Konfiguration / Die LANCOM Clustering Option
Übergeordnetes Thema: Die LANCOM Clustering Option

Konfigurations-Synchronisation einrichten

Damit die Konfigurations-Synchronisation möglich ist, müssen alle zu konfigurierenden Geräte gültige Zertifikate vorweisen können. Für eine einfache Zertifikatsverteilung konfigurieren Sie daher zuerst auf einem Gerät eine SCEP-CA.

  1. Dazu ist es notwendig, unter Zertifikate > SCEP-Server den SCEP-Server zu aktivieren. Wenn Sie die Konfigurations-Synchronisation auf einem WLC einrichten, ist der SCEP-Server höchstwahrscheinlich schon aktiv.




  2. Aktivieren Sie anschließend auf jedem Gerät, auf dem Sie die Konfigurations-Synchronisation verwenden möchten (inklusive des SCEP-CA-Gerätes), die SCEP-Client-Funktion unter Zertifikate > SCEP-Client. Wenn Sie die Konfigurations-Synchronisation auf einem WLC einrichten, ist der SCEP-Client höchstwahrscheinlich schon aktiv.




  3. Ergänzen Sie die CA-Tabelle um einen neuen Eintrag für den SCEP-Server.

    Die Werte für die CA-Tabelle entsprechen den Einstellungen des SCEP-Servers aus Schritt 1 und sind somit für alle Stationen identisch. Für die URL tragen Sie http://IPADR/cgi-bin/pkiclient.exe ein, wobei Sie IPADR durch die IP-Adresse des als SCEP-CA konfigurierten Gerätes ersetzen.

    Wenn Sie die Konfigurations-Synchronisation auf einem WLC einrichten, ist ein entsprechender Eintrag schon für den WLC-Betrieb vorhanden; dieser ist auch für den Bezug eines Zertifikates für die Konfigurations-Synchronisation einsetzbar, so dass in diesem Fall in der CA-Tabelle keine Änderung notwendig ist.





  4. Ergänzen Sie die Zertifikat-Tabelle im SCEP-Client um einen neuen Eintrag für den Bezug eines Konfigurations-Synchronisation-Zertifikates. Als CA-Distinguished-Name verwenden Sie den bereits bei Erstellung des CA-Tabellen-Eintrages verwendeten Namen.




    Als Subject tragen Sie die jeweils geräteeigene IP-Adresse ein (z. B. /CN=IPADR /O=COMPANY/C=DE, wobei Sie IPADR durch die IP-Adresse des als SCEP-CA konfigurierten Gerätes ersetzen.

    Wichtig: Es ist für die Funktion der Konfigurations-Synchronisation zwingend erforderlich, dass die IP-Adresse des Gerätes im Subject des Zertifikates enthalten ist.

    Als Verwendungs-Typ geben Sie "Konfigurations-Synchronisation" an. Passen Sie außerdem die Schlüssellänge auf "2048 bit" an. Den Namen des Tabelleneintrages können Sie frei wählen.

    Das Challenge-Passwort des als SCEP-CA konfigurierten Gerätes finden Sie in dessen Konfiguration unter Zertifikate > Zertifikats-Behandlung > Basis-Challenge-Passwort.





  5. Hiermit ist die Einrichtung der SCEP-CA sowie des SCEP-Clients zum Bezug der Konfigurations-Synchronisation-Zertifikate abgeschlossen. Sie können die Konfiguration an diesem Punkt bereits einmal in das Gerät zurückschreiben, um den Bezug der Zertifikate zu bewirken.
  6. Aktivieren Sie nun die Konfigurations-Synchronisation unter Management > Synchronisierung mit der Option Konfigurations-Synchronisierungs-Modul aktiviert. Unter Gruppen-Name können Sie ebenfalls einen benutzerdefinierten Namen für den Cluster festlegen, der anschließend auch in der LANconfig-Geräteliste erscheint.




  7. Tragen Sie unter Gruppen-Mitglieder die IP-Adressen aller Geräte ein, die Mitglieder des Clusters werden sollen.




  8. Definieren Sie unter Menü-Knoten die zu synchronisierenden Menüs. Möchten Sie Menüknoten explizit von der Synchronisation ausnehmen, wählen Sie unter Verwendung "von der Synchronisation ausgenommen".




    Definieren Sie optional unter "Ignorierte Zeilen", welche Zeilen einer Tabelle von der Synchronisation ausgenommen werden sollen. Beispiel: Default-Route auf VPN-Gateways, die für jedes Gateway unterschiedlich sein soll. Die restliche Routing-Tabelle kann durch einen Eintrag in den Menü-Knoten synchronisiert werden.





  9. Die Einrichtung der Konfigurations-Synchronisation ist auf diesem Gerät nun abgeschlossen. Sie können die Konfiguration nun in das Gerät zurückschreiben.
  10. Führen Sie die Schritte 2 bis 9 auf den weiteren zum Cluster gehörigen Geräten aus. Verweisen Sie dabei bei der Konfiguration des SCEP-Clients, wie oben angegeben, auf die SCEP-CA des ersten Gerätes.
  11. Starten Sie nun den Cluster auf dem Gerät, welches initial seine Konfiguration auf alle Mitglieder des Clusters verteilen soll. Wählen Sie dazu in der LANconfig-Geräteliste im Kontextmenü des Gerätes [Cluster starten…].
  12. Der Cluster ist nun in Betrieb. Sie können den Zustand des Clusters in der WEBconfig unter Status > Config > Sync > Zustand überprüfen. Änderungen an der Konfiguration können nun an jedem Mitglied des Clusters vorgenommen werden und werden auf die anderen Mitglieder synchronisiert.
Beachten Sie folgende Anforderungen:
  • Auf den beteiligten Geräten muss die korrekte Uhrzeit gesetzt sein (Zertifikatsprüfung).
  • Die eigene IP-Adresse des Gerätes muss im Subject des eigenen Zertifikates auftauchen.
  • Die zu synchronisierenden Menübäume müssen auf beiden Geräten gleich sein (bei unterschiedlichen Firmware-Versionen oder Geräte-Optionen nicht immer der Fall).
  • Wenn die Konfiguration der Konfigurations-Synchronisation (Menüknoten etc.) geändert wird, nachdem der Cluster bereits gestartet wurde, muss der Cluster erneut gestartet werden.
Übergeordnetes Thema: Die LANCOM Clustering Option
© LANCOM Systems. All rights reserved.