Nightwalker_z

Hi, ist etwas zu spät aber ich war auch und ein Nachtrag: Das ist absolut richtig - und die Sessions (und Rezertifizierung) werden noch anstrengender wenn man einen anstrengenden Side-Event Vorabend hatte :suspect: Ich mache jedes mal den gleichen Fehler .... Cheers

Also dein Posting ist schon etwas her, aber trotzdem: Cisco APs können keine GRE Tunnels aufspannen. Für so einen Anwendungsfall sind WLAN Controller gedacht - die tunneln dann in CAPWAP. Wie die Außenstelle an der Zentrale hängt ist dafür nicht so wichtig ... ich gehe mal davon aus, dass du vom MPLS Netz sowieso nichts mitbekommst weil das über einen Service Provider läuft, richtig?

Man muss das nicht zwangsläufig mit 802.1X steuern. Wenn eine Interface-Group (aka VLAN select) an einer SSID gebunden ist, gibt es mehrere Möglichkeiten - SW Version >= 7.2: Es wird ein Hash über die Client MAC Adresse gemacht. Beim Hash Ergebnis kommt raus, welches VLAN / Interface für diesen Client verwendet werden soll. Somit hat ein Client X immer das selbe Subnetz zugeordnet - SW Version < 7.2: Round Robin Verteilung - Wenn der Client eine statische IP hat wird in einem gewissen Zeitfenster geschaut von welcher Source IP der Client sendet und in das entsprechende Subnetz gepackt. - Wenn ein DHCP Reject vom DHCP Server zurück kommt (z.B. Scope voll), dann wird der Client auch in ein anderes Subnetz aus der Interface Group gepackt. Wegen dem LAG: Alle Interfaces sind dann im EtherChannel Erst mit den neuen IOS-XE basierenden Controllern kann man mehrere Channels bilden.

Wahrscheinlich hat sich das schon erledigt - dennoch: 1.) Das ist ein IOS AP Image - kein WLAN Controller Image --> keinen "clear lwapp" Befehle möglich bzw. nötig 2.) Vom Output her sieht es so aus, als wäre der AP schon auf Factory Default - viel Spass beim Konfigurieren

Yepp - du musst die Async Interfaces gar nicht konfigurieren. Einfach über die line Konfiguration gehen (ganz am Ende der running-config). Dann einfach einen telnet auf den localhost mit der entsprechenden line Nummer + 2000 machen. Hier ist ein ganz cooler Link, für die Deluxe Variante: http://routing-bits.com/2008/09/30/cisco-terminal-server-with-menu-command/ In der Line config kannst du dann auch noch Speed, Parity und so einstellen. Aber der default passt für Cisco Konsolenzugang (9600)

Huups ... hab gar nicht gesehen, dass da ne zweite Seite ist. (Bitte löschen)

Wie gesagt - ich würde auf was moderneres gehen. Für den 7200er ist es absehbar, dass der SW Support nachlässt. Wenn man mal ein neues Feature testen will (gerade fürs Lab), dann kann man bald schon **** aus der Wäsche schauen.

7200er ist EoL/EoS meines Wissens nach. Vielleicht einen 3945, wenn es zwei ATM Ports sein müssen. Da gibt es HWICs dafür: T3/E3 ATM Network Modules for Cisco 2800, 3800 and 3900 Integrated Services Routers [Cisco Network Modules] - Cisco Systems Cisco 3800 and 3900 Series ATM OC-3 Network Module [Cisco 3800 Series Integrated Services Routers] - Cisco Systems Der 3945 hat außerdem noch 3 integrierte Routed 10/100/1000er Ports Cisco 3945 Integrated Services Router - Cisco Systems Ansonsten kann das Ding auf jeden Fall IPv6.

Hi, was für Performance Anforderungen? Firewall ja/nein QoS (Shaping/Queuing) ja/nein andere Schweinereien außer Routing (welche?)

Ist meiner Meinung nach das Selbe. Cisco IOS Release 12.2(50)SE or later: "authentication port-control {auto | force-authorized | force-unauthorized}" The equivalent 802.1x commands in Cisco IOS Release 12.2(46)SE and earlier: "dot1x port-control {auto | force-authorized | force-unauthorized}" Beschreibung: Enable manual control of the authorization state of the port. Siehe auch z.B. einen aktuellen 2960 SW configuration guide (z.B. 15.0(1)SE)

Hier ein paar Auszüge aus dem Config Guide. Laut Cisco "sollte" man die selbe Version verwenden. Ich würde das von oben mal befolgen und mal einen "show switch" absetzen. Ansonsten kann ich nur die best practises von Cisco empfehlen. Lange rede kurzer Sinn: Nicht wundern, falls irgendwas, irgendwann mal schief gehen sollte :-D

Mit einem gültigen Cisco Wartungsvertrag! Ich würde mir überlegen, ob ich einen Mixed Stack baue. Stack-Rings mit der E-Serie haben mehr Dampf über den Ring. Mit einem G fällt alles zurück.

Warum es damals funktionierte und jetzt nicht mehr ist doch Glaskugelleserei :-D Trotzdem noch einmal: Wenn man PEAP verwendet, braucht man nur ein Zertifikat auf dem RADIUS Server (Serverzertifikat). Die Clients melden sich mit Username/Password an. Wenn die Clients aber die Option aktiviert haben, dass sie das Serverzertifikat überprüfen müssen, brauchen die Clients natürlich das CA Zertifikat. Arbeitet ihr mit einer PKI oder erstellt ihr einfach Self-Signed Zertifikate am RADIUS Server? Bitte einfach mal versuchen die Option "Serverzertifikat überprüfen" am Clients auszuknipsen und dann schauen ob es geht. In einer Produktivumgebung würde ich dieses Setting aber nicht empfehlen!

Was mich stutzig macht sind folgende Statements: und Das passt irgendwie nicht zusammen. Für PEAP mit Inner Method MSCHAPv2 braucht man keine Clientzertifikate. Das Einzige was wichtig ist, dass der RADIUS Server ein Zertifikat hat. Mit PEAP (MSChap) verwenden Windows Clients oft per Default das Maschinenkonto (falls Domäne) oder die Credentials des angemeldeten Users. Vielleicht helfen diese kleinen Hinweise ja schon weiter!

Hi, unabhängig zu deiner Frage ein Hinweis. Mach mit deinem "kleinen" Router mal einen Speedtest. Abhängig von den aktivierten Features kann das sonst ein Flaschenhals in deinem Netz werden. VDSL hat 50 MBit/s, richtig? Was ziemlich an der Performance nagt ist die Firewall (keine ACLs, sondern die stateful FW), NAT, QoS und natürlich IPSec.

Ich bin kein Fan von Power Injektoren... hab schon ab und zu einen AP aus der Ferne booten müssen. Bei einem PoE Switchport einfach einen "shut" "no shut" und du hast den AP gebooted. Bei einem Power Injektor musst du immer Vorort in den Verteiler laufen. Administration by Foot :-) Aber wie immer ist das ja alles Geschmackssache

Zwei Leute haben jetzt einen Troubleshooting Vorschlag gemacht um das Problem zu analysieren (kompletter Abzug des Boot Vorgangs). Jetzt kommt noch einmal die Selbe Aussage, dass der AP auf dem einen Port funktioniert aber am anderen nicht. So wird man dir nicht helfen können - außer man hat eine gute Glaskugel zur Hand :D Sorry, wenn sich das etwas genervt anhört

Jupp .... mehr Output bitte (wie schon im ersten Post von mir geschrieben! :D )

Zieh dir von dem AP, welcher nicht funktioniert ein Konsolenoutput. Am besten du bootest den AP und ziehst dabei den Output der seriellen Konsole. Warte nach dem Boot noch ca. zwei Minuten und zieh diesen Output auch noch ob. Da drin sollte dann stehen woran es liegt.

Da kann ich dir nur den Hardware Installation Guide ans Herz legen. Aber trotzdem: 3 Antennen sind für 2,4 GHz 3 Antennen sind für 5 Ghz Du kannst auch 3 Standard Dipol Antennen für 2,4 GHz und 3 Dipol Antennen für 5 Ghz nehmen. Die drei Ports pro Frequenzband kommen von 802.11n. Das Ding mach MIMO 2x3:2 - das bedeutet auf zwei Antennen wird gesendet und auf dreien wird empfangen. Das ":2" bedeutet, dass zwei Spacial Streams verwendet werden. Aber wie gesagt - wenn du nur so Standard 2,2dBi Stummelantennen nehmen willst, dann kannst du auch einen AP mit internen Antennen nehmen.

Warum gerade der 1260er? Der hat gegenüber dem 1140er nur die Möglichkeit externe Antennen anzuschließen und ist für "Challenging Environments" (Temperatur und co). Außerdem ist er teurer als der 1140er. Ich denke der 1040er (Einsteigermodell) oder der 1140er kommt für dich in Frage. Außer du willst CleanAir haben :D Deine Anforderungen sind wirklich etwas schwamming. Wie gesagt - lies dir mal die Data Sheets durch. Investiere etwas Zeit und wäge selbst die Vor- und Nachteile ab. Das kann dir hier keiner Abnehmen. Jetzt haben wir die Diskussion über zwei Boards :-DDD

Der Begriff ist etwas unglücklich gewählt. WDS ist nicht gleich WDS. Das WDS (Wireless Domain Services) von dem ich (und Cisco) spricht bedeutet: Plus Quelle: Cisco IOS Software Configuration Guide for Cisco Aironet Access Points Was du wahrscheinlich mit WDS meinst ist die Repeater-Funktionalität. WDS heisst in diesem Zusammenhang "Wireless Distribution System". Diese Sprache wird z.B. bei Fritz!Boxen verwendet. Klar - beim Repeater muss jeder Frame doppelt gesendet werden (einmal zum Repeater und dann noch einmal vom Repeater zum Empfänger). Dadurch hast du auf deinem Shared Medium doppelte Last; sprich die halbe Bandbreite

Das ist meiner Meinung nach nicht so. Wenn man reines Layer-2 Roaming macht, dann geht das genauso gut mit Autonomen APs. Das Roaming ist eine reine Client Entscheidung (natürlich gibt es Cisco Erweiterungen die das Roaming unterstützen, aber darauf würde ich nicht setzen). Wenn man zwischen zwei Zellen roamed, welche in unterschiedlichen Subnetzen liegen, brauchst du einen Controller um einen Mobility Tunnel zu spannen. Das würde meines Wissens auch mit autonomen APs gehen (WDS), aber das stirbt bestimmt auch irgendwann mal. Wenn man noch 802.1X benutzt und schnelles Roaming will (CCKM oder PKC), dann kommt man um einen Controller oder WDS nicht herum. @Askman: Zur Erklärung: Ein WDS ist ein zusammenschluss von autonomen APs. Ein oder zwei dieser APs sind die Master und steuern Sachen wie L3 Mobility und sind z.B. zentraler Dot1X Authenticator. Bei 6 APs ist ein Controller wegen den Kosten schwer zu argumentieren. Ich kenne einige, die für WLAN eine zweite Access/Distribution Infrastruktur aufgebaut haben, um das WLAN vom Innennetz über eine FW zu trennen. Wenn man Lightweight APs mit Controllern nimmt, muss nur der Controller hinter eine Firewall, da dort der User-Traffic rauspurzelt (ausser beim H-REAP Betriebsmodus). Du siehst schon .... das ganze ist ein sehr komplexes Thema. Ich behaupte mal hier wird dir keiner ein WLAN Design posten. Zumindest mach ich es nicht :-D.

Ich persönlich würde beide Seiten mit LACP konfigurieren (also auf Cisco Switch Seite "mode active"). LACP hat gegenüber statischen Portchannels meiner Meinung nach nur Vorteile. Man sieht Konfigurationsfehler auf einer Seite ziemlich schnell - statische Port-Channels kommen immer hoch.

Cisco Catalyst: show int status show int <INTERFACE-ID> WLC 5508 CLI: show port summary Willst du die WLC per Etherchannel anbinden?