无线AC集群

AC集群的原理

AC集群的实现方式与配置

通过AC集群实现负载分担

AP的Failover优先级

优缺点

无线AC热备

AC热备的基本概念

AC热备工作原理

保活报文类型

热备工作模式

热备AC的配置

故障检查

优缺点

无线VAC

VAC的基本概念

VSL链路和业务链路

VAC的三大平面

配置VSL

故障排查

为什么需要AC冗余

瘦AP在WLAN网络中要能为无线用户提供服务必须与AC保持连接，如果AC出现故障，则瘦AP无法正常工作；为了增强服务的可用性，引入了AC冗余的功能

AC冗余的原理

AC冗余就是为AP指定多个AC；当AP到某个AC的连接不通时，AP能够和备用AC建立连接，继续进行业务传输

AC冗余可以使得业务快速恢复，甚至使得业务不中断

AC冗余的分类

锐捷针对冗余提供了3种解决方案

无线AC集群（冷备）、AC热备、VAC

华为针对冗余提供了4种解决方案

VRRP热备、双链路热备、双链路冷备、N+1冷备份

无线AC集群

AC集群的原理

AC集群主要是利用到AP发现AC时，会将AC的IP地址加入到AC列表，并为其指定不同的优先级（AC IP优先级）来实现，优先级越小越优先

当发现AC的阶段结束之后，AP只会向AC列表中最优的AC IP地址建立CAPWAP隧道

AC IP的优先级

优先级为1的AC会开启抢占（即当此AC故障恢复后，AP会将已经建立的隧道断开，与优先级为1的AC建立隧道）

因此，如果想让AP从一台AC切换到另一台AC，可以通过配置Primary-base实现

主备AC故障切换

主AC故障之后，需要等到AP echo报文超时后才会断开（最少1分钟左右）

然后AP再重新与其它AC建立连接

如果主AC有抢占机制，则AP断开与备用AC的隧道后再与主AC建立隧道，期间也会中断业务

AC集群的实现方式与配置

AC集群实现的两种方式

1、通过在DHCP Option 138指定多个AC的地址实现集群冷备（AC优先级一致）

此时AC的优先级一致，则根据是哪个AC先回复的Dicsovery Response报文，就跟哪个AC建立CAPWAP隧道

2、通过在ap-config下配置不同AC IP优先级来实现集群冷备（AC优先级不一致）

当AP与其中一台AC建立capwap隧道后，AC会向AP下发此AP对应AP组所在的ap-config中配置的AC IP地址、AC名、AC IP优先级等信息；

如果AP发现目前建立隧道的AC不是主AC，则AP就会和主AC建立隧道连接，然后断开先前的capwap隧道

AC集群的配置（集群中所有AC的配置都要一致—例如ap-group、wlan-config等）

1、DHCP Option 138配置

ip dhcp pool ruijie

option 138 ip 1.1.1.1 2.2.2.2      指定AC的地址为1.1.1.1，2.2.2.2

2、在ap-config下配置

ap-config AP的名称/AP的MAC地址/all   all是针对所有AP设置

primary-base AC1 1.1.1.1         指定主AC名为AC1，地址为1.1.1.1

sencondary-base AC2 2.2.2.2   指定备用AC名为AC2，地址为2.2.2.2

tertiary-base AC3 3.3.3.3          指定第二备用AC名为AC3，地址为3.3.3.3

ap-mac 0001.0001.0001          指定AP的MAC为0001.0001.0001

ap-group ruijie                        指定AP的组为ruijie

通过AC集群实现负载分担

通过AC对于不同的AP指定不同的AC优先级可以实现负载分担

AC1对AP1的优先级为1，AP2的优先级为2；

AC2对AP2的优先级为1，AP1的优先级为2;

AP的Failover优先级

当AP与AC连接失败后，会寻找备用AC；此时备用AC会按照AP加入请求的顺序来提供AP的接入

我们可以通过为AP指定优先级，使得AC按照优先级顺序接受AP的接入，此优先级就称为Failover优先级（优先级为1-4，默认为1，越高越优）

配置Failover优先级

AC上开启AP的优先级

ac-controller

ap-priority enable

AC上配置AP的优先级

ap-config xx

priority 4

优缺点

注意事项

同一台AP最多配置6台冗余AC

AP同时只和一台AC建立CAPWAP隧道，并且AC直接不同步AP和STA的用户数据

此方案适合对可靠性要求不是很高的场景

缺点

故障切换时间较长，造成大量业务丢失

不过管理方面都是两台或多台设备，需要手动负载，License无法实现负载

无线AC热备

AC热备的基本概念

在AC之间建立三层热备保活通道，通过进行报文报文交互，建立热备连接

并通过热备保活通道同步用户的数据以及关于AP的控制信息

AC三层保活通道

保活通道主要用来传递保活报文，进行AC的主备选举、热备保活、故障切换

保活报文默认周期为10ms，保活时间为30ms

主CAPWAP隧道与备CAPWAP隧道

建立热备的AC之间各自拥有独立的IP地址，AP分别同热备AC之间建立CAPWAP隧道

AP与主AC建立的CAPWAP隧道，用来进行数据传输

AP与备AC建立的CAPWAP隧道，不对业务数据进行转发，只是做备份

热备实例（Context）

一个热备实例代表一个热备组；一个AC可以属于多个热备实例（类似于MSTP实例与交换机之间的关系）

AC在不同的实例下可以有不同的角色；AC为实例1的主，实例2的备

即：对于某个/多个AP来说，其主备AC要属于同一热备实例，才可以实现AC冗余

AC热备使用到的端口号

Wlan热备功能探测报文：UDP 7425（用来检查两边AC是否可以进行AC热备，使用的是锐捷的RHBP协议）

心跳保活报文：默认IP报文，协议字段为0；可以设置为UDP 7435

热备监听的数据通道端口：TCP 6425

热备监听的控制通道端口：TCP 6435

AC热备工作原理

主备协商

通过保活报文进行主备协商

刚开始建立热备的AC之间都认为自己是主AC，然后互相发送保护报文进行主备选举（携带热备优先级、MAC地址、AP连接数等信息）

两台设备都是首次热备成功

1、热备优先级高的为主

2、MAC地址低的AC为主

两台设备中有一台非首次热备成功（即该设备已经热备过，现在和新的设备组成热备）

非首次热备成功的AC为主

两台设备都是非首次热备成功（即两台分别热备过的设备再组成新的热备）

连接AP数多的AC为主

数据备份

主AC将本机上的STA用户数据同步到备AC上；保证AC切换后不影响已有的用户业务，并且不需要重新认证（通过TCP端口6425和6435备份）

备份方式（先批量，后实时）

批量数据备份：热备建立成功后，主AC一次性将热备数据同步给备AC

实时数据备份：主AC上增、删、改用户表项后，实时同步给备AC

热备保活和故障切换

主AC定期发送保活报文给备AC，备用AC通过保活报文侦听主AC是否正常工作

当备AC在3个周期没有收到保活报文，就会认为主AC挂掉了，自己变为主AC

切换为主AC之后向AP发送主备AC切换通知，激活备CAPWAP隧道，完成隧道切换

保活模式

AC间默认为正常保活模式，保活报文发送间隔为1s

可以切换为快速模式，保活报文发送间隔为10ms

注意

优先级为7的AC会进行抢占

在批量备份完成之后的最短切换时间（10min）内，该AC会检测主AC下的AP是否全部在线，如果全部在线就会抢占重新成为主AC

如果不在线10min之后每min检测一次，45min之后就会强制进行切换，可能导致用户下线

保活报文类型

心跳请求报文

发给对端AC，需要回复

心跳应答报文

监听并收到的请求报文后，回复应答报文

服务端就绪报文（只有主AC会发送）

主AC收到备AC的应答后，发送此报文通知备AC现在可以开始进行热备连接

热备工作模式

A/S模式（主备模式）

一台为主，一台为备

所有AP与主建立主CAPWAP，与备建立备CAPWAP

主处理所有业务，备不处理业务

A/A模式（负载模式）

两台AC均为主设备转发数据，又同时作为备设备备份对端业务信息（针对不同的热备实例）

热备AC的配置

锐捷Wlan——AC热备实验（DHCP在核心交换机）_option 138_静下心来敲木鱼的博客-CSDN博客

紫色为根据需要进行的配置（蓝色热备AC基础的配置）

1、配置AC建立保活通道的地址之间路由可达

2、AC配置无线基础配置（wlan id、wlan安全、ap组、capwap隧道源）；两边一致

配置AP DHCP的option 138时需要配置主备AC的loopback地址例如：

option 138 1.1.1.1 2.2.2.2

3、配置建立保活通道的地址（两边要对照配置）

wlan hot-back 2.2.2.2 指定对端通过环回口地址用来建立保活通道的地址；在此处配置的地址也只能是对端loop0地址（本端默认也使用loop0地址）

       如果本/对端的capwap地址不是loop0地址，则需要手动指定本/对端的地址

       local-ip 1.1.1.1             指定本端建立保活通道的地址

       peer-ip 2.2.2.1          指定与对端建立保活通道的地址

context 10                   配置热备实例10

priority level 1      配置热备优先级（默认优先级为4）

ap-group ruijie    将该AP组加入到热备中

如果AP/STA的地址网关/DHCP在AC上，则需要配置VRRP，并将VRRP和DHCP加入到热备实例中

dhcp-pool ruijie1                         将dhcp地址池ruijie1加入到热备实例10

vrrp interface vlan 10 group 1    将vlan10下的vrrp备份组1加入到热备实例10

4、将AP设备加入到AP-Group中（两边一致）

5、开启热备AC（两边一致）

wlan hot-backup enable

故障检查

AC之间建立热备的地址是否是loop0地址
建立热备的地址是否路由可达
建立热备的相关端口是否放通
检查热备AC之间的配置是否一致（热备配置、AP上线配置等）

优缺点

优点

解决了集群切换过程中业务中断的问题

缺点

不过管理方面都是两台或多台设备，需要手动负载，License无法实现负载

注意事项

1、热备设备之间配置要保持一致

2、如果AP跨公网上线，AC通过端口映射到公网，则热备中配置此AC的地址为公网地址（通过peer-ip指定）

3、如果两台热备AC中有防火墙，需要放行UDP的7425/7435和TCP的6425/6435几个端口

4、最多可以6台做热备

AP如何知道另外一个AC的IP地址

1、DHCP通告多个AC的地址

2、如果DHCP只通告一个AC的地址，则AP与此AC建立隧道后，AC通过wlan hot-backup使得AP知道还需要与此地址建立隧道，此时AP就会再建立一条隧道

无线VAC

VAC的基本概念

VAC类似于交换机的VSU堆叠；管理平面为一个

Domain ID

Domain ID是VAC的标识符，用来区别不同的VSU

同一个VAC之间的Domain ID一致（1~255，默认100）

Device ID

VAC的成员编号，区分同一个VAC中的不同成员（同一VAC的不同设备Device ID不一致）

AC优先级

用于选举成员角色，优先级越大越优；

控制平面在主设备上；备设备只负责数据转发

AC的工作模式

单机模式（Standlone）

缺省是此模式，默认设备没有开启VAC模式

VAC模式

组建VAC需要切换到VAC模式

VSL链路和业务链路

成员AC之间交换数据的特殊链路（类似于热备中的通道）

锐捷VSU技术理论与实验_静下心来敲木鱼的博客-CSDN博客

VSL链路的主要作用

1、检查两端设备是否满足实现VAC的要求（Domain ID和型号等）

2、选举主、备、从AC

3、检测主/备AC是否故障

4、传输管理报文（telnet、web、snmp等）、AC间的控制报文

热备不会进行配置同步，但是VAC可以进行配置同步的；主AC的配置同步到备、从AC

业务链路的主要作用

1、传输用户数据、AP数据等

2、保证实现AP能在不同的成员AC上自动负载分担（需在业务链路上开启负载均衡）

AC和核心的业务链路需要做聚合口，并将此端口的负载方式更改为基于源目IP的负载均衡

如果核心和汇聚之间也有做聚合口，则也需要将此端口的负载方式更改为基于源目IP负载均衡

VSL链路的搭建（VSL链路为二层链路）

1、AC之间直连（直接将AC直接连接）

2、通过交换机互联（此时需要将交换机的MTU更改为9216、所有的VSL报文要走二层）；

VSL端口之间要属于同一个广播域-即需要将VSL划入一个单独的Vlan）

为了避免VSL链路出现故障，可以配置多条VSL链路

在交换机上关于VSL的链路不需要做链路聚合

总结

交换机上关于VSL链路：不做链路聚合，MTU改为9216

交换机上关于业务链路：做链路聚合，配置基于源目IP的负载均衡

VAC的三大平面

VAC相比于VSU多了控制面

管理面（通过VSL链路传输）

web界面管理、telnet管理、SSL管理只有主AC有

控制面（通过业务链路传输）

控制AP，管理STA用户；主从AC和备AC都有

转发面（通过业务链路传输）

进行用户的业务数据转发；都是在各AC上转发，分布式转发

配置VSL

配置VAC（主备都配置）

virtual-ac domain 1     配置VSL域（两边要一致）

device 1                     配置成员编号（两边要不一致）

device 1 priority 120   配置所属成员编号的优先级（越大越优）

配置VSL链路（主备都配置）

vac-port

port-member interface G0/1           将G0/1口作为VSL链路端口

port-member interface G0/10 fiber         当使用光电复合口做VSL时，如果要作为光口使用，需要加上fiber

在核心交换机上为VSL链路划分Vlan（用于做VSL链路的接口不做端口聚合）

如果两边VSL链路是AC直连，则不需要此配置

int range g0/1-2

switchport access vlan 2000      单独为VSL划分的Vlan

mtu 9216 配置mtu

配置业务链路（只在主AC和交换机配置）

主AC

int agregateport 1

switchport mode trunk

根据需要放行管理Vlan和业务Vlan

int G1/0/2

port-group 1

int G2/0/2

port-group 1

核心交换机上配置聚合口

int agregateport 1

switchport mode trunk

根据需要放行管理Vlan和业务Vlan（并拒绝VSL链路所属Vlan通过）

int range G1/0/3-4

port-group 1

aggregateport load-balance src-dst-ip    配置分担方式

配置工作模式为VAC模式（主备都配置）

device convert mode virtual

待VAC建立成功之后，直接在主AC上配置AP上线等基础操作

查看配置

Show virtual-ac config 查看各个AC的VAC配置

Show virtual-ac           查看各AC的设备ID、优先级等信息

Show virtual-ac balance-info 查看各个AC上的AP、STA关联情况，检查AP和终端是否负载均衡（如果VAC对接的交换机也配置了VSU，则考虑可以关闭VSU的本地优先级转发）