4
C3650-24PS-S-Switch als WLC mit 2 AP 2802I-E-K9
Hey,
ich habe 2 Cisco AP 2802I-E-K9. Einen mit dem Mobility Express Image und den anderen per CAPWAP eingebunden.
Nun habe ich mir einen Cisco Switch C3650-24PS-S gekauft, mit entsprechendem IOS kann ich den Switch als WLC laufen lassen.
Ich habe soweit alles zum laufen gebracht, habe jedoch ein Verständnis Problem mit den VLANs der WLAN SSIDs.
Habe mich an dieser Anleitung gehalten: c3850 WLC konfig
Den CAPWAP AP kann ich nur an einem Access-Port vom Switch einbinden, an einem Trunk-Port mit den nativen Mgmgt-VLAN von z.B. 21 kann ich ihn nicht einbinden der AP bringt folgenden Fehler: Failed to process encrypted capwap packet 0x1cfd000 from 192.168.21.2
Ich möchte insgesamt 3 WLAN-SSID´s mit 3 Vlans am AP konfigurieren, wie funktioniert das an einem Access-Port?!?
Habt ihr tipps für mich? Bzw könnt ihr mir erklären, wie das an einem Access-Port funktionieren soll (was ich nicht glaube)?
Freundliche Grüße
oOHiggsOo
ich habe 2 Cisco AP 2802I-E-K9. Einen mit dem Mobility Express Image und den anderen per CAPWAP eingebunden.
Nun habe ich mir einen Cisco Switch C3650-24PS-S gekauft, mit entsprechendem IOS kann ich den Switch als WLC laufen lassen.
Ich habe soweit alles zum laufen gebracht, habe jedoch ein Verständnis Problem mit den VLANs der WLAN SSIDs.
Habe mich an dieser Anleitung gehalten: c3850 WLC konfig
Den CAPWAP AP kann ich nur an einem Access-Port vom Switch einbinden, an einem Trunk-Port mit den nativen Mgmgt-VLAN von z.B. 21 kann ich ihn nicht einbinden der AP bringt folgenden Fehler: Failed to process encrypted capwap packet 0x1cfd000 from 192.168.21.2
Ich möchte insgesamt 3 WLAN-SSID´s mit 3 Vlans am AP konfigurieren, wie funktioniert das an einem Access-Port?!?
Habt ihr tipps für mich? Bzw könnt ihr mir erklären, wie das an einem Access-Port funktionieren soll (was ich nicht glaube)?
Freundliche Grüße
oOHiggsOo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 554573
Url: https://administrator.de/forum/c3650-24ps-s-switch-als-wlc-mit-2-ap-2802i-e-k9-554573.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
4 Kommentare
Neuester Kommentar
Hi,
das geht. Im Switch baust du dir die WLANs mit den passenden VLANs, den Rest erledigt der Controller (Switch) über Capwap. Bei mir sind die APs im Mgmt-VLAN, worüber sie auch den Capwap-Tunnel bauen (nicht schön, aber nichts sicherheitskritisches und auch keine Firma), am Switch wirds in die VLANs rausgegeben.
Edit: Konfig!
mit "wlan NAME ID SSID" fügst du deine SSID hinzu, darunter dann über client vlan xxxx dein VLAN. Das wäre die Grundkonfiguration.
Ansonsten:
band-select -> Bandsteering
load-balance -> bei genug Empfang auf anderen AP balancen
peer-blocking -> Kommunikation unter den Clients verbieten
und zuletzt der WPA-Krempel
Läuft so aufm 3650 48PD, aktuell noch unter IOS16.3.1 wegen alter 1142er APs.
Noch ein Edit:
MC muss natürlich aktiv, ansonsten lässt sich das Management-IF noch festlegen, falls du die Capwap-Tunnelenden nicht in deinem Mgmt haben willst. Die Ports müssen dann natürlich als Access auf dieses VLAN festgelegt werden.
das geht. Im Switch baust du dir die WLANs mit den passenden VLANs, den Rest erledigt der Controller (Switch) über Capwap. Bei mir sind die APs im Mgmt-VLAN, worüber sie auch den Capwap-Tunnel bauen (nicht schön, aber nichts sicherheitskritisches und auch keine Firma), am Switch wirds in die VLANs rausgegeben.
Edit: Konfig!
wlan Halle 2 WLAN_XXX
band-select
client vlan 0002
ip dhcp opt82
ip dhcp opt82 format add-ssid
load-balance
peer-blocking drop
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 Passwort
no shutdown
wlan XXX 3 XXX_Intranet
band-select
client vlan 0003
load-balance
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 Passwort
no shutdown
wlan Dings 5 Test
band-select
client vlan 0222
ip dhcp opt82
ip dhcp opt82 format add-ssid
load-balance
peer-blocking drop
no security wpa akm dot1x
security wpa akm psk set-key ascii 0 Passwort
no shutdown
wlan Hotspot 10 XXXhalle
band-select
client vlan 0010
ip dhcp opt82
ip dhcp opt82 format add-ssid
load-balance
peer-blocking drop
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
no shutdownmit "wlan NAME ID SSID" fügst du deine SSID hinzu, darunter dann über client vlan xxxx dein VLAN. Das wäre die Grundkonfiguration.
Ansonsten:
band-select -> Bandsteering
load-balance -> bei genug Empfang auf anderen AP balancen
peer-blocking -> Kommunikation unter den Clients verbieten
und zuletzt der WPA-Krempel
Läuft so aufm 3650 48PD, aktuell noch unter IOS16.3.1 wegen alter 1142er APs.
Noch ein Edit:
wireless mobility controller
wireless management interface Vlan1MC muss natürlich aktiv, ansonsten lässt sich das Management-IF noch festlegen, falls du die Capwap-Tunnelenden nicht in deinem Mgmt haben willst. Die Ports müssen dann natürlich als Access auf dieses VLAN festgelegt werden.
1
Danke für den Tipp!!!
Hat geklappt!
Falls noch jemand einen Tipp hätte, wie ich einen der AP's per LAG anbinden kann, hätte ich meine Konfiguration vollständig.
Habe mich an diese Anleitung gehalten: LAG Cisco AP
Allerdings kann ich dann den AP nicht am WLC einbinden, da der DTLS-Austausch nicht vernünftig funktioniert. Anscheinend funktioniert
DTLS über LAG nicht....?!
Grüße
Hat geklappt!
Falls noch jemand einen Tipp hätte, wie ich einen der AP's per LAG anbinden kann, hätte ich meine Konfiguration vollständig.
Habe mich an diese Anleitung gehalten: LAG Cisco AP
Allerdings kann ich dann den AP nicht am WLC einbinden, da der DTLS-Austausch nicht vernünftig funktioniert. Anscheinend funktioniert
DTLS über LAG nicht....?!
Grüße
PortChannel als Access im richtigen VLAN? 
Nur die beiden Ports ins Access VLAN zu packen reicht nicht.
Nur die beiden Ports ins Access VLAN zu packen reicht nicht.
Bin nach der Einleitung vorgegangen 2802i LAG
Leider ohne Erfolg. Hab es mit "channel-group 1 mode active" und "channel-group 1 mode on" am Interface probiert. Bei "channel-group 1 mode active" bringt mir der Switch das die Gegenseite kein LACP aktiviert hat und der Channel kommt nicht hoch. Bei "channel-group 1 mode on" kommt der Channel hoch, aber mein AP kann sich per DTLS nicht am Switch-controller registrieren.
Habe bei einem AP das ME-Image installiert und den Switch-Port des APs als "channel-group 1 mode on" konfiguriert. So funktioniert es momentan, mal sehen ob ich einen zweiten AP anbinden kann.
Leider ohne Erfolg. Hab es mit "channel-group 1 mode active" und "channel-group 1 mode on" am Interface probiert. Bei "channel-group 1 mode active" bringt mir der Switch das die Gegenseite kein LACP aktiviert hat und der Channel kommt nicht hoch. Bei "channel-group 1 mode on" kommt der Channel hoch, aber mein AP kann sich per DTLS nicht am Switch-controller registrieren.
Habe bei einem AP das ME-Image installiert und den Switch-Port des APs als "channel-group 1 mode on" konfiguriert. So funktioniert es momentan, mal sehen ob ich einen zweiten AP anbinden kann.
