4
VLAN einrichten mit Accesspoint und Router
Habe ein kleines Netzwerk mit einem Router (Cisco RVS400) und einem Accesspoint (Cisco AP1242AG) dort soll nun ein VLAN für die öffentliche SSID angelegt werden...
Hallo miteinander,
ich hab ein kleines Netzwerk welches nun für VLAN konfiguriert werden soll. Dabei hab ich einen Windows SBS 2003 Server der für die IP-Vergabe zuständig ist, sowie einen Router der Marke Cisco RVS4000 und einen Accesspoint ebenfalls der Marke Cisco AP1242AG. Nun soll hier in diesem Netzwerke in VLAN für öffentliches WLAN angelegt werden. Der AP strahlt dabei zwei SSID's aus, einmal ein Offentliches ohne Verschschlüsselung und einmal eine SSID mit WPA2 Verschlüsselung für den Internen Bereich. Nun möchte ich das der Öffentliche SSID nur ins Internet über den Router kann. Jetzt leg ich doch den Öffentlichen SSID in ein VLAN z.B. mit der ID 2, weil 1 ist ja schon von Haus aus vergeben.
Jetzt hab ich dazu ein paar Fragen:
1. Geht das grundsätzlich so bzw. was ist zu beachten?
2. Wie muss ich das VLAN2 einstellen als Tagged, Untagged oder Trunk, weil die Daten vom Geschützen Bereich/SSID sollten natürlich ohne Prüfung ins Standard-Netz gehen?
3. Der Router unterstützt ja DHCP-Relay also müsste er doch einen Broadcast ins VLAN stellen können, denn auf meinem SBS 2003 läuft ein DHCP der natürlich dynamisch IP's ins offene Netz stellen soll und wie funktionierts?
Momentan fällt mir nix mehr ein was Probleme bereiten könnte...aber vielleicht fällt euch noch was auf...
Viele dank jetzt schon für eure Antworten
Hallo miteinander,
ich hab ein kleines Netzwerk welches nun für VLAN konfiguriert werden soll. Dabei hab ich einen Windows SBS 2003 Server der für die IP-Vergabe zuständig ist, sowie einen Router der Marke Cisco RVS4000 und einen Accesspoint ebenfalls der Marke Cisco AP1242AG. Nun soll hier in diesem Netzwerke in VLAN für öffentliches WLAN angelegt werden. Der AP strahlt dabei zwei SSID's aus, einmal ein Offentliches ohne Verschschlüsselung und einmal eine SSID mit WPA2 Verschlüsselung für den Internen Bereich. Nun möchte ich das der Öffentliche SSID nur ins Internet über den Router kann. Jetzt leg ich doch den Öffentlichen SSID in ein VLAN z.B. mit der ID 2, weil 1 ist ja schon von Haus aus vergeben.
Jetzt hab ich dazu ein paar Fragen:
1. Geht das grundsätzlich so bzw. was ist zu beachten?
2. Wie muss ich das VLAN2 einstellen als Tagged, Untagged oder Trunk, weil die Daten vom Geschützen Bereich/SSID sollten natürlich ohne Prüfung ins Standard-Netz gehen?
3. Der Router unterstützt ja DHCP-Relay also müsste er doch einen Broadcast ins VLAN stellen können, denn auf meinem SBS 2003 läuft ein DHCP der natürlich dynamisch IP's ins offene Netz stellen soll und wie funktionierts?
Momentan fällt mir nix mehr ein was Probleme bereiten könnte...aber vielleicht fällt euch noch was auf...
Viele dank jetzt schon für eure Antworten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139534
Url: https://administrator.de/contentid/139534
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
.
1. Geht das grundsätzlich so bzw. was ist zu beachten?
A.: Ja, das klappt grundsätzlich ! Zu beachten ist das die ESSIDs tagged am AP anliegen und der Switch entsprechend konfiguriert sein muss.
2. Wie muss ich das VLAN2 einstellen als Tagged, Untagged oder Trunk, weil die Daten vom Geschützen Bereich/SSID sollten natürlich ohne Prüfung ins Standard-Netz gehen?
A.: Siehe oben. Das VLAN2 ist tagged am AP Port.
3. Der Router unterstützt ja DHCP-Relay also müsste er doch einen Broadcast ins VLAN stellen können, denn auf meinem SBS 2003 läuft ein DHCP der natürlich dynamisch IP's ins offene Netz stellen soll und wie funktionierts?
A.: Ja, das funktioniert natürlich ohne Probleme wenn du den Swiitch auf seinem L3 Interface einen DHCP Forwarder konfigurierst. Das bedeutet dann das der Router eine "ip-helper-address" in das VLAN konfiguriert haben muss in dem Serv DHCP Server sitzt.
Bei Routing auf einem Cisco Switch (Router in VLAN-3 mit 172.16.3.1, Server in VLAN-1 mit der 172.16.1.100) sieht das dann so aus:
Cisco_Switch#
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
description Tagged Link zum AP
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface FastEthernet0/10
description Serverport in VLAN-1
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/11
description Internet Routerport in VLAN-3
switchport access vlan 10
spanning-tree portfast
!
interface Vlan1
ip address 172.16.1.254 255.255.255.0
!
interface Vlan2
ip address 172.16.2.254 255.255.255.0
ip helper-address 172.16.1.100
!
interface Vlan3
ip address 172.16.3.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.16.3.1
Die Grundkonfig des APs sieht so aus:
AP Config:
!
dot11 ssid Offen
vlan 2
authentication open
guest-mode
!
dot11 ssid Geheim
vlan 1
authentication open eap eap_methods
authentication key-management wpa
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 1 mode ciphers tkip
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
!
interface BVI1
ip address 172.16.1.253 255.255.0.0
no ip route-cache
!
ip default-gateway 172.16.1.254
no ip http server
!
end
1. Geht das grundsätzlich so bzw. was ist zu beachten?
A.: Ja, das klappt grundsätzlich ! Zu beachten ist das die ESSIDs tagged am AP anliegen und der Switch entsprechend konfiguriert sein muss.
2. Wie muss ich das VLAN2 einstellen als Tagged, Untagged oder Trunk, weil die Daten vom Geschützen Bereich/SSID sollten natürlich ohne Prüfung ins Standard-Netz gehen?
A.: Siehe oben. Das VLAN2 ist tagged am AP Port.
3. Der Router unterstützt ja DHCP-Relay also müsste er doch einen Broadcast ins VLAN stellen können, denn auf meinem SBS 2003 läuft ein DHCP der natürlich dynamisch IP's ins offene Netz stellen soll und wie funktionierts?
A.: Ja, das funktioniert natürlich ohne Probleme wenn du den Swiitch auf seinem L3 Interface einen DHCP Forwarder konfigurierst. Das bedeutet dann das der Router eine "ip-helper-address" in das VLAN konfiguriert haben muss in dem Serv DHCP Server sitzt.
Bei Routing auf einem Cisco Switch (Router in VLAN-3 mit 172.16.3.1, Server in VLAN-1 mit der 172.16.1.100) sieht das dann so aus:
Cisco_Switch#
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
description Tagged Link zum AP
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface FastEthernet0/10
description Serverport in VLAN-1
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/11
description Internet Routerport in VLAN-3
switchport access vlan 10
spanning-tree portfast
!
interface Vlan1
ip address 172.16.1.254 255.255.255.0
!
interface Vlan2
ip address 172.16.2.254 255.255.255.0
ip helper-address 172.16.1.100
!
interface Vlan3
ip address 172.16.3.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.16.3.1
Die Grundkonfig des APs sieht so aus:
AP Config:
!
dot11 ssid Offen
vlan 2
authentication open
guest-mode
!
dot11 ssid Geheim
vlan 1
authentication open eap eap_methods
authentication key-management wpa
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
encryption vlan 1 mode ciphers tkip
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
!
interface FastEthernet0.2
encapsulation dot1Q 2
no ip route-cache
bridge-group 2
!
interface BVI1
ip address 172.16.1.253 255.255.0.0
no ip route-cache
!
ip default-gateway 172.16.1.254
no ip http server
!
end
Vielen Dank, wenn ich schon mal weis das es umsetzbar ist...
Kann ich die Einstellungen die du da geschildert hast auch übers Webinterface eingeben? Den ich wüsste jetzt nicht mal wo ich das Eingeben soll zudem der Router nicht einmal eine RS232 Schnittstelle hat...
Kann ich die Einstellungen die du da geschildert hast auch übers Webinterface eingeben? Den ich wüsste jetzt nicht mal wo ich das Eingeben soll zudem der Router nicht einmal eine RS232 Schnittstelle hat...
Du hast scheinbar den Thread nicht richtig gelesen... 
Das ist eine Beispielconfig für einen Switch !! Nicht für den RVS Router. Der Router hat kein CLI sondern nur ein GUI. Da musst du die entsprechenden Kommandos dann mit Klicki Bunti anklicken und entsprechend die VLANs konfigurieren...
Das ist eine Beispielconfig für einen Switch !! Nicht für den RVS Router. Der Router hat kein CLI sondern nur ein GUI. Da musst du die entsprechenden Kommandos dann mit Klicki Bunti anklicken und entsprechend die VLANs konfigurieren...
also so ganz Klicki Bunti bekomme ich es nicht hin...
Ich skizzier dir vielleicht mal kurz wie weit ich bin und was momentan stand der dinge is...
Also ich habe den Access Point eingerichtet mit zwei SSID's. Einen Internen der liegt auf VLAN1 also auf Default...und den Public der liegt auf VLAN 2. Das funktioniert auch schon soweit, den die VLAN 2 IPS werden schon per DHCP vom Router verteilt...jetzt geht es nur noch darum das ding zu schützen in dem das VLAN gekapselt wird..
Hier mal meine Screenshots vom Router...nur weis ich jetzt nicht was ich genau da anlegen soll...denn wenn ich VLAN 1 tagged und VLAN 2 als tagged laufen lasse komme ich vom internen nicht mehr ins netz...
http://img9.imageshack.us/img9/3455/createvlan.jpg
http://img191.imageshack.us/img191/4251/portsettings.jpg
http://img179.imageshack.us/img179/1149/vlan1member.jpg
http://img684.imageshack.us/img684/9018/vlan2member.jpg
Vielleicht kannst du mir da ja weiterhelfen...
.momai
Ich skizzier dir vielleicht mal kurz wie weit ich bin und was momentan stand der dinge is...
Also ich habe den Access Point eingerichtet mit zwei SSID's. Einen Internen der liegt auf VLAN1 also auf Default...und den Public der liegt auf VLAN 2. Das funktioniert auch schon soweit, den die VLAN 2 IPS werden schon per DHCP vom Router verteilt...jetzt geht es nur noch darum das ding zu schützen in dem das VLAN gekapselt wird..
Hier mal meine Screenshots vom Router...nur weis ich jetzt nicht was ich genau da anlegen soll...denn wenn ich VLAN 1 tagged und VLAN 2 als tagged laufen lasse komme ich vom internen nicht mehr ins netz...
http://img9.imageshack.us/img9/3455/createvlan.jpg
http://img191.imageshack.us/img191/4251/portsettings.jpg
http://img179.imageshack.us/img179/1149/vlan1member.jpg
http://img684.imageshack.us/img684/9018/vlan2member.jpg
Vielleicht kannst du mir da ja weiterhelfen...
.momai
