Inhaltsverzeichnis
Werbung
1
Während der AP nach einem WLC sucht, sind dessen WLAN-Module ausgeschaltet.
1
Bei LANCOM Wireless Routern sind im Auslieferungszustand die WLAN-Module auf die Betriebsart 'Access-Point'
eingestellt. In diesem Modus arbeiten die Wireless Router als autarke Access Points mit einer lokal im Gerät
gespeicherten Konfiguration. Um Teilnehmer einer zentral über WLAN-Controller verwalteten WLAN-Struktur zu
werden, muss die Betriebsart für die WLAN-Module in den gewünschten Wireless Routern auf 'Managed' umgestellt
werden.
Der AP sendet zu Beginn der Kommunikation eine "Discovery Request Message", um die verfügbaren WLCs zu ermitteln.
Dieser Request wird grundsätzlich als Broadcast versendet. Da in manchen Strukturen ein potenzieller WLC aber nicht
über Broadcast zu erreichen ist, können auch spezielle Adressen von weiteren WLCs in die Konfiguration der APs
eingetragen werden.
5
Außerdem können auch DNS-Namen von WLCs aufgelöst werden. Alle APs mit LCOS 7.22 oder höher haben
den Standardnamen 'WLC-Address' bereits konfiguriert, sodass ein DNS-Server diesen Namen zu einem WLC
auflösen kann. Gleiches gilt auch für die über DHCP gelernten DHCP-Suffixe. Somit können auch WLCs erreicht
werden, die nicht im gleichen Netz stehen, ohne die APs konfigurieren zu müssen.
Aus den verfügbaren WLCs wählt der AP den besten aus und fragt bei diesem nach dem Aufbau der DTLS-Verbindung
an. Der "beste" WLC ist für den AP derjenige mit der geringsten Auslastung, also dem kleinsten Verhältnis von gemanagten
APs zu den maximal möglichen APs. Bei zwei oder mehreren gleich "guten" WLCs wählt der AP den im Netzwerk nächsten,
also den mit der geringsten Antwortzeit.
Der WLC ermittelt daraufhin mit einer internen Zufallszahl einen eindeutigen und sicheren Sitzungsschlüssel, mit dem
er die Verbindung zum AP schützt. Die CA im WLC stellt dem AP ein Zertifikat mittels SCEP aus. Das Zertifikat ist mit
einem Kennwort für einmalige Verwendung als "Challenge" gesichert, der AP kann sich mit diesem Zertifikat gegenüber
dem WLC für die Abholung des Zertifikats authentifizieren.
Über die gesicherte DTLS-Verbindung wird dem AP die Konfiguration für den integrierten SCEP-Client mitgeteilt – der
AP kann dann über SCEP sein Zertifikat bei der SCEP-CA abholen. Anschließend wird die dem AP zugewiesene Konfiguration
übertragen.
5
SCEP steht für Simple Certificate Encryption Protocol, CA für Certification Authority.
Sowohl Authentifizierung als auch Konfiguration können entweder automatisch vorgenommen werden oder nur bei
passendem Eintrag der MAC-Adresse des AP in der AP-Tabelle des WLC. Sofern bei dem AP die WLAN-Module bei Beginn
der DTLS-Kommunikation ausgeschaltet waren, werden diese nach erfolgreicher Übertragung von Zertifikat und
Konfiguration eingeschaltet (sofern sie nicht in der Konfiguration explizit ausgeschaltet sind).
Referenzhandbuch
13 WLAN-Management
787
Werbung
Inhaltsverzeichnis
