11
Cisco Aironet 1300 VLAN und DHCP Problem
Hallo Leute,
nach vielen Stunden googelns, vertraue ich jetzt mal auf die Erfahrung der Admins hier. Auch hier im Forum gab es schon einige Fragen zu dem Thema welche mir aber alle nicht 100% weiterhelfen. Habe auch auf diesem Gebiet nicht all zu viel Erfahrung, also bitte habt Verständnis.
Es besteht folgende Ausgangssituation:
Es soll ein sicheres WLAN inkl. Radius und MAC-Authentifizierung eingerichtet werden. AP hierbei ist ein Cisco Aironet 1300 inkl. neuster Firmware.
Ein Win2003-Server agiert bereits als DHCP-, DNS- und Radius-Server. Die Laptops sollen eine IP aus dem 192.168.4.0 Netz erhalten. Wenn sich ein Laptop jetzt am WLAN anmeldet funktioniert dies auch, bekommt allerdings keine IP-Adresse vom DHCP. Wenn das Laptop per Kabel angeschlossen wird, funktioniert es und er bekommt eine IP aus dem richtigen VLAN. Die SSID ist dem VLAN 4 zugewiesen und es besteht ein natives VLAN 1.
Eine Frage dabei noch. Der AP ist an einen Cisco Catalyst angeschlossen und der Port steht auf "Static Access". Wenn ich ihn auf Trunk stelle (was ja eig. logischer wäre), bekomme ich keinen Zugriff mehr auf den AP (weder Ping noch Web-Interface). Woran kann das liegen?
Hier nochmal meine AP-Config:
Es soll ein sicheres WLAN inkl. Radius und MAC-Authentifizierung eingerichtet werden. AP hierbei ist ein Cisco Aironet 1300 inkl. neuster Firmware.
Ein Win2003-Server agiert bereits als DHCP-, DNS- und Radius-Server. Die Laptops sollen eine IP aus dem 192.168.4.0 Netz erhalten. Wenn sich ein Laptop jetzt am WLAN anmeldet funktioniert dies auch, bekommt allerdings keine IP-Adresse vom DHCP. Wenn das Laptop per Kabel angeschlossen wird, funktioniert es und er bekommt eine IP aus dem richtigen VLAN. Die SSID ist dem VLAN 4 zugewiesen und es besteht ein natives VLAN 1.
Eine Frage dabei noch. Der AP ist an einen Cisco Catalyst angeschlossen und der Port steht auf "Static Access". Wenn ich ihn auf Trunk stelle (was ja eig. logischer wäre), bekomme ich keinen Zugriff mehr auf den AP (weder Ping noch Web-Interface). Woran kann das liegen?
Hier nochmal meine AP-Config:
ap#show run
Building configuration...
Current configuration : 3043 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 $1$KEhP$PR3zyclTogK.ZqpPf2jud/
!
aaa new-model
!
!
aaa group server radius rad_eap
server 192.168.1.2 auth-port 1645 acct-port 1646
!
aaa group server radius rad_mac
server 192.168.1.2 auth-port 1645 acct-port 1646
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
!
aaa group server tacacs+ tac_admin
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip domain name isahamburg
ip name-server 192.168.1.5
ip name-server 192.168.1.2
!
!
dot11 vlan-name WLAN vlan 4
!
dot11 ssid isahamburg
vlan 4
authentication open mac-address mac_methods alternate eap eap_methods
authentication network-eap eap_methods
authentication key-management wpa version 2
!
dot11 aaa csid unformatted
!
!
username admin privilege 15 password 7 1101160B1C4B524F
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 4 mode ciphers aes-ccm
!
ssid isahamburg
!
station-role root access-point
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
ip helper-address 192.168.1.5
no ip route-cache
no snmp trap link-status
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.4
encapsulation dot1Q 4
ip helper-address 192.168.1.5
no ip route-cache
no snmp trap link-status
bridge-group 4
bridge-group 4 subscriber-loop-control
bridge-group 4 block-unknown-source
no bridge-group 4 source-learning
no bridge-group 4 unicast-flooding
bridge-group 4 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
ip helper-address 192.168.1.5
no ip route-cache
no snmp trap link-status
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.4
encapsulation dot1Q 4
ip helper-address 192.168.1.5
no ip route-cache
no snmp trap link-status
bridge-group 4
no bridge-group 4 source-learning
bridge-group 4 spanning-disabled
!
interface BVI1
ip address 192.168.4.199 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.4.254
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
ip radius source-interface BVI1
radius-server attribute 32 include-in-access-req format %h
radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key 7 050309012A15174A
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
!
end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151090
Url: https://administrator.de/contentid/151090
Printed on: April 25, 2024 at 17:04 o'clock
11 Comments
Latest comment
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dein native Ethernet ist immer untagged an einem Trunk. Du musst also zwingend einen Trunk einrichten, da Cisco die ESSIDs immer den entsprechenden VLAN Tags zuordnet. Vermutlich ist also dein native VLAN nicht am Catalyst Port richtig konfiguriert.
Lies dir das o.a. Tutorial durch und setz das um, damit klappt es auf Anhieb !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Dein native Ethernet ist immer untagged an einem Trunk. Du musst also zwingend einen Trunk einrichten, da Cisco die ESSIDs immer den entsprechenden VLAN Tags zuordnet. Vermutlich ist also dein native VLAN nicht am Catalyst Port richtig konfiguriert.
Lies dir das o.a. Tutorial durch und setz das um, damit klappt es auf Anhieb !
hi, danke dafür
wenn ich mir die Bsp-Konfig mal anschaue, sieht es bis auf die Verschlüsselung gleich aus.
Ich nutze halt open authentication with MAC Authentication or EAP und Network EAP damit ich WPA 2 nutzen kann.
Kann es nicht am DHCP relay liegen? Nur weiß ich nicht genau, wo ich diesen einrichten muss.
wenn ich mir die Bsp-Konfig mal anschaue, sieht es bis auf die Verschlüsselung gleich aus.
Ich nutze halt open authentication with MAC Authentication or EAP und Network EAP damit ich WPA 2 nutzen kann.
Kann es nicht am DHCP relay liegen? Nur weiß ich nicht genau, wo ich diesen einrichten muss.
Sorry, den hatte ich versehentlich als IP Adresse angesehen. Vergiss also den Einwand mit dem IP Konzept !
Ja, der DHCP Relay ist dort Blödsinn, denn er muss auf die Interfaces wo das eigentliche Routing stattfindet ! Der Cisco AP macht ja nur simples Bridging in die VLANs und da gehen UDP Broadcasts nur rüber !
Die Helper Adressen kommen also am Switch in die VLAN Interfaces (sofern du Cisco Switches nutzt)
Deine Konfig hat aber noch diveres Fehler. SSIDs sind nicht vollständig unter dem 0er Interface, mbssid fehlt usw. usw. Das solltest du also nochmal genau mit der Beispiel Konfig abgleichen !
Der Switchport (Cisco L3 Beispiel) sähe dann so aus:
Cisco_Switch#
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
description Tagged Link zum Cisco AP 1300
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface FastEthernet0/10
description Enduser Ports in VLAN 1
switchport access vlan 1
spanning-tree portfast
!
interface FastEthernet0/11
description Enduser Ports in VLAN 4
switchport access vlan 4
spanning-tree portfast
!
interface Vlan1
ip address 192.168.4.254 255.255.255.0
no ip route-cache
!
interface Vlan4
ip address 172.16.4.254 255.255.255.0
no ip route-cache
!
Damit müsste ein Ping vom AP 192.168.4.199 auf den Router Switch 192.168.4.254 und umgekehrt problemlos möglich sein.
OK, VLAN 4 muss auf dem Switch natürlich mit "vlan 4 name VLAN-4" zuvor konfiguriert sein !!
Ja, der DHCP Relay ist dort Blödsinn, denn er muss auf die Interfaces wo das eigentliche Routing stattfindet ! Der Cisco AP macht ja nur simples Bridging in die VLANs und da gehen UDP Broadcasts nur rüber !
Die Helper Adressen kommen also am Switch in die VLAN Interfaces (sofern du Cisco Switches nutzt)
Deine Konfig hat aber noch diveres Fehler. SSIDs sind nicht vollständig unter dem 0er Interface, mbssid fehlt usw. usw. Das solltest du also nochmal genau mit der Beispiel Konfig abgleichen !
Der Switchport (Cisco L3 Beispiel) sähe dann so aus:
Cisco_Switch#
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
description Tagged Link zum Cisco AP 1300
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface FastEthernet0/10
description Enduser Ports in VLAN 1
switchport access vlan 1
spanning-tree portfast
!
interface FastEthernet0/11
description Enduser Ports in VLAN 4
switchport access vlan 4
spanning-tree portfast
!
interface Vlan1
ip address 192.168.4.254 255.255.255.0
no ip route-cache
!
interface Vlan4
ip address 172.16.4.254 255.255.255.0
no ip route-cache
!
Damit müsste ein Ping vom AP 192.168.4.199 auf den Router Switch 192.168.4.254 und umgekehrt problemlos möglich sein.
OK, VLAN 4 muss auf dem Switch natürlich mit "vlan 4 name VLAN-4" zuvor konfiguriert sein !!
Moin,
danke schonmal für deine Hilfe
vlan 1 soll garkeine ssid bekommen, ich werde erst später ein 2. gäste vlan einrichten. Es soll eig. nur das VLAN 4 verschlüsselt und nicht sichtbar sein, deswegen brauch ich doch auch kein mbssid oder etwa doch? Die ip helper address hab ich auf dem Cisco-Switch auf das 4. vlan gesetzt.
Mir kommt es immer ncoh komisch vor, dass der AP auf static access steht.
danke schonmal für deine Hilfe
vlan 1 soll garkeine ssid bekommen, ich werde erst später ein 2. gäste vlan einrichten. Es soll eig. nur das VLAN 4 verschlüsselt und nicht sichtbar sein, deswegen brauch ich doch auch kein mbssid oder etwa doch? Die ip helper address hab ich auf dem Cisco-Switch auf das 4. vlan gesetzt.
Mir kommt es immer ncoh komisch vor, dass der AP auf static access steht.
Was meinst du mit "static access" ???
!
interface GigabitEthernet0/16
description WLAN-AP
switchport access vlan 4
switchport mode access
!
Er ist nicht auf Trunk gesetzt
Das ist de facto falsch !
Der AP mappt der WLAN ESSID ja ganz klar das VLAN 4
dot11 ssid isahamburg
vlan 4
Damit bekommen alle Pakete aus dieser ESSID isahamburg einen VLAN Tag mit der ID 4 ins Paket, sind damit also tagged Pakete wie auf einem VLAN Trunk !!
Mit der o.a. Konfig "versteht" der Switch aber solche Pakete gar nicht, denn er ist als Access Port für ein Endgerät im VLAN 4 konfiguriert das dann nur untagged Pakete versteht.
So kann eine Kommunikation nicht zustandekommen ! Die richtige Konfig müsste lauten:
interface GigabitEthernet0/16
description WLAN-AP
switchport mode trunk
switchport trunk encapsulation dot1q
!
Ansonsten stimmt was mit deiner AP Konfig nicht. (Hast du mbssid konfiguriert ?) Nimm dir sonst mal einen Wireshark und sieh dir die Frames vom AP an ob die tagged sind oder nicht !
Der AP mappt der WLAN ESSID ja ganz klar das VLAN 4
dot11 ssid isahamburg
vlan 4
Damit bekommen alle Pakete aus dieser ESSID isahamburg einen VLAN Tag mit der ID 4 ins Paket, sind damit also tagged Pakete wie auf einem VLAN Trunk !!
Mit der o.a. Konfig "versteht" der Switch aber solche Pakete gar nicht, denn er ist als Access Port für ein Endgerät im VLAN 4 konfiguriert das dann nur untagged Pakete versteht.
So kann eine Kommunikation nicht zustandekommen ! Die richtige Konfig müsste lauten:
interface GigabitEthernet0/16
description WLAN-AP
switchport mode trunk
switchport trunk encapsulation dot1q
!
Ansonsten stimmt was mit deiner AP Konfig nicht. (Hast du mbssid konfiguriert ?) Nimm dir sonst mal einen Wireshark und sieh dir die Frames vom AP an ob die tagged sind oder nicht !
Okay danke erst mal für deine Geduld...
hab ich mir schon gedacht, dass sie auf Trunk stehen müssen. Ich hab wohl schon zu viele Beiträge zu dem Thema gelesen :S
Auf dem Cisco-Switch hab ich allerdings nur die möglichkeit zu sagen switchport mode trunk und nicht switchport trunk encapsulation dot1q...
Auf dem AP hab ich nicht einmal eine möglichkeit gesehen einen Port auf Trunk zu setzen. Wenn ich in ein interface gehe, kann ich nie ein switchport mode angeben.
Das kann echt nicht so schwer sein aber ich steh echt aufm Schlauch!
hab ich mir schon gedacht, dass sie auf Trunk stehen müssen. Ich hab wohl schon zu viele Beiträge zu dem Thema gelesen :S
Auf dem Cisco-Switch hab ich allerdings nur die möglichkeit zu sagen switchport mode trunk und nicht switchport trunk encapsulation dot1q...
Auf dem AP hab ich nicht einmal eine möglichkeit gesehen einen Port auf Trunk zu setzen. Wenn ich in ein interface gehe, kann ich nie ein switchport mode angeben.
Das kann echt nicht so schwer sein aber ich steh echt aufm Schlauch!
Ja bei neuerer IOS Software supportet Cisco nicht mehr sein altes ISL Trunk Protokoll und dort ist dann dot1x Standard und du brauchst es nicht mehr einzugeben.
Beim AP ist das nicht zu konfigurieren. Der AP mappt die VLAN ID selbstständig mit der Konfig. Da gibt es kein trunk mode... kommando oder sowas auf dem LAN Port.
Deine vollständige AP Konfig (funktionsfähig getestet an einem Catalyst 2950-24 !!!) sieht so aus:
hostname Cisco_AP
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
!
dot11 ssid isahamburg
vlan 4
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii Geheim123
!
dot11 ssid VLAN-1 (SSID Broadcast nicht sichtbar !)
vlan 1
authentication open
authentication key-management wpa
wpa-psk ascii Geheim123
!
username Admin password Admin
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
encryption vlan 4 mode ciphers aes-ccm tkip
!
ssid VLAN-1
!
ssid isahamburg
!
mbssid
!
interface Dot11Radio0.1
description WLAN unter VLAN-1 (WPA2 verschlüsselt nicht sichtbar, Management Zugriff)
encapsulation dot1Q 1 native <--- (VLAN-1 Pakete sind untagged da "native" VLAN !!)
no ip route-cache
bridge-group 1
!
interface Dot11Radio0.4
description WLAN unter VLAN-4 (isahamburg) (WPA2 verschlüsselt, sichtbar)
encapsulation dot1Q 4 <--- (Hier passiert das Tagging mit VLAN ID 4 !!)
no ip route-cache
bridge-group 4
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface FastEthernet0.4
description VLAN-4
encapsulation dot1Q 4 <--- (Hier passiert das Tagging mit VLAN ID 4 !!)
no ip route-cache
bridge-group 4
!
interface BVI1
ip address 192.168.4.199 255.255.255.0
no ip route-cache
Beim AP ist das nicht zu konfigurieren. Der AP mappt die VLAN ID selbstständig mit der Konfig. Da gibt es kein trunk mode... kommando oder sowas auf dem LAN Port.
Deine vollständige AP Konfig (funktionsfähig getestet an einem Catalyst 2950-24 !!!) sieht so aus:
hostname Cisco_AP
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
!
dot11 ssid isahamburg
vlan 4
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii Geheim123
!
dot11 ssid VLAN-1 (SSID Broadcast nicht sichtbar !)
vlan 1
authentication open
authentication key-management wpa
wpa-psk ascii Geheim123
!
username Admin password Admin
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
encryption vlan 4 mode ciphers aes-ccm tkip
!
ssid VLAN-1
!
ssid isahamburg
!
mbssid
!
interface Dot11Radio0.1
description WLAN unter VLAN-1 (WPA2 verschlüsselt nicht sichtbar, Management Zugriff)
encapsulation dot1Q 1 native <--- (VLAN-1 Pakete sind untagged da "native" VLAN !!)
no ip route-cache
bridge-group 1
!
interface Dot11Radio0.4
description WLAN unter VLAN-4 (isahamburg) (WPA2 verschlüsselt, sichtbar)
encapsulation dot1Q 4 <--- (Hier passiert das Tagging mit VLAN ID 4 !!)
no ip route-cache
bridge-group 4
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface FastEthernet0.4
description VLAN-4
encapsulation dot1Q 4 <--- (Hier passiert das Tagging mit VLAN ID 4 !!)
no ip route-cache
bridge-group 4
!
interface BVI1
ip address 192.168.4.199 255.255.255.0
no ip route-cache
Morgen,
also es scheint jetzt alles zu laufen, wenn ich den Port am Cisco-Switch auf Trunk setze, läuft das W-LAN einwandfrei... Es besteht aber immer noch das Problem, dass ich dann keinen Zugriff mehr auf den AP habe. Weder ein ping, noch ein Web-Access geht. Am AP und am Switch ist das VLAN 1 als nativ konfiguriert.
So kurz davor...
Danke jetzt schon mal!
also es scheint jetzt alles zu laufen, wenn ich den Port am Cisco-Switch auf Trunk setze, läuft das W-LAN einwandfrei... Es besteht aber immer noch das Problem, dass ich dann keinen Zugriff mehr auf den AP habe. Weder ein ping, noch ein Web-Access geht. Am AP und am Switch ist das VLAN 1 als nativ konfiguriert.
So kurz davor...
Danke jetzt schon mal!
Das darf eigentlich nicht sein ! Hast du folgendes geprüft:
Du kannst das ganz einfach und schnell testen:
Schliesse statt des AP einfach mal einen simplen Laptop oder PC an den AP Port des Switches an ! Konfigurier dem statisch die 192.168.4.199 mit einer 24er Maske und schliess ihn statt das AP an.
Der Laptop/PC sendet in jedem Falle untagged Pakete wie auch der AP im Subinterface 0.1.
Von diesem Laptop müssen dann alle Endgeräte im 192.168.4.0er Netz anpingbar sein !!! Wenn nicht, dann gibst du dem Switchwo der AP/Laptop angeschlossen ist im interface vlan 1 eine IP Adresse z.B. 192.168.4.254 255.255.255.0 !
Diese MUSS pingbar sein vom Laptop am AP Port wenn du nicht das native VLAN global in der Switchkonfig verbogen hast !!
Klappt das und kannst du aber andere Endgeräte nicht pingen hast du vergessen irgendwo das VLAN am Port oder im Trunk zu definieren.
Andere Möglichkeiten gibt es de facto nicht !
- Subinterface muss die Nummer 0.1 haben
- bridge-group auf diesem Int muss auch die 1 haben
- 802.1q Encapsulation an diesem Port muss auf dot1Q 1 native stehen.
- Am Switch den AP Port auf spanning-tree portfast setzen.
Du kannst das ganz einfach und schnell testen:
Schliesse statt des AP einfach mal einen simplen Laptop oder PC an den AP Port des Switches an ! Konfigurier dem statisch die 192.168.4.199 mit einer 24er Maske und schliess ihn statt das AP an.
Der Laptop/PC sendet in jedem Falle untagged Pakete wie auch der AP im Subinterface 0.1.
Von diesem Laptop müssen dann alle Endgeräte im 192.168.4.0er Netz anpingbar sein !!! Wenn nicht, dann gibst du dem Switchwo der AP/Laptop angeschlossen ist im interface vlan 1 eine IP Adresse z.B. 192.168.4.254 255.255.255.0 !
Diese MUSS pingbar sein vom Laptop am AP Port wenn du nicht das native VLAN global in der Switchkonfig verbogen hast !!
Klappt das und kannst du aber andere Endgeräte nicht pingen hast du vergessen irgendwo das VLAN am Port oder im Trunk zu definieren.
Andere Möglichkeiten gibt es de facto nicht !
