10
Cisco Aironet: Mehrere SSIDs pro VLAN
Hallo,
gibt es eine Möglichkeit mehrer SSIDs auf ein VLAN im Aironet Access Point (hier Cisco AP1131AG) zuzuordnen?
In den Cisco-Unterlagen habe ich lediglich entdeckt, dass ein VLAN nur einem SSID pro Radio zugeordnet werden kann.
Und VLAN-Zuordnung MAC-based nur über einen Radius-Server.
Ich benötigte zwei SSIDs mit unterschiedlicher Verschlüsselung und Authentifiizierung aber letztlich auf das selbe VLAN.
Von einem VLAN wüßte ich sogar die MAC-Adressen, allerdings ist mir ein RADIUS-Server zu komplex zum aufsetzen.
Welche Tricks gibts hierzu?
Danke und Grüße
gibt es eine Möglichkeit mehrer SSIDs auf ein VLAN im Aironet Access Point (hier Cisco AP1131AG) zuzuordnen?
In den Cisco-Unterlagen habe ich lediglich entdeckt, dass ein VLAN nur einem SSID pro Radio zugeordnet werden kann.
Und VLAN-Zuordnung MAC-based nur über einen Radius-Server.
Ich benötigte zwei SSIDs mit unterschiedlicher Verschlüsselung und Authentifiizierung aber letztlich auf das selbe VLAN.
Von einem VLAN wüßte ich sogar die MAC-Adressen, allerdings ist mir ein RADIUS-Server zu komplex zum aufsetzen.
Welche Tricks gibts hierzu?
Danke und Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 256967
Url: https://administrator.de/contentid/256967
Printed on: April 20, 2024 at 08:04 o'clock
10 Comments
Latest comment
Moin,
als Workaround könntest du doch die beiden untersch. VLANs der SSIDs den benötigten Zielports deines "einen" benutztem VLAN zuordnen, dann hast du das selbe realisiert nur halt mit einer zusätzlich VLAN-ID.
Gruß jodel32
als Workaround könntest du doch die beiden untersch. VLANs der SSIDs den benötigten Zielports deines "einen" benutztem VLAN zuordnen, dann hast du das selbe realisiert nur halt mit einer zusätzlich VLAN-ID.
Gruß jodel32
Ähm, ich glaub ich versteht jetzt nicht, was du damit konkret meinst? Kannst du das etwas ausführen?
Also,anstatt jetzt nur einem VLAN benutzt du dann 2 VLANs für die AP (für jeden AP eine), und überall dort wo du vorher nur das eine VLAN den Ports zugeordnet hast, ordnest du stattdessen jetzt den Ports immer beide VLANs zu, feddich 
Also du meinst auf dem Switch an dem der AP hängt, an dem besagrten Port einfach ein VLAN aufschalten? Dann müsste ich aber alle anderen Geräte, die mit dem WLAN-Geräten im originären VLAN kommunizieren wollen (z. B. Netzwerkdrucker u.ä.) auch auf das zusätzliche VLAN schalten. Bei Netzwerkdruckern geht das z. B. gar nicht so ohne weiteres (da diese keine VLAN-funktionalität unterstützen)...
Da wäre einen zweiten AP zu installieren einfacher (das will ich aber nicht, da ich extra Kabel ziehen müsste).
Da wäre einen zweiten AP zu installieren einfacher (das will ich aber nicht, da ich extra Kabel ziehen müsste).
Zitat von @receiverbox:
Also du meinst auf dem Switch an dem der AP hängt, an dem besagrten Port einfach ein VLAN aufschalten? Dann müsste ich
aber alle anderen Geräte, die mit dem WLAN-Geräten im originären VLAN kommunizieren wollen (z. B. Netzwerkdrucker
u.ä.) auch auf das zusätzliche VLAN schalten. Bei Netzwerkdruckern geht das z. B. gar nicht so ohne weiteres (da diese
keine VLAN-funktionalität unterstützen)...
wieso stellst du an Druckern VLAN-Tags ein ?? Normalerweise weist man den Ports des Switches die VLAN-Ids zu und nicht den Endgeräten.Also du meinst auf dem Switch an dem der AP hängt, an dem besagrten Port einfach ein VLAN aufschalten? Dann müsste ich
aber alle anderen Geräte, die mit dem WLAN-Geräten im originären VLAN kommunizieren wollen (z. B. Netzwerkdrucker
u.ä.) auch auf das zusätzliche VLAN schalten. Bei Netzwerkdruckern geht das z. B. gar nicht so ohne weiteres (da diese
keine VLAN-funktionalität unterstützen)...
Wenn ich einem Port, z. B. dem an welchen der Drucker hängt, zwei VLANs zuweise, kann maximal ein VLAN untagged sein. Das zweite ist minimum tagged. Kann das Endgerät kein VLAN so wird das tagged Datenpacket verworfen. Sprich Zugriff von diesem getagged-dem VLAN funktioniert bei diesem Endgerät, egal was ich auf dem Switch einstelle. Denn müsste ich noch kompliziert über Level3-Layer gehen.
Ja, das gibt es aber nur über einen Kniff bzw. Workaround:
Eine VLAN zu mSSID Konfig findest du z.B. hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hier kannst du sehen das allen VLANs auch eine spezifische Bridge ID zugewiesen ist die zum BVI Interface bzw. genau dem Subinterface korrespondiert.
Dadurch hat man isolierte Bridges die den LAN Port dann transparent mit 802.1q VLAN Tags am LAN Port ausgeben.
Wenn du nun z.B. den einzelnen mSSIDs in ihren VLANs die gleiche Bridge ID gibst, dann hängen die per Bridging in einer gemeinsamen L2 Domain zusammen in einem VLAN und du erreichst was du willst.
Eigentlich ist so eine Konfig unsinning, da sinnfrei. Was soll der tiefere Sinn davon sein ? Man will ja gerade SSIDs in separate Segmente trennen mit der mSSID Technik !
Eine VLAN zu mSSID Konfig findest du z.B. hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hier kannst du sehen das allen VLANs auch eine spezifische Bridge ID zugewiesen ist die zum BVI Interface bzw. genau dem Subinterface korrespondiert.
Dadurch hat man isolierte Bridges die den LAN Port dann transparent mit 802.1q VLAN Tags am LAN Port ausgeben.
Wenn du nun z.B. den einzelnen mSSIDs in ihren VLANs die gleiche Bridge ID gibst, dann hängen die per Bridging in einer gemeinsamen L2 Domain zusammen in einem VLAN und du erreichst was du willst.
Eigentlich ist so eine Konfig unsinning, da sinnfrei. Was soll der tiefere Sinn davon sein ? Man will ja gerade SSIDs in separate Segmente trennen mit der mSSID Technik !
Sinn ist der einer Migration: Es herrschte ein wirwar mit SSIDs etc und ich räume diese nun auf. Das heißt es gibt mehrer SSIDs mit unterschiedlichen Encryption und Authentication und ich möchte die Rechner erst nach und nach einzeln umkonfigurieren. Alle AP sollen aber ab sofort alle SSIDs und das alte Passwort benutzen können. Langfristig sollen die SSIDs alle auf eine bzw. richtig separarierte zusammengelegt werden.
Verstehe ich das richtig:
Nur, damit ich es richtig verstehe:
In dem Beispiel habe ich ein VLAN 3 auf dem WLAN und ich ändere einfach bei den bridge-group die Nummer von 3 auf 1 - was auch das Native, als ungetaggte Netz wäre. Klappt das so dann? Das WLAN-VLAN3 würde dann über die bridge-group 1 laufen, welche in das LAN native rausläuft. Oder bekomme ich dann mit den Tags noch Probleme?
interface Dot11Radio0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
Verstehe ich das richtig:
Nur, damit ich es richtig verstehe:
In dem Beispiel habe ich ein VLAN 3 auf dem WLAN und ich ändere einfach bei den bridge-group die Nummer von 3 auf 1 - was auch das Native, als ungetaggte Netz wäre. Klappt das so dann? Das WLAN-VLAN3 würde dann über die bridge-group 1 laufen, welche in das LAN native rausläuft. Oder bekomme ich dann mit den Tags noch Probleme?
interface Dot11Radio0.3
encapsulation dot1Q 3
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
Es herrschte ein wirwar mit SSIDs etc und ich räume diese nun auf.
OK, das macht dann in der Tat Sinn 
Ja, das verstehst du richtig. Alle WLANs mit der gleichen Bridge Group werden in eine Layer 2 Bridge Domain gebridged dann auf dem AP und arbeiten dann in einer Broadcast Doamin sprich VLAN.
Danke nochmal für die tatkräfite Mithilfe zur Lösung!
