Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Aufbau controllerbasiertes WLAN, Controller und Access Points in eigenes VLAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: PSaR04

PSaR04 (Level 1) - Jetzt verbinden

15.10.2012 um 20:31 Uhr, 4136 Aufrufe, 12 Kommentare

Hallo,

ich habe eine Frage zur Einrichtung eines controllerbasierten WLAN-Netzwerks und würde gerne mal eure Meinung dazu hören: Ist es sinnvoll oder bringt es irgendwelche Vorteile bzw. Nachteile die WLAN-Hardware, also Controller, Access Points und evtl. Radius-Server in ein eigenes VLAN zu setzten? Über dieses VLAN soll dann nur die Kommunikation zwischen der WLAN-Infrastruktur-Hardware stattfinden, also etwa Synchronisierung der Konfiguration usw., die Nutzerdaten gehen durch separate VLANs.
Mitglied: aqui
15.10.2012 um 21:14 Uhr
Das ist nicht nur sinnvoll das MUSST du sogar so machen und ist eine gängige Vorgehensweise. Andernfalls würde sich das management VLAN für das WLAN bzw. die Komponeten in einem Produktiv VLAN befinden, was ein absolutes NoGo ist allein schon aus Sicherheitsgründen.
Dieses Design setzt man immer so egal ob die Accesspoints im Tunnelmode oder mit Local Termination betrieben werden.
Das management VLAN benötigst du immer !
Bitte warten ..
Mitglied: MrNetman
15.10.2012 um 23:22 Uhr
nimm nur nicht zu viele SSIDs, da jede für sich eine Grundlast in einem gesharten Medium erzeugt.
Bitte warten ..
Mitglied: PSaR04
16.10.2012, aktualisiert um 01:17 Uhr
Hallo,danke für die Antwort. Dann kommt bei mir aber noch eine Frage auf: Wie gehe ich am Besten vor, wenn das Management-VLAN über einen Router hinweg ausgedehnt werden muss (2. Gebäude, 1 Gbit LWL-Anbindung)? Es soll dann local Termination eingesetzt werden, ich habe aber im Handbuch des Controllers gelesen, dass automatisch ein Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt. Das ganze müsste also so sein, dass der Router in dem Mgmt-VLAN gar nicht wahrgenommen wird. Ich hatte als erstes an Subinterfaces auf dem Router gedacht, aber dann bekommt man von dem Router ja immer noch was mit.
Bitte warten ..
Mitglied: spacyfreak
16.10.2012, aktualisiert um 06:51 Uhr
Das ist eine Frage des Designs und der Praktikabilität.
Man kann es auch recht kompliziert aufziehen wenn einem danach ist - besser wirds dadurch nicht, eher fehleranfälliger.
So genannte "NoGos aus sicherheitsgründen" sind auch recht dehnbar, jede Firma wird das ein bisschen anders sehen, was als "sicher genug" oder als "unsicher" anzusehen ist. Hier muss jeder selber entscheiden, welche potentiellen Risiken in seiner Umgebung existieren oder nicht existieren und welche Massnahmen man im spezifischen Fall für "ausreichend sicher" oder "eher vernachlässigbar" ansehen möchte. Wichtig ist lediglich, die IT Verantwortlichen verständlich über potentielle Risiken zu informieren (die meistens eher akademischer Natur sind), hier nicht übervorsichtig zu sein (Anfängerfehler..) und vor lauter Sicherheits-Panik den Dienst quasi unbrauchbar zu machen. Manche Dinge wie "völlig offenes WLAN" dagegen sind NoGos, da hilft gelegentlich der gesunde Menschenverstand, Fachwissen und Erfahrung, ein gesundes Verhältnis zwischen Wirtschaftlichkeit, Sicherheit und Handhabbarkeit zu ermitteln.

Wenn ich beispielsweise in Marseilles Urlaub machen will würde ich das Auto wohl in eine überwachte Tiefgarage stellen und nicht auf offener Strasse.
In Hintertupfing kann ich das Auto jedoch auch unabgeschlossen vor dem Haus abstellen, die Chance dass einer nachts ins Auto kackt ist recht gering.
So ist halt alles "relativ" und man passt seine Paranoia der Umgebung und der Realität an. Wer das anders handhaben will kann dies gerne tun - wir sind ein freies Land!

In meiner Umgebung ist es so dass es völlig unerheblich ist, in welchem VLAN der Access Point hängt.
Er hängt im ganz normalen User-LAN und ist so sehr flexibel einsetzbar ohne viele Umstände (Switchport umkonfigurieren entfällt wenn man einen der mobilen APs mal wo anders betreiben will).
Der AP tunnelt den relevanten WLAN Traffic eh zum WLAN Controller, der in einem anderen Netz steht.

DHCP kann vom WLC via DHCP Relay angesprochen werden und den WLAN Clients IP verpassen.
An externen Standorten laufen die APs im HREAP Modus und die Clients erhalten dort die IP vom lokalen DHCP.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 08:11 Uhr
Zitat von PSaR04:
Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt.
Aber, wenn das VLAN der Verbindung im Wege steht, dann klappt das mit den Routen nicht.
Ja, gute Controller können über den Layer 3 hinweg die APs managen. Das ist auch logisch, da die Kommunikation nicht mehr zwischen den APs sondern via den Controller läuft. Hier ist nicht die Nutzlast sondern das Management gemeint (Login, Handover, Lastverteilung, upgrades, ...).
Das geht sogar so weit, dass man über größere Infrastrukturen die selben Zugangsdaten aber getrennte Broadcastdomänen nutzen kann.

Gruß
Netman
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 10:49 Uhr
Zitat von MrNetman:
> Zitat von PSaR04:
> Tunnel für die Nutzerdaten verwendet wird, wenn zwischen WLAN-Controller und Access Point ein Router sitzt.
Aber, wenn das VLAN der Verbindung im Wege steht, dann klappt das mit den Routen nicht.
Ja, gute Controller können über den Layer 3 hinweg die APs managen. Das ist auch logisch, da die Kommunikation nicht
mehr zwischen den APs sondern via den Controller läuft. Hier ist nicht die Nutzlast sondern das Management gemeint (Login,
Handover, Lastverteilung, upgrades, ...).
Das geht sogar so weit, dass man über größere Infrastrukturen die selben Zugangsdaten aber getrennte
Broadcastdomänen nutzen kann.

Gruß
Netman

Ich habe aber in der Anleitung des HP MSM760 folgendes gelesen (Seite 106, http://bizsupport1.austin.hp.com/bc/docs/support/SupportManual/c0352263 ...):
When a VSC is access-controlled, client traffic that is sent between the AP and controller can
be carried in the client data tunnel. This provides the following benefits:
• User traffic is segregated from the backbone network and can only travel to the controller.
• Underlying network topology is abstracted enabling full support for L2-connected users
across routed networks.
The client data tunnel is always used when the connection between a controlled AP and its
controller traverses at least one router. The client data tunnel supports NAT traversal, so it can
cross routers that implement NAT.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 11:14 Uhr
Sehe jetzt keine Widerspruch zu den vorherigen Ausführungen.
Can be carried in the client data tunnel. Wird also bei Bedarf vom Rest getrennt.
Der normale L2 Betrieb wird abstrahiert um die Roomingfähigkeit, also den typischen WLAN-Aufbau trotz L3 Netz zu gewährleisten. Bei L3 Infrastrukturen muss immer ein Tunnel bestehen. Ob der aber die Benutzerdaten transportieren soll, ist Designsache.
Abhängig von der Größe des Netzwerks kann man eben verschiedene Szenarien wählen.
Bitte warten ..
Mitglied: aqui
16.10.2012 um 11:50 Uhr
Richtig... Bestätigt ja damit die Aussage von oben das der Tunneltraffic auch über Layer 3 Grenzen laufen kann !!
Das ist so oder so gängiger Standard bei Controller basierten WLANs. Wäre ja auch Blödsinn wenn man das nur L2 basierend machen könnte, damit wären dann für so ein Produkt L3 segmentierte Netze tabu.
Kein Hersteller würde so einen Unsinn machen logischerweise.
Ansonsten gilt das was Kollege spacyfreak schon absolut korrekt ausgeführt hat oben zu diesem Thema.
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 20:21 Uhr
Ich glaube, ich sollte das mal einfach ausprobieren. Mich hatte nur folgendes stutzig gemacht: "The client data tunnel is always used when the connection between a controlled AP and its controller traverses at least one router." und vor allem im Zusammenhang mit "This [der Client-Data-Tunnel] provides the following benefits: User traffic is segregated from the backbone".
Hört sich für mich ehrlich gesagt immer noch ein bisschen nach folgendem an: Der Tunnel wird immer benutzt, wenn ein Router zwischen AP und Controller ist und der Tunnel dient dazu die Benutzerdaten zum Controller zu tunneln - unabhängig davon, ob man ein VLAN für die local Termination angegeben hat oder nicht.
Bitte warten ..
Mitglied: MrNetman
16.10.2012 um 21:13 Uhr
Ja, klar.
Hinter dem Router ist ja kein Layer 2 mehr, also muss er einen anderen Weg wählen.
Das VLAN separiert ja nur bis zum Router.
Bitte warten ..
Mitglied: PSaR04
16.10.2012 um 22:26 Uhr
Wenn nur die Authentifizierung über den Tunnel stattfindet wäre das ja in Ordnung, wenn aber auch die Nutzerdaten bis zum Controller getunnelt werden nicht, da die Daten dann 2x über den Router laufen (1x zum Controller hin und dann zurück zum Ziel, das sich vielleicht im selben Netz wie der AP befindet).
Bitte warten ..
Mitglied: MrNetman
20.10.2012 um 10:09 Uhr
Nachtrag:

Wenn man über VoIP over WLAN nachdenkt, dann ist es zwingend notwendig, dass der komplette Verkehr über den Controller gesteuert und geleitet wird. Sonst hat man keine Chance die kurzen Unterbrechungszeiten zu realisieren. Hier geht es um doppelten Verkehr, um Pufferung und viele Parameter, die in den Herstellerprospekten dann als Vorhersage / prediction erwähnt werden.

Bei normaler WLAN Nutzung wäre das nicht notwendig, wenngleich es das Design des WLAN vereinfacht.
Aber - und diese Sorge kann ich verstehen, man benötigt richtig dicke Uplinks, da der Verkehr mehrfach durchgeleitet wird.

Gruß
Netman
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Freifunk über vorhandene Access Points ausstrahlen (2)

Frage von Uwoerl zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
WLAN-Funkreichweite Access Point MikroTik (4)

Frage von teret4242 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Access Points mit gleicher SSID Bereitstellen? (7)

Frage von KMUlife zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Bessere Access Points als Cisco WAP (30)

Frage von stephan902 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...