在多場點的架構之下,要做到異地備援就會用上L3 Redundancy的架構。在大多數情況下,同一企業的多場點都會建立Site-to-Site VPN,使得私網域能互通。
在路由能互通之下,Mobility Conductor(MC,舊名Mobility Master,MM)就能建立L3 Redundancy。
L3 Redundancy的運作機制是,先設定MC的角色誰是Primary與Secondary,之後會由Primary去主控所有的Managed Device(MD)。MC的L3 Redundancy可與L2 Redundancy共用,因此L3 Redundancy架構下的MC最大數量為(1+1)+(1+1)=4,最大為4台。
MC中會有一個作為主控,通常是PMC。MD皆會與主控MC建立IPSec通道。要對MD做設定或看MC、AP與Clients等情形,請登入主控MC。
一旦MD與Primary失聯達15分鐘後,MD就會與Secondary建立IPsec通道,讓Secondary去主控MD。由於無線認證皆由MD去主導,即使MD與Primary失聯,也不會影響無線使用者上網。主要影響監控使用情形與暫時無法做設定。
設定步驟
建議先設完MM,再設MD。
- 先設定Primary MC(PMC),再設定 Secondary MC(SMC)。如果SMC下方有MD,先將MD切換去PMC。完成後再去PMC與SMC去設定L3 Redundancy。
- 建立起L3 Redundancy,可以在PMC與SMC的Mobility Conductor目錄下看到所有MC。
- 從PMC去修改MD,從Managed Network > Configuration > Controllers,點選MD,啟動Enable L3 redundancy。將Primary Mobility Conductor設定為PMC的IP位置,在有L2 Redundancy之下為VRRP IP, 將Secondary Mobility Conductor設定為SMC的IP位置。※請勿將MD3的Primary Mobility Conductor設定為SMC的IP位置,即使MD3與MM3在同一個場點。
- 設定完後按Pending Changes,MD會重新開機。
- 等待MD與PMC建立IPsec,即可完成。
測試環節
請先在PMC上先同步資料庫。
同時登入PMC與SMC WebUI,觀看設備連線情況。
將PMC的MC皆關掉,等待15分鐘後,MD會與SMC建立溝通,
登入SMC WebUI,觀看設備連線情況,MD是否在SMC,而Mobility Conductor目錄只剩SMC的MC。
啟動PMC的MC,SMC身上的MD很快又會跑回到PMC身上。
CLI
不論是MC之間,還是MD<=>MC之間,彼此都是建立IPsec溝通,因此用CLI去觀察IPsec的情形是最直接能得知當下的溝通狀況。
在MC身上
show crypto ipsec sa
show conductor-l3redundancy switch
在MD身上
show crypto ipsec sa
show conductor-l3redundancy status