dwa adresy IP dla jednego urzarzadzenia AIRONET

[and800]

witam szanownych kolegow.

walcze juz kilkanascie godzin i nic madrego mi nie przychodzi do glowy.

oto moje zagadnienie:

mam dwa ssidy (aironet 2602):

1. home - vlan1, 10.10.11.0
2. guests - vlan4, 192.168.1.0


aironet wpiety do przelacznika SG500 do vlan8 (port typu trunk). aironet otrzymuje adresacje z puli 10.10.10.0

nie mam pomyslu (brakuje mi wiedzy) jak skonfigurowac przelacznik, aby "kojarzyl" urzadzenia pukajace do ssidow home i guests i nadawal tym urzadzeniom wlasciwe adresy IP

przeczytalem watek: http://ccie.pl/viewtopic.php?t=17515&highlight=vlan
jednak to nie jest dokladnie ta sytuacja. dodam, ze takie rozwiazanie mam od lat, jednak wszystko bylo realizowane w obrebie routera. teraz chce wykorzystac switch...

[Kyniu]

nie mam pomyslu (brakuje mi wiedzy) jak skonfigurowac przelacznik, aby "kojarzyl" urzadzenia pukajace do ssidow home i guests i nadawal tym urzadzeniom wlasciwe adresy IP

Tak, wiem, to jest złe, to nie powinno działać, wyparował vlan natywny, ..... ale robi swoje.

Kod: Zaznacz cały

dot11 vlan-name GUEST vlan 20
dot11 vlan-name LAN vlan 10
!
dot11 ssid G
   vlan 10
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 xxx
!
dot11 ssid X
   vlan 20
   authentication open
   authentication key-management wpa version 2
   mbssid guest-mode
   wpa-psk ascii 7 xxx
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
!
interface Dot11Radio0.10
 encapsulation dot1Q 10 native
 no ip route-cache
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
 bridge-group 10 spanning-disabled
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
 bridge-group 20 spanning-disabled
!
interface Dot11Radio1
 no ip address
 no ip route-cache
!
interface Dot11Radio1.10
 encapsulation dot1Q 10 native
 no ip route-cache
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
 bridge-group 10 spanning-disabled
!
interface Dot11Radio1.20
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
 bridge-group 20 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface FastEthernet0.1
 encapsulation dot1Q 10
 ip address abc.de.0.10 255.255.255.0
 no ip route-cache
 bridge-group 10
 no bridge-group 10 source-learning
 bridge-group 10 spanning-disabled
!
interface FastEthernet0.2
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 20
 no bridge-group 20 source-learning
 bridge-group 20 spanning-disabled

Trunk do switcha (nie, nie Cisco, miał być mały, miał mieć porty gigabit, miał mieć pasywne chłodzenie, być zarządzany i mało kosztować), dalej trunk do routera, na routerze dwie pule DHCP (bez komentarzy co do routera proszę a jak komuś zbywa Cisco to poproszę jakąś 890 do domu):

Kod: Zaznacz cały

#
/ip address
add address=abc.de.0.1/24 interface=LAN network=abc.de.0.0
add address=abc.ef.0.1/24 interface=GUEST network=abc.ef.0.0

#
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LAN lease-time=1w name=\
    DHCP_LAN
add address-pool=dhcp_pool2 disabled=no interface=GUEST lease-time=1w name=\
    DHCP_GUEST
/ip dhcp-server network
add address=abc.de.0.0/24 dns-server=abc.de.0.1,8.8.8.8 gateway=abc.de.0.1
add address=abc.ef.0.0/24 dns-server=abc.ef..0.1,8.8.8.8 gateway=abc.ef.0.1

#
/ip pool
add name=dhcp_pool1 ranges=abc.de.0.101-abc.de.0.254
add name=dhcp_pool2 ranges=abc.ef..0.101-abc.ef.0.254

#
/interface vlan
add interface=ether2-master-local l2mtu=1516 name=GUEST vlan-id=20
add interface=ether2-master-local l2mtu=1516 name=LAN vlan-id=10

Edit: dla jasności, AP celowo nie ma własnego IP w vlanie dla gości (tak, nie ufam moim gościom).

[and800]

Trunk do switcha (nie, nie Cisco, miał być mały, miał mieć porty gigabit, miał mieć pasywne chłodzenie, być zarządzany i mało kosztować), dalej trunk do routera, na routerze dwie pule DHCP (bez komentarzy co do routera proszę a jak komuś zbywa Cisco to poproszę jakąś 890 do domu):

Kod: Zaznacz cały

#
/ip address
add address=abc.de.0.1/24 interface=LAN network=abc.de.0.0
add address=abc.ef.0.1/24 interface=GUEST network=abc.ef.0.0

#
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LAN lease-time=1w name=\
    DHCP_LAN
add address-pool=dhcp_pool2 disabled=no interface=GUEST lease-time=1w name=\
    DHCP_GUEST
/ip dhcp-server network
add address=abc.de.0.0/24 dns-server=abc.de.0.1,8.8.8.8 gateway=abc.de.0.1
add address=abc.ef.0.0/24 dns-server=abc.ef..0.1,8.8.8.8 gateway=abc.ef.0.1

#
/ip pool
add name=dhcp_pool1 ranges=abc.de.0.101-abc.de.0.254
add name=dhcp_pool2 ranges=abc.ef..0.101-abc.ef.0.254

#
/interface vlan
add interface=ether2-master-local l2mtu=1516 name=GUEST vlan-id=20
add interface=ether2-master-local l2mtu=1516 name=LAN vlan-id=10

Edit: dla jasności, AP celowo nie ma własnego IP w vlanie dla gości (tak, nie ufam moim gościom).

Kyniu, dzieki za odpowiedz. jak rozumiem musze miec dwa porty w trybie trunk na moim swtichu (SG500). jeden, ktory idzie do AP, a drugi, ktory idzie do routera.

czy procz servera dhcp i portu trunk, ktory przyjmie dwie sieci VLAN powienien cos ustawic na routerze ? co prawda moj wspanialy router ciskowy 877W udzwignie nie jeden pool dhcp-owy, ale czy cos procz tego na routerze ...

druga sprawa odkrylem, ze moj AP 2602i moze byc serwerem dhcp. czy tutaj nie ma jakiegos pola manewru ?

PS. w zwiazku z rozbudowa sprzetu zastanawiam sie nad routerem 1921 do chalupy, ktory zastapi nieoceniony 877W

[Kyniu]

Kyniu, dzieki za odpowiedz. jak rozumiem musze miec dwa porty w trybie trunk na moim swtichu (SG500). jeden, ktory idzie do AP, a drugi, ktory idzie do routera.

Parafrazując popularne swego czasu powiedzenie wypadałoby odpowiedzieć a co my w rosji jesteśmy żebyś coś musiał? Nic nie musisz, możesz jeśli chcesz. Masz 877 więc o ile dobrze pamiętam tam jest zabudowany czteroportowy switch - masz taką fanaberię to robisz dwa porty jako access, każdy w innym VLANie i nie musisz robić trunka jak masz taką ułańską fantazję.

czy procz servera dhcp i portu trunk, ktory przyjmie dwie sieci VLAN powienien cos ustawic na routerze ? co prawda moj wspanialy router ciskowy 877W udzwignie nie jeden pool dhcp-owy, ale czy cos procz tego na routerze ...

A no to już bardziej skomplikowane pytanie. Normalnie bym odpowiedział że musisz zrobić subinterfejsy i ustawić poprawnie enkaspulację ale ... nie w tym routerze. Była raz dyskusja o różnicach między VLAN'ami na HWIC'u-4ESW a na interfejsie L3 routera - polecam odszukać i przeczytać. To co masz w tym 877 to właśnie taki jakby zabudowany na stałe 4ESW.

druga sprawa odkrylem, ze moj AP 2602i moze byc serwerem dhcp. czy tutaj nie ma jakiegos pola manewru ?

Kombinuj, myśl, testuj, .......

PS. w zwiazku z rozbudowa sprzetu zastanawiam sie nad routerem 1921 do chalupy, ktory zastapi nieoceniony 877W

Hmm, oczekujesz poklepania po ramieniu i pochwalenia? To Twoja decyzja, rób jak uważasz.

[and800]

...

druga sprawa odkrylem, ze moj AP 2602i moze byc serwerem dhcp. czy tutaj nie ma jakiegos pola manewru ?

Kombinuj, myśl, testuj, .......

a w ramach podpowiedzi mozesz przywrocic poprzednie zapisy, czy sa po prostu niewlasciwe i dlatego zostaly usuniete.

[Kyniu]

a w ramach podpowiedzi mozesz przywrocic poprzednie zapisy, czy sa po prostu niewlasciwe i dlatego zostaly usuniete.

Pamiętam że tak robiłem na takiej 800-tce z WiFi żeby na kablu i WiFi obowiązywała ta sama pula dhcp. Kluczowa kawałki konfiguracji:

!
ip dhcp pool AAA
network 10.0.10.0 255.255.255.0
dns-server 194.204.159.1 194.204.152.34
default-router 10.0.10.1
!
ip dhcp pool BBB
network 10.0.20.0 255.255.255.0
dns-server 194.204.159.1 194.204.152.34
default-router 10.0.20.1
!
interface BVI1
ip address 10.0.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface BVI2
ip address 10.0.20.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan1
bridge-group 1
bridge-group 1 spanning-disabled
!
interface Vlan2
bridge-group 2
bridge-group 2 spanning-disabled
!
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.2
encapsulation dot1Q 2
no cdp enable
bridge-group 2
bridge-group 2 subscriber-loop-control
bridge-group 2 spanning-disabled
bridge-group 2 block-unknown-source
no bridge-group 2 source-learning
no bridge-group 2 unicast-flooding
!

Ale jak to zrobić na Twoim AP tak żeby na 100% działało mógłbym się wypowiedzieć jakbym go dorwał do mojego laba.

[and800]

kręcę się w kółko od kilku dni i im dłużej to robię tym bardziej dochodzę do wniosku, że mam żle zrobione założenia (albo inaczej: nie potrafie zdefiniowac topologii) , przez co zadna ze zdefiniowanych konfiguracji nie dziala.

mam trzy urzadzenia cisco:

1. router 877W (przez ten router realizowany jest dostep do internetu POTS or jest DHCP serwerem dla 4 VLAN-ow)
2. switch SG-500
3. AP 2602i


moj cel to posiadac to posiadac 4 VLAN-y na switchu (oddzielna adresacja):
a)home, b) monitoring, c) dmz, d) guests.

pytanie jest proste, jednak zupelnie sie pogubilem jak polaczyc router ze switchem.
duzo sie naczytalem o "trunk" i zakladam, ze to jest rozwiazanie. moja definicja portu typu "trunk" to: "przyjmuje wszystko i oddaje wszystko".
ot, taki "port przelotowy". a wiec zalozylem, ze majac porty typu trunk po stronie zarowno switcha jak i routera (na routerze mam serwery DHCP dla 4 VLAN-ow, niesttety SG 500 nie ma funkcjonalnosci DHCP server) mozna przepuszczac caly ruch i dopiero switch bedzie rozdzielal ruch na odpowiednie VLAN-y.
ocywiscie zalezy mi bardzo na tym, aby ruch pomiedzy VLAN-ami odbywal sie tylko w obrebie switcha, aby niepotrzebnie nie komunikowac sie z routerem. chodzi o to, ze porty switcha sa 1000 Mb, zas port routera "tylko" 100 Mb

jednak jak przychodzi do konfiguracji to nie potrafie sobie dac rady. dlatego zastanawiam sie, czy pomiedzy routerem a switchem nie powinno byc jakiegos 5-tego VLAN-u ...


kolejny element (tytul watku) to dwa VLAN-y na tym AP 2602 - tak aby mogl obslugiwac dwie oddzielne adresacje dla dwoch VLAN-ow (home oraz guests). przyklady wklejane prez Kynia sa wlasciwe, sam mam takie na swoim 877W od kilu lat i dziala to bez problemu. rozne ssidy dla roznych VLAN-ow. jednak jak przyszlo mi rozlozyc funkcjonalnosci do tej pory zintegrowane w obrebie jednego urzadzenia (877W) na trzy urzadzenia (AP 2602, Sg-500, i router 877W) i tutaj zupelnie sie wysypalem.

mysle, ze teraz najwazniejsze jest zbudowanie odpowiedniej topologii. bez tego nawet nie ma jak projektowac dwoch IP adresow na jednym porcie ethernetowym w AP.

mozecie mnie koledzy oswiecic ?

[Kyniu]

kręcę się w kółko

To może dla odmiany spacer na świeżym powietrzu.

ot, taki "port przelotowy". a wiec zalozylem, ze majac porty typu trunk po stronie zarowno switcha jak i routera (na routerze mam serwery DHCP dla 4 VLAN-ow, niesttety SG 500 nie ma funkcjonalnosci DHCP server) mozna przepuszczac caly ruch i dopiero switch bedzie rozdzielal ruch na odpowiednie VLAN-y.

Tak. I nie płacz nad tym brakiem serwera DHCP na switchu bo tylko by Ci to dodatkowo zamotało sytuację.

ocywiscie zalezy mi bardzo na tym, aby ruch pomiedzy VLAN-ami odbywal sie tylko w obrebie switcha, aby niepotrzebnie nie komunikowac sie z routerem. chodzi o to, ze porty switcha sa 1000 Mb, zas port routera "tylko" 100 Mb

Według specyfikacji obsługuje routing: Layer 3 static (500 models) and dynamic (500X models) IP routing provide advanced traffic management capabilities to segment networks

jednak jak przychodzi do konfiguracji to nie potrafie sobie dac rady. dlatego zastanawiam sie, czy pomiedzy routerem a switchem nie powinno byc jakiegos 5-tego VLAN-u ...

W sumie to jest - jeśli za takowy uznać natywny.

kolejny element (tytul watku) to dwa VLAN-y na tym AP 2602 - tak aby mogl obslugiwac dwie oddzielne adresacje dla dwoch VLAN-ow (home oraz guests).

Dostałeś konfiguracje.

przyklady wklejane prez Kynia sa wlasciwe,

Tyle to akurat wiadomo - są z działających urządzeń a nie jakieś wydumane i teoretyczne.

mysle, ze teraz najwazniejsze jest zbudowanie odpowiedniej topologii.

Zaiste zawiła - proszę oto projekt topologii router-kabel-switch-kabel-AP

bez tego nawet nie ma jak projektowac dwoch IP adresow na jednym porcie ethernetowym w AP.

No to znaczy kolega jednak nie zajrzał do tego co wysłałem na początku. I kolega myli AP, urządzenie L2 z urządzeniem L3. AP na dobrą sprawę wcale nie musi mieć adresu IP - tyle że jest on tam dla wygody zdalnego dostępu - co by po SSH czy HTTP było się z czym łączyć. Ale traktuj AP'eka jak zwykły przełacznik L2 tylko taki ..... no bez kabli, bezprzewodowy przełącznik L2 który z komputerami łączy sie nie patchcordem tylko radiem. Na początek, pomijając że SG500 też może routować wyobraź sobie że Twoja powyższa Topologia to router [L3]-kabel-switch-kabel-AP-"wirtualny kabel po radiu"-komputer[L3]. Tylko router i tylko komputer w tym łańcuszku mają adresy.

mozecie mnie koledzy oswiecic ?

Ale co jeszcze jest niejasne?

[and800]

mysle, ze dosc sporo zostalo tu powiedziane, jednak odpowiedzi sa troche chaotyczne, na przemian z niemerytorycznymi komentarzami.

dla osob zainteresowanych tytulem watku, ponizej w punktach co trzeba zrobic (znakomite, przejrzyste, krotkie opracowanie)

https://supportforums.cisco.com/docs/DOC-14496