更新时间:2023-12-07
1功能简介
1.1灾备的需求与背景
现今无线覆盖方案越来越受企业办公采用,企业级无线的灾备方案也被企业重视,无线网络灾备在一定程度上可以避免无线终端断网导致公司业务受影响;因此,当NAC、网络环境、出现灾难性故障时,用户仍可以正常使用无线网络(灾备状态),提高了无线网络的应急方式,满足了客户对于无线网络的稳定性和健壮性要求、从而最大化的提高企业办公的效率。
1.1.1NAC宕机
场景一般是NAC旁挂核心,没有做双机冗余,当NAC宕机情况发生时,NAC会启用灾备ssid,以保证终端设备仍然能正常接入无线wifi,此时的wifi将变为灾备模式的wifi。
1.1.2NAC与AP隧道断开
场景一般是远程激活AP上线后或内网控制器和AP隧道异常,导致NAC和AP的隧道断开,当NAC与AP隧道断开的情况发生时,NAC会启用灾备ssid,以保证终端设备仍然能正常接入无线wifi,此时的wifi将变为灾备模式的wifi。
1.1.3认证服务器灾备
场景一般是对接短信认证或微信认证第三方平台,由于第三方平台异常导致无线终端验证异常,当认证服务器异常情况发生时,NAC会启用灾备ssid,以保证终端设备仍然能正常接入无线wifi,此时的wifi将变为灾备模式的wifi。
1.1.4灾备后状态
由于网络故障,NAC与AP隧道断开,AP仍可以提供无线网络(灾备状态)供给,防止隧道断开AP掉线造成业务中断,此时的wifi将变为灾备模式的wifi,AP将独立进行新用户的接入和认证。
在多AP同时部署的同一个地理环境下,单个AP隧道断开是没有必要进入灾备模式的,因此可以选择性的设置策略。单个AP断开隧道进入灾备,或者某个AP组所有的隧道断开才进入灾备模式。
1.1.5灾备后的恢复
灾备后恢复,可以选择强制踢掉用户,要求所有用户重新认证。或者等用户下次接入网络时自动转换角色。建议启用灾备恢复后踢掉用户,要求用户重新认证,提高网络安全性。
1.2灾备基本概念
1.2.1灾备策略域
设置AP进入灾备范围和灾备促发条件,此处可选的促发条件为接入点隧道断开。
默认有一条策略,为AP根组范围,不可更改,可以设置所有的AP掉线或单个AP掉线后,进入灾备模式。
匹配策略的规则是优先匹配新增的策略,且每个组只能在一个策略一种,如果没有匹配到新增策略则匹配默认策略。
1.2.2无线网络灾备
设置哪些SSID能够有灾备模式,以及进入灾备的条件和策略。包括灾备策略、应急SSID、应急VLAN和应急角色。其中应急VLAN和应急角色,可以采用灾备策略域上的默认VLAN和角色,也可以根据原有SSID设置一个与其匹配的VLAN和角色。
1.2.3应急SSID
全局选项可以设置应急无线网络,支持PSK个人和开放式认证
1.2.4应急VLAN和应急角色
当SSID进入灾备模式后,根据SSID认证类型不同有以下应急VLAN、应急角色设置:
• PSK认证,可以调用灾备策略上的应急VLAN也可以指定应急VLAN,但是只能以应急角色上线。
• 开放式认证、企业级认证,可以调用灾备策略域上的应急VLAN和应急角色,也可以指定应急VLAN和应急角色。
注意:应急ssid生效后,会强制变成本地转发,此时本地需要有dhcp服务给无线用户下发地址。
2配置步骤
2.1设置应急SSID
设置对应SSID名称:TEST,密码为12345678。
2.2设置灾备策略域
设置默认灾备策略域:设置AP组范围内,只要其中的AP有一个离线,就进入到灾备模式。
2.3设置无线网络灾备后启用灾备策略
设置当AP离线后,进入灾备模式,启用应急SSID,并强制原SSID本地转发,应急VLAN和角色采用指定VLAN和角色。(即使指定了应急角色,策略也是不生效的)。
3注意事项
1 灾备应急VLAN需要有相应DHCP服务器且必须保证网络能正常通讯。
2 如果灾备的应急VLAN配置错误或不合理,会导致终端无法正常获取到IP地址。
3 应急VLAN,会强制所有的AP上采用这一个VLAN;如果原有SSID在不同AP组下有不同的VLAN,此时需要特别设置一个应急VLAN,确保应急VLAN能正常使用。
4 控制器的部署应该为旁挂模式,确保控制器宕机或控制器网络出错时,AP本地转发时上网链路正常。
5 灾备延迟时间,需要大于30秒。
6 当无线灾备启用且为企业认证时,应急无线网络启用不保留原ssid