Benutzer-Werkzeuge

Webseiten-Werkzeuge


iap-wireless-bridge

Wireless Bridge (Mesh) mit IAPs

Dieser Artikel beschreibt, wie man mit Alcatel-Lucent Instant Access Points eine Wireless Bridge (Mesh) konfigurieren kann. Typische Anwendung ist die Verbindung von zwei LAN-Segmenten über eine Wireless-Strecke, um beispielsweise zwei Gebäude ohne Verkabelung zu koppeln.

Mesh- bzw. Bridge-Funktionen unterstützen nur die Dual-Radio IAPs, also ab IAP104/105 aufwärts. Diese Funktion wird nicht auf IAP92/93 unterstützt

Notwendige Software-Versionen:
IAP207 IAP30x, IAP31x, IAP32x: OAW-6.5.1
IAP33x: OAW-6.5.2

Diese Konfiguration wurde mit 2x IAP-105 mit AOS-W Instant 6.3.1.2-4.0.0.2_41506 durchgeführt

Die logische Kopplung der beiden LAN-Segmente kann entweder ungetaggt oder als 802.1q-Link konfiguriert werden. Sollen unterschiedliche VLANs übertragen werden, bietet sich natürlich die Variante mit VLAN Tags an. Auf diese Konfiguration konzentriert sich auch dieses Beispiel.

Als Voraussetzung dient eine Grundkonfiguration der Instant Access Points zu einem IAP-Cluster. Dies beinhaltet im Wesentlichen die Vergabe von statischen IP-Adressen für die IAPs, eine Namensvergabe der beiden IAPs und die Konfiguration des IAP-Clusters mit virtueller IP und Namen.

Ab AOS-W Instant Release 4.1 läuft der virtuelle Controller standardmäßig in einem Extended-SSID Modus. In diesem Modus ist es nicht möglich, die IAPs per Meshing zu verbinden. Daher muss in diesem Fall erst der Extended-SSID Modus deaktiviert werden, um Wireless Bridging nutzen zu können. Dies erfolgt über System → Show Advanced Options → Extended SSID → Disabled.

Ein Neustart der APs darf erst erfolgen, wenn die SSID, die für das Meshing genutzt werden soll, angelegt ist.

Für die Bridge wird im Folgenden eine SSID konfiguriert, damit sich die beiden IAPs im Anschluss über die WLAN-Schnittstelle verbinden können. Dazu wird in der Übersicht unter Network über den Button „New“ der WLAN-Wizard aufgerufen. Die Screenshots zeigen die einzelnen Konfigurationsschritte.

Bei dieser Beschreibung handelt es sich um eine Beispielkonfiguration. Für den Produktiveinsatz müssen entsprechende Anpassungen vorgenommen werden. Dies gilt insbesondere für sicherheitsrelevante Einstellungen wie Preshared-Keys!

Im nächsten Schritt wird das Port-Profil der IAPs angepasst, um diesen als 802.1q bzw. Trunk-Port zu betreiben. Hier können die VLAN-IDs explizit definiert werden oder alle VLANs über den Parameter all akzeptiert werden.

Soll das Wireless Bridging ungetaggt erfolgen, muss bei VLAN Management unter Mode „Access“ ausgewählt werden.

Diese Konfiguration wird nun für die Uplink-Ports beider IAPs angewendet. Im letzten Schritt muss der abgestetzte IAP, in diesem Beispiel AP2, so konfiguriert werden, dass er die Verbindung zu seinem IAP-Cluster auch bei aktiver LAN-Schnittstelle über WLAN herstellt. Dies geschieht über die Einstellung des Uplink-Modus für den entsprechenden IAP.

Soll das Wireless Bridging und der Management-Zugriff auf die IAPs ungetaggt, also im Default VLAN erfolgen, muss das Uplink management VLAN „0“ sein.

Sobald diese Konfiguration abgeschlossen ist, benötigt der eben konfigurierte IAP einen Reboot.

Nach Abschluss dieser Konfiguration darf dieser IAP nicht mehr am gleichen physikalischen Segment betrieben werden, da es durch die WLAN-Bridge zu einem Loop kommen kann.

Im Anschluss befindet sich die in diesem Beispiel erstellte Konfiguration der IAPs und die VLAN-/Port-Konfiguration der OmniSwitch mit AOS 6.6.4:

AP1

version 6.3.1.0-4.0.0
virtual-controller-country DE
virtual-controller-key 0ab9529001917e185edad5df8fbace040ab51e9229129b3157
name IAP-Bridge
virtual-controller-ip 192.168.10.10
terminal-access
clock timezone Berlin 01 00
rf-band all

allow-new-aps
allowed-ap d8:c7:c8:c9:b1:80
allowed-ap d8:c7:c8:c9:b2:29


arm
 wide-bands 5ghz
 80mhz-support
 min-tx-power 18
 max-tx-power 127
 band-steering-mode prefer-5ghz
 air-time-fairness-mode fair-access
 client-aware
 scanning


syslog-level warn ap-debug
syslog-level warn network
syslog-level warn security
syslog-level warn system
syslog-level warn user
syslog-level warn user-debug
syslog-level warn wireless


mgmt-user admin 01f7f28b5d718ab31d31f13982999a7b

wlan access-rule default_wired_port_profile
 index 0
 rule any any match any any any permit

wlan access-rule wired-instant
 index 1
 rule 192.168.10.11 255.255.255.255 match tcp 80 80 permit
 rule 192.168.10.11 255.255.255.255 match tcp 4343 4343 permit
 rule any any match udp 67 68 permit
 rule any any match udp 53 53 permit

wlan access-rule Bridge
 index 2
 rule any any match any any any permit

wlan ssid-profile Bridge
 enable
 index 0
 type employee
 essid Bridge
 wpa-passphrase 3cb99ef621690b1f4fb8521eb0815b4e09f939d3af5f1885
 opmode wpa2-psk-aes
 max-authentication-failures 0
 auth-server InternalServer
 rf-band all
 captive-portal disable
 dtim-period 1
 inactivity-timeout 1000
 broadcast-filter none
 dmo-channel-utilization-threshold 90
 local-probe-req-thresh 0
 max-clients-threshold 64

auth-survivability cache-time-out 24


wlan external-captive-portal
 server localhost
 port 80
 url "/"
 auth-text "Authenticated"
 auto-whitelist-disable
 https


blacklist-time 3600
auth-failure-blacklist-time 3600

ids
 wireless-containment none


wired-port-profile wired-instant
 switchport-mode access
 allowed-vlan all
 native-vlan guest
 no shutdown
 access-rule-name wired-instant
 speed auto
 duplex auto
 no poe
 type guest
 captive-portal disable
 no dot1x

wired-port-profile default_wired_port_profile
 switchport-mode trunk
 allowed-vlan all
 native-vlan 1
 uplink-enable
 no shutdown
 spanning-tree
 access-rule-name default_wired_port_profile
 speed auto
 duplex full
 no poe
 type employee
 auth-server InternalServer
 captive-portal disable
 no dot1x


enet0-port-profile default_wired_port_profile

uplink
 preemption
 enforce none
 failover-internet-pkt-lost-cnt 10
 failover-internet-pkt-send-freq 30
 failover-vpn-timeout 180


airgroup
 disable

airgroupservice airplay
 disable
 description AirPlay

airgroupservice airprint
 disable
 description AirPrint

AP2

version 6.3.1.0-4.0.0
virtual-controller-country DE
virtual-controller-key 0ab9529001917e185edad5df8fbace040ab51e9229129b3157
name IAP-Bridge
virtual-controller-ip 192.168.10.10
terminal-access
clock timezone Berlin 01 00
rf-band all

allow-new-aps
allowed-ap d8:c7:c8:c9:b1:80
allowed-ap d8:c7:c8:c9:b2:29


arm
 wide-bands 5ghz
 80mhz-support
 min-tx-power 18
 max-tx-power 127
 band-steering-mode prefer-5ghz
 air-time-fairness-mode fair-access
 client-aware
 scanning


syslog-level warn ap-debug
syslog-level warn network
syslog-level warn security
syslog-level warn system
syslog-level warn user
syslog-level warn user-debug
syslog-level warn wireless


mgmt-user admin eeaf3606e0311c82dfe6fe60b0798de0

wlan access-rule default_wired_port_profile
 index 0
 rule any any match any any any permit

wlan access-rule wired-instant
 index 1
 rule 192.168.10.11 255.255.255.255 match tcp 80 80 permit
 rule 192.168.10.11 255.255.255.255 match tcp 4343 4343 permit
 rule any any match udp 67 68 permit
 rule any any match udp 53 53 permit

wlan access-rule Bridge
 index 2
 rule any any match any any any permit

wlan ssid-profile Bridge
 enable
 index 0
 type employee
 essid Bridge
 wpa-passphrase 08566f8d4df0823b1e0603407653f614b6c4ed1e10be4692
 opmode wpa2-psk-aes
 max-authentication-failures 0
 auth-server InternalServer
 rf-band all
 captive-portal disable
 dtim-period 1
 inactivity-timeout 1000
 broadcast-filter none
 dmo-channel-utilization-threshold 90
 local-probe-req-thresh 0
 max-clients-threshold 64

auth-survivability cache-time-out 24


wlan external-captive-portal
 server localhost
 port 80
 url "/"
 auth-text "Authenticated"
 auto-whitelist-disable
 https


blacklist-time 3600
auth-failure-blacklist-time 3600

ids
 wireless-containment none


wired-port-profile wired-instant
 switchport-mode access
 allowed-vlan all
 native-vlan guest
 no shutdown
 access-rule-name wired-instant
 speed auto
 duplex auto
 no poe
 type guest
 captive-portal disable
 no dot1x

wired-port-profile default_wired_port_profile
 switchport-mode trunk
 allowed-vlan all
 native-vlan 1
 uplink-enable
 no shutdown
 spanning-tree
 access-rule-name default_wired_port_profile
 speed auto
 duplex full
 no poe
 type employee
 auth-server InternalServer
 captive-portal disable
 no dot1x


enet0-port-profile default_wired_port_profile

uplink
 preemption
 enforce none
 failover-internet-pkt-lost-cnt 10
 failover-internet-pkt-send-freq 30
 failover-vpn-timeout 180


airgroup
 disable

airgroupservice airplay
 disable
 description AirPlay

airgroupservice airprint
 disable
 description AirPrint

OmniSwitch

Beide OmniSwitch-Komponenten können in diesem Beispiel hinsichtlich VLAN-/Port-Konfiguration identisch eingerichtet werden.

vlan 10 enable name "IAP-Mgmt"
vlan 10 port default 1/1
vlan 20 enable name "Voice"
vlan 20 port default 1/2
vlan 30 enable name "Data"
vlan 30 port default 1/3
...
vlan 10 802.1q 1/24
vlan 20 802.1q 1/24
vlan 30 802.1q 1/24

Soll das Wireless Bridging und/oder der Management-Zugriff auf die IAPs ungetaggt, also im Default VLAN erfolgen, muss die Switch-Konfiguration entsprechend angepasst werden.

iap-wireless-bridge.txt · Zuletzt geändert: 2017/08/23 16:04 von michael-neesen