Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

Aufbau controllerbasiertes WLAN, Controller und Access Points in eigenes VLAN

Mitglied: PSaR04

PSaR04 (Level 1) - Jetzt verbinden

15.10.2012 um 20:31 Uhr, 4332 Aufrufe, 12 Kommentare

Hallo,

ich habe eine Frage zur Einrichtung eines controllerbasierten WLAN-Netzwerks und würde gerne mal eure Meinung dazu hören: Ist es sinnvoll oder bringt es irgendwelche Vorteile bzw. Nachteile die WLAN-Hardware, also Controller, Access Points und evtl. Radius-Server in ein eigenes VLAN zu setzten? Über dieses VLAN soll dann nur die Kommunikation zwischen der WLAN-Infrastruktur-Hardware stattfinden, also etwa Synchronisierung der Konfiguration usw., die Nutzerdaten gehen durch separate VLANs.
Mitglied: aqui
15.10.2012 um 21:14 Uhr
Das ist nicht nur sinnvoll das MUSST du sogar so machen und ist eine gängige Vorgehensweise. Andernfalls würde sich das management VLAN für das WLAN bzw. die Komponeten in einem Produktiv VLAN befinden, was ein absolutes NoGo ist allein schon aus Sicherheitsgründen.
Dieses Design setzt man immer so egal ob die Accesspoints im Tunnelmode oder mit Local Termination betrieben werden.
Das management VLAN benötigst du immer !
Bitte warten ..
Mitglied: MrNetman
15.10.2012 um 23:22 Uhr
nimm nur nicht zu viele SSIDs, da jede für sich eine Grundlast in einem gesharten Medium erzeugt.
Bitte warten ..
Mitglied: PSaR04
16.10.2012, aktualisiert um 01:17 Uhr
Hallo,danke für die Antwort. Dann kommt bei mir aber noch eine Frage auf: Wie gehe ich am Besten vor, wenn das Management-VLAN über einen Router hinweg ausgedehnt werden muss (2. Gebäude, 1 Gbit LWL-Anbindung)? Es soll dann local Termination eingesetzt werden, ich habe aber im Handbuch des Controllers gelesen, dass automatisch ein Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt. Das ganze müsste also so sein, dass der Router in dem Mgmt-VLAN gar nicht wahrgenommen wird. Ich hatte als erstes an Subinterfaces auf dem Router gedacht, aber dann bekommt man von dem Router ja immer noch was mit.
Bitte warten ..
Mitglied: spacyfreak
16.10.2012, aktualisiert um 06:51 Uhr
Das ist eine Frage des Designs und der Praktikabilität.
Man kann es auch recht kompliziert aufziehen wenn einem danach ist - besser wirds dadurch nicht, eher fehleranfälliger.
So genannte "NoGos aus sicherheitsgründen" sind auch recht dehnbar, jede Firma wird das ein bisschen anders sehen, was als "sicher genug" oder als "unsicher" anzusehen ist. Hier muss jeder selber entscheiden, welche potentiellen Risiken in seiner Umgebung existieren oder nicht existieren und welche Massnahmen man im spezifischen Fall für "ausreichend sicher" oder "eher vernachlässigbar" ansehen möchte. Wichtig ist lediglich, die IT Verantwortlichen verständlich über potentielle Risiken zu informieren (die meistens eher akademischer Natur sind), hier nicht übervorsichtig zu sein (Anfängerfehler..) und vor lauter Sicherheits-Panik den Dienst quasi unbrauchbar zu machen. Manche Dinge wie "völlig offenes WLAN" dagegen sind NoGos, da hilft gelegentlich der gesunde Menschenverstand, Fachwissen und Erfahrung, ein gesundes Verhältnis zwischen Wirtschaftlichkeit, Sicherheit und Handhabbarkeit zu ermitteln.

Wenn ich beispielsweise in Marseilles Urlaub machen will würde ich das Auto wohl in eine überwachte Tiefgarage stellen und nicht auf offener Strasse.
In Hintertupfing kann ich das Auto jedoch auch unabgeschlossen vor dem Haus abstellen, die Chance dass einer nachts ins Auto kackt ist recht gering.
So ist halt alles "relativ" und man passt seine Paranoia der Umgebung und der Realität an. Wer das anders handhaben will kann dies gerne tun - wir sind ein freies Land!

In meiner Umgebung ist es so dass es völlig unerheblich ist, in welchem VLAN der Access Point hängt.
Er hängt im ganz normalen User-LAN und ist so sehr flexibel einsetzbar ohne viele Umstände (Switchport umkonfigurieren entfällt wenn man einen der mobilen APs mal wo anders betreiben will).
Der AP tunnelt den relevanten WLAN Traffic eh zum WLAN Controller, der in einem anderen Netz steht.

DHCP kann vom WLC via DHCP Relay angesprochen werden und den WLAN Clients IP verpassen.
An externen Standorten laufen die APs im HREAP Modus und die Clients erhalten dort die IP vom lokalen DHCP.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 08:11 Uhr
Zitat von PSaR04:
Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt.
Aber, wenn das VLAN der Verbindung im Wege steht, dann klappt das mit den Routen nicht.
Ja, gute Controller können über den Layer 3 hinweg die APs managen. Das ist auch logisch, da die Kommunikation nicht mehr zwischen den APs sondern via den Controller läuft. Hier ist nicht die Nutzlast sondern das Management gemeint (Login, Handover, Lastverteilung, upgrades, ...).
Das geht sogar so weit, dass man über größere Infrastrukturen die selben Zugangsdaten aber getrennte Broadcastdomänen nutzen kann.

Gruß
Netman
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 10:49 Uhr
Zitat von MrNetman:
> Zitat von PSaR04:
> Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt.
Aber, wenn das VLAN der Verbindung im Wege steht, dann klappt das mit den Routen nicht.
Ja, gute Controller können über den Layer 3 hinweg die APs managen. Das ist auch logisch, da die Kommunikation nicht
mehr zwischen den APs sondern via den Controller läuft. Hier ist nicht die Nutzlast sondern das Management gemeint (Login,
Handover, Lastverteilung, upgrades, ...).
Das geht sogar so weit, dass man über größere Infrastrukturen die selben Zugangsdaten aber getrennte
Broadcastdomänen nutzen kann.

Gruß
Netman

Ich habe aber in der Anleitung des HP MSM760 folgendes gelesen (Seite 106, http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c0352263 ...):
When a VSC is access-controlled, client traffic that is sent between the AP and controller can
be carried in the client data tunnel. This provides the following benefits:
• User traffic is segregated from the backbone network and can only travel to the controller.
• Underlying network topology is abstracted enabling full support for L2-connected users
across routed networks.
The client data tunnel is always used when the connection between a controlled AP and its
controller traverses at least one router. The client data tunnel supports NAT traversal, so it can
cross routers that implement NAT.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 11:14 Uhr
Sehe jetzt keine Widerspruch zu den vorherigen Ausführungen.
Can be carried in the client data tunnel. Wird also bei Bedarf vom Rest getrennt.
Der normale L2 Betrieb wird abstrahiert um die Roomingfähigkeit, also den typischen WLAN-Aufbau trotz L3 Netz zu gewährleisten. Bei L3 Infrastrukturen muss immer ein Tunnel bestehen. Ob der aber die Benutzerdaten transportieren soll, ist Designsache.
Abhängig von der Größe des Netzwerks kann man eben verschiedene Szenarien wählen.
Bitte warten ..
Mitglied: aqui
16.10.2012 um 11:50 Uhr
Richtig... Bestätigt ja damit die Aussage von oben das der Tunneltraffic auch über Layer 3 Grenzen laufen kann !!
Das ist so oder so gängiger Standard bei Controller basierten WLANs. Wäre ja auch Blödsinn wenn man das nur L2 basierend machen könnte, damit wären dann für so ein Produkt L3 segmentierte Netze tabu.
Kein Hersteller würde so einen Unsinn machen logischerweise.
Ansonsten gilt das was Kollege spacyfreak schon absolut korrekt ausgeführt hat oben zu diesem Thema.
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 20:21 Uhr
Ich glaube, ich sollte das mal einfach ausprobieren. Mich hatte nur folgendes stutzig gemacht: "The client data tunnel is always used when the connection between a controlled AP and its controller traverses at least one router." und vor allem im Zusammenhang mit "This [der Client-Data-Tunnel] provides the following benefits: User traffic is segregated from the backbone".
Hört sich für mich ehrlich gesagt immer noch ein bisschen nach folgendem an: Der Tunnel wird immer benutzt, wenn ein Router zwischen AP und Controller ist und der Tunnel dient dazu die Benutzerdaten zum Controller zu tunneln - unabhängig davon, ob man ein VLAN für die local Termination angegeben hat oder nicht.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 21:13 Uhr
Ja, klar.
Hinter dem Router ist ja kein Layer 2 mehr, also muss er einen anderen Weg wählen.
Das VLAN separiert ja nur bis zum Router.
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 22:26 Uhr
Wenn nur die Authentifizierung über den Tunnel stattfindet wäre das ja in Ordnung, wenn aber auch die Nutzerdaten bis zum Controller getunnelt werden nicht, da die Daten dann 2x über den Router laufen (1x zum Controller hin und dann zurück zum Ziel, das sich vielleicht im selben Netz wie der AP befindet).
Bitte warten ..
Mitglied: MrNetman
20.10.2012 um 10:09 Uhr
Nachtrag:

Wenn man über VoIP over WLAN nachdenkt, dann ist es zwingend notwendig, dass der komplette Verkehr über den Controller gesteuert und geleitet wird. Sonst hat man keine Chance die kurzen Unterbrechungszeiten zu realisieren. Hier geht es um doppelten Verkehr, um Pufferung und viele Parameter, die in den Herstellerprospekten dann als Vorhersage / prediction erwähnt werden.

Bei normaler WLAN Nutzung wäre das nicht notwendig, wenngleich es das Design des WLAN vereinfacht.
Aber - und diese Sorge kann ich verstehen, man benötigt richtig dicke Uplinks, da der Verkehr mehrfach durchgeleitet wird.

Gruß
Netman
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Wie WLAN mit mehreren Access Points aufbauen ?
Frage von namor82LAN, WAN, Wireless5 Kommentare

Hallo, ich frage mich wie ich ein WLAN-Netz mit akzeptabler Empfangsqualität aufbauen kann. Ich habe gelesen dass man dazu ...

LAN, WAN, Wireless
Mehrere Access Points ohne WLAN-Controller
gelöst Frage von BoubaaLAN, WAN, Wireless9 Kommentare

Hallo, wie in einer anderen Frage beschrieben, baue ich für ein Hotel ein WLAN auf. Zugriff müssen maximal 50 ...

LAN, WAN, Wireless
Aufbau eines Controller basiertem Wlan
Frage von thomas79LAN, WAN, Wireless2 Kommentare

Guten Tag, Ich versuche mich als Laie im Aufbau eines Controller basiertem Wlan. Ziel ist ein Wlan mit einer ...

LAN, WAN, Wireless
Kaufempfehlung WLAN ACCESS Point
gelöst Frage von alhambraLAN, WAN, Wireless4 Kommentare

Hallo zusammen, unser Produktivnetz kommt derzeit noch ohne WLAN aus. Ggf. werde ich zukünftig genötigt, WLAN bereitzustellen. Wenn es ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...