5
WLAN Strategie für Schulnetzwerk gesucht
Hallo,
ich stehe vor der folgenden Aufgabe:
In einer Schule (keine Angst, ich bin schon lange kein Schüler mehr und als Fachinformatiker FR Systemintegration kenne ich mich auch aus ;) sollen drei Benutzergruppen an ein WLAN kommen: Dozenten, Schüler und Gäste.
Vorhanden sind:
- Ein Dozenten- und Verwaltungsnetzwerk mit einem SBS 2008 Server und ca. 15 Clientrechnern
- Ein Schülernetzwerk mit einem SBS 2003 Server, einem ipCop und vier Clientrechnern
- Ein Standard Telekom ADSL-Zugang mit 16MBit/s
Das Haus benötigt wahrscheinlich drei AP's für eine gute Ausleuchtung.
Meine Idee ist folgende:
- Dozentengruppe: RADIUS Authentifizierung mit Dozentennetz
- Schülergruppe: RADIUS Authentifizierung mit Schülernetz
Aber wie schleife ich die Gäste durch? Der Gastzugang soll nämlich am besten so ablaufen, dass der Dozent oder die Sekretärin den Gastzugang einfach über ein Webinterface anlegt, die Daten ausdruckt und dem Gast den Ausdruck in die Hand drückt.
Am besten soll natürlich jedes Netz an jedem AP anliegen um nicht in jedem Stockwerk drei APs aufstellen zu müssen. Nun gibt es ja APs mit VLAN-Möglichkeit (das habe ich noch nie gemacht, deshalb die Frage), wie z.B. den Zyxel NWA3560-N oder den Lancom L-322agn, aber die haben jeweils nur eine LAN-Schnittstelle... Wie weist man also einer LAN-Schnittstelle verschiedene VLANs zu? Ich kenne VLANs von Manageds Switches, da kann ich einem Block von LAN-Schnittstellen ein eigenes VLAN zuweisen. Aber wie läuft das bei einem AP mit einer einzigen Schnittstelle ab?
Das Budget liegt zwischen 2.000 und 2.500€. Was sagt ihr zu meiner Lösung oder hat jemand eine bessere Idee?
ich stehe vor der folgenden Aufgabe:
In einer Schule (keine Angst, ich bin schon lange kein Schüler mehr und als Fachinformatiker FR Systemintegration kenne ich mich auch aus ;) sollen drei Benutzergruppen an ein WLAN kommen: Dozenten, Schüler und Gäste.
Vorhanden sind:
- Ein Dozenten- und Verwaltungsnetzwerk mit einem SBS 2008 Server und ca. 15 Clientrechnern
- Ein Schülernetzwerk mit einem SBS 2003 Server, einem ipCop und vier Clientrechnern
- Ein Standard Telekom ADSL-Zugang mit 16MBit/s
Das Haus benötigt wahrscheinlich drei AP's für eine gute Ausleuchtung.
Meine Idee ist folgende:
- Dozentengruppe: RADIUS Authentifizierung mit Dozentennetz
- Schülergruppe: RADIUS Authentifizierung mit Schülernetz
Aber wie schleife ich die Gäste durch? Der Gastzugang soll nämlich am besten so ablaufen, dass der Dozent oder die Sekretärin den Gastzugang einfach über ein Webinterface anlegt, die Daten ausdruckt und dem Gast den Ausdruck in die Hand drückt.
Am besten soll natürlich jedes Netz an jedem AP anliegen um nicht in jedem Stockwerk drei APs aufstellen zu müssen. Nun gibt es ja APs mit VLAN-Möglichkeit (das habe ich noch nie gemacht, deshalb die Frage), wie z.B. den Zyxel NWA3560-N oder den Lancom L-322agn, aber die haben jeweils nur eine LAN-Schnittstelle... Wie weist man also einer LAN-Schnittstelle verschiedene VLANs zu? Ich kenne VLANs von Manageds Switches, da kann ich einem Block von LAN-Schnittstellen ein eigenes VLAN zuweisen. Aber wie läuft das bei einem AP mit einer einzigen Schnittstelle ab?
Das Budget liegt zwischen 2.000 und 2.500€. Was sagt ihr zu meiner Lösung oder hat jemand eine bessere Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188968
Url: https://administrator.de/contentid/188968
Printed on: April 25, 2024 at 08:04 o'clock
5 Comments
Latest comment
Hallo,
früher durfte man das Verwaltungsnetzwerk nicht mit dem Schülernetz verbinden. Ob und in wie weit dies Gültigkeit besitzt solltest Du nachprüfen.
Am einfachsten löst Du dies mit einem Radius Server welchen Du dann in die AD integrierst. Als weitere Quelle könntest Du dem Radius dann noch eine MySQL Datenbank spendieren. In dieser würdest Du dann die "Tickets" verwalten. Letzteres betreibe ich aktuell mit 250.000 Clients. Ich kenne weder Zyxel noch Lancom Produkte aber normalerweise kannst Du über ein Radius Attribut dem AP das VLAN mitteilen.
Nun ein kleiner Exkurs zu VLANs. Die von Dir beschrieben Variante nennt sich portbasiertes VLAN. Einem oder mehreren Ports wird ein VLAN zugewiesen. Was machst Du aber wenn Du z.B. ein ESX Server an einem Port hast und dieser soll in alle Netze? Dann kannst Du z.B. tagged VLANs einsetzen. Dort wird dem Frame die VLAN ID mit angehangen.
Nachzulesen: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Die Gäste solltest Du dann in ein weiteres VLAN reinschieben und nur ins Internet lassen.
Gruß
früher durfte man das Verwaltungsnetzwerk nicht mit dem Schülernetz verbinden. Ob und in wie weit dies Gültigkeit besitzt solltest Du nachprüfen.
Am einfachsten löst Du dies mit einem Radius Server welchen Du dann in die AD integrierst. Als weitere Quelle könntest Du dem Radius dann noch eine MySQL Datenbank spendieren. In dieser würdest Du dann die "Tickets" verwalten. Letzteres betreibe ich aktuell mit 250.000 Clients. Ich kenne weder Zyxel noch Lancom Produkte aber normalerweise kannst Du über ein Radius Attribut dem AP das VLAN mitteilen.
Nun ein kleiner Exkurs zu VLANs. Die von Dir beschrieben Variante nennt sich portbasiertes VLAN. Einem oder mehreren Ports wird ein VLAN zugewiesen. Was machst Du aber wenn Du z.B. ein ESX Server an einem Port hast und dieser soll in alle Netze? Dann kannst Du z.B. tagged VLANs einsetzen. Dort wird dem Frame die VLAN ID mit angehangen.
Nachzulesen: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Die Gäste solltest Du dann in ein weiteres VLAN reinschieben und nur ins Internet lassen.
Gruß
Danke für deine Antwort.
Ich habe gar nicht vor, die Netze aufzutrennen. Vielleicht habe ich es nicht deutlich genug beschrieben: Dozentennetz und Schülernetz sollen getrennt bleiben. Deshalb möchte ich auf beiden Servern (einer ist im Dozentennetz (SBS2008),einer im Schülernetz (SBS 2003)) den Radius konfigurieren.
Da ist auch mein Denkfehler mit den VLANs: Da ich zwei (physisch) unterschiedliche Netze habe, brauche ich auch zwei unterschiedliche Ports... Mist! Also bleibt mir nichts anderes übrig als jedem Netz einen eigenen AP zu spendieren und zu hoffen, dass der dann die entsprechende Ausleuchtung hat, oder?
Deinen Ansatz habe ich ehrlich gesagt noch nicht ganz verstanden: Du meinst ich sollte EIN physikalisches Netz aufbauen und dieses dann mit einem Radius virtuell trennen?
Kennst du professionelle Lösungen die zwischen 2000 und 2500€ liegen?
Ich habe gar nicht vor, die Netze aufzutrennen. Vielleicht habe ich es nicht deutlich genug beschrieben: Dozentennetz und Schülernetz sollen getrennt bleiben. Deshalb möchte ich auf beiden Servern (einer ist im Dozentennetz (SBS2008),einer im Schülernetz (SBS 2003)) den Radius konfigurieren.
Da ist auch mein Denkfehler mit den VLANs: Da ich zwei (physisch) unterschiedliche Netze habe, brauche ich auch zwei unterschiedliche Ports... Mist! Also bleibt mir nichts anderes übrig als jedem Netz einen eigenen AP zu spendieren und zu hoffen, dass der dann die entsprechende Ausleuchtung hat, oder?
Deinen Ansatz habe ich ehrlich gesagt noch nicht ganz verstanden: Du meinst ich sollte EIN physikalisches Netz aufbauen und dieses dann mit einem Radius virtuell trennen?
Kennst du professionelle Lösungen die zwischen 2000 und 2500€ liegen?
Nein, du benötigst keine unterschiedlichen Ports sondern kannst das auch mit VLANs und tagged Links über einen physischen Port machen. Hier machst du vermutlich aus Unkenntnis einen gehörigen Denkfehler... Soviel zum Thema "Auskenner".
Desgleichen mit dem WLAN. Du benötigst ESSID fähige APs die mehrere WLANs mit einem AP aufspannen können. Dort kannst du dann über eine physische Infrastruktur alle Netze problemlos bedienen mit unterschiedlichen Sicherheitskonzepten.
Die Lehrer und gesicherten WLANs solltest du mit Radius und ggf. Zertifikaten sichern.
Das Gästenetz immer mit einem Captive Portal.
Lösungen dazu beschreiben diese Tutorials:
VLAN und ESSID APs im Kapitel "Praxisbeispiel" !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Captive Portal inklusive der Voucher "Ausdruck" Lösung für Gäste (Einmalpasswort):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
WLAN Security damit die Schüler nie die Lehrer beschnüffeln..:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Desgleichen mit dem WLAN. Du benötigst ESSID fähige APs die mehrere WLANs mit einem AP aufspannen können. Dort kannst du dann über eine physische Infrastruktur alle Netze problemlos bedienen mit unterschiedlichen Sicherheitskonzepten.
Die Lehrer und gesicherten WLANs solltest du mit Radius und ggf. Zertifikaten sichern.
Das Gästenetz immer mit einem Captive Portal.
Lösungen dazu beschreiben diese Tutorials:
VLAN und ESSID APs im Kapitel "Praxisbeispiel" !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Captive Portal inklusive der Voucher "Ausdruck" Lösung für Gäste (Einmalpasswort):
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
WLAN Security damit die Schüler nie die Lehrer beschnüffeln..:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Danke für die Links, werde mich da später reinlesen.
Hallo,
so wie aqui beschrieben ist das wohl einfacher als meine Lösung, da Du die Netze dann "fast" komplett getrennt lassen kannst.
Du benötigst dafür aber noch einen VLAN fähigen Switch. Ein Kabel vom AP geht dann in diesen Switch
z.B.
SSID: Lehrer -> VLAN ID: 10 -> Switch Port 1
SSID: Gast -> VLAN ID: 20 -> Switch Port 1
VLAN ID 10, untagged auf Switch Port 2 -> zum Lehrer Netz
VLAN ID 20, untagged auf Switch Port 3 -> zum "Gast Netz" bzw. hier dann ds Captive Portal.
Gruß
so wie aqui beschrieben ist das wohl einfacher als meine Lösung, da Du die Netze dann "fast" komplett getrennt lassen kannst.
Du benötigst dafür aber noch einen VLAN fähigen Switch. Ein Kabel vom AP geht dann in diesen Switch
z.B.
SSID: Lehrer -> VLAN ID: 10 -> Switch Port 1
SSID: Gast -> VLAN ID: 20 -> Switch Port 1
VLAN ID 10, untagged auf Switch Port 2 -> zum Lehrer Netz
VLAN ID 20, untagged auf Switch Port 3 -> zum "Gast Netz" bzw. hier dann ds Captive Portal.
Gruß
