WX系列无线控制器与iMC配合做Portal双机热备功能的典型配置

WX系列无线控制器与iMC配合做Portal双机热备功能的典型配置

 

一、 组网需求：

接入设备AC1和AC2之间存在备份链路，使用VRRP协议和AC热备实现双机热备的流量切换，且两台设备均支持Portal认证功能。现要求AC1和AC2支持双机热备运行情况下的Portal用户数据备份，具体为：

1、AC1正常工作的情况下，Client通过AC1进行Portal认证接入到外网。2、AC1发生故障的情况下，Client通过AC2接入到外网，并且在VRRP监视上行链路接口功能的配合下，保证业务流量切换不被中断。

3、采用RADIUS服务器作为认证/计费服务器。（本例中Portal服务器和RADIUS服务器的功能均由Server实现）

4、 AC1和AC2之间通过单独的链路传输双机热备报文，且指定专用于双机热备的VLAN为VLAN 8。

二、 组网图：

三、 配置步骤：

1、 配置Portal服务器

# 配置Portal服务器。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[Portal服务管理/服务器配置]菜单项，进入服务器配置页面。

根据实际组网情况调整以下参数，本例中使用缺省配置：

# 配置IP地址组。

单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

1)   填写IP地址组名；

2)   输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内；

3)   选择业务分组，本例中使用缺省的“未分组”；

4)   选择IP地址组的类型为“普通”。

# 增加Portal设备。

单击导航树中的[Portal服务管理/Portal 设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

1)   填写设备名；

2)   指定主机IP地址为AC上所指定的Portal NAS-IP的地址，即VRRP组的虚拟IP地址；

3)   输入密钥，与接入设备AC上的配置保持一致；

4)   选择是否进行二次地址分配，本例中为直接认证，因此为否；

5)   选择是否支持逃生心跳功能和用户心跳功能，本例中不支持。

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击AC设备的<端口组信息管理>链接，进入端口组信息配置页面。

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击AC设备的<端口组信息管理>

在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。

1)   填写端口组名；

2)   选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

3)   其它参数采用缺省值

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项，使以上Portal服务器配置生效。

# 配置Portal服务器。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[Portal服务管理/服务器配置]菜单项，进入服务器配置页面。

根据实际组网情况调整以下参数，本例中使用缺省配置。

# 配置IP地址组。

单击导航树中的[Portal服务管理/Portal IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

1)   填写IP地址组名；

2)   输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内；

3)   选择业务分组，本例中使用缺省的“未分组”；

4)   选择IP地址组的类型为“普通”。

# 增加Portal设备。

单击导航树中的[Portal服务管理/Portal设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

1)   填写设备名；

2)   指定主机IP地址为使能Portal的接口所在的VRRP组的虚拟IP地址；

3)   输入密钥，与接入设备AC上的配置保持一致；

4)   选择是否进行二次地址分配，本例中为直接认证，因此为否；

5)   选择是否支持逃生心跳功能和用户心跳功能，本例中不支持。

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击AC设备的<端口组信息管理>链接，进入端口组信息配置页面。

在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。

1)   填写端口组名；

2)   选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

3)   其它参数采用缺省值。

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项，使以上Portal服务器配置生效。

2、 配置AC1

1)   配置VRRP

# 创建VRRP备份组，并配置VRRP备份组的虚拟IP地址为192.168.0.1。

system-view

[AC1] interface vlan-interface 20

[AC1–Vlan-interface20] vrrp vrid 1 virtual-ip 192.168.0.1

# 配置VLAN接口20在VRRP备份组中的优先级为200。

[AC1–Vlan-interface20] vrrp vrid 1 priority 200

# 在VLAN接口20上配置监视VLAN接口10，当VLAN接口10状态为Down或Removed时，VLAN接口20在备份组中的优先级降低150。

[AC1–Vlan-interface20] vrrp vrid 1 track interface vlan-interface10 reduced 150

[AC1–Vlan-interface20] quit

2)   配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

[AC1] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时，RADIUS服务器类型应选择extended。

[AC1-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[AC1-radius-rs1] primary authentication 192.168.0.111

[AC1-radius-rs1] primary accounting 192.168.0.111

[AC1-radius-rs1] key authentication expert

[AC1-radius-rs1] key accounting expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。（可选，请根据实际应用需求调整）

[AC1-radius-rs1] user-name-format without-domain

[AC1-radius-rs1] quit

3)   配置认证域

# 创建并进入名字为dm1的ISP域。

[AC1] domain dm1

# 配置ISP域的AAA方法。

[AC1-isp-dm1] authentication portal radius-scheme rs1

[AC1-isp-dm1] authorization portal radius-scheme rs1

[AC1-isp-dm1] accounting portal radius-scheme rs1

[AC1-isp-dm1] quit

4)   配置接口使能portal

# 配置Portal服务器：名称为newpt，IP地址为192.168.0.111，密钥为portal，端口为50100，URL为http://192.168.0.111:8080/portal。（Portal服务器的URL请与实际环境中的Portal服务器配置保持一致，此处仅为示例）

[AC1] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 配置免认证规则，允许AC2发送的报文在不需要认证的情况下通过AC1。（此配置可选，仅当设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须配置）。

[AC1] portal free-rule 0 source interface GigabitEthernet1/0/1 destination any

# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1，并使能Portal认证。

[AC1] interface vlan-interface 10

[AC1–Vlan-interface10] portal domain dm1

[AC1–Vlan-interface10] portal server newpt method direct

# 指定发送Portal报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。

[AC1–Vlan-interface10] portal nas-ip 192.168.0.1

5)   配置portal支持双机热备

# 配置VLAN接口10属于Portal备份组1。

[AC1–Vlan-interface10] portal backup-group 1

[AC1–Vlan-interface10] quit

# 配置双机热备模式下的设备ID为1。

[AC1] nas device-id 1

# 配置发送RADIUS报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。

[AC1] radius nas-ip 192.168.0.1   //保证RADIUS服务器上成功添加了IP地址为192.168.0.1的接入设备。

6)   配置WLAN服务

# 配置全局备份AC的IP地址为1.1.1.2。

[AC1] wlan backup-ac ip 1.1.1.2

# 使能AC间热备份功能。

[AC1] hot-backup enable

# 配置AC间用于热备份的VLAN为VLAN 8。

[AC1] hot-backup vlan 8

# 创建接口WLAN-ESS1，并将其加入VLAN 10。

[AC1] interface WLAN-ESS 1

[AC1-WLAN-ESS1] port link-type hybrid

[AC1-WLAN-ESS1] port hybrid vlan 10 untagged

[AC1-WLAN-ESS1] port hybrid pvid VLAN 10

[AC1-WLAN-ESS1] quit

# 配置WLAN服务模板，并将接口WLAN-ESS1与该服务模板绑定。

[AC1] wlan service-template 1 clear

[AC1-wlan-st-1] ssid abc

[AC1-wlan-st-1] bind WLAN-ESS 1

[AC1-wlan-st-1] service-template enable

[AC1-wlan-st-1] quit

# 在AC上配置AP（其中AP的接入优先级设置为7，该值越大优先级越高，缺省为4）。

[AC1] wlan ap ap1 model WA2100

[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020

[AC1-wlan-ap-ap1] priority level 7

[AC1-wlan-ap-ap1] radio 1

[AC1-wlan-ap-ap1-radio-1] service-template 1

[AC1-wlan-ap-ap1-radio-1] radio enable

[AC1-wlan-ap-ap1-radio-1] quit

[AC1-wlan-ap-ap1] quit

7)   配置双机热备

# 配置备份VLAN为VLAN 8。

[AC1] dhbk vlan 8

# 使能双机热备功能，且支持对称路径。

[AC1] dhbk enable backup-type symmetric-path

3、 配置AC2

1)   配置VRRP

# 创建VRRP备份组，并配置VRRP备份组的虚拟IP地址为192.168.0.1。

[AC2] system-view

[AC2] interface vlan-interface 20

[AC2–Vlan-interface20] vrrp vrid 1 virtual-ip 192.168.0.1

# 配置VLAN接口20在VRRP备份组中的优先级为150。

[AC2–Vlan-interface20] vrrp vrid 1 priority 150

[AC2–Vlan-interface20] quit

2)   配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

[AC2] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时，RADIUS服务器类型应选择extended。

[AC2-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[AC2-radius-rs1] primary authentication 192.168.0.111

[AC2-radius-rs1] primary accounting 192.168.0.111

[AC2-radius-rs1] key authentication expert

[AC2-radius-rs1] key accounting expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。（可选，请根据实际应用需求调整）

[AC2-radius-rs1] user-name-format without-domain

[AC2-radius-rs1] quit

3)   配置认证域

# 创建并进入名字为dm1的ISP域。

[AC2] domain dm1

# 配置ISP域的AAA方法。

[AC2-isp-dm1] authentication portal radius-scheme rs1

[AC2-isp-dm1] authorization portal radius-scheme rs1

[AC2-isp-dm1] accounting portal radius-scheme rs1

[AC2-isp-dm1] quit

4)   配置接口是能Portal

# 配置Portal服务器：名称为newpt，IP地址为192.168.0.111，密钥为portal，端口为50100，URL为http://192.168.0.111:8080/portal。（Portal服务器的URL请与实际环境中的Portal服务器配置保持一致，此处仅为示例）

[AC2] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 配置免认证规则，允许AC1发送的报文在不需要认证的情况下通过AC2。（此配置可选，仅在设备在AC热备中的主备角色与在VRRP备份组中的主备角色不一致的情况下必须）

[AC2]portal free-rule 0 source interface gigabitethernet1/0/1 destination any

# 在与Client相连的接口上配置接入的Portal用户使用认证域dm1，并使能Portal认证。

[AC2] interface vlan-interface 10

[AC2–Vlan-interface10] portal domain dm1

[AC2–Vlan-interface10] portal server newpt method direct

# 指定发送Portal报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。

[AC2–Vlan-interface10] portal nas-ip 192.168.0.1

5)   配置Portal支持双机热备

# 配置VLAN接口10属于Portal备份组1。

[AC2–Vlan-interface10] portal backup-group 1

[AC2–Vlan-interface10] quit

# 配置双机热备模式下的设备ID为2。

[AC2] nas device-id 2

# 配置发送RADIUS报文的源IP地址为VRRP组的虚拟IP地址192.168.0.1。

[AC2] radius nas-ip 192.168.0.1   //证RADIUS服务器上成功添加了IP地址为192.168.0.1的接入设备。

6)   配置WLAN服务

# 配置全局备份AC的IP地址为1.1.1.1。

[AC2] wlan backup-ac ip 1.1.1.1

# 使能AC间热备份功能。

[AC2] hot-backup enable

# 配置AC间用于热备份的VLAN为VLAN 8。

[AC2] hot-backup vlan 8

# 创建接口WLAN-ESS1，并将其加入VLAN 10。

[AC2] interface WLAN-ESS 1

[AC2-WLAN-ESS1] port link-type hybrid

[AC2-WLAN-ESS1] port hybrid vlan 10 untagged

[AC2-WLAN-ESS1] port hybrid pvid VLAN 10

# 配置WLAN服务模板，并将接口WLAN-ESS1与该服务模板绑定。

[AC2] wlan service-template 1 clear

[AC2-wlan-st-1] ssid abc

[AC2-wlan-st-1] bind WLAN-ESS 1

[AC2-wlan-st-1] service-template enable

[AC2-wlan-st-1] quit

# 在AC上配置AP（其中AP的接入优先级取缺省值4）。

[AC2] wlan ap ap1 model WA2100

[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020

[AC2-wlan-ap-ap1] radio 1

[AC2-wlan-ap-ap1-radio-1] service-template 1

[AC2-wlan-ap-ap1-radio-1] radio enable

[AC2-wlan-ap-ap1-radio-1] quit

[AC2-wlan-ap-ap1] quit

7)   配置双机热备

# 配置备份VLAN为VLAN 8。

[AC2] dhbk vlan 8

# 使能双机热备功能。

[AC2] dhbk enable backup-type symmetric-path

4、 验证配置结果

# 用户Client从AC1成功上线后，在AC 1和AC 2上均可以通过命令display portal user查看该用户的认证情况。

[AC1] display portal user all

Index:3

 State:ONLINE

 SubState:NONE

 ACL:NONE

 Work-mode: primary

MAC                IP                 Vlan   Interface

 --------------------------------------------------------------------

 000d-88f8-0eac     9.9.1.2            10     Vlan-interface10

 Total 1 user(s) matched, 1 listed.

[AC2] display portal user all

Index:2

 State:ONLINE

 SubState:NONE

 ACL:NONE

 Work-mode: secondary

MAC                IP                 Vlan   Interface

 --------------------------------------------------------------------

 000d-88f8-0eac     9.9.1.2            10      Vlan-interface10

 Total 1 user(s) matched, 1 listed.

通过以上显示信息可以看到，AC1和AC2上均有Portal用户Client的信息，且AC1上的用户模式为primary，AC2上的用户模式为secondary，表示该用户是由AC 1上线并被同步到AC2上的。

四、 配置关键点：

1、 按照组网图配置设备各接口的IP地址，保证启动Portal之前各主机、服务器和设备之间的路由可达。

2、 保证启动Portal之前主机可以分别通过AC1和AC2访问认证服务器。

3、 认证服务器上指定接入设备的IP地址为VRRP备份组的虚拟IP地址。

4、 在AC热备中，各个设备的主、备角色与在VRRP备份组中的主、备角色必须保持一致，即作为主AC的设备在VRRP备份组中也是Master设备，否则会导致本地认证时无法按照SSID推出认证页面。若由于组网需要，例如两个AC进行负载分担的情况下，未满足以上一致性要求，则需要配置相应的免认证规则，具体配置见配置步骤中的相关内容。