Automatische VLAN-Gruppenschlüssel Zuordnung

[geppi]

Ich habe ein WLAN-Netz (SSID) mit zwei VLANs konfiguriert. Interessanterweise sieht das bei mir unter 'Status > WLAN > VLAN-Gruppenschlüssel-Abbildung' so aus:

Code: Alles auswählen

Network    VLAN-Id  Groupkey-Index           Source
====================------------------------------------
WLAN-1     100      1                        Automatic
WLAN-1     200      1                        Automatic
WLAN-2     100      1                        Automatic
WLAN-2     200      1                        Automatic
WLAN-1-3   300      1                        Automatic

Im Referenzhandbuch Kapitel '13.19.14.2 Gruppenschlüssel pro VLAN' steht unter 'Verwaltung von VLAN-Gruppenschlüsseln' im Punkt 3:

Falls auch keine manuelle Zuordnung besteht, fügt der AP einen neuen Eintrag hinzu und ordnet diesem Client den
Gruppenschlüssel mit den wenigsten Teilnehmern zu.

Demgemäß hätte ich erwartet, dass die unterschiedlichen VLANs in WLAN-1 und WLAN-2 auch unterschiedliche Gruppenschlüssel bekommen.
Was könnte das LCOS (Ver. 10.70) dazu bewogen haben hier überall den gleichen Gruppenschlüssel zu vergeben?

Dann noch eine Frage zur manuellen Zuordnung der Gruppenschlüssel.
Ich kann im Lanconfig Konfigurationsdialog lediglich die Gruppenschlüssel 2-4 manuell zuordnen.
Wenn ich im obigen Beispiel der VLAN-Id 100 weiterhin den Gruppenschlüssel 1 zuordnen will, reicht es dann aus, der VLAN-Id 200 manuell den Gruppenschlüssel 2 zuzuordnen und die VLAN-Id 100 der Automatik zu überlassen?
Oder muss ich auch der VLAN-Id 100 manuell einen Gruppenschlüssel zuordnen um auf jeden Fall VLAN-fremde Broad- und Multicast-Nachrichten auszuschließen?

[geppi]

Auweia, jetzt ist mir aufgefallen, dass im Lanconfig Konfigurationsdialog die Gruppenschlüssel konfiguriert werden, auf der Konsole unter 'Status > WLAN > VLAN-Gruppenschlüssel-Abbildung' aber der Gruppenschlüssel-Index angezeigt wird. Der Index-Wert 1 referenziert aber offensichtlich den Gruppenschlüssel 2.

Das sollte man im Referenzhandbuch mal deutlich hervorheben!

Der Gruppenschlüssel 1 ist wohl schon für die gesicherte Unicast-Kommunikation zwischen dem AP und einem WLAN-Client reserviert.
Daher kann man wohl im Lanconfig Konfigurationsdialog nur die Gruppenschlüssel-Werte 2-4 manuell zuordnen. Es ist dann aber gelinde gesagt schon verwirrend, dass man auf der Konsole Index-Werte angezeigt bekommt, die um eins niedriger sind als die Schlüsselwerte.

Die Zweite Frage meines Postings habe ich mir damit wohl selbst beantwortet. Um sicher zu gehen muss man beiden VLANs manuell unterschiedliche Gruppenschlüssel zuweisen.

Bleibt die Frage warum das LCOS dies nicht auch automatisch macht solange noch unterschiedliche Gruppenschlüssel zur Verfügung stehen.

[rotwang]

Es ist dann aber gelinde gesagt schon verwirrend, dass man auf der Konsole Index-Werte angezeigt bekommt, die um eins niedriger sind als die Schlüsselwerte.

Die Indizes 0..3 sind aber eigentlich die "richtigeren", weil sie dem Key-Identifier-Feld im Header eines WLAN-Frames entsprechen. Identifier/Index 0 ist üblicherweise der Pairwise Key, der für jeden Client ein anderer ist. Das Problem ist leider halt, dass man meint, der "normale Anwender" wäre daran gewöhnt, ab Eins und nicht ab Null zu zählen...

[geppi]

Naja, das Problem ist eigentlich, dass man einmal von Null zählt und ein anderes mal von eins und dann nicht mal in der Doku auf die Stolperfalle hinweist.

Ne Idee zur automatischen Zuordnung?

[rotwang]

Ne Idee zur automatischen Zuordnung?

Da sieht man leider nur den Ist-Zustand, aber nicht, wie das Gerät in diesem Zustand gekommen ist. Ich kenne ja Deinen Aufbau nicht und ob vielleicht noch andere VLANs im Spiel sind. Es kann sein, dass früher andere Clients mit anderen VLAN-Zuweisungen verbunden waren. Eine einmal gemachte Zuweisung wird nicht mehr rückgängig gemacht, auch wenn andere Indizes nachträglich frei werden sollten.

Vielleicht stellst Du das einmal Schritt für Schritt nach, in dem Sinn "jetzt hat sich ein Client mit VLAN x angemeldet und die Tabelle sieht so aus". Dann kann man das eher nachvollziehen, was im LCOS passiert bzw. passieren müsste.

[geppi]

Also auf WLAN-1/2-Netzwerk-1 gibt es nur die beiden gelisteten VLANs 100 und 200.

Bei 3 verfügbaren Gruppenschlüsseln sollte der AP dann ja wohl beiden VLANs auf dieser SSID einen unterschiedlichen Gruppenschlüssel zuordnen.
Erst wenn mehr VLANs als verfügbare Gruppenschlüssel auf einer SSID laufen muss der AP eine Entscheidung treffen welchen Gruppenschlüssel er quasi "doppelt" zuordnet. Das sollte er nach der Beschreibung im Referenzhandbuch dann auf Basis der Anzahl der Teilnehmer pro Gruppenschlüssel tun und den mit der kleinsten Anzahl nehmen. So habe ich die Beschreibung zumindest verstanden.

Also entweder verhält sich das LCOS nicht gemäß der Beschreibung oder ich habe die Beschreibung falsch verstanden.
Allerdings denke ich, dass ein Verhalten so wie ich es verstanden habe die sinnvollste Methode wäre die Gruppenschlüssel automatisch innerhalb einer SSID zuzuordnen.

Aber das scheint hier ausser uns beiden ja eh keinen zu interessieren. Also lass ich's mal gut sein und geb' mich damit zufrieden, dass ich's mit der manuellen Zuordnung ja hinbekommen habe.

Auf jeden Fall danke für den Feedback.