目录
为什么需要AC冗余
瘦AP在WLAN网络中要能为无线用户提供服务必须与AC保持连接,如果AC出现故障,则瘦AP无法正常工作;为了增强服务的可用性,引入了AC冗余的功能
AC冗余的原理
AC冗余就是为AP指定多个AC;当AP到某个AC的连接不通时,AP能够和备用AC建立连接,继续进行业务传输
AC冗余可以使得业务快速恢复,甚至使得业务不中断
AC冗余的分类
锐捷针对冗余提供了3种解决方案
无线AC集群(冷备)、AC热备、VAC
华为针对冗余提供了4种解决方案
VRRP热备、双链路热备、双链路冷备、N+1冷备份
无线AC集群
AC集群的原理
AC集群主要是利用到AP发现AC时,会将AC的IP地址加入到AC列表,并为其指定不同的优先级(AC IP优先级)来实现,优先级越小越优先
当发现AC的阶段结束之后,AP只会向AC列表中最优的AC IP地址建立CAPWAP隧道
AC IP的优先级
优先级为1的AC会开启抢占(即当此AC故障恢复后,AP会将已经建立的隧道断开,与优先级为1的AC建立隧道)
因此,如果想让AP从一台AC切换到另一台AC,可以通过配置Primary-base实现
主备AC故障切换
主AC故障之后,需要等到AP echo报文超时后才会断开(最少1分钟左右)
然后AP再重新与其它AC建立连接
如果主AC有抢占机制,则AP断开与备用AC的隧道后再与主AC建立隧道,期间也会中断业务
AC集群的实现方式与配置
AC集群实现的两种方式
1、通过在DHCP Option 138指定多个AC的地址实现集群冷备(AC优先级一致)
此时AC的优先级一致,则根据是哪个AC先回复的Dicsovery Response报文,就跟哪个AC建立CAPWAP隧道
2、通过在ap-config下配置不同AC IP优先级来实现集群冷备(AC优先级不一致)
当AP与其中一台AC建立capwap隧道后,AC会向AP下发此AP对应AP组所在的ap-config中配置的AC IP地址、AC名、AC IP优先级等信息;
如果AP发现目前建立隧道的AC不是主AC,则AP就会和主AC建立隧道连接,然后断开先前的capwap隧道
AC集群的配置(集群中所有AC的配置都要一致—例如ap-group、wlan-config等)
1、DHCP Option 138配置
ip dhcp pool ruijie
option 138 ip 1.1.1.1 2.2.2.2 指定AC的地址为1.1.1.1,2.2.2.2
2、在ap-config下配置
ap-config AP的名称/AP的MAC地址/all all是针对所有AP设置
primary-base AC1 1.1.1.1 指定主AC名为AC1,地址为1.1.1.1
sencondary-base AC2 2.2.2.2 指定备用AC名为AC2,地址为2.2.2.2
tertiary-base AC3 3.3.3.3 指定第二备用AC名为AC3,地址为3.3.3.3
ap-mac 0001.0001.0001 指定AP的MAC为0001.0001.0001
ap-group ruijie 指定AP的组为ruijie
通过AC集群实现负载分担
通过AC对于不同的AP指定不同的AC优先级可以实现负载分担
AC1对AP1的优先级为1,AP2的优先级为2;
AC2对AP2的优先级为1,AP1的优先级为2;
AP的Failover优先级
当AP与AC连接失败后,会寻找备用AC;此时备用AC会按照AP加入请求的顺序来提供AP的接入
我们可以通过为AP指定优先级,使得AC按照优先级顺序接受AP的接入,此优先级就称为Failover优先级(优先级为1-4,默认为1,越高越优)
配置Failover优先级
AC上开启AP的优先级
ac-controller
ap-priority enable
AC上配置AP的优先级
ap-config xx
priority 4
优缺点
注意事项
同一台AP最多配置6台冗余AC
AP同时只和一台AC建立CAPWAP隧道,并且AC直接不同步AP和STA的用户数据
此方案适合对可靠性要求不是很高的场景
缺点
故障切换时间较长,造成大量业务丢失
不过管理方面都是两台或多台设备,需要手动负载,License无法实现负载
无线AC热备
AC热备的基本概念
在AC之间建立三层热备保活通道,通过进行报文报文交互,建立热备连接
并通过热备保活通道同步用户的数据以及关于AP的控制信息
AC三层保活通道
保活通道主要用来传递保活报文,进行AC的主备选举、热备保活、故障切换
保活报文默认周期为10ms,保活时间为30ms
主CAPWAP隧道与备CAPWAP隧道
建立热备的AC之间各自拥有独立的IP地址,AP分别同热备AC之间建立CAPWAP隧道
AP与主AC建立的CAPWAP隧道,用来进行数据传输
AP与备AC建立的CAPWAP隧道,不对业务数据进行转发,只是做备份
热备实例(Context)
一个热备实例代表一个热备组;一个AC可以属于多个热备实例(类似于MSTP实例与交换机之间的关系)
AC在不同的实例下可以有不同的角色;AC为实例1的主,实例2的备
即:对于某个/多个AP来说,其主备AC要属于同一热备实例,才可以实现AC冗余
AC热备使用到的端口号
Wlan热备功能探测报文:UDP 7425(用来检查两边AC是否可以进行AC热备,使用的是 锐捷的RHBP协议)
心跳保活报文:默认IP报文,协议字段为0;可以设置为UDP 7435
热备监听的数据通道端口:TCP 6425
热备监听的控制通道端口:TCP 6435
AC热备工作原理
主备协商
通过保活报文进行主备协商
刚开始建立热备的AC之间都认为自己是主AC,然后互相发送保护报文进行主备选举(携带热备优先级、MAC地址、AP连接数等信息)
两台设备都是首次热备成功
1、热备优先级高的为主
2、MAC地址低的AC为主
两台设备中有一台非首次热备成功(即该设备已经热备过,现在和新的设备组成热备)
非首次热备成功的AC为主
两台设备都是非首次热备成功(即两台分别热备过的设备再组成新的热备)
连接AP数多的AC为主
数据备份
主AC将本机上的STA用户数据同步到备AC上;保证AC切换后不影响已有的用户业务,并且不需要重新认证(通过TCP端口6425和6435备份 )
备份方式(先批量,后实时)
批量数据备份:热备建立成功后,主AC一次性将热备数据同步给备AC
实时数据备份:主AC上增、删、改用户表项后,实时同步给备AC
热备保活和故障切换
主AC定期发送保活报文给备AC,备用AC通过保活报文侦听主AC是否正常工作
当备AC在3个周期没有收到保活报文,就会认为主AC挂掉了,自己变为主AC
切换为主AC之后向AP发送主备AC切换通知,激活备CAPWAP隧道,完成隧道切换
保活模式
AC间默认为正常保活模式,保活报文发送间隔为1s
可以切换为快速模式,保活报文发送间隔为10ms
注意
优先级为7的AC会进行抢占
在批量备份完成之后的最短切换时间(10min)内,该AC会检测主AC下的AP是否全部在线,如果全部在线就会抢占重新成为主AC
如果不在线10min之后每min检测一次,45min之后就会强制进行切换,可能导致用户下线
保活报文类型
心跳请求报文
发给对端AC,需要回复
心跳应答报文
监听并收到的请求报文后,回复应答报文
服务端就绪报文(只有主AC会发送)
主AC收到备AC的应答后,发送此报文通知备AC现在可以开始进行热备连接
热备工作模式
A/S模式(主备模式)
一台为主,一台为备
所有AP与主建立主CAPWAP,与备建立备CAPWAP
主处理所有业务,备不处理业务
A/A模式(负载模式)
两台AC均为主设备转发数据,又同时作为备设备备份对端业务信息(针对不同的热备实例)
热备AC的配置
锐捷Wlan——AC热备实验(DHCP在核心交换机)_option 138_静下心来敲木鱼的博客-CSDN博客
紫色为根据需要进行的配置(蓝色热备AC基础的配置)
1、配置AC建立保活通道的地址之间路由可达
2、AC配置无线基础配置(wlan id、wlan安全、ap组、capwap隧道源);两边一致
配置AP DHCP的option 138时需要配置主备AC的loopback地址例如:
option 138 1.1.1.1 2.2.2.2
3、配置建立保活通道的地址(两边要对照配置)
wlan hot-back 2.2.2.2 指定对端通过环回口地址用来建立保活通道的地址;在此处配置的地址也只能是对端loop0地址(本端默认也使用loop0地址)
如果本/对端的capwap地址不是loop0地址,则需要手动指定本/对端的地址
local-ip 1.1.1.1 指定本端建立保活通道的地址
peer-ip 2.2.2.1 指定与对端建立保活通道的地址
context 10 配置热备实例10
priority level 1 配置热备优先级(默认优先级为4)
ap-group ruijie 将该AP组加入到热备中
如果AP/STA的地址网关/DHCP在AC上,则需要配置VRRP,并将VRRP和DHCP加入到热备实例中
dhcp-pool ruijie1 将dhcp地址池ruijie1加入到热备实例10
vrrp interface vlan 10 group 1 将vlan10下的vrrp备份组1加入到热备实例10
4、将AP设备加入到AP-Group中(两边一致)
5、开启热备AC(两边一致)
wlan hot-backup enable
故障检查
- AC之间建立热备的地址是否是loop0地址
- 建立热备的地址是否路由可达
- 建立热备的相关端口是否放通
- 检查热备AC之间的配置是否一致(热备配置、AP上线配置等)
优缺点
优点
解决了集群切换过程中业务中断的问题
缺点
不过管理方面都是两台或多台设备,需要手动负载,License无法实现负载
注意事项
1、热备设备之间配置要保持一致
2、如果AP跨公网上线,AC通过端口映射到公网,则热备中配置此AC的地址为公网地址(通过peer-ip指定)
3、如果两台热备AC中有防火墙,需要放行UDP的7425/7435和TCP的6425/6435几个端口
4、最多可以6台做热备
AP如何知道另外一个AC的IP地址
1、DHCP通告多个AC的地址
2、如果DHCP只通告一个AC的地址,则AP与此AC建立隧道后,AC通过wlan hot-backup使得AP知道还需要与此地址建立隧道,此时AP就会再建立一条隧道
无线VAC
VAC的基本概念
VAC类似于交换机的VSU堆叠;管理平面为一个
Domain ID
Domain ID是VAC的标识符,用来区别不同的VSU
同一个VAC之间的Domain ID一致(1~255,默认100)
Device ID
VAC的成员编号,区分同一个VAC中的不同成员(同一VAC的不同设备Device ID不一致)
AC优先级
用于选举成员角色,优先级越大越优;
控制平面在主设备上;备设备只负责数据转发
AC的工作模式
单机模式(Standlone)
缺省是此模式,默认设备没有开启VAC模式
VAC模式
组建VAC需要切换到VAC模式
VSL链路和业务链路
成员AC之间交换数据的特殊链路(类似于热备中的通道)
锐捷VSU技术理论与实验_静下心来敲木鱼的博客-CSDN博客
VSL链路的主要作用
1、检查两端设备是否满足实现VAC的要求(Domain ID和型号等)
2、选举主、备、从AC
3、检测主/备AC是否故障
4、传输管理报文(telnet、web、snmp等)、AC间的控制报文
热备不会进行配置同步,但是VAC可以进行配置同步的;主AC的配置同步到备、从AC
业务链路的主要作用
1、传输用户数据、AP数据等
2、保证实现AP能在不同的成员AC上自动负载分担(需在业务链路上开启负载均衡)
AC和核心的业务链路需要做聚合口,并将此端口的负载方式更改为基于源目IP的负载均衡
如果核心和汇聚之间也有做聚合口,则也需要将此端口的负载方式更改为基于源目IP负载均衡
VSL链路的搭建(VSL链路为二层链路)
1、AC之间直连(直接将AC直接连接)
2、通过交换机互联(此时需要将交换机的MTU更改为9216、所有的VSL报文要走二层);
VSL端口之间要属于同一个广播域-即需要将VSL划入一个单独的Vlan)
为了避免VSL链路出现故障,可以配置多条VSL链路
在交换机上关于VSL的链路不需要做链路聚合
总结
交换机上关于VSL链路:不做链路聚合,MTU改为9216
交换机上关于业务链路:做链路聚合,配置基于源目IP的负载均衡
VAC的三大平面
VAC相比于VSU多了控制面
管理面(通过VSL链路传输)
web界面管理、telnet管理、SSL管理 只有主AC有
控制面(通过业务链路传输)
控制AP,管理STA用户;主从AC和备AC都有
转发面(通过业务链路传输)
进行用户的业务数据转发;都是在各AC上转发,分布式转发
配置VSL
配置VAC(主备都配置)
virtual-ac domain 1 配置VSL域(两边要一致)
device 1 配置成员编号(两边要不一致)
device 1 priority 120 配置所属成员编号的优先级(越大越优)
配置VSL链路(主备都配置)
vac-port
port-member interface G0/1 将G0/1口作为VSL链路端口
port-member interface G0/10 fiber 当使用光电复合口做VSL时,如果要作为光口使用,需要加上fiber
在核心交换机上为VSL链路划分Vlan(用于做VSL链路的接口不做端口聚合)
如果两边VSL链路是AC直连,则不需要此配置
int range g0/1-2
switchport access vlan 2000 单独为VSL划分的Vlan
mtu 9216 配置mtu
配置业务链路(只在主AC和交换机配置)
主AC
int agregateport 1
switchport mode trunk
根据需要放行管理Vlan和业务Vlan
int G1/0/2
port-group 1
int G2/0/2
port-group 1
核心交换机上配置聚合口
int agregateport 1
switchport mode trunk
根据需要放行管理Vlan和业务Vlan(并拒绝VSL链路所属Vlan通过)
int range G1/0/3-4
port-group 1
aggregateport load-balance src-dst-ip 配置分担方式
配置工作模式为VAC模式(主备都配置)
device convert mode virtual
待VAC建立成功之后,直接在主AC上配置AP上线等基础操作
查看配置
show virtual-ac config 查看各个AC的VAC配置
show virtual-ac 查看各AC的设备ID、优先级等信息
show virtual-ac balance-info 查看各个AC上的AP、STA关联情况,检查AP和终端是否负载均衡(如果VAC对接的交换机也配置了VSU,则考虑可以关闭VSU的本地优先级转发)
show capwap state 查看AC和AP建立隧道的情况
show ac-config client 查看啊已关联的无线用户
show capwap state dev | incl ap的mac地址 查看指定ac上线的AC
show ac-config client detail sta的mac地址 查看STA上线的AC
故障排查
- 交换机上用于VSL链路的端口,是否配置mtu 9216
- 交换机是否配置了单独的Vlan用于VSL链路
- 交换机上是否配置了基于源IP+MAC的负载均衡
- AC的版本是否一致
1607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
