Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN Strategie für Schulnetzwerk gesucht

Frage Netzwerke

Mitglied: iee168

iee168 (Level 1) - Jetzt verbinden

01.08.2012, aktualisiert 17:46 Uhr, 3767 Aufrufe, 5 Kommentare

Hallo,

ich stehe vor der folgenden Aufgabe:

In einer Schule (keine Angst, ich bin schon lange kein Schüler mehr und als Fachinformatiker FR Systemintegration kenne ich mich auch aus ;) sollen drei Benutzergruppen an ein WLAN kommen: Dozenten, Schüler und Gäste.

Vorhanden sind:
- Ein Dozenten- und Verwaltungsnetzwerk mit einem SBS 2008 Server und ca. 15 Clientrechnern
- Ein Schülernetzwerk mit einem SBS 2003 Server, einem ipCop und vier Clientrechnern
- Ein Standard Telekom ADSL-Zugang mit 16MBit/s

Das Haus benötigt wahrscheinlich drei AP's für eine gute Ausleuchtung.

Meine Idee ist folgende:
- Dozentengruppe: RADIUS Authentifizierung mit Dozentennetz
- Schülergruppe: RADIUS Authentifizierung mit Schülernetz

Aber wie schleife ich die Gäste durch? Der Gastzugang soll nämlich am besten so ablaufen, dass der Dozent oder die Sekretärin den Gastzugang einfach über ein Webinterface anlegt, die Daten ausdruckt und dem Gast den Ausdruck in die Hand drückt.

Am besten soll natürlich jedes Netz an jedem AP anliegen um nicht in jedem Stockwerk drei APs aufstellen zu müssen. Nun gibt es ja APs mit VLAN-Möglichkeit (das habe ich noch nie gemacht, deshalb die Frage), wie z.B. den Zyxel NWA3560-N oder den Lancom L-322agn, aber die haben jeweils nur eine LAN-Schnittstelle... Wie weist man also einer LAN-Schnittstelle verschiedene VLANs zu? Ich kenne VLANs von Manageds Switches, da kann ich einem Block von LAN-Schnittstellen ein eigenes VLAN zuweisen. Aber wie läuft das bei einem AP mit einer einzigen Schnittstelle ab?

Das Budget liegt zwischen 2.000 und 2.500€. Was sagt ihr zu meiner Lösung oder hat jemand eine bessere Idee?
Mitglied: exchange
02.08.2012 um 00:30 Uhr
Hallo,
früher durfte man das Verwaltungsnetzwerk nicht mit dem Schülernetz verbinden. Ob und in wie weit dies Gültigkeit besitzt solltest Du nachprüfen.

Am einfachsten löst Du dies mit einem Radius Server welchen Du dann in die AD integrierst. Als weitere Quelle könntest Du dem Radius dann noch eine MySQL Datenbank spendieren. In dieser würdest Du dann die "Tickets" verwalten. Letzteres betreibe ich aktuell mit 250.000 Clients. Ich kenne weder Zyxel noch Lancom Produkte aber normalerweise kannst Du über ein Radius Attribut dem AP das VLAN mitteilen.

Nun ein kleiner Exkurs zu VLANs. Die von Dir beschrieben Variante nennt sich portbasiertes VLAN. Einem oder mehreren Ports wird ein VLAN zugewiesen. Was machst Du aber wenn Du z.B. ein ESX Server an einem Port hast und dieser soll in alle Netze? Dann kannst Du z.B. tagged VLANs einsetzen. Dort wird dem Frame die VLAN ID mit angehangen.
Nachzulesen: http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

Die Gäste solltest Du dann in ein weiteres VLAN reinschieben und nur ins Internet lassen.

Gruß
Bitte warten ..
Mitglied: iee168
02.08.2012 um 09:38 Uhr
Danke für deine Antwort.

Ich habe gar nicht vor, die Netze aufzutrennen. Vielleicht habe ich es nicht deutlich genug beschrieben: Dozentennetz und Schülernetz sollen getrennt bleiben. Deshalb möchte ich auf beiden Servern (einer ist im Dozentennetz (SBS2008),einer im Schülernetz (SBS 2003)) den Radius konfigurieren.

Da ist auch mein Denkfehler mit den VLANs: Da ich zwei (physisch) unterschiedliche Netze habe, brauche ich auch zwei unterschiedliche Ports... Mist! Also bleibt mir nichts anderes übrig als jedem Netz einen eigenen AP zu spendieren und zu hoffen, dass der dann die entsprechende Ausleuchtung hat, oder?

Deinen Ansatz habe ich ehrlich gesagt noch nicht ganz verstanden: Du meinst ich sollte EIN physikalisches Netz aufbauen und dieses dann mit einem Radius virtuell trennen?

Kennst du professionelle Lösungen die zwischen 2000 und 2500€ liegen?
Bitte warten ..
Mitglied: aqui
02.08.2012, aktualisiert um 15:16 Uhr
Nein, du benötigst keine unterschiedlichen Ports sondern kannst das auch mit VLANs und tagged Links über einen physischen Port machen. Hier machst du vermutlich aus Unkenntnis einen gehörigen Denkfehler... Soviel zum Thema "Auskenner".
Desgleichen mit dem WLAN. Du benötigst ESSID fähige APs die mehrere WLANs mit einem AP aufspannen können. Dort kannst du dann über eine physische Infrastruktur alle Netze problemlos bedienen mit unterschiedlichen Sicherheitskonzepten.
Die Lehrer und gesicherten WLANs solltest du mit Radius und ggf. Zertifikaten sichern.
Das Gästenetz immer mit einem Captive Portal.
Lösungen dazu beschreiben diese Tutorials:
VLAN und ESSID APs im Kapitel "Praxisbeispiel" !
http://www.administrator.de/contentid/110259
Captive Portal inklusive der Voucher "Ausdruck" Lösung für Gäste (Einmalpasswort):
http://www.administrator.de/contentid/91413
WLAN Security damit die Schüler nie die Lehrer beschnüffeln..:
http://www.administrator.de/contentid/142241
Bitte warten ..
Mitglied: iee168
02.08.2012 um 09:48 Uhr
Danke für die Links, werde mich da später reinlesen.
Bitte warten ..
Mitglied: exchange
02.08.2012 um 09:57 Uhr
Hallo,
so wie aqui beschrieben ist das wohl einfacher als meine Lösung, da Du die Netze dann "fast" komplett getrennt lassen kannst.

Du benötigst dafür aber noch einen VLAN fähigen Switch. Ein Kabel vom AP geht dann in diesen Switch
z.B.
SSID: Lehrer -> VLAN ID: 10 -> Switch Port 1
SSID: Gast -> VLAN ID: 20 -> Switch Port 1

VLAN ID 10, untagged auf Switch Port 2 -> zum Lehrer Netz
VLAN ID 20, untagged auf Switch Port 3 -> zum "Gast Netz" bzw. hier dann ds Captive Portal.


Gruß
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Schulnetzwerk aufteilen
gelöst Frage von nmsbadhallLAN, WAN, Wireless28 Kommentare

Hallo! Nachdem unser Schulnetzwerk ständig erweitert und erweitert wurde möchte ich das Netzwerk - falls es sinnvoll ist, neu ...

LAN, WAN, Wireless
WLAN-Hardware für Wohnhaus gesucht
Frage von Jonas42LAN, WAN, Wireless17 Kommentare

Ich möchte die WLAN Infrastruktur in meinem Haus überarbeiten. Momentan verwende ich eine Airport Express (AP als auch Airplay ...

LAN, WAN, Wireless
WLAN Ticketing-System gesucht
Frage von hijacker99LAN, WAN, Wireless6 Kommentare

Hallo zusammen ich suche ein WLAN Ticketing-System, das folgendermassen funktionieren soll: Die Dame an der Rezeption drückt auf einen ...

LAN, WAN, Wireless
Passender WLAN-AP gesucht
gelöst Frage von sigkillLAN, WAN, Wireless14 Kommentare

Hallo, ich möchte mein Ethernet per WLAN auf drei Nebengebäude erweitern. Dabei sollte es echtes "Ethernet over WLAN" sein, ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 57 MinutenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...