UnifiAP+Vlan+CISCO | Ubiquiti форум UBNT: инструкции, настройка

UnifiAP+Vlan+CISCO

krbofos

новичок
15 Ноя 2016
12
0
3
48
Дано: CISCO 2911 с вот такими настройками интерфейса (лок. сеть и сеть для вифи)
interface GigabitEthernet0/0.1
description LAN
encapsulation dot1Q 1 native
ip address 192.168.200.1 255.255.255.0
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/0.222
description OpenWiFi
encapsulation dot1Q 222
ip address 192.168.222.1 255.255.255.0
ip access-group Net222 in
ip access-group Net222 out
ip nat inside
ip virtual-reassembly in
Несколько точек UnifiAP и UnifiAPLR (скриншоты настроек в прикрепленных файлах)
Если этот порт на циске воткнуть в упр. коммутатор и в этот же коммутатор включить точку доступа , включив эти порты в влан 222, а на точке настроить вифи через соотв. влан (ID 222), то всё работает как положено(т.е. точка получает адрес и управляется из лок.сети, а вифи раздает через влан). При этом, если точку включить не напрямую, а через цепочку тупых коммутаторов, также всё продолжает работать.
НО, если точку включить вместе с CISCO в неуправляемый коммутатор или даже напрямую в роутер (порт-в-порт), то влан222 не работает., хотя точка в лок. сети видна и управляется.
Проверялось с разными коммутаторами и на нескольких моделях роутера (2911, 3925, 3945).
Почему точки отказываются работать с тегированным циской трафиком?
 

Вложения

andy.alex

участник
25 Дек 2014
96
8
10
В первую очередь всегда рисуйте схему, для общего понимания построения сети.
На коммутаторе у вас порт в tag и untag идет я так понимаю!?
Уж извините, но как-то много сумбура.
Неуправляйки тут точно не причем,они проспускают и таг и антаг.
Циску в качестве чего вы используете?
 
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
На коммутаторе у вас порт в tag и untag идет я так понимаю!?
Нет, на коммутаторе tag-tag, во вложении скриншот, 1-й порт - циска, 19-й - точка, и в этом варианте всё работает.
Если вместо этого коммутатора воткнуть неуправляемый - точка управляется, но сети через 222 влан нет.
 

Вложения

andy.alex

участник
25 Дек 2014
96
8
10
Нет, на коммутаторе tag-tag, во вложении скриншот, 1-й порт - циска, 19-й - точка, и в этом варианте всё работает.
Если вместо этого коммутатора воткнуть неуправляемый - точка управляется, но сети через 222 влан нет.
Вместо этого это какого именно,циски?
Циска у Вас в роли маршрутизатора выступает?
 
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
Циска - маршрутизатор
на скриншоте управляемый коммутатор, закладка с 222-м вланом, через который раздается инет для вифи - вот такая конфигурация полностью рабочая. Если же вместо управляемого воткнуть тупой - то связь через 222 влан прекращается.
 

andy.alex

участник
25 Дек 2014
96
8
10
Очень странно честно говоря. Использую микротики как с управляемыми так и нет свитчами и обе сетки(управление и wifi) всегда работают.
Только вот нюанс у меня с маршрутизатора отдается тагом влан под wi-fi, а антагом идет управление.
 
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
Только вот нюанс у меня с маршрутизатора отдается тагом влан под wi-fi, а антагом идет управление.
Анналогично. Вот только если тегирует трафик роутер CISCO, то точка этот влан не видит.
А если влан сделан с помощью коммутатора. то всё ОК.
 

andy.alex

участник
25 Дек 2014
96
8
10
Анналогично. Вот только если тегирует трафик роутер CISCO, то точка этот влан не видит.
А если влан сделан с помощью коммутатора. то всё ОК.
Так а если отдать с циско сеть управления антагом, а сеть wi-fi тагом и на контроллере прописать этот влан в разделе wi-fi ?!
 
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
Так а если отдать с циско сеть управления антагом, а сеть wi-fi тагом и на контроллере прописать этот влан в разделе wi-fi ?!
Дружище, посмотри первый пост и вложения - там именно так и сделано, с конкретными ИП-адресами для уменьшения путаницы при обсуждении.
У меня более 30 точек в разных местах, и везде одна и та же петрушка - через умный коммутатор работают, через тупой - нет.
 

Ra1n

участник
4 Ноя 2017
16
11
5
Доброго времени суток, уважаемые, разрешите вторгнуться в ваш активный и увлекательный диалог.
krbofos, в Вашем вопросе кроется ответ. А именно: "циске воткнуть в упр. коммутатор и в этот же коммутатор включить точку доступа ... [блаблабла]... то всё работает". Очевидно, что Ваш управляемый коммутатор взаимодействует с тегированным трафиком циски, точкой и неуправляемыми несколько иначе, чем сама Циска.
Т.е. ответ кроется в отличиях реализации (и настройки) VLAN в самой циске и коммутаторе-нециске.
Я не специалист по cisco, но такое впечатление, что trunk port в режиме "auto": 222 VLAN отваливается, "хотя точка в лок. сети видна и управляется". Trunk port должен быть в режиме trunk или nonegotiate, иначе "trunk применяться не будет.".
Не все устройства поддерживают DTP, либо могут некорректно передавать DTP фреймы, в таком случае лучше задать режим (access или trunk) принудительно командами «switchport mode access» или «switchport mode trunk» в режиме конфигурации интерфейса, и отключить передачу DTP фреймов командой «switchport nonegotiate».
Т.е. должно быть нечто такое:
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 1,222
switchport trunk native vlan 1
switchport nonegotiate
no shutdown
https://habrahabr.ru/post/263431/
Братья наши буржуи тоже с таким сталкивались: "Cisco uses vlan 1 for many many things and it's better if you don't use it in your production env. ... [блаблабла]... You can create a new (isolated) vlan for WIFI management (just put the controller and a DHCP server to this vlan and that's all you need) and set is as native vlan on wifi uplink ports."
Т.е. рекомендуют вообще отказаться от native vlan 1, соответственно перенастроив аплинки точек.
PS VTP pruning выключен?
 
Последнее редактирование:
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
Ra1n, спасибо за развернутый совет.
НО, команды switchport относятся к порту в коммутаторе, а у меня роутер с полноценным GigabitEthernet-интерфейсом.
Всё указывает на то, что именно роутер тегирует трафик как-то по-другому, в отличие от коммутаторов, потому что даже коммутаторы CISCO нормально работают с точками.
 

Ra1n

участник
4 Ноя 2017
16
11
5
Интересно сравнить, что показывает в обоих случаях подключения:
show vlan
show ip interface brief
show interface GigabitEthernet 0/0.222
Наличие коммутатора "помогает" поднять транк? Не думаю, что роутер тегирует по-другому, encapsulation dot1Q указано в конфигурации.

PS Я ссылку на хабр приводил https://habrahabr.ru/post/263431/
"cisco(config-if)#switchport mode trunk"
там "Router Cisco 2901"
 
Последнее редактирование:
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
ROUTER-AUP3945e#sh vlan
% Ambiguous command: "sh vlan"
ROUTER-AUP3945e#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 unassigned YES NVRAM up up
GigabitEthernet0/0.1 192.168.123.1 YES NVRAM up up
GigabitEthernet0/0.222 192.168.222.1 YES NVRAM up up
GigabitEthernet0/1 unassigned YES manual up up

ROUTER-AUP3945e#sh int gi0/0.222
GigabitEthernet0/0.222 is up, line protocol is up
Hardware is iGbE, address is 30f7.0d59.5a80 (bia 30f7.0d59.5a80)
Description: OpenWiFi
Internet address is 192.168.222.1/24
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec,
reliability 255/255, txload 9/255, rxload 6/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 222.
ARP type: ARPA, ARP Timeout 04:00:00
Keepalive set (10 sec)
Last clearing of "show interface" counters never
Нет никаких изменений в выводе команд при подключении точки напрямую либо через коммутатор (см спойлер)
 

Ra1n

участник
4 Ноя 2017
16
11
5
Не ожидал up/up на 222 субинтерфейсе в обоих случаях. Учитывая слова с форума cisco, подумал, что ответ тут:
When an SVI is created, it does not automatically create a VLAN in the Layer 2 database. In order for an SVI to come up, a VLAN must be created in VLAN database mode or (in later Cisco IOS Software releases) in global configuration mode. In order for the SVI to be fully active, which means that it is administratively up and line protocol is up, make sure to have at least one port as a member of that VLAN, with an active device connected to the port.
https://www.cisco.com/c/en/us/support/docs/lan-switching/vlan/10023-3.html#isolayer3
 
Автор
K

krbofos

новичок
15 Ноя 2016
12
0
3
48
Эта статья относится к коммутаторам серии Catalyst, а также к роутерам, в которые установлены соотв. модули расширения.
В обычных более-менее современных роутерах для создания влана достаточно буквально пары строк типа:
interface GigabitEthernet0/0.222
encapsulation dot1Q 222
ip address 192.168.222.1 255.255.255.0
У меня есть несколько интернет-провайдеров, которые мне раздают интернет тегированным, и для начала работы достаточно написать эту пару строк с соотв. IP. Всё заводится и работает без проблем. Затык только с этими точками.
Интересно, а разработчики оборудования либо люди, приближенные к ним, посещают хотя бы изредка этот форум?