图1- 1 网络拓扑
本文档涉及的拓扑仅为示例, 该拓扑适用于新项目测试或者新项目功能验证时进行环境快速搭建。 实际项目中以具体网络环境为准。
|
资源名称 |
数量 |
|
测试手机 |
1 台 |
根据实际网络情况搭建演示环境, 保证用于测试无线灾备的 AP 正常激活上线到控制器上。
企业办公无线信号名称: sundray-企业,用户上网 IP 由控制器 VLAN101 分配。
1)设置无线网络名称: sundray-企业
2)设置无线网络 VLAN 设置为 101
1) 配置灾备策略域
设置 AP 进入灾备的范围和灾备触发条件, 此处选择分组下所有接入点全部离线则进入灾备模式,默认存在一条灾备策略,范围是 AP 根,组不可更改。
匹配策略规则优先匹配新增的策略, 且每个组只能存在一条策略中, 如果没有匹配中新增的策略, 则匹配默认策略。
如下图所示, 配置灾备策略域名称为“灾备策略 ”,接入点选择 test 分组, 设置应急 VLAN为 102 ,应急角色为默认角色,识别进入灾备的时间为 15 秒。
2) 配置无线网络灾备
设置可以进入灾备模式的无线信号,以及配置灾备策略和灾备模式。
应急 VLAN 及角色有为 2 种方式:
1 、 使用灾备域策略中的应急 VLAN 和默认角色
2 、 根据用户上网需求, 自定义应急 VLAN 和应急角色
此处配置示例, 灾备模式中,应急无线网络是“启用应急 SSID,原 SSID 强制本地转发 ”,应急 VLAN 及角色是“使用灾备域上的应急 VLAN 及角色”。
当无线进入灾备模式,转发模式为本地转发, 必须保证 AP 到启用应急 VLAN 地址池的设备之间接口允许应急 VLAN 通过, 才可以获取到 IP 地址。
3) 配置应急 SSID
灾备策略域的全局选项中配置应急无线网络, 支持 PSK 个人和开放式 2 种认证方式。
此处示例配置应急 SSID 名称为 sundray-灾备, 开放式认证类型。
使用测试手机连接正常的无线网络, WiFi 信号名称为“sundray-企业 ”,可以看到终端获取到的 IP 是 10.1.1.10 ,属于 VLAN101 网段的, 这个 IP 地址是由无线控制器分配下来的。
此时拔掉控制器旁挂的 ETH1 接口,AP 离线则触发无线进入灾备模式。
1)AP 进入灾备模式后,手机就可以看到 AP 发射出来的灾备信号, 此时我们就可以手动连接这个灾备信号了。
2)手机连接上名称为“sundray-灾备 ”的灾备信号之后,可以看到获取到的 IP 地址发 生了变化,因为进入灾备模式,原控制器上配置的 DHCP 地址池网段已经无法再获取到了,因此匹配到了灾备策略域上面的应急 VLAN,从而保证我们网络通信依然正常使用。
1)每个接入点分组只能配置在某一条灾备策略域中。
2)配置进入无线灾备的信号认证方式为企业级认证时,灾备模式中应急无线网络只能是启用应急 SSID ,不保留原 SSID。
3)接入点离线时触发进入灾备模式,应急角色不生效, 认证服务器离线时触发进入灾备模式,应急角色不生效。
4)灾备模式下都会使用同一个灾备 VLAN。
1)灾备模式下, 应急 VLAN 必须存在本地 DHCP 服务器, 且要保证接入点设备到地址池设备之间的接口放行应急 VLAN,这样才可以获取到 IP 地址。
2)灾备策略域中, 应急 VLAN 配置错误或者不合理,则会导致终端连接不上灾备信号。
3)控制器启用 DHCP 安全防御功能, 启用受信任的 DHCP 服务器, 此时需要将应急 VLAN的 DHCP 服务器添加进去,否则会导致终端连接不上灾备信号。
4)接入点离线后终端没有立即发现灾备信号, 因为有一个识别进入灾备的延迟时间,达到设定的阈值才正式进入灾备模式。
5)灾备延迟时间需要大于 30 秒,否则可能是由于实际网络不稳定导致接入点短暂离线, 从而进入灾备模式。