3
Cisco SG300-28p + Cisco AP2602i - VLAN Konfiguration
Hallo Admins,
ich habe mein Heimnetzwerk auf Cisco Komponenten umgestellt, bin folglich noch Neuling auf diesem Gebiet und stehe dzt. bei meiner VLAN Konfig an.
Ziel ist es zwei VLANs am AP zu erstellen, 1 x gesichert über WPA2 und 1x offen mit Captive Portal (pfSense) beide Netze sollen über DHCP die IPs von einem Windows Server 2008R2 erhalten.
Dzt. versuche ich mich an der AP Konfig (mit offenen WLANs) sehe auch die zwei SSIDs kann mich aber nicht verbinden.
Ich bekomme keine IP Adresse zugewiesen.
Was mir aufgefallen ist, wenn ich interface Dot11Radio0.100 auf encapsulation dot1Q 100 native stelle, kann ich mich mit der SSID SECURE verbinden mit OFFEN aber nicht.
stelle ich im Gegensatz interface Dot11Radio0.225 auf encapsulation dot1Q 225 native kann ich mich mit der SSID OFFEN verbinden und erhalte eine IP, dann geht aber die andere SSID SECUREnicht mehr.
Da nun aber eigentlich interface Dot11Radio0.1 auf encapsulation dot1Q 1 native gestellt ist, komme ich an beide Netze nicht ran.
Der Switchport am SG300 ist ein Trunk, native VLAN = 1 + tagged 100 + tagged 225
Danke für die Unterstützung
LG Stefan
Meine AP Konfig lautet
ich habe mein Heimnetzwerk auf Cisco Komponenten umgestellt, bin folglich noch Neuling auf diesem Gebiet und stehe dzt. bei meiner VLAN Konfig an.
Ziel ist es zwei VLANs am AP zu erstellen, 1 x gesichert über WPA2 und 1x offen mit Captive Portal (pfSense) beide Netze sollen über DHCP die IPs von einem Windows Server 2008R2 erhalten.
Dzt. versuche ich mich an der AP Konfig (mit offenen WLANs) sehe auch die zwei SSIDs kann mich aber nicht verbinden.
Ich bekomme keine IP Adresse zugewiesen.
Was mir aufgefallen ist, wenn ich interface Dot11Radio0.100 auf encapsulation dot1Q 100 native stelle, kann ich mich mit der SSID SECURE verbinden mit OFFEN aber nicht.
stelle ich im Gegensatz interface Dot11Radio0.225 auf encapsulation dot1Q 225 native kann ich mich mit der SSID OFFEN verbinden und erhalte eine IP, dann geht aber die andere SSID SECUREnicht mehr.
Da nun aber eigentlich interface Dot11Radio0.1 auf encapsulation dot1Q 1 native gestellt ist, komme ich an beide Netze nicht ran.
Der Switchport am SG300 ist ein Trunk, native VLAN = 1 + tagged 100 + tagged 225
Danke für die Unterstützung
LG Stefan
Meine AP Konfig lautet
!
! Last configuration change at 00:32:38 UTC Mon Mar 1 1993 by cisco
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname atap2602
!
!
logging rate-limit console 9
enable secret 5 $1$m05L$p5G9chGpZxE.OJKiHrLJa/
!
no aaa new-model
ip cef
!
!
!
dot11 syslog
!
dot11 ssid OFFEN
vlan 225
authentication open
mbssid guest-mode
!
dot11 ssid SECURE
vlan 100
authentication open
mbssid guest-mode
!
!
crypto pki token default removal timeout 0
!
!
username Cisco password 7 14341B180F0B
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
ssid OFFEN
!
ssid SECURE
!
antenna gain 0
stbc
mbssid
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.100
encapsulation dot1Q 100
no ip route-cache
bridge-group 100
bridge-group 100 subscriber-loop-control
bridge-group 100 spanning-disabled
bridge-group 100 block-unknown-source
no bridge-group 100 source-learning
no bridge-group 100 unicast-flooding
!
interface Dot11Radio0.225
encapsulation dot1Q 225
no ip route-cache
bridge-group 225
bridge-group 225 subscriber-loop-control
bridge-group 225 spanning-disabled
bridge-group 225 block-unknown-source
no bridge-group 225 source-learning
no bridge-group 225 unicast-flooding
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
antenna gain 0
no dfs band block
mbssid
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface GigabitEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface GigabitEthernet0.100
encapsulation dot1Q 100
no ip route-cache
bridge-group 100
bridge-group 100 spanning-disabled
no bridge-group 100 source-learning
!
interface GigabitEthernet0.225
encapsulation dot1Q 225
no ip route-cache
bridge-group 225
bridge-group 225 spanning-disabled
no bridge-group 225 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
no ip route-cache
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip route 0.0.0.0 0.0.0.0 192.168.100.254
ip route 0.0.0.0 0.0.0.0 192.168.100.254
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
transport input all
!
end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295110
Url: https://administrator.de/contentid/295110
Printed on: April 24, 2024 at 06:04 o'clock
3 Comments
Latest comment
Das hiesige Tutorial zu dem Thema hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Im Kapitel Praxisbeispiel findest du eine lauffähige AP Konfiguration fertig zum Abtippen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Im Kapitel Praxisbeispiel findest du eine lauffähige AP Konfiguration fertig zum Abtippen.
danke, ja natürlich habe dieses und viele andere gelesen. ich möchte aber nicht nur abtippen - sondern verstehen.
die pfSense ist dzt hinsichtlich der VLANs außen vor, ich will mich mal auf server - - - - L3 switch - - - - - access point konzentrieren.
Der SG300 befindet sich im L3 mode und soll routen.
Mir wäre es eine große Hilfe ein Feedback auf meine AP Konfiguration zu bekommen um mal zu wissen JA passt / NEIN passt nicht.
Ich habe dzt so viele Variablen auf diesem Neuland.
grüße
die pfSense ist dzt hinsichtlich der VLANs außen vor, ich will mich mal auf server - - - - L3 switch - - - - - access point konzentrieren.
Der SG300 befindet sich im L3 mode und soll routen.
Mir wäre es eine große Hilfe ein Feedback auf meine AP Konfiguration zu bekommen um mal zu wissen JA passt / NEIN passt nicht.
Ich habe dzt so viele Variablen auf diesem Neuland.
grüße
ich möchte aber nicht nur abtippen - sondern verstehen.
Sehr löblich und Hochachtung !die pfSense ist dzt hinsichtlich der VLANs außen vor
Was ist "dzt" ??Der SG300 befindet sich im L3 mode und soll routen.
OK...Ich habe dzt so viele Variablen auf diesem Neuland.
dzt ???Punkte die auf dem AP zu ändern sind:
1.)
Uhrzeit richtig setzen wegen Log usw.
service timestamps log datetime localtime
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
2.)
ip route 0.0.0.0 0.0.0.0 192.168.100.254
Das doppelt einzutragen ist Unsinn. Einen Eintrag kannst du entfernen
Ansonsten ist die AP Konfig sauber rund korrekt.
Bedenke das die Management IP des APs im Default VLAN liegt. Vermutlich bei dir 1. Der AP holt sich aus diesem IP die Management IP per DHCP.
Die Default Route sieht dabei etwas fragwürdig aus wenn man jetzt denkt das .100.0 das VLAN 100 ist. Denn dort kann und darf die Management IP nicht liegen....
