WLAN (mit vlan)

[Neaera86]

Hallo!

Weiß irgendwie nicht wie ich anfangen soll aber ich fang einfach mal an!

Habe in der Firma 15 Cisco Access Points 1242!

Die sollten so konfiguriert werden das schlussendlich 3 Netze zur verfügung stehen!

Ein Netz für Domänenmitglieder, eines für unsere Handscanner und eines das für Gäste zur verfügung steht!

Domänenmitglieder sollten auf Daten im Netz zugreifen können, die Handscanner nur auf den Datenbankserver und die Gäste sollte direkt ins Internet kommen ohne auf Daten zugreifen zu können!

Hab mir schon diverses Anleitungen aus dem Netz angeschaut wie ich das machen kann aber irgendwie werd ich nicht schlau aus dem zeug!

Hatt von euch jemand einen Tipp für mich?

Gruß

Neaera

[Sunslayer]

Ich kenne mich mit Cisco Geräte leider nicht richtig aus. Aber generell geht man bei VLANs so vor:

WLAN mit 4 SSIDs mit jeweils unterschiedlicher VLAN ID.

VLAN 1 Management (Default und notwendig!)

VLAN 2 Domainusers

VLAN 3 Scanner

VLAN 4 Internet

Von den APs bildet man dann jeweils ein VLAN-Trunk (1 Kabel/Leitung mit allen VLANs) zu einem zentralen VLAN fähigen Switch.

Zu beachten ist, das VLANs auf dem OSI-2 Layer arbeiten, denn die IDs werden direkt im Ethernetframe hinterlegt. Gemanaged werden die VLANs auf Layer 3. Deswegen reicht zur Trennung der VLANs ein VLAN fähiger Switch.

Allerdings würde ich eher ein Application Level Gateway (intelligente Firewall) mit VLAN-Management verwenden. Hier würde ich die ASG 8 von Astaro (Astaro Internet Security - Connect With Confidence) empfehlen! Ist übrigends für den privaten Gebrauch kostenlos!

Viele Grüße

Sunslayer

[einfachgust]

Das wird eigentlich genauso gemacht wie im kabelgebundenen Netz, nur werden nicht die Switchports einem VLAN zugeordnet sondern wie Sunslayer bereits gesagt hat die verschiedenen SSID's.

Was habt ihr denn für einen WLAN Controller und wie sieht euer Netz generell aus, vielleicht lädst du mal einen kleinen Netzwerkplan hoch.

[Neaera86]

Hey!

WLAN-Manager haben wir eigentlich keine, bisher waren die AP's alle händisch konfiguriert! Jede Abteilung hatte eine eigene SID und war direkt am Switch angeschlossen! Aus kostengründen ist auch kein Mangager vorgesehen!

Wie ich das sehe müsste jeder AP die gleiche config bekommen nur die IP müsste geändert werden!

bitte korigiert mich wenn ich einen denkfehler hab!

hier wär das config-file!

ap#sh run

.

.

.

dot11 vlan-name Guest vlan 1

dot11 vlan-name HS vlan 2

dot11 vlan-name PC vlan 3

!

dot11 ssid Guest

vlan 1

authentication open

guest-mode

!

dot11 ssid HS

vlan 2

authentication open

!

dot11 ssid PC

vlan 3

authentication open

!

bridge irb

!

interface Dot11Radio0

no ip address

no ip route-cache

!

encryption vlan 1 key 1 size 40bit 7 **********transmit-key

encryption vlan 1 mode wep optional

!

encryption vlan 2 key 1 size 40bit 7 ********** transmit-key

encryption vlan 2 mode wep optional

!

encryption vlan 3 key 1 size 40bit 7 **********transmit-key

encryption vlan 3 mode wep optional

!

ssid Guest

!

ssid HS

!

ssid PC

!

interface Dot11Radio0.1

encapsulation dot1Q 1 native

no ip route-cache

bridge-group 1

bridge-group 1 block-unknown-source

no bridge-group 1 source-learning

no bridge-group 1 unicast-flooding

bridge-group 1 spanning-disabled

!

interface Dot11Radio0.2

encapsulation dot1Q 2

no ip route-cache

bridge-group 2

bridge-group 2 subscriber-loop-control

bridge-group 2 block-unknown-source

no bridge-group 2 source-learning

no bridge-group 2 unicast-flooding

bridge-group 2 spanning-disabled

!

interface Dot11Radio0.3

encapsulation dot1Q 3

no ip route-cache

bridge-group 3

bridge-group 3 subscriber-loop-control

bridge-group 3 block-unknown-source

no bridge-group 3 source-learning

no bridge-group 3 unicast-flooding

bridge-group 3 spanning-disabled

!

interface FastEthernet0

no ip address

no ip route-cache

duplex auto

speed auto

hold-queue 160 in

!

interface FastEthernet0.1

encapsulation dot1Q 1 native

no ip route-cache

bridge-group 1

no bridge-group 1 source-learning

bridge-group 1 spanning-disabled

!

interface FastEthernet0.2

encapsulation dot1Q 2

no ip route-cache

bridge-group 2

no bridge-group 2 source-learning

bridge-group 2 spanning-disabled

!

interface FastEthernet0.3

encapsulation dot1Q 3

no ip route-cache

bridge-group 3

no bridge-group 3 source-learning

bridge-group 3 spanning-disabled

!

interface BVI1

ip address 10.10.0.20 255.255.0.0

no ip route-cache

!

bridge 1 route ip

ap#

[einfachgust]

Sieht soweit ganz gut aus.

Wo ist denn jetzt eigentlich überhaupt das Problem?

Denk dran, dass du mindestens den Switch auch noch konfigurieren musst.

An was für einem Switch hängen die denn dran? und wie sind die benutzten Interfaces konfiguriert?

[Neaera86]

Hey

zur Zeit hab ich gerade eine Testumgebung aufgebaut und hab folgendes Problem!

AP ist mit config-file von oben eingerichtet!

Problem ist das der AP noch keine Netze verteilt, wenn ich sie mit meinem notebook suche!

Als Switch verwende ich einen Cisco 2960G!

Kann es daran liegen das der Port der vom Switch zum AP geht kein Trunk ist?

den Ethnernet Port vom AP muss ich nicht auf Trunk stellen oder?

greez

[einfachgust]

Also der Switchport muss auf jeden Fall trunk sein, sonst können keine verschiedenen VLAN's drüber laufen. Meinem verständnis nach muss der Port am AP auch trunk sein.

Daran dürfte es aber nicht liegen, dass der AP die Netze nicht verteilt.

Siehst du denn überhaupt Netze? Sind die SSID's vllt versteckt?

Ich bin mit der Standalone konfig der AP's leider auch nicht so vertraut weil ich das nur mit Controller kenne.

[Crash2001]

Was geanu meinst du mit

[...]Problem ist das der AP noch keine Netze verteilt, wenn ich sie mit meinem notebook suche![...]

• Ist die SSID nicht sichtbar? => überprüfen, ob evtl ein Interface noch shutdown ist
  
• Werden keine IPs verteilt? => Trunk-Port auf AP zum Switch konfigurieren und DHCP-Ranges zur Verfügung stellen
  
• keinerlei Verbindung möglich? => SSIDs und vlans sind aktiviert?

Das sind so die Sachen,d ie mir auf Anhieb einfallen, worans hapern könnte.

[Neaera86]

hey

danke für eure antworten, hab das Problem jetzt gelöst!

Weiß zwar nicht aus welchem Grund die SIDS nicht angezeigt wurden, aber als ich den Port am Switch auf Trunk gestellt hab waren sie plötzlich da!

Normalerweise müsste der AP die SIDS doch auch ohne Trunk am Switch anzeigen!?

Nochmals Danke!

Gruß

Neaera

[Crash2001]

Was ich mir vorstellen könnte, wäre, dass die entsprechenden vlans, die für die jeweilige SSID verwendet wurden, einfach noch nicht aktiv waren und dadurch das Verbreiten der SSID verhindert haben. Das wurde dann durch die Einrichtung des Trunks behoben, da die vlans dann aktiv wurden.

P.S.:

Es heißt SSID, nicht SIDS und steht für Service Set Identifier.