WLC-Tunnel und eingehender UDP Traffic

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,
Leider können wir den Traffic als Workaround auch nicht blocken, da z.B. gerade "WLAN Call" ein Feature ist, welches beim Kunden in Industriehallen eingesetzt wird, um über das Handy weiter erreichbar zu sein.
Ja WLAN Call Probleme haben wir auch...
Auch Probleme mit VPN (UDP) aus dem WLAN.


Ich habe die Traces noch nicht weiter daraufhin analysiert, ich habe hier fast 20 GB Trace und Wireshark Daten.
Das dauert ....

Lass uns mal reden ...

Viele Grüße

TS
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Hi TS,

es gibt vorsichtig-optimistische Neuigkeiten von unserer Seite.

Ich habe vom Lancom Support die Bitte bekommen, das IPv4-Netzwerk nicht direkt auf das WLC-Tunnel Interface zu legen, sondern auf eine Bridge-Gruppe, in der wiederum ausschließlich der WLC-Tunnel Mitglied ist. Ist das evtl. schon ein Ergebnis aus eurem Support-Call?

Nach einem ersten Versuch mit einem Kollegen vor Ort, sieht das erstmal ganz gut aus. Während ich vorher noch diverse UDP-Pakete im CAPWAP-Trace kreuz und quer an diverse APs gesehen habe, verschwanden die nach der oben erwähnten Konfigurationsanpassung. Ich komme aber gerade nicht dazu, noch weitere Traces im Detail anzuschauen.

Ich werde das Verhalten morgen weiter beobachten und nochmal kurz Rückinfo geben.

Grüße,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,
Ich habe vom Lancom Support die Bitte bekommen, das IPv4-Netzwerk nicht direkt auf das WLC-Tunnel Interface zu legen, sondern auf eine Bridge-Gruppe, in der wiederum ausschließlich der WLC-Tunnel Mitglied ist. Ist das evtl. schon ein Ergebnis aus eurem Support-Call?
Ja genau :-)

Wichtig ist , das Du die Bridge aus dem isolierten Modus in den "Standard-Modus" versetzt.
Schnittstellen > LAN > LAN-Bridge
Das hatte ich erst übersehen und dannach ging im WLAN kein DHCP mehr.

Jetzt scheint es zu gehen. Ich werde auch noch tracen ...

Man sollte wohl WLC-Tunnel immer auf BridgeGroups legen.
Wobei, es gibt nur 8 Bridges, aber 32 WLC Tunnel.
Also müssen wir uns merken, das bei 8 WLC Tunneln unter Last Schluss ist.

Jetzt habe ich kaum WLC Last, wobei es ja auch schon wieder nach 16:00 Uhr ist ...

So richtig verstanden habe ich noch nicht, warum es so eingestellt werden muß.
Kann dss jemand tiefgründig erklären?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Moin TS,

wir sehen heute auf den Systemen sehr viel weniger CAPWAP-Traffic als die letzten Wochen. Scheint so, als wäre die Bindung des IPv4-Netzwerkes an die Bridge-Gruppe eine mögliche Lösung. Und auch in Traces sehe ich nun eine klare und nachvollziehbare Verteilung des CAPWAP-Data Traffics.

Aber ja ... wie du schon sagst ... es gibt wesentlich mehr WLC-Tunnel Interfaces, als Bridge-Gruppen. Bin mal gespannt, ob sich da in künftigen LCOS-Versionen nochmal was verändert. Derzeit ist diese Konfiguration in unserem Szenario kein Problem.

Vielen Dank für die Unterstützung und das Teilen von deinem Support-Call!

Grüße,
Norman.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von tstimper »

Hi Norman,
Vielen Dank für die Unterstützung und das Teilen von deinem Support-Call!
Vielen Dank Dir auch, gerne wieder.... Es war sehr hilfreich, das ich auf einen zweiten Case verweisen konnte.
Insbesondere, da Ihr in Eurem System ja (noch?) keine LX APs habt.
In unserem Fall hatten wir auch erst wieder LX Probleme vermutet....

Aber ja ... wie du schon sagst ... es gibt wesentlich mehr WLC-Tunnel Interfaces, als Bridge-Gruppen. Bin mal gespannt, ob sich da in künftigen LCOS-Versionen nochmal was verändert. Derzeit ist diese Konfiguration in unserem Szenario kein Problem
Also wenn man das 1:1 bauen müsste, wäre inter Tat derzeit bei 8 WLC-Tunneln Schluss.

Das Problem besteht ja "nur" bei UDP Traffic. Wenn also jemand z.b. 4 WLC Tunnel auf eine Bridge hängt und auser DNS und NTP kein UDP Traffic anfällt, könnte man damit leben. Also z.b. Messstellen oder WLAn Scanner, die im Lager nur alle 5 Minuten was scannen und wo nie WLAN Call und VPN gemacht wird.

Also SSIDs, in denen viel UDP Traffic anfällt, müssen so über eine Bridge angebunden werden.

In einer Industrieumgebung mit der Notwendigkeit von mehr als 8 SSIDs würde ich dann die WLAN-Call / VPN Client SSID über eine Bridge anbinden,
WLAN Scanner z.b. über eine eigene SSID / WLC-Tunnel und direkt binden...

Aber nur, wenn ich wirklich WLC-Tunnel brauche und wirklich mehr als 8 SSIDs.

Bei uns sieht es auch grad gut aus...

Kurze Frage, die Layer 7 Anwendungserkennung hast du aus oder? ICh schate dir nur ganz kurz testweise ein und habe da für CAPWAP im Port Based Tracking die 1027 nachgetragen.

Die Layer 7 Anwendungserkennung kann erhebliche Last erzeugen...

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
lonesome_walker
Beiträge: 50
Registriert: 15 Mai 2012, 09:42

Re: WLC-Tunnel und eingehender UDP Traffic

Beitrag von lonesome_walker »

Hi TS,

ich denke auch, dass es ein günstiger Zufall war, dass unsere beiden Support-Fälle gleichzeitig existiert haben. Man muss auch mal Glück haben ..! ;-)

Wir haben bisher keinen Anwendungsfall für die leistungsstärkeren LX AccessPoints, von daher ist nichts derartiges geplant. Die Bandbreite der L-322agn reicht uns aktuell aus.

Die Layer-7-Anwendungserkennung haben wir nirgends aktiv, da alle UTM-artigen Dinge bei dem Kunden durch andere Firewalls abgedeckt sind. Das ist aber sicher ein guter Tipp, falls noch Andere auf den Thread aufmerksam werden.

Grüße,
Norman.
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“