Aruba Local Management Switch(LMS)是一項功能,通常用於異地的Controller群,在AP與本地Controller群失聯時,AP會轉向異地Controller群報到,持續提供功能。
因此,LMS通常用於異地備援架構,如果有MM的話,就不需要使用LMS,被MM納管建Cluster就能簡單地做到負載平衡的備援架構。
使用LMS不常見,還是某些場景還是會用到的。
額外參考: https://arubase.club/archives/7019?btwaf=98220208
Aruba LMS有簡單的設定關鍵要點:
- 主LMS、備LMS的AP Group設定要相同
- 主LMS、備LMS的WLAN要相同或相似
- 主LMS、備LMS若未啟用CPSec,就無需擔心。
- 主LMS、備LMS若啟用CPSec,要做額外設定,且讓AP需要向主LMS、備LMS的報到過。
主LMS、備LMS的AP Group設定要相同
在主LMS、備LMS的AP Group中,要有相同的AP Group,同時LMS設定也要相同。
主LMS、備LMS的WLAN要相同或相似
為了維持正常無線網路廣播,一旦切換到備LMS之後,備LMS也要有主LMS的WLAN並且指定相同的AP Group廣播,才能在AP切到備LMS之後,讓使用者能繼續正常使用。
主LMS、備LMS啟用CPSec的狀況
大部分區內部署不會使用CPSec,藉此簡化部署流程。
但若有Bridge Mode,Campus AP就會需要啟用CPSec的情況下才會廣播出。
然而,CPSec是使用憑證去讓AP與Controller間建起IPSec通道,因此,主LMS、備LMS塞在AP上的憑證,對備LMS、主LMS可能就沒辦法認出來了,因此主LMS、備LMS在未設定之下,是兩個獨立的CA,因此會不互信。
在憑證不被備LMS信任之下,AP需要重開三次,刷新自己身上的憑證後,變成備LMS信任的憑證,才能切換到別台。
然而,AP要切回去的話,也需要重開三次,刷新自己身上的憑證後,變成主LMS信任的憑證,才能切換到主LMS。
重開三次,差不多會過十五分鐘,就會被嫌久。
Aruba Controller是個Router,Router身上會具備很多IP,而我們在這裡,是需要輸入Switch IP(Controller IP Address),而不是使用任意一個IP。
主LMS在CPSec中,需要在MD層設定Cluster for Allowlist Propagation,Cluster Role選擇Root,並且加入Member Switch IP與Key。
備LMS在CPSec,需要在MD層設定Cluster for Allowlist Propagation,並且加入Member Switch IP與Key。
指令輸入完後,可以從兩台Controller的CLI上,「show crypto isakmp sa」看到兩台Controller建立IPsec連線。
在主LMS的CLI,輸入「show crypto-local isakmp server-certificate」可以看到Clent-VPN變成CAP-Only Cluster-Root
在副LMS的CLI,輸入「show crypto-local isakmp server-certificate」可以看到Clent-VPN變CAP-Only Cluster-Member。
這樣子,CAP的憑證在主LMS跟備LMS都能被識別,在CPSec啟用架構下,AP切換就能跟一般的LMS切換速度一樣,在五分鐘以內完成,運氣好是可以在一分半切換完成。
移動或是替換控制器
因為CPSec與Cluster for Allowlist Propagation,皆會使用到IPSec的功能,在更替設備之後,會因為憑證與MAC Address變動,導致相關功能異常。
移動虛擬機的話,可以將網路介面卡的MAC Address調整成移動前的MAC Address。
建議,先取消所有會需要使用IPSec的功能,然後清理Session,再重新啟用。
在控制器輸入以下指令
session delete <IP address>相關功能啟用與說明
| 項目 | 說明 |
| LMS | 異控制器系統備援 |
| LMS + External License Server | 異控制器系統備援,且License Server可以失聯三十天。 |
| LMS + External License Server + CPSec | 如上,在切換時,因為AP需下載備援控制器,AP得再次重啟才能與備援控制器穩定連線。 |
| LMS + External License Server + CPSec + Cluster for Allowlist Propagation | 如上,AP在切換控制器時,不需要重新下載憑證,可做到快速切換(10秒內)。 |
狀況排除
AP無法正常在兩台間切換
Controller異動(VM)或是一些狀況,導致AP身上的憑證沒有被兩台Controller信任,因此出現AP只能與其中一臺建立IPSec連線,失去備援切換的能力。
由於CPSec啓用下,AP向Controller報到時是基於憑證,因此,清除AP身上的憑證,重新派發就能解決狀況。
方法:
- 確認show crypto-local isakmp server-certificate的運作狀況是否正常
- 在兩台控制器上清除Allow-list中的記錄,AP再加入時會重新向Controller報到並更新身上憑證。