Probleme mit DHCP und fester Zuordnung von IP zu Mac

[Dani99]

Moin,

ich bastle jetzt schon ne Weile rum, leider habe ich obig genanntes bis jetzt noch nicht stabil hinbekommen.

Wir haben einen 1781 mit WLC welcher aktuell 4 Netzwerke verwaltet. Nun habe ich, aus diversen Gründen, unser Netzwerk auf DHCP umgestellt. Ich habe zunächst den DHCP-Server für nur zwei Netzwerkbereiche (x.y.1.z und x.y.2.z) aktiviert und die anderen zwei Netzwerke fest gelassen. Das hat überhaut nicht funktioniert, der Router hat alle Netzwerke und SSIDs völlig durcheinandergewürfelt, obwohl in den Stationseinstellungen die diversen Mac-Adressen Netzwerken zugeordnet wurden.

Dann habe ich einen anderen Weg gewählt, habe den DHCP-Server für alle Netzwerke eingeschalten und über BootIP dem Router gesagt, für welche Mac-Adresse er welche IP zu vergeben hat. Auch dass funktioniert nur leidlich, aber wenigstens in 2/3 der Fälle. Ansonsten wird ebenfalls noch alles durcheinandergewürfelt, sprich Mac-Adressen welche sich im Wlan1 bewegen sollen bekommen irgendwelche IP-Adressen aus dem Wlan2 Netzwerk zugewiesen. Und auch Mac-Adressen von Lan-Geräten bekommen irgendwelche Adressen aus allen 4 Netzwerkbereichen zugewiesen, ein Muster konnte ich bis jetzt noch nicht erkennen.

Habe ich irgendetwas vergessen? Gehen meine Konfigurationswünsche nicht so umzusetzen? Funktioniert die feste Mac-IP Zuordnung mit BootIP nur mit Image?

Vielen Dank.
LG
Dani

[Jirka]

Hi,

das sieht ganz stark nach einer fehlerhaften Konfiguration im Bereich der Schnittstellen der IP-Netze bzw. der zugeordneten Schnittstelle der logischen WLAN-Netze aus... Wenn hier kein VLAN oder WLC-Tunnel im Spiel sind, dann würfelst Du da alles durcheinander - das ist keine echte Netztrennung!

Viele Grüße,
Jirka

[Dani99]

Hi,

Eth1 ist als Brg1 Lan1 zugeordnet. Drei IP-Netzwerke sind dieser Brg zugeordnet, ein Wlan ist als Public-Spot über den WLC-Tunnel1 ebenfalls der Brg1 zugeordnet. Die Netze laufen also alle an Eth1 zusammen. Die Wlan-Netze sind mit Lan der AP verbunden, welche alle über Switche am Eth1 des Router hängen.

Wie kann ich dies anders lösen? Wo liegt mein globaler Fehler? Ich möchte zwar eine Netztrennung bzgl. der SSID sowie der Adressen, es sollen aber alle Geräte (außer der Public-Spot), alle Anderen sehen und mit diesen kommunizieren.

[Bernie137]

Hi,

alles BRG1 ohne VLAN, das sagt doch alles. Keine Trennung, alles ein Netz.

Gruß Bernie

[Dani99]

Die strikte Trennung ist ja auch nicht gewünscht. Ist jetzt hier ein genereller Fehler in der Konfiguration?

[Jirka]

Hi,

ja. Die Netze (vom Gastnetz abgesehen) landen bei Dir vermutlich (Deine Beschreibungen sind nicht sehr exakt) alle zusammen in einem Topf. Trennung von Netzen macht man mit der Firewall oder einem Schnittstellen-Tag (also in Deinem Fall (gegenseitige Erreichbarkeit soll zugelassen sein) mit dem gleichen (vom Gastnetz abgesehen)).

Viele Grüße,
Jirka

[Dani99]

Ok, danke.

Ich glaube, ich habe dann das mit den Lancom Bridgegruppen noch nicht richtig verstanden. Ich dachte immer, mit den Bridgegruppen weise ich einem oder mehreren Netzwerken einen physikalischen Anschluss zu.

Ist es nun so, dass ich jedem Wlan und dem dazugehörigen IP-Netzwerk eine (und den beiden dann die gleiche) Brg-Gruppe zuweisen muss? Wie kopple ich dann die verschiedenen Bridgegruppen alle an den physikalischen LANPort1?

Danke!

[alf29]

Moin,

Ist es nun so, dass ich jedem Wlan und dem dazugehörigen IP-Netzwerk eine (und den beiden dann die gleiche) Brg-Gruppe zuweisen muss? Wie kopple ich dann die verschiedenen Bridgegruppen alle an den physikalischen LANPort1?

Gar nicht - ein LAN- oder WLAN-Interface kann immer nur Mitglied einer (oder auch gar keiner) Bridge-Gruppe sein. Bridge-Gruppen sind im Prinzip so etwas wie portbasiertes VLAN auf Ethernet-Switches, d.h. Forwarding von Paketen auf Layer 2 geschieht nur zwischen den Interfaces in der gleichen Bridge-Gruppe. Zusäzlich stellt eine Bridge-Gruppe für höhere Protokollschichten eine Art 'virtuelles Interface' da, an das man z.B. ein IP-Netz binden kann. Steckst Du z.B: WLAN-1 und LAN-1 in eine Bridge-Gruppe BRG-1, dann wird zwischen LAN und WLAN gebridget (üblicher Betrieb eines WLAN-Accesspoints), und dieses IP-Netz gilt sowohl auf dem WLAN als auch auf dem LAN. Legst Du auf diesem IP-Netz einen DHCP-Server an, so verteilt der IP-Adressen an Clients im LAN und WLAN.

Die Zuorndung der ETH-x an LAN-x ist quasi noch einmal so eine Zuordnung, nur eine Ebene tiefer, auf der Ethernet-Seite.

Gruß Alfred

[Dani99]

Ok, also wenn ich es richtig verstanden habe, lege ich 4 verschiedene Bridgegruppen an, in die ich dann jeweils das zugehörige WLan (SSID) sowie Lan "stecke".

Da ich einen WLC habe, kann ich aber (oder ich finde die Einstellung nicht) den einzelnen SSIDs keine Bridgegruppe zuweisen, hier habe ich nur die Auswahl zwischen "Lan am AP" und den einzelnen WLC-Tunneln. Wird dies dann über 4 verschiedene WLC-Tunnel gelöst, welche dann wiederum in der Port-Tabelle der Schnittstellen in die einzelnen Bridgegruppen "gesteckt" werden?

[Jirka]

Ok, also wenn ich es richtig verstanden habe, lege ich 4 verschiedene Bridgegruppen an, in die ich dann jeweils das zugehörige WLan (SSID) sowie Lan "stecke".

Eher nein. Man kann das so für gewisse Fälle machen, aber Dir wird spätestens bei der zweiten Bridgegruppe auffallen, dass das LAN-1 schon an BRG-1 gebunden ist. Man kann dann LAN-2 nehmen, muss dieses dann aber auch an einen anderen Ethernet-Port binden. Du würdest damit an 4 Ethernetports rauskommen, das ist in Deinem Fall jetzt aber nicht sinnvoll.

Da ich einen WLC habe, kann ich aber (oder ich finde die Einstellung nicht) den einzelnen SSIDs keine Bridgegruppe zuweisen, hier habe ich nur die Auswahl zwischen "Lan am AP" und den einzelnen WLC-Tunneln.

LAN am AP ist ganz wichtig in Verbindung mit VLAN-Betriebsart Tagged und dann einer individuellen VLAN-ID, die Du dann - am anderen Ende quasi - in den IP-Netzen (ARF-Netzen) wieder einstellst (VLAN-ID).

Wird dies dann über 4 verschiedene WLC-Tunnel gelöst, welche dann wiederum in der Port-Tabelle der Schnittstellen in die einzelnen Bridgegruppen "gesteckt" werden?

Das hängt davon ab, was optimal ist und was man will. Es gibt die zwei Möglichkeiten WLC-Tunnel und VLAN (je Netz, man kann also auch kombinieren, also z. B. Gastnetz in einen WLC-Tunnel, was in den meisten Fällen sinnvoll ist). Beides hat Vor- und Nachteile. Beim VLAN muss auf dem Weg vom AP zum WLC/Router sichergestellt sein, dass das VLAN auch "durch geht", beim WLC-Tunnel hat man das Problem nicht. Dafür kann Traffic innerhalb des Netzes (also zwischen den Clients) beim VLAN auch direkt von einem AP zum nächsten gehen, ohne erst über den Tunnel bis zum WLC zu gehen. Wenn der WLC nur ein 1781A/EF/A-4G/4G ist, dann muss man auch an die CPU-Last denken, so ein WLC-Tunnel verschlüsselt sich auch nicht von alleine, bei hohem internen Traffic ist in dem Fall davon abzuraten. Ansonsten sind die WLC-Tunnel sicherlich eine schnelle Lösung, die auch Anfänger schnell realisiert kriegen, auch wenn sie ihre teure managebare Switch noch nie angefasst haben... (das Netz mit dem meisten internen Traffic kann man dann ja auch als einziges Netz ohne WLC-Tunnel belassen, und auch ohne VLAN)

Viele Grüße,
Jirka

[Dani99]

Hallo Jirka,

vielen Dank für deine Antwort. Genau über dieses Problem mit den 4 Ethernetports bin ich auch gestolpert, deswegen oben die Frage, wie ich die unterschiedlichen BRG-Gruppen dann auf den Lan-Port 1 schalte. Ich habe Alfred so verstanden, dann man dies nicht muss, wie ich aber gerade festgestellt habe, leider doch.

Ich habe es gerade mal so konfiguriert, also über 4 WLC-Tunnel und 4 BRG-Gruppen. Jetzt werden wenigstens die IP-Adressen korrekt vergeben, leider habe ich jetzt das Problem mit den fehlenden Hardwareschnittstellen. Kann man die 4 BRG-Gruppen irgendwie zusammenfassen auf Lan1?

Ich hatte damals die WLC-Tunnel vermieden, da ich das mit der CPU-Last schonmal irgendwo gelesen hatte. Auch habe ich hier eigentlich nur Layer3 Switche verbaut, leider hatte ich mich nach einschalten der Vlans mal irgendwann komplett ausgesperrt, deswegen und weil unsere Konfiguration eigentlich zu simpel dafür ist (habe ich gedacht) habe ich die Vlans bis dato vermieden, da ich, wie Du dir sicherlich denken kannst, die Netzwerktechnik nicht hauptberuflich mache (ist eher ein Hobby). Ich verstehe aber nicht, wie ich das Problem mit den Vlans lösen kann, da ich ja am Ende, und da ist es ja egal wie ich die Wlan und Lan Netze zusammenführe (ich will mich ja innerhalb der Netze unterhalten können), immer wieder daran scheitern werde, diese 4 Brücken (eigentlich benötige ich ja sogar noch zwei separate WLAN Netze) zusammen auf Lan1 aufzuschalten.

Welche Möglichkeit gibt es den noch?

Vielen lieben Dank!
Dani

[Jirka]

Hi,

Ich habe es gerade mal so konfiguriert, also über 4 WLC-Tunnel und 4 BRG-Gruppen. Jetzt werden wenigstens die IP-Adressen korrekt vergeben, leider habe ich jetzt das Problem mit den fehlenden Hardwareschnittstellen. Kann man die 4 BRG-Gruppen irgendwie zusammenfassen auf Lan1?

wo ist das Problem? Entweder alle Interfaces (LAN-1, WLC-Tunnel 1 bis 3, jedoch nicht der WLC-Tunnel vom Gastnetz) in die BRG-1 und fertig... (ETH-Ports an LAN-1). Oder aber, je nachdem, was man will, die IP-Netze/ARF-Netze direkt an den WLC-Tunnel (ich weiß nicht, ob es in Deinen Netzen in jedem Netz auch Clients gibt, die nicht im WLAN sind, deswegen kann ich Dir hier nicht genau sagen, was optimal ist).

Ich hatte damals die WLC-Tunnel vermieden, da ich das mit der CPU-Last schonmal irgendwo gelesen hatte.

Vielleicht schreibst Du einfach mal hin, was Du hast (also was für einen 1781), dann weiß man schon mal mehr...

Auch habe ich hier eigentlich nur Layer3 Switche verbaut, leider hatte ich mich nach einschalten der Vlans mal irgendwann komplett ausgesperrt, deswegen und weil unsere Konfiguration eigentlich zu simpel dafür ist (habe ich gedacht) habe ich die Vlans bis dato vermieden, da ich, wie Du dir sicherlich denken kannst, die Netzwerktechnik nicht hauptberuflich mache (ist eher ein Hobby).

Ja, an der Stelle sollte man sich dann professionelle Hilfe holen, im Normalfall ist das in einer Stunde ordentlich aufgesetzt (könnte mehr werden, wenn die Switches noch nicht mal eine IP-Adresse haben, noch Firmware-Updates fällig werden etc., oder wenns es sich um mehr als 3 Switches handelt), kostet damit nur 80 EUR und spart einem 8 bis 10 Stunden Rumprobiererei und -fummelei.

Ich verstehe aber nicht, wie ich das Problem mit den Vlans lösen kann, da ich ja am Ende, und da ist es ja egal wie ich die Wlan und Lan Netze zusammenführe (ich will mich ja innerhalb der Netze unterhalten können), immer wieder daran scheitern werde, diese 4 Brücken (eigentlich benötige ich ja sogar noch zwei separate WLAN Netze) zusammen auf Lan1 aufzuschalten.

Das Unterhalten innerhalb der verschiedenen Netze macht der Router, logisch, oder? So, und zum Router kannst Du doch VLAN-getaggt hingehen. Was Du anscheinend nicht verstehst ist, dass durch das VLAN eine zusätzliche Unterscheidungsebene geschaffen wird. Ich kann also alle IP-Netze/ARF-Netze auf LAN-1 ausgeben, das eine ungetaggt, das nächste mit VLAN 2 getaggt, das übernächste mit VLAN 3 usw. Selbst das VLAN-Modul muss dafür im LCOS nicht an sein, das würde es Dir erlauben, auf LAN-2 z. B. ein sonst getaggtes VLAN ungetaggt auszugeben.

Viele Grüße,
Jirka

[Dani99]

Hi,

wo ist das Problem? Entweder alle Interfaces (LAN-1, WLC-Tunnel 1 bis 3, jedoch nicht der WLC-Tunnel vom Gastnetz) in die BRG-1 und fertig...

Genau diese funktioniert leider nicht, da ich auch einige Lan-Clients in den verschiedenen Netzwerken habe und dann wie du oben geschrieben hast eben das Netzwerk falsch konfiguriert ist. Wenn ich das Netzwerk nämlich so konfiguriere und die Lanclients noch in die verschiedenen BRGs stecke, funktioniert der DHCP-Server wieder nichtmehr und vergibt wieder irgendwelchen Mac-Adressen wahllos IP-Adressen aus allen 4 Netzwerken.

Der Router ist ein 1781-4g Rev.B
.

LG
Dani:-)

[Jirka]

Hi,

aha, im LAN willst Du also auch IP-Adressen verschiedener Netze per DHCP beziehen. Ja, dann kommst Du an VLAN nicht vorbei, wenn diese Netze alle auf der gleichen Infrastruktur aufsetzen...
Letztlich muss jeder Switch-Port, der ins lokale LAN führt, irgendwo einem VLAN/Netz zugeordnet werden. An dieser Stelle triffst Du die Entscheidung, welches Netz ungetaggt dort anliegen soll.

Viele Grüße,
Jirka

[Dani99]

Danke erstmal, dann werde ich mich mal einlesen.

Es ist übrigens, ein Hobby, wo bleibt der Spass, wenn ich jemanden für 80 oder 800 Teuros für die Konfiguration hole .

LG
Dani:-)