Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo Leute,

ich habe einen Lancom L-305agn Access Point und foldendes Problem:

In einem Firmennetzwerk soll ein Access Point implementiert werden, der per WLAN erreichbar sein soll.

Dabei soll es der Fall sein, dass es zwei Gruppen mit verschiedenen Rechten gibt. Ein Netz soll für die internen Mitarbeiter sein, welche sich mit ihrem Domänen-Account anmelden sollen und eine für Kunden, welche schnellstmöglich einen Internetzugang brauchen.

Wisst ihr zufällig, wie man das realisieren kann? Eine Möglichkeit wäre es, mit Multi-SSIDs zu hantieren. Außerdem kann man es mit VLANs lösen.

Habt ihr eine Idee?

Danke im Voraus!

Geschrieben

Da würde mir spontan ersteinmal nur einfallen, zwei unterschiedliche (Sub)Netze zu verwenden und den Gastrechnern ihre IP-Adresse per DHCP verteilen zu lassen.

Was hast du denn für Geräte zur Verfügung? Nur mit dem AP wirst du da was vlans angeht wohl absolut nichts machen können, da er, wenn ich das richtig gesehen habe, kein 802.1q unterstützt. Wenn du vlans nutzen willst, dann müssen die Geräte das unterstützen... :rolleyes:

Multi-SSID... hmmm... kann das der AP überhaupt? Habe ich nichts zu gefunden.

Geschrieben (bearbeitet)

Hallo Crash2001,

Da würde mir spontan ersteinmal nur einfallen, zwei unterschiedliche (Sub)Netze zu verwenden und den Gastrechnern ihre IP-Adresse per DHCP verteilen zu lassen.

Was hast du denn für Geräte zur Verfügung? Nur mit dem AP wirst du da was vlans angeht wohl absolut nichts machen können, da er, wenn ich das richtig gesehen habe, kein 802.1q unterstützt. Wenn du vlans nutzen willst, dann müssen die Geräte das unterstützen... :rolleyes:

Multi-SSID... hmmm... kann das der AP überhaupt? Habe ich nichts zu gefunden.

anfänglich möchte ich mich erstmal für deinen Tipp bedanken.

Die Trennung der beiden Gruppen durch verschiedene Subnetze ist eine gute Alternative, aber mit Sicherheit nicht die beste Lösung.

Ich habe als weitere Alternativen noch folgendende anzubieten:

- Erstellung mehrerer SSIDs (durch Multi-SSID)

- Regelung mit Protokollfiltern zu VLANs, wobei die restliche Infrastruktur eine Rolle dabei spielt

Ich habe dir anhänglich einen Link zur Seite des Produkt geschickt, damit Du dich davon überzeugen kannst, dass das Gerät die Funktionen unterstützt.

http://www.lancom-systems.de/LANCOM-L-305agn-Wireless.876+M5f1f56d8d1d.0.html

Liebe Grüße

Bearbeitet von Kochi007
Geschrieben

Oooh - na gut, wenn er vlan kann, dann sollte das ja kein Problem sein, das zu trennen. Kann den Link leider nicht aufrufen von hier, da sie anscheinend im Proxy gesperrt ist.

Dann kannst du ja die beiden WLANs je in ein vlan stecken, auf einen L3-Switch oder Router gehen und dort dann abhängig vom vlan entsprechend routen und Access-Listen setzen.

Geschrieben

Hallo Crash2001,

Oooh - na gut, wenn er vlan kann, dann sollte das ja kein Problem sein, das zu trennen. Kann den Link leider nicht aufrufen von hier, da sie anscheinend im Proxy gesperrt ist.

Dann kannst du ja die beiden WLANs je in ein vlan stecken, auf einen L3-Switch oder Router gehen und dort dann abhängig vom vlan entsprechend routen und Access-Listen setzen.

danke für den guten Tipp!

Ich werde mal schauen, wie ich es am besten realisieren kann.

Liebe Grüße

Geschrieben

Also ich hab hier mit einem D-Link DAP-1353 ein Multi-SSID AP im VLAN-Betrieb.

Eine SSID für Gäste, eine SSID für Mitarbeiter via VLAN.

Am Switch an dem der AP hängt ist ein Port im VLAN der Gäste-SSID, an dem dann eine Monowall mit seiner "Intern" Schnittstelle hängt. In das VLAN macht er DHCP und stellt den Zugriff ins Internet bereit (in meinem Fall mit Authentifizierung über ein Captive Portal gegen einen Microsoft Radius Server [iAS]). Die "Extern"-Schnittstelle der Monowall führt zurück ins normale Netzwerk, wo auch der Radiusserver und die Firewall, samt Webfilter, stehen und den eigentlichen Internetzugang bereit stellen.

Die Mitarbeiter-SSID hat direkt Standard-VLAN-Tag und führt stumpf ins normale Netzwerk. Probleme treten relativ selten auf. Wenn dann höchstens das ein Notebook die W-LAN-Schnittstelle nicht rechtzeitig verbunden hat, bevor der User an der Domäne anmelden will. (wenn ich recht überlege tritt das relativ häufig auf...)

Geschrieben

Hallo bjoeki,

Also ich hab hier mit einem D-Link DAP-1353 ein Multi-SSID AP im VLAN-Betrieb.

Eine SSID für Gäste, eine SSID für Mitarbeiter via VLAN.

Am Switch an dem der AP hängt ist ein Port im VLAN der Gäste-SSID, an dem dann eine Monowall mit seiner "Intern" Schnittstelle hängt. In das VLAN macht er DHCP und stellt den Zugriff ins Internet bereit (in meinem Fall mit Authentifizierung über ein Captive Portal gegen einen Microsoft Radius Server [iAS]). Die "Extern"-Schnittstelle der Monowall führt zurück ins normale Netzwerk, wo auch der Radiusserver und die Firewall, samt Webfilter, stehen und den eigentlichen Internetzugang bereit stellen.

Die Mitarbeiter-SSID hat direkt Standard-VLAN-Tag und führt stumpf ins normale Netzwerk. Probleme treten relativ selten auf. Wenn dann höchstens das ein Notebook die W-LAN-Schnittstelle nicht rechtzeitig verbunden hat, bevor der User an der Domäne anmelden will. (wenn ich recht überlege tritt das relativ häufig auf...)

danke für deinen Vorschlag. Ich werde mir die Sache mal genauer überlegen und einen Entschluss fassen.

Liebe Grüße

Geschrieben

Laut Herstellerseite unterstützt der AP Multi-SSID´s und VLAN´s (wahrscheinlich 802.1q). Dh. du trennst auf Layer1 anhand der SSID und auf Layer2 anhand der VLAN´s.

Bsp.:

SSID1 VLAN-Tag 10

SSID2 VLAN-Tag 20

Auf Layer3 anhand von Subnetting und ACL´s. Solltest du getrennte Routingtabellen für die beiden Netze benötigen muss dein Router VRF´s unterstützen.

PS: Bitte nicht das Native-VLAN (in der Regel als VLAN1 oder Default-VLAN bekannt) für eines der Subnetze benutzen ;)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...