Cisco Air AP, Ethernet-Mesh-Netzwerk ohne WLC
Hallo zusammen,
ich habe hier 3 Access Points vom Typ Cisco AIR-SAP2602E-E-K9. Diese habe ich zum Standalone Betrieb ohne WLC auf die Firmware ap3g2-k9w7-tar.153-3.JH geflasht. Die Weboberfläche läuft, DHCP funktioniert und ich konnte auch einen AP erfolgreich als WLAN-AP einrichten mit SSID für 2,4 GHZ und 5 GHZ und WPA2 Kennwort.
Nun zu dem Problem. Ich möchte gerne mit den APs ein Ethernet-Mesh-Netzwerk bauen. Natürlich ohne WLC.
Die drei APs hängen alle über Ethernet am selben PoE Switch, der Wiederrum über Ethernet mit der FritzBox verbunden ist. Sie befinden sich im selben Netzwerk.
PoE Switch: 168.168.66.250
AP 1: 168.168.66.251
AP 2: 168.168.66.252
AP 3: 168.168.66.253
Wie muss ich die APs konfigurieren, damit das funktioniert. Im Internet bin ich bisher leider nicht fündig geworden und auch durch rumprobieren kam ich nicht wirklich zu seiner Lösung. Geht das überhaupt? Oder ist nur ein WLAN-Repeater-Betrieb im Standalone möglich?
Vielen Dank für die Unterstützung
ich habe hier 3 Access Points vom Typ Cisco AIR-SAP2602E-E-K9. Diese habe ich zum Standalone Betrieb ohne WLC auf die Firmware ap3g2-k9w7-tar.153-3.JH geflasht. Die Weboberfläche läuft, DHCP funktioniert und ich konnte auch einen AP erfolgreich als WLAN-AP einrichten mit SSID für 2,4 GHZ und 5 GHZ und WPA2 Kennwort.
Nun zu dem Problem. Ich möchte gerne mit den APs ein Ethernet-Mesh-Netzwerk bauen. Natürlich ohne WLC.
Die drei APs hängen alle über Ethernet am selben PoE Switch, der Wiederrum über Ethernet mit der FritzBox verbunden ist. Sie befinden sich im selben Netzwerk.
PoE Switch: 168.168.66.250
AP 1: 168.168.66.251
AP 2: 168.168.66.252
AP 3: 168.168.66.253
Wie muss ich die APs konfigurieren, damit das funktioniert. Im Internet bin ich bisher leider nicht fündig geworden und auch durch rumprobieren kam ich nicht wirklich zu seiner Lösung. Geht das überhaupt? Oder ist nur ein WLAN-Repeater-Betrieb im Standalone möglich?
Vielen Dank für die Unterstützung
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7374205545
Url: https://administrator.de/forum/cisco-air-ap-ethernet-mesh-netzwerk-ohne-wlc-7374205545.html
Ausgedruckt am: 26.12.2024 um 13:12 Uhr
18 Kommentare
Neuester Kommentar
Moin, ich möchte gerne grad mitm schönen Drink auf Kuba liegen... Du weisst was gut ist: Geteiltes Leid is halbes leid, wir werden beide nich bekommen was wir wollen....
Du hast 3 Stand-Alone-APs. Der name sagt ja schon was die sind, die glauben alle die sind alleine da. Die machen kein Handover - weil die dafür auch überhaupt keinen Grund sehen. DAFÜR ist ja (u.a.) der WLC da - damit der denen mitteilen kann das die eben nicht allein sind.
Du kannst halt nur das in der poor-man-edition machen: Überall selbe Daten konfigurieren und wenn du den Bereich eines APs verlässt warten das dein Gerät den nächsten erkennt u. sich da anmeldet. Dann fällt halt dein Netzwerk bei Bewegung mal nen paar Sek weg.
Du hast 3 Stand-Alone-APs. Der name sagt ja schon was die sind, die glauben alle die sind alleine da. Die machen kein Handover - weil die dafür auch überhaupt keinen Grund sehen. DAFÜR ist ja (u.a.) der WLC da - damit der denen mitteilen kann das die eben nicht allein sind.
Du kannst halt nur das in der poor-man-edition machen: Überall selbe Daten konfigurieren und wenn du den Bereich eines APs verlässt warten das dein Gerät den nächsten erkennt u. sich da anmeldet. Dann fällt halt dein Netzwerk bei Bewegung mal nen paar Sek weg.
Hallo,
Gruß,
Peter
Zitat von @Phynex:
Besteht nicht die Möglichkeit, denen in der Config (oder Weboberfläche) die Main-SSID und Daten der anderen beiden APs manuell mitzugeben. Damit sie eben wissen, dass da noch zwei andere APs sind und somit mit diesen ein Mesh aufbauen?
NEIN https://de.wikipedia.org/wiki/Standalone Eher bringst du einen Fish fahradfahren bei Besteht nicht die Möglichkeit, denen in der Config (oder Weboberfläche) die Main-SSID und Daten der anderen beiden APs manuell mitzugeben. Damit sie eben wissen, dass da noch zwei andere APs sind und somit mit diesen ein Mesh aufbauen?
Gruß,
Peter
Zitat von @Phynex:
Danke für die schnelle Antwort. Besteht nicht die Möglichkeit, denen in der Config (oder Weboberfläche) die Main-SSID und Daten der anderen beiden APs manuell mitzugeben. Damit sie eben wissen, dass da noch zwei andere APs sind und somit mit diesen ein Mesh aufbauen?
Zitat von @maretz:
Moin, ich möchte gerne grad mitm schönen Drink auf Kuba liegen... Du weisst was gut ist: Geteiltes Leid is halbes leid, wir werden beide nich bekommen was wir wollen....
Du hast 3 Stand-Alone-APs. Der name sagt ja schon was die sind, die glauben alle die sind alleine da. Die machen kein Handover - weil die dafür auch überhaupt keinen Grund sehen. DAFÜR ist ja (u.a.) der WLC da - damit der denen mitteilen kann das die eben nicht allein sind.
Du kannst halt nur das in der poor-man-edition machen: Überall selbe Daten konfigurieren und wenn du den Bereich eines APs verlässt warten das dein Gerät den nächsten erkennt u. sich da anmeldet. Dann fällt halt dein Netzwerk bei Bewegung mal nen paar Sek weg.
Moin, ich möchte gerne grad mitm schönen Drink auf Kuba liegen... Du weisst was gut ist: Geteiltes Leid is halbes leid, wir werden beide nich bekommen was wir wollen....
Du hast 3 Stand-Alone-APs. Der name sagt ja schon was die sind, die glauben alle die sind alleine da. Die machen kein Handover - weil die dafür auch überhaupt keinen Grund sehen. DAFÜR ist ja (u.a.) der WLC da - damit der denen mitteilen kann das die eben nicht allein sind.
Du kannst halt nur das in der poor-man-edition machen: Überall selbe Daten konfigurieren und wenn du den Bereich eines APs verlässt warten das dein Gerät den nächsten erkennt u. sich da anmeldet. Dann fällt halt dein Netzwerk bei Bewegung mal nen paar Sek weg.
Danke für die schnelle Antwort. Besteht nicht die Möglichkeit, denen in der Config (oder Weboberfläche) die Main-SSID und Daten der anderen beiden APs manuell mitzugeben. Damit sie eben wissen, dass da noch zwei andere APs sind und somit mit diesen ein Mesh aufbauen?
Nun - sofern du die firmware nich selbst programmieren kannst wohl eher nicht. Warum glaubst du macht fast jeder Hersteller sowas in den Controller? DAS ist eins der Main-Features warum man den Controller kaufen soll. Wenn man das eben per config machen könnte wäre das für cisco (und andere) ja ziemlich blöd ;)
Das klappt natürlich aber dann ohne zentrale "Intelligenz". Du nutzt die APs ja im Standalone Mode und wie der Name selber und auch Kollege @maretz schon richtig sagt musst du sie dann auch "standalone" konfigurieren, sprich jeden einzeln.
Das ist aber bei nur 3 APs ein Kinderspiel, denn wenn du eine fertige Konfig Datei hast ("show run") kannst du die im Handumdrehen per stinknormalem Cut and Paste auf die anderen 2 übertragen und hast die dann in 5 Minuten auch alle fertig konfiguriert und online.
Soviel zum Thema: "...die Main-SSID und Daten der anderen beiden APs manuell mitzugeben..."
Das du sie alle an einem Switchnetz betreibst ist per se schonmal richtig und wird ja auch generell immer so gemacht.
Alle wichtigen Konfigurations Infos und Beispiele findest du, wie immer, HIER.
Das ist aber bei nur 3 APs ein Kinderspiel, denn wenn du eine fertige Konfig Datei hast ("show run") kannst du die im Handumdrehen per stinknormalem Cut and Paste auf die anderen 2 übertragen und hast die dann in 5 Minuten auch alle fertig konfiguriert und online.
Soviel zum Thema: "...die Main-SSID und Daten der anderen beiden APs manuell mitzugeben..."
Das du sie alle an einem Switchnetz betreibst ist per se schonmal richtig und wird ja auch generell immer so gemacht.
- Entsprechende Kanalplanung
- Gleiche SSID, gleiches Passwort
- Band Steering und Roaming
Alle wichtigen Konfigurations Infos und Beispiele findest du, wie immer, HIER.
wenn du den Bereich eines APs verlässt warten das dein Gerät den nächsten erkennt u. sich da anmeldet.
Da irrt der Kollege. Die Cisco's supporten auch im Standalone Mode ein aktives Client Roaming. ("dot11 dot11r pre-authentication over-air"). Das muss man aber im Setup wie bei allen anderen auch immer aktivieren.Leider aber nicht wirklich weiter gekommen für meinen Anwendungsfall.
Ooops?! How come? Bzw. WAS ist denn dein "Anwendungsfall" genau? Den hast du ja dann noch gar nicht geschildert. Ich war bisher in der Weboberfläche unterwegs
Oha... Bis du alles per Anfänger KlickiBunti zusammengeklickt hast dauert das mindestens 5-10 Minuten pro AP. Cut and Paste der Konfig Datei (show run) dauert 15 Sekunden. Muss man noch mehr erklären?Wenn jemand die Befehle bzw. eine Config Datei hat
Der Link wurde dir doch oben schon mehrfach gepostet!! 🧐- Datei per Cut and Paste in einen Texteditor bringen
- Deine persönlichen Daten entsprechend dort alle anpassen und 3 Konfig Dateien erzeugen
- Textdatei in die APs rein cut and pasten
- Fertisch!
Was schwebt dir denn vor?? Simple Banalkonfig mit 2 Radios? MSSID Konfig mit VLANs? Dynamische VLANs? WLAN optimiert auf Reichweite oder Durchsatz? usw. usw.
Das müssen wir schon wissen für eine Konfig auf dem Silbertablett.
Wenn ich wüsste wie, wäre das per Config bzw. einmal konfigurieren
- Winblows: Terminal Programm wie PuTTY installieren und per Seriellem Terminal, Telnet oder SSH auf den AP zugreifen.
- Per Telnet mit User/Pass einloggen auf dem AP wie im Tutorial beschrieben.
- Eingabe: enable um in den Admin Mode zu kommen. Siehst du am "#" om Prompt.
- Jetzt vorab unbedingt einen Werksreset machen um den AP "nackig" zu machen. write erase und ggf. auch die Konfig im Flash löschen. Anzeige des Flash Inhalts mit show flash
- AP kaltstarten und wieder wie oben einloggen. Ein show run sollte eine nackte Konfig ohne Inhalt zeigen!!
- Eingabe conf t um in den Konfig Modus zu kommen. Prompt "(config)#"
- Dann die folgende Konfig Datei kopieren und reinpasten. Optimierung auf Reichweite ("range"):
service timestamps debug datetime msec
service timestamps log datetime localtime show-timezone year
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
hostname cisco-x
!
enable algorithm-type scrypt secret <password>
username admin privilege 15 algorithm-type scrypt secret <password>
!
aaa new-model
!
aaa authentication login default local
!
dot11 ssid <ssid>
band-select
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii <wlan_passwort>
!
username admin privilege 15 algorithm-type scrypt secret <password>
!
lldp run
!
interface Dot11Radio0
description 2.4 GHz Radio
no ip address
!
encryption mode ciphers aes-ccm
!
ssid <ssid>
!
speed only-ofdm
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both
!
interface Dot11Radio1
description 5 GHz Radio
!
encryption mode ciphers aes-ccm
!
ssid <ssid>
!
speed range
channel width 40-above
dot11 dot11r pre-authentication over-air
dot11 dot11r reassociation-time value 300
world-mode dot11d country-code DE both
!
interface GigabitEthernet0
description Lokales LAN
!
interface BVI1
description LAN-WLAN Bridge
ip address dhcp client-id GigabitEthernet0
!
no cdp run
!
sntp server de.pool.ntp.org
- Ggf. hostname cisco-x mit Index versehen um die APs unterscheiden zu können
- <ssid> und <wlan_passwort> entsprechend deinen Daten anpassen.
- <ctrl z> bringt dich aus dem Konfig Mode raus und write mem sichert die Konfig im Flash.
- Ein show run sollte dir dann die o.a. Konfig anzeigen und damit verifizieren das alles geklappt hat.
Die APs ziehen sich so eine IP per DHCP von einem DHCP Server im Netz.
Bei festen IPs musst du die Konfig dann ggf. ändern auf:
interface BVI1
description LAN-WLAN Bridge
ip address <deine_ip> <deine_subnetzmaske>
Und mit den Einstellungen funktioniert das Mesh?
Ja!auf den Parameter guest-mode gestoßen
Keine Sorge, hat nichts mit einem Gastnetz zu tun sondern bedeutet das die Assoziierung mit dem AP nicht durch Mac Listen limitiert sind sondern für alle "Gäste" frei.Für den Login werde ich wohl einen QR-Code bereitstellen, den man einfach scannen kann.
Das ist natürlich kein Problem. Ob du das mit einem QR Code oder mit einem beleuchteten Riesenposter im Eingang machst ist eher eine persönliche und kosmetische Frage die wenig etwas mit den APs selber zu tun hat. Weisst du ja auch alles selber?!Die Gefahren der Weitergabe von statischen WLAN Passwörtern sind dir ja sicherlich alle bekannt?!
Die Cisco APs supporten ein Captive Portal. Sowas mit Einmalpasswörtern ist für Gastnutzer deutlich sicherer. Oder... du machst eine zentrale Nutzer Verwaltung und Authentisierung mit Radius.
Sollte man für den Fall noch irgendwas anpassen oder genügt die Konfig von oben so.
Das hängt von deiner allgemeinen Netzwerk Security Policy ab die wir ja nicht kennen. Folglich kann man die Frage nicht zielführend beantworten. Weisst du auch selber...Die obige Konfig ist eine klassische Standard AP Roaming Konfig mit statischen WLAN Passwörtern.
muss ich nur den speed speed-range Paramter entfernen?
Nope! Das Zauberwort in der Konfig heisst dann (wie sollte es auch anders sein?!) speed throughputKonfig Tutorial einmal wirklich lesen hilft!!
Das speed ofdm-only im 2,4 Ghz Band solltest du unbedingt belassen, denn das schaltet die alten, nicht mehr verwendeten .11b Modes aus die das Netz sonst speedseitig in den Orkus reissen können auf 2,4 GHz. Außerdem unterdrückt es deren langsame Datenraten im Beaconing was sich in einen deutlich verbesserten Client Roaming auf 2,4 GHz zeigt.
Wenn du fertig bist und die APs alle an ihrem montierten Platz im Gebäude sind, dann installierst du dir einen freien WLAN Scanner wie z.B. den WiFiInfoView: https://www.nirsoft.net/utils/wifi_information_view.html und läufst damit mal das Gebäude ab. Besonders da wo sich die meisten Clients aufhalten. Dort misst du mal Feldstärke (RSSID Wert) und Kanalverteilung.
Der RSSID Wert sollte keinesfalls unter -80 dbm sinken. (-75 dbm wenn du Voice over WLAN machst)
Die APs arbeiten mit der o.a. Konfig im Autochannel Mode was bei Cisco einigermaßen gut funktioniert.
Dennoch solltest du prüfen ob die APs im 2,4 Ghz Bereich einen 4 oder 5 kanaligen Abstand zu sich selbst und zu Nachbarnetzen haben.
Gleiche Tools findest du unter dem Namen "WiFi Analyzer" im Playstore: https://play.google.com/store/apps/details?id=com.farproc.wifi.analyzer& ...
Viel Erfolg!
Ich habe mal gelesen, dass man für 2,4 GHz und 5 GHz unterschiedliche SSIDs erstellen sollte.
Das ist eine immerwährende Frage und poppt hier wöchentlich auf.Generell sollte man das nicht machen, denn mit dem Band Steering Kommando band select priorisieren die APs das störungsärmere 5 GHz WLAN Band für Dual Radio Clients indem sie die Probe Response Frames auf 2,4 GHz verzögern und so automatisch Clients ins bessere 5 GHz Band lotsen. Das machen in der Regel alle Hersteller so bei Dual Radio APs.
Es gibt aber auch Verfechter die 2 SSIDs bevorzugen. Nachteil ist dann das Clients dediziert über die SSID auswählen müssen in welches Band sie manuell wollen. Laien verstehen die unterschiedlichen Bänder nicht und sind in der Regel überfordert bei sowas wenn sie sich 2 Mal bei unterschiedlichen SSIDs anmelden müssen.
Die Band Steering Automatik kann das auch deutlich besser und agiler mit dem dynamischen Wechsel beider Bänder und das Handling ist für Clients einfacher.
Its your choice...!
Wenn du das unbedingt willst definierst du oben global eine 2te SSID z.B. Bitschleuder-5GHz mit den gleichen Credentials wie bei 2,4 GHz und weist diese dann untem dem 5 GHz Radio Interface zu.
Konfig ist perfectly ok und du kannst das Problem sicher auch selber schon sofort sehen...
Die Radio Interfaces stehen beide im shutdown Status, sind also ausgeschaltet. Das ist nach Löschen der Konfig normal und hatte ich oben vergessen zu erwähnen...sorry!
Sie zum Senden zu bringen ist im Handumdrehen erledigt:
Tip:
Wenn alles sauber rennt solltest du zur eigenen Sicherheit noch mit no username Cisco den Default User löschen oder ihm zumindestens ein sicheres Passwort geben!!
Da du kein gesichertes Management VLAN mit den APs betreibst kann dir sonst jeder x-beliebige User im LAN und WLAN, der die Standard Cisco User Credentials kennt, deinen AP hacken.
Die Radio Interfaces stehen beide im shutdown Status, sind also ausgeschaltet. Das ist nach Löschen der Konfig normal und hatte ich oben vergessen zu erwähnen...sorry!
Sie zum Senden zu bringen ist im Handumdrehen erledigt:
- Telnet, SSH oder Seriell
- enable für Admin Mode
- conf t für Konfig Mode
- mit int Dot11Radio0 Interface anwählen (Prompt: ap(config-if)#)
- no shut eingeben
- Das gleiche wiederholst du mit int Dot11Radio1 für 5GHz
- Fertisch
- <ctrl z> eingeben und wr mem um die Konfig zu sichern
Tip:
Wenn alles sauber rennt solltest du zur eigenen Sicherheit noch mit no username Cisco den Default User löschen oder ihm zumindestens ein sicheres Passwort geben!!
Da du kein gesichertes Management VLAN mit den APs betreibst kann dir sonst jeder x-beliebige User im LAN und WLAN, der die Standard Cisco User Credentials kennt, deinen AP hacken.