Nightwalker_z

Hi,

ist etwas zu spät aber ich war auch und ein Nachtrag:

Das ist absolut richtig - und die Sessions (und Rezertifizierung) werden noch anstrengender wenn man einen anstrengenden Side-Event Vorabend hatte :suspect:

Ich mache jedes mal den gleichen Fehler ....

Cheers

Also dein Posting ist schon etwas her, aber trotzdem:

Cisco APs können keine GRE Tunnels aufspannen. Für so einen Anwendungsfall sind WLAN Controller gedacht - die tunneln dann in CAPWAP.

Wie die Außenstelle an der Zentrale hängt ist dafür nicht so wichtig ... ich gehe mal davon aus, dass du vom MPLS Netz sowieso nichts mitbekommst weil das über einen Service Provider läuft, richtig?

Man muss das nicht zwangsläufig mit 802.1X steuern.

Wenn eine Interface-Group (aka VLAN select) an einer SSID gebunden ist, gibt es mehrere Möglichkeiten

- SW Version >= 7.2: Es wird ein Hash über die Client MAC Adresse gemacht. Beim Hash Ergebnis kommt raus, welches VLAN / Interface für diesen Client verwendet werden soll. Somit hat ein Client X immer das selbe Subnetz zugeordnet

- SW Version < 7.2: Round Robin Verteilung

- Wenn der Client eine statische IP hat wird in einem gewissen Zeitfenster geschaut von welcher Source IP der Client sendet und in das entsprechende Subnetz gepackt.

- Wenn ein DHCP Reject vom DHCP Server zurück kommt (z.B. Scope voll), dann wird der Client auch in ein anderes Subnetz aus der Interface Group gepackt.

Wegen dem LAG:

Alle Interfaces sind dann im EtherChannel

Erst mit den neuen IOS-XE basierenden Controllern kann man mehrere Channels bilden.

Wahrscheinlich hat sich das schon erledigt - dennoch:

1.) Das ist ein IOS AP Image - kein WLAN Controller Image --> keinen "clear lwapp" Befehle möglich bzw. nötig

2.) Vom Output her sieht es so aus, als wäre der AP schon auf Factory Default - viel Spass beim Konfigurieren

Yepp - du musst die Async Interfaces gar nicht konfigurieren.

Einfach über die line Konfiguration gehen (ganz am Ende der running-config).

Dann einfach einen telnet auf den localhost mit der entsprechenden line Nummer + 2000 machen.

Hier ist ein ganz cooler Link, für die Deluxe Variante:

http://routing-bits.com/2008/09/30/cisco-terminal-server-with-menu-command/

In der Line config kannst du dann auch noch Speed, Parity und so einstellen.

Aber der default passt für Cisco Konsolenzugang (9600)

Huups ... hab gar nicht gesehen, dass da ne zweite Seite ist.

(Bitte löschen)

Wie gesagt - ich würde auf was moderneres gehen. Für den 7200er ist es absehbar, dass der SW Support nachlässt. Wenn man mal ein neues Feature testen will (gerade fürs Lab), dann kann man bald schon **** aus der Wäsche schauen.

7200er ist EoL/EoS meines Wissens nach.

Vielleicht einen 3945, wenn es zwei ATM Ports sein müssen.

Da gibt es HWICs dafür:

T3/E3 ATM Network Modules for Cisco 2800, 3800 and 3900 Integrated Services Routers  [Cisco Network Modules] - Cisco Systems

Cisco 3800 and 3900 Series ATM OC-3 Network Module  [Cisco 3800 Series Integrated Services Routers] - Cisco Systems

Der 3945 hat außerdem noch 3 integrierte Routed 10/100/1000er Ports

Cisco 3945 Integrated Services Router - Cisco Systems

Ansonsten kann das Ding auf jeden Fall IPv6.

Hi,

was für Performance Anforderungen?

Firewall ja/nein

QoS (Shaping/Queuing) ja/nein

andere Schweinereien außer Routing (welche?)

Ist meiner Meinung nach das Selbe.

Cisco IOS Release 12.2(50)SE or later: "authentication port-control {auto | force-authorized | force-unauthorized}"

The equivalent 802.1x commands in Cisco IOS Release 12.2(46)SE and earlier:

"dot1x port-control {auto | force-authorized | force-unauthorized}"

Beschreibung:

Enable manual control of the authorization state of the port.

Siehe auch z.B. einen aktuellen 2960 SW configuration guide (z.B. 15.0(1)SE)

Hier ein paar Auszüge aus dem Config Guide. Laut Cisco "sollte" man die selbe Version verwenden.

Switch Stack Software Compatibility Recommendations

[..]

All stack members must run the same Cisco IOS software version to ensure compatibility between stack members. This helps ensure full compatibility in the stack protocol version among the stack members.

Major Version Number Incompatibility Among Switches

 

Switches with different Cisco IOS software versions likely have different stack protocol versions. Switches with different major version numbers are incompatible and cannot exist in the same switch stack.

Minor Version Number Incompatibility Among Switches

 

Switches with the same major version number but with a different minor version number as the stack master are considered partially compatible. When connected to a switch stack, a partially compatible switch enters version-mismatch (VM) mode and cannot join the stack as a fully functioning member. The software detects the mismatched software and tries to upgrade (or downgrade) the switch in VM mode with the switch stack image or with a tar file image from the switch stack flash memory. The software uses the automatic upgrade (auto-upgrade) and the automatic advise (auto-advise) features. For more information, see the "Understanding Auto-Upgrade and Auto-Advise" section.

 

To see if there are switches in VM mode, use the show switch user EXEC command. The port LEDs on switches in VM mode will also stay off. Pressing the Mode button does not change the LED mode.

Ich würde das von oben mal befolgen und mal einen "show switch" absetzen.

Ansonsten kann ich nur die best practises von Cisco empfehlen.

Lange rede kurzer Sinn: Nicht wundern, falls irgendwas, irgendwann mal schief gehen sollte :-D

Danke für die schnelle Antwort.

Jetzt habe ich nur das Problem, die entsprechende IOS-Version zu bekommen.

Bei Cisco sehe ich nur die 12.2(44)SE6 und ich brauche ja wohl die 12.2(44)SE2

 

Wie bekommt man die?

Mit einem gültigen Cisco Wartungsvertrag!

Ich würde mir überlegen, ob ich einen Mixed Stack baue. Stack-Rings mit der E-Serie haben mehr Dampf über den Ring. Mit einem G fällt alles zurück.

Warum es damals funktionierte und jetzt nicht mehr ist doch Glaskugelleserei :-D

Trotzdem noch einmal:

Wenn man PEAP verwendet, braucht man nur ein Zertifikat auf dem RADIUS Server (Serverzertifikat). Die Clients melden sich mit Username/Password an.

Wenn die Clients aber die Option aktiviert haben, dass sie das Serverzertifikat überprüfen müssen, brauchen die Clients natürlich das CA Zertifikat.

Arbeitet ihr mit einer PKI oder erstellt ihr einfach Self-Signed Zertifikate am RADIUS Server?

Bitte einfach mal versuchen die Option "Serverzertifikat überprüfen" am Clients auszuknipsen und dann schauen ob es geht. In einer Produktivumgebung würde ich dieses Setting aber nicht empfehlen!

Was mich stutzig macht sind folgende Statements:

Ein Zertifikat wurde erstellt und auf den Testclients installiert.

und

Authentifizierung: EAP-Typ: Geschütztes EAP (PEAP), Authentifizierungsmethode: Sicheres Kennwort (EAP-MSCHAP v2)

Das passt irgendwie nicht zusammen. Für PEAP mit Inner Method MSCHAPv2 braucht man keine Clientzertifikate. Das Einzige was wichtig ist, dass der RADIUS Server ein Zertifikat hat.

Mit PEAP (MSChap) verwenden Windows Clients oft per Default das Maschinenkonto (falls Domäne) oder die Credentials des angemeldeten Users.

Vielleicht helfen diese kleinen Hinweise ja schon weiter!

Hi,

unabhängig zu deiner Frage ein Hinweis.

Mach mit deinem "kleinen" Router mal einen Speedtest.

Abhängig von den aktivierten Features kann das sonst ein Flaschenhals in deinem Netz werden. VDSL hat 50 MBit/s, richtig?

Was ziemlich an der Performance nagt ist die Firewall (keine ACLs, sondern die stateful FW), NAT, QoS und natürlich IPSec.

Ich bin kein Fan von Power Injektoren... hab schon ab und zu einen AP aus der Ferne booten müssen. Bei einem PoE Switchport einfach einen "shut" "no shut" und du hast den AP gebooted. Bei einem Power Injektor musst du immer Vorort in den Verteiler laufen.

Administration by Foot :-)

Aber wie immer ist das ja alles Geschmackssache

Zwei Leute haben jetzt einen Troubleshooting Vorschlag gemacht um das Problem zu analysieren (kompletter Abzug des Boot Vorgangs). Jetzt kommt noch einmal die Selbe Aussage, dass der AP auf dem einen Port funktioniert aber am anderen nicht.

So wird man dir nicht helfen können - außer man hat eine gute Glaskugel zur Hand :D

Sorry, wenn sich das etwas genervt anhört

Jupp .... mehr Output bitte (wie schon im ersten Post von mir geschrieben! :D )

Am besten du bootest den AP und ziehst dabei den Output der seriellen Konsole.

Warte nach dem Boot noch ca. zwei Minuten und zieh diesen Output auch noch ob.

Zieh dir von dem AP, welcher nicht funktioniert ein Konsolenoutput.

Am besten du bootest den AP und ziehst dabei den Output der seriellen Konsole.

Warte nach dem Boot noch ca. zwei Minuten und zieh diesen Output auch noch ob.

Da drin sollte dann stehen woran es liegt.

Da kann ich dir nur den Hardware Installation Guide ans Herz legen.

Aber trotzdem:

3 Antennen sind für 2,4 GHz

3 Antennen sind für 5 Ghz

Du kannst auch 3 Standard Dipol Antennen für 2,4 GHz und 3 Dipol Antennen für 5 Ghz nehmen.

Die drei Ports pro Frequenzband kommen von 802.11n.

Das Ding mach MIMO 2x3:2 - das bedeutet auf zwei Antennen wird gesendet und auf dreien wird empfangen. Das ":2" bedeutet, dass zwei Spacial Streams verwendet werden.

Aber wie gesagt - wenn du nur so Standard 2,2dBi Stummelantennen nehmen willst, dann kannst du auch einen AP mit internen Antennen nehmen.

Warum gerade der 1260er? Der hat gegenüber dem 1140er nur die Möglichkeit externe Antennen anzuschließen und ist für "Challenging Environments" (Temperatur und co). Außerdem ist er teurer als der 1140er.

Ich denke der 1040er (Einsteigermodell) oder der 1140er kommt für dich in Frage. Außer du willst CleanAir haben :D

Deine Anforderungen sind wirklich etwas schwamming. Wie gesagt - lies dir mal die Data Sheets durch. Investiere etwas Zeit und wäge selbst die Vor- und Nachteile ab. Das kann dir hier keiner Abnehmen.

Jetzt haben wir die Diskussion über zwei Boards :-DDD

aber büsseich bei WDS nicht massig Bandbreite ein ?

Der Begriff ist etwas unglücklich gewählt. WDS ist nicht gleich WDS.

Das WDS (Wireless Domain Services) von dem ich (und Cisco) spricht bedeutet:

The WDS device performs several tasks on your wireless LAN:

•Advertises its WDS capability and participates in electing the best WDS device for your wireless LAN. When you configure your wireless LAN for WDS, you set up one device as the main WDS candidate and one or more additional devices as backup WDS candidates. If the main WDS device goes off line, one of the backup WDS devices takes its place.

•Authenticates all access points in the subnet and establishes a secure communication channel with each of them.

•Collects radio data from access points in the subnet, aggregates the data, and forwards it to the WLSE device on your network.

•Acts as a pass-through for all 802.1x-authenticated client devices associated to participating access points.

•Registers all client devices in the subnet that use dynamic keying, establishes session keys for them, and caches their security credentials. When a client roams to another access point, the WDS device forwards the client’s security credentials to the new access point.

Plus

Understanding Layer 3 Mobility

When you use a WLSM as the WDS device on your network, you can install access points anywhere in a large Layer 3 network without configuring one specific subnet or VLAN throughout the wired switch infrastructure.

Quelle: Cisco IOS Software Configuration Guide for Cisco Aironet Access Points

Was du wahrscheinlich mit WDS meinst ist die Repeater-Funktionalität. WDS heisst in diesem Zusammenhang "Wireless Distribution System". Diese Sprache wird z.B. bei Fritz!Boxen verwendet.

Klar - beim Repeater muss jeder Frame doppelt gesendet werden (einmal zum Repeater und dann noch einmal vom Repeater zum Empfänger). Dadurch hast du auf deinem Shared Medium doppelte Last; sprich die halbe Bandbreite

Hallo,

Ob du einen Controller brauchst oder nicht - kann ich dir nicht sagen - wenn du brav durch die Gänge laufen willst und ein sauberes Roaming haben willst - dann brauchst du einen Controller - das andere ist "Glückswechsel".

Das ist meiner Meinung nach nicht so. Wenn man reines Layer-2 Roaming macht, dann geht das genauso gut mit Autonomen APs. Das Roaming ist eine reine Client Entscheidung (natürlich gibt es Cisco Erweiterungen die das Roaming unterstützen, aber darauf würde ich nicht setzen).

Wenn man zwischen zwei Zellen roamed, welche in unterschiedlichen Subnetzen liegen, brauchst du einen Controller um einen Mobility Tunnel zu spannen. Das würde meines Wissens auch mit autonomen APs gehen (WDS), aber das stirbt bestimmt auch irgendwann mal.

Wenn man noch 802.1X benutzt und schnelles Roaming will (CCKM oder PKC), dann kommt man um einen Controller oder WDS nicht herum.

@Askman:

Zur Erklärung:

Ein WDS ist ein zusammenschluss von autonomen APs. Ein oder zwei dieser APs sind die Master und steuern Sachen wie L3 Mobility und sind z.B. zentraler Dot1X Authenticator.

Bei 6 APs ist ein Controller wegen den Kosten schwer zu argumentieren. Ich kenne einige, die für WLAN eine zweite Access/Distribution Infrastruktur aufgebaut haben, um das WLAN vom Innennetz über eine FW zu trennen.

Wenn man Lightweight APs mit Controllern nimmt, muss nur der Controller hinter eine Firewall, da dort der User-Traffic rauspurzelt (ausser beim H-REAP Betriebsmodus).

Du siehst schon .... das ganze ist ein sehr komplexes Thema. Ich behaupte mal hier wird dir keiner ein WLAN Design posten. Zumindest mach ich es nicht :-D.

Ich persönlich würde beide Seiten mit LACP konfigurieren (also auf Cisco Switch Seite "mode active").

LACP hat gegenüber statischen Portchannels meiner Meinung nach nur Vorteile.

Man sieht Konfigurationsfehler auf einer Seite ziemlich schnell - statische Port-Channels kommen immer hoch.

Cisco Catalyst:

show int status
show int <INTERFACE-ID>

WLC 5508 CLI:

show port summary

Willst du die WLC per Etherchannel anbinden?