Nightwalker_z

Hmmm - Stichworte. AP Management ist normalerweise auf dem Trunk nicht getaggt. Die IP Adresse fürs Management nagelt man auf das BVI1 interface vom AP. Jede SSID taggt man Richtung Switch. Wie man das auf dem Express Switch macht, weiss ich nicht 100%tig. Den hab ich nur einmal in der Hand gehabt und sofort wieder in die Ecke geworfen. Das Access-Point Port Profil dürfte aber passen. Edit: Ist vielleicht einfacher, wenn du schreibst was du machen willst - ansonsten werden das (zu) viele Stichworte.

Das Voice VLAN am Switchport ist für ein Telefon gedacht, dass direkt am Switch angeschlossen ist. Für die Verwendung eines APs ist es nicht gedacht. Der Port muss für den AP normalerweise als Trunk eingerichtet werden. Das native VLAN für das Management und pro SSID ein weiteres VLAN.

Da kann ich dir nur den Cisco Feature Navigator ans Herz legen: Cisco Feature Navigator - Cisco Systems Das Feature schimpft sich "Advanced Encryption Standard (AES) - CCMP" Nicht das ich wüsste - was genau meinst du? Willst du von WEP zu WPA migrieren? Der erste Schritt ist mal die Endgeräte unter die Lupe zu nehmen!

Das ist nicht ganz richtig. Die APs können irgendwo im Netz hängen. Es ist nicht zwingend erforderlich, dass der WLC im selben Subnetz ist. Der AP macht eine "Hunting-Phase" um die IPs der Controller zu lernen - Broadcasting ist ein kleiner Teil der Hunting Phase. Es wäre ja dämlich, wenn man in Zeiten von Multilayer-Networking ein flaches Netz für Controller und APs brauchen würde - das zerstört ja das Konzept, welches hinter der Technologie steht.

AAA = Authentication, Authorization and Accounting. Was ist mit deiner Authorization?

Ein Webbrowser oder Telnet-;SSH-Client genügen völlig. Den WCS brauchst du um erweitertes Reporting, Alarming und Management mehrerer Controller zu machen (und noch ein paar Sachen mehr :-) ) Ich kann den Link nicht mehr sehen - aber ich denke schon. Weiss nur nicht mehr was für ein Kabel du da brauchst (Straight, Rolled), um die Konsolen der anderen Komponenten anzubinden. Da geht probieren über studieren - bzw. schau bei cisco.com nach und lies mal den Installation Guide. Dort dürftest du fündig werden.

WCS ist das Wireless Control System - also die Management Software für die WLAN Controller. Du meinst wohl WLC :-)) Aber du hast nen kleinen 2100er Series. Der hat schon einen RJ-45 Port fürs Management. Die größeren 4400er haben ein DB9 Interface.

Hi, nimm doch einfach einen Standard Cisco Router mit nem Async Modul. Bei den ASync Modulen (NM-16A; HWIC-8A ...) sind Kabelpeitschen dabei. Auf der einen Seite der Konnektor zum Modul - auf der anderen Seite 8 oder 16x RJ-45. Diese RJ-45 Stecker kann man direkt auf eine serielle Cisco Konsole stecken (oder mit einem Patchkabel verlängern). Wie willst du den WCS seriell managen? Das ist doch eine Windows 2003 Software :suspect: Wenn du einen WLAN Controller meinst (WLC), dann hat der keinen RJ-45 Konsolenport, sondern einen DB-9. Was da funktioniert sind die alten seriellen Konsolkabel von Cisco. Die waren nicht vorkonfektioniert, sondern hatten einen RJ-45 zu DB-9 Adapter und ein blauen RJ-45 Kabel (RollOver). Btw.: Bei Cisco gibt es den 2811er als Terminalserver Bundle. Da ist ein 2811 mit IP-Base und ein Async Serial Module drinnen (16 Ports). Alternativ kann ich auch den 8 Port HWIC für den 1800er empfehlen. Ich denk halt, dass man bei nem Cisco IOS Device weiß was man hat und man hat auch verdammt viele Möglichkeiten, was AAA etc. angeht.

Mit "out" wird der Traffic gematcht, welcher aus dem Switch in das entsprechende VLAN geht (also in das VLAN, auf der die ACL mit "out" gebunden ist) Sprich Verkehr von irgendwo zum VLAN würde in diese ACL laufen.

Du schmeisst ein paar Sachen hier zusammen. Eine Area kann mehrere DRs und BDRs haben. Eine Area besteht aus einem oder mehreren Routers. In der Regel willst du die DR und BDR Wahl nicht haben und versuchst das zu vermeiden. Nochmal. Alle OSPF Routerinterfaces, welche sich im selben Broadcastmedium befinden, bauen nur zum DR und BDR eine OSPF Nachbars***aft auf. Hier ein Beispiel für eine OSPF Area R1 -- R2 -- R3 | | |-------------| | | | R4 R6 R5 Alle Router sind in der Area 0. Interfaces sind Ethernet Hier sind mal die Nachbars***aftsbeziehungen: R1 hat eine Nachbars***aftsbeziehung zu R2 R2 hat Nachbars***aften zu R1 und R3 Falls R3 der DR ist und R4 der BDR: R3 hat Nachbars***aften zu R4, R5 und R6 R4 hat Nachbars***aften zu R4, R5 und R6 R5 hat Nachbars***afte zu R3 (DR) und R4 (BDR) R6 hat Nachbars***afte zu R3 (DR) und R4 (BDR) Siehst du? R1 hat keine Nachbars***aft zu dem DR und BDR im Subnetz R3, R4, R5, R6. Zwischen R1 und R2 wird zwar auch eine DR und BDR Wahl gemacht (Type Broadcast bei Ethernet ist default), aber das spielt eine untergeordnete Rolle, da nur zwei Router im Netz sind.

Port udp/2887: WLCCP—Wireless Domain Service (WDS) radio management. Ist das ein Router mit Wireless Interface? Spielt dieser AP WDS Master?

Was bedeutet eigentlich ungenutzt? Wenn der Port UP ist, aber keine MAC Adresse gelernt wurde? Wenn der Port UP ist, eine MAC da ist, aber kein ARP Eintrag am Router? [...] Das ist immer Definitionssache. Kann ja auch sein an einem Port hängt ein Linux Hobel, der einen Monat lang gar nicht macht und dann plötzlich für eine Transaktion gebraucht wird. Das Thema ist gar nicht mal so einfach. Ich hab immer gerne das CiscoWorks mit UserTracking verwendet (Campus Manager). Die Büchse macht einen Abgleich von den MAC-Adress Tables von den L2-Switches und der ARP Tables der Router und hält eine Historie darüber. Raus kommt eine Tabelle, in der alle Clients drin sind, welche die letzten "x" Monate an welchem Switchport waren. Ein OpenSource Tool dafür wäre auch n e t d i s c o

Ich wüsste nicht wie. Das Modul ist seit ner 12.3T Version wohl kompatibel - also sollte es mit jeder 12.4er Mainline oder T Release klappen. Mit deinem Router sollte die Karte auch funktionieren. Kannst du einen Hardware-Defekt der Karte ausschließen?

Hi, du hast den Router schon gebootet, oder? Also Router aus, WIC rein, Router an. Schau dir dann mal das logging beim booten an.

Naja - du kannst nicht IOS und IOS vergleichen. Ein Router IOS (12.4) ist von den Features her was völlig anderes als ein Mulilayer-Switch IOS. Und selbst zwischen den Multilayer Switches gibt es Unterschiede. Sag doch einfach, was du mit dem Router machen willst.

Also a,b und c sind doch alles eigene Subnetze, oder? Also Transitlinks. In einer Layer-2 Domain sind nur zwei Adressen (zwei Routeradressen). Dann hast du doch das ganze Spektakel mit DR/BDR doch gar nicht. In so nem Fall würde ich den OSPF network type auf Point-to-Point setzen. Egal wie es ist: R1 hat nur R2 als OSPF Neighbor. Das wäre ein Beispiel, wo das ganze Designated Router geraffel eine Rolle spielen würde: R1 R2 R3 | | | ---------------- LAN a | R4 Alle Router sind mit einem Interface im selben Netzwerksegment. Einer dieser Router muss DR werden. Jeder andere Router hat zu dem DR eine Nachbars***aft.

Das mit dem Port Security raff ich nicht ganz, sorry. Wie genau soll das funktionieren das du dafür sorgst, daß die Clients nur kommunizieren können, wenn der AP am Netz ist? Mit Port-Security kannst du doch nur die maximale Anzahl der MACs am Port festlegen und eben Sticky Adressen vordefinieren. Wenn der AP am Netz ist, hast du die MAC-Adresse des AP am Switchport plus eben alle MAC-Adressen der wireless Clients. Vielleicht hab ich auch nur ein Brett vor dem Kopf. Wie soll das klappen? Nur als Ergänzung: Mit MAB braucht man auch keinen RADIUS Server. Das ganze kann man auch lokal auf dem Switch händeln. Man kann eben mit 802.1x eine generische Konfig basteln und muss nicht die MAC-Adressen aller APs pflegen. Einfach ein und denselben Username auf alle APs konfigurieren. Die Switchport Konfig sieht dann auf jedem Switch gleich aus - das ist der Charme an der Sache.

Prinzipiell schon. Du hast mehrere Möglichkeiten: 1.) 802.1x Supplicant auf dem AP FastEthernet Interface anschalten. Die unterstützten EAP Typen sind EAP-FAST, EAP-MD5, LEAP, EAP-GTC, EAP-TLS und EAP-MSCHAPv2. Auf dem IAS wird meines Wissens alles ausser FAST und LEAP unterstützt. Du musst auf dem AP dann Usercredentials einrichten, die dem Backend Authentication Server bekannt sind. 2.) Nutze MAB (Mac Authentication Bypass). Dafür braucht man dann keinen 802.1x Supplicant auf dem AP. Entweder man hinterlegt die MAC Adresse des AP auf dem Switch, oder legt die MAC-Adresse im Backend Server an. Der Switch spielt dann Supplicant. Egal wie - mit der Hardware die du hast, dürfte es gehen.

Vielleicht kannst du das ja mit 802.1x realisieren. Sorge dafür, dass der AP den Switchport aufschließt - erst dann kommen alle Clients durch. Musst halt dafür sorgen, dass nicht jede MAC Adresse am Port authentisiert werden muss, sondern der Port eben durch ein Gerät (AP) aufgeschlossen werden muss.

Ich würds einfach mal testen. Mit den letzten T-Releases, die ich in der Hand hatte, gabs nie Probleme mit dem integriertem NTP Server.

Wenn du ASA unbedingt machen willst, dann nimm halt ne ASA (das 5505 Bundle ist saugünstig). Als Perimeterrouter wär vielleicht auch ein 1841 gut. Ich bin ein Fan von den Dingern, da man auch alle möglichen Module reinschieben kann - die Dinger sind ein klasse kleiner Allrounder (meiner Meinung nach). Beim WLAN sind mir ausser bei den WISMs und den 3750ern Controllern keine Bundles bekannt. APs kann man auch in 10er Packs kaufen (Eco Packs). Das ist ein kleines bisschen günstiger. Die 1140er sind ziemlich teuer (1299$ Liste). Eine Alternative sind die 1242er (nur 802.11a/b/g) für ca. 699$.

Verdammt - hab gedacht du kommst als mein neuer Hoster in Frage :-)) Zu den 3750ern: Würde eher 3560er nehmen. Das ist exakt der selbe wie der 3750er, nur dass der 3560er kein Stacking kann. Da du sowieso keinen Stack machen willst, benötigst du auch keinen 3750er, oder? Die 3560er sind ein bisschen günstiger.

Bei den WLAN Controller machen die neuen (kleinen) 1142er Sinn. Dann kannst du alle aktuellen Radio Standards nutzen (a,b,g,n). Der kleinste Controller wäre ein 2100er (z.B. 2106 um 6 APs zu managen). Btw. wenn du 802.11n nutzen willst, wirst du auch einen Gigabit Switch brauchen. Warum willst du nen 3750er Switch nehmen? Willst du nen Stack aufbauen? Meines Wissens gibts auch gar keinen 3750-8Port Switch. Vielleicht wäre auch eine Alternative einen 3750G mit integrierten WLAN Controller zu nehmen. Der läge glaub ich bei ca. 20k$ Edit zur ASA: Klar - ne 5505 macht schon Sinn, wenn du was lernen willst. Für daheim reicht aber auch ein Router mit Firewall Features (z.B. Zone-based Firewall). Es kommt halt immer drauf an was du so alles machen willst - wenn du auf dem kleinen Router ALLE Inspects anschaltest und gleichzeitig noch deinen 100MBit Internetzugang voll ausnutzen möchtest, wird das natürlich nicht klappen.

Natürlich funktioniert NTP mit den aktuellen T-Releases. Hab alles kreuz und quer im Einsatz gehabt und nie ein Problem gehabt. Das einfachste ist es zu testen - ich denke aber nicht dass es da Probleme gibt. Edit: Das ist das einzigste, was ich bei den Ceveats finden kann: (http://www.cisco.com/en/US/docs/ios/12_4t/release/notes/124TCAVS.html) Das bedeutet aber nicht, dass NTP nicht funktioniert, sondern nur, dass der Router abstürzen kann, wenn NTP läuft. Solche Dinge findest du aber zuhauf - les ruhig mal die ganzen Ceveats durch, da wirds dir schlecht von was so ne Büchse abstürzen kann.... Vermeide halt die oben gelisteten T-Releases, wenn du zu 10000% sicher sein willst.

Workgroup Bridges sind auf dem WLC (nicht WCS - das ist die Management Software für den WLC) nicht supported. Du kannst nur Cisco Bridges nehmen - also einen IOS AP im Bridge Mode. Hier mal ein Schnipsel aus nem Cisco Dokument: Workgroup Bridges in a Cisco Unified Wireless Network Configuration Example - Cisco Systems Und hier ist auch noch was: Cisco Wireless LAN Controller Configuration Guide, Release 4.2 - Chapter 7 - Controlling Lightweight Access Points [Cisco 4400 Series Wireless LAN Controllers] - Cisco Systems