URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1542
[ Назад ]

Исходное сообщение
"Гостевой VLAN"
Отправлено Alting , 13-Ноя-14 17:53

Друзья, чего-то у меня моск не варит совсем.
Итак, имеем:
точка доступа D-Link DWL 3200, коммутаторы Cisco Catalyst, маршрутизатор Cisco ASA.
Требуется:
обеспечить гостевой доступ WiFi клиентам в интернет, развязанный с LAN.
wifi_client -> DWL3200 -> catalyst3560 -> catalyst3750 -> ASA
Точка доступа позволяет создать до 8 VLAN (включая primary).
Создаю Multi-SSID1 на DWL3200. Назначаю ему SSID Guest и VLAN ID 100. WiFi клиент SSID видит, пытается подключиться и получить адрес по DHCP, понятное дело, обламывается, потому что DHCP в VLAN ID 100 нет. Прописываю адрес ручками.
На порту catalyst3560, к которому подключена точка прописываю:
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan add 100
То же самое прописываю на порту catalyst3560, патчкорд которого идет в catalyst3750.
И, наконец, на catalyst3750 прописываю то же самое на порту, патчкорд которого идет в catalyst3650 и на порту, патчкорд которого идет в ASA.
И нихрена не работает :(
Вопрос: где я что упустил?

Содержание

Гостевой VLAN,gfh, 08:22 , 14-Ноя-14
- Гостевой VLAN,Alting, 09:46 , 14-Ноя-14
  - Гостевой VLAN,VolanD, 10:02 , 14-Ноя-14
    - Гостевой VLAN,Alting, 11:59 , 14-Ноя-14
      - Гостевой VLAN,VolanD, 12:07 , 14-Ноя-14
      - Гостевой VLAN,VolanD, 12:08 , 14-Ноя-14
        
        Гостевой VLAN,Alting, 14:25 , 14-Ноя-14
Гостевой VLAN,ShyLion, 11:47 , 14-Ноя-14
- Гостевой VLAN,Alting, 12:04 , 14-Ноя-14
  - Гостевой VLAN,Merridius, 01:29 , 15-Ноя-14
    - Гостевой VLAN,Alting, 14:22 , 17-Ноя-14

Сообщения в этом обсуждении

"Гостевой VLAN"
Отправлено gfh , 14-Ноя-14 08:22

Судя по вашим объяснениям всё это терминируется на ASA, там у вас что прописано?

"Гостевой VLAN"
Отправлено Alting , 14-Ноя-14 09:46

> Судя по вашим объяснениям всё это терминируется на ASA, там у вас
> что прописано?
Ну, что бы там сейчас не было прописано (если имеется ввиду firewall), значение это пока что мало имеет.
Потому что ни с одной из промежуточных точек (включая саму DWL3200) я не могу даже пропинговать устройство, подключенное к гостевому WiFi (пока нет DHCP в этом VLAN, я ручками прописал на устройстве IP и оно подключилось).
Вот и думаю... То ли в каталистах дело, то ли все же в неверной настройке точки доступа...

"Гостевой VLAN"
Отправлено VolanD , 14-Ноя-14 10:02

>> Судя по вашим объяснениям всё это терминируется на ASA, там у вас
>> что прописано?
> Ну, что бы там сейчас не было прописано (если имеется ввиду firewall),
> значение это пока что мало имеет.
> Потому что ни с одной из промежуточных точек (включая саму DWL3200) я
> не могу даже пропинговать устройство, подключенное к гостевому WiFi (пока нет
> DHCP в этом VLAN, я ручками прописал на устройстве IP и
> оно подключилось).
> Вот и думаю... То ли в каталистах дело, то ли все же
> в неверной настройке точки доступа...
МАКи в видите клиентские? На всех каталистах?

"Гостевой VLAN"
Отправлено Alting , 14-Ноя-14 11:59

>[оверквотинг удален]
>>> что прописано?
>> Ну, что бы там сейчас не было прописано (если имеется ввиду firewall),
>> значение это пока что мало имеет.
>> Потому что ни с одной из промежуточных точек (включая саму DWL3200) я
>> не могу даже пропинговать устройство, подключенное к гостевому WiFi (пока нет
>> DHCP в этом VLAN, я ручками прописал на устройстве IP и
>> оно подключилось).
>> Вот и думаю... То ли в каталистах дело, то ли все же
>> в неверной настройке точки доступа...
> МАКи в видите клиентские? На всех каталистах?
Нет, не вижу (

"Гостевой VLAN"
Отправлено VolanD , 14-Ноя-14 12:07

>[оверквотинг удален]
>>> Ну, что бы там сейчас не было прописано (если имеется ввиду firewall),
>>> значение это пока что мало имеет.
>>> Потому что ни с одной из промежуточных точек (включая саму DWL3200) я
>>> не могу даже пропинговать устройство, подключенное к гостевому WiFi (пока нет
>>> DHCP в этом VLAN, я ручками прописал на устройстве IP и
>>> оно подключилось).
>>> Вот и думаю... То ли в каталистах дело, то ли все же
>>> в неверной настройке точки доступа...
>> МАКи в видите клиентские? На всех каталистах?
> Нет, не вижу (
Почему?

"Гостевой VLAN"
Отправлено VolanD , 14-Ноя-14 12:08

>[оверквотинг удален]
>>> Ну, что бы там сейчас не было прописано (если имеется ввиду firewall),
>>> значение это пока что мало имеет.
>>> Потому что ни с одной из промежуточных точек (включая саму DWL3200) я
>>> не могу даже пропинговать устройство, подключенное к гостевому WiFi (пока нет
>>> DHCP в этом VLAN, я ручками прописал на устройстве IP и
>>> оно подключилось).
>>> Вот и думаю... То ли в каталистах дело, то ли все же
>>> в неверной настройке точки доступа...
>> МАКи в видите клиентские? На всех каталистах?
> Нет, не вижу (
На каталистах влан добавили в базу?

"Гостевой VLAN"
Отправлено Alting , 14-Ноя-14 14:25

>[оверквотинг удален]
>>>> значение это пока что мало имеет.
>>>> Потому что ни с одной из промежуточных точек (включая саму DWL3200) я
>>>> не могу даже пропинговать устройство, подключенное к гостевому WiFi (пока нет
>>>> DHCP в этом VLAN, я ручками прописал на устройстве IP и
>>>> оно подключилось).
>>>> Вот и думаю... То ли в каталистах дело, то ли все же
>>>> в неверной настройке точки доступа...
>>> МАКи в видите клиентские? На всех каталистах?
>> Нет, не вижу (
> На каталистах влан добавили в базу?
Так, наврал я Вам. Все вижу.
Я путаюсь, похоже, совсем в других вещах.
Я же и не увижу IP-шники "гостей", пока не подключу в тот же VLAN на каком-либо порту какое-либо устройство в том же VLAN.
Вот сейчас сижу, колдую.

"Гостевой VLAN"
Отправлено ShyLion , 14-Ноя-14 11:47

>[оверквотинг удален]
> WiFi клиент SSID видит, пытается подключиться и получить адрес по DHCP,
> понятное дело, обламывается, потому что DHCP в VLAN ID 100 нет.
> Прописываю адрес ручками.
> На порту catalyst3560, к которому подключена точка прописываю:
> switchport trunk encapsulation dot1q
> switchport mode trunk
> switchport trunk allowed vlan add 100
> То же самое прописываю на порту catalyst3560, патчкорд которого идет в catalyst3750.
> И, наконец, на catalyst3750 прописываю то же самое на порту, патчкорд которого
> идет в catalyst3650 и на порту, патчкорд которого идет в ASA.
DHCP в этой схеме может быть где угодно. Вопрос в том - где?
Точка доступа только один вилан обслуживать будет? А управление ей в каком вилане?
Зачет транк _между свичами_ только один вилан пропускает? Как управлять свичем? На нем никого кроме точки?

"Гостевой VLAN"
Отправлено Alting , 14-Ноя-14 12:04

>[оверквотинг удален]
>> Прописываю адрес ручками.
>> На порту catalyst3560, к которому подключена точка прописываю:
>> switchport trunk encapsulation dot1q
>> switchport mode trunk
>> switchport trunk allowed vlan add 100
>> То же самое прописываю на порту catalyst3560, патчкорд которого идет в catalyst3750.
>> И, наконец, на catalyst3750 прописываю то же самое на порту, патчкорд которого
>> идет в catalyst3650 и на порту, патчкорд которого идет в ASA.
> DHCP в этой схеме может быть где угодно. Вопрос в том -
> где?
DHCP пока что вопрос десятый
> Точка доступа только один вилан обслуживать будет? А управление ей в каком
> вилане?
Нет, не один. Она обслуживает дефолтный VLAN и с этим все хорошо. VLAN 100 выделен под отдельный WiFi SSID (точка позволяет сконфигурировать до 8 отдельных SSID, не связанных между собой). LAN порт точки находится в локальной сети и дефолтном VLAN + я прописал еще на тот же порт на каталисте, куда воткнут LAN порт точки пропускать кроме дефолтного еще и VLAN100.
> Зачет транк _между свичами_ только один вилан пропускает? Как управлять свичем?
См. выше. Я настроил пропускать, кроме дефолтого и VLAN100 на том порту, куда воткнута точка, на том порту, которая соединяется с 3750 и далее по цепочке.
>На нем никого кроме точки?
Нет, конечно, на этом свиче еще два VLAN.
Все же, повторю, у меня такое чувство, что я что-то неправильно именно на точке настроил.
Подключил два устройства по WiFi к гостевому SSID, они друг друга замечательно видят.
А вот их не видно даже с консоли точки доступа.

"Гостевой VLAN"
Отправлено Merridius , 15-Ноя-14 01:29

>[оверквотинг удален]
> См. выше. Я настроил пропускать, кроме дефолтого и VLAN100 на том порту,
> куда воткнута точка, на том порту, которая соединяется с 3750 и
> далее по цепочке.
>>На нем никого кроме точки?
> Нет, конечно, на этом свиче еще два VLAN.
> Все же, повторю, у меня такое чувство, что я что-то неправильно именно
> на точке настроил.
> Подключил два устройства по WiFi к гостевому SSID, они друг друга замечательно
> видят.
> А вот их не видно даже с консоли точки доступа.
Выложи, для начала, конфиги коммутаторов, фаерволла и ТД.
Если топологию нарисуешь, то будет вообще хорошо.

"Гостевой VLAN"
Отправлено Alting , 17-Ноя-14 14:22

>[оверквотинг удален]
>> далее по цепочке.
>>>На нем никого кроме точки?
>> Нет, конечно, на этом свиче еще два VLAN.
>> Все же, повторю, у меня такое чувство, что я что-то неправильно именно
>> на точке настроил.
>> Подключил два устройства по WiFi к гостевому SSID, они друг друга замечательно
>> видят.
>> А вот их не видно даже с консоли точки доступа.
> Выложи, для начала, конфиги коммутаторов, фаерволла и ТД.
> Если топологию нарисуешь, то будет вообще хорошо.
В общем, как я и подозревал, дело было не в консерватории, а в оконечке.
На каталистах все верно было настроено.
Приношу свои искренние извинения всем, кого заставил потратить свое время на меня-дурака.
Все заработало!