VLAN Autorisierung via RADIUS; Multi-SSID

[luno]

Hallo,

seit einigen Tagen mühe ich mich mit ein paar L-322agn AP ohne WLC zum Aufbau getrennter
WLAN Netze fuer Firmengaeste und Mitarbeiter ab. Quasi der Klassiker im Unternehmen ...

Auch nach Suche in der KB und hier im Forum sind bei mir noch Designfragen offen geblieben ...
Wahrscheinlich habe ich nicht die richtigen Artikel gefunden.

Ich stelle meine Fragen nachfolgend mal in ungeordneter Reihenfolge.
Vielleicht kann mir ja jemand hier auf die Sprünge helfen. ...

Ist es mit den L-322agn moeglich mit 802.1x eine VLAN Zuordnung via RADIUS Autorisierung
durchzuführen oder sollten die beiden WLAN Netze (Mitarbeiter, Gäste) eher statisch
getrennt werden. Wo bzw. wie konfiguriert man die Radius Autorisierung auf dem Radius Client
- also auf dem AP ?

Ist es mit den L-322agn möglich Multi-SSID's sowohl über den 2,4 GHz als auch 5 GHz aufzuspannen ?
Ziel ist es, dass der Nutzer sich nicht für ein passenden Frequenzbereich entscheiden soll, sondern
mit dem AP den passenden Frequenzbereich am besten geschickt aushandelt.
Wenn das geht, wo kann man in der Konfiguration ggf. Regeln festlegen welcher Frequenzbereich welchem
Client zugeordnet wird. Ziel ist hier eine möglichst gleichmässige Nutzung beider Frequenzbereiche
damit nicht in einem Bereich (z.B. 2,4 GHz) nichts mehr geht und in dem anderen die grosse Leere herrscht.

Danke für eure Unterstützung !

[Bernie137]

Hallo,

Ist es mit den L-322agn moeglich mit 802.1x eine VLAN Zuordnung via RADIUS Autorisierung

VLAN oder WLAN, Tippfehler? Per WLAN funktioniert natürlich.
https://www2.lancom.de/kb.nsf/1275/8F6E ... enDocument
https://www2.lancom.de/kb.nsf/1275/3BCE ... enDocument
https://www2.lancom.de/kb.nsf/1275/8CE3 ... enDocument
https://www2.lancom.de/kb.nsf/1275/1CD5 ... enDocument
https://www2.lancom.de/kb.nsf/1275/46F6 ... enDocument
Kombinationen sind natürlich auch möglich.

Viele Grüße
Heiko

[alf29]

Moin,

ich denke, kein Tippfehler, er bezieht sich darauf, daß bei Verwendung von 802.1X der RADIUS-Server ein Client-spezifisches VLAN zurückgeben kann und damit auch den Traffic von Clients trennen kann, die auf der gleichen SSID arbeiten. Das LCOS unterstützt das prinzipiell über die dafür im RFC vorgesehenen Attribute (Tunnel-Id, Tunnel-Private-Group....), man muß nur ein bisserl mit der Trennung von in die Funkzelle gehenden Broad-/Multicasts aufpassen - das LCOS kann aktuell nur maximal 3 VLANs pro SSID 'sauber' trennen, in dem Sinne, daß Clients in einem VLAN die für ein anderes VLAN vorgesehenen Broad/Multicasts nicht empfangen können.

Ob das für eine Trennung von internem und Gastnetz der sinnvolle Ansatz ist, muß jder für sich entscheiden. Denn damit zwingt man auch die Gäste, 802.1X zu benutzen, was je nach Client nicht ohne den 'Zertifikats-Zinnober' abgeht und das 'eben mal'-Benutzen des Gastzugangs erschweren kann. Da ist eine getrennte SSID mit WPA-PSK und/oder einer Web-basierten Anmeldung für die Nutzer einfacher.

Wo bzw. wie konfiguriert man die Radius Autorisierung auf dem Radius Client - also auf dem AP ?

Du wählst als Verschlüsselungsmethode WPA mit 802.1X und trägst in das Schlüsselfeld den Namen eines RADIUS-Servers ein, den Du in der RADIUS-Server-Tabelle definiert hast. Wo die aktuell im LANconfig ist, weiß ich gerade nicht, auf der CLI ist sie unter /Setup/IEEE802.1X/RADIUS-Server.

Ist es mit den L-322agn möglich Multi-SSID's sowohl über den 2,4 GHz als auch 5 GHz aufzuspannen ?

Du hast erstmal einfach zwei WLAN-Module, auf denen Du beliebige SSIDs konfigurieren kannst. Auf beiden die gleichen SSIDs einzurichten und die auch in gleiche VLANs zu stecken, ist eine mögliche Variante.

Ziel ist es, dass der Nutzer sich nicht für ein passenden Frequenzbereich entscheiden soll, sondern
mit dem AP den passenden Frequenzbereich am besten geschickt aushandelt.
Wenn das geht, wo kann man in der Konfiguration ggf. Regeln festlegen welcher Frequenzbereich welchem
Client zugeordnet wird. Ziel ist hier eine möglichst gleichmässige Nutzung beider Frequenzbereiche
damit nicht in einem Bereich (z.B. 2,4 GHz) nichts mehr geht und in dem anderen die grosse Leere herrscht.

Eine 'Verhandlung' in dem Sinne zwischen Client und AP sieht das WLAN-Protokoll nicht vor, wo und an welchem WLAN sich ein Client anmeldet, ist erstmal seine eigene Entscheidung. Verschiedene Hersteller haben Mechanismen gebaut, den Client in seiner Entscheidung mit mehr oder weniger sanfter Gewalt in die eine oder andere Richtung zu zwingen. Auf LCOS-Geräten gibt es das Band-Steering, mit dem Clients bevorzugt auf ein bestimmtes Band geschoben werden (üblicherweise auf 5 GHz). Damit erreicht man, daß ein 5 GHz-fähiger Client auch bevorzugt sich am 5GHz-Interface anmeldet, während die Single-Band-Clients auf 2.4 GHz bleiben.

Gruß Alfred

[luno]

Hallo Forum,Heiko und Alfred,

vielen Dank für die Infos !
Das bringt mich schon mal weiter.

Mittlerweile sind die ersten Clients online ...