10
Cisco Switch an Unifi AP
Moin 
Erst einmal eine Grundlegende Info. Wir haben 2 relevante VLANs: VLAN2 und VLAN3
Nun tausche ich bald unseren Unifi Switch gegen einen Cisco Switch.
Habe eigentlich alles durchgeplant, doch etwas ist mir ein wenig ein Rätsel:
Wir haben nach wie vor die Unifi APs. Wie muss ich das am Switch und vorallem am Cloud Key einrichten, dass es auch wirklich klappt schlussendlich.
Ich habe nämlich verschiedene Dinge im Netz gelesen, dass da Ubiquiti auch ein wenig seine eigene Suppe kocht.
Rein vom Bauchgefühl hätte ich den Uplink zu den APs in den Trunk-Mode gestellt und dann VLAN2 und VLAN3 draufgepackt, dass die beiden VLANs tagged an den AP gehen.
Am Cloud Key sind bereits diese zwei Netze mit den VLAN-IDs erstellt. Dann sollte der AP dies automatisch auch checken würde ich mir denken?
Kann mir dies jemand bestätigen der dies so in Betriebt hat?
LG
MbGb
Erst einmal eine Grundlegende Info. Wir haben 2 relevante VLANs: VLAN2 und VLAN3
Nun tausche ich bald unseren Unifi Switch gegen einen Cisco Switch.
Habe eigentlich alles durchgeplant, doch etwas ist mir ein wenig ein Rätsel:
Wir haben nach wie vor die Unifi APs. Wie muss ich das am Switch und vorallem am Cloud Key einrichten, dass es auch wirklich klappt schlussendlich.
Ich habe nämlich verschiedene Dinge im Netz gelesen, dass da Ubiquiti auch ein wenig seine eigene Suppe kocht.
Rein vom Bauchgefühl hätte ich den Uplink zu den APs in den Trunk-Mode gestellt und dann VLAN2 und VLAN3 draufgepackt, dass die beiden VLANs tagged an den AP gehen.
Am Cloud Key sind bereits diese zwei Netze mit den VLAN-IDs erstellt. Dann sollte der AP dies automatisch auch checken würde ich mir denken?
Kann mir dies jemand bestätigen der dies so in Betriebt hat?
LG
MbGb
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 542851
Url: https://administrator.de/contentid/542851
Ausgedruckt am: 19.11.2024 um 02:11 Uhr
10 Kommentare
Neuester Kommentar
Hossa!
Alle Fragen kann ich Dir leider nicht beantworten, aber ich kann Dir schonmal verraten, dass die Unifi AP VLAN-mässig ganz unkompliziert sind.
Ich setze die APs ein in Verbindung mit Switches von TP-Link (die smart managed Switches mit dem e am Ende der Modellbezeichnung, wie z.B. den TL-SG1016DE) und damit ist VLAN kein Problem. Wichtig ist nur, dass die Switches den Standard 802.1q unterstützen.
Gruß,
Colt
Alle Fragen kann ich Dir leider nicht beantworten, aber ich kann Dir schonmal verraten, dass die Unifi AP VLAN-mässig ganz unkompliziert sind.
Ich setze die APs ein in Verbindung mit Switches von TP-Link (die smart managed Switches mit dem e am Ende der Modellbezeichnung, wie z.B. den TL-SG1016DE) und damit ist VLAN kein Problem. Wichtig ist nur, dass die Switches den Standard 802.1q unterstützen.
Gruß,
Colt
Nun tausche ich bald unseren Unifi Switch gegen einen Cisco Switch.
Sehr vernünftig ! 
Welchen Cisco denn ?? SoHo SG Serie oder die "großen" Catalysten ?Die Unify APs sind auch billige Massen APs die wie alle anderen am Markt bei MSSID Betrieb auch ein simples stinknormales WLAN SSID Mapping auf eine entsprechende VLAN ID machen.
Das klappt mit jedem Switch auf der Welt mit Ciscos natürlich ganz besonders.
Das hiesige VLAN Tutorial erklärt dir das alles im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort findest du auch entsprechende Switch Konfigurationen aller Cisco Modelle und der gängigsten China Switches.
Das dortige Praxisbeispiel hat dann noch weitere Details zu so einem Setup.
Wenn du statt statischer MSSID Konfig mit dynamisch zugewiesenen VLANs am WLAN AP arbeitest wie es dieses Tutorial beschreibt:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
ändert das an der reinen Switchkonfiguration in Bezug auf das VLAN Tagging nichts. Die Konfig ist identisch zu statischen MSSIDs.
Der Traffic der gemappten WLAN SSIDs wird immer generell mit dem entsprechenden VLAN Tag versehen und rausgesendet. Analog muss der Switchport des APs dann Tagged für diese VLAN IDs eingerichtet sein.
Eigentlich kein Hexenwerk und im Handumdrehen erledigt wie ja auch Kollege @coltseavers oben schon gesagt hat.
Hi Ihr beiden und vielen Dank für die Antworten.
Nochmals zur Klarifizierung: Meine "Sorge" (falls man das so nennen kann) gilt nicht der Firewall oder dem Switch, sondern mehr dem Unifi System.
Ja klar können die das, wäre ja traurig wenn sie den Marktstandard nicht erfüllen würden, das können heuzutage ja sogar die billigsten China-Gurken
Aber bei unseren Anforderungen wären das Perlen vor die Säue :D
Ich habe auch noch gelesen, dass etwas mit dem Native VLAN bei Unifi wohl Probleme bereiten kann. Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
EDIT: "ein grösseres Teil zum rumspielen" ersetzt, da es mir beim erneuten Durchlesen ein wenig zu sexuell klang
Nochmals zur Klarifizierung: Meine "Sorge" (falls man das so nennen kann) gilt nicht der Firewall oder dem Switch, sondern mehr dem Unifi System.
Ja klar können die das, wäre ja traurig wenn sie den Marktstandard nicht erfüllen würden, das können heuzutage ja sogar die billigsten China-Gurken
Zitat von @aqui:
Sehr vernünftig ! Welchen Cisco denn ?? SoHo SG Serie oder die "großen" Catalysten ?
Nein, wird bei uns "nur" ein SG350X. Wir haben nicht extrem grosse Anferderungen, auch wenn ich gerne mal einen Enterprise Switch zum rumspielen (für die grossen Kinder) hätte. :DSehr vernünftig !
Welchen Cisco denn ?? SoHo SG Serie oder die "großen" Catalysten ?Die Unify APs sind auch billige Massen APs
Das die nicht die High-End Dinger sind weiss ich. Hätten wir kompliziertere/höhere Anforderungen würde ich auch Ruckus hinstellen Aber bei unseren Anforderungen wären das Perlen vor die Säue :DDas hiesige VLAN Tutorial erklärt dir das alles im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kleines Missverständniss, die Konfiguration des Switch und der Firewall sollte kein Problem sein. Es ging mir mehr um das Verhalten des Unifi APs.VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Unify APs sind auch billige Massen APs die wie alle anderen am Markt bei MSSID Betrieb auch ein simples stinknormales WLAN SSID Mapping auf eine entsprechende VLAN ID machen.
Also doch. Dann habe ich mich da evtl. ein wenig umsonst verunsichern lassen.Wenn du statt statischer MSSID Konfig mit dynamisch zugewiesenen VLANs am WLAN AP arbeitest wie es dieses Tutorial beschreibt:
Nein, das ist bei uns nicht nötig, aber trotzdem spannend mal anzuschauen. Danke für den Link!Ich habe auch noch gelesen, dass etwas mit dem Native VLAN bei Unifi wohl Probleme bereiten kann. Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
EDIT: "ein grösseres Teil zum rumspielen" ersetzt, da es mir beim erneuten Durchlesen ein wenig zu sexuell klang
nicht der Firewall oder dem Switch, sondern mehr dem Unifi System.
Das Unify System ist ja aus Netzwerk Sicht nix anderes als ein simpler Server, sproch also ein banales simples Endgerät. Das kann über jeden beliebigen China Switch arbeiten wie du ja selber schon sagst.Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
Warum ?An jedem beliebigen China Switch kann man das Native VLAN individuell an jedem Port setzen (PVID oder native VLAN). Das der Cisco das auch kann muss man sicher nicht erwähnen.
Wo ist also genau deine (unbegründete) Angst ?
Normal kaspert man sich in einem sauber strukturierten Netzwerk immer ein gesichertes Management VLAN aus. In diesem VLAN liegen dann die Switch Management IP Adressen, ILO Boards, AP Management, WLAN Controller usw. Dort sollte dann logischerweise auch die Unify System Gurke liegen.
Normal haben moderne APs keinen eigentlich überflüssigen Controller mehr, denn der sollte bei modernen APs immer integriert sein wie z.B. bei dem Microtik APs über die Capsman Management Funktion die auch jeder 20 Euro AP an Bord hat.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Zitat von @aqui:
Du sprichst nun über den CloudKey vermute ich dem Inhalt nach. Ich meinte das komplette Unifi Konstrukt. nicht der Firewall oder dem Switch, sondern mehr dem Unifi System.
Das Unify System ist ja aus Netzwerk Sicht nix anderes als ein simpler Server, sproch also ein banales simples Endgerät. Das kann über jeden beliebigen China Switch arbeiten wie du ja selber schon sagst.Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
Warum ?
Du begehst hier vermutlich einen fatalen Denkfehler oder die Funktion von VLANs bzw. Native VLANs ist dir nicht ganz klar.
Das PVID oder Native VLAN beschreibt ja immer an einem Endgeräteport das VLAN in das ungetaggte Pakete geforwardet werden.
Das Management Netz eines APs, sprich das also wo seine Management IP Adresse eingehängt ist, ist in der Regel im Default immer das Native VLAN also kommt untagged aus dem AP ohne eine VLAN Information. Untagged bedeutet eben keinerlei VLAN Information !!
Der Switchport allein (und nur der) bestimmt dann also mit seiner von dir erstellten Port Konfig in welches VLAN diese untagged Pakete geforwardet werden.
Wenn also dein Management VLAN das VLAN 33 ist, dann setzt du die Port PVID bzw. das Native VLAN am Switchport eben auf die 33. Folglich wird dann jeglicher Management Traffic ins VLAN 33 geforwardet.
Der Produktivtraffic des APs hat ja durch das SSID auf VLAN ID Mapping immer eine VLAN ID in den Paketen die der Switch dann erkennt (Tagged) und dann entsprechend in das jeweilige VLAN forwardet.
Es ist also völlig egal ob man das am AP ändern kann oder nicht. Du bestimmst das Forwarding rein mit dem Switch bzw. dessen Port Konfig.
Guckst du auch hier:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet (VLAN Schnellschulung)
oder hier zum Thema PVID/ Native VLAN:
Warum gibt es PVID bei VLANs?
Alles kein Hexenwerk also !
Das PVID oder Native VLAN beschreibt ja immer an einem Endgeräteport das VLAN in das ungetaggte Pakete geforwardet werden.
Das Management Netz eines APs, sprich das also wo seine Management IP Adresse eingehängt ist, ist in der Regel im Default immer das Native VLAN also kommt untagged aus dem AP ohne eine VLAN Information. Untagged bedeutet eben keinerlei VLAN Information !!
Der Switchport allein (und nur der) bestimmt dann also mit seiner von dir erstellten Port Konfig in welches VLAN diese untagged Pakete geforwardet werden.
Wenn also dein Management VLAN das VLAN 33 ist, dann setzt du die Port PVID bzw. das Native VLAN am Switchport eben auf die 33. Folglich wird dann jeglicher Management Traffic ins VLAN 33 geforwardet.
Der Produktivtraffic des APs hat ja durch das SSID auf VLAN ID Mapping immer eine VLAN ID in den Paketen die der Switch dann erkennt (Tagged) und dann entsprechend in das jeweilige VLAN forwardet.
Es ist also völlig egal ob man das am AP ändern kann oder nicht. Du bestimmst das Forwarding rein mit dem Switch bzw. dessen Port Konfig.
Guckst du auch hier:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet (VLAN Schnellschulung)
oder hier zum Thema PVID/ Native VLAN:
Warum gibt es PVID bei VLANs?
Alles kein Hexenwerk also !
Ja, da hattest du recht. *Klatsch gegen Kopf*
Nun nur noch zur doppelten Absicherung, dass ich den Wald vor lauter Bäume nun wieder sehe:
- Es gibt zwei SSIDs, eine mit VLAN 2 und eine mit VLAN 3
- Der AP sendet den Management-Traffic untagged durch den Trunk
- Am Switch sage ich, Native VLAN ist das VLAN 33(gemäss deinem Beispiel). Dann mit der Switch den untagged Traffic vom AP und leitet ihn ins VLAN 33 weiter.
- Ausserdem sage ich dem Switch, dass durch den Trunk die VLANs 2 und 3 fliessen sollen.
Macht eigentlich total Sinn und ich komme mir gerade ein wenig dumm vor. Aber darum habe ich mir dies vorher angeschaut. Sonst hätte ich diesen stundenlangen Denkprozess beim Tausch des Switches machen müssen. (Und ich möchte dies ja schnell druchziehen)
Tausend Dank!
Nun nur noch zur doppelten Absicherung, dass ich den Wald vor lauter Bäume nun wieder sehe:
- Es gibt zwei SSIDs, eine mit VLAN 2 und eine mit VLAN 3
- Der AP sendet den Management-Traffic untagged durch den Trunk
- Am Switch sage ich, Native VLAN ist das VLAN 33(gemäss deinem Beispiel). Dann mit der Switch den untagged Traffic vom AP und leitet ihn ins VLAN 33 weiter.
- Ausserdem sage ich dem Switch, dass durch den Trunk die VLANs 2 und 3 fliessen sollen.
Macht eigentlich total Sinn und ich komme mir gerade ein wenig dumm vor. Aber darum habe ich mir dies vorher angeschaut. Sonst hätte ich diesen stundenlangen Denkprozess beim Tausch des Switches machen müssen. (Und ich möchte dies ja schnell druchziehen)
Tausend Dank!
Es gibt zwei SSIDs, eine mit VLAN 2 und eine mit VLAN 3
...was ja durchaus normal ist bei einem MSSID AP.Der AP sendet den Management-Traffic untagged durch den Trunk
So ist es...!Am Switch sage ich, Native VLAN ist das VLAN 33(gemäss deinem Beispiel). Dann mit der Switch den untagged Traffic vom AP und leitet ihn ins VLAN 33 weiter.
Bingo ! Genau so verhält sich das.Ausserdem sage ich dem Switch, dass durch den Trunk die VLANs 2 und 3 fliessen sollen.
Jupp, genau. Einfach dort Tagged das VLAN 2 und VLAN 3 setzen auf dem Port und fertig ist der Lack.und ich komme mir gerade ein wenig dumm vor.
Musst du nicht, passiert im Eifer des Gefechts ja mal das man ein Brett vor dem Kopf hat ! 
Zitat von @ludaku:
Ich habe auch noch gelesen, dass etwas mit dem Native VLAN bei Unifi wohl Probleme bereiten kann. Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
Ich habe auch noch gelesen, dass etwas mit dem Native VLAN bei Unifi wohl Probleme bereiten kann. Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
Das stimmt nicht...du kannst ein neues Port Profil anlegen und dort definierst du untagged und tagged VLAN
Dass z.B. Unifi als Native VLAN nur VLAN1 erträgt. Vorallem das bereitet mir ein wenig Sorgen.
Warum ?Nein....das muss nicht sein, denn du kannst pro AP und pro Switch jeweils und "Dienste" beim Gerät das Management VLAN einstellen. Bei mir ist das z.B. hier auch immer ein tagged VLAN.
