====== Wireless Bridge (Mesh) mit IAPs ======
Dieser Artikel beschreibt, wie man mit Alcatel-Lucent Instant Access Points eine Wireless Bridge (Mesh) konfigurieren kann. Typische Anwendung ist die Verbindung von zwei LAN-Segmenten über eine Wireless-Strecke, um beispielsweise zwei Gebäude ohne Verkabelung zu koppeln.
{{ :iap-bridge-overview.jpg |}}
Mesh- bzw. Bridge-Funktionen unterstützen nur die Dual-Radio IAPs, also ab IAP104/105 aufwärts. Diese Funktion wird nicht auf IAP92/93 unterstützt
Notwendige Software-Versionen: \\
IAP207 IAP30x, IAP31x, IAP32x: OAW-6.5.1 \\
IAP33x: OAW-6.5.2 \\
Diese Konfiguration wurde mit 2x IAP-105 mit AOS-W Instant 6.3.1.2-4.0.0.2_41506 durchgeführt
Die logische Kopplung der beiden LAN-Segmente kann entweder ungetaggt oder als 802.1q-Link konfiguriert werden. Sollen unterschiedliche VLANs übertragen werden, bietet sich natürlich die Variante mit VLAN Tags an. Auf diese Konfiguration konzentriert sich auch dieses Beispiel.
Als Voraussetzung dient eine Grundkonfiguration der Instant Access Points zu einem IAP-Cluster. Dies beinhaltet im Wesentlichen die Vergabe von statischen IP-Adressen für die IAPs, eine Namensvergabe der beiden IAPs und die Konfiguration des IAP-Clusters mit virtueller IP und Namen.
{{ :iap-bridge-basic-conf.jpg |}}
Ab AOS-W Instant Release 4.1 läuft der virtuelle Controller standardmäßig in einem Extended-SSID Modus. In diesem Modus ist es nicht möglich, die IAPs per Meshing zu verbinden. Daher muss in diesem Fall erst der Extended-SSID Modus deaktiviert werden, um Wireless Bridging nutzen zu können. Dies erfolgt über System -> Show Advanced Options -> Extended SSID -> Disabled.
{{::iap-bridge-extssid.jpg|}}
Ein Neustart der APs darf erst erfolgen, wenn die SSID, die für das Meshing genutzt werden soll, angelegt ist.
Für die Bridge wird im Folgenden eine SSID konfiguriert, damit sich die beiden IAPs im Anschluss über die WLAN-Schnittstelle verbinden können. Dazu wird in der Übersicht unter Network über den Button "New" der WLAN-Wizard aufgerufen. Die Screenshots zeigen die einzelnen Konfigurationsschritte.
Bei dieser Beschreibung handelt es sich um eine Beispielkonfiguration. Für den Produktiveinsatz müssen entsprechende Anpassungen vorgenommen werden. Dies gilt insbesondere für sicherheitsrelevante Einstellungen wie Preshared-Keys!
{{:iap-bridge-wlan1.jpg|}}
{{:iap-bridge-wlan2.jpg|}}
{{:iap-bridge-wlan3.jpg|}}
{{:iap-bridge-wlan4.jpg|}}
Im nächsten Schritt wird das Port-Profil der IAPs angepasst, um diesen als 802.1q bzw. Trunk-Port zu betreiben. Hier können die VLAN-IDs explizit definiert werden oder alle VLANs über den Parameter all akzeptiert werden.
{{:iap-bridge-port1.jpg|}}
{{:iap-bridge-port2.jpg|}}
{{:iap-bridge-port3.jpg|}}
{{:iap-bridge-port4.jpg|}}
Soll das Wireless Bridging ungetaggt erfolgen, muss bei VLAN Management unter Mode "Access" ausgewählt werden.
{{:iap-bridge-port5.jpg|}}
{{:iap-bridge-port6.jpg|}}
Diese Konfiguration wird nun für die Uplink-Ports beider IAPs angewendet. Im letzten Schritt muss der abgestetzte IAP, in diesem Beispiel AP2, so konfiguriert werden, dass er die Verbindung zu seinem IAP-Cluster auch bei aktiver LAN-Schnittstelle über WLAN herstellt. Dies geschieht über die Einstellung des Uplink-Modus für den entsprechenden IAP.
{{:iap-bridge-bridging1.jpg|}}
{{:iap-bridge-bridging2.jpg|}}
Soll das Wireless Bridging und der Management-Zugriff auf die IAPs ungetaggt, also im Default VLAN erfolgen, muss das Uplink management VLAN "0" sein.
Sobald diese Konfiguration abgeschlossen ist, benötigt der eben konfigurierte IAP einen Reboot.
Nach Abschluss dieser Konfiguration darf dieser IAP nicht mehr am gleichen physikalischen Segment betrieben werden, da es durch die WLAN-Bridge zu einem Loop kommen kann.
Im Anschluss befindet sich die in diesem Beispiel erstellte Konfiguration der IAPs und die VLAN-/Port-Konfiguration der OmniSwitch mit AOS 6.6.4:
=== AP1 ===
version 6.3.1.0-4.0.0
virtual-controller-country DE
virtual-controller-key 0ab9529001917e185edad5df8fbace040ab51e9229129b3157
name IAP-Bridge
virtual-controller-ip 192.168.10.10
terminal-access
clock timezone Berlin 01 00
rf-band all
allow-new-aps
allowed-ap d8:c7:c8:c9:b1:80
allowed-ap d8:c7:c8:c9:b2:29
arm
wide-bands 5ghz
80mhz-support
min-tx-power 18
max-tx-power 127
band-steering-mode prefer-5ghz
air-time-fairness-mode fair-access
client-aware
scanning
syslog-level warn ap-debug
syslog-level warn network
syslog-level warn security
syslog-level warn system
syslog-level warn user
syslog-level warn user-debug
syslog-level warn wireless
mgmt-user admin 01f7f28b5d718ab31d31f13982999a7b
wlan access-rule default_wired_port_profile
index 0
rule any any match any any any permit
wlan access-rule wired-instant
index 1
rule 192.168.10.11 255.255.255.255 match tcp 80 80 permit
rule 192.168.10.11 255.255.255.255 match tcp 4343 4343 permit
rule any any match udp 67 68 permit
rule any any match udp 53 53 permit
wlan access-rule Bridge
index 2
rule any any match any any any permit
wlan ssid-profile Bridge
enable
index 0
type employee
essid Bridge
wpa-passphrase 3cb99ef621690b1f4fb8521eb0815b4e09f939d3af5f1885
opmode wpa2-psk-aes
max-authentication-failures 0
auth-server InternalServer
rf-band all
captive-portal disable
dtim-period 1
inactivity-timeout 1000
broadcast-filter none
dmo-channel-utilization-threshold 90
local-probe-req-thresh 0
max-clients-threshold 64
auth-survivability cache-time-out 24
wlan external-captive-portal
server localhost
port 80
url "/"
auth-text "Authenticated"
auto-whitelist-disable
https
blacklist-time 3600
auth-failure-blacklist-time 3600
ids
wireless-containment none
wired-port-profile wired-instant
switchport-mode access
allowed-vlan all
native-vlan guest
no shutdown
access-rule-name wired-instant
speed auto
duplex auto
no poe
type guest
captive-portal disable
no dot1x
wired-port-profile default_wired_port_profile
switchport-mode trunk
allowed-vlan all
native-vlan 1
uplink-enable
no shutdown
spanning-tree
access-rule-name default_wired_port_profile
speed auto
duplex full
no poe
type employee
auth-server InternalServer
captive-portal disable
no dot1x
enet0-port-profile default_wired_port_profile
uplink
preemption
enforce none
failover-internet-pkt-lost-cnt 10
failover-internet-pkt-send-freq 30
failover-vpn-timeout 180
airgroup
disable
airgroupservice airplay
disable
description AirPlay
airgroupservice airprint
disable
description AirPrint
=== AP2 ===
version 6.3.1.0-4.0.0
virtual-controller-country DE
virtual-controller-key 0ab9529001917e185edad5df8fbace040ab51e9229129b3157
name IAP-Bridge
virtual-controller-ip 192.168.10.10
terminal-access
clock timezone Berlin 01 00
rf-band all
allow-new-aps
allowed-ap d8:c7:c8:c9:b1:80
allowed-ap d8:c7:c8:c9:b2:29
arm
wide-bands 5ghz
80mhz-support
min-tx-power 18
max-tx-power 127
band-steering-mode prefer-5ghz
air-time-fairness-mode fair-access
client-aware
scanning
syslog-level warn ap-debug
syslog-level warn network
syslog-level warn security
syslog-level warn system
syslog-level warn user
syslog-level warn user-debug
syslog-level warn wireless
mgmt-user admin eeaf3606e0311c82dfe6fe60b0798de0
wlan access-rule default_wired_port_profile
index 0
rule any any match any any any permit
wlan access-rule wired-instant
index 1
rule 192.168.10.11 255.255.255.255 match tcp 80 80 permit
rule 192.168.10.11 255.255.255.255 match tcp 4343 4343 permit
rule any any match udp 67 68 permit
rule any any match udp 53 53 permit
wlan access-rule Bridge
index 2
rule any any match any any any permit
wlan ssid-profile Bridge
enable
index 0
type employee
essid Bridge
wpa-passphrase 08566f8d4df0823b1e0603407653f614b6c4ed1e10be4692
opmode wpa2-psk-aes
max-authentication-failures 0
auth-server InternalServer
rf-band all
captive-portal disable
dtim-period 1
inactivity-timeout 1000
broadcast-filter none
dmo-channel-utilization-threshold 90
local-probe-req-thresh 0
max-clients-threshold 64
auth-survivability cache-time-out 24
wlan external-captive-portal
server localhost
port 80
url "/"
auth-text "Authenticated"
auto-whitelist-disable
https
blacklist-time 3600
auth-failure-blacklist-time 3600
ids
wireless-containment none
wired-port-profile wired-instant
switchport-mode access
allowed-vlan all
native-vlan guest
no shutdown
access-rule-name wired-instant
speed auto
duplex auto
no poe
type guest
captive-portal disable
no dot1x
wired-port-profile default_wired_port_profile
switchport-mode trunk
allowed-vlan all
native-vlan 1
uplink-enable
no shutdown
spanning-tree
access-rule-name default_wired_port_profile
speed auto
duplex full
no poe
type employee
auth-server InternalServer
captive-portal disable
no dot1x
enet0-port-profile default_wired_port_profile
uplink
preemption
enforce none
failover-internet-pkt-lost-cnt 10
failover-internet-pkt-send-freq 30
failover-vpn-timeout 180
airgroup
disable
airgroupservice airplay
disable
description AirPlay
airgroupservice airprint
disable
description AirPrint
=== OmniSwitch ===
Beide OmniSwitch-Komponenten können in diesem Beispiel hinsichtlich VLAN-/Port-Konfiguration identisch eingerichtet werden.
vlan 10 enable name "IAP-Mgmt"
vlan 10 port default 1/1
vlan 20 enable name "Voice"
vlan 20 port default 1/2
vlan 30 enable name "Data"
vlan 30 port default 1/3
...
vlan 10 802.1q 1/24
vlan 20 802.1q 1/24
vlan 30 802.1q 1/24
Soll das Wireless Bridging und/oder der Management-Zugriff auf die IAPs ungetaggt, also im Default VLAN erfolgen, muss die Switch-Konfiguration entsprechend angepasst werden.