Unterschiedliche Netze ohne VLAN

  • Hallo zusammen,


    aktuell setzen wir im WLAN Bereich Cisco Controller und APs ein. Wir streben ein Wechsel auf Unifi U6 an. Allerdings habe ich im Bereich unterschiedliche SSID + separate Netze und VLAN eine Frage.


    Der aktuelle Cisco Controller ist neben dem normalen Netz (VLAN1) auch über mehrere VLAN-Netze mit unserer Firewall verbunden. Die zentrale Firewall (Watchguard) regelt also den Datenverkehr zwischen den einzelnen Netzen und stellt auch DHCP bereit. Die Cisco APs, die sich mit dem Controller verbinden, befinden sich aber nicht in diesen separaten VLANs. Ich denke der Cisco Controller wird das zwischen den APs irgendwie anders lösen (Routing oder Tunnel?).


    Kann man eine solche Konstellation auch mit den Unifi APs lösen? Oder geht da ohne VLAN bis zum AP nichts?

  • Bist Du sicher, dass CISCO (welcher Controler soll das sein?) hier einen Sonderweg beschreitet?


    Normalerweise verknüpft man das mal über das Verwaltungsnetz, das ungetaggt ist bzw. den VLan-tag 1 hat (daher bekommen die APs auch ihre Adressen und ggf. Boot-Images).

    Alle weiteren Netze sind getaggt (siehe IE3 802.1q) - das gibt dann auch eigene SSIDs.


    Mit freundlichen Grüßen, Tom

    Es muss nicht immer alles Sinn machen - meist reicht es, wenn es Spaß macht.

  • Hallo Tom,


    ich kann dir nur sagen, wie es aktuell installiert ist. Die APs hängen nur im normalen Verwaltungsnetz, die Ports sind also nicht getagged. Im Controller sind einzelne SSID's mit VLAN Netze verknüpft. Und die Clients, die sich an den SSIDs anmelden, bekommen auch Adressen über den DHCP Server aus diesem VLAN Netz. Aber die LAN-Schnittstelle, bzw. der Switch-Port am APs haben kein VLAN Tag.

    Ich weiß leider nicht, wie das Cisco macht, die werden das irgendwie intern "routen" oder so.


    Edit: Cisco 2500 Series Wireless Controller und verschiedere APs (AIR-CAP1602E-E-K9, AIR-LAP1041N-E-K9, AIR-LAP1242AG-E-K9, AIR-CAP1702I-E-K9)

  • Hab‘ mich gerade belesen…. mit Aironet gibt es tatsächlich Tunnels. Im Watchguard sieht es dann wahrscheinlich ebenso proprietär aus.

    Diese Insellösung kannst Du nicht „langsam“ migrieren. Da gibt es nur Abriss und Neubau - wobei man den Neubau durchaus schonmal im Testbetrieb laufen lassen könnte. Das Wichtigste ist im Moment eine kleinteilige und lückenlose Dokumentation des Ist-Zustandes. Diese wirst Du nämlich für den Neubau brauchen.


    Mit freundlichen Grüßen, Tom

    Es muss nicht immer alles Sinn machen - meist reicht es, wenn es Spaß macht.

  • Hallo Tom,


    danke für die Info. Also bauen die einen Tunnel von AP zum Controller auf und vom Controller landen die dann in dem VLAN?

    Dann heißt das für mich, wenn wir Ubiquiti APs einsetzen wollen müssen wir an allen Ports tagged VLANs aktivieren. Gibt es hierzu eine Möglichkeit eines dynamischen VLAN Aufbaus? An dem einen Standort nutzen wir komplett EdgeSwitche.

  • Das Wichtigste zuerst:

    VORSICHT!!! - Mit Tagged-LANs hat man sich auch ganz schnell mal ausgesperrt. Beim Programmieren von Switchen immer eine FallBack-Option einplanen (am einfachsten geht das mit einem dezidierten Konfigurationsport und fleißigem Abspeichern der Konfiguration).


    Wie der Controller angebunden ist, kann ich Dir aus der Ferne nicht beantworten. Es ist auch interessant, wie das genau in der Firewall gelöst wurde.

    Das Wichtigste ist jetzt mal eine Dokumentation.


    Es macht übrigens keinen Sinn, den Cisco-Controller mit Ubiquity-AccessPoints zu betreiben. Wenn Du auf Ubiquity (oder irgendein anderes moderneres Produkt) umschwenkst, musst Du "from scratch" neu planen und Du solltest Dich darauf einstellen, nicht nur die alten AccessPoints rauszuwerfen.


    Mit freundlichen Grüßen, Tom

    Es muss nicht immer alles Sinn machen - meist reicht es, wenn es Spaß macht.

  • Hallo Tom,


    Ich möchte die Cisco APs inkl. Controller aus dem Netz nehmen und dafür Ubiquiti inkl. Controller installieren. Es bleibt nur die Firewall im Netz, die stellt das Internetgateway bereit und trennt die Netze (3x SSIDs + Internet + LAN). In der Firewall gibt es für jede SSID ein Netz (VLAN) und die Anbindungen an das Hausnetz, Internet und DMZ. Zwischen den unterschiedlichen Netzen sind Regelwerke installiert (Gastnetz darf ins Internet, aber keine "bösen" Seiten, Mitarbeiternetz darf ins Internet und auf zwei Server im LAN mit bestimmten Ports, etc.). Die Firewall bleibt auch vorerst.


    Aktuell habe ich 18 APs im Einsatz, mit Ubiquiti wird sich die Anzahl erhöhen. Es ist halt mit den Aeronet recht einfach an dem Standort, wo sich die Firewall befindet, eine VLAN Verbindung zwischen Controller und Firewall für die unterschiedlichen Netze einzurichten und der Controller routet die VLANs zu den APs durch. So eine Funktion (oder eine ähnliche Funktione) gibt es bei Uniquiti aber nicht, richtig? Jetzt existiert aus meiner Sicht die Möglichkeit an jedem Switch Port, wo ein Ubiquiti AP dran hängt, die benötigten VLANs zu taggen. Das kann man sicherlich schaffen, auch wenn es aufwendig ist. Deshalb die Frage, welche Alternativen gibt es?

    Ich hatte von Dynamische VLAN Zuordnung mit einem Radius Server gelesen (https://www.zueschen.eu/802-1x…-wlan-mit-ubiquiti-unifi/), habe damit aber noch nicht gearbeitet.

  • Du brauchst keine dynamischen VLans.
    Das Umsetzen der VLans auf die passende SSID macht der AccessPoint. Der Controller sagt nur den Accesspoints (vial VLan 1 bzw. untagged) was sie tun sollen. WLans werden seit vielen Jahren so aufgebaut - auch bei Ubiquity.

    Wichtig ist, dass Deine Netze richtig anliegen: Das Verwaltungsnetz (am besten mit DHCP) ungetaggt (bzw. Tag 1) und Deine verschiedenen User-Netze alle mit Tag.

    Ein Knackpunkt dürfte nur der Controller neben/hinter der Firewall sein - das scheint häufiger etwas zickig.


    Du solltest auch mal bei den Mitbewerbern nachsehen - gerade so eine straight-forward Programmierung mit bestehenden VLans scheint bei der Konkurrenz transparenter gelöst. Bei 18 APs hätte ich jetzt die Tags auf dem Switch kontrolliert und einfach zwei Zehnerpack "Nebula" gekauft .... und gut ist's.


    Mit freundlichen Grüßen, Tom

    Es muss nicht immer alles Sinn machen - meist reicht es, wenn es Spaß macht.

  • Also bauen die einen Tunnel von AP zum Controller auf und vom Controller landen die dann in dem VLAN?

    Ja nein Villeicht.

    Du must es uns sagen was da Konfiguriert ist. Deiner Erzählung nach wird wird es sich

    um „H-Reap“ Handeln ob der Traffic Zentral (über den WLC) oder Lokal ausgespielt wird

    Ist in deiner Config zu erkennen. Das kann man einstellen. (die Burschen sind durchaus

    auch als Central WLC Controller für mehrerer Standporte gedacht, da währe es ggf. doof

    wenn ALLER traffic erstmal nach hause müsste)


    Je nach Vorgabe Installation und restliche Beschaffenheit könnte dann der WLC einfach der

    Flaschenhals sein. (oder warum willst du die rausschmeißen)


    Zitat

    Die APs hängen nur im normalen Verwaltungsnetz, die Ports sind also nicht getagged.

    Sicher ? Ein "switchport mode trunk“ wird gerne übersehen wenn keine einzelne VLAN auf den Port "getagt" sind

    hat aber zu folge das ALLE verfügbar sind...


    zu Unifi:

    ALLE AP sind klassische Network Bridges, die Stumpf zwischen Netzwerk und WLAN die Pakete weiterleiten.

    (was im CISCO je nach config auch macht, wie jeder andere Hersteller)

    Es ist also erforderlich das das nötigen VLAN auch am AP anliegt. Unifi Controller wie gehabt nur

    zum Konfigurieren und Statistiken ziehen (und für das Unifi eigne Gäste Portal)

    Jeder AP hat dann ggf. die komplette config / Passwörter / Radios Daten lokal auf dem AP.