====== WLAN via blauem Netz mit Cisco WLC2504 und Copspot ====== Ziel ist es, ein WLAN WLC - System 2504 mit 5 APs (1242 Lighweight) im blauen Netz zu betreiben, so dass Lehrer und ggf. Schüler über einen zentral gesteuerten WLAN-Zugang verfügen. Die vorbereitenden Schritte zur Einrichtung des Copspot und des IPCop sind ja bereits hier im Wiki unter [[copspot|XP-WLAN-Client im Blauen Netz via IPCOP-Copspot/WLAN-Hotspot-Portal / SICHER!]] beschrieben. Voraussetzung ist, dass an der Schule ein Netz mit VLANs betrieben wird (VLAN für Management, VLAN für grünes Netz, VLAN für blaues Netz ...). Bei uns sind die Räume über mehrere Gebäude verteilt und laufen dann zentral in einem Serverraum zusammen. Hierzu sind entsprechende Switches mit o.g. VLANs einzusetzen. Der WLC-Controller kommt nun an dem Switch im Serverraum zum Einsatz. Zwischen den Switches sind die LWL-Ports als Trunks konfiguriert. Die Switchports Kupfer sind ansonsten als Access-Ports eingerichtet. Der WLC-Controller verfügt nun über vier Ports. Diese WLC-Ports müssen nun auf einen Switch aufgelegt werden, dessen Ports dann als Trunk - Ports eingerichtet werden. Dies liegt darin begründet, dass der WLC-Controller die Pakete als tagged packets über seine definierten Ports rausschickt. Auf dem gleichen Switch sind dann auch Ports für das VLAN des blauen Netzes zu konfigurieren. Hier läuft dann auch die blaue Schnittstelle des IPCop auf. Der WLC benötigt einen Port als Management Interface. Zugleich wird dieser Port als AP Manager Interface eingerichtet. Die gesamte Kommunikation der APs erfolgt über diesen AP Manager Port - also ggf. wie hier benannt Port 1 des WLC. Dies bedeutet, dass die APs in den Räumen auf Switchports zu patchen sind, die im Management VLAN der Schule - also z.B. VLAN 99 - als access ports definiert sind. Der WLAN_Datenverkehr soll also über ein eigenes VLAN tranportiert werden. Hierzu ist im WLC ein entsprechendes WLAN zu definieren und dann einem Interface zuzuordnen. Dieses Interface wäre dann z.B. wlan40 und greift auf den Port 2 des WLC zu der dem VLAN 40 zugeordnet wurde. Die Trennung in die verschiedenen VLANs erfolgt also über den WLC - Controller, der die Pakete mit VLAN-Tags über einen Trunk schickt. WLC: VLAN-Tags mit Zuordnung zu Ports -> Ports werden auf Trunk-Ports gepatcht und Pakete werden dann mit den Tags weitergeleitet und können am Switchport aus dem jeweiligen VLAN genutzt werden. Schliesst man z.B. einen Laptop direkt am Port 1 des WLC an, der als Management-Port konfiguriert wurde und einem VLAN zugewiesen wurde, so ist der WLC vom Laptop aus und umgekehrt nicht erreichbar (Begründung sieh oben). Es sollte auf den Switches über die Trunks nur der Datenverkehr der tatsächlich genutzten VLANs zugelassen werden. Ist das WLAN richtig eingerichtet mit einer Adresse aus dem Bereich 172.16.16.x/24 und als DHCP-Server die IP 172.16.19.1 eingetragen, so erhalten die WLAN Clients eine IP zugewiesen und erhalten bei Aufruf des Browsers die Copspot - Anmeldung und können dann auf das WLAN via blauer Schnittstelle zugreifen. Vorteil ist, dass die APs zentral konfiguriert werden können. Die o.g. Cisco APs werden mit einem IOs ausgeliefert, das diese als Standalone-APs betreibt. Daher ist zuvor das Image der APs auf ein Image für Lightweight APs zu ändern. Die APs kommunizieren dann via LWAPP - Protokoll mit dem Controller über das Management - Interface und erhalten so dann auch Image-Aktualisierungen und Konfigurationsänderungen.