Cisco Vlan Mgnt Cisco AP 2702i

Abend zusammen,

habe bei mir mein Netzwerk mit Cisco Komponenten am laufen und funktioniert ohne Probleme.

Zu meiner Hardware
Masterswitch: Cisco 2960S
AP´s: Cisco 2602i
Router: Fritzbox

Eckdaten zum Netzwerkaufbau:
- über FritzBox LAN4 Gastnetz aktiv
- am Switch seperates VLAN 20 für GASTNETZ
- Haupt VLAN 10
- zu den 2602i AP´s beide VLAN´s als TRUNK eingerichtet
- bei den 2602i logischerweise auch 2 VLAN´s ....

Komme auch überall soweit drauf.

Jetzt zu meinem Problem:
Habe mir über ebay einen neuen 2702i gekauft, eigtl. Identisch konfiguriert....

Komme jetzt dann nicht mehr auf den neuen AP drauf, wenn ich am Switch den TRUNK aktviere!
Gibt es irgendwo noch andere Einstellungen gegenüber dem 2602i ?

Vielen Dank schonmal für Eure Hilfe.

Gruß
Stefan

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 667764

Url: https://administrator.de/contentid/667764

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

5 Kommentare

Neuester Kommentar

Leider hast du es versäumt einmal deine AP Konfig hier zu posten (show run) um überhaupt proaktiv checken zu können wo ein möglicher Fehler liegt.

Nur so viel....
Normalerweise liegt bei einer klassischen MSSID Konfig des APs das Management Interface im Default PVID VLAN 1 was am Switch, der im Trunk Mode arbeitet, und AP UNtagged übertragen wird.
In der Regel rennt der AP ja im DHCP Client Mode so das man über die serielle Konsole des APs sofort checken kann ob der sich eine gültige IP dort gezogen hat. (Kommando: show ip int brief)
Sofern du den AP statisch addressiert hast musst du auf einen default Gateway Eintrag achten wenn der Management Zugang aus einem anderen IP Netz erfolgt! Bei einer DHCP Adressierung entfällt das natürlich, da das Gateway über DHCP kommt.

Die Switchport Konfig des Catalysten bei MSSID APs sieht so aus:
interface GigabitEthernet0/1
description Tagged Uplink zum AP
switchport mode trunk
(switchport trunk encapsulation dot1q)
switchport trunk allow vlan all
Das "allow vlan all" sollte man hier ggf. aus Performancegründen dediziert mit den wirklich nur am AP verwendeten VLAN IDs konfigurieren! Das muss natürlich dann auch das Management VLAN 1 inkludieren, also z.B. "switchport trunk allow vlan 1, 100, 200"

Fazit:
Ohne deine Switchport Konfig zu kennen und ohne das Pendant auf dem AP zu sehen kann man leider nur im freien Fall raten...
Grundlagen zur Cisco AP Konfig, wie immer, HIER.
Allgemeine Infos zu den Cisco AP Modellen hier.

Hallo,

danke schon mal für deine Tips... werden mal hier die Config posten!

Habe den AP 2702I identisch zu meinem bestehende 2602i konfiguriert... den kriegt ich nicht
zum laufen wenn ich den Switchport im Trunk habe und auf dem AP -> dot11 management vlan 10

Config vom Switchport:

// description Test-TRUNK
 switchport trunk allowed vlan 10,20
 switchport mode trunk
 switchport nonegotiate
 no logging event link-status
 no snmp trap link-status
 spanning-tree portfast
 spanning-tree bpduguard enable//

Jetzt vom AP:

//service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname accesspoint-buero
!
!
logging rate-limit console 9
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
!
!
!
aaa session-id common
clock timezone +0100 1 0
no ip source-route
no ip cef
ip name-server 192.168.10.1
!
!
!
!
dot11 pause-time 100
dot11 syslog
dot11 vlan-name guest vlan 20
dot11 vlan-name home vlan 10
!
dot11 ssid Evertebrata
   vlan 10
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 14211D0C0908393B2D263D302C
!
dot11 ssid guest
   vlan 20
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 133600170A180C2526217A63647B
!
!
!
dot11 management vlan 10
no ipv6 cef
!
!
username gerlach privilege 15 secret 5 $1$RThc$b10w5gkm83RUcoGX7HpHo.
!
!
lldp run
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 10 mode ciphers aes-ccm tkip
 !
 encryption vlan 20 mode ciphers aes-ccm tkip
 !
 ssid Evertebrata
 !
 ssid guest
 !
 antenna gain 0
 stbc
 mbssid
 station-role root
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface Dot11Radio1
 no ip address
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 10 mode ciphers aes-ccm tkip
 !
 encryption vlan 20 mode ciphers aes-ccm tkip
 !
 ssid Evertebrata
 !
 ssid guest
 !
 antenna gain 0
 peakdetect
 no dfs band block
 stbc
 mbssid
 speed  basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0 m0. m1. m2. m3. m4. m5. m6. m7. m8. m9. m10. m11. m12. m13. m14. m15. m16. m17. m18. m19. m20. m21. m22. m23. a1ss9 a2ss9 a3ss9
 channel width 80
 channel dfs
 station-role root
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 spanning-disabled
 no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
!
interface BVI1
 mac-address 0035.1a8b.9148
 ip address dhcp
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable
!
ip default-gateway 192.168.10.1
ip forward-protocol nd
ip http server
ip http authentication aaa
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
!
access-list 111 permit tcp any any neq telnet
bridge 1 route ip
!
!
!
line con 0
 access-class 111 in
line vty 0 4
 access-class 111 in
 transport input all
!
sntp server 192.168.10.1
sntp broadcast client
end//

Gruß
Stefan

werden mal hier die Config posten!

In Code Tags wäre es deutlich besser lesbarer!!

Der größte Fehler ist das du am Switchport das native VLAN 1 vergessen hast indem das AP Management Interface liegt dessen Traffic immer UNtagged ist. Oder alternativ das native VLAN auf deine Management VLAN ID zu setzen. (switchport native vlan x)
So wird in deinem Setup der ungetagged Management Traffic des APs am Switchport geblockt und das Management des APs bleibt unerreichbar.
Richtig wäre also ein switchport trunk allowed vlan 1,10,20 !!

Weitere Konfig Fehler am AP:

TKIP bei der Verschlüsselung zu aktivieren ist ein Riesenfehler, denn das begrenzt bekanntlich protokollbedingt immer die WLAN Bandbreite. Eine NoGo wenn du ein performantes WLAN betreiben willst. Auch im Hinblick das TKIP mittlerweile tot ist und keinerlei Client es mehr aktiv nutzt. Besser also dringend entfernen!
Das Speed Beaconing mit 6 und 9 Mbit sollte man wegen des besseren Roamings bei 2,4 GHz mit speed ofdm-only auf 12 Mbit limitieren. Ebenso bei 5 GHz mit speed througput. Es sei denn man braucht große Reichweite bei 5 GHz. In dem Fall ist speed range auf dem Radio 1 (und nur da) die bessere Wahl.
Wenn das BVI Interface (Management) im DHCP Client Mode arbeitet, also IP, DNS und Gateway vom DHCP Server bezieht ist es sinnfrei (und auch kontraproduktiv) nochmal statisch ein default Gateway anzugeben. Auch das kannst du in dem Falle besser wieder löschen.
Gleiches gilt auch für den DNS Server (ip name-server xyz) der ja ebenfalls via DHCP kommt.
Das Logging mit msek Timestamps laufen zu lassen ist unsinnig. Hier sollte man immer nur die Live Uhrzeit mitloggen mit service timestamps log datetime localtime show-timezone year
Es fehlt die Angabe der korrekten Zeitzone und die Sommer/Winterzeit Umstellung mit clock timezone CET 1 0 sowie clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
Man sollte nie 2 Infrastrukturprotokolle parallel laufen lassen! Wenn du richtigerweise LLDP aktivierst macht es Sinn CDP zu deaktivieren mit no cdp run

Der Rest ist soweit OK.

Hallo aqui,

vielen Dank für deine Antwort .
Werde mich daran halten, zwecks den Code Tags , danke für den Tip.

Habe bei mir VLAN 10 auf dem Switchport als native VLAN gemacht
und auf dem AP "dot11 management vlan 10" deaktiviert...
Jetzt klappt es

und für den AP habe ich auch einiges angepasst.

Danke für die schnelle Hilfe.

Gruß
Stefan

Immer gerne! 😊
Wenn es das denn war bitte nicht vergessen deinen Thread auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?

gelöst Frage LAN, WAN, Wireless Netzwerkmanagement

Mehr von ITguru1980

User wird immer langsamerITguru1980 - 24 Kommentare

Heiß diskutiert