WX系列无线控制器本地Portal双机热备功能典型配置
一、 组网需求:
AC1和AC2之间存在备份链路,使用VRRP协议和AC热备实现双机热备的流量切换,且两台设备均支持Portal认证功能。现要求AC1和AC2支持双机热备运行情况下的Portal用户数据备份,具体为:
1. AC1正常工作的情况下,Client通过AC1进行Portal认证接入到外网。AC1发生故障的情况下,Client通过AC2接入到外网,并且在VRRP监视上/下行链路接口功能的配合下,保证业务流量切换不被中断。
2. 采用RADIUS服务器作为认证/计费服务器。
3. 采用AC作为本地Portal服务器。
4. AC1和AC2之间通过单独的链路传输双机热备报文,且指定专用于双机热备的VLAN为VLAN 10。
二、 组网图:
三、 配置步骤:
1. 配置AC1
1) 配置VRRP
# 创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为16.16.0.8。
system-view [AC1] interface vlan-interface 100
[AC1–Vlan-interface100] vrrp vrid 1 virtual-ip 16.16.0.8
# 配置VLAN接口100在VRRP备份组1中的优先级为200。
[AC1–Vlan-interface100] vrrp vrid 1 priority 200
# 在VLAN接口100上配置监视VLAN接口8,当VLAN接口8状态为Down或Removed时,VLAN接口100在备份组1中的优先级降低120。
[AC1–Vlan-interface100] vrrp vrid 1 track interface vlan-interface8 reduced 120
[AC1–Vlan-interface100] quit
# 创建VRRP备份组2,并配置VRRP备份组2的虚拟IP地址为8.1.1.68。
[AC1] interface vlan-interface 8
[AC1–Vlan-interface8] vrrp vrid 2 virtual-ip 8.1.1.68
# 配置VLAN接口8在VRRP备份组2中的优先级为200。
[AC1–Vlan-interface8] vrrp vrid 2 priority 200
# 在VLAN接口8上配置监视VLAN接口100,当VLAN接口100状态为Down或Removed时,VLAN接口8在备份组2中的优先级降低120。
[AC1–Vlan-interface8] vrrp vrid 2 track interface vlan-interface100 reduced 120
[AC1–Vlan-interface8] quit
2) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案,并进入该方案视图。
[AC1] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC1-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC1-radius-rs1] primary authentication 8.1.1.2
[AC1-radius-rs1] primary accounting 8.1.1.2
[AC1-radius-rs1] key authentication expert
[AC1-radius-rs1] key accounting expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(可选,请根据实际应用需求调整)
[AC1-radius-rs1] user-name-format without-domain
[AC1-radius-rs1] quit
3) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC1] domain dm1
# 配置ISP域的认证、授权、计费方法。
[AC1-isp-dm1] authentication portal radius-scheme rs1
[AC1-isp-dm1] authorization portal radius-scheme rs1
[AC1-isp-dm1] accounting portal radius-scheme rs1
[AC1-isp-dm1] quit
4) 配置接口使能Portal
# 配置Portal服务器:名称为local,IP地址为16.16.0.8(VRRP备份组1的虚拟IP地址),URL为http://16.16.0.8/portal/logon.htm。
[AC1] portal server local ip 16.16.0.8 url http://16.16.0.8/portal/logon.htm
# 配置免认证规则,允许AC2发送的报文在不需要认证的情况下通过AC1。(此配置可选,仅在设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须)
[AC1] portal free-rule 0 source interface gigabitethernet1/0/1 destination any
# 配置本地Portal服务器支持HTTP协议。
[AC1] portal local-server http
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] portal domain dm1
[AC1–Vlan-interface100] portal server local method direct
# 指定发送Portal报文的源IP地址为VRRP组1的虚拟IP地址16.16.0.8。
[AC1–Vlan-interface100] portal nas-ip 16.16.0.8
5) 配置Portal支持双机热备
# 配置VLAN接口100属于Portal备份组1。
[AC1] interface vlan-interface 100
[AC1–Vlan-interface100] portal backup-group 1
[AC1–Vlan-interface100] quit
# 配置双机热备模式下的设备ID为1。
[AC1] nas device-id 1
# 配置发送RADIUS报文的源IP地址为8.1.1.68(VRRP备份组2的虚拟IP地址)。
[AC1] radius nas-ip 8.1.1.68
6) 配置WLAN服务
# 配置全局备份AC的IP地址为2.2.2.3。
[AC1] wlan backup-ac ip 2.2.2.3
# 使能AC间热备份功能。
[AC1] hot-backup enable
# 配置AC间用于热备份的VLAN为VLAN 10。
[AC1] hot-backup vlan 10
# 创建接口WLAN-ESS1,并将其加入VLAN 100。
[AC1] interface WLAN-ESS 1
[AC1-WLAN-ESS1] port link-type hybrid
[AC1-WLAN-ESS1] port hybrid vlan 100 untagged
[AC1-WLAN-ESS1] port hybrid pvid VLAN 100
# 配置WLAN服务模板,并将接口WLAN-ESS1与该服务模板绑定。
[AC1] wlan service-template 1 clear
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind WLAN-ESS 1
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC上配置AP。
[AC1] wlan ap ap1 model WA2100
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] radio 1
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
7) 配置双机热备
# 配置备份VLAN为VLAN 10。
[AC1] dhbk vlan 10
# 使能双机热备功能,且支持对称路径。
[AC1] dhbk enable backup-type symmetric-path
2. 配置AC2
1) 配置VRRP
# 创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为16.16.0.8。
system-view [AC2] interface vlan-interface 100
[AC2–Vlan-interface100] vrrp vrid 1 virtual-ip 16.16.0.8
[AC2–Vlan-interface100] quit
# 创建VRRP备份组2,并配置VRRP备份组2的虚拟IP地址为8.1.1.68。
[AC2] interface vlan-interface 8
[AC2–Vlan-interface8] vrrp vrid 2 virtual-ip 8.1.1.68
[AC2–Vlan-interface8] quit
2) 配置RADIUS方案
# 创建名字为rs1的RADIUS方案并进入该方案视图。
[AC2] radius scheme rs1
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[AC2-radius-rs1] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[AC2-radius-rs1] primary authentication 8.1.1.2
[AC2-radius-rs1] primary accounting 8.1.1.2
[AC2-radius-rs1] key authentication expert
[AC2-radius-rs1] key accounting expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。(缺省情况下携带域名,请根据实际应用需求调整)
[AC2-radius-rs1] user-name-format without-domain
[AC2-radius-rs1] quit
3) 配置认证域
# 创建并进入名字为dm1的ISP域。
[AC2] domain dm1
# 配置ISP域的认证、授权、计费方法。
[AC2-isp-dm1] authentication portal radius-scheme rs1
[AC2-isp-dm1] authorization portal radius-scheme rs1
[AC2-isp-dm1] accounting portal radius-scheme rs1
[AC2-isp-dm1] quit
4) 配置接口使能Portal
# 配置Portal服务器:名称为local,IP地址为16.16.0.8(VRRP备份组1的虚拟IP地址),URL为http://16.16.0.8/portal/logon.htm。
[AC2] portal server local ip 16.16.0.8 url http://16.16.0.8/portal/logon.htm
# 配置免认证规则,允许AC1发送的报文在不需要认证的情况下通过AC2。(此配置可选,仅在设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须)
[AC2]portal free-rule 0 source interface gigabitethernet1/0/1 destination any
# 配置本地Portal服务器支持HTTP协议。
[AC2]portal local-server http
# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1,并使能Portal认证。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] portal domain dm1
[AC2–Vlan-interface100] portal server local method direct
# 指定发送Portal报文的源IP地址为VRRP组1的虚拟IP地址16.16.0.8。
[AC2–Vlan-interface100] portal nas-ip 16.16.0.8
5) 配置Portal支持双机热备
# 配置VLAN接口100属于Portal备份组1。
[AC2] interface vlan-interface 100
[AC2–Vlan-interface100] portal backup-group 1
[AC2–Vlan-interface100] quit
# 配置双机热备模式下的设备ID为2。
[AC2] nas device-id 2
# 配置发送RADIUS报文的源IP地址为8.1.1.68(VRRP备份组2的虚拟IP地址)。
[AC2] radius nas-ip 8.1.1.68
6) 配置WLAN服务
# 配置全局备份AC的IP地址为2.2.2.1。
[AC2] wlan backup-ac ip 2.2.2.1
# 使能AC间热备份功能。
[AC2] hot-backup enable
# 配置AC间用于热备份的VLAN为VLAN 10。
[AC2] hot-backup vlan 10
# 创建接口WLAN-ESS1,并将其加入VLAN 100。
[AC2] interface WLAN-ESS 1
[AC2-WLAN-ESS1] port link-type hybrid
[AC2-WLAN-ESS1] port hybrid vlan 100 untagged
[AC2-WLAN-ESS1] port hybrid pvid VLAN 100
[AC2-WLAN-ESS1] quit
# 配置WLAN服务模板,并将接口WLAN-ESS1与该服务模板绑定。
[AC2] wlan service-template 1 clear
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind WLAN-ESS 1
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 在AC上配置AP(其中AP的接入优先级取缺省值4)。
[AC2] wlan ap ap1 model WA2100
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
7) 配置双机热备
# 配置备份VLAN为VLAN 10。
[AC2] dhbk vlan 10
# 使能双机热备功能。
[AC2] dhbk enable backup-type symmetric-path
3. 验证配置结果
# 用户Client从AC 1成功上线后,在AC 1和AC 2上均可以通过命令display portal user查看该用户的认证情况。
[AC1] display portal user all
Index:3
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: primary
MAC IP Vlan Interface
--------------------------------------------------------------------
000d-88f8-0eac 16.16.0.12 100 WLAN-DBSS1:1
Total 1 user(s) matched, 1 listed.
[AC2] display portal user all
Index:2
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode: secondary
MAC IP Vlan Interface
--------------------------------------------------------------------
000d-88f8-0eac 16.16.0.12 100 WLAN-DBSS1:0
Total 1 user(s) matched, 1 listed.
通过以上显示信息可以看到,AC1和AC2上均有Portal用户Client的信息,且AC1上的用户模式为primary,AC2上的用户模式为secondary,表示该用户是由AC1上线并被同步到AC2上的。
四、 配置关键点:
1. 按照组网图配置设备各接口的IP地址,保证启动Portal之前各主机、服务器和设备之间的路由可达。
2. 保证启动Portal之前主机可以分别通过AC1和AC2访问认证服务器。
3. 配置VRRP备份组1和VRRP备份组2分别实现下行、上行链路的备份。
4. 认证服务器上指定接入设备的IP地址为VRRP备份组2的虚拟IP地址。
5. 在AC热备中,各个设备的主、备角色与在VRRP备份组中的主、备角色必须保持一致,即作为主AC的设备在VRRP备份组中也是Master设备,否则会导致本地认证时无法按照SSID推出认证页面。若由于组网需要,例如两个AC进行负载分担的情况下,未满足以上一致性要求,则需要配置相应的免认证规则,具体配置见配置步骤中的相关内容。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作