Benutzerhandbuch Workshops (Auszug)
Transcription
Benutzerhandbuch Workshops (Auszug)
bintec elmeg GmbH Benutzerhandbuch Benutzerhandbuch Workshops (Auszug) WLAN-Workshops Copyright© Version 9/2016 bintec elmeg GmbH Workshops (Auszug) 1 Benutzerhandbuch bintec elmeg GmbH Rechtlicher Hinweis Gewährleistung Änderungen in dieser Veröffentlichung sind vorbehalten. bintec elmeg GmbH gibt keinerlei Gewährleistung auf die in dieser Bedienungsanleitung enthaltenen Informationen.bintec elmeg GmbH übernimmt keine Haftung für mittelbare, unmittelbare, Neben-, Folge- oder andere Schäden, die mit der Auslieferung, Bereitstellung oder Benutzung dieser Bedienungsanleitung im Zusammenhang stehen. Copyright © bintec elmeg GmbH Alle Rechte an den hier beinhalteten Daten - insbesondere Vervielfältigung und Weitergabe - sind bintec elmeg GmbH vorbehalten. 2 Workshops (Auszug) Inhaltsverzeichnis bintec elmeg GmbH Inhaltsverzeichnis Workshops (Auszug) Kapitel 1 WLAN - Verbindung mit WPA-PSK auf RS232jw . . . . . . . 1 1.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.1 Ändern von Admin-Passwörtern . . . . . . . . . . . . . . . . . . . 2 1.2.2 Konfigurieren des Access-Point-Modus auf dem Funkmodul . . . . . . . 3 1.2.3 Einrichten einer WLAN-Verbindung . . . . . . . . . . . . . . . . . . 4 1.2.4 Bridging aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.2.5 MAC-Filter konfigurieren . . . . . . . . . . . . . . . . . . . . . . . 7 1.2.6 WLAN-Adapter unter Windows XP konfigurieren . . . . . . . . . . . . 9 1.3 Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.4 Kontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1.5 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 13 Kapitel 2 WLAN - Verbindung mit WPA-PSK auf W2003n . . . . . . 15 2.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.2.1 Ändern von Admin-Passwörtern . . . . . . . . . . . . . . . . . . 16 2.2.2 Konfigurieren des Access-Point-Modus auf dem Funkmodul . . . . . . 17 2.2.3 Einrichten einer WLAN-Verbindung . . . . . . . . . . . . . . . . . 18 2.2.4 MAC-Filter konfigurieren . . . . . . . . . . . . . . . . . . . . . . 20 2.2.5 WLAN-Adapter unter Windows XP konfigurieren . . . . . . . . . . . 23 2.3 Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.4 Kontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.5 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 26 Kapitel 3 WLAN - VLAN mit Multi-SSID-WLAN . . . . . . . . . . . . 28 i Inhaltsverzeichnis ii bintec elmeg GmbH 3.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.2.1 Konfiguration der Drahtlosnetzwerke . . . . . . . . . . . . . . . . 29 3.2.2 Konfiguration der VLANs . . . . . . . . . . . . . . . . . . . . . 31 3.2.3 Regeln für den Empfang an den Ports festlegen . . . . . . . . . . . 33 3.2.4 Ports aus VLAN Management entfernen . . . . . . . . . . . . . . . 34 3.2.5 VLAN aktivieren . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2.6 Konfiguration am bintec S128p . . . . . . . . . . . . . . . . . . . 35 3.3 Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.4 Kontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.5 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 38 Kapitel 4 WLAN - bintec Hotspot Solution . . . . . . . . . . . . . . . 42 4.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 4.2 Leistungsmerkmale . . . . . . . . . . . . . . . . . . . . . . . . 44 4.2.1 Merkmale der Hotspot Solution . . . . . . . . . . . . . . . . . . 44 4.2.2 Merkmale des Gateways . . . . . . . . . . . . . . . . . . . . . 45 4.2.3 Merkmale des Hotspot-Servers . . . . . . . . . . . . . . . . . . 45 4.3 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.3.1 Konfiguration des bintec Hotspot-Gateways . . . . . . . . . . . . . 46 4.3.2 Konfiguration des bintec Hotspot-Servers durch einen Fachhändler . . . 64 4.3.3 Verwaltung von Hotspot Accounts . . . . . . . . . . . . . . . . . 69 4.3.4 Betrieb an mehreren Standorten . . . . . . . . . . . . . . . . . . 73 4.3.5 Einrichtung der Walled Garden Pages . . . . . . . . . . . . . . . 76 4.3.6 Nutzung des Hotspots ohne HTML-Anmelde-Frameset . . . . . . . . 77 4.3.7 Verwendung von Default Free Service . . . . . . . . . . . . . . . . 83 4.4 Neue Authentifizierungsverfahren . . . . . . . . . . . . . . . . . . 91 4.4.1 Default Free Service . . . . . . . . . . . . . . . . . . . . . . . 92 4.4.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Workshops (Auszug) Inhaltsverzeichnis bintec elmeg GmbH Workshops (Auszug) 4.5 Hinweise für den sicheren Betrieb. . . . . . . . . . . . . . . . . . 106 4.5.1 Mehrfaches anmelden 4.5.2 Verhindern der Sichtbarkeit der Teilnehmer untereinander . . . . . . . 106 4.5.3 Verschlüsselte / Unverschlüsselte WLAN-Verbindung . . . . . . . . . 108 4.5.4 WPA-Verschlüsselung 4.5.5 Verschlüsselung der Anmeldeseiten 4.5.6 IP/ARP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . 109 4.6 Rechtliches . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 4.6.1 Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 4.6.2 Meldepflicht eines Hotspots . . . . . . . . . . . . . . . . . . . . 109 4.6.3 Allgemeine Geschäftsbedingungen . . . . . . . . . . . . . . . . . 109 4.6.4 Grauzone und Haftbarkeit bei missbräuchlicher Benutzung . . . . . . . 110 4.7 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 110 Kapitel 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 . . . . . . . . . . . . . . . . . . . . . . . . 121 5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 5.2 Server Konfiguration . . . . . . . . . . . . . . . . . . . . . . . 122 5.2.1 Konfiguration der Active Directory-Zertifikatsdienste . . . . . . . . . . 122 5.2.2 Reservierung der Access Point IP-Adressen am DHCP-Server (Windows Server 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 5.2.3 Installation der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 5.2.4 Konfiguration der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 5.3 RADIUS-Konfiguration des Access Points . . . . . . . . . . . . . . 140 5.4 WLAN-Konfiguration des Access Points . . . . . . . . . . . . . . . 141 5.5 Anbindung eines Windows 7 WLAN-Clients . . . . . . . . . . . . . 143 5.5.1 Importieren des Zertifikats der Zertifizierungsstelle (CA Zertifikat) . . . . 144 5.5.2 Konfiguration des Windows 7 WLAN Clients . . . . . . . . . . . . . 147 . . . . . . . . . . . . . . . . . . . . . . 106 . . . . . . . . . . . . . . . . . . . . . . 108 . . . . . . . . . . . . . . . . 108 iii Inhaltsverzeichnis iv bintec elmeg GmbH 5.6 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 153 Kapitel 6 WLAN - Einführung in den bintec-WLAN-Controller . . . 6.1 Überblick über die Funktionen . . . . . . . . . . . . . . . . . . . 157 6.2 Projektplanung . . . . . . . . . . . . . . . . . . . . . . . . . . 158 6.2.1 Anforderungen des Kunden ermitteln . . . . . . . . . . . . . . . . 158 6.2.2 Empfohlene Hardware-Installation vor Ort . . . . . . . . . . . . . . 158 6.3 Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . 159 6.3.1 WLAN-Controller-Hardware . . . . . . . . . . . . . . . . . . . . 159 6.3.2 Access-Point-Hardware . . . . . . . . . . . . . . . . . . . . . . 160 6.3.3 WLAN-Controller-Lizenzen . . . . . . . . . . . . . . . . . . . . . 160 6.4 Netzwerk-Konfiguration . . . . . . . . . . . . . . . . . . . . . . 161 6.4.1 Netzwerkeinstellungen des WLAN-Controllers . . . . . . . . . . . . 161 6.4.2 DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . 161 6.5 WLAN-Installation mithilfe des Assistenten des WLAN-Controllers . . . 162 6.5.1 Schritt 1 im Assistenten . . . . . . . . . . . . . . . . . . . . . . 163 6.5.2 Schritt 2 im Assistenten . . . . . . . . . . . . . . . . . . . . . . 164 6.5.3 Schritt 3 im Assistenten . . . . . . . . . . . . . . . . . . . . . . 165 6.5.4 Schritt 4 im Assistenten . . . . . . . . . . . . . . . . . . . . . . 167 6.5.5 WLAN-Initiierung der Access Points starten . . . . . . . . . . . . . 167 6.6 Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 6.6.1 E-Mail-Benachrichtigung bei Ausfall eines Access Points . . . . . . . 170 6.6.2 Konfiguration eines DHCP-Servers auf einem anderen bintec-Router . . 170 6.6.3 Konfiguration eines DHCP-Servers auf Windows Server 2003 / 2008 . . 172 6.6.4 Konfiguration eines DHCP-Servers unter Linux . . . . . . . . . . . . 177 6.6.5 Betrieb der APs mit statischen IP-Adressen . . . . . . . . . . . . . 178 Kapitel 7 WLAN - WLAN-Controller Redundanz. . . . . . . . . . . 7.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 157 180 Workshops (Auszug) Inhaltsverzeichnis bintec elmeg GmbH Workshops (Auszug) 7.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . 181 7.2.1 Konfiguration des primären Routers (Router 1) . . . . . . . . . . . . 182 7.2.2 WLAN-Controller auf dem primären Router konfigurieren . . . . . . . 187 7.2.3 Konfiguration des Backup-Controllers (Router 2) . . . . . . . . . . . 190 7.2.4 Einrichtung der Überwachungsfunktionen . . . . . . . . . . . . . . 197 7.3 Zusätzliche Hinweise . . . . . . . . . . . . . . . . . . . . . . . 202 7.4 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 203 Kapitel 8 WLAN - VoWLAN Grundlagen und Konfiguration . . . . 8.1 Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 8.2 WLAN Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . 209 8.2.1 WLAN Funkausleuchtung . . . . . . . . . . . . . . . . . . . . . 210 8.2.2 Handover zwischen den Access Points . . . . . . . . . . . . . . . 211 8.2.3 Bandbreitenbedarf . . . . . . . . . . . . . . . . . . . . . . . . 211 8.2.4 Der Sicherheitsstandard und das Handover . . . . . . . . . . . . . 212 8.2.5 QoS, WMM und U-APSD . . . . . . . . . . . . . . . . . . . . . 213 8.2.6 WLAN Controller – Ein Muss in einem VoWLAN-Netz? . . . . . . . . 216 8.2.7 Mögliche Störquellen . . . . . . . . . . . . . . . . . . . . . . . 216 8.3 Beispielkonfiguration . . . . . . . . . . . . . . . . . . . . . . . 216 8.3.1 Netzwerkplan . . . . . . . . . . . . . . . . . . . . . . . . . . 217 8.3.2 WLAN Konfiguration mit oder ohne WLAN Controller . . . . . . . . . 218 8.4 Ascom i62 Talker Konfiguration 8.4.1 Vorrausetzungen . . . . . . . . . . . . . . . . . . . . . . . . . 220 8.4.2 Konfiguration 8.4.3 Testbefehle am Ascom i62 . . . . . . . . . . . . . . . . . . . . . 226 8.5 Konfiguration der elmeg hybird 300 . . . . . . . . . . . . . . . . . 226 8.5.1 Konfiguration 8.5.2 Betriebsfall: WLAN-Telefon nicht erreichbar . . . . . . . . . . . . . 228 8.6 Verwendung anderer WLAN-Telefone 209 . . . . . . . . . . . . . . . . . . 220 . . . . . . . . . . . . . . . . . . . . . . . . . . 220 . . . . . . . . . . . . . . . . . . . . . . . . . . 227 . . . . . . . . . . . . . . . 228 v Inhaltsverzeichnis vi bintec elmeg GmbH 8.7 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 229 Kapitel 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpotFunktionalität . . . . . . . . . . . . . . . . . . . . . . . . 232 9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 9.2 Funktion 9.3 Konfiguration 9.3.1 Basiskonfiguration . . . . . . . . . . . . . . . . . . . . . . . . 233 9.3.2 LAN-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . 234 9.3.3 HotSpot-Konfiguration 9.3.4 DHCP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . 238 9.3.5 Wireless LAN Controller Wizard . . . . . . . . . . . . . . . . . . 240 9.4 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 248 Kapitel 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 254 10.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 10.1.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . 255 10.1.2 Hinweise zum Test-Setup . . . . . . . . . . . . . . . . . . . . . 256 10.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 10.2.1 Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 257 10.2.2 Konfiguration des Routers in der Außenstelle . . . . . . . . . . . . . 257 10.2.3 Konfiguration des VPN-Konzentrators in der Zentrale . . . . . . . . . 260 10.2.4 Konfiguration des WLAN-Controllers in der Zentrale . . . . . . . . . . 261 10.3 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 272 Kapitel 11 WLAN - Wireless LAN Controller als Netzzugangsgateway 11.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 11.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 . . . . . . . . . . . . . . . . . . . . . . . . . . 233 . . . . . . . . . . . . . . . . . . . . . . 235 279 . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Workshops (Auszug) Inhaltsverzeichnis bintec elmeg GmbH Workshops (Auszug) 11.3 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 307 Kapitel 12 WLAN - Cloud NetManager . . . . . . . . . . . . . . . . 12.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 12.2 Erste Schritte im Portal . . . . . . . . . . . . . . . . . . . . . . 319 12.2.1 Anlegen eines Benutzers . . . . . . . . . . . . . . . . . . . . . 319 12.2.2 Ändern der Zeitzone . . . . . . . . . . . . . . . . . . . . . . . 321 12.2.3 Einspielen der Lizenzen . . . . . . . . . . . . . . . . . . . . . . 321 12.3 Anlegen der Profile . . . . . . . . . . . . . . . . . . . . . . . . 323 12.3.1 Anlegen der Netzwerkprofile (SSID) . . . . . . . . . . . . . . . . . 323 12.3.2 Anlegen der Funkprofile . . . . . . . . . . . . . . . . . . . . . . 326 12.3.3 Anlegen der Gerätevorlagen / Access-Point-Vorlage . . . . . . . . . 327 12.3.4 Geräte verwalten . . . . . . . . . . . . . . . . . . . . . . . . . 328 12.4 Access Points registrieren und verwalten . . . . . . . . . . . . . . 328 12.4.1 Geräte manuell anmelden . . . . . . . . . . . . . . . . . . . . . 329 12.4.2 Gerät automatisch anmelden . . . . . . . . . . . . . . . . . . . . 330 12.5 Geräte Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 330 12.5.1 Batch-Operationen und Software-Update . . . . . . . . . . . . . . 331 12.6 Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 12.6.1 Einrichtung eines anderen Rechenzentrums . . . . . . . . . . . . . 332 12.6.2 Automatische Konfiguration . . . . . . . . . . . . . . . . . . . . 334 12.7 Fehlersuche . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 12.7.1 Ein neues Gerät ist nicht sichtbar . . . . . . . . . . . . . . . . . . 336 12.7.2 Keine Kommunikation mehr mit einem verwalteten Gerät . . . . . . . 336 12.7.3 Weitere Debug-Möglichkeiten . . . . . . . . . . . . . . . . . . . 337 12.7.4 Debugging auf Geräteebene . . . . . . . . . . . . . . . . . . . . 338 Kapitel 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager . . . . . . . . . . . . . . . . . . . . . . . . . . 340 319 vii Inhaltsverzeichnis viii bintec elmeg GmbH 13.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . 340 13.1.1 Systemvoraussetzungen für die Virtualisierungsplattform . . . . . . . 340 13.1.2 Netzwerkanforderungen . . . . . . . . . . . . . . . . . . . . . . 341 13.2 Installation und Konfiguration der virtuellen Maschinen . . . . . . . . 341 13.2.1 Konfiguration des Storage-Servers . . . . . . . . . . . . . . . . . 342 13.2.2 Konfiguration des Services . . . . . . . . . . . . . . . . . . . . . 345 13.2.3 Testen der Installation . . . . . . . . . . . . . . . . . . . . . . . 355 13.3 Lizenzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 13.3.1 Installation der Serverlizenz . . . . . . . . . . . . . . . . . . . . 356 13.3.2 Gerätelizenzen installieren . . . . . . . . . . . . . . . . . . . . . 359 13.4 Management von Geräten . . . . . . . . . . . . . . . . . . . . . 364 13.4.1 Anpassen der Management URL in den Access Points . . . . . . . . 365 13.5 Hinweise zu freier Software . . . . . . . . . . . . . . . . . . . . 366 Kapitel 14 WLAN-Netzwerk mit Gäste-WLAN. . . . . . . . . . . . . 14.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 14.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 14.2.1 IP-Adresse konfigurieren . . . . . . . . . . . . . . . . . . . . . 368 14.2.2 Bridge-Gruppe anlegen und LAN-Schnittstelle zuweisen . . . . . . . . 369 14.2.3 Wireless LAN Controller in Betrieb nehmen . . . . . . . . . . . . . 370 14.2.4 Funkmodulprofil auswählen und WLAN-Zugang zum lokalen Netz konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 14.2.5 Gäste-WLAN konfigurieren. . . . . . . . . . . . . . . . . . . . . 373 14.2.6 Access Points mit dem Wireless LAN Controller konfigurieren . . . . . 375 14.2.7 IP-Adresse für die virtuelle Bridge-Schnittstelle konfigurieren . . . . . . 376 14.2.8 IP-Adressbereich für das Gästenetz einrichten . . . . . . . . . . . . 378 14.2.9 DHCP-Verwendung konfigurieren . . . . . . . . . . . . . . . . . . 380 14.2.10 Firewall einrichten . . . . . . . . . . . . . . . . . . . . . . . . 382 14.3 Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 14.4 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 386 367 Workshops (Auszug) Inhaltsverzeichnis bintec elmeg GmbH Workshops (Auszug) Kapitel 15 Presence Analytics mit bintec Access Points . . . . . . . 391 15.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 15.2 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 15.3 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 396 Kapitel 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme . . . . . . . . . . . . . . . . . . . . 398 16.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 16.2 Einrichtung der bintec HotSpot Secure Option . . . . . . . . . . . . 399 16.2.1 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 16.2.2 Zugehörige Informationen . . . . . . . . . . . . . . . . . . . . . 410 16.3 Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 410 ix Inhaltsverzeichnis x bintec elmeg GmbH Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Kapitel 1 WLAN - Verbindung mit WPA-PSK auf RS232jw 1.1 Einleitung Im Folgenden wird die Konfiguration Ihres Gateways als WLAN Access Point beschrieben. Zur Verschlüsselung wird WPA Preshared Key (WPA-PSK) verwendet. In unserem Beispielszenario erhält jeder der beiden Clients eine eigene ID, um über das Gateway auf das Netzwerk zugreifen zu können. Diese Multi SSID genannte Funktionalität ermöglicht es, unterschiedliche Rechte für verschiedene Clients oder auch für Gruppen von Clients zu vergeben, und so die Sicherheit zu erhöhen. Im LAN verteilt ein DHCP-Server IP-Adressen aus dem Netz für Clients aus dem LAN und WLAN. MAC-Filter verhindern zusätzlich den Zugriff von unbefugten Clients auf den Access Point. Abb. 1: Beispielszenario WLAN mit WPA-PSK Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • Ein Bootimage der Version 7.9.1 oder höher Workshops (Auszug) 1 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH • Ihr LAN wird über die erste Ethernet-Schnittstelle (Port 1) Ihres Geräts angeschlossen • Ein Client mit Windows XP als Betriebssystem und WLAN-Karte Zur Konfiguration wird hierbei das GUI (Graphical User Interface) verwendet. 1.2 Konfiguration 1.2.1 Ändern von Admin-Passwörtern Im Folgenden wird erklärt, wie Sie die Passwörter für den Benutzernamen , und ändern können. Hinweis Alle bintec-Geräte werden mit gleichem Benutzernamen und Passwort ausgeliefert. Sie sind daher nicht gegen einen unautorisierten Zugriff geschützt, solange die Passwörter nicht geändert wurden. Ändern Sie unbedingt die Passwörter, um unberechtigten Zugriff auf das Gerät zu verhindern. Solange das Passwort nicht verändert wird, erscheint im Menü Systemverwaltung -> Status der Warnhinweis: "Systempasswort nicht geändert!". Gehen Sie in folgendes Menü, um die Admin-Passwörter zu ändern: (1) Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Passwörter Abb. 2: Systemverwaltung -> Globale Einstellungen -> Passwörter Relevante Felder im Menü Passwörter 2 Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Feld Bedeutung Systemadministrator-PassGeben Sie das Passwort für den Benutzernamen ein. wort Passwort bestätigen Bestätigen Sie das Passwort, indem Sie es erneut eingeben. SNMP Read Community Geben Sie das Passwort für den Benutzernamen ein. SNMP Write Community Geben Sie das Passwort für den Benutzernamen ein. Gehen Sie folgendermaßen vor, um die Admin-Passwörter zu ändern: (1) Tragen Sie bei Systemadministrator-Passwort das gewünschte Passwort ein, z. B. . (2) Geben Sie das Passwort erneut ein. (3) Geben Sie für den Benutzernamen SNMP Read und SNMP Write ebenfalls ein neues Passwort ein, z. B. . (4) Bestätigen Sie Ihre Eingaben mit OK. 1.2.2 Konfigurieren des Access-Point-Modus auf dem Funkmodul Gehen Sie in folgendes Menü, um den Access-Point-Modus auf dem Funkmodul einzustellen: (1) Gehen Sie zu Wireless LAN -> WLAN-> Einstellungen Funkmodul. Konfigurieren Sie das Funkmodul, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag auf das -Symbol. Workshops (Auszug) 3 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Abb. 3: Wireless LAN -> WLAN -> Einstellungen Funkmodul -> Relevante Felder im Menü Einstellungen Funkmodul Feld Bedeutung Betriebsmodus Legen Sie fest, in welchem Modus das Funkmodul Ihres Geräts betrieben werden soll. Kanal Bestimmen Sie hier den Funkkanal. Gehen Sie folgendermaßen vor: (1) Stellen Sie den Betriebsmodus auf . (2) Den Kanal setzen Sie auf z. B. . (3) Bestätigen Sie mit OK. 1.2.3 Einrichten einer WLAN-Verbindung Gehen Sie in folgendes Menü, um Ihr WLAN-Netzwerk zu erstellen: (1) Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS). Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag auf das -Symbol. 4 Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Abb. 4: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Relevante Felder im Menü Drahtlosnetzwerke (VSS) Feld Bedeutung Netzwerkname (SSID) Hier geben Sie den Netzwerknamen ein. Sichtbar Bestimmen Sie, ob der Netzwerkname sichtbar ist. Sicherheitsmodus Wählen Sie die Verschlüsselung aus. WPA-Modus Wählen Sie den WPA-Modus aus. Preshared Key Tragen Sie hier das Netzwerk-Passwort ein. Gehen Sie folgendermaßen vor: (1) Unter Netzwerkname (SSID) tragen Sie z. B. ein. (2) Bei Netzwerkname (SSID) bleibt die Option Sichtbar aktiviert. (3) Den Sicherheitsmodus stellen Sie auf . (4) Den WPA-Modus lassen Sie auf (5) In Preshared Key geben Sie z. B. !"" ein. (6) Bestätigen Sie mit OK. . Hinweis Um die Sicherheit zu erhöhen, sollten Sie im Schlüssel Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben verwenden. Danach müssen Sie noch das gerade eben konfigurierte Drahtlosnetzwerk aktivieren. Das Workshops (Auszug) 5 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH geschieht in der Übersicht in Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS). Abb. 5: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) Gehen Sie zur Aktivierung vor wie folgt: (1) Klicken Sie bei dem Listeneintrag mit der VSS-Beschreibung # unter Aktion auf das -Symbol. Beachten Sie die Status-Spalte. Hier müsste nach kurzer Zeit das -Symbol angezeigt werden. 1.2.4 Bridging aktivieren Sobald ein WLAN-Client eine Funkverbindung zum Gateway hergestellt hat, soll er eine IPAdresse aus dem Netzwerk bekommen. Zu diesem Zweck müssen Sie ihr Gateway als Bridge konfigurieren. Um Bridging zu konfigurieren, gehen Sie bitte in folgendes Menü: (1) Gehen Sie zu Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppen -> Schnittstellen. Abb. 6: Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppen -> Schnittstellen Relevante Felder im Menü Schnittstellen 6 Feld Bedeutung en1-0 Dies ist die Ethernet-Schnittstelle 1. vss1-0 Das ist die Schnittstelle des WLAN-Netzwerkes, das Sie definie- Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Feld Bedeutung ren. Konfigurationsschnittstelle Wählen Sie aus, über welche Schnittstelle die Konfiguration durchgeführt wird. Gehen Sie folgendermaßen vor: (1) Wählen Sie bei Schnittstellenbeschreibung für Modus / Bridge-Gruppe $ %" &"!!. (2) Wählen Sie bei Konfigurationsschnittstelle aus. (3) Bestätigen Sie mit OK. Sobald Sie auf OK geklickt haben, wird automatisch die Bridge-Gruppe '" angelegt und die Schnittstelle dieser Bridge-Gruppe hinzugefügt. Die Bridge-Gruppe '" erhält dabei automatisch die IP-Konfiguration der Schnittstelle . Die IP-Konfiguration der Bridge-Gruppe '" können Sie im Menü LAN -> IP-Konfiguration -> <br0> -> überprüfen. Fahren Sie im Menü Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppen -> Schnittstellen fort wie folgt: (1) Wählen Sie bei Schnittstellenbeschreibung # für Modus / Bridge-Gruppe '" . (2) Bestätigen Sie mit OK. 1.2.5 MAC-Filter konfigurieren Um die Sicherheit noch weiter zu erhöhen, erlauben Sie mit einem MAC-Filter ausschließlich den Zugriff von Ihrem Client auf das Netzwerk. Hinweis Um die MAC-Adresse eines WLAN-Clients festzustellen, gehen Sie vor wie folgt: (1) Rufen Sie z. B. an einem Windows-XP-Rechner Start -> Ausführen... auf und geben ein. (2) Geben Sie in die Kommandozeile ein. (3) Sie finden die MAC-Adresse unter Physikalische Adresse. Alternativ können Sie die MAC-Adresse von schon verbundenen WLAN-Clients auch aus der entsprechenden Tabelle im GUI herauslesen. Gehen Sie dazu vor wie folgt: Workshops (Auszug) (1) Gehen Sie im GUI in das Menü Monitoring -> WLAN -> VSS. (2) Sie finden die MAC-Adresse in dem jeweiligen Tabellenabschnitt der gewünsch- 7 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH ten SSID. Beispiel MAC-Adresse ermitteln am PC: Beispiel MAC-Adresse ermitteln mit dem GUI: (1) Gehen Sie zu Monitoring -> WLAN -> VSS. Abb. 7: Monitoring -> WLAN -> VSS Gehen Sie zur Konfiguration in folgendes Menü: 8 Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH (1) Gehen Sie wieder zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> <Client-1> -> . Abb. 8: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) -> <Client-1> -> Relevante Felder im Menü Drahtlosnetzwerke (VSS) Feld Bedeutung Zugriffskontrolle Aktivieren Sie hier die MAC-Filterliste. Erlaubte Adressen Tragen Sie hier die MAC-Adresse des Clients ein. Gehen Sie folgendermaßen vor: (1) Stellen Sie Zugriffskontrolle auf (#". (2) Fügen Sie bei Erlaubte Adressen einen neuen Eintrag hinzu mit Hinzufügen. (3) In das Eingabefeld unter MAC-Adresse tragen Sie die MAC-Adresse des Clients ein, z.B )* )+) )')++ . (4) Bestätigen Sie mit OK. 1.2.6 WLAN-Adapter unter Windows XP konfigurieren Windows XP hat nach der Installation der Treiber für Ihre WLAN-Karte eine neue Verbindung in der Netzwerkumgebung eingerichtet. Um die Wireless LAN-Verbindung zu konfigurieren, gehen Sie bitte folgendermaßen vor: (1) Workshops (Auszug) Klicken Sie mit der rechten Maustaste auf Start -> Einstellungen -> Netzwerkver- 9 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH bindungen -> Drahtlose Netzwerkverbindung. (2) Wählen Sie anschliessend die Eigenschaften aus. (3) Gehen Sie zu Drahtlosnetzwerke. Abb. 9: Drahtlose Netzwerkverbindung (1) 10 Klicken Sie auf Hinzufügen. Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Abb. 10: Eigensachaften Drahtlose Netzverbindung Relevante Felder im Menü Drahtlose Netzverbindung Feld Bedeutung Netzwerkname Dies ist der konfigurierte Netzwerkname (SSID). Netzwerkauthentifizierung Hier wählen Sie die Authentifizierung aus. Datenverschlüsselung Wählen Sie hier die Verschlüsselung aus. Netzwerkschlüssel Geben Sie hier den Preshared Key an. Netzwerkschlüssel bestätigen Geben Sie hier den Preshared Key erneut an. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Bei Netzwerkname geben Sie z. B. ein. (2) Unter Netzwerkauthentifizierung wählen Sie . (3) Bei Datenverschlüsselung konfigurieren Sie ,-. (4) Unter Netzwerkschlüssel und Netzwerkschlüssel bestätigen geben Sie z. B. !"" an. 11 1 WLAN - Verbindung mit WPA-PSK auf RS232jw (5) bintec elmeg GmbH Verlassen Sie die Menüs jeweils mit OK. Hinweis Um Multi SSID zu nutzen, erstellen Sie für jeden Client eine eigene WLAN-Verbindung. Dazu wiederholen Sie die Schritte Einrichten einer WLAN-Verbindung auf Seite 4, Bridging aktivieren auf Seite 6, MAC-Filter konfigurieren auf Seite 7 und WLAN-Adapter unter Windows XP konfigurieren auf Seite 9 und verwenden für den neuen Client eine eigene SSID und einen eigenen Preshared Key. 1.3 Ergebnis Sie haben für Ihre WLAN-Clients jeweils eine eigene WLAN-Verbindung konfiguriert, die als Verschlüsselung WPA mit jeweils eigenem Preshared Key verwendet. Zudem haben Sie die Konfiguration unter Windows XP für die WLAN-Karte vorgenommen und die Sicherheit durch MAC-Filter erhöht. 1.4 Kontrolle Nach einem erfolgreichen Verbindungsaufbau zum WLAN-Gateway, sollte Folgendes in der Windows-Taskleiste erscheinen: Abb. 11: Taskleiste Nach einem erfolgreichen Verbindungsaufbau zum WLAN-Gateway, sollten auf dem Gateway alle erfolgreich verbundenen Clients in folgendem Menü zu sehen sein: (1) Gehen Sie zu Monitoring -> WLAN -> VSS. Um die IP-Verbindung zum Netzwerk zu testen, nutzen Sie den PING-Befehl, um einen Rechner zu erreichen. (1) Gehen Sie zu Wartung -> Diagnose -> Ping-Test. Nachdem Sie eine IP-Adresse, z.B bei Ping-Befehl testweise an Adresse senden eingegeben und auf die Los-Schaltfläche geklickt haben, sollten Sie eine ähnliche Meldung erhalten: 12 Workshops (Auszug) 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Abb. 12: Wartung -> Diagnose -> Ping-Test 1.5 Konfigurationsschritte im Überblick Admin-Passwörter ändern Feld Menü Wert Systemadministrator-Pass-Systemverwaltung -> Globale Einwort stellungen -> Passwörter z. B. Passwort bestätigen Systemverwaltung -> Globale Einstellungen -> Passwörter z. B. SNMP Read Community Systemverwaltung -> Globale Einstellungen -> Passwörter z. B. SNMP Write Community Systemverwaltung -> Globale Einstellungen -> Passwörter z. B. Access-Point-Modus einstellen Feld Menü Wert Betriebsmodus Wireless LAN -> WLAN-> Einstellungen Funkmodul -> Kanal Wireless LAN -> WLAN-> Einstellungen Funkmodul -> z. B. WLAN-Netzwerk einrichten Workshops (Auszug) Feld Menü Wert Netzwerkname (SSID) Wireless LAN -> WLAN-> Drahtlos- z. B. netzwerke (VSS) -> 13 1 WLAN - Verbindung mit WPA-PSK auf RS232jw bintec elmeg GmbH Feld Menü Wert Sichtbar Wireless LAN -> WLAN-> Drahtlos- Aktiviert netzwerke (VSS) -> Sicherheitsmodus Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) -> WPA-Modus Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) -> Preshared Key Wireless LAN -> WLAN-> Drahtlos- z. B. !"" netzwerke (VSS) -> WLAN-Netzwerk aktivieren Feld Menü Aktion Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) Wert Bridging aktivieren Feld Menü Wert Modus / Bridge-Gruppe Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppe -> Schnittstellen für Schnittstellenbeschreibung die Einstellung $ %" &"!! Konfigurationsschnittstelle Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppe -> Schnittstellen Modus / Bridge-Gruppe Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppe -> Schnittstellen für Schnittstellenbeschreibung # die Einstellung '" Feld Menü Wert Zugriffskontrolle Wireless LAN -> WLAN-> Drahtlos- (#" netzwerke (VSS) -> <Client-1> -> Erlaubte Adressen Wireless LAN -> WLAN-> Drahtlos- unter MAC-Adresse z. netzwerke (VSS) -> <Client-1> -> B. )* )+) )')++ MAC-Filter einrichten 14 Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Kapitel 2 WLAN - Verbindung mit WPA-PSK auf W2003n 2.1 Einleitung Im Folgenden wird die Konfiguration Ihres Access Points als WLAN Access Point beschrieben. Zur Verschlüsselung wird WPA Preshared Key (WPA-PSK) verwendet. In unserem Beispielszenario erhält jeder der beiden Clients eine eigene ID, um über den Access Point auf das Netzwerk zugreifen zu können. Diese Multi SSID genannte Funktionalität ermöglicht es, unterschiedliche Rechte für verschiedene Clients oder auch für Gruppen von Clients zu vergeben, und so die Sicherheit zu erhöhen. Im LAN verteilt ein DHCP-Server IP-Adressen aus dem Netz für Clients aus dem LAN und WLAN. MAC-Filter verhindern zusätzlich den Zugriff von unbefugten Clients auf den Access Point. Abb. 13: Beispielszenario WLAN mit WPA-PSK Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • Ein Bootimage der Version 9.1.8 oder höher. Workshops (Auszug) 15 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH • Ihr LAN wird über die erste Ethernet-Schnittstelle (Port 1) Ihres Geräts angeschlossen. • Ein Client mit Windows XP als Betriebssystem und WLAN-Karte. Zur Konfiguration wird hierbei das GUI (Graphical User Interface) verwendet. 2.2 Konfiguration 2.2.1 Ändern von Admin-Passwörtern Im Folgenden wird erklärt, wie Sie die Passwörter für den Benutzernamen , und ändern können. Hinweis Alle bintec Geräte werden mit gleichem Benutzernamen und Passwort ausgeliefert. Sie sind daher nicht gegen einen unautorisierten Zugriff geschützt, solange die Passwörter nicht geändert wurden. Ändern Sie unbedingt die Passwörter, um unberechtigten Zugriff auf das Gerät zu verhindern. Solange das Passwort nicht verändert wird, erscheint im Menü Systemverwaltung -> Status der Warnhinweis: "Systempasswort nicht geändert!". Gehen Sie in folgendes Menü, um die Admin-Passwörter zu ändern: (1) Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Passwörter. Abb. 14: Systemverwaltung -> Globale Einstellungen -> Passwörter Relevante Felder im Menü Passwörter 16 Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Feld Bedeutung Systemadministrator-Pass-Geben Sie das Passwort für den Benutzernamen ein. wort Passwort bestätigen Bestätigen Sie das Passwort, indem Sie es erneut eingeben. SNMP Read Community Geben Sie das Passwort für den Benutzernamen ein. SNMP White Community Geben Sie das Passwort für den Benutzernamen ein. Gehen Sie folgendermaßen vor, um die Admin-Passwörter zu ändern: (1) Tragen Sie bei Systemadministrator-Passwort das gewünschte Passwort ein, z. B. . (2) Geben Sie das Passwort erneut ein. (3) Geben Sie für den Benutzernamen SNMP Read und SNMP Write ebenfalls ein neues Passwort ein, z. B. . (4) Bestätigen Sie Ihre Eingaben mit OK. 2.2.2 Konfigurieren des Access-Point-Modus auf dem Funkmodul Gehen Sie in folgendes Untermenü, um den Access-Point-Modus auf dem Funkmodul einzustellen: (1) Gehen Sie zu Wireless LAN -> WLAN-> Einstellungen Funkmodul. Konfigurieren Sie das Funkmodul, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag auf das -Symbol. Workshops (Auszug) 17 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Abb. 15: Wireless LAN -> WLAN-> Einstellungen Funkmodul -> Relevante Felder im Menü Einstellungen Funkmodul Feld Bedeutung Betriebsmodus Hier legen Sie fest, in welchem Modus das Funkmodul Ihres Geräts betrieben werden soll. Standardwert ist . Kanal Bestimmen Sie hier den Funkkanal. Gehen Sie folgendermaßen vor: (1) Den Betriebsmodus stellen Sie auf %" .( /*". Ihr Gerät dient als Access Point oder als Bridge Link Master in Ihrem Netzwerk. (2) Den Kanal setzen Sie auf z. B. . (3) Bestätigen Sie mit OK. 2.2.3 Einrichten einer WLAN-Verbindung Gehen Sie in folgendes Untermenü, um Ihr WLAN-Netzwerk zu erstellen: (1) Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS)-> Neu. Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten. 18 Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Abb. 16: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu Relevante Felder im Menü Drahtlosnetzwerke (VSS) Feld Bedeutung Netzwerkname (SSID) Hier geben Sie den Namen des Wireles Netzwerks (SSID) ein. Sichtbar Bestimmen Sie, ob der Netzwerkname (SSID) übertragen werden soll. Sicherheitsmodus Wählen Sie die Verschlüsselung und die Authentifizierung des Drahtlosnetzwerks aus. WPA-Modus Wählen Sie den WPA-Modus aus. Preshared Key Tragen Sie hier das Netzwerk-Passwort ein. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Unter Netzwerkname (SSID) tragen Sie z. B. ein. (2) Bei Netzwerkname (SSID) bleibt die Option Sichtbar aktiviert. (3) Den Sicherheitsmodus stellen Sie auf . (4) Den WPA-Modus lassen Sie auf (5) In Preshared Key geben Sie z. B. !"" ein. (6) Bestätigen Sie mit OK. . 19 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Hinweis Um die Sicherheit zu erhöhen, sollten Sie im Schlüssel Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben verwenden. Danach müssen Sie noch das gerade eben konfigurierte Drahtlosnetzwerk aktivieren. Das geschieht in der Übersicht in Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS). Abb. 17: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) Gehen Sie zur Aktivierung vor wie folgt: (1) Klicken Sie bei dem Listeneintrag mit der VSS-Beschreibung # unter Aktion auf das -Symbol. Beachten Sie die Status-Spalte. Hier müsste nach kurzer Zeit das -Symbol angezeigt werden. 2.2.4 MAC-Filter konfigurieren Um die Sicherheit noch weiter zu erhöhen, erlauben Sie mit einem MAC-Filter ausschließlich den Zugriff von Ihrem Client auf das Netzwerk. Hinweis Um die MAC-Adresse eines WLAN-Clients festzustellen, gehen Sie vor wie folgt: (1) Rufen Sie z. B. an einem Windows-XP-Rechner Start -> Ausführen... auf und geben ein. (2) Geben Sie in die Kommandozeile ein. (3) Sie finden die MAC-Adresse unter Physikalische Adresse. Alternativ können Sie die MAC-Adresse von schon verbundenen WLAN-Clients auch aus der entsprechenden Tabelle im GUI herauslesen. Gehen Sie dazu vor wie folgt: 20 (1) Gehen Sie im GUI in das Menü Monitoring -> WLAN -> VSS. (2) Sie finden die MAC-Adresse in dem jeweiligen Tabellenabschnitt der gewünsch- Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH ten SSID. Beispiel MAC-Adresse ermitteln am PC: Beispiel MAC-Adresse ermitteln mit dem GUI: Abb. 18: Monitoring -> WLAN -> VSS Gehen Sie zur Konfiguration in folgendes Menü: (1) Workshops (Auszug) Gehen Sie zu Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) -> <Client-1> -> . 21 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Abb. 19: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) -> <Client-1> -> Relevante Felder im Menü <Client-1> Feld Bedeutung Zugriffskontrolle Hier wählen Sie aus, ob für dieses Wireless Netzwerk nur bestimmte Clients zugelassen werden sollen. Erlaubte Adressen Mit Hinzufügen gegen Sie hier die MAC-Adresse des Clients ein, die zugelassen werden sollen. Gehen Sie folgendermaßen vor: 22 (1) Stellen Sie Zugriffskontrolle auf (#". (2) Fügen Sie bei Erlaubte Adressen einen neuen Eintrag mit Hinzufügen hinzu. (3) In das Eingabefeld unter MAC-Adresse tragen Sie die MAC-Adresse des Clients ein, z. B. )* )+) )')++ . (4) Bestätigen Sie mit OK. Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH 2.2.5 WLAN-Adapter unter Windows XP konfigurieren Windows XP hat nach der Installation der Treiber für Ihre WLAN-Karte eine neue Verbindung in der Netzwerkumgebung eingerichtet. Um die Wireless LAN-Verbindung zu konfigurieren, gehen Sie bitte folgendermaßen vor: (1) Klicken Sie mit der rechten Maustaste auf Start -> Einstellungen -> Netzwerkverbindungen -> Drahtlose Netzwerkverbindung. (2) Wählen Sie anschliessend die Eigenschaften aus. (3) Gehen Sie zu Drahtlosnetzwerke. Abb. 20: Drahtlose Netzwerkverbindung (1) Workshops (Auszug) Klicken Sie auf Hinzufügen. 23 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Abb. 21: Eigenschaften Drahtlose Netzverbindung Relevante Felder im Menü Drahtlose Netzverbindung Feld Bedeutung Netzwerkname Dies ist der konfigurierte Netzwerkname (SSID). Netzwerkauthentifizierung Hier wählen Sie die Authentifizierung aus. Datenverschlüsselung Wählen Sie hier die Verschlüsselung aus. Netzwerkschlüssel Geben Sie hier den Preshared Key an. Netzwerkschlüssel bestätigen Geben Sie hier den Preshared Key erneut an. Gehen Sie folgendermaßen vor: 24 (1) Bei Netzwerkname geben Sie z. B. ein. (2) Unter Netzwerkauthentifizierung wählen Sie . (3) Bei Datenverschlüsselung konfigurieren Sie ,-. (4) Unter Netzwerkschlüssel und Netzwerkschlüssel bestätigen geben Sie z. B. !"" an. Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH (5) Verlassen Sie die Menüs jeweils mit OK. Hinweis Um Multi SSID zu nutzen, erstellen Sie für jeden Client eine eigene WLAN-Verbindung. Dazu wiederholen Sie die Schritte Einrichten einer WLAN-Verbindung auf Seite 4, Bridging aktivieren auf Seite 6, MAC-Filter konfigurieren auf Seite 7 und WLAN-Adapter unter Windows XP konfigurieren auf Seite 9 und verwenden für den neuen Client eine eigene SSID und einen eigenen Preshared Key. 2.3 Ergebnis Sie haben für Ihre WLAN-Clients jeweils eine eigene WLAN-Verbindung konfiguriert, die als Verschlüsselung WPA mit jeweils eigenem Preshared Key verwendet. Zudem haben Sie die Konfiguration unter Windows XP für die WLAN-Karte vorgenommen und die Sicherheit durch MAC-Filter erhöht. 2.4 Kontrolle Nach einem erfolgreichen Verbindungsaufbau zum WLAN Access Point, sollte Folgendes in der Windows-Taskleiste erscheinen: Abb. 22: Taskleiste Nach einem erfolgreichen Verbindungsaufbau zum WLAN Access Point, sollten auf dem Access Point alle erfolgreich verbundenen Clients in folgendem Menü zu sehen sein: (1) Gehen Sie zu Monitoring -> WLAN -> VSS -> <Client-1> Um die IP-Verbindung zum Netzwerk zu testen, nutzen Sie den PING-Befehl, um einen Rechner zu erreichen. (1) Gehen Sie zu Wartung -> Diagnose -> Ping-Test. Nachdem Sie eine IP-Adresse, z.B bei Ping-Befehl testweise an Adresse senden eingegeben und auf die Los-Schaltfläche geklickt haben, sollten Sie eine ähnliche Meldung erhalten: Workshops (Auszug) 25 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Abb. 23: Wartung -> Diagnose -> Ping-Test 2.5 Konfigurationsschritte im Überblick Admin-Passwörter ändern Feld Menü Wert Systemadministrator-Pass-Systemverwaltung -> Globale Einwort stellungen -> Passwörter z. B. Passwort bestätigen Systemverwaltung -> Globale Einstellungen -> Passwörter z. B. SNMP Read Community Systemverwaltung -> Globale Einstellungen -> Passwörter z. B. SNMP Write Community Systemverwaltung -> Globale Einstellungen -> Passwörter z. B. Access-Point-Modus einstellen Feld Menü Wert Betriebsmodus Wireless LAN -> WLAN-> Einstellungen Funkmodule -> %" .( /*" Kanal Wireless LAN -> WLAN -> Einstellungen Funkmodule -> z. B. WLAN-Netzwerk einrichten 26 Feld Menü Wert Netzwerkname (SSID) Wireless LAN -> WLAN-> Drahtlos- z. B. netzwerke (VSS) -> Neu Workshops (Auszug) 2 WLAN - Verbindung mit WPA-PSK auf W2003n bintec elmeg GmbH Feld Menü Wert Sichtbar Wireless LAN -> WLAN-> Drahtlos- (#" netzwerke (VSS) -> Neu Sicherheitsmodus Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) -> Neu WPA-Modus Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) -> Neu Preshared Key Wireless LAN -> WLAN-> Drahtlos- z. B. !"" netzwerke (VSS) -> Neu WLAN-Netzwerk aktivieren Feld Menü Aktion Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) Wert MAC-Filter einrichten Workshops (Auszug) Feld Menü Wert Zugriffskontrolle Wireless LAN -> WLAN -> Drahtlos- (#" netzwerke (VSS) -> <Client-1> -> Erlaubte Adressen Wireless LAN -> WLAN-> Drahtlos- unter MAC-Adresse z. netzwerke (VSS) -> <Client-1> -> B. )* )+) )')++ 27 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH Kapitel 3 WLAN - VLAN mit Multi-SSID-WLAN 3.1 Einleitung Im Folgenden wird die Konfiguration eines Virtual LAN (VLAN) beschrieben. Sie verbinden Ihre WLAN-Clients mittels eines W2003n drahtlos mit dem Firmennetz. W2003n dient als Access Point für die Drahtlosnetzwerke /**, 0#! und '. Die Ethernet-Schnittstelle, an die Ihr kabelgebundenes LAN angeschlossen ist, wird im BridgeModus betrieben und ist mittels eines VLAN-fähigen Switches an das kabelgebundene Netz angeschlossen. Das Netzwerk ist virtuell in die VLANs /**, 0#! und ' segmentiert. Zur Konfiguration wird das GUI (Graphical User Interface) verwendet. Abb. 24: VLAN-Segmentierung Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • Ein Bootimage der Version 9.1.8 oder höher. • Ein VLAN-fähiger Switch. 3.2 Konfiguration 28 Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH 3.2.1 Konfiguration der Drahtlosnetzwerke Damit sich die Clients über Ihren Access Point mit dem Netzwerk verbinden können, müssen Sie auf dem Access Point Drahtlosnetzwerke einrichten. Gehen Sie zur Erstellung von Drahtlosnetzwerken vor wie folgt: (1) Gehen Sie zu Wireless LAN -> WLAN-> Einstellungen Funkmodul. Konfigurieren Sie das Funkmodul, indem Sie den Tabelleneintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag auf das -Symbol. Abb. 25: Wireless LAN -> WLAN -> Einstellungen Funkmodul -> Relevante Felder im Menü Einstellungen Funkmodul Feld Bedeutung Betriebsmodus Legen Sie fest, in welchem Modus das Funkmodul Ihres Geräts betrieben werden soll. Standardwert ist . Kanal Bestimmen Sie hier den Funkkanal. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Den Betriebsmodus stellen Sie auf %" .( /*". (2) Den Kanal setzen Sie auf z. B. . (3) Bestätigen Sie mit OK. 29 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH Legen Sie anschließend die Drahtlosnetzwerk-Einträge an. (1) Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS)-> Neu. Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten. Abb. 26: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu Relevante Felder im Menü Drahtlosnetzwerke (VSS) Feld Bedeutung Netzwerkname (SSID) Hier geben Sie den Namen des Wireless Netzwerks (SSID) ein. Sichtbar Bestimmen Sie, ob der Netzwerkname sichtbar ist. Sicherheitsmodus Wählen Sie die Verschlüsselung aus. Preshared Key Geben Sie das WPA-Passwort ein. Geben Sie eine ASCII Zeichenfolge mit 8 - 64 Zeichen ein. Gehen Sie folgendermaßen vor: 30 (1) Unter Netzwerkname (SSID) tragen Sie z. B. /** ein. (2) Bei Netzwerkname (SSID) bleibt die Option Sichtbar aktiviert. (3) Den Sicherheitsmodus stellen Sie auf . (4) Im Preshared Key geben Sie z. B. ein. Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH (5) Bestätigen Sie mit OK. Hinweis Um die Sicherheit zu erhöhen, sollten Sie im Schlüssel Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben verwenden. Danach müssen Sie noch das gerade eben konfigurierte Drahtlosnetzwerk aktivieren. Das geschieht in der Übersicht in Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS). Abb. 27: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) Gehen Sie zur Aktivierung vor wie folgt: (1) Klicken Sie bei dem bisher einzigen Listeneintrag unter Aktion auf das Beachten Sie die Status-Spalte. Hier müsste nach kurzer Zeit das -Symbol. -Symbol ange- zeigt werden. Konfigurieren Sie entsprechend neue Einträge für die Drahtlosnetzwerke 0#! und '. Hinweis Achten Sie darauf, dass Sie den verschiedenen Drahtlosnetzwerken verschiedene Preshared Keys zuweisen. Konfigurieren Sie anschließend den Wireless-Adapter der Clients in Ihrem Netzwerk für das entsprechende Drahtlosnetzwerk. 3.2.2 Konfiguration der VLANs Das VLAN /** ist standardmäßig auf Ihrem Gerät vorkonfiguriert. Erstellen Sie nun die VLANs 0#! und '. Gehen Sie in folgendes Menü, um ein VLAN zu erstellen: Workshops (Auszug) 31 3 WLAN - VLAN mit Multi-SSID-WLAN (1) bintec elmeg GmbH Gehen Sie zu LAN -> VLAN -> VLANs -> Neu. Abb. 28: LAN -> VLAN -> VLANs -> Neu Relevante Felder im Menü VLAN konfigurieren Feld Bedeutung VLAN Identifier Geben Sie die Ziffern ein, die das VLAN identifizieren. VLAN-Name Geben Sie einen eindeutigen Namen für das VLAN ein. Möglich ist eine Zeichenkette mit bis zu 32 Zeichen. VLAN-Mitglieder Über die Schaltfläche Hinzufügen können Sie neue Mitglieder hinzufügen und die ausgehende Regel definieren. Gehen Sie folgendermaßen vor: (1) Unter VLAN Identifier geben Sie einen Wert zwischen 1 und 4094 ein, hier z. B. . (2) Bei VLAN-Name geben Sie z. B. 0#! ein. (3) Klicken Sie bei VLAN-Mitglieder auf Hinzufügen und wählen Sie die entsprechende WLAN-Schnittstelle aus, z. B. #. Wählen Sie dafür außerdem unter Ausgehende Regel 1* aus. (4) Klicken Sie bei VLAN-Mitglieder ein weiteres Mal auf Hinzufügen und wählen Sie die LAN-Schnittstelle aus, z. B. . Wählen Sie dafür außerdem unter Ausgehende Regel ,* aus. (5) Klicken Sie auf OK. Gehen Sie analog für die Erstellung des VLANs ' vor. 32 (1) Unter VLAN Identifier geben Sie einen Wert zwischen 1 und 4094 ein, hier z. B. 2. (2) Bei VLAN-Name geben Sie z. B. ' ein. (3) Klicken Sie bei VLAN-Mitglieder auf Hinzufügen und wählen Sie die entsprechende WLAN-Schnittstelle aus, z. B. #. Wählen Sie außerdem unter Ausgehende Regel 1* aus. (4) Klicken Sie bei VLAN-Mitglieder ein weiteres Mal auf Hinzufügen und wählen Sie Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH die LAN-Schnittstelle aus, z. B. . Wählen Sie dafür außerdem unter Ausgehende Regel ,* aus. (5) Klicken Sie auf OK. 3.2.3 Regeln für den Empfang an den Ports festlegen Im Menü Portkonfiguration legen Sie Regeln für den Empfang von Frames an den Ports des VLANs fest. Um den Port VLAN Identifier (PVID) festzulegen, gehen Sie in folgendes Menü: (1) Gehen Sie zu LAN -> VLAN -> Portkonfiguration. Abb. 29: LAN -> VLAN -> Portkonfiguration Relevante Felder im Menü Portkonfiguration Feld Bedeutung PVID (Port VLAN Identi- Weisen Sie dem ausgewählten Port die gewünschte PVID zu. fier) Frames ohne Tag verwerfen Wenn die Option aktiviert ist, werden ungetaggte Frames verworfen. Ist die Option deaktiviert, werden ungetaggte Frames mit der in diesem Menü definierten PVID getaggt. Nicht-Mitglieder verwerfen Wenn die Option aktiviert ist, werden alle getaggten Frames verworfen, die mit einer VLAN ID getaggt sind, in welcher der ausgewählte Port nicht Mitglied ist. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Wählen Sie neben der Schnittstelle # den Port VLAN Identifier (PVID) aus, hier z. B. 0#!. (2) Wählen Sie neben der Schnittstelle # den Port VLAN Identifier (PVID) aus, hier z. B. '. (3) Lassen Sie bei den Schnittstellen und unter Frames ohne Tag verwer- 33 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH fen die Option deaktiviert (kein Haken). Setzen Sie bei den Schnittstellen und unter Nicht-Mitglieder verwerfen einen Haken. (4) Klicken Sie auf OK. 3.2.4 Ports aus VLAN Management entfernen Die Ports, die Sie den VLANs 0#! und ' zugewiesen haben, werden aus dem VLAN /** entfernt. Gehen Sie dazu in folgendes Menü: (1) Gehen Sie zu LAN -> VLAN -> VLANs -> <Management> -> . Abb. 30: LAN -> VLAN -> VLANs -> <Management> -> Relevante Felder im Menü VLAN konfigurieren Feld Bedeutung VLAN Mitglieder Bestimmen Sie die Mitglieder dieses VLANs. Gehen Sie folgendermaßen vor: (1) Klicken Sie bei Schnittstelle # auf das -Symbol. (2) Klicken Sie bei Schnittstelle # auf das -Symbol. (3) Belassen Sie bei Schnittstelle , , und # unter Ausgehende Regel jeweils den Wert 1* . (4) Klicken Sie auf OK. Sie haben nun alle erforderlichen VLANs eingerichtet. Dieses können Sie in der Liste im Menü LAN -> VLAN -> VLANs überprüfen. 34 Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH Abb. 31: VLAN Übersicht 3.2.5 VLAN aktivieren Zum Schluss aktivieren Sie die VLAN-Funktion für die Bridge-Gruppe '" . Gehen Sie dazu in folgendes Menü: (1) Gehen Sie zu LAN -> VLAN -> Verwaltung. Abb. 32: LAN -> VLAN -> Verwaltung Relevante Felder im Menü Bridge-Gruppe br0 VLAN-Optionen Feld Bedeutung VLAN aktivieren Aktivieren Sie das VLAN für die spezifizierte Bridge-Gruppe. Gehen Sie folgendermaßen vor: (1) Aktivieren Sie VLAN aktivieren. (2) Klicken Sie auf OK. 3.2.6 Konfiguration am bintec S128p Der Switch muss analog zum Access Point konfiguriert sein. In Richtung Access Point dürfen nur getaggte (VLAN) Packete verarbeitet werden. In Richtung Server soll das Tagging entfernt werden, da die Server die Packete sonst nicht verarbeiten können. (1) Workshops (Auszug) Starten Sie den Browser und Loggen Sie sich auf dem Switch ein. 35 3 WLAN - VLAN mit Multi-SSID-WLAN (2) Gehen Sie zu Protocol -> VLAN. (3) Wählen Sie bei VLAN Operation Mode 3 aus. (4) Klicken Sie auf Apply. bintec elmeg GmbH Abb. 33: Protocol -> VLAN -> VLAN Configuration Es sind insgesamt 3 VLANs erforderlich, wobei jeweils der Port (Port.01, Port.02, Port.03) und Untagged Vid (1, 102, 103) passend zu setzen sind. Gehen Sie folgendermaßen vor, um die Ports zu konfigurieren: 36 (1) Wählen Sie bei Port " aus. (2) Wählen Sie bei Link Type .( aus. (3) Geben Sie bei Untagged Vid ein. (4) Bestätigen Sie Ihre Eingaben mit Apply. (5) Verfahren Sie analog für die Konfiguration von " ( Untagged Vid ) und " 2 ( Untagged Vid 2) (6) Bestätigen Sie Ihre Eingaben mit Apply. (7) Wählen Sie bei Port " aus. (8) Wählen Sie bei Link Type ,"( .( aus. (9) Geben Sie bei Tagged Vid 4 4 2 ein. Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH (10) Bestätigen Sie Ihre Eingaben mit Apply. Die fertige Konfiguration sieht nun wie folgt aus: Abb. 34: Protocol -> VLAN -> VLAN Configuration Kontrolle Um die Konfiguration zu überprüfen, rufen Sie die Eingabeaufforderung auf einem Rechner auf und geben Sie einen Ping auf das zentrale Netz ab: z. B. Sie müssen dann folgende Meldung erhalten: Workshops (Auszug) 37 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH 3.3 Ergebnis Sie haben für die WLAN-Clients in Ihrem Netzwerk verschiedene Drahtlosnetzwerke eingerichtet. Das gesamte Netzwerk wurde in verschiedene VLANs segmentiert. 3.4 Kontrolle Um die Konfiguration zu überprüfen, rufen Sie die Eingabeaufforderung z. B. auf dem Rechner Dev-PC1 (192.168.200.50) auf und geben Sie einen Ping auf den Dev-Server (192.168.200.1) ab: z. B. Sie müssten dann folgende Meldungen erhalten: 3.5 Konfigurationsschritte im Überblick Access Point aktivieren Feld Menü Wert Betriebsmodus Wireless LAN -> WLAN -> %" Einstellungen Funkmodul - .( /*" > Kanal Wireless LAN -> WLAN -> z. B. Einstellungen Funkmodul > Drahtlosnetzwerke einrichten 38 Feld Menü Wert Netzwerkname (SSID) Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu /**; Sichtbar bleibt aktiviert Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH Feld Menü Wert Sicherheitsmodus Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu Preshared Key Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu Aktion Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ><Management> Netzwerkname (SSID) Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu 0#!; Sicherheitsmodus Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu Preshared Key Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu 0# Aktion Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ><Development> Netzwerkname (SSID) Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu '; Sicherheitsmodus Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu Preshared Key Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > Neu Aktion Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > <Public> Sichtbar bleibt aktiviert Sichtbar bleibt aktiviert VLANs konfigurieren Workshops (Auszug) Feld Menü Wert VLAN Identifier LAN -> VLAN -> VLANs -> Neu z. B. VLAN-Name LAN -> VLAN -> VLANs -> z. B. 0#! 39 3 WLAN - VLAN mit Multi-SSID-WLAN Feld bintec elmeg GmbH Menü Wert Neu VLAN-Mitglieder LAN -> VLAN -> VLANs -> Neu mit Hinzufügen z. B. # Ausgehende Regel LAN -> VLAN -> VLANs -> Neu 1* für # VLAN-Mitglieder LAN -> VLAN -> VLANs -> Neu mit Hinzufügen z. B. Ausgehende Regel LAN -> VLAN -> VLANs -> Neu ,* für VLAN Identifier LAN -> VLAN -> VLANs -> Neu z. B. 2 VLAN-Name LAN -> VLAN -> VLANs -> Neu z. B. ' VLAN-Mitglieder LAN -> VLAN -> VLANs -> Neu mit Hinzufügen z. B. # Ausgehende Regel LAN -> VLAN -> VLANs -> Neu 1* VLAN-Mitglieder LAN -> VLAN -> VLANs -> Neu mit Hinzufügen z. B. Ausgehende Regel LAN -> VLAN -> VLANs -> Neu ,* für # für Port VLAN Identifier (PVID) festlegen Feld Menü Wert Port VLAN Identifier (PVID) LAN -> VLAN -> Portkonfiguration bei Schnittstelle # z. B. 0#! ; bei Schnittstelle # z. B. ' Nicht-Mitglieder verwerfen LAN -> VLAN -> Portkonfiguration Haken setzen bei Schnittstelle und Ports aus VLAN Management entfernen Feld Menü VLAN-Mitglieder LAN -> VLAN -> VLANs -> <Management>-> Wert bei Schnittstelle # und # VLANs aktivieren 40 Workshops (Auszug) 3 WLAN - VLAN mit Multi-SSID-WLAN bintec elmeg GmbH Workshops (Auszug) Feld Menü Wert VLAN aktiveren LAN -> VLAN -> Verwaltung (#" 41 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Kapitel 4 WLAN - bintec Hotspot Solution 4.1 Einleitung Die bintec Hotspot Solution ermöglicht die Bereitstellung von öffentlichen Internetzugängen. Die Lösung ist geeignet zum Aufbau kleinerer und größerer Hotspot-Lösungen für Cafes, Hotels, Unternehmen, Wohnheime, Campingplätze usw. Die bintec Hotspot Solution besteht aus einem vor Ort installierten bintec RS232jw der als Gateway dient, und aus dem Hotspot-Server, der zentral in einem Rechenzentrum steht. Über ein Administrations-Terminal (z. B. dem Rezeptions-PC im Hotel) wird das Betreiber-Konto auf dem Server verwaltet, wie z. B. Erfassung von Registrierungen, Erzeugung von Tickets, statistische Auswertung usw. Abb. 35: Funktionsweise Ablauf der Anmeldeprozedur am Hotspot-Server • Wenn sich ein neuer Benutzer mit dem Hotspot (bintec RS232jw) verbindet, bekommt er über DHCP automatisch eine IP-Adresse zugewiesen. • Sobald er versucht eine beliebige Internetseite mit seinem Browser zu öffnen, wird der Benutzer auf die Start/Login-Seite umgeleitet. • Nachdem der Benutzer die Anmeldedaten (Benutzer/Passwort) eingegeben hat, werden diese als RADIUS-Anmeldung an den zentralen RADIUS-Server (Hotspot-Server) gesendet. • Nach erfolgreicher Anmeldung gibt das Gateway den Internetzugang frei. • Das Gateway sendet für jeden Benutzer regelmäßig Zusatzinformationen an den RADI- 42 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH US-Server um das Accounting zu realisieren. • Nach Ablauf des Tickets wird der Benutzer automatisch abgemeldet und wieder auf die Start/Login-Seite umgeleitet. Voraussetzungen Um einen Hotspot betreiben zu können, benötigt der Kunde: • einen Router der RXL-, R- oder RS-Serie (z. B. bintec RS232jw) oder ein Gerät der WSerie (z. B. bintec W2003n) im Routermode als Gateway. Das Gerät benötigt Release 9.1.2 oder höher • bintec Hotspot Hosting (Artikelnummer 5510000198 oder 5510000197) • Zugangsdaten • Dokumentation • Software-Lizenzierung Beachten Sie bitte, dass Sie die Lizenz zuerst freischalten müssen. - Gehen Sie auf www.bintec-elmeg.com zu Service -> Online Services -> HotSpot Solution Lizenzierung -> Formular HotSpot Lizenzierung. - Tragen Sie die erforderlichen Daten ein (beachten Sie dazu die Erläuterung auf dem Lizenzblatt) und folgen Sie den Anweisungen der Online-Lizenzierung. - Sie erhalten daraufhin die Login-Daten des Hotspot-Servers. Hinweis Die Freischaltung kann etwa 2 - 3 Werktage in Anspruch nehmen. Zugangsdaten zur Konfiguration des Gateways Workshops (Auszug) RADIUS-Server IP 62.245.165.180 RADIUS-Server Password Wird von der bintec elmeg GmbH festgelegt Domain Wird kundenindividuell vom Kunden / Fachhändler festgelegt Walled Network Wird kundenindividuell vom Kunden / Fachhändler festgelegt Walled Server URL Wird kundenindividuell vom Kunden / Fachhändler festgelegt 43 4 WLAN - bintec Hotspot Solution Terms & Condition URL bintec elmeg GmbH Wird kundenindividuell vom Kunden / Fachhändler festgelegt Zugangsdaten zur Konfiguration des Hotspot Servers Admin URL https://hotspot.bintec-elmeg.com/ Username Wird von der bintec elmeg GmbH individuell festgelegt Password Wird von der bintec elmeg GmbH individuell festgelegt 4.2 Leistungsmerkmale 4.2.1 Merkmale der Hotspot Solution • Alternativ als Free-Service oder mit einem zeit- oder volumenbasierten Ticketsystem • Freie Werbe-Webseiten, die ohne Registrierung erreichbar sind (Walled Garden Pages) • Sowohl für WLAN als auch für drahtgebundene LAN-Benutzer einsetzbar • Das System ist filialfähig, das bedeutet, dass z. B. eine Cafe- oder Restaurantkette das System an verschiedenen Standorten anbieten und dabei zentral verwalten kann. Dabei kann ein ausgestelltes Ticket an einem anderen Standort weiterverwendet werden. • Abhängig von der verwendeten Router-Hardware ausgelegt für bis zu 250 gleichzeitige Hotspot-Benutzer • Für den Benutzer des Systems besteht eine Registrierungspflicht 44 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH 4.2.2 Merkmale des Gateways • Benutzer-Anmeldung einfach per Webbrowser • Umleitung auf eine Betreiber-spezifische Login-Seite beim ersten Zugriff • Anmeldung über RADIUS-Authentifizierung • Mehrfach-Anmeldungen eines Benutzers sind ausgeschlossen. • Zeitguthaben bleiben erhalten, wenn der Benutzer sich abmeldet oder die Verbindung unterbricht. • Automatisches Ausloggen der Hotspot-Benutzer bei Inaktivtät oder wenn vergessen wird, sich abzumelden. • Der Benutzer muss bei der Anmeldung die allgemeinen Geschäftsbedingungen (AGB) aktiv bestätigen. Muster-AGB finden Sie im Downloadbereich der bintec Hotspot Solution unter www.bintec-elmeg.com . • Der Anmeldeprozess kann optional über SSL verschlüsselt werden. 4.2.3 Merkmale des Hotspot-Servers • Der Server ist mandantenfähig, das heißt, es gibt für alle bintec-Kunden nur einen Server. • Für jeden Kunden können mehrere Standorte eingerichtet werden (Filial-Unterstützung). • Für jeden Kunden können mehrere Tarife eingerichtet werden (z. B. Tagesticket, Stundenticket, Volumenticket). • Jeder Kunde hat einen eigenen Administrationsbereich zum Erstellen und Verwalten der Tickets. • Druckfunktion für die Benutzer-Tickets 4.3 Konfiguration Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • ein Router der RXL-, R- oder RS-Serie (z. B. bintec RS232jw) oder ein Gerät der WSerie (z. B. bintec W2003n) im Routermodus als Gateway. Das Gerät benötigt Systemsoftware 9.1.2 oder höher. • Internetzugang, entweder über LAN, DSL oder andere Anbindungen • Webspace für eine individuelle Start/Login-Seite, für die Walled Garden Pages und für Workshops (Auszug) 45 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH die allgemeinen Geschäftsbedingungen. Dieser Webspace kann auf einem öffentlichen Server liegen oder auch lokal im Intranet. • Freigeschalteter Account auf dem zentralen bintec Hotspot Server 4.3.1 Konfiguration des bintec Hotspot-Gateways Die Konfiguration Ihres Geräts wird mit dem Graphical User Interface (GUI) durchgeführt. Ihr Gerät ist mit der zum Zeitpunkt der Fertigung verfügbaren Version der Systemsoftware ausgestattet, von der es aktuell ggf. neuere Versionen gibt. Eine Aktualisierung können Sie bequem mit dem GUI im Menü Wartung -> Software & Konfiguration vornehmen. Sprache konfigurieren Die Sprache für die Start/Login-Seite können Sie im Menü Lokale Dienste -> HotspotGateway -> Hotspot-Gateway -> Neu auswählen. Abb. 36: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu Relevantes Feld im Menü Hotspot-Gateway 46 Feld Beschreibung Sprache für Anmeldefenster Wählen Sie die Sprache für die Start/Login-Seite aus. Folgende Spachen werden unterstützt: 5, 0, Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung -*, 6"*78, !* , " und $ "9 . Die Sprache kann auf der Start/Login-Seite jederzeit umgestellt werden. Zeitzone einstellen Die Systemzeit benötigen Sie u. a. für korrekte Zeitstempel bei Systemmeldungen oder Gebührenerfassung. Gehen Sie dazu in folgendes Menü: (1) Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit. Abb. 37: Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit Hinweis Wenn auf dem Gerät eine Methode zum automatischen Beziehen der Zeit festgelegt ist, haben die auf diese Weise erhaltenen Werte die höhere Priorität. Eine evtl. manuell eingegebene Systemzeit wird überschrieben. Relevante Felder im Menü Datum und Uhrzeit Workshops (Auszug) 47 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Zeitzone Das System ist auf MEZ umzustellen. Um eine synchrone Systemzeit zu garantieren, ist eine aktuelle Systemzeit für den Betrieb notwendig. ISDN-Zeitserver Hier legen Sie fest, ob die Zeitinformation, die an einer eingehenden ISDN-Verbindung empfangen wird, zur Aktualisierung der Systemzeit benutzt wird. System als Zeitserver Hier wählen Sie aus, ob der interne Zeitserver verwendet werden soll. Gehen Sie folgendermaßen vor, um die Zeitzone einzustellen: (1) Wählen Sie im Feld Zeitzone 5"!%" aus. (2) Deaktivieren Sie ISDN-Zeitserver. (3) Deaktivieren Sie System als Zeitserver. Zeitanfragen eines Clients werden nicht beantwortet. (4) Bestätigen Sie mit OK. Deaktivieren der lokalen Kommunikation Wenn Sie Ihr Gerät im Access-Point-Modus betreiben ( Wireless LAN -> WLAN -> Einstellungen Funkmodul -> mit Betriebsmodus = ), können Sie im Menü Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu neue Drahtlosnetzwerke einrichten. Im Folgenden wird die lokale Kommunikation zwischen den einzelnen über WLAN verbundenen Hotspot-Benutzern auf WLAN-Ebene verhindert. (1) 48 Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> . Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 38: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Relevantes Feld im Menü Drahtlosnetzwerke (VSS) Feld Beschreibung Intra-cell Repeating Hier wählen Sie aus, ob die Kommunikation zwischen den über WLAN-verbundenen Hotspot-Benutzern innerhalb einer Funkzelle erlaubt sein soll. Gehen Sie folgendermaßen vor: (1) Deaktivieren Sie Intra-cell Repeating. (2) Bestätigen Sie mit OK. RADIUS-Server-Zugriff konfigurieren Für den Zugang zum RADIUS-Server müssen zwei Einträge erzeugt werden. Der RADUISServer ist Bestandteil des zentralen bintec Hotspot Servers. Die notwendigen Daten für die RADIUS-Server-Anmeldung, also IP-Adresse und Passwort, haben Sie mit den Freischaltungs-Unterlagen erhalten. Im Menü Systemverwaltung -> Remote Authentifizierung -> RADIUS wird eine Liste aller eingetragenen RADIUS-Server angezeigt. Um den ersten Eintrag zu konfigurieren, gehen Sie in folgendes Menü: (1) Workshops (Auszug) Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu. 49 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 39: Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Relevante Felder im Menü RADIUS Feld Beschreibung Authentifizierungstyp Hier wählen Sie aus, wofür der RADIUS-Server verwendet werden soll. Betreibermodus Wählen Sie bei Betreibermodus den Anbieter aus. Server-IP-Adresse Geben Sie die IP-Adresse des RADIUS-Servers ein, die Sie mit Ihren Freischaltungs-Unterlagen erhalten haben. RADIUS-Passwort Geben Sie das Passwort ein, das Sie mit Ihren Freischaltungs-Unterlagen erhalten haben. Priorität Wenn mehrere RADIUS-Server-Einträge angelegt wurden, wird der Server mit der obersten Priorität als erstes verwendet. Wenn dieser Server nicht antwortet, wird der Server mit der nächstniedrigeren Priorität verwendet usw. Richtlinie Hier stellen Sie ein, wie Ihr Gerät reagieren soll, wenn eine negative Antwort auf eine Anfrage eingeht. Mögliche Werte: 50 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung • $ #"' : Eine negative Antwort auf eine Anfrage wird nicht akzeptiert. Der nächste RADIUS-Server wird angefragt, bis Ihr Gerät eine Antwort von einem als :" ' konfigurierten Server erhält. • :"' : Eine negative Antwort auf eine Anfrage wird akzeptiert. Gehen Sie folgendermaßen vor: (1) Wählen Sie bei Authentifizierungstyp aus. (2) Wählen Sie bei Betreibermodus ' ;! "#" aus. (3) Tragen Sie die Server-IP-Adresse ein, hier z. B. << . (4) Tragen Sie das RADIUS-Passwort ein, z. B. . (5) Setzen Sie die Priorität auf . (6) Wählen Sie bei Richtlinie $ #"' aus. (7) Bestätigen Sie mit OK. Um den zweiten Eintrag zu konfigurieren, gehen Sie in folgendes Menü: (1) Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu. Abb. 40: Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Relevante Felder im Menü RADIUS Workshops (Auszug) 51 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Authentifizierungstyp Hier wählen Sie aus, wofür der RADIUS-Server verwendet werden soll. Server-IP-Adresse Geben Sie die IP-Adresse des RADIUS-Servers ein, die Sie mit Ihren Freischaltungs-Unterlagen erhalten haben. RADIUS-Passwort Geben Sie das Passwort ein, das Sie mit Ihren Freischaltungs-Unterlagen erhalten haben. Priorität Wenn mehrere RADIUS-Server-Einträge angelegt wurden, wird der Server mit der obersten Priorität als erstes verwendet. Wenn dieser Server nicht antwortet, wird der Server mit der nächstniedrigeren Priorität verwendet usw. Richtlinie Hier stellen Sie ein, wie Ihr Gerät reagieren soll, wenn eine negative Antwort auf eine Anfrage eingeht. Gehen Sie folgendermaßen vor: (1) Wähle Sie bei Authentifizierungstyp .+7" aus. (2) Tragen Sie die Server-IP-Adresse ein, hier z. B. << . (3) Tragen Sie das RADIUS-Passwort ein, z. B. . (4) Setzen Sie die Priorität auf . (5) Wählen Sie bei Richtlinie $ #"' aus. (6) Bestätigen Sie mit OK. Hinzufügen einer Host Access Authentication Regel Im Menü Hotspot-Gateway konfigurieren Sie das vor Ort installierte bintec Gateway für die bintec Hotspot Solution. Im Menü Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway wird eine Liste aller konfigurierter Hotspot-Netzwerke angezeigt. 52 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 41: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway Mit der Option Aktiviert können Sie den entsprechenden Eintrag aktivieren bzw. deaktivieren. Hotspot-Netzwerke konfigurieren Im Menü Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> konfigurieren Sie die Hotspot Netzwerke. Wählen Sie die Schaltfläche Neu um weitere Hotspot Netzwerke einzurichten. (1) Workshops (Auszug) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu. 53 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 42: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu Relevante Felder im Menü Hotspot-Gateway Feld Beschreibung Schnittstelle Wählen Sie die Schnittstelle aus, an welcher der Hotspot angeschlossen ist. Bei einem Betrieb über LAN muss hier beispielsweise die Schnittstelle en1-0 ausgewählt werden. Achtung Die Konfiguration Ihres Geräts ist aus Sicherheitsgründen nicht über eine Schnittstelle möglich, die für den Hotspot konfiguriert ist. Wählen Sie hier daher sorgfältig die Schnittstelle aus, die Sie für den Hotspot nutzen wollen! Wenn Sie hier die Schnittstelle auswählen, über welche die aktuelle Konfigurationssitzung stattfindet, geht die aktuelle Verbindung verloren. Sie müssen sich dann über eine erreichbare, nicht für den Hotspot konfigurierte Schnittstelle zur weiteren Konfiguration Ihres Geräts erneut anmelden. Domäne am Hotspot-Ser- Hier wird der gleiche Domänenname angegeben, der bei der 54 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung ver Einrichtung des Hotspot-Servers verwendet wurde. Der Domänenname wird Ihnen nach der Freischaltung der Hotspot-Lizenz zugesandt. Walled Garden Aktivieren Sie diese Funktion, wenn Sie einen abgegrenzten und kostenfreien Bereich von Webseiten (Intranet) definieren wollen. Standardmäßig ist die Funktion deaktiviert. Hinweis Für weiterführende Informationen siehe Kapitel Einrichtung der Walled Garden Pages auf Seite 76 Walled Network / Netzmaske Geben Sie die Netzadresse des Walled Network und die entsprechende Netzmaske des Intranet-Servers ein. Für den aus Walled Network / Netzmaske resultierenden Adressraum benötigen die Clients keine Authentifizierung. Beispiel: Geben Sie 192.168.0.0 / 255.255.255.0 ein, sind alle IP-Adressen von 192.168.0.0 bis 192.168.0.255 frei. Geben Sie 192.168.0.1 / 255.255.255.255 ein, ist nur die IP-Adresse 192.168.0.1 frei. Workshops (Auszug) Walled Garden URL Zeigt die Startseite auf dem Intranet-Server bzw. öffentlichen Server an, z. B. http://www.webserver.de/index.htm oder 192.168.0.1/index.htm. Diese HTML-Seite ist die Webseite, die im rechten Fenster des Anmelde-Frames angezeigt wird. Wenn das Feld für die Walled Server URL leer gelassen wird, so wird anstatt eines Frames nur die Anmeldeseite angezeigt. Die URL und die damit verbundene IP-Adresse muss im Adressraum des Walled Network liegen. Geschäftsbedingungen Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der allgemeinen Geschäftsbedingungen auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. http://www.webserver.de/agb.htm. Die entsprechende Seite muss im Adressraum des Walled Garden Networks liegen. 55 4 WLAN - bintec Hotspot Solution Feld bintec elmeg GmbH Beschreibung Zusätzliche, frei zugäng- Fügen Sie mit Hinzufügen weitere URLs oder IP-Adressen hinliche Domänennamen zu, die ohne Authentifizierung erreichbar sind. Sprache für Anmeldefenster Wählen Sie die Sprache der Start/Login-Seite aus. Folgende Sprachen werden unterstützt: 5, 0, -**, 6"*=*, 5!*>, "? und $ " * . Die Sprache kann auf der Start/Login-Seite jederzeit umgestellt werden. Tickettyp Wählen Sie den Tickettyp aus. Mögliche Werte: • :" : Wählen Sie diese Option, wenn die Hotspot-Benutzer sich nur mit ihrem Benutzernamen am Hotspot anmelden sollen. Das zur Authentifizierung am Hotspot-Server benötigte Passwort definieren Sie in dem editierbaren Eingabefeld für alle Benutzer. • %7"**@" (Standardwert): Wählen Sie diese Option, wenn jeder Hotspot-Benutzer sich mit seinem Benutzernamen und Passwort am Hotspot anmelden soll. Zulässiger Hotspot-Client Hier legen Sie fest, welche Art von Benutzern sich am Hotspot anmelden dürfen. Mögliche Werte: • : Alle Clients werden zugelassen. • 0;: Verhindert die Anmeldung von Benutzern, die keine IP-Adresse mittels DHCP erhalten haben. Anmeldefenster Aktivieren oder deaktivieren Sie das Standard-Anmeldefenster. Ist die Option aktiviert, wird die HTML-Startseite mit Anmelde-Frame und Walled Garden Frame verwendet. Ist die Option deaktiviert, wird nur die Webseite der Walled Garen URL angezeigt. Standardmäßig ist die Funktion aktiv. 56 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Hinweis Für weiterführende Informationen siehe Kapitel Nutzung des Hotspots ohne HTML-Anmelde-Frameset auf Seite 77 Gehen Sie folgendermaßen vor, um Hotspot-Netzwerke zu konfigurieren: (1) Wählen Sie unter Schnittstelle .$A: aus. (2) Tragen Sie die Domäne am Hotspot-Server ein, z. B. BC7' . (3) Aktivieren Sie Walled-Garden. (4) Aktivieren Sie Walled Network / Netzmaske und tragen Sie eine IP-Adresse und Netzmaske ein, z. B. <<<<<< . (5) Tragen Sie die Walled Garden URL ein, z. B. !)@@@@'"#" B. (6) Tragen Sie die URL für die Geschäftsbedingungen ein, z. B. !)@@@@'"#" *'. (7) Legen Sie bei Sprache für Anmeldefenster die Sprache für die Start/Login-Seite fest, z. B. 0. (8) Belassen Sie den Tickettyp auf %7"**@". (9) Wählen Sie bei Zulässiger Hotspot-Client aus. (10) Belassen Sie das Anmeldefenster auf (#. (11) Bestätigen Sie mit OK. Lokale Dienste einschränken Es wird empfohlen, die lokalen Dienste außer dhcp, dns, http, http(SSL) sowie eventuell. time und ntp einzuschränken. Die Kommunikation zwischen den Clients auf IP-Ebene sollte zusätzlich über SIF-Regeln verhindert werden. (1) Workshops (Auszug) Gehen Sie dazu zu Firewall -> Richtlinien -> Filterregeln-> Neu. 57 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 43: Firewall -> Richtlinien -> Filterregeln -> Neu Relevante Felder im Menü Filterregeln Feld Beschreibung Quelle Wählen Sie einen der vorkonfigurierten Aliase für die Quelle des Pakets aus. In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall -> Schnittstellen -> Gruppen), Adressen (siehe Firewall -> Adressen -> Adressliste) und Adressgruppen (siehe Firewall -> Adressen -> Gruppen) zur Auswahl. Der Wert $D bedeutet, dass weder Quell-Schnittstelle noch Quell-Adresse überprüft werden. Ziel Wählen Sie einen der vorkonfigurierten Aliase für das Ziel des Pakets aus. In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall -> Schnittstellen ->Gruppen), Adressen (siehe Firewall -> Adressen -> Adressliste) und Adressgruppen (siehe Firewall -> Adressen -> Gruppen) zur Auswahl. Der Wert $D bedeutet, dass weder Ziel-Schnittstelle noch Ziel-Adresse überprüft werden. Dienst Wählen Sie einen der vorkonfigurierten Dienste aus, dem das zu filternde Paket zugeordnet sein muss. Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfi- 58 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung guriert, unter anderem: • *C • ! • • ! • ! • ! • • Weitere Dienste werden in Firewall -> Dienste -> Diensteliste angelegt. Außerdem stehen die in Firewall -> Dienste -> Gruppen konfigurierten Dienstegruppen zur Auswahl. Aktion Wählen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll. Möglichen Werte: • E"++ (Standardwert): Die Pakete werden entsprechend den Angaben weitergeleitet. • :"@" : Die Pakete werden abgewiesen. • E"F(@ : Die Pakete werden abgewiesen. Eine Fehlermeldung wird an den Sender des Pakets ausgegeben. QoS anwenden Nur für Aktion = E"++ Wählen Sie aus, ob Sie QoS für diese Richtlinie mit der in Priorität ausgewählten Priorität aktivieren möchten. Mit (#" wird die Funktion aktiv. Standardmäßig ist die Option nicht aktiv. Wenn QoS für diese Richtlinie nicht aktiv ist, beachten Sie, dass auch sendeseitig keine Priorisierung der Daten erfolgen kann. Eine Richtlinie, für die QoS aktiviert wurde, ist auch für die Firewall eingestellt. Beachten Sie daher, dass Datenverkehr, der Workshops (Auszug) 59 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung nicht ausdrücklich zugelassen wurde, von der Firewall geblockt wird! Priorität Nur für QoS anwenden = (#" Wählen Sie aus, mit welcher Priorität die von der Richtlinie spezifizierten Daten sendeseitig behandelt werden. Mögliche Werte: • (Standardwert): Keine Priorität. • .@ .*C: Low Latency Transmission (LLT), d. h. Behandlung der Daten mit der geringstmöglichen Latenz, z. B. geeignet für VoIP-Daten. • ; • / • $ " Gehen Sie folgendermaßen vor, um die lokalen Dienste einzuschränken: (1) Wählen Sie bei Quelle .$A: aus. (2) Wählen Sie bei Ziel z. B. .$A5$ aus. (3) Wählen Sie den Dienst aus, z. B. !. (4) Wählen Sie bei Aktion E"++ aus. (5) Aktivieren Sie QoS anwenden. (6) Setzen Sie die Priorität auf . (7) Bestätigen Sie mit OK. Gehen Sie analog für die Einstellungen weiterer Dienste vor. Die fertige Konfiguration sieht dann z. B. folgendermaßen aus: 60 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 44: Firewall -> Richtlinien -> Filterregeln Installation eines SSL-Zertifikats (Optional) Das Gateway bintec RS232jw hat standardmäßig ein Zertifikat für die Bereitstellung der SSL-Anmeldeseiten. Dieses Zertifikat hat jedoch keine gültige Signatur, daher wird dem Benutzer bei jedem Aufruf der SSL-Anmeldeseite ein Warnhinweis angezeigt. Um diesen Warnhinweis zu verhindern, muss ein eigenes, von einer CA signiertes Zertifikat, auf dem Gateway installiert werden. Gehen sie in folgendes Menü, um Ihr eigenes signiertes Zertifikat in das Hotspot-Gateway zu importieren: (1) Gehen SIe zu Systemverwaltung -> Zertifikate -> Zertifikatsliste -> Importieren. Abb. 45: Systemverwaltung -> Zertifikate -> Zertifikatsliste -> Importieren Relevante Felder im Menü Zertifikatsliste Workshops (Auszug) Feld Beschreibung Externer Dateiname Geben Sie den Dateipfad und -namen des Zertifikats ein, welches importiert werden soll oder wählen Sie die Datei mit Durchsuchen... über den Dateibrowser aus. 61 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Lokale Zertifikatsbeschreibung Geben Sie eine eindeutige Bezeichnung für das Zertifikat ein. Dateikodierung Wählen Sie die Art der Kodierung, so dass Ihr Gerät das Zertifikat dekodieren kann. Mögliche Werte: • (Standardwert): Aktiviert die automatische Kodiererkennung. Falls der Zertifikat-Download im Auto-Modus fehlschlägt, versuchen Sie es mit einer bestimmten Kodierung. • %* • %9" Passwort Um Zertifikate für Ihre Schlüssel zu erhalten, benötigen Sie möglicherweise ein Passwort. Tragen Sie das Passwort hier ein. Gehen Sie folgendermaßen vor, um das eigene Zertifikat zu importieren: (1) Wählen Sie unter Externer Dateiname über die Durchsuchen...-Schaltfläche die Datei mit dem Zertifikat aus, die Sie von der CA erhalten haben, z. B. )G!A". (2) Geben Sie unter Lokale Zertifikatsbeschreibung eine Beschreibung ein, z. B. ;!. (3) Bestätigen Sie mit OK. Hinweis Wenn der WAN-Zugang auf Ihrem Gerät mittels Load Balancing erfolgt, d. h. Sie haben mehrere WAN-Schnittstellen gleicher Priorität, müssen Sie eine zusätzliche Hostroute zum Hotspot-Server anlegen. Für die Kommunikation mit dem RADIUS-Hotspot-Server muss daher eine WANSchnittstelle definiert werden. Gehen Sie dazu in folgendes Menü: (1) 62 Gehen Sie zu Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 46: Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu Relevante Felder im Menü IP-Routen Feld Beschreibung Routentyp Hier wählen Sie die Art der Route aus. Eine Hostroute greift vor einer Netzwerk- oder Standardroute. Schnittstelle Wählen Sie die Schnittstelle aus, über die der Router mit dem RADIUS-Hotspot-Server kommunizieren soll. ZielIP-Adresse/Netzmaske Geben Sie hier die öffentliche IP-Adresse des RADIUS-Hotspot-Servers ein. Gehen Sie folgendermaßen vor, um eine zusätzliche Hostroute anzulegen: (1) Wählen Sie bei Routentyp ;H F'" aus. (2) Wählen Sie bei Schnittstelle $A0.A aus. (3) Tragen Sie bei Ziel-IP-Adresse/Netzmaske z. B. << ein. (4) Bestätigen Sie mit OK. Abschluss der Konfiguration Speichern Sie die Konfiguration. Der bintec Hotspot kann nun über die WLAN-Schnittstelle genutzt werden. Falls auch eine Nutzung über die LAN-Schnittstelle möglich sein soll, so muss das Hotspot Netzwerk für eine weitere Schnittstelle (z. B. en1-0) eingerichtet werden. Bei einer Nutzung über die LAN-Schnittstelle muss die lokale Kommunikation zwischen den einzelnen Hotspot-Benutzern verhindert werden. Hierzu sollten VLAN-Verbindungen zum nachgeschalteten Switch eingerichtet werden. Darüber hinaus ist sicherzustellen, dass die Konfiguration des bintec RS232jw nicht aufrufbar ist. Eine Regulierung über IP ALL Rules bzw. SIF wird Workshops (Auszug) 63 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH empfohlen. 4.3.2 Konfiguration des bintec Hotspot-Servers durch einen Fachhändler Ein Fachhändler / Dienstleister, der einen bintec Hotspot-Dienst einrichten möchte, erhält bei Bestellung die Zugangsdaten für einen Administratorzugang. Dieser Zugang ermöglicht es dem Dienstleister, alle relevanten Konfigurationen und Voreinstellungen für seine Kunden vorzunehmen. Folgende Einstellungen und Konfigurationen müssen Sie als Fachhändler festlegen: • Mandanten-Profil ergänzen • Standort anlegen • Kundenzugang zum Erzeugen der Benutzer-Coupons einrichten • Die gewünschten Tarife anlegen. Mandanten-Profil ergänzen (1) Starten Sie den Web-Browser und rufen Sie die Seite https://hotspot.bintec-elmeg.com auf. (2) Geben Sie Ihren Benutzernamen in das Feld Benutzername des Eingabefensters ein. (3) Geben Sie Ihr Passwort in das Feld Passwort des Eingabefensters ein. (4) Klicken Sie auf die Login-Schaltfläche. Abb. 47: Login Gehen Sie folgendermaßen vor, um das Mandanten-Profil zu bearbeiten: 64 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH (1) Gehen Sie zu Mandant -> Mandant bearbeiten. Abb. 48: Mandant -> Mandant bearbeiten Relevante Felder im Menü Mandant bearbeiten Feld Beschreibung Logo Unter Logo können Sie Ihr Firmenlogo im PNG-Format hinterlegen. Dieses Logo wird auf jedem Ausdruck abgebildet. AGB Unter AGB hinterlegen Sie Ihre firmenspezifischen, allgemeinen Geschäftsbedingungen (AGB) für den Hotspot-Dienst, falls Sie das Default Free Service verwenden (siehe Verwendung von Default Free Service auf Seite 83). Andernfalls legen Sie die allgemeinen Geschäftsbedingungen auf Ihrem eigenen Webspace ab. Gehen Sie folgendermaßen vor: (1) Workshops (Auszug) Wählen Sie bei Logo die Datei mit Datei auswählen über den Dateibrowser aus. 65 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH (2) Wählen Sie bei AGB die Datei mit Datei auswählen über den Dateibrowser aus. (3) Bestätigen Sie mit speichern. Hinweis Wir empfehlen Ihnen für Passwörter den Parameter " E++" zu verwenden, um die Eingabe des Passworts auf Tablet-PCs oder mit verschiedenen Tastaturlayouts zu erleichtern. Weitere Benutzer anlegen Im Menü Benutzer -> Übersicht wird eine Liste aller Benutzer angezeigt. Als Fachhändler können Sie weitere Benutzer anlegen. Gehen Sie dazu folgendermaßen vor: (1) Gehen Sie zu Benutzer -> Neuer Benutzer. Abb. 49: Benutzer -> Neuer Benutzer Relevante Felder im Menü Neuer Benutzer 66 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Benutzername Hier geben Sie den Namen des Benutzers an. Berechtigungsgruppe Wählen Sie die Berechtigungsgruppe aus. Mögliche Werte: • "*": Der Administrator kann Standorte, Benutzer, Tarife und Accounts verwalten, aber keine neuen Mandanten anlegen. • /*"'": Der Mitarbeiter kann nur Accounts verwalten. Diese Einstellung ist zum Beispiel für die Rezeption eines Hotels geeignet. Standort Wählen Sie einen Standort aus, falls mehrere Standorte vorhanden sind. Nachname Hier geben Sie den Nachnamen des Benutzers an. E-Mail Geben Sie die E-Mail-Adresse des Benutzers an. Die Zugangsdaten werden automatisch an die angebene E-Mail-Adresse versendet. Die Felder Benutzername, Nachname und E-Mail sind Pflichtfelder. Gehen Sie folgendermaßen vor: (1) Tragen Sie bei Benutzername z. B. ;AH7! ein. (2) Wählen Sie bei Berechtigungsgruppe /*"'" aus. (3) Tragen Sie bei Nachname eine Bezeichnung ein, z. B. H7!. (4) Tragen Sie die E-Mail-Adresse ein, z. B. I . (5) Bestätigen Sie mit speichern. Tarife anlegen Im Menü Tarif -> Übersicht wird eine Liste aller angelegten Tarife angezeigt. Sie können die vorhandenen Tarife bearbeiten oder neue Tarife anlegen. (1) Workshops (Auszug) Gehen Sie zu Tarif -> Neuer Tarif, um einen neuen Tarif anzulegen. 67 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 50: Tarif -> Neuer Tarif Relevante Felder im Menü Neuer Tarif Feld Beschreibung Kennung Geben Sie hier eine Bezeichnung für den Tarif ein. Laufzeit Geben Sie ggf. die Laufzeit des Tarifs in Minuten ein. Zeiteinheit (Laufzeit) Wählen Sie die Zeiteinheit für die Laufzeit aus. Mögliche Werte: • * • 9 • @8 • * Volumen Geben Sie ggf. das Volumen des Tarifs in MB ein. Zeiteinheit (Laufzeit) Wählen Sie die Zeiteinheit für das Volumen aus. Mögliche Werte: • * • 9 • @8 • * Gültig bis 68 Geben Sie ein Enddatum für die Laufzeit des Zeit- bzw. Volu- Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung mentarifs an. Das Feld Bezeichnung ist Pflichtfeld. Um einen neuen Tarif anzulegen, gehen Sie folgendermaßen vor: (1) Tragen Sie bei Kennung z. B. / ,( ein. (2) Tragen Sie bei Laufzeit z. B. Minuten ein. (3) Wählen Sie bei Zeiteinheit (Laufzeit) * aus. (4) Tragen Sie den Preis ein, z. B. 4 . (5) Wählen Sie bei Standort aus. (6) Bestätigen Sie mit speichern. Tipp Wenn Sie eine Dauerflatrate einrichten möchten, geben Sie bei Laufzeit Minuten ein und wählen Sie bei Zeiteinheit (Laufzeit) 9 aus. 4.3.3 Verwaltung von Hotspot Accounts Vor Ort können Sie Hotspot Accounts über die Oberfläche https://hotspot.bintec-elmeg.com/ verwalten. Die Anmeldedaten haben Sie per E-Mail erhalten. Erzeugen eines Accounts Sie können ein neues Ticket für einen Hotspot-Benutzer erzeugen. Hier können Sie zwischen einfacher Eingabe und erweiterter Eingabe wählen. Für die einfache Eingabe gehen Sie in folgendes Menü: (1) Workshops (Auszug) Gehen Sie zu Account -> Neuer Account (einfach). 69 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 51: Account -> Neuer Account (einfach) Relevante Felder im Menü Neuer Account (einfach) Feld Beschreibung Benutzername Geben Sie den Benutzernamen ein. Tarif Wählen Sie einen Tarif aus. Die Tarifauswahl kann von Ihrem Administrator erweitert werden. Nachname Geben Sie den Nachnamen ein. Die Felder Benutzername, Tarif und Nachname sind Pflichtfelder. Gehen Sie folgendermaßen vor: (1) Tragen Sie bei Benutzername z. B. &*A< ein. (2) Wählen Sie einen Tarif aus, z. B. ,(. (3) Tragen Sie bei Nachname z. B. .F ein. (4) Bestätigen Sie mit speichern. Für die erweiterte Eingabe gehen Sie in folgendes Menü: (1) 70 Gehen Sie zu Account -> Neuer Account (erweitert). Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 52: Account -> Neuer Account (erweitert) Relevante Felder im Menü Neuer Account (erweitert) Workshops (Auszug) Feld Beschreibung Benutzername Geben Sie den Benutzernamen ein. Tarif Wählen Sie einen Tarif aus. Die Tarifauswahl kann von Ihrem Administrator erweitert werden. Nachname Geben Sie den Nachnamen ein. Passwort Das Passwort wird automatisch erzeugt. MAC-Adresse Die MAC-Adresse kann optional angegeben werden, um die Weitergabe des Accounts zu verhindern, z. B. bei längerfristigen laufenden Accounts. SSID Das Feld SSID ist optional und wird auf dem Ticket ausgedruckt. 71 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Die Felder Benutzername, Nachname und Tarif sind Pflichtfelder. Gehen Sie folgendermaßen vor: (1) Tragen Sie bei Benutzername z. B. &*A ein. (2) Wählen Sie einen Tarif aus, z. B. ,(. (3) Tragen Sie bei Vorname z. B. ;*;'" ein. (4) Tragen Sie bei Nachname z. B. .F ein. (5) Tragen Sie bei Zimmer z. B. ein. (6) Bestätigen Sie mit speichern. Account verwalten Unter Accout können Sie ein neues Ticket für einen Hotspot-Benutzer aktivieren, Konten löschen und die Restlaufzeit ablesen. Sie können außerdem die Zugangsdaten für Ihren Kunden ausdrucken oder eine PDF-Datei erzeugen. (1) Gehen Sie zu Account -> Übersicht um ein neues Ticket zu aktivieren. Abb. 53: Account -> Übersicht Relevantes Feld im Menü Account - Suche 72 Feld Beschreibung Betrag Um einen neu angelegten Benutzer zu aktivieren, müssen Sie auf den Betrag klicken. Die Anzeige wechselt dann auf ' 7*. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH 4.3.4 Betrieb an mehreren Standorten Die bintec Hotspot Solution erlaubt den standortübergreifenden Betrieb eines Hotspots. Dabei können die Hotspot-Benutzertickets zentral oder dezentral verwaltet werden. Es ist möglich Tickets zu erzeugen, die nur für einen bestimmten Standort gelten, und es ist möglich Tickets zu erzeugen, die für alle Standorte gültig sind. Bekanntlich ist der Hotspot-Server zentral angesiedelt und für alle bintec Kunden (Mandanten) identisch. Die Erkennung, welcher Mandant mit dem RADIUS-Server des Hotspot-Server kommuniziert, wird über die sogenannte Domain realisiert. Diese Domain wird bei Aktivierung der Lizenz über das Lizenzportal (www.bintec-elmeg.com Service -> Online Services -> HotSpot Solution Lizenzierung -> Formular HotSpot Lizenzierung) vergeben und bei der Konfiguration des bintec RS232jw eingetragen. Bei einer Lösung mit mehreren Standorten ist diese Domain für alle Standorte identisch. Um die Standorte zu unterscheiden, wird der Parameter H* $*- eingeführt. Aktualisierung des Gateways (z. B. bintec RS232jw) Ihr Gerät ist mit der zum Zeitpunkt der Fertigung verfügbaren Version der Systemsoftware ausgestattet, von der es aktuell ggf. neuere Versionen gibt. Eine Aktualisierung können Sie bequem mit dem GUI im Menü Software & Konfiguration vornehmen. (1) Gehen Sie zu Wartung -> Software & Konfiguration -> Optionen. Abb. 54: Wartung -> Software & Konfiguration -> Optionen Relevante Felder im Menü Optionen Workshops (Auszug) 73 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Aktion Hier wählen Sie die Aktion aus, die Sie ausführen möchten. Quelle Wählen Sie die Quelle für die Aktualisierung aus. Gehen Sie folgendermaßen vor: (1) Wählen Sie bei Aktion C+@*" *(*" aus. (2) Wählen Sie bei Quelle ( +@*" # 1! *"#" aus. (3) Klicken Sie auf Los um die Aktualisierung auszuführen. Konfiguration des Hotspot-Servers Nachdem Sie sich mit den Zugangsdaten unter https://hotspot.bintec-elmeg.com eingeloggt haben, werden Ihnen im Menü Standort -> Übersicht alle eingerichteten Standorte angezeigt. Abb. 55: Standort -> Übersicht Standort bearbeiten Wählen Sie in der Standort Übersicht den * " aus. Sie sehen jetzt eine Detailansicht des Standorts. Hier können Sie den Standort 1 bearbeiten. 74 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 56: Standort bearbeiten Im Menü Standort bearbeiten können Sie zur Host Übersicht wechseln. (1) Gehen Sie zu Host Übersicht. Abb. 57: Host Übersicht Hier wird der NAS-Identifier angezeigt, der bei der Konfiguration des bintec RS232jw benötigt wird. Wenn Sie einen Account oder einen Gutschein erzeugen, haben Sie unter Standort die Wahl zwischen * " und . Wenn Sie hier auswähen, ist der Account für alle Hosts (Standorte) gültig. Workshops (Auszug) 75 4 WLAN - bintec Hotspot Solution (1) bintec elmeg GmbH Gehen Sie zu Gutschein -> Neuer Gutschein, um einen Gutschein zu erzeugen. Abb. 58: Neuer Gutschein 4.3.5 Einrichtung der Walled Garden Pages Bei der Erstanmeldung eines neuen Benutzers oder beim Ablauf des Tickets (negative Prüfung der Authentifizierung) wird jeder Internetzugriff auf die Start/Login-Seite umgeleitet. Dieses Anmeldefenster besteht aus zwei Frames. Der linke Frame stellt das eigentliche Anmelde-Formular dar und wird durch das Gateway erzeugt. Der rechte Frame enthält eine durch den Betreiber des Hotspots frei definierbare Webseite (Walled Garden Page) mit Informationen, Werbung und / oder Links zu frei zugänglichen Webseiten. 76 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 59: Anmeldefenster Der Inhalt des rechten Frames und eine Webseite mit den allgemeinen Geschäftsbedingungen (AGB) muss durch den Betreiber des Hotspots bereitgestellt werden. Dazu muss Webspace entweder auf einem externen Server verfügbar sein oder der Betreiber greift auf einen eigenen Webserver im Intranet zurück. Der Pfad zu den Hotspot-Webseiten, also dem rechten Frameinhalt und der AGB-Seite, muss während der Konfiguration des Gateways definiert werden (die Konfiguration ist unter Konfiguration des bintec Hotspot-Gateways auf Seite 46 beschrieben). Falls der Betreiber weitere frei zugängliche Webseiten anbieten möchte, so müssen diese im gleichen Netzwerk (Subnet) liegen. Falls dies ein Link auf die eigene Webseite ist, sollten die Hotspot-Webseiten ebenfalls dort abgelegt werden. Falls externe Webseiten frei zur Verfügung gestellt werden sollen, muss ein Proxy-Server eingerichtet werden. Zur Einrichtung eines Proxy-Servers sollten Sie sich an einen IT-Dienstleister wenden. 4.3.6 Nutzung des Hotspots ohne HTML-Anmelde-Frameset Das Gateway (z. B. bintec RS232jw, IP-Adresse: 10.0.0.1) der bintec HotSpot Solution stellt normalerweise eine Start/Login-Seite bereit, auf die ein nicht registrierter Benutzer umgeleitet wird, sobald er eine HTML-Seite in seinem Browser aufruft. Workshops (Auszug) 77 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Diese Start/Login-Seite besteht aus einer Anmelde-HTML-Seite links und einer frei definierbaren HTML-Seite (Walled Garden Page) rechts. Die Anmelde-HTML-Seite enthält dabei ein Formular zur Eingabe des Benutzernamens und Passworts. Lesen Sie auch das Kapitel Einrichtung der Walled Garden Pages auf Seite 76. Im Folgenden wird beschrieben, wie Sie eine eigene HTML-Seite mit Formularfeldern zur Anmeldung einrichten. Konfiguration des bintec Hotspot Gateways Folgen Sie den Konfigurationsschritten, wie in Kapitel Konfiguration des bintec HotspotGateways auf Seite 46 beschrieben. Abweichend von der Standard-Konfiguration müssen Sie im Abschnitt Hotspot-Netzwerke konfigurieren die Option Anmeldefenster deaktivieren. (1) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu. Abb. 60: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu Relevante Felder im Menü Hotspot-Gateway 78 Feld Beschreibung Schnittstelle Wählen Sie die Schnittstelle aus, an welcher der Hotspot angeschlossen ist. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Bei einem Betrieb über LAN muss hier beispielsweise die Schnittstelle en1-0 ausgewählt werden. Achtung Die Konfiguration Ihres Geräts ist aus Sicherheitsgründen nicht über eine Schnittstelle möglich, die für den Hotspot konfiguriert ist. Wählen Sie hier daher sorgfältig die Schnittstelle aus, die Sie für den Hotspot nutzen wollen! Wenn Sie hier die Schnittstelle auswählen, über welche die aktuelle Konfigurationssitzung stattfindet, geht die aktuelle Verbindung verloren. Sie müssen sich dann über eine erreichbare, nicht für den Hotspot konfigurierte Schnittstelle zur weiteren Konfiguration Ihres Geräts erneut anmelden. Domäne am Hotspot-Ser- Hier wird der gleiche Domänenname angegeben, der bei der ver Einrichtung des Hotspot-Servers verwendet wurde. Der Domänenname wird Ihnen nach der Freischaltung der Hotspot-Lizenz zugesandt. Walled Garden Aktivieren Sie diese Funktion, wenn Sie einen abgegrenzten und kostenfreien Bereich von Webseiten (Intranet) definieren wollen. Ihre individuelle Start/Login-Seite wird über den Walled-Garden-Mechanismus realisiert. Dabei wird das Anmelde-Frameset auf der linken Seite ausgeblendet. Walled Network / Netzmaske Geben Sie die Netzadresse des Walled Network und die entsprechende Netzmaske des Intranet-Servers ein. Für den aus Walled Network / Netzmaske resultierenden Adressraum benötigen die Clients keine Authentifizierung. Beispiel: Geben Sie 192.168.0.0 / 255.255.255.0 ein, sind alle IP-Adressen von 192.168.0.0 bis 192.168.0.255 frei. Geben Sie 192.168.0.1 / 255.255.255.255 ein, ist nur die IP-Adresse 192.168.0.1 frei. Walled Garden URL Workshops (Auszug) Geben Sie die URL Ihrer individuellen Start/Login-Seite auf dem Intranet-Server bzw. dem öffentlichen Server an, z. B. 79 4 WLAN - bintec Hotspot Solution Feld bintec elmeg GmbH Beschreibung http://www.webserver.de/index.htm oder 192.168.0.1/index.htm. Die URL und die damit verbundene IP-Adresse muss im Adressraum des Walled Network liegen. Geschäftsbedingungen Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. http://www.webserver.de/agb.htm. Die Seite muss im Adressraum des Walled Garden Networks liegen. Zusätzliche, frei zugäng- Fügen Sie mit Hinzufügen weitere URLs oder IP-Adressen hinliche Domänennamen zu, die ohne Authentifizierung erreichbar sind. Sprache für Anmeldefenster Wählt die Sprache der standardmäßigen, zweigeteilten Start/ Login-Seite aus. Falls Sie eine individuelle Start/Login-Seite verwenden, hat die Einstellung der Sprache keine Auswirkungen. Sie können andere Sprachen anbieten, indem Sie von Ihrer Start/Login-Seite auf andere HTML-Seiten verlinken. Tickettyp Wählen Sie den Tickettyp aus. Mögliche Werte: • :" : Wählen Sie diese Option, wenn die Hotspot-Benutzer sich nur mit ihrem Benutzernamen am Hotspot anmelden sollen. Das zur Authentifizierung am Hotspot-Server benötigte Passwort definieren Sie in dem editierbaren Eingabefeld für alle Benutzer. • %7"**@" (Standardwert): Wählen Sie diese Option, wenn jeder Hotspot-Benutzer sich mit seinem Benutzernamen und Passwort am Hotspot anmelden soll. Zulässiger Hotspot-Client Hier legen Sie fest, welche Art von Benutzern sich am Hotspot anmelden dürfen. Mögliche Werte: • : Alle Clients werden zugelassen. • 0;: Verhindert die Anmeldung von Benutzern, die keine IP-Adresse mittels DHCP erhalten haben. 80 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Anmeldefenster Aktivieren oder deaktivieren Sie das Standard-Anmeldefenster. Ist die Option aktiv, wird die HTML-Startseite mit Anmelde-Frame und Walled Garden Frame verwendet. Ist die Option nicht aktiv, wird nur die Webseite der Walled Garen URL angezeigt. Standardmäßig ist die Funktion aktiv. Gehen Sie folgendermaßen vor, um das Hotspot-Netzwerk zu konfigurieren: (1) Wählen Sie unter Schnittstelle .$A: aus. (2) Tragen Sie die Domäne am Hotspot-Server ein, z. B. BC7' . (3) Aktivieren Sie Walled-Garden. (4) Aktivieren Sie Walled Network / Netzmaske und tragen Sie eine IP-Adresse und eine Netzmaske ein, z. B. <<<<<< . (5) Tragen Sie bei Walled Garden URL die URL der individuellen Start/Login-Seite ein, z. B. !)@@@@'"#" . (6) Tragen Sie die URL für die Geschäftsbedingungen ein, z. B. !)@@@@'"#" *' ein. (7) Als Sprache für Anmeldefenster wählen Sie z. B. 0 aus. (8) Belassen Sie den Tickettyp auf %7"**@". (9) Bei Zulässiger Hotspot-Client wählen Sie aus. (10) Deaktivieren Sie Anmeldefenster. (11) Bestätigen Sie mit OK. Start/Login-Seite konfigurieren Workshops (Auszug) 81 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 61: Browseransicht login_ger.htm Bei der Anmeldung wird der Benutzer direkt auf die durch das Feld Walled Garden URL definierte HTML-Seite geleitet. Die HTLM-Login-Seite darf beliebig gestaltet werden, muss aber die folgenden Formularelemente enthalten: • Eingabefeld für den Benutzernamen • Eingabefeld für das Passwort • Auswahlfeld zum Akzeptieren der allgemeinen Geschäftsbedingungen • Schaltfläche zum Senden der Anmeldung Sie können auf der Webseite www.bintec-elmeg.com im Downloadbereich der bintec Hotspot Solution eine HTML-Vorlage herunterladen und das Layout an Ihre Bedürfnisse anpassen. Diese Vorlage steht in deutscher und englischer Sprache zur Verfügung und ist für mobile Browser optimiert. Neben der Bereitstellung des notwendigen HTML-Formulars speichert diese HTML-Seite die Benutzerdaten (Benutzer und Passwort) in einem Cookie. Falls der Hotspot-Benutzer sich zu einem späteren Zeitpunkt erneut anmeldet, braucht er seine Daten nicht erneut einzugeben, sondern muss lediglich auf die Anmelde-Schaltfläche klicken. Sie müssen die HTML-Datei anpassen, um sie verwenden zu können. (1) 82 Öffnen Sie die HTML-Datei in einem HTML-Editor. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 62: Quelltext login_ger.htm Gehen Sie folgendermaßen vor, um die HTML-Datei anzupassen: (1) Ersetzen Sie in Zeile 86 die IP-Adresse < durch die IP-Adresse Ihres Gateways (bintec RS232jw), z. B. . (2) Ersetzen Sie in Zeile 91 die URL !)""#" *' durch die URL mit Ihren allgemeinen Geschäftsbedingungen, z. B. !)@@@@'"#" *'. (3) Sichern Sie Ihre Änderungen. Speichern Sie die HTML-Dateien auf Ihrem Webserver. Die deutsche und englische Vorlage login_ger.htm bzw. login_en.htm verweisen aufeinander und müssen im gleichen Verzeichnis liegen. 4.3.7 Verwendung von Default Free Service Einführung Zum Registrieren eines neuen Hotspot-Benutzers am Hotspot wird ein Benutzername und ein Passwort benötigt, das der Hotspot-Benutzer in die dafür vorgesehenen Feldern der linken Anmeldemaske eingeben muss. Der notwendige Benutzername und das Passwort, der sogenannte Account, kann vom Personal des Betreibers (z. B. Hotelrezeption) über die Administrationsoberfläche des Hotspot-Servers erzeugt werden und kostenlos oder kostenpflichtig an den Hotspot-Benutzer abgegeben werden. Viele Betreiber möchten Ihren Kunden und Gästen den Hotspot-Dienst kostenlos zur Verfügung stellen und gleichzeitig Ihr Personal von der manuellen Erstellung der Accounts entlasten. Für diese Anwendergruppe ist das sogenannte Default Free Service vorhanden. Bei diesem System kann der Hotspot-Benutzer für sich selbst einen „kostenlosen“ Account erstellen. Starten Sie den Web-Browser und rufen Sie die Seite https://hotspot.bintec-elmeg.com auf. Workshops (Auszug) 83 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 63: Account erstellen Nach Verbinden mit dem Hotspot erhält der Gast eine Anmeldemaske, in die er seinen Nachnamen eingeben muss. Daraus erzeugt das System einen Benutzernamen und ein Passwort, das wie gewohnt in die linke Spalte unter Hotspot Anmeldung eingetragen werden muss. Voraussetzungen Normalerweise wird im rechten Teil des Bildschirms eine beliebige vom Betreiber festzulegende Webseite, die sogenannte Walled Garden Page angezeigt. Wenn das Default Free Service genutzt werden soll, wird hier eine vom Hotspot-Server bereitgestellte Seite zur Erzeugung eines Hotspot-Benutzer-Accounts angezeigt. Bei der weiteren Konfiguration gehen wir davon aus, dass bereits ein funktionierender Hotspot eingerichtet wurde und dieser lediglich auf das Default Free Service umgestellt werden soll. Die Konfiguration erfolgt in zwei Schritten. Im ersten Schritt wird das Default Free Service auf dem Hotspot-Server eingerichtet und im zweiten Schritt wird die Walled Garden URL im Hotspot-Gateway angepasst. Hotspot-Server-Konfiguration Nach dem Einloggen als Administrator unter https://hotspot.bintec-elmeg.com wird der gewünschte Standort ausgewählt. (1) 84 Gehen Sie zu Standort -> Übersicht -> Standort 1. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 64: Standort -> Übersicht -> Standort 1 Relevante Felder im Menü Standort bearbeiten Workshops (Auszug) Feld Beschreibung Walled Garden Fahren Sie mit dem Mauszeiger über die grünen Klammern. In der Statuszeile wird Ihnen die Walled URL für die Walled-Garden-Seite angezeigt. Diese URL benötigen Sie bei der Einrichtung des Hotspot-Gateways. Die erste Ziffer hinter dem Domainnamen ist die Kennziffer des Mandanten, in unserem Beispiel die 2. Die zweite Ziffer ist die Kennziffer für den Standort, in unserem Beispiel die . Anmeldemethode Aktivieren Sie Default Free Service indem Sie den Typ von *(#" auf 0+* 6" "# umschalten. Tarif Wählen Sie den Tarif aus, den Sie kostenlos zur Verfügung stellen möchten. Tickets Tickets belassen Sie auf *(#". Dadurch wird ein erstellter Account sofort gültig. 85 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Passwort Wählen Sie aus, ob das Passwort automatisch generiert und angezeigt wird oder ob der Benutzer das Passwort selbst auswählen soll. Mögliche Werte: • * "" *7 • 5' #"( J.''CK: Nach der Erzeugung des Accounts wird das Passwort nicht angezeigt. Dieses Verhalten ist besonders sinnvoll, wenn der Hotspot z. B. ausschließlich auf dem PC in der Lobby eines Hotels verwendet wird und somit mehrere Benutzer den gleichen PC benutzen. HTML-File für die AGB Der Hotspot-Benutzer muss bei der Anmeldung aus rechtlichen Gründen zwingend die Allgemeinen Geschäftsbedingungen (AGB) bestätigen. Dazu muss bei der Konfiguration die URL der HTLM-Seite, welche die AGB enthält, im Hotspot-Gateway hinterlegt werden. Die Terms&Conditions URL (AGB) muss aus technischen Gründen unter der gleichen Netzwerkadresse erreichbar sein wie die Walled Garden URL. Daher ist es notwendig, bei Verwendung des Default Free Service, das AGB-HTML-File auf dem Hotspot-Server abzulegen. (1) 86 Gehen Sie zu Mandant -> Übersicht -> Mandant bearbeiten. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 65: Mandant -> Übersicht -> Mandant bearbeiten Relevantes Feld im Menü Mandant bearbeiten Feld Beschreibung AGB Wählen Sie mit Deitai auswählen die HTML-Datei mit Ihren AGB aus, die Sie hochladen möchten. Wenn Sie auf Aktuelle Datei klicken, wird Ihnen ein neues Browserfenster mit der abgelegten AGB-HTML-Datei angezeigt. So erhalten Sie auch gleich Ihre persönliche URL zu den AGB, die Sie später für die Konfiguration des Hotspot-Gateways benötigen. Hotspot-Gateway-Konfiguration Da Ihr Hotspot bereits betriebsbereit ist, müssen für die entsprechende Schnittstelle (z. B. WLAN) lediglich die Walled Network / Netzmaske, Walled Garden URL und die Geschäftsbedingungen angepasst werden. Da nun sowohl die Walled Garden als auch die Workshops (Auszug) 87 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Geschäftsbedingungen vom Hotspot-Server geliefert werden, muss die Walled Network IP mit der IP des Hotspot-Servers identisch sein. Für alle Mandaten ist das die << . Hinweis Bitte beachten Sie, dass das Hotspot-Gateway während der Konfiguration eine funktionierende Internetverbindung haben muss, da beim Speichern die DNS-Auflösung der Domänennamen geprüft wird. (1) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu. Abb. 66: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu Relevante Felder im Menü Hotspot-Gateway 88 Feld Beschreibung Schnittstelle Wählen Sie die Schnittstelle aus, an der der Hotspot angeschlossen ist. Walled Garden Aktivieren Sie diese Funktion, wenn Sie einen abgegrenzten und kostenfreien Bereich von Webseiten (Intranet) definieren wollen. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Beschreibung Standardmäßig ist die Funktion deaktiviert. Walled Network / Netzmaske Aktivieren Sie diese Funktion und tragen Sie die IP-Adresse des Hotspot-Servers ein. Die IP-Adresse ist immer identisch. Geben Sie hier << / <<<<<<< ein. Walled Garden URL Tragen Sie hier die Walled Garden URL ein, die Ihnen vom Hotspot-Server geliefert wurde. Geschäftsbedingungen Bei Geschäftsbedingungen tragen Sie die URL ein, die Ihnen vom Hotspot-Server geliefert wurde. Sprache für Anmeldefenster Hier können Sie die Sprache für die Start/Login-Seite auswählen. Tickettyp Wählen Sie den Tickettyp aus. Mögliche Werte: • :" : Wählen Sie diese Option, wenn die Hotspot Benutzer sich nur mit ihrem Benutzernamen am Hotspot anmelden sollen. Das zur Authentifizierung am Hotspot Server benötigte Passwort definieren Sie in dem editierbaren Eingabefeld für alle Benutzer. • %7"**@"(Standardwert): Wählen Sie diese Option, wenn jeder Hotspot Benutzer sich mit seinem Benutzernamen und Passwort am Hotspot anmelden soll. Zulässiger Hotspot-Client Hier legen Sie fest, welche Art von Benutzern sich am Hotspot anmelden dürfen. Gehen Sie folgendermaßen vor, um das Hotspot-Gateway zu konfigurieren: Workshops (Auszug) (1) Wählen Sie unter Schnittstelle .$A: aus. (2) Aktivieren Sie Walled Garden. (3) Aktivieren Sie Walled Network / Netzmaske und tragen Sie << <<<<<<< ein. (4) Tragen Sie bei Walled Garden URL z. B. !)@@@!' BL< ein. (5) Tragen Sie bei Geschäftsbedingungen z. B. !)@@@!'*'L< ein. 89 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH (6) Wählen Sie die Sprache für das Anmeldefenster, z. B. 0. (7) Belassen Sie den Tickettyp auf %7"**@". (8) Wählen Sie bei Zulässiger Hotspot-Client 0; aus. (9) Bestätigen Sie mit OK. Bedienung durch den Benutzer Nachdem der Benutzer sich mit dem Hotspot verbunden hat, kann er seinen InternetBrowser öffnen und eine beliebige URL aufrufen. Der Benutzer wird dann automatisch auf die Anmeldeseite umgeleitet. Abb. 67: Account erstellen Geben Sie Ihren Nachnamen ein und klicken Sie auf Abschicken. Falls der Name schon einmal im System registriert worden ist, schlägt das System einen neuen eindeutigen Namen vor, z. B. /"A. 90 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 68: Account Informationen Das System erzeugt nun unter dem gewählten Benutzernamen ein Passwort. Benutzername und Passwort müssen in die linke Anmeldemaske eingetragen werden und es müssen die AGB als gelesen und akzeptiert bestätigt werden. 4.4 Neue Authentifizierungsverfahren Alternativ zu klassischen Anmeldemethode kann der HTML-Frame (außer Default Free Service) des Gateways auch ausgeschaltet werden. Die Anmeldeseite wird dann vom Hotspot-Server bereitgestellt. Merkmale • Drei Designs stehen zur Verfügung (Standard Blau, Standard Grau, Custom). • Das Design der Anmeldeseite ist für PC, Tablet PC und Smart Phones optimiert. Die Darstellung wird je nach Gerät automatisch angepasst. • Die Sprachauswahl funktioniert automatisch und entspricht der Browser-Sprache. • Ein einmal angemeldeter Gast wird automatisch wieder eingeloggt (Cookie basierend). Workshops (Auszug) 91 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH 4.4.1 Default Free Service Default Free Service wird benötigt, damit die bisherigen Installationen ohne Änderung weiterfunktionieren. 4.4.2 Konfiguration 1-Click (bintec > 9.1.4) Mit dieser Authentifizierungsmethode können Sie sich unter Angabe Ihrer E-Mail-Adresse kostenlos an einem Hotspot anmelden. Abb. 69: Anmeldung 1-Click (bintec > 9.1.4) Geben Sie Ihre E-Mail-Adresse ein und akzeptieren Sie die allgemeinen Geschäftsbedingungen (AGB). Damit sind Sie als Gast automatisch angemeldet. Sie erhalten außerden eine E-Mail mit den Zugangsdaten, um sich später eventuell mit einem Zweitgerät anzumelden. (1) 92 Gehen Sie auf die Seite des Hotspot-Servers unter Standort -> Neuer Standort. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 70: Standort ->Neuer Standort Gehen Sie folgendermaßen vor, um einen neuen Standort anzulegen: (1) Die Felder Kennung, Ort, Land, Nachname und E-Mail sind Pflichtfelder. Bitte füllen Sie alle Pflichtfelder aus. (2) Als Walled Garden URL wird die vom Hotspot-Server bereitgestellte Seite angezeigt. (3) Wählen Sie hier die Anmeldemethode ( J' M K aus. (4) Wählen Sie einen Tarif aus, z. B. < ,*. (5) Die Anmeldeseite des Routers ist die lokale IP-Adresse des Hotspot-Gateways, hier z. B. !)<*. (6) Bestätigen Sie Ihre Angaben mit Speichern. Konfiguration des 1-Click (bintec > 9.1.4) am bintec Hotspot-Gateway Öffnen Sie einen Internet Browser und starten Sie eine Web-Verbindung zum bintec-Gateway (z. B. bintec RS232x). (1) Workshops (Auszug) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 . 93 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 71: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 Gehen Sie folgendermaßen vor, um das Hotspot-Gateway zu konfigurieren: (1) Aktivieren Sie die Funktion Walled Garden, damit Sie einen kostenfreien Bereich von Webseiten (Intranet) definieren können. (2) Als Walled Garden URL geben Sie die von Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2 <. Tipp Wenn bei der Walled Garden URL statt einer HTTPS URL eine http URL (z.B. http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden.. 94 (3) Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB´s auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. !)@@@'. Die Seite muss im Adressraum des WalledGarden-Networks liegen. (4) Deaktivieren Sie die Funktion Anmeldefenster. Wenn die Funktion deaktiviert ist, wird nur die Webseite mit Informationen, Werbung und/oder Links zu frei zugänglichen Webseiten angezeigt. Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH (5) Bestätigen Sie mit OK. SMS (bintec > 9.1.4) Mit dieser Authentifizierungsmethode können Sie sich unter Angabe Ihrer Mobilfunkrufnummer kostenlos an einem Hotspot registrieren. Sie erhalten eine SMS mit den Zugangsdaten, die Sie dann auf der Anmeldeseite eingeben müssen. Abb. 72: Anmeldung SMS (bintec > 9.1.4) Geben Sie Ihre Mobilfunkrufnummer ein und akzeptieren Sie die allgemeinen Geschäftsbedingungen (AGB). Der Dienst verwendet den SMS-Dienstleister www.smstrade.de als SMS Versender. Zunächst muss ein Konto bei www.smstrade.de oder bei www.smstrade.eu eingerichtet werden. Smstrade bietet verschiedene Tarife an, empfehlenswert für den Produktiveinsatz ist der Tarif Gold SMS, da dieser Tarif auch SMS an internationale Mobilfunknummern versenden kann. Für Testzwecke kann ein kostenfreies Konto bei Smstrade mit 30 kostenlosen SMS eingerichtet werden. (1) Workshops (Auszug) Gehen Sie auf die Seite des Hotspot-Servers unter Mandant -> Neuer Mandant. 95 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 73: Mandant -> Neuer Mandant Gehen Sie folgendermaßen vor: (1) Tragen Sie den von smstrade bereitgestellte SMS Gateway Key ein. (2) Wählen Sie bei Versandroute den Tarif aus, z. B. %* /. (3) Bestätigen Sie Ihre Angaben mit Speichern. Wählen Sie nun die Anmeldemethode aus. (1) Gehen Sie auf die Seite des Hotspot-Servers unter Standort -> Neuer Standort. Abb. 74: Standort -> Neuer Standort Gehen Sie folgendermaßen vor, um den Standort zu bearbeiten: 96 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH (1) Die Felder Kennung, Ort, Land, Nachname und E-Mail sind Pflichtfelder. Bitte füllen Sie alle Pflichtfelder aus. (2) Als Walled Garden URL wird die vom Hotspot-Server bereitgestellte Seite angezeigt. (3) Wählen Sie hier die Anmeldemethode / J' M K aus. (4) Wählen Sie einen Tarif aus, z. B. < ,*. (5) Die Anmeldeseite des Routers ist die lokale IP-Adresse des Hotspot-Gateways, hier z. B. !)<*. (6) Bestätigen Sie Ihre Angaben mit Speichern. Konfiguration der SMS (bintec > 9.1.4) am bintec Hotspot-Gateway Starten Sie eine Web-Verbindung zum bintec-Gateway (z. B. bintec RS232x). (1) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 . Abb. 75: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 Gehen Sie folgendermaßen vor, um das Hotspot-Gateway zu konfigurieren: (1) Workshops (Auszug) Aktivieren Sie die Funktion Walled Garden, damit Sie einen kostenfreien Bereich von Webseiten (Intranet) definieren können. 97 4 WLAN - bintec Hotspot Solution (2) bintec elmeg GmbH Als Walled Garden URL geben Sie die vom Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2 <. Tipp Wenn bei der Walled Garden URL statt einer HTTPS URL eine http URL (z.B. http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden. (3) Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. !)@@@'. Die Seite muss im Adressraum des Walled Garden-Networks liegen. (4) Deaktivieren Sie die Funktion Anmeldefenster. Wenn die Funktion deaktiviert ist, wird nur die Webseite mit Informationen, Werbung und/oder Links zu frei zugänglichen Webseiten angezeigt. (5) Bestätigen Sie mit OK. PayPal (bintec > 9.1.4) Mit der Authentifizierungsmethode PayPal ist es möglich, einen kostenpflichtigen HotspotDienst einzurichten. 98 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 76: Anmeldung PayPal (bintec > 9.1.4) Wählen Sie den Tarif, z. B. / ,( J NK aus und klicken Sie auf den Express Kauf PayPal -Button. Danach gelangen Sie auf die PayPal-Zahlungsseite. Nach Abschluss der Zahlung werden Sie automatisch angemeldet. Zusätzlich erhalten Sie an die E-Mail Adresse Ihres PayPal-Kontos eine E-Mail mit den Zugangsdaten, um sich eventuell später mit einem anderen Gerät anzumelden. Zur Nutzung des Dienstes wird ein PayPal-Händlerkonto benötigt. Die Registrierung eines solchen Kontos ist kostenfrei. PayPal erhebt auf die eingezogenen Geldbeträge eine Gebühr. Details entnehmen Sie bitte den PayPal-Webseiten. (1) Gehen Sie auf die Seite des Hotspot-Servers unter Mandant -> Neuer Mandant. Abb. 77: Mandant -> Neuer Mandant Geben Sie die API-Anmeldedaten (API-Benutzername, API-Passwort und die Unter- Workshops (Auszug) 99 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH schrift) ein. Die Daten können Sie über Ihr PayPal-Händlerkonto (Mein_Profil/mehr/Verkäufer_Händler/API-Zugriff) abrufen. Wählen Sie nun die Anmeldemethode aus. (1) Gehen Sie auf die Seite des Hotspot-Servers unter Standort -> Neuer Standort. Abb. 78: Standort -> Neuer Standort Gehen Sie folgendermaßen vor, um einen neuen Standort anzulegen: (1) Die Felder Kennung, Ort, Land, Nachname und E-Mail sind Pflichtfelder. Bitte füllen Sie alle Pflichtfelder aus. (2) Als Walled Garden URL wird die vom Hotspot-Server bereitgestellte Seite angezeigt. (3) Wählen Sie hier die Anmeldemethode *C!* J' M K aus. (4) Die Anmeldeseite des Routers ist die lokale IP-Adresse des Hotspot-Gateways, hier z. B. !)<*. (5) Bestätigen Sie Ihre Angaben mit Speichern. Konfiguration des PayPal (bintec > 9.1.4) am bintec Hotspot-Gateway Zur Konfiguration des Hotspot-Gateways starten Sie eine Web-Verbindung zum bintecGateway (z. B. bintec RS232x). 100 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH (1) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 . Abb. 79: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 Gehen Sie folgendermaßen vor, um das Hotspot-Gateway zu konfigurieren: (1) Aktivieren Sie die Funktion Walled Garden, damit Sie einen kostenfreien Bereich von Webseiten (Intranet) definieren können. (2) Als Walled Garden URL geben Sie die vom Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2 <. Tipp Wenn bei der Walled Garden URL statt einer HTTPS URL eine http URL (z.B. http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden. (3) Workshops (Auszug) Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB auf 101 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. !)@@@'. Die Seite muss im Adressraum des WalledGarden-Networks liegen. (4) Deaktivieren Sie die Funktion Anmeldefenster. Wenn die Funktion deaktiviert ist, wird nur die Webseite mit Informationen, Werbung und/oder Links zu frei zugänglichen Webseiten angezeigt. (5) Bestätigen Sie mit OK. Tipp Der Aufbau der Anmeldeseite und der Paypal Zahlungsseiten kann je nach Tageszeit recht langsam erfolgen, dies hat mit der hohen Belastung der Paypal.com Webseite zu tun. Davon ist auch das Paypal Logo auf der Anmeldeseite betroffen, da dieses immer vom Paypal.com geladen wird. Die Sicherheitswarnung, die bei manchen Browsern angezeigt wird, lässt sich vermeiden, wenn Sie die Anmeldeseite des Routers über https aufrufen; dazu ist ein SSL-Zertifikat notwendig. Anonymus (bintec > 9.1.4) Mit dieser Authentifizierungsmethode können Sie sich ausschließlich durch Akzeptieren der AGB kostenlos an einem Hotspot anmelden. 102 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 80: Anmeldung Anonymus (bintec > 9.1.4) Wählen Sie nun die Anmeldemethode aus. (1) Workshops (Auszug) Gehen Sie auf die Seite des Hotspot-Servers unter Standort -> Neuer Standort. 103 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 81: Standort -> Neuer Standort Gehen Sie folgendermaßen vor, um einen neuen Standort anzulegen: (1) Füllen Sie die Pflichtfelder Kennung, Ort, Land, Nachname und E-Mail aus. (2) Bei Anmeldemethode wählen Sie C J'MK aus. (3) Wählen Sie einen Tarif aus, z. B. < ,*. (4) Die Anmeldeseite des Routers ist die lokale IP-Adresse des Hotspot-Gateways, hier z. B. !)<*. (5) Bestätigen Sie Ihre Angaben mit Speichern. Konfiguration des Anonymus (bintec > 9.1.4) am bintec-Gateway Starten Sie eine Web-Verbindung zum bintec-Gateway (z. B. bintec RS232x). (1) 104 Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 . Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Abb. 82: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1 Gehen Sie folgendermaßen vor, um das Hotspot-Gateway zu konfigurieren: (1) Aktivieren Sie die Funktion Walled Garden, damit Sie einen kostenfreien Bereich von Webseiten (Intranet) definieren können. (2) Als Walled Garden URL geben Sie die von Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2 <. Tipp Wenn bei der Walled Garden URL statt einer HTTPS URL eine http URL (z.B. http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden Workshops (Auszug) (3) Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. !)@@@'. Die Seite muss im Adressraum des Walled Garden-Networks liegen. (4) Deaktivieren Sie die Funktion Anmeldefenster. Wenn die Funktion deaktiviert ist, wird nur die Webseite mit Informationen, Werbung und/oder Links zu frei zugänglichen Webseiten angezeigt. 105 4 WLAN - bintec Hotspot Solution (5) bintec elmeg GmbH Bestätigen Sie mit OK. 4.5 Hinweise für den sicheren Betrieb 4.5.1 Mehrfaches anmelden Mit einem Coupon (Benutzername, Passwort) kann nur ein Benutzer angemeldet sein. Falls jemand versucht, sich mit den selben Daten noch einmal anzumelden, so funktioniert dies, die Verbindung mit dem vorherigen Teilnehmer wird jedoch beendet. 4.5.2 Verhindern der Sichtbarkeit der Teilnehmer untereinander In einem LAN oder WLAN sind alle Teilnehmer auf der IP-Ebene miteinander verbunden. Bei einem Hotspot-System muss dies natürlich verhindert werden. Hotspot mit nur einem WLAN Access Point Hier wird nur ein bintec RS232jw als Hotspot-Gateway eingesetzt. Alle Benutzer sind ausschließlich über WLAN angemeldet. Kabelgebundes LAN wird nicht verwendet. Der Internetzugang erfolgt über ein lokales Netzwerk oder über ADSL. Abb. 83: Hotspot mit einem WLAN Access Point Um die interne Kommunikation zwischen den Hotspot-Benutzern (WLAN-Clients) zu verhindern, muss im Menu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> die Option Intra-cell Repeating deaktiviert werden. Hotspot mit mehreren WLAN Access Points Hier werden mehrere WLAN Access Points eingesetzt, die über LAN mit dem bintec RS232jw Gateway verbunden sind. Der Internetzugang erfolgt über ein lokales Netzwerk 106 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH oder über xDSL. Abb. 84: Hotspot mit mehreren WLAN Access Points Um die Sichtbarkeit zwischen den einzelnen Hotspot-Benutzern zu verhindern, muss an allen WLAN-Arbeitsplätzen im Menu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) > die Option Intra-cell Repeating deaktiviert werden. Darüber hinaus ist für jeden WLAN Access Point ein eigenes VLAN einzurichten, um die interne Kommunikation zwischen Teilnehmer, die an verschiedenen Access Points angemeldet sind, zu verhindern. Hotspot mit Ethernet-LAN-Clients Hier sind mehrere Hotspot-Benutzer über ein LAN an das Hotspot-Gateway angeschlossen. Der Internetzugang erfolgt über ein lokales Netzwerk oder über xDSL. Abb. 85: Hotspot mit Ethernet-LAN-Client Workshops (Auszug) 107 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Der PC eines Hotspot-Benutzers wird an einen VLAN-fähigen Switch angeschlossen. Dabei erhält jeder physikalische Port des Switches ein eigenes VLAN. 4.5.3 Verschlüsselte / Unverschlüsselte WLAN-Verbindung Um die Anmeldung der Benutzer an den Hotspot zu erleichtern, arbeiten die meisten Hotspots unverschlüsselt. Dies hat folgende Nachteile: • Jeglicher WLAN Traffic kann von Leuten mit technischen Know-How und einigen Hilfsmitteln mitgelesen werden. - Die Coupon-/ Anmeldedaten zur Anmeldung eines Benutzers an den Hotspot. - Alle aufgerufenen Webseiten, sofern diese nicht SSL-verschlüsselt sind, z. B. httpsWebseiten. Webseiten von Banken sind i. d. R. nicht betroffen, da diese SSLverschlüsselt sind. - E-Mails, die nicht SSL-verschlüsselt sind. - Anmeldedaten zu E-Mail-Konten, die nicht SSL verschlüsselt sind. Hinweis Es ist wichtig, dass auf diesen Umstand in den AGB hingewiesen wird. 4.5.4 WPA-Verschlüsselung Um die obigen Nachteile zu umgehen, kann man die WLAN-Schnittstelle z. B. mit WPAPSK verschlüsseln. Der Sicherheitsgewinn ist jedoch nicht sehr groß, da jeder diesen Schlüssel kennen muss. 4.5.5 Verschlüsselung der Anmeldeseiten Die Anmeldeseiten können am Gateway mit SSL verschlüsselt werden, dadurch können diese nicht mehr durch Dritte „mitgelesen“ werden. Die SSL-Verschlüsselung hat den Vorteil, dass der Hotspot-Benutzer keine zusätzlichen Maßnahmen ergreifen muss. Jedoch sind die Webzugriffe der Benutzer weiterhin ungesichert. Um die SSL-Verschlüsselung der Anmeldeseiten zu gewährleisten, muss ein Zertifikat auf dem Gateway installiert werden. Bezüglich der Installation wenden Sie sich an unseren Support. 108 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Hinweis Auch hier ist es wichtig in den AGB darauf hinzuweisen, dass die Webzugriffe unverschlüsselt erfolgen. 4.5.6 IP/ARP Spoofing Wird bei der Konfiguration des Gateways der Parameter Zulässiger Hotspot-Client auf 0; gesetzt, werden eingehende Pakete zusätzlich auf die IP- bzw. MACAdresse des Absenders hin überprüft. Eine gefälschte („gespoofte“) Absender-IP- bzw. MAC-Adresse führt bei IPv4 zu einem Adresskonflikt. Dieses Szenario wird folglich nicht abgefangen. 4.6 Rechtliches 4.6.1 Allgemein Die nachfolgenden Ausführungen stellen keine Rechtsberatung dar, sondern sollen lediglich über die rechtliche Lage zum Zeitpunkt der Erstellung dieses Dokumentes unverbindlich informieren. In Bedarfsfall sollte ein Fachanwalt hinzugezogen werden. 4.6.2 Meldepflicht eines Hotspots Der Betrieb eines öffentlichen Hotspots muss bei der Bundesnetzagentur innerhalb von 4 Wochen nach der Inbetriebnahme angezeigt werden. Der Betrieb erfordert keine kostenpflichtige Lizenz. Auf unserer Webseite www.bintec-elmeg.com finden Sie im Downloadbereich der bintec Hotspot Solution ein vorausgefülltes Anmeldeformular, auf dem Sie lediglich Ihre Anschrift ergänzen müssen. 4.6.3 Allgemeine Geschäftsbedingungen Es ist zwingend notwendig, dass der Hotspot-Benutzer die AGB des Betreibers als gelesen abhakt. Die bintec Hotspot Solution hält die technischen Vorraussetzungen hierfür vor. Der Betreiber muss aber eine Webseite für die AGB bereitstellen, z. B. http://www.webserver.de/agb.htm. In den AGB muss der Hinweis enthalten sein, dass die Internetzugriffe unverschlüsselt übertragen werden und dass der Benutzer für eine eventuelle Verschlüsselung der Daten selbst Sorge zu tragen hat. Workshops (Auszug) 109 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Auf unserer Webseite www.bintec-elmeg.com finden Sie im Downloadbereich der bintec Hotspot Solution eine fertige Muster-AGB für den Hotspot-Betreiber. 4.6.4 Grauzone und Haftbarkeit bei missbräuchlicher Benutzung • Das Gesetz lässt offen, was unter dem Begriff Eindeutige Kennung zu verstehen ist. Dies könnten der Name des Hotspot-Benutzers oder seine Hotelzimmernummer sein oder auch nur die MAC-Adresse des verwendeten PCs. Die bintec Hotspot Solution speichert die MAC-Adresse des verwendeten PCs, darüber hinaus können beim Ausstellen des Hotspot-Coupons die persönlichen Daten des Kunden erfasst und gespeichert werden. 4.7 Konfigurationsschritte im Überblick Sprache konfigurieren Feld Menü Wert Sprache für Anmeldefenster Lokale Dienste -> Hotspot-Gateway z. B. 0 -> Hotspot-Gateway -> Neu Zeitzone einstellen Feld Menü Wert Zeitzone Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit 5"!%" ISDN-Zeitserver Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit Deaktiviert System als Zeitserver Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit Deaktiviert Deaktivieren der lokalen Kommunikation Feld Menü Wert Intra-cell Repeating Wireless LAN -> WLAN -> Drahtlos- Deaktiviert netzwerke (VSS) -> RADIUS-Server Zugriff konfigurieren_1 110 Feld Menü Wert Authentifizierungstyp Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu Betreibermodus Systemverwaltung -> Remote Au- ' ;! Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert thentifizierung -> RADIUS-> Neu "#" Server-IP-Adresse Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu z. B. << RADIUS-Passwort Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu z. B. Priorität Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu Richtlinie Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu $ #"' RADIUS-Server Zugriff konfigurieren_2 Feld Menü Wert Authentifizierungstyp Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu . +7" Server-IP-Adresse Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu z. B. << RADIUS-Passwort Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu z. B. Priorität Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu Richtlinie Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu $ #"' Hotspot-Netzwerke konfigurieren Feld Menü Wert Schnittstelle Lokale Dienste -> Hotspot-Gateway z. B. .$A: -> Hotspot-Gateway-> Neu Domäne am Hotspot-Ser- Lokale Dienste -> Hotspot-Gateway z. B. BC7' ver -> Hotspot-Gateway-> Neu Workshops (Auszug) Walled-Garden Lokale Dienste -> Hotspot-Gateway (#" -> Hotspot-Gateway-> Neu Walled Network / Netzmaske Lokale Dienste -> Hotspot-Gateway Aktiviert, z. B. -> Hotspot-Gateway-> Neu / <<<<<< Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway-> Neu !)@@@@'"# " B Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. 111 4 WLAN - bintec Hotspot Solution Feld bintec elmeg GmbH Menü Wert -> Hotspot-Gateway-> Neu !)@@@@'"# " *' Sprache für Anmeldefenster Lokale Dienste -> Hotspot-Gateway z. B. 0 -> Hotspot-Gateway-> Neu Tickettyp Lokale Dienste -> Hotspot-Gateway %7"** -> Hotspot-Gateway-> Neu @" Zulässiger Hotspot-Client Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway-> Neu Anmeldefenster Lokale Dienste -> Hotspot-Gateway (# -> Hotspot-Gateway-> Neu Lokale Dienste einschränken Feld Menü Wert Quelle Firewall -> Richtlinien -> Filterregeln-> Neu z. B. .$A: Ziel Firewall -> Richtlinien -> Filterregeln-> Neu z. B. .$A5$ Dienst Firewall -> Richtlinien -> Filterregeln-> Neu z. B. ! Aktion Firewall -> Richtlinien -> Filterregeln-> Neu E"++ QoS anwenden Firewall -> Richtlinien -> Filterregeln-> Neu (#" Priorität Firewall -> Richtlinien -> Filterregeln-> Neu Installation eines SSL-Zertifikats (Optional) - Importieren Feld Menü Wert Externer Dateiname Systemverwaltung -> Zertifikate -> Zertifikatsliste -> Importieren z. B. )G!A" Lokale Zertifikatsbeschreibung Systemverwaltung -> Zertifikate -> Zertifikatsliste -> Importieren z. B. ;! WAN-Schnittstelle definieren 112 Feld Menü Wert Routentyp Netzwerk -> Routen -> Konfigurati- ;" F'" on von IPv4-Routen-> Neu Schnittstelle Netzwerk -> Routen -> Konfigurati- $A0.A Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert on von IPv4-Routen-> Neu ZielIP-Adresse/Netzmaske Netzwerk -> Routen -> Konfigurati- z. B. << on von IPv4-Routen-> Neu Mandanten-Profil bearbeiten Feld Menü Wert Logo Mandant -> Mandant bearbeiten 0* *@9 AGB Mandant -> Mandant bearbeiten 0* *@9 Feld Menü Wert Benutzername Benutzer -> Neuer Benutzer z. B. ; AH7! Berechtigungsgruppe Benutzer -> Neuer Benutzer /*"'" Standort Benutzer -> Neuer Benutzer Nachname Benutzer -> Neuer Benutzer z. B. H7! E-Mail Benutzer -> Neuer Benutzer z. B. I Feld Menü Wert Bezeichnung Tarif -> Neuer Tarif z. B. / ,( Laufzeit Tarif -> Neuer Tarif Minuten Zeiteinheit (Laufzeit) Tarif -> Neuer Tarif * Zeiteinheit (Laufzeit) Tarif -> Neuer Tarif * Preis Tarif -> Neuer Tarif z. B. 4 Euro Standort Tarif -> Neuer Tarif Benutzer anlegen Tarife anlegen Account erzeugen (einfach) Feld Menü Wert Benutzername Account -> Neuer Account z. B. &*A< Tarif Account -> Neuer Account z. B. ,( Nachname Account -> Neuer Account z. B. .F Account erzeugen (erweitert) Workshops (Auszug) 113 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert Benutzername Account -> Neuer Account (erweitert) z. B. &*A Tarif Account -> Neuer Account (erweitert) z. B. ,( Standort Account -> Neuer Account (erweitert) Alle Vorname Account -> Neuer Account (erweitert) z. B. ;*;'" Nachname Account -> Neuer Account (erweitert) z. B. .F Zimmer Account -> Neuer Account (erweitert) z. B. Feld Menü Wert Betrag Account -> Übersicht %"* anklicken Feld Menü Wert Aktion Wartung -> Software & Konfigurati- C+@*" *( on -> Optionen *" Quelle Wartung -> Software & Konfigurati- ( +@*" on -> Optionen # 1! *"#" Account verwalten Setup ausführen Betrieb mit mehreren Standorten Feld Menü Wert Standort Standort -> Übersicht * " Feld Menü Wert Anzahl Gutschein -> Neuer Gutschein z. B. Tarif Gutschein -> Neuer Gutschein z. B. ,( Standort Gutschein -> Neuer Gutschein Host Gutschein -> Neuer Gutschein Gutschein erzeugen Nutzung des Hotspot ohne HTML-Anmelde-Frameset - Konfiguration des bintec Hotspot Gateways 114 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert Schnittstelle Lokale Dienste -> Hotspot-Gateway .$A: -> Hotspot-Gateway -> Neu Domäne am Hotspot-Ser- Lokale Dienste -> Hotspot-Gateway z. B. BC7' ver -> Hotspot-Gateway -> Neu Walled-Garden Lokale Dienste -> Hotspot-Gateway (#" -> Hotspot-Gateway -> Neu Walled Network/Netzmaske Lokale Dienste -> Hotspot-Gateway (#", z. B. -> Hotspot-Gateway -> Neu / <<<<<< Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> Neu !)@@@@'"# " Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> Neu !)@@@@'"# " *' Sprache für Anmeldefenster Lokale Dienste -> Hotspot-Gateway z. B. 0 -> Hotspot-Gateway -> Neu Tickettyp Lokale Dienste -> Hotspot-Gateway %7"** -> Hotspot-Gateway -> Neu @" Zulässiger Hotspot-Client Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu Anmeldefenster Lokale Dienste -> Hotspot-Gateway Deaktiviert -> Hotspot-Gateway -> Neu Nutzung des Hotspot ohne HTML-Anmelde-Frameset - Konfiguration des bintec Hotspot Gateways Feld Menü Wert 192.168.1.254 HTML-Datei z. B. http://customerserver.de/ HTML-Datei agb.htm z. B. !)@@@@'"# " *' Default Free Service verwenden Workshops (Auszug) Feld Menü Wert Anmeldemethode Standort -> Übersicht -> Standort 1 0+* 6" " # Tarif Standort -> Übersicht -> Standort 1 z. B. ,( Tickets Standort -> Übersicht -> Standort 1 Deaktiviert 115 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert Passwort Standort -> Übersicht -> Standort 1 * "" *7 AGB bestätigen Feld Menü Wert AGB Mandant -> Übersicht -> Mandant bearbeiten 0* *@9 Hotspot-Gateway konfigurieren Feld Menü Wert Schnittstelle Lokale Dienste -> Hotspot-Gateway z. B. .$A: -> Hotspot-Gateway -> Neu Walled Garden Lokale Dienste -> Hotspot-Gateway (#" -> Hotspot-Gateway -> Neu Walled Network / Netzmaske Lokale Dienste -> Hotspot-Gateway << / -> Hotspot-Gateway -> Neu <<<<<<< Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> Neu !)@@@!' BL< Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> Neu !)@@@! ' *'L< Sprache für Anmeldefenster Lokale Dienste -> Hotspot-Gateway z. B. 0 -> Hotspot-Gateway -> Neu Tickettyp Lokale Dienste -> Hotspot-Gateway %7"** -> Hotspot-Gateway -> Neu @" Zulässiger Hotspot-Client Lokale Dienste -> Hotspot-Gateway 0; -> Hotspot-Gateway -> Neu Account erstellen Feld Menü Wert Nachname Internet Browser öffnen z. B. /"A Hotspot Anmeldung 116 Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert Benutzer Account Informationen z. B. .F Passwort Account Informationen z. B. /O1L2'P Allgemeine Geschäftsbedingungen Account Informationen (#" Neue Authentifizierungsverfahren 1-Click (bintec > 9.1.14) konfigurieren Feld Menü Wert Kennung Standort -> Neuer Standort z. B. * "A Ort Standort -> Neuer Standort z. B. 051 Land Standort -> Neuer Standort z. B. 0* Nachname Standort -> Neuer Standort z. B. .F E-Mail Standort -> Neuer Standort z. B. I Anmeldemethode Standort -> Neuer Standort ( J' M K Tarif Standort -> Neuer Standort z. B. < ,* Anmeldeseite des Routers Standort -> Neuer Standort z. B. !) <* Walled Garden Lokale Dienste -> Hotspot-Gateway Aktivieren -> Hotspot-Gateway -> LAN_EN1-1 Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)!' 2 < Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)@@@' Anmeldefenster Lokale Dienste -> Hotspot-Gateway Deaktivieren -> Hotspot-Gateway -> LAN_EN1-1 SMS (bintec > 9.1.14) konfigurieren Workshops (Auszug) Feld Menü Wert SMS Gateway Key Mandant -> Neuer Mandant -> sm- xxxxxxxxxxxxxxxxxx 117 4 WLAN - bintec Hotspot Solution Feld bintec elmeg GmbH Menü Wert strade Anmeldeinforamtionen Versandroute Mandant -> Neuer Mandant -> smstrade Anmeldeinforamtionen z. B. %* / Kennung Standort -> Neuer Standort z. B. * "A Ort Standort -> Neuer Standort z. B. 051 Land Standort -> Neuer Standort z. B. 0* Nachname Standort -> Neuer Standort z. B. .F E-Mail Standort -> Neuer Standort z. B. I Anmeldemethode Standort -> Neuer Standort / J' M K Tarif Standort -> Neuer Standort z. B. < ,* Anmeldeseite des Routers Standort -> Neuer Standort z. B. !) <* Walled Garden Lokale Dienste -> Hotspot-Gateway Aktivieren -> Hotspot-Gateway -> LAN_EN1-1 Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)!' 2 < Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)@@@' Anmeldefenster Lokale Dienste -> Hotspot-Gateway Deaktivieren -> Hotspot-Gateway -> LAN_EN1-1 PayPal (bintec > 9.1.14) konfigurieren 118 Feld Menü Wert API-Benutzername Mandant -> Neuer Mandant -> PayPAl Anmeldeinforamtionen xxxxxxxxxxxxxxxxxx API-Passwort Mandant-> Neuer mandant -> PayPal Anmeldeinforamtionen z. B. !"" API-Passwort wiederho- Mandant -> Neuer Mandant -> len PayPAl Anmeldeinforamtionen z. B. !"" Unterschrift xxxxxxxxxxxxxxxxxx Mandant-> Neuer mandant -> Workshops (Auszug) 4 WLAN - bintec Hotspot Solution bintec elmeg GmbH Feld Menü Wert PayPal Anmeldeinforamtionen Kennung Standort -> Neuer Standort z. B. * "A Ort Standort -> Neuer Standort z. B. 051 Land Standort -> Neuer Standort z. B. 0* Nachname Standort -> Neuer Standort z. B. .F E-Mail Standort -> Neuer Standort z. B. I Anmeldemethode Standort -> Neuer Standort *C!* J' M K Tarif Standort -> Neuer Standort z. B. Anmeldeseite des Routers Standort -> Neuer Standort z. B. !) <* Walled Garden Lokale Dienste -> Hotspot-Gateway Aktivieren -> Hotspot-Gateway -> LAN_EN1-1 Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)!' 2 < Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)@@@' Anmeldefenster Lokale Dienste -> Hotspot-Gateway Deaktivieren -> Hotspot-Gateway -> LAN_EN1-1 Anonymus (bintec > 9.1.14) konfigurieren Workshops (Auszug) Feld Menü Wert Kennung Standort -> Neuer Standort z. B. * "A Ort Standort -> Neuer Standort z. B. 051 Land Standort -> Neuer Standort z. B. 0* Nachname Standort -> Neuer Standort z. B. .F E-Mail Standort -> Neuer Standort z. B. I Anmeldemethode Standort -> Neuer Standort C J' M K Tarif Standort -> Neuer Standort z. B. < ,* 119 4 WLAN - bintec Hotspot Solution 120 bintec elmeg GmbH Feld Menü Wert Anmeldeseite des Routers Standort -> Neuer Standort z. B. !) <* Walled Garden Lokale Dienste -> Hotspot-Gateway Aktivieren -> Hotspot-Gateway -> LAN_EN1-1 Walled Garden URL Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)!' 2 < Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)@@@' Anmeldefenster Lokale Dienste -> Hotspot-Gateway Deaktivieren -> Hotspot-Gateway -> LAN_EN1-1 Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Kapitel 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 5.1 Einleitung Im Folgenden wird die Anbindung von WLAN-Clients unter Nutzung des 802.1x (EAP-PEAP) Protokolls an einen Windows-Server 2008 beschrieben. Die WLAN-Authentifizierung wird von einem RADIUS-Server durchgeführt. Dabei werden die Authentifizierungsdaten (Benutzername/Passwort/Zertifikate) auf dem zentralen Windows-Server verwaltet. Hierfür wird ein Windows 2008 Server verwendet, der folgende Server-Rollen zur Verfügung stellt: • Active Directory-Domänendienste (ADS) • Active Directory-Zertifikatsdienste (CA) • Netzwerkrichtlinien und Zugriffsdienste (NPS) Der Workshop zeigt die Konfiguration des Servers als Zertifizierungsstelle (CA) und die Einrichtung des RADIUS-Servers (Network Policy Server (NPS)). Anschließend wird die Konfiguration eines Access Points beschrieben. Bei der Anbindung eines WLAN-Clients unter Windows7 werden Bordmittel verwendet. Abb. 86: Beispielszenario Voraussetzungen Workshops (Auszug) 121 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH • Ein Microsoft Windows Server 2008 (z. B. Windows Server 2008 R2 Standard) • Die Active Directory Konfiguration wird vorausgesetzt • Es wird ein DHCP-Server im Netzwerk vorausgesetzt (z. B Windows DHCP-Server) • Ein oder mehrere bintec Access Points (z. B. bintec W2003n) • Ein- oder mehrere WLAN-Clients (z. B. Windows 7 WLAN Supplicant) 5.2 Server Konfiguration 5.2.1 Konfiguration der Active Directory-Zertifikatsdienste Die Authentifzierung von WLAN-Clients am RADIUS-Server wird über eine gesicherte Transportverbindung durchgeführt. Hierzu wird das Zertifikat einer Zertifizierungsstelle (CA Zertifikat) benötig. Zum Hinzufügen der Serverrolle wird der Server-Manager verwendet. (1) Gehen Sie zu Assistent "Rollen hinzufügen" -> Serverrollen. In diesem Workshop werden die # 0""CE"+(* des Windows-Servers verwendet. Der Zugriff auf die Zertifikate soll über eine Webschittstelle erfolgen. 122 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Hierzu wird neben der Zertifizierungsstelle selbst der Rollendienst E"+7" '""" installiert. In den nächsten Schritten des Assistenten zum Anlegen der Serverrolle # 0" "CE"+(* wird der Installationstyp der Zertifizierungsstelle gewählt. Wählen Sie die Option 1" aus. Workshops (Auszug) 123 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Im Menü Zertifizierungsstellentyp wählen Sie die Option *7"+7" aus. 124 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 In unserem Beispiel wird bei der Erstinstallation der Zertifizierungsstelle auch ein neuer Privater Schlüssel erstellt. Wählen Sie die Option $ !"#* F " aus. Workshops (Auszug) 125 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Im Menü Kryptografie wählen Sie den Hash Algorythmus ; und eine Schlüsselzeichenlänge von bit aus. 126 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Im nächsten Schritt wird im Menü Zertifizierungsstelle die Bezeichnung des Zertifizierungsstellenzertifikats sowie der Distinguished Name (DN) angegeben. Als Allgemeiner Name dieser Zertifizierungsstelle geben Sie z. B. "(!.$ ein. Als Suffix des definierten Namens geben Sie z. B. 0Q@*40Q' 40Q ein. Workshops (Auszug) 127 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Wählen Sie noch die Gültigkeitdauer des Zertifizierungsstellenzertifikats aus. In unserem Beispiel wird die Gültigkeitsdauer auf < R*" gesetzt. 128 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Zum Abschluss der Installation der Serverrolle Active Directory-Zertifikatsdienste wird eine Zusammenfassung sowie das Ergebnis der Installation angezeigt. Workshops (Auszug) 129 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 130 bintec elmeg GmbH Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH 5.2.2 Reservierung der Access Point IP-Adressen am DHCPServer (Windows Server 2008) Die verwendeten bintec Access Points (z. B. bintec W2003n) werden mit dem DHCP-Client Mechanismus in das Netzwerk eingebunden. In diesem Workshop arbeitet der Windows-Server als DHCP-Server und verwaltet unter anderem die IP-Adressen der Access Points. Um zu gewährleisten, dass die Access Points immer unter der selben IP-Adresse erreichbar sind und stets die gleiche IP-Adresse für die RADIUS-Authentifzierung verwenden, werden deren IP-Adressen am DHCP- Server reserviert. Bereits vergebene IP-Adressen werden im Menü Adressleases des Windows 2008 Server-Managers gelistet. Mit Hilfe des Kontext-Menüs können die Adressen der Access Points als Reservierungen hinzugefügt werden. (1) Workshops (Auszug) Gehen Sie zu Server-Manager -> DHCP-Server -> Adressleases. 131 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH WLAN Access Points ohne aktive Addressleases (keine IP-Adresse zugewiesen) können über das Kontext-Menü Neue Reservierung angelegt werden. Hierzu muss die Ethernet MAC-Adresse des jeweiligen Access Points hinterlegt werden. (1) Gehen Sie zu Server-Manager -> DHCP-Server -> Reservierungen. Gehen Sie folgendermaßen vor, um die Informationen für einen reservierten Client anzugeben: 132 (1) Als Reservierungsname geben Sie z. B. .$E" ein. (2) Geben Sie die IP-Adresse z. B. < ein. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH (3) Bei MAC-Adresse geben Sie z. B. )* )+)* )' ) ein. 5.2.3 Installation der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server) Mit der Installation der $7@"(" E"++ J$K wird der RADIUS-Server des Windows 2008 Servers installiert. Hierzu wird die Funktion Rollen Hinzufügen des Server-Managers verwendet. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Gehen Sie zu Assistent "Rollen hinzufügen" -> Serverrollen. (2) Wählen Sie die Option $7@"(" (3) Gehen Sie zu Rollendienste. Aktivieren Sie die Option $7@"(""#". E"++ aus. 133 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 134 bintec elmeg GmbH (4) Klicken Sie auf Installieren. Die Rollen werden installiert. (5) Unter Ergebnisse sehen Sie, ob die Rollen erfolgreich installiert wurden. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH 5.2.4 Konfiguration der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server) Der RADIUS-Server für die 802.1x WLAN-Authentifzierung wird im Menü Network Policy Servers (NPS) konfiguriert. (1) Workshops (Auszug) Gehen Sie zu Server-Manager -> Netzwerkrichtlinien- und Zugriffsdienste (NPS) > NPS (Lokal). 135 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 136 bintec elmeg GmbH (2) Wählen Sie ein Konfigurationsszenario aus. (3) Klicken Sie auf den Link 802.1X konfigurieren, um den Szenario-Assistenten zu öffnen. (4) Im ersten Schritt wird der Typ der 802.1x-Verbindungen " 0"*#" ' gewählt und ein Name vergeben, z. B. .$A*. (5) Im zweiten Schritt des Assistenten werden alle Access Points als RADIUS-Client konfiguriert. Die Access Points senden bei der Anmeldung eines WLAN-Clients Authentifizierungsanfragen an den RADIUS-Server (Netzwerkrichtlinien- und Zugriffsdienste, NPS). Beim Anlegen der RADIUS-Clients (Access Points) wird deren IP-Adresse und ein Passwort zum Schutz der RADIUS-Authentifizierung vergeben. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH (6) Workshops (Auszug) Anschließend wird der EAP-Typ (Extensible Authentication Protocol) zur Authentifizierung der WLAN-Clients gewählt. In diesem Workshop wird 55 verwendet. Im Konfigurationsdialog der EAP-PEAP Option muss das Serverzertifkat zur Identifikation gegenüber dem WLAN-Client gewählt werden. 137 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 (7) 138 bintec elmeg GmbH Im nächsten Schritt kann der WLAN-Zugriff auf einzelne Benutzergruppen beschränkt werden. In diesem Workshop wird den Mitgliedern der Benutzergruppe WLAN der Zugriff ermöglicht. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH (8) Workshops (Auszug) Zum Abschluss des Assistenten wird eine Zusammenfassung angezeigt und die Konfiguration des Network Policy Servers (NPS) erstellt. 139 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH 5.3 RADIUS-Konfiguration des Access Points Bei der Anmeldung eines WLAN-Clients leitet der Access Point die Authentifizierungsanfrage in Form einer RADIUS-Anfrage an den RADIUS-Server (Windows 2008 NPS) weiter. Der RADIUS-Server wird am bintec Access Point mit Hilfe des GUI konfiguriert. (1) 140 Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Abb. 87: Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Gehen Sie folgendermaßen vor, um den RADIUS-Server zu konfigurieren: (1) Um den Zugang zu einem WLAN-Netzwerk zu regeln, ist es notwendig, den Authentifizierungstyp auf den Wert .$ J BK zu setzen. (2) Tragen Sie die IP-Adresse des Windows 2008 Servers ein, z. B. . (3) Die Kommunikation mit dem RADIUS-Server wird mit einem RADIUS-Passwort geschützt. Bitte verwenden Sie hier das am RADIUS-Server hinterlegte Kennwort. (4) Bestätigen Sie Ihre Angaben mit OK. 5.4 WLAN-Konfiguration des Access Points Die Einstellungen des WLAN-Funkmoduls können nach Bedarf gesetzt werden. In unserem Beispiel wird das 2.4 GHz Band mit automatischer Kanalwahl verwendet. (1) Workshops (Auszug) Gehen Sie zu Wireless LAN -> WLAN -> Einstellungen Funkmodul -> . 141 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Abb. 88: Wireless LAN -> WLAN -> Einstellungen Funkmodul -> Gehen Sie folgendermaßen vor, um den Access Point zu konfigurieren: (1) Wählen Sie den Betriebsmodus %" .( /*" aus. (2) Als Frequenzband wählen Sie &;7 -S " aus. (3) Den Kanal setzen Sie auf . (4) Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK. Mit der Konfiguration der Drahtlosnetzwerke (VSS) werden die Authentifizierungsanfragen eines WLAN-Clients an den konfigurierten RADIUS-Server weitergeleitet. (1) 142 Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Abb. 89: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu Gehen Sie folgendermaßen vor, um die Drahtlosnetzwerke zu konfigurieren: (1) Geben Sie den Netzwerknamen (SSID) ein, z. B. @"(!. (2) Als Sicherheitsmodus muss der Sicherheitsmodus 5"!" verwendet werden. (3) Als WPA-Modus wählen Sie (4) Bei WPA Cipher wählen Sie die Verschlüsselung 5 (5) Bei WPA2 Cipher wählen Sie die Verschlüsselung 5 (6) Belassen SIe die restlichen Einstellungen und bestätigen Sie mit OK. aus. ,- aus. ,- aus. 5.5 Anbindung eines Windows 7 WLAN-Clients Workshops (Auszug) 143 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH 5.5.1 Importieren des Zertifikats der Zertifizierungsstelle (CA Zertifikat) Bei der gewählten Authentifizierungsmethode B 55 wird zur Übertragung der Logininformationen eine gesicherte Transportverbindung hergestellt. Um sicherzustellen, dass dieser Tunnel zur richtigen Gegenstelle aufgebaut wird, identifiziert der WLAN-Client den Server mit Hilfe des ausgestellten Zertifikats. Deshalb muss das Zertifikat der Zertifizierungsstelle auf jedem WLAN-Client installiert werden. In diesem Workshop wird die Web-Schnittstelle des Zertifkatsservers zur Installation des Zertifizierungstellenzertifikats (CA Zertifikat) verwendet. Hierzu wird das anzubindende Notebook zunächst per Ethernet mit dem Netzwerk des Windows-Servers verbunden. Die Webschnittstelle des Zertifikatsservers ist über folgende URL erreichbar "http://SERVER_IP_Adresse/certsrv/" (z. B. http://192.168.1.10/certsrv/). Mit der Option Download eines Zertifizierungsstellenzertifikats kann das Root-Zertifikat auf das Notebook (WLAN-Client) übertragen werden. 144 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Anschließend wird das Zertifikat installiert. Workshops (Auszug) 145 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Wählen Sie den Speicherort des Zertifikats manuell aus. 146 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 5.5.2 Konfiguration des Windows 7 WLAN Clients Die WLAN-Konfiguration wird am Beispiel eines Windows 7 Clients gezeigt. Dabei wird mit Hilfe des Dialogs Drahtlosnetzwerke Verwalten eine neue Drahtlosverbindung hinzugefügt. Workshops (Auszug) 147 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Der Netzwerkname sowie der Sicherheitstyp und der Verschlüsselungstyp werden im Assistenten manuell hinterlegt. 148 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Nachdem die neue Verbindung mit Hilfe des Assistenten hinzugefügt wurde, müssen die Verbindungseinstellungen weiter angepasst werden. Workshops (Auszug) 149 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Dabei wird in den Einstellungen der Sicherheitsmethode &F7 5J5K das bereits installierte Zertifikat der Zertifizierungsstelle als vertrauenswürdiges Zertifikat ausgewählt. Mit diesem Konfigurationsschritt wird der Windows 2008 RADIUS-Server als Vertrauenswürdige Gegenstelle definiert. 150 Workshops (Auszug) bintec elmeg GmbH 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Beim Aufbau der WLAN-Verbindung wird mit Hilfe des erstellten Zertifikates eine gesicherte Verbindung zwischen dem WLAN-Client und dem Windows 2008-Server hergestellt. Über diese Verbindung werden die Windows Anmeldedaten (Benutzer- oder Computerauthentifzierung) zum Microsoft Network Policy Server (RADIUS-Server) übertragen. Workshops (Auszug) 151 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 152 bintec elmeg GmbH Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH 5.6 Konfigurationsschritte im Überblick Konfiguration der Active Directory-Zertifikatsdienste Feld Menü Wert Active DirectoryZertifikadtsdienste Assistent "Rollen hinzufügen" -> Serverrollen Aktivieren Zertifizierungsstellen-We- Assistent "Rollen hinzufügen" -> bregistrierung Rollendienste Aktivieren Unternehmen Assistent "Rollen hinzufügen" -> Installationstyp Aktivieren Stammzertifizierungsstelle Assistent "Rollen hinzufügen" -> Zertifizierungsstellentyp Aktivieren Neuen privaten Schlüssel erstellen Assistent "Rollen hinzufügen" -> Privater Schlüssel Aktivieren Schlüsselzeichenlänge Assistent "Rollen hinzufügen" -> Kryptografie Hashalgorithmus Assistent "Rollen hinzufügen" -> Kryptografie ; Allgemeiner Name der Zertifizierungsstelle Assistent "Rollen hinzufügen" -> Zertifizierungsstelle z. B. "(!.$ Suffix des definierten Namen Assistent "Rollen hinzufügen" -> Zertifizierungsstelle z. B. 0Q@*40Q' 40Q Gültigkeitsdauer Assistent "Rollen hinzufügen" -> Gültigkeitsdauer < R*" Reservierung der Access Point IP-Adressen am DHCP-Server Workshops (Auszug) Feld Menü Wert Adressleases Server-Manager -> DHCP-Server -> E" H"#" Adressleases 7+F Reservierungsname Server-Manager -> DHCP-Server -> z. B. .$ Adressleases E" IP-Adresse Server-Manager -> DHCP-Server -> z. B. < Adressleases MAC-Adresse Server-Manager -> DHCP-Server -> z. B. Adressleases )* )+)* )') 153 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Installation der Netzwerkrichtlinien- und Zugriffsdienste Feld Menü Wert Netzwerkrichtlinien- und Assistent "Rollen hinzufügen" -> Zugriffsdienste Serverrollen Aktivieren Netzwerkrichtlinienserver Aktivieren Assistent "Rollen hinzufügen" -> Rollendienste Konfiguration der Netzwerkrichtlinien- und Zugriffsdienste Feld Menü Wert 802.1X konfigurieren Server-Manager -> Netzwerkrichtli- Starten nien- und Zugriffsdienste (NPS) -> NPS (Lokal) Sichere Drahtlosverbindungen Server-Manager -> Netzwerkrichtli- Aktivieren nien- und Zugriffsdienste (NPS) -> NPS (Lokal) Name Server-Manager -> Netzwerkrichtli- z. B. nien- und Zugriffsdienste (NPS) -> .$A* NPS (Lokal) Anzeigename 802.1X konfigurieren -> 802.1X-Switches angeben z. B. .$AAE "A Adresse (IP oder DNS) 802.1X konfigurieren -> 802.1X-Switches angeben z. B. < Gemeinsamer geheimer 802.1X konfigurieren -> Schlüssel 802.1X-Switches angeben z. B. !"" Typ /" +)&F7 5 J5K 802.1X konfigurieren -> Authentifizierungsmethode konfigurieren Zertifikat ausgestellt für: 802.1X konfigurieren -> Authentifizierungsmethode konfigurieren " #"@*' WLAN\WLAN_users Hinzufügen 802.1X konfigurieren -> Benutzergruppen angeben Radius Konfiguration des Access Points 154 Feld Menü Wert Authentifizierungstyp Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu WLAN (802.1x) Server-IP-Adresse Systemverwaltung -> Remote Au- z. B. Workshops (Auszug) 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 bintec elmeg GmbH Feld Menü Wert thentifizierung -> RADIUS -> Neu RADIUS-Passwort Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. !"" WLAN-Konfiguration des Access Points Feld Menü Wert Betriebsmodus Wireless LAN -> WLAN -> Einstellungen Funkmodul -> %" .( /*" Frequenzband Wireless LAN -> WLAN -> Einstellungen Funkmodul -> &;7 -S " Kanal Wireless LAN -> WLAN -> Einstellungen Funkmodul -> Netzwerkname (SSID) Wireless LAN -> WLAN -> Drahtlos- z. B. @"(! netzwerke (VSS) -> Neu Sicherheitsmodus Wireless LAN -> WLAN -> Drahtlos- 5"!" netzwerke (VSS) -> Neu WPA-Modus Wireless LAN -> WLAN -> Drahtlos- netzwerke (VSS) -> Neu WPA Cipher Wireless LAN -> WLAN -> Drahtlos- 5 netzwerke (VSS) -> Neu ,- WPA2 Cipher Wireless LAN -> WLAN -> Drahtlos- 5 netzwerke (VSS) -> Neu ,- Anbindung eines Windows 7 WLAN-Clients Feld Menü Wert Download eines Zertifi- Explorer 192.168.1.10 zierungsstellenzertifikats Aktivieren Zertifizierungsstellenzer- Explorer 192.168.1.10 tifikat ( J"(!.$K Zertifikat Explorer 192.168.1.10 Zertifikat installieren Zertifikatspeicher Explorer 192.168.1.10 Alle Zertifikate in folgendem Speicher speichern Konfiguration des Windows 7 WLAN-Clients Workshops (Auszug) Feld Menü Wert Drahtlosverbindung Drahtlosnetzwerke verwalten Hinzufügen Netzwerkname Drahtlosnetzwerke verwalten z. B. @"(! 155 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008 Feld Menü Wert Sicherheitstyp Drahtlosnetzwerke verwalten 5"!" Verschlüsselungstyp Drahtlosnetzwerke verwalten 5 Verbindungseinstellungen ändern Drahtlosnetzwerke verwalten Aktivieren Authentifizierungsmetho- Drahtlosnetzwerke verwalten de auswählen 156 bintec elmeg GmbH Gesichertes Kennwort (EAP-MSCHAP v2) Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Kapitel 6 WLAN - Einführung in den bintecWLAN-Controller 6.1 Überblick über die Funktionen Der bintec WLAN Controller bietet Ihnen folgende Vorteile für das Management Ihrer WLAN-Infrastruktur: • Assistenten-geführte Schnellinstallation in fünf Schritten • Automatische Erkennung und Installation fabrikneuer Geräte • VLAN- und Multi-SSID-Unterstützung • Integrierter 802.11abgn-Support • Optimiertes Roaming-Verhalten für VoWLAN • Zentrale Verwaltung aller Access Points: • Einfache Änderung von Einstellungen auf allen APs • Eine Änderung z. B. an den SSIDs wirkt sich immer sofort auf alle APs aus. • Access Points, die an öffentlich zugänglichen Stellen installiert sind, stellen nicht länger ein Sicherheitsrisiko dar: • Die Sicherung der Netzwerkschlüssel und Passwörter erfolgt nicht auf den APs. Sie können deshalb nicht durch einen Diebstahl der APs in unbefugte Hände gelangen. • Jede direkte AP-(Konfigurations)-Verbindung wird durch den WLAN-Controller verworfen. • Automatisiertes Frequenzmanagement: • Integrierte Kanalplanung, um eine überlappungsfreie Frequenzvergabe zu erreichen • Minimierung der Interferenzen durch intelligente Frequenzvergabe • Berücksichtigung von Access Points, die nicht zum eigenen Netz gehören (Neighbor AP) • Überwachung: • des Access-Point-Betriebs • der Client-Aktivität • Erkennung und Anzeige von unerwünschten Access Points (Neighbor Access Points) • E-Mail-Benachrichtigung bei Ausfall eines verwalteten Access Points • Programm-gesteuerte Aktionen (z. B. Ausschalten des WLANs während der Nacht) Workshops (Auszug) 157 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH • Konfigurationsmanagement: Die Konfiguration wird zentral gespeichert und wird automatisch an die APs neu verteilt, z. B. im Fall eines Stromausfalls • Zentralisierte Software-Updates 6.2 Projektplanung 6.2.1 Anforderungen des Kunden ermitteln Am Anfang steht der Kunde - und die Frage, was er wirklich benötigt. In den meisten Fällen wünscht sich der Kunde ein WLAN-Netz im 2,4GHz-Frequenzbereich, damit sich Mitarbeiter und Gäste in den Büros und in den Besprechungsräumen mit dem Firmennetz und mit dem Internet drahtlos verbinden können. Zu diesem Zeitpunkt muss auch die Frage beantwortet werden, ob eine professionelle, von einem Fachmann durchgeführte Funkausleuchtung notwendig ist. Aufgrund der hohen Kosten für eine solche Analyse wird man in den meisten Fällen darauf verzichten und stattdessen die Access Points (AP) unter Berücksichtigung der räumlichen Gegebenheiten und der Kundenwünsche positionieren. Bei komplexen Gebäuden oder dann, wenn der Kunde ein Hochleistungsnetz mit lückenloser Abdeckung wünscht, das darüber hinaus auch für Voice over WLAN (VoWLAN) geeignet sein soll, sollte man auf eine Standortmessung aber keinesfalls verzichten. 6.2.2 Empfohlene Hardware-Installation vor Ort Im Anschluss ist der Elektriker gefragt, die Access Points in den Gängen und Büros zu montieren. Falls keine Funkausleuchtung durchgeführt wurde, sollten die APs im Abstand von 15 bis 25 Metern montiert werden - bei Einhaltung dieser Faustregel befindet man sich zumeist auf der sicheren Seite. Alle APs sollten über ein Ethernet-Kabel mit einem PoE-fähigen Switch verbunden werden. Die Stromversorgung über das Ethernetkabel (PoE) erspart die Installation einer 230V-Steckdose und vereinfacht die Montage erheblich. 158 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Abb. 90: WLAN-Infrastruktur Abschließend sollte der Monteur die Standorte und die MAC-Adressen der Geräte notieren, damit den Geräten später bei der Konfiguration Namen bzw. Standorte zugewiesen werden können. 6.3 Systemanforderungen 6.3.1 WLAN-Controller-Hardware Folgende Geräte, deren Firmwareversion 9.1.8 oder höher ist, können als WLAN-Controller verwendet werden (unterstützte Geräte, deren Firmwareversion älter als 9.1.8 ist, müssen vor der Installation aktualisiert werden): • bintec W2003n: Single-Radio-Indoor-Access-Point • bintec WI1040n: Single-Radio-Indoor-Industrial-Access-Point (IP 40) • bintec WI2040n: Dual-Radio-Indoor-Industrial-Access-Point (IP 40) • bintec WI1065n: Single-Radio-Outdoor-Industrial-Access-Point (IP 65) • bintec WI2065n: Dual-Radio-Outdoor-Industrial-Access-Point (IP 65) • bintec R1202: Medium Router, VPN-Gateway • bintec R3002: Medium Router, VPN-Gateway mit ADSL-2+-Modem • bintec R3502: Medium Router, VPN-Gateway mit VDSL-2-Modem (Minimal benötigte Firmwareversion: 9.8.1) • bintec R3802: Medium Router, VPN-Gateway mit SHDSL.bis-Modem • bintec R4402: Medium Router, VPN-Gateway mit PRI-Interface Workshops (Auszug) 159 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH • bintec RXL12100: Central Router, Hochleistungs-Multiplex-VPN-Gateway (Minimal benötigte Firmwareversion: 9.8.1) • bintec RXL12500: Central Router, Hochleistungs-Central-Site-VPN-Gateway (Minimal benötigte Firmwareversion: 9.8.1) Für kleine Installationen mit bis zu sechs Access Points wird keine dedizierte WLANController-Hardware benötigt und einer der Accsess-Points, der als Master-Access-Point betrieben wird, kann die Funktion des WLAN-Controllers übernehmen. Falls ein WLANNetzwerk mit mehr als sechs Access Points gewünscht wird, ist mindestens ein bintec R1202 als WLAN-Controller-Hardware notwendig. 6.3.2 Access-Point-Hardware Der WLAN-Controller kann die folgenden WLAN-Geräte verwalten. Diese benötigen mindestens die Firmwareversion 9.8.1 (Geräte, deren Firmwareversion älter als 9.8.1 ist, müssen vor der Installation aktualisiert werden): • bintec W2003n: Single-Radio-Indoor-Access-Point • bintec WI1040n: Single-Radio-Indoor-Industrial-Access-Point (IP 40) • bintec WI2040n: Dual-Radio-Indoor-Industrial-Access-Point (IP 40) • bintec WI1065n: Single-Radio-Outdoor-Industrial-Access-Point (IP 65) • bintec WI2065n: Dual-Radio-Outdoor-Industrial-Access-Point (IP 65) 6.3.3 WLAN-Controller-Lizenzen Bei jedem unterstützten Gerät ist der WLAN-Controller zu Testzwecken in der Software bereits freigeschaltet, allerdings kann lediglich ein einziger Access Point verwaltet werden. Für den Produktivbetrieb muss auf dem Controller eine WLAN-Controller-Lizenz installiert werden. Mit jeder Lizenz lassen sich sechs Access Points verwalten. Auf einem Access Point (z. B. W2003n) lässt sich eine WLAN-Controller-Lizenz installieren, damit können inklusive des Access Points auf dem der Controller läuft, sechs Access Points verwaltet werden. Auf einem Medium Router (z. B. R1202) lassen sich bis zu zwölf WLAN-Controller-Lizenzen installieren und damit bis zu 72 Access Points verwalten. Auf Central Routern (z. B. RXL12100) können bis zu 25 Lizenzen installiert werden, damit können bis zu maximal 150 Access Points administriert werden. In der folgenden Tabelle finden Sie die minimal benötigte WLAN-Controller-Hardware sowie die entsprechenden, notwendigen Lizenzen in Abhängigkeit der AP-Anzahl: 160 Erforderlich bis zu 6 APs bis zu 12 APs bis zu 18 APs bis zu 72 APs bis zu 150 APs Minimal-be- Keine, läuft R1202 R1202 RXL12100 R1202 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Erforderlich bis zu 6 APs bis zu 12 APs nötigte ControllerHardware auf dem Master-AP WLANController-Lizenzen 1x 2x bis zu 18 APs bis zu 72 APs bis zu 150 APs 3x 6x 25x 6.4 Netzwerk-Konfiguration 6.4.1 Netzwerkeinstellungen des WLAN-Controllers Bevor Sie den WLAN-Controller mit dem Netzwerk, das aus (noch immer unkonfigurierten) Access Points besteht, verbinden können, benötigt er gemäß der Netzwerkinstallation in ihrem lokalem Netzwerk eine korrekte IP-Adresse sowie Netzwerkeinstellungen, die sich von den werksseitigen Standardeinstellungen unterscheiden. Andernfalls wird der nächste Schritt scheitern. 6.4.2 DHCP-Server 6.4.2.1 Interner DHCP-Server Falls sich noch kein anderer aktiver DHCP-Server in ihrem Netzwerk befindet und der WLAN-Controller auch als DHCP-Server dienen soll, können Sie direkt zu WLAN-Installation mithilfe des Assistenten des WLAN-Controllers auf Seite 162 wechseln und die WLAN-Installation beginnen, da der Assistent des WLAN-Controllers alle benötigten Einstellungen für den DHCP-Server bereits richtig konfiguriert. 6.4.2.2 Externer DHCP-Server Damit die Access Points mithilfe des WLAN-Controllers verwaltet werden können, muss ihnen die IP-Adresse des WLAN-Controllers bekannt sein. Neben den benötigten Grundeinstellungen für das Netzwerk, wie den IP-Adressen der Geräte, dem Standard-Gateway oder dem Name-Server, teilt der DHCP-Server über die Option 138 des DHCP-Protokolls dem Access Point die IP-Adresse des WLAN-Controllers mit. Dazu muss diese Option, auch als CAPWAP-Access-Controller bekannt, beim DHCP-Server aktiviert und dort die IPAdresse des WLAN-Controllers konfiguriert werden. • Ein anderer bintec-Router arbeitet als DHCP-Server: Workshops (Auszug) 161 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Die notwendigen Konfigurationsschritte sind im Anhang erläutert. • Ein Microsoft Server 2003 oder Server 2008 arbeitet als DHCP-Server: Die notwendigen Konfigurationsschritte sind im Anhang erläutert. • Ein Linux-Server arbeitet als DHCP-Server: Die notwendigen Konfigurationsschritte sind im Anhang erläutert. • Ein Router eines Drittanbieters arbeitet als DHCP-Server: Bitte nehmen Sie die Konfiguration der DHCP-Option 138 anhand der Kundendokumentation des Routers vor. 6.4.2.3 Kein DHCP-Server - APs mit statischen IP-Adressen Bisweilen ist es notwendig, einen WLAN-Controller mit statischen IP-Adressen und Netzwerkeinstellungen zu betreiben. Dazu muss auch vorher jedem AP manuell eine IPAdresse zugeordnet werden. Die benötigten Konfigurationsschritte für alle Access Points werden im Anhang auf Seite 169 beschrieben. 6.5 WLAN-Installation mithilfe des Assistenten des WLAN-Controllers Der Assistent des WLAN-Controllers führt Sie in fünf Schritten durch die Konfiguration und Installation Ihres WLAN-Netzwerkes. 162 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.5.1 Schritt 1 im Assistenten Abb. 91: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Hier legen Sie einige grundlegende Eigenschaften des WLAN-Controllers fest: Workshops (Auszug) (1) Region: Die Region, in der sich Ihr WLAN-Netzwerk befindet. Diese Einstellung passt Ihr WLAN-Netzwerk an die WLAN-Bestimmungen (z B. welche Frequenzen erlaubt sind) in Ihrem Gebiet an. (2) Schnittstelle: Legt fest, über welche Schnittstelle der Controller mit den APs kommuniziert. (Die IP-Adresse dieser Schnittstelle muss in der CAPWAP-Option 138 des DHCP-Servers eingetragen sein.) (3) DHCP-Server: Legt fest, ob der " oder ein B"" DHCP-Server für die Access Points verwendet wird. Bei Verwendung des internen DHCP-Servers werden alle Einstellungen des DHCP-Servers, z. B. die Konfiguration der Option 138, automatisch durchgeführt. Hinweise zur Konfiguration eines externen DHCP-Servers finden Sie im Anhang auf Seite 169. (4) IP-Adressbereich: Legt den IP-Adressbereich für den internen DHCP-Server fest. 163 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Hinweis Bevor Sie fortfahren, stellen Sie bitte sicher, dass ein eventuell vorhandener externer DHCP-Server betriebsbereit ist und dass die DHCP-Option 138 aktiv ist. Falls ein externer DHCP-Server schon zum Zeitpunkt der Installation der APs aktiv war, aber die DHCP-Option 138 erst später aktiviert wurde, kann es sein, dass der WLAN-Controller die APs im Netz nicht anzeigt. Der Grund dafür ist, dass die APs bereits eine IPAdresse bezogen, aber noch keine IP-Adresse des WLAN-Controllers erhalten haben. Deshalb muss entweder der Ablauf der Lease-Time des DHCP-Servers abgewartet werden oder ein Reset bei den APs durchgeführt werden. 6.5.2 Schritt 2 im Assistenten Abb. 92: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Hier wird festgelegt, mit welchem Funkprofil das WLAN-Netzwerk arbeiten soll. Standardmäßig sind ein 2,4-GHz- und ein 5-GHz-Funkprofil vorhanden. Weitere Funkprofile lassen sich über das Menü Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile anlegen. 164 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.5.3 Schritt 3 im Assistenten Abb. 93: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Hier wird festgelegt, welche SSIDs / VSSs im WLAN-Netz vorhanden sein sollen. Standardmäßig ist bereits ein VSS vorhanden, dieses kann über das Werkzeuglogo angepasst werden. Über Hinzufügen können bis zu sieben weitere VSSs angelegt werden. In diesem Beispiel legen wir ein weiteres VSS für einen Gastzugang an. Workshops (Auszug) 165 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Abb. 94: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Für das neue Wireless-Network-Profil (VSS) wird ein Netzwerkname vergeben und als Sicherheitsmodus wird ausgewählt. Da in diesem Beispiel der Zugang ins Intranet des Unternehmens nicht erlaubt sein soll, wird ein VLAN für dieses VSS (im Beispiel :.$-0 ) definiert. Daraufhin werden auf Ethernet-Ebene alle Daten aus diesem Netzwerk mit VLAN 2 markiert. Hinweis VLAN-ID 0 und 1 sind für die System-Verwaltung reserviert und können deshalb nicht für VSSs verwendet werden. Durch die Auszeichnung mit Tags haben Sie die Möglichkeit die Gästedaten von den anderen zu trennen und Ihre Netzwerk-Switches oder Internet-Access-Router so einzurichten, dass z. B. alle Daten und Benutzer aus VLAN ID 2 Zugriff auf das Internet haben, aber nicht auf das Intranet des Unternehmens (an dieser Stelle verweisen wir Sie auf das Handbuch Ihres Switches oder Routers, um eine Trennung der Netze mithilfe von VLAN zu konfigurieren). Nachdem Sie die VSS-Konfiguration mit OK verlassen haben, befinden Sie sich wieder in der VSS-Übersichtsseite. Bevor Sie mit Schritt 4 fortfahren, vergewissern Sie sich bitte, dass alle verwalteten Access Points mit dem LAN verbunden und aktiviert sind. 166 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.5.4 Schritt 4 im Assistenten Abb. 95: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Hier werden nun alle gefundenen Access Points angezeigt. Standardmäßig sind allen Access Points alle definierten Wireless-Network-Profile (VSS) und das zuvor ausgewählte Funkprofil zugeordnet. Mit einem Klick auf das Werkzeugsymbol können Sie nun diese Standardeinstellungen anpassen und außerdem jedem Gerät eine individuelle Standortbeschreibung geben. Hinweis In manchen Fällen werden nicht alle erwarteten APs angezeigt. Der WLAN-Controller konnte diese dann nicht finden. Hier können Sie Zurück verwenden, um die DisplayAnzeige zu aktualisieren. 6.5.5 WLAN-Initiierung der Access Points starten Nachdem Sie von jedem Access Point, den Sie verwenden wollen, die zugehörige CheckBox in der Manage-Spalte ausgewählt haben, können Sie die Initiierung des WLANControllers sowie die automatische Verwaltung der Frequenzen mit einem Klick auf Start anstoßen. Die Anzeige wechselt nun zu einer Statusanzeige, die aktuelle Aktivitäten des WLAN-Controllers anzeigt. Workshops (Auszug) 167 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Abb. 96: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Die Konfiguration wird jetzt der Reihe nach an alle Access Points übertragen. Sobald für alle Access Points der optimale Funkkanal gefunden wurde, ist die Konfiguration der Access Points abgeschlossen und sie erhalten den Status /** . Bei der Vergabe der Funkkanäle achtet der WLAN-Controller darauf, dass ausschließlich überlappungsfreie Kanäle (in der Voreinstellung 1, 6, 11) vergeben werden und dass die Interferenzen zwischen den einzelnen Access Points so gering wie möglich sind. Verwaltete Access Points werden vom WLAN-Controller gegen jede Art eines externen Konfigurationszugriffs gesperrt. Ein Access Point kann erst dann wieder lokal konfiguriert werden, nachdem er vom WLAN-Controller freigegeben wurde. Sobald alle Access Points verwaltet sind, ändert sich die Display-Anzeige noch einmal und zeigt das Ergebnis an. 168 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Abb. 97: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Die Konfiguration der Access Points sollte nun auf dem WLAN-Controller durch einen Klick auf die Schaltfläche Konfiguration speichern (links oben) bootfest gesichert werden. Die Access Points halten ihre eigenen Einstellungen nur im flüchtigen Speicher. Im Fall eines Stromausfalls erhalten die Acess-Points automatisch nach dem Wiederherstellen der Stromversorgung vom WLAN-Controller ihre Einstellungen. Das Halten der Konfiguration ausschließlich im flüchtigen Speicher der Access Points hat entscheidende Sicherheitsvorteile, da keine sensiblen Daten, wie die WLAN-Schlüssel, durch Diebstahl eines öffentlich zugänglichen Access Points kompromittiert werden können. Nach einem Stromausfall werden alle Access Points gleichzeitig vom WLAN-Controller neu gestartet. Dabei wird das Funkmanagement nicht erneut gestartet, sondern der zuvor benutzte Kanal verwendet. Die Wiederherstellung der WLAN-Infrastruktur erfolgt somit viel schneller als bei einer Erstinstallation. 6.6 Anhang Workshops (Auszug) 169 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.6.1 E-Mail-Benachrichtigung bei Ausfall eines Access Points Seit Release 7.10.1 gibt es die Möglichkeit, sich eine E-Mail vom WLAN-Controller schicken zu lassen, sobald ein verwalteter Access Point ausfällt oder nicht mehr erreichbar ist. Besonders in größeren, komplexen WLAN-Infrastrukturen ist dies sehr hilfreich, da der Ausfall eines einzelnen Access Point nicht sofort auffällt. Die dazu notwendige Konfiguration finden Sie im aktuellen Release im Menü Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger (Die Benachrichtigungseinstellungen werden hier nicht beschrieben). Abb. 98: Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungs- empfänger 6.6.2 Konfiguration eines DHCP-Servers auf einem anderen bintec-Router Benötigt wird ein bintec-Router mit dem Software-Release 9.1.8 Patch 4 oder höher. Zunächst müssen Sie im Menü Lokale Dienste -> DHCP-Server -> IPPool-Konfiguration -> Neu einen IP-Adresspool definieren. 170 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Abb. 99: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Geben Sie bei IP-Poolname eine beliebige Beschreibung, z. B. , ein. Bei IP-Adressbereich geben Sie die erste und die letzte IP-Adresse des IP-Adress-Pools ein, z. B. - < . Im Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu können Sie nun die weitere Konfiguration vornehmen. Abb. 100: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu Wählen Sie die Schnittstelle aus, über welche die in IP-Adressbereich definierten Adressen an anfragende DHCP-Clients vergeben werden. Wählen Sie einen gültigen IP-Pool aus. Workshops (Auszug) 171 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Unter Erweiterte Einstellungen im Menü DHCP-Optionen fügen Sie mit Hinzufügen die Option "" hinzu und im Feld Wert tragen Sie die IP-Adresse des WLAN-Controllers ein. 6.6.3 Konfiguration eines DHCP-Servers auf Windows Server 2003 / 2008 Zunächst sollten Sie Ihren Windows-DHCP-Serverdienst grundlegend einrichten, also den DHCP-IP-Adressbereich definieren, Standardoptionen wie DNS-Server und Standard-Gateway entsprechend der eigenen Netzwerkinfrastruktur konfigurieren. 6.6.3.1 1. Schritt Im Verwaltungsfenster des DHCP-Dienstes (zu erreichen über die Systemsteuerung und dort unter Verwaltung) führen Sie einen Rechtsklick auf die bestehende DHCPDienstinstanz aus und klicken im aufklappenden Kontextmenü auf Vordefinierte Optionen einstellen (Der Name der Dienstinstanz setzt sich zusammen aus dem Computernamen sowie in eckigen Klammern der IP-Adresse, unter der der DHCP-Dienst erreichbar ist). 172 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.6.3.2 2. Schritt In dem sich nun öffnenden Fenster auf Hinzufügen klicken, um die standardmäßig nicht vordefinierte CAPWAP-Option hinzuzufügen. Workshops (Auszug) 173 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.6.3.3 3. Schritt Im neuen Dialogfenster Optionstyp wird jetzt die CAPWAP-Option definiert (nicht aktiviert). Name und Beschreibung sind dabei frei wählbar, sollten aber eingängig benannt werden. Der Datentyp muss auf - " eingestellt und der Haken vor Array muss gesetzt sein. Ebenso muss der Code auf 2 gesetzt sein. Sollte der Code bereits für eine andere, selbst definierte DHCP-Option belegt sein, die nicht der CAPWAP-DHCP-Option entspricht, so muss dieser zuvor gelöscht werden. Verlassen Sie den Dialog und das vorherige Fenster anschließend mit OK. 174 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.6.3.4 4. Schritt Führen Sie einen Rechtsklick im bereits vorkonfigurierten IP-Adressbereich des DHCPDienstes für die künftigen Slave-Access-Points auf Bereichsoptionen aus und wählen Sie im Kontextmenü Optionen konfigurieren aus. Workshops (Auszug) 175 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.6.3.5 5. Schritt Im nun aufklappenden Dialogfenster in der Liste der Zur Verfügung stehenden Optionen die Option 2 auswählen, im Eingabefeld IP-Adresse die IP-Adresse des WLAN-Controllers eintragen und dann rechts daneben auf Hinzufügen klicken. Theoretisch könnte man hier mehrere WLAN-Controller-IP-Adressen eintragen. Derzeit wird aber nur die erste IP-Adresse von den Access Points berücksichtigt. Diese Dialogbox wird nun ebenfalls wieder mit OK verlassen. 176 Workshops (Auszug) 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH 6.6.3.6 6. Schritt Im Übersichtsfenster des DHCP-Dienstes sollte nun auch die CAPWAP-Option aufgelistet sein. Im Anschluss können nun die Access Points und der WLAN-Controller in dem Netz, in dem der soeben eingerichtete DHCP-Dienst erreichbar ist, in Betrieb genommen werden. 6.6.4 Konfiguration eines DHCP-Servers unter Linux Fügen Sie der Konfigurationsdatei "/etc/dhcp/dhcpd.conf" Folgendes hinzu: Workshops (Auszug) 177 6 WLAN - Einführung in den bintec-WLAN-Controller bintec elmeg GmbH Dabei sind vor allem die beiden Zeilen, die mit option wifi-controller beginnen, entscheidend. Die obere der beiden Zeilen definiert das Datenformat der Option 138, da dieses nicht in den Standardformatdefinitionen des dhcpd enthalten ist. Die untere Zeile spezifiziert die IP-Adresse des WLAN-Controllers, bei der sich dann die einzelnen Slave-APs melden, nachdem sie alle benötigten Daten (eigene IP-Adresse, IP-Adresse des WLANControllers, …) vom DHCP-Server erhalten haben. Die restlichen Angaben entsprechen dem Standard zur Definition eines DHCP-Pools: Sie müssen die Parameter für subnet, range, domain-name-servers, routers, usw. entsprechend Ihren eigenen Bedürfnissen konfigurieren. Nachdem Sie die Konfiguration gesichert haben, können Sie den DHCP-Server mit dem Kommando neu starten. 6.6.5 Betrieb der APs mit statischen IP-Adressen Wie im Kapitel DHCP-Server auf Seite 161 beschrieben, sorgt der DHCP-Server neben der Vergabe der IP-Adressen auch dafür, dass die zu verwaltenden Access Points die IPAdresse des WLAN-Controllers erhalten. Für den Fall, dass die Access Points mit statischen IP-Adressen betrieben werden, ist es erforderlich, dass auf den zu verwaltenden Access Points neben der IP-Adresse und der Netzwerkmaske auch die IP-Adresse des WLAN-Controllers konfiguriert wird. Ab Release 7.10.1 finden Sie im Menü Systemverwaltung -> Globale Einstellungen -> System auf den APs das dazu benötigte Feld Manuelle IP-Adresse des WLAN-Controller. 178 Workshops (Auszug) bintec elmeg GmbH 6 WLAN - Einführung in den bintec-WLAN-Controller Abb. 101: Systemverwaltung -> Globale Einstellungen -> System Auf dem WLAN-Controller-Gerät ist beim Start des WLAN-Controller-Assistenten darauf zu achten, dass im ersten Schritt der Konfiguration für den DHCP-Server 5B" ausgewählt wird. Workshops (Auszug) 179 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Kapitel 7 WLAN - WLAN-Controller Redundanz 7.1 Einleitung Wenn der bintec WLAN-Controller eingesetzt wird, ist im unwahrscheinlichen Fall eines Hardwareausfalls des Controllers das von diesem verwaltete WLAN nicht mehr funktionstüchtig. Um das Risiko des Ausfalls auf ein Minimum zu reduzieren, erläutert dieser Workshop die Konfiguration eines zweiten WLAN-Controllers, der bei Ausfall des ersten Gerätes dessen Funktion sofort übernimmt. Der Einsatz eines zweiten Controllers schützt nicht nur vor einem Hardwareausfall, sondern auch vor Fehlkonfiguration des aktiven Controllers, versehentlichem Herausziehen von Kabeln und ähnlichen Störquellen. Zur Umsetzung der Redundanz wird das BRRP-Protokoll (Bintec Router Redundancy Protocol) verwendet, es ist auf den Geräten der bintec Rxx02-Serie ohne zusätzliche Lizenz nutzbar. Access Points (z. B. bintec W2003n-ext), die als WLAN-Controller betrieben werden, können nicht redundant ausgelegt werden. Ziel ist es, die WLAN Access Points im Subnetz 192.168.100.0/24 mit dem WLAN-Controller zu steuern. Zusätzlich routet der WLAN-Controller in das 192.168.10.0/24 Netz und somit ins Internet. Das Controller Backup-Szenario zeigt eine Übersicht der Lösung: Router 1 (Master) ist der primäre WLAN-Controller. Fällt er aus, soll Router 2 (Backup) seine Funktion übernehmen. Da der WLAN-Controller in diesem Fall auch gleichzeitig als Router arbeitet, gibt es insgesamt vier IP-Subnetze: zwei produktive Netze, welche die Nutzdaten transportieren, und zwei sogenannte Advertisement-Netze, welche zur Synchronisation der beiden Geräte notwendig sind. Die virtuellen Router sind nur logische Zuordnungen für das BRRP. Sie können diesen Workshop auch verwenden, wenn Sie eine bestehende WLAN-Controller-Installation besitzen und nun einen Backup-Controller einsetzen wollen. Die entsprechenden Schritte sind gesondert beschrieben. 180 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Abb. 102: Beispielszenario Voraussetzungen • Hardware: Sie benötigen 2 Geräte der bintec Rxx02-Serie, die als WLAN-Controller funktionieren sollen. Zusätzlich zu der WLAN-Controller-Funktion können natürlich andere Funktionen auf den Geräten konfiguriert sein, z. B. IPSec-Tunnel, Firewall etc. Es sind nicht zwingend zwei identische Geräte notwendig, Sie können auch z. B. einen bintec R1202 redundant zu einem bintec R3502 auslegen. Üblicherweise werden aber identische Geräte verwendet. • Software: Die Backup-Lösung kann mit der Firmware 7.9.6 patch1 oder höher auf einem bintec Rxx02 realisiert werden. • Lizenzen: Wie auch für das primäre Gerät sind auch für das zweite, redundante Gerät ausreichende und gültige Lizenzen erforderlich, die an die Hardware gebunden werden müssen. Eine doppelte Nutzung oder Übertragung der Lizenzen ist nicht möglich. • E-Mail-Account: Für den E-Mail-Alarm ist ein aktiver E-Mail-Account (SMTP) notwendig, von dem aus die Hinweisnachrichten verschickt werden können. • Konfiguration: Die Einrichtung des WLAN-Controllers wird in dieser Anleitung nicht erklärt. Hinweise zur Einrichtung des WLAN-Controllers finden Sie in der FAQ WLAN Controller auf www.bintec-elmeg.com . 7.2 Konfiguration Workshops (Auszug) 181 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH 7.2.1 Konfiguration des primären Routers (Router 1) Virtuelle Router Im ersten Schritt wird nur der Master konfiguriert. Lassen Sie zunächst den Router 2 ausgeschaltet. In Menü LAN -> IP-Konfiguration -> Schnittstellen -> Neu haben Sie die Möglichkeit, virtuelle Schnittstellen anzulegen. Setzen Sie die IP-Adressen der beiden Ethernet-Schnittstellen auf die zukünftigen Advertisement-Adressen (192.168.200.1 und 192.168.20.1). Der Router wird ab jetzt nur noch über diese beiden Adressen konfiguriert. Beginnen Sie nun mit der BRRP-Konfiguration. Erzeugen Sie zunächst das BRRP für den Virtuellen Router 1 bzw. die WLAN-Seite des Routers. Gehen Sie dazu in folgendes Menü: (1) Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router -> Neu. Abb. 103: Lokale Dienste -> BRRP -> Virtuelle Router -> Neu Gehen Sie folgendermaßen vor, um den virtuellen Router 1 zu konfigurieren: 182 (1) Wählen Sie die Ethernet-Schnittstelle aus. (2) Unter IP-Adresse wird Ihnen die IP-Adresse der Schnittstelle angezeigt, hier . Diese Schnittstelle wird nun die Advertisement-Schnittstelle, wel- Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH che keine produktiven Daten transportiert. Darauf wird nun eine virtuelle Schnittstelle (en1-0-1) erzeugt, welche dann die Nutzdaten transportiert. Diese Schnittstelle wird vom BRRP, je nach Status, ein- und ausgeschaltet, während die physikalische Schnittstelle immer aktiv ist. Ist das Gerät im Backup-Modus, sind also die Advertisement-Schnittstellen weiterhin aktiv, die Schnittstellen des virtuellen Routers (produktive Schnittstellen) jedoch inaktiv. (3) Als Router IP-Adresse geben Sie die IP-Adresse und die Netzmaske des virtuellen Routers ein, z. B. . Hier geben Sie die IP-Adresse ein, die Sie im lokalen Netz als eigentliche Gateway-IP-Adresse verwenden wollen. (4) Die ID des virtuellen Routers ist die Bezeichnung für die „Netzwerkseite“. Die LANSeite bekommt in diesem Fall die ID (virtueller Router 1). (5) Die Priorität des virtuellen Routers wird hier auf einen mittleren Wert von < gesetzt. Wichtig ist, dass später der Backup-Controller eine niedrigere Priorität bekommt. (6) Der Pre-Empt-Modus (zurück in Master-Status) sorgt dafür, dass das Gerät nach einem Ausfall wieder Master wird und nicht im Backup-Modus verbleibt. (7) Belassen Sie die restlichen Einstellungen und bestätigen Sie Ihre Angaben mit OK. Konfigurieren Sie nun analog dazu den virtuellen Router 2 für die WAN-Seite. (1) Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router -> Neu. Abb. 104: Lokale Dienste -> BRRP -> Virtuelle Router -> Neu Gehen Sie folgendermaßen vor, um den virtuellen Router 2 zu konfigurieren: Workshops (Auszug) 183 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH (1) Wählen Sie die Ethernet-Schnittstelle aus. (2) Unter IP-Adresse wird Ihnen die IP-Adresse der Schnittstelle angezeigt, hier . (3) Als Router IP-Adresse geben Sie die IP-Adresse und die Netzmaske des virtuellen Routers ein, z. B. <. Die IP-Adresse für Advertisements und die IPAdresse des virtuellen Routers müssen unterschiedlich sein. Diese IP-Adressen dürfen aus demselben Netz stammen, sie müssen aber nicht. (4) Geben Sie die ID des virtuellen Routers ein. Die LAN-Seite bekommt in diesem Fall die ID (virtueller Router 2). Auch hier wird eine virtuelle Schnittstelle (en1-4-1) erzeugt, welche die Nutzdaten transportiert. Die ursprüngliche physikalische Schnittstelle en1-4 wird zur Advertisement-Schnittstelle. (5) Belassen Sie die restlichen Einstellungen und bestätigen Sie Ihre Angaben mit OK. VR-Synchronisation Im Menü VR-Synchronisation (Virtuelle Router Synchronisation) legen Sie fest, welche virtuellen Router, und damit Schnittstellen, gleichzeitig an- oder abgeschaltet werden. Ist eine der beiden (virtuellen) Schnittstellen abgeschaltet, (weil z. B. das Kabel herausgezogen wurde,) muss natürlich auch die andere Schnittstelle synchron deaktiviert werden. Dies erfolgt gewöhnlich über Kreuz: d.h. ist VR 1 ausgefallen, muss auch VR 2 abgeschaltet werden und umgekehrt. (1) Gehen Sie zu Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu. Abb. 105: Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu 184 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Gehen Sie folgendermaßen vor, um die neue Synchronisation hinzuzufügen: (1) Der Monitoring-Modus zeigt an, welcher Mechanismus für die Überwachung eines virtuellen Routers angewendet wird, hier %HH. (2) Mit der ID des virtuellen Routers legen Sie fest, welche Schnittstelle kontrolliert werden soll, hier . (3) Der Synchronisationsmodus zeigt an, mit welchem Mechanismus virtuelle Router bzw. Schnittstellen synchronisiert werden. (4) Wählen Sie die ID des virtuellen Routers, der synchronisiert werden soll, hier . (5) Bestätigen Sie mit OK. Damit die Synchronisation auch in beide Richtungen funktioniert, muss ein zweiter Abgleich eingerichtet werden. (1) Gehen Sie zu Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu. Abb. 106: Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu Gehen Sie folgendermaßen vor, um neue Synchronisation hinzuzufügen: (1) Als ID des virtuellen Routers wählen Sie aus. (2) Als ID des virtuellen Routers, der synchronisiert werden soll, wählen Sie aus. (3) Bestätigen Sie mit OK. BRRP aktivieren Sie können nun die Option BRRP aktiv schalten. Workshops (Auszug) 185 7 WLAN - WLAN-Controller Redundanz (1) bintec elmeg GmbH Gehen Sie zu Lokale Dienste -> BRRP -> Optionen. Abb. 107: Lokale Dienste -> BRRP -> Optionen Das BRRP ist nun aktiv, der Router kann aber über die Advertisement-Schnittstelle weiter konfiguriert werden. Beide virtuellen Router sollten sich jetzt im Master-Status befinden. (1) Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router. Abb. 108: Lokale Dienste -> BRRP -> Virtuelle Router 186 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Im Menü IP-Konfiguration werden nun die virtuellen Schnittstellen aufgelistet. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen. Abb. 109: LAN -> IP-Konfiguration -> Schnittstellen 7.2.2 WLAN-Controller auf dem primären Router konfigurieren Wie bereits erwähnt, kann die Redundanz sowohl bei einer Neuinstallation des WLANControllers aufgesetzt werden, als auch für eine bestehende Installation genutzt werden. Beide Vorgehensweisen werden hier beschrieben. Neuinstallation Das Menü Wizard bietet eine Schritt-für-Schritt-Anleitung für das Einrichten einer WLANInfrastruktur. Der Wizard führt Sie durch die Konfiguration. (1) Workshops (Auszug) Gehen Sie zu Wireless LAN Controller -> Wizard. 187 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Abb. 110: Wireless LAN Controller -> Wizard Gehen Sie folgendermaßen vor, um den WLAN-Controller zu konfigurieren: (1) Als Schnittstelle muss die virtuelle Schnittstelle ausgewählt werden. Nur so kann die Redundanz des WLAN-Controllers richtig realisiert werden. (2) Wählen Sie als DHCP-Server -" aus. Beim internen DHCP-Server ist S! 2 aktiviert, um die Kommunikation zwischen Master und Slaves zu ermöglichen. Stellen Sie sicher, dass bei Verwendung eines externen DHCP-Servers Option 138 aktiviert ist. Wenn Sie z. B. ein bintec Gateway als DHCP-Server verwenden wollen, klicken Sie im GUI dieses Geräts unter Lokale Dienste -> DHCP-Server -> DHCP Pool -> Neu -> Erweiterte Einstellungen im Feld DHCP-Optinen auf die Schaltfläche Hinzufügen. Wählen Sie als Option "" und tragen Sie im Feld Wert die IP-Adresse des virtuellen Routers ein. Folgen Sie dem Wizard zum nächsten Schritt. Hinweise zur Einrichtung des WLAN-Controllers finden Sie auf www.bintec-elmeg.com im Downloadbereich. Bestehende Installation Ist auf dem bintec Rxx02 (Router 1) bereits ein WLAN-Controller konfiguriert, muss dieser nicht erneut aufgesetzt werden, es müssen nur kleine Änderungen vorgenommen werden. Ist der WLAN-Controller gleichzeitig DHCP-Server, muss der bestehende DHCP-Server im Menü Lokale Dienste DHCP-Server IP-Pool-Konfiguration gelöscht werden. 188 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Legen sie einen neuen DHCP-Server auf der virtuellen Schnittstelle en1-0-1 an. (1) Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. Abb. 111: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Gehen Sie folgendermaßen vor, um den DHCP-Server anzulegen: (1) Geben Sie bei IP-Poolname eine beliebige Beschreibung, z. B. @"(! ein. (2) Bei IP-Adressbereich geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IP-Adresse des IP-Adress-Pools ein, z. B. < - < . (3) Bestätigen Sie mit OK. Im Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu können Sie nun die weitere Konfiguration vornehmen. Abb. 112: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Workshops (Auszug) 189 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Gehen Sie folgendermaßen vor: (1) Wählen Sie die virtuelle Schnittstelle aus. (2) Wählen Sie einen gültigen IP-Pool aus. (3) Unter Erweiterte Einstellungen im Menü DHCP-Optionen fügen Sie mit Hinzufügen die Option "" hinzu,damit die Access Points den WLAN-Controller unter seiner neuen Adresse erreichen. Als Wert geben Sie die IP-Adresse der virtuellen Schnittstelle ein. (4) Bestätigen Sie mit OK. 7.2.3 Konfiguration des Backup-Controllers (Router 2) Nun wird der zweite WLAN-Controller, der im Normalfall inaktiv ist, konfiguriert. Dazu wird zunächst die Konfiguration des Masters (Router 1) exportiert und im Backup (Router 2) importiert. Anschließend müssen nur noch Änderungen vorgenommen werden, damit er als „Slave“ funktioniert. Konfiguration des Masters exportieren Speichern Sie die Konfiguration des Masters mit der Schaltfläche Konfiguration speichern oberhalb der Menünavigation. Exportieren sie danach die Konfiguration in eine Datei auf ihrem Rechner. (1) Gehen Sie zu Wartung -> Software & Konfiguration -> Optionen. Abb. 113: Wartung -> Software & Konfiguration -> Optionen Gehen Sie folgendermaßen vor, um die Konfiguration zu exportieren: 190 (1) Wählen Sie bei Aktion +"* B!"" aus. (2) Als Aktueller Dateiname im Flash wählen Sie ' aus. Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH (3) Wenn Sie die Los-Schaltfläche drücken, erscheint ein Dialog, in dem Sie den Speicherort auf Ihrem PC auswählen und den gewünschten Dateinamen eingeben können. Hinweis Schalten Sie nun den Master (Router 1) aus, oder trennen Sie ihn vom Netz! Konfiguration im Backup importieren Schalten Sie nun den Backup-Router ( Router 2) ein. Dieser kann sich auch im Werkszustand (ohne Konfiguration) befinden. Öffnen Sie das GUI und importieren Sie die Konfiguration des Masters. (1) Gehen Sie zu Wartung -> Software & Konfiguration -> Optionen. Abb. 114: Wartung -> Software & Konfiguration -> Optionen Gehen Sie folgendermaßen vor, um die Konfiguration zu importieren: (1) Wählen Sie die Aktion +"* !"" aus. (2) Mit Durchsuchen.. wählen Sie die zuvor exportierte Konfiguration des Masters (Router 1) aus. Hinweis Durch Klicken auf Los wird die Datei zunächst unter dem Namen in den FlashSpeicher des Geräts geladen. Zum Aktivieren müssen Sie das Gerät neu starten. Nach dem Neustart besitzt der Backup-Router zunächst alle Einstellungen, Lizenzen usw. des Masters. Er ist also nun erst einmal unter der IP-Adresse des Masters (192.168.20.1 Workshops (Auszug) 191 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH bzw. 192.168.200.1) zu erreichen. Öffnen Sie das GUI. Ändern Sie ggf. den Systemnamen um dieses Geräte vom Master unterscheiden zu können. Grundlegende Systemparameter werden im Menü Systemverwaltung -> Globale Einstellungen -> System eingetragen. Ändern der IP-Adresse Damit Master und Backup unterschieden werden können, müssen die IP-Adressen des Backups (Router 2) geändert werden. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> . Abb. 115: LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> Gehen Sie folgendermaßen vor, um die IP-Adresse der physikalischen Schnittstelle zu ändern: (1) Ändern Sie die IP-Adresse der physikalischen Schnittstelle in . (2) Bestätigen Sie mit OK. Ändern Sie anschließend die IP-Adresse der physikalischen Schnittstelle , indem Sie LAN -> IP-Konfiguration -> Schnittstellen -><en1-4> wählen. 192 (1) Ändern Sie die IP-Adresse der physikalischen Schnittstelle in . (2) Bestätigen Sie mit OK. Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Die virtuellen Schnittstellen bleiben unverändert. Hinweis Beachten Sie, dass Sie nach dem Ändern der IP-Adresse die Webschnittstelle nur über die neue IP-Adresse erreichen können. Ergebnis: Abb. 116: LAN -> IP-Konfiguration -> Schnittstellen Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. Änderung der Lizenzen Die Lizenzen des Master-Gerätes (Router 1) sind auf dem Backup-Gerät nicht gültig. (1) Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Systemlizenzen. Abb. 117: Systemverwaltung -> Globale Einstellungen -> Systemlizenzen Löschen Sie alle ungültigen Lizenzen. Klicken Sie auf das -Symbol in der Zeile, in der die zu löschende Lizenz steht. Workshops (Auszug) 193 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Wählen Sie die Schaltfläche Neu, und tragen Sie die zuvor registrierten WLAN-Controller Lizenzen für das Backup-Gerät (Router 2) ein. BRRP-Prioritäten des Backups ändern Da der Backup-Controller (Router 2) inaktiv sein soll, wenn der Master aktiv ist, müssen die BRRP-Prioritäten im Backup heruntergesetzt werden. (1) Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router. Abb. 118: Lokale Dienste-> BRRP -> Virtuelle Router Wählen Sie das (1) 194 -Symbol um die virtuellen Router zu bearbeiten. Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router -> en1-0-1 -> . Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Abb. 119: Lokale Dienste -> BRRP -> Virtuelle Router -> en1-0-1 -> Gehen Sie folgendermaßen vor: (1) Setzen Sie die Priorität des virtuellen Routers 1 des Backup-Geräts auf einen geringeren Wert als bei dem Master Router, z. B. <. (2) Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK. Bearbeiten Sie anschließend den virtuellen Router 2, indem Sie Lokale Dienste -> BRRP > Virtuelle Router -> en1-4-1 -> wählen. (1) Setzen Sie die Priorität des virtuellen Routers 2 des Backup-Geräts auf einen geringeren Wert als bei dem Master Router, z. B. <. (2) Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK. Speichern Sie die Konfiguration des Backups mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. Kontrolle der Konfiguration Schalten Sie den Master (Router 1) wieder ein. Starten Sie den Backup-Router (Router 2 ) neu. Gehen Sie dazu in das Menü Wartung -> Neustart. Nachdem beide Geräte hochgefahren sind, sollte Router 1 im Master-Zustand sein und Router 2 im Backup-Zustand. Workshops (Auszug) 195 7 WLAN - WLAN-Controller Redundanz (1) bintec elmeg GmbH Gehen Sie am Router 1 zu Lokale Dienste -> BRRP -> Virtuelle Router. Abb. 120: Lokale Dienste -> BRRP -> Virtuelle Router Im Router 1 sind jetzt beide virtuellen Router im Master-Zustand. (1) Gehen Sie am Router 2 zu Lokale Dienste -> BRRP -> Virtuelle Router. Abb. 121: Lokale Dienste -> BRRP -> Virtuelle Router Auf dem Backup-Gerät sind wiederum beide virtuellen Router offline d.h. im Backup-Zu- 196 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH stand ". 7.2.4 Einrichtung der Überwachungsfunktionen Im Menü Externe Berichterstellung legen Sie fest, welche Systemprotokoll-Nachrichten auf welchem Rechner gespeichert werden und ob der Systemadministrator bei bestimmten Ereignissen eine E-Mail erhalten soll, z. B. • Ausfall des Router 1 und die Übernahme durch Router 2 (Backup) • Wiederaufnahme des Master-Status des Router 1, wenn er vorher Backup war • Ausfall des Router 2, wenn dieser sich im Backup-Modus befindet Ausfall des Master-Controllers Beim Ausfall des Master-Controllers, muss eine Nachricht verschickt werden, damit der zweite Router die Master-Funktion übernimmt. Daher wird diese Überprüfung im Backup (Router 2) vorgenommen. Richten Sie zunächst Ihren E-Mail-Account ein. (1) Gehen Sie zu Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen. Abb. 122: Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungs- einstellungen Gehen Sie folgendermaßen vor, um den E-Mail-Account einzurichten: (1) Workshops (Auszug) Als E-Mail-Adresse des Senders geben Sie die E-Mail-Adresse ein, die in das Absenderfeld der E-Mail eingetragen werden soll, z. B. ,I'! . 197 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH (2) Als SMTP-Server geben Sie die IP-Adresse des Mailservers ein, der zum Versenden der Mails verwendet werden soll, z. B. !'!. (3) Bei SMTP-Authentifizierung aktivieren Sie /, *+" S. Die Mails werden per POP3 von der sendenden IP aus mit dem richtigen POP3-Benutzernamen/Passwort abgerufen. (4) Geben Sie den Benutzernamen für den POP3 bzw. SMTP-Server an, hier z. B. , ". (5) Geben Sie das Passwort dieses Benutzers an, z. B. !"". (6) Geben Sie bei POP3-Server die Adresse des Servers ein, von dem die Mails abgerufen werden sollen, z. B. !!2'! . (7) Bestätigen Sie Ihre Angaben mit OK. Danach kann die Alarm-Funktion eingerichtet werden. (1) Gehen Sie zu Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu. Abb. 123: Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu Gehen Sie folgendermaßen vor, um die Alarm-Funktion einzurichten: 198 (1) Als Empfänger geben Sie die E-Mail-Adresse des Empfängers ein, z. B. I'! . (2) Sie können einen Betreff eingeben, z. B. ) *. Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH (3) Wählen Sie als Ereignis C 9 E+. (4) Sie müssen eine Enthaltene Zeichenfolge eingeben, z. B. T@ *" *T. Das Vorkommen dieser Zeichenfolge in einer Syslog Meldung ist die notwendige Bedingung für das Auslösen eines Alarms. (5) Die Nachricht tritt bei Schweregrad %*" auf. (6) Im Feld Überwachte Subsysteme klicken Sie auf Hinzufügen und wählen unter Subsystem %HH aus. (7) Bestätigen Sie Ihre Angaben mit OK. Wiederaufnahme des Masters Auch wenn der Master (Router 1) nach einem Ausfall wieder als primärer WLAN-Controller funktioniert, muss dies mitgeteilt werden. Daher muss auch auf Router 1 erkannt werden, ob er in den Master-Status gewechselt ist. Die Konfiguration hierfür ist identisch mit den Einstellungen für den Backup (Router 2). Konfigurieren Sie analog dazu den Master (Router 1). Ausfall des Backup-Controllers Wenn der Backup-Controller ausfällt, muss dies ebenfalls mitgeteilt werden. Um den Ausfall zu erkennen, muss eine Ping-Überwachung eingerichtet werden. Für den Fall, dass der Ping nicht beantwortet wird, wird zusätzlich eine E-Mail verschickt. Als Erstes muss also die Ping-Überwachung für den Backup (Router 2) eingerichtet werden. Da Router 2 über zwei IP-Adressen erreichbar ist (LAN und WAN) müssen auch beide IP-Adressen überwacht werden. (1) Workshops (Auszug) Gehen Sie zu Lokale Dienste -> Überwachung -> Ping-Generator -> Neu. 199 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Abb. 124: Lokale Dienste -> Überwachung -> Ping-Generator -> Neu Gehen Sie folgendermaßen vor, um die Ping-Überwachung für die LAN-Seite einzurichten: (1) Als Ziel-IP-Adresse geben Sie die IP-Adresse der physikalischen Schittstelle ein, hier . Achten Sie darauf, dass die IP-Adresse der physikalischen Schittstelle und nicht der virtuellen Schnittstelle überwacht wird. (2) Wählen Sie bei Quelle-IP-Adresse * aus. (3) Bestätigen Sie mit OK. Richten Sie jetzt die Ping-Überwachung für die WAN-Seite ein. Achten Sie darauf, dass Router 2 so konfiguriert ist, dass er Pings beantworten kann und keine Firewall o.Ä. die Überwachungs-Pings behindert. (1) 200 Gehen Sie zu Lokale Dienste -> Überwachung -> Ping-Generator -> Neu. Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Abb. 125: Lokale Dienste -> Überwachung -> Ping-Generator -> Neu Gehen Sie folgendermaßen vor, um die Ping-Überwachung für die WAN-Seite einzurichten: (1) Als Ziel-IP-Adresse geben Sie die IP-Adresse der physikalischen Schittstelle ein, hier . Achten Sie darauf, dass die IP-Adresse der physikalischen Schittstelle und nicht der virtuellen Schnittstelle überwacht wird. (2) Wählen Sie bei Quelle-IP-Adresse * aus. (3) Bestätigen Sie mit OK. Wird einer dieser Pings nicht beantwortet, muss per E-Mail alarmiert werden. (1) Workshops (Auszug) Gehen Sie zu Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu. 201 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Abb. 126: Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu Gehen Sie folgendermaßen vor, um die Alarm-Funktion einzurichten: (1) Als Empfänger geben Sie die E-Mail-Adresse des Empfängers ein, z. B. I'! . (2) Geben Sie einen Betreff ein, z. B. ; ""'*". (3) Wählen Sie als Ereignis C 9 E+. (4) Hier ist die Enthaltene Zeichenfolge U *@" +" ;U, die auftreten muss, wenn eine E-Mail verschickt werden soll. (5) Die Nachricht tritt bei Schweregrad 0' auf. (6) Im Feld Überwachte Subsysteme klicken Sie auf Hinzufügen und wählen unter Subsystem -$5, aus. (7) Bestätigen Sie Ihre Angaben mit OK. Damit ist die Konfiguration der E-Mail-Benachrichtigung abgeschlossen. 7.3 Zusätzliche Hinweise Hier noch ein paar zusätzliche Hinweise zum Betrieb des WLAN-Controllers in Redundanz. Was passiert bei einem Ausfall? Im Normalfall (wenn beide Geräte funktionierten) ist immer nur das Gerät mit der höheren 202 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH BRRP-Priorität aktiv (Master). Der Backup ist dennoch über seine Advertisement-Schnittstelle erreichbar und ggf. konfigurierbar. Beide Geräte kommunizieren über die AdvertisementSchnittstelle, um den gegenseitigen Status abzufragen. Fällt der Master aus, wird dies innerhalb von ca. drei Sekunden vom Backup-Controller erkannt und der Backup wird automatisch zum Master. Wenn der Backup eingerichtet ist, schickt der Backup-Controller eine Info-E-Mail, dass er jetzt im Master-Modus arbeitet. Die WLAN Access Points erkennen nach etwa einer Minute, dass ihr ursprünglicher WLAN-Controller nicht mehr verfügbar ist. Daraufhin werden sie neu starten und sich am neuen Controller anmelden und von ihm die Konfiguration beziehen. Das heißt, das WLAN wird für etwa eine Minute ausfallen, ist danach aber wieder voll einsatzfähig. Wird das defekte Gerät repariert und wieder ins Netzwerk gebracht, wird es je nach Konfiguration des Pre-Empt-Modus wieder in den MasterStatus wechseln oder als Backup verbleiben. Wechselt es in den Master-Modus zurück, wird eine E-Mail versendet. Auch dann werden die Access Points neu starten und sich wieder am ursprünglichen Controller anmelden. Synchronisation der Konfiguration Dieses Backup-Szenario beinhaltet keine Möglichkeit, Änderungen am Master (Router 1) automatisch in den Backup (Router 2) zu übernehmen. Wenn Sie Änderungen am Master vornehmen, müssen Sie diese Änderungen entweder auch im Backup vornehmen oder alle Schritte ab Kapitel WLAN Controller auf den primären Router konfigurieren erneut ausführen. Es ist auch möglich, auf Master und Backup verschiedene Konfigurationen zu halten. Fällt der erste Controller aus, ist dann das zweite Gerät mit anderer Konfiguration aktiv. 7.4 Konfigurationsschritte im Überblick Konfiguration des virtuellen Router 1 Feld Menü Wert Ethernet Schnittstelle Lokale Dienste -> BRRP -> Virtuelle Router -> Neu Router-IP-Adresse Lokale Dienste -> BRRP -> Virtuelle z. B. Router -> Neu ID des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle Router -> Neu Priorität des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle z. B. < Router -> Neu Konfiguration des virtuellen Router 2 Workshops (Auszug) 203 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Feld Menü Wert Ethernet Schnittstelle Lokale Dienste -> BRRP -> Virtuelle Router -> Neu Router-IP-Adresse Lokale Dienste -> BRRP -> Virtuelle z. B. < Router -> Neu ID des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle Router -> Neu Priorität des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle z. B. < Router -> Neu VR-Synchronisation 1 Feld Menü Wert Monitoring-Modus Lokale Dienste -> BRRP -> VRSynchronisation -> Neu %HH ID des virtuellen Routers Lokale Dienste -> BRRP -> VRSynchronisation -> Neu Synchronisationsmodus %HH Lokale Dienste -> BRRP -> VRSynchronisation -> Neu ID des virtuellen Routers Lokale Dienste -> BRRP -> VRSynchronisation -> Neu VR-Synchronisation 2 Feld Menü Wert Monitoring-Modus Lokale Dienste -> BRRP -> VRSynchronisation -> Neu %HH ID des virtuellen Routers Lokale Dienste -> BRRP -> VRSynchronisation -> Neu Synchronisationsmodus %HH Lokale Dienste -> BRRP -> VRSynchronisation -> Neu ID des virtuellen Routers Lokale Dienste -> BRRP -> VRSynchronisation -> Neu BRRP aktivieren Feld Menü Wert BRRP aktivieren Lokale Dienste -> BRRP -> Optionen (#" Neuinstallation des WLAN-Controller 204 Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Feld Menü Wert Region Wireless LAN Controller -> Wizard z. B. &"*C Schnittstelle Wireless LAN Controller -> Wizard .$A5$ DHCP-Server Wireless LAN Controller -> Wizard -" IP-Adressbereich Wireless LAN Controller -> Wizard z. B. < - < DHCP-Server konfigurieren Feld Menü Wert IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool Konfiguration -> Neu z. B. @"(! IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool Konfiguration -> Neu z. B. < - < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. @"(! IP-Poolname Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu "" Wert Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. Konfiguration exportieren Feld Menü Wert Aktion Wartung -> Software & Konfigurati- +"* B on -> Optionen !"" Aktueller Dateiname in Flash Wartung -> Software & Konfigurati- ' on -> Optionen Konfiguration importieren Workshops (Auszug) Feld Menü Wert Aktion Wartung -> Software & Konfigurati- +"* on -> Optionen !"" Dateiname Wartung -> Software & Konfigurati- 0" on -> Optionen 205 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH IP-Konfiguration Feld Menü Wert IP-Adresse LAN -> IP-Konfiguration -> Schnitt- stellen -> <en1-0> IP-Adresse LAN -> IP-Konfiguration -> Schnitt- stellen -> <en1-4> BRRP Prioritäten ändern Feld Menü Wert Priorität des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle z. B. < Router -> en1-0-1 -> Priorität des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle z. B. < Router -> en1-4-1 -> E-Mail-Account einrichten Feld Menü Wert E-Mail-Adresse des Senders Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen z. B. ,I'! SMTP-Server Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen z. B. !'! SMTP-Authentifizierung Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen /, *+" S Benutzername Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen z. B. ," Passwort Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen z. B. !"" POP3-Server Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen z. B. !!2'! Alarm-Funktion einrichten (Router 1) 206 Feld Menü Wert Empfänger Externe Berichterstellung -> Benachrichtigungsdienst -> Benach- z. B. I'! Workshops (Auszug) 7 WLAN - WLAN-Controller Redundanz bintec elmeg GmbH Feld Menü Wert richtigungsempfänger -> Neu Betreff Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu z. B. ) * Ereignis Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu z. B. C 9 E + Enthaltene Zeichnfolge Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu U@ *" *U Schweregrad Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu %*" Überwachte Subsysteme Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu-> Hinzufügen %HH Ping-Überwachung einrichten Feld Menü Wert Ziel-IP-Adresse Lokale Dienste -> Überwachung -> Ping-Generator -> Neu Quell-IP-Adresse Lokale Dienste -> Überwachung -> * Ping-Generator -> Neu Ziel-IP-Adresse Lokale Dienste -> Überwachung -> Ping-Generator -> Neu Quell-IP-Adresse Lokale Dienste -> Überwachung -> * Ping-Generator -> Neu Alarm-Funktion einrichten (Router 2) Workshops (Auszug) Feld Menü Wert Empfänger Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu z. B. I'! Betreff Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu z. B. ; " "'*" Ereignis Externe Berichterstellung -> Benachrichtigungsdienst ->Benach- C 9 E+ 207 7 WLAN - WLAN-Controller Redundanz Feld bintec elmeg GmbH Menü Wert richtigungsempfänger -> Neu 208 Enthaltene Zeichnfolge Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu U *@" +" ;U Schweregrad Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu 0' Überwachte Subsysteme Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu-> Hinzufügen -$5, Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Kapitel 8 WLAN - VoWLAN Grundlagen und Konfiguration 8.1 Allgemein Beim schnurlosen Telefonieren erwartet der Anwender eine möglichst gute Sprachqualität und hohe Zuverlässigkeit. Der DECT (Digital Enhanced Cordless Telecommunications) Standard hat eine hohe Akzeptanz und erfüllt die oben genannten Voraussetzungen. Im Gegensatz zu WLAN verwendet DECT einen eigenen reservierten Frequenzbereich. Da DECT im 1,9 GHz Bereich arbeitet, ist die Hochfrequenz-Ausbreitungscharakteristik günstiger als bei WLAN, dies führt zu einer höheren Reichweite. Daher werden auch bei VoWLAN mehr Basisstationen (Access Points) als bei DECT benötigt. WLAN ist ursprünglich für Datenübertragung von Endgeräten entwickelt worden, deren Standort sich nicht verändert. Bei VoWLAN verändert sich der Standort des Wifi Telefons aber permanent. VoWLAN muss also in der Lage sein, die Verbindung von einem Access Point zum nächsten Access Point zu übergeben (Handover/Roaming). Das muss ohne merkliche Unterbrechung der Verbindung möglich sein (Seamless Handover). Dieses Merkmal ist besonders bei Installationen in größeren Unternehmen wichtig, bei denen mehrere Access Points zum Einsatz kommen. In den nachfolgenden Kapiteln wird gezeigt, wie ein derartiges VoWLAN-Netz konfiguriert und aufgebaut werden muss, damit die wichtigsten Qualitätsmerkmale erfüllt werden können, die von drahtloser Telefonie erwartet werden. Es kommen dabei die elmeg hybird 300/600, mehrere WLAN-Access Points z.B. bintec W2003n-ext, ein bintec R1202 als WLAN-Controller sowie das von bintec elmeg zertifizierte Ascom i62 VoWLAN-Telefon zum Einsatz. 8.2 WLAN Infrastruktur Workshops (Auszug) 209 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.2.1 WLAN Funkausleuchtung Gegenüber einer WLAN-Infrastruktur für Datenübertragung muss das WLAN-Netz für VoWLAN engmaschiger ausgelegt werden. Bei der Planung ist auch auf die WLANVersorgung von Nebenräumen zu achten, damit beispielsweise auch in der Kaffeeküche telefoniert werden kann. Damit das Roaming perfekt funktioniert, und zur Erzielung einer guten Sprachqualität ist eine Versorgung mit mindestens -70 dBm innerhalb einer Zelle zu gewährleisten. Darüber hinaus sollen sich die Funkzellen gegenseitig um 6-10 dBm überlappen. Die VoWLAN-Telefone und die Access Points sollen dabei auf maximale Sendeleistung (20 dBm/100 mW) eingestellt sein. Abb. 127: Darstellung der Mindestanforderungen an die WLAN-Ausleuchtung für VoWLAN Bei größeren Gebäuden wird man die zur Verfügung stehenden drei überlappungsfreien Funkkanäle (z. B. 1, 6, 11) mehrfach vergeben müssen. Damit es zu keinen Einschränkungen bei der Performance kommt, sollte gewährleistet sein, dass innerhalb einer Funkzelle auf dem gleichen Kanal keine Access Points arbeiten, die ein stärkeres Signal als -80 dBm liefern. Abb. 128: Mindestabstand zweier WLAN Access Points auf dem gleichen Sendekanal Die Ausleuchtung des Gebäudes und die Festlegung der Standorte der Access Points sollen bei einer VoWLAN-Installation unbedingt durch ein Ekahau Site Survey (www.ekahau.de) geplant werden. Bei einem Site Survey wird mit einer computergestützten Planungssoftware eine Begehung des Gebäudes durchgeführt und eine flächende- 210 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH ckende Ausleuchtung errechnet. Dabei werden auch die optimalen Standorte der WLAN Access Points festgelegt. Abb. 129: Typisches Ergebnis eines Site Survey 8.2.2 Handover zwischen den Access Points Damit das Handover zwischen den Access Points richtig funktioniert, ist es notwendig, dass alle Access Points die gleiche SSID verwenden. Vorzugsweise soll für die Sprachkommunikation eine eigene SSID verwendet werden. Bei Netzen mit 802.11g und 802.11n (20 MHz) müssen die Funkkanäle einen Kanalabstand von 5 Kanälen haben. Daher können z. B. nur die Kanäle 1, 6 und 11 überlappungsfrei belegt werden. Zur Optimierung des Handover zwischen den Access Points kann bei manchen VoWLANTelefonen (z. B. Ascom) ein Kanalplan (z. B. Kanal 1, 6, 11) eingegeben werden. Dies bewirkt dann, dass das Telefon bei schwachem WLAN-Signal nur auf den Kanälen des Kanalplanes nach einem neuen Access Point sucht. Dieses Verfahren ermöglicht ein etwas schnelleres Handover. Wichtig ist nur, dass bei der Konfiguration darauf geachtet wird, dass der Kanalplan des Telefons identisch mit den im WLAN-Netz verwendeten Kanälen ist. 8.2.3 Bandbreitenbedarf Die maximal erreichbare Bruttodatenrate einer WLAN-Verbindung hängt zunächst von der verwendeten 802.11-Betriebsart ab. Es ist aber zu beachten, dass bei größerer Entfernung zwischen Access Point und Endgerät diese Bruttorate leicht auf die minimale Bruttorate abfallen kann. Die tatsächliche Nettorate liegt jedoch nur bei etwa 40-50 % der Bruttorate. Workshops (Auszug) 211 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 802.11 Betriebsart Maximale Bruttorate Minimale Bruttorate 802.11b 11 Mbit/s 1 Mbit/s 802.11bg 54 Mbit/s 6 Mbit/s 802.11n (1stream/20 MHz) 72,2 Mbit/s 7,2 Mbit/s Ein Sprachkanal benötigt etwa 100 kbit/s, bei der Kapazitätsplanung ist jedoch davon auszugehen, dass genügend Reserven im Nutzkanal vorhanden sind, damit jedes RTP-Paket auch sofort versendet werden kann. 802.11g und 802.11n sind untereinander 100-prozentig kompatibel und ein WLAN-Netz kann daher bedenkenlos im Mischbetrieb laufen. Bei 802.11b (11 Mbit/s) gibt es aber die Besonderheit, dass bereits ein Gerät mit 802.11b (11 Mbit/s) ein komplettes Netz auf diese niedrige Bitrate zieht. 802.11b-Geräte sind kaum noch verbreitet, daher wird dringend empfohlen, eine Betriebsart zu verwenden, die 802.11b nicht zulässt. Wir empfehlen daher, als 802.11-Betriebsart einzustellen, um 802.11b-Geräte nicht zuzulassen. 8.2.4 Der Sicherheitsstandard und das Handover WLAN ist ursprünglich für die Datenübertragung von Endgeräten entwickelt worden, deren Standort sich nicht verändert. Bei VoWLAN verändert sich der Standort des WLAN-Telefons aber permanent. Eine VoWLAN-Installation muss also in der Lage sein, die Verbindung von einem Access Point zum nächsten Access Point zu übergeben (Handover), ohne dass es zu einer merklichen Unterbrechung der Verbindung (Seamless Handover) kommt. Dieses Merkmal ist besonders bei Installationen in größeren Unternehmen wichtig, bei denen mehrere Access Points zum Einsatz kommen. Gerade einfache, preiswerte Access Points aus dem Konsumbereich und auch ältere Endgeräte haben hier oft Probleme. Das gewählte WLAN-Security-Verfahren hat darüber hinaus entscheidenden Einfluss auf die Handover-Performance. Beim Handover von einem Access Point auf einen anderen Access Point mit besserem WLAN-Signal muss nach dem Herstellen der Verbindung die WLAN-Security wiederhergestellt werden, bevor das nächste Sprachdatenpaket übertragen werden kann. Wir empfehlen WPA2-PSK, da hier eine hohe Sicherheit erreicht wird bei gleichzeitig hervorragenden Handover-Zeiten (<40 ms). Von der Verwendung von 802.1x bzw. WPA2-Enterprise in drahtlosen VoWLAN-Netzen wird abgeraten, da die Wiederherstellung der Security nach einem Handover auf einen neuen Access Point deutlich länger dauert als bei WPA2-PSK. Dies führt dann möglicherweise zu hörbaren Unterbrechungen und Störgeräuschen. 212 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.2.5 QoS, WMM und U-APSD Damit die Endgeräte eine lange Gesprächszeit und hohe Standby-Zeiten mit einer Akkuladung erreichen, ist es notwendig, dass sowohl die Endgeräte als auch die Access Points entsprechende Stromsparmechanismen unterstützen. U-APSD (Unscheduled Automatic Power Save Delivery) sorgt dafür, dass das Endgerät nur dann sendet, wenn es notwendig ist. Während der Schlafphase des Endgerätes sorgt der Access Point dafür, dass Datenpakete, die an das Telefon gesendet werden sollen, zwischengespeichert werden und dass das Telefon auch rechtzeitig aufgeweckt wird. Ob U-APSD richtig funktioniert, hängt von der signalisierten QoS-Klasse ab, da U-APSD immer einen Bezug zur QoS-Klasse hat. Bei der Konfiguration sollte man sich daher an die Herstellerempfehlung halten. Die Sprachdaten werden als RTP (Real-Time-Transport-Protocol) Daten übermittelt. Um die Übermittlung der RTP-Sprachdatenpakete zwischen der IP-TK- Anlage und dem VoWLAN-Telefon mit geringen Latenzzeiten zu realisieren, ist es notwendig, die Sprachdaten gegenüber den normale Daten zu priorisieren. In diesem Kapitel wird beschrieben, wie die Priorisierung der Sprachdaten im LAN und im WLAN funktioniert und welchen Zusammenhang es mit dem Stromsparmechanismus UAPSD gibt. 8.2.5.1 WMM Priority Classes und COS (Layer 2) Mapping Der 802.11e-Standard definiert vier WMM-Access-Categories (ACs), um den Datenverkehr entsprechend der QoS-Anforderungen zu behandeln. • AC_BK (background) • AC_BE (best effort) • AC_VI (video) • AC_VO (voice) Ergänzend legt 802.11e ein Mapping zwischen dem Layer 2 (802.1d) Class of Service des LANs und den WMM-Access-Categories des WLANs fest. Mapping Tabelle nach 802.11e Workshops (Auszug) Priority Layer 2 COS WMM-Access-Category Lowest 1 AC_BK (background) 2 AC_BK (background) 0 AC_BE (best effort) 3 AC_BE (best effort) 4 AC_VI (video) 213 8 WLAN - VoWLAN Grundlagen und Konfiguration Priority Highest bintec elmeg GmbH Layer 2 COS WMM-Access-Category 5 AC_VI (video) 6 AC_VO (voice) 7 AC_VO (voice) Die Access Points (z. B. bintec W2003n-ext, bintec WIx040n, bintec WIx065n) haben das Mapping entsprechend des 802.11e-Standards implementiert. Der WLAN-Treiber der Access Points führt das Mapping zwischen der Layer 2-Priorität des LAN und der WMMKlasse des WLAN durch und zwar in beiden Richtungen. In vielen IP-Netzwerken (kein VLAN oder VLAN ohne Layer 2 Priority) werden die QoSRequirements für die Datenübertragung mittels Layer 3-Priority (TOS/DSCP) signalisiert. Deshalb ist es notwendig, dass die WLAN Access Points Layer3 <- -> Layer 2 Mapping unterstützen. Layer 3 / Layer 2 / WMM-Mapping DSCP Field Hex/Bin/Dec Layer 2 Prio Traffic Type Acronym WMM-Access-Category 0x38 / 111000 / 56 7 Network Control NC AC_VO 0x30 / 110000 / 48 6 Voice VO AC_VO 0x28 / 101000 / 40 5 Video VI AC_VI 0x20 / 100000 / 32 4 Controlled Load CL AC_VI 0x18 / 011000 / 24 3 Excellent Effort EE AC_BE 0x10 / 010000 / 16 2 Spare 0x08 / 001000 / 8 1 Background BK AC_BK 0x00 / 000000 / 0 0 Best Effort BE AC_BE AC_BK Das obige Mapping berücksichtigt nur die oberen drei Bits des TOS/DSCP-Feldes; es ist daher relativ unscharf und führt zu Problemen mit VoWLAN-Geräten. Die meisten VoWLAN-Geräte benutzten aber als Class of Service Expedited Forwarding (EF) mit DSCP Value (0x2E / 101110 / 46) entsprechend RFC 4594. Die obige Mapping-Tabelle würde diese Klasse in die WMM Class 'AC_VI' mappen. Dies ist aber nicht korrekt, da 214 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH das VoWLAN-Telefon für die Gegenrichtung „WMM AC 'AC_VO“ verwendet. Um dieses Problem zu vermeiden, mappen bintec Access Points Daten, die mit “EF” getagged sind, auf folgende Weise: DSCP Field Hex/Bin/Dec Layer 2 Prio Traffic Type Acronym WMM-Access-Category 0x2E / 101110 / 46 6 Voice VO AC_VO Merke: Bei der Installation muss der Anwender lediglich darauf achten, dass das VoWLANTelefon und die IP-TK-Anlage als Class of Service Expedited Forwarding (EF) mit DSCP Value (0x2E / 101110 / 46) verwenden. Dieser Wert ist bei der elmeg hybird 300/600 voreingestellt. 8.2.5.2 U-APSD (Unscheduled Automatic Power Save Delivery) U-APSD ist Bestandteil von 802.11e und trägt maßgeblich zur Erhöhung der Akkulaufzeit von VoWLAN-Endgeräten bei. U-APSD muss sowohl vom VoWLAN-Endgerät als auch vom WLAN Access Point unterstützt werden. U-APSD funktioniert immer nur für die jeweilige WMM-Access-Categorie. Daher ist wichtig, dass die im obigen Kapitel gemachten Voraussetzungen geschaffen werden. Der grobe Ablauf funktioniert wie folgt: • VoWLAN-Endgerät meldet sich mit Class of Service Expedited Forwarding (EF) und UAPSD beim WLAN Access Point an. • Das VoWLAN-Endgerät schaltet danach in den Power-Save-Mode. • Falls der WLAN Access Point Datenpakete für das betreffende VoWLAN-Endgerät mit dem Class of Service Expedited Forwarding (EF) erhält, speichert der Access Point diese Daten kurzzeitig zwischen und wartet bis das VoWLAN-Endgerät wieder aufgeweckt ist. Erst jetzt werden die Daten versendet. • Der Vorgang funktioniert derart schnell, dass das Endgerät selbst im Gesprächszustand noch genug Zeit für den Power-Save-Mode hat. Neben der längeren Akkulaufzeit gibt es einen weiteren positiven Effekt von U-APSD. VoWLAN-Endgeräte mit funktionierenden U-APSD sind bei längeren Gesprächen deutlich kühler als Geräte, die kein U-APSD unterstützen. U-APSD wird von den Access Points (z. B. bintec W2003n-ext, bintec WIx040n, bintec WIx065n) ab Release 7.9.6 unterstützt. Workshops (Auszug) 215 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.2.6 WLAN Controller – Ein Muss in einem VoWLAN-Netz? Um das Handover zu optimieren, verwalten die Lösungen einiger Hersteller die WLAN-Daten zentral im WLAN-Controller. Diese Lösungen bedienen sich dann sogenannter ThinAPs, das sind Access Points ohne eigene Intelligenz. Der Nachteil dieser Lösungen ist, dass der gesamte Datenverkehr zentral ausgekoppelt wird und damit die Netze belastet. Mit Einführung der 802.11n-Technik ist die Datenmenge beträchtlich gestiegen, damit verlieren Lösungen mit Thin-APs weiter an Bedeutung gegenüber Lösungen mit intelligenten FAT-APs. Seit Einführung des Sicherheitsstandards WPA2-PSK und dem Fast-Roaming nach 802.11r ist nun auch die Handover-Problematik bei WLAN-Lösungen mit FAT-APs gelöst. Die bintec WLAN Controller-Lösung arbeitet mit intelligenten Access Points (FAT-APs), die die Nutzdaten lokal verwalten. Dieses Szenario hat gegenüber Thin-Client Lösungen erhebliche Performance-Vorteile. Der bintec WLAN Controller ist kein Muss für eine VoWLAN-Installation, erleichtert aber die Installation erheblich und vereinfacht die Überwachung des Systems. 8.2.7 Mögliche Störquellen Das 2,4-GHz-Band wird neben WLAN von verschiedensten Funkdiensten genutzt. Die meisten dieser Dienste sind auf kleine Sendeleistungen beschränkt und haben nur eine geringe Reichweite. So haben zum Beispiel die meisten Bluetooth-Geräte, die wir in Büroumgebungen häufig finden, meist nur eine Sendeleistung von 1 mW und sind somit für VoWLAN kein echtes Problem. Wichtig für störungsfreien VoWLAN-Betrieb ist darüber hinaus natürlich auch, dass sich möglichst wenige, fremde Access Points (Nachbarn) in der Nähe befinden. Diese fremden Access Points stören zwar zunächst nicht, reduzieren aber die Nettobandbreite. Verbesserung bringt hier z. B. ein geänderter Kanalplan, um so am Nachbar-Access-Point „vorbei zu funken“. Besonders dann, wenn ein VoWLAN-Netz für eine hohe Anzahl von Teilnehmern geplant wird, kann es auch hilfreich sein, ein zweites WLANNetz mit 5 GHz zu installieren, um so die Datenanwendungen auf das freie 5-GHz-Netz zu bringen. Nach unserer Erfahrung sind unbekannte Störquellen in VoWLAN-Anwendungen selten, wenn die hier beschriebenen Grundregeln bei der Installation eingehalten werden. Eventuelle, breitbandige Störquellen oder Nachbarschafts-Access-Points, die später zu Problemen führen können, werden darüber hinaus bei einer Site-Survey-Begehung des Gebäudes bereits im Vorfeld erkannt und es können vorab Gegenmaßnahmen ergriffen werden. 8.3 Beispielkonfiguration 216 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.3.1 Netzwerkplan Abb. 130: Beispielszenario Die obige Beispielkonfiguration zeigt ein kleines Anwendungsszenario, bestehend aus einer elmeg hybird 300, einem bintec R1202 als WLAN Controller, drei bintec W2003n-ext Access Points und einem Ascom i62 VoWLAN-Telefon. Das LAN besteht aus zwei Netzen: Zum einen aus dem Netz 192.168.1.0/24, dieses Netz dient der Kommunikation zwischen dem WLAN Controller ( bintec R1202) und den Access Points. Das zweite Netz 192.168.2.0/24 ist hier mit der VLAN-ID getagged und dient zum Transport der Voice-Daten. Die SSID %0#: ist der VLAN-ID zugeordnet. Dadurch werden nur die Voice-Daten zwischen dem VoWLAN-Telefon und der hybird über die WLAN-Strecke übertragen. bintec R1202 arbeitet als WLAN Controller und stellt darüberhinaus für die VoWLAN-Telefone zusätzlich noch den NTP-Zeitserver (192.168.1.254) zur Verfügung. Workshops (Auszug) 217 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.3.2 WLAN Konfiguration mit oder ohne WLAN Controller Ein VoWLAN-Netz kann sowohl über einen WLAN Controller als auch manuell konfiguriert und betrieben werden. Da der Handling-Aufwand für eine größere Installation bei Verwendung eines WLAN Controller deutlich geringer ist und zudem auch mehr Komfort bei der Überwachung bietet, empfehlen wir bei Installationen mit mehr als drei Access Points den Einsatz eines WLAN Controllers. Zur Konfiguration wird das GUI (Graphical User Interface) verwendet. Um auf die Konfigurationsoberfläche zu gelangen, geben Sie im Web-Browser die IPAdresse des bintec R1202 an. Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile -> Neu. Abb. 131: Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile -> Neu Gehen Sie folgendermaßen vor: 218 (1) Bei Betriebsmodus legen Sie fest, in welchem Modus das Funkmodulpofil betrieben werden soll, hier . (2) Wählen Sie das Frequenzband des Funkmodulprofils 4 &;7 -S " aus. (3) Bei Anzahl der Spatial Streams wählen Sie aus, wieviele Datenströme parallel verwendet werden sollen, z. B. (Standardwert): Zwei Datenströme werden verwendet. (4) Wählen Sie bei Drahtloser Modus die Wireless-Technologie aus, die der Access Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Point anwenden soll, hier . (5) Wählen Sie die Max. Übertragungsrate aus. Mit (Standardwert) wird die Übertragungsgeschwindigkeit automatisch ermittelt. (6) Bestätigen Sie mit OK. Legen Sie anschließend die Drahtlosnetzwerk-Einträge an. Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu. Abb. 132: Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Geben Sie den Netzwerknamen (SSID) des Drahtlosnetzwerks, z. B. % 0#: ein. (2) Deaktivieren Sie das Intra-cell Repeating. Die Kommunikation zwischen den WLANClients innerhalb einer Funkzelle ist nicht erlaubt. (3) Deaktivieren Sie das ARP Processing. (4) Aktivieren Sie die Funktion WMM (Wireless Multimedia) um stets eine optimale Übertragungsqualität bei zeitkritischen Anwendungen zu erreichen. (5) Wählen Sie den Sicherheitsmodus aus. (6) Bei WPA-Modus wählen Sie aus, welche Verschlüsselung angewendet werden soll, 219 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH hier . (7) Wählen Sie bei WPA2 Cipher aus, mit welcher Verschlüsselung Sie WPA anwenden wollen, hier ,- und 5. (8) Geben Sie bei Preshared Key das WPA-Passwort ein, z. B. !"". Solange der Key nicht geändert wurde, ist ihr Gerät nicht gegen einen unautorisierten Zugriff geschützt! (9) Deaktivieren Sie ACL-Modus . Für dieses Drahtlosnetzwerk werden alle Clients zugelassen. (10) Wählen Sie bei VLAN-ID den Zahlenwert ein, der das VLAN identifiziert, hier . (11) Bestätigen Sie mit OK. 8.4 Ascom i62 Talker Konfiguration 8.4.1 Vorrausetzungen Folgende Geräte bzw. Software benötigen Sie zur Konfiguration des Ascom i62: • Ascom i62 Talker (EH1-AAAA/1A) • Ascom Desktop Programmer (DP1-AAAA) • Ascom WinPDM Version 3.8.1 oder höher • Softwarestand 2.1.20 oder höher • Parameterversion 13.3 oder höher 8.4.2 Konfiguration 8.4.2.1 Neues Telefon anlegen 220 (1) Öffnen Sie das Ascom WinPDM-Programm. (2) Zum Anlegen eines neuen Teilnehmers gehen Sie zu Numbers -> New. (3) Tragen Sie in das Feld Call number die SIP-Rufnummer ein, z. B. . Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Abb. 133: Numbers -> New Netzwerk definieren Beim Ascom i62 kann man vier WLAN-Netzwerke (Network A bis D) definieren. Gehen Sie zu Network -> Network B. Workshops (Auszug) 221 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Abb. 134: Network -> Network B Zum Betrieb sind folgende Einträge nötig: Name Wert DHCP mode Enable SSID Bintec-Dev_Voice Security mode WPA-PSK & WPA2-PSK WPA-PSK passphrase z. B. supersecret Voice power save mode U-APSD 802.11b/g/n channels 1, 6, 11 IP DSCP for voice 0x2E (46) IP DSCP for signaling 0x2E (46) Geräte-Einstellungen Gehen Sie zu Device -> Settings. 222 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Abb. 135: Device -> Settings Zum Betrieb sind folgende Einträge nötig: Name Wert User display text z. B. bintec elmeg Active Network Network B Allgemeine Geräte-Einstellungen Gehen Sie zu Device -> General. Workshops (Auszug) 223 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Abb. 136: Device -> General Zum Betrieb sind folgende Einträge nötig: Name Wert Time zone Central European Time (GMT+1) NTP server 192.168.1.254 Allgemeine VoIP-Einstellungen Gehen Sie zu VoIP -> General. 224 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Abb. 137: VoIP -> General Zum Betrieb sind folgende Einträge nötig: Name Wert VoIP protocol SIP Endpoint number Stellt die Rufnummer des Gerätes dar und ist hier nicht veränderbar. Die Rufnummer wird bereits bei Erzeugung des Geräteparametersatzes festgelegt. SIP-Konfiguration Gehen Sie zu VoIP -> SIP. Workshops (Auszug) 225 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Abb. 138: VoIP -> SIP Zum Betrieb sind folgende Einträge nötig: Name Wert SIP proxy IP address 192.168.2.253 SIP proxy password z. B. supersecret Authentication identity Endpoint number (die Rufnummer wird als SIP username verwendet) 8.4.3 Testbefehle am Ascom i62 Das Ascom i62 hat einige Testbefehle die bei der Installation und Fehlersuche hilfreich sind: *#76# Schaltet die RSSID-Anzeige ein/aus *#77# Schaltet die Site Survey Tools ein 8.5 Konfiguration der elmeg hybird 300 226 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.5.1 Konfiguration Für das VoWLAN-Telefon muss ein SIP-Teilnehmer eingerichtet werden. Die unbedingt notwendige Einstellung des DSCP-Wertes auf 0x2E / 101110 / 46 ist bereits als StandardEinstellung berücksichtigt, so dass hier keine Änderung notwendig ist. Die Netzwerkschnittstelle der elmeg hybird 300 muss in unserem Anwendungsbeispiel mit VLAN-ID getaggt werden. Um auf die Konfigurationsoberfläche zu gelangen, geben Sie im Web-Browser die IPAdresse der elmeg hybird 300 an. Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> Neu. Abb. 139: LAN -> IP-Konfiguration -> Schnittstellen -> Neu Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Bei Basierend auf Ethernet-Schnittstelle wählen Sie die virtuelle Schnittstelle aus, z. B. . (2) Bei Schnittstellenmodus wählen Sie ,* (3) Bei VLAN-ID geben Sie ein. (4) Bestätigen Sie mit OK. J:.$K aus. 227 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.5.2 Betriebsfall: WLAN-Telefon nicht erreichbar Ein Ruf auf das WLAN-Telefon kann fehlschlagen, wenn der Teilnehmer sich zum Beispiel außerhalb der Reichweite eines Access Points befindet, das Telefon ausgeschaltet ist oder wenn der Akku leer ist. Damit dennoch keine Rufe verloren gehen ist es sinnvoll, eine Anrufweiterschaltung (AWS) % %7% $ in der elmeg hybird 300 für die betreffende Nebenstelle einzurichten. Gehen Sie zu Anrufkontrolle -> Ausgehende Dienste -> Anrufweiterschaltung (AWS) > Neu. Abb. 140: Anrufkontrolle -> Ausgehende Dienste -> Anrufweiterschaltung (AWS) -> Neu Gehen Sie folgendermaßen vor: 228 (1) Wählen Sie eine Interne Rufnummer aus, für die kommende Anrufe weitergeschaltet werden sollen. (2) Bei Art der Anrufweiterschaltung wählen Sie % %7% $ aus. (3) Geben Sie eine Zielrufnummer ein, auf die kommende Anrufe nach Zeit oder bei Besetzt weitergeschaltet werden sollen. (4) Bestätigen Sie mit OK. Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH 8.6 Verwendung anderer WLAN-Telefone Neben dem von uns zertifizierten und empfohlenen Ascom i62 VoWLAN-Endgerät können natürlich auch Geräte anderer Anbieter verwendet werden. Auch Smart Phones, wie z. B. ein Apple iPhone, sind einsetzbar. Leider gibt es jedoch hier kleine Unterschiede in der Performance, so haben einige Geräte kein U-APSD implementiert oder die Roaming Performance lässt zu wünschen übrig. Mit den hier aufgeführten Geräten haben wir gute Ergebnisse erzielt: • Apple iPhone 4 mit bintec SIP APP (kein U-APSD) • Nokia 6710 8.7 Konfigurationsschritte im Überblick Funkmodulprofile konfigurieren Aktion Menü Wert Betriebsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> Neu Frequenzband Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> Neu 4 &;7 -S " Anzahl der Spatial Streams Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> Neu Drahtloser Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> Neu Max. Übertragungsrate Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> Neu Funkmodulprofile konfigurieren Workshops (Auszug) Aktion Menü Wert Netzwername (SSID) Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu z. B. % 0#: Intra-cell Repeating Wireless LAN Controller -> Slave- 0*(#" 229 8 WLAN - VoWLAN Grundlagen und Konfiguration Aktion bintec elmeg GmbH Menü Wert AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu ARP Processing Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu 0*(#" WMM Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu (#" Sicherheitsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu WPA-Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu WPA2 Cipher Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu 5 Preshared Key Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu z. B. !"" ACL-Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu 0*(#" VLAN-ID Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu Feld Menü Wert Call number Numbers -> New z. B. DHCP mode Network -> Network B 5*' SSID Network -> Network B z. B. % 0#: Security mode Network -> Network B V WPA-PSK passphase Network -> Network B z. B. !"" Voice power save mode Network -> Network B 10 802.11b/g/n channels Network -> Network B 44 ,- aktiviert Ascom i62 konfigurieren 230 Workshops (Auszug) 8 WLAN - VoWLAN Grundlagen und Konfiguration bintec elmeg GmbH Feld Menü Wert IP DSCP for voice = 0x2E (46) Network -> Network B B5 JK IP DSCP for signaling = 0x2E (46) Network -> Network B B5 JK User display text Device -> Settings z. B. ' Active network Device -> Settings $@"( % Time zone Device -> General "* 5"!* , J&/,PK NTP server Device -> General z. B. < VoIP protocol VoIP -> General SIP SIP proxy IP address VoIP -> SIP z. B. <2 SIP proxy password VoIP -> SIP z. B. !"" Authentication identity VoIP -> SIP 5 ! '" Schnittstelle konfigurieren Feld Menü Wert Basierend auf EthernetSchnittstelle LAN -> IP-Konfiguration -> Schnitt- z. B. stellen -> Neu Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- ,* stellen -> Neu VLAN-ID LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu J:.$K Anrufweiterschaltung konfigurieren Workshops (Auszug) Feld Menü Wert Interne Rufnummer Anrufkontrolle -> Ausgehende Dienste -> Anrufweiterschaltung (AWS) -> Neu Interne Nummer Art der Anrufweiterschal- Anrufkontrolle -> Ausgehende tung Dienste -> Anrufweiterschaltung (AWS) -> Neu % %7% $ Zielnummer (Bei Besetzt) Zielnummer Anrufkontrolle -> Ausgehende Dienste -> Anrufweiterschaltung (AWS) -> Neu 231 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Kapitel 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität 9.1 Einleitung Es soll ein WLAN-Netz mit Wireless LAN Controller und der bintec HotSpot Solution aufgebaut werden. Das WLAN-Netz soll zwei SSIDs bereitstellen. Eine SSID für Mitarbeiter, diese soll Vollzugriff auf das interne Netz und auf das Internet erhalten. Die zweite SSID ist für Gäste, diese sollen nach Anmeldung über die bintec HotSpot-Lösung ausschließlich Zugang zum Internet haben. Abb. 141: Beispielszenario Voraussetzungen • Ein Router der R-Serie (z. B. bintec R1202, bintec R3002) oder ein Gerät der RXL-Serie (z. B. bintec RXL 12500) • Ein bintec W2003n (Artikelnummer 5510000165) • Software-Lizenzierung für die bintec Router 232 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH • WLAN Controller Lizenz • 6 Access Points (Artikelnummer 5500000943) • bintec Hotspot Hosting 2yr1 Location (Artikelnummer 5500000861) 9.2 Funktion Der bintec Router (z. B. bintec R3002) dient gleichzeitig als Gateway, Firewall, WLAN Controller und als HotSpot-Gateway. Die Access Points stellen zwei SSIDs bereit, diese sind jeweils mit einem eigenen VLAN getagged. Der Router separiert anhand des Taggings die beiden Datenströme und stellt diese intern an zwei virtuellen Ports zur Verfügung. Der Router stellt drei DHCP-Pools zur Verfügung: einen für die Access Points (192.168.100.10 bis 192.168.100.110); dieser wird automatisch durch den Wireless LAN Controller Wizard angelegt. Der Wireless LAN Controller Wizard berücksichtigt dabei automatisch die Konfiguration der DHCP-Option 138. Das ist die WLAN Controller-Adresse, die die Access Points zur Kommunikation mit dem WLAN Controller benötigen. Die anderen beiden DHCP-Pools werden manuell angelegt. Sie werden jeweils für die SSID /*" '" und die SSID &9 verwendet. Hinweis In kleinen WLAN-Installationen bis zu 6 Access Points kann man einen bintec W2003n auch als WLAN Controller verwenden. Dies ist hier nicht möglich, da das Gerät gleichzeitig auch die HotSpot-Gateway-Funktionalität übernehmen muss. Dazu sind jedoch Routerfunktionen notwendig, die im bintec W2003n deaktiviert sind, wenn dieser als WLAN Controller arbeitet. 9.3 Konfiguration 9.3.1 Basiskonfiguration Bevor Sie mit der Konfiguration nach nachstehender Beschreibung beginnen, müssen Sie mit Hilfe der Assistenten einen Internetzugang einrichten. Falls Sie eine WLAN Controller Lizenz erworben haben, müssen Sie diese im Menu Systemverwaltung -> Globale Einstellungen -> Systemlizenzen eintragen. Darüber hinaus ist es notwendig, einen NTPZeitserver festzulegen und die Zeitzone einzustellen. Dies ist wichtig für eine zuverlässige Funktion des Hotspots. Richten Sie bitte zunächst keinen DHCP-Pool für den Router ein, da später bei der WLAN Controller-Einrichtung der DHCP-Pool für die WLAN Access Points automatisch eingerichtet wird. Workshops (Auszug) 233 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH 9.3.2 LAN-Konfiguration Ändern Sie zuerst in Menü IP-Konfiguration die IP-Adresse. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> . Abb. 142: LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> Gehen Sie folgendermaßen vor: (1) Geben Sie die IP-Adresse < ein. (2) Den Schnittstellenmodus stellen Sie auf 1* . (3) Bestätigen Sie mit OK. Fügen Sie nun die virtuelle Schnittstelle hinzu. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> Neu. Abb. 143: LAN -> IP-Konfiguration -> Schnittstellen -> Neu 234 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Gehen Sie folgendermaßen vor: (1) Bei Basierend auf Ethernet-Schnittstelle wählen Sie aus. (2) Fügen Sie mit Hinzufügen die IP-Adresse << ein. (3) Wählen Sie bei Schnittstellenmodus ,* (4) Weisen Sie der Schnittstelle eine VLAN-ID zu, z. B. <. (5) Bestätigen Sie mit OK. Sie haben eine virtuelle Schnittstelle mit der VLAN-ID < hinzugefügt. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> Neu um eine weitere Schnittstelle anzulegen. (2) Bei Basierend auf Ethernet-Schnittstelle wählen Sie aus. (3) Fügen Sie mit Hinzufügen die IP-Adresse < ein. (4) Wählen Sie bei Schnittstellenmodus ,* (5) Weisen Sie der Schnittstelle eine VLAN-ID zu, z. B. . (6) Bestätigen Sie mit OK. Sie haben eine virtuelle Schnittstelle mit der VLAN-ID hinzugefügt. J:.$K aus. J:.$K aus. Nach dieser Konfiguration sieht das Menü Schnittstellen folgendermaßen aus. Abb. 144: LAN -> IP-Konfiguration -> Schnittstellen 9.3.3 HotSpot-Konfiguration Um die Konfiguration vorzubereiten, sollten Sie Ihre Lizenz über das Lizenzportal der bintec elmeg-Webseite http://www.bintec-elmeg.com freischalten. Sie erhalten dann kurzfristig Ihre individuellen Zugangsdaten. Zunächst ist es notwendig einen RADIUS-Server einzutragen. RADIUS (Remote Authentication Dial In User Service) ist ein Dienst, der es ermöglicht, Authentifizierungs- und Konfigurationsinformationen zwischen Ihrem Gerät und einem RADIUS-Server auszutauschen. Workshops (Auszug) 235 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität (1) bintec elmeg GmbH Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu. Abb. 145: Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Gehen Sie folgendermaßen vor, um einen RADIUS-Server einzurichten: 236 (1) Wählen Sie den Authentifizierungstyp aus. Der RADIUS-Server wird zur Erfassung statistischer Verbindungsdaten verwendet. (2) Als Betreibermodus wählen Sie ' ;! "#" aus. (3) Bei Server-IP-Adresse geben Sie die Adresse des zentralen bintec HotSpot Servers ein, hier z. B. << . (4) Das RADIUS-Passwort entnehmen Sie Ihren Zugangsdaten. (5) Das Standard-Benutzerpasswort ist identisch mit dem RADIUS-Passwort. (6) Die Priorität setzen Sie auf (höchste Priorität). (7) Bestätigen Sie mit OK. (1) Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu, um den zweiten RADIUS-Server einzurichten. (2) Wählen Sie den Authentifizierungstyp .+7" aus. (3) Bei Server-IP-Adresse geben Sie die Adresse des zentralen bintec HotSpot Servers ein, hier z. B. << . (4) Das RADIUS-Passwort entnehmen Sie Ihren Zugangsdaten. (5) Das Standard-Benutzerpasswort ist identisch mit dem RADIUS-Passwort. (6) Die Priorität setzen Sie auf (höchste Priorität). (7) Wählen Sie im Menü Erweiterte Einstellungen unter Richtlinie $ #"' . (8) Bestätigen Sie mit OK. Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Die fertige Konfiguration sieht wie folgt aus: Abb. 146: Systemverwaltung -> Remote Authentifizierung -> RADIUS Im nächsten Schritt wird ein Hotspot-Netzwerk eingerichten. (1) Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu. Abb. 147: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Wählen Sie die Schnittstelle .$A5$ aus. Diese korrespondiert später mit der SSID &9. (2) Unter Domäne am Hotspot-Server geben Sie die Domäne an, die Sie mit den Zugangsdaten erhalten haben, z. B. "*+A . (3) Aktivieren Sie die Option Walled Garden. (4) Bei Walled Network / Netzmaske geben Sie die IP-Adresse an, die Ihre HotSpot-Gäste ohne Anmeldung erreichen dürfen, z. B. <2 und 237 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH . (5) Unter Walled Garden URL geben Sie die URL an, die Ihren HotSpot Gäste ohne Anmeldung angezeigt werden soll, z. B. !)@@@'. Die Walled Garden URL muss unter der Walled Network Adresse erreichbar sein. (6) Unter Geschäftsbedingungen geben Sie die URL an, unter der Sie Ihre AGB Webseite abgelegt haben, z. B. !)@@@'. Die URL muss unter der Walled Network Adresse erreichbar sein. (7) Bestätigen Sie mit OK. 9.3.4 DHCP-Konfiguration Nun werden die beiden DHCP-Pools für die virtuellen Schnittstellen en1-0-1 (VLAN-ID 15) und en1-0-2 (VLAN-ID 16) angelegt. (1) Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu um den IP-Pool zu konfigurieren. Abb. 148: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Gehen Sie folgendermaßen vor: (1) Geben Sie bei IP-Poolname eine beliebige Beschreibung ein, um den IP-Pool eindeutig zu benennen, z. B. /*"'". (2) Bei IP-Adressbereich geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IP-Adresse des IP-Adress-Pools ein, z. B. < - < . (3) Bestätigen Sie mit OK. Im Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu können Sie nun weitere Konfiguration vornehmen. 238 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Abb. 149: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu Gehen Sie folgendermaßen vor: (1) Wählen Sie die Schnittstelle aus. (2) Wählen Sie einen gültigen IP-Pool aus, hier z. B. /*"'". (3) Wählen Sie bei Pool-Verwendung .(* aus. Der DHCP-Pool wird nur für DHCPAnfragen im selben Subnetz verwendet. (4) Bestätigen Sie mit OK. Nun legen Sie für die zweite virtuelle Schnittstelle en1-0-2 (VLAN-ID 16) einen weiteren DHCP-Pool an. (1) Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. (2) Geben Sie bei IP-Poolname z. B. &9 ein. (3) Bei IP-Adressbereich geben Sie die IP-Adresse des IP-Adress-Pools ein, z. B. - . (4) Bestätigen Sie mit OK. (5) Gehen Sie zu Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu. (6) Wählen Sie die Schnittstelle aus. (7) Wählen Sie einen definierten IP-Poolnamen aus, hier z. B. &9. (8) Wählen Sie bei Pool-Verwendung .(* aus. (9) Bestätigen Sie mit OK. Die fertige Konfiguration sieht wie folgt aus: Workshops (Auszug) 239 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Abb. 150: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration 9.3.5 Wireless LAN Controller Wizard Mit dem Wireless LAN Controller können Sie eine WLAN-Infrastruktur mit mehreren Access Points (APs) aufbauen und verwalten. Der WLAN Controller verfügt über einen Wizard, der Sie bei der Konfiguration Ihrer Access Points unterstützt. (1) Gehen Sie zu Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard. Abb. 151: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard 240 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Gehen Sie folgendermaßen vor: (1) Bei Region wählen Sie &"*C aus. (2) Wählen Sie die Schnittstelle .$A5$ aus. (3) Bei DHCP-Server wählen Sie -" aus. (4) Geben Sie den IP-Adressbereich ein, hier - . Nun wird automatisch ein weiterer DHCP-Pool für die Schnittstelle EN1-0 angelegt. Dabei wird berücksichtigt, dass die IP-Adresse des WLAN Controllers bei jeder DHCP-Anfrage als CAPWAP Option 138 gesendet wird. Hierüber erhalten die Access Points die Adresse des WLAN Controllers mitgeteilt. (5) Klicken Sie auf Weiter. Im zweiten Schritt fragt der Wizard ab, ob das WLAN-Netz im 2,4 GHz oder im 5 GHz Frequenzbereich betrieben werden soll. Falls Ihr WLAN Netz im 2,4 GHz und im 5 GHz Frequenzbereich arbeiten soll, wählen Sie zunächst 2,4 GHz aus. Sie können später die Konfiguration einzelner Radiomodule auf 5 GHz umstellen. Abb. 152: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Klicken Sie auf Weiter. Im nächsten Schritt definieren Sie die SSID, die später ausgeliefert werden soll. Workshops (Auszug) 241 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Abb. 153: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Gehen Sie folgendermaßen vor: (1) Klicken Sie auf Hinzufügen. (2) Bei Netzwerkname (SSID) geben Sie /*"'" ein. (3) Den Sicherheitsmodus stellen Sie auf . (4) Den WPA-Modus stellen Sie auf . (5) Geben Sie bei Preshared Key Ihr definiertes Passwort ein. (6) Bei VLAN-ID geben SIe < ein. (7) Bestätigen Sie mit OK. Mit diesen Einstellungen wird jeglicher Traffic von WLAN Clients, die über diese SSID verbunden sind, zur virtuellen Schnittstelle en1-0-1 geleitet. Nun definieren Sie die zweite SSID, die später ausgeliefert werden soll. 242 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Abb. 154: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Gehen Sie folgendermaßen vor: (1) Klicken Sie auf Hinzufügen. (2) Bei Netzwerkname (SSID) geben Sie &9 ein. (3) Den Sicherheitsmodus stellen Sie auf -*(#. (4) Bei VLAN-ID geben SIe ein. (5) Bestätigen Sie mit OK. Mit diesen Einstellungen wird jeglicher Traffic von WLAN Clients, die über diese SSID verbunden sind, zur virtuellen Schnittstelle en1-0-2 geleitet. Hinweis Bevor Sie fortfahren, stellen Sie sicher, dass alle Access Points, die der WLAN Controller verwalten soll, eingeschaltet und über einen Switch an die Schnittstelle en1-0 des Routers angeschlossen sind. Klicken Sie auf Weiter. Sie sehen jetzt eine Liste der gefundenen Access Points. Workshops (Auszug) 243 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Abb. 155: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Um die Einstellungen eines gefundenen APs zu ändern, klicken Sie im entsprechenden Eintrag auf . Abb. 156: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Gehen Sie folgendermaßen vor: (1) Tragen Sie bei Standort den Installationsort des Gerätes ein, z. B. )S++. Dies erleichtert Ihnen später die Überwachung der Geräte. (2) Aktives Funkmodulprofil zeigt das aktuell gewählte Funkmodulprofil, hier 4 &;7 H* "+. Sie können ein anderes Funkmodulprofil aus der Liste wählen, wenn mehrere Funkmodulprofile angelegt sind. (3) Bei Zugewiesene Drahtlosnetzwerke (VSS) werden Ihnen die aktuell zugewiesenen Drahtlosnetzwerke angezeigt, hier z. B. #)/*"'" und #)&9. (4) Bestätigen Sie mit OK. Wählen Sie nun die Access Points, welche der WLAN Controller verwalten soll. Klicken Sie dazu in der Spalte Manage auf die gewünschten Einträge. Klicken Sie auf Start, um die Konfiguration der Access Points zu starten. Wenn die Installation abgeschlossen ist, sehen Sie eine Liste der Managed Access Points. 244 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Abb. 157: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard Damit Ihre &9 nur das Internet nutzen können, aber keinen Zugriff auf Ihre anderen Netzwerkkomponenten erhalten, ist es notwendig Firewall Regeln hinzuzufügen. Hier ein Beispiel einer einfachen Firewall Regel, um den &9 den Zugriff auf das interne Netz zu verbieten. Zunächst werden zwei neue Gruppen angelegt, um so die Definition der Filterregeln übersichtlicher zu gestalten. Gehen Sie dazu folgendermaßen vor: (1) Gehen Sie zu Firewall -> Dienste -> Gruppen -> Neu. Abb. 158: Firewall -> Dienste -> Gruppen -> Neu Gehen Sie folgendermaßen vor: Workshops (Auszug) 245 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH (1) Geben Sie eine Beschreibung der Service-Gruppe ein, z. B. -". (2) Wählen Sie aus den zur Verfügung stehenden Service-Aliassen die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Mitglieder. (3) Bestätigen Sie mit OK. Gehen Sie analog für die Einstellungen der zweiten Gruppe vor, z. B. (* . Die fertige Konfiguration sieht nun wie folgt aus: Abb. 159: Firewall -> Dienste -> Gruppen Im letzten Schritt werden noch die lokalen Dienste eingeschränkt. Der Zugriff auf die Dienste ! und !J.K muss erlaubt werden, damit der Router die Anmeldeseite den HotSpot-Gästen anzeigen kann. (1) Gehen Sie zu Firewall -> Richtlinien -> Filterregeln -> Neu. Abb. 160: Firewall -> Richtlinien -> Filterregeln -> Neu Gehen Sie folgendermaßen vor, um die Lokalen Dienste einzuschränken: 246 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH (1) Wählen Sie bei Quelle z. B. .550A5$ aus. (2) Bei Ziel wählen Sie z. B. .S. aus. (3) Wählen Sie den Dienst aus, z. B. (* (4) Wählen Sie bei Aktion E"++ aus. (5) Bestätigen Sie die Angaben mit OK. . Gehen Sie analog für die Einstellungen weiterer Dienste vor. Die fertige Konfiguration sieht dann z. B. folgendermaßen aus: Abb. 161: Firewall -> Richtlinien -> Filterregeln Die Konfiguration ist hiermit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. Sie können nun die Konfiguration testen. Melden Sie sich dazu mit der SSID der /*" '" beziehungsweise mit der SSID der &9 an. Hinweis Es wird empfohlen, eine E-Mail-Benachrichtigung bei Ausfall eines WTP zur Überwachung des Systems zu konfigurieren. Workshops (Auszug) 247 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH 9.4 Konfigurationsschritte im Überblick LAN Konfiguration Feld Menü Wert IP-Adresse LAN -> IP-Konfiguration -> Schnitt- z. B. stellen -> <en1-0> < Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- 1* stellen -> <en1-0> Basierend auf EthernetSchnittstelle LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu IP-Adresse LAN -> IP-Konfiguration -> Schnitt- z. B. << stellen -> Neu Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- ,* stellen -> Neu VLAN-ID LAN -> IP-Konfiguration -> Schnitt- < stellen -> Neu Basierend auf EthernetSchnittstelle LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu IP-Adresse LAN -> IP-Konfiguration -> Schnitt- z. B. < stellen -> Neu Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- ,* stellen -> Neu VLAN-ID LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu J:.$K J:.$K Hotspot Konfiguration 248 Feld Menü Wert Authentifizierungstyp Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Betreibermodus Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu ' ;! "#" Server-IP-Adresse Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. << RADIUS-Passwort Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. !"" Standard-Benutzerpasswort Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. !"" Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Feld Menü Wert Priorität Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Authentifizierungstyp Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu . +7" Server-IP-Adresse Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. << RADIUS-Passwort Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. !"" Standard-Benutzerpasswort Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu z. B. !"" Priorität Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu Hotspot-Netzwerk einrichten Feld Menü Wert Schnittstelle Lokale Dienste -> Hotspot-Gateway z. B. .$A5$ -> Hotspot-Gateway -> Neu Domäne am Hotspot-Ser- Lokale Dienste -> Hotspot-Gateway z. B. "* ver -> Hotspot-Gateway -> Neu +A Waled Garden Lokale Dienste -> Hotspot-Gateway (#" -> Hotspot-Gateway -> Neu Walled Network / Netzmaske Lokale Dienste -> Hotspot-Gateway z. B. <2 -> Hotspot-Gateway -> Neu und <<<<<<<< Walled Garden URL Lokale Dienste -> Hotspot-Gateway !)@@@' -> Hotspot-Gateway -> Neu Geschäftsbedingungen Lokale Dienste -> Hotspot-Gateway !)@@@' -> Hotspot-Gateway -> Neu Sprache für Anmeldefenster Lokale Dienste -> Hotspot-Gateway z. B. 0 -> Hotspot-Gateway -> Neu DHCP Konfiguration Workshops (Auszug) Feld Menü Wert IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. /*"'" IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. < < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu 249 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Feld Menü Wert IP-Poolname Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. /*"'" Poolverwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. &9 IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfigurationn -> Neu z. B. Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. &9 Poolverwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Feld Menü Wert Region Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard &"*C Schnittstelle Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard .$A5$ DHCP-Server Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -" IP-Adressbereich Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard z. B. - Funkmodulprofil Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter 4 &;7 H* " + Netzwerkname (SSID) Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter z. B. /*"'" Sicherheitsmodus Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter WPA-Modus Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter Preshared Key Wireless LAN Controller -> Wizard z. B. !"" WLAN Controller Wizard 250 Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Feld Menü Wert -> Wireless LAN Controller Wizard -> Weiter VLAN Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter (#" VLAN-ID Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter < Netzwerkname (SSID) Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter -> Hinzufügen z. B. &9 Sicherheitsmodus Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter -> Hinzufügen Inaktiv VLAN Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter -> Hinzufügen (#" VLAN-ID Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter -> Hinzufügen Standort Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter z. B. )S++ Aktives Funkmodulprofil Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter 4 &;7 H* " + Zugewiesene Drahtlosnetzwerke (VSS) Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard -> Weiter z. B. # )/*"'" und #)&9 Firewall Regeln hinzufügen Workshops (Auszug) Feld Menü Wert Beschreibung Firewall -> Dienste -> Gruppen -> Neu z. B. -" Mitglieder Firewall -> Dienste -> Gruppen -> Neu z. B. !, ! J.K Beschreibung Firewall -> Dienste -> Gruppen -> Neu z. B. (* 0 251 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität bintec elmeg GmbH Feld Menü Wert Mitglieder Firewall -> Dienste -> Gruppen -> Neu z. B. !, ! J.K Lokale Dienste einschrenken 252 Feld Menü Wert Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .550A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu .S. Dienst Firewall -> Richtlinien -> Filterregeln -> Neu (* Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .550A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu .S. Dienst Firewall -> Richtlinien -> Filterregeln -> Neu (* Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Dienst Firewall -> Richtlinien -> Filterregeln -> Neu *C Aktion Firewall -> Richtlinien -> Filterregeln -> Neu :"@" Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Dienst Firewall -> Richtlinien -> Filterregeln -> Neu *C Aktion Firewall -> Richtlinien -> Filterregeln -> Neu :"@" Workshops (Auszug) bintec elmeg GmbH Workshops (Auszug) 9 WLAN - WLAN-Controller-Installation mit integrierter HotSpot-Funktionalität 253 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Kapitel 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN 10.1 Einleitung Im Folgenden wird die Konfiguration eines bintec-Routers der Rxx02-Serie als zentraler WLAN Controller für eine über mehrere Standorte verteilte WLAN-Infrastruktur (bintec W2003n-Access-Points) beschrieben. Ein bintec-Router der RS-Serie dient dabei am jeweiligen Standort als Gateway für den Internetzugang. Zur Konfiguration wird das GUI (Graphical User Interface) verwendet. Aufgabenprofil des Workshops: • Mehrere Standorte eines Unternehmens sollen mit WLAN ausgestattet werden. Das WLAN soll anschließend allen Mitarbeitern zur Verfügung stehen und zentral verwaltet werden können. • Die Geräte der Mitarbeiter sollen automatisch per DHCP in das Firmennetzwerk integriert werden. • Die Mitarbeiter sollen über das WLAN sowohl auf das Internet als auch auf das Intranet der Firma zugreifen können. Der Zugang zum Firmenintranet in der Zentrale sowie in den Außenstellen erfolgt dabei über das Internet mittels eines durch IPSec-gesicherten VPNs. 254 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 162: Beispielszenario 10.1.1 Voraussetzungen In der Firmenzentrale: • Zwei bintec-Router der Rxx02- oder RXL-Serie, deren Firmware-Version mindestens 9.1.8 entspricht. Im Workshop wird exemplarisch ein bintec R1202 als WLAN-Controller und ein bintec RXL12500 als VPN-Konzentrator verwendet. In der Filiale: • Ein bintec-Router mit einer Firmware, die mindestens der Version 9.1.8 entspricht. Für den Internetzugang der Filiale können Router der RS-, TR- oder der verschiedenen RSerien (alte R2xx-Serie, alte Rxx00-Serie und neue Rxx02-Serie) verwendet werden. Im Beispiel wird ein bintec RS120 als Filialrouter eingesetzt. • Ein oder mehrere bintec-Access-Points der Geräteklassen bintec W2003n oder bintec WIx0xxn (zum Beispiel bintec WI2065n) mit mindestens Firmware-Version 9.8.1. Die minimal benötigte Anzahl an Access Points richtet sich nach der Größe und Gebäudestruktur des Firmenstandorts und kann durch eine im Vorfeld erfolgte WLAN-Ausleuchtung genau festgelegt werden. Für zusätzliche Informationen lesen Sie bitte in WLAN - Einführung in den bintec-WLAN-Controller auf Seite 157 nach. In diesem Workshop werden für den Fall einer Beispielfiliale vier bintec W2003nAccess-Points verwendet. Workshops (Auszug) 255 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH • Ein Internetzugang • Ein PoE-Switch für die Access Points (optional). 10.1.2 Hinweise zum Test-Setup An dieser Stelle finden Sie eine Übersicht hinsichtlich der Belegung der Schnittstellen in den einzelnen Routern. Router Schnittstelle Beschreibung IP-Adresse / Adressbereich Router der x-ten Filiale en1-0 LAN-Anbindung der Filiale 10.x.0.1/24 en1-0 DHCP-Server für Ac- 10.x.0.10 bis cess Points und 10.x.0.254 WLAN-Geräte der Filiale VPN-Konzentrator in der Zentrale en1-0 LAN-Anbindung der Zentrale 10.0.0.1/24 WLAN-Controller in der Zentrale en1-0 IP-Adresse des WLAN-Controllers, die im gesamten VPN erreichbar sein muss 10.0.0.123/24 en1-0 Standardroute auf den VPNKonzentrator 10.0.0.1 en1-0 WLAN-Controller für alle Access Points aller Filialen 10.2 Konfiguration 256 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH 10.2.1 Voreinstellungen Im Vorfeld muss zwischen dem VPN-Konzentrator in der Zentrale (im Workshop bintec RXL12500) und einem Filialrouter oder mehreren Filialroutern (im Workshop bintec RS120) ein funktionierendes VPN eingerichtet werden. Zur Installation eines VPN verweisen wir Sie auf den IP-Workshop "Routing-Protokoll RIPv2 über IPSec-Verbindung". In den Einstellungen dieses Workshops müssen Sie die IP-Adressbereiche der jeweiligen LANSegmente durch die Werte aus der obigen Tabelle ersetzen. Die restlichen Einstellungen belassen Sie bitte unverändert. Die Verwendung von RIPv2 bietet Ihnen folgende Vorteile: • Alle oben aufgeführten Router für den Einsatz in der Filiale können eingesetzt werden. • Die verwendeten Geräte sind verhältnismäßig leicht einzurichten. • Die Konfiguration kann im laufenden Betrieb problemlos um neue Standorte erweitert werden. 10.2.2 Konfiguration des Routers in der Außenstelle 10.2.2.1 IP-Konfiguration Ergänzend zum IP-Workshop "Routing-Protokoll RIPv2 über IPSec-Verbindung" wird die IP-Schnittstelle des ersten Filialrouters folgendermaßen konfiguriert. (1) Gehen Sie in das Menü LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> . Abb. 163: LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> Gehen Sie folgendermaßen vor: (1) Workshops (Auszug) Wählen Sie bei Adressmodus * aus. 257 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH (2) Tragen Sie im jeweiligen Feld die IP-Adresse / Netzmaske z. B. des ersten Filialrouters ein. Die IP-Adressen für die zweite, dritte, usw. Filiale lauten folglich , 2 , usw. Als Netzmaske wählen Sie in diesem Fall <<<<<< . (3) Belassen Sie den Schnittstellenmodus auf 1* . (4) Belassen Sie den Haken bei der MAC-Adresse für :" #"@ . (5) Bestätigen Sie mit OK. 10.2.2.2 DHCP-Pool konfigurieren Anschließend müssen Sie einen DHCP-Pool auf der entsprechenden Schnittstelle für alle Geräte im LAN, wie die Slave-Access-Points oder die später über das WLAN angebundenen Mitarbeitergeräte, anlegen. (1) Gehen Sie dazu in das Menü Lokale Dienste -> DHCP-Server -> IPPool-Konfiguration -> Neu. Abb. 164: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Gehen Sie folgendermaßen vor: (1) Für den IP-Poolnamen können Sie z. B. &"9 verwenden. (2) Für den IP-Adressbereich des ersten Filialrouters verwenden Sie z. B. bis <. Dadurch sind in diesem Fall noch acht Adressen unterhalb von 10.1.0.10 für weitere statisch konfigurierte Geräte im selben Netz frei. (3) Bestätigen Sie Ihre Eingaben mit OK. Im Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu können Sie nun die weitere Konfiguration vornehmen. 258 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 165: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu Gehen Sie folgendermaßen vor: (1) Wählen Sie die Schnittstelle aus. (2) Wählen Sie einen gültigen IP-Pool aus, hier z. B. &"9. (3) Die Pool-Verwendung wird auf .(* gesetzt. (4) Klicken Sie auf Erweiterten Einstellungen. (5) Dort wird unter Gateway die Einstellung H" * &*@*C #"@ beibehalten. Dadurch erreichen alle DHCP-fähigen Geräte im Netzwerk das Standard-Gateway unter der momentanen IP-Adresse der Schnittstelle en1-0. (6) Die Lease Time wird auf Minuten eingestellt. (7) Bei DHCP-Optionen klicken Sie auf Hinzufügen. (8) Legen Sie als erstes die IP-Adresse des DNS-Server fest. Wählen Sie dazu unter Option 0$"#" aus und tragen Sie unter Wert die IP-Adresse der Schnittstelle z. B. ein. (9) Klicken Sie auf Hinzufügen. (10) Wählen Sie unter Option "" aus und tragen Sie unter Wert die IP-Adresse des WLAN-Controllers in der Zentrale ein, in unserem Fall also 2. (11) Bestätigen Sie Ihre Eingaben mit OK. Workshops (Auszug) 259 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Hinweis Die Einrichtung weiterer DHCP-Optionen ist für die Slave-Access-Points und WLANGeräte nicht zwingend notwendig. Die Konfiguration des 0$09*, E "#" , usw. kann aber hilfreich sein und richtet sich nach der vorgegebenen Infrastruktur. Hinweis Es wird nicht empfohlen, auf dem Filialrouter an Stelle des lokalen DHCP-Servers ein sogenanntes DHCP-Relay zu einem in der Zentrale befindlichen DHCP-Server einzurichten. Denn dann ist in der Zentrale nicht mehr unmittelbar über den IPAdressbereich der Slave-Access-Points und der Mitarbeitergeräte ersichtlich, in welcher Filiale sich das jeweilige Gerät befindet. Darüber hinaus könnten sich bei einem Einsatz von DHCP-Relay und dem Ausfall des Internetzugangs oder des VPNs die Mitarbeitergeräte nicht mehr in das lokale Netz des jeweiligen Standorts einbuchen, da sie keine IP-Adresse mehr per DHCP erhalten. Die Konfiguration des Filialrouters ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. 10.2.3 Konfiguration des VPN-Konzentrators in der Zentrale Ergänzend zum IP-Workshop "Routing-Protokoll RIPv2 über IPSec-Verbindung" wird die IP-Schnittstelle des VPN-Konzentrators in der Zentrale wie folgt eingerichtet. (1) Gehen Sie in das Menü LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> . Abb. 166: LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> 260 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Gehen Sie folgendermaßen vor: (1) Wählen Sie für den Adressmodus * aus. (2) Tragen Sie im Feld die IP-Adresse z. B. und die Netzmaske <<<<<< ein. (3) Belassen Sie den Schnittstellenmodus auf 1* . (4) Bestätigen Sie mit OK. 10.2.4 Konfiguration des WLAN-Controllers in der Zentrale 10.2.4.1 IP-Konfiguration Zuerst werden die IP-Parameter des WLAN-Controllers eingestellt. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> . Abb. 167: LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> Gehen Sie folgendermaßen vor: (1) Wählen Sie für den Adressmodus * aus. (2) Tragen Sie im Feld die IP-Adresse z. B. 2 und die Netzmaske <<<<<< ein. (3) Belassen Sie den Schnittstellenmodus auf 1* . (4) Bestätigen Sie mit OK. 10.2.4.2 Einrichtung der Standardroute Anschließend wird auf dem WLAN-Controller die Standardroute über die Schnittstelle zur IP-Adresse des VPN-Konzentrators eingerichtet. (1) Workshops (Auszug) Gehen Sie zu Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu. 261 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 168: Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu Gehen Sie folgendermaßen vor: (1) Den Routentyp setzen Sie auf * *" " F'" . (2) Als Schnittstelle wählen Sie .$A5$ . (3) Geben Sie unter Lokale IP-Adresse die IP-Adresse des Hosts ein, an die Ihr Gerät die IP-Pakete weitergeben soll, hier die LAN-IP-Adresse des VPNKonzentrators. (4) Setzen Sie die Metrik der Route z. B. auf , um die Priorität der Route zu wählen. Je niedriger Sie den Wert setzen, desto höhere Priorität besitzt die Route. (5) Bestätigen Sie ihre Eingaben mit OK. Die Übersicht der IP-Routen sieht im Anschluss folgendermaßen aus: Abb. 169: Netzwerk -> Routen -> Konfiguration von IPv4-Route Die VPN-Konzentrator-Konfiguration ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. 10.2.4.3 WLAN-Controller konfigurieren Nun kann der eigentliche WLAN-Controller aktiviert werden. 262 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH (1) Gehen Sie zu Wireless LAN Controller -> Controller-Konfiguration -> Allgemein. Abb. 170: Wireless LAN Controller -> Controller-Konfiguration -> Allgemein Gehen Sie folgendermaßen vor: (1) Die Region muss passend zum Standort der Access Points eingerichtet werden, z. B. &"*C. Diese Einstellung bewirkt den Betrieb des WLAN-Funkmoduls der Access Points nur innerhalb des gesetzlich erlaubten Rahmens des jeweiligen Landes. (2) Als Schnittstelle des WLAN-Controllers wird .$A5$ ausgewählt. (3) Die DHCP-Server-Einstellung muss auf 5B" belassen werden, da der DHCPServer bereits auf den Filialroutern eingerichtet wurde. (4) Der Slave-AP-Standort muss auf 5+" J$K geändert werden. Dies hat zur Folge, dass verwaltete Slave-Access-Points bei einem eventuellen Netzwerkausfall autonom weiterlaufen (und somit wenigstens das lokale WLAN des betroffenen Standorts weiterhin funktioniert) und erst nach erneuter Verbindung zum WLAN-Controller reinitialisiert werden. Ebenso werden mit diesem Schalter wechselseitige Wartezeiten von Slave-Access-Points und WLAN-Controller an typische Gegebenheiten von WANs angepasst (zum Beispiel kurze Netzunterbrechungen durch DSLZwangstrennung). (5) Bestätigen Sie mit OK. Die Einstellungen sind jetzt aktiv und der WLAN Controller wird gestartet. 10.2.4.4 Drahtlosnetzwerk-Profil konfigurieren Anschließend wird das standardmäßig vorhandene Profil für ein Drahtlosnetzwerk (VSS) wie folgt modifiziert. (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS). Klicken Sie dazu bei dem vorhandenen Eintrag <vss-1> auf das Workshops (Auszug) -Symbol. 263 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 171: Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> Gehen Sie folgendermaßen vor: (1) Der Netzwerkname (SSID) wird z. B. auf /*"'" geändert. (2) Für Intra-cell Repeating, ARP Processing, WMM und Max. Clients werden die Standardeinstellungen belassen. (3) Als Sicherheitsmodus wählen Sie aus. (4) Daraufhin können Sie den WPA-Modus auf (5) Bei WPA-Cipher wird ,- und bei WPA2-Cipher 5 aktiv gesetzt. (6) Das Preshared Key ist das WLAN-Zugangspasswort für alle Mitarbeiter. Geben Sie eine ASCII-Zeichenfolge mit 8 - 63 Zeichen ein. (7) Bestätigen Sie mit OK. belassen. 10.2.4.5 Funkmodulprofile konfigurieren Im nächsten Schritt werden die Funkmodulprofile bearbeitet. Konfigurieren Sie die Funkmodulprofile, indem Sie den Standardeintrag bearbeiten. 264 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile. (2) Klicken Sie bei dem vorhandenen Eintrag <2.4 GHz Radio Profile> auf das - Symbol. Abb. 172: Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile -> >2.4 GHz Radio Profile> Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Das Frequenzband des Funkmodulprofils wird auf 4 &;7 -S " belassen. (2) Ändern Sie den Drahtlosen Modus auf . 265 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Hinweis Die Änderung des Drahtlosmodus bewirkt, dass veraltete WLAN-Geräte, die nur auf dem 802.11b-Übertragungsstandard beruhen, das WLAN nicht mehr nutzen können. Der größte Vorteil dieser Maßnahme ist jedoch die Vermeidung einer automatischen Reduktion der Bandbreite, sobald ein 802.11b-Gerät angeschlossen wird. (3) Aktivieren Sie die Option Burst-Mode, um die Übertragungsgeschwindigkeit zu erhöhen. (4) Klicken Sie auf Erweiterte Einstellungen. (5) Wählen Sie den gewünschten Kanalplan aus. Mit %7" +" können Sie die gewünschten Kanäle selbst auswählen. (6) Unter Benutzerdefinierter Kanalplan wählen Sie als erlaubten Kanäle , <, und 2 aus. Dieser Kanalplan ist für alle Länder in denen die Kanäle 1 bis 13 erlaubt sind als optimaler Kanalplan empfohlen und hat bei 802.11g/n keine (nennenswerte) Frequenzüberlappung. Die Access Points haben somit mehr Auswahlmöglichkeiten einen möglichst störungsfreien Kanal zu nutzen, was die Leistungsfähigkeit und Zuverlässigkeit des gesamten WLANs steigert. (7) Aktivieren Sie die Funktion Short Guard Interval, um das Guard Interval (= Zeit zwischen der Übertragung von zwei Datensymbolen) von 800 ns auf 400 ns zu verkürzen. (8) Die restlichen Einstellungen bleiben unverändert und das Konfigurationsmenü wird mit OK gespeichert und verlassen. Somit sind alle benötigten Profile im WLAN-Controller eingerichtet. 10.2.4.6 Access Points konfigurieren Jetzt werden die Access Points aktiviert und eingerichtet. (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points. In dieser Übersicht sollten alle vorhandenen Access Points als &+ markiert sein. Sollte dies nicht der Fall sein, empfiehlt es sich, nochmals die DHCP-Server-Einstellungen auf dem Filialrouter zu überprüfen. Insbesondere sollte kontrolliert werden, ob die CAPWAP-Option korrekt eingerichtet ist. Auch die VPN-Netzwerkverbindung von der Zentrale in die Filiale kann eine mögliche Fehlerursache sein. Sofern diese Fehlerquellen ausgeschlossen werden können, kann ein versehentlich aktivierter DHCP-Server auf einem Gerät in der Filiale die Störung verursachen. Dieser Server muss deaktiviert und alle Access Points in der Filiale vom Stomnetz getrennt werden, um eine neue Netzwerkkonfiguration vom DHCP-Server zu beziehen. Alternativ kann auch der Ablauf der sogenannten DHCP- 266 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Lease-Time abgewartet werden. Jetzt können die zuvor konfigurierten Funk- und VSS-Profile auf den gefundenen Access Points eingerichtet werden. Im Folgenden wird die Anpassung eines Access Points für den Standort "Nbg - Geschäft" beschrieben. (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points . Abb. 173: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Als Standort wird eine möglichst eindeutige Bezeichnung vergeben, z. B. $' & 9+. (2) Der Betriebsmodus des Funkmoduls muss zwingend auf 5 belassen werden. Damit wird der Betriebsmodus vom verwendeten Funkmodulprofil bestimmt. (3) Als nächstes wird als Aktives Funkmodulprofil hier das zuvor konfigurierte &;7 H* "+ ausgewählt. (4) Der Kanal wird auf belassen und wird somit anhand des Kanalplans des Funkprofils sowie der WLAN-Umgebung dynamisch bestimmt. (5) Zuletzt wird unter Zugewiesene Drahtlosnetzwerke (VSS) mithilfe der Schaltfläche Hinzufügen das konfigurierte Drahtlosnetzwerk /*"'" dem Funkmodul zugewiesen. (6) Die restlichen Einstellungen werden unverändert übernommen. Bestätigen Sie mit OK. 267 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Hinweis Bei einem Access Point mit zwei Funkmodulen erscheinen zwei Konfigurationsmasken für Funkmodul1 und Funkmodul2. Die Einstellung erfolgt entsprechend den Vorgaben des vorangegangenen Beispiels. Die übrigen Access Points der Übersichtsliste werden genauso wie der Erste konfiguriert. Für jeden Access Point muss nur eine eindeutige Standortbezeichnung vergeben werden, andernfalls können die Access Points, z. B. beim WLAN-Netz-Monitoring (im Menü Wireless LAN Controller -> Monitoring) nicht mehr unterschieden werden. Nachdem die Access Points alle eingerichtet sind, werden sie nach einer kurzen Initialisierungsphase in der Übersicht unter Wireless LAN Controller -> Slave-AP-Konfiguration > Slave Access Points mit dem Status /** gekennzeichnet und sind somit nun in Betrieb. Zudem sind sie durch den WLAN-Controller gegen jede Art eines externen Konfigurationszugriffs gesperrt. Durch Klicken auf die -Schaltfläche oder die -Schaltfläche in der Spalte Aktion wäh- len Sie aus, ob der gewählte Access Point vom WLAN Controller verwaltet werden soll. Sie können einen Access Point vom WLAN Controller trennen und ihn somit aus Ihrer WLAN-Infrastruktur entfernen, indem Sie auf die -Schaltfläche klicken. Der Access Point bekommt dann den Status &+ , aber nicht mehr /** . Die im Menü Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points angezeigten WLAN-Kanäle sind jedoch unter Umständen noch nicht ideal, z. B. bezüglich der Mehrfachbelegung eines Kanals. Die Access Points konnten sich während der Inbetriebnahme nur auf die allgemeine WLAN-Umgebung abstimmen, aber noch nicht aufeinander. Dies kann auf zwei unterschiedlichen Wegen nachträglich korrigiert werden: Entweder indem für alle verwalteten Access Points aller Standorte die Aktion Neue Kanalfestlegung über die Schaltfläche START angestoßen wird oder indem individuell durch Betätigen des Aktualisierungssymbols in der Spalte Kanalsuche die Kanalsuche speziell für einen betroffenen Access Point neu angestoßen wird. Wenn die Kanalfestlegung abgeschlossen ist, sollten jeweils direkt benachbarte Access Points eines Standorts auf unterschiedlichen Kanälen senden. Die Liste der konfigurierten Access Points sieht nun wie folgt aus: 268 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 174: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points 10.2.4.7 E-Mail-Benachrichtigung einrichten Abschließend wird ein E-Mail-Alarm für die Slave-Access-Points eingerichtet. Die zuständigen Systemadministratoren werden damit unverzüglich und automatisch über (WLAN-) Netzprobleme der einzelnen Standorte informiert, inklusive (indirekter) Fehler durch Internetzugangs- und VPN-Ausfall. Die Access Points sind bei Netzstörungen nicht mehr für den WLAN-Controller sichtbar und werden nach einer bestimmten Zeitspanne automatisch als ++ deklariert, auch wenn sie immer noch autonom vor Ort ihren Dienst verrichten. Um den E-Mail-Alarm nutzen zu können, muss zuerst ein E-Mail-Server und anschließend ein Empfänger für die Alarm-Mitteilung eingerichtet werden. (1) Workshops (Auszug) Gehen Sie zu Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen. 269 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 175: Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungs- einstellungen Gehen Sie folgendermaßen vor: (1) Der Benachrichtigungsdienst muss aktiviert sein. (2) Über den Wert bei Maximale E-Mails pro Minute können Sie die Anzahl der ausgehenden Mails pro Minute begrenzen, z. B. . (3) Tragen Sie eine Adresse ein, die in das Absenderfeld der E-Mail eingetragen wird, z. B. @I!*C . (4) Geben Sie die IP-Adresse oder den DNS-Namen des SMTP-Servers ein, der zum Versenden der Mails verwendet werden soll, z. B. !*. (5) Wählen Sie gegebenenfalls eine Authentifizierungsmethode für den SMTP-Server. (6) Bestätigen Sie mit OK. Als Letztes wird ein E-Mail-Alarm für die Slave-Access-Points eingerichtet. (1) 270 Gehen Sie zu Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger-> Neu. Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Abb. 176: Externe Berichterstellung ->Benachrichtigungsdienst ->Benachrichtigungsempfänger-> Neu Gehen Sie folgendermaßen vor: (1) Als Empfänger wird die E-Mail-Kontaktadresse der für dieses WLAN zuständigen Systemadministratoren eingegeben, z. B. * I!*C . (2) Als Betreff wird eine möglichst prägnante kurze Information angegeben, z. B. .$ *) E@. Hinweis Der Inhalt einer Alarm-E-Mail enthält weitere Informationen, wie Grund des Alarms, Zeitpunkt des Ereignisses und das betroffene Gerät. (3) Als Ereignis muss :"@*" ++ ausgewählt werden. (4) Belassen Sie die übrigen Einstellungen und bestätigen Sie mit OK. Die WLAN Controller-Konfiguration ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. Workshops (Auszug) 271 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH 10.3 Konfigurationsschritte im Überblick Konfiguration des Routers in der Außenstelle - IP-Konfiguration Feld Menü Wert Adressmodus LAN -> IP-Konfiguration -> Schnitt- * stellen -> <en1-0> IP-Adresse / Netzmaske LAN -> IP-Konfiguration -> SchnittIP-Adresse: z. B. stellen -> <en1-0> Netzmaske: z. B. <<<<<< Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- 1* stellen -> <en1-0> MAC-Adresse LAN -> IP-Konfiguration -> Schnitt- :" stellen -> <en1-0> #"@ Konfiguration des Routers in der Außenstelle - DHCP-Pool Feld Menü Wert IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. &"9 IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguartion -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> DHCPl-Konfiguration -> Neu z. B. &"9 Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ Lease-Time Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu-> Hinzufügen 0$"#": z. B. "": z. B. 2 272 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Konfiguration des VPN-Konzentrators in der Zentrale Feld Menü Wert Adressmodus LAN -> IP-Konfiguration -> Schnitt- * stellen -> <en1-0> IP-Adresse / Netzmaske LAN -> IP-Konfiguration -> Schnitt- ": z. B. stellen -> <en1-0> $7*(: z. B. <<<<<< Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- 1* stellen -> <en1-0> MAC-Adresse LAN -> IP-Konfiguration -> Schnitt- :" stellen -> <en1-0> #"@ Konfiguration des WLAN-Controllers in der Zentrale - IP-Konfiguration Feld Menü Wert Adressmodus LAN -> IP-Konfiguration -> Schnitt- * stellen -> <en1-0> IP-Adresse / Netzmaske LAN -> IP-Konfiguration -> Schnitt- ": z. B. stellen -> <en1-0> 2 $7*(: z. B. <<<<<< Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- 1* stellen -> <en1-0> MAC-Adresse LAN -> IP-Konfiguration -> Schnitt- :" stellen -> <en1-0> #"@ Konfiguration des WLAN-Controllers in der Zentrale - Standardroute Workshops (Auszug) Feld Menü Wert Routentyp Netzwerk -> Routen -> Konfigurati- * *" " F'" on von IPv4 -> Neu Schnittstelle Netzwerk -> Routen -> Konfigurati- .$A5$ on von IPv4 -> Neu Lokale IP-Adresse Netzwerk -> Routen -> Konfigurati- z. B. on von IPv4 -> Neu Metrik Netzwerk -> Routen -> Konfigurati- z. B. 273 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN Feld Menü bintec elmeg GmbH Wert on von IPv4 -> Neu Konfiguration des WLAN-Controllers in der Zentrale - WLAN-Controller Feld Menü Wert Region Wireless LAN Controller -> Controller-Konfiguration -> Allgemein z. B. &"*C Schnittstelle Wireless LAN Controller -> Controller-Konfiguration -> Allgemien .$A5$ DHCP-Server Wireless LAN Controller -> Controller-Konfiguration -> Allgemien 5B" Slave-AP-Standort Wireless LAN Controller -> Controller-Konfiguration -> Allgemien 5+" J$K Konfiguration des WLAN-Controllers in der Zentrale - Drahtlosnetzwerk-Profil 274 Feld Menü Wert Netzwerkname (SSID) Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) z. B. /*"'" (Sichtbar) Intra-cell Repeating Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) (#" ARP Processing Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) 0*(#" WMM Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) (#" Max. Clients Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) z. B. 2 Sicherheitsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) WPA-Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) WPA-Cipher Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) ,- Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Feld Menü Wert WPA2-Cipher Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) 5 Preshared Key Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) Zeichenfolge mit 8 - 63 Zeichen ACL-Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) 0*(#" Erlaubte Adressen Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) VLAN Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) 0*(#" Konfiguration des WLAN-Controllers in der Zentrale - Funkmodulprofile Workshops (Auszug) Feld Menü Wert Beschreibung Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile z. B. &;7 H* "+ Betriebsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile Frequenzband Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile 4 &;7 - S " Anzahl der Spatial Streams Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile Drahtloser Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile Max. Übertragungsrate Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile Burst-Mode Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodul- (#" 275 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN Feld Menü bintec elmeg GmbH Wert profile -> 2.4 GHz Radio Profile Kanalplan Wireless LAN Controller -> Slave- %7" +" AP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile >Erweiterte Einstellungen Benutzerdefinierter Kan- Wireless LAN Controller -> Slave- , <, , 2 alplan AP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile >Erweiterte Einstellungen Beacon Period Wireless LAN Controller -> Slave- ms AP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile >Erweiterte Einstellungen DTIM Period Wireless LAN Controller -> Slave- AP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile >Erweiterte Einstellungen RTS Threshold Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio 2L Profile->Erweiterte Einstellungen Short Guard Interval Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio (#" Profile->Erweiterte Einstellungen Short Retry Limit Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio L Profile->Erweiterte Einstellungen Long Retry Limit Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile->Erweiterte Einstellungen Fragmentation Threshold Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio 2 Bytes Profile->Erweiterte Einstellungen 276 Workshops (Auszug) 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Konfiguration des WLAN-Controllers in der Zentrale - Access Points Feld Menü Wert Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. $' &9+ CAPWAP-Verschlüsselung Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points (#" Betriebsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points 5 Aktives Funkmodulprofil Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. &;7 H* "+ Kanal Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points Verwendeter Kanal Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. 2 Sendeleistung Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points /*B Zugewiesene Drahtlosnetzwerke (VSS) Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. #) /*" '" E-Mail-Benachrichtigung einrichten - Einstellungen Feld Workshops (Auszug) Menü Wert Benachrichtigungsdienst Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen (#" Maximale E-Mails pro Minute Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen z. B. E-Mail-Adresse des Senders Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen z. B. @I!*C 277 10 WLAN - Management für mehrere Standorte: WLAN Controller über VPN bintec elmeg GmbH Feld Menü Wert SMTP-Server Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen z. B. !* SMTP- Authentifizierung Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen z. B. E-Mail-Benachrichtigung einrichten - Empfänger 278 Feld Menü Wert Empfänger Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu z. B. * I!*C Nachrichtenkomprimierung Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu (#" Betreff Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu z. B. .$*) E@ Ereignis Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu :"@*" ++ Timeout für Nachrichten Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu z. B. Anzahl Nachrichten z. B. Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Kapitel 11 WLAN - Wireless LAN Controller als Netzzugangsgateway 11.1 Einleitung Im Folgenden wird die Konfiguration eines Bintec-Routers der Rxx02-Serie als WLAN Controller für die lokale WLAN-Infrastruktur (bintec W2003n-Access Points) und als zentrales Zugangsgateway in das WAN (Internet) mit automatischer Netzeinrichtung und Firewall für Geräte im WLAN und Ethernet-LAN beschrieben. Zur Konfiguration wird das GUI (Graphical User Interface) verwendet. Ein Firmenstandort soll mit Ethernet-LAN und WLAN nach Mitarbeitern und Gästen getrennt ausgerüstet werden: • Die Rechner und die sonstigen Geräte beider Benutzergruppen sollen automatisch per DHCP in das Netzwerk integriert werden und auf das Internet zugreifen können. • Gäste sollen nicht auf das Intranet der Mitarbeiter zugreifen können. • Mitarbeiter sollen jedoch auf das Intranet der Gäste zugreifen können, um zum Beispiel ausgewählte Dokumente schnell und sicher mit einem vor Ort befindlichen externen Projektpartner entsprechend der Firmenstandards gemeinsam nutzen zu können. • Zusätzlich soll der Zugriff auf die Netzinfrastruktur auf Systemadministratoren beschränkt werden. Workshops (Auszug) 279 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 177: Beispielszenario Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • Ein Bintec-Router der Rxx02-Serie (z. B. bintec R1202) oder der RXL-Serie. • Access Points der bintec W2003n-Serie oder bintec WIx0xxn-Serie (z. B. bintec WI2065n). Die mindestens benötigte Anzahl der Access Points richtet sich nach der Größe und Gebäudestruktur des Firmenstandorts und lässt sich mit einer vorherigen WLANAusleuchtung genau festlegen (siehe dazu auch die WLAN Controller-Einführung). In unserem Beispiel werden 5 bintec W2003n und ein bintec WI2065n verwendet. • Ein Bootimage mit mindestens Version 7.10.1 für den Bintec-Router (empfohlen ist ab Version 7.10.5). 280 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH • Ein Bootimage mit mindestens Version 7.9.6 für die Access Points (empfohlen ist ab 7.10.1 Patch 5). • Ein Internetzugang am Firmenstandort. • Mindestens ein PoE-Switch für die Access Points und weitere Switche für das LAN. Hinweise zum Test-Setup Schnittstellenkonfigurationsübersicht am Bintec-Router: en1-0 Systembereich IP-Adresse 10.0.0.1/24: DHCP-Server für Access Points und Schnittstelle des WLAN Controllers en1-0-1 Mitarbeiter-WLAN Virtuelle Schnittstelle über en1-0 mit VLAN-ID 10, IPAdresse 10.0.10.1/24: DHCP-Server und Gateway für das Mitarbeiter-WLAN en1-0-2 Gast-WLAN Virtuelle Schnittstelle über en1-0 mit VLAN-ID 20, IPAdresse 10.0.20.1/24: DHCP-Server und Gateway für das Gast-WLAN en1-1 Mitarbeiter-Ethernet-LAN IP-Adresse 10.0.1.1/24: DHCP-Server und Gateway für das Mitarbeiter-Ethernet-LAN en1-2 Gast-Ethernet-LAN IP-Adresse 10.0.2.1/24: DHCP-Server und Gateway für das Gast-Ethernet-LAN en1-4 WAN Uplink ins Internet 11.2 Konfiguration Portkonfiguration Hinweis Während der gesamten Konfiguration sollte der Rechner, von dem aus der Router konfiguriert wird, am Ethernet-Port 1 angeschlossen sein. Andernfalls sperrt man sich während der Konfiguration wiederholt aus dem Router aus. Als erstes werden die Ethernet-Ports als getrennte Schnittstellen konfiguriert und jedem Port wird aufsteigend, beginnend mit en1-0, eine eigene Schnittstelle zugewiesen. (1) Workshops (Auszug) Gehen Sie zu Physikalische Schnittstellen -> Ethernet-Ports -> Portkonfiguration. 281 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 178: Physikalische Schnittstellen -> Ethernet-Ports -> Portkonfiguration Gehen Sie folgendermaßen vor um die Ports den Schnittstellen zuzuordnen: (1) Wählen Sie bei Ethernet-Schnittstellenauswahl für die Switch-Ports 1 bis 5 bis im Dropdown-Menü aus. (2) Bestätigen Sie mit OK. Anschließend wird der WAN- bzw. Internetzugang eingerichtet. Zur Konfiguration eines Internetzugangs verfügt das GUI über einen Assistenten. Gehen Sie dazu in folgendes Menü: 282 (1) Gehen Sie zu Assistenten -> Internetzugang -> Internetverbindungen -> Neu. (2) Wählen Sie bei Verbindungstyp den passenden Verbindungstyp Ihres Internetzugangs aus, in unserem Beispiel 5B" &*@*C*' . (3) Klicken Sie auf Weiter, um eine neue Internetverbindung zu konfigurieren. Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 179: Assistenten -> Internetzugang -> Internetverbindungen -> Neu -> Weiter Im Folgenden wird die Einstellung für ein externes Gateway beschrieben: (1) Im Menüpunkt Physischer Ethernet-Port wählen Sie den physikalischen EthernetPort aus, an dem das xDSL-Modem, bzw. der Internet-Uplink angeschlossen ist, hier 5,;<. (2) Bei Internet Service Provider wählen Sie %7" +" aus. (3) Deaktivieren Sie die Option IP-Parameter dynamisch abrufen . (4) Geben Sie bei Lokale IP-Adresse die Daten Ihres Internetzugangs ein, z. B. 2. (5) Bei Gateway-IP-Adresse geben Sie die Adresse des Gateways ein, z. B. 2. (6) Geben Sie die entsprechende Netzmaske ein, z. B. <<<<<< . (7) Bei DNS-Server 1 geben Sie die IP-Adresse des Name-Servers ein, z. B. 2. (8) Bestätigen Sie Ihre Angaben mit OK. Variante: Workshops (Auszug) (1) Ist der Uplink ein xDSL-Zugang eines Providers, kann man stattdessen im ersten Schritt des Internetzugangsassistenten das -" / als Verbindungstyp auswählen. (2) Die interne Netzwerkschnittstelle heißt in diesem Fall in der Regel $A"# "* statt und taucht nach abgeschlossener Konfiguration im Menü Netzwerk -> Routen -> IP-Routen als Schnittstelle für das Standardgateway auf. (Im einfachsten Fall ist das der einzige Eintrag mit Ziel-IP-Adresse und Netzmas- 283 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH ke gleich .) (3) Der Name der Schnittstelle ist für spätere Konfigurationsschritte in der Firewalleinrichtung relevant. Hinweis Diese Schnittstelle darf nicht mit der ebenfalls vorhandenen (zugrundeliegenden) *-Schnittstelle verwechselt werden. Anschließend werden die LAN-Schnittstellen konfiguriert. Konfigurieren Sie die Ethernet-Schnittstelle, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag <en1-0> auf das -Symbol. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> . Abb. 180: LAN -> IP-Konfiguration -> Schnittstellen -> Gehen Sie folgendermaßen vor, um die Ethernet-Schnittstelle zu konfigurieren: (1) Geben Sie die statische IP-Adresse und die Netzmaske <<<<<< ein. (2) Bestätigen Sie mit OK. Hinweis Nachdem Sie die Konfiguration mit OK bestätigt haben, haben Sie sich (einmalig) aus dem Router ausgesperrt. Melden Sie sich auf der soeben neu eingerichteter IPAdresse für erneut an (ggf. muss die Netzkonfiguration des eigenen Rechners zuvor angepasst werden). (1) 284 Danach wird auf der Ethernet-Schnittstelle die statische IP-Adresse Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH mit der Netzmaske <<<<<< eingerichtet. (2) Bestätigen Sie mit OK. (3) Zum Schluss wird noch die Ethernet-Schnittstelle mit der statischen IPAdresse und mit der Netzmaske <<<<<< eingerichtet. Die Ethernet-Schnittstelle 2 bleibt ungenutzt. (4) Bestätigen Sie mit OK. Im nächsten Schritt werden zwei virtuelle Schnittstellen basierend auf hinzugefügt. (1) Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> Neu. Abb. 181: LAN -> IP-Konfiguration -> Schnittstellen -> Neu Gehen Sie folgendermaßen vor, um die erste virtuelle Schnittstelle zu konfigurieren: (1) Bei Basierend auf Ethernet-Schnittstelle wählen Sie die Schnittstelle aus. (2) Bei IP-Adresse / Netzmaske klicken Sie auf Hinzufügen. (3) Die erste virtuelle Schnittstelle bekommt die statische IP-Adresse und die Netzmaske <<<<<< . (4) Weisen Sie der Schnittstelle die VLAN-ID zu. (5) Bestätigen Sie mit OK. Konfigurieren Sie die zweite virtuelle Schnittstelle wie folgt: Workshops (Auszug) (1) Bei Basierend auf Ethernet-Schnittstelle wählen Sie die Schnittstelle aus. (2) Bei IP-Adresse / Netzmaske klicken Sie auf Hinzufügen. (3) Die zweite virtuelle Schnittstelle bekommt die statische IP-Adresse und die Netzmaske <<<<<< . (4) Weisen Sie der Schnittstelle die VLAN-ID zu. (5) Bestätigen Sie mit OK. 285 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Ergebnis: Abb. 182: LAN -> IP-Konfiguration -> Schnittstellen Systemzugangs- und Firewalleinrichtung Im Menü Zugriff wird der administrativer Zugriff zum Gerät konfiguriert. Zuerst werden alle Konfigurationsdienste des Routers auf die administrative Ethernet-Schnittstelle beschränkt. (1) Gehen Sie zu Systemverwaltung -> Administrativer Zugriff -> Zugriff. Abb. 183: Systemverwaltung -> Administrativer Zugriff -> Zugriff Gehen Sie folgendermaßen vor: 286 (1) Wählen Sie für die Schnittstelle die Konfigurationsdienste des Routers , , ;, ;,,, ;,,, und $/ aus. (2) Auf allen anderen Schnittstellen soll nur erlaubt sein. Es wird nicht empfohlen, Ping ebenfalls zu sperren, da dadurch die Fehlersuche im LAN unnötig (ohne Sicherheitsgewinn) erschwert wird. (3) Klicken Sie auf OK. Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Auch das Einstellen der Passwörter gehört zu den grundlegenden Systemeinstellungen. Ändern Sie unbedingt die Passwörter, um unberechtigten Zugriff auf das Gerät zu verhindern. (1) Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Passwörter. (2) Geben Sie das Passwort für den Benutzernamen * an. (3) Bestätigen Sie das Passwort, indem Sie es erneut angeben. (4) Klicken Sie auf OK. Anschließend wird die Firewall für das LAN eingerichtet. Definieren Sie eine Gruppe, die alle Dienste beinhaltet, die vom Router selbst im LAN angeboten werden dürfen. (1) Gehen Sie zu Firewall -> Dienste -> Gruppen -> Neu. Abb. 184: Firewall -> Dienste -> Gruppen -> Neu Gehen Sie folgendermaßen vor: (1) Geben Sie bei Beschreibung .(*0 für die Gruppe ein. (2) Wählen Sie die Mitglieder der Gruppe aus, z. B. , , !, !. Aktivieren Sie dazu das Feld in der Spalte Mitglieder. (3) Bestätigen Sie mit OK. Im nächsten Schritt werden die Adresslisten der Firewall definiert. Standardmäßig ist nur der Eintrag $D vorhanden. (1) Workshops (Auszug) Gehen Sie zu Firewall -> Adressen -> Adressliste -> Neu. 287 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 185: Firewall -> Adressen -> Adressliste -> Neu Gehen Sie folgendermaßen vor: (1) Geben Sie bei Beschreibung %"* * ein. (2) Geben Sie als IP-Adresse und Netzmaske <<<<<<<< und <<<<<<<< ein. (3) Bestätigen Sie mit OK. Definieren Sie weitere LAN-IP-Adresslisten. (1) Für /*"'".$& (en1-1) die IP-Adresse mit der Netzmaske <<<<<<<<. (2) Bestätigen Sie mit OK. (3) Für &*.$& (en1-2) die IP-Adresse mit der Netzmaske <<<<<<<<. (4) Bestätigen Sie mit OK. (5) Für /*"'".$& (en1-0-1) die IP-Adresse mit der Netzmaske <<<<<<<<. (6) Bestätigen Sie mit OK. (7) Und für &*.$& (en1-0-2) die IP-Adresse mit der Netzmaske <<<<<<<<. (8) Bestätigen Sie mit OK. Hinweis Die IP-Adressen in der Firewall müssen zur IP-Konfiguration der jeweiligen Schnittstellen passen (und bei Konfigurationsänderung angepasst werden). Die Maske muss immer 255.255.255.255 sein und hat nichts mit der Netzmaske der jeweiligen Netze zu tun. Die Maske schränkt den Bereich der jeweiligen Adressliste auf genau die eine angegebene IP-Adresse ein. 288 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Die Liste der konfigurierten Adressen sieht nun wie folgt aus: Abb. 186: Firewall -> Adressen -> Adressliste Jetzt müssen Sie noch die Schnittstellen für die einzelnen Benutzergruppen definieren. (1) Gehen Sie zu Firewall -> Schnittstellen -> Gruppen -> Neu. Abb. 187: Firewall -> Schnittstellen -> Gruppen -> Neu Gehen Sie folgendermaßen vor, um die Gruppe /*"'" einzurichten: (1) Geben Sie als Beschreibung der Gruppe /*"'" ein. (2) Wählen Sie aus den konfigurierten Schnittstellen als Mitglieder der Gruppe .$A5$ und .550A5$ aus. (3) Bestätigen Sie mit OK. Definieren Sie eine weitere Gruppe &* wie folgt: Workshops (Auszug) 289 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH (1) Geben Sie als Beschreibung der Gruppe &* ein. (2) Wählen Sie als Mitglieder der Gruppe .$A5$ und .550A5$ aus. (3) Bestätigen Sie mit OK. Einrichtung Schnittstellen-Gruppe %7" (Mitarbeiter und Gäste). (1) Geben Sie als Beschreibung der Gruppe %7" ein. (2) Wählen Sie als Mitglieder der Gruppe .$A5$, .$A5$, .550A5$ und .550A5$ aus. (3) Bestätigen Sie mit OK. Die Liste der konfigurierten Gruppen sieht nun wie folgt aus: Abb. 188: Firewall -> Schnittstellen -> Gruppen Nun können basierend auf diesen Definitionen die eigentlichen Firewallregeln erstellt werden. Als Erstes muss die Regel für den Administratorenbereich auf definiert werden (andernfalls sperrt man sich sofort komplett aus). (1) 290 Gehen Sie zu Firewall -> Richtlinien -> Filterregeln -> Neu. Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 189: Firewall -> Richtlinien -> Filterregeln -> Neu Gehen Sie folgendermaßen vor: (1) Wählen Sie die Quelle des Pakets aus, hier .$A5$ . (2) Wählen Sie als Ziel $D aus. Weder Ziel-Schnittstelle noch Ziel-Adresse werden überprüft. (3) Bei Dienste wählen Sie *C (alle Dienste) aus. (4) Wählen Sie die Aktion aus die angewendet werden soll, hier E"++. Die Pakete werden entsprechend den Angaben weitergeleitet. (5) Bestätigen Sie mit OK. (6) Als nächste Regel darf die Quellgruppe /*"'" auf die Zielgruppe % 7" über Dienste *C zugreifen. (7) Bestätigen Sie mit OK. (8) Daran anschließend wird eine Regel erstellt, mit der von der Quellgruppe &* auf die Zielgruppe &* über Dienste *C zugegriffen werden darf. (9) Bestätigen Sie mit OK. (10) Mit einer weiteren Regel sollen alle %7" auf das Internet zugreifen können: Wählen Sie als Quelle %7", als Ziel .$A5$ , und als Dienst *C aus. (11) Bestätigen Sie mit OK. Hinweis Falls ein Internetzugang über ein internes xDSL-Modem eingerichtet wurde, muss die entsprechende WAN-Schnittstelle ( $A"# "*) statt .$A5$ als Ziel ausgewählt werden. Bis jetzt sind lediglich Zugriffsregeln für über den Router verbundene Netzbereiche definiert und niemand außer dem Systembereich an der Schnittstelle darf auf lokal im Rou- Workshops (Auszug) 291 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH ter definierte IP-Adressen zugreifen. Um grundlegende Dienste wie zum Beispiel , ! usw. nutzen zu können, muss der Zugriff auf die auf dem Router gebundene IP-Adresse der jeweiligen Schnittstelle explizit erlaubt werden. (1) Gehen Sie zu Firewall -> Richtlinien -> Filterregeln -> Neu. Abb. 190: Firewall -> Richtlinien -> Filterregeln -> Neu Gehen Sie folgendermaßen vor: (1) Wählen Sie als Quelle des Pakets die Gruppe %7" aus. (2) Wählen Sie als Ziel die zuvor definierte Adresse %"* * aus. (3) Bei Dienste wählen Sie die Dienstgruppe aus, auf die die Benutzer zugreifen dürfen, hier .(*0 . (4) Wählen Sie die Aktion aus, die angewendet werden soll, hier E"++. Die Pakete werden entsprechend den Angaben weitergeleitet. (5) Bestätigen Sie mit OK. (6) In der nächsten Regel wählen Sie als Quelle .$A5$ aus. Wählen Sie als Ziel die zuvor definierte Adresse /*"'".$& , als Dienst wählen Sie .(* 0 und als Aktion E"++ aus. (7) Bestätigen Sie mit OK. (8) In der darauffolgenden Regel wählen Sie die Quelle .$A5$ aus. Wählen Sie als Ziel die zuvor definierte Adresse &*.$& , als Dienst wählen Sie .(* 0 und die Aktion E"++ aus. (9) Bestätigen Sie mit OK. (10) Als nächste Regel wählen Sie als Quelle .550A5$ , als Ziel die zuvor definierte Adresse /*"'".$& , als Dienst .(*0 und als Aktion E"++ aus. 292 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH (11) Bestätigen Sie mit OK. (12) In der letzten Regel wählen Sie die Quelle .550A5$ aus. Wählen Sie als Ziel die zuvor definierte Adresse &*.$& , als Dienst wählen Sie .(* 0 und die Aktion E"++ aus. (13) Bestätigen Sie mit OK. Die Liste der konfigurierten Filterregeln sieht nun wie folgt aus: Abb. 191: Firewall -> Richtlinien -> Filterregeln Alle übrigen Daten, die nicht zu den obigen Regeln passen, werden von der Firewall automatisch verworfen. Es muss also keine explizite Schlussregel angelegt werden, welche den übrigen Datenverkehr verwirft. Dies bedeutet auch, dass mit der bestehenden Firewallkonfiguration jeglicher vom WAN/Internet (in unserem Beispiel ) initiierte IPDatenverkehr auf den Router und ins LAN unterbunden ist. Ist ein Zugriff von außen erwünscht, müssen hierzu eigene Firewallregeln mit der WAN-Schnittstelle (hier .$A5$) als Quelle definiert werden. Zum Schluss überprüfen Sie noch, ob die Firewall eingeschaltet ist. Gehen Sie dazu in folgendes Menü: (1) Workshops (Auszug) Gehen Sie zu Firewall -> Richtlinien -> Optionen. 293 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 192: Firewall -> Richtlinien -> Optionen Die Option Firewall Status muss auf (#" gesetzt sein. DHCP-Server-Konfiguration Im Anschluss müssen nun insgesamt 5 DHCP-Server passend zum Netz der jeweiligen Schnittstelle konfiguriert werden. (1) Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. Abb. 193: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Gehen Sie folgendermaßen vor, um den IP-Adress-Pool für die Slave-APs einzurichten: 294 (1) Geben Sie einen IP-Poolnamen ein, um den IP-Pool eindeutig zu benennen, z. B. *#. (2) Geben Sie einen IP-Adressbereich an. In unserem Beispiel nehmen wir den IP- Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Adressbereich von bis . Die Größe des IP-Adressbereichs richtet sich nach der Anzahl der maximal benötigten Access Points (in unserem Beispiel 6 plus Reserve). Die übrigen Adressen können somit für andere Infrastruktur im selben Netz verwendet werden. (3) Bestätigen Sie Ihre Angaben mit OK. Im Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu können Sie nun die weitere Konfiguration vornehmen. Abb. 194: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu Gehen Sie folgendermaßen vor: (1) Bei Schnittstelle wählen Sie die logische Schnittstelle aus. (2) Wählen Sie einen gültigen IP-Pool aus, hier z. B. *# . (3) Klicken Sie auf Erweiterte Einstellungen. (4) Für das Gateway belassen Sie die Einstellung H" * &*@*C #"@ . Die momentane IP-Adresse der Schnittstelle wird als Standardgateway an die DHCP-Geräte propagiert. (5) Bei DHCP-Optionen klicken Sie auf Hinzufügen. (6) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle ein, hier . (7) Klicken Sie erneut auf Hinzufügen. (8) Wählen Sie die Option "" aus, und geben Sie die IP-Adresse der Schnittstelle ein, hier . (9) Bestätigen Sie Ihre Angaben mit OK. Weitere DHCP-Optionen sind für den korrekten Betrieb der Slave-Access Points nicht not- Workshops (Auszug) 295 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH wendig. Im nächsten Schritt wird der DHCP Pool /*"'".$ eingerichtet. Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. (1) Geben Sie einen IP-Poolnamen ein, um den IP-Pool eindeutig zu benennen, z. B. /*"'".$. (2) Geben Sie einen IP-Adressbereich an, in unserem Beispiel den IP-Adressbereich von bis < . Die noch freien 8 Adressen unterhalb von 10.0.10.10 können somit für weitere statisch konfigurierte Infrastruktur im selben Netz verwendet werden. (3) Bestätigen Sie Ihre Angaben mit OK. (4) Gehen Sie in das Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu. (5) Bei Schnittstelle wählen Sie die Schnittstelle aus. (6) Wählen Sie einen gültigen IP-Pool aus, hier z. B. /*"'".$ . (7) Klicken Sie auf Erweiterte Einstellungen. (8) Für das Gateway belassen Sie die Einstellung H" * &*@*C #"@ . (9) Bei DHCP-Optionen klicken Sie auf Hinzufügen. (10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle ein, hier . (11) Bestätigen Sie Ihre Angaben mit OK. Gehen Sie folgendermaßen vor, um einen weiteren IP-Adress-Pool für den &*.$ einzurichten: Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. 296 (1) Geben Sie einen IP-Poolnamen ein, z. B. &*A.$. (2) Geben Sie einen IP-Adressbereich an, in unserem Beispiel den IP-Adressbereich von bis < . (3) Bestätigen Sie mit OK. (4) Gehen Sie in das Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu. (5) Bei Schnittstelle wählen Sie die Schnittstelle aus. (6) Wählen Sie einen gültigen IP-Pool aus, hier z. B. &*.$ . (7) Klicken Sie auf Erweiterte Einstellungen. (8) Für das Gateway belassen Sie die Einstellung H" * &*@*C #"@ . (9) Bei DHCP-Optionen klicken Sie auf Hinzufügen. Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH (10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle, hier , ein. (11) Bestätigen Sie Ihre Angaben mit OK. Verfahren Sie analog, um den DHCP Pool für das /*"'"5" zu konfigurieren. Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. (1) Geben Sie einen IP-Poolnamen ein, z. B. /*"'"5". (2) Geben Sie einen IP-Adressbereich an, in unserem Beispiel den IP-Adressbereich von bis < . (3) Bestätigen Sie mit OK. (4) Gehen Sie in das Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu. (5) Bei Schnittstelle wählen Sie die Schnittstelle aus. (6) Wählen Sie einen gültigen IP-Pool aus, hier z. B. /*"'"5" . (7) Klicken Sie auf Erweiterte Einstellungen. (8) Für das Gateway belassen Sie die Einstellung H" * &*@*C #"@ . (9) Bei DHCP-Optionen klicken Sie auf Hinzufügen. (10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle, hier , ein. (11) Bestätigen Sie Ihre Angaben mit OK. Am Schluss konfigurieren Sie noch den DHCP Pool für das &*5". Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu. (1) Geben Sie einen IP-Poolnamen ein, z. B. &*5". (2) Geben Sie einen IP-Adressbereich an. In unserem Beispiel den IP-Adressbereich von bis < . (3) Bestätigen Sie mit OK. (4) Gehen Sie in das Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu. (5) Bei Schnittstelle wählen Sie die Schnittstelle aus. (6) Wählen Sie einen gültigen IP-Pool aus, hier z. B. &*5" . (7) Klicken Sie auf Erweiterte Einstellungen. (8) Für das Gateway belassen Sie die Einstellung H" * &*@*C #"@ . (9) Bei DHCP-Optionen klicken Sie auf Hinzufügen. (10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnitt- Workshops (Auszug) 297 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH stelle, hier ein. (11) Bestätigen Sie Ihre Angaben mit OK. Die Liste der konfigurierten DHCP Pools sieht nun wie folgt aus: Abb. 195: Lokale Dienste -> DHCP-Server -> IP- Pool-Konfiguration WLAN Controller-Einrichtung Nun kann der Wireless LAN Controller auf der Schnittstelle aktiviert werden. (1) Gehen Sie zu Wireless LAN Controller -> Controller-Konfiguration -> Allgemein. Abb. 196: Wireless LAN Controller -> Controller-Konfiguration -> Allgemein Gehen Sie folgendermaßen vor: (1) 298 Die Region muss passend zum Standort der Access Points eingerichtet werden, in Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH unserem Beispiel &"*C. Die WLAN-Funkmodule der Access Points werden damit nur innerhalb des gesetzlich erlaubten Rahmens des jeweiligen Landes betrieben. (2) Als Schnittstelle des WLAN Controllers wählen Sie aus. (3) Nach der Auswahl der Schnittstelle wechselt die DHCP-Server-Einstellungen automatisch auf -" . (4) Unter IP-Adressbereich wird der Adressbereich angezeigt, der im Menü DHCP-Pools auf der Schnittstelle konfiguriert wurde, hier - . (5) Belassen Sie den Slave-AP-Standort auf .(* J.$K. (6) Bestätigen Sie mit OK. Die Einstellungen sind jetzt aktiv und der WLAN Controller wird gestartet. Anschließend werden die Drahtlosnetzwerke (VSS) bearbeitet. Gehen Sie in folgendes Menü, um Ihr WLAN-Netzwerk zu erstellen: (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS). Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag <vss-1> auf das -Symbol. Workshops (Auszug) 299 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 197: Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> Gehen Sie folgendermaßen vor: 300 (1) Unter Netzwerkname (SSID) tragen Sie z. B. /*"'" ein. Die Option Sichtbar bleibt aktiviert. (2) Den Sicherheitsmodus stellen Sie auf . (3) Den WPA-Modus lassen Sie auf (4) Der WPA Cipher wird auf ,- gesetzt. (5) Setzen Sie den WPA2 Cipher auf 5. (6) Der Preshared Key ist das WLAN-Zugangspasswort für alle Mitarbeiter. Geben Sie eine ASCII-Zeichenfolge mit 8 - 63 Zeichen ein. (7) Aktivieren Sie die Option VLAN. (8) Geben Sie die VLAN-ID ein. Dies bewirkt, dass alle Daten der später mit der SSID /*"'" verbundenen WLAN-Geräte von den Slave-Access Points im Ethernet mit der VLAN-ID mar- . Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH kiert werden. Somit ist der Mitarbeiterdatenverkehr zwischen Router und Access Points auch auf Ethernet-Ebene (Layer 2) ein eigenständiger Netzbereich. (9) Bestätigen Sie mit OK. Wählen Sie die Schaltfläche Neu, um ein Drahtlosnetzwerk für den Gastzugang zu konfigurieren. (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu. Abb. 198: Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Unter Netzwerkname (SSID) tragen Sie z. B. &* ein. Die Option Sichtbar bleibt aktiviert. (2) Den Sicherheitsmodus stellen Sie auf . (3) Den WPA-Modus lassen Sie auf (4) Der WPA Cipher wird auf ,- gesetzt. . 301 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH (5) Setzen Sie den WPA2 Cipher auf 5. (6) Das Preshared Key ist das WLAN-Zugangspasswort für alle Gäste. Geben Sie eine ASCII Zeichenfolge mit 8 - 63 Zeichen ein. (7) Aktivieren Sie die Option VLAN. (8) Geben Sie die VLAN-ID ein. (9) Bestätigen Sie mit OK. Im nächsten Schritt werden die Funkmodulprofile bearbeitet. Konfigurieren Sie die Funkmodulprofile, indem Sie den Standardeintrag bearbeiten. (1) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile . (2) Klicken Sie bei dem vorhandenen Eintrag <2.4 GHz Radio Profile> auf das - Symbol. Abb. 199: Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> 302 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Gehen Sie folgendermaßen vor: (1) Belassen Sie die Einstellung Frequenzband = &;7 -S ". (2) Wählen Sie bei Drahtloser Modus aus. Die Änderung des Drahtlosen Modus bewirkt, dass alte relativ rar gewordene WLAN-Geräte, die nur 802.11b sprechen, das WLAN nicht mehr nutzen können. Der große Vorteil nur 802.11g/n zu erlauben besteht darin, dass der Datendurchsatz für alle angeschlossenen WLAN-Geräte nicht mehr automatisch drastisch reduziert wird, sobald ein WLAN-Gerät versucht im 802.11b-Modus ins WLAN-Netz zu gelangen. (3) Aktivieren Sie die Option Burst-Mode, um die Übertragungsgeschwindigkeit zu erhöhen. (4) Klicken Sie auf Erweiterte Einstellungen. (5) Wählen Sie den gewünschten Kanalplan aus. Mit %7" +" können Sie die gewünschten Kanäle selbst auswählen. (6) Unter Benutzerdefinierter Kanalplan wählen Sie die erlaubten Kanäle, , <, und 2 aus. Dieser Kanalplan ist für alle Länder, in denen die Kanäle 1 bis 13 erlaubt sind, als optimaler Kanalplan empfohlen und hat bei 802.11g/n keine (nennenswerte) Frequenzüberlappung. Die Access Points haben somit mehr Auswahlmöglichkeiten, einen möglichst störungsfreien Kanal zu nutzen, was die Leistungsfähigkeit und Zuverlässigkeit des gesamten WLANs steigert. (7) Aktivieren Sie die Funktion Short Guard Interval, um das Guard Interval (= Zeit zwischen der Übertragung von zwei Datensymbolen) von 800 ns auf 400 ns zu verkürzen. (8) Belassen Sie die übrigen Einstellungen und bestätigen Sie mit OK. Somit sind alle benötigten Profile im WLAN Controller eingerichtet. Jetzt werden die Access Points aktiviert und eingerichtet. Im Menü Slave Access Points wird eine Liste aller mit Hilfe des Wizard gefundenen APs angezeigt. (1) Workshops (Auszug) Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points. 303 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 200: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points Hinweis Wenn keine Access Points angezeigt werden, empfiehlt es sich, nochmals die DHCPServer-Einstellungen für den DHCP-Pool *# zu überprüfen, ob er auf die korrekte Schnittstelle (hier ) gebunden ist und die CAPWAP-Option korrekt (hier ) eingerichtet ist. Überprüfen Sie auch, ob im Systembereich auf einem anderen Gerät versehentlich ein weiterer DHCP-Server aktiv ist. Schalten Sie alle Access Points aus und wieder ein, damit sie nochmal die Netzkonfigurationseinstellungen vom DHCP-Server beziehen. Zum Schluss werden die zuvor konfigurierten Funkmodulprofile und Drahtlosnetzwerke für jeden Access Point eingerichtet. (1) 304 Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points . Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 201: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points Gehen Sie folgendermaßen vor: (1) Bei Standort geben Sie z. B. +"7"* ein. (2) Bei Beschreibung geben Sie z. B. /*"( ein. (3) Bei CAPWAP-Verschlüsselung belassen Sie (#" . (4) Bei Betriebsmodus belassen Sie 5 . Dies bewirkt, dass alle Einstellungen in den gewählten Funkmodulprofilen verwendet werden. (5) Als Aktives Funkmodulprofil wählen Sie das zuvor konfigurierte Funkmodulprofil, hier &;7 H* "+ aus. (6) Den Kanal belassen Sie auf (er wird somit anhand des Kanalplan des Funkprofils und der WLAN-Umgebung dynamisch bestimmt). (7) Bei Zugewiesen Drahtlosnetzwerke (VSS) werden die beiden konfigurierten Drahtlosnetzwerke /*"'" und &* dem Funkmodul zugewiesen. (8) Bestätigen Sie mit OK. Konfigurieren Sie analog dazu alle gefundenen Access-Points. Hinweis Jeder Access Point muss eine eindeutige Standortbezeichnung bekommen. Andernfalls wird man im laufenden Betrieb die Access Points nicht mehr voneinander unterscheiden können. Workshops (Auszug) 305 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Die Liste der konfigurierten Access Points sieht nun wie folgt aus: Abb. 202: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points Nachdem alle Access Points eingerichtet sind, werden sie nach einer kurzen Initialisierungsphase mit dem Status /** gekennzeichnet und sind somit nun in Betrieb. Zudem sind sie durch den WLAN-Controller gegen jede Art eines externen Konfigurationszugriffs gesperrt. Durch Klicken auf die -Schaltfläche oder die -Schaltfläche in der Spalte Aktion wäh- len Sie aus, ob der gewählte Access Point vom WLAN Controller verwaltet werden soll. Sie können einen Access Point vom WLAN Controller trennen und ihn somit aus Ihrer WLAN-Infrastruktur entfernen, indem Sie auf die -Schaltfläche klicken. Der Access Point bekommt dann den Status &+ , aber nicht mehr /** . Die auf der Übersichtsseite angezeigten momentan verwendeten WLAN-Kanäle sind noch nicht optimal, da sich die Access Points während der initialen Inbetriebnahme nur auf die allgemeine WLAN-Umgebung abstimmen konnten. Klicken Sie unter Neue Kanalfestlegung auf die Schaltfläche START , um die zugewiesenen Kanäle optimal gegenseitig abstimmen zu lassen. Wenn die Kanalfestlegung abgeschlossen ist, sollten jeweils direkt benachbarte Access Points unterschiedliche Kanäle haben. Die Liste der konfigurierten Access Points sieht nun wie folgt aus: 306 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Abb. 203: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points Die WLAN Controller-Konfiguration und die Konfiguration des Routers als Zugangsgateway ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK. Hinweis In manchen Fällen kann es passieren, dass auch nach der neuen Kanalfestlegung einzelne benachbarte Access Points dennoch denselben Kanal belegen. Dies passiert immer dann, wenn sich benachbarte Access Points nur unzureichend oder gar nicht gegenseitig per WLAN erkennen können. Bei korrekten Abständen der Access Points sind starke lokale Störeinflüsse durch fremde Access Points eine häufige Ursache hierfür oder eine schwierige Gebäudestruktur wie (zumeist geschlossene) Feuerschutztüren aus Stahl zwischen zwei unmittelbar benachbarten Gebäudebereichen. In diesem Fall empfiehlt es sich, für diese einzelnen betroffenen Access Points paarweise manuell einen fixen Kanal (passend zum Kanalplan) für die Funkmodule zu setzen und die Kanalneusuche erneut zu starten. Dadurch werden für die übrigen mit automatischer Kanalwahl konfigurierten Access Points die Kanäle passend zur Umgebung der fix eingerichteten Access Points vergeben. 11.3 Konfigurationsschritte im Überblick Schnittstellen zuweisen Field Menu Value Switch-Port 1 bis 5 Physikalische Schnittstellen -> bis Ethernet-Ports -> Portkonfiguration Internetzugang einrichten Workshops (Auszug) 307 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Verbindungstyp Assistenten -> Internetzugang -> Internetverbindungen -> Neu 5B" &*@*C *' Physischer EthernetPort Assistenten -> Internetzugang -> Internetverbindungen -> Weiter 5,;< Internet Service Provider Assistenten -> Internetzugang -> Internetverbindungen -> Weiter %7" +" IP-Parameter dynamisch Assistenten -> Internetzugang -> abrufen Internetverbindungen -> Weiter Deaktiviert Lokale IP-Adresse Assistenten -> Internetzugang -> Internetverbindungen -> Weiter z. B. 2 Gateway-IP-Adresse Assistenten -> Internetzugang -> Internetverbindungen -> Weiter z. B. 2 Netzmaske Assistenten -> Internetzugang -> Internetverbindungen -> Weiter <<<<<< DNS-Server 1 Assistenten -> Internetzugang -> Internetverbindungen -> Weiter z. B. 2 Schnittstellen konfigurieren 308 Field Menu Value IP-Adresse/Netzmaske LAN -> IP-Konfiguration -> Schnitt- und stellen -> <en1-0> <<<<<< IP-Adresse/Netzmaske LAN -> IP-Konfiguration -> Schnitt- und stellen -> <en1-1> <<<<<< IP-Adresse/Netzmaske LAN -> IP-Konfiguration -> Schnitt- und stellen -> <en1-2> <<<<<< Basierend auf EthernetSchnittstelle LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu Adressmodus LAN -> IP-Konfiguration -> Schnitt- * stellen -> Neu IP-Adresse/Netzmaske LAN -> IP-Konfiguration -> Schnitt- und stellen -> Neu <<<<<< Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- ,* stellen -> Neu VLAN-ID LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu Basierend auf EthernetSchnittstelle LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu J:.$K Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Adressmodus LAN -> IP-Konfiguration -> Schnitt- * stellen -> Neu IP-Adresse/Netzmaske LAN -> IP-Konfiguration -> Schnitt- und stellen -> Neu <<<<<< Schnittstellenmodus LAN -> IP-Konfiguration -> Schnitt- ,* stellen -> Neu VLAN-ID LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu J:.$K Zugriff einrichten Field Menu Value en1-0 Systemverwaltung -> Administrati- ,, ;, ;,,, ver Zugriff -> Zugriff ;,,, , $/ en1-1 bis en1-4 Systemverwaltung -> Administrati- ver Zugriff -> Zugriff Passwort ändern Field Menu Value Systemadministrator-Pass-Systemverwaltung -> Globale Einwort stellungen -> Passwörter z. B. 2< Systemadministrator-Pass-Systemverwaltung -> Globale Einwort bestätigen stellungen -> Passwörter z. B. 2< Firewall einrichten Field Menu Value Beschreibung Firewall -> Dienste -> Gruppen -> Neu .(*0 Mitglieder Firewall -> Dienste -> Gruppen -> Neu z. B. , , !, ! Field Menu Value Beschreibung Firewall -> Adressen -> Adressliste %"* * -> Neu Adresse/Subnetz Firewall -> Adressen -> Adressliste <<<<<<<< / -> Neu <<<<<<<< Beschreibung Firewall -> Adressen -> Adressliste z. B. /*"'" -> Neu .$& Adressen definiern Workshops (Auszug) 309 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Adresse/Subnetz Firewall -> Adressen -> Adressliste / -> Neu <<<<<<<< Beschreibung Firewall -> Adressen -> Adressliste &*.$& -> Neu Adresse/Subnetz Firewall -> Adressen -> Adressliste / -> Neu <<<<<<<< Beschreibung Firewall -> Adressen -> Adressliste /*"'" -> Neu .$& Adresse/Subnetz Firewall -> Adressen -> Adressliste / -> Neu <<<<<<<< Beschreibung Firewall -> Adressen -> Adressliste &*.$& -> Neu Adresse/Subnetz Firewall -> Adressen -> Adressliste / -> Neu <<<<<<<< Gruppen definiern Field Menu Value Beschreibung Firewall -> Schnittstellen -> Gruppen -> Neu /*"'" Mitglieder Firewall -> Schnittstellen -> Gruppen -> Neu .$A5$, .5 50A5$ Beschreibung Firewall -> Schnittstellen -> Gruppen -> Neu &* Mitglieder Firewall -> Schnittstellen -> Gruppen -> Neu .$A5$, .5 50A5$ Beschreibung Firewall -> Schnittstellen -> Gruppen -> Neu %7" Mitglieder Firewall -> Schnittstellen -> Gruppen -> Neu .$A5$, .$A5$, .5 50A5$ , .5 50A5$ Richtlinien erstellen (über den Router verbundene Netzbereiche) 310 Field Menu Value Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu $D Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Dienst Firewall -> Richtlinien -> Filterregeln -> Neu *C Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu /*"'" Ziel Firewall -> Richtlinien -> Filterregeln -> Neu %7" Dienst Firewall -> Richtlinien -> Filterregeln -> Neu *C Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu &* Ziel Firewall -> Richtlinien -> Filterregeln -> Neu &* Dienst Firewall -> Richtlinien -> Filterregeln -> Neu *C Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu %7" Ziel Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Dienst Firewall -> Richtlinien -> Filterregeln -> Neu *C Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Richtlinien erstellen (auf den Router gebundene IP-Adressen) Workshops (Auszug) Field Menu Value Quelle Firewall -> Richtlinien -> Filterregeln -> Neu %7" Ziel Firewall -> Richtlinien -> Filterregeln -> Neu %"* * Dienst Firewall -> Richtlinien -> Filterregeln -> Neu .(*0 311 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu /*"'".$& Dienst Firewall -> Richtlinien -> Filterregeln -> Neu .(*0 Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .$A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu &*.$& Dienst Firewall -> Richtlinien -> Filterregeln -> Neu .(*0 Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .550A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu /*"'" .$& Dienst Firewall -> Richtlinien -> Filterregeln -> Neu .(*0 Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ Quelle Firewall -> Richtlinien -> Filterregeln -> Neu .550A5$ Ziel Firewall -> Richtlinien -> Filterregeln -> Neu &*.$& Dienst Firewall -> Richtlinien -> Filterregeln -> Neu .(*0 Aktion Firewall -> Richtlinien -> Filterregeln -> Neu E"++ DHCP-Konfiguration 312 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Workshops (Auszug) Field Menu Value IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. *# IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. *# Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu 0$"#" / und "" / IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. /*"'" .$ IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. /*"'" .$ Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration-> Neu 0$"#" / IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. &*.$ IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> z. B. &*.$ 313 11 WLAN - Wireless LAN Controller als Netzzugangsgateway Field Menu bintec elmeg GmbH Value DHCP-Konfiguration -> Neu Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu 0$"#" / IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. /*"'" 5" IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. /*"'" 5" Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu 0$"#" / IP-Poolname Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu z. B. &*5" IP-Adressbereich Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu < Schnittstelle Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu IP-Poolname Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu z. B. &*5" Pool-Verwendung Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu .(* Gateway Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu H" * &*@*C #"@ DHCP-Optionen Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu 0$"#" / Wireless LAN Controller konfigurieren 314 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Region Wireless LAN Controller -> Controller-Konfiguration -> Allgemein &"*C Schnittstelle Wireless LAN Controller -> Controller-Konfiguration -> Allgemein .$A5$ DHCP-Server Wireless LAN Controller -> Controller-Konfiguration -> Allgemein -" IP-Adressbereich Wireless LAN Controller -> Controller-Konfiguration -> Allgemein Slave-AP-Standort Wireless LAN Controller -> Controller-Konfiguration -> Allgemein .(* J.$K Drahtlosnetzwerke bearbeiten Workshops (Auszug) Field Menu Value Netzwerkname (SSID) Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> z. B. /*"'" Sicherheitsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> WPA-Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> WPA Cipher Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> ,- WPA2 Cipher Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> 5 Preshared Key Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> Passwort eingeben VLAN Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> (#" VLAN-ID Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1> 315 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Netzwerkname (SSID) Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu z. B. &* Sicherheitsmodus Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu WPA-Modus Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu WPA Cipher Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu ,- WPA2 Cipher Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu 5 Preshared Key Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu Passwort eingeben VLAN Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu (#" VLAN-ID Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu Funkmodulprofile bearbeiten Field Menu Value Frequenzband Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> &;7 -S " Drahtloser Modus Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> Burst-Mode Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> (#" Kanalplan Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> -> Erweiterte Einstellungen Benutzerdefiniert Benutzerdefinierter Kan- Wireless LAN Controller -> Slavealplan AP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> 316 , <, , 2 Workshops (Auszug) 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value -> Erweiterte Einstellungen Short Guard Interval Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile> -> Erweiterte Einstellungen (#" Slave Access Points einrichten Workshops (Auszug) Field Menu Value Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. +"7"* Beschreibung Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. /*"( CAPWAP-Verschlüsselung Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points (#" Betriebsmodus Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points 5 Aktives Funkmodulprofil Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points &;7 H* " + Kanal Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points Zugewiesene Drahtlosnetzwerke (VSS) Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points #) /*"'" / #) &* Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. F Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. ,""* Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. 6" 7 ,"! !* 317 11 WLAN - Wireless LAN Controller als Netzzugangsgateway bintec elmeg GmbH Field Menu Value Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. 6"(( Standort Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points z. B. 6" Field Menu Value Neue Kanalfestlegung Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access Points START Neue Kanalfestlegung 318 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Kapitel 12 WLAN - Cloud NetManager 12.1 Einleitung Der Cloud NetManager ist ein System, das in der Lage ist sowohl sehr kleine als auch sehr große und auf viele Standorte verteilte Netze zu verwalten. Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • Ein registrierter Benutzer auf dem Portal des Cloud NetManager • Ein oder mehrere bintec WLAN Access Points z. B. W1001n, W1003n, W2003n, … mit der Software Rel. 10.1.8 Patch 2 oder höher • Den DVC (Device Verification Code) des zu verwaltenden Access Points oder ein DHCPServer, der die Option 43 unterstützt • Für jeden Access Point eine gültige Cloud NetManager-Lizenz • Ein Internetzugang 12.2 Erste Schritte im Portal 12.2.1 Anlegen eines Benutzers Öffnen Sie einen Browser, und geben Sie in die Adresszeile die URL: https://bintec.networkcloudmanager.com ein. Sie müssen sich zuerst registrieren. Klicken Sie dazu auf der Anmeldeseite oben rechts auf Register. Geben Sie die erforderlichen Daten für die Registrierung ein. Workshops (Auszug) 319 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 204: Online registration Die Felder Partner number und Login sind optional. Falls Sie für Ihr Unternehmen mehr als ein Benutzerkonto haben, beachten Sie bitte Folgendes: • Falls ein weiterer Benutzer das gleiche WLAN-Netz verwalten soll, so legen Sie hier keinen weiteren Benutzer an. Weitere Benutzer für Ihren Account können Sie nach dem Login einrichten, sowohl mit vollen als auch mit eingeschränkten Benutzerrechten. • Wenn Sie einen weiteren Benutzer einrichten möchten, der die Einstellungen des ersten bereits eingerichteten Benutzers nicht sehen soll, so können Sie das an dieser Stelle tun. Beachten Sie bitte, dass für jeden Firmennamen nur ein Benutzer eingerichtet werden kann. Daher muss man möglicherweise die Schreibweise der Firma variieren (z. B. Firma_1; Firma_2; …). • Nach dem Absenden des Registrierungsformulars erhalten Sie eine E-Mail, dies kann ei- 320 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH nige Minuten dauern. • Folgen Sie den Anweisungen und legen Sie ein Passwort für Ihren Benutzer fest. 12.2.2 Ändern der Zeitzone Die Zeitzone steht beim ersten Login auf UTC. Bitte ändern Sie diese auf Europe/Berlin. Zusätzlich haben Sie hier die Möglichkeit, die Sprache auszuwählen. Abb. 205: Ändern der Zeitzone 12.2.3 Einspielen der Lizenzen Gehen Sie auf der Statusseite in das Menü Lizenzen->Lizenzen für diesen cloud Server>Neue Lizenz. Workshops (Auszug) 321 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 206: Neue Lizenz • Tragen Sie die Seriennummer und den Lizenzschlüssel (PIN) ein. • Drücken Sie auf Lizenz registrieren. In der Übersicht Lizenzen verwalten wird angezeigt, welche Lizenzen unter Ihrem Account verfügbar sind. Abb. 207: Übersicht Bitte beachten Sie, dass hier immer nur die installierten Lizenzen angezeigt werden. Die Verfügbarkeit zeigt nicht die Restlaufzeit an, sondern die Laufzeit der gekauften Lizenz bzw. des Lizenzpaketes. • Eine Lizenz, die auf einen Benutzer-Account registriert wurde, kann nachträglich nicht auf einen anderen Benutzer übertragen werden. • Die Lizenzlaufzeit wird nur herunter gezählt, wenn die Lizenz für das Management eines Gerätes genutzt wird. Wenn das verwaltete Gerät entfernt wird, steht die Lizenz für andere Geräte zur Verfügung. Die Laufzeit wird nicht herunter gezählt, wenn die Lizenz nicht in Benutzung ist. 322 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH • Wenn die Lizenz für ein verwaltetes Gerät ausläuft, holt sich das System eine weitere Lizenz aus dem Pool der registrierten Lizenzen. Wenn keine freie Lizenz mehr vorhanden ist, wird das Management für das betreffende Gerät gestoppt. Es ist keine Veränderung der Konfiguration und auch kein Monitoring mehr möglich. Das Gerät selbst funktioniert selbstverständlich weiter, auch nach einem Stromausfall. Sie können sich die Lizenzen anzeigen lassen, die von einem verwalteten Gerät benutzt werden. Klicken Sie dazu unter Status auf Gültige Lizenz. Abb. 208: Geräte, die der Lizenz zugeordnet sind 12.3 Anlegen der Profile 12.3.1 Anlegen der Netzwerkprofile (SSID) Mindestens ein Netzwerkprofil (SSID) muss angelegt werden. Gehen Sie dazu in das Menü Konfiguration->Netzwerk. Klicken Sie auf Neues Netzwerkprofil. Workshops (Auszug) 323 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 209: Netzwerkprofile 324 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 210: Konfiguration der Netzwerkprofile Die wesentlichen Parameter für die jeweilige SSID sind voreingestellt. Die Parameter sind identisch zur Standardkonfiguration der bintec Access Points oder des WLAN Controllers. • Bei Profilname geben Sie den Namen des WLAN-Netzwerksprofils ein. • Der Netzwerkname (SSID) ist der Name des WLAN-Netzwerks, wie er von Benutzern des Acess Points gesehen wird. • Klicken Sie auf Neues Netzwerkprofil, um Ihre Angaben zu bestätigen. Workshops (Auszug) 325 12 WLAN - Cloud NetManager bintec elmeg GmbH 12.3.2 Anlegen der Funkprofile Mindestens ein Funkprofil muss angelegt werden. Wenn Access Points mit zwei Funkmodulen verwaltet werden sollen, sollte für 2,4 GHz und für 5 GHz jeweils ein Funkprofil angelegt werden. Die Parameter sind identisch zur Standardkonfiguration der bintec Access Points oder des WLAN Controllers. Gehen Sie in das Menü Konfiguration->Funkmodul->Neues Funkmodul-Profil . Abb. 211: Neues Funkmodulprofil Gehen Sie folgendermaßen vor: • Geben Sie einen Namen für das Funkprofil ein. • Stellen Sie den Betriebsmodus auf . • Für Band = 4 &;7 wählen Sie die Bandbreite /;7 aus. • Für Band = < &;7 wählen Sie die Bandbreite /;7 oder /;7 (empfohlen) aus. • Der WLAN-Modus für 2,4 GHz Profile setzen Sie auf '. • Der WLAN-Modus für 5 GHz Profile setzen Sie auf *. • Bestätigen Sie Ihre Angaben, indem Sie auf Neues Funkmodul-Profil klicken. 326 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH 12.3.3 Anlegen der Gerätevorlagen / Access-Point-Vorlage Mindestens eine Gerätevorlage muss definiert werden. Gehen Sie in das Menü Konfiguration->Access Point->Neue Access-Point-Vorlage . Abb. 212: Gerätevorlage Gehen Sie folgendermaßen vor: • Geben Sie bei Vorlagenname einen Namen der Vorlage ein. • Geben Sie das Administrator-Passwort ein. • Das Administrator-Passwort ist das Passwort zum lokalen Einloggen auf einem Access Point. Im Gegensatz zum bintec WLAN Controller kann man sich hier auf einen Access Point lokal einloggen. Allerdings sind alle WLAN-relevanten Teile der Konfiguration nicht lokal konfigurierbar. • Falls Sie bei der SSID-Konfiguration den Sicherheitsmodus 5"!" gewählt haben, müssen Sie hier ein Radius Server Profile definieren. • Wichtig ist, dass dem Funkmodul 1 ein 2,4 GHz-Funkprofil und dem Funkmodul 2 ein 5 GHz-Funkprofil zugeordnet wird. Workshops (Auszug) 327 12 WLAN - Cloud NetManager bintec elmeg GmbH • Bestätigen Sie Ihre Angaben, indem Sie auf Neue Access-Point-Vorlage klicken. 12.3.4 Geräte verwalten Im Menü Geräte wird eine Liste aller registrierten Geräte angezeigt. Zuerst müssen Sie eine Gruppe anlegen. Abb. 213: Geräte verwalten Gehen Sie in das Menü Geräte->Gruppen->Neue Gruppe. Abb. 214: Geräte verwalten / Gruppe • Wählen Sie die zuvor definierte Konfigurationsvorlage aus. • Aktivieren Sie die Automatische Aktualisierung. Hiermit wird jede Konfigurationsänderung sofort wirksam. • Bestätigen Sie Ihre Angaben, indem Sie auf Neue Gruppe klicken. 12.4 Access Points registrieren und verwalten Um ein neues Gerät hinzuzufügen, gehen Sie in das Menü Geräte->Geräte verwalten->Geräte hinzufügen. 328 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 215: Access Points registrieren und verwalten 12.4.1 Geräte manuell anmelden Für eine manuelle Registrierung, gehen Sie in das Menü Geräte->Geräte hinzufügen->Manuelle Anmeldung. Abb. 216: Manuelle Anmeldung Gehen Sie folgendermaßen vor: • Wenn bei Modus die Option Geben Sie die Seriennummer manuell ein aktiviert ist, benötigen Sie die Seriennummer, die Sie auf dem Typenschild des Gerätes finden. • Wenn bei Modus die Option Geben Sie Geräte aus der Datenquelle (.cvs) ein aktiviert Workshops (Auszug) 329 12 WLAN - Cloud NetManager bintec elmeg GmbH ist, benötigen Sie den Gerätesicherheitscode (DVC), den Sie auf dem Typenschild des Gerätes finden. Falls der DVC noch nicht auf dem Typenschild des Gerätes vorhanden ist, so wenden Sie sich bitte an unseren Support. • Wenn Sie mehr als ein Gerät gleichzeitig registrieren möchten, können Sie eine CSVDatei erstellen und einlesen. • Klicken Sie auf Geräte hinzufügen, um Ihre Angaben zu bestätigen. 12.4.2 Gerät automatisch anmelden Für die automatische Registrierung, gehen Sie in das Menü Geräte->Geräte hinzufügen->Automatische Anmeldung. Abb. 217: Automatische Anmeldung Mit der DHCP-Option 2 kann der lokale DHCP-Server des Netzes, in dem sich der Access Point befindet, dem Access Point mitteilen, mit welcher User-ID sich der Access Point beim Cloud NetManager anmelden soll. Dadurch wird eine automatische Registrierung und eine automatische Inbetriebnahme ohne Eingabe von Seriennummer und DVC Code (siehe Geräte verwalten auf Seite 328) ermöglicht. 12.5 Geräte Verwaltung Im Menü Geräte werden nun die registrierten Geräte angezeigt. 330 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 218: Geräte anzeigen Durch Klicken auf die Zeile eines Gerätes in der Übersicht wird die Detailansicht angezeigt. Mit Bearbeiten können Sie die Details bearbeiten, die Auslastung und die Erweiterten Optionen anzeigen lassen. Abb. 219: Detailansicht 12.5.1 Batch-Operationen und Software-Update In der Geräteansicht finden sich weitere Möglichkeiten zur Geräteverwaltung. Wenn Sie in der Geräteansicht mehrere Geräte markieren, gibt es zum Beispiel die Möglichkeit BatchOperationen zu starten, um die Firmware der markierten Geräte zu aktualisieren. Workshops (Auszug) 331 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 220: Bach-Operationen Abb. 221: Operationen wählen 12.6 Anhang 12.6.1 Einrichtung eines anderen Rechenzentrums Wenn Sie nicht unseren Cloud NetManager als SaaS (Software as a Service) verwenden möchten, sondern den Virtual Cloud NetManager in Ihrem eigenen Rechenzentrum hosten möchten, müssen Sie den Access Points eine andere Cloud NetManager-URL zuweisen. Dazu haben Sie zwei Möglichkeiten. 12.6.1.1 URL Zuweisung über die DHCP Option 43 Sie können den Access Point eine andere Cloud NetManager-URL zuweisen. Dazu müssen Sie beim dem lokalen DHCP-Server die Option 43 (vendor specific option) konfigurieren. 332 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Wenn Sie den DHCP-Server eines bintec-Router verwenden, gehen Sie folgendermaßen vor: Gehen Sie im GUI (Graphical User Interface) in das Menü Lokale Dienste->DHCP-Server->DHCP-Konfiguration. Abb. 222: Lokale Dienste->DHCP-Server->DHCP-Konfiguration • Wählen Sie das Symbol , um den entsprechenden Eintrag zu bearbeiten. • Gehen Sie zur Erweitere Einstellungen. • Klicken Sie im Feld DHCP-Optionen auf die Schaltfläche Hinzufügen und wählen Sie die Option = : " " aus. • Klicken Sie auf das Symbol , um den Eintrag zu bearbeiten. • Bei Hersteller auswählen wählen Sie aus. • Bei Herstellerbeschreibung geben Sie den Namen des Herstellers, z. B. ein. • Unter Vendor Option String geben Sie die neue Cloud NetManager-URL ein. Wenn Sie gleichzeitig eine User-ID übermitteln möchten, lesen Sie zuvor den String aus dem Cloud NetManager aus (siehe Gerät automatisch anmelden auf Seite 330). • Klicken Sie auf die Schaltfläche Übernehmen. 12.6.1.2 Direkte URL Änderung in der GUI Über die GUI des Access Point können Sie eine andere Cloud NetManager-Adresse eintragen. Optional kann auch die User-ID des betreffenden Kontokontos übergeben werden. In diesem Fall wird das Gerät automatisch registriert und mit der Standardkonfiguration konfigu- Workshops (Auszug) 333 12 WLAN - Cloud NetManager bintec elmeg GmbH riert. Gehen Sie in das Menu Systemverwaltung ->Globale Einstellungen->System. Abb. 223: Systemverwaltung ->Globale Einstellungen->System • Aktivieren Sie die Option Kommunikation mit dem NetManager. • Im Feld IP-Adresse des NetManagers geben Sie die Cloud NetManager Adresse des Servers ein. • Bestätigen Sie Ihre Angaben mit OK. 12.6.2 Automatische Konfiguration Mit dem Cloud NetManager haben Sie die Möglichkeit eine einmal festgelegte Konfiguration automatisch auf jeden neuen Access Point der an das lokale LAN angeschlossen wird zu übertragen. Dieses Verfahren ist z. B. für kleine Filialen, die kein eigenes IT Personal vor Ort haben, geeignet um schnell und einfach neue Access Points in Betrieb zu nehmen. Um die automatische Konfiguration nutzen zu können, müssen drei Voraussetzungen erfüllt sein: (a) Der Access Point muss sich automatisch am Cloud NetManager anmelden können. Dazu ist entweder die DHCP Option 43 mit dem User-ID String zu setzten oder die Cloud NetManager URL in der GUI des Access Point anzupassen. Die kundenspezifische URL mit User-ID können Sie unter Geräte->Geräte hinzufügen->Automatische Anmeldung im Cloud NetManager nachschauen. 334 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 224: Geräte->Geräte hinzufügen->Automatische Anmeldung (b) Im Cloud NetManager unter Geräte->Gruppen muss eine Standardgruppe definiert sein. (c) Im Cloud NetManager unter Geräte->Gruppen muss bei der Standardgruppe die Option Automatische Aktualisierung aktiv sein. Abb. 225: Geräte->Gruppen 12.7 Fehlersuche Workshops (Auszug) 335 12 WLAN - Cloud NetManager bintec elmeg GmbH 12.7.1 Ein neues Gerät ist nicht sichtbar Es gibt eine Reihe von Gründen, warum ein Gerät in der Geräteübersicht nicht angezeigt wird, obwohl der richtige DVC Code eingegeben wurde. • Das Gerät wird lokal von einem WLAN Controller verwaltet. Bitte setzen Sie das Gerät in den Auslieferungszustand zurück und löschen Sie die DHCP-Option WLAN Controller im lokalen DHCP Server. • Die lokale Firewall hat den Port 443 für ausgehende Verbindungen gesperrt. 12.7.2 Keine Kommunikation mehr mit einem verwalteten Gerät Das Logo, das den Zustand der Kommunikation anzeigt, ist nicht mehr grün, sondern rot. Abb. 226: Kommunikationsfehler Zunächst sollte man sicherstellen, dass der Access Point eine Verbindung zum Internet hat. Falls die Probleme weiterbestehen, kann ein fehlerhaftes SSL-Zertifikat die Ursache sein. Dies kann verschiedene Ursachen haben, z. B. kann es auf dem Access Point gelöscht worden sein, oder das Gerät war zuvor unter einem anderen Konto angemeldet. In diesem Fall sollte die Konfiguration des Gerätes in den Auslieferungszustand zurückgesetzt und das Sicherheitszertifikat auf dem Server für den betreffenden Access Point gelöscht werden. 336 Workshops (Auszug) 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 227: Kommunikationsfehler 12.7.3 Weitere Debug-Möglichkeiten Im Menü Geräte->Geräte verwalten wählen Sie ein Gerät aus. Gehen Sie zu Geräte verwalten->Konfiguration. Abb. 228: Kommunikationsfehler Klicken Sie auf das kleine Logo um sich die Konfigurationsdatei anzeigen zu lassen. Workshops (Auszug) 337 12 WLAN - Cloud NetManager bintec elmeg GmbH Abb. 229: Debug-Möglichkeiten Beachten Sie, dass alle Passwörter in dieser Datei verschlüsselt angezeigt werden. Abb. 230: Debug-Meldung 12.7.4 Debugging auf Geräteebene Falls keine Kommunikation zwischen Access Point und Cloud NetManager zustande kommt, können Sie mit Hilfe von Telnet oder SSH-Terminals die Kommunikation verfolgen. Dazu müssen Sie sich an den Access Point anmelden und den Befehl „debug tremp“ eingeben. Es wird die Kommunikation zwischen Access Point und Cloud NetManager angezeigt. 338 Workshops (Auszug) bintec elmeg GmbH 12 WLAN - Cloud NetManager Kommunikationsprobleme und Zertifikatsprobleme lassen sich auf diese Weise schnell analysieren. Workshops (Auszug) 339 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Kapitel 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager 13.1 Voraussetzungen • Eine Virtual Cloud NetManager Serverlizenz • Die Installationsdateien, diese erhalten Sie beim Kauf einer Virtual Cloud NetManager Server Lizenz • Für jedes zu verwaltende Gerät benötigen Sie eine Virtual Cloud NetManager Gerätelizenz • Eine betriebsbereite, den Systemanforderungen entsprechende Virtualisierungsplattform • Ein registrierter Benutzer auf dem Portal des Cloud NetManager, um die Lizenz zu aktivieren 13.1.1 Systemvoraussetzungen für die Virtualisierungsplattform Der Server benötigt zwei virtuelle Maschinen. Als Hypervisoren kommen in Frage: VMWare ESXi (5.1 oder höher) der Citrix XenServer (6.0 oder höher) - Virtuelle Maschine #1 (VM1): "Storage" - Virtuelle Maschine #2 (VM2): "Service" Mindestanforderungen für bis zu 100 Access Points Virtual Machine Storage size ID # CPU CPU Clock RAM VM1 50 GBytes 1 > 1 GHz 2 GBytes VM2 20 GBytes 1 > 1 GHz 2 GBytes Anforderungen für 5000 Access Points Virtual Machine Storage size ID # CPU CPU Clock RAM VM1 1 TBytes 4 > 2 GHz 16 GBytes VM2 64 GBytes 2 > 2 GHz 8 GBytes Die virtuellen Maschinen müssen sich gegenseitig im Netz "sehen". Das bedeutet in der 340 Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Regel, dass die Netzwerkadapter im Hypervisor auf Bridged gestellt sein müssen. 13.1.2 Netzwerkanforderungen Für diejenigen, die die virtuellen Maschinen firewall-technisch soweit wie möglich voneinander und vom Rest des Netzwerks isolieren wollen, folgen hier die genauen Anforderungen. Andere Benutzer können diesen Abschnitt einfach überspringen. • Untereinander, also zwischen "Service" und "Storage" gelten folgende Anforderungen: - "Service" benötigt mysql-Zugang zu "Storage" (TCP Port 3306). - "Service" ist NFSv4 client von "Storage" (TCP Port 111 und 2049). - Während eines Updates auf eine neuere Service-Version braucht "Service" ssh-Zugang zu "Storage" (TCP Port 22). • Von außen ist Folgendes notwendig: - Vom Server verwaltete Access Points benötigen HTTPS-bzw. HTTP-Zugang zum konfigurierten Port von "Service" (Default: 8443). - Benutzer der Weboberfläche benötigen ebenfalls HTTP(S)-Zugang zum Service-Rechner. "Storage" muss von außen nicht erreichbar sein. 13.2 Installation und Konfiguration der virtuellen Maschinen Beide virtuelle Maschinen sind weitgehend Standardinstallationen eines Debian GNU Linux-Servers. Auf der Konsole wird das jeweilige Konfigurationsmenü angezeigt. Ein Einloggen ist nicht erforderlich. Es sind wie üblich sechs virtuelle Konsolen konfiguriert, zwischen denen mit der Tastenkombination Alt-F1 bis Alt-F6 gewechselt werden kann. Die virtuellen Konsolen 2 bis 6 zeigen den normalen Login. Da kein gültiges root-Passwort angelegt ist, ist ein Login dort jedoch vorerst nicht möglich. (Weiter unten ist beschrieben, wie Sie ein solches vergeben können.) Als Beispiel konfigurieren wir im Folgenden die beiden virtuellen Maschinen in einem gemeinsamen Netzwerksegment 192.168.0.0/24, "Storage" bekommt die IP-Adresse 192.168.0.185, "Service" bekommt die IP-Adresse 192.168.0.186, Standard-Gateway und Name-Server ist die IP-Adresse 192.168.0.254. Workshops (Auszug) 341 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH 13.2.1 Konfiguration des Storage-Servers Nach dem Starten des Storage-Servers erscheint automatisch das Konfigurationsmenü. Ein Login ist nicht erforderlich. Netzwerkkonfiguration 342 (1) Zuerst wird das Netzwerk konfiguriert. Wählen Sie im Hauptmenü den Punkt 1, Configure the network. (2) Danach wird die IP-Adresse des Storage-Servers eingetragen, in unserem Beispiel <. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Workshops (Auszug) (3) Hier wird die Netzmaske eingetragen, in unserem Beispiel <<<<<< . (4) Tragen Sie dann die Gateway-IP-Adresse ein, in unserem Beispiel <. (5) Im nächsten Schritt wird die DNS-Server-Adresse eingetragen, in unserem Beispiel 343 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH <. Damit ist die Netzwerkkonfiguration abgeschlossen. Zugang zum Storage-Server Als Nächstes konfigurieren Sie den Zugang zum Storage-Server. Wählen Sie dazu im Hauptmenü den Punkt 2, Configure access to the storage server . 344 (1) Zuerst wird die IP-Adresse des Servers eingetragen, der auf den Storage-Server zugreifen kann. In unserem Beispiel . (2) Im nächsten Schritt muss ein Datenbank-Passwort vergeben werden, über das der Storage-Server erreicht werden kann. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (3) Damit Sie sich direkt über die Shell oder per SSH als " einloggen können, sollten Sie ein root-Passwort festlegen. Damit ist die Konfiguration des Zugangs zum Storage-Server abgeschlossen. 13.2.2 Konfiguration des Services Nach dem Starten des Servers erscheint automatisch das Konfigurationsmenü. Ein Login ist nicht erforderlich. Netzwerkkonfiguration (1) Workshops (Auszug) Im ersten Schritt wird wieder das Netzwerk konfiguriert. Wählen Sie im Hauptmenü den Punkt 1, Configure the network. 345 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (2) Geben Sie die IP-Adresse ein, unter wecher der Server später erreichbar sein soll, in unserem Beispiel . (3) Alle weiteren Werte (IP-Adresse, Netzmaske, Gateway-IP-Adresse und die DNSServer-Adresse) können Sie aus der Konfiguration des Storage-Servers übernehmen. Damit ist die Netzwerkkonfiguration abgeschlossen. Zugang zu dem Storage-Server Als Nächstes konfigurieren Sie den Zugang zum Storage-Server. Wählen Sie dazu im 346 Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Hauptmenü den Punkt 2, Configure access to the storage server . (1) Zuerst muss die IP-Adresse des Storage-Server eingetragen werden, in unserem Beispiel <. (2) Zur Kommunikation mit dem Storage-Server wird das Datenbankpasswort eingetragen, das zuvor in der Storage-Server-Konfiguration festgelegt wurde. In unserem Beispiel haben wir als Datenbankpasswort !*@" gewählt. Damit ist die Konfiguration des Zugangs zum Server abgeschlossen. Webserver des Cloud NetManagers Als Nächstes konfigurieren Sie den Webserver des Cloud NetManagers. Wählen Sie dazu im Hauptmenü den Punkt 3, Configure services. Workshops (Auszug) 347 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager 348 bintec elmeg GmbH (1) Die Kommunikation zwischen den zu verwaltenden Endgeräten und dem Server erfolgt verschlüsselt und ist durch Zertifikate abgesichert. Diese Zertifikate werden vom Server selbst erstellt. Die einzige (rein informelle) Angabe, die von Ihnen dazu nötig ist, ist der Name Ihrer Organisation. (2) Als Nächstes wird der Port des Webservers festgelegt, der für den Aufruf über HTTP verwendet wird, in unserem Beispiel ist das Port . (3) Danach fragt die Konfigurationsroutine ab, ob der Webserver über SSL erreichbar sein soll. In unserem Beispiel entscheiden wir uns für D. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Workshops (Auszug) (4) Hier wird der Port des Webservers festgelegt, der für den Aufruf über HTTPS verwendet wird. In unserem Beispiel ist das Port 2. (5) Falls der Server später über eine URL mit HTTPS erreichbar sein soll, muss hier der vollständige Domainname des Servers angeben werden (z. B. cloudnetmanager.bintec.de). Falls der Server nur über eine IP-Adresse angesprochen wird, kann das Feld leer bleiben. 349 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager 350 bintec elmeg GmbH (6) Dieser Punkt ist ebenfalls für die Erreichbarkeit über HTTPS wichtig. Hier können weitere alternative Domainnamen angegeben werden, falls der Server mit weiteren Domainnamen über eine HTTPS-Verbindung erreicht werden soll. Falls der Server auch oder ausschließlich mit einer IP-Adresse über HTTPS angesprochen wird, muss hier die IP-Adresse eingetragen werden. (7) Damit der Server Mails z. B. Alarmmeldungen versenden kann, ist ein Mailclient vorhanden, der in den nächsten Schritten konfiguriert wird. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Workshops (Auszug) (8) Hier wird der Name des Mailservers eingetragen, der verwendet werden soll. In unserem Beispiel *' . Tragen Sie Ihren eigenen Mailserver ein. Ein Betrieb mit öffentlichen Mailservern ist nicht vorgesehen. Ebenso ist eine verschlüsselte Verbindung zum Mailserver nicht möglich, da wir davon ausgehen, dass sich der Mailserver in einem privaten Netzwerk befindet. (9) Als Nächstes wird der SMTP-Port des Servers eingetragen. 351 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (10) Tragen Sie jetzt die Absender-E-Mail-Adresse ein, die verwendet werden soll. (11) Hier wird der Benutzername des Mailkontos eingetragen. In unserem Beispiel ist das der Benutzername "!CA" des Mailkontos noreply@bintecserver.de . 352 Workshops (Auszug) bintec elmeg GmbH 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager (12) Danach muss noch das Passwort des Mailkontos eingetragen werden. (13) Damit Sie sich direkt über die Shell oder per SSH als " einloggen können, sollten Sie ein root-Passwort festlegen. Workshops (Auszug) 353 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (14) Festlegen eines neuen Root-Passwortes. (15) Daraufhin wird der Webserver gestartet. Das kann ein bis zwei Minuten dauern. Danach erscheint folgende Meldung: 354 Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Damit ist die Konfiguration des Webservers des Cloud NetManagers abgeschlossen. 13.2.3 Testen der Installation Wenn alle Schritte korrekt durchführt worden sind, ist der Server über einen Webbrowser erreichbar. Sie können jetzt testen, ob die beiden Server gegenseitig per Ping erreichbar sind, indem Sie sich auf der Konsole einloggen (ALT+F2) und den Linux Befehl ! < bzw. ! absetzen. Verlassen Sie die virtuellen Maschinen und rufen Sie in Ihrer lokalen Umgebung den Server über einen Internetbrowser auf. Beachten Sie, dass es bei einigen Browsern erforderlich ist, dem Aufruf http:// bzw https:// voranzustellen. Format des Aufrufs: http://192.168.0.186:8080 oder https://192.168.0.186:8443 Beim Aufruf der HTTPS-Seite wird eine Zertifikatswarnung angezeigt, die Sie bestätigen müssen. Die Startseite des Servers wird angezeigt. Die Standarddaten zum Einloggen lauten: User: * Passwort: 2 Workshops (Auszug) 355 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Hinweis Sie sollten unbedingt das Standardpasswort ändern. 13.3 Lizenzierung Um den Virtual Cloud NetManager nutzen zu können, benötigen Sie eine Virtual Cloud NetManager Lizenz mit der Artikelnummer 5500001835. Diese erhalten Sie bei Ihrem Distributor. Darüber hinaus ist je nach Anzahl der Geräte, die Sie verwalten möchten, eine Gerätelizenz (z. B. Artikelnummer 5500001837) notwendig. Die Gerätelizenz ist nur innerhalb eines Kundenkontos gültig und kann nicht auf andere Kundenkonten übertragen werden. 13.3.1 Installation der Serverlizenz Zusammen mit der Software zur Installation der virtuellen Maschinen erhalten Sie ein Lizenzdokument, das eine Seriennummer und einen PIN-Code enthält. 356 (1) Zunächst müssen Sie eine Lizenzdatei erzeugen. Um die Lizenzdatei zu erzeugen, benötigen Sie auf dem bintec Cloud NetManager einen registrierten Account. (2) Loggen Sie sich unter https://bintec.networkcloudmanager.com ein. (3) Gehen Sie auf der Statusseite in das Menü Lizenzen -> Lizenzen für lokale Server > Neue Lizenz. (4) Tragen Sie die Seriennummer und den Lizenzschlüssel (PIN) ein. (5) Drücken Sie auf Lizenz registrieren. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Workshops (Auszug) (6) Wenn die Lizenzdaten korrekt sind, erweitert sich das Fenster und Sie werden nach der UUID des lokalen Servers gefragt. Um die UUID des lokalen Servers zu erhalten, müssen Sie sich in einen zweiten Browserfenster auf Ihren lokalen Server einloggen und das Lizenzmenü aufrufen. (7) Kopieren Sie nun die Server-UUID in das noch offene Fenster Ihres Cloud NetManager-Kontos (bintec.networkcloudmanager.com). 357 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager 358 bintec elmeg GmbH (8) Der Server erzeugt nun eine XML-Lizenzdatei, die Sie speichern sollten. Sie können sich jetzt beim bintec Cloud NetManager ausloggen. (9) Im Lizenzmenü Ihres lokalen Servers können Sie jetzt die XML-Lizenzdatei hochladen und damit die Lizenzierung abschließen. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH 13.3.2 Gerätelizenzen installieren Um Geräte zu verwalten, müssen Sie Gerätelizenzen unter einem Benutzerkonto installieren. Beachten Sie bitte, dass Sie Gerätelizenzen für die virtuelle Maschine benötigen (z. B. Artikelnummer 5500001837). Neues Kundenkonto einrichten Workshops (Auszug) (1) Zuerst müssen Sie ein Kundenkonto einrichten. Dazu müssen Sie sich wieder als admin anmelden. (2) Gehen Sie auf der Statusseite in das Menü Wiederverkäufer verwalten . (3) Klicken Sie auf Wiederverkäufer -> Global. 359 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager 360 bintec elmeg GmbH (4) Auf der Seite Wiederverkäuferinformationen klicken Sie auf Melden Sie sich als Wiederverkäufer an. (5) Gehen Sie wieder auf die Statusseite und rufen Sie das Menü Kunden verwalten auf. Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (6) Gehen Sie in das Menü Kunden -> Neuer Kunde. Damit ist das neue Kundenkonto eingerichtet. Kundenprofil einrichten und zuweisen Um im Virtual Cloud NetManager dieselbe Ansicht für Kunden zur Verfügung zu stellen wie im Cloud NetManager, legen Sie als Wiederverkäufer ein entsprechendes Kundenprofil an und weisen es Ihren Kunden zu bzw. benutzen es als Standard-Kundenprofil. Sie sind bereits als Wiederverkäufer angemeldet (siehe vorheriger Punkt). Workshops (Auszug) (1) Gehen Sie in das Menü Kunden->Kundenprofile->Neukundenprofil. (2) Vergeben Sie im Fenster Kundenprofilinformation einen Namen für das Kundenprofil, z. B. +" A!"+. (3) Aktivieren Sie die einzelnen Punkte des Kundenprofils entsprechend der folgenden Abbildung (grüne Pfeile). Klicken Sie gegebenenfalls auf ein Plus-Zeichen um die Unterpunkte zu sehen. Deaktivieren Sie die einzelnen Punkte entsprechend der folgenden Abbildung (rote Kreuze). 361 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (4) Wählen Sie unter Erlaubte Gerätetypen diejenigen Gerätetypen, die Ihre Kunden verwalten dürfen. (5) Klicken Sie auf Neukundenprofil, um das neue Kundenprofil zu speichern. (6) Wenn Sie das soeben konfigurierte Kundenprofil in Zukunft als Standardprofil für Ihre neuen Kunden verwenden wollen, so wählen Sie das Profil erneut aus und klicken Sie auf Als Standardkundenprofil aktivieren. (7) Wenn Sie das neu definierte Kundenprofil einem bereit angelegten Kunden zuweisen wollen, so gehen Sie in das Menü Kunden. (8) Wählen Sie aus der Liste denjenigen Kunden, dem Sie das Kundenprofil zuweisen wollen. (9) Klicken Sie auf Ändern. (10) Wählen Sie unter Kundenprofil das gewünschte Kundenprofil, z. B. + " A!"+. (11) Klicken Sie auf Änderungen speichern. (12) Wenn Sie weiteren Kunden ein Kundenprofil zuweisen wollen, wiederholen Sie den Vorgang. Sie haben ein Kundenprofil als Standardkundenprofil aktiviert oder/und Sie haben einem oder mehreren Kunden ein Kundenprofil zugewiesen. 362 Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH Gerätelizenz am Kundenkonto installieren Workshops (Auszug) (1) Zunächst müssen Sie sich in das neu erstellte Kundenkonto einloggen. (2) Gehen Sie in das Menü Lizenzen -> Lizenzen verwalten. (3) Kopieren Sie die Kunden UUID in die Zwischenablage. (4) Loggen Sie sich in Ihr Konto auf dem Cloud NetManager an (https://bintec.networkcloudmanager.com ). (5) Öffnen sie das Menü Lizenzen -> Lizenzen für lokale Server -> Neue Lizenz. (6) Tragen Sie die Seriennummer und den License code der Lizenz ein. (7) Unter Kunden UUID fügen Sie die UUID aus der Zwischenablage ein. (8) Drücken Sie auf Lizenz registrieren um die Lizenzdatei zu erzeugen. (9) Speichern sie Ihre Daten. 363 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (10) Gehen Sie jetzt zurück zum Kundenkonto auf Ihrem lokalen Server. (11) Laden Sie die Lizenzdatei über das Menü Lizenzen -> Lizenzen verwalten -> Lizenz laden. 13.4 Management von Geräten Die weitere Bedienung und das Management von Geräten sind identisch mit dem des Cloud NetManagers (https://bintec.networkcloudmanager.com ). Eine anwendungsbezogene Schritt-für-Schritt-Anleitung zur Verwendung des Cloud NetManagers finden Sie im separaten Handbuch Anwendungs-Workshops , das unter www.bintec-elmeg.com unter Lösungen zum Download bereitsteht. 364 Workshops (Auszug) 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH 13.4.1 Anpassen der Management URL in den Access Points Im Auslieferungszustand sind unsere Access Points für den Betrieb mit dem Cloud NetManager vorbereitet (ab Systemsoftware 9.1.14). Die Adresse des bintec elmeg Cloud NetManagers ist bereits vorkonfiguriert. Für den Betrieb mit einem eigenen virtuellen Cloud NetManager, müssen Sie die Adresse Ihres Servers eintragen. Dazu haben Sie zwei Möglichkeiten: • Über das lokale GUI des Access Point. (1) Gehen Sie in das Menü Systemverwaltung -> Globale Einstellungen -> System. (2) Bei IP-Adresse des Cloud NetManagers tragen Sie die Adresse Ihres Servers ein. • Über die DHCP-Option 42 Ihres lokalen DHCP-Servers Workshops (Auszug) (1) Gehen Sie in das Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu. (2) Wählen Sie die Schnittstelle und den IP-Pool aus. 365 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager bintec elmeg GmbH (3) Klicken Sie auf Erweiterte Einstellungen. (4) Im Feld DHCP-Optionen wählen Sie mit Hinzufügen die Option : " " aus. (5) Wählen Sie das Symbol (6) Im Popup-Menü geben Sie unter Vendor Option String die Management URL ein. (7) Bestätigen Sie mit OK. , um den Eintrag zu bearbeiten. Damit ist die Installation und die Inbetriebnahme des Virtual Cloud NetManagers abgeschlossen. 13.5 Hinweise zu freier Software Teile des Virtual Cloud NetManagers sind frei erhältliche Software, die unter verschiedenen Open Source Lizenzen stehen (Apache 2.0, GPL 2.0 oder 3.0, LGPL, BSD, etc.). Genauere Hinweise auf die verwendete Software sowie die jeweilgen copyrigh- Hinweise und Lizenzen finden Sie im Verzeichnis "copyrights" des Datenträgers. Den vollen Text aller erwähnten Lizenzen finden Sie im Verzeichnis "copyrights/common-licenses". Die Sourcen zu GPL-lizensierten Programmen sind im Verzeichnis "repo" das wie ein Debian Repository aufgebaut ist, sowie im Verzeichnis src. Darüberhinaus gilt das EULA (End-User-License-Agreement) für dieses Produkt die Sie ebenfalls mit der Lieferung des Virtual Cloud NetManagers erhalten haben. 366 Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Kapitel 14 WLAN-Netzwerk mit Gäste-WLAN 14.1 Einleitung Im Folgenden wird beschrieben, wie Sie einen WLAN-Zugang zum lokalen Netzwerk und ein Gäste-WLAN konfigurieren. Um zusätzliche Access Points einzubinden, wird der Wireless LAN Controller verwendet. Zur Trennung der beiden Netze auf Layer2-Ebene wird für das Gästenetzwerk ein VLAN eingerichtet. Die Nutzer des Gäste-WLANs haben uneingeschränkten Zugriff auf das Internet, aber keinen Zugang zum lokalen Netz. Abb. 231: Beispielszenario WLAN mit Gäste-WLAN Workshops (Auszug) 367 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Hinweis Der Trunk Link (siehe Abbildung) mündet am RS353aw auf einen der vier ETH-Ports (ETH1 bis ETH4), die standardmäßig en1-0 zugeordnet sind. Voraussetzungen Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: • Ein Gerät der RS-Serie • Ein Bootimage der Version 10.1.9 Patch 3 oder höher • Switche, die 802.1q VLAN unterstützen Zur Konfiguration wird das GUI (Graphical User Interface) verwendet. 14.2 Konfiguration 14.2.1 IP-Adresse konfigurieren Konfigurieren Sie eine IP-Adresse auf der LAN-Schnittstelle. (1) Gehen Sie zu LAN->IP-Konfiguration->Schnittstellen-><en1-0>-> Abb. 232: LAN->IP-Konfiguration ->Schnittstellen -><en1-0> -> 368 Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Relevante Felder im Menü Schnittstellen Feld Bedeutung Sicherheitsrichtlinie Wählen Sie, mit welcher Sicherheitseinstellung die Schnittstelle betrieben werden soll. Adressmodus Wählen Sie aus, auf welche Weise der Schnittstelle eine IPAdresse zugewiesen wird. IP-Adresse / Netzmaske Fügen Sie mit Hinzufügen einen neuen Adresseintrag hinzu. Geben Sie die IP-Adresse und die Netzmaske ein. Gehen Sie folgendermaßen vor, um die IP-Adresse zu konfigurieren: (1) Stellen Sie die Sicherheitsrichtlinie auf :""*@F" . (2) Belassen Sie den Adressmodus auf *. (3) Klicken Sie auf Hinzufügen. Geben Sie die IP-Adresse ein, z. B. . Belassen Sie die Netzmaske <<<<<< . (4) Bestätigen Sie Ihre Eingaben mit OK. 14.2.2 Bridge-Gruppe anlegen und LAN-Schnittstelle zuweisen Legen Sie eine neue Bridge-Gruppe an und weisen Sie sie der LAN-Schnittstelle zu. (1) Gehen Sie zu Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen. Abb. 233: Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen ->Schnitt- stellen Relevante Felder im Menü Schnittstellen Workshops (Auszug) Feld Bedeutung Schnittstellenbeschreibung Zeigt den Namen der Schnittstelle an. 369 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Feld Bedeutung Modus / Bridge-Gruppe Wählen Sie aus, ob Sie die Schnittselle im H/ betreiben wollen oder ordnen Sie die Schnittstelle einer bestehenden ( '" , '" usw.) oder einer neuen Bridge-Gruppe ( $ %" &"!!) zu. Konfigurationsschnittstelle Legen Sie die Schnittstelle fest, die zur Konfiguration benutzt wird. Wenn diese Schnittstelle Mitglied einer Bridge-Gruppe ist, übernimmt sie deren IP-Adresse, wenn sie aus der BridgeGruppe herausgenommen wird. Gehen Sie folgendermaßen vor, um die LAN-Schnittstelle einer neuen Bridge-Gruppe zuzuweisen und die IP-Adresse der LAN-Schnittstelle auf die Bridge-Gruppe zu übertragen: (1) Wählen Sie in der Zeile unter Modus / Bridge-Gruppe $ %" &"! ! aus. (2) Wählen Sie als Konfigurationsschnittstelle . Sobald Sie auf OK geklickt haben, wird automatisch die Bridge-Gruppe '" angelegt und die Schnittstelle dieser Bridge-Gruppe hinzugefügt. Die Bridge-Gruppe '" erhält dabei automatisch die IP-Konfiguration der Schnittstelle . Die IP-Konfiguration der Bridge-Gruppe '" können Sie im Menü LAN -> IP-Konfiguration -> <br0> -> überprüfen. 14.2.3 Wireless LAN Controller in Betrieb nehmen Der IP-Adressbereich, den Sie im Folgenden einrichten, muss zur IP-Adresse der LANSchnittstelle passen. Hinweis War im Menü Lokale Dienste->DHCP-Server->DHCP-Konfiguration der Schnittstelle bereits ein IP-Pool zugeordnet, so muss dieser Eintrag gelöscht werden. Gehen Sie in folgendes Menü, um einen IP-Adressbereich einzurichten: (1) 370 Gehen Sie zu Wireless LAN Controller->Wizard. Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Abb. 234: Wireless LAN Controller ->Wizard Relevante Felder im Menü Wireless LAN Controller Wizard, Schritt 1 Feld Bedeutung Region Wählen Sie das Land, in welchem der Wirelless LAN Controller betrieben werden soll. Schnittstelle Wählen Sie die Schnittstelle, die für den Wireless Controller verwendet werden soll. DHCP-Server Wählen Sie aus, ob ein externer DHCP-Server die IP-Adressen an die APs vergeben soll bzw. ob Sie selbst feste IP-Adressen vergeben wollen. Alternativ können Sie Ihr Gerät als DHCPServer verwenden. Bei diesem internen DHCP-Server ist die CAPWAP Option 138 aktiv, um die Kommunikation zwischen Master und Slaves zu ermöglichen. IP-Adressbereich Wenn die IP-Adressen intern vergeben werden sollen, müssen Sie die Anfangs-und End- IP-Adresse des gewünschten Bereiches eingeben. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Belassen Sie unter Region die Einstellung &"*C. (2) Wählen Sie als Schnittstelle %H-0&5A%H . (3) Wählen Sie DHCP-Server -". (4) Geben Sie den ersten und den letzten Wert des IP-Adressbereichs ein, z. B. - < . 371 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH 14.2.4 Funkmodulprofil auswählen und WLAN-Zugang zum lokalen Netz konfigurieren Legen Sie fest, welche Funkmodulprofile verwendet werden sollen. Sie sollten Zwei unabhängige Funkmodulprofile verwenden aktivieren, wenn in Ihrem Netz Access Points mit zwei 2.4/5 GHz-fähigen Funkmodulen installiert sind. (1) Klicken Sie im Wireless LAN Controller Wizard auf Weiter. Abb. 235: Wireless LAN Controller ->Wizard ->Weiter Relevante Felder im Menü Wireless LAN Controller Wizard, Schritt 2 Feld Bedeutung Zwei Unabhängige Funkmodulprofile verwenden Aktivieren Sie diese Option, wenn in Ihrem Netz APs mit zwei Funkmodulen verwendet werden. Funkmodulprofil für Modul 1 (für alle Access Points) Wählen Sie, welches Frequenzband verwendet werden soll. Wenn Zwei unabhängige Funkmodulprofile verwenden aktiviert ist, wird Modul 1 das 2.4-GHz-Frequenzband zugeordnet. Funkmodulprofil für Modul 2 (nur für APs mit 2 Funkmodulen) Wählen Sie, welches Frequenzband verwendet werden soll. Wenn Zwei unabhängige Funkmodulprofile verwenden aktiviert ist, wird Modul 2 das 5-GHz-Frequenzband zugeordnet. Gehen Sie folgendermaßen vor: 372 (1) Aktivieren Sie Zwei unabhängige Funkmodulprofile verwenden . Funkmodulprofil für Modul 1 (für alle Access Points) = &;7 H* " + und Funkmodulprofil für Modul 2 (nur für APs mit 2 Funkmodulen) = < &;7 H* "+ wird automatisch ausgewählt und angezeigt. (2) Klicken Sie auf Weiter. Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Abb. 236: Wireless LAN Controller ->Wizard (Schritt 3) Konfigurieren Sie den WLAN-Zugang zu Ihrem lokalen Netz. (3) Klicken Sie auf . Abb. 237: Wireless LAN Controller ->Wizard (Schritt 3) (4) Geben Sie einen Namen für Ihr LAN ein, z. B. .*$@"(. (5) Geben Sie unter Preshared Key ein Passwort, z. B. !"" ein, belassen Sie die Voreinstellungen der übrigen Parameter und klicken Sie auf OK. Sie sehen das lokale Netz, das Sie konfiguriert haben. 14.2.5 Gäste-WLAN konfigurieren Sie haben einen WLAN-Zugang zu Ihrem lokalen Netz konfiguriert und konfigurieren jetzt ein Gästenetz. Zur Trennung der beiden Netze auf Layer2-Ebene konfigurieren Sie für das Gäste-WLAN ein VLAN, im folgenden Beispiel mit VLAN-ID 10. Alle Datenpakete im Gäste-WLAN sind VLAN 10 getagged, Datenpakete im lokalen WLAN sind untagged. Hinweis Beachten Sie, dass die Switche in Ihrem Netz 802.1q VLAN unterstützen müssen, damit die Layer2-Trennung der beiden Netze funktioniert. Workshops (Auszug) 373 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Der Wireless LAN Controller konfiguriert Ihre bintec-elmeg Access Points, Ihre Switche müssen Sie selbst entsprechend konfigurieren. (1) Klicken Sie im Wireless LAN Controller->Wizard (Schritt 3) auf Hinzufügen. Abb. 238: Wireless LAN Controller ->Wizard (Schritt 3) Hinzufügen Relevante Felder im Menü Wireless LAN Controller Wizard, Schritt 3, Hinzufügen Feld Bedeutung Netzwerkname (SSID) Geben Sie den Namen des Drahtlosnetzwerks (SSID) ein. Sicherheitsmodus Wählen Sie den Sicherheitsmodus (Verschlüsselung und Authentifizierung) des Drahtlosnetzwerkes aus. WPA-Modus Wählen Sie aus,ob Sie WPA oder WPA 2 oder beides anwenden wollen. Preshared Key Geben Sie ein Passwort ein. VLAN Wählen Sie aus, ob für dieses Drahtlosnetzwerk VLANSegmentierung verwendet werden soll. VLAN-ID Geben Sie einen ganzzahligen Wert ein, um das VLAN zu identifizieren. Gehen Sie folgendermaßen vor: 374 (1) Geben Sie einen Namen für das Gästenetz ein, z. B. &$@"(.. (2) Wählen Sie als Sicherheitsmodus . (3) Wählen Sie als WPA-Modus . (4) Geben Sie einen Preshared Key ein, z. B. !"" (5) Klicken Sie unter VLAN auf (#". (6) Geben Sie eine VLAN-ID ein, z. B. . Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH (7) Bestätigen Sie mit OK. Sie sehen das lokale Netz zusammen mit dem Gästenetz, das Sie soeben konfiguriert haben. Abb. 239: Wireless LAN Controller ->Wizard (Schritt 3), mit konfiguriertem Gästenetz (1) Klicken Sie auf Weiter. Alle gefundenen Access Points werden angezeigt. (2) Wählen Sie in der Spalte Manage diejenigen Access Points, die Sie vom Wireless LAN Controller automatisch konfigurieren und verwalten lassen wollen. Abb. 240: Wireless LAN Controller ->Wizard (Schritt 4) 14.2.6 Access Points mit dem Wireless LAN Controller konfigurieren Lassen Sie die gewählten Access Points vom Wireless LAN Controller automatisch konfigurieren. Workshops (Auszug) (1) Klicken Sie auf Start. Der Konfigurationsprozess erfolgt schrittweise und kann - je nach Anzahl der installierten Access Points - eine Weile dauern. (2) Prüfen Sie nach beendeter Konfiguration, ob sich alle gewählten Access Points im Status /** befinden. Alle /** Access Points haben vom WLAN Controller 375 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH eine Konfiguration bekommen und werden von diesem verwaltet. Abb. 241: Wireless LAN Controller ->Wizard 14.2.7 IP-Adresse für die virtuelle Bridge-Schnittstelle konfigurieren Konfigurieren Sie eine virtuelle Bridge-Schnittstelle mit VLAN-ID 10, damit die WLAN Clients auf die lokalen Dienste, z. B. DHCP, DNS und Echo, zugreifen können. Konfigurieren Sie für diese Schnittstelle eine IP-Adresse. Gehen Sie in folgendes Menü: (1) Gehen Sie zu LAN->IP-Konfiguration->Schnittstellen->Neu. Abb. 242: LAN->IP-Konfiguration ->Schnittstellen ->Neu 376 Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Relevante Felder im Menü Schnittstellen Feld Bedeutung Basierend auf EthernetSchnittstelle Wählen Sie die Ethernet-Schnittstelle aus, zu der die virtuelle Schnittstelle konfiguriert werden soll. Schnittstellenmodus Wählen Sie den Konfigurationsmodus der Schnittstelle aus. Mit der Option ,* J:.$K weisen Sie die Schnittstelle einem VLAN zu. Dies geschieht über die VLAN-ID, die in diesem Modus angezeigt wird und konfiguriert werden kann. VLAN-ID Nur für Schnittstellenmodus = ,* J:.$K Weisen Sie die Schnittstelle einem VLAN zu, indem Sie die VLAN-ID des entsprechenden VLANs eingeben. Sicherheitsrichtlinie Wählen Sie, mit welcher Sicherheitseinstellung die Schnittstelle betrieben werden soll. Mögliche Werte: • :""*@F" (Standardwert): Es werden alle IPPakete durchgelassen, außer denen, die explizit verboten sind. • $ :""*@F" : Es werden nur diejenigen IPPakete durchgelassen, die einer Verbindung zugeordnet werden können, die aus einer vertrauenwürdigen Zone aufgebaut wurde. Adressmodus Wählen Sie aus, auf welche Weise der Schnittstelle eine IPAdresse zugewiesen wird. IP-Adresse / Netzmaske Nur für Adressmodus = * Fügen Sie mit Hinzufügen einen neuen Adresseintrag hinzu und geben Sie die IP-Adresse und die entsprechende Netzmaske der virtuellen Schnittstelle ein. Gehen Sie folgendermaßen vor: Workshops (Auszug) (1) Wählen Sie unter Basierend auf Ethernet-Schnittstelle '" . (2) Belassen Sie unter Schnittstellenmodus die Einstellung ,* (3) Geben Sie unter VLAN-ID den Wert ein. J:.$K. 377 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH (4) Wählen Sie unter Sicherheitsrichtlinie $ :""*@F" . (5) Belassen Sie den Adressmodus *. (6) Klicken Sie auf Hinzufügen. Geben Sie die IP-Adresse ein, z. B. . Belassen Sie die Netzmaske <<<<<< . (7) Bestätigen Sie Ihre Eingaben mit OK. Das Ergebnis Ihrer Konfiguration wird in der Liste in der letzten Zeile angezeigt. Abb. 243: LAN->IP-Konfiguration ->Schnittstellen ->Neu 14.2.8 IP-Adressbereich für das Gästenetz einrichten Konfigurieren Sie einen IP-Adessbereich für die IP-Adressvergabe an WLAN-Clients im Gästenetz. Dieser IP-Adessbereich muss zur soeben konfigurierten IP-Adresse der virtuellen Bridge-Schnittstelle passen. Gehen Sie in folgendes Menü, um einen IP-Adressbereich einzurichten: (1) 378 Gehen Sie zu Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu. Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Abb. 244: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu Relevante Felder im Menü IP-Pool-Konfiguration Feld Bedeutung IP-Poolname Geben Sie eine beliebige Beschreibung ein, um den IP-Pool eindeutig zu benennen. IP-Adressbereich Geben Sie die erste (erstes Feld) und die letzte (zweites Feld) IP-Adresse des IP-Adress-Pools ein. Gehen Sie folgendermaßen vor: (1) Geben Sie unter IP-Poolname eine Beschreibung ein, z. B. & ". (2) Geben Sie unter IP-Adressbereich den ersten und den letzten Wert des IPAdressbereichs ein, z. B. - < . (3) Bestätigen Sie Ihre Eingaben mit OK. Sie sehen den neuen IP-Adressbereich in der Liste. Workshops (Auszug) 379 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Abb. 245: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration 14.2.9 DHCP-Verwendung konfigurieren Konfigurieren Sie die Verwendung von DHCP für WLAN-Clients im Gästenetz. Gehen Sie in folgendes Menü: (1) Gehen Sie zu Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Neu. Abb. 246: Lokale Dienste->DHCP-Server->DHCP-Konfiguration ->Neu Relevante Felder im Menü DHCP-Konfiguration 380 Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Feld Bedeutung Schnittstelle Wählen Sie die Schnittstelle aus, über welche die in IPAdressbereich definierten Adressen an anfragende DHCP-Clients vergeben werden. Wenn eine DHCP-Anfrage über diese Schnittstelle eingeht, wird eine der Adressen aus dem AdressPool zugeteilt. IP-Poolname Wählen Sie einen im Menü Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration konfigurierten IP-Poolnamen aus. Pool-Verwendung Wählen Sie aus, ob der DHCP-Pool für Anfragen von DHCP Clients in einem direkt an die Schnittstelle angeschlossenen Ethernet verwendet werden soll oder für DHCP-Anfragen, die aus einem über Gateways erreichbaren Ethernet stammen und über eine DHCP-Relaisstation an Ihr Gerät weitergeleitet wurden. Gehen Sie folgendermaßen vor: (1) Wählen Sie eine Schnittstelle aus, , z. B. '" . (2) Wählen Sie unter IP-Poolname einen IP-Adresspool, z. B. & (3) Wählen Sie unter Pool-Verwendung aus, für welche DHCP-Anfragen der DHCP-Pool verwendet werden soll, z. B. .(*. (4) Bestätigen Sie Ihre Eingaben mit OK. ". Sie sehen die neue DHCP-Konfiguration in der Liste. Abb. 247: Lokale Dienste->DHCP-Server->DHCP-Konfiguration Workshops (Auszug) 381 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH 14.2.10 Firewall einrichten Die folgende Firewall-Konfiguration ist ein einfaches Beispiel, um die Grundfunktion der Firewall sicherzustellen. Sollten Sie weitere Sicherheitseinstellungen benötigen, so passen Sie das Beispiel bitte an Ihre Bedürfnisse an. Bridge-Schnittstelle als vertrauenswürdig definieren Definieren Sie die Schnittstelle '" (die Schnittstelle zu Ihrem lokalen Netzwerk) als vertrauenswürdige Schnittstelle. Gehen Sie zu Firewall->Richtlinien->IPv4-Filterregeln-> . Abb. 248: Firewall ->Richtlinien->IPv4-Filterregeln -> Relevantes Feld im Menü IPv4-Filterregeln Feld Bedeutung Mitglieder Sie können die angezeigten Schnittstellen als vertrauenswürdig markieren. Gehen Sie folgendermaßen vor: (1) Markieren Sie die Schnittstelle %H-0&5A%H als vertrauenswürdige Schnittstelle. (2) Stellen Sie sicher, dass keine weitere Schnittstelle markiert ist. (3) Bestätigen Sie Ihre Eingaben mit OK. Service-Gruppe anlegen Legen Sie eine Service-Gruppe mit den Diensten an, die Clients im Gäste-WLAN verwen- 382 Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH den wollen. Gehen Sie zu Firewall->Dienste->Gruppen->Neu. Abb. 249: Firewall ->Dienste->Gruppen->Neu Relevante Felder im Menü GruppenNeu Feld Bedeutung Beschreibung Geben Sie eine beliebige Beschreibung der Service-Gruppe ein. Mitglieder Wählen Sie aus den zur Verfügung stehenden Service-Aliasen die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Auswahl. Gehen Sie folgendermaßen vor: (1) Geben Sie eine Beschreibung ein, z.B. &.*. (2) Wählen Sie die gewünschten Mitglieder, z. B. !, und . (3) Bestätigen Sie Ihre Eingaben mit OK. Die konfigurierte Service-Gruppe wird angezeigt. Workshops (Auszug) 383 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Abb. 250: Firewall ->Dienste->Gruppen IPv4-Filterregeln anlegen Legen Sie eine Regel an, damit Ihre Gäste die Dienste DHCP, DNS und Echo nutzen können, die Sie in einer Service-Gruppe zusammengefasst haben. Gehen Sie zu Firewall->Richtlinien->IPv4-Filterregeln->Neu. Relevante Felder im Menü IPv4-FilterregelnNeu Feld Bedeutung Quelle Wählen Sie einen der vorkonfigurierten Aliase für die Quelle des Pakets aus. Ziel Wählen Sie einen der vorkonfigurierten Aliase für das Ziel des Pakets aus. Dienst Wählen Sie einen der vorkonfigurierten Dienste (bzw. Dienstgruppen) aus, dem das zu filternde Paket zugeordnet sein muss. Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfiguriert. Aktion Wählen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll. Gehen Sie folgendermaßen vor: 384 (1) Wählen Sie als Quelle %H-0&5A%H . (2) Wählen Sie als Ziel .$A.S.. (3) Wählen Sie als Dienst bzw. Dienstgruppe &.*. (4) Wählen Sie als Aktion E"++. (5) Bestätigen Sie Ihre Eingaben mit OK. Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Legen Sie eine Filterregel für den Zugang Ihrer Gäste in das Internet an. Gehen Sie zu Firewall->Richtlinien->IPv4-Filterregeln->Neu. Gehen Sie folgendermaßen vor: (1) Wählen Sie als Quelle %H-0&5A%H . (2) Wählen Sie als Ziel $A-$,5H$5,. (3) Wählen Sie einen Dienst, z. B. *C. (4) Wählen Sie als Aktion E"++. (5) Bestätigen Sie Ihre Eingaben mit OK. Die beiden Filterregeln werden angezeigt. Abb. 251: Firewall ->Richtlinien->IPv4-Filterregeln Fügen Sie bei Bedarf weitere Regeln hinzu. Firewall einschalten Wenn Sie Ihre Firewall-Konfiguration beendet haben, müssen Sie die Firewall einschalten. Gehen Sie zu Firewall->Richtlinien->Optionen. Workshops (Auszug) 385 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Abb. 252: Firewall ->Richtlinien->Optionen Relevantes Feld im Menü Optionen Feld Bedeutung Status der IPv4-Firewall Aktivieren oder deaktivieren Sie die IPv4-Firewall-Funktion. Gehen Sie folgendermaßen vor: (1) Aktivieren Sie den Status der IPv4-Firewall . (2) Bestätigen Sie Ihre Eingaben mit OK. 14.3 Ergebnis Sie haben einen WLAN-Zugang zum lokalen Netz und ein Gäste-WLAN konfiguriert. Ihre Gäste können auf das Internet zugreifen, aber nicht auf das lokale Netz. 14.4 Konfigurationsschritte im Überblick IP-Adresse konfigurieren Feld Menü Wert Sicherheitsrichtlinie LAN->IP-Konfiguration-> Schnittstellen-><en1-0-> :""*@F" Adressmodus LAN->IP-Konfiguration-> Schnittstellen-><en1-0-> * IP-Adresse / Netzmaske LAN->IP-Konfiguration-> Schnittstellen-><en1-0-> 386 <<<<<< Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Bridge-Gruppe anlegen und LAN-Schnittstelle zuweisen Feld Menü Wert Schnittstellenbeschreibung Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen Modus / Bridge-Gruppe Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen $ %" &"!! Konfigurationsschnittstelle Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen->Schnittstellen Wireless LAN Controller in Betrieb nehmen Feld Menü Wert Region Wireless LAN Controller->Wizard &"*C Schnittstelle Wireless LAN Controller->Wizard %H-0&5A%H DHCP-Server Wireless LAN Controller->Wizard -" IP-Adressbereich Wireless LAN Controller->Wizard z. B. - < Funkmodulprofil auswählen und WLAN-Zugang zum lokalen Netz konfigurieren Feld Menü Wert Zwei Unabhängige Funkmodulprofile verwenden Wireless LAN Controller->Wizard >Weiter (#" Funkmodulprofil für Modul 1 (für alle Access Points) Wireless LAN Controller->Wizard >Weiter &;7 H* " + Funkmodulprofil für Modul 2 (nur für APs mit 2 Funkmodulen) Wireless LAN Controller->Wizard >Weiter < &;7 H* "+ Netzwerkname (SSID) Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> .*$@"( Preshared Key Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> z. B. !"" Gäste-WLAN konfigurieren Workshops (Auszug) 387 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Feld Menü Wert Netzwerkname (SSID) Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> z. B. &$@"( Sicherheitsmodus Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> WPA-Modus Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> Preshared Key Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> z. B. !"" VLAN Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> (#" VLAN-ID Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>-> z. B. Manage Wireless LAN Controller->Wizard >Weiter ->Weiter ->Weiter (#" Access Points mit dem Wireless LAN Controller konfigurieren Feld Menü Wireless LAN Controller Wireless LAN Controller->Wizard Wizard >Weiter ->Weiter ->Weiter Wert START IP-Adresse für die virtuelle Bridge-Schnittstelle konfigurieren Feld Menü Wert Basierend auf EthernetSchnittstelle LAN->IP-Konfiguration-> Schnittstellen->Neu '" Schnittstellenmodus LAN->IP-Konfiguration-> Schnittstellen->Neu ,* VLAN-ID LAN->IP-Konfiguration-> Schnittstellen->Neu Sicherheitsrichtlinie LAN->IP-Konfiguration-> Schnittstellen->Neu $ :""* @F" Adressmodus LAN->IP-Konfiguration-> Schnittstellen->Neu * IP-Adresse / Netzmaske LAN->IP-Konfiguration-> Schnittstellen->Neu J:.$K <<<<<< IP-Adressbereich für das Gästenetz einrichten 388 Workshops (Auszug) 14 WLAN-Netzwerk mit Gäste-WLAN bintec elmeg GmbH Feld Menü Wert IP-Poolname Lokale Dienste->DHCP-Server->IP- & Pool-Konfiguration ->Neu IP-Adressbereich Lokale Dienste->DHCP-Server->IP- z. B. Pool-Konfiguration ->Neu - < " DHCP-Verwendung konfigurieren Feld Menü Wert Schnittstelle Lokale Dienste->DHCP-Server->DHCPKonfiguration->Neu '" IP-Poolname Lokale Dienste->DHCP-Server->DHCPKonfiguration->Neu & Pool-Verwendung Lokale Dienste->DHCP-Server->DHCPKonfiguration->Neu .(* Feld Menü Wert BRIDGE_BRO Firewall ->Richtlinien ->IPv4-Filterregeln-> Vertrauenswürdig( #" Beschreibung Firewall ->Dienste ->Gruppen ->Neu z. B. & . Mitglieder Firewall ->Dienste ->Gruppen ->Neu z. B. !, und Quelle Firewall ->Richtlinien ->IPv4-Filterregeln->Neu %H-0&5A%H Ziel Firewall ->Richtlinien ->IPv4-Filterregeln->Neu .$A.S. Dienst Firewall ->Richtlinien ->IPv4-Filterregeln->Neu &15,.S.5 Aktion Firewall ->Richtlinien ->IPv4-Filterregeln->Neu E"++ Quelle Firewall ->Richtlinien ->IPv4-Filterregeln->Neu %H-0&5A%H Ziel Firewall ->Richtlinien ->IPv4-Filterregeln->Neu $A-$,5H$5, Dienst Firewall ->Richtlinien z. B. *C " Firewall einrichten Workshops (Auszug) 389 14 WLAN-Netzwerk mit Gäste-WLAN Feld bintec elmeg GmbH Menü Wert IPv4-Filterregeln->Neu 390 Aktion Firewall ->Richtlinien ->IPv4-Filterregeln->Neu E"++ Status der IPv4-Firewall Firewall ->Richtlinien ->Optionen (#" Workshops (Auszug) 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH Kapitel 15 Presence Analytics mit bintec Access Points 15.1 Einleitung Mit Presence Analytics werden die Wege erfasst und ausgewertet, die Besucher mit eingeschaltetem Smartphone in einem bestimmten Bereich zurücklegen. Jedes Smartphone sendet in regelmäßigen Abständen sogenannte Probe Requests als Broadcast, um nach neuen Access Points zu suchen. Diese Requests können auch für andere Zwecke verwendet werden ohne mit dem Benutzer des Smartphones in Kontakt zu treten. Wenn diese Requests mit einem Zeitstempel versehen und aufgezeichnet werden, kann über die jeweils empfangene Signalstärke an einem Access Point und dem Vegleich mit den Daten anderer Access Points der Weg erschlossen werden, den der Besucher in einer bestimmten Zeitspanne zurücklegt. Das kann zum Beispiel für Läden innerhalb eines Einkaufszentrum interessant sein. Mit Presence Analytics kann ein Ladeninhaber erfahren, wieviele Kunden sich wann und wie lange vor seinem Schaufenster aufgehalten haben, ob sie den Laden betreten haben und ob sie etwas gekauft haben, z. B. einen Artikel, der aktuell beworben wird. Zum Identifizieren der einzelnen Smartphones wird deren MAC-Adresse verwendet. Die erfassten Daten werden anonyimisiert bevor sie an den beauftragten Dienstleister zur Auswertung weitergegeben werden. Im Folgenden wird beschrieben, wie bintec Access Points konfiguriert werden müssen, um Presence Analytics verwenden zu können. Bei größeren Installationen können Sie die notwendigen Parameter über den Cloud NetManager während des Rollouts an die Access Points übergeben lassen. Voraussetzungen Für die Access Points: • bintec Access Points mit Softwareversion 10.1.10 oder höher • Aktiver Access-Point-Modus • Mindestens ein aktives Funkmodul Workshops (Auszug) 391 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH Weitere Voraussetzungen: • Cloud NetManager (optional) • Vertrag mit einem Anbieter von Presence-Analytics-Lösungen (im Folgenden als Provider bezeichnet); zur Wahl stehen aktuell 42reports (jetzt DILAX Intelcom), Purple WiFi oder red Border • Folgende Daten liegen Ihnen von Ihrem Provider vor oder müssen von Ihnen angefordert werden: • URL • Passwort • Validator. Hinweis Wenn Ihr Provider nach den MAC-Adressen Ihrer Access Points fragt, übermitteln Sie ihm jeweils die MAC-Adresse der Schnittstelle ETH1. 15.2 Konfiguration Für Presence Analytics müssen Sie die erforderlichen Parameter entweder direkt in den Access Points oder - sofern Sie diesen verwenden - im Cloud NetManager konfigurieren. Für die Konfiguration der Parameter in den Access Points empfehlen wir Ihnen, den SNMP-Browser im GUI zu verwenden. Sie müssen die Parameter bei jedem der verwendeten Access Points einstellen. Das Vorgehen ist weiter unten beschrieben. Alternativ zum SNMP-Browser können Sie die Shell verwenden. Wenn Sie den Cloud NetManager verwenden, können Sie die Parameter dort eingeben. Dieses Vorgehen ist ebenfalls weiter unten beschrieben. Access Points konfigurieren Sie müssen bei jedem Access Point die erforderlichen Parameter von Hand einstellen. 392 (1) Wählen Sie im GUI des Access Points in der Kopfzeile Ansicht = $/%"@". (2) Wählen Sie das Menü wlan->wlanIfTable-><Eintrag>-> (3) Konfigurieren Sie folgenden Parameter: . Workshops (Auszug) 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH Parameter für Presence Analytics (1) MIB-Tabelle MIB-Parameter Wert Bedeutung / Bemerkung wlanIfTable wlanIfPresenceAnalytics enabled Schaltet Presence Analytics ein. (1) Wählen Sie das Menü wlan->wlanPresence-><Eintrag>-> (2) Konfigurieren Sie folgende Parameter: . Parameter für Presence Analytics (2) MIB-Tabelle MIB-Parameter Wert Bedeutung / Bemerkung wlanPresence wlanPresenceStatus enabled Aktiviert den Presence Analytics Daemon. wlanPresence wlanPresenceOrgSecret <Passwort> Wenn Sie vom Provider ein Passwort zum Verschlüsseln der MAC-Adresse der Smartphones erhalten haben, können Sie es hier eingeben. Wenn Sie den Parameter leer lassen, so werden die MACAdressen nicht verschlüsselt. wlanPresence wlanPresenceCollectionInterval 30 Zeitspanne in Sekunden, nach deren Ablauf der Access Point Daten zum Provider sendet; 30 ist der Standardwert. wlanPresence wlanPresenceMaxElem 4096 Maximale Anzahl an Datensätzen, die gespeichert werden. Wenn der Speicher voll ist, wird der älteste Eintrag gelöscht. 4096 ist der Standardwert. (1) Wählen Sie das Menü wlan->wlanPresenceServerTable ->Neu. (2) Konfigurieren Sie folgende Parameter: Parameter für Presence Analytics (3) Workshops (Auszug) MIB-Tabelle MIB-Parameter Wert Bedeutung / Bemerkung wlanPresenceServerTable wlanPresenceServerAd- <URL> dress Wird Ihnen vom Provider übermittelt. wlanPresence- wlanPresenceServerSe- <Passwort> Wird Ihnen vom Provider 393 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH MIB-Tabelle MIB-Parameter Wert Bedeutung / Bemerkung ServerTable cret übermittelt. wlanPresenceServerTable wlanPresenceServerVa- <Validator lidator String> Wird Ihnen vom Provider übermittelt. wlanPresenceServerTable wlanPresenceServerRowStatus active Mit dem Kommando ! "#$%$&'$ können Sie die Kommunikation zwischen Access Point und Provider überwachen. Cloud NetManager konfigurieren Im Cloud NetManager brauchen Sie die Parameter für Presence Analytics nur einmal zu konfigurieren. Während des Rollouts werden sie an die einzelnen Access Points übergeben. Gehen Sie folgendermaßen vor: (1) Wählen Sie im Cloud NetManagers das Menü Konfiguration->Analyse->Neues Analyseprofil. Die Seite Neues Analyseprofil öffnet sich. Abb. 253: Menü Konfiguration ->Analyse ->Neues Analyseprofil 394 (2) Geben Sie einen Namen für das Profil ein, z. B. "A*CA"+A. (3) Geben Sie eine Beschreibung für das Profil ein, z. B. !!A**C. Workshops (Auszug) 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH (4) Belassen Sie Aktivieren eingeschaltet, d.h. kontrollieren Sie, ob der Haken angezeigt wird. (5) Belassen Sie Intervall der Erfassung = 2 . (6) Geben Sie unter Geheimer Schlüssel der Organisation ein Passwort ein, z. B. !"". (7) Geben Sie unter Post URL die Adresse ein, die Ihnen Ihr Provider übermittelt hat, um die Daten zur Analyse zu ihm zu schicken, z. B. !)!"# ""2<L. (8) Geben Sie unter Geheimer Schlüssel das Passwort ein, das Ihnen Ihr Provider übermittelt hat, z. B. !"# "A!@. (9) Geben Sie den Validator ein, den Ihnen Ihr Provider übermittelt hat, z. B. +<* *L. (10) Belassen Sie Aktivieren eingeschaltet, d.h. kontrollieren Sie, ob der Haken angezeigt wird. Sie haben alle Parameter konfiguriert, die für Presence Analytics benötigt werden. (11) Klicken Sie auf Speichern, um das Profil zu sichern. Das Profil wird in der Liste der Analyseprofile angezeigt. Workshops (Auszug) 395 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH 15.3 Konfigurationsschritte im Überblick Access Point konfigurieren MIB-Parameter Menü Wert wlanIfPresenceAnalytics wlan->wlanIfTable-><Eintrag>-> enabled wlanPresenceStatus enabled wlan->wlanPresence-><Eintrag>-> wlanPresenceOrgSecret wlan->wlanPresence-><Eintrag>-> Passwort, z. B. !" " wlanPresenceCollection- wlan->wlanPresence-><Eintrag>-> Interval 30 wlanPresenceMaxElem 4096 wlan->wlanPresence-><Eintrag>-> wlanPresenceServerAd- wlan ->wlanPresenceServerTable - URL, z. B. dress >Neu !)!"# " " 2<L wlanPresenceServerSe- wlan ->wlanPresenceServerTable - Passwort, z. B. !"# cret >Neu "A!@ wlanPresenceServerVa- wlan ->wlanPresenceServerTable - Validator, z. B. lidator >Neu +<* *L wlanPresenceServerRowStatus wlan ->wlanPresenceServerTable - *# >Neu Cloud NetManager konfigurieren MIB-Parameter Menü Wert Name Konfiguration->Analyse->Neues Analyseprofil z. B. " A*CA" +A Beschreibung Konfiguration->Analyse->Neues Analyseprofil z. B. ! !A**C Aktivieren Konfiguration->Analyse->Neues Analyseprofil aktiviert (Haken wird angezeigt) Intervall der Erfassung Konfiguration->Analyse->Neues Analyseprofil 30 Geheimer Schlüssel der Konfiguration->Analyse->Neues Organisation Analyseprofil 396 Passwort, z. B. !" " Workshops (Auszug) 15 Presence Analytics mit bintec Access Points bintec elmeg GmbH Workshops (Auszug) MIB-Parameter Menü Wert Post URL Konfiguration ->Analyse ->Neues Analyseprofil URL, z. B. !)!"# " " 2<L Geheimer Schlüssel Konfiguration ->Analyse ->Neues Analyseprofil Passwort, z. B. !"# "A!@ Validator Konfiguration ->Analyse ->Neues Analyseprofil Validator, z. B. +<* *L Aktivieren Konfiguration ->Analyse ->Neues Analyseprofil aktiviert (Haken wird angezeigt) 397 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Kapitel 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme 16.1 Einleitung Beim Betrieb eines WLAN HotSpot kommt es immer wieder zu Abmahnungen auf Unterlassung, für die der Anschlussinhaber (z. B. Hotelier) im Rahmen der Störerhaftung zuständig ist. Mit der bintec HotSpot Secure Option werden Internetzugriffe über Ihren HotSpot durch einen nach §6 TKG registrierten Internet Service Provider getunnelt. Damit surfen Ihre Gäste nicht mehr mit der öffentlichen IP-Adresse des Anschlussinhabers, sondern mit der IP-Adresse des Internet Service Provider. Alle Abmahnungen erhält nun der Internet Service Provider, der diese als unbegründet abwehren kann. Abb. 254: bintec HotSpot Solution mit Secure Option Voraussetzungen • Internetverbindung über PPPoE • ein lizensierter und betriebsbereit konfigurierter bintec HotSpot (Artikelnummer 398 Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH 5510000198 oder 5500000861) • ein bintec Router oder be.IP plus als HotSpot Gateway Leistungsumfang • VPN-Tunnel zu einem nach §6 TKG registrierten Internet Service Provider • inklusive eines festdefinierten Content Filters, der alle Zugriffe auf Peer-to-Peer Netze und auf jugendgefährdende Inhalte verhindert. • Haftungsübernahme durch den Internet Service Provider • Der Serverstandort ist Frankfurt am Main, womit auch Dienste nutzbar sind, die "Geolocation" verwenden, um den Standort des Kunden zu überprüfen. Details • bintec HotSpot Secure Option ist eine Option zu einem bestehenden bintec HotSpot-Vertrag. Sie benötigen zwingend eine gültige bintec HotSpot-Lizenz beziehungsweise eine Lizenz für einen weiteren Hotspot-Standort. • Das Freischalten der bintec HotSpot Secure Option erfolgt über die bintec Online Services. • Die Laufzeit beträgt ein Jahr, Sie benötigen für jeden Standort eine eigene Option. 16.2 Einrichtung der bintec HotSpot Secure Option Nachdem Sie die Lizenzdaten für die bintec HotSpot Secure Option erhalten haben, registrieren Sie bitte Ihre Lizenz auf www.bintec-elmeg.com im Menü Online-Service. Der VPN-Tunnel wird dann für Sie eingerichtet, und Sie erhalten die notwendigen Zugangsdaten kurzfristig per E-Mail zugestellt. Öffnen Sie einen Web-Browser und melden Sie sich mit Ihren Zugangsdaten an Ihrem bintec-Router an. Wenn sie eine be.IP plus als Hotspot Gateway verwenden, wählen Sie die Ansicht "Vollzugriff", um Zugang zu allen Menüs zu haben. 16.2.1 Konfiguration Hinweis Dieser Workshop zeigt Konfiguration anhand einer be.IP plus. Wenn Sie die Konfiguration auf einem anderen bintec-Gerät vornehmen wollen und Probleme bei der Übertragung der Einstellungen haben, wenden Sie sich bitte an unseren Support. Workshops (Auszug) 399 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Wireless LAN Controller-Konfiguration Mit dem Wireless LAN Controller können Sie eine WLAN-Infrastruktur mit mehreren Access Points (APs) aufbauen und verwalten. Der WLAN Controller verfügt über einen Wizard, der Sie bei der Konfiguration Ihrer Access Points unterstützt. Wir empfehlen Ihnen, den Wizard auf jeden Fall bei der Erstkonfiguration Ihrer WLANInfrastruktur zu verwenden. Gehen Sie in das Menü Wireless LAN Controller->Wizard. Abb. 255: Wireless LAN Controller ->Wizard Gehen Sie folgendermaßen vor: (1) Wählen Sie die Schnittstelle, die für den Wireless Controller verwendet werden soll, hier %H-0&5A%H . (2) Bei DHCP-Server wählen Sie die Option -" aus. (3) Geben Sie bei IP-Adressbereich die Anfangs- und End-IP-Adresse des gewünschten Bereichs ein, hier . (4) Klicken Sie auf Weiter. Hinweis Hinweis: Wenn Sie auf Weiter klicken, erscheint eine Warnung, dass beim Fortfahren die Wireless-LAN-Controller-Konfiguration überschrieben wird. Mit Klicken auf OK sind Sie einverstanden und fahren mit der Konfiguration fort. (5) 400 Im Schritt 2 wählen Sie das Funkmodulprofil aus, hier z. B. &;7 H* " +. Hier kann auch ein < &;7 H* "+ hinzugefügt werden, wenn Ihr Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Gerät über ein zweites Radiomodul verfügt. Ist das nicht Fall, sollten Sie bei einem 2.4 GHz-Profil bleiben. (6) Klicken Sie auf Weiter. (7) Im Schritt 3 klicken Sie auf Hinzufügen um einen neuen Eintrag anzulegen. Abb. 256: Wireless LAN Controller ->Wizard (8) Geben Sie bei Netzwerkname (SSID) den Namen des Drahtlosnetzwerks (SSID) ein, hier z. B. C;!. (9) Den Sicherheitsmodus stellen Sie auf Inaktiv. (10) Aktivieren Sie die Option VLAN. (11) Um das VLAN zu identifizieren, geben Sie bei VLAN-ID den Wert ein. Sie können den Wert entsprechend anpassen und einen Zahlenwert zwischen und eingeben. (12) Bestätigen Sie Ihre Angaben mit OK. (13) Klicken Sie auf Weiter. Sie sehen eine Liste der gefundenen Access Points. Abb. 257: Wireless LAN Controller ->Wizard (14) Wählen Sie das Gerät aus, das Sie als Hotspot Gateway verwenden und klicken Sie auf START . Workshops (Auszug) 401 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Die WLAN-Controller-Installation ist hiermit abgeschlossen. Sie sehen in der Liste unter Status das Symbol Managed. Klicken Sie auf Konfiguration speichern um die Konfiguration zu sichern. Virtuelle Schnittstelle anlegen Legen Sie nun eine virtuelle Schnittstelle an, um den Datenverkehr aus dem WLAN von dem anderweitigen Datenverkehr über Ihr Gerät abtrennen zu können. Gehen Sie dazu in das Menü LAN->IP-Konfiguration->Schnittstellen->Neu. Abb. 258: LAN->IP-Konfiguration ->Schnittstellen ->Neu Gehen Sie folgendermaßen vor: 402 (1) Bei Basierend auf Ethernet-Schnittstelle wählen Sie die Schnittstelle aus, auf der die virtuelle Schnittstelle basieren soll, hier '" . (2) Weisen Sie die Schnittstelle einem VLAN zu. Geben Sie dazu unter VLAN-ID ein (oder den Wert, den Sie bei der WLAN-Controller-Konfiguration für das neu erstellte WLAN C;! vergeben haben). (3) Unter Grundlegnde IPv4-Parameter belassen Sie Sicherheitsrichtlinie auf :" "*@F" und wählen den Adressmodus * (4) Bei IP-Adresse / Netzmaske klicken Sie auf Hinzufügen und geben Sie die IP- Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Adresse der virtuellen Schnittstelle ein, die Sie von Ihrem Server-Betreiber erhalten haben. Hier z. B. L2 L<. Hinweis Beachten Sie, dass Sie die IP-Adresse mit Ihrem Hotspot-Server-Betreiber absprechen müssen. Sie kann nicht frei gewählt werden, da sie für das Funktionieren des VPN-Tunnels relevant ist und auch auf der Seite des Server-Betreibers entsprechend konfiguriert werden muss. (5) Bestätigen Sie Ihre Angaben mit OK. Die neu konfigurierte Schnittstelle '" wird in der Liste der vorhandenen Schnittstellen angezeigt. Abb. 259: LAN->IP-Konfiguration ->Schnittstellen Speichern Sie die Konfiguration mit Konfiguration speichern . DHCP-Konfiguration Um Ihr Gerät als DHCP-Server für das HotSpot-WLAN zu verwenden, müssen Sie zunächst einen IP-Adresspool definieren, aus dem die IP-Adressen an die anfragenden Clients verteilt werden. Gehen Sie dazu in das Menü Lokale Dienste->DHCP-Server->IPPool-Konfiguration ->Neu. Workshops (Auszug) 403 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Abb. 260: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu Gehen Sie folgendermaßen vor: (1) Geben Sie bei IP-Poolname einen Namen ein, z. B. ;!. (2) Bei IP-Adressbereich geben Sie die erste und die letzte IP-Adresse des Pools ein. Hier z. B. L2 L L2 L. Hinweis Der Adressraum, der Ihnen hier zur Verfügung steht, ist mit dem HotSpot-Server-Betreiber abzusprechen, da auf dessen Seite die Konfiguration entsprechend zu erfolgen hat. Die Beispielwerte können nicht übernommen werden. (3) Bestätigen Sie mit OK. Gehen Sie nun in das Menü Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Neu. 404 Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Abb. 261: Lokale Dienste->DHCP-Server->DHCP-Konfiguration ->Neu Gehen Sie folgendermaßen vor: (1) Wählen Sie die Schnittstelle '" aus. (2) Bei IP-Poolname wählen Sie den konfigurierten IP-Poolnamen ;! aus. (3) Die Pool-Verwendung belassen Sie bei .(*. (4) Bestätigen Sie Ihre Eingaben mit OK. VPN-Konfiguration Im nächsten Schritt nehmen Sie die Konfiguration der VPN-Verbindung zu Ihrem HotSpot-Sever-Betreiber vor. Legen Sie zunächst ein Phase-1-Profil an. Gehen Sie dazu in das Menü VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen. Workshops (Auszug) 405 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Abb. 262: VPN IPSec Phase-1-Profile Neues IKEv1-Profil erstellen Gehen Sie folgendermaßen vor: (1) Geben Sie eine Beschreibung für das Profil ein, z. B. ;!A:$. (2) Unter Proposals wählen Sie als Verschlüsselung 5< und als Authentifizierung ; aus. (3) Als DH-Gruppe wählen Sie <J<2 %K aus. (4) Für die Authentifizierungsmethode wählen Sie "*" (5) Wählen Sie den Modus "# aus. (6) Bei Lokaler ID-Typ wählen Sie den Typ der lokalen ID 6C 3*+ $* J630$K aus. (7) Bei Lokaler ID-Wert geben Sie die ID Ihres Gerätes ein, die Sie von Ihrem ServerBetreiber erhalten haben. (8) Bestätigen Sie Ihre Angaben mit OK. C aus. 0* Legen Sie nun die Phase-2-Profile an. Gehen Sie in das Menü VPN->IPSec->Phase-2-Profile->Neu. 406 Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Abb. 263: VPN->IPSec->Phase-2-Profile ->Neu Gehen Sie folgendermaßen vor: (1) Geben Sie eine Beschreibung für das Profil ein, z. B. ;!A:$. (2) Unter Proposals wählen Sie als Verschlüsselung 5< und als Authentifizierung ; aus. (3) Als PFS-Gruppe verwenden wählen Sie <J<2 %K aus. (4) Bestätigen Sie Ihre Angaben mit OK. Im nächsten Schritt wird noch der IPSec-Peer eingerichtet. Als Peer wird ein Endpunkt der Kommunikation in einem Computernetzwerk bezeichnet. Gehen Sie in das Menü VPN->IPSec->IPSec-Peers->Neu. Workshops (Auszug) 407 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Abb. 264: VPN->IPSec->IPSec-Peers ->Neu Gehen Sie folgendermaßen vor: (1) Geben Sie eine Beschreibung des Peers ein, z. B. ;!A:$. (2) Wählen Sie unter Peer-Adresse die IP-Version -# '#"7 aus. Geben Sie die IP-Adresse ein, die Sie von Ihrem Server-Betreiber erhalten haben. In unserem Beispiel << . (3) Bei Peer-ID wählen Sie die IP-Version -# " aus, und tragen Sie die gleiche IP-Adresse wie unter Peer-Adresse ein, hier << . (4) Bei Preshared Key geben Sie den Presharded Key, den Sie von Ihrem Server-Betreiber erhalten haben. (5) Für die Sicherheitsrichtlinie wählen Sie :""*@F" aus. Alle IP-Pakete werden durchgelassen, außer denen, die explizit verboten sind. (6) Unter IPv4-Adressvergabe wählen Sie * aus. (7) Aktivieren Sie die Option Standardroute. Damit wird diese Route zu diesem IPSecPeer als Standardroute festgelegt. (8) Als Lokale IP-Adresse tragen Sie die lokale IP-Adresse ein, die Sie von Ihrem Server-Betreiber für die HotSpot-Schnittstelle zugeteilt bekommen haben, hier z. B. L2 L<. Hinweis Diese Adresse ist nicht frei wählbar und muss mit dem Server-Betreiber abgesprochen werden. (9) Bei Metrik wählen Sie den Wert aus. (10) Bestätigen Sie Ihre Angaben mit OK. Routing-Konfiguration 408 Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Um den Datenverkehr aus dem HotSpot-WLAN ausschließlich über den VPN-Tunnel zu Ihrem Server-Betreiber zu schicken, müssen Sie eine entsprechende Route anlegen. Gehen Sie dazu in das Menü Netzwerk->Routen->Konfiguration von IPv4-Routen ->Neu. Abb. 265: Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu Gehen Sie folgendermaßen vor: (1) Bei Routentyp wählen Sie die Art der Route aus, hier * *" " F'" &* @*C. (2) Wählen Sie die Schnittstelle -5A;S,S,A:$ aus. (3) Klicken Sie bei Routenklasse auf Erweitert. (4) Geben Sie eine Beschreibung für die Route ein, z. B. ;!A:$. (5) Wählen Sie die Quellschnittstelle %H-0&5A%H aus. (6) Wählen Sie für Modus den Wert :"' . (7) Bei Metrik wählen Sie den Wert aus. (8) Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK. Klicken Sie auf Konfiguration speichern um die Konfiguration zu sichern. Workshops (Auszug) 409 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH 16.2.2 Zugehörige Informationen Die nötigen Schritte zur Einrichtung Ihres Gerätes als Hotspot-Gateway finden Sie in einem Workshop unter http://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/ current_de/ws_wlan_html_de_HTML/start.html im Kapitel WLAN - WLANController-Installation mit integrierter HotSpot-Funktionalität . Hinweis Beachten Sie, dass Sie die Einstellungen für die HotSpot-Schnittstelle passend zu der im aktuellen Workshop vorgestellten Konfiguration über '" wählen müssen. Hier finden Sie einen weiteren Workshop zum Thema der Bintec HotSpotLösung. 16.3 Konfigurationsschritte im Überblick Wireless LAN Controller-Konfiguration 410 Parameter Menü Wert Schnittstelle Wireless LAN Controller->Wizard %H-0&5A%H DHCP-Server Wireless LAN Controller->Wizard -" IP-Adressbereich Wireless LAN Controller->Wizard z. B. Funkmodulprofil Wireless LAN Controller ->Wizard - z. B. &;7 H* >Weiter "+ Netzwerkname (SSID) Wireless LAN Controller->Wizard >Weiter ->Hinzufügen z. B. C;! Sicherheitsmodus Wireless LAN Controller->Wizard >Weiter ->Hinzufügen -*(# VLAN Wireless LAN Controller->Wizard >Weiter ->Hinzufügen (#" VLAN-ID Wireless LAN Controller->Wizard >Weiter ->Hinzufügen Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Virtuelle Schnittstelle anlegen Parameter Menü Wert Basierend auf Ethernet-Schnittstelle LAN->IP-Konfiguration ->Schnittstellen ->Neu '" VLAN-ID LAN->IP-Konfiguration ->Schnittstellen ->Neu IP-Adresse / Netzmaske LAN->IP-Konfiguration ->Schnittstellen ->Neu-> Hinzufügen z. B. L2 L< Parameter Menü Wert IP-Poolname Lokale Dienste ->DHCP-Server ->IP-Pool-Konfiguration ->Neu z. B. ;! IP-Adressbereich Lokale Dienste ->DHCP-Server ->IP-Pool-Konfiguration ->Neu z. B. L2 L L2 L Schnittstelle Lokale Dienste ->DHCP-Server ->DHCP-Konfiguration ->Neu '" IP-Poolname Lokale Dienste ->DHCP-Server ->DHCP-Konfiguration ->Neu z. B. ;! Pool-Verwendung Lokale Dienste ->DHCP-Server ->DHCP-Konfiguration ->Neu .(* DHCP-Konfiguration VPN-Konfiguration (Phase 1) Workshops (Auszug) Parameter Menü Wert Beschreibung VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen z. B. ;!A:$ Proposals VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen Verschlüsselung5 < und Authentifizierung; DH-Gruppe VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen <J<2 %K Authentifizierungsmethode VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen "*" Modus VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen "# Lokaler ID-Typ VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen 6C 3*+ 0* $* J630$K Lokaler ID-Wert VPN->IPSec->Phase-1-Profile z. B. "2 C 411 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme Parameter Menü bintec elmeg GmbH Wert Neues IKEv1-Profil erstellen VPN-Konfiguration (Phase 2) Parameter Menü Wert Beschreibung VPN-> IPSec->Phase-2-Profile ->Neu. z. B. ;!A:$ Proposals VPN-> IPSec->Phase-2-Profile ->Neu Verschlüsselung5 < und Authentifizierung; PFS-Gruppe verwenden VPN-> IPSec->Phase-2-Profile ->Neu <J<2 %K VPN-Konfiguration (IPSec-Peers) Parameter Menü Wert Beschreibung VPN-> IPSec->IPSec-Peers ->Neu z. B. ;!A:$ Peer-Adresse VPN-> IPSec->IPSec-Peers ->Neu IP-Version-# ' #"7 und z. B. << Peer-ID VPN-> IPSec->IPSec-Peers ->Neu -# " IP-Version und z. B. << Preshared Key VPN-> IPSec->IPSec-Peers ->Neu vom Server-Betreiber Sicherheitsrichtlinie VPN-> IPSec->IPSec-Peers ->Neu :""*@F" IPv4-Adressvergabe VPN-> IPSec->IPSec-Peers ->Neu * Standardroute VPN-> IPSec->IPSec-Peers ->Neu (#" Lokale IP-Adresse VPN-> IPSec->IPSec-Peers ->Neu z. B. L2 L< Metrik VPN-> IPSec->IPSec-Peers ->Neu Parameter Menü Wert Routentyp Netzwerk ->Routen ->Konfiguration * *" " F'" von IPv4-Routen ->Neu &*@*C Schnittstelle Netzwerk ->Routen ->Konfiguration -5A;S,S,A:$ von IPv4-Routen ->Neu Routenklasse Netzwerk ->Routen ->Konfiguration 5"@" von IPv4-Routen ->Neu Beschreibung Netzwerk ->Routen ->Konfiguration z. B. ;!A:$ Routing-Konfiguration 412 Workshops (Auszug) 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme bintec elmeg GmbH Parameter Menü Wert von IPv4-Routen ->Neu Workshops (Auszug) Quellschnittstelle Netzwerk ->Routen ->Konfiguration %H-0&5A%H von IPv4-Routen ->Neu Metrik Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu 413