Verbindungsprobleme im VLAN

Neulich wollte ich einen WLAN-Accesspoint (AP) in Betrieb nehmen, aber dieser bekam nicht einmal eine Adresse über DHCP.

Zunächst schaute ich am DHCP-Server nach. Dieser bekam die Anfragen vom AP und antwortete auch. Dennoch bekam der AP keine IP-Adresse und versuchte es wieder und wieder.

Als nächstes vermutete ich ein Problem auf dem Rückweg. Dazu verband ich mich über einen zweiten Ethernet-Port mit dem AP und schnitt dort den Netzverkehr mit.

Im Mitschnitt sah ich die DHCP-Anfragen vom AP und die Antworten vom DHCP-Server. Dennoch akzeptierte der AP die Antworten nicht.

Als nächstes öffnete ich den Mitschnitt mit Wireshark um mir die Details anzusehen.

Oberflächlich sah alles gut aus, also machte ich mich bereit die DHCP-Antwort genauer zu inspizieren.

Dabei fiel mir etwas auf.

Die Antwort vom DHCP-Server kam in einem getaggten Frame nach IEEE 802.1Q. Die Anfrage ging jedoch in einem normalen Ethernet-Frame hinaus.

Das erklärte, warum der AP die DHCP-Antwort nicht akzeptierte, er wartete auf einen normalen Ethernet-Frame und ignorierte die getaggten Frames.

Der Switch bot an diesem Port mehrere VLANs an, das VLAN für den AP war zwar auf untagged eingestellt, der Switchport führte das betreffende VLAN jedoch zusätzlich getaggt.

Somit leitete der Switch die Anfragen zwar im richtigen VLAN zum DHCP-Server, die Antwort ging jedoch als getaggter Frame hinaus.

Auch wenn es - oberflächlich betrachtet - gut aussah, musste ich erst genau hinschauen um das grundätzliche Problem zu erkennen. Es reichte nicht, den ersten Anschein als gegeben hinzunehmen.

Als erste Abhilfe habe ich an diesem Port zunächst alle Zuweisungen für getaggte VLANs entfernt, und dann bekam der AP seine IP-Adresse per DHCP.

Wenn er eingerichtet ist und funktioniert, kann ich die VLAN in einem Folgeprojekt direkt an den AP heranführen. Bis dahin übernimmt der WLAN-Controller (WLC) die Verteilung der Datagramme auf die VLANs.