锐捷无线WLAN AC热备方案指南

type

status

date

slug

summary

AC热备概述

在无线局域网的部署中，当前有两种部署方式：瘦AP(Access Point，无线接入点)模式和胖AP模式。其中，瘦AP模式逐渐成为主流的部署方式。在瘦AP模式的部署中，有两类无线设备：AC(Access Controller，无线控制器)和AP；AP需要与AC建立连接，然后用户在AC上进行统一配置，AC会把相关配置下发给AP。AC和AP通过协作，从而为用户提供无线局域网的服务。关于AC和AP间的协作规范在RFC5415，即CAPWAP协议中定义。

热备状态建立成功的两台AC，其中一台AC作为主设备，另外一台作为备份设备，两台设备的硬件配置与基本业务功能配置一致。两个AC各自拥有独立的IP，AP分别同两台AC建立CAPWAP隧道。主AC处理所有的业务，并将所产生的用户表项等信息传送到备AC进行备份；备AC除了处理备份和与AP之间的CAPWAP之间的管理报文之外，不进行其他处理。

在CAPWAP协议中规定：当AC与AP建立了CAPWAP连接后，AC与每台AP间都会建立一条CAPWAP通信隧道，AC发送给AP的每个报文，都必须通过CAPWAP通信隧道；而AP发给AC的每个报文，也必须通过CAPWAP通信隧道。CAPWAP通信隧道是一种点到点的隧道，是一种单播隧道。如下图所示。

AC与AP的CAPWAP通信隧道示意图

锐捷网络无线控制器(AC)的热备份功能，是在AC发生不可达(故障)时，为AC<->AP提供毫秒级的CAPWAP隧道切换能力，确保已关联用户业务最大程度上不间断。参见下图：

AC热备示意图

(1) 两台AC通过协商确定主AC和备AC，AC间通过保活机制进行保活；

(2) AP与主AC建立主CAPWAP隧道，与备AC建立备CAPWAP隧道；

(3) 用户使用无线客户端关联到AP；

(4) 用户通过AP与AC的主CAPWAP隧道与外部进行网络通信；

(5) 当主AC发生故障，备AC检测到保活超时，马上通知AP；

(6) 备AC与AP之间的备用CAPWAP隧道被激活；备AC变成主AC；

(7) 用户的业务在备CAPWAP隧道激活后恢复正常；

(8) 当原主AC恢复正常，与新主AC重新建立热备关系，原主AC变成备AC；AP与之建立备CAPWAP隧道；用户的业务不会中断。

注：AC间通过三层通道保活，在设计热备拓扑时，必须保证AC间三层通道可达。

AC热备根据工作模式分为Active/Standby（简称A/S）模式和Active/Active（简称A/A）模式。

1、A/S模式

A/S模式下，一台AC处于Active状态，为主设备；另一台AC处于Standby状态，为备份设备。主设备处理所有业务，并将业务状态信息传送到备份设备进行备份；备份设备不处理业务，只进行备份业务。A/S模式下，所有AP与主设备建立主CAPWAP隧道，与备份设备建立备CAPWAP隧道。两台AC都正常工作时，所有业务由主AC处理；主AC故障后，所有业务会切换到备份AC上进行处理。

2、A/A模式

A/A模式下，两台AC均作为主设备处理业务流量，同时又作为另一台设备的备份设备，备份对端的业务状态信息。假定两台AC分别为AC1和AC2，那么A/A模式下，存在部分AP与AC1建立主CAPWAP隧道，与AC2建立备CAPWAP隧道；同时，另一部分AP与AC2建立主CAPWAP隧道，与AC1建立备CAPWAP隧道。两台AC都正常工作时，两台AC分别负责与其建立主CAPWAP隧道的AP的业务处理；其中一台AC，假定AC1，出现故障后，与AC1建立主CAPWAP隧道的AP将业务切换到备CAPWAP隧道，之后AC2负责处理所有AP的业务。

热备基本概念/特性

1、AC保活通道

热备主AC定期发送保活报文，备AC通过保活报文侦听主AC是否正常工作。当备AC连续3个保活周期都收不到报文时，认为主AC出现故障；随即通知AP激活备份的CAPWAP隧道。

注：AC间的保活周期缺省10ms，可设置。

2、主CAPWAP隧道

为了支持热备功能，AP需要同时与建立热备关系的2台AC建立CAPWAP隧道，其中与主AC连接的CAPWAP隧道激活，称为主CAPWAP隧道；

3、备CAPWAP隧道

AP与备AC建立的CAPWAP隧道，称为备CAPWAP隧道；备CAPWAP不用来进行AP与AC之间的通信。

4、热备实例（Context）

在A/A模式下，同一台AC对于不同的AP而言，充当不同的角色。对于那些与之建立主CAPWAP隧道的AP，该AC是主设备；对于那些与之建立备CAPWAP隧道的AP，该AC是备设备。对于不同的角色，AC需要进行不同的备份操作。因此在同一台AC中，AC热备需要通过不同的热备实例来进行区分，从而进行不同的备份操作。

热备工作机制及部署注意事项

热备协议的工作原理

WLAN 热备功能探测报文使用 UDP 报文，端口号为 7425；控制通道报文使用 TCP 报文，端口号为 6435；数据通道报文使用TCP 报文，端口号为 6425；心跳保活报文，缺省为 IP 报文，协议字段为 0，可配置成 UDP 报文，端口号为 7435。

热备实现机制---热备协商

热备协商是在配置互为热备的两台AC，相互间交互协商报文，协商决策出主AC和备AC。热备协商报文由心跳保活报文携带，AC间经过一个流程的保活报文交互，通过保活报文携带的热备协商数据，决策出各自的主备身份。

AC间主备关系依据下列条件决策：

1.如果两台AC都是首次热备成功，配置高热备优先级的AC为主AC；

2.如果两台AC都是首次热备成功，且配置的热备优先级相同，MAC地址低的AC为主AC；

3.如果其中一台AC非首次热备成功，非首次热备成功的AC为主AC；--新AC为备，老AC为主

4.如果两台AC都非首次热备成功，当前连接AP数多的AC为主AC；--AP数多者胜。

热备实现机制---热备保活

热备保活是在配置互为热备的两台AC间建立热备通道后，主备AC之间周期性的监听保活心跳报文，备AC通过监听主AC的保活报文，检测主AC的是否出现故障。

热备AC间定期交互的心跳报文，是用于检测热备主AC是否出现故障的一种机制。当AC启用热备功能后，AC间就通过建立的热备心跳通道，周期性的交互心跳报文。通过设置合适的心跳报文间隔周期和超时次数，(默认30s未收到报文即认为主AC失效)可以有效地检测出主AC是否运行正常，并有效避免心跳报文网络时延和丢包造成的错误检测。

AC间交互的保活心跳报文，有三种类型：

1、心跳请求报文：发给对端的请求报文，需要对端回复一个应答报文；

2、心跳应答报文：监听并接收到对端的心跳请求报文后，回复的应答报文；

3、服务端就绪报文：主AC收到备AC的心跳应答报文后，构造一个服务端就绪心跳报文，发给备AC，通告备AC主AC已就绪，可以开始进行热备连接（注：备AC不会构造服务端就绪报文）；

***************************************************************************

注：AC间的保活周期快速模式缺省为10ms，正常模式缺省为1s，可设置。默认为正常切换模式；

******************************************************************************

热备实现机制---数据热备

保活目的：数据热备是互为热备的AC间，主AC要实时将本机上的用户表项的变化同步备份到备AC上，保证AC热备切换后，不影响已有用户的业务。

数据热备可分为：批量数据热备和增量数据热备。

批量数据热备： AC互为热备成功后，主AC需要一次性的把热备数据同步给备AC；

实时数据热备：主AC上新增、修改、删除用户表项之后后，实时地把变更的热备数据同步给备AC，保证热备AC间数据的一致性。

热备实现机制---热备切换

热备切换的条件：

备AC在指定的连续3个周期内都未收到主AC的保活心跳应答报文。

热备切换的动作：

备AC激活内部的所有已配置业务应用，并升级为主AC；

向关联上的AP，发送主备AC切换通知，激活AP的备CAPWAP隧道，完成用户数据通道的切换；

优先级为7的AC在被选为备并且完成数据批量备份后会进行热备回切操作，重新切换为主。热备回切有个前提条件是所有已经连接对端AP必须与本端也建立了连接，如果满足上述条件，热备会在批量备份完成后最小切换时间内（默认为 10 分钟，且不可修改）回切，10分钟后，AC开始检查是否可以回切，每一分钟检查一次，如果检查一直失败，热备会在45分钟强制回切，强制回切可能会引起部分用户下线。

AC对热备的支持情况

WS6024不支持热备，其他AC产品都支持。

可配置的邻居地址在产品WS5302，WS3302上最多允许配置4个，其他产品上最多允许配置32个。

热备配置注意事项：

1、主备配置需要一致（IP地址等特殊配置除外）；

2、如果AP/用户的网关/dhcp在AC，需要配置vrrp并将vrrp和dhcp加入到热备中；

3、如果AP跨公网上线，AC通过端口映射到公网的，需要在热备中配置AC的peer-ip为AC的公网IP；

4、若wlan hot-backup配置的地址不是capwap ctrl-ip，需要配置local ip为capwap ctrl-ip；

5、如果两台热备AC中有防火墙，需要放行UDP的7425/7435和TCP的6425/6435几个端口。

无线AC热备配置案例

一、功能介绍

在瘦 AP 架构上 AP 需要和 AC 建立 capwap 隧道之后才能正常工作。无线 AC 的热备功能，是在 AC 发生不可达 ( 故障 ) 时，为 AC<->AP 提供毫秒级的 CAPWAP 隧道切换能力，最大程度上保证无线用户可用性及稳定性。

二、适用场景说明

对无线网络稳定性和防灾能力要求高的情况下可以采用该方案。锐捷网络无线控制器(AC)的热备份功能，是在AC发生不可达(故障)时，为AC<->AP提供毫秒级的CAPWAP隧道切换能力，确保已关联用户业务最大程度上不间断。

优点：大大增强了无线的无线网络稳定性和防灾能力

缺点：需要增加无线控制器AC设备、增加额外配置

三、配置案例

1、组网需求

无线AC启用热备功能，当AC-1宕机或者链路中断时用户可以迅速切换到备用AC。

注：1B17及以上版本支持热备功能，在主备AC上的AP配置必须完全一致，并且如果AP配置有调整必须两台AC都一起调整。 web一代认证不支持热备、内置web认证不支持热备。

2、组网拓扑

3、配置要点

1）AC-1 、AC-2、AP需要路由可达

2）启用热备功能

注意：配置AP DHCP的option 138时需要配置主备AC的loopback地址例如：option 138 1.1.1.1 2.2.2.2

3）主备AC间关于ap、ap-group的配置必须完全一致。大部分配置只要求主备两边均有配置，而部分配置需要保证配置顺序一致。

interface-mapping命令需要保证在同一个ap-group下配置顺序一致，或者主备AC均强制指定相同的ap-wlan-id。

4）热备组中的wlan必须是唯一的，不能映射在其它ap-group中。

AC(config)#ap-group ruijie----->配置ap-group

AC(config-ap-group)#interface-mapping 1 10 ----->映射wlan1

AC(config-ap-group)#exit

AC(config)#wlan hot-backup 1.1.1.1

AC(config-hotbackup)#context 10

AC(config-hotbackup-ctx)#ap-group ruijie----->该ap-group被加入到热备中，则wlan1不能在其它ap-group中进行映射(11.X版本没有该限制）

AC(config-hotbackup-ctx)#exit

AC(config-hotbackup)# wlan hot-backup enable ----->启用热备功能

5）对热备ap所在的ap-group配置修改，最好先在主AC上进行操作，再在备AC上进行操作。可以防止配置修改引起AP的主、备AC发生变化而导致AP工作不正常，建议在配置修订后让AP重新与主、备AC建立连接。

6）离线AP预配置需特别注意ap-name配置。离线预配置ap-name进行预修改名字，虽然主备AC配置一致，但AP在加入第一台AC后会被修改成新名字，导致在第二台AC上线时找不到对应离线配置，从而可能认为该AP主备配置不一致的情况，而导致该AP无法正常工作。如果一定需要修改ap-name的话，在主备AC上同时配置ap-mac，或者等到AP在主备AC均上线后再在主备AC上进行ap-name修改。

4、配置步骤

1）配置路由使用AC-1、AC-2、AP路由可达

核心配置：

核心(config)#ip route 1.1.1.1 255.255.255.255 192.168.30.2

核心(config)#ip route 2.2.2.2 255.255.255.255 192.168.30.3

AC-1配置：

AC-1(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1

AC-2配置：

AC-2(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1

2）启用热备功能

方案1、无线用户网关及dhcp地址池在核心交换时（推荐部署方式），热备配置如下：

AC-1配置 (无线的基础配置请参考典型功能---瘦AP配置)

AC-1(config)#wlan-config 1 rebei-test ----->主备AC配置一致

AC-1(config)#ap-group ruijie----->配置ap-group，主备AC一致

AC-1(config-ap-group)#interface-mapping 1 10 ----->如果遇到多个interface-mapping的情况请确保主备配置一致(包括顺序)

AC-1(config-ap-group)#exit

AC-1(config)# wlan hot-backup 2.2.2.2 ----->配置对端loopback 0地址

AC-1(config-hotbackup)# context 10 ----->配置备份实例，主备AC一致

AC-1(config-hotbackup-ctx)# priority level 7 ----->配置AC-1热备实例优先级，数字越高优先级越高。7表示抢占。

AC-1(config-hotbackup-ctx)# ap-group ruijie ----->将ap-group加入热备实例

AC-1(config-hotbackup-ctx)#exit

AC-1(config-hotbackup)# wlan hot-backup enable ----->启用热备功能

AC-2配置 (无线的基础配置请参考典型功能---瘦AP配置)

AC-2(config)#wlan-config 1 rebei-test

AC-2(config)#ap-group ruijie

AC-2(config-ap-group)#interface-mapping 1 10

AC-2(config)# exit

AC-2(config)# wlan hot-backup 1.1.1.1

AC-2(config-hotbackup)# context 10

AC-2(config-hotbackup-ctx)# ap-group ruijie

AC-2(config-hotbackup)# exit

AC-2(config-hotbackup)# wlan hot-backup enable

主备AC上同一个AP的配置：主备AC关于该AP的配置必须完全一致。以mac地址为0001.0000.0001的AP为例，假设AP已在主AC上上线：

主AC配置（ap已经上线且没有重命名）

AC-1(config)#ap-config 0001.0000.0001 ----->AP已经上线

AC-1(config-ap)#ap-group ruijie ----->调用已经加入热备的ap-group

AC-1(config-ap)#ap-name ap320 ----->主备AC上对于同一个AP的名字必须一致

备AC（AP还未上线）

AC-2(config)#ap-config ap320 ----->AP还未上线AP还未上线，做预配置（如果AP也还没和主AC建立隧道可以采用该配置方式）

AC-2(config-ap)#ap-mac 0001.0000.0001 -----> 指定“ap-config ap320”是给mac地址为0001.0000.0001的AP使用，该AP上线后会自动使用该ap-config的配置

AC-2(config-ap)#ap-group ruijie ----->调用已经加入热备的ap-group

方案2、无线用户网关及dhcp在AC上时，热备配置如下：

注：在配置过程中需要重点考虑热备切换时路由切换的问题。

核心配置：

核心(config)#ip route 192.168.10.0 255.255.255.0 192.168.30.2

核心(config)#ip route 192.168.10.0 255.255.255.0 192.168.30.3

AC-1配置：

AC-1(config)#interface VLAN 10 ----->无线用户vlan

AC-1(config-if-VLAN 10)#ip address 192.168.10.2 255.255.255.0

AC-1(config-if-VLAN 10)#vrrp 1 ip192.168.10.1 ----->启用VRRP功能，这里配置VRRP组号为1

AC-1(config-if-VLAN 10)#vrrp 1 priority 150

AC-1(config-if-VLAN 10)#exit

AC-1(config)#service dhcp

AC-1(config)#ip dhcp pool sta----->无线用户地址池

AC-1(dhcp-config)#network 192.168.10.0 255.255.255.0 192.168.10.4 192.168.10.254 ----->下发192.168.10.0/24网段，但是地址是从192.168.10.4-192.168.10.254

AC-1(dhcp-config)# dns-server 8.8.8.8

AC-1(dhcp-config)# default-router 192.168.10.1

AC-1(dhcp-config)#exit

AC-1(config)#ap-group ruijie----->配置ap-group

AC-1(config-ap-group)#interface-mapping 1 10 ----->如果遇到多个interface-mapping的情况请确保主备配置一致(包括顺序)

AC-1(config-ap-group)#exit

AC-1(config)#wlan hot-backup 2.2.2.2 ----->配置对端AC的loopback 0 IP地址

AC-1(config-hotbackup)# context 10 ----->配置备份实例

AC-1(config-hotbackup-ctx)#priority level 7 ----->配置AC-1热备实例优先级，数字越高优先级越高。7表示抢占

AC-1(config-hotbackup-ctx)#ap-group ruijie ----->将ap-group加入热备实例

AC-1(config-hotbackup-ctx)#dhcp-pool sta ----->将无线用户地址池加入热备实例，备AC的DHCP将不会响应DHCP

AC-1(config-hotbackup-ctx)#vrrp interface vlan 10 group 1 ----->无线用户网关VRRP组加入热备实例（这里group后面的数字就是vrrp的组号），如果VRRP状态没有必要随着热备状态切换，就可以不用加入热备实例。加入热备实例的VRRP在备AC上的状态会是init状态。

AC-1(config-hotbackup-ctx)#exit

AC-1(config-hotbackup)# wlan hot-backup enable ----->启用热备功能

AC-2配置：

AC-2(config)#interface VLAN 10

AC-2(config-if-VLAN 10)#ip address 192.168.10.3 255.255.255.0

AC-2(config-if-VLAN 10)#vrrp 1 ip 192.168.10.1

AC-2(config-if-VLAN 10)#exit

AC-2(config)#service dhcp----->开启DHCP功能

AC-2(config)#ip dhcp pool sta

AC-2(dhcp-config)#network 192.168.10.0 255.255.255.0 192.168.10.4 192.168.10.254----->下发192.168.10.0/24网段，但是地址是从192.168.10.4-192.168.10.254

AC-2(dhcp-config)# dns-server 8.8.8.8

AC-2(dhcp-config)# default-router 192.168.10.1

AC-2(dhcp-config)#exit

AC-2(config)#ap-group ruijie

AC-2(config-ap-group)#interface-mapping 1 10 ----->wlan-id 必须一致

AC-2(config-ap-group)#exit

AC-2(config)#wlan hot-backup 1.1.1.1

AC-2(config-hotbackup)# context 10

AC-2(config-hotbackup-ctx)#ap-group ruijie

AC-2(config-hotbackup-ctx)#dhcp-pool sta

AC-2(config-hotbackup-ctx)#vrrp interface vlan 10 group 1

AC-2(config-hotbackup-ctx)#exit

AC-2(config-hotbackup)# wlan hot-backup enable ----->启用热备功能

主备AC上同一个AP的配置：主备AC关于该AP的配置必须完全一致。以mac地址为0001.0000.0001的AP为例，假设AP已在主AC上上线：

主AC配置（ap已经上线且没有重命名）

AC-1(config)#ap-config 0001.0000.0001 ----->AP已经上线

AC-1(config-ap)#ap-group ruijie ----->调用已经加入热备的ap-group

AC-1(config-ap)#ap-name ap320 ----->主备AC上对于同一个AP的名字必须一致

备AC（AP还未上线）

AC-2(config)#ap-config ap320 ----->AP还未上线AP还未上线，做预配置（如果AP也还没和主AC建立隧道可以采用该配置方式）

AC-2(config-ap)#ap-mac 0001.0000.0001 -----> 指定“ap-config ap320”是给mac地址为0001.0000.0001的AP使用，该AP上线后会自动使用该ap-config的配置

AC-2(config-ap)#ap-group ruijie ----->调用已经加入热备的ap-group

5、配置验证

1）通过show wlan hot-backup，确认connect 状态为channel_up

AC-1#show wlan hot-backup 2.2.2.2

wlan hot-backup 2.2.2.2

hot-backup : Enable

connect state : CHANNEL_UP

hello-interval : 1000

kplv-pkt : ip

work-mode : NORMAL

context 10

hot-backup role: PAIR-ACTIVE

hot-backup rdnd state : REALTIME-SYN

hot-backup priority : 7

ap-group: ruijie

dhcp-pool: sta

vrrp interface - group : VLAN 10 - 1

AC-2#show wlan hot-backup 1.1.1.1

wlan hot-backup 1.1.1.1

hot-backup : Enable

connect state : CHANNEL_UP

hello-interval : 1000

kplv-pkt : ip

work-mode : NORMAL

context 10

hot-backup role: PAIR-STANDBY

hot-backup rdnd state : REALTIME-SYN

hot-backup priority : 4

ap-group: ruijie

dhcp-pool: sta

vrrp interface - group : VLAN 10 - 1

2）登陆到AP show capwap state 可以查看到建立两个隧道。

Ruijie#show cap stat

CAPWAP tunnel state, 4 peers, 2 is run:

Index Peer IPPortState

01.1.1.15246Run

12.2.2.25246Run

2::5246Idle

3 ::5246Idle

3）用户连接无线网络，长ping 网关之后重启主用AC，确认热备切换是否成功。

（注：只有优先级为7的AC才会抢占，当热备主AC挂掉又恢复之后，默认需要等10分钟，才能再次成为热备主AC）

4）查看主备AC的vrrp状态

主AC上面

AC-1#show vrrp int vlan 10 brief

InterfaceGrp Pri timer Own PreState Master addrGroup addr

VLAN 101 150 3- P Master 192.168.10.2192.168.10.1

备AC上面

AC-2#show vrrp brief

InterfaceGrp Pri timer Own Pre StateMaster addrGroup addr

VLAN 101 100 3- P Init 0.0.0.0192.168.10.1