itgustel
Goto Top

WLAN - Broadcast-Domäne aufteilen

Hi,

wir betreiben ein großes WLAN-Netz in dem in der Spitze bis zu 600 bis 800 User unterwegs sind.
Uns ist bewusst, dass das langsam in einer einzigen Broadcast-Domäne zu viel wird. Wir haben zwar noch kein Problem mit Broadcasts (eigentlich nie mehr als 20 pro Sekunde). Trotzdem ist es vom Design her nicht schön so eine große Broadcast-Domäne zu betreiben, da es ja auch immer mehr wird (sage nur IoT).

Wir überlegen nun, wie wir das aufteilen können. Sagen wir, wir erstellen ein zweites VLAN, WLAN-VLAN1 und WLAN-VLAN2, kein Problem soweit.
Jetzt haben wir zwei ab L2 getrennte Netze, da alles in einem Gebäudekomplex ist, müssen sich die User frei bewegen können und sollten sich nicht ständig neu anmelden müssen (wir verwenden ein Captive-Portal). Eventuell könnten wir dieses Problem lösen, dass sich beide Router die Zugangsdaten von einem zentralen Radius holen. Ein anderes Problem wird wohl entstehen, wenn ein User von VLAN1 in VLAN2 geht, dann müsste eine neue IP vergeben werden. Realistisch ist es eher, dass die User dutzende Male zwischen WLAN-VLAN1 und WLAN-VLAN2 wechseln. Wir haben Bedenken, dass dieser Overhead die Infrastruktur sehr belasten würde, es wären wohl an/über die 20.000 Wechsel/Tag.

Ich denke es wäre einfacher, wenn man gebäudeweise segmentieren könnte, da bei uns aber alles in einem Komplex stattfindet und sich die User frei bewegen, stellt sich die Frage wo man den Übergang zwischen Netz 1 und 2 macht. Hat dazu jemand Erfahrung oder Gedanken?

Content-Key: 392993

Url: https://administrator.de/contentid/392993

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 16.11.2018 um 18:30:27 Uhr
Goto Top
Moin,

das Design solltet ihr komplett über denken.

Auch 200 Clients sind schon viel.

Zumal es genügend Mechanismen gibt um die Clients nahtlos in verschiedene Netze aufzuteilen.

Wofür benötigt ihr denn intern ein Captive Portal?? Das ist doch Blödsinn.
Allein mit AD Authentifizierung und Zertifikaten ist das doch alles ohne User Interaktion abwickelbar..

Gruß
Spirit
Mitglied: aqui
aqui 17.11.2018 um 12:23:36 Uhr
Goto Top
dass das langsam in einer einzigen Broadcast-Domäne zu viel wird.
Langsam ?? Das ist ja noch gelinde ausgedrückt. Jeder Netzwerker weiss das die goldene Regel besagt nie mehr als 100-150 Clients in einer L2 Broadcast Domain zu haben.
Kollege SoE oben hats ja schon treffend gesagt. 800 User zeigt eher das wenig bis gar kein Netzwerk KnowHow vorhanden ist face-sad
er nicht schön so eine große Broadcast-Domäne zu betreiben
Nicht "schön" es ist schlicht FALSCH bzw. ein falsches oder fehlerhaftes Design von Grund auf !
Sagen wir, wir erstellen ein zweites VLAN
Damit kommst du bei 800 Usern nicht aus wenn 200 das absolute Maximum sind.
Dann brauchst du nach Adam Riese minimal 4 VLANs !
Jetzt haben wir zwei ab L2 getrennte Netze,
Bahnhof, Ägypten ??
Was soll das bedeuten ?? Pro Gebäude etwa auch ein dummes, flaches L2 Netz ohne Segmentierung und nur zw. den Gebäuden wird gerpoutet ??
Wer hat denn sowas verbrochen ? Sicher kein Netzwerker... Aber egal.
da alles in einem Gebäudekomplex ist, müssen sich die User frei bewegen können
Ist ja auch in einem L3 segmentierten WLAN kein Problem !
dass sich beide Router die Zugangsdaten von einem zentralen Radius holen
Router ???
Weisst du überhaupt wovon du redest ??
Wenn dann holen sich die WLAN Accesspoints die Zugangsdaten der WLAN Clients vom Radius ! Niemals aber irgendwelche Router.
Vermutlich hast du hier ein grundsätzliches problem im Verständnis von WLAN Designs und Port Authentisierung im speziellen.
Also bitte mal dringenst das hiesige Tutorial dazu lesen...und verstehen !:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Wir haben Bedenken, dass dieser Overhead die Infrastruktur sehr belasten würde
Was Unsinn ist !
Wer sollte denn hier wen belasten ?
Ich denke es wäre einfacher, wenn man gebäudeweise segmentieren könnte
Wäre schon mal der richtige Ansatz !
Das reicht aber nicht bei 800 Usern, da musst du ganz sicher auch Stockwerks übergreifend segmentieren wenn du es anständig machen willst und nicht mehr als maximal 150 User in einem Segment haben willst !
stellt sich die Frage wo man den Übergang zwischen Netz 1 und 2 macht.
Wie immer am Layer 3 Switch natürlich im Core !