WLC 4006 + L-321agn : Konfigurationsprobleme

[iMacx]

Hallo zusammen!
Ich bin derzeit Azubi im 3. Lehrjahr und bin dabei meine Projektarbeit umzusetzen.
Geplant ist in zwei Besprechungsräumen jeweils einen AP (L-321agn) zu installieren und die beiden über einen WLC (4006) zentral zu verwalten.
Für die AP's und den WLC habe ich ein eigenen Adress-Bereich erstellt welcher geroutet ist in mein LAN. Ich habe für die Geräte ein Management-VLAN erstellt dieses hat die ID 870.
Der WLC ist soweit eingerichtet, d.h. :
- IP-Einstellungen sind hinterlegt
- Zeit eingestellt
- aktuellste Firmware installiert
- WLAN-Profil ist auch erstellt
Wenn ich im Programm LANmonitor drinnen bin erkennt der WLC auch einen neuen Access-Point. Wenn ich diesen jedoch in der AP-Tabelle hinzufüge und ihm ein Profil und IP zuweise, wird der AP im LANmonitor als fehlend angezeigt. Auf den AP komm ich dann nur noch per Konsolenkabel und dann muss ich den erstmal wieder resetten..
Warum zieht sich der AP nicht einfach die Konfig die ich ich zugewiesen habe ?? Wo liegt mein Fehler ? Ich bitte dringend um Hilfe !
Dankesschön schonmal !

[Dr.Einstein]

Hallo iMacx,

vorweg, WLC hat viele Konfigurationspunkte, wo Fehler entstehen können.
Je nach Konstellation mit oder ohne Switch ist das Verhalten anders. Vielleicht
wäre es sinnvoll, wenn du deine Topologie etwas näher beschreibst.

So, in der Grundkonfiguration, wo die APs einen WLC suchen, haben die APs
das VLAN0, sprich deaktiviert. Wenn sie jetzt den WLC mit VLAN 870 finden,
heißt es, du hast einen gemanagten Switch und/oder im WLC das VLAN
Modul soweit dafür richtig eingestellt.

Bekommen jetzt die APs eine Konfiguration zugeteilt, beinhaltet dies auch
die lokalen VLAN Einstellungen für den AP selbst. Ich denke, irgendwo hier
wird der Fehler zu suchen sein.

Unter WLAN-Controller / Profile / Physikalische Profile würde ich das VLAN
Modul aktivieren. Wenn das VLAN != 1 werden soll, muss dieses als tagged
mit bei dir 870 hinterlegt werden.

Gleiches gilt für die logischen WLAN Netze.

Wichtig ist, dass auch der zentrale Switch, falls vorhanden, dass
entsprechende VLAN akzeptiert.

Gruß Dr.Einstein

[iMacx]

Hallo Dr. Einstein, danke erst mal für die Antwort.

Also der Switch ist gemanaged und jeweils an den Ports an denen der WLC und AP hängen sind als Trunk konfiguriert. Er lässt das VLAN 870 auf alle Fälle durch.
Das VLAN-Modul am WLC ist auch aktiviert und mit dem 870er getagged.
Sowohl in den physikalischen als auch in den logischen ist der Tag mit 870 hinterlegt.
Könnte das evtl. auch irgendwas mit den Zertifikaten sein ? Oder eher an den VLAN Einstellungen.

[Dr.Einstein]

Denke, mit Zertifikaten hat es nichts zutun, da sich der AP ja schon meldet.
Der WLC wird ja auch eine aktuelle Uhrzeit haben und im LanMonitor unter
Zertifikate wird für die LAN MAC-Adresse der APs das Zertifikat angezeigt ?!

"Also der Switch ist gemanaged und jeweils an den Ports an denen der WLC und
AP hängen sind als Trunk konfiguriert. " Das zumindest kann nicht sein.

Wie gesagt, die APs haben von Hause aus KEIN VLAN aktiv. wären es wirklich
reine Trunkverbindungen zwischen AP und Switch, würden sich die APs niemals
auf Layer2+3 mit dem WLC verbinden können zur ersten Konfig-Bereitstellung.

Je nach Switchtyp müsste es eine Art Hybridmodus für die APs geben, für WLC
zum Switch wäre Trunk (auch wieder je nach Konstellation) richtig.

Ich tippe immernoch auf VLAN Problematik.

Gruß Dr.Einstein

[iMacx]

Ok dann kann ich das schonmal ausschließen.

D.h. ich müsste vor der Konfig-Bereitstellung erstmal das VLAN-Modul des AP aktivieren?
Und könntest du mir das mit dem Trunk nochmal genauer erläutern?

Danke LG

[Cytor]

Hi,

sobald du den APs durch den WLC eine Konfig zuweist, sprechen diese erstmal nur im untagged VLAN. Es ist also immer ein ungetaggtes Rollout-VLAN nötig, das spätere Management-VLAN darf natürlich, wie von dir auch konfiguriert, tagged sein.

Am Switch wäre für die APs der Hybrid-Modus korrekt. Kannst als Port VLAN ID ja die deines Management VLANs hernehmen.

Das VLAN Modul am AP kannst du auslassen, der Controller macht das alles für dich.

[iMacx]

Hi Cytor,

und was ist der Unterschied von dem Hybrid-Modus zum Trunk-Mode?

Und mal ne grundsätzliche Frage: Muss ich überhaupt beim AP irgendwas konfigurieren, damit ich die Konfig vom WLC schieben kann oder geht das alles so?

[Dr.Einstein]

Den AP kannst du theoretisch vollkommen in Ruhe lassen, hauptsache er ist
Default-Zustand.

Trunk = auf dem Port sind ausschließlich VLANs aktiv, alle Pakete, die ohne
VLAN-ID kommen, werden direkt verworfen. Zusätzlich stellt man ein, welche
VLAN-ID's überhaupt über den Trunkport reinkommen dürfen

Access = auf dem Port sind ausschließlich Pakete ohne VLAN-ID. Mittels PVID
wird dem Datenpaket eine VLAN-ID zugewiesen.

Hybrid = die Mischung aus Trunk / Access. Es gibt bereits getaggte Pakete, die
mittels einer Liste zugelassen sind. Zusätzlich gibt man mittels PVID an,
was mit ankommenden ungetaggtes Paketen passieren soll

Gruß Dr.Einstein

[iMacx]

Und wenn mein Switch gar kein Hybrid unterstützt ?
Oder wie find ich das raus ? Gibt es da einen Command für die Telnet Session?

[iMacx]

Also hab mal nachgeguckt, es gibt bei mir am Switch access, dot1q-tunnel, dynamic, private-vlan und trunk.
das dynamic hört sich gut an :
dynamic Set trunking mode to dynamically negotiate access or trunk mode
Nur zum Verständnis, muss der Port an dem der AP hängt als Trunk konfiguriert sein? Ich möchte später mehrere SSIDS darüber laufen lassen die jeweils auch ein eigenes VLAN haben..hab ich vergessen zu erwähnen.

[Dr.Einstein]

Hört sich gut an

[iMacx]

Funktioniert leider auch nicht !
Der AP steht nachwievor als Fehlender-AP im LAN-Monitor.
das gibt es doch gar nicht..

[janosch]

Nur zum Verständnis, muss der Port an dem der AP hängt als Trunk konfiguriert sein? Ich möchte später mehrere SSIDS darüber laufen lassen die jeweils auch ein eigenes VLAN haben..hab ich vergessen zu erwähnen.

Das kommt darauf an wie du in den physikalischen Parametern das Management-Netz eingestellt hast.
Betriebst du es "untagged" dann muss der Port auf Hybrid stehen, betreibst du es auf "tagged" dann wäre "Trunk" die korrekte Betriebsart.

Grundsätzlich sollte jeder Switch der 802.1q VLAN unterstützt die 3 gängigen Tagging-Modi haben.

Hast du denn die Ratschläge von Dr.Einstein und Cytor befolgt und den AP im Werkszustand an deinen Port gehängt der auf Hybrid eingestellt ist?
Dein Hybrid Port muss das Management VLAN dann als ungetaggtes VLAN behandeln.

Hast du eigentlich einen neuen WLC? Falls ja, dann sollte bei dem Gerät ein Config Service Ticket beiliegen. Das kannst du nutzen um über den Config Service eine kleine Einleitung zum Gerät zu bekommen. Bitte beachte, dass Config Service Anfragen immer nur nach Terminabsprache bearbeitet werden.

[Dr.Einstein]

Betriebst du es "untagged" dann muss der Port auf Hybrid stehen, betreibst du es auf "tagged" dann wäre "Trunk" die korrekte Betriebsart.

Mag ich bezweifeln, wie soll der AP ohne Konfig den WLC finden, wenn der
Switch auf Trunk steht ? Das kann man nur unter bestimmten Bedingungen
machen, wenn der AP auch die Konfig behält bei Kontaktverlust zum WLC. So
eine Konstellation hab ich ehrlich gesagt noch nie gesehen.

Gruß Dr.Einstein

[Cytor]

@iMacx kannst du mal eine grundsätzliche Funktionsprüfung machen? Teste mal, ob du per HTTPS an das Webinterface des WLCs kommst. Wenn nicht, gibts evtl. ein Problem mit dem Kryptobeschleuniger, dann wird's auch mit der Verwaltung der APs nichts.

Denke aber eher dass dein VLAN Mode noch nicht der passende ist.