kartoffelesser
Goto Top

Switchport als Access- und Trunkport nutzen aber WIE und richtig?

Hallo Experten,
in meiner Testumgebung versuche ich folgendes umzusetzen:

Internet-> Modem-> Router (Mikrotik u.a. VLANs und DHCP) ->Switch (Zyxel GS1920-24HP (V.1))-> AP (Mikrotik-CAP-AC) -> Clients....

Es gibt 4 VLANs: VLAN1 - Mangement, 10 und 20 für den AP und VLAN 30 für das LAN.

Soweit funktioniert alles face-smile Auf dem Switch sind die Ports 25-28 als Trunk-Port (Trunk-Line) festgelegt. Schließe ich hier den AP zusammen mit der Trunkline vom Router an funktionieren hier beide WLANs. Zum Einen Captive Portal (Hotspot auf dem Mikrotik Router und zum Anderen der Radiusserver mit MAC-Auth ebenfalls auf dem Mikrotikrouter. Auf einem beliebigen Switchport (=Access-Port) kann ich zusätzlich ein LAN anlegen.

Das Ergebnis sind 2 funktionierende WLANs und ein funktionierender LAN-Anschluss.

ABER jetzt mein Problem:
ich möchte gerne das LAN und den AP über EINEN Switchport betreiben. Über PVID=30, Fixed-Port und kein "TX-Tagging" kann ich den LAN Port aktivieren. Die für den AP bestimmten VLANs lege ich jeweils auf einen Fixed-Port, aktive "TX-Tagging" und VLAN1 steht bei beiden PVID auf 1.

Das LAN (VLAN-30) funktioniert, der Hotspot WLAN1 (VLAN-10) mit dem Captive Portal funktioniert ABER das WLAN2 (VLAN-20) mit der MAC-Auth auf dem Radiusserver (Mikrotik Router) funktioniert nicht. Er scheint ihn nicht zu finden??

Bitte könnt Ihr mir einen Tipp geben. Bin über jeden Hinweis dankbar!

Danke und Gruss Kartoffelesser

Content-Key: 612391

Url: https://administrator.de/contentid/612391

Printed on: July 20, 2024 at 06:07 o'clock

Member: aqui
aqui Oct 13, 2020 updated at 17:27:23 (UTC)
Goto Top
ich möchte gerne das LAN und den AP über EINEN Switchport betreiben.
Das ist ja erstmal wirr und unverständlich. Physisch ist das ja ein einziger Port an dem du ja entweder den AP oder einen LAN Port betreiben kannst. Du kannst da ja nicht 2 Kabel quasi als Y Kabel anschliessen oder wie ist das jetzt gemeint ??
Die Logik ist ja ganz einfach:
  • Wenn du einen MSSID AP betreibst muss der Port als Trunk definiert sein. Wobei "Trunk" hier jetzt als Tagged Link gemeint ist und nicht als Link Aggregation. Bei Trunk ist die Syntax nicht immer eindeutig.
  • Ist der Port als Trunk definiert ist nur das Native VLAN darüber auch untagged zu erreichen, denn nur das native oder Default VLAN liegt am Trunk Port untagged an. Logisch...
ABER das WLAN2 (VLAN-20) mit der MAC-Auth auf dem Radiusserver (Mikrotik Router) funktioniert nicht.
Das ist jetzt wieder vollig aus dem Zusammenhang zu oben ?!? Oder hat das auch etwas mit dem obigen Thema zu tun.
Wenn das VLAN 20 nicht erreichbar ist hast du einen Fehler im Tagging gemacht. Entweder auf dem AP das dort das VLAN 20 nicht richtig getagged wird oder das der Switchport nicht dem VLAN 20 Tagged zugewiesen ist. Eins von beiden oder (worst case) beides muss es ja sein.
Das kann man doch ganz einfach und schnell testen....
Schalte die Mac Authentisierung einfach erstmal ab und betreibe das WLAN (VLAN 20) offen. Dann verbindest du dich mit dem WLAN und checkst ob du eine gültige IP im VLAN 20 bekommst.
Wenn nicht hast du ein Tagging Problem.
Auf diese simple Testprozedur kommt doch nun auch ein Laie, warum nicht du ??
Sollte es klappen, der Client ist in VLAN 20 weisst du ja das soweit von der Netz Infrastruktur alles richtig ist. Dann liegt der Fehler einzig nur noch an der Mac Auth und du musst dort suchen was du falsch gemacht hast...
  • Radius nicht erreichbar
  • Falsches Radius Passwort
  • Falsches Mac Format
usw. usw.
Das sind doch alles simpleste Testlogiken nachdem man vorgeht um den Fehler zu finden....
Aber dein eigentliches "Problem" hat man trotz alledem nicht wirklich verstanden da recht wirr beschrieben... face-sad

Oben schreibst du aber das das doch alles sauber funktioniert an diesen Trunk Ports was es ja auch sollte....warum denn unten nun nicht mehr ? Unverständlich...?!
Member: kartoffelesser
kartoffelesser Oct 13, 2020 updated at 21:21:04 (UTC)
Goto Top
Hallo aqui,
Danke für Deine Antwort!
Sorry, ich hätte meine Absicht wirklich besser erkären können! Ich würde gerne, in meiner Testumgebung, an einem Switchport (Port-Nr. 1)-> LAN-RJ45-Dose abwechselnd entweder ein Notebook oder ein AP betreiben. Link Aggregation ist in diesem Zusammenhang nicht von mir gewünscht.

Ich meine mich zu erinnern, dass es bei Zyxel und anderen Switchherstellern möglich ist, einen Switchport in einem sog. Hybridmodus (Dualmode) zu betreiben. Also entweder als Accessport oder als Trunkport. Besser oder genauer gesagt der Switchport sollte beide Modies gleichzeitig erfüllen. Sollte es stimmen, wäre es für mich eine Möglichkeit es umzusetzen.

Dies habe ich es auch teilweise hinbekommen. Also das Notebook hat seine IP aus dem VLAN30 bekommen und nach dem Abziehen und dem Anstecken des APs wurden beide WLAN ausgestrahlt. Das Anmelden via Hotspot (IP aus dem VLAN10) hat auch funktioniert. Nur die "Freischaltung" (VLAN20) via Radiusserver nicht.

Schliese ich den AP an einen "normalen" Trunkport des Switch an funktioniert der Hotspot UND die Auth. am Radiusserver. Dabei steckt der AP in Port 27 und der Uplink in Port-28 (auch ein "normaler" Trunkport). Weil dies alles funktioniert, glaube ich dass der AP richtig konfiguriert ist. Das Problem müsste also der Switch sein?

Haben Switch vielleicht eine spezielle Einstelloption um eine "MAC-Auth Abfrage am Radiusserver" zu aktivieren und/oder einzustellen wie z.B. das MAC-Format?

Nochmal Danke für die Antwort und Deine Geduld.
Member: Reinartz
Reinartz Oct 14, 2020 at 05:00:15 (UTC)
Goto Top
Bei Cisco geht das mit dem automatischen Wechsel des Ports zwichen Access und Trunk

http://bradhedlund.com/2007/11/27/switchport-configurations-explained/

Wird meines wissens aber kaum verwendet da es öfters zu Problemen kommt
Member: aqui
aqui Oct 14, 2020 updated at 07:14:39 (UTC)
Goto Top
Also entweder als Accessport oder als Trunkport.
Ja, das ist richtig und kann auch jeder Switch. DU selber bestimmst es ja mit deiner Konfig des Switches ob der Port als reiner Accessport oder als Trunk Port arbeitet.
abwechselnd entweder ein Notebook oder ein AP betreiben.
Das kannst du doch machen...
Allerdings kann das Notebook dann immer nur im Native VLAN (PVID) arbeiten welches an diesem Port eingestellt ist. Da das Notebook selber im Normalbetrieb keinerlei 802.1q tagged Frames erkennen kann ignoriert die Netzwerkkarte diese Frames und kann nur UNtagged Frames verarbeiten. Eben die des native (PVID) VLANs an diesem Switchport.
Also das Notebook hat seine IP aus dem VLAN30 bekommen
Ja klar, das klappt wenn die PVID auf 30 steht. Siehe Erklärung oben...
Haben Switch vielleicht eine spezielle Einstelloption um eine "MAC-Auth Abfrage am Radiusserver" zu aktivieren
Ja, das haben sie. Die Funktion nennt sich 802.1x Port Authentication. Allerdings hängt es vom Switch ab ob dieser das Feature supportet oder nicht. Guckst du auch hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Cisco SG 350x Grundkonfiguration
Fazit:
Für den Doppelbetrieb muss der Port immer als Trunk Port definiert sein. Ist klar und auch logisch, weil ein MSSID Accesspoint an einem reinen Switch Access Port (nur untagged) natürlich nie mit den MSSIDs funktionieren kann, da diese ja zwingend VLAN Tagged Frames erfordern um die MSSIDs wieder entsprechenden VLANs zuordnen zu können !
Nur mit dem Native VLAN (PVID) bestimmst du an diesem Trunk Port dann in welches VLAN das Notebook gelegt wird wenn es an diesem (Trunk) Port angeschlossen wird.
Auch logisch, denn das Notebook sendet ja immer nur untagged Frames und ohne VLAN Information kann der empfangende Switch diesen Notebook Traffic ja nur in das VLAN forwarden welches bei ihm als Native oder PVID am Port definiert ist.
Eigentlich doch eine simple und einfache Logik, oder ? face-wink
Es sei denn das Notebook sendet auch Tagged wie HIER beschrieben was ja aber im Normalbetrieb nicht der Fall ist.

Der Einwand vom Kollegen @Reinartz ist per se richtig aber wenig bzw. nicht hilfreich hier, denn dieser Automatismus funktioniert ausschliesslich nur zwischen Switches die zudem auch noch von Cisco sein müssen. Die Dynamik wird durch CDP (Cisco Discovery Protocol) bzw. DTP (Dynamic Trunk Protocol) erreicht. Teilproprietäre Protokolle die in der Regel kein Endgerät wie Notebooks etc. sprechen. Zudem müsste man das native VLAN eines Access Ports auch immer fest angeben.

Mit anderen Worten: In dem o.a. Konfig Umfeld mit Port based VLANs musst du dich mit dem Port Setup so bewegen wie beschrieben.
Member: Reinartz
Reinartz Oct 16, 2020 at 04:47:24 (UTC)
Goto Top
Danke @aqui für den Hinweis
Ich hatte das nur so im Hinterkopf weil man es mal bei einer Schulung erwähnt hatte. In der hier gegebenen Situation ist es natürlich nicht hilfreich.