12
Abschlussprojekt Access-Points und WLAN-Controller Konfigurationsprobleme !!!
Hallo zusammen !
Ich bin Azubi im 3. Lehrjahr und bin gerade dabei mein Projekt umzusetzen komme aber nicht weiter.
Kurze Erklärung:
Ich möchte in mehreren Besprechungsräumen jeweils einen Access-Point (Lancom L-321-agn) installieren und diese dann zentral über einen WLAN-Controller (Lancom WLC-4006) verwalten.
Auf den Access-Points sollen mehrere SSIDs angelegt werden die jeweils ein eigenes VLAN erhalten.
Die VLANs sind alle schon angelegt:
870 Management
871 intern
875 öffentlich (für bekannte Tablets die mit MAC hinterlegt sind)
879 Public für Gäste
Der WLAN-Controller dient im Endeffekt dazu, WLAN-Profile zu erstellen und den Access-Points zuzuweisen.
Diese WLAN-Profille enhalten SSIDS, IP-Parameter, Antenneneinstellungen, etc.
Beide Geräte hängen an einem Cisco Catalyst 3750 Switch.(Sind nicht am selben Switch aber die Switche sind gestacked)
Der WlAN Controller hängt am 1. Switch auf Port 20 welcher als Trunk konfiguriert ist, hier mal seine Konfig:
interface FastEthernet1/0/20
description WLAN-Controller
switchport access vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870
switchport mode trunk
spanning-tree portfast
spanning-tree bpduguard enable
end
Einer der Access-Points hängt am 2. Switch auf Port 45 und ist ebenfalls als Trunk konfiguriert, hier seine Konfig:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport access vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870
switchport mode trunk
spanning-tree portfast
spanning-tree bpduguard enable
end
Muss ich beide Ports als Trunk konfigurieren? Weil ich erreiche den Access-Point zum Beispiel nur wenn der Port als Access konfiguriert ist. Aber ich muss ja mehrere VLANS über den Port laufen lassen und dafür brauche ich ja einen Trunk-Port oder irre ich mich?
Wenn ich den Port als Access konfiguriere dann erreiche ich den AP und kann ihm eine Konfiguration zuweisen aber nachdem ich das gemacht habe verliere ich sofort die Verbindung zum AP und muss ihn resetten. Scheint so als würde da was mit Switchport-Konfiguration nicht stimmen oder?
Ich bitte DRINGEND um eure Hilfe !! Danke
LG
Ich bin Azubi im 3. Lehrjahr und bin gerade dabei mein Projekt umzusetzen komme aber nicht weiter.
Kurze Erklärung:
Ich möchte in mehreren Besprechungsräumen jeweils einen Access-Point (Lancom L-321-agn) installieren und diese dann zentral über einen WLAN-Controller (Lancom WLC-4006) verwalten.
Auf den Access-Points sollen mehrere SSIDs angelegt werden die jeweils ein eigenes VLAN erhalten.
Die VLANs sind alle schon angelegt:
870 Management
871 intern
875 öffentlich (für bekannte Tablets die mit MAC hinterlegt sind)
879 Public für Gäste
Der WLAN-Controller dient im Endeffekt dazu, WLAN-Profile zu erstellen und den Access-Points zuzuweisen.
Diese WLAN-Profille enhalten SSIDS, IP-Parameter, Antenneneinstellungen, etc.
Beide Geräte hängen an einem Cisco Catalyst 3750 Switch.(Sind nicht am selben Switch aber die Switche sind gestacked)
Der WlAN Controller hängt am 1. Switch auf Port 20 welcher als Trunk konfiguriert ist, hier mal seine Konfig:
interface FastEthernet1/0/20
description WLAN-Controller
switchport access vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870
switchport mode trunk
spanning-tree portfast
spanning-tree bpduguard enable
end
Einer der Access-Points hängt am 2. Switch auf Port 45 und ist ebenfalls als Trunk konfiguriert, hier seine Konfig:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport access vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870
switchport mode trunk
spanning-tree portfast
spanning-tree bpduguard enable
end
Muss ich beide Ports als Trunk konfigurieren? Weil ich erreiche den Access-Point zum Beispiel nur wenn der Port als Access konfiguriert ist. Aber ich muss ja mehrere VLANS über den Port laufen lassen und dafür brauche ich ja einen Trunk-Port oder irre ich mich?
Wenn ich den Port als Access konfiguriere dann erreiche ich den AP und kann ihm eine Konfiguration zuweisen aber nachdem ich das gemacht habe verliere ich sofort die Verbindung zum AP und muss ihn resetten. Scheint so als würde da was mit Switchport-Konfiguration nicht stimmen oder?
Ich bitte DRINGEND um eure Hilfe !! Danke
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 193018
Url: https://administrator.de/contentid/193018
Printed on: April 26, 2024 at 15:04 o'clock
12 Comments
Latest comment
Hallo,
aber du erlaubst in deinem Trunk nur das VLAN 870....
brammer
interface FastEthernet2/0/45
...
switchport access vlan 870
...
switchport trunk allowed vlan 870
switchport mode trunkaber du erlaubst in deinem Trunk nur das VLAN 870....
brammer
Im Moment schon weil es erstmal darum geht vom WLAN-Controller über das Management VLAN 870 eine Konfiguration an den Access-Point zu schicken, der Rest wird später erlaubt.
Hallo,
hat der AP im VLAN 870 auch eine IP Adresse?
poste doch bitte mal beide configs.
brammer
hat der AP im VLAN 870 auch eine IP Adresse?
poste doch bitte mal beide configs.
brammer
Ja habe ich ich ihm händisch zugewiesen nachdem der das über das WLAN-Profil nicht gebacken bekommt.
Also der WLC:
IP 10.10.87.10
SN 255.255.255.0
GW 10.10.87.1
VLAN-ID: 870 auf der Schnittstelle ETH-1
Der AP:
IP 10.10.87.11
SN 255.255.255.0
GW 10.10.87.1
VLAN-ID: 870 auf der Schnittstelle ETH-1
Habe gerade folgendes entdeckt:
Wenn der Switchport vom AP als Access konfiguriert ist , erreiche ich den AP ja über den WLAN-Controller.
Wenn ich dem jetzt ein Profil zuordne, bekommt der WLAN-Controller eine Zertifikatsanfrage.
Diese sollte er eigentlich bestätigen, jedoch steht dort : Challange-Passwort stimmt nicht überein.
Vielleicht hängt es damit zusammen.. aber ich kann mir aus dem Challange-Passwort keinen Reim bilden.
Also der WLC:
IP 10.10.87.10
SN 255.255.255.0
GW 10.10.87.1
VLAN-ID: 870 auf der Schnittstelle ETH-1
Der AP:
IP 10.10.87.11
SN 255.255.255.0
GW 10.10.87.1
VLAN-ID: 870 auf der Schnittstelle ETH-1
Habe gerade folgendes entdeckt:
Wenn der Switchport vom AP als Access konfiguriert ist , erreiche ich den AP ja über den WLAN-Controller.
Wenn ich dem jetzt ein Profil zuordne, bekommt der WLAN-Controller eine Zertifikatsanfrage.
Diese sollte er eigentlich bestätigen, jedoch steht dort : Challange-Passwort stimmt nicht überein.
Vielleicht hängt es damit zusammen.. aber ich kann mir aus dem Challange-Passwort keinen Reim bilden.
Hallo,
bitte mal die kompletten conifgs posten!
brammer
bitte mal die kompletten conifgs posten!
brammer
Gibt leider keine einheitliche Übersicht von den Konfigeinstellungen.
Was genau willst du denn wissen?
Was genau willst du denn wissen?
Moin,
du kannst aus dem Lanconfig die Einstellungen als Script exportiren, sowie die Config der Switche als Textfile per TFTP herunterladen oder mit PuTTy in ein Textfile schreiben lassen. Für alle 4(?) Geräte einmal posten...
Thomas
du kannst aus dem Lanconfig die Einstellungen als Script exportiren, sowie die Config der Switche als Textfile per TFTP herunterladen oder mit PuTTy in ein Textfile schreiben lassen. Für alle 4(?) Geräte einmal posten...
Thomas
Die grundsätzliche Frage die du erstmal benatworten musst ist die Frage ober der WLAN Controller alle APs über einen Tunnel übers Management erreicht.
Wenn das der Fall ist dann benötigts du keinerlei Tagging sondern darst den Controller und die APs nur im Management Netz untagged betreiben !
Die Cisco Konfig sähe dann für beide Interfaces so aus:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport access vlan 870
spanning-tree portfast
Wenn der AP allerdings ein sog. "local Forwarding" macht also alle seine SSIDs auch am AP LAN Port tagged mit der VLAN ID rauskommen dann ist deine obige Konfig völlig falsch, denn wie Kollege Brammer schon sagt käme so nur einzig das Management VLAN durch und das auch nur tagged.
Richtig wäre dann:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast
Da das Management VLAN an den WLAN Controllern fast immer das VLAN 1 ist das dann untagged übertragen auf einem Trunk (tagged Link) müsstest du, sofern dein Management VLAN 870 ist, das dann untagged dort reinbringen.
Dann sähe die Cisco Config so aus:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport trunk encapsulation dot1q
switchport native vlan 870
switchport mode trunk
Wie gesagt DAS solltest du als allererstes im Handbuch des Controllers bzw. des APs checken sonst brauchen wir hier nicht weiterzumachen, denn dann gäbe es mit Trial and Error zig Kombinationen
Hilfreiche Lektüre für dich zum Verständnis ist auch das hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Wenn das der Fall ist dann benötigts du keinerlei Tagging sondern darst den Controller und die APs nur im Management Netz untagged betreiben !
Die Cisco Konfig sähe dann für beide Interfaces so aus:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport access vlan 870
spanning-tree portfast
Wenn der AP allerdings ein sog. "local Forwarding" macht also alle seine SSIDs auch am AP LAN Port tagged mit der VLAN ID rauskommen dann ist deine obige Konfig völlig falsch, denn wie Kollege Brammer schon sagt käme so nur einzig das Management VLAN durch und das auch nur tagged.
Richtig wäre dann:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast
Da das Management VLAN an den WLAN Controllern fast immer das VLAN 1 ist das dann untagged übertragen auf einem Trunk (tagged Link) müsstest du, sofern dein Management VLAN 870 ist, das dann untagged dort reinbringen.
Dann sähe die Cisco Config so aus:
interface FastEthernet2/0/45
description WLAN-AccessPoint 1
switchport trunk encapsulation dot1q
switchport native vlan 870
switchport mode trunk
Wie gesagt DAS solltest du als allererstes im Handbuch des Controllers bzw. des APs checken sonst brauchen wir hier nicht weiterzumachen, denn dann gäbe es mit Trial and Error zig Kombinationen
Hilfreiche Lektüre für dich zum Verständnis ist auch das hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Hi
Danke erst mal für die Antworten !
also die Switch-Config habe ich wiefolgt vorgenommen:
interface FastEthernet1/0/20
description WLAN-Controller
switchport access vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870,871,875,879
switchport mode trunk
spanning-tree portfast
interface FastEthernet2/0/45
description WLAN-AccessPoint Max 1/16
switchport trunk encapsulation dot1q
switchport trunk native vlan 870
switchport mode trunk
spanning-tree portfast
den Access-Point habe ich komplett auf default gelassen. Ich bekomme den Access-Point endlich auch in der Liste der verfügbaren AP angezeigt (JUHU).
So jetzt habe ich ein Profil für ein Gästenetz erstellt, dieses wollte ich dann dem gefunden AP zuweisen.
Sobald ich das getan habe steht der AP unter fehlende und ist einfach weg.
Wenn ich auf dem WLAN-Controller mal in der Zertifikatsverwaltung schaue, dann steht dort der AP mit einer Anfrage drinnen aber hinten spuckt er eine Fehlermeldung aus: Challange-Passwort stimmt nicht überein.
Könnte das der Fehler sein das er nie das Profil annimmt ? Kennt sich jemand mit den LANCOM Geräten aus und könnte mir das mit den Zertifikaten mal erläutern? Danke euch ;)
Danke erst mal für die Antworten !
also die Switch-Config habe ich wiefolgt vorgenommen:
interface FastEthernet1/0/20
description WLAN-Controller
switchport access vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870,871,875,879
switchport mode trunk
spanning-tree portfast
interface FastEthernet2/0/45
description WLAN-AccessPoint Max 1/16
switchport trunk encapsulation dot1q
switchport trunk native vlan 870
switchport mode trunk
spanning-tree portfast
den Access-Point habe ich komplett auf default gelassen. Ich bekomme den Access-Point endlich auch in der Liste der verfügbaren AP angezeigt (JUHU).
So jetzt habe ich ein Profil für ein Gästenetz erstellt, dieses wollte ich dann dem gefunden AP zuweisen.
Sobald ich das getan habe steht der AP unter fehlende und ist einfach weg.
Wenn ich auf dem WLAN-Controller mal in der Zertifikatsverwaltung schaue, dann steht dort der AP mit einer Anfrage drinnen aber hinten spuckt er eine Fehlermeldung aus: Challange-Passwort stimmt nicht überein.
Könnte das der Fehler sein das er nie das Profil annimmt ? Kennt sich jemand mit den LANCOM Geräten aus und könnte mir das mit den Zertifikaten mal erläutern? Danke euch ;)
Deine Switch Konfig ist immer noch falsch und auch unsinnig.
Oben an Port 1/0/20 hast du sowohl Access als auch Trunk konfiguriert, das ist Konfig technisch eigentlich unmöglich und sollte der Parser auch eigentlich verhindern... kein Wunder was du da gemacht hast.
Richtig wäre folgendes:
interface FastEthernet1/0/20
description WLAN-Controller
switchport trunk native vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870,871,875,879
switchport mode trunk
spanning-tree portfast
interface FastEthernet2/0/45
description WLAN-AccessPoint Max 1/16
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870,871,875,879
switchport trunk native vlan 870
switchport mode trunk
spanning-tree portfast
Dann sollte es auch sauber funktionieren.
Das Kommando "switchport trunk native vlan 870" bewirkt das untagged Pakete an diesem Port automatisch ins VLAN 870 geforwardet werden ! Das Control VLAN des WLAN Controllers arbeitet auf diesem VLAN.
Wenn du das so anpasst funktioniert das !
Oben an Port 1/0/20 hast du sowohl Access als auch Trunk konfiguriert, das ist Konfig technisch eigentlich unmöglich und sollte der Parser auch eigentlich verhindern... kein Wunder was du da gemacht hast.
Richtig wäre folgendes:
interface FastEthernet1/0/20
description WLAN-Controller
switchport trunk native vlan 870
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870,871,875,879
switchport mode trunk
spanning-tree portfast
interface FastEthernet2/0/45
description WLAN-AccessPoint Max 1/16
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 870,871,875,879
switchport trunk native vlan 870
switchport mode trunk
spanning-tree portfast
Dann sollte es auch sauber funktionieren.
Das Kommando "switchport trunk native vlan 870" bewirkt das untagged Pakete an diesem Port automatisch ins VLAN 870 geforwardet werden ! Das Control VLAN des WLAN Controllers arbeitet auf diesem VLAN.
Wenn du das so anpasst funktioniert das !
Danke aqui !!!!
Funktioniert endlich. Ich kann die Profile zuweisen und alles läuft sauber.
Den Rest muss ich alles an den LANCOM-Geräten einstellen.
Danke LG lulsec
Funktioniert endlich. Ich kann die Profile zuweisen und alles läuft sauber.
Den Rest muss ich alles an den LANCOM-Geräten einstellen.
Danke LG lulsec
Na das hört sich doch gut an !! So soll es sein.
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Wenns das denn war bitte dann auch
How can I mark a post as solved?
nicht vergessen !