WLAN-Netzwerk mit zwei SSIDs erstellen
Hallo liebe Administratoren-Gemeinde,
dies ist mein erster Beitrag mit der Hoffnung genauso kompetent geholfen zu bekommen, als auch die zuvor erstellen Beiträge. Nun zu meinem Anliegen:
Ich bin in einem 70 Mann-Unternehmen beschäftigt und möchte die Firma mit einem WLAN-Netz ausbauen, da noch nicht vorhanden. Das Wlan-Netzwerk wird überwiegend nur die mobilen Arbeitsgeräte wie Tabletes, Notebooks und Smartphones betreffen, da alle anderen stationären Geräte an ein kabelgebundenes LAN angeschlossen sind.
Wenn Besprechungen mit externen Personen erfolgen, sollen diese die Möglichkeit haben per WLAN einen Zugang ins Internet zu bekommen ohne dabei unser internes Netzwerk zu betreten. Alle Mitarbeiter dürfen allerdings, dass Netzwerk und Internet nutzen.
Mein Lösungsansatz:
Insgesamt werden ca. 13 AP's verbaut. Diese sollen dann von einem Controller aus alle konfiguriert werden.
Frage:
Wie kann ich einen getrennten Zugang (evtl. über getrennte SSID's? ) einrichten, bzw. welche Lösungen habt ihr?
Vielen Dank bereits im Vorraus!
dies ist mein erster Beitrag mit der Hoffnung genauso kompetent geholfen zu bekommen, als auch die zuvor erstellen Beiträge. Nun zu meinem Anliegen:
Ich bin in einem 70 Mann-Unternehmen beschäftigt und möchte die Firma mit einem WLAN-Netz ausbauen, da noch nicht vorhanden. Das Wlan-Netzwerk wird überwiegend nur die mobilen Arbeitsgeräte wie Tabletes, Notebooks und Smartphones betreffen, da alle anderen stationären Geräte an ein kabelgebundenes LAN angeschlossen sind.
Wenn Besprechungen mit externen Personen erfolgen, sollen diese die Möglichkeit haben per WLAN einen Zugang ins Internet zu bekommen ohne dabei unser internes Netzwerk zu betreten. Alle Mitarbeiter dürfen allerdings, dass Netzwerk und Internet nutzen.
Mein Lösungsansatz:
Insgesamt werden ca. 13 AP's verbaut. Diese sollen dann von einem Controller aus alle konfiguriert werden.
Frage:
Wie kann ich einen getrennten Zugang (evtl. über getrennte SSID's? ) einrichten, bzw. welche Lösungen habt ihr?
Vielen Dank bereits im Vorraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195959
Url: https://administrator.de/contentid/195959
Ausgedruckt am: 24.11.2024 um 23:11 Uhr
26 Kommentare
Neuester Kommentar
Hi Squal,
Bei einer Controllerlösung gibt es dazu überhaupt keine Problem.
Einzige Vorraussetzung für deine Anforderungen sind VLAN-Infrastrukturen bei den Switches.
Du nutzt zwei SSIDs. Diese werden über den VLAN-Uplink mit jeweils einem VLAN an die kabelgebundene Infrastruktur angebunden.
SSID Gast VLAN33, SSID intern VLAN 20 und Authentifizierung gegen das AD.
Der Internetrouter muss diese beiden VLAN nur auf seinem getaggten uplink sauber verteilen.
Weiters vermute ich, dass die Switche schon oder bald PoE können um die APs und evtl. IP-Phones zu versorgen.
Gruß
Netman
Bei einer Controllerlösung gibt es dazu überhaupt keine Problem.
Einzige Vorraussetzung für deine Anforderungen sind VLAN-Infrastrukturen bei den Switches.
Du nutzt zwei SSIDs. Diese werden über den VLAN-Uplink mit jeweils einem VLAN an die kabelgebundene Infrastruktur angebunden.
SSID Gast VLAN33, SSID intern VLAN 20 und Authentifizierung gegen das AD.
Der Internetrouter muss diese beiden VLAN nur auf seinem getaggten uplink sauber verteilen.
Weiters vermute ich, dass die Switche schon oder bald PoE können um die APs und evtl. IP-Phones zu versorgen.
Gruß
Netman
Nein, das ist nicht richtig,
SSID1 -> VLAN11 ->
getaggter Uplink Port05 am Switch01 -> Infrastruktur ->*
SSID2 -> VLAN12 ->
-> Infrastruktur ->* getaggter Uplink Router/Firewall -> Internet
-> Infrastruktur ->* getaggter Uplink Router/Firewall -> komplettes LAN.
Eine Vereinfachung wäre die SSID1 für den Gast mit VLAN-tags zu versorgen und die SSID2 fürs interne Netz ungetaggt zu lassen (Konfiguration im Controller oder AP). Nachteil: Es gibt keine Sicherheit gegen unbefugten Zugriff aufs Netz.
Durch das VLAN-Komzept werden sie auf einem physikalischen Port sauber getrennt, während deine Idee der Nutzung eines Ports pro SSID erstens zwei uplinks benötigt und zusätzlich die Trennung via VLANs.
Gruß
Netman
SSID1 -> VLAN11 ->
getaggter Uplink Port05 am Switch01 -> Infrastruktur ->*
SSID2 -> VLAN12 ->
-> Infrastruktur ->* getaggter Uplink Router/Firewall -> Internet
-> Infrastruktur ->* getaggter Uplink Router/Firewall -> komplettes LAN.
Eine Vereinfachung wäre die SSID1 für den Gast mit VLAN-tags zu versorgen und die SSID2 fürs interne Netz ungetaggt zu lassen (Konfiguration im Controller oder AP). Nachteil: Es gibt keine Sicherheit gegen unbefugten Zugriff aufs Netz.
Durch das VLAN-Komzept werden sie auf einem physikalischen Port sauber getrennt, während deine Idee der Nutzung eines Ports pro SSID erstens zwei uplinks benötigt und zusätzlich die Trennung via VLANs.
Gruß
Netman
Die Ethernetpakte werden für das VLAN um 4 Byte erweitert. Diese 4 Byte sind ziemlich am Anfang des Paketes. Darin befinden sich die Informationen zur VLAN-Nummer (max4096) und Priorisierungsinformationen. Wenn das den teilnehmenden Geräten nicht bekannt ist, werden die falschen informationen für die Weiterleitung im Netz verwendet und das Chaos ist vorhersehbar. Etwas detaillierter auf http://www.netzmafia.de/skripten/netze/netz7.html#7.12
Für dich wichtig sind die Begriffe, die der Hersteller verwendet:
Da gibt es trunks, uplinks, taggt Ports, edge ports, access ports. Die Bezeichnugn ist nicht über alle Hersteller durchgängig.
Deshalb: VLAN-Ports mit einem TAG (den 4 Byte) sind getaggt. VLAN-Ports ohne solche TAGs sind Access-Ports, Ports für die Endgeräte wie PCs und Drucker. Also muss man jeden Port auch so konfigurieren, dass er die Pakete passend verteilt.
Uplinks sollen alle VLANS an die weiteren Switche verteilen, enthalten deshalb alle VLANs in getaggter Form.
Zugangsports können eine VLAN-Information haben, sollten aber ungetaggt sein. Wenn gleichzeitig ein Telefon daran betrieben wird, kann man eine Kombination aus ungetaggten und getaggten VLANs benutzen: Telefon getaggt, PC ungetaggt.
Durch diese Trennung ergibt sich die Notwendigkeit die Netze bei Bedarf auch zu verbinden, untereinander oder mit anderen Netzen.
Da machen Layer3 Switches, oder Router, oder wie bei dir die Firewall.
Zu diesem Zweck wird ein komplett getaggter uplink Port mit der Firewall verbunden und deine Konfiguration an der Firewall entsprechend angepasst. Jetz gibt es nämlich die Möglichkeit, das Pakete bei ETH0 rein kommen und die FW auch dort wieder verlassen, nur in einem anderen VLAN.
Gruß
Netman
P.S.: Beim Mitlesen ist dir bestimmt schon aufgefallen, dass Fragen und spezifische Nachfragen auch ohne Häme beantwortet werden. Manchmal ist das vorgespielte, vorgetäuschte Wissen aber einfach zu schön um darüber nicht zu schmunzeln
Für dich wichtig sind die Begriffe, die der Hersteller verwendet:
Da gibt es trunks, uplinks, taggt Ports, edge ports, access ports. Die Bezeichnugn ist nicht über alle Hersteller durchgängig.
Deshalb: VLAN-Ports mit einem TAG (den 4 Byte) sind getaggt. VLAN-Ports ohne solche TAGs sind Access-Ports, Ports für die Endgeräte wie PCs und Drucker. Also muss man jeden Port auch so konfigurieren, dass er die Pakete passend verteilt.
Uplinks sollen alle VLANS an die weiteren Switche verteilen, enthalten deshalb alle VLANs in getaggter Form.
Zugangsports können eine VLAN-Information haben, sollten aber ungetaggt sein. Wenn gleichzeitig ein Telefon daran betrieben wird, kann man eine Kombination aus ungetaggten und getaggten VLANs benutzen: Telefon getaggt, PC ungetaggt.
Durch diese Trennung ergibt sich die Notwendigkeit die Netze bei Bedarf auch zu verbinden, untereinander oder mit anderen Netzen.
Da machen Layer3 Switches, oder Router, oder wie bei dir die Firewall.
Zu diesem Zweck wird ein komplett getaggter uplink Port mit der Firewall verbunden und deine Konfiguration an der Firewall entsprechend angepasst. Jetz gibt es nämlich die Möglichkeit, das Pakete bei ETH0 rein kommen und die FW auch dort wieder verlassen, nur in einem anderen VLAN.
Gruß
Netman
P.S.: Beim Mitlesen ist dir bestimmt schon aufgefallen, dass Fragen und spezifische Nachfragen auch ohne Häme beantwortet werden. Manchmal ist das vorgespielte, vorgetäuschte Wissen aber einfach zu schön um darüber nicht zu schmunzeln
Dieses Tutorial beschreibt so ein Konzept über eSSIDs ebenso:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Ist eigentlich recht einfach umzusetzen....
2 SSIDs in 2 VLANs trennen und die dann über Router oder Firewall.
Die Gästeintegration machst du am besten mit einem Captive Portal (Hotspot) und einer zeitgesteuerten Ticketverwaltung am Empfang.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Ist eigentlich recht einfach umzusetzen....
2 SSIDs in 2 VLANs trennen und die dann über Router oder Firewall.
Die Gästeintegration machst du am besten mit einem Captive Portal (Hotspot) und einer zeitgesteuerten Ticketverwaltung am Empfang.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hallo Squal10,
nun gut nach dem nun schon alles gesagt wurde, möchte ich nur noch anfügen, dass Du auf jeden Fall die Sache mit dem VLAN01 noch einmal überdenken solltest!
Das VALN01 oder VLAN1 ist bei vielen Herstellern, das sogenannte "Default VLAN", in dem alle Netzwerkkomponenten die an den Switch angeschlossen werden automatisch Mitglied sind! Man benutzt dieses VALN1 auch als Management VLAN zum administrieren der Geräte und daher würde es sich denkbar schlecht dazu eignen die WLAN AP´s dort rein zu setzen. Nur meine Meinung, nimm doch VLAN20 und VLAN30 wenn die noch frei sind und gut ist.
Des weiteren solltest Du einmal darüber nachdenken ob Du danach, nicht den ganzen Switch mit all seinen
VLAN´s, außer dem Default VLAN1, in ein extra VLAN "packst", um es vom dem VLAN1 (Management VLAN)
zu trennen und dann kannst Du an einen Port von jedem Switch Dein KVM Switch hängen, an dem
Dein Administrator PC/WS/Server angeschlossen wird! Dann hast Du wenigstens keinen "Besuch" von Euren Mitarbeitern.
Feine Sache so ein WLAN Controller, es gibt aber von den großen und namhaften Herstellern meist zwei verschiedene Ausführungen. Die eine ist ein Gerät zum Verwalten von WLAN Netzwerken und das andere
ist ein "echter" WLAN Controller. Ich kann momentan noch nicht für alle Geräte sprechen, aber der "echte"
WLAN Controller von Netgear erlaubt es Dir sogar, die Gäste und Besucher in Eurem Besprechungsraum
könnten dann wie aqui es schon erklärt hat, über das Captive Portal (Hotspot) gehen und die Mitarbeiter
von Euch könnten dann alle über einen separaten Radius Server gesichert werden, wenn gewünscht.
Normaler Weise funktioniert nur der Einsatz einer Variante, daher würde ich noch einmal bei Deinem Modell nachschauen ob diese Funktion bei Euch/Dir auch gegeben ist, wenn Interesse daran besteht.
Gruß
Dobby
nun gut nach dem nun schon alles gesagt wurde, möchte ich nur noch anfügen, dass Du auf jeden Fall die Sache mit dem VLAN01 noch einmal überdenken solltest!
Das VALN01 oder VLAN1 ist bei vielen Herstellern, das sogenannte "Default VLAN", in dem alle Netzwerkkomponenten die an den Switch angeschlossen werden automatisch Mitglied sind! Man benutzt dieses VALN1 auch als Management VLAN zum administrieren der Geräte und daher würde es sich denkbar schlecht dazu eignen die WLAN AP´s dort rein zu setzen. Nur meine Meinung, nimm doch VLAN20 und VLAN30 wenn die noch frei sind und gut ist.
Des weiteren solltest Du einmal darüber nachdenken ob Du danach, nicht den ganzen Switch mit all seinen
VLAN´s, außer dem Default VLAN1, in ein extra VLAN "packst", um es vom dem VLAN1 (Management VLAN)
zu trennen und dann kannst Du an einen Port von jedem Switch Dein KVM Switch hängen, an dem
Dein Administrator PC/WS/Server angeschlossen wird! Dann hast Du wenigstens keinen "Besuch" von Euren Mitarbeitern.
Insgesamt werden ca. 13 AP's verbaut. Diese sollen dann von einem Controller aus alle konfiguriert
werden.
werden.
Feine Sache so ein WLAN Controller, es gibt aber von den großen und namhaften Herstellern meist zwei verschiedene Ausführungen. Die eine ist ein Gerät zum Verwalten von WLAN Netzwerken und das andere
ist ein "echter" WLAN Controller. Ich kann momentan noch nicht für alle Geräte sprechen, aber der "echte"
WLAN Controller von Netgear erlaubt es Dir sogar, die Gäste und Besucher in Eurem Besprechungsraum
könnten dann wie aqui es schon erklärt hat, über das Captive Portal (Hotspot) gehen und die Mitarbeiter
von Euch könnten dann alle über einen separaten Radius Server gesichert werden, wenn gewünscht.
Normaler Weise funktioniert nur der Einsatz einer Variante, daher würde ich noch einmal bei Deinem Modell nachschauen ob diese Funktion bei Euch/Dir auch gegeben ist, wenn Interesse daran besteht.
Gruß
Dobby
Hallo Squal10,
Ich weiß schon wie das zusammenhängt, morgen geht die Welt unter und daher ist heute schon Freitag ;)
Gruß
Dobby
also hab mich jetzt nochmal ausgiebig informiert über das Thema VLAN.
.......Firmennetzwerk?
Ich weiß schon wie das zusammenhängt, morgen geht die Welt unter und daher ist heute schon Freitag ;)
Gruß
Dobby
Hi,
- Wie sieht das mit den Räumlichkeiten aus? Serverraum,...
- Was hast Du denn schon alles da? Rack, Router, Firewalls, Switche, Kabel,....
- Was sind das für Geräte kann man darauf Zertifikate installieren?
Du legst zwei völlig identische SSIDs an, eine für die Gäste und eine für das Firmennetzwerk.
Das heißt die SSID für Gäste wird immer völlig identisch, mit ein und den selben Daten angelegt
und die SSIDs für das Firmennetzwerk auch. Dann kommen diese je in ein eigenes VLAN!
Man kann auch gleich Layer 3 PoE Switche nehmen, je nach dem was Du schon da hast, an "Materialien"!
Kommt aber darauf an was alles schon vorhanden ist. Switche, Router, Firewall,.....
können dann auch auf das Firmennetz zugreifen und in das Internet.
oder etwas mit DD-WRT drauf. Ein Router kann das ja auch mit übernehmen, nur man müsste einmal wisse welchen Du da hast!
Welche WLAN APs?
Welchen WLAN Controller?
Mit oder ohne zusätzlichen Radiusserver?
Oder nur mit Captive Portal und dafür alles in verschiedenen Gruppen anlegen?
Wie oben schon gefragt es wäre halt auch schön zu wissen was schon vorhanden ist!?
Denn warum nun für 70 Leute und 10 Besucher noch einen Layer 3 Switch holen wenn dort schon einer steht
oder die Firewall bzw. der Router das mit erledigen können.
Gruß
Dobby
also hab mich jetzt nochmal ausgiebig informiert über das Thema VLAN.
Gut los geht es.Ich habe zuvor noch nie etwas mit VLANs zu tun gehabt...
Egal......und die Begrifflichkeiten sind relativ neu.
Nicht so wild. Forum suche, Anleitungen von aqui, Dr. Google, Wikipedia,...Also kann mir einer von euch nochmal kurz und knapp schreiben, was ich brauche und wie ich es
konfigurieren soll.
Wenn Du uns kurz und knapp schreibst;konfigurieren soll.
- Wie sieht das mit den Räumlichkeiten aus? Serverraum,...
- Was hast Du denn schon alles da? Rack, Router, Firewalls, Switche, Kabel,....
- Was sind das für Geräte kann man darauf Zertifikate installieren?
Ich habe pro Stockwerk 2 WLAN APs mit je 2 SSID's geplant. Gast und Intern.
Also die WLAN AP´s sollten Multi SSID fähig sein.Der WLAN AP verfügt doch aber nur um einen physischen Ethernet Port.
Ja und das braucht er auch nur, aber er sollte vielleicht PoE tauglich sein und/oder 1 GBit/s bringen.Du legst zwei völlig identische SSIDs an, eine für die Gäste und eine für das Firmennetzwerk.
Das heißt die SSID für Gäste wird immer völlig identisch, mit ein und den selben Daten angelegt
und die SSIDs für das Firmennetzwerk auch. Dann kommen diese je in ein eigenes VLAN!
Wie können die Pakete bereits im WLAN AP getrennt werden.
Per SSIDs und dann später per VLAN.Wenn jetzt alle Kabel des WLAN AP über Layer2 Switchs zum Serverraum laufen, leite ich diese
auf einen LAyer 3 Switch um.
Entweder so oder Euer Router bzw. die Firewall übernimmt dann das Routing, daher wollte ich auch wissen was alles schon vorhanden ist!!!!auf einen LAyer 3 Switch um.
Man kann auch gleich Layer 3 PoE Switche nehmen, je nach dem was Du schon da hast, an "Materialien"!
Diese zwei Switche werden dann per Uplink-Port verbunden.
Entweder so oder die Switche werden gestapelt, also "gestackt", im Ring oder als Kette.Kommt aber darauf an was alles schon vorhanden ist. Switche, Router, Firewall,.....
Innerhalb des Layer3 Switchs ordne ich die zwei VLAN Netze der entsprechenden Ports zu.
Was dann ?
Alles kaufen und installieren.Wie kann ich garantieren, dass die Gäste nur ins Internet dürfen und nicht in das
Firmennetzwerk?
Das läuft über die VLANs, also Du musst das eine VLAN so anlegen das es am Router oder der Firewall endet, und somit nur der Zugriff auf das Internet funktioniert und die MitarbeiterFirmennetzwerk?
können dann auch auf das Firmennetz zugreifen und in das Internet.
Als Hardware brauche ich also einen Layer 3 Switch, einen WLAN Controller und meine 12-13 APs?
Und die Kabel falls nicht vorhanden und einen Radiusserver oder aber einen kleinen MikroTik Router,oder etwas mit DD-WRT drauf. Ein Router kann das ja auch mit übernehmen, nur man müsste einmal wisse welchen Du da hast!
Das ist alles?
Ja sollte so funktionieren, wenn der WLAN Controller gut ist und/oder es Dir erlaubt, kannst Du den meist schon integrierten HotSpot nutzen und zusätzlich Eure Mitarbeiter über einen Radiusserver absichern. Dann ist auch diese Sache komplett von einander getrennt.Wenn ich in dieser Vorstellungsbeschreibung etwas falsch geschrieben habe, bitte ich um Berichtigung
Erledigt.Ich werde jetzt damit ein Konzept ausarbeiten und Angebote einholen. Anschließend werde ich mich
hier nochmal über den Sachstand melden.
Also, was sind denn nun für Entscheidungen gefallen und für welche Hardware hast Du Dich denn nun entschieden?hier nochmal über den Sachstand melden.
Welche WLAN APs?
Welchen WLAN Controller?
Mit oder ohne zusätzlichen Radiusserver?
Oder nur mit Captive Portal und dafür alles in verschiedenen Gruppen anlegen?
Wie oben schon gefragt es wäre halt auch schön zu wissen was schon vorhanden ist!?
Denn warum nun für 70 Leute und 10 Besucher noch einen Layer 3 Switch holen wenn dort schon einer steht
oder die Firewall bzw. der Router das mit erledigen können.
Gruß
Dobby
Ja, natürlich kannst du das auf die PoE Switches für die Telefonie auflegen. Du musst ihnen dazu aber auch dein WLAN VLAN einrichten, damit der WLAN Traffic vom Voice Traffic getrennt ist ! Dann können die problemlos zusätzlich die WLAN APs per PoE bedienen.
Das ist ja gerade der tiefere Sinn von VLANs. Siehe Praxisbeispiel hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Weitere PoE Hardware zu kaufen ist allso überflüssig.
Den Rest erklären dir die oben genannten Tutorials alle im Detail zum Aptippen !
Das ist ja gerade der tiefere Sinn von VLANs. Siehe Praxisbeispiel hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Weitere PoE Hardware zu kaufen ist allso überflüssig.
Den Rest erklären dir die oben genannten Tutorials alle im Detail zum Aptippen !
Hallo Squal10,
kommt mit jedem WLAN AP klar!!!! Es werden in der Regel nur eine paar WLAN Aps vom
selben Hersteller des WLAN Controller akzeptiert und unterstützt, das sollte Dir nur klar werden.
Gruß
Dobby
Also als AP's stelle ich mir TP-Link TL-WA901ND...
Mich hat nur stutzig gemacht, das Du weiter oben von einem WLAN Controller geredet hast und dieser nun völlig weg fällt, denn eines sollte doch schon klar sein, nicht jeder WLAN Controllerkommt mit jedem WLAN AP klar!!!! Es werden in der Regel nur eine paar WLAN Aps vom
selben Hersteller des WLAN Controller akzeptiert und unterstützt, das sollte Dir nur klar werden.
Gruß
Dobby
Hallo nochmal Squal10,
das was mich so ein bisschen irritiert hat an der ganzen Sache ist doch folgendes,
Du hast Aussagen gemacht, die nachher einfach unter den Tisch gefallen sind und dann hast Du von
Angeboten gesprochen die Du uns dann nicht präsentiert hast und zu Deinen Fähigkeiten und den Fähigkeiten Deiner Switche im Hinblick auf QoS ist bis jetzt nichts bekannt.
Und ich denke mal bei verschieden artigem Netzwerkverkehr ist das mit den QoS Algorithmen
unerlässlich und wenn die VLANs zu groß werden und/oder es dann zu Störungen kommt
ist die Überlegung wie Du sie angestellt hast, das ganze gleich auf eigene Switche zu legen,
sicherlich auch nicht ganz außer Acht zu lassen.
Es sieht doch wie folgt aus, wenn ich sehe wer hier im Forum und vor allem was er schreibt,
ist mir völlig klar das ein aqui, MrNetman, dog, lks, und wie sie alle heißen
damit die wenigsten Problemen haben, da bin ich mir aber absolut sicher.
Nur wenn Du nun her gehst und normalen LAN Verkehr hast und VOIP basierenden Verkehr hast, nun aber
zusätzlich ein WLAN Netzwerk aufsetzen möchtest und die Frage stellst ob das denn auch so funktionieren kann, weil ja die WLAN APs nur einen LAN Port haben (mit den Multi SSIDs und dem VLAN) dann frage ich
mich als Heimanwender und Netzwerklaie doch sofort ob Dir das denn vielleicht auch mal in den Sinn
gekommen ist das es eventuell dort dann Probleme auftreten könnten, Du Dir aber die Möglichkeit mit dem
WLAN Controller nun verbaut hast! Denn der unterstützt meist oder selbst von den eigenen Geräten nur ein paar. Klar kann man der ganzen Angelegenheit auch anders begegnen und für die PCs und Server,
die evtl. vorhandenen IP Kameras, die VOIP Telefone und die WLAN APs eigene Switche aufstellen um dem
ganzen schnell aus dem Weg zu gehen, nur das kostet dann eben auch richtig Geld.
Man kann ja auch von unserer Seite immer schlecht sagen mit wie vielen Mitarbeitern das Unternehmen
einmal gestartet ist und wie kontinuierlich es wächst, denn wenn dem so ist das jährlich neue Mitarbeiter eingestellt werden ist man irgend wann einmal mit einer "Tüte Buntem" auch schnell am Ende
angelangt und dann wird es noch teurer.
Gruß
Dobby
das was mich so ein bisschen irritiert hat an der ganzen Sache ist doch folgendes,
Du hast Aussagen gemacht, die nachher einfach unter den Tisch gefallen sind und dann hast Du von
Angeboten gesprochen die Du uns dann nicht präsentiert hast und zu Deinen Fähigkeiten und den Fähigkeiten Deiner Switche im Hinblick auf QoS ist bis jetzt nichts bekannt.
Und ich denke mal bei verschieden artigem Netzwerkverkehr ist das mit den QoS Algorithmen
unerlässlich und wenn die VLANs zu groß werden und/oder es dann zu Störungen kommt
ist die Überlegung wie Du sie angestellt hast, das ganze gleich auf eigene Switche zu legen,
sicherlich auch nicht ganz außer Acht zu lassen.
Es sieht doch wie folgt aus, wenn ich sehe wer hier im Forum und vor allem was er schreibt,
ist mir völlig klar das ein aqui, MrNetman, dog, lks, und wie sie alle heißen
damit die wenigsten Problemen haben, da bin ich mir aber absolut sicher.
Nur wenn Du nun her gehst und normalen LAN Verkehr hast und VOIP basierenden Verkehr hast, nun aber
zusätzlich ein WLAN Netzwerk aufsetzen möchtest und die Frage stellst ob das denn auch so funktionieren kann, weil ja die WLAN APs nur einen LAN Port haben (mit den Multi SSIDs und dem VLAN) dann frage ich
mich als Heimanwender und Netzwerklaie doch sofort ob Dir das denn vielleicht auch mal in den Sinn
gekommen ist das es eventuell dort dann Probleme auftreten könnten, Du Dir aber die Möglichkeit mit dem
WLAN Controller nun verbaut hast! Denn der unterstützt meist oder selbst von den eigenen Geräten nur ein paar. Klar kann man der ganzen Angelegenheit auch anders begegnen und für die PCs und Server,
die evtl. vorhandenen IP Kameras, die VOIP Telefone und die WLAN APs eigene Switche aufstellen um dem
ganzen schnell aus dem Weg zu gehen, nur das kostet dann eben auch richtig Geld.
Man kann ja auch von unserer Seite immer schlecht sagen mit wie vielen Mitarbeitern das Unternehmen
einmal gestartet ist und wie kontinuierlich es wächst, denn wenn dem so ist das jährlich neue Mitarbeiter eingestellt werden ist man irgend wann einmal mit einer "Tüte Buntem" auch schnell am Ende
angelangt und dann wird es noch teurer.
Gruß
Dobby
Hi Squal,
Dein Thread wird hier echt spannend.
Nach jedem Hinweis änderst du deine Pläne.
Ob das vielleicht nicht doch ein externen Dienstleister schaffen kann.
Vielleicht hilft dir ein großes Blatt Papier zum Sammeln der Informationen und zur Entwicklung eines Konzeptes.
Als erstes steht die Bestandsaufnahme der aktuellen Infrastruktur.
Gebäude, Server, Switche, Leitungen, Internetzugang, Räume
Dann wirst du überlegen wo du überall WLAN installieren willst und was dieses WLAN können soll.
Dazu gehören Dinge wie:
Frequenzplanung,
Funk-Abdeckung,
Anzahl gleichzeitiger User pro Gebäude, Etage, AP,
mögliche Installationsorte, Kabelverlegung,
Mechanische Anfälligkeit der Technik mit Schutz gegen Veränderung durch Vandalismus,
Zugangsberechtigungen mit möglichst zentraler Verwaltung,
Geräteauswahl nach den oben erarbeiteten Kriterien,
Weiter geht es zur Umsetzung:
Installation der Hardware, Kabel, Antennen,
Abnahmemessungen der geplanten Funktionen und Reichweiten,
Laufender Betrieb: zentral oder dezentral verwaltet,
Gruß
Netman
Dein Thread wird hier echt spannend.
Nach jedem Hinweis änderst du deine Pläne.
Ob das vielleicht nicht doch ein externen Dienstleister schaffen kann.
Vielleicht hilft dir ein großes Blatt Papier zum Sammeln der Informationen und zur Entwicklung eines Konzeptes.
Als erstes steht die Bestandsaufnahme der aktuellen Infrastruktur.
Gebäude, Server, Switche, Leitungen, Internetzugang, Räume
Dann wirst du überlegen wo du überall WLAN installieren willst und was dieses WLAN können soll.
Dazu gehören Dinge wie:
Frequenzplanung,
Funk-Abdeckung,
Anzahl gleichzeitiger User pro Gebäude, Etage, AP,
mögliche Installationsorte, Kabelverlegung,
Mechanische Anfälligkeit der Technik mit Schutz gegen Veränderung durch Vandalismus,
Zugangsberechtigungen mit möglichst zentraler Verwaltung,
Geräteauswahl nach den oben erarbeiteten Kriterien,
Weiter geht es zur Umsetzung:
Installation der Hardware, Kabel, Antennen,
Abnahmemessungen der geplanten Funktionen und Reichweiten,
Laufender Betrieb: zentral oder dezentral verwaltet,
Gruß
Netman
Und wie du deine TP-Links dann in einen Hotspot Gast WLAN Infrastruktur mit Ticket System und einer Radius Authentisierung einbindest kannst du hier im Detail nachlesen:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Falls du noch keinen Server hast erledigt der hier sowas preiswert im kleinen Rahmen:
Netzwerk Management Server mit Raspberry Pi
Frequenzplanung und Ausleuchtung sind dafür zwingende Voraussetzung wie Kollege Netman oben richtig bemerkt.
Wenn das schon sauber gemacht ist kann auch als Newbie mit den obigen Tutorials an der Hand nix mehr schief gehen !
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Falls du noch keinen Server hast erledigt der hier sowas preiswert im kleinen Rahmen:
Netzwerk Management Server mit Raspberry Pi
Frequenzplanung und Ausleuchtung sind dafür zwingende Voraussetzung wie Kollege Netman oben richtig bemerkt.
Wenn das schon sauber gemacht ist kann auch als Newbie mit den obigen Tutorials an der Hand nix mehr schief gehen !
Na dann hast du alle Komponenten richtig zusammen...und es kann losgehen !
Hardwaretechnisch bist du damit auf einem sehr guten Weg und damit ist das im Handumdrehen umzusetzen. Die entsprechenden Tutorials hast du ja hier zur Verfügug.
Zur Frage der Kopplung von FreeRadius und dem Captive Portal wäre das machbar allerdings bedingt dann immer ein Ausfall oder Fehlfunktion einer dieser Komponenten immer auch gleichzeitig den Ausfall der anderen.
Aus diesem Grunde solltest du es zur Betriebssicherheit besser trennen, zumal man das CP dann auch auf einer Flash basierten und Verschleiss freien Lösung realisieren kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechend großen SD Karte kannst du sogar das hier:
Netzwerk Management Server mit Raspberry Pi
als Authentisierungsserver benutzen.
Das Monitoring der Komponenten und die Vergabe der Gäste Einmalpasswörter macht er gleich nebenbei.
Allerdings gibt es ein Limit was die Skalierbarkeit anbetrifft, das ist klar bei solcher Komponente.
Wenn es mehr User sind und du mehr überwachen musst macht ggf. ein preiswerter 1HE Server wie dieser hier mehr Sinn:
http://www.ebay.de/itm/1HE-Supermicro-Server-Celeron-1-6GHz-512MB-80GB- ...
Für alle Anforderungen an dein WLAN reicht das ebenfalls !
Hardwaretechnisch bist du damit auf einem sehr guten Weg und damit ist das im Handumdrehen umzusetzen. Die entsprechenden Tutorials hast du ja hier zur Verfügug.
Zur Frage der Kopplung von FreeRadius und dem Captive Portal wäre das machbar allerdings bedingt dann immer ein Ausfall oder Fehlfunktion einer dieser Komponenten immer auch gleichzeitig den Ausfall der anderen.
Aus diesem Grunde solltest du es zur Betriebssicherheit besser trennen, zumal man das CP dann auch auf einer Flash basierten und Verschleiss freien Lösung realisieren kann:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer entsprechend großen SD Karte kannst du sogar das hier:
Netzwerk Management Server mit Raspberry Pi
als Authentisierungsserver benutzen.
Das Monitoring der Komponenten und die Vergabe der Gäste Einmalpasswörter macht er gleich nebenbei.
Allerdings gibt es ein Limit was die Skalierbarkeit anbetrifft, das ist klar bei solcher Komponente.
Wenn es mehr User sind und du mehr überwachen musst macht ggf. ein preiswerter 1HE Server wie dieser hier mehr Sinn:
http://www.ebay.de/itm/1HE-Supermicro-Server-Celeron-1-6GHz-512MB-80GB- ...
Für alle Anforderungen an dein WLAN reicht das ebenfalls !