27.08.2023, aktualisiert am 22.05.2024

2166

Cisco AP Management-VLAN ändern

Guten Abend / Nacht,

nachdem ich mir mit folgender Anleitung einige 2600er APs umgerüstet habe, hat die Konfiguration soweit auch ganz gut geklappt.

Einige Sachen wie z.B. das Aktivieren der Radio-Interfaces ging nicht mehr über die Web GUI und erfolgte dann per CLI.
Dafür findet man überall die benötigten Befehle und dann ist das für einen Konsolen-Anfänger wie mich auch kein großes Problem.

Aber zum Thema Management-VLAN in Bezug auf APs habe ich bisher nichts gefunden. Ich habe mehrere VLANs erstellt und den SSIDs zugewiesen. Das Native VLAN liegt per Default ja in VLAN 1. So ist es auch in meinem Netzwerk. Nun möchte ich gerne das VLAN 10 als Management-VLAN anlegen. Per GUI ist dies nicht möglich da immer wieder Fehlermeldungen kommen (Native VLAN must be VLAN 1, Invalid Name for VLAN...).
Dieser GUI-Fehler lässt sich doch bestimmt auch per Konsole umgehen oder?

Hier noch meine bisherige Konfig (VLAN 10 noch nicht erstellt):

hostname AP-1
!
!
logging rate-limit console 9
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local 
!
!
!
!
!
aaa session-id common
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
no ip cef
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name Test vlan 30
dot11 vlan-name Privat vlan 20
!
dot11 ssid WLAN-Privat
   vlan 20
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   mbssid guest-mode
   wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxx
!
dot11 ssid WLAN-Privat-5G
   vlan 20
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxxx
!
dot11 ssid WLAN-Test
   vlan 30
   authentication open 
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
no ipv6 cef
!
crypto pki trustpoint TP-self-signed-xxxxxxxxx
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-xxxxxxxxxx
 revocation-check none
 rsakeypair TP-self-signed-xxxxxxxxxx
!
!
crypto pki certificate chain TP-self-signed-xxxxxxxx
 certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxx
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption vlan 20 mode ciphers aes-ccm 
 !
 encryption vlan 30 mode ciphers aes-ccm 
 !
 ssid WLAN-Privat
 !
 ssid WLAN-Test
 !
 antenna gain 0
 mbssid
 speed  basic-1.0 2.0 5.5 11.0 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. m16. m17. m18. m19. m20. m21. m22. m23.
 channel 2437
 station-role root
!
interface Dot11Radio0.1
 encapsulation dot1Q 1 native
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface Dot11Radio0.30
 encapsulation dot1Q 30
 bridge-group 30
 bridge-group 30 subscriber-loop-control
 bridge-group 30 spanning-disabled
 bridge-group 30 block-unknown-source
 no bridge-group 30 source-learning
 no bridge-group 30 unicast-flooding
!
interface Dot11Radio1
 no ip address
 !
 encryption vlan 20 mode ciphers aes-ccm 
 !
 encryption vlan 30 mode ciphers aes-ccm 
 !
 ssid WLAN-Privat-5G
 !
 ssid WLAN-Test
 !
 antenna gain 0
 peakdetect
 no dfs band block
 speed  basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. m16. m17. m18. m19. m20. m21. m22. m23.
 channel 5200
 station-role root
!
interface Dot11Radio1.1
 encapsulation dot1Q 1 native
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.20
!
interface Dot11Radio1.30
 encapsulation dot1Q 30
 bridge-group 30
 bridge-group 30 subscriber-loop-control
 bridge-group 30 spanning-disabled
 bridge-group 30 block-unknown-source
 no bridge-group 30 source-learning
 no bridge-group 30 unicast-flooding
!
interface Dot11Radio1.201
 encapsulation dot1Q 20
 bridge-group 254
 bridge-group 254 subscriber-loop-control
 bridge-group 254 spanning-disabled
 bridge-group 254 block-unknown-source
 no bridge-group 254 source-learning
 no bridge-group 254 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0.1
 encapsulation dot1Q 1 native
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.30
 encapsulation dot1Q 30
 bridge-group 30
 bridge-group 30 spanning-disabled
 no bridge-group 30 source-learning
!
interface GigabitEthernet0.201
!
interface BVI1
 mac-address xxxxxxxxxxx
 ip address dhcp client-id GigabitEthernet0
!
ip forward-protocol nd
ip http server
ip http authentication aaa
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
 transport input all
!
sntp server de.pool.ntp.org
end

Vielen Dank schonmal und schöne Grüße,
Leon

PS: Reicht es vielleicht einfach aus, wenn ich dem Native VLAN keine IP-Adresse zuteile sondern nur dem VLAN 10?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 72495208805

Url: https://administrator.de/contentid/72495208805

Ausgedruckt am: 18.11.2024 um 22:11 Uhr

12 Kommentare

Neuester Kommentar

nachdem ich mir mit folgender Anleitung einige 2600er APs umgerüstet habe

So so, mit einem Microsoft Office Update per GPO flashst du auch Cisco AP Firmware per TFTP. Respekt!! Sowas nennt man dann mal einen wirklichen IT Helden! 🤣

Hier findest du alles, was du zum Thema VLANs auf dem AP wissen musst, fertig zum Abtippen:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
Deine Konfig ist schon zu 98% richtig! 👏
Tips:

Ein Splitting der SSIDs auf die unterschiedlichen Bänder ist kontraproduktiv und solltest du NICHT machen. Der AP führt mit dem Kommando "band-select" in der SSID Definition (was bei dir fehlt!) ein Band Steering aus, das den Client Probe Reply auf dem 2,4GHz Band verzögert und damit generell alle Dual Radio Clients so automatisch bevorzugt ins störungsärmere 5 GHz Band bringt. In sofern ist eine Separierung der SSIDs auf die Radios Unsinn.
Bei dir fehlt ein AP Fast Roaming in der Konfig was zu einem deutlich schlechteren Roaming Verhalten bei mehr als 2 APs führt, da die Clients dann auf Client basiertes Roaming zurückfallen. Im 2,4 GHz Bereich sollte man dazu zusätzlich mit "speed only-ofdm" das Broadcasting der langsamen .11b Speeds deaktivieren um das weiter zu verbessern. Bei 5 GHz analog "speed throughput" wenn man max. Performance will. ("speed range" nur wenn man mehr Reichweite bei 5GHz benötigt)
Channel sollte man besser im 5GHz (und auch 2,4GHz) nicht vorgeben. Autodetection ist zwar bei allen Herstellern nicht so dolle aber die von Cisco funktioniert einigermaßen gut. Erst wenn die mal versagt sollte man händisch "nacharbeiten". Hier empfiehlt es sich mit einem WLAN Sniffer (Smartphone hier) immer am Standort der Clients einmal die AP Kanalwahl zu checken damit es nicht zu Überlappungen kommt! (5er oder 4er Abstandsregel)
Bei dir fehlt die Angabe der Kanalbandbreite bei 5GHz! (channel width). Dadurch arbeitest du auf 5GHz nur mit einem Viertel der möglichen Performance. (Check mit WLAN Sniffer oben!)
Es empfiehlt sich immer den 802.11d World Mode zu aktivieren um ggf. fremden, nicht DE Clients die volle Kanalrange und Power immer dynamisch zu übermitteln.
Einen ungeschützten HTTP Server wie auch Telnet sollte man aus Sicherheitsgründen immer deaktivieren im Setup!
Konfig "Leichen" wie "interface GigabitEthernet0.201" besser immer mit no wieder entfernen. Sowas schafft immer Probleme langfristig.

Reicht es vielleicht einfach aus, wenn ich dem Native VLAN keine IP-Adresse zuteile sondern nur dem VLAN 10?

Das wäre keine besonders gute Idee, denn im native VLAN sollte immer das Management des APs liegen was man aus Security Gründen niemals an eine SSID binden sollte um das Management nie in eins der WLANs zu exponieren! So kann man den AP immer sicher über Kupfer managen.
Übrigens:
Mit dem richtigen Image klappt es für KlickiBunti Knechte auch wieder im GUI. Guckst du hier!

Danke für das Feedback zu meiner bisherigen Konfiguration.

Zitat von @aqui:

nachdem ich mir mit folgender Anleitung einige 2600er APs umgerüstet habe

So so, mit einem Microsoft Office Update per GPO flashst du auch Cisco AP Firmware per TFTP. Respekt!! Sowas nennt man dann mal einen wirklichen IT Helden! 🤣

Das war wohl der falsche Link, da sollte eigentlich deine Anleitung hin 😅

Hier findest du alles, was du zum Thema VLANs auf dem AP wissen musst, fertig zum Abtippen:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
Deine Konfig ist schon zu 98% richtig! 👏
Tips:

Ein Splitting der SSIDs auf die unterschiedlichen Bänder ist kontraproduktiv und solltest du NICHT machen. Der AP führt mit dem Kommando "band-select" in der SSID Definition (was bei dir fehlt!) ein Band Steering aus, das den Client Probe Reply auf dem 2,4GHz Band verzögert und damit generell alle Dual Radio Clients so automatisch bevorzugt ins störungsärmere 5 GHz Band bringt. In sofern ist eine Separierung der SSIDs auf die Radios Unsinn.

Okay interessant, wird ergänzt…

* Bei dir fehlt ein AP Fast Roaming in der Konfig was zu einem deutlich schlechteren Roaming Verhalten bei mehr als 2 APs führt, da die Clients dann auf Client basiertes Roaming zurückfallen. Im 2,4 GHz Bereich sollte man dazu zusätzlich mit "speed only-ofdm" das Broadcasting der langsamen .11b Speeds deaktivieren um das weiter zu verbessern. Bei 5 GHz analog "speed throughput" wenn man max. Performance will. ("speed range" nur wenn man mehr Reichweite bei 5GHz benötigt)

Fast Roaming lohnt sich dann bei 4 APs und 5GHz werde ich auf Max. Performance setzen…

* Channel sollte man besser im 5GHz (und auch 2,4GHz) nicht vorgeben. Autodetection ist zwar bei allen Herstellern nicht so dolle aber die von Cisco funktioniert einigermaßen gut. Erst wenn die mal versagt sollte man händisch "nacharbeiten". Hier empfiehlt es sich mit einem WLAN Sniffer (Smartphone hier) immer am Standort der Clients einmal die AP Kanalwahl zu checken damit es nicht zu Überlappungen kommt! (5er oder 4er Abstandsregel)

Zum Glück gibt es nicht so viele WLAN-Netzwerke in der Umgebung aber ich checke das mal und stelle das dann um

* Bei dir fehlt die Angabe der Kanalbandbreite bei 5GHz! (channel width). Dadurch arbeitest du auf 5GHz nur mit einem Viertel der möglichen Performance. (Check mit WLAN Sniffer oben!)

Stimmt, da muss ich min. 40 MHz eintragen

* Es empfiehlt sich immer den 802.11d World Mode zu aktivieren um ggf. fremden, nicht DE Clients die volle Kanalrange und Power immer dynamisch zu übermitteln.

Wird eingefügt

* Einen ungeschützten HTTP Server wie auch Telnet sollte man aus Sicherheitsgründen immer deaktivieren im Setup!

Ups, da habe ich wohl https vergessen…

* Konfig "Leichen" wie "interface GigabitEthernet0.201" besser immer mit no wieder entfernen. Sowas schafft immer Probleme langfristig.

Danke für den Hinweis dann räume ich mal auf 😀

Reicht es vielleicht einfach aus, wenn ich dem Native VLAN keine IP-Adresse zuteile sondern nur dem VLAN 10?

Ich möchte ja nicht das Management-VLAN ausstrahlen. Hatte mich oben wohl etwas umständlich ausgedrückt, was den Eindruck erweckte, dass ich das VLAN einer SSID zu ordnen möchte…
Zum Beispiel beim Switch kann ich eine IP-Adresse, Subnet, Gateway und Management-VLAN ID eintragen um auf den Switch zu zugreifen. Das selbe möchte ich gerne auch mit den AccessPoints machen.
Hab im Netzwerk eine extra VLAN-ID und IP-Adressen für alle Netzwerkkomponenten mit Management-Interface.

Übrigens:
Mit dem richtigen Image klappt es für KlickiBunti Knechte auch wieder im GUI. Guckst du hier!

Hatte bisher das Image mit .JAB nicht gefunden sondern nur Andere (ohne 404 Error) mit Versionen um die 15.3….

Gruß Leon

Zum Beispiel beim Switch kann ich eine IP-Adresse, Subnet, Gateway und Management-VLAN ID eintragen um auf den Switch zu zugreifen. Das selbe möchte ich gerne auch mit den AccessPoints machen.

In der Regel betreibt man WLAN APs immer im DHCP Client Mode und nicht mit statischen Mgmt IPs. Damit bekommen sie IP-Adresse, Subnet, Gateway, DNS immer automatisch in dem Management VLAN in dem sie betrieben werden.
Will man feste IPs, macht man das dann über die Mac Adresse und einer festen DHCP Reservierung. Das hat den Vorteil das man den AP universell in allen DHCP basierten IP Segmenten betreiben kann ohne immer die Adress Konfig anpassen zu müssen. Du hast das oben in deiner Konfig schon richtig gemacht.

Zitat von @aqui:

Zum Beispiel beim Switch kann ich eine IP-Adresse, Subnet, Gateway und Management-VLAN ID eintragen um auf den Switch zu zugreifen. Das selbe möchte ich gerne auch mit den AccessPoints machen.

Das leuchtet mir ein. Vermutlich bezieht er dann die Daten per default aus dem Native VLAN und wenn ich ein anderes Management VLAN habe, muss ich dass eintragen, oder?

Vermutlich bezieht er dann die Daten per default aus dem Native VLAN

Ja das ist so wenn man es nicht im Setup umbiegt was aber nicht sinnvoll ist.
Besser ist es am Switchport wo der AP angeschlossen ist das Native VLAN bzw. PVID VLAN dort auf sein Management VLAN zu setzen. Dann passt es auch wieder und man muss den AP nicht anpassen.

P.S.: Wieso hast du eigentlich diesen Thread als Anleitung deklariert was er ja gar nicht ist?! ☹️
Das solltest du besser wieder als normalen Forenthread umdeklarieren. Der "Bearbeiten" Knopf ist dein Freund! Dank an die Moderatoren!

Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!

Ich hatte wieder etwas Zeit und habe deine ganzen Anmerkungen umgesetzt und angepasst.

Zitat von @aqui:

Vermutlich bezieht er dann die Daten per default aus dem Native VLAN

Die Konfig auf dem AP so zubelassen und nur eine Sache auf dem Switch zu ändern, hat beim testen problemlos geklappt.
Rein für das Verständnis würde ich die zweite Variante gerne auch nochmal verfolgen. Aus einem Wiki ging hervor, dass wenn ich einem non-native VLAN das Management zuweise, muss vorher das native VLAN entfernt werden.
Hat man also die VLANs 1 (native), 10 (Management), 20, 30 auf dem AP und weist VLAN 20/3o jeweils einer SSID zu, muss ich das VLAN 1 löschen. Gleichzeitig muss ich im Gigabit Interface bei VLAN 10 die Bridge-Group eintragen, richtig?

interface GigabitEthernet0
no ip address
duplex auto
speed auto
!
!
interface GigabitEthernet0.1 **löschen**
 encapsulation dot1Q 1 native 
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 1
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.30
 encapsulation dot1Q 30
 bridge-group 30
 bridge-group 30 spanning-disabled
 no bridge-group 30 source-learning
!
interface BVI1
 ip address 192.168.1.2 255.255.255.0
!
bridge 1 route ip
no ip route-cache

Wirklich nicht schön aber hilft dabei den Zusammenhang mit Native und Bridge Group zu verstehen...

Aus einem Wiki ging hervor, dass wenn ich einem non-native VLAN das Management zuweise, muss vorher das native VLAN entfernt werden.

Jein.... Entfernen des VLANs ist natürlich generell unsinnig. Nur so viel:

Generell steht dir als Administrator ja frei in welches deiner zahllosen VLANs du dein Management VLAN legst. Wenn es nicht das native (PVID) VLAN ist muss es ein getaggtes sein. Bzw. du musst dann das natove VLAN am Switchport entsprechend customizen über die Switchkonfig.
Das Problem was auf den AP Switchports zu beachten ist, zumindestens was den Anschluss nicht konfigurierter APs ans Netz anbetrifft, ist Folgendes:
Ohne entsprechende Konfiguration kennt der AP natürlich keine VLANs und arbeitet in der Regel als DHCP Client. Sprich sein DHCP Request kommt also immer untagged am Switchport an.

Wenn du nun, wie in deinem zitierten "Wiki" beschrieben, das native (PVID) VLAN entfernst landen die AP Requests des APs im Nirwana und aus ist es mit seinem Management.
Der AP Port am Switch MUSS also immer mit dem Management VLAN als native bzw. PVID VLAN konfiguriert sein!!
So ist immer sichergestellt das der AP über das Management VLAN mit einer gültigen IP und Konfig versehen werden kann oder, sofern ein WLAN Controller vorhanden ist, der betreffende AP sich über das Management VLAN eine gültige Konfig vom Controller ziehen kann.
In einem mit 802.1x oder MAB gesicherten Netzwerk kann man die Zuweisung des AP Ports und seines Management Netzes auch dynamisch machen.

Eigentlich doch eine ganz einfache VLAN Logik die dein o.a. zitiertes "Wiki" leider völlig falsch oder fehlerhaft beschreibt. Vermutlich aus völliger Unkenntniss des dortigen Autors und daher wohl keine gute Adresse für seriöse Informationen.

Man muss also keinerlei VLANs löschen. Entscheidend ist immer WIE der Switchport für den AP eingerichtet wurde wie es oben beschrieben ist! 😉

Achso es ging nicht darum, das Native VLAN aus dem Netzwerk zu löschen, sondern das man einfach auf dem AP in der Konfiguration dem Gigabit Interface 0.1 das Native entzieht bzw. das VLAN lahmlegt. Und dann dürfte man die Bridge Group 1 auf ein tagged Interface legen.

Hier ist die Anleitung VLAN Configuration das mit dem non-native Management VLAN steht recht weit unten

in der Konfiguration dem Gigabit Interface 0.1 das Native entzieht bzw. das VLAN lahmlegt.

Das ginge natürlich, schafft dir aber das Problem das du ohne Konfig an dem Switchport dann ggf. im Nirvana stehst.

Cisco sagt ja selber: "Usually, the native VLAN will always be the management VLAN."

Es ist deshalb immer deutlich sinnvoller das am Switchport zu customizen anstatt auf dem AP selber so das du einen AP immer erreichen kannst auch wenn der mal seine Konfig verloren hat oder er ohne Konfig irgendwo angeschlossen wird.
Man kann es aber auch so mit einem dedizierten VLAN lösen wie bei Cisco beschrieben.
Die Formulierung "You cannot have a native VLAN if you are using a non-native VLAN as a management VLAN." ist aber nicht so gemeint das es zwingend weggelöscht werden muss vom Switchport sondern nur das der AP dann natürlich KEIN native VLAN mehr nutzt!
Am Switchport könnte man es also theoretisch für den Fall der Fälle belassen....
Praktisch geht das aber nicht, denn der Switchport kann niemals mit einer gleichen VLAN ID als tagged und als Native (PVID) gleichzeitig konfiguriert sein. Das lässt kein Switch so zu, was ja irgendwo auch Sinn macht.

Gut dann ist das auch geklärt und festigt deine oben genannte Methode, einfach am Switch-Port die PVID auf das Management-Vlan umzustellen.
Das Management VLAN braucht man dann auch gar nicht in der Konfig zu erstellen, da es ja durch das Native VLAN (VLAN1) versorgt wird...

Danke!