candidate-config.
В случае, если конфигурирование осуществляется на Standby, то синхронизации не будет.
Есть возможность отключения синхронизации командой sync config disable.
Если между юнитами кластера не будет синхронизирована версия ПО, то команды commit, confirm не будут синхронизироваться на Standby устройство.
После выполнения этих шагов кластер будет успешно запущен. Текущее состояние синхронизации подсистем кластера можно узнать, выполнив команду:
wlc-1# show cluster sync status System part Synced ---------------------- ------ candidate-config Yes running-config Yes SW version Yes licence Yes licence (After reboot) Yes date Yes
В версии 1.36.2 не поддержана синхронизация шифрованных паролей.
Через минуту после включения кластера синхронизируется время, на Standby установится время Active-юнита.
Синхронизация времени проверяется раз в минуту, в случае расхождения время синхронизируется.
Синхронизация файлов лицензий
Для синхронизации файлов лицензий в кластере необходимо загрузить их все на Active-устройство командой copy в директорию system:cluster-unit-licences.
Все загруженные лицензии в данной директории передаются остальным участникам кластера.
wlc-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences |*************************| 100% (680B) Licence loaded successfully.
На каждый wlc нужна отдельная лицензия (WLC-WIDS-WIPS, BRAS и т. д.).
Для активации функций кластера отдельная лицензия не нужна.
Установка файлов лицензий
Установить лицензию в кластере можно одним из способов:
1. Загрузить индивидуально лицензию на каждое устройство, как в случае с обычным wlc вне кластера.
2. Загрузить лицензию для Active-юнита в system:licence (данная лицензия также автоматически загрузится и в system:cluster-unit-licences), лицензии для Standby загрузить в system:cluster-unit-licences на Active-юните, после чего либо выполнить команду sync cluster system force либо подключить Standby по ZTP.
wlc-1# copy tftp://<IP_address>:/licence system:cluster-unit-licences |*************************| 100% (680B) Licence loaded successfully. wlc-1# wlc-1# wlc-1# wlc-1# show cluster-unit-licences Serial number Features --------------- ------------------------------------------------------------ NP0B003634 WLC-WIDS-WIPS,BRAS NP0B009033 WLC-WIDS-WIPS,BRAS wlc-1# sync cluster system force
Команда sync cluster system force выполняет синхронизацию подсистем, включая в себя синхронизацию конфигурации running-config, candidate-config, версии ПО, лицензии. По окончанию синхронизации Stanby устройство кластера перезагрузится для применения новой версии прошивки, а также лицензии.
При использовании команды sync cluster system force, даже если все подсистемы кластеры синхронизированы (команда show cluster sync status), Stanby устройство начнет синхронизацию подсистем и по окончанию перезагрузится.
Журналы WLC
По умолчанию хранения журналов осуществляется на внутренней памяти контролера. Для переноса журналов на HDD, необходимо предварительно инициализировать накопители, разметить, и присвоить имя созданному разделу.
Для корректной работы по синхронизации журналов на HDD необходимо задать одинаковое имя раздела на всех накопителях.
Для просмотра информации и подключенном HDD используйте команду:
wlc-1# sh storage-devices hdd Name Filesystem Total, MB Used, MB Free, MB ------------------------------ ---------- ---------- ---------- ---------- journal ext4 469251.69 8600.00 460651.69
Процесс переноса журнала описан в разделе: Настройка журналирования событий WLC
Подключение сервисов
После успешной настройки кластера можно приступать к конфигурации сервисов.
Настройка WLC (Схема 1+1)
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнита. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
Для настройки синхронизации требуется сконфигурировать несколько обязательных сервисов, таких как:
- WLC;
- SoftGRE-Controller;
- DHCP-server;
- Crypto-sync;
- WEB.
На клиентских интерфейсах, где включен vrrp, необходимо включить:
vrrp timers garp refresh 60
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщений, пока маршрутизатор находится в состоянии Master.
Настройку нужно включать, если клиентский трафик туннелируется.
Пример настройки
Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 связывают два юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 смотрят в сторону точки доступа.
Задача:
- Создать object-group для настройки firewall
- Настроить VRRP на интерфейсах
- Настроить Crypto-Sync для синхронизации сертификатов
- Настроить WLC для синхронизации состояния точек доступа
- Настроить Softgre-Controller для синхронизации туннелей
- Настроить Firewall, разрешить обмен VRRP анонсами и отрыть порты для синхронизации туннелей, сертификатов и состояния WLC
- Настроить DHCP-сервер в режиме Active-Standby
- Настроить DHCP failover
- Настроить WEB profiles
Схема реализации WLC
Исходная конфигурация кластера:
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
enable
exit
hostname wlc-1
hostname wlc-1 unit 1
hostname wlc-2 unit 2
vlan 2449
force-up
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip 198.51.100.1/24
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.3/24 unit 1
ip address 192.168.1.2/24 unit 2
vrrp 2
ip 192.168.1.1/32
priority 130 unit 1
priority 120 unit 2
group 1
preempt disable
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
Решение:
Перейдите в режим конфигурации:
wlc-1# config
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:
wlc-1(config)# object-group service sync
Укажите порт, который используется для синхронизации сертификатов:
wlc-1(config-object-group-service)# port-range 873 wlc-1(config-object-group-service)# exit
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются журналы WLC:
wlc-1(config)# object-group service journal_sync
Укажите порт, который используется для синхронизации журналов WLC:
wlc-1(config-object-group-service)# port-range 5432 wlc-1(config-object-group-service)# exit
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
wlc-1(config)# object-group network SYNC_SRC
Укажите IP-адреса для первого и второго юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2 wlc-1(config-object-group-network)# exit
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
wlc-1(config)# object-group network SYNC_DST
Укажите IP-адреса для Первого и Второго юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2 wlc-1(config-object-group-network)# exit
Перейдите в Bridge 3.
wlc-1(config)# bridge 3
Удалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:
wlc-1(config-bridge)# no ip address all wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 1 wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 2
Укажите индентификатор VRRP:
wlc-1(config-bridge)# vrrp 3
Укажите виртуальный VRRP-адрес:
wlc-1(config-vrrp)# ip address 192.168.2.1/24
Укажите группу VRRP:
wlc-1(config-vrrp)# group 1
Укажите приоритет для каждого юнита:
wlc-1(config-vrrp)# priority 130 unit 1 wlc-1(config-vrrp)# priority 120 unit 2
Отключите перехват роли мастера:
wlc-1(config-vrrp)# preempt disable
Включить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
wlc-1(config-vrrp)# timers garp refresh 60
Включите работу VRRP:
wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit
Отключите работу spanning-tree:
wlc-1(config-bridge)# no spanning-tree
Включите Bridge:
wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit
Перейдите в режим конфигурирования резервирования ip failover:
wlc-1(config)# ip failover
В качестве локального адреса укажите object-group SYNC_SRC:
wlc-1(config-failover)# local-address object-group SYNC_SRC
В качестве удаленного адреса укажите object-group SYNC_DST:
wlc-1(config-failover)# remote-address object-group SYNC_DST
Укажите группу VRRP:
wlc-1(config-failover)# vrrp-group 1 wlc-1(config-failover)# exit
Перейдите в блок конфигурации синхронизации сертификатов:
wlc-1(config)# crypto-sync
Укажите режим работы:
wlc-1(config-crypto-sync)# remote-delete
Включите работу синхронизации сертификатов:
wlc-1(config-crypto-sync)# enable wlc-1(config-crypto-sync)# exit
Перейдите в блок настройки SoftGRE-туннелей:
wlc-1(config)# softgre-controller
Включите работу синхронизации:
wlc-1(config-softgre-controller)# failover wlc-1(config-softgre-controller)# exit
Перейдите в блок конфигурации WLC:
wlc-1(config)# wlc
Включите работу синхронизации сервиса WLC:
wlc-1(config-wlc)# failover wlc-1(config-wlc)# exit
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафика:
wlc-1(config)# security zone-pair trusted self
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit
Создайте правило:
wlc-1(config-security-zone-pair)# rule 12
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Перейдите в конфигурацию security-zone и откройте порты для синхронизации сертификатов, SoftGRE-туннелей и журналов WLC:
wlc-1(config)# security zone-pair SYNC self
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 10
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group journal_sync
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:
wlc-1(config)# security zone-pair users self
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Для настройки правил зон безопасности создайте профиль для порта Firewall-failover:
wlc-1(config)# object-group service FAILOVER
Укажите порт, который используется для синхронизации сессий Firewall:
wlc-1(config-object-group-service)# port-range 9999 wlc-1(config-object-group-service)# exit
Перейдите в конфигурацию security zone-pair для синхронизации сервисов кластера:
wlc-1(config)# security zone-pair SYNC self
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 5
Укажите действие правила:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу UDP:
wlc-1(config-security-zone-pair-rule)# match protocol udp
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
Включите работу нового правила:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Перейдите к настройке Firewall-failover:
wlc-1(config)# ip firewall failover
Укажите режим резервирования сессий unicast:
wlc-1(config-firewall-failover)# sync-type unicast
Укажите номер UDP-порта службы резервирования сессий Firewall:
wlc-1(config-firewall-failover)# port 9999
Включите резервирование сессий Firewall:
wlc-1(config-firewall-failover)# enable wlc-1(config-firewall-failover)# exit
Нужно удалить пулы, заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:
Перейдите в конфигурирование пула DHCP-сервера для ТД:
wlc-1(config)# ip dhcp-server pool ap-pool
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254 wlc-1(config-dhcp-server)# address-range 192.168.1.5-192.168.1.254 wlc-1(config-dhcp-server)# exit
Перейдите в конфигурирование пула DHCP-сервера для клиентов:
wlc-1(config)# ip dhcp-server pool users-pool
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254 wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254 wlc-1(config-dhcp-server)# exit
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
wlc-1(config)# ip dhcp-server failover
Укажите режим работы:
wlc-1(config-dhcp-server-failover)# mode active-standby
Включите работу синхронизации:
wlc-1(config-dhcp-server-failover)# enable wlc-1(config-dhcp-server-failover)# exit
Включите синхронизацию WEB-интерфейса:
wlc-1(config)# ip http failover
Примените и подтвердите внесенные изменения:
wlc-1# commit wlc-1# confirm
Полная конфигурация WLC-1
Статус синхронизации сервисов можно посмотреть командой:
wlc-1# show high-availability state
VRRP role: Master
AP Tunnels:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:12
DHCP server:
VRF: --
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:28
crypto-sync:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:29
Firewall:
Firewall sessions and NAT translations:
Tracking VRRP Group 1
Tracking VRRP Group state: Master
State: Successful synchronization
Fault Reason: --
Last synchronization: 2025-02-05 16:38:30
WLC:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:29
WEB profiles:
State: Successful synchronization
Last synchronization: 2025-02-05 16:38:36
Статус синхронизации VRRP можно посмотреть командой:
wlc-1# show vrrp Unit 1* 'wlc-1' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 130 Disabled Master -- 1 2 192.168.1.1/32 130 Disabled Master -- 1 3 192.168.2.1/32 130 Disabled Master -- 1 Unit 2 'wlc-2' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 120 Disabled Master -- 1 2 192.168.1.1/32 120 Disabled Master -- 1 3 192.168.2.1/32 120 Disabled Master -- 1
Настройка WLC (схема 1+2)
Настройка резервирования функционала WLC включает в себя резервирования ТД, SoftGRE-туннелей и сертификатов между юнитами. Данная настройка реализует отказоустойчивую работу сети для клиентов, подключенных к ТД во время выхода из строя одного из юнита. В момент переключения мастерства VRRP ТД переподключаются ко второй ноде, для клиента это происходит бесшовно.
Настройка схемы 1+2 и 1+3 производится по аналогии со схемой 1+1 и указанием необходимых параметров для дополнительных юнитов.
Для настройки синхронизации требуется сконфигурировать несколько обязательных сервисов, таких как:
- WLC;
- SoftGRE-Controller;
- DHCP-server;
- Crypto-sync;
- WEB.
На клиентских интерфейсах, где включен vrrp, необходимо включить:
vrrp timers garp refresh 60
Данная команда определяет интервал, по истечении которого будет происходить периодическая отправка Gratuituous ARP-сообщений, пока маршрутизатор находится в состоянии Master.
Настройку нужно включать, если клиентский трафик туннелируется.
Пример настройки
Настройка будет выполнена на базе заводской конфигурации с преднастроенным функционалом кластера. Интерфейсы Gi 1/0/3 + Gi 2/0/3 + Gi 3/0/3 связывают три юнита между собой для реализации функционала кластера, интерфейсы Gi 1/0/2 + Gi 2/0/2 + Gi 3/0/2 смотрят в сторону точки доступа.
Задача:
- Создать object-group для настройки firewall
- Настроить VRRP на интерфейсах
- Настроить Crypto-Sync для синхронизации сертификатов
- Настроить WLC для синхронизации состояния точек доступа
- Настроить Softgre-Controller для синхронизации туннелей
- Настроить Firewall, разрешить обмен VRRP анонсами и отрыть порты для синхронизации туннелей, сертификатов и состояния WLC
- Настроить DHCP-сервер в режиме Active-Standby
- Настроить DHCP failover
- Настроить WEB profiles
Схема реализации WLC
Исходная конфигурация кластера:
cluster
cluster-interface bridge 1
unit 1
mac-address e4:5a:d4:a0:be:35
exit
unit 2
mac-address a8:f9:4b:af:35:84
exit
unit 3
mac-address 68:13:e2:7e:80:46
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
hostname wlc-3 unit 3
vlan 2449
force-up
exit
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
ip address 198.51.100.252/24 unit 3
vrrp 1
ip 198.51.100.1/24
group 1
enable
exit
enable
exit
bridge 5
vlan 2449
security-zone trusted
ip address 192.168.1.4/24 unit 1
ip address 192.168.1.3/24 unit 2
ip address 192.168.1.2/24 unit 3
vrrp 2
ip 192.168.1.1/32
group 1
enable
exit
no spanning-tree
enable
exit
interface gigabitethernet 1/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 1/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 2/0/3
mode switchport
spanning-tree disable
exit
interface gigabitethernet 3/0/2
description "Local"
mode switchport
switchport mode trunk
switchport trunk allowed vlan add 3,2449
exit
interface gigabitethernet 3/0/3
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
Решение:
Перейдите в режим конфигурации:
wlc-1# config
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются сертификаты:
wlc-1(config)# object-group service sync
Укажите порт, который используется для синхронизации сертификатов:
wlc-1(config-object-group-service)# port-range 873 wlc-1(config-object-group-service)# exit
Создайте object-group для открытия портов в настройках Firewall, через которые синхронизируются журналы WLC:
wlc-1(config)# object-group service journal_sync
Укажите порт, который используется для синхронизации журналов WLC:
wlc-1(config-object-group-service)# port-range 5432 wlc-1(config-object-group-service)# exit
Сконфигурируйте object-group для настройки failover-сервисов SYNC_SRC:
wlc-1(config)# object-group network SYNC_SRC
Укажите IP-адреса для Первого, Второго и Третьего юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 2 wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 3 wlc-1(config-object-group-network)# exit
Сконфигурируйте object-group для настройки failover-сервисов SYNC_DST:
wlc-1(config)# object-group network SYNC_DST
Адреса для удаленных устройств необходимо указывать по следующей схеме: индекс текущего юнита указывается адресам удаленных устройств для синхронизации. Например: индекса юнита 2 необходимо указать адреса юнитов 1,3,4(при наличии), юниту 1 необходимо указать адреса юнитов 2,3
Укажите IP-адреса для удаленных устройств для Первого, Второго и Третьего юнитов кластера:
wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 1 wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 2 wlc-1(config-object-group-network)# ip address-range 198.51.100.252 unit 2 wlc-1(config-object-group-network)# ip address-range 198.51.100.253 unit 3 wlc-1(config-object-group-network)# ip address-range 198.51.100.254 unit 3 wlc-1(config-object-group-network)# exit
Перейдите в Bridge 3.
wlc-1(config)# bridge 3
Удалите IP-адрес, который стоит по умолчанию в заводской конфигурации, затем укажите IP-address для первого и второго юнитов кластера:
wlc-1(config-bridge)# no ip address all wlc-1(config-bridge)# ip address 192.168.2.4/24 unit 1 wlc-1(config-bridge)# ip address 192.168.2.3/24 unit 2 wlc-1(config-bridge)# ip address 192.168.2.2/24 unit 3
Укажите индентификатор VRRP:
wlc-1(config-bridge)# vrrp 3
Укажите виртуальный VRRP-адрес:
wlc-1(config-vrrp)# ip address 192.168.2.1/24
Укажите группу VRRP:
wlc-1(config-vrrp)# group 1
Включить периодическую отправку Gratuituous ARP-сообщений, когда контроллер находится в состоянии Master:
wlc-1(config-vrrp)# timers garp refresh 60
Включите работу VRRP:
wlc-1(config-vrrp)# enable wlc-1(config-vrrp)# exit
Отключите работу spanning-tree:
wlc-1(config-bridge)# no spanning-tree
Включите Bridge:
wlc-1(config-bridge)# enable wlc-1(config-bridge)# exit
Перейдите в режим конфигурирования резервирования ip failover:
wlc-1(config)# ip failover
В качестве локального адреса укажите object-group SYNC_SRC:
wlc-1(config-failover)# local-address object-group SYNC_SRC
В качестве удаленного адреса укажите object-group SYNC_DST:
wlc-1(config-failover)# remote-address object-group SYNC_DST
Укажите группу VRRP:
wlc-1(config-failover)# vrrp-group 1 wlc-1(config-failover)# exit
Перейдите в блок конфигурации синхронизации сертификатов:
wlc-1(config)# crypto-sync
Укажите режим работы:
wlc-1(config-crypto-sync)# remote-delete
Включите работу синхронизации сертификатов:
wlc-1(config-crypto-sync)# enable wlc-1(config-crypto-sync)# exit
Перейдите в блок настройки SoftGRE-туннелей:
wlc-1(config)# softgre-controller
Включите работу синхронизации:
wlc-1(config-softgre-controller)# failover wlc-1(config-softgre-controller)# exit
Перейдите в блок конфигурации WLC:
wlc-1(config)# wlc
Включите работу синхронизации сервиса WLC:
wlc-1(config-wlc)# failover wlc-1(config-wlc)# exit
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP трафика:
wlc-1(config)# security zone-pair trusted self
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit
Создайте правило:
wlc-1(config-security-zone-pair)# rule 12
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group sync
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Перейдите в конфигурацию security-zone и откройте порты для синхронизации сертификатов и журналов WLC:
wlc-1(config)# security zone-pair SYNC self
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 10
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу TCP:
wlc-1(config-security-zone-pair-rule)# match protocol tcp
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group journal_sync
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Перейдите в конфигурацию security-zone, где добавьте разрешение на прохождение VRRP-трафика в клиентской зоне:
wlc-1(config)# security zone-pair users self
Создайте правило:
wlc-1(config-security-zone-pair)# rule 11
Укажите действие правила – разрешение:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу VRRP:
wlc-1(config-security-zone-pair-rule)# match protocol vrrp
Включите правило:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Для настройки правил зон безопасности создайте профиль для порта Firewall-failover:
wlc-1(config)# object-group service FAILOVER
Укажите порт, который используется для синхронизации сессий Firewall:
wlc-1(config-object-group-service)# port-range 9999 wlc-1(config-object-group-service)# exit
Перейдите в конфигурацию security zone-pair для синхронизации сервисов кластера:
wlc-1(config)# security zone-pair SYNC self
Создайте новое правило:
wlc-1(config-security-zone-pair)# rule 5
Укажите действие правила:
wlc-1(config-security-zone-pair-rule)# action permit
Укажите совпадение по протоколу UDP:
wlc-1(config-security-zone-pair-rule)# match protocol udp
Укажите совпадение по порту назначения, в качестве которого выступает object-group:
wlc-1(config-security-zone-pair-rule)# match destination-port object-group FAILOVER
Включите работу нового правила:
wlc-1(config-security-zone-pair-rule)# enable wlc-1(config-security-zone-pair-rule)# exit wlc-1(config-security-zone-pair)# exit
Настройка Firewall-failover:
Укажите multicast-группу, multicast IP-адрес, на который будут отправляться сообщения для синхронизации:
WLC-1(config)# ip failover WLC-1(config-failover)# multicast-address 224.0.0.1 WLC-1(config-failover)# multicast-group 2000 WLC-1(config-failover)# exit
Перейдите к настройке Firewall-failover:
wlc-1(config)# ip firewall failover
Укажите режим резервирования сессий multicast:
wlc-1(config-firewall-failover)# sync-type multicast
Укажите номер UDP-порта службы резервирования сессий Firewall:
wlc-1(config-firewall-failover)# port 9999
Включите резервирование сессий Firewall:
wlc-1(config-firewall-failover)# enable wlc-1(config-firewall-failover)# exit
Нужно удалить пулы, заданные в заводской конфигурации и задать новые, в которых будут исключены VRRP-адреса:
Перейдите в конфигурирование пула DHCP-сервера для ТД:
wlc-1(config)# ip dhcp-server pool ap-pool
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.1.2-192.168.1.254 wlc-1(config-dhcp-server)# address-range 192.168.1.5-192.168.1.254 wlc-1(config-dhcp-server)# exit
Перейдите в конфигурирование пула DHCP-сервера для клиентов:
wlc-1(config)# ip dhcp-server pool users-pool
Удалите пул и создайте новый:
wlc-1(config-dhcp-server)# no address-range 192.168.2.2-192.168.2.254 wlc-1(config-dhcp-server)# address-range 192.168.2.4-192.168.2.254 wlc-1(config-dhcp-server)# exit
Перейдите к настройке синхронизации DHCP-сервера между юнитами:
wlc-1(config)# ip dhcp-server failover
Укажите режим работы:
wlc-1(config-dhcp-server-failover)# mode active-standby
Включите работу синхронизации:
wlc-1(config-dhcp-server-failover)# enable wlc-1(config-dhcp-server-failover)# exit
Включите синхронизацию WEB-интерфейса:
wlc-1(config)# ip http failover
Примените и подтвердите внесенные изменения:
wlc-1# commit wlc-1# confirm
Полная конфигурация WLC-1
Статус синхронизации сервисов можно посмотреть командой:
wlc-1# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized
Last synchronization: 2026-02-02 16:14:23
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
crypto-sync:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:14:27
WLC:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
WLC database:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:28
WEB profiles:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:24
wlc-30-1# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized
Last synchronization: 2026-02-02 16:14:23
DHCP server:
VRF: --
Mode: Active-Standby
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
crypto-sync:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:14:27
WLC:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:23
WLC database:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:28
WEB profiles:
State: Successful synchronization
Last synchronization: 2026-02-02 16:14:24
C случае со текущей схемой, когда одна из нод будет недоступна, синхронизация будет продолжиться между оставшимися нодами со следующим сообщением:
wlc-3# sh high-availability state
Softgre-controller:
VRRP role: Master
AP Tunnels:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
DHCP server:
VRF: --
Mode: Active-Standby
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
crypto-sync:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
Firewall sessions and NAT translations:
VRF: --
State: Successful synchronization
Fault Reason: --
Last synchronization: 2026-02-02 16:28:51
WLC:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:50
WLC database:
State: Synchronized partly
Last synchronization: 2026-02-02 16:28:51
Статус синхронизации VRRP можно посмотреть командой:
wlc-1# show vrrp Unit 1* 'wlc-1' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 130 Disabled Master -- 1 2 192.168.1.1/32 130 Disabled Master -- 1 3 192.168.2.1/32 130 Disabled Master -- 1 Unit 2 'wlc-2' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 120 Disabled Backup -- 1 2 192.168.1.1/32 120 Disabled Backup -- 1 3 192.168.2.1/32 120 Disabled Backup -- 1 Unit 3 'wlc-3' ------------------ Virtual router Virtual IP Priority Preemption State Inherit Sync group ID -------------- --------------------------------- -------- ---------- ------ ------- ------------- 1 198.51.100.1/24 110 Disabled Backup -- 1 2 192.168.1.1/32 110 Disabled Backup -- 1 3 192.168.2.1/32 110 Disabled Backup -- 1
Настройка System prompt
System prompt позволяет отобразить оперативное состояние кластера непосредственно в строке приглашения CLI устройства, что упрощает получение актуальной информации.
Варианты настройки system prompt, включая доступные параметры и синтаксис команды, приведены в разделе Настройка общесистемных параметров.
Пример настройки
Задача:
Настроить system prompt в кластере маршрутизаторов wlc-1 и wlc-2 со следующими параметрами:
- необходимо получать информацию о статусе полной синхронизации кластера;
- необходимо получать информацию о номере юнита администрируемого устройства;
- необходимо получать информацию о роли устройства в кластере;
- необходимо получать информацию о статусе кластерного VRRP;
- необходимо получать информацию о hostname устройства.
Исходная конфигурация кластера:
cluster
cluster-interface bridge 1
unit 1
mac-address cc:9d:a2:71:83:78
exit
unit 2
mac-address cc:9d:a2:71:82:38
exit
enable
exit
hostname wlc-1 unit 1
hostname wlc-2 unit 2
security zone SYNC
exit
bridge 1
vlan 1
security-zone SYNC
ip address 198.51.100.254/24 unit 1
ip address 198.51.100.253/24 unit 2
vrrp 1
ip address 198.51.100.1/24
group 1
authentication key ascii-text encrypted 88B11079B51D
authentication algorithm md5
enable
exit
enable
exit
interface gigabitethernet 1/0/1
mode switchport
spanning-tree disable
exit
interface gigabitethernet 2/0/1
mode switchport
spanning-tree disable
exit
security zone-pair SYNC self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol ah
enable
exit
exit
Решение:
Перейдем в режим конфигурирования устройства:
wlc-1# configure wlc-1(config)#
Добавим в system prompt информацию о статусе полной синхронизации кластера:
wlc-1(config)# system prompt '(Cluster: %s%)'
Добавим в system prompt информацию о номере юнита администрируемого устройства:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u%)'
Добавим в system prompt информацию о роли устройства в кластере:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r%)'
Добавим в system prompt информацию о статусе кластерного VRRP:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)'
Добавим в system prompt информацию о hostname устройства:
wlc-1(config)# system prompt '(Cluster: %s% | Unit: %u% | State: %r% | VRRP id 1: %v1%)|%h%'
Применим конфигурацию и обновим пользовательскую сессию CLI:
wlc-1# commit Configuration has been successfully applied and saved to flash. Commit timer started, changes will be. wlc-1# confirm Configuration has been confirmed. Commit timer canceled. wlc-1# exit wlc-1 login: admin Password: ******************************************** * Welcome to wlc * ******************************************** (Cluster: Yes | Unit: 1 | State: Active | VRRP id 1: Master)|wlc-1#
Обновим пользовательскую сессию CLI на втором устройстве:
wlc-2# 2024-12-27T15:25:04+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: unit 1 'wlc-1' starts a synchronous operation 'commit' 2024-12-27T15:25:09+00:00 %CLUSTER-I-SYNC_CONFIG_INFO: 'commit' successful performed wlc-2# exit wlc-2 login: admin Password: ******************************************** * Welcome to wlc * ******************************************** (Cluster: Yes | Unit: 2 | State: Standby | VRRP id 1: Backup)|wlc-2#
Чтобы system prompt корректно работал, необходимо обновить пользовательскую сессию.
Настройка других сервисов
Настройка других других сервисов описана в документации ESR:
- Настройка MultiWAN
- Настройка IPsec VPN
- Настройка firewall/NAT failover
- Настройка DHCP failover
- Настройка SNMP
- Настройка Source NAT
- Настройка Destination NAT
- Настройка BGP
- Настройка DMVPN