Inhaltsverzeichnis
Werbung
Bei mehreren vorhandenen VLANs mit differenziertem Dienstumfang erfolgt die Trennung der Datenkommunikation
meistens über die Zuweisung zu unterschiedlichen logischen WLAN-Netzen (SSIDs). Mitarbeiter erhalten z. B. über eine
spezielle SSID Zugriff auf das Firmennetzwerk und das Internet. Gäste hingegen erhalten über eine andere SSID
eingeschränkten Zugriff auf das Internet.
LANCOM APs verwalten darüber hinaus in VLAN-Netzwerk-Tabellen die Zuordnung von WLAN-Clients zu einzelnen
VLANs. In umfangreichen Netzwerkumgebungen übernimmt meist ein RADIUS-Server die Rechteverwaltung und Zuordnung
der Clients zu genutzten VLANs. Nach erfolgreicher Authentifizierung übergibt der RADIUS-Server die Daten zurück an
den entsprechenden AP. Für die Dauer der Client-Anmeldung speichert er sie in seiner VLAN-Netzwerk-Tabelle.
Bei Bedarf erhalten die verschiedenen WLAN-Clients, die am gleichen AP angemeldet sind, unterschiedliche VLAN-IDs.
Die geschieht durch die dynamischen VLAN-Netzwerk-Tabellen in den APs. Die VLAN-interne Kommunikation erfolgt
abgesichert über einen bei der Anmeldung am AP ausgehandelten Sitzungsschlüssel. Somit ist die Datenübertragung
der Clients in unterschiedlichen VLANs voneinander isoliert, obwohl jeder Client zur Kommunikation mit dem AP dasselbe
logische WLAN-Netz (SSID) verwendet.
Meldet sich ein Client an einem AP eines WLAN-Netzes an, erhält er vom AP außerdem einen Gruppenschlüssel für den
Empfang von Broad- oder Multicast-Nachrichten.
Broad- und Multicast-Nachrichten unterstützen kein VLAN-Tagging. Deshalb können WLAN-Clients, die sich in einem
isolierten VLAN befinden, nicht vom Empfang dieser Nachrichten ausgeschlossen werden. Im Idealfall ignorieren die
WLAN-Clients die Kommunikation über VLAN-fremde Broad- und Multicast-Nachrichten.
Da diese Nachrichten jedoch besonders zur Netzwerk-Konfiguration vermehrt zum Einsatz kommen, ergeben sich folgende
Probleme:
1
Netzwerkprotokolle wie "UPnP" und "Bonjour" nutzen diese Nachrichten, um neue Dienste im Netzwerk anzukündigen.
Es ist also möglich, dass WLAN-Clients den Zugang zu Servern einrichten, auf die sie überhaupt nicht zugreifen
können.
1
Der Internetstandard IPv6 verwendet Multicast-Sendungen, um Routerinformationen an die Clients zu übermitteln.
Die Gefahr besteht, dass VLAN-fremde WLAN-Clients diese Informationen übernehmen und sich damit den Zugriff
auf das VLAN entziehen, für das sie eigentlich registriert sind.
Mit der zunehmenden Verbreitung von IPv6 werden auch diese Client-Probleme zunehmen.
Um diese Probleme zu vermeiden, kann der AP statt eines für alle WLAN-Clients gültigen Gruppenschlüssels jedem
verwendeten VLAN einen separaten Gruppenschlüssel zuweisen. Er schickt somit seine Broad- und Multicast-Sendungen
nicht mehr an alle vorhandenen WLAN-Clients, sondern ausschließlich an ein bestimmtes VLAN und an die dort registrierten
Clients. Die WLAN-Clients anderer VLANs können diese Sendungen nun nicht mehr entschlüsseln.
5
Der IEEE 802.11-Standard sieht die Verwaltung von 4 unterschiedlichen Schlüsseln vor. Ein Schlüssel ist dabei
immer für die gesicherte Unicast-Kommunikation zwischen dem AP und einem WLAN-Client reserviert.
Es können prinzipiell also maximal 3 separate VLANs über eigene Gruppenschlüssel verwaltet werden. Die jeweiligen
Gruppenschlüssel werden dabei entweder automatisch vom AP oder manuell vom Netzwerk-Administrator verwaltet.
Während der Anmeldung des WLAN-Clients am Netzwerk überträgt der AP ihm den zugehörigen VLAN-Gruppenschlüssel
zur Entschlüsselung aller für sein VLAN bestimmten Broad- und Multicast-Sendungen.
Damit ergeben sich 2 mögliche Szenarien:
1
Höchstens 3 VLANs sind im Bereich eines APs eingerichtet: Durch die 3 spezifischen VLAN-Gruppenschlüssel sind
diese VLANs sicher voneinander getrennt.
1
Mehr als 3 VLANs existieren im Bereich eines APs: Hierbei teilen sich mindestens 2 VLANs einen Gruppenschlüssel.
Der Administrator muss die geteilten Gruppenschlüssel optimal auf die VLANs aufteilen.
Die Verwaltung der VLAN-Gruppenschlüssel erfolgt in 2 Tabellen:
1
Die Konfigurations-Tabelle, in der die Zuordnung manuell durch den Administrator erfolgt.
1
Die Status-Tabelle, in der die automatische Gruppenschlüssel-Zuordnung durch den AP abzulesen ist.
Referenzhandbuch
12 Wireless LAN – WLAN
735
Werbung
Inhaltsverzeichnis
