接手了一个项目,发现现场配有两台AC6508,200余个AP点位,原先实施的高可用功能似乎未生效,故进行了一次改造并记录下来。
0x00 现场情况
因为这个项目已经有工程师进行了简单的实施,通过摸排,现状如下:
| 资产 | 数量 | 备注 |
|---|---|---|
| 无线控制器-AC6508 | 2 | 已经将光口组成聚合组接入核心交换机,目前高可用模式是双链路。 |
| License-192资源 | 2 | 分别被上到了两台AC上,通过HSB同步汇聚到一起,共384个 |
草,谁那么抽象把License单独上到两个不同的AC上的
另外,现场的AP均为本地转发模式,并通过外部RADIUS服务器鉴权,拖了大概600个用户。
0x01 实施规划
根据现场情况,我选择VRRP模式来进行高可用配置,准备将AC的CAPWAP业务地址配置成VIP与AP对接使用。
拓扑图看上去是这样的:
然后,CAPWAP的业务地址配置为10.100.100.0/23,以涵盖Licences数量的所有AP设备,分配vlan1100。
| VLANID | CIDR | 用途 |
|---|---|---|
| 10 | 192.168.10.0/24 | 管理网段 |
| 100 | 172.16.100.0/24 | 业务网段 |
| 1100 | 10.100.100.0/23 | CAPWAP网段 |
因为我懒得在核心上再做ACL了,所以就不在核心交换机上起vlan1100的虚接口,只做二层转发;后续要对AP调试就写一条路由到AC就行。所以DHCP服务也做在AC上。
到这里,就可以开始实施了。
0x02 设备开局
首先先对AC和交换机进行开局配置,这边就直接在模拟器上操作了。
核心交换机的配置
#定义全局vlan
vlan batch 10 100 1100
#配置管理虚接口
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#配置业务虚接口
interface Vlanif100
ip address 192.168.100.254 255.255.255.0
dhcp select interface
#配置主AC的聚合接口
interface Eth-Trunk1
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 1100
stp edged-port enable
#配置备AC的聚合接口
interface Eth-Trunk2
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 1100
stp edged-port enable
#配置无线接入交换机的聚合接口
interface Eth-Trunk10
port link-type trunk
port trunk allow-pass vlan 10 100 1100
(其余接口侧的配置省略)AC的配置
(此处以主为例,备没什么好说的,就改下IP地址,其他是一样的)
# 定义全局vlan
vlan batch 10 1100
#配置管理虚接口
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
#配置CAPWAP虚接口
interface Vlanif1100
ip address 10.100.100.1 255.255.254.0
#配置去往核心交换机的聚合口
interface Eth-Trunk0
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 1100
#物理接口上加入聚合成员
interface GigabitEthernet0/0/1
description TO_CORESW
eth-trunk 0
#物理接口上加入聚合成员
interface GigabitEthernet0/0/2
description TO_CORESW
eth-trunk 0
#新增一个管理用户,授予webui的权限
aaa
local-user admin password irreversible-cipher ineko.cc
local-user admin privilege level 15
local-user admin service-type http
#启动webui
http server enable
#写一条默认路由到核心
ip route-static 0.0.0.0 0.0.0.0 192.168.10.254无线接入交换机的配置
# 定义全局vlan
vlan batch 10 100 1100
#配置管理虚接口
interface Vlanif10
ip address 192.168.10.10 255.255.255.0
#配置去往核心交换机的聚合口
interface Eth-Trunk0
port link-type trunk
port trunk allow-pass vlan 10 100 1100
#配置去往AP的接口
interface Ethernet0/0/1
description TO_AP
port link-type trunk
port trunk pvid vlan 1100
port trunk allow-pass vlan 100 1100
#写一条默认路由去核心
ip route-static 0.0.0.0 0.0.0.0 192.168.10.254好了,这样的话,不出意外就可以正常ping通网内vlan10下所有设备了,并且主备AC的webui也能正常登入。
到这里,开局就做好了。
0x03配置HSB
华为ac主备设备间建立的隧道叫作HSB(Hot-Standby Backup)。
这里为了省事,我选择直接在webui上进行配置。
首先在主备AC上配置好HSB隧道,这边我用的是vlan10下的地址来建立隧道。
其实严格来说应该单独使用一组地址的,但我这边拓扑比较简单,就索性用管理地址了。
接着在系统视图下查看hsb服务状态,目前可以看到是已经连接了。
然后,在可靠性配置的选项卡里,选择VRRP模式,并将刚刚配置的HSB隧道作为备份组。
到这里,HSB的配置基本上就完成了,我们可以检查一下license是否有被同步,并且数量被叠加。
但这个时候查看hsb组的状态,两个AC还是处于独立模式,这是因为目前没有引用任何一个VRRP组,所以需要在下一步进行配置。
PS:模拟器上可能固件版本比较老,实际环境下的AC倒是没有区分不同的标签卡,直接在一页就可以完成配置。
并且,模拟器上少了一个配置同步的功能
0x03配置VRRP
接下来就是配置虚IP了,因为承载业务比较简单,所以只需要给CAPWAP网络配置一个VIP即可。
注意,主备AC都需要进行这项配置,并且确保设置了不一样的优先级。我的习惯是主设置253,备设置252。
接着在HSB配置中,绑定这个VRRP组。
不出意外的话,这次查看hsb-group,就能看到vrrp和hsb组的工作信息了。
0x04配置DHCP
现在,来配置一个vlan1100下的dhcp服务吧!
因为这里只跑AC,所以就没必要配置DNS了,网关定义到VIP上即可,注意要排除掉两个AC的实IP。
然后可以尝试起一台AP,不出意外的话就会有地址被分配了
因为刚刚配置HSB的时候,勾选了DHCP同步,所以此时在主备ac上可以同步地址分配状态。
0x05配置AC上线
终于,我们可以将VIP作为CAPWAP地址,配置让AP上线了。
注意,这边源地址就要配置成VRRP的那个VIP了,不然AP傻乎乎地通过AC的实IP来建立通信,主备切换后业务就掉了。
这个时候应该AP就会陆陆续续上线了,同时,备AC上也会同步出AP信息,状态为standby。
0x06测试
因为是基于VRRP模式的高可用,所以直接修改VRRP的优先级,即可实现主备倒换。
在进行倒换测试的时候,不要忘了看下AP状态,是否从standby变成了normal。
同时,VRRP热备模式下,AC还会同步STA信息,所以在主备AC上都可查询到用户上线信息。
至此,AC高可用就完全做完啦!
0x07碎碎念
本次的配置参考了华为官方文档,对实际生产环境进行了一些修改。
在编写这份文章的时候,我使用ENSP来模拟了一个环境,如果你感兴趣,可以在这里获取工程文件。
最后,这是本博客第一篇与网络设备相关的文章,感谢你看到这里,如果有纰漏或更好的建议,欢迎在评论区一起交流🙇♂️
