- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C 无线控制器双链路备份和AP License共享最佳实践(V7)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
目 录
随着无线技术的不断发展,企业和园区网络的业务种类日益丰富,流量压力显著增加。尤其在集中转发模式下,AC设备不仅要维护所有AP的状态数据,还要承担复杂的业务计算和大量的数据转发任务。此时,如果网络中仅部署一台AC设备,一旦发生故障,整个无线网络服务将会中断,导致业务大面积瘫痪,无法满足当今对无线网络高可靠性的要求。
在这种背景下,AP双链路备份技术应运而生。它为无线网络提供了一种高可靠性的组网方案:通过简单配置两台AC设备,实现基于AP的链路冗余、故障转移以及业务回切功能。这样,即使其中一台AC出现故障,AP可以切换到另一台AC上继续工作,极大降低了单点故障带来的网络风险,提升了整体网络的可靠性。
但是,随着企业对无线网络业务连续性要求的不断提升,传统的双链路备份方案也暴露出不足。传统的双链路备份在AC故障时,AP需要经过一定时间的故障感知(通常为30秒),才能触发主备链路的切换。在这段时间内,对于集中转发的终端用户面临至少30秒以上的流量中断,这对于对可靠性和业务不中断有严格要求的场景而言是难以接受的。
为了解决这一问题,双链路热备份技术进一步发展。它通过建立AC间高效的故障检测机制,能够在毫秒级识别故障AC并引导AP迅速切换至备用AC。同时配合终端保持功能,保证主备切换期间终端不会掉线,实现真正的业务无缝切换。双链路热备份不仅显著提升了无线网络的可靠性,还极大增强了业务连续性保障,已成为现代企业无线网络架构中不可或缺的重要技术。
双链路备份技术优点如下:
· 故障转移,业务快速恢复
在双链路备份架构下,如果主AC出现故障,连接在主AC上的AP可以快速切换到备AC,由备AC继续管理和保障无线业务。这种机制能在短时间内恢复无线网络功能,避免业务中断。当原主AC恢复后,会自动变为备AC,为下一次故障做好准备。
· 故障回切,业务恢复原状
当原主AC恢复后,可以通过设置CAPWAP主隧道抢占功能,让之前切换到备AC的AP在延迟10分钟后自动回切到原主AC,使无线网络恢复到故障前的状态。
· 支持负载分担组网模式,提升性能与稳定性
可以通过规划AP的主用AC来实现负载分担:例如将部分AP配置为以AC1为主AC,另一部分AP以AC2为主AC。相比单台AC工作,能有效减轻设备负载,提高处理效率和性能,提升整体网络的稳定性和可靠性。
· License共享,节约成本
双链路备份方案支持License共享,无需为备份设备单独购买授权。组网中的AC间可同步License,即使某台AC故障,备AC也能继续使用授权,降低运维成本。同时也兼容License服务器,实现灵活的License分配和管理。
· 配置同步,运维更省心
主备AC之间可以同步常用无线业务配置,减少人工维护,降低配置出错风险。
在双链路备份技术优点的基础上,双链路热备份还具备以下突出优势:
· 业务不中断
通过终端保持功能,即使在主备切换过程中,用户终端也不会掉线,实现真正的业务无缝切换,有效保障用户体验。
· 更快速的故障检测
两台AC之间通过互发保活报文,能够在毫秒级别内快速识别故障AC,大幅缩短故障切换时间,进一步提升网络的稳定性和可靠性。
双链路备份为AP提供两条上行链路,分别建立主隧道和备隧道,主要包括以下几个部分:
· 主备链路:在双链路组网中,AP会使用CAPWAP协议,与两台不同的AC分别建立上行链路。其中一条链路作为主链路,处于工作状态,负责接收AC下发的配置并上报AP的相关信息,其功能与传统单链路组网下的AC-AP链路一致。另一条链路则作为备链路,在主链路建立的基础上进行建立,作为主链路的备用,确保网络的高可用性。
· AC角色:通过主链路与AP连接的AC称为主AC,负责配置下发和管理控制;通过备链路与AP连接的AC称为备AC,在主AC出现故障或链路异常时,可以及时接管AP,保证无线网络的稳定运行。
双链路备份支持两种组网方式:主备模式和负载分担模式。
· 主备模式:在这种模式下,网络中的所有AP都将同一台AC设为主AC,另一台AC设为备AC。通常情况下,主AC负责所有业务处理,备AC只在主AC出现故障时接管工作,平时不处理业务。这样可以保障网络的可靠性,但备AC的资源利用率较低。
· 负载分担模式:主备模式下,主AC的负载较重,而备AC资源闲置,整体资源利用率不高。为了解决这个问题,可以采用负载分担模式:将部分AP设置AC1为主AC、AC2为备AC,另外一部分AP则设置AC2为主AC、AC1为备AC。这样,AC1和AC2都需要处理业务数据,实现两台AC资源的合理分配和高效利用。
图1 主备模式示意图
图2 负载分担模式示意图
用户需要在主AC上,为AP配置备份AC的IP地址,可支持按AP分组进行配置。
首先,AP与主AC建立主链路。成功后,按照用户配置的备AC IP地址向备AC发送Discovery request,报文内容除链路属性外,与主链路的Discovery request相同。若备AC正常回复Discovery response,则双方继续按照CAPWAP协议的规定执行后续流程,直至备链路建立成功;若建立失败,则由AP重新发起备链路建立过程。
图3 备链路建立示意图
用户可以在备AC上查看备链路AP信息,也可以对AP进行配置。但除小部分CAPWAP链路属性相关的配置外,其他配置直到备链路切换为主链路时才会对AP生效,AP的实时工作状态仍然由主AC控制。
AP侧通过链路保活机制监控主链路状态,当主AC故障、用户手动触发AP下线或网络问题造成的主链路保活失败时,AP将感知到主链路断开,并触发主备链路倒换,使备AC升级为主AC,接管AP的配置下发以及上报的业务数据处理等功能,快速恢复现有无线组网业务,具体过程为:
(1) 主链路断开后,AP主动通知备AC将备链路切换为主链路。
(2) 备AC收到消息并响应AP侧进行链路倒换,由各个业务模块协同完成运行数据状态调整,将链路状态切换为主链路,也即相对于当前AP,备AC角色也升级为主AC。
(3) AP收到备AC的响应消息后,销毁主链路控制数据块,将备链路控制数据块切换为主链路控制数据块,同样也由各个业务模块协同进行必要的业务数据调整,以适配当前的上行隧道主链路。
(4) AP侧完成链路倒换后,组网中基于该AP的无线业务正式由新主AC接管,可正常向AP下发用户配置,并处理AP上报的业务数据。
(5) 若当前新主AC上存在备AC IP的配置,则AP开始探测备AC,尝试建立备链路。
(6) 组网中的所有关联到故障AC上的AP可并发执行上述过程,从而完成整网链路切换与无线业务恢复。
图4 故障切换示意图
在双链路备份组网环境中,缺省情况下,当AP连接的主AC故障时,备AC才会将CAPWAP备份隧道转换为主隧道。如果原主AC开启了CAPWAP主隧道抢占功能后,且配置的AP连接AC的优先级高于原备AC(新主AC)上配置的优先级时,原主AC故障恢复后会在延迟指定时间后将CAPWAP隧道切换为主隧道。
原主AC链路抢占需要满足以下条件:
(1) 在原主AC上配置AP开启主隧道抢占开关。
(2) 将原主AC上的CAPWAP隧道优先级配置为高于原备AC(新主AC)。
图5 业务回切示意图
AP License共享组链路建立的过程如下:
(1) 完成AP License共享组配置后,在双链路备份组网中,由IP地址较小的AC(假定为AC 2)发起链路建立请求。
(2) AC 1接收到请求后会校验AP License共享组配置,如果配置正确则会同意建立链路连接。
(3) 链路完成建立后,IP地址较小的AC 2会发起License同步请求。
(4) AC 1会复制一份本地的License到AC 2。
(5) IP地址较大的AC 1发起License同步请求。
(6) AC 2会复制一份本地的License到AC 1。
图6 AP License共享组链路建立过程
· 在双链路组网中,两台AC在AP License共享组内的角色均需配置为主AC,即确保两台AC能够互相共享License。
· AP License共享链路每10分钟在两台AC之间进行一次License数据同步。
使用AP双链路方式在两台AC间做备份组网,AP与主备两台AC通过CAPWAP关联分别建立主备两条链路。当主AC设备故障导致主链路不可用的情况下,备链路切换为主链路并开始工作。
应用无线License共享后,双链路备份License共享模型如下:
(1) 在AC 1上安装L1个License,在AC 2上安装L2个License。每个AP会建立CAPWAP主备两条链路,其中主链路占用License,备链路不占用License,只有在备链路切换为主链路时才需占用License。
(2) 通过License共享机制,AC 1可使用自身的L1个License以及从AC 2共享的L2个License,共计L1+L2个License;同理,AC 2也可使用自身的L2个License以及从AC 1共享的L1个License,同样共计L1+L2个License。
(3) 当某台AC发生故障后,另一台AC上通过共享获得的License仅可继续使用30天。若该故障AC与对端的断连时间超过30天,其共享出的AP License将在对端AC上失效。此时,对端AC上的新接入AP将无法再使用共享License,但已通过共享License接入的AP不会被强制下线。
图7 双链路备份License共享示意图
随着无线网络规模的不断扩大,企业和运营商对网络的高可靠性和高可用性要求日益提升。通常在双链路部署环境中,通过部署两台AC实现备份以保障无线网络的连续性和稳定性。双链路备份机制要求主备AC上的WLAN相关配置完全一致。然而,实际业务中WLAN配置内容繁杂,手动在两台AC上进行逐条配置既费时又易出错,增加了运维难度,也存在配置不一致导致故障的风险。
AC间配置同步是指在两台AC设备之间同步WLAN相关配置的技术。该技术通过在一台AC上完成配置后,手动将相关配置同步到另一台AC,确保两台AC的WLAN相关配置一致。
能同步的配置包括AP视图、AP组视图、全局配置视图、Radio视图、AP组Radio视图、无线服务模板视图以及接入认证相关的配置等。具体可同步的配置项详见“附录A AC间配置同步”。
· 显著减少配置工作量:只需在一台AC上配置,无需手动在另一台AC重复配置。
· 避免配置遗漏:手动同步避免因人工疏漏导致的配置不一致问题。
· 提升网络可靠性:保持主备AC配置一致,确保业务在主备切换过程中连续稳定。
· 便捷的配置差异检查:通过自动生成diff文件,方便运维人员查看两台AC间配置差异,并灵活控制同步操作。
(1) 通信通道
配置同步功能依赖于SmartMC网络建立的通信通道,两台AC需先完成SmartMC网络的搭建,确保管理消息可靠传递。
(2) 角色分工
¡ TM角色:管理SmartMC网络中所有设备。
¡ TC角色:SmartMC网络中被管理的设备。
(3) 配置同步过程
a. 在一台AC(推荐TM角色AC)上完成WLAN相关配置(如AP视图、AP组视图、全局配置视图、Radio视图、无线服务模板、接入认证等)。
b. 执行配置同步操作。
c. TM角色AC对比自身与TC角色AC的配置。
d. 若一致,不进行同步,避免重复操作。
e. 若不一致,则:
- TM角色AC自动生成名为wlan_cfgsync.diff的差异文件,详细记录两台设备间的配置差异。运维人员可通过more命令查看该diff文件,确认差异内容。
- 通过同步功能可将一台AC上的WLAN配置推送到另一台AC,实现配置同步。
f. 同步完成后,主备AC的WLAN相关配置保持一致。
· 配置同步功能支持两台AC之间的双向同步,但在实际应用中,建议优先在TM角色的AC上完成配置,并将其同步至TC角色的AC,以确保配置一致性和管理规范。
· 配置同步功能为一次性操作,同步完成后,如果后续配置发生变更,需重新执行同步操作。
图8 配置同步流程图
双链路热备份在双链路备份的基础上,新增支持了AC间故障检测和终端保持功能,适用于对业务连续性和可靠性要求更高的场景。
随着无线网络在企业和大型园区中的广泛应用,网络的高可靠性和快速故障切换成为保障业务连续性的关键需求。在双AC热备份架构中,当主AC发生故障时,AP需尽快切换至备AC以避免业务中断。然而,传统故障检测依赖AP自身感知主AC异常,存在检测延时,导致业务短暂丢失。为提升故障响应速度,实现毫秒级故障切换,AC间故障检测机制应运而生。
AC间故障检测通过AC之间周期性发送检测报文,实现对彼此状态的实时监测。当一台AC连续未收到对端AC规定次数的检测报文时,即判定对端故障,进而触发主备倒换流程,确保AP能够迅速切换至备AC,保障业务连续性。
· 故障检测时间缩短至毫秒级,极大提升故障响应速度。
· 减少因主AC故障导致的业务丢失,保障无线业务连续性。
· 通过参数灵活配置检测间隔和失败次数,适配不同业务需求。
(1) 检测报文交互:两台AC之间周期性发送检测报文。
(2) 故障判定标准:连续未收到对端AC规定次数的检测报文时,即判定对端故障,立即启动主备倒换流程。
(3) 主备倒换与AP切换:当前AC(图中AC 2)主动向与故障AC(图中AC 1)建立主链路的AP发送切换通知。
(4) 业务恢复:AP收到通知后,快速切换至当前AC(图中AC 2)上线,恢复业务连接。
图9 AC间故障检测示意图
在双链路备份组网架构中,AP与两台AC分别建立CAPWAP主备链路,确保主AC故障时备AC能够快速接管,保障业务连续性。尽管备份链路切换缩短了因AC故障导致的业务中断时间,但终端设备仍需经历下线和重新上线过程,这对整体网络体验造成一定影响。为提升用户体验,终端保持技术应运而生。
终端保持是一种通过备AC保存临时终端表项的机制,在主备倒换期间保障终端在线,避免因主AC故障导致终端掉线。该机制使备AC能够临时维护终端的连接状态和基本业务功能,减少切换过程中业务中断的感知。为进一步恢复终端全部功能,可配置终端保持数据恢复功能,实现主备倒换后临时终端表项向正常终端表项的平滑过渡。
· 提升用户体验:终端保持功能使终端在主备倒换期间保持在线,避免掉线和频繁重连,保障基本业务不中断。
· 数据平滑切换:支持临时终端表项向正常终端表项的平滑切换,保障终端业务完整性。
(1) 在双链路架构中,AP通过CAPWAP协议与主备AC建立主备链路。
(2) 终端上线,AP实时上报终端信息给备AC添加临时终端表项。
(3) 主AC故障时,备AC自动切换为主AC,接管AP业务。
(4) 开启终端保持在线功能后,倒换完成的新主AC会利用临时终端表项维持终端在线状态,保障终端不掉线。
(5) 临时终端表项可以保障终端的基本业务正常进行,比如终端能够正常通信和上下线。但部分高级功能,如ACL访问控制、CAR限速、计费和负载均衡等将无法生效。当配置了终端保持数据恢复功能后,新主AC会分批将这些终端强制下线,并删除临时终端表项。
(6) 终端重新上线后,新主AC生成完整的正常终端表项,恢复终端的全部业务功能。
图10 终端保持运行流程示意图
· AC间配置同步:仅适用于R58xx版本产品。
· AC间故障检测和终端保持:仅适用于R54xx版本产品。
本章节主要介绍通过AC间配置同步功能实现双链路备份的配置。如果不使用AC间配置同步功能,请忽略或删除与SmartMC及AC间配置同步功能相关的配置。
如图11所示,AP通过接入交换机(Access Switch)和核心交换机(Core Switch)分别连接至AC 1和AC 2,具体要求如下:
· 采用双链路备份实现AC的主备保护,AC 1作为主用设备,AC 2为备用设备。当AC 1发生故障或主备切换时,AP可自动切换至AC 2继续提供服务;当AC 1恢复后,AP会重新关联至AC 1。
· License仅需安装在AC 1,AC 2无需单独安装,通过配置AP License共享功能,使AC 2可共享AC 1的License资源。
· 无线客户端(Client)通过VLAN 200接入无线网络。
· AC与AP之间通过三层网络连接,AP可通过DHCP Server下发的Option 43参数自动获取AC的IP地址,实现三层注册与管理。
· 通过AC间配置同步功能,只需在AC 1上进行WLAN相关业务配置,然后将这些配置同步给AC 2,减少配置工作量。
本配置以集中转发模式为例,双链路备份组网同样适用于本地转发模式。
· 在使用配置同步功能前,需要先建立SmartMC网络。
· SmartMC组网基于VLAN 1进行通道建立,双链路配置同步依赖于SmartMC通道。因此,在配置SmartMC组网前,需确保VLAN 1已放通,并为VLAN 1分配IP地址。
· 配置同步功能仅支持在TM角色的AC设备上进行配置。可以将TM配置同步到TC,也可以将TC配置同步到TM。
(1) 配置AC 1的VLAN1接口
# 配置VLAN1接口,用于建立SmartMC通道。
<AC1> system-view
[AC1] interface vlan-interface 1
[AC1-Vlan-interface1] ip address 192.168.2.1 24
[AC1-Vlan-interface1] quit
(2) 配置AC 1的SmartMC功能(AC 1为TM)
# 开启HTTP、HTTPS服务。
[AC1] ip http enable
[AC1] ip https enable
# 开启Telnet服务。
[AC1] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[AC1] netconf soap http enable
# 全局开启LLDP功能。
[AC1] lldp global enable
# 配置本地用户admin,密码为hello12345,服务类型为Telnet、HTTP和HTTPS,RBAC角色为network-admin。
[AC1] local-user admin
[AC1-luser-manage-admin] password simple hello12345
[AC1-luser-manage-admin] service-type telnet http https
[AC1-luser-manage-admin] authorization-attribute user-role network-admin
[AC1-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[AC1] line vty 0 63
[AC1-line-vty0-63] authentication-mode scheme
[AC1-line-vty0-63] quit
# 开启SmartMC功能并配置设备的角色为管理设备,用户名为admin,明文密码为hello12345。
[AC1] smartmc tm username admin password simple hello12345 enable
(3) 配置AC 2的VLAN1接口
# 配置VLAN1接口,用于建立SmartMC通道。
<AC2> system-view
[AC2] interface vlan-interface 1
[AC2-Vlan-interface1] ip address 192.168.2.2 24
[AC2-Vlan-interface1] quit
(4) 配置AC 2的SmartMC功能(AC 2为TC)
# 开启HTTP、HTTPS服务。
[AC2] ip http enable
[AC2] ip https enable
# 开启Telnet服务。
[AC2] telnet server enable
# 开启基于HTTP的NETCONF over SOAP功能。
[AC2] netconf soap http enable
# 全局开启LLDP功能。
[AC2] lldp global enable
# 配置本地用户admin,密码为admin,服务类型为Telnet、HTTP和HTTPS,RBAC角色为network-admin。设置密码前,先降低设备对本地用户密码复杂度的要求。
[AC2] local-user admin
[AC2-luser-manage-admin] password-control length 4
[AC2-luser-manage-admin] password-control composition type-number 1 type-length 1
[AC2-luser-manage-admin] undo password-control complexity user-name check
[AC2-luser-manage-admin] password simple admin
[AC2-luser-manage-admin] service-type telnet http https
[AC2-luser-manage-admin] authorization-attribute user-role network-admin
[AC2-luser-manage-admin] quit
# 配置VTY用户线0~63的认证方式为scheme。
[AC2] line vty 0 63
[AC2-line-vty0-63] authentication-mode scheme
[AC2-line-vty0-63] quit
# 开启SmartMC功能,并配置设备角色为成员设备。
[AC2] smartmc tc enable
(5) 检查SmartMC网络是否已经建立
# 在AC 1上使用display smartmc tc命令来显示成员设备的信息。如果有成员设备的信息,表明SmartMC网络已经建立。
(1) 安装License
# 配置AC 1安装License,配置步骤略。
(2) 配置AC1的接口
# 创建VLAN 20及其对应的VLAN接口,并配置Vlan-interface20接口的IP地址为10.1.1.1/16,AP将通过该IP地址与AC 1建立CAPWAP隧道。
[AC1] vlan 20
[AC1-vlan20] quit
[AC1] interface vlan-interface 20
[AC1-Vlan-interface20] ip address 10.1.1.1 16
[AC1-Vlan-interface20] quit
# 创建VLAN 200,AC 1需要使用该VLAN转发无线客户端数据报文。
[AC1] vlan 200
[AC1-vlan200] quit
# 将AC 1与Core Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,允许VLAN 20和VLAN 200通过。
[AC1] interface gigabitethernet 1/0/1
[AC1-GigabitEthernet1/0/1] port link-type trunk
[AC1-GigabitEthernet1/0/1] port trunk permit vlan 20 200
[AC1-GigabitEthernet1/0/1] quit
(3) 配置三层路由
# 配置AC 1缺省路由下一跳为Core Switch的IP地址10.1.1.3。
[AC1] ip route-static 0.0.0.0 0 10.1.1.3
(4) 配置双链路备份功能
# 创建AP组group1并配置AP连接的优先级为7。
[AC1] wlan ap-group group1
[AC1-wlan-ap-group-group1] priority 7
# 配置备AC IP地址为10.1.1.2。
[AC1-wlan-ap-group-group1] backup-ac ip 10.1.1.2
# 配置CAPWAP隧道抢占功能,当AC故障恢复后AP可以重新关联到主AC。
[AC1-wlan-ap-group-group1] wlan tunnel-preempt enable
[AC1-wlan-ap-group-group1] quit
(5) 配置AP License共享功能
# 配置AP License共享功能。
[AC1] wlan ap-license-group
[AC1-wlan-als-group] local ip 10.1.1.1
[AC1-wlan-als-group] member ip 10.1.1.2
[AC1-wlan-als-group] ap-license-synchronization enable
[AC1-wlan-als-group] quit
(6) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC1] wlan service-template 1
# 配置SSID为service。
[AC1-wlan-st-1] ssid service
# 配置无线客户端上线后将被加入到VLAN 200。
[AC1-wlan-st-1] vlan 200
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC1-wlan-st-1] akm mode psk
[AC1-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
# 使能无线服务模板。
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
(7) 配置手工AP
# 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号为219801A28N819CE0002T。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC1-wlan-ap-ap1] quit
(8) 配置AP入组
# 配置AP名称入组规则。
[AC1] wlan ap-group group1
[AC1-wlan-ap-group-group1] ap ap1
(9) 绑定无线服务
# 将无线服务模板1绑定到AP组group1下的Radio 2上。
[AC1-wlan-ap-group-group1] ap-model WA6320
[AC1-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC1-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC1-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC1-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
[AC1-wlan-ap-group-group1-ap-model-WA6320] quit
[AC1-wlan-ap-group-group1] quit
(10) 配置AC间配置同步功能
# 执行配置同步之前,需要先检查SmartMC网络是否已经建立。可以使用display smartmc tc命令来显示成员设备的信息,如果有成员设备的信息,表明SmartMC网络已经建立。如果SmartMC网络未建立,请建立SmartMC网络后,再执行AC间配置同步。
[AC1] display smartmc tc
# 将AC 1的WLAN配置同步到对端AC 2。
[AC1] wlan sync-configuration to peer-ac 000f-e212-6103
· 对端AC 2的MAC地址需要指定为命令display smartmc tc显示的MacAddress字段对应的MAC地址。
· 同步完成后,如果后续配置发生变更,需重新执行同步操作。
# 同步完成后检查两台AC的配置是否已经一致。
[AC1] wlan sync-configuration check peer-ac 000f-e212-6103
(1) 配置AC2的接口
# 创建VLAN 20及其对应的VLAN接口,并配置Vlan-interface20接口的IP地址为10.1.1.2/16,AP将通过该IP地址与AC 2建立CAPWAP隧道。
执行配置同步功能后,VLAN 20可以通过AC间配置同步功能进行同步,无需再单独配置。
[AC2] interface Vlan-interface 20
[AC2-Vlan-interface20] ip address 10.1.1.2 16
[AC2-Vlan-interface20] quit
# 创建VLAN 200,AC 2需要使用该VLAN转发无线客户端数据报文。
执行配置同步功能后,VLAN 200可以通过AC间配置同步功能进行同步,无需再单独配置。
# 将AC 2与Core Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,允许VLAN 20和VLAN 200通过。
[AC2] interface gigabitethernet 1/0/1
[AC2-GigabitEthernet1/0/1] port link-type trunk
[AC2-GigabitEthernet1/0/1] port trunk permit vlan 20 200
[AC2-GigabitEthernet1/0/1] quit
(2) 配置三层路由
# 配置AC 2缺省路由下一跳为Core Switch的IP地址10.1.1.3。
[AC2] ip route-static 0.0.0.0 0 10.1.1.3
(3) 配置双链路备份功能
# 创建AP组group1并配置备AC IP地址为10.1.1.1,AP连接的优先级无需配置,保持缺省配置即可。
[AC2] wlan ap-group group1
[AC2-wlan-ap-group-group1] backup-ac ip 10.1.1.1
[AC2-wlan-ap-group-group1] quit
(4) 配置AP License共享功能
# 配置AP License共享功能。
[AC2] wlan ap-license-group
[AC2-wlan-als-group] local ip 10.1.1.2
[AC2-wlan-als-group] member ip 10.1.1.1
[AC2-wlan-als-group] ap-license-synchronization enable
[AC2-wlan-als-group] quit
(5) 配置无线服务
# 本步骤可以通过AC间配置同步功能进行同步,无需再单独配置。
(6) 配置手工AP
# 本步骤可以通过AC间配置同步功能进行同步,无需再单独配置。
(7) 配置AP入组
# 本步骤可以通过AC间配置同步功能进行同步,无需再单独配置。
(8) 绑定无线服务
# 本步骤可以通过AC间配置同步功能进行同步,无需再单独配置。
(1) 配置Core Switch接口
# 创建VLAN 100和VLAN 20,并配置IP地址,用于转发AC和AP间CAPWAP隧道内的流量。
<Core Switch> system-view
[Core Switch] vlan 100
[Core Switch-vlan100] quit
[Core Switch] interface vlan-interface 100
[Core Switch-Vlan-interface100] ip address 10.3.1.1 16
[Core Switch-Vlan-interface100] quit
[Core Switch] vlan 20
[Core Switch-vlan20] quit
[Core Switch] interface vlan-interface 20
[Core Switch-Vlan-interface20] ip address 10.1.1.3 16
[Core Switch-Vlan-interface20] quit
# 创建VLAN 200,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[Core Switch] vlan 200
[Core Switch-vlan200] quit
[Core Switch] interface vlan-interface 200
[Core Switch-Vlan-interface200] ip address 10.4.1.1 16
[Core Switch-Vlan-interface200] quit
# 配置Core Switch与AC 1相连的GigabitEthernet1/0/1接口的属性为Trunk,允许VLAN 20和VLAN 200通过。
[Core Switch] interface gigabitethernet 1/0/1
[Core Switch-GigabitEthernet1/0/1] port link-type trunk
[Core Switch-GigabitEthernet1/0/1] port trunk permit vlan 20 200
[Core Switch-GigabitEthernet1/0/1] quit
# 配置Core Switch与AC 2相连的GigabitEthernet1/0/2接口属性为Trunk,允许VLAN 20和VLAN 200通过。
[Core Switch] interface gigabitethernet 1/0/2
[Core Switch-GigabitEthernet1/0/2] port link-type trunk
[Core Switch-GigabitEthernet1/0/2] port trunk permit vlan 20 200
[Core Switch-GigabitEthernet1/0/2] quit
# 配置Core Switch与Access Switch相连的GigabitEthernet1/0/3接口属性为Trunk,允许VLAN 100通过,当前Trunk口的PVID为100。
[Core Switch] interface gigabitethernet 1/0/3
[Core Switch-GigabitEthernet1/0/3] port link-type trunk
[Core Switch-GigabitEthernet1/0/3] port trunk permit vlan 100
[Core Switch-GigabitEthernet1/0/3] port trunk pvid vlan 100
[Core Switch-GigabitEthernet1/0/3] quit
(2) 配置DHCP功能
# 配置DHCP地址池100,用于为AP分配IP地址,地址范围为10.3.0.0/16,网关地址为10.3.1.1。
[Core Switch] dhcp server ip-pool 100
[Core Switch-dhcp-pool-100] network 10.3.0.0 mask 255.255.0.0
[Core Switch-dhcp-pool-100] gateway-list 10.3.1.1
# 配置DHCP Option43的内容为AC 1和AC 2的十六进制IP地址。
[Core Switch-dhcp-pool-100] option 43 hex 800b0000020a0101010a010102
[Core Switch-dhcp-pool-100] quit
# 配置DHCP地址池2为Client分配地址范围为10.4.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为10.4.1.1。
[Core Switch] dhcp server ip-pool 2
[Core Switch-dhcp-pool-2] network 10.4.0.0 mask 255.255.0.0
[Core Switch-dhcp-pool-2] gateway-list 10.4.1.1
[Core Switch-dhcp-pool-2] dns-list 10.4.1.1
[Core Switch-dhcp-pool-2] quit
# 开启DHCP server服务。
[Core Switch] dhcp enable
(3) 配置Core Switch连接外网
# 创建VLAN 400,并配置IP地址,用于转发去往外网的流量。
[Core Switch] vlan 400
[Core Switch-vlan400] quit
[Core Switch] interface vlan-interface 400
[Core Switch-Vlan-interface400] ip address 10.10.1.1 16
[Core Switch-Vlan-interface400] quit
# 配置Core Switch与外网相连的GigabitEthernet1/0/4接口属性为Access,并允许VLAN 400通过。
[Core Switch] interface gigabitethernet 1/0/4
[Core Switch-GigabitEthernet1/0/4] port link-type access
[Core Switch-GigabitEthernet1/0/4] port access vlan 400
[Core Switch-GigabitEthernet1/0/4] quit
# 配置Core Switch缺省路由下一跳为Router的IP地址10.10.1.2。
[Core Switch] ip route-static 0.0.0.0 0 10.10.1.2
# 创建VLAN 100,VLAN 100为AP接入的VLAN。
<Access Switch> system-view
[Access Switch] vlan 100
[Access Switch-vlan100] quit
# 配置Access Switch与Core Switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 100通过,当前Trunk口的PVID为100。
[Access Switch] interface gigabitEthernet 1/0/1
[Access Switch-GigabitEthernet1/0/1] port link-type trunk
[Access Switch-GigabitEthernet1/0/1] port trunk permit vlan 100
[Access Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100
[Access Switch-GigabitEthernet1/0/1] quit
# 配置Access Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
[Access Switch] interface gigabitethernet 1/0/2
[Access Switch-GigabitEthernet1/0/2] port link-type access
[Access Switch-GigabitEthernet1/0/2] port access vlan 100
# 开启PoE接口远程供电功能。
[Access Switch-GigabitEthernet1/0/2] poe enable
[Access Switch-GigabitEthernet1/0/2] quit
(1) 在AC 1上执行display wlan ap-license-group命令查看已经建立的AP License共享组,AP License共享组内的License总数为AC 1和AC 2的License之和。
<AC1> display wlan ap-license-group
Group total licenses: 256
Group used licenses: 1
AP license synchronization: Enabled
Local IP: 10.1.1.1
Local role: Master
Member information: 1
IP address Total Used Member role State Online duration
10.1.1.2 0 0 Master UP 00hr 1min 51sec
(2) 通过display wlan ap all命令在AC 1查看AP的状态为R/M。
<AC1> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 384
Remaining APs: 383
Total AP licenses: 256
Local AP licenses: 256
Server AP licenses: 0
Remaining local AP licenses: 255
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
Online time : Day:Hour:Minute:Second
AP name APID State Model Serial ID G
roup name Online time Clients Mode IP address
ap1 1 R/M WA6320 219801A28N819CE0002T group1 0:00:00:46 1 Fit 10.3.1.2
(3) 在AC 1上查看Client信息
# 在AC 1上使用命令display wlan client查看在线Client,可以看到Client已经连接到AP的Radio 2。
<AC1> display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
90b9-311a-bef6 N/A ap1 2 10.4.1.2 200
(4) 通过display wlan ap all命令在AC 2查看AP的状态为R/B,共享AP License数量为256。
<AC2> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 384
Remaining APs: 383
Total AP licenses: 256
Local AP licenses: 256
Server AP licenses: 0
Remaining local AP licenses: 256
Sync AP licenses: 256
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
Online time : Day:Hour:Minute:Second
AP name APID State Model Serial ID G
roup name Online time Clients Mode IP address
ap1 1 R/B WA6320 219801A28N819CE0002T group1 0:00:00:56 1 Fit 10.3.1.2
(5) 为了模拟AC 1故障,可以将AC 1的Vlan-interface20接口关闭。此时,等待一段时间(根据CAPWAP隧道的保活时间而定,默认为30秒),在集中转发模式下,这期间网络流量会暂时中断,可以通过ping命令进行测试。随后,AP会自动切换到AC 2进行上线。在AC 2上使用display wlan ap all命令查询,可以看到AP的状态显示为R/M。
<AC2> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 384
Remaining APs: 383
Total AP licenses: 256
Local AP licenses: 256
Server AP licenses: 0
Remaining local AP licenses: 255
Sync AP licenses: 256
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
Online time : Day:Hour:Minute:Second
AP name APID State Model Serial ID G
roup name Online time Clients Mode IP address
ap1 1 R/M WA6320 219801A28N819CE0002T group1 0:00:30:46 1 Fit 10.3.1.2
(6) 模拟AC 1故障恢复,开启AC 1的Vlan-interface20接口,由于配置了CAPWAP隧道抢占功能,等待一段时间后,AP会重新在AC 1上线,通过display wlan ap all命令在AC 1上查看AP的状态恢复为R/M,在AC 2上查看AP的状态恢复为R/B。
· 使用AC间配置同步功能前,需要先建立SmartMC网络。
· 在双链路备份组网环境中,AC设备的型号和软件版本需保持一致。
· 配置AP序列号时,请确保序列号与对应AP唯一匹配,序列号信息可通过AP设备背面的标签获取。
· 若采用手动方式建立CAPWAP隧道连接,要求两台AC上配置的AP名称完全一致,且AP的序列号或MAC地址需统一配置(即两台AC均配置序列号或均配置MAC地址)。
· 在进行业务配置前,请先在AC上安装License。为简化配置并降低成本,建议仅在主AC上安装License,备AC无需安装,通过AP License共享功能确保备AC能够获取主AC上的License授权。
· 启用AP License共享功能前,必须先配置本AC及成员AC的IP地址。
· 在双链路组网中,两台AC在AP License共享组内的角色均需配置为主AC,即确保两台AC能够互相共享License。
· 在双链路备份且启用AP License共享的组网环境中,若某台AC断开时间超过30天,该AC共享的AP License将在另一台AC上失效。此时另一台AC上新接入的AP将无法使用共享License,但已接入的AP不会被踢下线。
本章节主要介绍双链路热备份的配置。如仅需实现双链路备份,请忽略或删除与AC间故障检测及终端保持功能相关的配置。
如图12所示,AP通过接入交换机(Access Switch)和核心交换机(Core Switch)分别连接至AC 1和AC 2,具体要求如下:
· 采用双链路热备份实现AC的主备保护,AC 1作为主用设备,AC 2为备用设备。当AC 1发生故障或主备切换时,AP可自动切换至AC 2继续提供服务;当AC 1恢复后,AP会重新关联至AC 1。
· License仅需安装在AC 1,AC 2无需单独安装,通过配置AP License共享功能,使AC 2可共享AC 1的License资源。
· 无线客户端(Client)通过VLAN 200接入无线网络。
· AC与AP之间通过三层网络连接,AP可通过DHCP Server下发的Option 43参数自动获取AC的IP地址,实现三层注册与管理。
本配置以集中转发模式为例,双链路热备份组网同样适用于本地转发模式。
(1) 安装License
# 配置AC 1安装License,配置步骤略。
(2) 配置AC1的接口
# 创建VLAN 20及其对应的VLAN接口,并配置Vlan-interface20接口的IP地址为10.1.1.1/16,AP将通过该IP地址与AC 1建立CAPWAP隧道。
<AC1> system-view
[AC1] vlan 20
[AC1-vlan20] quit
[AC1] interface vlan-interface 20
[AC1-Vlan-interface20] ip address 10.1.1.1 16
[AC1-Vlan-interface20] quit
# 创建VLAN 200,AC 1需要使用该VLAN转发无线客户端数据报文。
[AC1] vlan 200
[AC1-vlan200] quit
# 将AC 1与Core Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,允许VLAN 20和VLAN 200通过。
[AC1] interface gigabitethernet 1/0/1
[AC1-GigabitEthernet1/0/1] port link-type trunk
[AC1-GigabitEthernet1/0/1] port trunk permit vlan 20 200
[AC1-GigabitEthernet1/0/1] quit
(3) 配置三层路由
# 配置AC 1缺省路由下一跳为Core Switch的IP地址10.1.1.3。
[AC1] ip route-static 0.0.0.0 0 10.1.1.3
(4) 配置双链路备份功能
# 创建AP组group1并配置AP连接的优先级为7。
[AC1] wlan ap-group group1
[AC1-wlan-ap-group-group1] priority 7
# 配置备AC IP地址为10.1.1.2。
[AC1-wlan-ap-group-group1] backup-ac ip 10.1.1.2
# 配置CAPWAP隧道抢占功能,当AC故障恢复后AP可以重新关联到主AC。
[AC1-wlan-ap-group-group1] wlan tunnel-preempt enable
[AC1-wlan-ap-group-group1] quit
(5) 配置终端保持功能
# 开启终端保持在线功能。
[AC1] wlan global-configuration
[AC1-wlan-global-configuration] client-persistence enable
# 配置终端保持数据恢复功能。配置延时1分钟后开始分批删除无线终端的临时数据,并在延时后40分钟内将所有无线终端的临时数据删除完毕。
[AC1-wlan-global-configuration] client-persistence reconnect delay 1 period 40
[AC1-wlan-global-configuration] quit
(6) 配置AC间故障检测功能
# 创建故障检测策略aaa并进入故障检测策略视图。配置AC间故障检测报文的最大连续丢失个数为3,报文发送间隔为1000ms。用户可以根据实际环境调整故障检测参数。
[AC1] wlan fault-detection policy aaa
[AC1-wlan-fault-detection-policy-aaa] keepalive count 3
[AC1-wlan-fault-detection-policy-aaa] keepalive interval 1000
[AC1-wlan-fault-detection-policy-aaa] quit
# 引用故障检测策略aaa。
[AC1] wlan global-configuration
[AC1-wlan-global-configuration] redundant-backup fault-detection-policy aaa
[AC1-wlan-global-configuration] quit
(7) 配置AP License共享功能
# 配置AP License共享功能。
[AC1] wlan ap-license-group
[AC1-wlan-als-group] local ip 10.1.1.1
[AC1-wlan-als-group] member ip 10.1.1.2
[AC1-wlan-als-group] ap-license-synchronization enable
[AC1-wlan-als-group] quit
(8) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC1] wlan service-template 1
# 配置SSID为service。
[AC1-wlan-st-1] ssid service
# 配置无线客户端上线后将被加入到VLAN 200。
[AC1-wlan-st-1] vlan 200
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC1-wlan-st-1] akm mode psk
[AC1-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
# 使能无线服务模板。
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
(9) 配置手工AP
# 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号为219801A28N819CE0002T。
[AC1] wlan ap ap1 model WA6320
[AC1-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC1-wlan-ap-ap1] quit
(10) 配置AP入组
# 配置AP名称入组规则。
[AC1] wlan ap-group group1
[AC1-wlan-ap-group-group1] ap ap1
(11) 绑定无线服务
# 将无线服务模板1绑定到AP组group1下的Radio 2上。
[AC1-wlan-ap-group-group1] ap-model WA6320
[AC1-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC1-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC1-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC1-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
[AC1-wlan-ap-group-group1-ap-model-WA6320] quit
[AC1-wlan-ap-group-group1] quit
(1) 配置AC2的接口
# 创建VLAN 20及其对应的VLAN接口,并配置Vlan-interface20接口的IP地址为10.1.1.2/16,AP将通过该IP地址与AC 2建立CAPWAP隧道。
<AC2> system-view
[AC2] vlan 20
[AC2-vlan20] quit
[AC2] interface Vlan-interface 20
[AC2-Vlan-interface20] ip address 10.1.1.2 16
[AC2-Vlan-interface20] quit
# 创建VLAN 200,AC 2需要使用该VLAN转发无线客户端数据报文。
[AC2] vlan 200
[AC2-vlan200] quit
# 将AC 2与Core Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,允许VLAN 20和VLAN 200通过。
[AC2] interface gigabitethernet 1/0/1
[AC2-GigabitEthernet1/0/1] port link-type trunk
[AC2-GigabitEthernet1/0/1] port trunk permit vlan 20 200
[AC2-GigabitEthernet1/0/1] quit
(2) 配置三层路由
# 配置AC 2缺省路由下一跳为Core Switch的IP地址10.1.1.3。
[AC2] ip route-static 0.0.0.0 0 10.1.1.3
(3) 配置双链路备份功能
# 创建AP组group1并配置备AC IP地址为10.1.1.1,AP连接的优先级无需配置,保持缺省配置即可。
[AC2] wlan ap-group group1
[AC2-wlan-ap-group-group1] backup-ac ip 10.1.1.1
[AC2-wlan-ap-group-group1] quit
(4) 配置终端保持功能
# 开启终端保持在线功能。
[AC2] wlan global-configuration
[AC2-wlan-global-configuration] client-persistence enable
# 配置终端保持数据恢复功能。配置延时1分钟后开始分批删除无线终端的临时数据,并在延时后40分钟内将所有无线终端的临时数据删除完毕。
[AC2-wlan-global-configuration] client-persistence reconnect delay 1 period 40
[AC2-wlan-global-configuration] quit
(5) 配置AC间故障检测功能
# 创建故障检测策略aaa并进入故障检测策略视图。配置AC间故障检测报文的最大连续丢失个数为3,报文发送间隔为1000ms。用户可以根据实际环境调整故障检测参数。
[AC2] wlan fault-detection policy aaa
[AC2-wlan-fault-detection-policy-aaa] keepalive count 3
[AC2-wlan-fault-detection-policy-aaa] keepalive interval 1000
[AC2-wlan-fault-detection-policy-aaa] quit
# 引用故障检测策略aaa。
[AC2] wlan global-configuration
[AC2-wlan-global-configuration] redundant-backup fault-detection-policy aaa
[AC2-wlan-global-configuration] quit
(6) 配置AP License共享功能
# 配置AP License共享功能。
[AC2] wlan ap-license-group
[AC2-wlan-als-group] local ip 10.1.1.2
[AC2-wlan-als-group] member ip 10.1.1.1
[AC2-wlan-als-group] ap-license-synchronization enable
[AC2-wlan-als-group] quit
(7) 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC2] wlan service-template 1
# 配置SSID为service。
[AC2-wlan-st-1] ssid service
# 配置无线客户端上线后将被加入到VLAN 200。
[AC2-wlan-st-1] vlan 200
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC2-wlan-st-1] akm mode psk
[AC2-wlan-st-1] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
# 使能无线服务模板。
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
(8) 配置手工AP
# 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号为219801A28N819CE0002T。
[AC2] wlan ap ap1 model WA6320
[AC2-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[AC2-wlan-ap-ap1] quit
(9) 配置AP入组
# 配置AP名称入组规则。
[AC2] wlan ap-group group1
[AC2-wlan-ap-group-group1] ap ap1
(10) 绑定无线服务
# 将无线服务模板1绑定到AP组group1下的Radio 2上。
[AC2-wlan-ap-group-group1] ap-model WA6320
[AC2-wlan-ap-group-group1-ap-model-WA6320] radio 2
[AC2-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1
# 开启Radio 2的射频功能。
[AC2-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable
[AC2-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit
[AC2-wlan-ap-group-group1-ap-model-WA6320] quit
[AC2-wlan-ap-group-group1] quit
(1) 配置Core Switch接口
# 创建VLAN 100和VLAN 20,并配置IP地址,用于转发AC和AP间CAPWAP隧道内的流量。
<Core Switch> system-view
[Core Switch] vlan 100
[Core Switch-vlan100] quit
[Core Switch] interface vlan-interface 100
[Core Switch-Vlan-interface100] ip address 10.3.1.1 16
[Core Switch-Vlan-interface100] quit
[Core Switch] vlan 20
[Core Switch-vlan20] quit
[Core Switch] interface vlan-interface 20
[Core Switch-Vlan-interface20] ip address 10.1.1.3 16
[Core Switch-Vlan-interface20] quit
# 创建VLAN 200,并为该接口配置IP地址。Client使用该VLAN接入无线网络。
[Core Switch] vlan 200
[Core Switch-vlan200] quit
[Core Switch] interface vlan-interface 200
[Core Switch-Vlan-interface200] ip address 10.4.1.1 16
[Core Switch-Vlan-interface200] quit
# 配置Core Switch与AC 1相连的GigabitEthernet1/0/1接口的属性为Trunk,允许VLAN 20和VLAN 200通过。
[Core Switch] interface gigabitethernet 1/0/1
[Core Switch-GigabitEthernet1/0/1] port link-type trunk
[Core Switch-GigabitEthernet1/0/1] port trunk permit vlan 20 200
[Core Switch-GigabitEthernet1/0/1] quit
# 配置Core Switch与AC 2相连的GigabitEthernet1/0/2接口属性为Trunk,允许VLAN 20和VLAN 200通过。
[Core Switch] interface gigabitethernet 1/0/2
[Core Switch-GigabitEthernet1/0/2] port link-type trunk
[Core Switch-GigabitEthernet1/0/2] port trunk permit vlan 20 200
[Core Switch-GigabitEthernet1/0/2] quit
# 配置Core Switch与Access Switch相连的GigabitEthernet1/0/3接口属性为Trunk,允许VLAN 100通过,当前Trunk口的PVID为100。
[Core Switch] interface gigabitethernet 1/0/3
[Core Switch-GigabitEthernet1/0/3] port link-type trunk
[Core Switch-GigabitEthernet1/0/3] port trunk permit vlan 100
[Core Switch-GigabitEthernet1/0/3] port trunk pvid vlan 100
[Core Switch-GigabitEthernet1/0/3] quit
(2) 配置DHCP功能
# 配置DHCP地址池100,用于为AP分配IP地址,地址范围为10.3.0.0/16,网关地址为10.3.1.1。
[Core Switch] dhcp server ip-pool 100
[Core Switch-dhcp-pool-100] network 10.3.0.0 mask 255.255.0.0
[Core Switch-dhcp-pool-100] gateway-list 10.3.1.1
# 配置DHCP Option43的内容为AC 1和AC 2的十六进制IP地址。
[Core Switch-dhcp-pool-100] option 43 hex 800b0000020a0101010a010102
[Core Switch-dhcp-pool-100] quit
# 配置DHCP地址池2为Client分配地址范围为10.4.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为10.4.1.1。
[Core Switch] dhcp server ip-pool 2
[Core Switch-dhcp-pool-2] network 10.4.0.0 mask 255.255.0.0
[Core Switch-dhcp-pool-2] gateway-list 10.4.1.1
[Core Switch-dhcp-pool-2] dns-list 10.4.1.1
[Core Switch-dhcp-pool-2] quit
# 开启DHCP server服务。
[Core Switch] dhcp enable
(3) 配置Core Switch连接外网
# 创建VLAN 400,并配置IP地址,用于转发去往外网的流量。
[Core Switch] vlan 400
[Core Switch-vlan400] quit
[Core Switch] interface vlan-interface 400
[Core Switch-Vlan-interface400] ip address 10.10.1.1 16
[Core Switch-Vlan-interface400] quit
# 配置Core Switch与外网相连的GigabitEthernet1/0/4接口属性为Access,并允许VLAN 400通过。
[Core Switch] interface gigabitethernet 1/0/4
[Core Switch-GigabitEthernet1/0/4] port link-type access
[Core Switch-GigabitEthernet1/0/4] port access vlan 400
[Core Switch-GigabitEthernet1/0/4] quit
# 配置Core Switch缺省路由下一跳为Router的IP地址10.10.1.2。
[Core Switch] ip route-static 0.0.0.0 0 10.10.1.2
# 创建VLAN 100,VLAN 100为AP接入的VLAN。
<Access Switch> system-view
[Access Switch] vlan 100
[Access Switch-vlan100] quit
# 配置Access Switch与Core Switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 100通过,当前Trunk口的PVID为100。
[Access Switch] interface gigabitethernet 1/0/1
[Access Switch-GigabitEthernet1/0/1] port link-type trunk
[Access Switch-GigabitEthernet1/0/1] port trunk permit vlan 100
[Access Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100
[Access Switch-GigabitEthernet1/0/1] quit
# 配置Access Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
[Access Switch] interface gigabitethernet 1/0/2
[Access Switch-GigabitEthernet1/0/2] port link-type access
[Access Switch-GigabitEthernet1/0/2] port access vlan 100
# 开启PoE接口远程供电功能。
[Access Switch-GigabitEthernet1/0/2] poe enable
[Access Switch-GigabitEthernet1/0/2] quit
(1) 在AC 1上执行display wlan ap-license-group命令查看已经建立的AP License共享组,AP License共享组内的License总数为AC 1和AC 2的License之和。
<AC1> display wlan ap-license-group
Group total licenses: 256
Group used licenses: 1
AP license synchronization: Enabled
Local IP: 10.1.1.1
Local role: Master
Member information: 1
IP address Total Used Member role State Online duration
10.1.1.2 0 0 Master UP 00hr 1min 51sec
(2) 通过display wlan ap all命令在AC 1查看AP的状态为R/M。
<AC1> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 384
Remaining APs: 383
Total AP licenses: 256
Local AP licenses: 256
Server AP licenses: 0
Remaining local AP licenses: 255
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
Online time : Day:Hour:Minute:Second
AP name APID State Model Serial ID G
roup name Online time Clients Mode IP address
ap1 1 R/M WA6320 219801A28N819CE0002T group1 0:00:00:46 1 Fit 10.3.1.2
(3) 在AC 1上查看Client信息
# 在AC 1上使用命令display wlan client查看在线Client,可以看到Client已经连接到AP的Radio 2。
<AC1> display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
90b9-311a-bef6 N/A ap1 2 10.4.1.2 200
(4) 通过display wlan ap all命令在AC 2查看AP的状态为R/B,共享AP License数量为256。
<AC2> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 384
Remaining APs: 383
Total AP licenses: 256
Local AP licenses: 256
Server AP licenses: 0
Remaining local AP licenses: 256
Sync AP licenses: 256
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
Online time : Day:Hour:Minute:Second
AP name APID State Model Serial ID G
roup name Online time Clients Mode IP address
ap1 1 R/B WA6320 219801A28N819CE0002T group1 0:00:00:56 1 Fit 10.3.1.2
(5) 在AC 2上可以使用display wlan persistent-client命令,查看通过终端保持功能维持的终端信息。
<AC2> display wlan persistent-client
Total number of persistent clients: 1
Reset Interval: N/A
Remain Time: N/A
MAC address APID RadioID AID BSSID
90b9-311a-bef6 1 2 1 6c87-2023-bd24
(6) 为了模拟AC 1故障,可以将AC 1的Vlan-interface20接口关闭。此时,等待一段时间(大约3秒,具体取决于AC之间的故障检测周期),在集中转发模式下,这期间网络流量会暂时中断,可以通过ping命令进行测试。随后,AP会自动切换到AC 2进行上线。在AC 2上使用display wlan ap all命令查询,可以看到AP的状态显示为R/M。
<AC2> display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 384
Remaining APs: 383
Total AP licenses: 256
Local AP licenses: 256
Server AP licenses: 0
Remaining local AP licenses: 255
Sync AP licenses: 256
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
Online time : Day:Hour:Minute:Second
AP name APID State Model Serial ID G
roup name Online time Clients Mode IP address
ap1 1 R/M WA6320 219801A28N819CE0002T group1 0:00:30:46 1 Fit 10.3.1.2
(7) 模拟AC 1故障恢复,开启AC 1的Vlan-interface20接口,由于配置了CAPWAP隧道抢占功能,等待一段时间后,AP会重新在AC 1上线,通过display wlan ap all命令在AC 1上查看AP的状态恢复为R/M,在AC 2上查看AP的状态恢复为R/B。
· 双链路热备份组网下,AC的设备型号和软件版本需要保持一致。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 在配置业务之前请先在AC上安装License,在双链路组网下,基于配置方便的考虑,建议仅在主AC上安装License,备AC不安装License,备AC进行AP License共享保证主AC故障时License仍然可用。
· 为保证AP License共享功能开启成功,必须先配置本AC的IP地址和成员AC的IP之后再开启AP License共享功能。
· 在双链路组网中,两台AC在AP License共享组的角色均需要配置为主AC,即确保两台AC能够互相共享License。
· 在双链路热备份和AP License共享组网中,当一台AC断开的时间超过30天,其共享的AP License在另一台AC上将失效。此时另一台AC上新接入的AP无法使用共享的AP License,已接入的AP不会被踢下线。
· 在本地转发模式下,若终端保持功能与Portal认证结合使用,请配置MAC-trigger快速认证以实现无感知认证;在集中转发模式下,若终端保持功能与Portal认证结合使用,请配置远程MAC+远程Portal实现无感知认证。
双链路备份和AP License共享推荐使用下面系列无线控制器:
|
产品系列 |
软件版本 |
|
WX2500X系列 |
R5819P14及之后版本 |
|
WX5500X系列 |
R5489P02及之后版本 |
|
AC插卡系列 |
R5489P02及之后版本 |
为了保证双链路场景下两台AC设备的配置一致,建议在TM角色的AC上进行相关配置,然后将这些配置同步到TC角色的AC上。
可同步的配置包括AP视图、AP组视图、全局配置视图、Radio视图、AP组Radio视图、无线服务模板视图等视图下的配置,以及接入认证相关的配置。
随着软件版本的持续升级,可同步配置项也会不断迭代更新。具体可同步的配置内容,请以设备实际支持情况为准。
|
视图 |
命令 |
描述 |
说明 |
|
系统视图 |
wlan global-configuration |
命令用来进入全局配置视图 |
执行命令后会进入视图,这些视图及其子视图下面的命令都会同步,但如下命令不会同步: · control-address { ip ipv4-address | ipv6 ipv6-address } · priority priority · backup-ac { ip ipv4-address | ipv6 ipv6-address } · portal { bas-ip ipv4-address | bas-ipv6 ipv6-address } · nas-id nas-identifier · nas-port-id nas-port-id · nas-ip { ipv4-address | ipv6 ipv6-address } |
|
wlan ap |
命令用来创建手工AP,并进入AP视图。如果指定的AP已经存在,则直接进入AP视图 |
||
|
wlan ap-group |
命令用来创建AP组,并进入AP组视图。如果指定的AP组已经存在,则直接进入AP组视图 |
||
|
wlan service-template |
命令用来创建无线服务模板,并进入无线服务模板视图。如果指定的无线服务模板已经存在,则直接进入无线服务模板视图 |
||
|
user-profile |
命令用来创建User Profile,并进入User Profile视图。如果指定的User Profile已经存在,则直接进入User Profile视图 |
||
|
configuration profile |
命令用来创建一个配置模板,指定AP的型号,并进入配置模板视图。如果指定的配置模板已经存在,则直接进入配置模板视图 |
||
|
wlan accounting-policy |
命令用来创建计费策略,并进入计费策略视图。如果指定的计费策略已经存在,则直接进入计费策略视图 |
||
|
radius dynamic-author server |
命令用来开启RADIUS DAE服务,并进入RADIUS DAE服务器视图 |
||
|
radius scheme |
命令用来创建RADIUS方案,并进入RADIUS方案视图。如果指定的RADIUS方案已经存在,则直接进入RADIUS方案视图 |
||
|
vlan-group |
命令用来创建一个VLAN组,并进入VLAN组视图。如果指定的VLAN组已经存在,则直接进入该VLAN组视图 |
||
|
vlan |
命令用来创建VLAN,并进入VLAN视图。如果指定的VLAN已存在,则直接进入该VLAN的视图 |
||
|
portal server |
命令用来创建Portal认证服务器,并进入Portal认证服务器视图。如果指定的Portal认证服务器已经存在,则直接进入Portal认证服务器视图 |
||
|
domain |
命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图 |
||
|
eap-profile |
命令用来创建EAP认证方案,并进入EAP认证方案视图。如果指定的EAP认证方案已存在,则直接进入EAP认证方案视图 |
||
|
portal local-web-server |
命令用来开启本地Portal服务,并进入基于HTTP/HTTPS协议的本地Portal Web服务视图 |
||
|
portal extend-auth-server |
命令用来创建第三方认证服务器,并进入第三方认证服务器视图。如果指定的第三方认证服务器已经存在,则直接进入第三方认证服务器视图 |
||
|
portal mac-trigger-server |
命令用来创建MAC绑定服务器,并进入MAC绑定服务器视图。如果指定的MAC绑定服务器已经存在,则直接进入MAC绑定服务器视图 |
||
|
系统视图 |
acl logging interval |
命令用来配置报文过滤日志信息的生成与发送周期,同时开启报文的首包上送功能 |
- |
|
acl trap interval |
命令用来配置报文过滤告警信息的生成与发送周期 |
||
|
wlan nas-port-id format |
命令用来配置无线客户端的NAS-Port-ID属性的格式 |
||
|
radius session-control enable |
命令用来开启RADIUS session control功能 |
||
|
port-security enable |
命令用来开启端口安全 |
||
|
wlan client-security authentication clear-previous-connection |
命令用来开启已认证无线客户端再次上线认证清除旧连接功能 |
||
|
wlan authentication optimization |
命令用来配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值 |
||
|
wlan password-failure-limit enable |
命令用来开启密码错误限制功能 |
||
|
dot1x authentication-method |
命令用来配置802.1X系统的认证方法 |
||
|
dot1x domain-delimiter |
命令用来配置802.1X支持的域名分隔符 |
||
|
dot1x retry |
命令用来设置设备向接入用户发送认证请求报文的最大次数 |
||
|
dot1x timer |
命令用来配置802.1X的定时器参数 |
||
|
domain default enable |
命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域 |
||
|
domain if-unknown |
命令用来为未知域名的用户指定ISP域 |
||
|
mac-authentication access-user log enable |
命令用来开启MAC地址认证接入用户日志信息功能 |
||
|
mac-authentication authentication-method |
命令用来配置MAC地址认证采用的认证方法 |
||
|
mac-authentication timer |
命令用来配置MAC地址认证的定时器参数 |
||
|
mac-authentication user-name-format |
命令用来配置MAC地址认证用户的账号格式 |
||
|
dns server |
命令用来配置域名服务器的IPv4地址 |
||
|
dns snooping enable |
命令用来开启DNS Snooping功能 |
支持
