Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Aironet 1300 VLAN und DHCP Problem

Frage Linux Linux Netzwerk

Mitglied: ISAEDV

ISAEDV (Level 1) - Jetzt verbinden

15.09.2010, aktualisiert 18.10.2012, 6980 Aufrufe, 11 Kommentare

Hallo Leute,

nach vielen Stunden googelns, vertraue ich jetzt mal auf die Erfahrung der Admins hier. Auch hier im Forum gab es schon einige Fragen zu dem Thema welche mir aber alle nicht 100% weiterhelfen. Habe auch auf diesem Gebiet nicht all zu viel Erfahrung, also bitte habt Verständnis.

Es besteht folgende Ausgangssituation:

Es soll ein sicheres WLAN inkl. Radius und MAC-Authentifizierung eingerichtet werden. AP hierbei ist ein Cisco Aironet 1300 inkl. neuster Firmware.
Ein Win2003-Server agiert bereits als DHCP-, DNS- und Radius-Server. Die Laptops sollen eine IP aus dem 192.168.4.0 Netz erhalten. Wenn sich ein Laptop jetzt am WLAN anmeldet funktioniert dies auch, bekommt allerdings keine IP-Adresse vom DHCP. Wenn das Laptop per Kabel angeschlossen wird, funktioniert es und er bekommt eine IP aus dem richtigen VLAN. Die SSID ist dem VLAN 4 zugewiesen und es besteht ein natives VLAN 1.

Eine Frage dabei noch. Der AP ist an einen Cisco Catalyst angeschlossen und der Port steht auf "Static Access". Wenn ich ihn auf Trunk stelle (was ja eig. logischer wäre), bekomme ich keinen Zugriff mehr auf den AP (weder Ping noch Web-Interface). Woran kann das liegen?

Hier nochmal meine AP-Config:

01.
ap#show run 
02.
Building configuration... 
03.
 
04.
Current configuration : 3043 bytes 
05.
06.
version 12.4 
07.
no service pad 
08.
service timestamps debug datetime msec 
09.
service timestamps log datetime msec 
10.
service password-encryption 
11.
12.
hostname ap 
13.
14.
enable secret 5 $1$KEhP$PR3zyclTogK.ZqpPf2jud/ 
15.
16.
aaa new-model 
17.
18.
19.
aaa group server radius rad_eap 
20.
 server 192.168.1.2 auth-port 1645 acct-port 1646 
21.
22.
aaa group server radius rad_mac 
23.
 server 192.168.1.2 auth-port 1645 acct-port 1646 
24.
25.
aaa group server radius rad_acct 
26.
27.
aaa group server radius rad_admin 
28.
29.
aaa group server tacacs+ tac_admin 
30.
31.
aaa group server radius rad_pmip 
32.
33.
aaa group server radius dummy 
34.
35.
aaa authentication login eap_methods group rad_eap 
36.
aaa authentication login mac_methods local 
37.
aaa authorization exec default local 
38.
aaa accounting network acct_methods start-stop group rad_acct 
39.
40.
aaa session-id common 
41.
42.
resource policy 
43.
44.
ip subnet-zero 
45.
ip domain name isahamburg 
46.
ip name-server 192.168.1.5 
47.
ip name-server 192.168.1.2 
48.
49.
50.
dot11 vlan-name WLAN vlan 4 
51.
52.
dot11 ssid isahamburg 
53.
   vlan 4 
54.
   authentication open mac-address mac_methods alternate eap eap_methods 
55.
   authentication network-eap eap_methods 
56.
   authentication key-management wpa version 2 
57.
58.
dot11 aaa csid unformatted 
59.
60.
61.
username admin privilege 15 password 7 1101160B1C4B524F 
62.
63.
bridge irb 
64.
65.
66.
interface Dot11Radio0 
67.
 no ip address 
68.
 no ip route-cache 
69.
70.
 encryption vlan 4 mode ciphers aes-ccm 
71.
72.
 ssid isahamburg 
73.
74.
 station-role root access-point 
75.
76.
interface Dot11Radio0.1 
77.
 encapsulation dot1Q 1 native 
78.
 ip helper-address 192.168.1.5 
79.
 no ip route-cache 
80.
 no snmp trap link-status 
81.
 bridge-group 1 
82.
 bridge-group 1 subscriber-loop-control 
83.
 bridge-group 1 block-unknown-source 
84.
 no bridge-group 1 source-learning 
85.
 no bridge-group 1 unicast-flooding 
86.
 bridge-group 1 spanning-disabled 
87.
88.
interface Dot11Radio0.4 
89.
 encapsulation dot1Q 4 
90.
 ip helper-address 192.168.1.5 
91.
 no ip route-cache 
92.
 no snmp trap link-status 
93.
 bridge-group 4 
94.
 bridge-group 4 subscriber-loop-control 
95.
 bridge-group 4 block-unknown-source 
96.
 no bridge-group 4 source-learning 
97.
 no bridge-group 4 unicast-flooding 
98.
 bridge-group 4 spanning-disabled 
99.
100.
interface FastEthernet0 
101.
 no ip address 
102.
 no ip route-cache 
103.
104.
interface FastEthernet0.1 
105.
 encapsulation dot1Q 1 native 
106.
 ip helper-address 192.168.1.5 
107.
 no ip route-cache 
108.
 no snmp trap link-status 
109.
 bridge-group 1 
110.
 no bridge-group 1 source-learning 
111.
 bridge-group 1 spanning-disabled 
112.
113.
interface FastEthernet0.4 
114.
 encapsulation dot1Q 4 
115.
 ip helper-address 192.168.1.5 
116.
 no ip route-cache 
117.
 no snmp trap link-status 
118.
 bridge-group 4 
119.
 no bridge-group 4 source-learning 
120.
 bridge-group 4 spanning-disabled 
121.
122.
interface BVI1 
123.
 ip address 192.168.4.199 255.255.255.0 
124.
 no ip route-cache 
125.
126.
ip default-gateway 192.168.4.254 
127.
ip http server 
128.
no ip http secure-server 
129.
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag 
130.
ip radius source-interface BVI1 
131.
radius-server attribute 32 include-in-access-req format %h 
132.
radius-server host 192.168.1.2 auth-port 1645 acct-port 1646 key 7 050309012A15174A 
133.
radius-server vsa send accounting 
134.
135.
control-plane 
136.
137.
bridge 1 route ip 
138.
139.
140.
141.
line con 0 
142.
line vty 0 4 
143.
144.
end
Mitglied: aqui
15.09.2010, aktualisiert 18.10.2012
Guckst du hier:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
und hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...

Dein native Ethernet ist immer untagged an einem Trunk. Du musst also zwingend einen Trunk einrichten, da Cisco die ESSIDs immer den entsprechenden VLAN Tags zuordnet. Vermutlich ist also dein native VLAN nicht am Catalyst Port richtig konfiguriert.

Lies dir das o.a. Tutorial durch und setz das um, damit klappt es auf Anhieb !
Bitte warten ..
Mitglied: ISAEDV
15.09.2010 um 16:11 Uhr
hi, danke dafür

wenn ich mir die Bsp-Konfig mal anschaue, sieht es bis auf die Verschlüsselung gleich aus.
Ich nutze halt open authentication with MAC Authentication or EAP und Network EAP damit ich WPA 2 nutzen kann.

Kann es nicht am DHCP relay liegen? Nur weiß ich nicht genau, wo ich diesen einrichten muss.
Bitte warten ..
Mitglied: aqui
15.09.2010 um 16:42 Uhr
Sorry, den hatte ich versehentlich als IP Adresse angesehen. Vergiss also den Einwand mit dem IP Konzept !
Ja, der DHCP Relay ist dort Blödsinn, denn er muss auf die Interfaces wo das eigentliche Routing stattfindet ! Der Cisco AP macht ja nur simples Bridging in die VLANs und da gehen UDP Broadcasts nur rüber !
Die Helper Adressen kommen also am Switch in die VLAN Interfaces (sofern du Cisco Switches nutzt)
Deine Konfig hat aber noch diveres Fehler. SSIDs sind nicht vollständig unter dem 0er Interface, mbssid fehlt usw. usw. Das solltest du also nochmal genau mit der Beispiel Konfig abgleichen !

Der Switchport (Cisco L3 Beispiel) sähe dann so aus:
Cisco_Switch#

clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
description Tagged Link zum Cisco AP 1300
switchport mode trunk
switchport trunk encapsulation dot1q
!
interface FastEthernet0/10
description Enduser Ports in VLAN 1
switchport access vlan 1
spanning-tree portfast
!
interface FastEthernet0/11
description Enduser Ports in VLAN 4
switchport access vlan 4
spanning-tree portfast
!
interface Vlan1
ip address 192.168.4.254 255.255.255.0
no ip route-cache
!
interface Vlan4
ip address 172.16.4.254 255.255.255.0
no ip route-cache
!

Damit müsste ein Ping vom AP 192.168.4.199 auf den Router Switch 192.168.4.254 und umgekehrt problemlos möglich sein.
OK, VLAN 4 muss auf dem Switch natürlich mit "vlan 4 name VLAN-4" zuvor konfiguriert sein !!
Bitte warten ..
Mitglied: ISAEDV
16.09.2010 um 11:21 Uhr
Moin,

danke schonmal für deine Hilfe
vlan 1 soll garkeine ssid bekommen, ich werde erst später ein 2. gäste vlan einrichten. Es soll eig. nur das VLAN 4 verschlüsselt und nicht sichtbar sein, deswegen brauch ich doch auch kein mbssid oder etwa doch? Die ip helper address hab ich auf dem Cisco-Switch auf das 4. vlan gesetzt.

Mir kommt es immer ncoh komisch vor, dass der AP auf static access steht.
Bitte warten ..
Mitglied: aqui
16.09.2010 um 11:23 Uhr
Was meinst du mit "static access" ???
Bitte warten ..
Mitglied: ISAEDV
16.09.2010 um 11:26 Uhr
Zitat von aqui:
Was meinst du mit "static access" ???


!
interface GigabitEthernet0/16
description WLAN-AP
switchport access vlan 4
switchport mode access
!

Er ist nicht auf Trunk gesetzt
Bitte warten ..
Mitglied: aqui
16.09.2010 um 11:43 Uhr
Das ist de facto falsch !
Der AP mappt der WLAN ESSID ja ganz klar das VLAN 4
dot11 ssid isahamburg
vlan 4

Damit bekommen alle Pakete aus dieser ESSID isahamburg einen VLAN Tag mit der ID 4 ins Paket, sind damit also tagged Pakete wie auf einem VLAN Trunk !!
Mit der o.a. Konfig "versteht" der Switch aber solche Pakete gar nicht, denn er ist als Access Port für ein Endgerät im VLAN 4 konfiguriert das dann nur untagged Pakete versteht.
So kann eine Kommunikation nicht zustandekommen ! Die richtige Konfig müsste lauten:
interface GigabitEthernet0/16
description WLAN-AP
switchport mode trunk
switchport trunk encapsulation dot1q
!

Ansonsten stimmt was mit deiner AP Konfig nicht. (Hast du mbssid konfiguriert ?) Nimm dir sonst mal einen Wireshark und sieh dir die Frames vom AP an ob die tagged sind oder nicht !
Bitte warten ..
Mitglied: ISAEDV
16.09.2010 um 15:19 Uhr
Okay danke erst mal für deine Geduld...

hab ich mir schon gedacht, dass sie auf Trunk stehen müssen. Ich hab wohl schon zu viele Beiträge zu dem Thema gelesen :S

Auf dem Cisco-Switch hab ich allerdings nur die möglichkeit zu sagen switchport mode trunk und nicht switchport trunk encapsulation dot1q...
Auf dem AP hab ich nicht einmal eine möglichkeit gesehen einen Port auf Trunk zu setzen. Wenn ich in ein interface gehe, kann ich nie ein switchport mode angeben.

Das kann echt nicht so schwer sein aber ich steh echt aufm Schlauch!
Bitte warten ..
Mitglied: aqui
17.09.2010 um 17:07 Uhr
Ja bei neuerer IOS Software supportet Cisco nicht mehr sein altes ISL Trunk Protokoll und dort ist dann dot1x Standard und du brauchst es nicht mehr einzugeben.
Beim AP ist das nicht zu konfigurieren. Der AP mappt die VLAN ID selbstständig mit der Konfig. Da gibt es kein trunk mode... kommando oder sowas auf dem LAN Port.
Deine vollständige AP Konfig (funktionsfähig getestet an einem Catalyst 2950-24 !!!) sieht so aus:

hostname Cisco_AP
!
clock timezone MET 1
clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
dot11 syslog
!
dot11 ssid isahamburg
vlan 4
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii Geheim123
!
dot11 ssid VLAN-1
(SSID Broadcast nicht sichtbar !)
vlan 1
authentication open
authentication key-management wpa
wpa-psk ascii Geheim123
!
username Admin password Admin
!
bridge irb
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 1 mode ciphers aes-ccm tkip
!
encryption vlan 4 mode ciphers aes-ccm tkip
!
ssid VLAN-1
!
ssid isahamburg
!
mbssid
!
interface Dot11Radio0.1
description WLAN unter VLAN-1
(WPA2 verschlüsselt nicht sichtbar, Management Zugriff)
encapsulation dot1Q 1 native
<--- (VLAN-1 Pakete sind untagged da "native" VLAN !!)
no ip route-cache
bridge-group 1
!
interface Dot11Radio0.4
description WLAN unter VLAN-4 (isahamburg)
(WPA2 verschlüsselt, sichtbar)
encapsulation dot1Q 4
<--- (Hier passiert das Tagging mit VLAN ID 4 !!)
no ip route-cache
bridge-group 4
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface FastEthernet0.4
description VLAN-4
encapsulation dot1Q 4
<--- (Hier passiert das Tagging mit VLAN ID 4 !!)
no ip route-cache
bridge-group 4
!
interface BVI1
ip address 192.168.4.199 255.255.255.0
no ip route-cache
Bitte warten ..
Mitglied: ISAEDV
20.09.2010 um 10:18 Uhr
Morgen,

also es scheint jetzt alles zu laufen, wenn ich den Port am Cisco-Switch auf Trunk setze, läuft das W-LAN einwandfrei... Es besteht aber immer noch das Problem, dass ich dann keinen Zugriff mehr auf den AP habe. Weder ein ping, noch ein Web-Access geht. Am AP und am Switch ist das VLAN 1 als nativ konfiguriert.

So kurz davor...
Danke jetzt schon mal!
Bitte warten ..
Mitglied: aqui
26.09.2010 um 18:23 Uhr
Das darf eigentlich nicht sein ! Hast du folgendes geprüft:
  • Subinterface muss die Nummer 0.1 haben
  • bridge-group auf diesem Int muss auch die 1 haben
  • 802.1q Encapsulation an diesem Port muss auf dot1Q 1 native stehen.
  • Am Switch den AP Port auf spanning-tree portfast setzen.

Du kannst das ganz einfach und schnell testen:
Schliesse statt des AP einfach mal einen simplen Laptop oder PC an den AP Port des Switches an ! Konfigurier dem statisch die 192.168.4.199 mit einer 24er Maske und schliess ihn statt das AP an.
Der Laptop/PC sendet in jedem Falle untagged Pakete wie auch der AP im Subinterface 0.1.
Von diesem Laptop müssen dann alle Endgeräte im 192.168.4.0er Netz anpingbar sein !!! Wenn nicht, dann gibst du dem Switchwo der AP/Laptop angeschlossen ist im interface vlan 1 eine IP Adresse z.B. 192.168.4.254 255.255.255.0 !
Diese MUSS pingbar sein vom Laptop am AP Port wenn du nicht das native VLAN global in der Switchkonfig verbogen hast !!
Klappt das und kannst du aber andere Endgeräte nicht pingen hast du vergessen irgendwo das VLAN am Port oder im Trunk zu definieren.
Andere Möglichkeiten gibt es de facto nicht !
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco Aironet Radio-Settings (6)

Frage von swisstom zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Cisco SG300-10: VLAN und Routing (4)

Frage von niko123 zum Thema Router & Routing ...

Monitoring
Cisco SG300-20 - VLAN traffic monitoring (10)

Frage von fiech93 zum Thema Monitoring ...

LAN, WAN, Wireless
gelöst APs können sich nicht am Cisco WLCM anmelden (SSL DTLS Problem) (3)

Frage von Hedwig5 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...