Dec 13, 2021

1548

Multi-Vlan mit Cisco WLC und NPS

Hallo liebes Forum.

Ich stehe mal wieder vor einem Problem, dass ich gerne lösen möchte.
Muss dazu sagen, dass das schon mal so wie es sein soll, funktioniert hat. Ich habe alles genauso gemacht wie damals.
Nur heute geht es nicht wie es soll. Eventuell liegt es daran, dass ich den WLC als vWLC in EVE-NG ausführe.
Ich hab nicht jedes mal Lust meine Labor-Server-Farm hochzufahren um zu testen. Deshalb EVE-NG. Wnn es da läuft, wird es im Labor umgesetzt.
Der Geräuschpegel ist enorm.. aka Nexus Switch...

Nun zu meinem Problem:

Die Cloud ist verbunden mit einem Catalyst, an dem der LAP hängt.

Physischer Catalyst Switch:

interface GigabitEthernet0/0 
description Trunk zu EVE-NG 
switchport trunk encapsulation dot1q
 switchport mode trunk
 media-type rj45
 negotiation auto
 spanning-tree portfast edge
!
interface GigabitEthernet0/1
 description LAP
 switchport trunk encapsulation dot1q
 switchport mode trunk
switchport trunk native vlan 10
 media-type rj45
 negotiation auto

vSwitch:

Switch#sh run
Building configuration...

Current configuration : 3394 bytes
!
! Last configuration change at 17:48:48 UTC Mon Dec 13 2021
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!         
!         
!
!
ip cef
no ipv6 cef
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
! 
!
!
!
!
!
!
!
!
!
!         
!
!
interface GigabitEthernet0/0
 switchport trunk encapsulation dot1q
 switchport mode trunk
 media-type rj45
 negotiation auto
 spanning-tree portfast edge
!
interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/2
 switchport access vlan 10
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/3
 switchport access vlan 10
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/0
 switchport access vlan 30
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/1
 switchport access vlan 20
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/2
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/3
 media-type rj45
 negotiation auto
!
interface Vlan10
 ip address 172.16.16.10 255.255.255.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
!
!
!
!
control-plane
!
banner exec ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *  
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner incoming ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *  
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner login ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *  
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

Switch#


Switch#sh ip int br
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0     unassigned      YES unset  up                    up      
GigabitEthernet0/1     unassigned      YES unset  up                    up      
GigabitEthernet0/2     unassigned      YES unset  up                    up      
GigabitEthernet0/3     unassigned      YES unset  up                    up      
GigabitEthernet1/0     unassigned      YES unset  up                    up      
GigabitEthernet1/1     unassigned      YES unset  up                    up      
GigabitEthernet1/2     unassigned      YES unset  up                    up      
GigabitEthernet1/3     unassigned      YES unset  up                    up      
Vlan10                 172.16.16.10    YES NVRAM  up                    up      
Switch#


Switch#sh cd neighbors 
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone, 
                  D - Remote, C - CVTA, M - Two-port Mac Relay 

Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
SWITCH2_WLC      Gig 0/0           170             R S I  WS-C3550- Fas 0/1
WLC01            Gig 0/1           145               H    AIR-CTVM- Gig 0/0/1

Total cdp entries displayed : 2
Switch#

Switch#sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/2, Gi1/3
10   VLAN10                           active    Gi0/2, Gi0/3
20   VLAN20                           active    Gi1/1
30   VLAN30                           active    Gi1/0
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0   
10   enet  100010     1500  -      -      -        -    -        0      0   
20   enet  100020     1500  -      -      -        -    -        0      0   
30   enet  100030     1500  -      -      -        -    -        0      0   
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

Remote SPAN VLANs
------------------------------------------------------------------------------


Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Switch#

Ja, die Vlan Config ist identisch mit der vom Physischem Switch

Es funktioniert ja auch alles. Kommunikation zwischen WLC, Server, Switch und vPC
Was leider nicht funktioniert ist, die Dynamische Vlan Zuweisung. Ich lande immer im Vlan 10

Vlan10: 172.16.16.0/24
Vlan20: 172.16.20.0/24
Vlan30: 172.16.30.0/24

Getestet mit PC und IPhone.

Verbindung zum NPS klappt und Zertifikat wird abgerufen und wird von mir bestätigt.

Am AD 2 Gruppen angelegt und 2 User

chris Gruppe vlan20
sabine Gruppe vlan 30

Mich wundert es total. Es sollte doch funktionieren wenn ich mich als chris anmelde, dass ich ins vlan 20 komme.
Geht leider nicht. Immer nur Vlan10

Ich hoffe ihr könnt mir dabei helfen.

Please also mark the comments that contributed to the solution of the article

Content-Key: 1616404727

Url: https://administrator.de/contentid/1616404727

Printed on: April 26, 2024 at 10:04 o'clock

20 Comments

Latest comment

Da es ein vWLC, ausgeführt in EVE-NG ist, ist leider kein internal DHCP Server im WLC vorhanden.

An einem physischem WLC würde ich ja 3 Pools erstellen(Vlan 10,20,30), aber den Vlan Interfaces als DHCP die IP vom Management Interface(172.16.16.16) zuteilen.

Ich habe ja auf meinem physischem Switch 3 Pools erstellt:

172.16.16.0/24 VLAN10
172.16.20.0/24 VLAN20
172.16.30.0/24 VLAN30

Und im WLC in den VLan-Interfaces als DHCP-Server, die IP von den Vlan-Interfaces des physischen Switch eingetragen.

DHCP-Server von WLC-VLAN20-INT 172.16.20.1
DHCP-Server von WLC-VLAN30-INT 172.16.30.1

Das habe ich nun geändert und in allen Vlan-Interfaces die DHCP-Server IP auf die IP vom physischen Switch gesetzt(172.16.16.1)

Leider keine Änderung.
Denke das es auf jeden etwas mit dem DHCP Server zu tun hat.

Ich bleib dran...

Ich meine den Fehler eben entdeckt zu haben bei erneutem durchlesen meines Beitrages.
Kann es jetzt leider nicht testen, da ich auf der Arbeit bin.

Aber erst mal zu meiner Entdeckung:

der physische Switch an dem der LAP hängt->

interface GigabitEthernet0/1
 description LAP
 switchport trunk encapsulation dot1q
 switchport mode trunk
switchport trunk native vlan 10
 media-type rj45
 negotiation auto

Hier ist vlan 10 ja als nativ angegeben

Auf dem vSwitch:

Der Trunk Port an dem der WLC hängt:

interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 media-type rj45
 negotiation auto

Hier ist kein native Vlan angegeben!!

Hier muss noch das native vlan angegeben werden muss.
Die untagged Frames vom WLC müssen ja durch das Vlan10.

Dann sollte es funktionieren.

Ja, das ist richtig denn der Switchport steht so ohne die dedizierte Native VLAN Angabe auf Native VLAN 1. Sprich alles was ungetagged ankommt dort wird ins VLAN 1 geforwardet wobei oben am WLC alles ins VLAN 10 geforwardet wird.
Dürfte vermutlich die Lösung sein...?!

Eine Frage bleibt noch:

und in allen Vlan-Interfaces die DHCP-Server IP auf die IP vom physischen Switch gesetzt(172.16.16.1)

Warum muss man eine "DHCP Server" IP irgendwo konfigurieren ?? Eigentlich unsinnig.
Das ist einzig und allein nur dann erforderlich wenn du mit einem zentralen DHCP Server arbeitest und ein DHCP Relay mit ip helper address realisiert hast.
Ansonsten ist eine DHCP Server IP für alle Komponenten ziemlich Wumpe....aber egal.

Zitat von @aqui:

Ja, das ist richtig denn der Switchport steht so ohne die dedizierte Native VLAN Angabe auf Native VLAN 1. Sprich alles was ungetagged ankommt dort wird ins VLAN 1 geforwardet wobei oben am WLC alles ins VLAN 10 geforwardet wird.
Dürfte vermutlich die Lösung sein...?!

Eine Frage bleibt noch:

und in allen Vlan-Interfaces die DHCP-Server IP auf die IP vom physischen Switch gesetzt(172.16.16.1)

Danke für deine Antwort aqui.

Ich gebe den DHCP-Server im WLC im entsprechenden Interface an.
Ich habe nur ein DHCP-Server, und der läuft auf dem vSwitch für 3 Netze.
Mit DHCP-Relay habe ich noch nicht gearbeitet und blick da noch nicht ganz durch.
Ich weiß nicht warum...

Ahh, OK dann betreibst du doch ein zentrales DHCP Server Konzept und arbeitest mit DHCP Relay. Das war aus der etwas kryptischen Beschreibung oben nicht so ganz ersichtlich auf den ersten Blick.
In dem Fall sind die Helper IP Adressen mit dem DHCP Server natürlich OK.
Ansonsten ist es Blödsinn, denn wozu muss man einem Endgerät das per DHCP arbeitet sagen wo sein DHCP Server ist ?! Wäre technischer Unsinn, denn DHCP basiert ja auf Broadcasting wo sowas völlig unnötig ist. Und zudem technisch ja auch gar nicht konfigurierbar ist. DHCP Server muss man nirgendwo konfigtechnisch angeben ! Geht ja auch gar nicht außer bei Relay.
Oder...
Du meinst was völlig Anderes und hast dich nur gedrückt aus falsch ?!

Zitat von @aqui:
Oder...
Du meinst was völlig Anderes und hast dich nur gedrückt aus falsch ?!

Bin mir nicht ganz sicher. Wie gesagt, da blick ich nicht ganz durch.

Ich habe zurzeit einen zentralen DHCP der auf dem vSwitch läuft.

Pools:

Vlan10 -> 172.16.16.0/24 - Int vlan10 ip=172.16.16.1(Sind die vlan Interfaces auf dem vSwitch)
Vlan20 -> 172.16.20.0/24 - Int vlan20 ip=172.16.20.1 "
Vlan30-> 172.16.30.0/24 - Int vlan30 ip=172.16.30.1 "

Im WLC hab ich ja auch 3 Interfaces die ich ansprechen kann.

WLC Interfaces:

Management-> 172.16.16.16 Vlan10
Vlan20-> 172.16.20.16 Vlan20(ist ja klar)
Vlan30-> 172.16.30.16

Auf der Config-Site vom Management Interface gebe ich bei "DHCP-Server" die Ip vom vSwitch ein(172.16.16.1)
Bei allen anderen Interfaces(Vlan10,20) auch.

Ist dieses "DHCP Server" Feld gleichzusetzten mit CLI Command "ip helper-address" ?

Noch eine Frage:

Der DHCP-Server auf dem vSwitch sendet sein Broadcast in allen Vlan's oder nur im vlan1.
Ich glaube hängt auch von den Pools und vlan Interfaces mit ip ab.

Wenn auf dem Switch Vlan's erstellt wurden, sind die ja logisch von einander getrennt.
Heißt, Broadcast von Vlan20 bleibt in Vlan20 und geht nicht auf Vlan30 oder Vlan10 über. Richtig?
Gleiches gilt auch für DHCP-BC. Richtig?

Pools wie oben!
Stecke ich einen Client an einen Port der dem Vlan 20 zugeordnet ist, bekommt der eine IP vom 20er Pool vom DHCP, da ich
ja auch ein vlan20-interface konfiguriert habe. Richtig?

Würde er auch eine IP bekommen wenn ich kein vlan20 Interface hätte?
Die Pools müssen ja auch irgendwie den Ports zugeordnet werden und das geht glaub ich nur, wenn vlan interfaces konfiguriert sind. Richtig?

Wenn ich jetzt wollte, das der Client an diesem Port, der Vlan20 zugeordnet ist eine Ip von einem Windows DHCP-Server bekommen soll, der in einem andren Netz ist, muss ich "ip helper-address" definieren. Richtig??

ch habe zurzeit einen zentralen DHCP der auf dem vSwitch läuft.

Das ist vermutlich das Verwirrende and deiner Beschreibung....
Ein DHCP Server kann sowohl auf einem Switch laufen (der Switch selber spielt dann DHCP Server) oder aber ein DHCP Server kann AN an einem Switch arbeiten.
Ein himmelweiter Unterschied.
Da kein Switch der Welt aber als zentraler DHCP Server mit Relay areiten kann meinst du grammatikalisch sicher AM vSwitch, richtig ?
Wenn das der Fall ist musst du natürlich mit IP Helber Adressen an deinen VLAN IP Layer 3 Interfaces arbeiten damit die DHCP Broadcasts Requests aus den DHCPlosen IP Segmenten eben durch die Helper auf den zentralen DHCP Server geforwardet werden können.
Einfache Logik..

Guckst du auch hier:
https://techexpert.tips/de/cisco-switch-de/dhcp-relais-auf-cisco-switch/

Der DHCP-Server auf dem vSwitch sendet sein Broadcast

Ein DHCP Server sendet niemals DHCP Broadcasts ! Das machen immer nur Clients !
Besser also nochmal genau nachlesen und verstehen:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Ein Client sendet den DHCP Broadcast also immer nur in seinem Netzwerk Segment indem er selber ist. Netzwerk Admins wissen das Broadcast Pakete Prinzip bedingt NICHT über Router Grenzen gehen. Es sei denn....der Router macht DHCP Relay...siehe oben !

Wenn auf dem Switch Vlan's erstellt wurden, sind die ja logisch von einander getrennt.

Absolut richtig !

Heißt, Broadcast von Vlan20 bleibt in Vlan20 und geht nicht auf Vlan30 oder Vlan10 über. Richtig?

Aber sowas von richtig !!

bekommt der eine IP vom 20er Pool vom DHCP, da ich ja auch ein vlan20-interface konfiguriert habe. Richtig?

JEIN
Nur dann richtig wenn sich im VLAN 20 selber auch ein DHCP Server befindet der antworten kann. Ist dort keiner timed der DHCP Prozess aus und der Client gibt sich selber eine Zeroconf (ex APIPA) IP mit 169.254.x.y !
Befindet sich im Segment kein DHCP Server aber das L3 Interface hat eine DHCP Relay konfiguriert (ip helper adress) dann fprwardet das L3 Interface (vlanx Interface) diesen Broadcast als Unicast zum zentralen DHCP Server. Absender IP ist dann die L3 IP des Routers/Switches.
Wenn der zentrale DHCP Server einen entsprechenden Scope eingetragen hat antwortet er mit einem entsprechenden Lease. Fertisch...ganz einfaches Prinzip.

Würde er auch eine IP bekommen wenn ich kein vlan20 Interface hätte?

Ja natürlich...aber wie du oben siehst hängt es von 2 Faktoren ab:

Ist in dem Layer 2 Segment ein DHCP Server
Wenn nein ist auf dem L3 Interface (Router) ein DHCP Relay konfiguriert

Ist beides nicht gegeben = Zeroconf IP 169.254.x.y
Einfache Logik !

Die Pools müssen ja auch irgendwie den Ports zugeordnet werden und das geht glaub ich nur, wenn vlan interfaces konfiguriert sind. Richtig?

Absolut richtig !! L3 IP Interfaces müssen vorhanden sein.
Guckst du dazu auch HIER im Cisco Router Tutorial wo du das ganz genau sehen kannst am lokalen LAN Segment und am Gastnetz Segment !!

Wenn ich jetzt wollte...., muss ich "ip helper-address" definieren.

Bingo ! Der Kandidat hat 100 Punkte !

Alles kein Hexenwerk !

Da kein Switch der Welt aber als zentraler DHCP Server mit Relay areiten kann meinst du grammatikalisch sicher > AM vSwitch, richtig ?

Ja, der vSwitch ist als DHCP-Server konfiguriert.

Ein DHCP Server sendet niemals DHCP Broadcasts !

Richtig. Hab mich falsch ausgedrückt.

Nur dann richtig wenn sich im VLAN 20 selber auch ein DHCP Server befindet der antworten kann. Ist dort keiner > timed der DHCP Prozess aus und der Client gibt sich selber eine Zeroconf (ex APIPA) IP mit 169.254.x.y !
Befindet sich im Segment kein DHCP Server aber das L3 Interface hat eine DHCP Relay konfiguriert (ip helper > adress) dann fprwardet das L3 Interface (vlanx Interface) diesen Broadcast als Unicast zum zentralen DHCP Server. > Absender IP ist dann die L3 IP des Routers/Switches.

So hab ich den DHCP auf dem vSwitch konfiguriert:

ip dhcp pool vlan 10
network 172.16.16.0 255.255.255.0
default-router 172.16.16.1
dns-server 8.8.8.8

ip dhcp pool vlan 20
network 172.16.20.0 255.255.255.0
default-router 172.16.20.1
dns-server 8.8.8.8

ip dhcp pool vlan 30
network 172.16.30.0 255.255.255.0
default-router 172.16.30.1
dns-server 8.8.8.8

Die Interfaces sind so konfiguriert:

int vlan 10
ip add 172.16.16.1 255.255.255.0
noshut

int vlan 20 
ip add 172.16.20.1 255.255.255.0
no shut

int vlan 30
ip add 172.16.30.1 255.255.255.0
noshut

Wie zu sehen, ist keine helper address eingetragen.

int gi0/3
switchport mode access
switchport access vlan 10

Wenn ich jetzt einen Client an diesen Port hänge, bekommt der eine IP aus dem 172.16.20.0/24 Netz, obwohl wie erwähnt keine helper address angegeben ist.

Deshalb verstehe ich diesen Teil deines Kommentares nicht ganz.
Ich werde mir die Links anschauen und den Inhalt lesen.

Danke aqui

Edit:

Auf dem vSwitch ist das Routing aktiviert!!

Ja, der vSwitch ist als DHCP-Server konfiguriert.

Ooops, welcher Hypervisor supportet denn sowas ???
Oder... nutzt du den Cisco Catalyst vSwitch ?? Die onboard vSwitches der gängigen Hypervisoren supporten sowas nicht. Ebensowenig L3 Switching.
Der Cisco "vSwitch" ist quasi ein eigener Catalyst Switch in einer VM. Deshalb die Verwirrung weil man in erster Linie da immer an die bordeigenen vSwitches der Hypervisoren denkt...

OK, und Ja...mit dem Cisco Teil ist sowas dann natürlich möglich auch ohne IP Helper / Relay. Du musst da eh für jedes VLAN dann zwangsweise einen Pool anlegen. Die DHCP Vergabe funktioniert dann logischerweise auch ausschliesslich nur mit einem L3 vlan Interface auf dem Switch.
Deine DHCP Konfig hat noch einen fatalen Fehler, denn du musst zumindest die L3 Interface IP excluden andernfalls kommt es zu einer Doppelvergabe.
Ein
ip dhcp excluded-address 172.16.16.1 172.16.16.99
ip dhcp excluded-address 172.16.16.201 172.16.16.254
für jedes DHCP VLAN gibt dir dann immer den Pool von .100 bis .200 mit 100 Adressen frei OHNE das es da zu Überschneidungen mit Routern, NAS oder anderen Infrastruktur Komponenten kommt die ja statische IP Adressen nutzen und (meistens) die IPs ganz oben oder ganz unten im Prefix nutzen ! So bist du da also safe das es nicht zum Adress Chaos kommt.
Damit sollte die DHCP Adressvergabe dann sauber klappen.

Nebenbei zum Thema 8.8.8.8... Solch einen Unsinn machen heutzutage nichtmal mehr Dummies, denn jedermann weiss das Google (es ist ein Google DNS Server !) damit persönliche Internet Verhaltensprofile erstellt und diese mit Dritten weltweit vermarktet.
Verantwortungsvolle ITler und solche denen der Datenschutz etwas wert ist verwenden immer die lokalen DNS Server des jeweiligen Providers !
Und wer dennoch unbedingt meint DNS Server am anderen Ende der Welt benutzen zu müssen, nimmt dann zumindestens tunlichst welche mit besserem Datenschutz:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...

Zitat von @aqui:

Ja, der vSwitch ist als DHCP-Server konfiguriert.

Ooops, welcher Hypervisor supportet denn sowas ???
Oder... nutzt du den Cisco Catalyst vSwitch ?? Die onboard vSwitches der gängigen Hypervisoren supporten sowas nicht. Ebensowenig L3 Switching.

Esxi 7 und darauf läuft EVE-NG
Ja, es ist ein Catalyst vSwitch. Sorry, hätte ich erwähnen sollen.

Deine DHCP Konfig hat noch einen fatalen Fehler, denn du musst zumindest die L3 Interface IP excluden andernfalls kommt es zu einer Doppelvergabe.
Ein ip dhcp excluded-address 172.16.16.1 172.16.16.99
ip dhcp excluded-address 172.16.16.201 172.16.16.254

Hätte ich auch erwähnen sollen. Excluded ist eingerichtet.

Nebenbei zum Thema 8.8.8.8... Solch einen Unsinn machen heutzutage nichtmal mehr Dummies, denn jedermann weiss das Google (es ist ein Google DNS Server !) damit persönliche Internet Verhaltensprofile erstellt und diese mit Dritten weltweit vermarktet.

Ist mir auch klar, mach ich nur im Lab so. Ist einfach schneller eingetippt.

Habe nun auf dem vSwitch(Catalyst) das native vlan 10 auf den gi0/1 gelegt, an dem der WLC hängt.
Jetzt hab ich kein Verbindung mehr zum WLC. Ädere ich am WLC das vlan von 10 auf 0, Management Int. geht es wieder.

Das kann doch nicht sein.

WLC Management Int auf vlan 10. WLC sendet seine untagged Frames über vlan10.
int gi0/1 native vlan auf 10. Int gi0/1 empfängt untagged Frames auf vlan10.

Das sollte doch funktionieren. Tut e leider nicht.

Aqui, hast du eine Idee?

Hier mal die Config vom vSwitch(Catalyst)

Switch(config-if)#do sh run
Building configuration...

Current configuration : 4292 bytes
!
! Last configuration change at 17:36:00 UTC Tue Dec 14 2021
!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service compress-config
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!         
!
ip dhcp excluded-address 172.16.16.1
ip dhcp excluded-address 172.16.16.16
ip dhcp excluded-address 172.16.20.1
ip dhcp excluded-address 172.16.20.16
ip dhcp excluded-address 172.16.30.1
ip dhcp excluded-address 172.16.30.16
ip dhcp excluded-address 172.16.30.30
ip dhcp excluded-address 172.16.20.20
ip dhcp excluded-address 172.16.16.10
!
ip dhcp pool vlan10
 network 172.16.16.0 255.255.255.0
 default-router 172.16.16.1 
 dns-server 8.8.8.8 
!
ip dhcp pool vlan20
 network 172.16.20.0 255.255.255.0
 dns-server 8.8.8.8 
 default-router 172.16.20.1 
!
ip dhcp pool vlan30
 default-router 172.16.30.1 
 dns-server 8.8.8.8 
!
!
ip cef
no ipv6 cef
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
! 
!
!
!
!
!
!
!
!
!         
!
!
!
interface GigabitEthernet0/0
 description EVE-NG Trunk 2 Physical Switch 
 switchport trunk encapsulation dot1q
 switchport mode trunk
 media-type rj45
 negotiation auto
 spanning-tree portfast edge
!
interface GigabitEthernet0/1
 description Cisco WLC
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 10
 switchport mode trunk
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/2
 description Windows Server
 switchport access vlan 10
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet0/3
 description Windows7Client
 switchport access vlan 10
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/0
 switchport access vlan 30
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/1
 switchport access vlan 20
 switchport mode access
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/2
 media-type rj45
 negotiation auto
!
interface GigabitEthernet1/3
 media-type rj45
 negotiation auto
!
interface Vlan10
 ip address 172.16.16.10 255.255.255.0
!
interface Vlan20
 ip address 172.16.20.20 255.255.255.0
!
interface Vlan30
 ip address 172.16.30.30 255.255.255.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
!         
!
!
!
control-plane
!
banner exec ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *  
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner incoming ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *  
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
banner login ^C
**************************************************************************
* IOSv is strictly limited to use for evaluation, demonstration and IOS  *
* education. IOSv is provided as-is and is not supported by Cisco's      *  
* Technical Advisory Center. Any use or disclosure, in whole or in part, *
* of the IOSv Software or Documentation to any third party for any       *
* purposes is expressly prohibited except as otherwise authorized by     *
* Cisco in writing.                                                      *
**************************************************************************^C
!
line con 0
line aux 0
line vty 0 4
 login
!
!
end

Switch(config-if)# 

Und noch die vom physischen Catalyst

SWITCH2_WLC(config)#sh run
                       ^
% Invalid input detected at '^' marker.  

SWITCH2_WLC(config)#do sh run
Building configuration...

Current configuration : 4558 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SWITCH2_WLC
!
enable secret 5 $1$cuFc$veNi/ZGiU9.e.PL5Fh9ME.
!
username chris privilege 15 secret 5 $1$4Dxa$ayq3r5TeWACkM26UbfVNZ0
username admin privilege 15 password 0 cisco
!
!
no aaa new-model
authentication mac-move permit
mls qos min-reserve 5 170
mls qos min-reserve 6 85
mls qos min-reserve 7 51
mls qos min-reserve 8 34
mls qos
ip subnet-zero
ip routing
!
!
!
!
crypto pki trustpoint TP-self-signed-4210518656
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-4210518656
 revocation-check none
 rsakeypair TP-self-signed-4210518656
!
!
crypto pki certificate chain TP-self-signed-4210518656
 certificate self-signed 01
  30820244 308201AD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34323130 35313836 3536301E 170D3933 30333031 30303031
  30345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 32313035
  31383635 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100E432 22FD9A1C E6E07447 DF566560 EB9B6EEC 8B6E1CB5 E42968FB 4D11818D
  31655779 8B7AB829 207719CA 6C5CBBDF C2C69CD9 DB3F55AA DF6C166E B128825C
  1EADBDEF 4C243F6C D600CEE6 F5D1A732 46C85BD4 C5F8DC94 2F8D3A72 5D7A5374
  678F37C8 378D1B56 57575900 83D1D0CC 35539ECD 17339AD8 D82E9906 62932C61
  919D0203 010001A3 6C306A30 0F060355 1D130101 FF040530 030101FF 30170603
  551D1104 10300E82 0C535749 54434832 5F574C43 2E301F06 03551D23 04183016
  8014C212 9A6EEB03 09886D5F 6A65080F AC7A1624 DA23301D 0603551D 0E041604
  14C2129A 6EEB0309 886D5F6A 65080FAC 7A1624DA 23300D06 092A8648 86F70D01
  01040500 03818100 2980ADD0 50BB4B46 A3449FE3 D473C5DF AA79672E F8CC0E30
  B678C5FB A74F77A6 A9103753 0366EF44 0ECD3B9B 7FE8F8C0 8F39CEE2 402818E8
  A9AA4AC6 BB011771 26011034 33EFCFBD CF1392E4 0FFB5EA6 CBB47B00 171B05CD
  2D1CE3E2 789F1839 41CBAC5B 36F70D47 0F1CC63E 2142025A 0B374706 965C5222
  BE1600E3 39487276
  quit
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface FastEthernet0/1
 description Trunk 2 vSwitch ober EVE-NG
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface FastEthernet0/2
 description Cisco LAP
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 10
 switchport mode trunk
!
interface FastEthernet0/3
 switchport mode dynamic desirable
!
interface FastEthernet0/4
 switchport mode dynamic desirable
!
interface FastEthernet0/5
 switchport mode dynamic desirable
!
interface FastEthernet0/6
 switchport mode dynamic desirable
!
interface FastEthernet0/7
 switchport mode dynamic desirable
!
interface FastEthernet0/8
 switchport mode dynamic desirable
!
interface FastEthernet0/9
 switchport mode dynamic desirable
!
interface FastEthernet0/10
 switchport mode dynamic desirable
!
interface FastEthernet0/11
 switchport mode dynamic desirable
!
interface FastEthernet0/12
 switchport mode dynamic desirable
!
interface FastEthernet0/13
 switchport mode dynamic desirable
!
interface FastEthernet0/14
 switchport mode dynamic desirable
!
interface FastEthernet0/15
 switchport mode dynamic desirable
!
interface FastEthernet0/16
 switchport mode dynamic desirable
!
interface FastEthernet0/17
 switchport mode dynamic desirable
!
interface FastEthernet0/18
 switchport mode dynamic desirable
!
interface FastEthernet0/19
 switchport mode dynamic desirable
!
interface FastEthernet0/20
 switchport mode dynamic desirable
!
interface FastEthernet0/21
 switchport mode dynamic desirable
!
interface FastEthernet0/22
 switchport mode dynamic desirable
!
interface FastEthernet0/23
 switchport mode dynamic desirable
!
interface FastEthernet0/24
 switchport mode dynamic desirable
!
interface GigabitEthernet0/1
 switchport mode dynamic desirable
!
interface GigabitEthernet0/2
 switchport mode dynamic desirable
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 ip address 172.16.16.1 255.255.255.0
!
interface Vlan20
 ip address 172.16.20.1 255.255.255.0
!
interface Vlan30
 ip address 172.16.30.1 255.255.255.0
!
ip classless
ip http server
ip http secure-server
!
!
ip sla enable reaction-alerts
!
control-plane
!
!
line con 0
line vty 0 4
 timeout login response 300
 password cisco
 no login
 length 0
line vty 5 15
 no login
!
end

SWITCH2_WLC(config)#do ping 172.16.16.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.16.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
SWITCH2_WLC(config)#do wr
Building configuration...
[OK]
SWITCH2_WLC(config)#

Geändert wurde am vSwitch das int gi0/1 - switchport trunk native vlan 10, wurde hinzugefügt

Geht nichts mehr. Ohne den Eintrag geht wieder.

Geht wieder!

Habe den Trunk zwischen vSwitch und physischen Switch auf native vlan 10 gestellt.
Ist ja auch klar.

Leider immer noch keine Dynamische VLAN Zuweisung.
Bekomme immer noch IP von vlan 10

Aqui, ich hab eben mein physischen WLC eingeschaltet und konfiguriert. Exakt die selbe Config wie auf dem vWLC. Einziger Unterschied ist, das ich den DHCP-Server auf dem physischen WLC genommen und konfiguriert habe. Selbe Pools wie auf dem Switch. Ich fass es net. Jetzt geht alles. Dynamische Vlan Zuweisung geht.

Melde mich an der SSID mit user chris an und bekomme IP von vlan 20
Selbe mit user sabine, anmelden und bekomme Ip von Vlan 30

Es scheint wohl am vWLC zu liegen. Kann ich mir aber irgendwie nicht vorstellen.
Ich werde gleich mal den DHCP am physischen WLC abstellen und wieder auf dem Switch konfigurieren.

Mal sehen was passiert.

Nun.. Hab ein paar Varianten durchprobiert. Mit dem physischen WLC klappt alles.
Mit dem vWLC nicht. Eventuell liegt es an der Version vom vSwitch oder daran, dass es eine Evaluation Version ist. Keine Ahnung. Ich werde es mit ein paar anderen Versionen versuchen und schreibe meine Ergebnisse hier rein. Solange lass ich den Beitrag als ungelöst stehen.

Esxi 7 und darauf läuft EVE-NG

Wenn du dort eine falsche IP bekommst ist das ein sicheres Indiz dafür das der bordeigene vSwitch des ESXi nicht richtig eingerichtet wurde am Port wo der virtuelle Catalyst Switch andockt.
Das Mapping der Portgruppen (Tags) muss da natürlich mit dem des Catalysten übereinstimmen.
Zu 98% hast du da einen Konfig Fehler begangen.

Das hier illustriert den ESXi bordeigenen vSwitch ganz gut:
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches

Hab auf dem Esxi einen vSwitch erstellt und ein Portgruppe Vlan 4095( Bei Esxi für Trunk Ports) konfiguriert.

Äm, über den Trunk im Esxi 4095 nur tagged übertragen und keine untagged??

Wenn dem so ist, müsste ich ja noch eine Portgruppe für das Native Vlan erstellen.. Richtig??

Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
How can I mark a post as solved?

Nachtrag:

Ich bin von EVE-NG auf GNS3 gegangen.

GNS3 läuft auf meinem Host als VM Ware Workstation VM.
Ich bin sehr zufrieden mit GNS3.

Natürlich wieder einige Labs gebastelt.

Leider entfernt VM Ware Workstation alle Vlan Tags. Somit ist eine wie im Bild abgebildete Konfiguration
nicht möglich. Aus diesem Grund lief die im Beitrag beschriebene Konfiguration auch nicht.

Abhilfe soll ein HyperV Switch mit vNICs, die dem Vlan zugeordnet werden, schaffen.

Da ich aber VM Ware Workstation nutze, fällt die Option flach.

Sobald das Feature HyperV installiert wird, wird mein Host als VM angesehen und somit fällt nested virtualization ebenfalls flach.

Abhilfe dabei kann der, bei eingesetzten Intel NICs, der Intel Treiber oder bei Realtek, das Realtek Utility
schaffen. Damit ist es möglich, ohne installiertes HyperV Feature, vNICs zu erstellen und diesen ein Vlan zuzuweisen.

Gesagt, getan. Bekomme es nicht zu laufen.

Kennt wer dafür eine Lösung? Oder bleiben für diese Konfiguration nur Physikalische Geräte übrig?

Schönes Wochenende an alle!

Da ich aber VM Ware Workstation nutze, fällt die Option flach.

Da ist eher wohl das Gegenteil der Fall. Mit dem einen klappt auch das andere. Hier findest du eine Lösung dafür:
https://www.virtualizationhowto.com/2022/04/vmware-workstation-vlan-tagg ...

Noch besser ist ein kleiner Rechner / MiniPC ala NUC mit dem kostenfreien Proxmox als Hypervisor. Da kannst du dann nach Herzenslust mit VLAN Tags jonglieren.
Pfsense in Proxmox als Router

Einen HyperV Switch kann ich nicht verwenden, sobald ich das HyperV Feature installiere, starten meine VM's in VM Ware Workstation nicht mehr.

Abhilfe schaft da der Intel Pro NIC's Treiber. Mit diesem ist es auch möglich vNIC's zu erstellen und diesen ein VLAN zuzuweisen.

German Question LAN, WAN, Wireless Networks