有两个“中心”位置,每个位置都有一个卫星或辐条站点。让我们有: - 区域 A 和它的spoke_zone A1 - 区域E 和它的spoke_zone E1。
区域 A 和区域 E 都有类似的部署方案: - 1 x 5508 WLC - 现有网络(本地网络)中的多个 LWAP。- FlexConnect 用于其他几个 LWAP,用于 A1 的辐条区域 A 和 E1 的 E。
我在想如何为所有这 4 个站点实现备份解决方案: - A1 和 E1 可以通过 FlexConnect 实现,并且只有一种模式:本地交换和本地身份验证。- A区和E区呢?我怎样才能在这里带来一些备份 WLC 解决方案?我知道移动组,但我仍然认为它没有太大帮助,因为我通过 MPLS 在 A 和 E 区域之间只有 L3 连接。如果我尝试使用诸如 L2TP v3 之类的“穷人的 EoMPLS”之类的解决方案在两者之间建立 L2 连接,我将能够连接一对 VLAN,这是否足够?- 如果两个区域(A 或 E)中的任何一个发生 WLC 故障,我还能做什么?
思科当前的无线产品中有两种主要的控制器冗余选项。您可以使用备份控制器或高可用性;取决于您 5508 的固件级别、您可接受的故障转移时间和您的预算。
根据您的问题,我们正在使用以下拓扑:
传统上,利用备份控制器是为 WLC 故障提供冗余的主要方式。对于区域 A,您只需选择区域 E 的无线 LAN 控制器,并根据需要将其分配为每个 AP 的辅助控制器。您可以通过 GUI、CLI 或什至 SNMP 为控制器上的 AP 设置主控制器和辅助控制器,正如 Mike Pennington对此问题的回答所指出的那样。使用备份控制器,在 WLC 出现故障的情况下,AP 将开始搜索它们的辅助控制器并重新建立它们的 CAPWAP 隧道。这样做的明显缺点是,当 AP 断开其隧道并开始重新构建到辅助控制器的隧道时,客户端会发生中断。
为了满足对更好的故障切换方案的需求,思科在 WLC 固件 7.3 中推出了高可用性。在这种情况下,您购买了第二个 WLC 并专门许可它作为备用。您将其放置在现有 WLC 的旁边,它与主控制器共享 IP 地址和会话/配置/AP 信息。现在,在 WLC 发生故障时,从 AP 的角度来看故障转移是透明的。(与所有新功能一样,在我的经验中一般是无线,你的里程会有所不同。但是,在一些较新的代码修订版中,故障转移应该对 AP 和客户端变得几乎透明。)
现在说了这么多,哪个更好?
如果您在 A 区和 E 区的现有 5508 有足够的可用容量来承载任一站点的负载,并且您的企业在 WLC 发生故障时可以容忍几分钟的停机时间,则备份控制器是更便宜的方式。在这种情况下,只需在每个接入点上配置您的辅助控制器,然后就可以了。请注意,使用备份控制器会有更多的管理开销,您必须为每个区域中的所有 SSID 配置 VLAN/接口,如果使用它们,则在每个控制器上创建 AP 组,等等。现在,当 WLC 运行时在他们的站点上,用户会在 AP 迁移时遇到一些停机时间,但至少他们没有严重停机。
如果您现有的 5508 没有容量和/或您的企业不能容忍备份控制器方法中的故障转移时间,那么高可用性在这里成为一个合理的解决方案。换句话说,如果您现有的控制器上没有足够的容量来将它们用作彼此的备份,并且无论如何您都将不得不花一些钱,我建议您查看高可用性解决方案和定价。
另外,我想澄清您在问题末尾提到的一些内容。
移动组可以通过 L3 连接使用,但思科的移动功能允许客户端在连接到不同控制器的 AP 之间无缝漫游,而不是在 WLC 发生故障时为您提供冗余。
Flexconnect(以前称为 HREAP)并非完全旨在帮助您解决 WLC 故障,而是帮助您解决与远程站点的网络连接丢失问题。最终结果是相同的,远程 AP 无法连接到它的控制器,但重要的是要考虑创建它的故障场景。如果您只是想解决 WLC 故障情况,则您的远程站点不需要 Flexconnect,您可以只使用备份控制器或高可用性。但是,如果您正在尝试解决网络隔离失败的情况,请务必查看 Flexconnect。
编辑:在下面的评论中回答你的两个问题:
1) 您是对的,假设区域 A 的子网和区域 E 的子网之间存在完整的 L3 可达性。例如,如果您为区域 A 中的 AP 配置了备份控制器。然后,如果某个 AP 与区域 A 中的 WLC 失去连接,它将直接通过 L3 连接寻找区域 E 中的 WLC。到达后,它将开始 CAPWAP 加入过程。
2)您是正确的,该过程涉及:
现在,如果您在 A 区完成了该操作并且那里一切正常,您可以在 WLC 上再次执行该过程并在 E 区切换,或者在 E 区使用您现有的 VLAN/接口。
无论哪种方式,两个区域之间的 VLAN/IP 寻址都会不同,但只要 SSID/AP 组在两个控制器之间对应,WLC/AP/客户端与流量使用的 VLAN 无关。(出于管理/流量分离/路由的目的,这对您来说可能很重要,但 WLC 并不关心它将流量从特定 SSID 输出到哪个 VLAN。)
编辑 2: 尝试根据以下评论阐明每个区域中每个 WLC 的 VLAN 分配:
根据您在评论中的示例,假设 ZoneA 中的 WLC 为您的无线客户端提供两个 VLAN/SSID:
并且 E 区中的 WLC 还为两个 VLAN/SSID 提供服务:
现在,还假设您已将区域 A 中的 AP 配置为使用区域 E 中的 WLC 作为其辅助 WLC,对于区域 E 中的 AP,反之亦然。
在正常情况下,连接到区域 A 的 Office SSID 的客户端将获得 10.0.0.0/24 子网中的地址。但是,如果区域 A 中的 WLC 出现故障,并且 AP 重新注册到区域 E 中的 WLC,客户端将开始从 10.1.0.0/24 子网获取 IP 地址。
现在,根据您的网络配置,这完全可以接受。它可能根本不会影响您在区域 A 的用户,因为他们现在拥有来自区域 E 的地址。只要他们连接到区域 A 或您网络上任何地方的正常资源可用于 10.1.0.0/ 24 子网位于 E 区。但是,如果您在网络上配置了任何内容(ACL、Web 代理等),要求 A 区的客户端在 10.0.0.0/24 子网中拥有一个地址,那么我们有一个问题。
此时,您将有多种选择。您可以考虑允许 10.1.0.0/24 区域 E 子网访问这些资源(但如果存在限制,则可能出于某些基础设施或安全原因)。或者,您可以在 MPLS 连接上扩展某种 L2 隧道,以便区域 A 的 VLAN 10 和 20 也可以位于区域 E 中。这会产生它自己的问题,并且在可能的情况下,我尽量避免在整个创建过程中建立隧道 L2 连接。
但是,我的建议是,如果您发现自己处于区域 A 的用户必须寻址 10.0.0.0/24 子网的场景中,则可以考虑在区域 A 中简单地放置第二个 WLC。这是迄今为止最简单的解决方案到那个特定的问题。