7
Gastnetzaufbau bei Cisco WLC in Verbindung mit Fritzbox 7590
Hallo zusammen,
wie oben beschrieben möchte ich ein Gastnetz in eine vorhandene Cisco WLAN Infrastruktur integrieren, leider bekomme ich das nicht so ganz hin wie gewünscht.
Die vorhandene Infrastruktur habe ich vor einigen Jahren vererbt bekommen:
Fritzbox 7590 --> SG350-10SFP --> 2x Catalyst 3750G-24 und daran hängen insgesamt 10 AIR-AP2802i APs. Diese werden durch einen WLC2504 verwaltet der wiederrum direkt am SG350-10SFP hängt. Alle diese sind auf VLAN1 konfiguriert.
Das Haupt-WLAN läuft ohne Probleme, nun soll der von der Fritzbox bereitgestellte LAN-Gastzugang auf den Cisco APs bereitgestellt weden. Die SSID habe ich bereits über den WLC erstellt, und diesem den Port 2 des WLCs zugewiesen und die IP-Adressen eingetragen. Der Port 2 des WLC ist mit dem LAN4 der Fritzbox (Gast-LAN) verbunden, jedoch bekomme ich beim Anmelden der Clients am Gastnetz keine IP-Adresse zugewisen. Beim Gastnetz soll wie auch beim Hauptnetz die Fritzbox der DHCP und DNS sein. Auch beim händischen Eintrag wird keine Verbindung hergestellt. Kann mir da jemand helfen ?
Viele Grüße
Marcel
wie oben beschrieben möchte ich ein Gastnetz in eine vorhandene Cisco WLAN Infrastruktur integrieren, leider bekomme ich das nicht so ganz hin wie gewünscht.
Die vorhandene Infrastruktur habe ich vor einigen Jahren vererbt bekommen:
Fritzbox 7590 --> SG350-10SFP --> 2x Catalyst 3750G-24 und daran hängen insgesamt 10 AIR-AP2802i APs. Diese werden durch einen WLC2504 verwaltet der wiederrum direkt am SG350-10SFP hängt. Alle diese sind auf VLAN1 konfiguriert.
Das Haupt-WLAN läuft ohne Probleme, nun soll der von der Fritzbox bereitgestellte LAN-Gastzugang auf den Cisco APs bereitgestellt weden. Die SSID habe ich bereits über den WLC erstellt, und diesem den Port 2 des WLCs zugewiesen und die IP-Adressen eingetragen. Der Port 2 des WLC ist mit dem LAN4 der Fritzbox (Gast-LAN) verbunden, jedoch bekomme ich beim Anmelden der Clients am Gastnetz keine IP-Adresse zugewisen. Beim Gastnetz soll wie auch beim Hauptnetz die Fritzbox der DHCP und DNS sein. Auch beim händischen Eintrag wird keine Verbindung hergestellt. Kann mir da jemand helfen ?
Viele Grüße
Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71811379646
Url: https://administrator.de/contentid/71811379646
Printed on: May 9, 2024 at 00:05 o'clock
7 Comments
Latest comment
Moin,
Ich weiß nicht wie es bei Cisco läuft, aber Tunneln die APs den gesamten Traffic wirklich durch den Port des WLC?
Ich kenne es so: APs spannen das zweite WLAN auf und geben den Traffic in einem Tagged VLAN an die Switches weiter. Die verteilen den Traffic dann gemäß ihrer VLAN Konfig.
In deinem Fall müsste Port 4 der Fritte also an einen untagged Port eines Switches, der im selben VLAN hängt wie das WLAN der APs.
Gruß,
Avoton
Ich weiß nicht wie es bei Cisco läuft, aber Tunneln die APs den gesamten Traffic wirklich durch den Port des WLC?
Ich kenne es so: APs spannen das zweite WLAN auf und geben den Traffic in einem Tagged VLAN an die Switches weiter. Die verteilen den Traffic dann gemäß ihrer VLAN Konfig.
In deinem Fall müsste Port 4 der Fritte also an einen untagged Port eines Switches, der im selben VLAN hängt wie das WLAN der APs.
Gruß,
Avoton
@Avoton
Man kann das bei Cisco mit und ohne Tunneling machen…
@Netzwerker4161
An allen Switchen ein VLAN erstellen, z.B. 179
Zwischen den switchen dann das VLAN an den Uplink-Ports (musst du auf Trunk umstellen) auf Tagged setzen.
Am sg350 einen freien Port wählen, dort das VLAN 179 untagged setzen und ein Kabel von Port 4 (Fritte) zu diesem Port legen.
Am Port, an dem der WLC hängt, ebenfalls auf Trunk umstellen und VLAN 179 tagged setzen.
An der WLC ein weiteres Interface anlegen (192.168.179.2/ 24), das VLAN 179 hinterlegen und dem Port zuordnen, an dem auch schon das VLAN 1 (untagged) anliegt.
Dein Gast-VLAN hängst du dann auch an dieses Interface (hab den Menüpunkt gerade nicht im Kopf)
Arbeitet ihr am WLC eigentlich mit FlexConnect?
Man kann das bei Cisco mit und ohne Tunneling machen…
@Netzwerker4161
An allen Switchen ein VLAN erstellen, z.B. 179
Zwischen den switchen dann das VLAN an den Uplink-Ports (musst du auf Trunk umstellen) auf Tagged setzen.
Am sg350 einen freien Port wählen, dort das VLAN 179 untagged setzen und ein Kabel von Port 4 (Fritte) zu diesem Port legen.
Am Port, an dem der WLC hängt, ebenfalls auf Trunk umstellen und VLAN 179 tagged setzen.
An der WLC ein weiteres Interface anlegen (192.168.179.2/ 24), das VLAN 179 hinterlegen und dem Port zuordnen, an dem auch schon das VLAN 1 (untagged) anliegt.
Dein Gast-VLAN hängst du dann auch an dieses Interface (hab den Menüpunkt gerade nicht im Kopf)
Arbeitet ihr am WLC eigentlich mit FlexConnect?
Eigentlich ist das kinderleicht und sollte man natürlich heute immer ohne das schlecht skalierende Tunneling machen und immer mit local Termination arbeiten.
Du erstellst einfach das entsprechende MSSID VLAN auf dem WLC Controller und richtest das auch entsprechend auf deinen Switches mit einem VLAN ein.
Auf der FritzBox musst du im Setup das Gastnetz auf den LAN-4 Port legen. Die Fritzbox hat dann auch die Router IP und DHCP im Gastnetz und KEIN anderes Endgerät dort. Das Gastnetz wird rein nur im Layer 2 auf den Switches betrieben wie Kollege @Avoton es oben schon gesagt hat.
Hier findest du die Lösung im Detail beschrieben:
Fritzbox Gastnetz VLAN und MSSID WLAN
Du erstellst einfach das entsprechende MSSID VLAN auf dem WLC Controller und richtest das auch entsprechend auf deinen Switches mit einem VLAN ein.
Auf der FritzBox musst du im Setup das Gastnetz auf den LAN-4 Port legen. Die Fritzbox hat dann auch die Router IP und DHCP im Gastnetz und KEIN anderes Endgerät dort. Das Gastnetz wird rein nur im Layer 2 auf den Switches betrieben wie Kollege @Avoton es oben schon gesagt hat.
Hier findest du die Lösung im Detail beschrieben:
Fritzbox Gastnetz VLAN und MSSID WLAN
Muss ich den APs dann auch ein anderes VLAN zuordnen ? Die laufen bislang alle aud VLAN1
Zitat von @Netzwerker4161:
Muss ich den APs dann auch ein anderes VLAN zuordnen ? Die laufen bislang alle aud VLAN1
Muss ich den APs dann auch ein anderes VLAN zuordnen ? Die laufen bislang alle aud VLAN1
Nein. Die IP des APs bleibt unangetastet. Du musst im WLC nur ein weiteres Interface zuordnen und dem AP eine SSID in dem VLAN geben. der IP selbst braucht keine IP in dem VLAN...
https://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-vl ...
Ist zwar ein anderer Controller, passt aber trotzdem.
Danke schonmal für eure Hilfe.
-wenn ich die Uplink Ports an den 3750er auf trunk umstelle, werden die dann automatisch tagged ?
Bei meinem 3750 hängen je vier APs auf Port 20 bis 24, diese stehen bislang auf VLAN1. Passt das so oder benötigen diese in diesem Fall dann auch noch VLAN179 (für Gastnetz) ? Kann mir nochmal jemand genau erklären, was ich an diesen Ports einstellen muss? Die Uplinks sind schon auf trunk.
Kann ich mit einem Comand sehen , ob die jeweiligen Ports tagged oder untagged sind?
grüße Marcel
-wenn ich die Uplink Ports an den 3750er auf trunk umstelle, werden die dann automatisch tagged ?
Bei meinem 3750 hängen je vier APs auf Port 20 bis 24, diese stehen bislang auf VLAN1. Passt das so oder benötigen diese in diesem Fall dann auch noch VLAN179 (für Gastnetz) ? Kann mir nochmal jemand genau erklären, was ich an diesen Ports einstellen muss? Die Uplinks sind schon auf trunk.
Kann ich mit einem Comand sehen , ob die jeweiligen Ports tagged oder untagged sind?
grüße Marcel
Muss ich den APs dann auch ein anderes VLAN zuordnen ?
Alle MSSID VLANs des APs müssen als tagged auf dem Anschlussport des Switches liegen. Logisch, denn wie sollten sonst die vom AP getaggten Frames für die MSSID VLANs vom Switch weitertransportiert werden können wenn du mit Local Forwarding (Flex Connect) also ohne zentrales Tunneling auf den WLC Controller arbeitest.Wie oben schon gesagt sollte Local Forwarding IMMER erste Wahl in einem MSSID Konzept sein!
Beispiel:
Wenn deine MSSID VLANs 10, 20 und 30 sind dann sieht dein Catalyst Switchport so aus:
interface GigabitEthernet0/1
description Tagged Link zum Accesspoint
switchport mode trunk
(switchport trunk encapsulation dot1q)
switchport trunk allow vlan add 1, 10, 20, 30
Das VLAN 1 ist dann dein Management VLAN in dem der AP sich seine IP zieht.
In dieses VLAN soll man logischerweise KEINE der WLAN SSIDs mappen, denn so würde man das Management VLAN als WLAN exponieren. Aus Sicherheitsgründen, ganz besonders in Firmennetzen, ist das ein NoGo!!
