Beschreibung:
In diesem Artikel wird beschrieben wie ein Gastnetz in einem WLAN-Controller unter Verwendung von VLAN eingerichtet wird.
Obwohl VLAN verwendet wird, muss das VLAN-Modul des WLAN-Controllers nicht aktiviert werden und es ist auch nicht erforderlich eine VLAN-ID für das Management-Netzwerk zu vergeben. Das aktive Tagging wird durch die Access Points und Switche realisiert.
Voraussetzungen:
- LCOS ab Version 8.50 (download aktuelle Version)
- LANtools ab Version 8.50 (download aktuelle Version)
- WLAN-Controller oder Router mit WLC Basic Option
- Mindestens ein Access Point
- Bereits vorgenommene Grundeinrichtung am WLAN-Controller
Szenario:
Wird der Public Spot verwendet, muss der WLAN-Controller in dem Public Spot Netzwerk zwingend als Gateway fungieren. Es muss somit Szenario 2 eingesetzt werden!
1. Es wird ein vorgeschalteter Router im Gastnetz verwendet:
- Neben einem internen WLAN soll ein weiteres WLAN für Gäste erstellt werden.
- Für das interne WLAN soll das VLAN 1 und für das Gastnetz das VLAN 2 verwendet werden.
- Der WLAN-Controller verteilt lediglich die WLAN-Konfiguration an die Access Points, befindet sich selber aber nicht im Gastnetz und bietet dort auch keine Dienste an (z.B. DHCP oder DNS).
- Die Netztrennung zwischen Management-Netzwerk und Gastnetzwerk muss auf dem vorgeschalteten Router vorgenommen werden.
2. Der WLAN-Controller fungiert als Gateway im Gastnetz:
- Neben einem internen WLAN soll ein weiteres WLAN für Gäste erstellt werden.
- Für das interne WLAN soll das VLAN 1 und für das Gastnetz das VLAN 2 verwendet werden.
- Der WLAN-Controller verteilt die WLAN-Konfiguration an die Access Points und befindet sich selber auch im Gastnetz. Er fungiert im Gastnetz als Gateway sowie DHCP- und DNS-Server.
- Die Netztrennung zwischen Management-Netzwerk und Gastnetzwerk muss auf dem WLAN-Controller vorgenommen werden.
Das Gastnetz darf nicht auf dem vorgeschalteten Router eingerichtet sein, da ansonsten die IP-Adresse des Routers einem Endgerät manuell als Default-Gateway zugewiesen und somit der WLAN-Controller umgangen werden könnte! Dies ist vor Allem bei Verwendung des Public Spot wichtig.
Vorgehensweise:
1. Es wird ein vorgeschaltetes Gateway im Gastnetz verwendet:
1.1 Öffnen Sie die Konfiguration des WLAN-Controllers in LANconfig und wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).
1.2 Erstellen Sie ein neues Profil für das interne WLAN und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Netzwerk-Name (SSID): Vergeben Sie einen Namen für die SSID, der den WLAN-Geräten angezeigt wird.
- SSID verbinden mit: Belassen Sie die Einstellung auf LAN am AP.
- VLAN-Betriebsar t: Belassen Sie die Einstellung auf Untagged. Dadurch wird implizit das VLAN 1 verwendet.
- Verschlüsselung: Belassen Sie die Einstellung auf 802.11i (WPA)-PSK.
- Schlüssel1/Passphrase: Vergeben Sie einen WPA-Key für das WLAN.
Der WPA-Key muss mindestens 8 Zeichen lang sein.
1.3 Erstellen Sie ein weiteres Profil für das Gastnetz und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Netzwerk-Name (SSID): Vergeben Sie einen Namen für die SSID, der den WLAN-Geräten angezeigt wird.
- SSID verbinden mit: Belassen Sie die Einstellung auf LAN am AP.
- VLAN-Betriebsar t: Wählen Sie im Dropdownmenü die Einstellung Tagged aus.
- VLAN-ID: Hinterlegen Sie die VLAN-ID 2.
- Verschlüsselung: Belassen Sie die Einstellung auf 802.11i (WPA)-PSK.
- Schlüssel1/Passphrase: Vergeben Sie einen WPA-Key für das WLAN.
Der WPA-Key muss mindestens 8 Zeichen lang sein.
1.4 Wechseln Sie in das Menü WLAN-Controller → Profile → Physikalische WLAN-Parameter.
1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Auto. Kanalwahl: Hinterlegen Sie ein festes Kanalraster für das 2,4 Ghz Band (etwa 1, 6, 11).
- Setzen Sie den Haken bei VLAN-Modul der verwalteten Accesspoints aktiviert.
Das Kanalraster 1, 6, 11 muss nicht optimal sein. Je nach Umgebungsbedingungen ist ein anderes Kanalraster (etwa 1, 5, 9, 13) sinnvoller.
1.6 Wechseln Sie in das Menü WLAN-Controller → Profile → WLAN-Profile.
1.7 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- Profilname: Vergeben Sie einen aussagekräftigen Namen.
- Log. WLAN-Netzwerk-Liste: Wählen Sie die in Schritt 1.2 und 1.3 erstellten Logischen WLAN-Netzwerke (SSIDs) aus.
- Physik. WLAN-Paramete r: Wählen Sie im Dropdownmenü das in Schritt 1.5 erstellte Physikalische WLAN-Parameter Profil aus.
1.8 Schreiben Sie die Konfiguration in das Gerät zurück. Die Konfigurationsschritte im WLAN-Controller sind damit abgeschlossen.
2. Der WLAN-Controller fungiert als Gateway im Gastnetz:
Die grundsätzliche Konfiguration von Szenario 2. erfolgt genauso wie in Szenario 1. Bei Szenario 2. müssen noch einige zusätzliche Einstellungen vorgenommen werden.
2.1 Gastnetz anlegen und DHCP-Server aktivieren:
2.1.1 Wechseln Sie in das Menü IPv4 → Allgemein → IP-Netzwerke.
2.1.2 Erstellen Sie einen neuen Eintrag für das Gastnetz und hinterlegen folgende Parameter:
- Netzwerkname: Vergeben Sie einen aussagekräftigen Namen.
- IP-Adresse: Hinterlegen Sie eine IP-Adresse aus dem für das Gastnetz vorgesehenen IP-Adressbereich.
- Netzmaske: Hinterlegen Sie für die für das Gastnetz vorgesehene Subnetzmaske.
- VLAN-ID: Hinterlegen Sie die für das Gastnetz vorgesehene VLAN-ID 2.
2.1.3 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.
2.1.4 Erstellen Sie einen neuen Eintrag für das Gastnetz und hinterlegen folgende Parameter:
- Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 2.1.2 erstellte Gastnetz aus.
- DHCP-Server aktiviert: Wählen Sie im Dropdownmenü Ja aus.
Bei Bedarf können Sie den Adressbereich über die Erste Adresse und Letzte Adresse einschränken sowie die Netzmaske, den Broadcast und das Standard-Gateway eintragen. Bleiben diese Punkte leer, berechnet das Gerät die zur Verfügung stehenden Paramater automatisch anhand des Eintrags in den IP-Netzwerken.
2.2 Verbieten der Kommunikation aus dem Gastnetz in das interne Netzwerk und Erlauben von DNS-Anfragen aus dem Gastnetz per Firewall:
2.2.1 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
2.2.2 Erstellen Sie eine neue Regel und vergeben im Reiter Allgemein einen aussagekräftigen Namen.
2.2.3 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass das Aktions-Objekt REJECT hinterlegt ist.
2.2.4 Wechseln Sie in den Reiter Stationen, wählen Verbindungen von folgenden Statione n aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
2.2.5 Wählen Sie im Dropdown-Menü bei Netzwerk-Name das Gastnetzwerk aus.
2.2.6 Wählen Sie bei Verbindungs-Ziel den Punkt Verbindungen an folgende Stationen aus und klicken auf Hinzufügen → LOCALNET.
Das Objekt LOCALNET beinhaltet alle lokalen Netzwerke, also auch das INTRANET. Statt des Objekts LOCALNET kann auch das INTRANET selber hinterlegt werden.
2.2.7 Klicken Sie auf OK, um die Firewall-Regel anzulegen.
2.2.8 Markieren Sie die in Schritt 2.2.2 - 2.2.7 erstellte Firewall-Regel und klicken auf Kopieren, um eine weitere Firewall-Regel zu erstellen, welche DNS-Anfragen aus dem Gastnetz erlaubt.
2.2.9 Passen Sie im Reiter Allgemein den Namen der Regel an.
2.2.10 Wechseln Sie in den Reiter Aktionen, löschen das Objekt REJECT und fügen stattdessen das Objekt ACCEPT hinzu.
2.2.11 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste den Punkt folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.
2.2.12 Wählen Sie das Protokoll DNS aus.
2.2.13 Schreiben Sie die Konfiguration in das Gerät zurück. Die Konfigurationsschritte im WLAN-Controller sind damit abgeschlossen.
