Cisco AP Management-VLAN ändern
Guten Abend / Nacht,
nachdem ich mir mit folgender Anleitung einige 2600er APs umgerüstet habe, hat die Konfiguration soweit auch ganz gut geklappt.
Einige Sachen wie z.B. das Aktivieren der Radio-Interfaces ging nicht mehr über die Web GUI und erfolgte dann per CLI.
Dafür findet man überall die benötigten Befehle und dann ist das für einen Konsolen-Anfänger wie mich auch kein großes Problem.
Aber zum Thema Management-VLAN in Bezug auf APs habe ich bisher nichts gefunden. Ich habe mehrere VLANs erstellt und den SSIDs zugewiesen. Das Native VLAN liegt per Default ja in VLAN 1. So ist es auch in meinem Netzwerk. Nun möchte ich gerne das VLAN 10 als Management-VLAN anlegen. Per GUI ist dies nicht möglich da immer wieder Fehlermeldungen kommen (Native VLAN must be VLAN 1, Invalid Name for VLAN...).
Dieser GUI-Fehler lässt sich doch bestimmt auch per Konsole umgehen oder?
Hier noch meine bisherige Konfig (VLAN 10 noch nicht erstellt):
Vielen Dank schonmal und schöne Grüße,
Leon
PS: Reicht es vielleicht einfach aus, wenn ich dem Native VLAN keine IP-Adresse zuteile sondern nur dem VLAN 10?
nachdem ich mir mit folgender Anleitung einige 2600er APs umgerüstet habe, hat die Konfiguration soweit auch ganz gut geklappt.
Einige Sachen wie z.B. das Aktivieren der Radio-Interfaces ging nicht mehr über die Web GUI und erfolgte dann per CLI.
Dafür findet man überall die benötigten Befehle und dann ist das für einen Konsolen-Anfänger wie mich auch kein großes Problem.
Aber zum Thema Management-VLAN in Bezug auf APs habe ich bisher nichts gefunden. Ich habe mehrere VLANs erstellt und den SSIDs zugewiesen. Das Native VLAN liegt per Default ja in VLAN 1. So ist es auch in meinem Netzwerk. Nun möchte ich gerne das VLAN 10 als Management-VLAN anlegen. Per GUI ist dies nicht möglich da immer wieder Fehlermeldungen kommen (Native VLAN must be VLAN 1, Invalid Name for VLAN...).
Dieser GUI-Fehler lässt sich doch bestimmt auch per Konsole umgehen oder?
Hier noch meine bisherige Konfig (VLAN 10 noch nicht erstellt):
hostname AP-1
!
!
logging rate-limit console 9
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name Test vlan 30
dot11 vlan-name Privat vlan 20
!
dot11 ssid WLAN-Privat
vlan 20
authentication open
authentication key-management wpa version 2
guest-mode
mbssid guest-mode
wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxx
!
dot11 ssid WLAN-Privat-5G
vlan 20
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxxx
!
dot11 ssid WLAN-Test
vlan 30
authentication open
authentication key-management wpa version 2
mbssid guest-mode
wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
no ipv6 cef
!
crypto pki trustpoint TP-self-signed-xxxxxxxxx
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxxx
revocation-check none
rsakeypair TP-self-signed-xxxxxxxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxxxxxx
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxx
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
encryption vlan 20 mode ciphers aes-ccm
!
encryption vlan 30 mode ciphers aes-ccm
!
ssid WLAN-Privat
!
ssid WLAN-Test
!
antenna gain 0
mbssid
speed basic-1.0 2.0 5.5 11.0 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. m16. m17. m18. m19. m20. m21. m22. m23.
channel 2437
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 subscriber-loop-control
bridge-group 20 spanning-disabled
bridge-group 20 block-unknown-source
no bridge-group 20 source-learning
no bridge-group 20 unicast-flooding
!
interface Dot11Radio0.30
encapsulation dot1Q 30
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 spanning-disabled
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
!
interface Dot11Radio1
no ip address
!
encryption vlan 20 mode ciphers aes-ccm
!
encryption vlan 30 mode ciphers aes-ccm
!
ssid WLAN-Privat-5G
!
ssid WLAN-Test
!
antenna gain 0
peakdetect
no dfs band block
speed basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. m16. m17. m18. m19. m20. m21. m22. m23.
channel 5200
station-role root
!
interface Dot11Radio1.1
encapsulation dot1Q 1 native
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.20
!
interface Dot11Radio1.30
encapsulation dot1Q 30
bridge-group 30
bridge-group 30 subscriber-loop-control
bridge-group 30 spanning-disabled
bridge-group 30 block-unknown-source
no bridge-group 30 source-learning
no bridge-group 30 unicast-flooding
!
interface Dot11Radio1.201
encapsulation dot1Q 20
bridge-group 254
bridge-group 254 subscriber-loop-control
bridge-group 254 spanning-disabled
bridge-group 254 block-unknown-source
no bridge-group 254 source-learning
no bridge-group 254 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.20
encapsulation dot1Q 20
bridge-group 20
bridge-group 20 spanning-disabled
no bridge-group 20 source-learning
!
interface GigabitEthernet0.30
encapsulation dot1Q 30
bridge-group 30
bridge-group 30 spanning-disabled
no bridge-group 30 source-learning
!
interface GigabitEthernet0.201
!
interface BVI1
mac-address xxxxxxxxxxx
ip address dhcp client-id GigabitEthernet0
!
ip forward-protocol nd
ip http server
ip http authentication aaa
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
transport input all
!
sntp server de.pool.ntp.org
end
Vielen Dank schonmal und schöne Grüße,
Leon
PS: Reicht es vielleicht einfach aus, wenn ich dem Native VLAN keine IP-Adresse zuteile sondern nur dem VLAN 10?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72495208805
Url: https://administrator.de/contentid/72495208805
Ausgedruckt am: 19.12.2024 um 10:12 Uhr
12 Kommentare
Neuester Kommentar
nachdem ich mir mit folgender Anleitung einige 2600er APs umgerüstet habe
So so, mit einem Microsoft Office Update per GPO flashst du auch Cisco AP Firmware per TFTP. Respekt!! Sowas nennt man dann mal einen wirklichen IT Helden! 🤣Hier findest du alles, was du zum Thema VLANs auf dem AP wissen musst, fertig zum Abtippen:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
Deine Konfig ist schon zu 98% richtig! 👏
Tips:
- Ein Splitting der SSIDs auf die unterschiedlichen Bänder ist kontraproduktiv und solltest du NICHT machen. Der AP führt mit dem Kommando "band-select" in der SSID Definition (was bei dir fehlt!) ein Band Steering aus, das den Client Probe Reply auf dem 2,4GHz Band verzögert und damit generell alle Dual Radio Clients so automatisch bevorzugt ins störungsärmere 5 GHz Band bringt. In sofern ist eine Separierung der SSIDs auf die Radios Unsinn.
- Bei dir fehlt ein AP Fast Roaming in der Konfig was zu einem deutlich schlechteren Roaming Verhalten bei mehr als 2 APs führt, da die Clients dann auf Client basiertes Roaming zurückfallen. Im 2,4 GHz Bereich sollte man dazu zusätzlich mit "speed only-ofdm" das Broadcasting der langsamen .11b Speeds deaktivieren um das weiter zu verbessern. Bei 5 GHz analog "speed throughput" wenn man max. Performance will. ("speed range" nur wenn man mehr Reichweite bei 5GHz benötigt)
- Channel sollte man besser im 5GHz (und auch 2,4GHz) nicht vorgeben. Autodetection ist zwar bei allen Herstellern nicht so dolle aber die von Cisco funktioniert einigermaßen gut. Erst wenn die mal versagt sollte man händisch "nacharbeiten". Hier empfiehlt es sich mit einem WLAN Sniffer (Smartphone hier) immer am Standort der Clients einmal die AP Kanalwahl zu checken damit es nicht zu Überlappungen kommt! (5er oder 4er Abstandsregel)
- Bei dir fehlt die Angabe der Kanalbandbreite bei 5GHz! (channel width). Dadurch arbeitest du auf 5GHz nur mit einem Viertel der möglichen Performance. (Check mit WLAN Sniffer oben!)
- Es empfiehlt sich immer den 802.11d World Mode zu aktivieren um ggf. fremden, nicht DE Clients die volle Kanalrange und Power immer dynamisch zu übermitteln.
- Einen ungeschützten HTTP Server wie auch Telnet sollte man aus Sicherheitsgründen immer deaktivieren im Setup!
- Konfig "Leichen" wie "interface GigabitEthernet0.201" besser immer mit no wieder entfernen. Sowas schafft immer Probleme langfristig.
Reicht es vielleicht einfach aus, wenn ich dem Native VLAN keine IP-Adresse zuteile sondern nur dem VLAN 10?
Das wäre keine besonders gute Idee, denn im native VLAN sollte immer das Management des APs liegen was man aus Security Gründen niemals an eine SSID binden sollte um das Management nie in eins der WLANs zu exponieren! So kann man den AP immer sicher über Kupfer managen.Übrigens:
Mit dem richtigen Image klappt es für KlickiBunti Knechte auch wieder im GUI. Guckst du hier!
Zum Beispiel beim Switch kann ich eine IP-Adresse, Subnet, Gateway und Management-VLAN ID eintragen um auf den Switch zu zugreifen. Das selbe möchte ich gerne auch mit den AccessPoints machen.
In der Regel betreibt man WLAN APs immer im DHCP Client Mode und nicht mit statischen Mgmt IPs. Damit bekommen sie IP-Adresse, Subnet, Gateway, DNS immer automatisch in dem Management VLAN in dem sie betrieben werden.Will man feste IPs, macht man das dann über die Mac Adresse und einer festen DHCP Reservierung. Das hat den Vorteil das man den AP universell in allen DHCP basierten IP Segmenten betreiben kann ohne immer die Adress Konfig anpassen zu müssen. Du hast das oben in deiner Konfig schon richtig gemacht.
Vermutlich bezieht er dann die Daten per default aus dem Native VLAN
Ja das ist so wenn man es nicht im Setup umbiegt was aber nicht sinnvoll ist.Besser ist es am Switchport wo der AP angeschlossen ist das Native VLAN bzw. PVID VLAN dort auf sein Management VLAN zu setzen. Dann passt es auch wieder und man muss den AP nicht anpassen.
Das solltest du besser wieder als normalen Forenthread umdeklarieren. Der "Bearbeiten" Knopf ist dein Freund!
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Aus einem Wiki ging hervor, dass wenn ich einem non-native VLAN das Management zuweise, muss vorher das native VLAN entfernt werden.
Jein.... Entfernen des VLANs ist natürlich generell unsinnig. Nur so viel:Generell steht dir als Administrator ja frei in welches deiner zahllosen VLANs du dein Management VLAN legst. Wenn es nicht das native (PVID) VLAN ist muss es ein getaggtes sein. Bzw. du musst dann das natove VLAN am Switchport entsprechend customizen über die Switchkonfig.
Das Problem was auf den AP Switchports zu beachten ist, zumindestens was den Anschluss nicht konfigurierter APs ans Netz anbetrifft, ist Folgendes:
Ohne entsprechende Konfiguration kennt der AP natürlich keine VLANs und arbeitet in der Regel als DHCP Client. Sprich sein DHCP Request kommt also immer untagged am Switchport an.
Wenn du nun, wie in deinem zitierten "Wiki" beschrieben, das native (PVID) VLAN entfernst landen die AP Requests des APs im Nirwana und aus ist es mit seinem Management.
Der AP Port am Switch MUSS also immer mit dem Management VLAN als native bzw. PVID VLAN konfiguriert sein!!
So ist immer sichergestellt das der AP über das Management VLAN mit einer gültigen IP und Konfig versehen werden kann oder, sofern ein WLAN Controller vorhanden ist, der betreffende AP sich über das Management VLAN eine gültige Konfig vom Controller ziehen kann.
In einem mit 802.1x oder MAB gesicherten Netzwerk kann man die Zuweisung des AP Ports und seines Management Netzes auch dynamisch machen.
Eigentlich doch eine ganz einfache VLAN Logik die dein o.a. zitiertes "Wiki" leider völlig falsch oder fehlerhaft beschreibt. Vermutlich aus völliger Unkenntniss des dortigen Autors und daher wohl keine gute Adresse für seriöse Informationen.
Man muss also keinerlei VLANs löschen. Entscheidend ist immer WIE der Switchport für den AP eingerichtet wurde wie es oben beschrieben ist! 😉
in der Konfiguration dem Gigabit Interface 0.1 das Native entzieht bzw. das VLAN lahmlegt.
Das ginge natürlich, schafft dir aber das Problem das du ohne Konfig an dem Switchport dann ggf. im Nirvana stehst. Cisco sagt ja selber: "Usually, the native VLAN will always be the management VLAN."
Es ist deshalb immer deutlich sinnvoller das am Switchport zu customizen anstatt auf dem AP selber so das du einen AP immer erreichen kannst auch wenn der mal seine Konfig verloren hat oder er ohne Konfig irgendwo angeschlossen wird.
Man kann es aber auch so mit einem dedizierten VLAN lösen wie bei Cisco beschrieben.
Die Formulierung "You cannot have a native VLAN if you are using a non-native VLAN as a management VLAN." ist aber nicht so gemeint das es zwingend weggelöscht werden muss vom Switchport sondern nur das der AP dann natürlich KEIN native VLAN mehr nutzt!
Am Switchport könnte man es also theoretisch für den Fall der Fälle belassen....
Praktisch geht das aber nicht, denn der Switchport kann niemals mit einer gleichen VLAN ID als tagged und als Native (PVID) gleichzeitig konfiguriert sein. Das lässt kein Switch so zu, was ja irgendwo auch Sinn macht.