Jul 01, 2024

686

Multiple SSID on Cisco AirCap2702

Hallo, habe folgenden Aufbau mit mehrere unterschiedliche VLANS

VLAN 10 -TECHNIC - 192.168.10.0
VLAN 20 -WORK - 192.168.20.0
VLAN 30 -HOME - 192.168.30.0
VLAN 40 -GUEST - 192.168.40.0

MODEM -> ASA5555-X -> CATALYST3850 ------------ CATALYST2960 -> AP2702

Der CATALYST3850 ist über einen Trunk Port mit dem CATALYST2960 verbunden.
Ich kann dann dedizierten Ports, einzelne VLAN's zuweisen, was auch funktioniert, beim CATALYST3850 wie auch beim CATALYST2960

Problem habe ich mit meinem AP2702, dieser ist über einen weiteren Trunk Port am CATALYST2960 verbunden.
Die Konfiguartion zu diesem Port sieht so aus:

 interface gig1/0/23
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 20 
 switchport trunk allowed vlan 2,10,20,30,40

Der AP Arbeitet im Standalone Mode hier habe ich mal mit einem VLAN(20) angefangen

dot11 ssid WORK
vlan 20
authentication open
Guest-mode

interface dot11Radio 0
ssid Work

interface dot11Radio 0.20
encapsulation dot1Q 20 native
bridge-group 1

Interface GigabitEthernet 0
bridge-group 1

Interface gigabitEthernet 0.20
Encapsulation dot1Q 20 native
Bridge-group 1

Brauche ich dieses "native"? kann ich nicht einen "normalen" Trunk nehmen und die VLANS im AP mappen?
Ziel wäre es 4 SSID's auf die 4 VLANS zu "mappen"

Vielen Dank
Markus

Please also mark the comments that contributed to the solution of the article

Content-Key: 42662796476

Url: https://administrator.de/contentid/42662796476

Printed on: July 3, 2024 at 22:07 o'clock

5 Comments

Latest comment

Nein, das brauchst du nicht und der "normale" Trunk ist der richtige Weg.
Es reicht die einfache Zuweisung zu den VLANs. Das Management des APs sollte man generell nicht in ein WLAN exponieren und sollte aus Sicherheitsgründen nur über Kupfer (Management VLAN) erreichbar sein.

Eine MSSID Beispielkonfig für die Cisco Standalone APs findest du hier:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten

2 grobe Fehler hast du im Setup gemacht:

AP = Du hast alle separaten VLANs/MSSIDs in eine gemeinsame Bridge Group gepackt, das geht so nicht, denn logischerweise müssen die VLANs und korrespondierende Subinterfaces in getrennten Bridge Groups liegen.
Switch = Im AP wird ja die MSSID "Work" auch zum MSSID VLAN 20 gemappt, taucht also getagged am Switchport auf. Du aber setzt das Native, also das ungetaggte PVID VLAN auf 20. Damit können dann zumindestens Pakete mit ID 20 nicht ins VLAN 20 des Switches transportiert werden.

Halte die an die o.a. Tutorial Beispielkonfig und korrigiere die Switchport Konfig, dann kommt das auch alles sofort zum Fliegen.

Hi, vielen Dank, habe das nun so gemacht, ich habe allerdings noch eine frage.
der 3850 "vergibt" bei mir kein DHCP, ich muss also für jedes Vlan die IP selber vergeben.

der AP braucht ja am interface BVI1 ip address dhcp client-id GigabitEthernet0
kann ich diese auch statisch setzen? ist diese nur für die Konfiguration/Management?

Danke

der 3850 "vergibt" bei mir kein DHCP

3850?? Wo kommt der jetzt her?? Du redest oben nur vom 2960 und APs... 🤔
Warum vergibt der keine IP? Hast du das vergessen oder willst du das nicht??
Einen Cisco kann man ja problemlos als DHCP Server konfigurieren und das Problem wäre gelöst, guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Wo ist also genau das Problem?
Der Cisco DHCP supportet auch mehrere Scopes so das du auch mit DHCP Relay arbeiten kannst.
Beide Lösungen führen zum Erfolg.

kann ich diese auch statisch setzen?

Natürlich! Du hast doch einen Cisco und keinen Billo Chinakracher!

Einfach ip address x.y.z.h m.a.s.k und dann natürlich das Default Gateway mit ip default-gateway x.y.z.g nicht vergessen!
Muss aber wie gesagt nicht sein, denn DHCP am AP wäre universeller und flexibler. Siehe o.a. Tutorial.

Hi, zum besseren Verständnis hier die Topologie.

Ich habe ein Modem das mir die Verbindung ins Internet herstellt, eine ASA5555 als Firewall hier hängt auf Port0 das Modem, auf Port 1 der CATALYST3850 und auf Port 5 ein Server.

Die Routen der ASA sind:
0.0.0.0 0.0.0.0 10.0.0.138 --Route zum Modem/Internet
192.168.10.0 255.255.255.0 192.168.0.1 --Route VLAN 10 -TECH
192.168.20.0 255.255.255.0 192.168.0.1 --Route VLAN 20-WORK
192.168.30.0 255.255.255.0 192.168.0.1 --Route VLAN 30-HOME
192.168.40.0 255.255.255.0 192.168.0.1 --Route VLAN 40-GAST

Der Catalyst3850 ist am Port 1 mit der ASA verbunden und hat die IP 192.168.0.1 255.255.255.0 und die Route 0.0.0.0 0.0.0.0 192.168.0.2 -> was der IP der ASA an Port 1 entspricht.

ich habe auf dem Catalyst3850 4 VLANS angelegt (10,20,30,40) diese haben alle die IP 192.168.xx.1, wobei xx der VLAN ID enstpricht. Wenn ich nun einem Port den Access auf z.b. VLAN10 zuweise, einen PC anschließe, die IP auf dem PC auf 192.168.10.25/24 Gateway 192.168.10.1/DNS 8.8.8.8 habe ich zugriff auf das internet, und kann alle anderen VLANS anpingen - auf der ASA habe ich einfachheitshalber mal eine gloabel ACL angelegt die alles zulässt, diese wird dann aber noch geändert.

Ich möchte eine statische IP vergabe beim VLAN 10 und 20, bei VLAN 30 und 40 solle es per DHCP sein.
Mache ich den DHCP Server nun auf der ASA oder auf dem 3850, wenn ich es auf der ASA mache muss ich den 3850 als Relay konfigurieren, oder?

Es gibt noch einen weiteren Switch im Netz den CATALYST 2960 dieser ist mit dem CATALYST 3850 verbunden, Port 1 des 3850 und Port 24 des 2960 sind als TRUNK konfiguriert.
Der 2960 hat auch 4VLANS, wenn ich einen Port zuweise komme ich ins Netz und kann alle Gerät anpingen.

Der AP 2702 hängt am Port23 des CATALYST 2960 dieser ist auch als TRUNK konfiguriert.

Ich habe die VLANS auf dem AP 2702 nun alle einem eigenen interfaces/bridges versehen so wie im tutorial...
bei diesem punkt bin ich mir nicht sicher, ich möchte eine statische ip vergeben..
interface BVI1
ip address dhcp client-id GigabitEthernet0

von welchem Netz muss ich hier die IP Angeben?
interface BVI1
ip address 192.168.0.2 255.255.255.0
ip default-gateway 192.168.0.1 das Gateway ist der CATALYST 3850?

mit dieser konfiguration kann ich den AP 2702 vom 2960 nicht anpingen...

Danke
Markus

OK, damit betreibst du dann ja ein klassisches Layer 3 VLAN Konzept und routest die VLANs auf dem 3850er, richtig?

Das was du als "Modem" bezeichnest ist das ein wirkliches NUR Modem wie z.B. Vigor167 oder Zyxel ZMG3006 oder hast du hier wieder fälschlicherweise Modem und Router begrifflich verwechselt und es ist eine klassische Router Kaskade mit doppeltem NAT und doppeltem Firewalling?
Die Default Route auf der ASA lässt vermuten das du laienhaft Modem und Router verwechselt hast.

Nebenbei ist die Vergabe von 8.8.8.8 als DNS heutzutage ein NoGo, denn jeder Dummie weiss mittlerweile das Google deine privaten DNS Daten an Dritte vermarktet.

Wem also die Datensicherheit nur etwas wert ist, der verwendet vertrauenswürdige DNS Server. In der Regel ist das die des Providers also der Router zum Provider der als DNS Caching Server arbeitet oder eben andere Dienste...
https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.heise.de/news/Quad9-Datenschutzfreundliche-Alternative-zum-G ...

Zurück zum eigentlichen Thema...
Letztlich sind das aber alles Nebenkriegsschauplätze die mit der eigentlichen Fragestellung nichts zu tun haben warum dein Cisco AP im Management VLAN keine IP bekommt?!

Mache ich den DHCP Server nun auf der ASA oder auf dem 3850

Genau DAS ist hier die entscheidende Kardinalsfrage?!!
Du hättest beide Optionen und es hängt von DIR ab wie du das lösen möchtest.
Gut, die VLANs 10 und 20 sind raus wenn du dort nur statisch vergibst, die spielen dann im DHCP keine Rolle. Bleiben noch 30 und 40 für die DHCP laufen soll.

Du hast wie schon gesagt 2 Optionen:

1. Beide Scopes für 30 und 40 auf dem 3850 zu definieren
2. Beide Scopes auf der ASA definieren und auf dem 3850 mit DHCP Relay zu arbeiten.

Pros und Cons halten sich die Waage bzw. hängen eher von Security Policy Erwägungen ab sofern DHCP Snooping usw. ein oder kein Thema für dich ist.
Wenn nicht, dann ist die Option 1. sicher die einfachste Lösung um die DHCP Vergabe in den beiden VLANs 30 und 40 unproblematisch und schnell zu lösen.

Die recht einfache DHCP Server Konfig (Auszug) sähe dann so aus auf dem 3850:

service timestamps log datetime localtime show-timezone year
service timestamps debug datetime localtime
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip dhcp binding cleanup interval 180
ip dhcp excluded-address 192.168.30.1 192.168.30.19 
ip dhcp excluded-address 192.168.30.230 192.168.30.254
!
ip dhcp excluded-address 192.168.40.1 192.168.40.19 
ip dhcp excluded-address 192.168.40.230 192.168.40.254
!
ip dhcp pool VLAN30
network 192.168.30.0 255.255.255.0
default-router 192.168.30.1
dns-server <ProvRouter_IP o. ASA_IP>
option 42 ip <ntpSrv_IP>
domain-name wimmer.internal
!
ip dhcp pool VLAN40
network 192.168.40.0 255.255.255.0
default-router 192.168.40.1
dns-server <ProvRouter_IP o. ASA_IP>
option 42 ip <ntpSrv_IP>
domain-name wimmer.internal 
!
interface vlan30
description VLAN-30 
ip address 192.168.30.1 255.255.255.0
!
interface vlan40
description VLAN-40 
ip address 192.168.40.1 255.255.255.0 

Das gibt den Adressblock .20 bis .229 in beiden Netzen für dynamische IP Adresszuweisung frei auf dem Cat 3850 und belässt einen kleinen (Sicherheits)Bereich an den beiden "Enden" für ggf. statische Adressen.
Die weiteren Catalysten 2960 spielen keinerlei Rolle, weil sie ja nur im Layer 2 arbeiten, also den VLAN Traffic nur auf Mac Adress Basis weiterreichen an den 3850. Mit IP Diensten und Forwarding haben die folglich nix zu tun.
Damit wäre dann die DHCP Adressvergabe in VLAN 30 und 40 schnell und unkompliziert auf dem 3850er gelöst.

von welchem Netz muss ich hier die IP Angeben?

Das kommt ganz darauf an WELCHES Netz dein Management Netz ist. Dazu machst du ja leider keine zielführenden Angaben.

Man kann also nur frei raten das dies ggf. das VLAN 1 am 3850 ist, da du dem AP ja oben eine .0.x IP statisch vergeben willst?! In dem VLAN bzw. IP Netz 192.168.0.0 /24 liegt ja auch gleichzeitig dein Koppelnetz zur ASA. Wie gesagt...nur geraten.

Wenn dem so ist, dann musst du an den Switchports der APs das VLAN 1 als PVID VLAN (Native VLAN) definieren und fertig ist der Lack!
Dem AP darfst du dann aber niemals die .0.2 oben geben, denn die hast DU ja schon an die ASA vergeben. Solche IP Doppelvergaben sind natürlich ein absolutes NoGo im TCP/IP was du hoffentlich als Admin aber auch weisst.

mit dieser konfiguration kann ich den AP 2702 vom 2960 nicht anpingen...

Kein Wunder, denn erstens ist deine PVID falsch wenn die immer noch auf 20 gesetzt ist am Switchport (muss Default 1 sein!) und zweitens wenn man IPs doppelt vergibt (ASA) und die ASA IPs als Firewall per se nicht pingbar sind, weil ICMP im Default geblockt ist.

Um sowas zu vermeiden kannst du z.B. auch im VLAN 1 IP Adressen mit Mac Adress Reservierung an die APs und andere Infrastrukturkomponenten vergeben. So musst du am DHCP Client Setting des APs nichts ändern, bekommst aber auch immer eine quasi feste IP Adressen auf diesen Geräten. Das macht sie flexibler in der Handhabung ohne das man immer umkonfigurieren muss.
So eine Konfig mit Reservierung über die Mac Adresse sähe im DHCP Server Setup des 3850 oben dann so aus:

ip dhcp pool AP-2702 
host 192.168.0.3 255.255.255.0
client-identifier 01b0.0c6c.01c4.d2 

Der "client-identifier" ist die auf der Rückseite des 2702 APs aufgedruckte Mac Adresse. Alternativ kann man sie auch mit sh ip dhcp binding auf dem DHCP Server abfragen! (Siehe auch Cisco Tutorial)
So wird diesem AP im Managementzugang am BVI Interface auch mit DHCP immer eine feste IP zugewiesen und sein Gateway und DNS lernt er auch dynamisch.
Ob du es statisch oder dynamisch löst musst DU letztlich als Admin nach deinen Anforderungen selber entscheiden!

German Question Routers, Routing LAN, WAN, Wireless

Hotly discussed

1Password share password vault between companiesTobiasG - 1 Comment