Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Aufbau controllerbasiertes WLAN, Controller und Access Points in eigenes VLAN

Mitglied: PSaR04

PSaR04 (Level 1) - Jetzt verbinden

15.10.2012 um 20:31 Uhr, 4372 Aufrufe, 12 Kommentare

Hallo,

ich habe eine Frage zur Einrichtung eines controllerbasierten WLAN-Netzwerks und würde gerne mal eure Meinung dazu hören: Ist es sinnvoll oder bringt es irgendwelche Vorteile bzw. Nachteile die WLAN-Hardware, also Controller, Access Points und evtl. Radius-Server in ein eigenes VLAN zu setzten? Über dieses VLAN soll dann nur die Kommunikation zwischen der WLAN-Infrastruktur-Hardware stattfinden, also etwa Synchronisierung der Konfiguration usw., die Nutzerdaten gehen durch separate VLANs.
Mitglied: aqui
15.10.2012 um 21:14 Uhr
Das ist nicht nur sinnvoll das MUSST du sogar so machen und ist eine gängige Vorgehensweise. Andernfalls würde sich das management VLAN für das WLAN bzw. die Komponeten in einem Produktiv VLAN befinden, was ein absolutes NoGo ist allein schon aus Sicherheitsgründen.
Dieses Design setzt man immer so egal ob die Accesspoints im Tunnelmode oder mit Local Termination betrieben werden.
Das management VLAN benötigst du immer !
Bitte warten ..
Mitglied: MrNetman
15.10.2012 um 23:22 Uhr
nimm nur nicht zu viele SSIDs, da jede für sich eine Grundlast in einem gesharten Medium erzeugt.
Bitte warten ..
Mitglied: PSaR04
16.10.2012, aktualisiert um 01:17 Uhr
Hallo,danke für die Antwort. Dann kommt bei mir aber noch eine Frage auf: Wie gehe ich am Besten vor, wenn das Management-VLAN über einen Router hinweg ausgedehnt werden muss (2. Gebäude, 1 Gbit LWL-Anbindung)? Es soll dann local Termination eingesetzt werden, ich habe aber im Handbuch des Controllers gelesen, dass automatisch ein Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt. Das ganze müsste also so sein, dass der Router in dem Mgmt-VLAN gar nicht wahrgenommen wird. Ich hatte als erstes an Subinterfaces auf dem Router gedacht, aber dann bekommt man von dem Router ja immer noch was mit.
Bitte warten ..
Mitglied: spacyfreak
16.10.2012, aktualisiert um 06:51 Uhr
Das ist eine Frage des Designs und der Praktikabilität.
Man kann es auch recht kompliziert aufziehen wenn einem danach ist - besser wirds dadurch nicht, eher fehleranfälliger.
So genannte "NoGos aus sicherheitsgründen" sind auch recht dehnbar, jede Firma wird das ein bisschen anders sehen, was als "sicher genug" oder als "unsicher" anzusehen ist. Hier muss jeder selber entscheiden, welche potentiellen Risiken in seiner Umgebung existieren oder nicht existieren und welche Massnahmen man im spezifischen Fall für "ausreichend sicher" oder "eher vernachlässigbar" ansehen möchte. Wichtig ist lediglich, die IT Verantwortlichen verständlich über potentielle Risiken zu informieren (die meistens eher akademischer Natur sind), hier nicht übervorsichtig zu sein (Anfängerfehler..) und vor lauter Sicherheits-Panik den Dienst quasi unbrauchbar zu machen. Manche Dinge wie "völlig offenes WLAN" dagegen sind NoGos, da hilft gelegentlich der gesunde Menschenverstand, Fachwissen und Erfahrung, ein gesundes Verhältnis zwischen Wirtschaftlichkeit, Sicherheit und Handhabbarkeit zu ermitteln.

Wenn ich beispielsweise in Marseilles Urlaub machen will würde ich das Auto wohl in eine überwachte Tiefgarage stellen und nicht auf offener Strasse.
In Hintertupfing kann ich das Auto jedoch auch unabgeschlossen vor dem Haus abstellen, die Chance dass einer nachts ins Auto kackt ist recht gering.
So ist halt alles "relativ" und man passt seine Paranoia der Umgebung und der Realität an. Wer das anders handhaben will kann dies gerne tun - wir sind ein freies Land!

In meiner Umgebung ist es so dass es völlig unerheblich ist, in welchem VLAN der Access Point hängt.
Er hängt im ganz normalen User-LAN und ist so sehr flexibel einsetzbar ohne viele Umstände (Switchport umkonfigurieren entfällt wenn man einen der mobilen APs mal wo anders betreiben will).
Der AP tunnelt den relevanten WLAN Traffic eh zum WLAN Controller, der in einem anderen Netz steht.

DHCP kann vom WLC via DHCP Relay angesprochen werden und den WLAN Clients IP verpassen.
An externen Standorten laufen die APs im HREAP Modus und die Clients erhalten dort die IP vom lokalen DHCP.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 08:11 Uhr
Zitat von PSaR04:
Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt.
Aber, wenn das VLAN der Verbindung im Wege steht, dann klappt das mit den Routen nicht.
Ja, gute Controller können über den Layer 3 hinweg die APs managen. Das ist auch logisch, da die Kommunikation nicht mehr zwischen den APs sondern via den Controller läuft. Hier ist nicht die Nutzlast sondern das Management gemeint (Login, Handover, Lastverteilung, upgrades, ...).
Das geht sogar so weit, dass man über größere Infrastrukturen die selben Zugangsdaten aber getrennte Broadcastdomänen nutzen kann.

Gruß
Netman
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 10:49 Uhr
Zitat von MrNetman:
> Zitat von PSaR04:
> Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt.
Aber, wenn das VLAN der Verbindung im Wege steht, dann klappt das mit den Routen nicht.
Ja, gute Controller können über den Layer 3 hinweg die APs managen. Das ist auch logisch, da die Kommunikation nicht
mehr zwischen den APs sondern via den Controller läuft. Hier ist nicht die Nutzlast sondern das Management gemeint (Login,
Handover, Lastverteilung, upgrades, ...).
Das geht sogar so weit, dass man über größere Infrastrukturen die selben Zugangsdaten aber getrennte
Broadcastdomänen nutzen kann.

Gruß
Netman

Ich habe aber in der Anleitung des HP MSM760 folgendes gelesen (Seite 106, http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c0352263 ...):
When a VSC is access-controlled, client traffic that is sent between the AP and controller can
be carried in the client data tunnel. This provides the following benefits:
• User traffic is segregated from the backbone network and can only travel to the controller.
• Underlying network topology is abstracted enabling full support for L2-connected users
across routed networks.
The client data tunnel is always used when the connection between a controlled AP and its
controller traverses at least one router. The client data tunnel supports NAT traversal, so it can
cross routers that implement NAT.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 11:14 Uhr
Sehe jetzt keine Widerspruch zu den vorherigen Ausführungen.
Can be carried in the client data tunnel. Wird also bei Bedarf vom Rest getrennt.
Der normale L2 Betrieb wird abstrahiert um die Roomingfähigkeit, also den typischen WLAN-Aufbau trotz L3 Netz zu gewährleisten. Bei L3 Infrastrukturen muss immer ein Tunnel bestehen. Ob der aber die Benutzerdaten transportieren soll, ist Designsache.
Abhängig von der Größe des Netzwerks kann man eben verschiedene Szenarien wählen.
Bitte warten ..
Mitglied: aqui
16.10.2012 um 11:50 Uhr
Richtig... Bestätigt ja damit die Aussage von oben das der Tunneltraffic auch über Layer 3 Grenzen laufen kann !!
Das ist so oder so gängiger Standard bei Controller basierten WLANs. Wäre ja auch Blödsinn wenn man das nur L2 basierend machen könnte, damit wären dann für so ein Produkt L3 segmentierte Netze tabu.
Kein Hersteller würde so einen Unsinn machen logischerweise.
Ansonsten gilt das was Kollege spacyfreak schon absolut korrekt ausgeführt hat oben zu diesem Thema.
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 20:21 Uhr
Ich glaube, ich sollte das mal einfach ausprobieren. Mich hatte nur folgendes stutzig gemacht: "The client data tunnel is always used when the connection between a controlled AP and its controller traverses at least one router." und vor allem im Zusammenhang mit "This [der Client-Data-Tunnel] provides the following benefits: User traffic is segregated from the backbone".
Hört sich für mich ehrlich gesagt immer noch ein bisschen nach folgendem an: Der Tunnel wird immer benutzt, wenn ein Router zwischen AP und Controller ist und der Tunnel dient dazu die Benutzerdaten zum Controller zu tunneln - unabhängig davon, ob man ein VLAN für die local Termination angegeben hat oder nicht.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 21:13 Uhr
Ja, klar.
Hinter dem Router ist ja kein Layer 2 mehr, also muss er einen anderen Weg wählen.
Das VLAN separiert ja nur bis zum Router.
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 22:26 Uhr
Wenn nur die Authentifizierung über den Tunnel stattfindet wäre das ja in Ordnung, wenn aber auch die Nutzerdaten bis zum Controller getunnelt werden nicht, da die Daten dann 2x über den Router laufen (1x zum Controller hin und dann zurück zum Ziel, das sich vielleicht im selben Netz wie der AP befindet).
Bitte warten ..
Mitglied: MrNetman
20.10.2012 um 10:09 Uhr
Nachtrag:

Wenn man über VoIP over WLAN nachdenkt, dann ist es zwingend notwendig, dass der komplette Verkehr über den Controller gesteuert und geleitet wird. Sonst hat man keine Chance die kurzen Unterbrechungszeiten zu realisieren. Hier geht es um doppelten Verkehr, um Pufferung und viele Parameter, die in den Herstellerprospekten dann als Vorhersage / prediction erwähnt werden.

Bei normaler WLAN Nutzung wäre das nicht notwendig, wenngleich es das Design des WLAN vereinfacht.
Aber - und diese Sorge kann ich verstehen, man benötigt richtig dicke Uplinks, da der Verkehr mehrfach durchgeleitet wird.

Gruß
Netman
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Wie WLAN mit mehreren Access Points aufbauen ?

Frage von namor82LAN, WAN, Wireless5 Kommentare

Hallo, ich frage mich wie ich ein WLAN-Netz mit akzeptabler Empfangsqualität aufbauen kann. Ich habe gelesen dass man dazu ...

LAN, WAN, Wireless

Aufbau eines Controller basiertem Wlan

Frage von thomas79LAN, WAN, Wireless2 Kommentare

Guten Tag, Ich versuche mich als Laie im Aufbau eines Controller basiertem Wlan. Ziel ist ein Wlan mit einer ...

LAN, WAN, Wireless

Kaufempfehlung WLAN ACCESS Point

gelöst Frage von alhambraLAN, WAN, Wireless4 Kommentare

Hallo zusammen, unser Produktivnetz kommt derzeit noch ohne WLAN aus. Ggf. werde ich zukünftig genötigt, WLAN bereitzustellen. Wenn es ...

LAN, WAN, Wireless

Aufbau kleines Netzwerk mit VLAN und WLAN

gelöst Frage von hyperpacLAN, WAN, Wireless4 Kommentare

Hallo, ich habe folgende Anforderungen an ein kleines Netzwerk und würde gerne wissen, wie man das optimal "baut". - ...

Neue Wissensbeiträge
Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 4 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 7 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 2 TagenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++33 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Batch & Shell
Powershell: Im AD nach Comutern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell21 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
Frage von Bommi1961Batch & Shell20 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...