Beschreibung:

Ein WLAN-Controller verwaltet Access Points und weist diesen WLAN-Parameter zu, mit denen diese betrieben werden sollen. Fungiert der WLAN-Controller auch als Gateway (etwa bei Betrieb als Public Spot) oder bei Verwendung eines WLC-Tunnels, stellt der WLAN-Controller einen "Single point of failure" dar.

Es ist daher in einem solchen Szenario sinnvoll mindestens einen weiteren WLAN-Controller zwecks Bildung einer Redundanz einzubinden (kein HA-Cluster). Es ist dabei möglich eine Lastverteilung zu konfigurieren, sodass sich die Access Points auf die WLAN-Controller verteilen. Weiterhin kann ein WLAN-Controller als Standby fungieren, sodass sich die Access Points im Fehlerfall mit dem zweiten Standby WLAN-Controller verbinden, sobald der erste ausfällt.

  • Bei einem Wechsel des WLAN-Controllers werden alle Sessions unterbrochen (bei Funktion als Gateway). Diese müssen dann von den Endgeräten neu aufgebaut werden. 
  • Speziell bei der Verwendung als Public Spot ist zu beachten, dass die Benutzer-Informationen wie bisherige Laufzeit nicht auf weitere WLAN-Controller übertragen werden. Die Laufzeit von Public Spot Benutzern beginnt somit von Neuem.
  • Bei dieser Clustering-Variante findet keine Konfigurations-Synchronisation unter den beteiligten WLCs statt (HA-Cluster). Dazu benötigen Sie auf beiden Geräten die "LANCOM High Availability Clustering Option" auf beiden WLCs. Informationen zur Konfiguration eines solchen Szenarios erhalten Sie in dem Knowledge Base Artikel Einrichtung eines WLC-Clusters über den Setup-Assistenten.



Voraussetzungen:

  • LCOS ab Version 9.0 (download aktuelle Version)
  • LANtools ab Version 9.0 (download aktuelle Version)
  • Der zweite WLAN-Controller (Slave) darf initial nicht konfiguriert sein und muss sich im Werkszustand befinden!
    • Die Option Zertifizierungsstelle (CA) aktiviert in dem Menü Zertifikate → Zertifizierungsstelle (CA) auf dem zweiten WLAN-Controller (Slave) darf auf keinen Fall aktiv sein!


Szenario:

1. Beide WLAN-Controller befinden sich im gleichen Netzwerk:

Befinden sich die WLAN-Controller im gleichen Netzwerk, können diese sich automatisch per Broadcast finden.

Bildschirmansicht einer technischen Benutzeroberfläche, die einen Router, LAN, WLAN-Controller und eine Master-Slave-Konfiguration anzeigt.


2. Beide WLAN-Controller befinden sich in unterschiedlichen Netzwerken:

Befinden sich die WLAN-Controller in unterschiedlichen Netzwerken, müssen die IP-Adressen der WLAN-Controller gegenseitig manuell bekanntgegeben werden.

In der Regel werden sich die WLAN-Controller in einem solchen Szenario an unterschiedlichen Standorten befinden, wie in  der Szenario-Grafik zu sehen. Es ist aber auch denkbar, dass die WLAN sich am gleichen Standort befinden aber in getrennten Netzwerken.

Diagramm zeigt eine Netzwerkkonfiguration mit zwei Routern an unterschiedlichen Standorten, verbunden durch eine VPN-Verbindung über das Internet, mit LAN- und WLAN-Controllern, wobei einer als Master und der andere als Slave gekennzeichnet ist.


Vorgehensweise:

Die Konfiguration des WLC-Clusters gestaltet sich grundsätzlich für beide Szenarien gleich. Lediglich die Bekanntgabe der anderen WLC-Cluster Teilnehmer ist anders (siehe Schritt 3.).

Bei Verwendung der Tabelle Zugriffs-Stationen in dem Menü Management → Admin → Zugriffseinstellungen → Konfigurations-Zugriffs-Wege muss die IP-Adresse (z.B. IP-Adresse 192.168.1.1 Netzmaske 255.255.255.255) oder das gesamte Netzwerk des anderen WLAN-Controllers (z.B. IP-Adresse 192.168.1.0 Netzmaske 255.255.255.0) hinterlegt werden, damit die WLAN-Controller untereinander kommunizieren können!

Die Option WLC-Datentunnel aktiv im Menü WLAN-Controller → Allgemein darf auf keinem der WLAN-Controller gesetzt werden!

1. Konfiguration des ersten WLAN-Controllers (Master):

1.1 Führen Sie die Grundeinrichtung des WLAN-Controllers wie in diesem Knowledge Base Artikel beschrieben durch.

1.2 Konfigurieren Sie anschließend die WLAN-Profile nach Bedarf. Folgend finden Sie zwei Beispiele:

1.3 Wechseln Sie in das Menü Management → Allgemein und vergeben einen aussagekräftigen Gerätenamen.

Bild einer technischen Benutzeroberfläche mit verschiedenen Menüpunkten wie Authentifizierung, Management und Kosten Kommentare.

1.4 Wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA) und speichern sich den CA-Distinguished-Name (CADN) zur späteren Verwendung ab.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration und Verwaltung von Netzwerkeinstellungen, Zertifizierungsstellen und Sicherheitsprotokollen.

1.5 Wechseln Sie in das Menü Zertifikate → Zertifikatsbehandlung und speichern sich das Basis-Challenge-Passwort zur späteren Verwendung ab.

Bildschirmansicht einer technischen Benutzeroberfläche zur Verwaltung und Konfiguration von Netzwerkprotokollen, Sicherheitseinstellungen und Zertifizierungsstellen, einschließlich Abschnitten für SCEP-Anfragen, Passwortmanagement, Kommunikation und Routing-Protokolle.

1.6 Die Konfiguration des ersten WLAN-Controllers ist damit abgeschlossen.



2. Konfiguration des zweiten WLAN-Controllers (Slave):

Der zweite WLAN-Controller darf nicht konfiguriert sein und muss sich noch im Werkszustand befinden!

2.1  Erstellen Sie eine Skript-Sicherung des ersten WLAN-Controllers.  

2.2 Bearbeiten Sie die Skript-Sicherung in einem Texteditor und passen folgende Punkte an:

  • Navigieren Sie in den Pfad Setup/Name und passen den Gerätenamen an.

  • Navigieren Sie in den Pfad Setup/TCP-IP/Network-list und passen die IP-Adressen aller Netzwerke an, sodass jedem WLAN-Controller eine eindeutige IP-Adresse zugewiesen wurde.

Screenshot einer technischen Benutzeroberfläche mit einer Liste von Netzwerkkonfigurationen inklusive Netzwerknamen, IP-Adressen, Netzmasken und VLAN-IDs.

  • Löschen Sie alle Einträge, die zum Pfad Setup/Certificates gehören.

Ein Bildschirmfoto, das eine technische Benutzeroberfläche zeigt, auf der verschiedene SCEP-Client-Zertifikate und CA-Einstellungen mit dazugehörigen URLs und Namen dargestellt werden.

2.3 Laden Sie die angepasste Skriptsicherung in den zweiten WLAN-Controller hoch, indem Sie einen Rechtsklick auf den Slave WLAN-Controller ausführen und im Kontextmenü Konfigurations-Verwaltung → Aus Skript-Datei wiederherstellen klicken.

Alternativ können Sie die Skript-Datei auch per Drag & Drop aus dem Ordner auf den WLAN-Controller in LANconfig ziehen.

Bild einer technischen Benutzeroberfläche mit verschiedenen Elementen wie Name, Kommentar, ClusterName, Adresse, Standort, Gerätestatus und Verlauf zur Überwachung von Gerätetemperaturen, dargestellt durch die Bezeichnung Gerttempordrberwachen und andere spezifische Steuerelemente.

2.4 Wechseln Sie in das Menü Management → Admin und hinterlegen ein Hauptgerätepasswort.

Das Hauptgeräte-Passwort ist nicht in einer Skript-Sicherung enthalten und muss daher im Nachgang manuell gesetzt werden.  

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Management- und Konfigurationsoptionen, darunter unscharfe Bereiche und partiell unleserlichen Text.

2.5 Wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA) und passen Sie folgende Parameter an:

  • Setzen Sie den Haken bei Zertifizierungsstelle (CA) aktiviert
  • Wählen Sie den Auswahl-Knopf Dieses Gerät ist eine untergeordnete Zertifizierungsstelle (Sub-CA).
  • Passen Sie den Common Name (CN) des CA-Distinguished-Name an (etwa /CN=LANCOM-SUB).
  • Passen Sie den Common Name (CN) des RA-Distinguished-Name an (etwa /CN=LANCOM-SUB).

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Konfigurations- und Monitoring-Optionen, darunter Zertifizierungsstellenmanagement und Kommunikationsprotokolleinstellungen.

2.6 Wechseln Sie in das Menü Zertifikate → Zertifikatsbehandlung und hinterlegen des Basis-Challenge-Passwort des Master WLAN-Controllers (siehe Schritt 1.5).

Bildschirmansicht einer technischen Benutzeroberfläche, die verschiedene Konfigurationsparameter für Netzwerksicherheit, darunter SCEP-Anfragen, WLAN-Controller-Gültigkeitszeiträume, Basis-Challenge-Passwörter sowie Einstellungen für CA-Verschlüsselung, Firewall, QoS und CRL (Certificate Revocation List) zeigt.

2.7 Wechseln Sie in das Menü Zertifikate → SCEP-Client und setzen den Haken bei SCEP-Client-Funktionalität aktiviert.

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen und Protokollinformationen für Netzwerkmanagement, Sicherheitseinstellungen und Zertifizierungsprozesse.

2.8 Wechseln Sie in das Menü CA-Tabelle.

Das Bild zeigt eine technische Benutzeroberfläche mit verschiedenen Konfigurationsoptionen wie WLAN-Controller, Enrollment Protocol-Anwendung, Firewall und QoS-Einstellungen, sowie Zertifikattabellen und Optionen zur Zertifikatsverwaltung.

2.9 In der CA-Tabelle müssen zwei Einträge angelegt werden. Ein Eintrag dient dazu ein Controller-Zertifikat bei der eigenen Zertifizierungsstelle zu beziehen und der zweite Eintrag dient dazu die CA bei dem Master WLAN-Controller zu beziehen.

Erstellen Sie den ersten Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel CONTROLLER_CA).
  • URL: Hinterlegen Sie die URL  http://127.0.0.1:80/cgi-bin/pkiclient.exe .
  • Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name des Slave WLAN-Controllers (siehe Schritt 2.5).

Bildschirmfoto einer technischen Benutzeroberfläche zur Konfiguration von Verschlüsselungseinstellungen und Signatur-Algorithmen, einschließlich Optionen für Fingerabdruck-Algorithmen, automatische Authentifizierung und Adressauswahl.

Erstellen Sie den zweiten Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel SCEP_CA).
  • URL: Hinterlegen Sie die URL  http://172.23.56.254/cgi-bin/pkiclient.exe . Ändern Sie gegebenenfalls die IP-Adresse 172.23.56.254 in die IP-Adresse des Master WLAN-Controllers ab.
  • Distinguished-Name: Hinterlegen Sie den CA-Distinguished-Name des Master WLAN-Controllers (siehe Schritt 1.4).

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Optionen zur Einstellung von Verschlüsselung (AES), Signaturalgorithmen (SHA) und biometrischer Authentifizierung, samt Schaltflächen für die Genehmigung durch eine Registrierungsbehörde und Auswahl der Absenderadresse.

2.10 Wechseln Sie in das Menü Zertifikat-Tabelle.

Bild einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsmöglichkeiten für Netzwerkeinstellungen, darunter WLAN-Controller, Routing-Protokolle, Firewall-Einstellungen, Zertifikatshandhabung und E-Mail-Empfängeroptionen.

2.11 In der Zertifikat-Tabelle müssen drei Einträge angelegt werden. Dort werden genauere Informationen wie Schlüssellänge und Subject für einzelne Zertifikate angegeben. Dies ist erforderlich, damit die Zertifikate mit den benötigten Merkmalen erstellt bzw. bezogen werden können.

Erstellen Sie den ersten Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel SCEP_CA).
  • CA-Distinguished-Name: Tragen Sie den CA-Distinguished-Name des Master WLAN-Controllers ein (siehe Schritt 1.4).
  • Subject: Tragen Sie als Subject den CA-Distinguished-Name des Slave WLAN-Controllers ein (siehe Schritt 2.5).
  • Challenge-Passwort: Hinterlegen Sie das Challenge-Passwort des Master WLAN-Controllers (siehe Schritt 1.5).
  • Schlüssellänge: Wählen Sie im Dropdownmenü 2048 aus.
  • Verwendungs-Typ: Wählen Sie im Dropdownmenü CA aus.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Bearbeitung eines Zertifikateintrags, inklusive verschiedener Fachbegriffe und Schaltflächen wie 'Abbrechen'.

Erstellen Sie den zweiten Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel CONTROLLER).
  • CA-Distinguished-Name: Tragen Sie den CA-Distinguished-Name des Slave WLAN-Controllers ein (siehe Schritt 2.5).
  • Subject: Tragen Sie als Subject CN=00:a0:57:12:34:56/O=LANCOM SYSTEMS/C=DE ein, wobei die MAC-Adresse 00:a0:57:12:34:56 durch die MAC-Adresse des Slave WLAN-Controllers ersetzt werden muss.
  • Challenge-Passwort: Hinterlegen Sie das Challenge-Passwort des Master WLAN-Controllers (siehe Schritt 1.5).
  • Erw. Schlüssel-Verw.: Haken Sie im Auswahlmenü serverAuth, critical und 1.3.6.1.5.5.7.3.18 an.
  • Schlüssellänge: Wählen Sie im Dropdownmenü 2048 aus.
  • Verwendungs-Typ: Wählen Sie im Dropdownmenü WLAN-Controller aus.

Screenshot einer technischen Benutzeroberfläche zur Bearbeitung von Zertifikateinträgen mit Optionen wie Subject Alternative Names und WLAN Controller Verwendungstyp.

Erstellen Sie den dritten Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS).
  • CA-Distinguished-Name: Tragen Sie den CA-Distinguished-Name des Slave WLAN-Controllers ein (siehe Schritt 2.5).
  • Subject: Tragen Sie als Subject /CN=RADIUS SERVER/O=LANCOM SYSTEMS/C=DE ein.
  • Challenge-Passwort: Hinterlegen Sie das Challenge-Passwort des Master WLAN-Controllers (siehe Schritt 1.5).
  • Erw. Schlüssel-Verw.: Haken Sie im Auswahlmenü serverAuth, clientAuth und critical an.
  • Schlüssellänge: Wählen Sie im Dropdownmenü 2048 aus.
  • Verwendungs-Typ: Wählen Sie im Dropdownmenü EAP/TLS aus.

Bildschirmaufnahme einer technischen Benutzeroberfläche zur Bearbeitung von Zertifikateinträgen mit verschiedenen Buttons und verschwommenem Text.

2.12 Die Konfigurationsschritte auf dem Slave WLAN-Controller sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.



3. Aktivieren des WLC-Clusters und Bekanntgabe der anderen WLC-Cluster Teilnehmer:

Die im folgenden beschriebenen Konfigurations-Schritte müssen auf beiden WLAN-Controllern ausgeführt werden. Die Konfiguration unterscheidet sich dahingehend, ob die WLAN-Controller sich im gleichen Netzwerk oder in unterschiedlichen Netzwerken befinden.

Wechseln Sie in das Menü WLAN-Controller → Allgemein und setzen den Haken bei WLC-Tunnel aktiv, um den WLC-Cluster zu aktivieren.

Die Option WLC-Datentunnel aktiv darf nicht gesetzt werden! 

Das Bild zeigt eine technische Benutzeroberfläche mit verschiedenen Menüoptionen und Einstellungen für einen WLAN-Controller und Access Point, einschließlich Details zu Schnittstellen, Passwort-Synchronisation und Verbindungseinstellungen.


3.1 Beide WLAN-Controller befinden sich im gleichen Netzwerk:

3.1.1 Wechseln Sie in das Menü WLC-Suche.

Illustration eines technischen Konfigurationsmenüs für Netzwerkeinrichtungen, einschließlich Einstellungen für einen WLAN-Controller (WLC) und Access Point (AP).

3.1.2 Bearbeiten Sie das Management-Netzwerk, in dem sich beide WLAN-Controller befinden und setzen den Haken bei WLC-Suche aktiv. Dadurch können sich die WLAN-Controller gegenseitig per Broadcast im lokalen Netzwerk finden.

Sollten Sie ein anderes Management-Netzwerk verwenden, so fügen Sie dieses hinzu und aktivieren für dieses Netzwerk die WLC-Suche.

Screenshot eines Netzwerkkonfigurationsmenüs mit der Bezeichnung NTRANETJ und verschiedenen Auswahlmöglichkeiten.


3.2 Beide WLAN-Controller befinden sich in unterschiedlichen Netzwerken:

3.2.1 Wechseln Sie in das Menü WLAN-Controller → Allgemein → Statische WLC-Liste.

Ein detailliertes technisches Bildschirmmenü oder Benutzerinterface, das verschiedene Netzwerktechnologien darstellt, wie WLAN Controller, IP-Router und Routing-Protokolle, mit Optionen zur Konfiguration und Synchronisierung von Geräten.

3.2.2 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • IP-Adresse: Hinterlegen Sie die IP-Adresse des anderen WLAN-Controllers.
  • Absende-Adresse (opt.): Wählen Sie im Dropdownmenü das Management-Netzwerk aus.
  • Port: Tragen Sie den Port 1027 ein.

Screenshot eines technischen Konfigurationsmenüs mit dem Titel IINTRANET und Optionen zur Auswahl verschiedener Arten.



4. Wechsel des WLC-Clusters in den Active/Passive Modus (optional):

In der Standard-Konfiguration sind beide WLAN-Controller gleichberechtigt (Active/Active Modus). Die Access Points verteilen sich also auf beide Controller. Mittels Anpassung der "WLAN-Management Präferenz" kann ein Wechsel in den Active/Passive Modus erfolgen, bei dem die Access Points sich immer mit dem aktiven WLAN-Controller verbinden. Fällt der aktive WLAN-Controller aus, wird der passive zum aktiven Controller und die Access Points verbinden sich mit diesem. 

Für die Präferenz können Werte zwischen 0 und 255 vergeben werden. Je höher die zugewiesene Präferenz, desto höher wird der WLAN-Controller für die Access Points priorisiert. Es ist dabei ausreichend, die Präferenz auf dem WLAN-Controller zu setzen, der die aktive Rolle einnehmen soll.

Stellen Sie im Active/Passive Modus unbedingt sicher, dass die WLAN-Controller über ausreichend Lizenzen zur Verwaltung aller Access Points verfügen (die Lizenzen können nicht zwischen den WLAN-Controllern verschoben werden). Ist die maximale Lizenzanzahl erreicht, können weitere Access Points ansonsten nicht vom WLAN-Controller verwaltet werden!

Wechseln Sie in WEBconfig in das Menü (Extras) → LCOS-Menübaum → Setup → WLAN-Management → Praeferenz und tragen den gewünschten Wert ein (in diesem Beispiel die 10). Klicken Sie anschließend auf Setzen.

Alternativ können Sie die Präferenz auch über den Konsolen-Befehl set Setup/WLAN-Management/Preference <x> setzen, wobei <x> dem gewünschten Wert entspricht.

Bildschirmansicht eines technischen Dashboards mit Menüpunkten wie Extras, LCOSMenbaum, Setup, Systeminformation, Präferenz, Konfiguration, und anderen Optionen, angeordnet in einer strukturierten Benutzeroberfläche.