ich hab ja die letzten Tage schon einges geschrieben und mit der HIlfe des Forums einige Lösungen bekommen.
Und nachdem ich heute mühsam eine Sache zum Laufen bekommen habe, dachte ich, ich schrieb das hier, damit eventuell andere sich darüber nicht ärgern müssen.
Wenn ich schlichtweg zu naiv oder unwissend rangegangen bin und dass allen hier völig klar war, bitte sagt es mir,dann nehm ich es wieder raus
Die Herausforderung war:
- es soll ein internes WLAN geben, das im Intranet agieren kann
- es soll ein Mitarbeiter-WLAN geben mit dem die Mitarbeiter ins Internet können
- es soll ein Gäste-WLAN geben mit dem die Gäste ins Internet können
Warum quasi 2 Gäste WLANs: ich mag saubere Strukturen und möchte später die Möglichkeit haben, eventuell Bandbreitenbegrenzungen für das echte Gäste-WLAN einzurichten....und einfach auch, weil ich es so will
Was steht an Infrastruktur zur Verfügung:
- 2 WLAN APs (L-1310acn, LN-1700)
- ein Router 1783VA-4G
- 2 Switche (GS2326, GS2326P+)
Topologie :
- Router und APs hängen an dem GS2326P+, so dass der zweite Switch vernachlässigt werden darf
- Die beiden APs hängen über jeweils 2 LAN Leitungen und LACP Bündel dran
Meine Ausgangsbasis war der folgende KB Artikel:
https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument
Da wird das ganze zwar über eine WLC Tunnel gemacht, aber das über das LAN zu machen mit VLAN Tags....sollte machbar sein.
Meine naive Grundidee war:
- auf den APs via WLC das Gäste- und MItarbeiter WLAN jeweils mit nem VLAN Tag versehen
- den Switch entsprechend konfigurieren
- im Router 2 zusätzliche Netze aufziehen für die beiden WLANs
- 2 DHCPs im Router aufziehen für die beiden WLANs
Eigentlich doch gar keine so schlechte Idee....
Dann habe ich mal ganz naiv angefangen:
1.) WLC konfigueren
1.1)
- im WLC bei den physikalischen WLAN Parametern VLAN auf den APs aktiviert
- Mgmt WLAN ungetaggt lassen
1.2)
- bei den logischen WLAN Parametern die beiden neuen WLANs angelegt
- das interne WLAN auf ungetagged; VLAN ID 2
- die beiden neuen auf getagged und VLAN ID 100 bzw. 200
1.3)
- WLAN Profil mit den neuen WLANs ausgestattet
2.) Mal runter damit....alles grün, und sieheda, ich hab 2 neue WLANs.....prima....weiter im Text
3.) Switch konfiguriert (die Pakete müssen ja zum Router)
3.1)
- neue VLANs 100 und 200 angelegt und nur auf den Ports zu den APs und zum Router grüne Haken, der Rest ist "forbidden"
3.2)
- Ports alle als C-Port
- kein Ingress Filtering
- Frame Type All
- PVID 1 auf allen Ports
- Egress Rule bei allen Ports auf Access, nur bei den Ports zum Router und den APs auf "Hybrid"
So....grundlegend kommen jetzt die mit Tag versehen Pakete an und auch die im Default VLAN 1 laufen wie gewünscht....perfekt.
Also weiter zum Router
4.) Router konfigurieren
4.1) "Angstmoment"
- VLAN Modul aktiviert
- in der Port Tabelle alle Ports auf Hybrid, Alle VLANs erlauben, PVID 1
- bei den IP Netzwerken das INTRANET auf VLAN-ID 1
an den Router übertragen...hoffen...bangen....tut
4.2) IP Netzwerke
Also dann für die beiden neuen WLANs 2 IP Netzwerke mit anderen IP Bereichen angelegt und die passenden VLAN IDs eingetragen.
4.3) DHCP
Für die beiden Netzwerke die DHCP Netzwerke angelegt....
So das müsste es doch gewesen sein....an den Router übertragen.....
So...und dann die Ernüchterung:
WLANClient bekommt keine IP Adresse
Nochmal alle Einstellungen kontrolliert...passt.
Drüber nachgedacht:
- VLAN auf allen Geräten aktiv....jau
- die neuen WLANs werden getagged...passt
- Switch entsprechend konfiguriert....auch das
- Router hat die passende IP Netzwerke und DHCP Server...auch das.
Hmm sollte doch funktionieren....
Schneller Test:
- im WLC die Netzwerke auf ungetagged setzen: ja die bekommen ne IP, zwar von Intranet DHCP (einem Windows Server) aber okay....
Nächster Test:
Fixe IP aus dem korrekten IP Bereich des WLANs vergeben.....kein Ping zum Router !?!?!?
Okay....an die Ausgangssituation erinnert:
Da lief das über WLC Tunnel....okay.
Also umkonfiguriert auf WLC Tunnel: alles läuft
Wieder zurück auf "LAN am AP" im WLC : nix tut.....
Trace angeschmissen.... okay.... kein einziges DHCP Paket.
Alles nochmal gecheckt...und irgendwann in meiner Verzweiflung mal gesagt "okay...legste halt direkt in den APs auch die VLANs in der VLAN-Tabelle an, aber daran kann es ja nicht liegen, denn das wird ja bestimmt durch den WLC gemacht....
TUT !!!!!
Langer Rede kurzer Sinn:
Ich hätte echt erwartet, dass LANconfig die notwendigen VLANs in der VLAN Tabelle der Accesspoints die vom WLC verwaltet werden einträgt.
Tut er aber schlichtweg nicht.
Das muss man dann eben manuell machen.
In meinem Fall noch wichtig wegen LACP: BUNDLE-x nicht vergessen.
Ich hoffe dass mein seeeehr langer Text nicht gelangweilt hat.
Von den Profis hier vielleicht noch die ein oder andere Rückmeldung wäre nett, ob meine Einstellungen so passen.
Ich mein das Ganze läuft jetzt, aber ich könnte mir z.B. vorstellen, dass ich im Router das VLAN Modul garnicht aktiviert haben muss oder?
Meinem Verständnis nach brauche ich das ja nur dann wenn Pakete ungetagged ankommen und das könnte ich ja dadurch erreichen, dass ich den Port zum Router als "Trunk" im Switch konfiguriere...dann kommen immer VLAN Tags an.
Gruß
Sven
