Diese Form des Backups bietet sich an, wenn Sie einen WLC durch einen zweiten WLC absichern und dabei jederzeit die volle Kontrolle über alle gemanagten APs behalten möchten. Der Backup-WLC wird dabei so konfiguriert, dass er die benötigten Zertifikate über SCEP vom abgesicherten Haupt-WLC bezieht.
-
Stellen Sie auf beiden WLCs 1 und 2 die gleiche Uhrzeit ein.
-
Schalten Sie die CA auf dem Backup-WLC aus (WEBconfig: LCOS-Menübaum > Setup > Zertifikate > SCEP-CA > Aktiv).
-
Erstellen Sie in der Konfiguration des SCEP-Clients im Backup-WLC einen neuen Eintrag in der CA-Tabelle (in LANconfig unter ). Darin wird die CA des Haupt-WLC eingetragen.
-
Geben Sie als URL die IP-Adresse oder den DNS-Namen des Haupt-WLCs ein gefolgt vom Pfad zur CA /cgi-bin/pkiclient.exe, also z. B. 10.1.1.99/cgi-bin/pkiclient.exe.
- Distinguished-Name: Standardname der CA (/CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE) bzw. der Name der auf dem primären Controller vergeben wurde
- RA-Auto-Approve einschalten
- Verwendungs-Typ: WLAN-Controller
-
Erstellen Sie dann einen neuen Eintrag in der Zertifikats-Tabelle mit folgenden Angaben:
- CA-Distinguished-Name: Der Standardname, der bei der CA eingetragen wurde, also z. B. /CN=LANCOM CA/O=LANCOM SYSTEMS/C=DE
- Subject: Angabe der MAC-Adresse des Haupt-WLAN-Controllers in der Form: /CN=00:a0:57:01:23:45/O=LANCOM SYSTEMS/C=DE
- Challenge: Das allgemeine Challenge-Passwort der CA auf dem primären WLAN-Controller oder ein extra für den Controller manuell vergebenes Passwort.
- Erweiterte Schlüsselbenutzung: critical,serverAuth,1.3.6.1.5.5.7.3.18
- Schlüssellänge: 2048 Bit
- Verwendungs-Typ: WLAN-Controller
-
Wenn im Backup-Controller zuvor schon eine SCEP-Konfiguration aktiv war, müssen folgende Aktionen unter WEBconfig ausgeführt werden ():
- Bereinige-SCEP-Dateisystem
- Aktualisieren (2x: beim ersten Mal holt sich der SCEP-Client nur die neuen CA/RA Zertifikate, beim zweiten Mal wird das Gerätezertifikat aktualisiert)
-
Konfigurieren Sie den ersten WLC 1 wie gewünscht mit allen Profilen und der zugehörigen AP-Tabelle. Die APs bauen dann die Verbindung zum ersten WLC auf. Die APs erhalten von diesem WLC ein gültiges Zertifikat und eine Konfiguration für die WLAN-Module.
-
Übertragen Sie die Konfiguration des ersten WLCs 1 z. B. mit LANconfig auf den Backup-Controller 2. Dabei werden auch die Profile und die AP-Tabellen mit den MAC-Adressen der APs auf den Backup-WLC übertragen. Alle APs bleiben in diesem Zustand weiterhin beim ersten WLC angemeldet. Ist die Übertragung der Konfiguration erfolgt, ist es erforderlich, dass Sie dem Backup-Controller eine neue IP-Adresse zuweisen.
Fällt der erste WLC 1 aus, suchen die APs automatisch nach einem anderen WLC und finden dabei den Backup-WLC 2. Da dieser über die gleichen Root-Zertifikate verfügt, kann er die Zertifikate der APs auf Gültigkeit überprüfen. Da die APs außerdem mit ihrer MAC-Adresse in der AP-Tabelle des Backup-WLCs eingetragen sind, übernimmt der Backup-WLC vollständig die Verwaltung der APs. Änderungen in den WLAN-Profilen des Backup-WLCs wirken sich direkt auf die gemanagten APs aus.
Anmerkung: Die APs bleiben in diesem Szenario so lange in der Verwaltung des Backup-WLCs, bis dieser entweder selbst einmal nicht erreichbar ist oder bis sie manuell getrennt werden.
Anmerkung: Mit der Einstellung des autarken Weiterbetriebs können die APs auch während der Suche nach einem Backup-WLC mit der aktuellen WLAN-Konfiguration in Betrieb bleiben, und die WLAN-Clients bleiben eingebucht.
