WLC 4006+ Bandbreite pro SSID regeln

[TheYang]

Ist es irgendwie möglich mit einem WLC-4006+ die verfügbaren Bandbreiten pro SSID fürs Netzwerk bzw Internet zu begrenzen?

Selbst die mit 8.82 hinzugefügte Bandbreitenregelung via RADIUS scheint ja auch nicht zu funktionieren, Bandbreitenprofile angelegt, Benutzer mit Bandbreitenprofil erstellt, mit dem Benutzer eingeloggt, volle Bandbreite zur verfügung...

Hat da jemand Tipps für mich?

Gruß

[Bernie137]

Hi,

Ist es irgendwie möglich mit einem WLC-4006+ die verfügbaren Bandbreiten pro SSID fürs Netzwerk bzw Internet zu begrenzen?

Da steckt ja quasi der Lösungsansatz mit drin. Wenn der WLC den Internetzugang herstellt, dann würde ich den unterschiedlichen SSIDs unterschiedliche IP-Netze verpassen und in der Firewall pro IP-Netz Bandbreite reservieren/limitieren.

Selbst die mit 8.82 hinzugefügte Bandbreitenregelung via RADIUS scheint ja auch nicht zu funktionieren, Bandbreitenprofile angelegt, Benutzer mit Bandbreitenprofil erstellt, mit dem Benutzer eingeloggt, volle Bandbreite zur verfügung...

Das wundert mich, aber kann ich nix zu sagen. Hab keine Erfahrung damit.

Viele Grüße
Heiko

[alf29]

Moin,

Selbst die mit 8.82 hinzugefügte Bandbreitenregelung via RADIUS scheint ja auch nicht zu funktionieren, Bandbreitenprofile angelegt, Benutzer mit Bandbreitenprofil erstellt, mit dem Benutzer eingeloggt, volle Bandbreite zur verfügung...

Ich gehe davon aus, Du beziehst Dich auf die Bandbreitendefinition im Zusammenhang mit Public Spot? Wenn das Public Spot Gateway auf dem WLC läuft, dann wird das Bandbreitenlimit aktuell am LAN-Interface des WLC angelegt und funktioniert nur, wenn der Traffic der SSID *nicht* über einen L3-Tunnel geleitet wird, sondern 'normal' am LAN-Interface des WLC ankommt.

Gruß Alfred

[TheYang]

Da steckt ja quasi der Lösungsansatz mit drin. Wenn der WLC den Internetzugang herstellt, dann würde ich den unterschiedlichen SSIDs unterschiedliche IP-Netze verpassen und in der Firewall pro IP-Netz Bandbreite reservieren/limitieren.

Klingt für meinen Einsatzzweck super, da hab ich gar nicht dran gedacht. Aber kannst du mir vielleicht noch einen Tipp geben warum es nicht funktioniert?
Hab jetzt ne Neue Filterregel erstellt, die Regel ist aktiv und hat die Priorität 9999
Die Aktion gilt nur für physikalische empfangene Pakete und hat den Trigger 500kbit pro sekunde, und wird dann als aktion verworfen.
Die Regel gilt für Pakete von allen Stationen im korrekten lokalen Netzwerk, als Ziel gilt diese Regel für Pakete auf alle Stationen, genau wie sie für alle Protokolle und Quell-Dienste gilt.

Es ist leider weiterhin die volle Bandbreite für alle Benutzer in diesem Netzwerk vorhanden

Ist das wieder der WLC-Tunnel, der mir diese Firewall-Regel zerschießt?

[backslash]

Hi TheYang,

die Firewall greift nur, wenn auch geroutet wird... Beim übergang zwischen WLAN und LAN wird i.A. aber nur gebridget und die Firewall ist außen vor...

Damit die Firewall greifen kann, mußt du also erstmal dafür sorgen, daß geroutet wird - dazu mußt du jede SSID an ein eigenes IP-Netz binden, das sich vom LAN unterscheidet. Danach kannst du beschränkende Regeln erstellen. Dabei solltest du aber Abstand von der "physikalischen Transportrichtung" nehmen, denn die bezieht sich auf WAN-Verbindungen und kann somit bei Traffic zwischen LAN und WLAN nicht greifen. Sinnvollerweise erstellst du die Bergrenzung unabhängig von der Transportrichtung, so daß sie sowohl für die Sende- als auch die Empfangsrichtung wirkt, weil du sonst zwar Downloads beschränkst, ein User aber dennoch mit einem Uplaod das Netz verstopfen kann.

Gruß
Backslash

[TheYang]

Beim Routing könnt ich dann aber auch ein wenig hilfe gebrauchen... (wobei ich vorher schonmal groß, laut und dick danke sagen möchte!)

Mein Modem/Router (Fritzbox eben) ist im 192.168.2.0 Netz (mit der LAN-IP 192.168.2.254)

Mein WLC hat (u.a.) das 192.168.3.0 Netz, über die 192.168.3.1, das ist auch die Standard-Gateway in dem Netz

Um die zu verbinden, muss ich ja (nur?) Routen in der Routing-Tabelle festlegen.

Also hab ich im WLC erstellt:
IP Adresse: 255.255.255.255, Netzmaske: 0.0.0.0, Router: 192.168.2.254
Und in der Fritzbox :
Netzwerk:
192.168.3.0, Subnetzmaske: 255.255.255.0, Gateway 192.168.2.1

Geräte in dem 192.168.3.0 Netzwerk, kommen nur bis zum Ausgang des WLC (192.168.2.1), danach scheint alles tot zu sein (Ping gibt zumindest nix mehr zurück)

[MariusP]

Hi,
Das schreit für mich nach einem IP-Router-trace:"tr # ip-r"
Damit siehst du wie und ob die Pakete geroutet werden.
http://www2.lancom.de/kb.nsf/1275/181CE ... enDocument
Gruß

[TheYang]

Mensch da hab ich mich aber auch blöd angestellt, ich hab bei den einstellungen der Netzwerkadressen was vermurkst, allerdings so halb das es lief, bis ich ans routing wollte

Aber dafür frage ich mich jetzt, wo ich meinem guten WLC sage, das er bitte DNS anfragen "durchwinken" soll
Denn in den Netzen die der WLC weiterleitet frisst er die wohl (google.com geht nicht, 173.194.115.196 aber schon, z.B.)

/e: wenigstens einmal klappt das selbst finden, direkt nach dem fragen, hatte wohl an ein paar stellen noch nicht(mehr)-existente DNS-Server eingetragen, und an anderen garkeine, die Suche im Lanconfig hat geholfen.

Danke euch trotzdem für alles bisher