WLAN-Abdeckung mit Radius + mehreren Accesspoints
Hallo zusammen,
ich habe mich mal ein wenig in die Thematik des RADIUS-Servers eingelesen und habe eine Frage, wie ich mir die Netzabdeckung vorstellen muss:
Geplant sind 5-7 Accesspoints die hier im Gebäude verteilt sind, damit das gesamte Gebäude "ausgestrahlt" wird. Meine Frage bzgl. des RADIUS wäre nun, ob sich damit die gesamte Fläche als ein Netzwerk verhält, wie auch bei Mobilfunkmasten beim Handy, was wünschenswert wäre oder wie viele verschiedene Netzwerke, wo jedesmal beim wechsel von einem accesspoint auf den nächsten wieder zertifikate etc. umhergeschoben werden. In bereichen wo sich 2 Accesspoints quasi überschneiden wäre es sehr unpraktisch, wenn da ständig internet-anbindung umherspringen würde, bzw. abbricht kurzzeitig.
mfg chemikus
Nachtrag:
Ist es bei RADIUS möglich, das sich ein User auch mit mehreren Geräten dann im WLAN anmeldet? Habe überall immer was gelesen, das pro User nur ein Gerät etc.
ich habe mich mal ein wenig in die Thematik des RADIUS-Servers eingelesen und habe eine Frage, wie ich mir die Netzabdeckung vorstellen muss:
Geplant sind 5-7 Accesspoints die hier im Gebäude verteilt sind, damit das gesamte Gebäude "ausgestrahlt" wird. Meine Frage bzgl. des RADIUS wäre nun, ob sich damit die gesamte Fläche als ein Netzwerk verhält, wie auch bei Mobilfunkmasten beim Handy, was wünschenswert wäre oder wie viele verschiedene Netzwerke, wo jedesmal beim wechsel von einem accesspoint auf den nächsten wieder zertifikate etc. umhergeschoben werden. In bereichen wo sich 2 Accesspoints quasi überschneiden wäre es sehr unpraktisch, wenn da ständig internet-anbindung umherspringen würde, bzw. abbricht kurzzeitig.
mfg chemikus
Nachtrag:
Ist es bei RADIUS möglich, das sich ein User auch mit mehreren Geräten dann im WLAN anmeldet? Habe überall immer was gelesen, das pro User nur ein Gerät etc.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 230978
Url: https://administrator.de/contentid/230978
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
damit eine Verbindung von einem Access Point zu einem anderem übergeben werden kann, ist nicht zwingend ein RADIUS notwendig.
Dafür müssen die verwendeten Access Points lediglich das Roaming unterstützen und halt entsprechend konfiguriert sein.
Es gibt dafür wohl das IAAP Protokoll, welches den Rest erledigt.
Ich habe das allerdings nie extra konfiguriert, da meine Access Points (AeroHive) das wohl automatisch machen, wenn sie im gleichen Verbund hängen.
Damit ist es möglich bei SIP Telefonie überall rumzulaufen.
Der Wechsel von einem Access Point zu einem anderen hat quasi keinen Effekt auf den Endanwender.
In diesem Setup ist allerdings kein RADIUS Server integriert. Meine Access Points machen 3 WLANs mit verschiedenen Passwörtern auf.
Die Authentifizierung ginge zwar auch anders (AD-Konto, Zertifikate, etc.) aber bei den Tests (vor ca. 1 Jahr) viel auf, dass mache Clients manche Authentifizierungsmethoden gar nicht unterstützen.
Also gibt es nur Passwörter als kleinsten gemeinsamen Nenner, das geht immer und überall:
- Für ein Netz stelle ich User-bezogene Passwörter aus, welche X Geräte erlauben.
- Ein anderes Netz hat ein globales Passwort.
- Für das Gast-Netz gibt es Tages-Tickets.
Fertig.
So wie ich RADIUS verstehe, sollten mehrere Geräte aber möglich sein.
Grüße,
Daniel
damit eine Verbindung von einem Access Point zu einem anderem übergeben werden kann, ist nicht zwingend ein RADIUS notwendig.
Dafür müssen die verwendeten Access Points lediglich das Roaming unterstützen und halt entsprechend konfiguriert sein.
Es gibt dafür wohl das IAAP Protokoll, welches den Rest erledigt.
Ich habe das allerdings nie extra konfiguriert, da meine Access Points (AeroHive) das wohl automatisch machen, wenn sie im gleichen Verbund hängen.
Damit ist es möglich bei SIP Telefonie überall rumzulaufen.
Der Wechsel von einem Access Point zu einem anderen hat quasi keinen Effekt auf den Endanwender.
In diesem Setup ist allerdings kein RADIUS Server integriert. Meine Access Points machen 3 WLANs mit verschiedenen Passwörtern auf.
Die Authentifizierung ginge zwar auch anders (AD-Konto, Zertifikate, etc.) aber bei den Tests (vor ca. 1 Jahr) viel auf, dass mache Clients manche Authentifizierungsmethoden gar nicht unterstützen.
Also gibt es nur Passwörter als kleinsten gemeinsamen Nenner, das geht immer und überall:
- Für ein Netz stelle ich User-bezogene Passwörter aus, welche X Geräte erlauben.
- Ein anderes Netz hat ein globales Passwort.
- Für das Gast-Netz gibt es Tages-Tickets.
Fertig.
Ist es bei RADIUS möglich, das sich ein User auch mit mehreren Geräten dann im WLAN anmeldet? Habe überall immer
was gelesen, das pro User nur ein Gerät etc.
Das kann ich mangels Erfahrung mit RADIUS leider nicht sicher beantworten.was gelesen, das pro User nur ein Gerät etc.
So wie ich RADIUS verstehe, sollten mehrere Geräte aber möglich sein.
Grüße,
Daniel
Hallo,
Löblich.
Hier im Forum taucht deine Frage mittlerweile im 4 Tage Rythmus auf. Suchen hilft dir auch unsere schon mittlerweile auswendig gelernten Antworten zu finden. Unifi ist eine möglichkeit auch ein Seamless Handover zu bekommen ohne einen teuren speziellen Hardware Controller einzusetzen.
Gruß,
Peter
Löblich.
und habe eine Frage, wie ich mir die Netzabdeckung
Das hat aber nunmal gar nichts mit der Funktion eines RADIUS zu tun. RADIUS ist nur ein Server / Mechanismus der eine Authentifizierung vornimmt oder eben nicht Authentifiziert. Für was er das tut ist dem RADIUS vollkommen wurscht.Geplant sind 5-7 Accesspoints
Nur geplant oder auch ausgemessen. Ausmessen bedeutet mit einem AP (mit meheren gleichzeitig wird es unzweifelhaft schwieriger) sich hinstellen, diesen an den vorgesehen Platz mittels Hilsmittel bringen, dann mit einem oder mehreren Geräte von zig verschiedenen Stellen aus mit einer Software der sogenannte Empfangspegel in dBm ermitteln und notieren. Je mehr Empfangsmessungen pro Standort des AP vorgenommen wird, je genauer die Auswertung und die Antwort auf "Wie viele APs werden denn wo benötigt" um folgendes Empfangsverhalten (Bit/Sekunde) abzudecken. Danach weist du mehr. Und soll es ein Lager sein wo auch Fahrzeuge sich bewegen, dann werden noch mehr Messungen nötig. Sind die Wände die Büros gegeneinander abtrennen noch nicht gebaut, warten bis die Wände stehen.damit das gesamte Gebäude "ausgestrahlt"
Wir sagen ausgeleuchtet.Meine Frage bzgl. des RADIUS wäre nun, ob sich damit die gesamte Fläche als ein Netzwerk verhält
Wie gesagt, dem RADIUS ist es egal für was er denn letztendlich ein Objekt Authentifiziert. Das dein Netzwerk soch wie *+ein netz verhält, hängt ganz allein von deiner Konfiguration der APs ab und inwiefern die dieses können sollen machen tun. EinAP ist ungleich ein AP. Da spilen nicht nur die Preise eine Rolle. Auch Hersteller und Typ sind entscheidend bei der Auswahl was die denn jetzt können sollen machen tun wollen....bei Mobilfunkmasten
Was letztendlich nur die Konfiguration der einzelnen Komponenten untereinander für bestimmte Funktionen ...von einem accesspoint auf den nächsten wieder zertifikate etc. umhergeschoben werden.
Wenn laufend Zertifikate umhergeschoben werden müssten hätte dein WLAN schon mit sich selbst genug zu tun....In bereichen wo sich 2 Accesspoints quasi
Nur "quasi" überschneiden? Entweder sind dein APs soweit voneinander entfernt das diese sich eben nicht überschneiden können (mehrere Fußballfelder gross) oder diese "werden sich unweigerlich" überschneiden. Da kommt es auf einer guten Frequenzplanung an, was aber sich aus den Ausgemessenen Werte erstellen lässt. Und ob ein Handover für arme oder sich ein Handover Kontrollerbasierend aufbauen lässt. Die Anforderung an das WLAN stellt hir schon die Anforderung was es sein muss*.da ständig internet-anbindung umherspringen würde
Dann die APs gut an der Wand oder Decke befestigenIst es bei RADIUS möglich, das sich ein User auch mit mehreren Geräten dann im WLAN anmeldet?
Wer oder was soll Authentifiziert werden? Das Gerät oder der Benutzer?Hier im Forum taucht deine Frage mittlerweile im 4 Tage Rythmus auf. Suchen hilft dir auch unsere schon mittlerweile auswendig gelernten Antworten zu finden. Unifi ist eine möglichkeit auch ein Seamless Handover zu bekommen ohne einen teuren speziellen Hardware Controller einzusetzen.
Gruß,
Peter
Hallo zusammen,
also Du behandelst hier zwei Sachen in einem Beitrag, das kann man zwar so machen
nur bei einem regen Zuspruch verwirrt das auch wiederum einige Leute, ich hätte das ja
zwei Beiträge draus gemacht, aber ok das macht eben auch wieder jeder mit sich selber
ab.
Zur Abdeckung der Fläche:
Ausmessen des Bereiches der mit WLAN versorgt werden soll ist hier ein Muss
und die WLAN APs sollten sich auch auf jeden Fall "alle" überlappen bzw. überschneiden!
Denn sonst wir dein "Seamless Handover", wirklich schwer bis hin zu unmöglich.
Es sollte auch zuerst und zwar ganz genau heraus gefunden werden, was für ein
Roaming man denn nun benötigt, sollte es sich um das so genannte "Fast Roaming"
handeln, was man für Echtzeitanwendungen wie Telefonie und/oder Datenbankzugriffe
benötigt führt zur Zeit leider "fast" kein Weg an der Benutzung eines WLAN Controllers
vorbei, der kann als Softwarelösung wie bei Ubiquiti zum tragen kommen oder aber
als Hardwarevariante wie zum Beispiel bei Netgear , Zyxel oder Lancom wenn man
über das WLAN Netzwerk telefonieren möchte.
In Bezug auf das Nebengebäude das eventuell auch mittels WLAN versorgt werden soll
würde ich aber mindestens ein Gerät zur zentralen WLAN Verwaltung (~500 €) anschaffen
wollen und wenn es wirklich von Nöten ist einen echten WLAN Controller (~1000 €)
Zu den WLAN APs:
Diese sollten auf jeden Fall zu einem "echten" WLAN Controller kompatibel sein,
denn stellt sich später heraus, dass man einen benötigt ist man schnell enttäuscht
wenn auf einmal nicht jeder WLAN AP eines Herstellers mit seinem WLAN Controller
funktioniert und man dann eben alles neu kaufen muss.
Die WALN APs selber müssen dann natürlich auch Fast Roaming unterstützen und
vor allen Dingen sollten diese in verschiedenen Ausführungen zur Verfügung stehen,
also für die Wand (oval), für die Decke (rund) und auch Tischgeräte (eckig) sollten
vorhanden sein damit man auch mannigfaltig damit agieren und planen kann.
WLAN Controller vs. Geräte "nur" zur WLAN Verwaltung.
- Die WLAN Controller unterstützen in der Regel alle das "Fast Roaming"
auf Layer2 & Layer3 Basis und es werden vor allen anderen Dingen die cleveren
QoS Regeln dort abgearbeitet und das lassen sich die Firmen in der Regel auch
gut bezahlen daher kann ein WLAN Controller auch immer nur eine gewisse Anzahl
An WLAN APs verwalten und steuern, man sollte also auch darauf achten, dass man
mittels zusätzlicher Lizenzen noch die Anzahl der WLAN APs noch erhöhen kann,
zusätzlich kann man mit einigen WLAN Controllern weiter entfernte WLAN APs
(andere Gebäude) gut administrieren und Updates einspielen bzw. alle APs gleichzeitig
überwachen und steuern, in einigen WLAN Controllern ist auch schon ein Radius Server
für das interne WLAN Netzwerk bzw. interne Mitarbeiter und ein HotSpot für externe
Mitarbeiter bzw. Besucher integriert, da hat man dann alles auf einen Schlag mit
abgehandelt.
Netzwerktechnik:
Die im Unternehmen vorhandenen Switche so wie die restliche Netzwerkinfrastruktur
sollten natürlich auch alle performant genug sein um den entstehenden Netzwerkverkehr
bzw. das Aufkommen bedienen zu können. Multiple Radius Authentifizierung an einem
Switchport und VLANs sollten hier beherrscht werden.
Gruß
Dobby
P.S.
Hier noch ein kleiner Nachtrag zu dem Thema mit Hinweis
auf einen Kommentar von @aqui zu dem selben Thema
der unter Umständen auch noch einige Hinweise zu der
Materie hat. Access Point Einrichtung
also Du behandelst hier zwei Sachen in einem Beitrag, das kann man zwar so machen
nur bei einem regen Zuspruch verwirrt das auch wiederum einige Leute, ich hätte das ja
zwei Beiträge draus gemacht, aber ok das macht eben auch wieder jeder mit sich selber
ab.
Zur Abdeckung der Fläche:
Ausmessen des Bereiches der mit WLAN versorgt werden soll ist hier ein Muss
und die WLAN APs sollten sich auch auf jeden Fall "alle" überlappen bzw. überschneiden!
Denn sonst wir dein "Seamless Handover", wirklich schwer bis hin zu unmöglich.
Es sollte auch zuerst und zwar ganz genau heraus gefunden werden, was für ein
Roaming man denn nun benötigt, sollte es sich um das so genannte "Fast Roaming"
handeln, was man für Echtzeitanwendungen wie Telefonie und/oder Datenbankzugriffe
benötigt führt zur Zeit leider "fast" kein Weg an der Benutzung eines WLAN Controllers
vorbei, der kann als Softwarelösung wie bei Ubiquiti zum tragen kommen oder aber
als Hardwarevariante wie zum Beispiel bei Netgear , Zyxel oder Lancom wenn man
über das WLAN Netzwerk telefonieren möchte.
In Bezug auf das Nebengebäude das eventuell auch mittels WLAN versorgt werden soll
würde ich aber mindestens ein Gerät zur zentralen WLAN Verwaltung (~500 €) anschaffen
wollen und wenn es wirklich von Nöten ist einen echten WLAN Controller (~1000 €)
Zu den WLAN APs:
Diese sollten auf jeden Fall zu einem "echten" WLAN Controller kompatibel sein,
denn stellt sich später heraus, dass man einen benötigt ist man schnell enttäuscht
wenn auf einmal nicht jeder WLAN AP eines Herstellers mit seinem WLAN Controller
funktioniert und man dann eben alles neu kaufen muss.
Die WALN APs selber müssen dann natürlich auch Fast Roaming unterstützen und
vor allen Dingen sollten diese in verschiedenen Ausführungen zur Verfügung stehen,
also für die Wand (oval), für die Decke (rund) und auch Tischgeräte (eckig) sollten
vorhanden sein damit man auch mannigfaltig damit agieren und planen kann.
WLAN Controller vs. Geräte "nur" zur WLAN Verwaltung.
- Die WLAN Controller unterstützen in der Regel alle das "Fast Roaming"
auf Layer2 & Layer3 Basis und es werden vor allen anderen Dingen die cleveren
QoS Regeln dort abgearbeitet und das lassen sich die Firmen in der Regel auch
gut bezahlen daher kann ein WLAN Controller auch immer nur eine gewisse Anzahl
An WLAN APs verwalten und steuern, man sollte also auch darauf achten, dass man
mittels zusätzlicher Lizenzen noch die Anzahl der WLAN APs noch erhöhen kann,
zusätzlich kann man mit einigen WLAN Controllern weiter entfernte WLAN APs
(andere Gebäude) gut administrieren und Updates einspielen bzw. alle APs gleichzeitig
überwachen und steuern, in einigen WLAN Controllern ist auch schon ein Radius Server
für das interne WLAN Netzwerk bzw. interne Mitarbeiter und ein HotSpot für externe
Mitarbeiter bzw. Besucher integriert, da hat man dann alles auf einen Schlag mit
abgehandelt.
Netzwerktechnik:
Die im Unternehmen vorhandenen Switche so wie die restliche Netzwerkinfrastruktur
sollten natürlich auch alle performant genug sein um den entstehenden Netzwerkverkehr
bzw. das Aufkommen bedienen zu können. Multiple Radius Authentifizierung an einem
Switchport und VLANs sollten hier beherrscht werden.
Gruß
Dobby
P.S.
Hier noch ein kleiner Nachtrag zu dem Thema mit Hinweis
auf einen Kommentar von @aqui zu dem selben Thema
der unter Umständen auch noch einige Hinweise zu der
Materie hat. Access Point Einrichtung
Hi Chemikus,
wie meine Vorredner schon sagten:
#1 Die WLAN-Abdeckung mit 802.11n und Zugang zum 2,4 und 5 GHZ Band wird als Basis angesehen. Wichtig ist die Kanalverteilung unter Berücksichtigung vorhandener installationen und Nachbarn, da Gleichwellenfunk nur über ein und den selben AP, aber nicht über mehrer APs unterstützt wird. (Stichwort: Spatial Streams)
#1 Radius zur Authentifizierung benötigt es, wenn die Sicherheitsparameter nicht lokal, bei jedem AP eingetragen werden sollen, oder wenn kein (empfehlenswerter) Controller zur Verfügung steht. Wobei Controller da steht für die Funktionalität von Konfigurations- und Softwareverteilung, über Benutzerverwaltung bis zur Funktion fast Roaming, die man extra erfragen muss. Das angesprochene IAP ist leider nicht so genial umgesetzt, wie es ursprünglich beschrieben worden ist.
#3 Anmelden kann man sich auch bei einem AD oder welchem Anmeldeserver auch immer. Dazu muss man eben entscheiden, welche mobilen Geräte welchen Zugriff aufs Netzwerk bekommen sollen und ob es noch für die Mitarbeiterhandys einen Gastzugang gibt.
#4 Sobald man sich mit mehreren Geräten im WLAN beschäftigt, sollte man sich auch Gedanken über mehrere SSIDs und damit einhergehend einem VLAN-Konzept im Netzwerk für die in #3 erwähnten Geräte macht.
Gruß
Netman
wie meine Vorredner schon sagten:
#1 Die WLAN-Abdeckung mit 802.11n und Zugang zum 2,4 und 5 GHZ Band wird als Basis angesehen. Wichtig ist die Kanalverteilung unter Berücksichtigung vorhandener installationen und Nachbarn, da Gleichwellenfunk nur über ein und den selben AP, aber nicht über mehrer APs unterstützt wird. (Stichwort: Spatial Streams)
#1 Radius zur Authentifizierung benötigt es, wenn die Sicherheitsparameter nicht lokal, bei jedem AP eingetragen werden sollen, oder wenn kein (empfehlenswerter) Controller zur Verfügung steht. Wobei Controller da steht für die Funktionalität von Konfigurations- und Softwareverteilung, über Benutzerverwaltung bis zur Funktion fast Roaming, die man extra erfragen muss. Das angesprochene IAP ist leider nicht so genial umgesetzt, wie es ursprünglich beschrieben worden ist.
#3 Anmelden kann man sich auch bei einem AD oder welchem Anmeldeserver auch immer. Dazu muss man eben entscheiden, welche mobilen Geräte welchen Zugriff aufs Netzwerk bekommen sollen und ob es noch für die Mitarbeiterhandys einen Gastzugang gibt.
#4 Sobald man sich mit mehreren Geräten im WLAN beschäftigt, sollte man sich auch Gedanken über mehrere SSIDs und damit einhergehend einem VLAN-Konzept im Netzwerk für die in #3 erwähnten Geräte macht.
Gruß
Netman
Zum Thema Radius Authentisierung findest du alle Grundlagen in diesem Forumstutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius