mcjoey
Goto Top

VLAN based central switching

Hallo!

Ich habe ein (Verständnis)-Problem bzgl. der Konfiguration meiner WLANs.
Im Einsatz sind Cisco WLC 2504 und AIR-3702 APs.

Eigentlich läuft alles, bis auf die VLAN-basierte Auskopplung des Traffics.

Ziel (auf das Wesentliche reduziert):
- ein WLAN
- zwei VLANs (10, 20)
- Userauthentifizierung via Radius (PEAP/MSChap2)
- Radius weist dem User eine der beiden VLAN-IDs zu
- VLAN 10 soll central (via wlc) ausgekoppelt werden
- VLAN 20 soll lokal ausgekoppelt werden

Zusatzinfos:
- Zwei gruppen von APs
- Gruppe 1 stehen beide VLANs zur Verfügung
- Gruppe 2 steht nur VLAN 20 zur Verfügung

Eigentlich soll lokal ausgekoppelt werden, wenn möglich, andernfalls via wlc. So, wie es die Doku eigentlich beschreibt.

Aktuelle Einstellungen:
- FlexConnect für WLAN aktiv
- FlexConnect Local Switching aktiv
- FlexConnect VLAN-based Central Switching aktiv
- Im Controller ist dem WLAN eine Interface-Group mit beiden VLANs zugewiesen.
- Zwei FlexConnect-Gruppen mit den jeweils Zugehörigen VLANs

Aktuell läuft alles via Central Switching, obwohl ich erwarten würde, dass Clients in VLAN 20 lokal ausgekoppelt werden, da das VLAN 20 ja in beiden FlexConnect Gruppen zur Verfügung steht. Was ist hier mein Denkfehler?

Es gibt aber ne reihe weiterer VLAN-Einstellungen, deren Auswirkungen mir nicht klar sind:
- AP - FlexConnect - VLAN Support + VLAN Mappings
- FlexConnect Groups - General - FlexConnect LocalSwitching + VLAN ID
- FlexConnect Groups - WLAN VLAN Mapping - VLAN Support + Native VLAN ID

Ich habe alle Kombinationen ausgetestet, aber keine brachte das gewünschte Ergebnis. Meist wurde dadurch die vom Radius Server gesetzte VLAN-ID überschrieben, oder es wurde alles lokal ausgekoppelt, was bei fehlendem lokalen VLAN natürlich eine Verbindung vereitelt.

Das "VLAN Based Central Switching" habe ich so verstanden, dass es genau das tut: abhängig davon, ob ein VLAN am AP vorhanden ist oder nicht, wird lokal oder zentral geswitcht. Das bekomme ich aber nicht zum laufen.

Ein gewünschtes Zusatzfeature wäre, aber davon hab ich mich fast schon verabschiedet, dass User ohne VLAN-Zuteilung per Radius eine Fallback-VLAN-ID erhalten, die dem WLAN selbst (SSID) zugeteilt ist. Sobald ich aber ein WLAN-VLAN-Mapping erstelle, wird meine per Radius zugeteilte ID überschrieben face-sad

Dane für jedweden Tipp face-wink

LG, McJoey

Content-ID: 52731771013

Url: https://administrator.de/forum/vlan-based-central-switching-52731771013.html

Ausgedruckt am: 26.12.2024 um 14:12 Uhr

em-pie
em-pie 03.05.2024 um 18:34:04 Uhr
Goto Top
Moin,

Switching, obwohl ich erwarten würde, dass Clients in VLAN 20 lokal ausgekoppelt werden
und
oder es wurde alles lokal ausgekoppelt,
Passt doch aber.

was bei fehlendem lokalen VLAN natürlich eine Verbindung vereitelt.
Das ist doch dein Fehler.
Du willst, dass der Traffic am AP „ausbricht“. Folglich musst du am Switchport, an dem der AP hängt ja auch das VLAN20 tagged anlegen.

Central switching: Breakout am WLC
Local Switching: Breakout am AP
McJoey
McJoey 03.05.2024 um 18:45:39 Uhr
Goto Top
Du willst, dass der Traffic am AP „ausbricht“.

Eben nein! Der Traffic soll nur DANN am AP ausgekoppelt werden, WENN das VLAN dort anliegt. Laut Doku macht "VLAN based Central Switching" genau das.

Central switching: Breakout am WLC
Local Switching: Breakout am AP

Ja, aber mein Ziel:

VLAN am AP nicht vorhanden --> Central switching: Breakout am WLC
VLAN am AP vorhanden --> Local Switching: Breakout am AP

face-wink
McJoey
McJoey 03.05.2024 um 18:49:33 Uhr
Goto Top
Aus FlexConnect VLAN Based Central Switching

FlexConnect VLAN Based Central Switching

From release 7.3 onwards, traffic from FlexConnect APs can be switched centrally or locally depending on the presence of a VLAN on a FlexConnect AP.

In controller software release 7.2, AAA override of VLAN (Dynamic VLAN assignment) for locally-switched WLANs puts wireless clients on the VLAN provided by the AAA server. If the VLAN provided by the AAA server is not present at the AP, the client is put on a WLAN mapped VLAN on that AP and traffic switches locally on that VLAN. Further, prior to release 7.3, traffic for a particular WLAN from FlexConnect APs can be switched Centrally or Locally depending on the WLAN configuration.
aqui
Lösung aqui 03.05.2024 aktualisiert um 19:06:42 Uhr
Goto Top
dass User ohne VLAN-Zuteilung per Radius eine Fallback-VLAN-ID erhalten
Das ist zumindestens mit einem FreeRadius problemlos möglich.
Im Abschnitt "DEFAULT" der User Datei landet alles was nicht authentisiert wurde. Normalerweise immer mit einem Deny. Man kann aber alternativ allen vorab Nichtauthentisierten zwangsweise ein VLAN mitgeben:
#
DEFAULT         Cleartext-Password := "%{User-Name}"  
                         Tunnel-Type = VLAN,
                         Tunnel-Medium-Type = IEEE-802,
                         Tunnel-Private-Group-Id = 99 
Das zwingt nicht authorisierte User dann in das VLAN 99 in dem man dann z.B. ein Captive Portal mit einem Voucher oder Einmalpasswort abfragt.

FlexAuth mit local Termination/Switching musst du immer über Flex Profile lösen im WLC unter "Configuration -> Tags&Profiles -> Flex" (WLC 9800) Hier legts du ein Flex Profil an das alle VLANs enthält die der AP supporten soll unter dem Reiter "VLAN". Das musst du dem Policy Tag im WLAN hinzufügen.
Das ist bei Cisco durch die extreme Aufsplittung der Profile nicht ganz einfach und oft verwirrend.
Das Tutorial erklärt es aber recht gut.
Heutzutage gibt es eigentlich kein Argument mehr für Central Switching. Aus Performancegründen und sehr schlechter Skalierbarkeit bei aktuellen WLAN Geschwindigkeiten ist dies keine Option mehr und man sollte grundsätzlich immer auf local Switching gehen.
Du machst oben auch einen Denkfehler.
Es ist so wie Kollege @em-pie schon gesagt hat es geht nur entweder oder. Da du über die Profilsteuerung bei Flexauth die VLANs festlegen muss sind die VLANs festgelegt. Wenn der Radius dynamisch ein VLAN zuteilt was nicht im Flexprofil landet geht der Traffic ins Nirwana. Der AP verwirft diesen Traffic weil er den Tag nicht zuordnen kann und das lässt dann folglich auch ein Breakout am Controller scheitern denn woher soll der wissen welchen VLAN tag wenn diese Information fehlt.
Es geht nur entweder oder...
McJoey
McJoey 03.05.2024 um 19:55:11 Uhr
Goto Top
Zitat von @aqui:

dass User ohne VLAN-Zuteilung per Radius eine Fallback-VLAN-ID erhalten
Das ist zumindestens mit einem FreeRadius problemlos möglich.
Im Abschnitt "DEFAULT" der User Datei landet alles was nicht authentisiert wurde. Normalerweise immer mit einem Deny. Man kann aber alternativ allen vorab Nichtauthentisierten zwangsweise ein VLAN mitgeben: [...]
Das zwingt nicht authorisierte User dann in das VLAN 99 in dem man dann z.B. ein Captive Portal mit einem Voucher oder Einmalpasswort abfragt.

Super, das war genau, was mir vorschwebt, vieeeeelen lieben Dank! Ich hoffe ich bekomme das so konfiguriert face-wink

FlexAuth mit local Termination/Switching musst du immer über Flex Profile lösen im WLC unter "Configuration -> Tags&Profiles -> Flex" (WLC 9800) Hier legts du ein Flex Profil an das alle VLANs enthält die der AP supporten soll unter dem Reiter "VLAN". Das musst du dem Policy Tag im WLAN hinzufügen.

Eine solche Option finde ich leider in meinem WLC (2504) nicht.
Ich kann zwar Polycies erstellen, die auf VLAN-IDs matchen, aber nicht solche, die die Weise des Switchings festlegen. Zumindest habe ich diese nicht gefunden.

Heutzutage gibt es eigentlich kein Argument mehr für Central Switching. Aus Performancegründen und sehr schlechter Skalierbarkeit bei aktuellen WLAN Geschwindigkeiten ist dies keine Option mehr und man sollte grundsätzlich immer auf local Switching gehen.

Will ich ja auch! Ich habe aber ein VLAN bei dem Sicherheit wichtiger ist als Performance, und ich möchte dafür eigentlich keine eigene SSID betreiben müssen (diese Lösung hab ich durch und würde funktionieren). Standard soll definitiv "Local" sein. Nur das betreffende spezielle VLAN darf an manchen APs aus Sicherheitsgründen nicht anliegen. Daher in dem Fall das Auskoppeln über den WLC.

Du machst oben auch einen Denkfehler.
Es ist so wie Kollege @em-pie schon gesagt hat es geht nur entweder oder.

Das verwirrt mich. Cisco selbst beschreibt in seiner Doku (siehe letzten Post) dass genau das ab Version 7.3 geht. Bis 7.2 nur entweder-oder. Meine APs haben 8.5.

Da du über die Profilsteuerung bei Flexauth die VLANs festlegen muss sind die VLANs festgelegt.

Hab ich getan!

Wenn der Radius dynamisch ein VLAN zuteilt was nicht im Flexprofil landet geht der Traffic ins Nirwana. Der AP verwirft diesen Traffic weil er den Tag nicht zuordnen kann und das lässt dann folglich auch ein Breakout am Controller scheitern denn woher soll der wissen welchen VLAN tag wenn diese Information fehlt.

Laut Cisco sollte in genau diesem Fall Central Switching greifen.

Es geht nur entweder oder...

hmmm... liegt die Doku falsch?
Wenn ja, kann ich evtl. VLAN-basierte Policies erstellen?
Wie gesagt, hab auf dem 2504er nichts dazu gefunden. Jede Mange ACLs und Polycies, aber nichts, was das switching beeinflusst.

Muss ich echt meine APs mit zusätzlichen SSIDs "zumüllen" (es geht ja nicht nur um diese eine, das war nur ein reduziertes Beispiel)
aqui
aqui 03.05.2024 aktualisiert um 20:47:31 Uhr
Goto Top
Ich hoffe ich bekomme das so konfiguriert
Das Freeradius Tutorial und die weiterführenden Links ist dein bester Freund!
Freeradius Management mit WebGUI
Wenn du ohne Datenbank mit einem statischen Textfile arbeitest musst du dir den ganzen SQL Datenbank und GUI Kram wegdenken!

Eine solche Option finde ich leider in meinem WLC (2504) nicht.
Gut möglich das Cisco Flexauth auf dem Controller nicht supportet. Hast du mal in die Release Notes der Firmware gesehen? Wenn dann sicher nur auf dem allerneusten letzen Image. Cisco ist im Gegensatz zu Ruckus und anderen recht spät mit der local Termination Option rausgekommen. Das solltest du erstmal klären.
Sollte es daran scheitern und hast du nur eine Handvoll APs könntest du diese notfalls auch im Standalone Mode betreiben:
Cisco WLAN Access Points 1142N, 2702, 3702 für den Heimgebrauch umrüsten
Erspart dir bei wenigen APs einen Stromfresser. Beim zu vielen ist das allerdings aus Management Sicht keine Option, keine Frage.
aqui
aqui 18.05.2024 um 14:38:17 Uhr
Goto Top