15
VLAN mit CISCO SG300-10 und TP-Link WA1201
Hallo zusammen,
ich habe einen TP-Link TL-WA1201 der am Port 4 meines CISCO SG300-10 L3 Switch hängt. In dem TL-WA1201 sind 3 WLANs (XXXXX, IoT, GAST) eingerichtet, die im TP-Link auch den entsprechenden VLANs (VLAN20, VLAN30, VLAN50) zugeordnet sind (Funktionalität des TL-WA1201).
Das Ganze läuft einwandfrei uns sehr performant, wenn ich in meinem TP-Link WLAN Router die SSID „XXXXX“ auf das VLAN1 setze (damit lt. Doku TP-Link also keinen VLAN-Header habe) und im Switch dem Port 4, an dem der TP-Link angeschlossen ist, das VLAN1 als getagged hinzufüge.
Im CISCO sind dann am Port 4 VLAN20 untagged, und VLAN30 und VLAN 50 tagged. Durch IP-basierte ACLs kommen VLAN30 und VLAN50 ins Internet, aber nicht auf VLAN20 - funktioniert so weit alles.
Setzte ich im TP-Link die SSID „XXXXX“ auf VLAN20, wird dieses getagged und es funktioniert gar nichts mehr, auch wenn ich am Switch das VLAN20 an Post 4 tagge.
Zur Erklärung hilft evtl. auch das Bild anbei.
Bin für jeden Tip dankbar.
Viele Grüße, Wieland
ich habe einen TP-Link TL-WA1201 der am Port 4 meines CISCO SG300-10 L3 Switch hängt. In dem TL-WA1201 sind 3 WLANs (XXXXX, IoT, GAST) eingerichtet, die im TP-Link auch den entsprechenden VLANs (VLAN20, VLAN30, VLAN50) zugeordnet sind (Funktionalität des TL-WA1201).
Das Ganze läuft einwandfrei uns sehr performant, wenn ich in meinem TP-Link WLAN Router die SSID „XXXXX“ auf das VLAN1 setze (damit lt. Doku TP-Link also keinen VLAN-Header habe) und im Switch dem Port 4, an dem der TP-Link angeschlossen ist, das VLAN1 als getagged hinzufüge.
Im CISCO sind dann am Port 4 VLAN20 untagged, und VLAN30 und VLAN 50 tagged. Durch IP-basierte ACLs kommen VLAN30 und VLAN50 ins Internet, aber nicht auf VLAN20 - funktioniert so weit alles.
Setzte ich im TP-Link die SSID „XXXXX“ auf VLAN20, wird dieses getagged und es funktioniert gar nichts mehr, auch wenn ich am Switch das VLAN20 an Post 4 tagge.
Zur Erklärung hilft evtl. auch das Bild anbei.
Bin für jeden Tip dankbar.
Viele Grüße, Wieland
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8155939122
Url: https://administrator.de/forum/vlan-mit-cisco-sg300-10-und-tp-link-wa1201-8155939122.html
Ausgedruckt am: 21.04.2025 um 04:04 Uhr
15 Kommentare
Neuester Kommentar
Moin,
Als Geundlegender Tipp:
Lasse VLAN 1 auf den Trunk-Ports immer untagged. Das ist kein (Industrie-) Standard, aber hat sich so bewährt.
Zu deinem Problem
Am Switch muss das VLAN 1 auf untagged und 20 auf Tagged. Am Tplink gibst du der HomeNet SSID das VLAN 20 als Tagged mit.
Danach sollte das, wenn ich das richtig überblickt hab, sorgenfrei laufen.
Du hast aktuell eingestellt, dass Pakete an Port 4 des Switches, die keinen VLAN Tag mitbringen, uns VLAN 20 kommen. Da du dann bei der SSID XXXX keinen VLAN -Tag mitgegeben hast, landet die am Switch dann im VLAN 20
Als Geundlegender Tipp:
Lasse VLAN 1 auf den Trunk-Ports immer untagged. Das ist kein (Industrie-) Standard, aber hat sich so bewährt.
Zu deinem Problem
Am Switch muss das VLAN 1 auf untagged und 20 auf Tagged. Am Tplink gibst du der HomeNet SSID das VLAN 20 als Tagged mit.
Danach sollte das, wenn ich das richtig überblickt hab, sorgenfrei laufen.
Du hast aktuell eingestellt, dass Pakete an Port 4 des Switches, die keinen VLAN Tag mitbringen, uns VLAN 20 kommen. Da du dann bei der SSID XXXX keinen VLAN -Tag mitgegeben hast, landet die am Switch dann im VLAN 20
Danke für die schnell Antwort. Am Switch brauch ich dann gar kein VLAN1 an Port 4, oder? VG Wieland
Besser ist VLAN1 zu belassen, denn beim TP-Link ist m.W. die Management IP immer fest auf VLAN 1 gemappt. Auf das VLAN 1 sollte deshalb niemals eine MSSID gesetzt sein sondern dieses VLAN ausschliesslich nur für das Management verwendet werden bzw. am Switch in das entsprechende PVID (native) VLAN Management Netz gesetzt werden.
Die MSSID WLANs werden dann entsprechend ihrer VLAN IDs tagged geseötzt auf dem Port außer dem Management Netz natürlich.
Hier erkennst du oben auch deine fehlerhafte Port Konfig am Cisco Switch. Dort sollte natürlich 1U, 20T, 30T, 50T stehen!
Wobei hier „1U“ ggf. durch deine PVID mit der entsprechenden Management VLAN ID ersetzt werden muss.
Auffällig ist auch am Switch das du Ports fast durchgehend den falschen Mode zugewiesen hast!!
Alle deine Endgeräte Ports stehen statt „Access“ Mode weiterhin fälschlicherweise auf Trunk. Das solltest du dringenst anpassen, denn das führt immer zu Problemen. Nur deine Switch Uplink Ports und AP Ports bleiben im Trunk Mode (tagged Uplink), Endgeräte Ports gehören ausnahmslos in den Access Mode!
Eine funktionierende Beispielkonfig findest du, wie immer, hier bzw. im dortigen Praxisbeispiel.
Die MSSID WLANs werden dann entsprechend ihrer VLAN IDs tagged geseötzt auf dem Port außer dem Management Netz natürlich.
Hier erkennst du oben auch deine fehlerhafte Port Konfig am Cisco Switch. Dort sollte natürlich 1U, 20T, 30T, 50T stehen!
Wobei hier „1U“ ggf. durch deine PVID mit der entsprechenden Management VLAN ID ersetzt werden muss.
Auffällig ist auch am Switch das du Ports fast durchgehend den falschen Mode zugewiesen hast!!
Alle deine Endgeräte Ports stehen statt „Access“ Mode weiterhin fälschlicherweise auf Trunk. Das solltest du dringenst anpassen, denn das führt immer zu Problemen. Nur deine Switch Uplink Ports und AP Ports bleiben im Trunk Mode (tagged Uplink), Endgeräte Ports gehören ausnahmslos in den Access Mode!
Eine funktionierende Beispielkonfig findest du, wie immer, hier bzw. im dortigen Praxisbeispiel.
DANKE aqui! Jetzt flutsch es! Ein dummer Fehler: Trunk statt Access! Das war's!
VG Wieland
VG Wieland
1
aqui, noch ein kleineres Problem: Ich kann mich jetzt nicht mehr auf meinem TP-Link einloggen und bekommen einen Timeout im Browser. Der TP-Link hat eine feste IP-Adresse im VLAN20. Idee?
Ich kann mich jetzt nicht mehr auf meinem TP-Link einloggen und bekommen einen Timeout im Browser. Der TP-Link hat eine feste IP-Adresse im VLAN20. Idee?
hat er dir doch geschrieben:
Zitat von @aqui
...
Besser ist VLAN1 zu belassen, denn beim TP-Link ist m.W. die Management IP immer fest auf VLAN 1 gemappt.
...
...
Besser ist VLAN1 zu belassen, denn beim TP-Link ist m.W. die Management IP immer fest auf VLAN 1 gemappt.
...
Gib dem tp-link eine IP aus dem VLAN 1 und dann solltest du wieder dran kommen.
So isses! TOP!
Noch ein (hoffentlich) letztes kleines Problem: bin ich über das WLAN des TP-Link im Netz, komme ich nicht auf die Admin-Seiten des TP-Link, der jetzt eine Adresse aus dem VLAN1 bekommen hat. Melde ich mich an einem anderen WLAN-Router an, der nur im VLAN20 steht an, funktioniert es. Idee? Ping etc. funktioniert.
Du routest ja zentral über den SG Switch, richtig?
Sofern du keinerlei Access Listen aktiv hast ist der Zugriff auf den TP aus jeden IP Netzen problemlos möglich. Es sei denn s verhindern das?!
Wenn du statische IP Adressierung verwendest musst du beim (Browser) Client oder APimmer aufpassen das als Default Gateway immer die lokales IP des Switches eingetragen ist, ansonsten scheitert das Routing!!
Sofern du keinerlei Access Listen aktiv hast ist der Zugriff auf den TP aus jeden IP Netzen problemlos möglich. Es sei denn s verhindern das?!
Wenn du statische IP Adressierung verwendest musst du beim (Browser) Client oder APimmer aufpassen das als Default Gateway immer die lokales IP des Switches eingetragen ist, ansonsten scheitert das Routing!!
Danke!!!
Ja, ich route über den SG300 und habe nur ACLs zwischen VLAN20 und VLAN30/50 aktiv. Der AP hat jetzt mal eine IP 192.168.1.4 mit GW 192.168.1.2 bekommen, im Client über den TP AP 192.168.20.106 (DHCP) mit GW 192.168.20.2. Konfig aus dem SG300 anbei? Der Zugriff funktioniert von überall, außer für die Clients, die über den TP AP und dort dann über VLAN20 verbunden sind (andere werden ja über ACL geblockt). Es schein auch eine Verbindung aufgebaut zu werden, aber dann funktioniert http/80 AP->Client nicht (?).
Insgesamt läuft aber alles jetzt sehr viel performanter!!! Sogar meine 4K-Videos vom Server laufen jetzt ohne Ruckeln!!!
Ja, ich route über den SG300 und habe nur ACLs zwischen VLAN20 und VLAN30/50 aktiv. Der AP hat jetzt mal eine IP 192.168.1.4 mit GW 192.168.1.2 bekommen, im Client über den TP AP 192.168.20.106 (DHCP) mit GW 192.168.20.2. Konfig aus dem SG300 anbei? Der Zugriff funktioniert von überall, außer für die Clients, die über den TP AP und dort dann über VLAN20 verbunden sind (andere werden ja über ACL geblockt). Es schein auch eine Verbindung aufgebaut zu werden, aber dann funktioniert http/80 AP->Client nicht (?).
Insgesamt läuft aber alles jetzt sehr viel performanter!!! Sogar meine 4K-Videos vom Server laufen jetzt ohne Ruckeln!!!
Hast du beachtet das Accesslisten nicht stateful sind?!
Du musst also nicht nur den Hintraffic sondern auch immer den Rücktraffic mitbetrachten! Sprich beide Richtingen müssen durch ggf. vorhandene ACLs passieren dürfen.
Du musst also nicht nur den Hintraffic sondern auch immer den Rücktraffic mitbetrachten! Sprich beide Richtingen müssen durch ggf. vorhandene ACLs passieren dürfen.
Nochmals danke! Der TP hängt ja jetzt im VLAN1 und es gibt hier keine ACL. Für mich passt das jetzt und ich kann damit leben.
Ja, gene! 1A Support! VG Wieland
Nur zu Erinnerung: Aus guten Gründen kannst NUR DU als Threadowner deinen eigenen Thread schliessen! DU selber bist hier also gefragt das zu tun. 🧐
