walczę z "teoretycznie" prostą konfiguracją, jednak pewne objawy są dla mnie zupełnie "losowe".
Skrótowy opis konfiguracji:
- 3 SSID (pierwszy zamapowany do interfejsu nr 1, drugi i trzeci SSID zamapowany do wspólnego interfejsu grupowego - potrzebuje roznych SSID współdzielących adresację IP)
- 3 interfejsy (3 vlany, IP w każdym to klasa /24)
- 1 interfejs grupowy (obejmuje 2 z 3 powyższych standardowych interfejsów)
- centralny serwer DHCP
Problem w skórcie:
Klienci dostają IP z nieodpowiednich sieci, ktorych nie powinno być na danym SSID.
Poniżej trochę długi opis sytuacji, ale dość dokładnie przedstawia on problem.
Stan obecny (wykorzystywany sprzęt):
Kod: Zaznacz cały
Kontroler WLAN: WISM2
Software Version: 7.6.130.0
Field Recovery Image Version: 7.0.43.32
Firewall: ASA-SM (na kontekscie firewalla są zaterminowane vlany klientów sieci WiFi, ip: .254)
AP: różne modele, w sumie prawie 200 sztuk:
AIR-CAP1552E-E-K9
AIR-CAP2602E-E-K9
AIR-LAP1262N-E-K9
AIR-LAP1242G-E-K9
AIR-LAP1242AG-E-K9Kod: Zaznacz cały
Interfaces:
interface management
vlan 50
ip 172.31.31.100
interface virtual
ip 1.1.1.1
VLANy 670-672 są vlanami dla klientów.
interface wifi-670
vlan 670
ip 10.6.70.253
mask 255.255.255.0
gateway 10.6.70.254
dhcp 172.20.20.100
Enable DHCP Option 82 YES
interface wifi-671
vlan 671
ip 10.6.71.253
mask 255.255.255.0
gateway 10.6.71.254
dhcp 172.20.20.100
Enable DHCP Option 82 YES
interface wifi-672
vlan 672
ip 10.6.71.253
mask 255.255.255.0
gateway 10.6.71.254
dhcp 172.20.20.100
Enable DHCP Option 82 YES
Dodatkowo, jest też jedna grupa interfejsów: grupa01.
Interfejs grupowy powstał z uwagi na to, iż zachodzi konieczność użycia dość znacznej liczby adresów IP, które nie mogą być jedną ciągłą podsiecią.
Produkcyjnie klienci dostają publiczne IP (na potrzeby opisu problemu używam adresacji prywatnej) ale nie posiadam tak dużej ciągłej adresacji IP i dlatego chciałem skorzystać z grupy interfejsów, aby dla danego profilu/SSID przypisać interfejs grupowy, który z kolei będzie mapowany na kilka nieciągłych podsieci publicznych.
Kod: Zaznacz cały
Interface Groups: grupa01
vlan Id 671 Interface Name wifi-671
vlan Id 672 Interface Name wifi-672
Skonfigurowane zostały trzy sieci WLAN.
Siec-670 została zamapowana do interfejsu wifi-670 (tutaj wystarczy mi jedna klasa /24 dla klientów)
natomiast siec-671 i siec-672 zostały zamapowane do interfejsu grupowego grupa01, który składa się z intefejsów wifi-671 i wifi-672.
Kod: Zaznacz cały
WLANs:
WLAN ID 100
SSID siec-670
Interface wifi-670
WLAN ID 101
SSID siec-671
Interface grupa01
WLAN ID 102
SSID siec-672
Interface grupa01
Profil WLAN siec-670 mapujący do pojedynczego interfejsu wifi-670 został uruchomiony i udostępniony klientom - działa. Klienci dostają z centralnego serwera adresy IP z odpowiednij puli zdefiniowanej dla danego vlanu (vlan670).
Problem pojawia się w sytuacji, gdy zaczynam rozgłaszać SSID siec-671 i siec-672.
Obydwa SSID są mapowane do wspolnego interfejsu grupowego, który NIE zawiera w sobie interfejsu wifi-670.
Problem jest fakt, iż po samym tylko włączeniu tych dodatkowych SSID (siec-671 i siec-672) zdarza się, iż klienci łączący się do pierwszego SSID (siec-670) dostają adresy z puli mapowanych do interfejsu grupowego, który nie jest w żaden sposób związany z tym SSID (poza centralnym serwerem DHCP).
Nadmienię tutaj, iż SSID siec-671 i siec-672 jest rozgłoszona tylko na jednym wydzielonym AP, do którego nikt inny nie ma dostępu (nikt nie jest do niego podpięty, jest w osobnej AP-grupie).
Moj przypadek:
- laptopem łaczę się do SSID siec-670 - dostaję dobre IP z interfejsu wifi-670 i wszystko działa,
- tabletem obok łączę się do tego samego SSID ale dostaje już adres z interfejsu grupowego, który nijak nie ma związku z tym SSID i oczywiście net nie działa bo będąc w vlanie 670 dostaję adres IP z vlanu albo 671 albo 672.
Czy interfejsy grupowe powodują takie problemy, czy może konieczne jest rozdzielenie poszczególnych puli adresowych pomiędzy inne serwery DHCP?
Zachowanie takie jest dla mnie całkowicie losowe.
O co chodzi, jak to zdiagnozować?
Z góry dzięki za poświęcony czas na przeczytanie tego trochę przydługiego opisu ale na chwilę obecną zupełnie nie wiem jak sobie poradzić z tym problemem.
