Deutschsprachiges Forum

Reply
New Contributor

Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

Hallo zusammen,

 

Wir testen momentan eine neue WLAN-Infrastruktur zur Erneuerung unserer Infrastruktur. Dazu planen wir den Einsatz von Aruba Instant APs (Aruba Cloud) in Verbindung mit ClearPass zur Authentifizierung des Gast-WLANs über RADIUS 802.1x und Captive Portal.

 

Eine Testumgebung mit einem Instant-AP (IAP-207) und einem ClearPass-Server läuft bereits.

 

Der Instant-AP und der ClearPass-Server haben bereits eine IP aus dem internen Netz! Wir möchten 2 SSID's nutzen. "WLAN-Intern" soll Zugriff auf das interne Netz haben und per WPA2 (Personal) abgesichert werden. Das funktioniert bereits sehr gut! Die zweite SSID "WLAN-Gast" soll jedoch über VLAN-fähigen L2-Switch (HP-2530-8G-PoEP) auf einen externen DSL-Anschluss umgeleitet werden und verbundene Clients (WLAN-Gast) sollen diesen ausschließlich für den Zugriff auf das Internet nutzen können.

 

Ist das machbar?

 

Freue mich über jeden Hinweis...

 

Dankeschön

New Contributor

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

Hallo,
man kann das am einfachsten mit einem neuen VLAN realisieren.
Beispiel: VLAN 1 User VLAN 10 Public (WLAN-GAST Netz)
ein weiters VLAN auf dem Switch einrichten, dann das Interface zu den
als Trunk konfigurieren (also VLAN1 untagged, VLAN10 tagged ).
Der Port des DLS Routers für die Gäste auf VLAN 10 unttaged legen.
Auf dem IAP unter Netzwerke das Public bearbeiten.
Dann auf den Reiter VLAN. Client Vlan Zuweisung auf statisch umstellen.
Dort unter VLAN-ID die 10 eingeben.

Damit werden alle Clients des Public Netztes auf dem Ethernetport des
IAPs in das VLAN 10 übertragen und können so nur den DSL Router erreichen.

Ich hoffe das hilft Dir weiter

Viele Grüsse aus Düsseldorf
Peter Timmler

Highlighted
New Contributor

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

Hallo Peter,

 

Vielen Dank für Deine Antwort!

 

So wie Du es beschreibst hab ich es seit gestern bereits konfiguriert. Es funktioniert auch soweit, nur wenn ich das WLAN-GAST Netz wie beschrieben auf VLAN 10 (VLAN 10 Public / Gast-WLAN) ausleite, können sich die Gäste nicht am ClearPass anmelden und nicht authentifiziert werden (Captive Portal, Radius Auth. für WLAN-Gast). Der Radius Server liegt im internen Netz (internes Netz VLAN 20 Corp).

 

Ich habe schon mit diversen Konfigurationen herumgespielt, tagged / untagged auf dem Switch und auch auf dem Instant AP mit den DHCP-Scopes (Lokal, Lokal L2, Lokal L3). Das Ergebnis bleibt dasselbe. Da zwischen den VLANs auf dem Switch kein Routing stattfindet ist der ClearPass-Server aus dem VLAN 10 (VLAN 10 Public / Gast-WLAN) nicht zu erreichen. Das Routing müsste der Instant AP übernehmen, falls möglich. Aber es funktioniert leider nicht...

 

Viele Grüße...

New Contributor

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

Hallo nochmal,

 

Zur Klarstellung: Natürlich möchte ich auch kein Routing zwischen den beiden VLANs (Internes Netz und Gast-Netz), diese sollen zumindest logisch über VLANs strikt separiert werden! Es geht nur darum, dass der ClearPass-Server (und nur dieser!) aus dem Gast-WLAN erreichbar sein muss, um die Authentifizierung für die User des Gast-WLANs zu ermöglichen.

Ich hatte gehofft, dass der Instant-AP eine Funktion bietet, diese Weiterleitung zu übernehmen.

 

Grüße...

New Contributor

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

Hallo Herr Timmler,

 

bin auch gerade am testen. Würde auch gerne unser Gast WLAN auf das VLAN20 mit einen extra DSL Router legen und die IAP´s in Aruba Central verwalten. Habe ein VLAN10 User angelegt und ein VLAN20 Puplic. Nur weis ich jetzt nicht genau wie ich das ganze am Switch konfigurieren soll. Das Gäste WLAN funktioniert nur beim WLAN für die Mitarbeiter bekomme ich keine IP zugewiesen. Wenn ich den Trk1 im VLAN10 auf Tagged setze funktioniert auch dieses. Nur dass man den IAP nicht mehr pingen kann und dieser in Aruba Central Offline geht. Können Sie sich dies bitte mal ansehen welche Fehler ich hier mache.

 

Vielen Dank

Frequent Contributor I

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

Hallo!

 

Switch V-Lan Konfiguration:

MGMT V-Lan Untagged auf Uplink Interface zu Accesspoint

User V-Lans Tagged auf Uplink Interface zu Accesspoint

 

Am instant AP müssen die V-Lans nur der SSID zugewiesen werden, sämtlicher traffic bricht tagged am uplink aus.

Configuration airwave managed cluster:

SSID-V-Lan-airwave.JPG

 

Central managed Cluster:

 

SSID-V-Lan-central.JPG

Die GUI Maske am instant ohne airwave/central Management ist quasi gleich zu bedienen.

Der IAP Uplink selbst muss nicht angepasst werden.

Einzig und allein das Switchinterface und die SSID.

 

Gruß!

 

 

Best regards/Mit freundlichen Grüßen
Matthias
Frequent Contributor I

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

@mdm14:

 

Wenn V-Lan 1 in Ihrem VLAN.PNG das mgmt V-Lan ist, über welches der AP zu Central die Verbindung aufbaut und die Accesspoints auf den interfaces 5-12 stecken dann sieht die Konfig wiefolgt aus:

 

vlan 1 untagged 5-12

vlan 10 tagged 5-12

vlan 20 tagged 5-12

 

Sollten die Router hinter einem Trunk Port gelegenen zweiten Switch angeschlossen sein, müssen in weiterer Folge alle 3 V-Lans z.B. am trk1 tagged anliegen.
Das selbe wiederum am entfernten Switch.

Gruß

 

Best regards/Mit freundlichen Grüßen
Matthias
New Contributor

Re: Aruba Instant Gast-WLAN über VLAN ausleiten möglich?

-

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: