Inhaltsverzeichnis
Werbung
LANCOM WLAN Controller
1 Zentrales WLAN-Management
häufig die Position und buchen sich dann bei unterschiedlichen Access Points ein, befinden sie sich je nach Konfiguration
in einem anderen IP-Netzwerk.
Um die WLAN-Clients unabhängig von dem WLAN-Netzwerk, in dem sie sich gerade eingebucht haben, in ein bestimmtes
Netzwerk zu leiten, können dynamisch zugewiesene VLANs genutzt werden. Anders als bei den statisch konfigurierten
VLAN-IDs für eine bestimmte SSID wird die VLAN-ID dabei dem WLAN-Client von einem RADIUS-Server direkt zugewiesen.
Beispiel:
1
Die WLAN-Clients der Mitarbeiter buchen sich über einen Access Point in das WPA2-gesicherte WLAN mit der SSID
'INTERN' ein. Bei der Anmeldung werden die RADIUS-Anfragen der WLAN-Clients an den Access Point gestellt. Wenn
sich das entsprechende WLAN-Interface in der Betriebsart 'Managed' befindet, werden die RADIUS-Anfragen
automatisch an den WLAN-Controller weitergereicht. Dieser leitet die Anfragen seinerseits an den konfigurierten
RADIUS-Server weiter. Der RADIUS-Server kann die Zugangsberechtigung der WLAN-Clients prüfen. Darüber hinaus
kann er allerdings auch z. B. anhand der MAC-Adresse eine bestimmte VLAN-ID für die jeweilige Abteilung zuweisen.
Dabei erhält z. B. der WLAN-Client aus dem Marketing die VLAN-ID '10' und WLAN-Client aus der Entwicklung die
'20'. Wenn für den Benutzer keine VLAN-ID definiert ist, wird die Haupt-VLAN-ID der SSID verwendet.
1
Die WLAN-Clients der Gäste buchen sich über den gleichen Access Point in das nicht gesicherte WLAN mit der SSID
'PUBLIC' ein. Diese SSID ist statisch auf die VLAN-ID '99' gebunden und leitet die Gäste so in einen bestimmtes
Netzwerk. Statische und dynamische VLAN-Zuweisung können also sehr elegant parallel genutzt werden.
5
Die Zuweisung der VLAN-ID kann im RADIUS-Server auch anhand von anderen Kriterien erfolgen, z. B. über die
Kombination aus Benutzername und Kennwort. Auf diese Weise kann z. B. den unbekannten MAC-Adressen der
Besucher in einer Firma eine VLAN-ID zugewiesen werden, die für den Gastzugang z. B. nur die Internetnutzung
erlaubt, jedoch keinen Zugang zu anderen Netzwerkressourcen.
5
Alternativ zu einem externen RADIUS-Server kann den WLAN-Clients auch über den internen RADIUS-Server oder
die Stationstabelle im LANCOM WLAN Controller eine VLAN-ID zugewiesen werden.
1. Aktivieren Sie das VLAN-Tagging für den WLAN-Controller. Tragen Sie dazu als Management-VLAN-ID in den
physikalischen Parametern des Profils einen Wert größer als '0' ein.
2. Für eine Authentifizierung über 802.1x wählen Sie in den Verschlüsselungseinstellungen für das logische
WLAN-Netzwerk des Profils eine Einstellung, die eine Authentifizierungsanfrage auslöst.
3. Für eine Prüfung der MAC-Adressen aktivieren Sie für das logische WLAN-Netzwerk des Profils die MAC-Prüfung.
5
Sowohl für die Authentifizierung über 802.1x als auch für die Prüfung der MAC-Adressen ist bei der Verwaltung
von WLAN-Modulen über einen WLAN-Controller ein RADIUS-Server erforderlich. Der WLAN-Controller trägt
sich dabei automatisch in den von ihm verwalteten Access Points als RADIUS-Server ein – alle
RADIUS-Anfragen an die Access Points werden daher direkt an den WLAN-Controller weitergeleitet, der die
Anfragen entweder selbst bearbeiten oder sie alternativ an einen externen RADIUS-Server weiterleiten kann.
64
Werbung
Inhaltsverzeichnis
