Benutzerhandbuch Workshops (Auszug)

Transcription

bintec elmeg GmbH
Benutzerhandbuch
Benutzerhandbuch
Workshops (Auszug)
WLAN-Workshops
Copyright© Version 9/2016 bintec elmeg GmbH
Workshops (Auszug)
1
Benutzerhandbuch
bintec elmeg GmbH
Rechtlicher Hinweis
Gewährleistung
Änderungen in dieser Veröffentlichung sind vorbehalten.
bintec elmeg GmbH gibt keinerlei Gewährleistung auf die in dieser Bedienungsanleitung
enthaltenen Informationen.bintec elmeg GmbH übernimmt keine Haftung für mittelbare, unmittelbare, Neben-, Folge- oder andere Schäden, die mit der Auslieferung, Bereitstellung
oder Benutzung dieser Bedienungsanleitung im Zusammenhang stehen.
Copyright © bintec elmeg GmbH
Alle Rechte an den hier beinhalteten Daten - insbesondere Vervielfältigung und Weitergabe
- sind bintec elmeg GmbH vorbehalten.
2
Workshops (Auszug)
Inhaltsverzeichnis
bintec elmeg GmbH
Inhaltsverzeichnis
Workshops (Auszug)
Kapitel 1
WLAN - Verbindung mit WPA-PSK auf RS232jw . . . . . . . 1
1.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
1.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
1.2.1
Ändern von Admin-Passwörtern . . . . . . . . . . . . . . . . . . .
2
1.2.2
Konfigurieren des Access-Point-Modus auf dem Funkmodul . . . . . . .
3
1.2.3
Einrichten einer WLAN-Verbindung . . . . . . . . . . . . . . . . . .
4
1.2.4
Bridging aktivieren . . . . . . . . . . . . . . . . . . . . . . . . .
6
1.2.5
MAC-Filter konfigurieren . . . . . . . . . . . . . . . . . . . . . . .
7
1.2.6
WLAN-Adapter unter Windows XP konfigurieren . . . . . . . . . . . .
9
1.3
Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.4
Kontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
1.5
Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . .
13
Kapitel 2
WLAN - Verbindung mit WPA-PSK auf W2003n . . . . . . 15
2.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
2.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
16
2.2.1
Ändern von Admin-Passwörtern . . . . . . . . . . . . . . . . . .
16
2.2.2
Konfigurieren des Access-Point-Modus auf dem Funkmodul . . . . . .
17
2.2.3
Einrichten einer WLAN-Verbindung . . . . . . . . . . . . . . . . .
18
2.2.4
MAC-Filter konfigurieren . . . . . . . . . . . . . . . . . . . . . .
20
2.2.5
WLAN-Adapter unter Windows XP konfigurieren . . . . . . . . . . .
23
2.3
Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
2.4
Kontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
2.5
26
Kapitel 3
WLAN - VLAN mit Multi-SSID-WLAN . . . . . . . . . . . . 28
i
Inhaltsverzeichnis
ii
bintec elmeg GmbH
3.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
3.2
Konfiguration
. . . . . . . . . . . . . . . . . . . . . . . . . .
28
3.2.1
Konfiguration der Drahtlosnetzwerke . . . . . . . . . . . . . . . .
29
3.2.2
Konfiguration der VLANs . . . . . . . . . . . . . . . . . . . . .
31
3.2.3
Regeln für den Empfang an den Ports festlegen . . . . . . . . . . .
33
3.2.4
Ports aus VLAN Management entfernen . . . . . . . . . . . . . . .
34
3.2.5
VLAN aktivieren . . . . . . . . . . . . . . . . . . . . . . . . .
35
3.2.6
Konfiguration am bintec S128p . . . . . . . . . . . . . . . . . . .
35
3.3
Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
3.4
Kontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
3.5
38
Kapitel 4
WLAN - bintec Hotspot Solution . . . . . . . . . . . . . . . 42
4.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
4.2
Leistungsmerkmale . . . . . . . . . . . . . . . . . . . . . . . .
44
4.2.1
Merkmale der Hotspot Solution
. . . . . . . . . . . . . . . . . .
44
4.2.2
Merkmale des Gateways . . . . . . . . . . . . . . . . . . . . .
45
4.2.3
Merkmale des Hotspot-Servers
. . . . . . . . . . . . . . . . . .
45
4.3
Konfiguration
. . . . . . . . . . . . . . . . . . . . . . . . . .
45
4.3.1
Konfiguration des bintec Hotspot-Gateways . . . . . . . . . . . . .
46
4.3.2
Konfiguration des bintec Hotspot-Servers durch einen Fachhändler . . .
64
4.3.3
Verwaltung von Hotspot Accounts . . . . . . . . . . . . . . . . .
69
4.3.4
Betrieb an mehreren Standorten . . . . . . . . . . . . . . . . . .
73
4.3.5
Einrichtung der Walled Garden Pages
. . . . . . . . . . . . . . .
76
4.3.6
Nutzung des Hotspots ohne HTML-Anmelde-Frameset . . . . . . . .
77
4.3.7
Verwendung von Default Free Service . . . . . . . . . . . . . . . .
83
4.4
Neue Authentifizierungsverfahren . . . . . . . . . . . . . . . . . .
91
4.4.1
Default Free Service . . . . . . . . . . . . . . . . . . . . . . .
92
4.4.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . .
92
Workshops (Auszug)
Inhaltsverzeichnis
bintec elmeg GmbH
Workshops (Auszug)
4.5
Hinweise für den sicheren Betrieb. . . . . . . . . . . . . . . . . . 106
4.5.1
Mehrfaches anmelden
4.5.2
Verhindern der Sichtbarkeit der Teilnehmer untereinander . . . . . . . 106
4.5.3
Verschlüsselte / Unverschlüsselte WLAN-Verbindung . . . . . . . . . 108
4.5.4
WPA-Verschlüsselung
4.5.5
Verschlüsselung der Anmeldeseiten
4.5.6
IP/ARP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.6
Rechtliches . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.6.1
Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
4.6.2
Meldepflicht eines Hotspots . . . . . . . . . . . . . . . . . . . . 109
4.6.3
Allgemeine Geschäftsbedingungen . . . . . . . . . . . . . . . . . 109
4.6.4
Grauzone und Haftbarkeit bei missbräuchlicher Benutzung . . . . . . . 110
4.7
Konfigurationsschritte im Überblick . . . . . . . . . . . . . . . . . 110
Kapitel 5
WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft
Servers 2008 . . . . . . . . . . . . . . . . . . . . . . . . 121
5.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
5.2
Server Konfiguration . . . . . . . . . . . . . . . . . . . . . . . 122
5.2.1
Konfiguration der Active Directory-Zertifikatsdienste . . . . . . . . . . 122
5.2.2
Reservierung der Access Point IP-Adressen am DHCP-Server (Windows Server 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5.2.3
Installation der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
5.2.4
Konfiguration der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
5.3
RADIUS-Konfiguration des Access Points . . . . . . . . . . . . . . 140
5.4
WLAN-Konfiguration des Access Points . . . . . . . . . . . . . . . 141
5.5
Anbindung eines Windows 7 WLAN-Clients . . . . . . . . . . . . . 143
5.5.1
Importieren des Zertifikats der Zertifizierungsstelle (CA Zertifikat) . . . . 144
5.5.2
Konfiguration des Windows 7 WLAN Clients . . . . . . . . . . . . . 147
. . . . . . . . . . . . . . . . . . . . . . 106
. . . . . . . . . . . . . . . . . . . . . . 108
. . . . . . . . . . . . . . . . 108
iii
Inhaltsverzeichnis
iv
bintec elmeg GmbH
5.6
Kapitel 6
WLAN - Einführung in den bintec-WLAN-Controller . . .
6.1
Überblick über die Funktionen . . . . . . . . . . . . . . . . . . . 157
6.2
Projektplanung . . . . . . . . . . . . . . . . . . . . . . . . . . 158
6.2.1
Anforderungen des Kunden ermitteln . . . . . . . . . . . . . . . . 158
6.2.2
Empfohlene Hardware-Installation vor Ort . . . . . . . . . . . . . . 158
6.3
Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . 159
6.3.1
WLAN-Controller-Hardware . . . . . . . . . . . . . . . . . . . . 159
6.3.2
Access-Point-Hardware . . . . . . . . . . . . . . . . . . . . . . 160
6.3.3
WLAN-Controller-Lizenzen . . . . . . . . . . . . . . . . . . . . . 160
6.4
Netzwerk-Konfiguration . . . . . . . . . . . . . . . . . . . . . . 161
6.4.1
Netzwerkeinstellungen des WLAN-Controllers . . . . . . . . . . . . 161
6.4.2
DHCP-Server . . . . . . . . . . . . . . . . . . . . . . . . . . 161
6.5
WLAN-Installation mithilfe des Assistenten des WLAN-Controllers . . . 162
6.5.1
Schritt 1 im Assistenten . . . . . . . . . . . . . . . . . . . . . . 163
6.5.2
6.5.3
6.5.4
6.5.5
WLAN-Initiierung der Access Points starten . . . . . . . . . . . . . 167
6.6
Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
6.6.1
E-Mail-Benachrichtigung bei Ausfall eines Access Points . . . . . . . 170
6.6.2
Konfiguration eines DHCP-Servers auf einem anderen bintec-Router . . 170
6.6.3
Konfiguration eines DHCP-Servers auf Windows Server 2003 / 2008 . . 172
6.6.4
Konfiguration eines DHCP-Servers unter Linux . . . . . . . . . . . . 177
6.6.5
Betrieb der APs mit statischen IP-Adressen . . . . . . . . . . . . . 178
Kapitel 7
WLAN - WLAN-Controller Redundanz. . . . . . . . . . .
7.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
157
180
Workshops (Auszug)
Inhaltsverzeichnis
bintec elmeg GmbH
Workshops (Auszug)
7.2
Konfiguration
. . . . . . . . . . . . . . . . . . . . . . . . . . 181
7.2.1
Konfiguration des primären Routers (Router 1) . . . . . . . . . . . . 182
7.2.2
WLAN-Controller auf dem primären Router konfigurieren . . . . . . . 187
7.2.3
Konfiguration des Backup-Controllers (Router 2) . . . . . . . . . . . 190
7.2.4
Einrichtung der Überwachungsfunktionen . . . . . . . . . . . . . . 197
7.3
Zusätzliche Hinweise . . . . . . . . . . . . . . . . . . . . . . . 202
7.4
Kapitel 8
WLAN - VoWLAN Grundlagen und Konfiguration . . . .
8.1
Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
8.2
WLAN Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . 209
8.2.1
WLAN Funkausleuchtung . . . . . . . . . . . . . . . . . . . . . 210
8.2.2
Handover zwischen den Access Points . . . . . . . . . . . . . . . 211
8.2.3
Bandbreitenbedarf . . . . . . . . . . . . . . . . . . . . . . . . 211
8.2.4
Der Sicherheitsstandard und das Handover . . . . . . . . . . . . . 212
8.2.5
QoS, WMM und U-APSD . . . . . . . . . . . . . . . . . . . . . 213
8.2.6
WLAN Controller – Ein Muss in einem VoWLAN-Netz? . . . . . . . . 216
8.2.7
Mögliche Störquellen . . . . . . . . . . . . . . . . . . . . . . . 216
8.3
Beispielkonfiguration . . . . . . . . . . . . . . . . . . . . . . . 216
8.3.1
Netzwerkplan . . . . . . . . . . . . . . . . . . . . . . . . . . 217
8.3.2
WLAN Konfiguration mit oder ohne WLAN Controller . . . . . . . . . 218
8.4
Ascom i62 Talker Konfiguration
8.4.1
Vorrausetzungen . . . . . . . . . . . . . . . . . . . . . . . . . 220
8.4.2
Konfiguration
8.4.3
Testbefehle am Ascom i62 . . . . . . . . . . . . . . . . . . . . . 226
8.5
Konfiguration der elmeg hybird 300 . . . . . . . . . . . . . . . . . 226
8.5.1
Konfiguration
8.5.2
Betriebsfall: WLAN-Telefon nicht erreichbar . . . . . . . . . . . . . 228
8.6
Verwendung anderer WLAN-Telefone
209
. . . . . . . . . . . . . . . . . . 220
. . . . . . . . . . . . . . . . . . . . . . . . . . 220
. . . . . . . . . . . . . . . . . . . . . . . . . . 227
. . . . . . . . . . . . . . . 228
v
Inhaltsverzeichnis
vi
bintec elmeg GmbH
8.7
Kapitel 9
WLAN - WLAN-Controller-Installation mit integrierter HotSpotFunktionalität . . . . . . . . . . . . . . . . . . . . . . . . 232
9.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
9.2
Funktion
9.3
Konfiguration
9.3.1
Basiskonfiguration . . . . . . . . . . . . . . . . . . . . . . . . 233
9.3.2
LAN-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . 234
9.3.3
HotSpot-Konfiguration
9.3.4
DHCP-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . 238
9.3.5
Wireless LAN Controller Wizard . . . . . . . . . . . . . . . . . . 240
9.4
Kapitel 10
WLAN - Management für mehrere Standorte: WLAN Controller
über VPN . . . . . . . . . . . . . . . . . . . . . . . . . . 254
10.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
10.1.1
Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . 255
10.1.2
Hinweise zum Test-Setup . . . . . . . . . . . . . . . . . . . . . 256
10.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
10.2.1
Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 257
10.2.2
Konfiguration des Routers in der Außenstelle . . . . . . . . . . . . . 257
10.2.3
Konfiguration des VPN-Konzentrators in der Zentrale . . . . . . . . . 260
10.2.4
Konfiguration des WLAN-Controllers in der Zentrale . . . . . . . . . . 261
10.3
Kapitel 11
WLAN - Wireless LAN Controller als Netzzugangsgateway
11.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
11.2
Konfiguration
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
. . . . . . . . . . . . . . . . . . . . . . . . . . 233
. . . . . . . . . . . . . . . . . . . . . . 235
279
. . . . . . . . . . . . . . . . . . . . . . . . . . 281
Workshops (Auszug)
Inhaltsverzeichnis
bintec elmeg GmbH
Workshops (Auszug)
11.3
Kapitel 12
WLAN - Cloud NetManager . . . . . . . . . . . . . . . .
12.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
12.2
Erste Schritte im Portal . . . . . . . . . . . . . . . . . . . . . . 319
12.2.1
Anlegen eines Benutzers . . . . . . . . . . . . . . . . . . . . . 319
12.2.2
Ändern der Zeitzone . . . . . . . . . . . . . . . . . . . . . . . 321
12.2.3
Einspielen der Lizenzen . . . . . . . . . . . . . . . . . . . . . . 321
12.3
Anlegen der Profile . . . . . . . . . . . . . . . . . . . . . . . . 323
12.3.1
Anlegen der Netzwerkprofile (SSID) . . . . . . . . . . . . . . . . . 323
12.3.2
Anlegen der Funkprofile . . . . . . . . . . . . . . . . . . . . . . 326
12.3.3
Anlegen der Gerätevorlagen / Access-Point-Vorlage . . . . . . . . . 327
12.3.4
Geräte verwalten . . . . . . . . . . . . . . . . . . . . . . . . . 328
12.4
Access Points registrieren und verwalten . . . . . . . . . . . . . . 328
12.4.1
Geräte manuell anmelden . . . . . . . . . . . . . . . . . . . . . 329
12.4.2
Gerät automatisch anmelden . . . . . . . . . . . . . . . . . . . . 330
12.5
Geräte Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . 330
12.5.1
Batch-Operationen und Software-Update . . . . . . . . . . . . . . 331
12.6
Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
12.6.1
Einrichtung eines anderen Rechenzentrums . . . . . . . . . . . . . 332
12.6.2
Automatische Konfiguration . . . . . . . . . . . . . . . . . . . . 334
12.7
Fehlersuche . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
12.7.1
Ein neues Gerät ist nicht sichtbar . . . . . . . . . . . . . . . . . . 336
12.7.2
Keine Kommunikation mehr mit einem verwalteten Gerät . . . . . . . 336
12.7.3
Weitere Debug-Möglichkeiten . . . . . . . . . . . . . . . . . . . 337
12.7.4
Debugging auf Geräteebene . . . . . . . . . . . . . . . . . . . . 338
Kapitel 13
WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager . . . . . . . . . . . . . . . . . . . . . . . . . . 340
319
vii
Inhaltsverzeichnis
viii
bintec elmeg GmbH
13.1
Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . 340
13.1.1
Systemvoraussetzungen für die Virtualisierungsplattform . . . . . . . 340
13.1.2
Netzwerkanforderungen . . . . . . . . . . . . . . . . . . . . . . 341
13.2
Installation und Konfiguration der virtuellen Maschinen . . . . . . . . 341
13.2.1
Konfiguration des Storage-Servers . . . . . . . . . . . . . . . . . 342
13.2.2
Konfiguration des Services . . . . . . . . . . . . . . . . . . . . . 345
13.2.3
Testen der Installation . . . . . . . . . . . . . . . . . . . . . . . 355
13.3
Lizenzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
13.3.1
Installation der Serverlizenz . . . . . . . . . . . . . . . . . . . . 356
13.3.2
Gerätelizenzen installieren . . . . . . . . . . . . . . . . . . . . . 359
13.4
Management von Geräten . . . . . . . . . . . . . . . . . . . . . 364
13.4.1
Anpassen der Management URL in den Access Points . . . . . . . . 365
13.5
Hinweise zu freier Software . . . . . . . . . . . . . . . . . . . . 366
Kapitel 14
WLAN-Netzwerk mit Gäste-WLAN. . . . . . . . . . . . .
14.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
14.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
14.2.1
IP-Adresse konfigurieren . . . . . . . . . . . . . . . . . . . . . 368
14.2.2
Bridge-Gruppe anlegen und LAN-Schnittstelle zuweisen . . . . . . . . 369
14.2.3
Wireless LAN Controller in Betrieb nehmen . . . . . . . . . . . . . 370
14.2.4
Funkmodulprofil auswählen und WLAN-Zugang zum lokalen Netz
konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
14.2.5
Gäste-WLAN konfigurieren. . . . . . . . . . . . . . . . . . . . . 373
14.2.6
Access Points mit dem Wireless LAN Controller konfigurieren . . . . . 375
14.2.7
IP-Adresse für die virtuelle Bridge-Schnittstelle konfigurieren . . . . . . 376
14.2.8
IP-Adressbereich für das Gästenetz einrichten . . . . . . . . . . . . 378
14.2.9
DHCP-Verwendung konfigurieren . . . . . . . . . . . . . . . . . . 380
14.2.10
Firewall einrichten . . . . . . . . . . . . . . . . . . . . . . . . 382
14.3
Ergebnis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
14.4
367
Workshops (Auszug)
Inhaltsverzeichnis
bintec elmeg GmbH
Workshops (Auszug)
Kapitel 15
Presence Analytics mit bintec Access Points . . . . . . .
391
15.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
15.2
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
15.3
Kapitel 16
WLAN - bintec HotSpot Secure Option mit
Haftungsübernahme . . . . . . . . . . . . . . . . . . . .
398
16.1
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398
16.2
Einrichtung der bintec HotSpot Secure Option . . . . . . . . . . . . 399
16.2.1
Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
16.2.2
Zugehörige Informationen . . . . . . . . . . . . . . . . . . . . . 410
16.3
ix
Inhaltsverzeichnis
x
bintec elmeg GmbH
Workshops (Auszug)
1 WLAN - Verbindung mit WPA-PSK auf RS232jw
bintec elmeg GmbH
Kapitel 1 WLAN - Verbindung mit WPA-PSK auf
RS232jw
1.1 Einleitung
Im Folgenden wird die Konfiguration Ihres Gateways als WLAN Access Point beschrieben.
Zur Verschlüsselung wird WPA Preshared Key (WPA-PSK) verwendet.
In unserem Beispielszenario erhält jeder der beiden Clients eine eigene ID, um über das
Gateway auf das Netzwerk zugreifen zu können. Diese Multi SSID genannte Funktionalität
ermöglicht es, unterschiedliche Rechte für verschiedene Clients oder auch für Gruppen von
Clients zu vergeben, und so die Sicherheit zu erhöhen.
Im LAN verteilt ein DHCP-Server IP-Adressen aus dem Netz für Clients
aus dem LAN und WLAN.
MAC-Filter verhindern zusätzlich den Zugriff von unbefugten Clients auf den Access Point.
Abb. 1: Beispielszenario WLAN mit WPA-PSK
Voraussetzungen
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
• Ein Bootimage der Version 7.9.1 oder höher
Workshops (Auszug)
1
bintec elmeg GmbH
• Ihr LAN wird über die erste Ethernet-Schnittstelle (Port 1) Ihres Geräts angeschlossen
• Ein Client mit Windows XP als Betriebssystem und WLAN-Karte
Zur Konfiguration wird hierbei das GUI (Graphical User Interface) verwendet.
1.2 Konfiguration
1.2.1 Ändern von Admin-Passwörtern
Im Folgenden wird erklärt, wie Sie die Passwörter für den Benutzernamen , und ändern können.
Hinweis
Alle bintec-Geräte werden mit gleichem Benutzernamen und Passwort ausgeliefert.
Sie sind daher nicht gegen einen unautorisierten Zugriff geschützt, solange die Passwörter nicht geändert wurden.
Ändern Sie unbedingt die Passwörter, um unberechtigten Zugriff auf das Gerät zu verhindern.
Solange das Passwort nicht verändert wird, erscheint im Menü Systemverwaltung ->
Status der Warnhinweis: "Systempasswort nicht geändert!".
Gehen Sie in folgendes Menü, um die Admin-Passwörter zu ändern:
(1)
Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Passwörter
Abb. 2: Systemverwaltung -> Globale Einstellungen -> Passwörter
Relevante Felder im Menü Passwörter
2
Workshops (Auszug)
bintec elmeg GmbH
Feld
Bedeutung
Systemadministrator-PassGeben Sie das Passwort für den Benutzernamen ein.
wort
Passwort bestätigen
Bestätigen Sie das Passwort, indem Sie es erneut eingeben.
SNMP Read Community Geben Sie das Passwort für den Benutzernamen ein.
SNMP Write Community Geben Sie das Passwort für den Benutzernamen ein.
Gehen Sie folgendermaßen vor, um die Admin-Passwörter zu ändern:
(1)
Tragen Sie bei Systemadministrator-Passwort das gewünschte Passwort ein, z. B.
.
(2)
Geben Sie das Passwort erneut ein.
(3)
Geben Sie für den Benutzernamen SNMP Read und SNMP Write ebenfalls ein neues
Passwort ein, z. B. .
(4)
Bestätigen Sie Ihre Eingaben mit OK.
1.2.2 Konfigurieren des Access-Point-Modus auf dem Funkmodul
Gehen Sie in folgendes Menü, um den Access-Point-Modus auf dem Funkmodul einzustellen:
(1)
Gehen Sie zu Wireless LAN -> WLAN-> Einstellungen Funkmodul.
Konfigurieren Sie das Funkmodul, indem Sie den Standardeintrag bearbeiten. Klicken Sie
dazu bei dem vorhandenen Eintrag auf das
-Symbol.
Workshops (Auszug)
3
bintec elmeg GmbH
Abb. 3: Wireless LAN -> WLAN -> Einstellungen Funkmodul ->
Relevante Felder im Menü Einstellungen Funkmodul
Feld
Bedeutung
Betriebsmodus
Legen Sie fest, in welchem Modus das Funkmodul Ihres Geräts
betrieben werden soll.
Kanal
Bestimmen Sie hier den Funkkanal.
Gehen Sie folgendermaßen vor:
(1)
Stellen Sie den Betriebsmodus auf .
(2)
Den Kanal setzen Sie auf z. B. .
(3)
Bestätigen Sie mit OK.
1.2.3 Einrichten einer WLAN-Verbindung
Gehen Sie in folgendes Menü, um Ihr WLAN-Netzwerk zu erstellen:
(1)
Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS).
Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag auf das
-Symbol.
4
Workshops (Auszug)
bintec elmeg GmbH
Abb. 4: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ->
Relevante Felder im Menü Drahtlosnetzwerke (VSS)
Feld
Bedeutung
Netzwerkname (SSID)
Hier geben Sie den Netzwerknamen ein.
Sichtbar
Bestimmen Sie, ob der Netzwerkname sichtbar ist.
Sicherheitsmodus
Wählen Sie die Verschlüsselung aus.
WPA-Modus
Wählen Sie den WPA-Modus aus.
Preshared Key
Tragen Sie hier das Netzwerk-Passwort ein.
(1)
Unter Netzwerkname (SSID) tragen Sie z. B. ein.
(2)
Bei Netzwerkname (SSID) bleibt die Option Sichtbar aktiviert.
(3)
Den Sicherheitsmodus stellen Sie auf .
(4)
Den WPA-Modus lassen Sie auf (5)
In Preshared Key geben Sie z. B. !"" ein.
(6)
.
Hinweis
Um die Sicherheit zu erhöhen, sollten Sie im Schlüssel Sonderzeichen, Zahlen sowie
Groß- und Kleinbuchstaben verwenden.
Danach müssen Sie noch das gerade eben konfigurierte Drahtlosnetzwerk aktivieren. Das
Workshops (Auszug)
5
bintec elmeg GmbH
geschieht in der Übersicht in Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS).
Abb. 5: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS)
Gehen Sie zur Aktivierung vor wie folgt:
(1)
Klicken Sie bei dem Listeneintrag mit der VSS-Beschreibung #
unter Aktion
auf das
-Symbol. Beachten Sie die Status-Spalte. Hier müsste nach kurzer Zeit
das
-Symbol angezeigt werden.
1.2.4 Bridging aktivieren
Sobald ein WLAN-Client eine Funkverbindung zum Gateway hergestellt hat, soll er eine IPAdresse aus dem Netzwerk bekommen.
Zu diesem Zweck müssen Sie ihr Gateway als Bridge konfigurieren.
Um Bridging zu konfigurieren, gehen Sie bitte in folgendes Menü:
(1)
Gehen Sie zu Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppen ->
Schnittstellen.
Abb. 6: Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppen -> Schnittstellen
Relevante Felder im Menü Schnittstellen
6
Feld
Bedeutung
en1-0
Dies ist die Ethernet-Schnittstelle 1.
vss1-0
Das ist die Schnittstelle des WLAN-Netzwerkes, das Sie definie-
Workshops (Auszug)
bintec elmeg GmbH
Feld
Bedeutung
ren.
Konfigurationsschnittstelle
Wählen Sie aus, über welche Schnittstelle die Konfiguration
durchgeführt wird.
(1)
Wählen Sie bei Schnittstellenbeschreibung für Modus / Bridge-Gruppe
$ %" &"!!.
(2)
Wählen Sie bei Konfigurationsschnittstelle aus.
(3)
Sobald Sie auf OK geklickt haben, wird automatisch die Bridge-Gruppe '"
angelegt und
die Schnittstelle dieser Bridge-Gruppe hinzugefügt. Die Bridge-Gruppe '"
erhält
dabei automatisch die IP-Konfiguration der Schnittstelle . Die IP-Konfiguration der
Bridge-Gruppe '"
können Sie im Menü LAN -> IP-Konfiguration -> <br0> ->
überprüfen.
Fahren Sie im Menü Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppen ->
Schnittstellen fort wie folgt:
(1)
Wählen Sie bei Schnittstellenbeschreibung #
für Modus / Bridge-Gruppe
'"
.
(2)
1.2.5 MAC-Filter konfigurieren
Um die Sicherheit noch weiter zu erhöhen, erlauben Sie mit einem MAC-Filter ausschließlich den Zugriff von Ihrem Client auf das Netzwerk.
Hinweis
Um die MAC-Adresse eines WLAN-Clients festzustellen, gehen Sie vor wie folgt:
(1)
Rufen Sie z. B. an einem Windows-XP-Rechner Start -> Ausführen... auf und
geben ein.
(2)
Geben Sie in die Kommandozeile ein.
(3)
Sie finden die MAC-Adresse unter Physikalische Adresse.
Alternativ können Sie die MAC-Adresse von schon verbundenen WLAN-Clients auch
aus der entsprechenden Tabelle im GUI herauslesen. Gehen Sie dazu vor wie folgt:
Workshops (Auszug)
(1)
Gehen Sie im GUI in das Menü Monitoring -> WLAN -> VSS.
(2)
Sie finden die MAC-Adresse in dem jeweiligen Tabellenabschnitt der gewünsch-
7
bintec elmeg GmbH
ten SSID.
Beispiel MAC-Adresse ermitteln am PC:
Beispiel MAC-Adresse ermitteln mit dem GUI:
(1)
Gehen Sie zu Monitoring -> WLAN -> VSS.
Abb. 7: Monitoring -> WLAN -> VSS
Gehen Sie zur Konfiguration in folgendes Menü:
8
Workshops (Auszug)
bintec elmeg GmbH
(1)
Gehen Sie wieder zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ->
<Client-1> ->
.
Abb. 8: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) -> <Client-1> ->
Feld
Bedeutung
Zugriffskontrolle
Aktivieren Sie hier die MAC-Filterliste.
Erlaubte Adressen
Tragen Sie hier die MAC-Adresse des Clients ein.
(1)
Stellen Sie Zugriffskontrolle auf (#".
(2)
Fügen Sie bei Erlaubte Adressen einen neuen Eintrag hinzu mit Hinzufügen.
(3)
In das Eingabefeld unter MAC-Adresse tragen Sie die MAC-Adresse des Clients ein,
z.B )*
)+)
)')++ .
(4)
1.2.6 WLAN-Adapter unter Windows XP konfigurieren
Windows XP hat nach der Installation der Treiber für Ihre WLAN-Karte eine neue Verbindung in der Netzwerkumgebung eingerichtet. Um die Wireless LAN-Verbindung zu konfigurieren, gehen Sie bitte folgendermaßen vor:
(1)
Workshops (Auszug)
Klicken Sie mit der rechten Maustaste auf Start -> Einstellungen -> Netzwerkver-
9
bintec elmeg GmbH
bindungen -> Drahtlose Netzwerkverbindung.
(2)
Wählen Sie anschliessend die Eigenschaften aus.
(3)
Gehen Sie zu Drahtlosnetzwerke.
Abb. 9: Drahtlose Netzwerkverbindung
(1)
10
Klicken Sie auf Hinzufügen.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 10: Eigensachaften Drahtlose Netzverbindung
Relevante Felder im Menü Drahtlose Netzverbindung
Feld
Bedeutung
Netzwerkname
Dies ist der konfigurierte Netzwerkname (SSID).
Netzwerkauthentifizierung
Hier wählen Sie die Authentifizierung aus.
Datenverschlüsselung
Wählen Sie hier die Verschlüsselung aus.
Netzwerkschlüssel
Geben Sie hier den Preshared Key an.
Netzwerkschlüssel bestätigen
Geben Sie hier den Preshared Key erneut an.
Workshops (Auszug)
(1)
Bei Netzwerkname geben Sie z. B. ein.
(2)
Unter Netzwerkauthentifizierung wählen Sie .
(3)
Bei Datenverschlüsselung konfigurieren Sie ,-.
(4)
Unter Netzwerkschlüssel und Netzwerkschlüssel bestätigen geben Sie z. B. !"" an.
11
(5)
bintec elmeg GmbH
Verlassen Sie die Menüs jeweils mit OK.
Hinweis
Um Multi SSID zu nutzen, erstellen Sie für jeden Client eine eigene WLAN-Verbindung.
Dazu wiederholen Sie die Schritte Einrichten einer WLAN-Verbindung auf Seite 4,
Bridging aktivieren auf Seite 6, MAC-Filter konfigurieren auf Seite 7 und WLAN-Adapter unter Windows XP konfigurieren auf Seite 9 und verwenden für den neuen Client eine eigene SSID und einen eigenen Preshared Key.
1.3 Ergebnis
Sie haben für Ihre WLAN-Clients jeweils eine eigene WLAN-Verbindung konfiguriert, die
als Verschlüsselung WPA mit jeweils eigenem Preshared Key verwendet. Zudem haben
Sie die Konfiguration unter Windows XP für die WLAN-Karte vorgenommen und die Sicherheit durch MAC-Filter erhöht.
1.4 Kontrolle
Nach einem erfolgreichen Verbindungsaufbau zum WLAN-Gateway, sollte Folgendes in
der Windows-Taskleiste erscheinen:
Abb. 11: Taskleiste
Nach einem erfolgreichen Verbindungsaufbau zum WLAN-Gateway, sollten auf dem Gateway alle erfolgreich verbundenen Clients in folgendem Menü zu sehen sein:
(1)
Gehen Sie zu Monitoring -> WLAN -> VSS.
Um die IP-Verbindung zum Netzwerk zu testen, nutzen Sie den PING-Befehl, um einen
Rechner zu erreichen.
(1)
Gehen Sie zu Wartung -> Diagnose -> Ping-Test.
Nachdem Sie eine IP-Adresse, z.B bei Ping-Befehl testweise an Adresse
senden eingegeben und auf die Los-Schaltfläche geklickt haben, sollten Sie eine ähnliche
Meldung erhalten:
12
Workshops (Auszug)
bintec elmeg GmbH
Abb. 12: Wartung -> Diagnose -> Ping-Test
1.5 Konfigurationsschritte im Überblick
Admin-Passwörter ändern
Feld
Menü
Wert
Systemadministrator-Pass-Systemverwaltung -> Globale Einwort
stellungen -> Passwörter
z. B. Passwort bestätigen
Systemverwaltung -> Globale Einstellungen -> Passwörter
z. B. SNMP Read Community Systemverwaltung -> Globale Einstellungen -> Passwörter
z. B. SNMP Write Community Systemverwaltung -> Globale Einstellungen -> Passwörter
z. B. Access-Point-Modus einstellen
Feld
Menü
Wert
Betriebsmodus
Wireless LAN -> WLAN-> Einstellungen Funkmodul ->
Kanal
Wireless LAN -> WLAN-> Einstellungen Funkmodul ->
z. B. WLAN-Netzwerk einrichten
Workshops (Auszug)
Feld
Menü
Wert
Netzwerkname (SSID)
Wireless LAN -> WLAN-> Drahtlos- z. B. netzwerke (VSS) ->
13
bintec elmeg GmbH
Feld
Menü
Wert
Sichtbar
Wireless LAN -> WLAN-> Drahtlos- Aktiviert
netzwerke (VSS) ->
Sicherheitsmodus
Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) ->
WPA-Modus
Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) ->
Preshared Key
Wireless LAN -> WLAN-> Drahtlos- z. B. !""
netzwerke (VSS) ->
WLAN-Netzwerk aktivieren
Feld
Menü
Aktion
Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS)
Wert
Bridging aktivieren
Feld
Menü
Wert
Modus / Bridge-Gruppe
Systemverwaltung -> Schnittstellenmodus / Bridge-Gruppe ->
Schnittstellen
für Schnittstellenbeschreibung die
Einstellung $
%" &"!!
Schnittstellen
Schnittstellen
für Schnittstellenbeschreibung #
die Einstellung '"
Feld
Menü
Wert
Zugriffskontrolle
Wireless LAN -> WLAN-> Drahtlos- (#"
netzwerke (VSS) -> <Client-1> ->
Erlaubte Adressen
Wireless LAN -> WLAN-> Drahtlos- unter MAC-Adresse z.
B.
)*
)+)
)')++
MAC-Filter einrichten
14
Workshops (Auszug)
2 WLAN - Verbindung mit WPA-PSK auf W2003n
bintec elmeg GmbH
Kapitel 2 WLAN - Verbindung mit WPA-PSK auf
W2003n
2.1 Einleitung
Im Folgenden wird die Konfiguration Ihres Access Points als WLAN Access Point beschrieben. Zur Verschlüsselung wird WPA Preshared Key (WPA-PSK) verwendet.
In unserem Beispielszenario erhält jeder der beiden Clients eine eigene ID, um über den
Access Point auf das Netzwerk zugreifen zu können. Diese Multi SSID genannte Funktionalität ermöglicht es, unterschiedliche Rechte für verschiedene Clients oder auch für Gruppen von Clients zu vergeben, und so die Sicherheit zu erhöhen.
Im LAN verteilt ein DHCP-Server IP-Adressen aus dem Netz für Clients
aus dem LAN und WLAN.
MAC-Filter verhindern zusätzlich den Zugriff von unbefugten Clients auf den Access Point.
Abb. 13: Beispielszenario WLAN mit WPA-PSK
Voraussetzungen
• Ein Bootimage der Version 9.1.8 oder höher.
Workshops (Auszug)
15
bintec elmeg GmbH
• Ihr LAN wird über die erste Ethernet-Schnittstelle (Port 1) Ihres Geräts angeschlossen.
• Ein Client mit Windows XP als Betriebssystem und WLAN-Karte.
Zur Konfiguration wird hierbei das GUI (Graphical User Interface) verwendet.
2.2 Konfiguration
2.2.1 Ändern von Admin-Passwörtern
Im Folgenden wird erklärt, wie Sie die Passwörter für den Benutzernamen , und ändern können.
Hinweis
Alle bintec Geräte werden mit gleichem Benutzernamen und Passwort ausgeliefert.
Sie sind daher nicht gegen einen unautorisierten Zugriff geschützt, solange die Passwörter nicht geändert wurden.
Solange das Passwort nicht verändert wird, erscheint im Menü Systemverwaltung ->
Status der Warnhinweis: "Systempasswort nicht geändert!".
Gehen Sie in folgendes Menü, um die Admin-Passwörter zu ändern:
(1)
Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Passwörter.
Abb. 14: Systemverwaltung -> Globale Einstellungen -> Passwörter
Relevante Felder im Menü Passwörter
16
Workshops (Auszug)
bintec elmeg GmbH
Feld
Bedeutung
Systemadministrator-Pass-Geben Sie das Passwort für den Benutzernamen ein.
wort
Passwort bestätigen
Bestätigen Sie das Passwort, indem Sie es erneut eingeben.
SNMP Read Community Geben Sie das Passwort für den Benutzernamen ein.
SNMP White Community Geben Sie das Passwort für den Benutzernamen ein.
Gehen Sie folgendermaßen vor, um die Admin-Passwörter zu ändern:
(1)
Tragen Sie bei Systemadministrator-Passwort das gewünschte Passwort ein, z. B.
.
(2)
Geben Sie das Passwort erneut ein.
(3)
Geben Sie für den Benutzernamen SNMP Read und SNMP Write ebenfalls ein neues
Passwort ein, z. B. .
(4)
2.2.2 Konfigurieren des Access-Point-Modus auf dem Funkmodul
Gehen Sie in folgendes Untermenü, um den Access-Point-Modus auf dem Funkmodul einzustellen:
(1)
Konfigurieren Sie das Funkmodul, indem Sie den Standardeintrag bearbeiten. Klicken Sie
-Symbol.
Workshops (Auszug)
17
bintec elmeg GmbH
Abb. 15: Wireless LAN -> WLAN-> Einstellungen Funkmodul ->
Feld
Bedeutung
Betriebsmodus
Hier legen Sie fest, in welchem Modus das Funkmodul Ihres
Geräts betrieben werden soll.
Standardwert ist .
Kanal
(1)
Den Betriebsmodus stellen Sie auf %" .( /*". Ihr
Gerät dient als Access Point oder als Bridge Link Master in Ihrem Netzwerk.
(2)
(3)
2.2.3 Einrichten einer WLAN-Verbindung
Gehen Sie in folgendes Untermenü, um Ihr WLAN-Netzwerk zu erstellen:
(1)
Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS)-> Neu.
Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten.
18
Workshops (Auszug)
bintec elmeg GmbH
Abb. 16: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu
Feld
Bedeutung
Netzwerkname (SSID)
Hier geben Sie den Namen des Wireles Netzwerks (SSID) ein.
Sichtbar
Bestimmen Sie, ob der Netzwerkname (SSID) übertragen werden soll.
Sicherheitsmodus
Wählen Sie die Verschlüsselung und die Authentifizierung des
Drahtlosnetzwerks aus.
WPA-Modus
Wählen Sie den WPA-Modus aus.
Preshared Key
Tragen Sie hier das Netzwerk-Passwort ein.
Workshops (Auszug)
(1)
Unter Netzwerkname (SSID) tragen Sie z. B. ein.
(2)
(3)
(4)
In Preshared Key geben Sie z. B. !"" ein.
(6)
.
19
bintec elmeg GmbH
Hinweis
(1)
Klicken Sie bei dem Listeneintrag mit der VSS-Beschreibung #
unter Aktion
auf das
-Symbol. Beachten Sie die Status-Spalte. Hier müsste nach kurzer Zeit
das
-Symbol angezeigt werden.
2.2.4 MAC-Filter konfigurieren
Um die Sicherheit noch weiter zu erhöhen, erlauben Sie mit einem MAC-Filter ausschließlich den Zugriff von Ihrem Client auf das Netzwerk.
Hinweis
Um die MAC-Adresse eines WLAN-Clients festzustellen, gehen Sie vor wie folgt:
(1)
Rufen Sie z. B. an einem Windows-XP-Rechner Start -> Ausführen... auf und
geben ein.
(2)
Geben Sie in die Kommandozeile ein.
(3)
Sie finden die MAC-Adresse unter Physikalische Adresse.
Alternativ können Sie die MAC-Adresse von schon verbundenen WLAN-Clients auch
aus der entsprechenden Tabelle im GUI herauslesen. Gehen Sie dazu vor wie folgt:
20
(1)
Gehen Sie im GUI in das Menü Monitoring -> WLAN -> VSS.
(2)
Sie finden die MAC-Adresse in dem jeweiligen Tabellenabschnitt der gewünsch-
Workshops (Auszug)
bintec elmeg GmbH
ten SSID.
Beispiel MAC-Adresse ermitteln am PC:
Beispiel MAC-Adresse ermitteln mit dem GUI:
Abb. 18: Monitoring -> WLAN -> VSS
Gehen Sie zur Konfiguration in folgendes Menü:
(1)
Workshops (Auszug)
Gehen Sie zu Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) -> <Client-1> ->
.
21
bintec elmeg GmbH
Abb. 19: Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS) -> <Client-1> ->
Relevante Felder im Menü <Client-1>
Feld
Bedeutung
Zugriffskontrolle
Hier wählen Sie aus, ob für dieses Wireless Netzwerk nur bestimmte Clients zugelassen werden sollen.
Erlaubte Adressen
Mit Hinzufügen gegen Sie hier die MAC-Adresse des Clients
ein, die zugelassen werden sollen.
22
(1)
Stellen Sie Zugriffskontrolle auf (#".
(2)
Fügen Sie bei Erlaubte Adressen einen neuen Eintrag mit Hinzufügen hinzu.
(3)
In das Eingabefeld unter MAC-Adresse tragen Sie die MAC-Adresse des Clients ein,
z. B. )*
)+)
)')++ .
(4)
Workshops (Auszug)
bintec elmeg GmbH
2.2.5 WLAN-Adapter unter Windows XP konfigurieren
Windows XP hat nach der Installation der Treiber für Ihre WLAN-Karte eine neue Verbindung in der Netzwerkumgebung eingerichtet. Um die Wireless LAN-Verbindung zu konfigurieren, gehen Sie bitte folgendermaßen vor:
(1)
Klicken Sie mit der rechten Maustaste auf Start -> Einstellungen -> Netzwerkverbindungen -> Drahtlose Netzwerkverbindung.
(2)
Wählen Sie anschliessend die Eigenschaften aus.
(3)
Gehen Sie zu Drahtlosnetzwerke.
Abb. 20: Drahtlose Netzwerkverbindung
(1)
Workshops (Auszug)
23
bintec elmeg GmbH
Abb. 21: Eigenschaften Drahtlose Netzverbindung
Relevante Felder im Menü Drahtlose Netzverbindung
Feld
Bedeutung
Netzwerkname
Dies ist der konfigurierte Netzwerkname (SSID).
Netzwerkauthentifizierung
Hier wählen Sie die Authentifizierung aus.
Datenverschlüsselung
Wählen Sie hier die Verschlüsselung aus.
Netzwerkschlüssel
Geben Sie hier den Preshared Key an.
Netzwerkschlüssel bestätigen
Geben Sie hier den Preshared Key erneut an.
24
(1)
Bei Netzwerkname geben Sie z. B. ein.
(2)
Unter Netzwerkauthentifizierung wählen Sie .
(3)
Bei Datenverschlüsselung konfigurieren Sie ,-.
(4)
Unter Netzwerkschlüssel und Netzwerkschlüssel bestätigen geben Sie z. B. !"" an.
Workshops (Auszug)
bintec elmeg GmbH
(5)
Verlassen Sie die Menüs jeweils mit OK.
Hinweis
Um Multi SSID zu nutzen, erstellen Sie für jeden Client eine eigene WLAN-Verbindung.
Dazu wiederholen Sie die Schritte Einrichten einer WLAN-Verbindung auf Seite 4,
Bridging aktivieren auf Seite 6, MAC-Filter konfigurieren auf Seite 7 und WLAN-Adapter unter Windows XP konfigurieren auf Seite 9 und verwenden für den neuen Client eine eigene SSID und einen eigenen Preshared Key.
2.3 Ergebnis
Sie haben für Ihre WLAN-Clients jeweils eine eigene WLAN-Verbindung konfiguriert, die
als Verschlüsselung WPA mit jeweils eigenem Preshared Key verwendet. Zudem haben
Sie die Konfiguration unter Windows XP für die WLAN-Karte vorgenommen und die Sicherheit durch MAC-Filter erhöht.
2.4 Kontrolle
Nach einem erfolgreichen Verbindungsaufbau zum WLAN Access Point, sollte Folgendes
in der Windows-Taskleiste erscheinen:
Abb. 22: Taskleiste
Nach einem erfolgreichen Verbindungsaufbau zum WLAN Access Point, sollten auf dem
Access Point alle erfolgreich verbundenen Clients in folgendem Menü zu sehen sein:
(1)
Gehen Sie zu Monitoring -> WLAN -> VSS -> <Client-1>
Um die IP-Verbindung zum Netzwerk zu testen, nutzen Sie den PING-Befehl, um einen
Rechner zu erreichen.
(1)
Gehen Sie zu Wartung -> Diagnose -> Ping-Test.
Nachdem Sie eine IP-Adresse, z.B bei Ping-Befehl testweise an Adresse
senden eingegeben und auf die Los-Schaltfläche geklickt haben, sollten Sie eine ähnliche
Meldung erhalten:
Workshops (Auszug)
25
bintec elmeg GmbH
Abb. 23: Wartung -> Diagnose -> Ping-Test
Admin-Passwörter ändern
Feld
Menü
Wert
z. B. Passwort bestätigen
Systemverwaltung -> Globale Einstellungen -> Passwörter
z. B. SNMP Read Community Systemverwaltung -> Globale Einstellungen -> Passwörter
z. B. SNMP Write Community Systemverwaltung -> Globale Einstellungen -> Passwörter
z. B. Access-Point-Modus einstellen
Feld
Menü
Wert
Betriebsmodus
Wireless LAN -> WLAN-> Einstellungen Funkmodule ->
%" .( /*"
Kanal
Wireless LAN -> WLAN -> Einstellungen Funkmodule ->
z. B. WLAN-Netzwerk einrichten
26
Feld
Menü
Wert
Netzwerkname (SSID)
Wireless LAN -> WLAN-> Drahtlos- z. B. netzwerke (VSS) -> Neu
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
Sichtbar
Wireless LAN -> WLAN-> Drahtlos- (#"
netzwerke (VSS) -> Neu
Sicherheitsmodus
Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) -> Neu
WPA-Modus
Wireless LAN -> WLAN-> Drahtlos- netzwerke (VSS) -> Neu
Preshared Key
Wireless LAN -> WLAN-> Drahtlos- z. B. !""
WLAN-Netzwerk aktivieren
Feld
Menü
Aktion
Wireless LAN -> WLAN-> Drahtlosnetzwerke (VSS)
Wert
MAC-Filter einrichten
Workshops (Auszug)
Feld
Menü
Wert
Zugriffskontrolle
Wireless LAN -> WLAN -> Drahtlos- (#"
Erlaubte Adressen
Wireless LAN -> WLAN-> Drahtlos- unter MAC-Adresse z.
B.
)*
)+)
)')++
27
3 WLAN - VLAN mit Multi-SSID-WLAN
bintec elmeg GmbH
Kapitel 3 WLAN - VLAN mit Multi-SSID-WLAN
3.1 Einleitung
Im Folgenden wird die Konfiguration eines Virtual LAN (VLAN) beschrieben. Sie verbinden
Ihre WLAN-Clients mittels eines W2003n drahtlos mit dem Firmennetz. W2003n dient als
Access Point für die Drahtlosnetzwerke /**, 0#! und '. Die
Ethernet-Schnittstelle, an die Ihr kabelgebundenes LAN angeschlossen ist, wird im BridgeModus betrieben und ist mittels eines VLAN-fähigen Switches an das kabelgebundene
Netz angeschlossen. Das Netzwerk ist virtuell in die VLANs /**, 0#!
und ' segmentiert.
Zur Konfiguration wird das GUI (Graphical User Interface) verwendet.
Abb. 24: VLAN-Segmentierung
Voraussetzungen
• Ein Bootimage der Version 9.1.8 oder höher.
• Ein VLAN-fähiger Switch.
3.2 Konfiguration
28
Workshops (Auszug)
bintec elmeg GmbH
3.2.1 Konfiguration der Drahtlosnetzwerke
Damit sich die Clients über Ihren Access Point mit dem Netzwerk verbinden können, müssen Sie auf dem Access Point Drahtlosnetzwerke einrichten.
Gehen Sie zur Erstellung von Drahtlosnetzwerken vor wie folgt:
(1)
Konfigurieren Sie das Funkmodul, indem Sie den Tabelleneintrag bearbeiten. Klicken Sie
-Symbol.
Feld
Bedeutung
Betriebsmodus
Legen Sie fest, in welchem Modus das Funkmodul Ihres Geräts
Standardwert ist .
Kanal
Workshops (Auszug)
(1)
Den Betriebsmodus stellen Sie auf %" .( /*".
(2)
(3)
29
bintec elmeg GmbH
Legen Sie anschließend die Drahtlosnetzwerk-Einträge an.
(1)
Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS)-> Neu.
Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten.
Feld
Bedeutung
Netzwerkname (SSID)
Hier geben Sie den Namen des Wireless Netzwerks (SSID) ein.
Sichtbar
Bestimmen Sie, ob der Netzwerkname sichtbar ist.
Sicherheitsmodus
Wählen Sie die Verschlüsselung aus.
Preshared Key
Geben Sie das WPA-Passwort ein. Geben Sie eine ASCII Zeichenfolge mit 8 - 64 Zeichen ein.
30
(1)
Unter Netzwerkname (SSID) tragen Sie z. B. /** ein.
(2)
(3)
(4)
Im Preshared Key geben Sie z. B. ein.
Workshops (Auszug)
bintec elmeg GmbH
(5)
Hinweis
(1)
Klicken Sie bei dem bisher einzigen Listeneintrag unter Aktion auf das
Beachten Sie die Status-Spalte. Hier müsste nach kurzer Zeit das
-Symbol.
-Symbol ange-
zeigt werden.
Konfigurieren Sie entsprechend neue Einträge für die Drahtlosnetzwerke 0#!
und '.
Hinweis
Achten Sie darauf, dass Sie den verschiedenen Drahtlosnetzwerken verschiedene
Preshared Keys zuweisen.
Konfigurieren Sie anschließend den Wireless-Adapter der Clients in Ihrem Netzwerk für
das entsprechende Drahtlosnetzwerk.
3.2.2 Konfiguration der VLANs
Das VLAN /** ist standardmäßig auf Ihrem Gerät vorkonfiguriert. Erstellen Sie
nun die VLANs 0#! und '.
Gehen Sie in folgendes Menü, um ein VLAN zu erstellen:
Workshops (Auszug)
31
(1)
bintec elmeg GmbH
Gehen Sie zu LAN -> VLAN -> VLANs -> Neu.
Abb. 28: LAN -> VLAN -> VLANs -> Neu
Relevante Felder im Menü VLAN konfigurieren
Feld
Bedeutung
VLAN Identifier
Geben Sie die Ziffern ein, die das VLAN identifizieren.
VLAN-Name
Geben Sie einen eindeutigen Namen für das VLAN ein. Möglich
ist eine Zeichenkette mit bis zu 32 Zeichen.
VLAN-Mitglieder
Über die Schaltfläche Hinzufügen können Sie neue Mitglieder
hinzufügen und die ausgehende Regel definieren.
(1)
Unter VLAN Identifier geben Sie einen Wert zwischen 1 und 4094 ein, hier z. B. .
(2)
Bei VLAN-Name geben Sie z. B. 0#! ein.
(3)
Klicken Sie bei VLAN-Mitglieder auf Hinzufügen und wählen Sie die entsprechende
WLAN-Schnittstelle aus, z. B. #. Wählen Sie dafür außerdem unter Ausgehende Regel 1* aus.
(4)
Klicken Sie bei VLAN-Mitglieder ein weiteres Mal auf Hinzufügen und wählen Sie
die LAN-Schnittstelle aus, z. B. . Wählen Sie dafür außerdem unter Ausgehende Regel ,* aus.
(5)
Klicken Sie auf OK.
Gehen Sie analog für die Erstellung des VLANs ' vor.
32
(1)
Unter VLAN Identifier geben Sie einen Wert zwischen 1 und 4094 ein, hier z. B. 2.
(2)
Bei VLAN-Name geben Sie z. B. ' ein.
(3)
Klicken Sie bei VLAN-Mitglieder auf Hinzufügen und wählen Sie die entsprechende
WLAN-Schnittstelle aus, z. B. #. Wählen Sie außerdem unter Ausgehende Regel 1* aus.
(4)
Klicken Sie bei VLAN-Mitglieder ein weiteres Mal auf Hinzufügen und wählen Sie
Workshops (Auszug)
bintec elmeg GmbH
die LAN-Schnittstelle aus, z. B. . Wählen Sie dafür außerdem unter Ausgehende Regel ,* aus.
(5)
Klicken Sie auf OK.
3.2.3 Regeln für den Empfang an den Ports festlegen
Im Menü Portkonfiguration legen Sie Regeln für den Empfang von Frames an den Ports
des VLANs fest.
Um den Port VLAN Identifier (PVID) festzulegen, gehen Sie in folgendes Menü:
(1)
Gehen Sie zu LAN -> VLAN -> Portkonfiguration.
Abb. 29: LAN -> VLAN -> Portkonfiguration
Relevante Felder im Menü Portkonfiguration
Feld
Bedeutung
PVID (Port VLAN Identi- Weisen Sie dem ausgewählten Port die gewünschte PVID zu.
fier)
Frames ohne Tag verwerfen
Wenn die Option aktiviert ist, werden ungetaggte Frames verworfen. Ist die Option deaktiviert, werden ungetaggte Frames
mit der in diesem Menü definierten PVID getaggt.
Nicht-Mitglieder verwerfen
Wenn die Option aktiviert ist, werden alle getaggten Frames
verworfen, die mit einer VLAN ID getaggt sind, in welcher der
ausgewählte Port nicht Mitglied ist.
Workshops (Auszug)
(1)
Wählen Sie neben der Schnittstelle # den Port VLAN Identifier (PVID) aus,
hier z. B. 0#!.
(2)
Wählen Sie neben der Schnittstelle # den Port VLAN Identifier (PVID) aus,
hier z. B. '.
(3)
Lassen Sie bei den Schnittstellen und unter Frames ohne Tag verwer-
33
bintec elmeg GmbH
fen die Option deaktiviert (kein Haken). Setzen Sie bei den Schnittstellen und
unter Nicht-Mitglieder verwerfen einen Haken.
(4)
Klicken Sie auf OK.
3.2.4 Ports aus VLAN Management entfernen
Die Ports, die Sie den VLANs 0#! und ' zugewiesen haben, werden aus
dem VLAN /** entfernt.
Gehen Sie dazu in folgendes Menü:
(1)
Gehen Sie zu LAN -> VLAN -> VLANs -> <Management> ->
.
Abb. 30: LAN -> VLAN -> VLANs -> <Management> ->
Relevante Felder im Menü VLAN konfigurieren
Feld
Bedeutung
VLAN Mitglieder
Bestimmen Sie die Mitglieder dieses VLANs.
(1)
Klicken Sie bei Schnittstelle # auf das
-Symbol.
(2)
Klicken Sie bei Schnittstelle # auf das
-Symbol.
(3)
Belassen Sie bei Schnittstelle , , und #
unter Ausgehende Regel jeweils den Wert 1* .
(4)
Klicken Sie auf OK.
Sie haben nun alle erforderlichen VLANs eingerichtet. Dieses können Sie in der Liste im
Menü LAN -> VLAN -> VLANs überprüfen.
34
Workshops (Auszug)
bintec elmeg GmbH
Abb. 31: VLAN Übersicht
3.2.5 VLAN aktivieren
Zum Schluss aktivieren Sie die VLAN-Funktion für die Bridge-Gruppe '"
.
Gehen Sie dazu in folgendes Menü:
(1)
Gehen Sie zu LAN -> VLAN -> Verwaltung.
Abb. 32: LAN -> VLAN -> Verwaltung
Relevante Felder im Menü Bridge-Gruppe br0 VLAN-Optionen
Feld
Bedeutung
VLAN aktivieren
Aktivieren Sie das VLAN für die spezifizierte Bridge-Gruppe.
(1)
Aktivieren Sie VLAN aktivieren.
(2)
Klicken Sie auf OK.
3.2.6 Konfiguration am bintec S128p
Der Switch muss analog zum Access Point konfiguriert sein. In Richtung Access Point dürfen nur getaggte (VLAN) Packete verarbeitet werden. In Richtung Server soll das Tagging
entfernt werden, da die Server die Packete sonst nicht verarbeiten können.
(1)
Workshops (Auszug)
Starten Sie den Browser und Loggen Sie sich auf dem Switch ein.
35
(2)
Gehen Sie zu Protocol -> VLAN.
(3)
Wählen Sie bei VLAN Operation Mode 3 aus.
(4)
Klicken Sie auf Apply.
bintec elmeg GmbH
Abb. 33: Protocol -> VLAN -> VLAN Configuration
Es sind insgesamt 3 VLANs erforderlich, wobei jeweils der Port (Port.01, Port.02, Port.03)
und Untagged Vid (1, 102, 103) passend zu setzen sind.
Gehen Sie folgendermaßen vor, um die Ports zu konfigurieren:
36
(1)
Wählen Sie bei Port "
aus.
(2)
Wählen Sie bei Link Type .( aus.
(3)
Geben Sie bei Untagged Vid ein.
(4)
Bestätigen Sie Ihre Eingaben mit Apply.
(5)
Verfahren Sie analog für die Konfiguration von "
( Untagged Vid ) und
"
2 ( Untagged Vid 2)
(6)
Bestätigen Sie Ihre Eingaben mit Apply.
(7)
Wählen Sie bei Port "
aus.
(8)
Wählen Sie bei Link Type ,"( .( aus.
(9)
Geben Sie bei Tagged Vid 4
4
2 ein.
Workshops (Auszug)
bintec elmeg GmbH
(10) Bestätigen Sie Ihre Eingaben mit Apply.
Die fertige Konfiguration sieht nun wie folgt aus:
Abb. 34: Protocol -> VLAN -> VLAN Configuration
Kontrolle
Um die Konfiguration zu überprüfen, rufen Sie die Eingabeaufforderung auf einem Rechner
auf und geben Sie einen Ping auf das zentrale Netz ab:
z. B. Sie müssen dann folgende Meldung erhalten:
Workshops (Auszug)
37
bintec elmeg GmbH
3.3 Ergebnis
Sie haben für die WLAN-Clients in Ihrem Netzwerk verschiedene Drahtlosnetzwerke eingerichtet. Das gesamte Netzwerk wurde in verschiedene VLANs segmentiert.
3.4 Kontrolle
Um die Konfiguration zu überprüfen, rufen Sie die Eingabeaufforderung z. B. auf dem
Rechner Dev-PC1 (192.168.200.50) auf und geben Sie einen Ping auf den Dev-Server
(192.168.200.1) ab:
z. B. Sie müssten dann folgende Meldungen erhalten:
Access Point aktivieren
Feld
Menü
Wert
Betriebsmodus
Wireless LAN -> WLAN -> %" Einstellungen Funkmodul - .( /*"
>
Kanal
Wireless LAN -> WLAN -> z. B. Einstellungen Funkmodul >
Drahtlosnetzwerke einrichten
38
Feld
Menü
Wert
Netzwerkname (SSID)
Wireless LAN -> WLAN ->
Drahtlosnetzwerke (VSS) > Neu
/**;
Sichtbar bleibt aktiviert
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
Sicherheitsmodus
Preshared Key
Aktion
Drahtlosnetzwerke (VSS) ><Management>
Netzwerkname (SSID)
0#!;
Sicherheitsmodus
Preshared Key
0#
Aktion
Drahtlosnetzwerke (VSS) ><Development>
Netzwerkname (SSID)
';
Sicherheitsmodus
Preshared Key
Aktion
Drahtlosnetzwerke (VSS) > <Public>
VLANs konfigurieren
Workshops (Auszug)
Feld
Menü
Wert
VLAN Identifier
LAN -> VLAN -> VLANs ->
Neu
z. B. VLAN-Name
z. B. 0#!
39
Feld
bintec elmeg GmbH
Menü
Wert
Neu
VLAN-Mitglieder
Neu
mit Hinzufügen z. B.
#
Ausgehende Regel
Neu
1* für #
VLAN-Mitglieder
Neu
mit Hinzufügen z. B. Ausgehende Regel
Neu
,* für VLAN Identifier
Neu
z. B. 2
VLAN-Name
Neu
z. B. '
VLAN-Mitglieder
Neu
mit Hinzufügen z. B.
#
Ausgehende Regel
Neu
1*
VLAN-Mitglieder
Neu
mit Hinzufügen z. B. Ausgehende Regel
Neu
,*
für #
für Port VLAN Identifier (PVID) festlegen
Feld
Menü
Wert
Port VLAN Identifier (PVID)
LAN -> VLAN -> Portkonfiguration
bei Schnittstelle # z.
B. 0#! ; bei
Schnittstelle # z. B.
'
Nicht-Mitglieder verwerfen
LAN -> VLAN -> Portkonfiguration
Haken setzen bei Schnittstelle und Ports aus VLAN Management entfernen
Feld
Menü
VLAN-Mitglieder
<Management>->
Wert
bei Schnittstelle
# und #
VLANs aktivieren
40
Workshops (Auszug)
bintec elmeg GmbH
Workshops (Auszug)
Feld
Menü
Wert
VLAN aktiveren
LAN -> VLAN -> Verwaltung
(#"
41
4 WLAN - bintec Hotspot Solution
bintec elmeg GmbH
Kapitel 4 WLAN - bintec Hotspot Solution
4.1 Einleitung
Die bintec Hotspot Solution ermöglicht die Bereitstellung von öffentlichen Internetzugängen. Die Lösung ist geeignet zum Aufbau kleinerer und größerer Hotspot-Lösungen für Cafes, Hotels, Unternehmen, Wohnheime, Campingplätze usw.
Die bintec Hotspot Solution besteht aus einem vor Ort installierten bintec RS232jw der
als Gateway dient, und aus dem Hotspot-Server, der zentral in einem Rechenzentrum
steht. Über ein Administrations-Terminal (z. B. dem Rezeptions-PC im Hotel) wird das Betreiber-Konto auf dem Server verwaltet, wie z. B. Erfassung von Registrierungen, Erzeugung von Tickets, statistische Auswertung usw.
Abb. 35: Funktionsweise
Ablauf der Anmeldeprozedur am Hotspot-Server
• Wenn sich ein neuer Benutzer mit dem Hotspot (bintec RS232jw) verbindet, bekommt er
über DHCP automatisch eine IP-Adresse zugewiesen.
• Sobald er versucht eine beliebige Internetseite mit seinem Browser zu öffnen, wird der
Benutzer auf die Start/Login-Seite umgeleitet.
• Nachdem der Benutzer die Anmeldedaten (Benutzer/Passwort) eingegeben hat, werden
diese als RADIUS-Anmeldung an den zentralen RADIUS-Server (Hotspot-Server) gesendet.
• Nach erfolgreicher Anmeldung gibt das Gateway den Internetzugang frei.
• Das Gateway sendet für jeden Benutzer regelmäßig Zusatzinformationen an den RADI-
42
Workshops (Auszug)
bintec elmeg GmbH
US-Server um das Accounting zu realisieren.
• Nach Ablauf des Tickets wird der Benutzer automatisch abgemeldet und wieder auf die
Start/Login-Seite umgeleitet.
Voraussetzungen
Um einen Hotspot betreiben zu können, benötigt der Kunde:
• einen Router der RXL-, R- oder RS-Serie (z. B. bintec RS232jw) oder ein Gerät der WSerie (z. B. bintec W2003n) im Routermode als Gateway. Das Gerät benötigt Release
9.1.2 oder höher
• bintec Hotspot Hosting (Artikelnummer 5510000198 oder 5510000197)
• Zugangsdaten
• Dokumentation
• Software-Lizenzierung
Beachten Sie bitte, dass Sie die Lizenz zuerst freischalten müssen.
- Gehen Sie auf www.bintec-elmeg.com zu Service -> Online Services -> HotSpot Solution Lizenzierung -> Formular HotSpot Lizenzierung.
- Tragen Sie die erforderlichen Daten ein (beachten Sie dazu die Erläuterung auf dem Lizenzblatt) und folgen Sie den Anweisungen der Online-Lizenzierung.
- Sie erhalten daraufhin die Login-Daten des Hotspot-Servers.
Hinweis
Die Freischaltung kann etwa 2 - 3 Werktage in Anspruch nehmen.
Zugangsdaten zur Konfiguration des Gateways
Workshops (Auszug)
RADIUS-Server IP
62.245.165.180
RADIUS-Server Password
Wird von der bintec elmeg GmbH festgelegt
Domain
Wird kundenindividuell vom Kunden / Fachhändler
festgelegt
Walled Network
festgelegt
Walled Server URL
festgelegt
43
Terms & Condition URL
bintec elmeg GmbH
festgelegt
Zugangsdaten zur Konfiguration des Hotspot Servers
Admin URL
https://hotspot.bintec-elmeg.com/
Username
Wird von der bintec elmeg GmbH individuell festgelegt
Password
Wird von der bintec elmeg GmbH individuell festgelegt
4.2 Leistungsmerkmale
4.2.1 Merkmale der Hotspot Solution
• Alternativ als Free-Service oder mit einem zeit- oder volumenbasierten Ticketsystem
• Freie Werbe-Webseiten, die ohne Registrierung erreichbar sind (Walled Garden Pages)
• Sowohl für WLAN als auch für drahtgebundene LAN-Benutzer einsetzbar
• Das System ist filialfähig, das bedeutet, dass z. B. eine Cafe- oder Restaurantkette das
System an verschiedenen Standorten anbieten und dabei zentral verwalten kann. Dabei
kann ein ausgestelltes Ticket an einem anderen Standort weiterverwendet werden.
• Abhängig von der verwendeten Router-Hardware ausgelegt für bis zu 250 gleichzeitige
Hotspot-Benutzer
• Für den Benutzer des Systems besteht eine Registrierungspflicht
44
Workshops (Auszug)
bintec elmeg GmbH
4.2.2 Merkmale des Gateways
• Benutzer-Anmeldung einfach per Webbrowser
• Umleitung auf eine Betreiber-spezifische Login-Seite beim ersten Zugriff
• Anmeldung über RADIUS-Authentifizierung
• Mehrfach-Anmeldungen eines Benutzers sind ausgeschlossen.
• Zeitguthaben bleiben erhalten, wenn der Benutzer sich abmeldet oder die Verbindung
unterbricht.
• Automatisches Ausloggen der Hotspot-Benutzer bei Inaktivtät oder wenn vergessen wird,
sich abzumelden.
• Der Benutzer muss bei der Anmeldung die allgemeinen Geschäftsbedingungen (AGB)
aktiv bestätigen. Muster-AGB finden Sie im Downloadbereich der bintec Hotspot Solution unter www.bintec-elmeg.com .
• Der Anmeldeprozess kann optional über SSL verschlüsselt werden.
4.2.3 Merkmale des Hotspot-Servers
• Der Server ist mandantenfähig, das heißt, es gibt für alle bintec-Kunden nur einen Server.
• Für jeden Kunden können mehrere Standorte eingerichtet werden (Filial-Unterstützung).
• Für jeden Kunden können mehrere Tarife eingerichtet werden (z. B. Tagesticket, Stundenticket, Volumenticket).
• Jeder Kunde hat einen eigenen Administrationsbereich zum Erstellen und Verwalten der
Tickets.
• Druckfunktion für die Benutzer-Tickets
4.3 Konfiguration
Voraussetzungen
• ein Router der RXL-, R- oder RS-Serie (z. B. bintec RS232jw) oder ein Gerät der WSerie (z. B. bintec W2003n) im Routermodus als Gateway. Das Gerät benötigt Systemsoftware 9.1.2 oder höher.
• Internetzugang, entweder über LAN, DSL oder andere Anbindungen
• Webspace für eine individuelle Start/Login-Seite, für die Walled Garden Pages und für
Workshops (Auszug)
45
bintec elmeg GmbH
die allgemeinen Geschäftsbedingungen. Dieser Webspace kann auf einem öffentlichen
Server liegen oder auch lokal im Intranet.
• Freigeschalteter Account auf dem zentralen bintec Hotspot Server
4.3.1 Konfiguration des bintec Hotspot-Gateways
Die Konfiguration Ihres Geräts wird mit dem Graphical User Interface (GUI) durchgeführt.
Ihr Gerät ist mit der zum Zeitpunkt der Fertigung verfügbaren Version der Systemsoftware
ausgestattet, von der es aktuell ggf. neuere Versionen gibt. Eine Aktualisierung können Sie
bequem mit dem GUI im Menü Wartung -> Software & Konfiguration vornehmen.
Sprache konfigurieren
Die Sprache für die Start/Login-Seite können Sie im Menü Lokale Dienste -> HotspotGateway -> Hotspot-Gateway -> Neu auswählen.
Abb. 36: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu
Relevantes Feld im Menü Hotspot-Gateway
46
Feld
Beschreibung
Sprache für Anmeldefenster
Wählen Sie die Sprache für die Start/Login-Seite aus.
Folgende Spachen werden unterstützt: 5, 0,
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
-*, 6"*78, !* , "
und $ "9 .
Die Sprache kann auf der Start/Login-Seite jederzeit umgestellt
werden.
Zeitzone einstellen
Die Systemzeit benötigen Sie u. a. für korrekte Zeitstempel bei Systemmeldungen oder
Gebührenerfassung. Gehen Sie dazu in folgendes Menü:
(1)
Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit.
Abb. 37: Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit
Hinweis
Wenn auf dem Gerät eine Methode zum automatischen Beziehen der Zeit festgelegt
ist, haben die auf diese Weise erhaltenen Werte die höhere Priorität. Eine evtl. manuell eingegebene Systemzeit wird überschrieben.
Relevante Felder im Menü Datum und Uhrzeit
Workshops (Auszug)
47
bintec elmeg GmbH
Feld
Beschreibung
Zeitzone
Das System ist auf MEZ umzustellen.
Um eine synchrone Systemzeit zu garantieren, ist eine aktuelle
Systemzeit für den Betrieb notwendig.
ISDN-Zeitserver
Hier legen Sie fest, ob die Zeitinformation, die an einer eingehenden ISDN-Verbindung empfangen wird, zur Aktualisierung
der Systemzeit benutzt wird.
System als Zeitserver
Hier wählen Sie aus, ob der interne Zeitserver verwendet werden soll.
Gehen Sie folgendermaßen vor, um die Zeitzone einzustellen:
(1)
Wählen Sie im Feld Zeitzone 5"!%" aus.
(2)
Deaktivieren Sie ISDN-Zeitserver.
(3)
Deaktivieren Sie System als Zeitserver. Zeitanfragen eines Clients werden nicht beantwortet.
(4)
Deaktivieren der lokalen Kommunikation
Wenn Sie Ihr Gerät im Access-Point-Modus betreiben ( Wireless LAN -> WLAN -> Einstellungen Funkmodul ->
mit Betriebsmodus = ), können Sie im Menü
Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu neue Drahtlosnetzwerke
einrichten.
Im Folgenden wird die lokale Kommunikation zwischen den einzelnen über WLAN verbundenen Hotspot-Benutzern auf WLAN-Ebene verhindert.
(1)
48
Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ->
.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 38: Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ->
Relevantes Feld im Menü Drahtlosnetzwerke (VSS)
Feld
Beschreibung
Intra-cell Repeating
Hier wählen Sie aus, ob die Kommunikation zwischen den über
WLAN-verbundenen Hotspot-Benutzern innerhalb einer Funkzelle erlaubt sein soll.
(1)
Deaktivieren Sie Intra-cell Repeating.
(2)
RADIUS-Server-Zugriff konfigurieren
Für den Zugang zum RADIUS-Server müssen zwei Einträge erzeugt werden. Der RADUISServer ist Bestandteil des zentralen bintec Hotspot Servers. Die notwendigen Daten für die
RADIUS-Server-Anmeldung, also IP-Adresse und Passwort, haben Sie mit den Freischaltungs-Unterlagen erhalten.
Im Menü Systemverwaltung -> Remote Authentifizierung -> RADIUS wird eine Liste aller eingetragenen RADIUS-Server angezeigt.
Um den ersten Eintrag zu konfigurieren, gehen Sie in folgendes Menü:
(1)
Workshops (Auszug)
Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu.
49
bintec elmeg GmbH
Abb. 39: Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu
Relevante Felder im Menü RADIUS
Feld
Beschreibung
Authentifizierungstyp
Hier wählen Sie aus, wofür der RADIUS-Server verwendet werden soll.
Betreibermodus
Wählen Sie bei Betreibermodus den Anbieter aus.
Server-IP-Adresse
Geben Sie die IP-Adresse des RADIUS-Servers ein, die Sie mit
Ihren Freischaltungs-Unterlagen erhalten haben.
RADIUS-Passwort
Geben Sie das Passwort ein, das Sie mit Ihren Freischaltungs-Unterlagen erhalten haben.
Priorität
Wenn mehrere RADIUS-Server-Einträge angelegt wurden, wird
der Server mit der obersten Priorität als erstes verwendet.
Wenn dieser Server nicht antwortet, wird der Server mit der
nächstniedrigeren Priorität verwendet usw.
Richtlinie
Hier stellen Sie ein, wie Ihr Gerät reagieren soll, wenn eine negative Antwort auf eine Anfrage eingeht.
Mögliche Werte:
50
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
• $ #"' : Eine negative Antwort auf eine Anfrage wird nicht akzeptiert. Der nächste RADIUS-Server wird
angefragt, bis Ihr Gerät eine Antwort von einem als :"
' konfigurierten Server erhält.
• :"' : Eine negative Antwort auf eine Anfrage wird
akzeptiert.
(1)
Wählen Sie bei Authentifizierungstyp aus.
(2)
Wählen Sie bei Betreibermodus ' ;! "#" aus.
(3)
Tragen Sie die Server-IP-Adresse ein, hier z. B. <<
.
(4)
Tragen Sie das RADIUS-Passwort ein, z. B. .
(5)
Setzen Sie die Priorität auf .
(6)
Wählen Sie bei Richtlinie $ #"' aus.
(7)
Um den zweiten Eintrag zu konfigurieren, gehen Sie in folgendes Menü:
(1)
Relevante Felder im Menü RADIUS
Workshops (Auszug)
51
bintec elmeg GmbH
Feld
Beschreibung
Hier wählen Sie aus, wofür der RADIUS-Server verwendet werden soll.
Server-IP-Adresse
Geben Sie die IP-Adresse des RADIUS-Servers ein, die Sie mit
Ihren Freischaltungs-Unterlagen erhalten haben.
RADIUS-Passwort
Geben Sie das Passwort ein, das Sie mit Ihren Freischaltungs-Unterlagen erhalten haben.
Priorität
Wenn mehrere RADIUS-Server-Einträge angelegt wurden, wird
der Server mit der obersten Priorität als erstes verwendet.
Wenn dieser Server nicht antwortet, wird der Server mit der
nächstniedrigeren Priorität verwendet usw.
Richtlinie
Hier stellen Sie ein, wie Ihr Gerät reagieren soll, wenn eine negative Antwort auf eine Anfrage eingeht.
(1)
Wähle Sie bei Authentifizierungstyp .+7" aus.
(2)
Tragen Sie die Server-IP-Adresse ein, hier z. B. <<
.
(3)
Tragen Sie das RADIUS-Passwort ein, z. B. .
(4)
(5)
Wählen Sie bei Richtlinie $ #"' aus.
(6)
Hinzufügen einer Host Access Authentication Regel
Im Menü Hotspot-Gateway konfigurieren Sie das vor Ort installierte bintec Gateway für
die bintec Hotspot Solution.
Im Menü Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway wird eine Liste aller
konfigurierter Hotspot-Netzwerke angezeigt.
52
Workshops (Auszug)
bintec elmeg GmbH
Abb. 41: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway
Mit der Option Aktiviert können Sie den entsprechenden Eintrag aktivieren bzw. deaktivieren.
Hotspot-Netzwerke konfigurieren
Im Menü Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway ->
konfigurieren
Sie die Hotspot Netzwerke. Wählen Sie die Schaltfläche Neu um weitere Hotspot Netzwerke einzurichten.
(1)
Workshops (Auszug)
Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu.
53
bintec elmeg GmbH
Relevante Felder im Menü Hotspot-Gateway
Feld
Beschreibung
Schnittstelle
Wählen Sie die Schnittstelle aus, an welcher der Hotspot angeschlossen ist.
Bei einem Betrieb über LAN muss hier beispielsweise die
Schnittstelle en1-0 ausgewählt werden.
Achtung
Die Konfiguration Ihres Geräts ist aus Sicherheitsgründen
nicht über eine Schnittstelle möglich, die für den Hotspot
konfiguriert ist. Wählen Sie hier daher sorgfältig die Schnittstelle aus, die Sie für den Hotspot nutzen wollen! Wenn Sie
hier die Schnittstelle auswählen, über welche die aktuelle
Konfigurationssitzung stattfindet, geht die aktuelle Verbindung verloren. Sie müssen sich dann über eine erreichbare, nicht für den Hotspot konfigurierte Schnittstelle zur weiteren Konfiguration Ihres Geräts erneut anmelden.
Domäne am Hotspot-Ser- Hier wird der gleiche Domänenname angegeben, der bei der
54
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
ver
Einrichtung des Hotspot-Servers verwendet wurde. Der Domänenname wird Ihnen nach der Freischaltung der Hotspot-Lizenz
zugesandt.
Walled Garden
Aktivieren Sie diese Funktion, wenn Sie einen abgegrenzten
und kostenfreien Bereich von Webseiten (Intranet) definieren
wollen.
Standardmäßig ist die Funktion deaktiviert.
Hinweis
Für weiterführende Informationen siehe Kapitel Einrichtung
der Walled Garden Pages auf Seite 76
Walled Network / Netzmaske
Geben Sie die Netzadresse des Walled Network und die entsprechende Netzmaske des Intranet-Servers ein.
Für den aus Walled Network / Netzmaske resultierenden
Adressraum benötigen die Clients keine Authentifizierung.
Beispiel: Geben Sie 192.168.0.0 / 255.255.255.0 ein, sind alle
IP-Adressen von 192.168.0.0 bis 192.168.0.255 frei. Geben Sie
192.168.0.1 / 255.255.255.255 ein, ist nur die IP-Adresse
192.168.0.1 frei.
Workshops (Auszug)
Walled Garden URL
Zeigt die Startseite auf dem Intranet-Server bzw. öffentlichen
Server an, z. B. http://www.webserver.de/index.htm oder
192.168.0.1/index.htm. Diese HTML-Seite ist die Webseite, die
im rechten Fenster des Anmelde-Frames angezeigt wird. Wenn
das Feld für die Walled Server URL leer gelassen wird, so wird
anstatt eines Frames nur die Anmeldeseite angezeigt. Die URL
und die damit verbundene IP-Adresse muss im Adressraum des
Walled Network liegen.
Geschäftsbedingungen
Tragen Sie in das Eingabefeld Geschäftsbedingungen die
Adresse der allgemeinen Geschäftsbedingungen auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B.
http://www.webserver.de/agb.htm. Die entsprechende Seite
muss im Adressraum des Walled Garden Networks liegen.
55
Feld
bintec elmeg GmbH
Beschreibung
Zusätzliche, frei zugäng- Fügen Sie mit Hinzufügen weitere URLs oder IP-Adressen hinliche Domänennamen
zu, die ohne Authentifizierung erreichbar sind.
Wählen Sie die Sprache der Start/Login-Seite aus.
Folgende Sprachen werden unterstützt: 5, 0,
-**, 6"*=*, 5!*>, "? und $ "
* .
Die Sprache kann auf der Start/Login-Seite jederzeit umgestellt
werden.
Tickettyp
Wählen Sie den Tickettyp aus.
Mögliche Werte:
• :" : Wählen Sie diese Option, wenn die Hotspot-Benutzer sich nur mit ihrem Benutzernamen am Hotspot anmelden sollen. Das zur Authentifizierung am Hotspot-Server benötigte Passwort definieren Sie in dem editierbaren Eingabefeld für alle Benutzer.
• %7"**@" (Standardwert): Wählen Sie diese Option, wenn jeder Hotspot-Benutzer sich mit seinem Benutzernamen und Passwort am Hotspot anmelden soll.
Zulässiger Hotspot-Client
Hier legen Sie fest, welche Art von Benutzern sich am Hotspot
anmelden dürfen.
Mögliche Werte:
• : Alle Clients werden zugelassen.
• 0;: Verhindert die Anmeldung von Benutzern, die
keine IP-Adresse mittels DHCP erhalten haben.
Anmeldefenster
Aktivieren oder deaktivieren Sie das Standard-Anmeldefenster.
Ist die Option aktiviert, wird die HTML-Startseite mit Anmelde-Frame und Walled Garden Frame verwendet.
Ist die Option deaktiviert, wird nur die Webseite der Walled Garen URL angezeigt.
Standardmäßig ist die Funktion aktiv.
56
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
Hinweis
Für weiterführende Informationen siehe Kapitel Nutzung
des Hotspots ohne HTML-Anmelde-Frameset auf Seite 77
Gehen Sie folgendermaßen vor, um Hotspot-Netzwerke zu konfigurieren:
(1)
Wählen Sie unter Schnittstelle .$A:
aus.
(2)
Tragen Sie die Domäne am Hotspot-Server ein, z. B. BC7' .
(3)
Aktivieren Sie Walled-Garden.
(4)
Aktivieren Sie Walled Network / Netzmaske und tragen Sie eine IP-Adresse und
Netzmaske ein, z. B. <<<<<<
.
(5)
Tragen Sie die Walled Garden URL ein, z. B.
!)@@@@'"#" B.
(6)
Tragen Sie die URL für die Geschäftsbedingungen ein, z. B.
!)@@@@'"#" *'.
(7)
Legen Sie bei Sprache für Anmeldefenster die Sprache für die Start/Login-Seite
fest, z. B. 0.
(8)
Belassen Sie den Tickettyp auf %7"**@".
(9)
Wählen Sie bei Zulässiger Hotspot-Client aus.
(10) Belassen Sie das Anmeldefenster auf (#.
(11) Bestätigen Sie mit OK.
Lokale Dienste einschränken
Es wird empfohlen, die lokalen Dienste außer dhcp, dns, http, http(SSL) sowie eventuell. time und ntp einzuschränken.
Die Kommunikation zwischen den Clients auf IP-Ebene sollte zusätzlich über SIF-Regeln
verhindert werden.
(1)
Workshops (Auszug)
Gehen Sie dazu zu Firewall -> Richtlinien -> Filterregeln-> Neu.
57
bintec elmeg GmbH
Abb. 43: Firewall -> Richtlinien -> Filterregeln -> Neu
Relevante Felder im Menü Filterregeln
Feld
Beschreibung
Quelle
Wählen Sie einen der vorkonfigurierten Aliase für die Quelle des
Pakets aus.
In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall -> Schnittstellen -> Gruppen),
Adressen (siehe Firewall -> Adressen -> Adressliste) und
Adressgruppen (siehe Firewall -> Adressen -> Gruppen) zur
Auswahl.
Der Wert $D bedeutet, dass weder Quell-Schnittstelle noch
Quell-Adresse überprüft werden.
Ziel
Wählen Sie einen der vorkonfigurierten Aliase für das Ziel des
Pakets aus.
In der Liste stehen alle WAN-/ LAN-Schnittstellen, Schnittstellengruppen (siehe Firewall -> Schnittstellen ->Gruppen),
Adressen (siehe Firewall -> Adressen -> Adressliste) und
Adressgruppen (siehe Firewall -> Adressen -> Gruppen) zur
Auswahl.
Der Wert $D bedeutet, dass weder Ziel-Schnittstelle noch
Ziel-Adresse überprüft werden.
Dienst
Wählen Sie einen der vorkonfigurierten Dienste aus, dem das
zu filternde Paket zugeordnet sein muss.
Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfi-
58
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
guriert, unter anderem:
• *C
•
!
•
• !
• !
• !
• • Weitere Dienste werden in Firewall -> Dienste -> Diensteliste
angelegt.
Außerdem stehen die in Firewall -> Dienste -> Gruppen konfigurierten Dienstegruppen zur Auswahl.
Aktion
Wählen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll.
Möglichen Werte:
• E"++ (Standardwert): Die Pakete werden entsprechend
den Angaben weitergeleitet.
• :"@" : Die Pakete werden abgewiesen.
• E"F(@ : Die Pakete werden abgewiesen. Eine Fehlermeldung wird an den Sender des Pakets ausgegeben.
QoS anwenden
Nur für Aktion = E"++
Wählen Sie aus, ob Sie QoS für diese Richtlinie mit der in Priorität ausgewählten Priorität aktivieren möchten.
Mit (#" wird die Funktion aktiv.
Standardmäßig ist die Option nicht aktiv.
Wenn QoS für diese Richtlinie nicht aktiv ist, beachten Sie, dass
auch sendeseitig keine Priorisierung der Daten erfolgen kann.
Eine Richtlinie, für die QoS aktiviert wurde, ist auch für die Firewall eingestellt. Beachten Sie daher, dass Datenverkehr, der
Workshops (Auszug)
59
bintec elmeg GmbH
Feld
Beschreibung
nicht ausdrücklich zugelassen wurde, von der Firewall geblockt
wird!
Priorität
Nur für QoS anwenden = (#"
Wählen Sie aus, mit welcher Priorität die von der Richtlinie spezifizierten Daten sendeseitig behandelt werden.
Mögliche Werte:
• (Standardwert): Keine Priorität.
• .@ .*C: Low Latency Transmission (LLT), d. h. Behandlung der Daten mit der geringstmöglichen Latenz, z. B.
geeignet für VoIP-Daten.
• ;
• /
• $ "
Gehen Sie folgendermaßen vor, um die lokalen Dienste einzuschränken:
(1)
Wählen Sie bei Quelle .$A:
aus.
(2)
Wählen Sie bei Ziel z. B. .$A5$
aus.
(3)
Wählen Sie den Dienst aus, z. B. !.
(4)
Wählen Sie bei Aktion E"++ aus.
(5)
Aktivieren Sie QoS anwenden.
(6)
(7)
Gehen Sie analog für die Einstellungen weiterer Dienste vor.
Die fertige Konfiguration sieht dann z. B. folgendermaßen aus:
60
Workshops (Auszug)
bintec elmeg GmbH
Abb. 44: Firewall -> Richtlinien -> Filterregeln
Installation eines SSL-Zertifikats (Optional)
Das Gateway bintec RS232jw hat standardmäßig ein Zertifikat für die Bereitstellung der
SSL-Anmeldeseiten. Dieses Zertifikat hat jedoch keine gültige Signatur, daher wird dem
Benutzer bei jedem Aufruf der SSL-Anmeldeseite ein Warnhinweis angezeigt. Um diesen
Warnhinweis zu verhindern, muss ein eigenes, von einer CA signiertes Zertifikat, auf dem
Gateway installiert werden.
Gehen sie in folgendes Menü, um Ihr eigenes signiertes Zertifikat in das Hotspot-Gateway
zu importieren:
(1)
Gehen SIe zu Systemverwaltung -> Zertifikate -> Zertifikatsliste -> Importieren.
Abb. 45: Systemverwaltung -> Zertifikate -> Zertifikatsliste -> Importieren
Relevante Felder im Menü Zertifikatsliste
Workshops (Auszug)
Feld
Beschreibung
Externer Dateiname
Geben Sie den Dateipfad und -namen des Zertifikats ein, welches importiert werden soll oder wählen Sie die Datei mit
Durchsuchen... über den Dateibrowser aus.
61
bintec elmeg GmbH
Feld
Beschreibung
Lokale Zertifikatsbeschreibung
Geben Sie eine eindeutige Bezeichnung für das Zertifikat ein.
Dateikodierung
Wählen Sie die Art der Kodierung, so dass Ihr Gerät das Zertifikat dekodieren kann.
Mögliche Werte:
• (Standardwert): Aktiviert die automatische Kodiererkennung. Falls der Zertifikat-Download im Auto-Modus fehlschlägt, versuchen Sie es mit einer bestimmten Kodierung.
• %*
• %9"
Passwort
Um Zertifikate für Ihre Schlüssel zu erhalten, benötigen Sie
möglicherweise ein Passwort.
Tragen Sie das Passwort hier ein.
Gehen Sie folgendermaßen vor, um das eigene Zertifikat zu importieren:
(1)
Wählen Sie unter Externer Dateiname über die Durchsuchen...-Schaltfläche die Datei mit dem Zertifikat aus, die Sie von der CA erhalten haben, z. B.
)G!A".
(2)
Geben Sie unter Lokale Zertifikatsbeschreibung eine Beschreibung ein, z. B.
;!.
(3)
Hinweis
Wenn der WAN-Zugang auf Ihrem Gerät mittels Load Balancing erfolgt, d. h. Sie haben mehrere WAN-Schnittstellen gleicher Priorität, müssen Sie eine zusätzliche Hostroute zum Hotspot-Server anlegen.
Für die Kommunikation mit dem RADIUS-Hotspot-Server muss daher eine WANSchnittstelle definiert werden. Gehen Sie dazu in folgendes Menü:
(1)
62
Gehen Sie zu Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 46: Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu
Relevante Felder im Menü IP-Routen
Feld
Beschreibung
Routentyp
Hier wählen Sie die Art der Route aus. Eine Hostroute greift vor
einer Netzwerk- oder Standardroute.
Schnittstelle
Wählen Sie die Schnittstelle aus, über die der Router mit dem
RADIUS-Hotspot-Server kommunizieren soll.
ZielIP-Adresse/Netzmaske
Geben Sie hier die öffentliche IP-Adresse des RADIUS-Hotspot-Servers ein.
Gehen Sie folgendermaßen vor, um eine zusätzliche Hostroute anzulegen:
(1)
Wählen Sie bei Routentyp ;H F'" aus.
(2)
Wählen Sie bei Schnittstelle $A0.A aus.
(3)
Tragen Sie bei Ziel-IP-Adresse/Netzmaske z. B. <<
ein.
(4)
Abschluss der Konfiguration
Speichern Sie die Konfiguration.
Der bintec Hotspot kann nun über die WLAN-Schnittstelle genutzt werden. Falls auch eine
Nutzung über die LAN-Schnittstelle möglich sein soll, so muss das Hotspot Netzwerk für
eine weitere Schnittstelle (z. B. en1-0) eingerichtet werden. Bei einer Nutzung über die
LAN-Schnittstelle muss die lokale Kommunikation zwischen den einzelnen Hotspot-Benutzern verhindert werden. Hierzu sollten VLAN-Verbindungen zum nachgeschalteten
Switch eingerichtet werden. Darüber hinaus ist sicherzustellen, dass die Konfiguration des
bintec RS232jw nicht aufrufbar ist. Eine Regulierung über IP ALL Rules bzw. SIF wird
Workshops (Auszug)
63
bintec elmeg GmbH
empfohlen.
4.3.2 Konfiguration des bintec Hotspot-Servers durch einen
Fachhändler
Ein Fachhändler / Dienstleister, der einen bintec Hotspot-Dienst einrichten möchte, erhält
bei Bestellung die Zugangsdaten für einen Administratorzugang. Dieser Zugang ermöglicht
es dem Dienstleister, alle relevanten Konfigurationen und Voreinstellungen für seine Kunden vorzunehmen.
Folgende Einstellungen und Konfigurationen müssen Sie als Fachhändler festlegen:
• Mandanten-Profil ergänzen
• Standort anlegen
• Kundenzugang zum Erzeugen der Benutzer-Coupons einrichten
• Die gewünschten Tarife anlegen.
Mandanten-Profil ergänzen
(1)
Starten Sie den Web-Browser und rufen Sie die Seite https://hotspot.bintec-elmeg.com auf.
(2)
Geben Sie Ihren Benutzernamen in das Feld Benutzername des Eingabefensters
ein.
(3)
Geben Sie Ihr Passwort in das Feld Passwort des Eingabefensters ein.
(4)
Klicken Sie auf die Login-Schaltfläche.
Abb. 47: Login
Gehen Sie folgendermaßen vor, um das Mandanten-Profil zu bearbeiten:
64
Workshops (Auszug)
bintec elmeg GmbH
(1)
Gehen Sie zu Mandant -> Mandant bearbeiten.
Abb. 48: Mandant -> Mandant bearbeiten
Relevante Felder im Menü Mandant bearbeiten
Feld
Beschreibung
Logo
Unter Logo können Sie Ihr Firmenlogo im PNG-Format hinterlegen. Dieses Logo wird auf jedem Ausdruck abgebildet.
AGB
Unter AGB hinterlegen Sie Ihre firmenspezifischen, allgemeinen
Geschäftsbedingungen (AGB) für den Hotspot-Dienst, falls Sie
das Default Free Service verwenden (siehe Verwendung von
Default Free Service auf Seite 83). Andernfalls legen Sie die allgemeinen Geschäftsbedingungen auf Ihrem eigenen Webspace
ab.
(1)
Workshops (Auszug)
Wählen Sie bei Logo die Datei mit Datei auswählen über den Dateibrowser aus.
65
bintec elmeg GmbH
(2)
Wählen Sie bei AGB die Datei mit Datei auswählen über den Dateibrowser aus.
(3)
Bestätigen Sie mit speichern.
Hinweis
Wir empfehlen Ihnen für Passwörter den Parameter " E++" zu verwenden,
um die Eingabe des Passworts auf Tablet-PCs oder mit verschiedenen Tastaturlayouts zu erleichtern.
Weitere Benutzer anlegen
Im Menü Benutzer -> Übersicht wird eine Liste aller Benutzer angezeigt. Als Fachhändler
können Sie weitere Benutzer anlegen. Gehen Sie dazu folgendermaßen vor:
(1)
Gehen Sie zu Benutzer -> Neuer Benutzer.
Abb. 49: Benutzer -> Neuer Benutzer
Relevante Felder im Menü Neuer Benutzer
66
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
Benutzername
Hier geben Sie den Namen des Benutzers an.
Berechtigungsgruppe
Wählen Sie die Berechtigungsgruppe aus.
Mögliche Werte:
• "*": Der Administrator kann Standorte, Benutzer, Tarife und Accounts verwalten, aber keine neuen Mandanten anlegen.
• /*"'": Der Mitarbeiter kann nur Accounts verwalten.
Diese Einstellung ist zum Beispiel für die Rezeption eines Hotels geeignet.
Standort
Wählen Sie einen Standort aus, falls mehrere Standorte vorhanden sind.
Nachname
Hier geben Sie den Nachnamen des Benutzers an.
E-Mail
Geben Sie die E-Mail-Adresse des Benutzers an. Die Zugangsdaten werden automatisch an die angebene E-Mail-Adresse
versendet.
Die Felder Benutzername, Nachname und E-Mail sind Pflichtfelder.
(1)
Tragen Sie bei Benutzername z. B. ;AH7! ein.
(2)
Wählen Sie bei Berechtigungsgruppe /*"'" aus.
(3)
Tragen Sie bei Nachname eine Bezeichnung ein, z. B. H7!.
(4)
Tragen Sie die E-Mail-Adresse ein, z. B. I .
(5)
Tarife anlegen
Im Menü Tarif -> Übersicht wird eine Liste aller angelegten Tarife angezeigt. Sie können
die vorhandenen Tarife bearbeiten oder neue Tarife anlegen.
(1)
Workshops (Auszug)
Gehen Sie zu Tarif -> Neuer Tarif, um einen neuen Tarif anzulegen.
67
bintec elmeg GmbH
Abb. 50: Tarif -> Neuer Tarif
Relevante Felder im Menü Neuer Tarif
Feld
Beschreibung
Kennung
Geben Sie hier eine Bezeichnung für den Tarif ein.
Laufzeit
Geben Sie ggf. die Laufzeit des Tarifs in Minuten ein.
Zeiteinheit (Laufzeit)
Wählen Sie die Zeiteinheit für die Laufzeit aus.
Mögliche Werte:
• *
• 9
• @8
• *
Volumen
Geben Sie ggf. das Volumen des Tarifs in MB ein.
Wählen Sie die Zeiteinheit für das Volumen aus.
Mögliche Werte:
• *
• 9
• @8
• *
Gültig bis
68
Geben Sie ein Enddatum für die Laufzeit des Zeit- bzw. Volu-
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
mentarifs an.
Das Feld Bezeichnung ist Pflichtfeld.
Um einen neuen Tarif anzulegen, gehen Sie folgendermaßen vor:
(1)
Tragen Sie bei Kennung z. B. / ,( ein.
(2)
Tragen Sie bei Laufzeit z. B. Minuten ein.
(3)
Wählen Sie bei Zeiteinheit (Laufzeit) * aus.
(4)
Tragen Sie den Preis ein, z. B. 4
.
(5)
Wählen Sie bei Standort aus.
(6)
Tipp
Wenn Sie eine Dauerflatrate einrichten möchten, geben Sie bei Laufzeit Minuten ein und wählen Sie bei Zeiteinheit (Laufzeit) 9 aus.
4.3.3 Verwaltung von Hotspot Accounts
Vor Ort können Sie Hotspot Accounts über die Oberfläche https://hotspot.bintec-elmeg.com/ verwalten. Die Anmeldedaten haben Sie per E-Mail erhalten.
Erzeugen eines Accounts
Sie können ein neues Ticket für einen Hotspot-Benutzer erzeugen. Hier können Sie zwischen einfacher Eingabe und erweiterter Eingabe wählen.
Für die einfache Eingabe gehen Sie in folgendes Menü:
(1)
Workshops (Auszug)
Gehen Sie zu Account -> Neuer Account (einfach).
69
bintec elmeg GmbH
Abb. 51: Account -> Neuer Account (einfach)
Relevante Felder im Menü Neuer Account (einfach)
Feld
Beschreibung
Benutzername
Geben Sie den Benutzernamen ein.
Tarif
Wählen Sie einen Tarif aus. Die Tarifauswahl kann von Ihrem
Administrator erweitert werden.
Nachname
Geben Sie den Nachnamen ein.
Die Felder Benutzername, Tarif und Nachname sind Pflichtfelder.
(1)
Tragen Sie bei Benutzername z. B. &*A< ein.
(2)
Wählen Sie einen Tarif aus, z. B. ,(.
(3)
Tragen Sie bei Nachname z. B. .F ein.
(4)
Für die erweiterte Eingabe gehen Sie in folgendes Menü:
(1)
70
Gehen Sie zu Account -> Neuer Account (erweitert).
Workshops (Auszug)
bintec elmeg GmbH
Abb. 52: Account -> Neuer Account (erweitert)
Relevante Felder im Menü Neuer Account (erweitert)
Workshops (Auszug)
Feld
Beschreibung
Benutzername
Geben Sie den Benutzernamen ein.
Tarif
Wählen Sie einen Tarif aus. Die Tarifauswahl kann von Ihrem
Administrator erweitert werden.
Nachname
Geben Sie den Nachnamen ein.
Passwort
Das Passwort wird automatisch erzeugt.
MAC-Adresse
Die MAC-Adresse kann optional angegeben werden, um die
Weitergabe des Accounts zu verhindern, z. B. bei längerfristigen laufenden Accounts.
SSID
Das Feld SSID ist optional und wird auf dem Ticket ausgedruckt.
71
bintec elmeg GmbH
Die Felder Benutzername, Nachname und Tarif sind Pflichtfelder.
(1)
Tragen Sie bei Benutzername z. B. &*A ein.
(2)
Wählen Sie einen Tarif aus, z. B. ,(.
(3)
Tragen Sie bei Vorname z. B. ;*;'" ein.
(4)
Tragen Sie bei Nachname z. B. .F ein.
(5)
Tragen Sie bei Zimmer z. B. ein.
(6)
Account verwalten
Unter Accout können Sie ein neues Ticket für einen Hotspot-Benutzer aktivieren, Konten
löschen und die Restlaufzeit ablesen. Sie können außerdem die Zugangsdaten für Ihren
Kunden ausdrucken oder eine PDF-Datei erzeugen.
(1)
Gehen Sie zu Account -> Übersicht um ein neues Ticket zu aktivieren.
Abb. 53: Account -> Übersicht
Relevantes Feld im Menü Account - Suche
72
Feld
Beschreibung
Betrag
Um einen neu angelegten Benutzer zu aktivieren, müssen Sie
auf den Betrag klicken. Die Anzeige wechselt dann auf '
7*.
Workshops (Auszug)
bintec elmeg GmbH
4.3.4 Betrieb an mehreren Standorten
Die bintec Hotspot Solution erlaubt den standortübergreifenden Betrieb eines Hotspots.
Dabei können die Hotspot-Benutzertickets zentral oder dezentral verwaltet werden. Es ist
möglich Tickets zu erzeugen, die nur für einen bestimmten Standort gelten, und es ist möglich Tickets zu erzeugen, die für alle Standorte gültig sind.
Bekanntlich ist der Hotspot-Server zentral angesiedelt und für alle bintec Kunden
(Mandanten) identisch. Die Erkennung, welcher Mandant mit dem RADIUS-Server des
Hotspot-Server kommuniziert, wird über die sogenannte Domain realisiert. Diese Domain
wird bei Aktivierung der Lizenz über das Lizenzportal (www.bintec-elmeg.com Service ->
Online Services -> HotSpot Solution Lizenzierung -> Formular HotSpot Lizenzierung)
vergeben und bei der Konfiguration des bintec RS232jw eingetragen. Bei einer Lösung mit
mehreren Standorten ist diese Domain für alle Standorte identisch.
Um die Standorte zu unterscheiden, wird der Parameter H* $*- eingeführt.
Aktualisierung des Gateways (z. B. bintec RS232jw)
Ihr Gerät ist mit der zum Zeitpunkt der Fertigung verfügbaren Version der Systemsoftware
ausgestattet, von der es aktuell ggf. neuere Versionen gibt. Eine Aktualisierung können Sie
bequem mit dem GUI im Menü Software & Konfiguration vornehmen.
(1)
Gehen Sie zu Wartung -> Software & Konfiguration -> Optionen.
Abb. 54: Wartung -> Software & Konfiguration -> Optionen
Relevante Felder im Menü Optionen
Workshops (Auszug)
73
bintec elmeg GmbH
Feld
Beschreibung
Aktion
Hier wählen Sie die Aktion aus, die Sie ausführen möchten.
Quelle
Wählen Sie die Quelle für die Aktualisierung aus.
(1)
Wählen Sie bei Aktion C+@*" *(*" aus.
(2)
Wählen Sie bei Quelle ( +@*" # 1! *"#" aus.
(3)
Klicken Sie auf Los um die Aktualisierung auszuführen.
Konfiguration des Hotspot-Servers
Nachdem Sie sich mit den Zugangsdaten unter https://hotspot.bintec-elmeg.com eingeloggt haben, werden Ihnen im Menü Standort -> Übersicht alle eingerichteten Standorte
angezeigt.
Abb. 55: Standort -> Übersicht
Standort bearbeiten
Wählen Sie in der Standort Übersicht den * " aus. Sie sehen jetzt eine Detailansicht des Standorts. Hier können Sie den Standort 1 bearbeiten.
74
Workshops (Auszug)
bintec elmeg GmbH
Abb. 56: Standort bearbeiten
Im Menü Standort bearbeiten können Sie zur Host Übersicht wechseln.
(1)
Gehen Sie zu Host Übersicht.
Abb. 57: Host Übersicht
Hier wird der NAS-Identifier angezeigt, der bei der Konfiguration des bintec RS232jw benötigt wird.
Wenn Sie einen Account oder einen Gutschein erzeugen, haben Sie unter Standort die
Wahl zwischen * " und .
Wenn Sie hier auswähen, ist der Account für alle Hosts (Standorte) gültig.
Workshops (Auszug)
75
(1)
bintec elmeg GmbH
Gehen Sie zu Gutschein -> Neuer Gutschein, um einen Gutschein zu erzeugen.
Abb. 58: Neuer Gutschein
4.3.5 Einrichtung der Walled Garden Pages
Bei der Erstanmeldung eines neuen Benutzers oder beim Ablauf des Tickets (negative Prüfung der Authentifizierung) wird jeder Internetzugriff auf die Start/Login-Seite umgeleitet.
Dieses Anmeldefenster besteht aus zwei Frames. Der linke Frame stellt das eigentliche
Anmelde-Formular dar und wird durch das Gateway erzeugt.
Der rechte Frame enthält eine durch den Betreiber des Hotspots frei definierbare Webseite
(Walled Garden Page) mit Informationen, Werbung und / oder Links zu frei zugänglichen
Webseiten.
76
Workshops (Auszug)
bintec elmeg GmbH
Abb. 59: Anmeldefenster
Der Inhalt des rechten Frames und eine Webseite mit den allgemeinen Geschäftsbedingungen (AGB) muss durch den Betreiber des Hotspots bereitgestellt werden. Dazu muss
Webspace entweder auf einem externen Server verfügbar sein oder der Betreiber greift auf
einen eigenen Webserver im Intranet zurück. Der Pfad zu den Hotspot-Webseiten, also
dem rechten Frameinhalt und der AGB-Seite, muss während der Konfiguration des Gateways definiert werden (die Konfiguration ist unter Konfiguration des bintec Hotspot-Gateways auf Seite 46 beschrieben).
Falls der Betreiber weitere frei zugängliche Webseiten anbieten möchte, so müssen diese
im gleichen Netzwerk (Subnet) liegen. Falls dies ein Link auf die eigene Webseite ist, sollten die Hotspot-Webseiten ebenfalls dort abgelegt werden. Falls externe Webseiten frei zur
Verfügung gestellt werden sollen, muss ein Proxy-Server eingerichtet werden. Zur Einrichtung eines Proxy-Servers sollten Sie sich an einen IT-Dienstleister wenden.
4.3.6 Nutzung des Hotspots ohne HTML-Anmelde-Frameset
Das Gateway (z. B. bintec RS232jw, IP-Adresse: 10.0.0.1) der bintec HotSpot Solution
stellt normalerweise eine Start/Login-Seite bereit, auf die ein nicht registrierter Benutzer
umgeleitet wird, sobald er eine HTML-Seite in seinem Browser aufruft.
Workshops (Auszug)
77
bintec elmeg GmbH
Diese Start/Login-Seite besteht aus einer Anmelde-HTML-Seite links und einer frei definierbaren HTML-Seite (Walled Garden Page) rechts. Die Anmelde-HTML-Seite enthält dabei
ein Formular zur Eingabe des Benutzernamens und Passworts. Lesen Sie auch das Kapitel Einrichtung der Walled Garden Pages auf Seite 76.
Im Folgenden wird beschrieben, wie Sie eine eigene HTML-Seite mit Formularfeldern zur
Anmeldung einrichten.
Konfiguration des bintec Hotspot Gateways
Folgen Sie den Konfigurationsschritten, wie in Kapitel Konfiguration des bintec HotspotGateways auf Seite 46 beschrieben. Abweichend von der Standard-Konfiguration müssen
Sie im Abschnitt Hotspot-Netzwerke konfigurieren die Option Anmeldefenster deaktivieren.
(1)
78
Feld
Beschreibung
Schnittstelle
Wählen Sie die Schnittstelle aus, an welcher der Hotspot angeschlossen ist.
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
Bei einem Betrieb über LAN muss hier beispielsweise die
Schnittstelle en1-0 ausgewählt werden.
Achtung
Die Konfiguration Ihres Geräts ist aus Sicherheitsgründen
nicht über eine Schnittstelle möglich, die für den Hotspot
konfiguriert ist. Wählen Sie hier daher sorgfältig die Schnittstelle aus, die Sie für den Hotspot nutzen wollen! Wenn Sie
hier die Schnittstelle auswählen, über welche die aktuelle
Konfigurationssitzung stattfindet, geht die aktuelle Verbindung verloren. Sie müssen sich dann über eine erreichbare, nicht für den Hotspot konfigurierte Schnittstelle zur weiteren Konfiguration Ihres Geräts erneut anmelden.
Domäne am Hotspot-Ser- Hier wird der gleiche Domänenname angegeben, der bei der
ver
Einrichtung des Hotspot-Servers verwendet wurde. Der Domänenname wird Ihnen nach der Freischaltung der Hotspot-Lizenz
zugesandt.
Walled Garden
wollen.
Ihre individuelle Start/Login-Seite wird über den Walled-Garden-Mechanismus realisiert. Dabei wird das Anmelde-Frameset
auf der linken Seite ausgeblendet.
Geben Sie die Netzadresse des Walled Network und die entsprechende Netzmaske des Intranet-Servers ein.
Für den aus Walled Network / Netzmaske resultierenden
Adressraum benötigen die Clients keine Authentifizierung.
Beispiel: Geben Sie 192.168.0.0 / 255.255.255.0 ein, sind alle
IP-Adressen von 192.168.0.0 bis 192.168.0.255 frei. Geben Sie
192.168.0.1 / 255.255.255.255 ein, ist nur die IP-Adresse
192.168.0.1 frei.
Walled Garden URL
Workshops (Auszug)
Geben Sie die URL Ihrer individuellen Start/Login-Seite auf dem
Intranet-Server bzw. dem öffentlichen Server an, z. B.
79
Feld
bintec elmeg GmbH
Beschreibung
http://www.webserver.de/index.htm oder 192.168.0.1/index.htm.
Die URL und die damit verbundene IP-Adresse muss im
Adressraum des Walled Network liegen.
Tragen Sie in das Eingabefeld Geschäftsbedingungen die
Adresse der AGB auf dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B. http://www.webserver.de/agb.htm.
Die Seite muss im Adressraum des Walled Garden Networks
liegen.
Zusätzliche, frei zugäng- Fügen Sie mit Hinzufügen weitere URLs oder IP-Adressen hinliche Domänennamen
zu, die ohne Authentifizierung erreichbar sind.
Wählt die Sprache der standardmäßigen, zweigeteilten Start/
Login-Seite aus.
Falls Sie eine individuelle Start/Login-Seite verwenden, hat die
Einstellung der Sprache keine Auswirkungen.
Sie können andere Sprachen anbieten, indem Sie von Ihrer
Start/Login-Seite auf andere HTML-Seiten verlinken.
Tickettyp
Mögliche Werte:
• :" : Wählen Sie diese Option, wenn die Hotspot-Benutzer sich nur mit ihrem Benutzernamen am Hotspot anmelden sollen. Das zur Authentifizierung am Hotspot-Server benötigte Passwort definieren Sie in dem editierbaren Eingabefeld für alle Benutzer.
• %7"**@" (Standardwert): Wählen Sie diese Option, wenn jeder Hotspot-Benutzer sich mit seinem Benutzernamen und Passwort am Hotspot anmelden soll.
anmelden dürfen.
Mögliche Werte:
• : Alle Clients werden zugelassen.
• 0;: Verhindert die Anmeldung von Benutzern, die
keine IP-Adresse mittels DHCP erhalten haben.
80
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
Anmeldefenster
Aktivieren oder deaktivieren Sie das Standard-Anmeldefenster.
Ist die Option aktiv, wird die HTML-Startseite mit Anmelde-Frame und Walled Garden Frame verwendet.
Ist die Option nicht aktiv, wird nur die Webseite der Walled Garen URL angezeigt.
Standardmäßig ist die Funktion aktiv.
Gehen Sie folgendermaßen vor, um das Hotspot-Netzwerk zu konfigurieren:
(1)
aus.
(2)
Tragen Sie die Domäne am Hotspot-Server ein, z. B. BC7' .
(3)
Aktivieren Sie Walled-Garden.
(4)
Aktivieren Sie Walled Network / Netzmaske und tragen Sie eine IP-Adresse und eine
Netzmaske ein, z. B. <<<<<<
.
(5)
Tragen Sie bei Walled Garden URL die URL der individuellen Start/Login-Seite ein, z.
B. !)@@@@'"#" .
(6)
Tragen Sie die URL für die Geschäftsbedingungen ein, z. B.
!)@@@@'"#" *' ein.
(7)
Als Sprache für Anmeldefenster wählen Sie z. B. 0 aus.
(8)
(9)
Bei Zulässiger Hotspot-Client wählen Sie aus.
(10) Deaktivieren Sie Anmeldefenster.
Start/Login-Seite konfigurieren
Workshops (Auszug)
81
bintec elmeg GmbH
Abb. 61: Browseransicht login_ger.htm
Bei der Anmeldung wird der Benutzer direkt auf die durch das Feld Walled Garden URL
definierte HTML-Seite geleitet.
Die HTLM-Login-Seite darf beliebig gestaltet werden, muss aber die folgenden Formularelemente enthalten:
• Eingabefeld für den Benutzernamen
• Eingabefeld für das Passwort
• Auswahlfeld zum Akzeptieren der allgemeinen Geschäftsbedingungen
• Schaltfläche zum Senden der Anmeldung
Sie können auf der Webseite www.bintec-elmeg.com im Downloadbereich der bintec
Hotspot Solution eine HTML-Vorlage herunterladen und das Layout an Ihre Bedürfnisse
anpassen. Diese Vorlage steht in deutscher und englischer Sprache zur Verfügung und ist
für mobile Browser optimiert.
Neben der Bereitstellung des notwendigen HTML-Formulars speichert diese HTML-Seite
die Benutzerdaten (Benutzer und Passwort) in einem Cookie. Falls der Hotspot-Benutzer
sich zu einem späteren Zeitpunkt erneut anmeldet, braucht er seine Daten nicht erneut einzugeben, sondern muss lediglich auf die Anmelde-Schaltfläche klicken.
Sie müssen die HTML-Datei anpassen, um sie verwenden zu können.
(1)
82
Öffnen Sie die HTML-Datei in einem HTML-Editor.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 62: Quelltext login_ger.htm
Gehen Sie folgendermaßen vor, um die HTML-Datei anzupassen:
(1)
Ersetzen Sie in Zeile 86 die IP-Adresse < durch die IP-Adresse Ihres
Gateways (bintec RS232jw), z. B. .
(2)
Ersetzen Sie in Zeile 91 die URL !)""#" *' durch
die URL mit Ihren allgemeinen Geschäftsbedingungen, z. B.
!)@@@@'"#" *'.
(3)
Sichern Sie Ihre Änderungen.
Speichern Sie die HTML-Dateien auf Ihrem Webserver. Die deutsche und englische Vorlage login_ger.htm bzw. login_en.htm verweisen aufeinander und müssen im gleichen Verzeichnis liegen.
4.3.7 Verwendung von Default Free Service
Einführung
Zum Registrieren eines neuen Hotspot-Benutzers am Hotspot wird ein Benutzername und
ein Passwort benötigt, das der Hotspot-Benutzer in die dafür vorgesehenen Feldern der
linken Anmeldemaske eingeben muss. Der notwendige Benutzername und das Passwort,
der sogenannte Account, kann vom Personal des Betreibers (z. B. Hotelrezeption) über
die Administrationsoberfläche des Hotspot-Servers erzeugt werden und kostenlos oder
kostenpflichtig an den Hotspot-Benutzer abgegeben werden. Viele Betreiber möchten Ihren
Kunden und Gästen den Hotspot-Dienst kostenlos zur Verfügung stellen und gleichzeitig
Ihr Personal von der manuellen Erstellung der Accounts entlasten. Für diese Anwendergruppe ist das sogenannte Default Free Service vorhanden. Bei diesem System kann der
Hotspot-Benutzer für sich selbst einen „kostenlosen“ Account erstellen.
Starten Sie den Web-Browser und rufen Sie die Seite https://hotspot.bintec-elmeg.com
auf.
Workshops (Auszug)
83
bintec elmeg GmbH
Abb. 63: Account erstellen
Nach Verbinden mit dem Hotspot erhält der Gast eine Anmeldemaske, in die er seinen
Nachnamen eingeben muss. Daraus erzeugt das System einen Benutzernamen und ein
Passwort, das wie gewohnt in die linke Spalte unter Hotspot Anmeldung eingetragen
werden muss.
Voraussetzungen
Normalerweise wird im rechten Teil des Bildschirms eine beliebige vom Betreiber festzulegende Webseite, die sogenannte Walled Garden Page angezeigt. Wenn das Default Free
Service genutzt werden soll, wird hier eine vom Hotspot-Server bereitgestellte Seite zur
Erzeugung eines Hotspot-Benutzer-Accounts angezeigt.
Bei der weiteren Konfiguration gehen wir davon aus, dass bereits ein funktionierender
Hotspot eingerichtet wurde und dieser lediglich auf das Default Free Service umgestellt
werden soll. Die Konfiguration erfolgt in zwei Schritten. Im ersten Schritt wird das Default
Free Service auf dem Hotspot-Server eingerichtet und im zweiten Schritt wird die Walled
Garden URL im Hotspot-Gateway angepasst.
Hotspot-Server-Konfiguration
Nach dem Einloggen als Administrator unter https://hotspot.bintec-elmeg.com wird der gewünschte Standort ausgewählt.
(1)
84
Gehen Sie zu Standort -> Übersicht -> Standort 1.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 64: Standort -> Übersicht -> Standort 1
Relevante Felder im Menü Standort bearbeiten
Workshops (Auszug)
Feld
Beschreibung
Walled Garden
Fahren Sie mit dem Mauszeiger über die grünen Klammern. In
der Statuszeile wird Ihnen die Walled URL für die Walled-Garden-Seite angezeigt. Diese URL benötigen Sie bei der Einrichtung des Hotspot-Gateways. Die erste Ziffer hinter dem Domainnamen ist die Kennziffer des Mandanten, in unserem Beispiel die 2. Die zweite Ziffer ist die Kennziffer für den Standort,
in unserem Beispiel die .
Anmeldemethode
Aktivieren Sie Default Free Service indem Sie den Typ von
*(#" auf 0+* 6" "# umschalten.
Tarif
Wählen Sie den Tarif aus, den Sie kostenlos zur Verfügung stellen möchten.
Tickets
Tickets belassen Sie auf *(#". Dadurch wird ein erstellter Account sofort gültig.
85
bintec elmeg GmbH
Feld
Beschreibung
Passwort
Wählen Sie aus, ob das Passwort automatisch generiert und
angezeigt wird oder ob der Benutzer das Passwort selbst auswählen soll.
Mögliche Werte:
• * "" *7
• 5' #"( J.''CK: Nach der Erzeugung des Accounts wird das Passwort nicht angezeigt.
Dieses Verhalten ist besonders sinnvoll, wenn der Hotspot z.
B. ausschließlich auf dem PC in der Lobby eines Hotels verwendet wird und somit mehrere Benutzer den gleichen PC
benutzen.
HTML-File für die AGB
Der Hotspot-Benutzer muss bei der Anmeldung aus rechtlichen Gründen zwingend die Allgemeinen Geschäftsbedingungen (AGB) bestätigen. Dazu muss bei der Konfiguration die
URL der HTLM-Seite, welche die AGB enthält, im Hotspot-Gateway hinterlegt werden. Die
Terms&Conditions URL (AGB) muss aus technischen Gründen unter der gleichen Netzwerkadresse erreichbar sein wie die Walled Garden URL. Daher ist es notwendig, bei Verwendung des Default Free Service, das AGB-HTML-File auf dem Hotspot-Server abzulegen.
(1)
86
Gehen Sie zu Mandant -> Übersicht -> Mandant bearbeiten.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 65: Mandant -> Übersicht -> Mandant bearbeiten
Relevantes Feld im Menü Mandant bearbeiten
Feld
Beschreibung
AGB
Wählen Sie mit Deitai auswählen die HTML-Datei mit Ihren
AGB aus, die Sie hochladen möchten.
Wenn Sie auf Aktuelle Datei klicken, wird Ihnen ein neues
Browserfenster mit der abgelegten AGB-HTML-Datei angezeigt.
So erhalten Sie auch gleich Ihre persönliche URL zu den AGB,
die Sie später für die Konfiguration des Hotspot-Gateways benötigen.
Hotspot-Gateway-Konfiguration
Da Ihr Hotspot bereits betriebsbereit ist, müssen für die entsprechende Schnittstelle (z. B.
WLAN) lediglich die Walled Network / Netzmaske, Walled Garden URL und die Geschäftsbedingungen angepasst werden. Da nun sowohl die Walled Garden als auch die
Workshops (Auszug)
87
bintec elmeg GmbH
Geschäftsbedingungen vom Hotspot-Server geliefert werden, muss die Walled Network IP
mit der IP des Hotspot-Servers identisch sein. Für alle Mandaten ist das die
<<
.
Hinweis
Bitte beachten Sie, dass das Hotspot-Gateway während der Konfiguration eine funktionierende Internetverbindung haben muss, da beim Speichern die DNS-Auflösung der
Domänennamen geprüft wird.
(1)
88
Feld
Beschreibung
Schnittstelle
Wählen Sie die Schnittstelle aus, an der der Hotspot angeschlossen ist.
Walled Garden
wollen.
Workshops (Auszug)
bintec elmeg GmbH
Feld
Beschreibung
Standardmäßig ist die Funktion deaktiviert.
Aktivieren Sie diese Funktion und tragen Sie die IP-Adresse des
Hotspot-Servers ein. Die IP-Adresse ist immer identisch.
Geben Sie hier <<
/ <<<<<<< ein.
Walled Garden URL
Tragen Sie hier die Walled Garden URL ein, die Ihnen vom
Hotspot-Server geliefert wurde.
Bei Geschäftsbedingungen tragen Sie die URL ein, die Ihnen
vom Hotspot-Server geliefert wurde.
Hier können Sie die Sprache für die Start/Login-Seite auswählen.
Tickettyp
Mögliche Werte:
• :" : Wählen Sie diese Option, wenn die Hotspot Benutzer sich nur mit ihrem Benutzernamen am Hotspot anmelden sollen. Das zur Authentifizierung am Hotspot Server benötigte Passwort definieren Sie in dem editierbaren Eingabefeld für alle Benutzer.
• %7"**@"(Standardwert): Wählen Sie diese Option, wenn jeder Hotspot Benutzer sich mit seinem Benutzernamen und Passwort am Hotspot anmelden soll.
anmelden dürfen.
Gehen Sie folgendermaßen vor, um das Hotspot-Gateway zu konfigurieren:
Workshops (Auszug)
(1)
aus.
(2)
Aktivieren Sie Walled Garden.
(3)
Aktivieren Sie Walled Network / Netzmaske und tragen Sie <<
<<<<<<< ein.
(4)
Tragen Sie bei Walled Garden URL z. B. !)@@@!' BL< ein.
(5)
Tragen Sie bei Geschäftsbedingungen z. B.
!)@@@!'*'L< ein.
89
bintec elmeg GmbH
(6)
Wählen Sie die Sprache für das Anmeldefenster, z. B. 0.
(7)
(8)
Wählen Sie bei Zulässiger Hotspot-Client 0; aus.
(9)
Bedienung durch den Benutzer
Nachdem der Benutzer sich mit dem Hotspot verbunden hat, kann er seinen InternetBrowser öffnen und eine beliebige URL aufrufen. Der Benutzer wird dann automatisch auf
die Anmeldeseite umgeleitet.
Abb. 67: Account erstellen
Geben Sie Ihren Nachnamen ein und klicken Sie auf Abschicken. Falls der Name schon
einmal im System registriert worden ist, schlägt das System einen neuen eindeutigen Namen vor, z. B. /"A.
90
Workshops (Auszug)
bintec elmeg GmbH
Abb. 68: Account Informationen
Das System erzeugt nun unter dem gewählten Benutzernamen ein Passwort. Benutzername und Passwort müssen in die linke Anmeldemaske eingetragen werden und es müssen die AGB als gelesen und akzeptiert bestätigt werden.
4.4 Neue Authentifizierungsverfahren
Alternativ zu klassischen Anmeldemethode kann der HTML-Frame (außer Default Free
Service) des Gateways auch ausgeschaltet werden. Die Anmeldeseite wird dann vom
Hotspot-Server bereitgestellt.
Merkmale
• Drei Designs stehen zur Verfügung (Standard Blau, Standard Grau, Custom).
• Das Design der Anmeldeseite ist für PC, Tablet PC und Smart Phones optimiert. Die
Darstellung wird je nach Gerät automatisch angepasst.
• Die Sprachauswahl funktioniert automatisch und entspricht der Browser-Sprache.
• Ein einmal angemeldeter Gast wird automatisch wieder eingeloggt (Cookie basierend).
Workshops (Auszug)
91
bintec elmeg GmbH
4.4.1 Default Free Service
Default Free Service wird benötigt, damit die bisherigen Installationen ohne Änderung
weiterfunktionieren.
4.4.2 Konfiguration
1-Click (bintec > 9.1.4)
Mit dieser Authentifizierungsmethode können Sie sich unter Angabe Ihrer E-Mail-Adresse
kostenlos an einem Hotspot anmelden.
Abb. 69: Anmeldung 1-Click (bintec > 9.1.4)
Geben Sie Ihre E-Mail-Adresse ein und akzeptieren Sie die allgemeinen Geschäftsbedingungen (AGB). Damit sind Sie als Gast automatisch angemeldet. Sie erhalten außerden eine E-Mail mit den Zugangsdaten, um sich später eventuell mit einem Zweitgerät anzumelden.
(1)
92
Gehen Sie auf die Seite des Hotspot-Servers unter Standort -> Neuer Standort.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 70: Standort ->Neuer Standort
Gehen Sie folgendermaßen vor, um einen neuen Standort anzulegen:
(1)
Die Felder Kennung, Ort, Land, Nachname und E-Mail sind Pflichtfelder. Bitte füllen
Sie alle Pflichtfelder aus.
(2)
Als Walled Garden URL wird die vom Hotspot-Server bereitgestellte Seite angezeigt.
(3)
Wählen Sie hier die Anmeldemethode ( J' M K aus.
(4)
Wählen Sie einen Tarif aus, z. B. < ,*.
(5)
Die Anmeldeseite des Routers ist die lokale IP-Adresse des Hotspot-Gateways, hier
z. B. !)<*.
(6)
Bestätigen Sie Ihre Angaben mit Speichern.
Konfiguration des 1-Click (bintec > 9.1.4) am bintec Hotspot-Gateway
Öffnen Sie einen Internet Browser und starten Sie eine Web-Verbindung zum bintec-Gateway (z. B. bintec RS232x).
(1)
Workshops (Auszug)
Gehen Sie zu Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway ->
LAN_EN1-1
.
93
bintec elmeg GmbH
Abb. 71: Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> LAN_EN1-1
(1)
Aktivieren Sie die Funktion Walled Garden, damit Sie einen kostenfreien Bereich von
Webseiten (Intranet) definieren können.
(2)
Als Walled Garden URL geben Sie die von Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2
<.
Tipp
Wenn bei der Walled Garden URL statt einer HTTPS URL eine http URL (z.B.
http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden..
94
(3)
Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB´s auf
dem Intranet-Server bzw. auf einem öffentlichen Server ein, z. B.
!)@@@'. Die Seite muss im Adressraum des WalledGarden-Networks liegen.
(4)
Deaktivieren Sie die Funktion Anmeldefenster. Wenn die Funktion deaktiviert ist,
wird nur die Webseite mit Informationen, Werbung und/oder Links zu frei zugänglichen Webseiten angezeigt.
Workshops (Auszug)
bintec elmeg GmbH
(5)
SMS (bintec > 9.1.4)
Mit dieser Authentifizierungsmethode können Sie sich unter Angabe Ihrer Mobilfunkrufnummer kostenlos an einem Hotspot registrieren. Sie erhalten eine SMS mit den Zugangsdaten, die Sie dann auf der Anmeldeseite eingeben müssen.
Abb. 72: Anmeldung SMS (bintec > 9.1.4)
Geben Sie Ihre Mobilfunkrufnummer ein und akzeptieren Sie die allgemeinen Geschäftsbedingungen (AGB).
Der Dienst verwendet den SMS-Dienstleister www.smstrade.de als SMS Versender. Zunächst muss ein Konto bei www.smstrade.de oder bei www.smstrade.eu eingerichtet werden. Smstrade bietet verschiedene Tarife an, empfehlenswert für den Produktiveinsatz ist
der Tarif Gold SMS, da dieser Tarif auch SMS an internationale Mobilfunknummern versenden kann. Für Testzwecke kann ein kostenfreies Konto bei Smstrade mit 30 kostenlosen SMS eingerichtet werden.
(1)
Workshops (Auszug)
Gehen Sie auf die Seite des Hotspot-Servers unter Mandant -> Neuer Mandant.
95
bintec elmeg GmbH
Abb. 73: Mandant -> Neuer Mandant
(1)
Tragen Sie den von smstrade bereitgestellte SMS Gateway Key ein.
(2)
Wählen Sie bei Versandroute den Tarif aus, z. B. %* /.
(3)
Wählen Sie nun die Anmeldemethode aus.
(1)
Abb. 74: Standort -> Neuer Standort
Gehen Sie folgendermaßen vor, um den Standort zu bearbeiten:
96
Workshops (Auszug)
bintec elmeg GmbH
(1)
(2)
(3)
Wählen Sie hier die Anmeldemethode / J' M K aus.
(4)
(5)
z. B. !)<*.
(6)
Konfiguration der SMS (bintec > 9.1.4) am bintec Hotspot-Gateway
Starten Sie eine Web-Verbindung zum bintec-Gateway (z. B. bintec RS232x).
(1)
LAN_EN1-1
.
(1)
Workshops (Auszug)
97
(2)
bintec elmeg GmbH
Als Walled Garden URL geben Sie die vom Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2
<.
Tipp
http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden.
(3)
Tragen Sie in das Eingabefeld Geschäftsbedingungen die Adresse der AGB auf
!)@@@'. Die Seite muss im Adressraum des Walled Garden-Networks liegen.
(4)
(5)
PayPal (bintec > 9.1.4)
Mit der Authentifizierungsmethode PayPal ist es möglich, einen kostenpflichtigen HotspotDienst einzurichten.
98
Workshops (Auszug)
bintec elmeg GmbH
Abb. 76: Anmeldung PayPal (bintec > 9.1.4)
Wählen Sie den Tarif, z. B. / ,( J
NK aus und klicken Sie auf
den Express Kauf PayPal -Button. Danach gelangen Sie auf die PayPal-Zahlungsseite.
Nach Abschluss der Zahlung werden Sie automatisch angemeldet. Zusätzlich erhalten Sie
an die E-Mail Adresse Ihres PayPal-Kontos eine E-Mail mit den Zugangsdaten, um sich
eventuell später mit einem anderen Gerät anzumelden.
Zur Nutzung des Dienstes wird ein PayPal-Händlerkonto benötigt. Die Registrierung eines
solchen Kontos ist kostenfrei. PayPal erhebt auf die eingezogenen Geldbeträge eine Gebühr. Details entnehmen Sie bitte den PayPal-Webseiten.
(1)
Gehen Sie auf die Seite des Hotspot-Servers unter Mandant -> Neuer Mandant.
Abb. 77: Mandant -> Neuer Mandant
Geben Sie die API-Anmeldedaten (API-Benutzername, API-Passwort und die Unter-
Workshops (Auszug)
99
bintec elmeg GmbH
schrift) ein. Die Daten können Sie über Ihr PayPal-Händlerkonto
(Mein_Profil/mehr/Verkäufer_Händler/API-Zugriff) abrufen.
(1)
(1)
(2)
(3)
Wählen Sie hier die Anmeldemethode *C!* J' M K aus.
(4)
z. B. !)<*.
(5)
Konfiguration des PayPal (bintec > 9.1.4) am bintec Hotspot-Gateway
Zur Konfiguration des Hotspot-Gateways starten Sie eine Web-Verbindung zum bintecGateway (z. B. bintec RS232x).
100
Workshops (Auszug)
bintec elmeg GmbH
(1)
LAN_EN1-1
.
(1)
(2)
Als Walled Garden URL geben Sie die vom Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2
<.
Tipp
http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden.
(3)
Workshops (Auszug)
101
bintec elmeg GmbH
!)@@@'. Die Seite muss im Adressraum des WalledGarden-Networks liegen.
(4)
(5)
Tipp
Der Aufbau der Anmeldeseite und der Paypal Zahlungsseiten kann je nach Tageszeit
recht langsam erfolgen, dies hat mit der hohen Belastung der Paypal.com Webseite zu
tun. Davon ist auch das Paypal Logo auf der Anmeldeseite betroffen, da dieses immer
vom Paypal.com geladen wird.
Die Sicherheitswarnung, die bei manchen Browsern angezeigt wird, lässt sich vermeiden,
wenn Sie die Anmeldeseite des Routers über https aufrufen; dazu ist ein SSL-Zertifikat
notwendig.
Anonymus (bintec > 9.1.4)
Mit dieser Authentifizierungsmethode können Sie sich ausschließlich durch Akzeptieren der
AGB kostenlos an einem Hotspot anmelden.
102
Workshops (Auszug)
bintec elmeg GmbH
Abb. 80: Anmeldung Anonymus (bintec > 9.1.4)
(1)
Workshops (Auszug)
103
bintec elmeg GmbH
(1)
Füllen Sie die Pflichtfelder Kennung, Ort, Land, Nachname und E-Mail aus.
(2)
Bei Anmeldemethode wählen Sie C J'MK aus.
(3)
(4)
z. B. !)<*.
(5)
Konfiguration des Anonymus (bintec > 9.1.4) am bintec-Gateway
Starten Sie eine Web-Verbindung zum bintec-Gateway (z. B. bintec RS232x).
(1)
104
LAN_EN1-1
.
Workshops (Auszug)
bintec elmeg GmbH
(1)
(2)
Als Walled Garden URL geben Sie die von Hotspot-Server bereitgestellte Anmeldeseite an, hier z. B. !)!'2
<.
Tipp
http://hotspot.bintec-elmeg.com/3/205/) verwendet wird, so werden bei einigen Browsern Sicherheitswarnungen vermieden
Workshops (Auszug)
(3)
!)@@@'. Die Seite muss im Adressraum des Walled Garden-Networks liegen.
(4)
105
(5)
bintec elmeg GmbH
4.5 Hinweise für den sicheren Betrieb
4.5.1 Mehrfaches anmelden
Mit einem Coupon (Benutzername, Passwort) kann nur ein Benutzer angemeldet sein.
Falls jemand versucht, sich mit den selben Daten noch einmal anzumelden, so funktioniert
dies, die Verbindung mit dem vorherigen Teilnehmer wird jedoch beendet.
4.5.2 Verhindern der Sichtbarkeit der Teilnehmer untereinander
In einem LAN oder WLAN sind alle Teilnehmer auf der IP-Ebene miteinander verbunden.
Bei einem Hotspot-System muss dies natürlich verhindert werden.
Hotspot mit nur einem WLAN Access Point
Hier wird nur ein bintec RS232jw als Hotspot-Gateway eingesetzt. Alle Benutzer sind ausschließlich über WLAN angemeldet. Kabelgebundes LAN wird nicht verwendet. Der Internetzugang erfolgt über ein lokales Netzwerk oder über ADSL.
Abb. 83: Hotspot mit einem WLAN Access Point
Um die interne Kommunikation zwischen den Hotspot-Benutzern (WLAN-Clients) zu verhindern, muss im Menu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) ->
die
Option Intra-cell Repeating deaktiviert werden.
Hotspot mit mehreren WLAN Access Points
Hier werden mehrere WLAN Access Points eingesetzt, die über LAN mit dem bintec
RS232jw Gateway verbunden sind. Der Internetzugang erfolgt über ein lokales Netzwerk
106
Workshops (Auszug)
bintec elmeg GmbH
oder über xDSL.
Abb. 84: Hotspot mit mehreren WLAN Access Points
Um die Sichtbarkeit zwischen den einzelnen Hotspot-Benutzern zu verhindern, muss an allen WLAN-Arbeitsplätzen im Menu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) >
die Option Intra-cell Repeating deaktiviert werden. Darüber hinaus ist für jeden
WLAN Access Point ein eigenes VLAN einzurichten, um die interne Kommunikation zwischen Teilnehmer, die an verschiedenen Access Points angemeldet sind, zu verhindern.
Hotspot mit Ethernet-LAN-Clients
Hier sind mehrere Hotspot-Benutzer über ein LAN an das Hotspot-Gateway angeschlossen. Der Internetzugang erfolgt über ein lokales Netzwerk oder über xDSL.
Abb. 85: Hotspot mit Ethernet-LAN-Client
Workshops (Auszug)
107
bintec elmeg GmbH
Der PC eines Hotspot-Benutzers wird an einen VLAN-fähigen Switch angeschlossen. Dabei erhält jeder physikalische Port des Switches ein eigenes VLAN.
4.5.3 Verschlüsselte / Unverschlüsselte WLAN-Verbindung
Um die Anmeldung der Benutzer an den Hotspot zu erleichtern, arbeiten die meisten Hotspots unverschlüsselt.
Dies hat folgende Nachteile:
• Jeglicher WLAN Traffic kann von Leuten mit technischen Know-How und einigen Hilfsmitteln mitgelesen werden.
- Die Coupon-/ Anmeldedaten zur Anmeldung eines Benutzers an den Hotspot.
- Alle aufgerufenen Webseiten, sofern diese nicht SSL-verschlüsselt sind, z. B. httpsWebseiten. Webseiten von Banken sind i. d. R. nicht betroffen, da diese SSLverschlüsselt sind.
- E-Mails, die nicht SSL-verschlüsselt sind.
- Anmeldedaten zu E-Mail-Konten, die nicht SSL verschlüsselt sind.
Hinweis
Es ist wichtig, dass auf diesen Umstand in den AGB hingewiesen wird.
4.5.4 WPA-Verschlüsselung
Um die obigen Nachteile zu umgehen, kann man die WLAN-Schnittstelle z. B. mit WPAPSK verschlüsseln. Der Sicherheitsgewinn ist jedoch nicht sehr groß, da jeder diesen
Schlüssel kennen muss.
4.5.5 Verschlüsselung der Anmeldeseiten
Die Anmeldeseiten können am Gateway mit SSL verschlüsselt werden, dadurch können
diese nicht mehr durch Dritte „mitgelesen“ werden. Die SSL-Verschlüsselung hat den Vorteil, dass der Hotspot-Benutzer keine zusätzlichen Maßnahmen ergreifen muss. Jedoch
sind die Webzugriffe der Benutzer weiterhin ungesichert.
Um die SSL-Verschlüsselung der Anmeldeseiten zu gewährleisten, muss ein Zertifikat auf
dem Gateway installiert werden. Bezüglich der Installation wenden Sie sich an unseren
Support.
108
Workshops (Auszug)
bintec elmeg GmbH
Hinweis
Auch hier ist es wichtig in den AGB darauf hinzuweisen, dass die Webzugriffe unverschlüsselt erfolgen.
4.5.6 IP/ARP Spoofing
Wird bei der Konfiguration des Gateways der Parameter Zulässiger Hotspot-Client auf
0; gesetzt, werden eingehende Pakete zusätzlich auf die IP- bzw. MACAdresse des Absenders hin überprüft. Eine gefälschte („gespoofte“) Absender-IP- bzw.
MAC-Adresse führt bei IPv4 zu einem Adresskonflikt. Dieses Szenario wird folglich nicht
abgefangen.
4.6 Rechtliches
4.6.1 Allgemein
Die nachfolgenden Ausführungen stellen keine Rechtsberatung dar, sondern sollen lediglich über die rechtliche Lage zum Zeitpunkt der Erstellung dieses Dokumentes unverbindlich informieren. In Bedarfsfall sollte ein Fachanwalt hinzugezogen werden.
4.6.2 Meldepflicht eines Hotspots
Der Betrieb eines öffentlichen Hotspots muss bei der Bundesnetzagentur innerhalb von 4
Wochen nach der Inbetriebnahme angezeigt werden. Der Betrieb erfordert keine kostenpflichtige Lizenz.
Auf unserer Webseite www.bintec-elmeg.com finden Sie im Downloadbereich der bintec
Hotspot Solution ein vorausgefülltes Anmeldeformular, auf dem Sie lediglich Ihre Anschrift ergänzen müssen.
4.6.3 Allgemeine Geschäftsbedingungen
Es ist zwingend notwendig, dass der Hotspot-Benutzer die AGB des Betreibers als gelesen
abhakt. Die bintec Hotspot Solution hält die technischen Vorraussetzungen hierfür vor.
Der Betreiber muss aber eine Webseite für die AGB bereitstellen, z. B.
http://www.webserver.de/agb.htm. In den AGB muss der Hinweis enthalten sein, dass die
Internetzugriffe unverschlüsselt übertragen werden und dass der Benutzer für eine eventuelle Verschlüsselung der Daten selbst Sorge zu tragen hat.
Workshops (Auszug)
109
bintec elmeg GmbH
Auf unserer Webseite www.bintec-elmeg.com finden Sie im Downloadbereich der bintec
Hotspot Solution eine fertige Muster-AGB für den Hotspot-Betreiber.
4.6.4 Grauzone und Haftbarkeit bei missbräuchlicher Benutzung
• Das Gesetz lässt offen, was unter dem Begriff Eindeutige Kennung zu verstehen ist.
Dies könnten der Name des Hotspot-Benutzers oder seine Hotelzimmernummer sein
oder auch nur die MAC-Adresse des verwendeten PCs. Die bintec Hotspot Solution
speichert die MAC-Adresse des verwendeten PCs, darüber hinaus können beim Ausstellen des Hotspot-Coupons die persönlichen Daten des Kunden erfasst und gespeichert
werden.
Sprache konfigurieren
Feld
Menü
Wert
Lokale Dienste -> Hotspot-Gateway z. B. 0
-> Hotspot-Gateway -> Neu
Zeitzone einstellen
Feld
Menü
Wert
Zeitzone
Systemverwaltung -> Globale Einstellungen -> Datum und Uhrzeit
5"!%"
ISDN-Zeitserver
Deaktiviert
System als Zeitserver
Deaktiviert
Deaktivieren der lokalen Kommunikation
Feld
Menü
Wert
Wireless LAN -> WLAN -> Drahtlos- Deaktiviert
netzwerke (VSS) ->
RADIUS-Server Zugriff konfigurieren_1
110
Feld
Menü
Wert
Systemverwaltung -> Remote Authentifizierung -> RADIUS-> Neu
Betreibermodus
Systemverwaltung -> Remote Au-
' ;!
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
thentifizierung -> RADIUS-> Neu
"#"
Server-IP-Adresse
z. B. <<
RADIUS-Passwort
z. B. Priorität
Richtlinie
$ #"' RADIUS-Server Zugriff konfigurieren_2
Feld
Menü
Wert
.
+7"
Server-IP-Adresse
z. B. <<
RADIUS-Passwort
z. B. Priorität
Richtlinie
$ #"' Hotspot-Netzwerke konfigurieren
Feld
Menü
Wert
Schnittstelle
Lokale Dienste -> Hotspot-Gateway z. B. .$A:
-> Hotspot-Gateway-> Neu
Domäne am Hotspot-Ser- Lokale Dienste -> Hotspot-Gateway z. B. BC7' ver
Workshops (Auszug)
Walled-Garden
Lokale Dienste -> Hotspot-Gateway (#"
Lokale Dienste -> Hotspot-Gateway Aktiviert, z. B.
/
<<<<<<
Walled Garden URL
Lokale Dienste -> Hotspot-Gateway z. B.
!)@@@@'"#
" B
111
Feld
bintec elmeg GmbH
Menü
Wert
!)@@@@'"#
" *'
Tickettyp
Lokale Dienste -> Hotspot-Gateway %7"**
@"
Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway-> Neu
Anmeldefenster
Lokale Dienste -> Hotspot-Gateway (#
Lokale Dienste einschränken
Feld
Menü
Wert
Quelle
Firewall -> Richtlinien -> Filterregeln-> Neu
z. B. .$A:
Ziel
z. B. .$A5$
Dienst
z. B. !
Aktion
E"++
QoS anwenden
(#"
Priorität
Installation eines SSL-Zertifikats (Optional) - Importieren
Feld
Menü
Wert
Externer Dateiname
Systemverwaltung -> Zertifikate ->
Zertifikatsliste -> Importieren
z. B.
)G!A"
Lokale Zertifikatsbeschreibung
Systemverwaltung -> Zertifikate ->
Zertifikatsliste -> Importieren
z. B. ;!
WAN-Schnittstelle definieren
112
Feld
Menü
Wert
Routentyp
Netzwerk -> Routen -> Konfigurati- ;" F'"
on von IPv4-Routen-> Neu
Schnittstelle
Netzwerk -> Routen -> Konfigurati- $A0.A
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
ZielIP-Adresse/Netzmaske
Netzwerk -> Routen -> Konfigurati- z. B. <<
Mandanten-Profil bearbeiten
Feld
Menü
Wert
Logo
Mandant -> Mandant bearbeiten
0* *@9
AGB
Mandant -> Mandant bearbeiten
0* *@9
Feld
Menü
Wert
Benutzername
Benutzer -> Neuer Benutzer
z. B. ;
AH7!
Berechtigungsgruppe
/*"'"
Standort
Nachname
z. B. H7!
E-Mail
z. B. I Feld
Menü
Wert
Bezeichnung
Tarif -> Neuer Tarif
z. B. /
,(
Laufzeit
Minuten
*
*
Preis
z. B. 4
Euro
Standort
Benutzer anlegen
Tarife anlegen
Account erzeugen (einfach)
Feld
Menü
Wert
Benutzername
Account -> Neuer Account
z. B. &*A<
Tarif
z. B. ,(
Nachname
z. B. .F Account erzeugen (erweitert)
Workshops (Auszug)
113
bintec elmeg GmbH
Feld
Menü
Wert
Benutzername
(erweitert)
z. B. &*A
Tarif
(erweitert)
z. B. ,(
Standort
(erweitert)
Alle
Vorname
(erweitert)
z. B. ;*;'"
Nachname
(erweitert)
z. B. .F Zimmer
(erweitert)
z. B. Feld
Menü
Wert
Betrag
Account -> Übersicht
%"* anklicken
Feld
Menü
Wert
Aktion
Wartung -> Software & Konfigurati- C+@*" *(
on -> Optionen
*"
Quelle
Wartung -> Software & Konfigurati- ( +@*"
on -> Optionen
# 1! *"#"
Account verwalten
Setup ausführen
Betrieb mit mehreren Standorten
Feld
Menü
Wert
Standort
Standort -> Übersicht
* " Feld
Menü
Wert
Anzahl
Gutschein -> Neuer Gutschein
z. B. Tarif
z. B. ,(
Standort
Host
Gutschein erzeugen
Nutzung des Hotspot ohne HTML-Anmelde-Frameset - Konfiguration des bintec
Hotspot Gateways
114
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
Schnittstelle
Lokale Dienste -> Hotspot-Gateway .$A:
Domäne am Hotspot-Ser- Lokale Dienste -> Hotspot-Gateway z. B. BC7' ver
Walled-Garden
Walled Network/Netzmaske
Lokale Dienste -> Hotspot-Gateway (#", z. B.
/
<<<<<<
Walled Garden URL
!)@@@@'"#
" Geschäftsbedingungen
!)@@@@'"#
" *'
Tickettyp
@"
Lokale Dienste -> Hotspot-Gateway -> Hotspot-Gateway -> Neu
Anmeldefenster
Lokale Dienste -> Hotspot-Gateway Deaktiviert
Nutzung des Hotspot ohne HTML-Anmelde-Frameset - Konfiguration des bintec
Hotspot Gateways
Feld
Menü
Wert
192.168.1.254
HTML-Datei
z. B. http://customerserver.de/ HTML-Datei
agb.htm
z. B.
!)@@@@'"#
" *'
Default Free Service verwenden
Workshops (Auszug)
Feld
Menü
Wert
Anmeldemethode
Standort -> Übersicht -> Standort 1 0+* 6" "
#
Tarif
Standort -> Übersicht -> Standort 1 z. B. ,(
Tickets
Standort -> Übersicht -> Standort 1 Deaktiviert
115
bintec elmeg GmbH
Feld
Menü
Wert
Passwort
Standort -> Übersicht -> Standort 1 * "" *7
AGB bestätigen
Feld
Menü
Wert
AGB
Mandant -> Übersicht -> Mandant
bearbeiten
0* *@9
Hotspot-Gateway konfigurieren
Feld
Menü
Wert
Schnittstelle
Lokale Dienste -> Hotspot-Gateway z. B. .$A:
Walled Garden
Lokale Dienste -> Hotspot-Gateway <<
/
<<<<<<<
Walled Garden URL
Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> Neu
!)@@@!'
BL<
!)@@@!
'
*'L<
Tickettyp
@"
Lokale Dienste -> Hotspot-Gateway 0;
Account erstellen
Feld
Menü
Wert
Nachname
Internet Browser öffnen
z. B. /"A
Hotspot Anmeldung
116
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
Benutzer
Account Informationen
z. B. .F Passwort
z. B. /O1L2'P
Allgemeine Geschäftsbedingungen
(#"
Neue Authentifizierungsverfahren
1-Click (bintec > 9.1.14) konfigurieren
Feld
Menü
Wert
Kennung
Standort -> Neuer Standort
z. B. * "A
Ort
z. B. 051
Land
z. B. 0*
Nachname
z. B. .F E-Mail
z. B. I Anmeldemethode
( J' M
K
Tarif
z. B. < ,*
Anmeldeseite des Routers
z. B.
!)
<*
Walled Garden
Lokale Dienste -> Hotspot-Gateway Aktivieren
-> Hotspot-Gateway -> LAN_EN1-1
Walled Garden URL
Lokale Dienste -> Hotspot-Gateway z. B. -> Hotspot-Gateway -> LAN_EN1-1 !)!'
2
<
-> Hotspot-Gateway -> LAN_EN1-1 !)@@@'
Anmeldefenster
Lokale Dienste -> Hotspot-Gateway Deaktivieren
SMS (bintec > 9.1.14) konfigurieren
Workshops (Auszug)
Feld
Menü
Wert
SMS Gateway Key
Mandant -> Neuer Mandant -> sm-
xxxxxxxxxxxxxxxxxx
117
Feld
bintec elmeg GmbH
Menü
Wert
strade Anmeldeinforamtionen
Versandroute
Mandant -> Neuer Mandant -> smstrade Anmeldeinforamtionen
z. B. %* /
Kennung
z. B. * "A
Ort
z. B. 051
Land
z. B. 0*
Nachname
z. B. .F E-Mail
/ J' M
K
Tarif
z. B. < ,*
z. B.
!)
<*
Walled Garden
Walled Garden URL
2
<
Anmeldefenster
PayPal (bintec > 9.1.14) konfigurieren
118
Feld
Menü
Wert
API-Benutzername
Mandant -> Neuer Mandant ->
PayPAl Anmeldeinforamtionen
xxxxxxxxxxxxxxxxxx
API-Passwort
Mandant-> Neuer mandant ->
PayPal Anmeldeinforamtionen
z. B. !""
API-Passwort wiederho- Mandant -> Neuer Mandant ->
len
PayPAl Anmeldeinforamtionen
z. B. !""
Unterschrift
xxxxxxxxxxxxxxxxxx
Mandant-> Neuer mandant ->
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
PayPal Anmeldeinforamtionen
Kennung
z. B. * "A
Ort
z. B. 051
Land
z. B. 0*
Nachname
z. B. .F E-Mail
*C!* J' M
K
Tarif
z. B. Anmeldeseite des Routers
z. B.
!)
<*
Walled Garden
Walled Garden URL
2
<
Anmeldefenster
Anonymus (bintec > 9.1.14) konfigurieren
Workshops (Auszug)
Feld
Menü
Wert
Kennung
z. B. * "A
Ort
z. B. 051
Land
z. B. 0*
Nachname
z. B. .F E-Mail
C J' M
K
Tarif
z. B. < ,*
119
120
bintec elmeg GmbH
Feld
Menü
Wert
z. B.
!)
<*
Walled Garden
Walled Garden URL
2
<
Anmeldefenster
Workshops (Auszug)
5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008
bintec elmeg GmbH
Kapitel 5 WLAN - 802.1x Authentifizierung unter Nutzung eines Microsoft Servers 2008
5.1 Einleitung
Im Folgenden wird die Anbindung von WLAN-Clients unter Nutzung des 802.1x
(EAP-PEAP) Protokolls an einen Windows-Server 2008 beschrieben.
Die WLAN-Authentifizierung wird von einem RADIUS-Server durchgeführt. Dabei werden
die Authentifizierungsdaten (Benutzername/Passwort/Zertifikate) auf dem zentralen Windows-Server verwaltet. Hierfür wird ein Windows 2008 Server verwendet, der folgende Server-Rollen zur Verfügung stellt:
• Active Directory-Domänendienste (ADS)
• Active Directory-Zertifikatsdienste (CA)
• Netzwerkrichtlinien und Zugriffsdienste (NPS)
Der Workshop zeigt die Konfiguration des Servers als Zertifizierungsstelle (CA) und die
Einrichtung des RADIUS-Servers (Network Policy Server (NPS)). Anschließend wird die
Konfiguration eines Access Points beschrieben. Bei der Anbindung eines WLAN-Clients
unter Windows7 werden Bordmittel verwendet.
Abb. 86: Beispielszenario
Voraussetzungen
Workshops (Auszug)
121
5 WLAN - 802.1x Authentifizierung unter Nutzung eines
Microsoft Servers 2008
bintec elmeg GmbH
• Ein Microsoft Windows Server 2008 (z. B. Windows Server 2008 R2 Standard)
• Die Active Directory Konfiguration wird vorausgesetzt
• Es wird ein DHCP-Server im Netzwerk vorausgesetzt (z. B Windows DHCP-Server)
• Ein oder mehrere bintec Access Points (z. B. bintec W2003n)
• Ein- oder mehrere WLAN-Clients (z. B. Windows 7 WLAN Supplicant)
5.2 Server Konfiguration
5.2.1 Konfiguration der Active Directory-Zertifikatsdienste
Die Authentifzierung von WLAN-Clients am RADIUS-Server wird über eine gesicherte
Transportverbindung durchgeführt. Hierzu wird das Zertifikat einer Zertifizierungsstelle (CA
Zertifikat) benötig. Zum Hinzufügen der Serverrolle wird der Server-Manager verwendet.
(1)
Gehen Sie zu Assistent "Rollen hinzufügen" -> Serverrollen.
In diesem Workshop werden die # 0""CE"+(* des Windows-Servers verwendet.
Der Zugriff auf die Zertifikate soll über eine Webschittstelle erfolgen.
122
Workshops (Auszug)
bintec elmeg GmbH
Hierzu wird neben der Zertifizierungsstelle selbst der Rollendienst E"+7"
'""" installiert.
In den nächsten Schritten des Assistenten zum Anlegen der Serverrolle # 0"
"CE"+(* wird der Installationstyp der Zertifizierungsstelle gewählt.
Wählen Sie die Option 1" aus.
Workshops (Auszug)
123
bintec elmeg GmbH
Im Menü Zertifizierungsstellentyp wählen Sie die Option *7"+7"
aus.
124
Workshops (Auszug)
bintec elmeg GmbH
In unserem Beispiel wird bei der Erstinstallation der Zertifizierungsstelle auch ein neuer
Privater Schlüssel erstellt.
Wählen Sie die Option $ !"#* F " aus.
Workshops (Auszug)
125
bintec elmeg GmbH
Im Menü Kryptografie wählen Sie den Hash Algorythmus ; und eine Schlüsselzeichenlänge von bit aus.
126
Workshops (Auszug)
bintec elmeg GmbH
Im nächsten Schritt wird im Menü Zertifizierungsstelle die Bezeichnung des Zertifizierungsstellenzertifikats sowie der Distinguished Name (DN) angegeben.
Als Allgemeiner Name dieser Zertifizierungsstelle geben Sie z. B. "(!.$
ein.
Als Suffix des definierten Namens geben Sie z. B. 0Q@*40Q' 40Q ein.
Workshops (Auszug)
127
bintec elmeg GmbH
Wählen Sie noch die Gültigkeitdauer des Zertifizierungsstellenzertifikats aus.
In unserem Beispiel wird die Gültigkeitsdauer auf < R*" gesetzt.
128
Workshops (Auszug)
bintec elmeg GmbH
Zum Abschluss der Installation der Serverrolle Active Directory-Zertifikatsdienste wird
eine Zusammenfassung sowie das Ergebnis der Installation angezeigt.
Workshops (Auszug)
129
130
bintec elmeg GmbH
Workshops (Auszug)
bintec elmeg GmbH
5.2.2 Reservierung der Access Point IP-Adressen am DHCPServer (Windows Server 2008)
Die verwendeten bintec Access Points (z. B. bintec W2003n) werden mit dem DHCP-Client Mechanismus in das Netzwerk eingebunden. In diesem Workshop arbeitet der Windows-Server als DHCP-Server und verwaltet unter anderem die IP-Adressen der Access
Points. Um zu gewährleisten, dass die Access Points immer unter der selben IP-Adresse
erreichbar sind und stets die gleiche IP-Adresse für die RADIUS-Authentifzierung verwenden, werden deren IP-Adressen am DHCP- Server reserviert.
Bereits vergebene IP-Adressen werden im Menü Adressleases des Windows 2008 Server-Managers gelistet. Mit Hilfe des Kontext-Menüs können die Adressen der Access
Points als Reservierungen hinzugefügt werden.
(1)
Workshops (Auszug)
Gehen Sie zu Server-Manager -> DHCP-Server -> Adressleases.
131
bintec elmeg GmbH
WLAN Access Points ohne aktive Addressleases (keine IP-Adresse zugewiesen) können
über das Kontext-Menü Neue Reservierung angelegt werden. Hierzu muss die Ethernet
MAC-Adresse des jeweiligen Access Points hinterlegt werden.
(1)
Gehen Sie zu Server-Manager -> DHCP-Server -> Reservierungen.
Gehen Sie folgendermaßen vor, um die Informationen für einen reservierten Client anzugeben:
132
(1)
Als Reservierungsname geben Sie z. B. .$E" ein.
(2)
Geben Sie die IP-Adresse z. B. < ein.
Workshops (Auszug)
bintec elmeg GmbH
(3)
Bei MAC-Adresse geben Sie z. B. )*
)+)*
)'
) ein.
5.2.3 Installation der Netzwerkrichtlinien- und Zugriffsdienste
(NPS / RADIUS-Server)
Mit der Installation der $7@"(" E"++ J$K wird
der RADIUS-Server des Windows 2008 Servers installiert. Hierzu wird die Funktion Rollen
Hinzufügen des Server-Managers verwendet. Gehen Sie folgendermaßen vor:
Workshops (Auszug)
(1)
Gehen Sie zu Assistent "Rollen hinzufügen" -> Serverrollen.
(2)
Wählen Sie die Option $7@"(" (3)
Gehen Sie zu Rollendienste.
Aktivieren Sie die Option $7@"(""#".
E"++ aus.
133
134
bintec elmeg GmbH
(4)
Klicken Sie auf Installieren. Die Rollen werden installiert.
(5)
Unter Ergebnisse sehen Sie, ob die Rollen erfolgreich installiert wurden.
Workshops (Auszug)
bintec elmeg GmbH
5.2.4 Konfiguration der Netzwerkrichtlinien- und Zugriffsdienste (NPS / RADIUS-Server)
Der RADIUS-Server für die 802.1x WLAN-Authentifzierung wird im Menü Network Policy
Servers (NPS) konfiguriert.
(1)
Workshops (Auszug)
Gehen Sie zu Server-Manager -> Netzwerkrichtlinien- und Zugriffsdienste (NPS) > NPS (Lokal).
135
136
bintec elmeg GmbH
(2)
Wählen Sie ein Konfigurationsszenario aus.
(3)
Klicken Sie auf den Link 802.1X konfigurieren, um den Szenario-Assistenten zu öffnen.
(4)
Im ersten Schritt wird der Typ der 802.1x-Verbindungen " 0"*#"
' gewählt und ein Name vergeben, z. B. .$A*.
(5)
Im zweiten Schritt des Assistenten werden alle Access Points als RADIUS-Client konfiguriert. Die Access Points senden bei der Anmeldung eines WLAN-Clients Authentifizierungsanfragen an den RADIUS-Server (Netzwerkrichtlinien- und Zugriffsdienste,
NPS). Beim Anlegen der RADIUS-Clients (Access Points) wird deren IP-Adresse und
ein Passwort zum Schutz der RADIUS-Authentifizierung vergeben.
Workshops (Auszug)
bintec elmeg GmbH
(6)
Workshops (Auszug)
Anschließend wird der EAP-Typ (Extensible Authentication Protocol) zur Authentifizierung der WLAN-Clients gewählt. In diesem Workshop wird 55 verwendet. Im
Konfigurationsdialog der EAP-PEAP Option muss das Serverzertifkat zur Identifikation
gegenüber dem WLAN-Client gewählt werden.
137
(7)
138
bintec elmeg GmbH
Im nächsten Schritt kann der WLAN-Zugriff auf einzelne Benutzergruppen beschränkt
werden. In diesem Workshop wird den Mitgliedern der Benutzergruppe WLAN der Zugriff ermöglicht.
Workshops (Auszug)
bintec elmeg GmbH
(8)
Workshops (Auszug)
Zum Abschluss des Assistenten wird eine Zusammenfassung angezeigt und die Konfiguration des Network Policy Servers (NPS) erstellt.
139
bintec elmeg GmbH
5.3 RADIUS-Konfiguration des Access Points
Bei der Anmeldung eines WLAN-Clients leitet der Access Point die Authentifizierungsanfrage in Form einer RADIUS-Anfrage an den RADIUS-Server (Windows 2008 NPS) weiter.
Der RADIUS-Server wird am bintec Access Point mit Hilfe des GUI konfiguriert.
(1)
140
Workshops (Auszug)
bintec elmeg GmbH
Gehen Sie folgendermaßen vor, um den RADIUS-Server zu konfigurieren:
(1)
Um den Zugang zu einem WLAN-Netzwerk zu regeln, ist es notwendig, den Authentifizierungstyp auf den Wert .$ J
BK zu setzen.
(2)
Tragen Sie die IP-Adresse des Windows 2008 Servers ein, z. B. .
(3)
Die Kommunikation mit dem RADIUS-Server wird mit einem RADIUS-Passwort geschützt. Bitte verwenden Sie hier das am RADIUS-Server hinterlegte Kennwort.
(4)
Bestätigen Sie Ihre Angaben mit OK.
5.4 WLAN-Konfiguration des Access Points
Die Einstellungen des WLAN-Funkmoduls können nach Bedarf gesetzt werden. In unserem Beispiel wird das 2.4 GHz Band mit automatischer Kanalwahl verwendet.
(1)
Workshops (Auszug)
Gehen Sie zu Wireless LAN -> WLAN -> Einstellungen Funkmodul ->
.
141
bintec elmeg GmbH
Gehen Sie folgendermaßen vor, um den Access Point zu konfigurieren:
(1)
Wählen Sie den Betriebsmodus %" .( /*" aus.
(2)
Als Frequenzband wählen Sie &;7 -S " aus.
(3)
Den Kanal setzen Sie auf .
(4)
Belassen Sie die restlichen Einstellungen und bestätigen Sie mit OK.
Mit der Konfiguration der Drahtlosnetzwerke (VSS) werden die Authentifizierungsanfragen
eines WLAN-Clients an den konfigurierten RADIUS-Server weitergeleitet.
(1)
142
Gehen Sie zu Wireless LAN -> WLAN -> Drahtlosnetzwerke (VSS) -> Neu.
Workshops (Auszug)
bintec elmeg GmbH
Gehen Sie folgendermaßen vor, um die Drahtlosnetzwerke zu konfigurieren:
(1)
Geben Sie den Netzwerknamen (SSID) ein, z. B. @"(!.
(2)
Als Sicherheitsmodus muss der Sicherheitsmodus 5"!"
verwendet werden.
(3)
Als WPA-Modus wählen Sie (4)
Bei WPA Cipher wählen Sie die Verschlüsselung 5 (5)
Bei WPA2 Cipher wählen Sie die Verschlüsselung 5 (6)
Belassen SIe die restlichen Einstellungen und bestätigen Sie mit OK.
aus.
,- aus.
,- aus.
5.5 Anbindung eines Windows 7 WLAN-Clients
Workshops (Auszug)
143
bintec elmeg GmbH
5.5.1 Importieren des Zertifikats der Zertifizierungsstelle (CA
Zertifikat)
Bei der gewählten Authentifizierungsmethode B 55 wird zur Übertragung
der Logininformationen eine gesicherte Transportverbindung hergestellt. Um sicherzustellen, dass dieser Tunnel zur richtigen Gegenstelle aufgebaut wird, identifiziert der WLAN-Client den Server mit Hilfe des ausgestellten Zertifikats. Deshalb muss das Zertifikat der Zertifizierungsstelle auf jedem WLAN-Client installiert werden.
In diesem Workshop wird die Web-Schnittstelle des Zertifkatsservers zur Installation des
Zertifizierungstellenzertifikats (CA Zertifikat) verwendet. Hierzu wird das anzubindende Notebook zunächst per Ethernet mit dem Netzwerk des Windows-Servers verbunden. Die
Webschnittstelle des Zertifikatsservers ist über folgende URL erreichbar
"http://SERVER_IP_Adresse/certsrv/" (z. B. http://192.168.1.10/certsrv/).
Mit der Option Download eines Zertifizierungsstellenzertifikats kann das Root-Zertifikat
auf das Notebook (WLAN-Client) übertragen werden.
144
Workshops (Auszug)
bintec elmeg GmbH
Anschließend wird das Zertifikat installiert.
Workshops (Auszug)
145
bintec elmeg GmbH
Wählen Sie den Speicherort des Zertifikats manuell aus.
146
Workshops (Auszug)
bintec elmeg GmbH
5.5.2 Konfiguration des Windows 7 WLAN Clients
Die WLAN-Konfiguration wird am Beispiel eines Windows 7 Clients gezeigt. Dabei wird mit
Hilfe des Dialogs Drahtlosnetzwerke Verwalten eine neue Drahtlosverbindung hinzugefügt.
Workshops (Auszug)
147
bintec elmeg GmbH
Der Netzwerkname sowie der Sicherheitstyp und der Verschlüsselungstyp werden im
Assistenten manuell hinterlegt.
148
Workshops (Auszug)
bintec elmeg GmbH
Nachdem die neue Verbindung mit Hilfe des Assistenten hinzugefügt wurde, müssen die
Verbindungseinstellungen weiter angepasst werden.
Workshops (Auszug)
149
bintec elmeg GmbH
Dabei wird in den Einstellungen der Sicherheitsmethode &F7 5J5K das
bereits installierte Zertifikat der Zertifizierungsstelle als vertrauenswürdiges Zertifikat ausgewählt. Mit diesem Konfigurationsschritt wird der Windows 2008 RADIUS-Server als Vertrauenswürdige Gegenstelle definiert.
150
Workshops (Auszug)
bintec elmeg GmbH
Beim Aufbau der WLAN-Verbindung wird mit Hilfe des erstellten Zertifikates eine gesicherte Verbindung zwischen dem WLAN-Client und dem Windows 2008-Server hergestellt.
Über diese Verbindung werden die Windows Anmeldedaten (Benutzer- oder Computerauthentifzierung) zum Microsoft Network Policy Server (RADIUS-Server) übertragen.
Workshops (Auszug)
151
152
bintec elmeg GmbH
Workshops (Auszug)
bintec elmeg GmbH
Konfiguration der Active Directory-Zertifikatsdienste
Feld
Menü
Wert
Active DirectoryZertifikadtsdienste
Assistent "Rollen hinzufügen" ->
Serverrollen
Aktivieren
Zertifizierungsstellen-We- Assistent "Rollen hinzufügen" ->
bregistrierung
Rollendienste
Aktivieren
Unternehmen
Installationstyp
Aktivieren
Stammzertifizierungsstelle
Zertifizierungsstellentyp
Aktivieren
Neuen privaten Schlüssel erstellen
Privater Schlüssel
Aktivieren
Schlüsselzeichenlänge
Kryptografie
Hashalgorithmus
Kryptografie
;
Allgemeiner Name der
Zertifizierungsstelle
z. B. "(!.$
Suffix des definierten
Namen
z. B.
0Q@*40Q'
40Q
Gültigkeitsdauer
Gültigkeitsdauer
< R*"
Reservierung der Access Point IP-Adressen am DHCP-Server
Workshops (Auszug)
Feld
Menü
Wert
Adressleases
Server-Manager -> DHCP-Server -> E" H"#"
Adressleases
7+F
Reservierungsname
Server-Manager -> DHCP-Server -> z. B. .$
Adressleases
E"
IP-Adresse
Server-Manager -> DHCP-Server -> z. B. <
Adressleases
MAC-Adresse
Server-Manager -> DHCP-Server -> z. B.
Adressleases
)*
)+)*
)')
153
bintec elmeg GmbH
Installation der Netzwerkrichtlinien- und Zugriffsdienste
Feld
Menü
Wert
Netzwerkrichtlinien- und Assistent "Rollen hinzufügen" ->
Zugriffsdienste
Serverrollen
Aktivieren
Netzwerkrichtlinienserver
Aktivieren
Rollendienste
Konfiguration der Netzwerkrichtlinien- und Zugriffsdienste
Feld
Menü
Wert
802.1X konfigurieren
Server-Manager -> Netzwerkrichtli- Starten
nien- und Zugriffsdienste (NPS) ->
NPS (Lokal)
Sichere Drahtlosverbindungen
Server-Manager -> Netzwerkrichtli- Aktivieren
nien- und Zugriffsdienste (NPS) ->
NPS (Lokal)
Name
Server-Manager -> Netzwerkrichtli- z. B.
nien- und Zugriffsdienste (NPS) -> .$A*
NPS (Lokal)
Anzeigename
802.1X konfigurieren ->
802.1X-Switches angeben
z. B.
.$AAE
"A
Adresse (IP oder DNS)
802.1X konfigurieren ->
z. B. <
Gemeinsamer geheimer 802.1X konfigurieren ->
Schlüssel
z. B. !""
Typ
/"
+)&F7
5 J5K
802.1X konfigurieren -> Authentifizierungsmethode konfigurieren
Zertifikat ausgestellt für: 802.1X konfigurieren -> Authentifizierungsmethode konfigurieren
"
#"@*'
WLAN\WLAN_users
Hinzufügen
802.1X konfigurieren -> Benutzergruppen angeben
Radius Konfiguration des Access Points
154
Feld
Menü
Wert
Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu
WLAN (802.1x)
Server-IP-Adresse
Systemverwaltung -> Remote Au-
z. B. Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
thentifizierung -> RADIUS -> Neu
RADIUS-Passwort
z. B. !""
WLAN-Konfiguration des Access Points
Feld
Menü
Wert
Betriebsmodus
Wireless LAN -> WLAN -> Einstellungen Funkmodul ->
%" .( /*"
Frequenzband
&;7 -S "
Kanal
Netzwerkname (SSID)
Wireless LAN -> WLAN -> Drahtlos- z. B. @"(!
Sicherheitsmodus
Wireless LAN -> WLAN -> Drahtlos- 5"!"
WPA-Modus
Wireless LAN -> WLAN -> Drahtlos- netzwerke (VSS) -> Neu
WPA Cipher
Wireless LAN -> WLAN -> Drahtlos- 5 netzwerke (VSS) -> Neu
,-
WPA2 Cipher
Wireless LAN -> WLAN -> Drahtlos- 5 netzwerke (VSS) -> Neu
,-
Anbindung eines Windows 7 WLAN-Clients
Feld
Menü
Wert
Download eines Zertifi- Explorer 192.168.1.10
zierungsstellenzertifikats
Aktivieren
Zertifizierungsstellenzer- Explorer 192.168.1.10
tifikat
(
J"(!.$K
Zertifikat
Explorer 192.168.1.10
Zertifikat installieren
Zertifikatspeicher
Explorer 192.168.1.10
Alle Zertifikate in folgendem Speicher speichern
Konfiguration des Windows 7 WLAN-Clients
Workshops (Auszug)
Feld
Menü
Wert
Drahtlosverbindung
Drahtlosnetzwerke verwalten
Hinzufügen
Netzwerkname
z. B. @"(!
155
Feld
Menü
Wert
Sicherheitstyp
5"!"
Verschlüsselungstyp
5
Verbindungseinstellungen ändern
Aktivieren
Authentifizierungsmetho- Drahtlosnetzwerke verwalten
de auswählen
156
bintec elmeg GmbH
Gesichertes Kennwort
(EAP-MSCHAP v2)
Workshops (Auszug)
6 WLAN - Einführung in den bintec-WLAN-Controller
bintec elmeg GmbH
Kapitel 6 WLAN - Einführung in den bintecWLAN-Controller
6.1 Überblick über die Funktionen
Der bintec WLAN Controller bietet Ihnen folgende Vorteile für das Management Ihrer
WLAN-Infrastruktur:
• Assistenten-geführte Schnellinstallation in fünf Schritten
• Automatische Erkennung und Installation fabrikneuer Geräte
• VLAN- und Multi-SSID-Unterstützung
• Integrierter 802.11abgn-Support
• Optimiertes Roaming-Verhalten für VoWLAN
• Zentrale Verwaltung aller Access Points:
• Einfache Änderung von Einstellungen auf allen APs
• Eine Änderung z. B. an den SSIDs wirkt sich immer sofort auf alle APs aus.
• Access Points, die an öffentlich zugänglichen Stellen installiert sind, stellen nicht länger
ein Sicherheitsrisiko dar:
• Die Sicherung der Netzwerkschlüssel und Passwörter erfolgt nicht auf den APs. Sie
können deshalb nicht durch einen Diebstahl der APs in unbefugte Hände gelangen.
• Jede direkte AP-(Konfigurations)-Verbindung wird durch den WLAN-Controller verworfen.
• Automatisiertes Frequenzmanagement:
• Integrierte Kanalplanung, um eine überlappungsfreie Frequenzvergabe zu erreichen
• Minimierung der Interferenzen durch intelligente Frequenzvergabe
• Berücksichtigung von Access Points, die nicht zum eigenen Netz gehören (Neighbor
AP)
• Überwachung:
• des Access-Point-Betriebs
• der Client-Aktivität
• Erkennung und Anzeige von unerwünschten Access Points (Neighbor Access Points)
• E-Mail-Benachrichtigung bei Ausfall eines verwalteten Access Points
• Programm-gesteuerte Aktionen (z. B. Ausschalten des WLANs während der Nacht)
Workshops (Auszug)
157
bintec elmeg GmbH
• Konfigurationsmanagement: Die Konfiguration wird zentral gespeichert und wird automatisch an die APs neu verteilt, z. B. im Fall eines Stromausfalls
• Zentralisierte Software-Updates
6.2 Projektplanung
6.2.1 Anforderungen des Kunden ermitteln
Am Anfang steht der Kunde - und die Frage, was er wirklich benötigt. In den meisten Fällen
wünscht sich der Kunde ein WLAN-Netz im 2,4GHz-Frequenzbereich, damit sich Mitarbeiter und Gäste in den Büros und in den Besprechungsräumen mit dem Firmennetz und mit
dem Internet drahtlos verbinden können. Zu diesem Zeitpunkt muss auch die Frage beantwortet werden, ob eine professionelle, von einem Fachmann durchgeführte Funkausleuchtung notwendig ist. Aufgrund der hohen Kosten für eine solche Analyse wird man in den
meisten Fällen darauf verzichten und stattdessen die Access Points (AP) unter Berücksichtigung der räumlichen Gegebenheiten und der Kundenwünsche positionieren.
Bei komplexen Gebäuden oder dann, wenn der Kunde ein Hochleistungsnetz mit lückenloser Abdeckung wünscht, das darüber hinaus auch für Voice over WLAN (VoWLAN) geeignet sein soll, sollte man auf eine Standortmessung aber keinesfalls verzichten.
6.2.2 Empfohlene Hardware-Installation vor Ort
Im Anschluss ist der Elektriker gefragt, die Access Points in den Gängen und Büros zu
montieren. Falls keine Funkausleuchtung durchgeführt wurde, sollten die APs im Abstand
von 15 bis 25 Metern montiert werden - bei Einhaltung dieser Faustregel befindet man sich
zumeist auf der sicheren Seite.
Alle APs sollten über ein Ethernet-Kabel mit einem PoE-fähigen Switch verbunden werden.
Die Stromversorgung über das Ethernetkabel (PoE) erspart die Installation einer
230V-Steckdose und vereinfacht die Montage erheblich.
158
Workshops (Auszug)
bintec elmeg GmbH
Abb. 90: WLAN-Infrastruktur
Abschließend sollte der Monteur die Standorte und die MAC-Adressen der Geräte notieren,
damit den Geräten später bei der Konfiguration Namen bzw. Standorte zugewiesen werden
können.
6.3 Systemanforderungen
6.3.1 WLAN-Controller-Hardware
Folgende Geräte, deren Firmwareversion 9.1.8 oder höher ist, können als WLAN-Controller
verwendet werden (unterstützte Geräte, deren Firmwareversion älter als 9.1.8 ist, müssen
vor der Installation aktualisiert werden):
• bintec W2003n: Single-Radio-Indoor-Access-Point
• bintec WI1040n: Single-Radio-Indoor-Industrial-Access-Point (IP 40)
• bintec WI2040n: Dual-Radio-Indoor-Industrial-Access-Point (IP 40)
• bintec WI1065n: Single-Radio-Outdoor-Industrial-Access-Point (IP 65)
• bintec WI2065n: Dual-Radio-Outdoor-Industrial-Access-Point (IP 65)
• bintec R1202: Medium Router, VPN-Gateway
• bintec R3002: Medium Router, VPN-Gateway mit ADSL-2+-Modem
• bintec R3502: Medium Router, VPN-Gateway mit VDSL-2-Modem (Minimal benötigte
Firmwareversion: 9.8.1)
• bintec R3802: Medium Router, VPN-Gateway mit SHDSL.bis-Modem
• bintec R4402: Medium Router, VPN-Gateway mit PRI-Interface
Workshops (Auszug)
159
bintec elmeg GmbH
• bintec RXL12100: Central Router, Hochleistungs-Multiplex-VPN-Gateway (Minimal benötigte Firmwareversion: 9.8.1)
• bintec RXL12500: Central Router, Hochleistungs-Central-Site-VPN-Gateway (Minimal
benötigte Firmwareversion: 9.8.1)
Für kleine Installationen mit bis zu sechs Access Points wird keine dedizierte WLANController-Hardware benötigt und einer der Accsess-Points, der als Master-Access-Point
betrieben wird, kann die Funktion des WLAN-Controllers übernehmen. Falls ein WLANNetzwerk mit mehr als sechs Access Points gewünscht wird, ist mindestens ein bintec
R1202 als WLAN-Controller-Hardware notwendig.
6.3.2 Access-Point-Hardware
Der WLAN-Controller kann die folgenden WLAN-Geräte verwalten. Diese benötigen mindestens die Firmwareversion 9.8.1 (Geräte, deren Firmwareversion älter als 9.8.1 ist, müssen vor der Installation aktualisiert werden):
• bintec W2003n: Single-Radio-Indoor-Access-Point
• bintec WI1040n: Single-Radio-Indoor-Industrial-Access-Point (IP 40)
• bintec WI2040n: Dual-Radio-Indoor-Industrial-Access-Point (IP 40)
• bintec WI1065n: Single-Radio-Outdoor-Industrial-Access-Point (IP 65)
• bintec WI2065n: Dual-Radio-Outdoor-Industrial-Access-Point (IP 65)
6.3.3 WLAN-Controller-Lizenzen
Bei jedem unterstützten Gerät ist der WLAN-Controller zu Testzwecken in der Software bereits freigeschaltet, allerdings kann lediglich ein einziger Access Point verwaltet werden.
Für den Produktivbetrieb muss auf dem Controller eine WLAN-Controller-Lizenz installiert
werden. Mit jeder Lizenz lassen sich sechs Access Points verwalten. Auf einem Access
Point (z. B. W2003n) lässt sich eine WLAN-Controller-Lizenz installieren, damit können inklusive des Access Points auf dem der Controller läuft, sechs Access Points verwaltet werden. Auf einem Medium Router (z. B. R1202) lassen sich bis zu zwölf WLAN-Controller-Lizenzen installieren und damit bis zu 72 Access Points verwalten. Auf Central Routern
(z. B. RXL12100) können bis zu 25 Lizenzen installiert werden, damit können bis zu maximal 150 Access Points administriert werden.
In der folgenden Tabelle finden Sie die minimal benötigte WLAN-Controller-Hardware sowie die entsprechenden, notwendigen Lizenzen in Abhängigkeit der AP-Anzahl:
160
Erforderlich
bis zu 6 APs bis zu 12
APs
bis zu 18
APs
bis zu 72
APs
bis zu 150
APs
Minimal-be-
Keine, läuft
R1202
R1202
RXL12100
R1202
Workshops (Auszug)
bintec elmeg GmbH
Erforderlich
bis zu 6 APs bis zu 12
APs
nötigte ControllerHardware
auf dem Master-AP
WLANController-Lizenzen
1x
2x
bis zu 18
APs
bis zu 72
APs
bis zu 150
APs
3x
6x
25x
6.4 Netzwerk-Konfiguration
6.4.1 Netzwerkeinstellungen des WLAN-Controllers
Bevor Sie den WLAN-Controller mit dem Netzwerk, das aus (noch immer unkonfigurierten)
Access Points besteht, verbinden können, benötigt er gemäß der Netzwerkinstallation in ihrem lokalem Netzwerk eine korrekte IP-Adresse sowie Netzwerkeinstellungen, die sich von
den werksseitigen Standardeinstellungen unterscheiden. Andernfalls wird der nächste
Schritt scheitern.
6.4.2 DHCP-Server
6.4.2.1 Interner DHCP-Server
Falls sich noch kein anderer aktiver DHCP-Server in ihrem Netzwerk befindet und der
WLAN-Controller auch als DHCP-Server dienen soll, können Sie direkt zu WLAN-Installation mithilfe des Assistenten des WLAN-Controllers auf Seite 162 wechseln und die
WLAN-Installation beginnen, da der Assistent des WLAN-Controllers alle benötigten Einstellungen für den DHCP-Server bereits richtig konfiguriert.
6.4.2.2 Externer DHCP-Server
Damit die Access Points mithilfe des WLAN-Controllers verwaltet werden können, muss ihnen die IP-Adresse des WLAN-Controllers bekannt sein. Neben den benötigten Grundeinstellungen für das Netzwerk, wie den IP-Adressen der Geräte, dem Standard-Gateway
oder dem Name-Server, teilt der DHCP-Server über die Option 138 des DHCP-Protokolls
dem Access Point die IP-Adresse des WLAN-Controllers mit. Dazu muss diese Option,
auch als CAPWAP-Access-Controller bekannt, beim DHCP-Server aktiviert und dort die IPAdresse des WLAN-Controllers konfiguriert werden.
• Ein anderer bintec-Router arbeitet als DHCP-Server:
Workshops (Auszug)
161
bintec elmeg GmbH
Die notwendigen Konfigurationsschritte sind im Anhang erläutert.
• Ein Microsoft Server 2003 oder Server 2008 arbeitet als DHCP-Server:
• Ein Linux-Server arbeitet als DHCP-Server:
• Ein Router eines Drittanbieters arbeitet als DHCP-Server:
Bitte nehmen Sie die Konfiguration der DHCP-Option 138 anhand der Kundendokumentation des Routers vor.
6.4.2.3 Kein DHCP-Server - APs mit statischen IP-Adressen
Bisweilen ist es notwendig, einen WLAN-Controller mit statischen IP-Adressen und Netzwerkeinstellungen zu betreiben. Dazu muss auch vorher jedem AP manuell eine IPAdresse zugeordnet werden. Die benötigten Konfigurationsschritte für alle Access Points
werden im Anhang auf Seite 169 beschrieben.
6.5 WLAN-Installation mithilfe des Assistenten des
WLAN-Controllers
Der Assistent des WLAN-Controllers führt Sie in fünf Schritten durch die Konfiguration und
Installation Ihres WLAN-Netzwerkes.
162
Workshops (Auszug)
bintec elmeg GmbH
6.5.1 Schritt 1 im Assistenten
Abb. 91: Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard
Hier legen Sie einige grundlegende Eigenschaften des WLAN-Controllers fest:
Workshops (Auszug)
(1)
Region: Die Region, in der sich Ihr WLAN-Netzwerk befindet. Diese Einstellung passt
Ihr WLAN-Netzwerk an die WLAN-Bestimmungen (z B. welche Frequenzen erlaubt
sind) in Ihrem Gebiet an.
(2)
Schnittstelle: Legt fest, über welche Schnittstelle der Controller mit den APs kommuniziert. (Die IP-Adresse dieser Schnittstelle muss in der CAPWAP-Option 138 des DHCP-Servers eingetragen sein.)
(3)
DHCP-Server: Legt fest, ob der " oder ein B"" DHCP-Server für die
Access Points verwendet wird. Bei Verwendung des internen DHCP-Servers werden
alle Einstellungen des DHCP-Servers, z. B. die Konfiguration der Option 138, automatisch durchgeführt. Hinweise zur Konfiguration eines externen DHCP-Servers finden
Sie im Anhang auf Seite 169.
(4)
IP-Adressbereich: Legt den IP-Adressbereich für den internen DHCP-Server fest.
163
bintec elmeg GmbH
Hinweis
Bevor Sie fortfahren, stellen Sie bitte sicher, dass ein eventuell vorhandener externer
DHCP-Server betriebsbereit ist und dass die DHCP-Option 138 aktiv ist. Falls ein externer DHCP-Server schon zum Zeitpunkt der Installation der APs aktiv war, aber die
DHCP-Option 138 erst später aktiviert wurde, kann es sein, dass der WLAN-Controller
die APs im Netz nicht anzeigt. Der Grund dafür ist, dass die APs bereits eine IPAdresse bezogen, aber noch keine IP-Adresse des WLAN-Controllers erhalten haben.
Deshalb muss entweder der Ablauf der Lease-Time des DHCP-Servers abgewartet
werden oder ein Reset bei den APs durchgeführt werden.
Hier wird festgelegt, mit welchem Funkprofil das WLAN-Netzwerk arbeiten soll. Standardmäßig sind ein 2,4-GHz- und ein 5-GHz-Funkprofil vorhanden. Weitere Funkprofile lassen
sich über das Menü Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile anlegen.
164
Workshops (Auszug)
bintec elmeg GmbH
Hier wird festgelegt, welche SSIDs / VSSs im WLAN-Netz vorhanden sein sollen. Standardmäßig ist bereits ein VSS vorhanden, dieses kann über das Werkzeuglogo angepasst
werden. Über Hinzufügen können bis zu sieben weitere VSSs angelegt werden.
In diesem Beispiel legen wir ein weiteres VSS für einen Gastzugang an.
Workshops (Auszug)
165
bintec elmeg GmbH
Für das neue Wireless-Network-Profil (VSS) wird ein Netzwerkname vergeben und als Sicherheitsmodus wird ausgewählt. Da in diesem Beispiel der Zugang ins Intranet des Unternehmens nicht erlaubt sein soll, wird ein VLAN für dieses VSS (im Beispiel
:.$-0 ) definiert. Daraufhin werden auf Ethernet-Ebene alle Daten aus diesem Netzwerk mit VLAN 2 markiert.
Hinweis
VLAN-ID 0 und 1 sind für die System-Verwaltung reserviert und können deshalb nicht
für VSSs verwendet werden.
Durch die Auszeichnung mit Tags haben Sie die Möglichkeit die Gästedaten von den anderen zu trennen und Ihre Netzwerk-Switches oder Internet-Access-Router so einzurichten,
dass z. B. alle Daten und Benutzer aus VLAN ID 2 Zugriff auf das Internet haben, aber
nicht auf das Intranet des Unternehmens (an dieser Stelle verweisen wir Sie auf das Handbuch Ihres Switches oder Routers, um eine Trennung der Netze mithilfe von VLAN zu konfigurieren).
Nachdem Sie die VSS-Konfiguration mit OK verlassen haben, befinden Sie sich wieder in
der VSS-Übersichtsseite. Bevor Sie mit Schritt 4 fortfahren, vergewissern Sie sich bitte,
dass alle verwalteten Access Points mit dem LAN verbunden und aktiviert sind.
166
Workshops (Auszug)
bintec elmeg GmbH
Hier werden nun alle gefundenen Access Points angezeigt. Standardmäßig sind allen Access Points alle definierten Wireless-Network-Profile (VSS) und das zuvor ausgewählte
Funkprofil zugeordnet. Mit einem Klick auf das Werkzeugsymbol können Sie nun diese
Standardeinstellungen anpassen und außerdem jedem Gerät eine individuelle Standortbeschreibung geben.
Hinweis
In manchen Fällen werden nicht alle erwarteten APs angezeigt. Der WLAN-Controller
konnte diese dann nicht finden. Hier können Sie Zurück verwenden, um die DisplayAnzeige zu aktualisieren.
6.5.5 WLAN-Initiierung der Access Points starten
Nachdem Sie von jedem Access Point, den Sie verwenden wollen, die zugehörige CheckBox in der Manage-Spalte ausgewählt haben, können Sie die Initiierung des WLANControllers sowie die automatische Verwaltung der Frequenzen mit einem Klick auf Start
anstoßen. Die Anzeige wechselt nun zu einer Statusanzeige, die aktuelle Aktivitäten des
WLAN-Controllers anzeigt.
Workshops (Auszug)
167
bintec elmeg GmbH
Die Konfiguration wird jetzt der Reihe nach an alle Access Points übertragen. Sobald für alle Access Points der optimale Funkkanal gefunden wurde, ist die Konfiguration der Access
Points abgeschlossen und sie erhalten den Status /** . Bei der Vergabe der Funkkanäle achtet der WLAN-Controller darauf, dass ausschließlich überlappungsfreie Kanäle
(in der Voreinstellung 1, 6, 11) vergeben werden und dass die Interferenzen zwischen den
einzelnen Access Points so gering wie möglich sind.
Verwaltete Access Points werden vom WLAN-Controller gegen jede Art eines externen
Konfigurationszugriffs gesperrt. Ein Access Point kann erst dann wieder lokal konfiguriert
werden, nachdem er vom WLAN-Controller freigegeben wurde.
Sobald alle Access Points verwaltet sind, ändert sich die Display-Anzeige noch einmal und
zeigt das Ergebnis an.
168
Workshops (Auszug)
bintec elmeg GmbH
Die Konfiguration der Access Points sollte nun auf dem WLAN-Controller durch einen Klick
auf die Schaltfläche Konfiguration speichern (links oben) bootfest gesichert werden. Die
Access Points halten ihre eigenen Einstellungen nur im flüchtigen Speicher. Im Fall eines
Stromausfalls erhalten die Acess-Points automatisch nach dem Wiederherstellen der
Stromversorgung vom WLAN-Controller ihre Einstellungen. Das Halten der Konfiguration
ausschließlich im flüchtigen Speicher der Access Points hat entscheidende Sicherheitsvorteile, da keine sensiblen Daten, wie die WLAN-Schlüssel, durch Diebstahl eines öffentlich
zugänglichen Access Points kompromittiert werden können.
Nach einem Stromausfall werden alle Access Points gleichzeitig vom WLAN-Controller neu
gestartet. Dabei wird das Funkmanagement nicht erneut gestartet, sondern der zuvor benutzte Kanal verwendet. Die Wiederherstellung der WLAN-Infrastruktur erfolgt somit viel
schneller als bei einer Erstinstallation.
6.6 Anhang
Workshops (Auszug)
169
bintec elmeg GmbH
6.6.1 E-Mail-Benachrichtigung bei Ausfall eines Access Points
Seit Release 7.10.1 gibt es die Möglichkeit, sich eine E-Mail vom WLAN-Controller schicken zu lassen, sobald ein verwalteter Access Point ausfällt oder nicht mehr erreichbar ist.
Besonders in größeren, komplexen WLAN-Infrastrukturen ist dies sehr hilfreich, da der
Ausfall eines einzelnen Access Point nicht sofort auffällt. Die dazu notwendige Konfiguration finden Sie im aktuellen Release im Menü Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger (Die Benachrichtigungseinstellungen
werden hier nicht beschrieben).
Abb. 98: Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungs-
empfänger
6.6.2 Konfiguration eines DHCP-Servers auf einem anderen
bintec-Router
Benötigt wird ein bintec-Router mit dem Software-Release 9.1.8 Patch 4 oder höher.
Zunächst müssen Sie im Menü Lokale Dienste -> DHCP-Server -> IPPool-Konfiguration -> Neu einen IP-Adresspool definieren.
170
Workshops (Auszug)
bintec elmeg GmbH
Abb. 99: Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu
Geben Sie bei IP-Poolname eine beliebige Beschreibung, z. B. , ein.
Bei IP-Adressbereich geben Sie die erste und die letzte IP-Adresse des IP-Adress-Pools
ein, z. B. - <
.
Im Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu können Sie
nun die weitere Konfiguration vornehmen.
Abb. 100: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu
Wählen Sie die Schnittstelle aus, über welche die in IP-Adressbereich definierten Adressen an anfragende DHCP-Clients vergeben werden.
Wählen Sie einen gültigen IP-Pool aus.
Workshops (Auszug)
171
bintec elmeg GmbH
Unter Erweiterte Einstellungen im Menü DHCP-Optionen fügen Sie mit Hinzufügen die
Option "" hinzu und im Feld Wert tragen Sie die IP-Adresse des
WLAN-Controllers ein.
6.6.3 Konfiguration eines DHCP-Servers auf Windows Server
2003 / 2008
Zunächst sollten Sie Ihren Windows-DHCP-Serverdienst grundlegend einrichten, also den
DHCP-IP-Adressbereich definieren, Standardoptionen wie DNS-Server und Standard-Gateway entsprechend der eigenen Netzwerkinfrastruktur konfigurieren.
6.6.3.1 1. Schritt
Im Verwaltungsfenster des DHCP-Dienstes (zu erreichen über die Systemsteuerung und
dort unter Verwaltung) führen Sie einen Rechtsklick auf die bestehende DHCPDienstinstanz aus und klicken im aufklappenden Kontextmenü auf Vordefinierte Optionen
einstellen (Der Name der Dienstinstanz setzt sich zusammen aus dem Computernamen
sowie in eckigen Klammern der IP-Adresse, unter der der DHCP-Dienst erreichbar ist).
172
Workshops (Auszug)
bintec elmeg GmbH
6.6.3.2 2. Schritt
In dem sich nun öffnenden Fenster auf Hinzufügen klicken, um die standardmäßig nicht
vordefinierte CAPWAP-Option hinzuzufügen.
Workshops (Auszug)
173
bintec elmeg GmbH
6.6.3.3 3. Schritt
Im neuen Dialogfenster Optionstyp wird jetzt die CAPWAP-Option definiert (nicht aktiviert). Name und Beschreibung sind dabei frei wählbar, sollten aber eingängig benannt
werden. Der Datentyp muss auf - " eingestellt und der Haken vor Array muss
gesetzt sein. Ebenso muss der Code auf 2 gesetzt sein. Sollte der Code bereits für eine andere, selbst definierte DHCP-Option belegt sein, die nicht der CAPWAP-DHCP-Option entspricht, so muss dieser zuvor gelöscht werden. Verlassen Sie den Dialog
und das vorherige Fenster anschließend mit OK.
174
Workshops (Auszug)
bintec elmeg GmbH
6.6.3.4 4. Schritt
Führen Sie einen Rechtsklick im bereits vorkonfigurierten IP-Adressbereich des DHCPDienstes für die künftigen Slave-Access-Points auf Bereichsoptionen aus und wählen Sie
im Kontextmenü Optionen konfigurieren aus.
Workshops (Auszug)
175
bintec elmeg GmbH
6.6.3.5 5. Schritt
Im nun aufklappenden Dialogfenster in der Liste der Zur Verfügung stehenden Optionen
die Option 2 auswählen, im Eingabefeld IP-Adresse die IP-Adresse des
WLAN-Controllers eintragen und dann rechts daneben auf Hinzufügen klicken. Theoretisch könnte man hier mehrere WLAN-Controller-IP-Adressen eintragen. Derzeit wird aber
nur die erste IP-Adresse von den Access Points berücksichtigt. Diese Dialogbox wird nun
ebenfalls wieder mit OK verlassen.
176
Workshops (Auszug)
bintec elmeg GmbH
6.6.3.6 6. Schritt
Im Übersichtsfenster des DHCP-Dienstes sollte nun auch die CAPWAP-Option aufgelistet
sein. Im Anschluss können nun die Access Points und der WLAN-Controller in dem Netz,
in dem der soeben eingerichtete DHCP-Dienst erreichbar ist, in Betrieb genommen werden.
6.6.4 Konfiguration eines DHCP-Servers unter Linux
Fügen Sie der Konfigurationsdatei "/etc/dhcp/dhcpd.conf" Folgendes hinzu:
Workshops (Auszug)
177
bintec elmeg GmbH
Dabei sind vor allem die beiden Zeilen, die mit option wifi-controller beginnen, entscheidend. Die obere der beiden Zeilen definiert das Datenformat der Option 138, da dieses
nicht in den Standardformatdefinitionen des dhcpd enthalten ist. Die untere Zeile spezifiziert die IP-Adresse des WLAN-Controllers, bei der sich dann die einzelnen Slave-APs
melden, nachdem sie alle benötigten Daten (eigene IP-Adresse, IP-Adresse des WLANControllers, …) vom DHCP-Server erhalten haben.
Die restlichen Angaben entsprechen dem Standard zur Definition eines DHCP-Pools: Sie
müssen die Parameter für subnet, range, domain-name-servers, routers, usw. entsprechend Ihren eigenen Bedürfnissen konfigurieren.
Nachdem Sie die Konfiguration gesichert haben, können Sie den DHCP-Server mit dem
Kommando neu starten.
6.6.5 Betrieb der APs mit statischen IP-Adressen
Wie im Kapitel DHCP-Server auf Seite 161 beschrieben, sorgt der DHCP-Server neben der
Vergabe der IP-Adressen auch dafür, dass die zu verwaltenden Access Points die IPAdresse des WLAN-Controllers erhalten. Für den Fall, dass die Access Points mit statischen IP-Adressen betrieben werden, ist es erforderlich, dass auf den zu verwaltenden Access Points neben der IP-Adresse und der Netzwerkmaske auch die IP-Adresse des
WLAN-Controllers konfiguriert wird. Ab Release 7.10.1 finden Sie im Menü Systemverwaltung -> Globale Einstellungen -> System auf den APs das dazu benötigte Feld Manuelle
IP-Adresse des WLAN-Controller.
178
Workshops (Auszug)
bintec elmeg GmbH
Abb. 101: Systemverwaltung -> Globale Einstellungen -> System
Auf dem WLAN-Controller-Gerät ist beim Start des WLAN-Controller-Assistenten darauf zu
achten, dass im ersten Schritt der Konfiguration für den DHCP-Server 5B" ausgewählt
wird.
Workshops (Auszug)
179
7 WLAN - WLAN-Controller Redundanz
bintec elmeg GmbH
Kapitel 7 WLAN - WLAN-Controller Redundanz
7.1 Einleitung
Wenn der bintec WLAN-Controller eingesetzt wird, ist im unwahrscheinlichen Fall eines
Hardwareausfalls des Controllers das von diesem verwaltete WLAN nicht mehr funktionstüchtig. Um das Risiko des Ausfalls auf ein Minimum zu reduzieren, erläutert dieser Workshop die Konfiguration eines zweiten WLAN-Controllers, der bei Ausfall des ersten Gerätes
dessen Funktion sofort übernimmt. Der Einsatz eines zweiten Controllers schützt nicht nur
vor einem Hardwareausfall, sondern auch vor Fehlkonfiguration des aktiven Controllers,
versehentlichem Herausziehen von Kabeln und ähnlichen Störquellen.
Zur Umsetzung der Redundanz wird das BRRP-Protokoll (Bintec Router Redundancy Protocol) verwendet, es ist auf den Geräten der bintec Rxx02-Serie ohne zusätzliche Lizenz
nutzbar. Access Points (z. B. bintec W2003n-ext), die als WLAN-Controller betrieben werden, können nicht redundant ausgelegt werden. Ziel ist es, die WLAN Access Points im
Subnetz 192.168.100.0/24 mit dem WLAN-Controller zu steuern. Zusätzlich routet der
WLAN-Controller in das 192.168.10.0/24 Netz und somit ins Internet.
Das Controller Backup-Szenario zeigt eine Übersicht der Lösung: Router 1 (Master) ist der
primäre WLAN-Controller. Fällt er aus, soll Router 2 (Backup) seine Funktion übernehmen.
Da der WLAN-Controller in diesem Fall auch gleichzeitig als Router arbeitet, gibt es insgesamt vier IP-Subnetze: zwei produktive Netze, welche die Nutzdaten transportieren, und
zwei sogenannte Advertisement-Netze, welche zur Synchronisation der beiden Geräte notwendig sind. Die virtuellen Router sind nur logische Zuordnungen für das BRRP.
Sie können diesen Workshop auch verwenden, wenn Sie eine bestehende WLAN-Controller-Installation besitzen und nun einen Backup-Controller einsetzen wollen. Die entsprechenden Schritte sind gesondert beschrieben.
180
Workshops (Auszug)
bintec elmeg GmbH
Voraussetzungen
• Hardware: Sie benötigen 2 Geräte der bintec Rxx02-Serie, die als WLAN-Controller
funktionieren sollen. Zusätzlich zu der WLAN-Controller-Funktion können natürlich andere Funktionen auf den Geräten konfiguriert sein, z. B. IPSec-Tunnel, Firewall etc. Es sind
nicht zwingend zwei identische Geräte notwendig, Sie können auch z. B. einen bintec
R1202 redundant zu einem bintec R3502 auslegen. Üblicherweise werden aber identische Geräte verwendet.
• Software: Die Backup-Lösung kann mit der Firmware 7.9.6 patch1 oder höher auf einem
bintec Rxx02 realisiert werden.
• Lizenzen: Wie auch für das primäre Gerät sind auch für das zweite, redundante Gerät
ausreichende und gültige Lizenzen erforderlich, die an die Hardware gebunden werden
müssen. Eine doppelte Nutzung oder Übertragung der Lizenzen ist nicht möglich.
• E-Mail-Account: Für den E-Mail-Alarm ist ein aktiver E-Mail-Account (SMTP) notwendig,
von dem aus die Hinweisnachrichten verschickt werden können.
• Konfiguration: Die Einrichtung des WLAN-Controllers wird in dieser Anleitung nicht erklärt. Hinweise zur Einrichtung des WLAN-Controllers finden Sie in der FAQ WLAN Controller auf www.bintec-elmeg.com .
7.2 Konfiguration
Workshops (Auszug)
181
bintec elmeg GmbH
7.2.1 Konfiguration des primären Routers (Router 1)
Virtuelle Router
Im ersten Schritt wird nur der Master konfiguriert. Lassen Sie zunächst den Router 2 ausgeschaltet.
In Menü LAN -> IP-Konfiguration -> Schnittstellen -> Neu haben Sie die Möglichkeit, virtuelle Schnittstellen anzulegen.
Setzen Sie die IP-Adressen der beiden Ethernet-Schnittstellen auf die zukünftigen Advertisement-Adressen (192.168.200.1 und 192.168.20.1). Der Router wird ab jetzt nur noch
über diese beiden Adressen konfiguriert.
Beginnen Sie nun mit der BRRP-Konfiguration. Erzeugen Sie zunächst das BRRP für den
Virtuellen Router 1 bzw. die WLAN-Seite des Routers. Gehen Sie dazu in folgendes Menü:
(1)
Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router -> Neu.
Abb. 103: Lokale Dienste -> BRRP -> Virtuelle Router -> Neu
Gehen Sie folgendermaßen vor, um den virtuellen Router 1 zu konfigurieren:
182
(1)
Wählen Sie die Ethernet-Schnittstelle aus.
(2)
Unter IP-Adresse wird Ihnen die IP-Adresse der Schnittstelle angezeigt, hier
. Diese Schnittstelle wird nun die Advertisement-Schnittstelle, wel-
Workshops (Auszug)
bintec elmeg GmbH
che keine produktiven Daten transportiert. Darauf wird nun eine virtuelle Schnittstelle
(en1-0-1) erzeugt, welche dann die Nutzdaten transportiert. Diese Schnittstelle wird
vom BRRP, je nach Status, ein- und ausgeschaltet, während die physikalische
Schnittstelle immer aktiv ist. Ist das Gerät im Backup-Modus, sind also die Advertisement-Schnittstellen weiterhin aktiv, die Schnittstellen des virtuellen Routers
(produktive Schnittstellen) jedoch inaktiv.
(3)
Als Router IP-Adresse geben Sie die IP-Adresse und die Netzmaske des virtuellen
Routers ein, z. B. . Hier geben Sie die IP-Adresse ein, die Sie im lokalen Netz als eigentliche Gateway-IP-Adresse verwenden wollen.
(4)
Die ID des virtuellen Routers ist die Bezeichnung für die „Netzwerkseite“. Die LANSeite bekommt in diesem Fall die ID (virtueller Router 1).
(5)
Die Priorität des virtuellen Routers wird hier auf einen mittleren Wert von <
gesetzt. Wichtig ist, dass später der Backup-Controller eine niedrigere Priorität bekommt.
(6)
Der Pre-Empt-Modus (zurück in Master-Status) sorgt dafür, dass das Gerät nach
einem Ausfall wieder Master wird und nicht im Backup-Modus verbleibt.
(7)
Belassen Sie die restlichen Einstellungen und bestätigen Sie Ihre Angaben mit OK.
Konfigurieren Sie nun analog dazu den virtuellen Router 2 für die WAN-Seite.
(1)
Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router -> Neu.
Abb. 104: Lokale Dienste -> BRRP -> Virtuelle Router -> Neu
Gehen Sie folgendermaßen vor, um den virtuellen Router 2 zu konfigurieren:
Workshops (Auszug)
183
bintec elmeg GmbH
(1)
Wählen Sie die Ethernet-Schnittstelle aus.
(2)
Unter IP-Adresse wird Ihnen die IP-Adresse der Schnittstelle angezeigt, hier
.
(3)
Als Router IP-Adresse geben Sie die IP-Adresse und die Netzmaske des virtuellen
Routers ein, z. B. <. Die IP-Adresse für Advertisements und die IPAdresse des virtuellen Routers müssen unterschiedlich sein. Diese IP-Adressen dürfen aus demselben Netz stammen, sie müssen aber nicht.
(4)
Geben Sie die ID des virtuellen Routers ein. Die LAN-Seite bekommt in diesem Fall
die ID (virtueller Router 2).
Auch hier wird eine virtuelle Schnittstelle (en1-4-1) erzeugt, welche die Nutzdaten
transportiert. Die ursprüngliche physikalische Schnittstelle en1-4 wird zur Advertisement-Schnittstelle.
(5)
Belassen Sie die restlichen Einstellungen und bestätigen Sie Ihre Angaben mit OK.
VR-Synchronisation
Im Menü VR-Synchronisation (Virtuelle Router Synchronisation) legen Sie fest, welche
virtuellen Router, und damit Schnittstellen, gleichzeitig an- oder abgeschaltet werden. Ist
eine der beiden (virtuellen) Schnittstellen abgeschaltet, (weil z. B. das Kabel herausgezogen wurde,) muss natürlich auch die andere Schnittstelle synchron deaktiviert werden. Dies
erfolgt gewöhnlich über Kreuz: d.h. ist VR 1 ausgefallen, muss auch VR 2 abgeschaltet
werden und umgekehrt.
(1)
Gehen Sie zu Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu.
Abb. 105: Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu
184
Workshops (Auszug)
bintec elmeg GmbH
Gehen Sie folgendermaßen vor, um die neue Synchronisation hinzuzufügen:
(1)
Der Monitoring-Modus zeigt an, welcher Mechanismus für die Überwachung eines
virtuellen Routers angewendet wird, hier %HH.
(2)
Mit der ID des virtuellen Routers legen Sie fest, welche Schnittstelle kontrolliert werden soll, hier .
(3)
Der Synchronisationsmodus zeigt an, mit welchem Mechanismus virtuelle Router
bzw. Schnittstellen synchronisiert werden.
(4)
Wählen Sie die ID des virtuellen Routers, der synchronisiert werden soll, hier .
(5)
Damit die Synchronisation auch in beide Richtungen funktioniert, muss ein zweiter Abgleich eingerichtet werden.
(1)
Gehen Sie zu Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu.
Abb. 106: Lokale Dienste -> BRRP -> VR-Synchronisation -> Neu
Gehen Sie folgendermaßen vor, um neue Synchronisation hinzuzufügen:
(1)
Als ID des virtuellen Routers wählen Sie aus.
(2)
Als ID des virtuellen Routers, der synchronisiert werden soll, wählen Sie aus.
(3)
BRRP aktivieren
Sie können nun die Option BRRP aktiv schalten.
Workshops (Auszug)
185
(1)
bintec elmeg GmbH
Gehen Sie zu Lokale Dienste -> BRRP -> Optionen.
Abb. 107: Lokale Dienste -> BRRP -> Optionen
Das BRRP ist nun aktiv, der Router kann aber über die Advertisement-Schnittstelle weiter
konfiguriert werden. Beide virtuellen Router sollten sich jetzt im Master-Status befinden.
(1)
Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router.
Abb. 108: Lokale Dienste -> BRRP -> Virtuelle Router
186
Workshops (Auszug)
bintec elmeg GmbH
Im Menü IP-Konfiguration werden nun die virtuellen Schnittstellen aufgelistet.
(1)
Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen.
Abb. 109: LAN -> IP-Konfiguration -> Schnittstellen
7.2.2 WLAN-Controller auf dem primären Router konfigurieren
Wie bereits erwähnt, kann die Redundanz sowohl bei einer Neuinstallation des WLANControllers aufgesetzt werden, als auch für eine bestehende Installation genutzt werden.
Beide Vorgehensweisen werden hier beschrieben.
Neuinstallation
Das Menü Wizard bietet eine Schritt-für-Schritt-Anleitung für das Einrichten einer WLANInfrastruktur. Der Wizard führt Sie durch die Konfiguration.
(1)
Workshops (Auszug)
Gehen Sie zu Wireless LAN Controller -> Wizard.
187
bintec elmeg GmbH
Abb. 110: Wireless LAN Controller -> Wizard
Gehen Sie folgendermaßen vor, um den WLAN-Controller zu konfigurieren:
(1)
Als Schnittstelle muss die virtuelle Schnittstelle ausgewählt werden. Nur so
kann die Redundanz des WLAN-Controllers richtig realisiert werden.
(2)
Wählen Sie als DHCP-Server -" aus. Beim internen DHCP-Server ist S! 2 aktiviert, um die Kommunikation zwischen Master und Slaves zu ermöglichen.
Stellen Sie sicher, dass bei Verwendung eines externen DHCP-Servers Option 138
aktiviert ist.
Wenn Sie z. B. ein bintec Gateway als DHCP-Server verwenden wollen, klicken Sie
im GUI dieses Geräts unter Lokale Dienste -> DHCP-Server -> DHCP Pool -> Neu
-> Erweiterte Einstellungen im Feld DHCP-Optinen auf die Schaltfläche Hinzufügen. Wählen Sie als Option "" und tragen Sie im Feld Wert die
IP-Adresse des virtuellen Routers ein.
Folgen Sie dem Wizard zum nächsten Schritt.
Hinweise zur Einrichtung des WLAN-Controllers finden Sie auf www.bintec-elmeg.com im
Downloadbereich.
Bestehende Installation
Ist auf dem bintec Rxx02 (Router 1) bereits ein WLAN-Controller konfiguriert, muss dieser
nicht erneut aufgesetzt werden, es müssen nur kleine Änderungen vorgenommen werden.
Ist der WLAN-Controller gleichzeitig DHCP-Server, muss der bestehende DHCP-Server im
Menü Lokale Dienste DHCP-Server IP-Pool-Konfiguration gelöscht werden.
188
Workshops (Auszug)
bintec elmeg GmbH
Legen sie einen neuen DHCP-Server auf der virtuellen Schnittstelle en1-0-1 an.
(1)
Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu.
Gehen Sie folgendermaßen vor, um den DHCP-Server anzulegen:
(1)
Geben Sie bei IP-Poolname eine beliebige Beschreibung, z. B. @"(! ein.
(2)
Bei IP-Adressbereich geben Sie die erste (erstes Feld) und die letzte (zweites Feld)
IP-Adresse des IP-Adress-Pools ein, z. B. <
- <
.
(3)
Workshops (Auszug)
189
bintec elmeg GmbH
(1)
Wählen Sie die virtuelle Schnittstelle aus.
(2)
Wählen Sie einen gültigen IP-Pool aus.
(3)
Unter Erweiterte Einstellungen im Menü DHCP-Optionen fügen Sie mit Hinzufügen
die Option "" hinzu,damit die Access Points den WLAN-Controller unter seiner neuen Adresse erreichen. Als Wert geben Sie die IP-Adresse der
virtuellen Schnittstelle ein.
(4)
7.2.3 Konfiguration des Backup-Controllers (Router 2)
Nun wird der zweite WLAN-Controller, der im Normalfall inaktiv ist, konfiguriert. Dazu wird
zunächst die Konfiguration des Masters (Router 1) exportiert und im Backup (Router 2) importiert. Anschließend müssen nur noch Änderungen vorgenommen werden, damit er als
„Slave“ funktioniert.
Konfiguration des Masters exportieren
Speichern Sie die Konfiguration des Masters mit der Schaltfläche Konfiguration speichern oberhalb der Menünavigation.
Exportieren sie danach die Konfiguration in eine Datei auf ihrem Rechner.
(1)
Gehen Sie folgendermaßen vor, um die Konfiguration zu exportieren:
190
(1)
Wählen Sie bei Aktion +"* B!"" aus.
(2)
Als Aktueller Dateiname im Flash wählen Sie ' aus.
Workshops (Auszug)
bintec elmeg GmbH
(3)
Wenn Sie die Los-Schaltfläche drücken, erscheint ein Dialog, in dem Sie den Speicherort auf Ihrem PC auswählen und den gewünschten Dateinamen eingeben können.
Hinweis
Schalten Sie nun den Master (Router 1) aus, oder trennen Sie ihn vom Netz!
Konfiguration im Backup importieren
Schalten Sie nun den Backup-Router ( Router 2) ein. Dieser kann sich auch im Werkszustand (ohne Konfiguration) befinden. Öffnen Sie das GUI und importieren Sie die Konfiguration des Masters.
(1)
Gehen Sie folgendermaßen vor, um die Konfiguration zu importieren:
(1)
Wählen Sie die Aktion +"* !"" aus.
(2)
Mit Durchsuchen.. wählen Sie die zuvor exportierte Konfiguration des Masters
(Router 1) aus.
Hinweis
Durch Klicken auf Los wird die Datei zunächst unter dem Namen in den FlashSpeicher des Geräts geladen. Zum Aktivieren müssen Sie das Gerät neu starten.
Nach dem Neustart besitzt der Backup-Router zunächst alle Einstellungen, Lizenzen usw.
des Masters. Er ist also nun erst einmal unter der IP-Adresse des Masters (192.168.20.1
Workshops (Auszug)
191
bintec elmeg GmbH
bzw. 192.168.200.1) zu erreichen.
Öffnen Sie das GUI.
Ändern Sie ggf. den Systemnamen um dieses Geräte vom Master unterscheiden zu können.
Grundlegende Systemparameter werden im Menü Systemverwaltung -> Globale Einstellungen -> System eingetragen.
Ändern der IP-Adresse
Damit Master und Backup unterschieden werden können, müssen die IP-Adressen des
Backups (Router 2) geändert werden.
(1)
Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>
.
Abb. 115: LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>
Gehen Sie folgendermaßen vor, um die IP-Adresse der physikalischen Schnittstelle zu ändern:
(1)
Ändern Sie die IP-Adresse der physikalischen Schnittstelle in
.
(2)
Ändern Sie anschließend die IP-Adresse der physikalischen Schnittstelle , indem
Sie LAN -> IP-Konfiguration -> Schnittstellen -><en1-4>
wählen.
192
(1)
Ändern Sie die IP-Adresse der physikalischen Schnittstelle in .
(2)
Workshops (Auszug)
bintec elmeg GmbH
Die virtuellen Schnittstellen bleiben unverändert.
Hinweis
Beachten Sie, dass Sie nach dem Ändern der IP-Adresse die Webschnittstelle nur
über die neue IP-Adresse erreichen können.
Ergebnis:
Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK.
Änderung der Lizenzen
Die Lizenzen des Master-Gerätes (Router 1) sind auf dem Backup-Gerät nicht gültig.
(1)
Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Systemlizenzen.
Abb. 117: Systemverwaltung -> Globale Einstellungen -> Systemlizenzen
Löschen Sie alle ungültigen Lizenzen. Klicken Sie auf das
-Symbol in der Zeile, in der
die zu löschende Lizenz steht.
Workshops (Auszug)
193
bintec elmeg GmbH
Wählen Sie die Schaltfläche Neu, und tragen Sie die zuvor registrierten WLAN-Controller
Lizenzen für das Backup-Gerät (Router 2) ein.
BRRP-Prioritäten des Backups ändern
Da der Backup-Controller (Router 2) inaktiv sein soll, wenn der Master aktiv ist, müssen die
BRRP-Prioritäten im Backup heruntergesetzt werden.
(1)
Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router.
Abb. 118: Lokale Dienste-> BRRP -> Virtuelle Router
Wählen Sie das
(1)
194
-Symbol um die virtuellen Router zu bearbeiten.
Gehen Sie zu Lokale Dienste -> BRRP -> Virtuelle Router -> en1-0-1 ->
.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 119: Lokale Dienste -> BRRP -> Virtuelle Router -> en1-0-1 ->
(1)
Setzen Sie die Priorität des virtuellen Routers 1 des Backup-Geräts auf einen geringeren Wert als bei dem Master Router, z. B. <.
(2)
Bearbeiten Sie anschließend den virtuellen Router 2, indem Sie Lokale Dienste -> BRRP > Virtuelle Router -> en1-4-1 ->
wählen.
(1)
Setzen Sie die Priorität des virtuellen Routers 2 des Backup-Geräts auf einen geringeren Wert als bei dem Master Router, z. B. <.
(2)
Speichern Sie die Konfiguration des Backups mit Konfiguration speichern und bestätigen
Sie die Auswahl mit OK.
Kontrolle der Konfiguration
Schalten Sie den Master (Router 1) wieder ein.
Starten Sie den Backup-Router (Router 2 ) neu. Gehen Sie dazu in das Menü Wartung ->
Neustart.
Nachdem beide Geräte hochgefahren sind, sollte Router 1 im Master-Zustand sein und
Router 2 im Backup-Zustand.
Workshops (Auszug)
195
(1)
bintec elmeg GmbH
Gehen Sie am Router 1 zu Lokale Dienste -> BRRP -> Virtuelle Router.
Im Router 1 sind jetzt beide virtuellen Router im Master-Zustand.
(1)
Gehen Sie am Router 2 zu Lokale Dienste -> BRRP -> Virtuelle Router.
Auf dem Backup-Gerät sind wiederum beide virtuellen Router offline d.h. im Backup-Zu-
196
Workshops (Auszug)
bintec elmeg GmbH
stand ".
7.2.4 Einrichtung der Überwachungsfunktionen
Im Menü Externe Berichterstellung legen Sie fest, welche Systemprotokoll-Nachrichten
auf welchem Rechner gespeichert werden und ob der Systemadministrator bei bestimmten
Ereignissen eine E-Mail erhalten soll, z. B.
• Ausfall des Router 1 und die Übernahme durch Router 2 (Backup)
• Wiederaufnahme des Master-Status des Router 1, wenn er vorher Backup war
• Ausfall des Router 2, wenn dieser sich im Backup-Modus befindet
Ausfall des Master-Controllers
Beim Ausfall des Master-Controllers, muss eine Nachricht verschickt werden, damit der
zweite Router die Master-Funktion übernimmt. Daher wird diese Überprüfung im Backup
(Router 2) vorgenommen. Richten Sie zunächst Ihren E-Mail-Account ein.
(1)
Gehen Sie zu Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen.
Abb. 122: Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungs-
einstellungen
Gehen Sie folgendermaßen vor, um den E-Mail-Account einzurichten:
(1)
Workshops (Auszug)
Als E-Mail-Adresse des Senders geben Sie die E-Mail-Adresse ein, die in das Absenderfeld der E-Mail eingetragen werden soll, z. B. ,I'! .
197
bintec elmeg GmbH
(2)
Als SMTP-Server geben Sie die IP-Adresse des Mailservers ein, der zum Versenden
der Mails verwendet werden soll, z. B. !'!.
(3)
Bei SMTP-Authentifizierung aktivieren Sie /, *+" S. Die Mails werden per
POP3 von der sendenden IP aus mit dem richtigen POP3-Benutzernamen/Passwort
abgerufen.
(4)
Geben Sie den Benutzernamen für den POP3 bzw. SMTP-Server an, hier z. B. ,
".
(5)
Geben Sie das Passwort dieses Benutzers an, z. B. !"".
(6)
Geben Sie bei POP3-Server die Adresse des Servers ein, von dem die Mails abgerufen werden sollen, z. B. !!2'! .
(7)
Danach kann die Alarm-Funktion eingerichtet werden.
(1)
Gehen Sie zu Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu.
Abb. 123: Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu
Gehen Sie folgendermaßen vor, um die Alarm-Funktion einzurichten:
198
(1)
Als Empfänger geben Sie die E-Mail-Adresse des Empfängers ein, z. B. I'! .
(2)
Sie können einen Betreff eingeben, z. B. ) *.
Workshops (Auszug)
bintec elmeg GmbH
(3)
Wählen Sie als Ereignis C 9 E+.
(4)
Sie müssen eine Enthaltene Zeichenfolge eingeben, z. B. T@ *"
*T. Das Vorkommen dieser Zeichenfolge in einer Syslog Meldung ist die notwendige Bedingung für das Auslösen eines Alarms.
(5)
Die Nachricht tritt bei Schweregrad %*" auf.
(6)
Im Feld Überwachte Subsysteme klicken Sie auf Hinzufügen und wählen unter
Subsystem %HH aus.
(7)
Wiederaufnahme des Masters
Auch wenn der Master (Router 1) nach einem Ausfall wieder als primärer WLAN-Controller
funktioniert, muss dies mitgeteilt werden. Daher muss auch auf Router 1 erkannt werden,
ob er in den Master-Status gewechselt ist. Die Konfiguration hierfür ist identisch mit den
Einstellungen für den Backup (Router 2).
Konfigurieren Sie analog dazu den Master (Router 1).
Ausfall des Backup-Controllers
Wenn der Backup-Controller ausfällt, muss dies ebenfalls mitgeteilt werden. Um den Ausfall zu erkennen, muss eine Ping-Überwachung eingerichtet werden. Für den Fall, dass der
Ping nicht beantwortet wird, wird zusätzlich eine E-Mail verschickt.
Als Erstes muss also die Ping-Überwachung für den Backup (Router 2) eingerichtet werden. Da Router 2 über zwei IP-Adressen erreichbar ist (LAN und WAN) müssen auch beide
IP-Adressen überwacht werden.
(1)
Workshops (Auszug)
Gehen Sie zu Lokale Dienste -> Überwachung -> Ping-Generator -> Neu.
199
bintec elmeg GmbH
Abb. 124: Lokale Dienste -> Überwachung -> Ping-Generator -> Neu
Gehen Sie folgendermaßen vor, um die Ping-Überwachung für die LAN-Seite einzurichten:
(1)
Als Ziel-IP-Adresse geben Sie die IP-Adresse der physikalischen Schittstelle ein, hier
. Achten Sie darauf, dass die IP-Adresse der physikalischen Schittstelle und nicht der virtuellen Schnittstelle überwacht wird.
(2)
Wählen Sie bei Quelle-IP-Adresse * aus.
(3)
Richten Sie jetzt die Ping-Überwachung für die WAN-Seite ein. Achten Sie darauf, dass
Router 2 so konfiguriert ist, dass er Pings beantworten kann und keine Firewall o.Ä. die
Überwachungs-Pings behindert.
(1)
200
Gehen Sie zu Lokale Dienste -> Überwachung -> Ping-Generator -> Neu.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 125: Lokale Dienste -> Überwachung -> Ping-Generator -> Neu
Gehen Sie folgendermaßen vor, um die Ping-Überwachung für die WAN-Seite einzurichten:
(1)
Als Ziel-IP-Adresse geben Sie die IP-Adresse der physikalischen Schittstelle ein, hier
. Achten Sie darauf, dass die IP-Adresse der physikalischen Schittstelle und nicht der virtuellen Schnittstelle überwacht wird.
(2)
Wählen Sie bei Quelle-IP-Adresse * aus.
(3)
Wird einer dieser Pings nicht beantwortet, muss per E-Mail alarmiert werden.
(1)
Workshops (Auszug)
Gehen Sie zu Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu.
201
bintec elmeg GmbH
Abb. 126: Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu
Gehen Sie folgendermaßen vor, um die Alarm-Funktion einzurichten:
(1)
Als Empfänger geben Sie die E-Mail-Adresse des Empfängers ein, z. B. I'! .
(2)
Geben Sie einen Betreff ein, z. B. ; ""'*".
(3)
Wählen Sie als Ereignis C 9 E+.
(4)
Hier ist die Enthaltene Zeichenfolge U *@" +" ;U, die auftreten
muss, wenn eine E-Mail verschickt werden soll.
(5)
Die Nachricht tritt bei Schweregrad 0' auf.
(6)
Im Feld Überwachte Subsysteme klicken Sie auf Hinzufügen und wählen unter
Subsystem -$5, aus.
(7)
Damit ist die Konfiguration der E-Mail-Benachrichtigung abgeschlossen.
7.3 Zusätzliche Hinweise
Hier noch ein paar zusätzliche Hinweise zum Betrieb des WLAN-Controllers in Redundanz.
Was passiert bei einem Ausfall?
Im Normalfall (wenn beide Geräte funktionierten) ist immer nur das Gerät mit der höheren
202
Workshops (Auszug)
bintec elmeg GmbH
BRRP-Priorität aktiv (Master). Der Backup ist dennoch über seine Advertisement-Schnittstelle erreichbar und ggf. konfigurierbar. Beide Geräte kommunizieren über die AdvertisementSchnittstelle, um den gegenseitigen Status abzufragen. Fällt der Master aus, wird dies innerhalb von ca. drei Sekunden vom Backup-Controller erkannt und der Backup wird automatisch zum Master. Wenn der Backup eingerichtet ist, schickt der Backup-Controller eine
Info-E-Mail, dass er jetzt im Master-Modus arbeitet. Die WLAN Access Points erkennen
nach etwa einer Minute, dass ihr ursprünglicher WLAN-Controller nicht mehr verfügbar ist.
Daraufhin werden sie neu starten und sich am neuen Controller anmelden und von ihm die
Konfiguration beziehen. Das heißt, das WLAN wird für etwa eine Minute ausfallen, ist danach aber wieder voll einsatzfähig. Wird das defekte Gerät repariert und wieder ins Netzwerk gebracht, wird es je nach Konfiguration des Pre-Empt-Modus wieder in den MasterStatus wechseln oder als Backup verbleiben. Wechselt es in den Master-Modus zurück,
wird eine E-Mail versendet. Auch dann werden die Access Points neu starten und sich wieder am ursprünglichen Controller anmelden.
Synchronisation der Konfiguration
Dieses Backup-Szenario beinhaltet keine Möglichkeit, Änderungen am Master (Router 1)
automatisch in den Backup (Router 2) zu übernehmen. Wenn Sie Änderungen am Master
vornehmen, müssen Sie diese Änderungen entweder auch im Backup vornehmen oder alle
Schritte ab Kapitel WLAN Controller auf den primären Router konfigurieren erneut ausführen. Es ist auch möglich, auf Master und Backup verschiedene Konfigurationen zu halten. Fällt der erste Controller aus, ist dann das zweite Gerät mit anderer Konfiguration aktiv.
Konfiguration des virtuellen Router 1
Feld
Menü
Wert
Ethernet Schnittstelle
Lokale Dienste -> BRRP -> Virtuelle Router -> Neu
Router-IP-Adresse
Lokale Dienste -> BRRP -> Virtuelle z. B. Router -> Neu
ID des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle Router -> Neu
Priorität des virtuellen
Routers
Lokale Dienste -> BRRP -> Virtuelle z. B. <
Router -> Neu
Konfiguration des virtuellen Router 2
Workshops (Auszug)
203
bintec elmeg GmbH
Feld
Menü
Wert
Ethernet Schnittstelle
Lokale Dienste -> BRRP -> Virtuelle Router -> Neu
Router-IP-Adresse
Router -> Neu
ID des virtuellen Routers Lokale Dienste -> BRRP -> Virtuelle Router -> Neu
Routers
Router -> Neu
VR-Synchronisation 1
Feld
Menü
Wert
Monitoring-Modus
Lokale Dienste -> BRRP -> VRSynchronisation -> Neu
%HH
ID des virtuellen Routers Lokale Dienste -> BRRP -> VRSynchronisation -> Neu
Synchronisationsmodus
%HH
VR-Synchronisation 2
Feld
Menü
Wert
Monitoring-Modus
%HH
Synchronisationsmodus
%HH
BRRP aktivieren
Feld
Menü
Wert
BRRP aktivieren
Lokale Dienste -> BRRP -> Optionen
(#"
Neuinstallation des WLAN-Controller
204
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
Region
Wireless LAN Controller -> Wizard
z. B. &"*C
Schnittstelle
.$A5$
DHCP-Server
-"
IP-Adressbereich
z. B. <
- <
DHCP-Server konfigurieren
Feld
Menü
Wert
IP-Poolname
Lokale Dienste -> DHCP-Server ->
IP-Pool Konfiguration -> Neu
z. B. @"(!
IP-Adressbereich
IP-Pool Konfiguration -> Neu
z. B. <
- <
Schnittstelle
DHCP-Konfiguration -> Neu
z. B. @"(!
IP-Poolname
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ DHCP-Optionen
""
Wert
z. B. Konfiguration exportieren
Feld
Menü
Wert
Aktion
Wartung -> Software & Konfigurati- +"* B
on -> Optionen
!""
Aktueller Dateiname in
Flash
Wartung -> Software & Konfigurati- '
on -> Optionen
Konfiguration importieren
Workshops (Auszug)
Feld
Menü
Wert
Aktion
Wartung -> Software & Konfigurati- +"* on -> Optionen
!""
Dateiname
Wartung -> Software & Konfigurati- 0"
on -> Optionen
205
bintec elmeg GmbH
IP-Konfiguration
Feld
Menü
Wert
IP-Adresse
LAN -> IP-Konfiguration -> Schnitt- stellen -> <en1-0>
IP-Adresse
LAN -> IP-Konfiguration -> Schnitt- stellen -> <en1-4>
BRRP Prioritäten ändern
Feld
Menü
Wert
Routers
Router -> en1-0-1 ->
Routers
Router -> en1-4-1 ->
E-Mail-Account einrichten
Feld
Menü
Wert
E-Mail-Adresse des
Senders
Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen
z. B.
,I'! SMTP-Server
z. B.
!'!
SMTP-Authentifizierung
/, *+" S
Benutzername
z. B. ,"
Passwort
z. B. !""
POP3-Server
z. B.
!!2'! Alarm-Funktion einrichten (Router 1)
206
Feld
Menü
Wert
Empfänger
Externe Berichterstellung -> Benachrichtigungsdienst -> Benach-
z. B. I'! Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
richtigungsempfänger -> Neu
Betreff
Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu
z. B. ) *
Ereignis
z. B. C 9 E
+
Enthaltene Zeichnfolge
U@ *"
*U
Schweregrad
%*"
Überwachte Subsysteme
Externe Berichterstellung -> Benachrichtigungsdienst -> Benachrichtigungsempfänger -> Neu->
Hinzufügen
%HH
Ping-Überwachung einrichten
Feld
Menü
Wert
Ziel-IP-Adresse
Lokale Dienste -> Überwachung -> Ping-Generator -> Neu
Quell-IP-Adresse
Lokale Dienste -> Überwachung -> *
Ping-Generator -> Neu
Ziel-IP-Adresse
Lokale Dienste -> Überwachung -> Ping-Generator -> Neu
Quell-IP-Adresse
Lokale Dienste -> Überwachung -> *
Ping-Generator -> Neu
Alarm-Funktion einrichten (Router 2)
Workshops (Auszug)
Feld
Menü
Wert
Empfänger
Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu
z. B. I'! Betreff
z. B. ; "
"'*"
Ereignis
Externe Berichterstellung -> Benachrichtigungsdienst ->Benach-
C 9 E+
207
Feld
bintec elmeg GmbH
Menü
Wert
richtigungsempfänger -> Neu
208
Enthaltene Zeichnfolge
U *@" +"
;U
Schweregrad
0'
Überwachte Subsysteme
Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu->
Hinzufügen
-$5,
Workshops (Auszug)
8 WLAN - VoWLAN Grundlagen und Konfiguration
bintec elmeg GmbH
Kapitel 8 WLAN - VoWLAN Grundlagen und
Konfiguration
8.1 Allgemein
Beim schnurlosen Telefonieren erwartet der Anwender eine möglichst gute Sprachqualität
und hohe Zuverlässigkeit.
Der DECT (Digital Enhanced Cordless Telecommunications) Standard hat eine hohe Akzeptanz und erfüllt die oben genannten Voraussetzungen. Im Gegensatz zu WLAN verwendet DECT einen eigenen reservierten Frequenzbereich. Da DECT im 1,9 GHz Bereich
arbeitet, ist die Hochfrequenz-Ausbreitungscharakteristik günstiger als bei WLAN, dies
führt zu einer höheren Reichweite. Daher werden auch bei VoWLAN mehr Basisstationen
(Access Points) als bei DECT benötigt. WLAN ist ursprünglich für Datenübertragung von
Endgeräten entwickelt worden, deren Standort sich nicht verändert. Bei VoWLAN verändert
sich der Standort des Wifi Telefons aber permanent. VoWLAN muss also in der Lage sein,
die Verbindung von einem Access Point zum nächsten Access Point zu übergeben
(Handover/Roaming). Das muss ohne merkliche Unterbrechung der Verbindung möglich
sein (Seamless Handover). Dieses Merkmal ist besonders bei Installationen in größeren
Unternehmen wichtig, bei denen mehrere Access Points zum Einsatz kommen.
In den nachfolgenden Kapiteln wird gezeigt, wie ein derartiges VoWLAN-Netz konfiguriert
und aufgebaut werden muss, damit die wichtigsten Qualitätsmerkmale erfüllt werden können, die von drahtloser Telefonie erwartet werden. Es kommen dabei die elmeg hybird
300/600, mehrere WLAN-Access Points z.B. bintec W2003n-ext, ein bintec R1202 als
WLAN-Controller sowie das von bintec elmeg zertifizierte Ascom i62 VoWLAN-Telefon
zum Einsatz.
8.2 WLAN Infrastruktur
Workshops (Auszug)
209
bintec elmeg GmbH
8.2.1 WLAN Funkausleuchtung
Gegenüber einer WLAN-Infrastruktur für Datenübertragung muss das WLAN-Netz für
VoWLAN engmaschiger ausgelegt werden. Bei der Planung ist auch auf die WLANVersorgung von Nebenräumen zu achten, damit beispielsweise auch in der Kaffeeküche
telefoniert werden kann. Damit das Roaming perfekt funktioniert, und zur Erzielung einer
guten Sprachqualität ist eine Versorgung mit mindestens -70 dBm innerhalb einer Zelle zu
gewährleisten. Darüber hinaus sollen sich die Funkzellen gegenseitig um 6-10 dBm überlappen. Die VoWLAN-Telefone und die Access Points sollen dabei auf maximale Sendeleistung (20 dBm/100 mW) eingestellt sein.
Abb. 127: Darstellung der Mindestanforderungen an die WLAN-Ausleuchtung für VoWLAN
Bei größeren Gebäuden wird man die zur Verfügung stehenden drei überlappungsfreien
Funkkanäle (z. B. 1, 6, 11) mehrfach vergeben müssen. Damit es zu keinen Einschränkungen bei der Performance kommt, sollte gewährleistet sein, dass innerhalb einer Funkzelle
auf dem gleichen Kanal keine Access Points arbeiten, die ein stärkeres Signal als -80 dBm
liefern.
Abb. 128: Mindestabstand zweier WLAN Access Points auf dem gleichen Sendekanal
Die Ausleuchtung des Gebäudes und die Festlegung der Standorte der Access Points sollen bei einer VoWLAN-Installation unbedingt durch ein Ekahau Site Survey
(www.ekahau.de) geplant werden. Bei einem Site Survey wird mit einer computergestützten Planungssoftware eine Begehung des Gebäudes durchgeführt und eine flächende-
210
Workshops (Auszug)
bintec elmeg GmbH
ckende Ausleuchtung errechnet. Dabei werden auch die optimalen Standorte der WLAN
Access Points festgelegt.
Abb. 129: Typisches Ergebnis eines Site Survey
8.2.2 Handover zwischen den Access Points
Damit das Handover zwischen den Access Points richtig funktioniert, ist es notwendig,
dass alle Access Points die gleiche SSID verwenden. Vorzugsweise soll für die Sprachkommunikation eine eigene SSID verwendet werden.
Bei Netzen mit 802.11g und 802.11n (20 MHz) müssen die Funkkanäle einen Kanalabstand von 5 Kanälen haben. Daher können z. B. nur die Kanäle 1, 6 und 11 überlappungsfrei belegt werden.
Zur Optimierung des Handover zwischen den Access Points kann bei manchen VoWLANTelefonen (z. B. Ascom) ein Kanalplan (z. B. Kanal 1, 6, 11) eingegeben werden. Dies bewirkt dann, dass das Telefon bei schwachem WLAN-Signal nur auf den Kanälen des Kanalplanes nach einem neuen Access Point sucht. Dieses Verfahren ermöglicht ein etwas
schnelleres Handover. Wichtig ist nur, dass bei der Konfiguration darauf geachtet wird,
dass der Kanalplan des Telefons identisch mit den im WLAN-Netz verwendeten Kanälen
ist.
8.2.3 Bandbreitenbedarf
Die maximal erreichbare Bruttodatenrate einer WLAN-Verbindung hängt zunächst von der
verwendeten 802.11-Betriebsart ab. Es ist aber zu beachten, dass bei größerer Entfernung
zwischen Access Point und Endgerät diese Bruttorate leicht auf die minimale Bruttorate abfallen kann. Die tatsächliche Nettorate liegt jedoch nur bei etwa 40-50 % der Bruttorate.
Workshops (Auszug)
211
bintec elmeg GmbH
802.11 Betriebsart
Maximale Bruttorate
Minimale Bruttorate
802.11b
11 Mbit/s
1 Mbit/s
802.11bg
54 Mbit/s
6 Mbit/s
802.11n (1stream/20 MHz)
72,2 Mbit/s
7,2 Mbit/s
Ein Sprachkanal benötigt etwa 100 kbit/s, bei der Kapazitätsplanung ist jedoch davon auszugehen, dass genügend Reserven im Nutzkanal vorhanden sind, damit jedes RTP-Paket
auch sofort versendet werden kann.
802.11g und 802.11n sind untereinander 100-prozentig kompatibel und ein WLAN-Netz
kann daher bedenkenlos im Mischbetrieb laufen. Bei 802.11b (11 Mbit/s) gibt es aber die
Besonderheit, dass bereits ein Gerät mit 802.11b (11 Mbit/s) ein komplettes Netz auf diese
niedrige Bitrate zieht. 802.11b-Geräte sind kaum noch verbreitet, daher wird dringend empfohlen, eine Betriebsart zu verwenden, die 802.11b nicht zulässt. Wir empfehlen daher,
als 802.11-Betriebsart einzustellen, um 802.11b-Geräte nicht zuzulassen.
8.2.4 Der Sicherheitsstandard und das Handover
WLAN ist ursprünglich für die Datenübertragung von Endgeräten entwickelt worden, deren
Standort sich nicht verändert. Bei VoWLAN verändert sich der Standort des WLAN-Telefons aber permanent. Eine VoWLAN-Installation muss also in der Lage sein, die Verbindung von einem Access Point zum nächsten Access Point zu übergeben (Handover), ohne
dass es zu einer merklichen Unterbrechung der Verbindung (Seamless Handover) kommt.
Dieses Merkmal ist besonders bei Installationen in größeren Unternehmen wichtig, bei denen mehrere Access Points zum Einsatz kommen. Gerade einfache, preiswerte Access
Points aus dem Konsumbereich und auch ältere Endgeräte haben hier oft Probleme.
Das gewählte WLAN-Security-Verfahren hat darüber hinaus entscheidenden Einfluss auf
die Handover-Performance. Beim Handover von einem Access Point auf einen anderen
Access Point mit besserem WLAN-Signal muss nach dem Herstellen der Verbindung die
WLAN-Security wiederhergestellt werden, bevor das nächste Sprachdatenpaket übertragen werden kann. Wir empfehlen WPA2-PSK, da hier eine hohe Sicherheit erreicht wird
bei gleichzeitig hervorragenden Handover-Zeiten (<40 ms).
Von der Verwendung von 802.1x bzw. WPA2-Enterprise in drahtlosen VoWLAN-Netzen
wird abgeraten, da die Wiederherstellung der Security nach einem Handover auf einen
neuen Access Point deutlich länger dauert als bei WPA2-PSK. Dies führt dann möglicherweise zu hörbaren Unterbrechungen und Störgeräuschen.
212
Workshops (Auszug)
bintec elmeg GmbH
8.2.5 QoS, WMM und U-APSD
Damit die Endgeräte eine lange Gesprächszeit und hohe Standby-Zeiten mit einer Akkuladung erreichen, ist es notwendig, dass sowohl die Endgeräte als auch die Access Points
entsprechende Stromsparmechanismen unterstützen. U-APSD (Unscheduled Automatic
Power Save Delivery) sorgt dafür, dass das Endgerät nur dann sendet, wenn es notwendig
ist. Während der Schlafphase des Endgerätes sorgt der Access Point dafür, dass Datenpakete, die an das Telefon gesendet werden sollen, zwischengespeichert werden und dass
das Telefon auch rechtzeitig aufgeweckt wird. Ob U-APSD richtig funktioniert, hängt von
der signalisierten QoS-Klasse ab, da U-APSD immer einen Bezug zur QoS-Klasse hat. Bei
der Konfiguration sollte man sich daher an die Herstellerempfehlung halten.
Die Sprachdaten werden als RTP (Real-Time-Transport-Protocol) Daten übermittelt. Um
die Übermittlung der RTP-Sprachdatenpakete zwischen der IP-TK- Anlage und dem VoWLAN-Telefon mit geringen Latenzzeiten zu realisieren, ist es notwendig, die Sprachdaten
gegenüber den normale Daten zu priorisieren.
In diesem Kapitel wird beschrieben, wie die Priorisierung der Sprachdaten im LAN und im
WLAN funktioniert und welchen Zusammenhang es mit dem Stromsparmechanismus UAPSD gibt.
8.2.5.1 WMM Priority Classes und COS (Layer 2) Mapping
Der 802.11e-Standard definiert vier WMM-Access-Categories (ACs), um den Datenverkehr
entsprechend der QoS-Anforderungen zu behandeln.
• AC_BK (background)
• AC_BE (best effort)
• AC_VI (video)
• AC_VO (voice)
Ergänzend legt 802.11e ein Mapping zwischen dem Layer 2 (802.1d) Class of Service des
LANs und den WMM-Access-Categories des WLANs fest.
Mapping Tabelle nach 802.11e
Workshops (Auszug)
Priority
Layer 2 COS
WMM-Access-Category
Lowest
1
AC_BK (background)
2
AC_BK (background)
0
AC_BE (best effort)
3
AC_BE (best effort)
4
AC_VI (video)
213
Priority
Highest
bintec elmeg GmbH
Layer 2 COS
WMM-Access-Category
5
AC_VI (video)
6
AC_VO (voice)
7
AC_VO (voice)
Die Access Points (z. B. bintec W2003n-ext, bintec WIx040n, bintec WIx065n) haben
das Mapping entsprechend des 802.11e-Standards implementiert. Der WLAN-Treiber der
Access Points führt das Mapping zwischen der Layer 2-Priorität des LAN und der WMMKlasse des WLAN durch und zwar in beiden Richtungen.
In vielen IP-Netzwerken (kein VLAN oder VLAN ohne Layer 2 Priority) werden die QoSRequirements für die Datenübertragung mittels Layer 3-Priority (TOS/DSCP) signalisiert.
Deshalb ist es notwendig, dass die WLAN Access Points Layer3 <- -> Layer 2 Mapping unterstützen.
Layer 3 / Layer 2 / WMM-Mapping
DSCP Field
Hex/Bin/Dec
Layer 2 Prio
Traffic Type
Acronym
WMM-Access-Category
0x38 / 111000 /
56
7
Network Control NC
AC_VO
0x30 / 110000 /
48
6
Voice
VO
AC_VO
0x28 / 101000 /
40
5
Video
VI
AC_VI
0x20 / 100000 /
32
4
Controlled Load
CL
AC_VI
0x18 / 011000 /
24
3
Excellent Effort
EE
AC_BE
0x10 / 010000 /
16
2
Spare
0x08 / 001000 /
8
1
Background
BK
AC_BK
0x00 / 000000 /
0
0
Best Effort
BE
AC_BE
AC_BK
Das obige Mapping berücksichtigt nur die oberen drei Bits des TOS/DSCP-Feldes; es ist
daher relativ unscharf und führt zu Problemen mit VoWLAN-Geräten.
Die meisten VoWLAN-Geräte benutzten aber als Class of Service Expedited Forwarding
(EF) mit DSCP Value (0x2E / 101110 / 46) entsprechend RFC 4594. Die obige Mapping-Tabelle würde diese Klasse in die WMM Class 'AC_VI' mappen. Dies ist aber nicht korrekt, da
214
Workshops (Auszug)
bintec elmeg GmbH
das VoWLAN-Telefon für die Gegenrichtung „WMM AC 'AC_VO“ verwendet.
Um dieses Problem zu vermeiden, mappen bintec Access Points Daten, die mit “EF” getagged sind, auf folgende Weise:
DSCP Field
Hex/Bin/Dec
Layer 2 Prio
Traffic Type
Acronym
WMM-Access-Category
0x2E / 101110 /
46
6
Voice
VO
AC_VO
Merke: Bei der Installation muss der Anwender lediglich darauf achten, dass das VoWLANTelefon und die IP-TK-Anlage als Class of Service Expedited Forwarding (EF) mit DSCP
Value (0x2E / 101110 / 46) verwenden. Dieser Wert ist bei der elmeg hybird 300/600 voreingestellt.
8.2.5.2 U-APSD (Unscheduled Automatic Power Save Delivery)
U-APSD ist Bestandteil von 802.11e und trägt maßgeblich zur Erhöhung der Akkulaufzeit
von VoWLAN-Endgeräten bei. U-APSD muss sowohl vom VoWLAN-Endgerät als auch
vom WLAN Access Point unterstützt werden. U-APSD funktioniert immer nur für die jeweilige WMM-Access-Categorie. Daher ist wichtig, dass die im obigen Kapitel gemachten Voraussetzungen geschaffen werden.
Der grobe Ablauf funktioniert wie folgt:
• VoWLAN-Endgerät meldet sich mit Class of Service Expedited Forwarding (EF) und UAPSD beim WLAN Access Point an.
• Das VoWLAN-Endgerät schaltet danach in den Power-Save-Mode.
• Falls der WLAN Access Point Datenpakete für das betreffende VoWLAN-Endgerät mit
dem Class of Service Expedited Forwarding (EF) erhält, speichert der Access Point diese
Daten kurzzeitig zwischen und wartet bis das VoWLAN-Endgerät wieder aufgeweckt ist.
Erst jetzt werden die Daten versendet.
• Der Vorgang funktioniert derart schnell, dass das Endgerät selbst im Gesprächszustand
noch genug Zeit für den Power-Save-Mode hat.
Neben der längeren Akkulaufzeit gibt es einen weiteren positiven Effekt von U-APSD.
VoWLAN-Endgeräte mit funktionierenden U-APSD sind bei längeren Gesprächen deutlich
kühler als Geräte, die kein U-APSD unterstützen.
U-APSD wird von den Access Points (z. B. bintec W2003n-ext, bintec WIx040n, bintec
WIx065n) ab Release 7.9.6 unterstützt.
Workshops (Auszug)
215
bintec elmeg GmbH
8.2.6 WLAN Controller – Ein Muss in einem VoWLAN-Netz?
Um das Handover zu optimieren, verwalten die Lösungen einiger Hersteller die WLAN-Daten zentral im WLAN-Controller. Diese Lösungen bedienen sich dann sogenannter ThinAPs, das sind Access Points ohne eigene Intelligenz. Der Nachteil dieser Lösungen ist,
dass der gesamte Datenverkehr zentral ausgekoppelt wird und damit die Netze belastet.
Mit Einführung der 802.11n-Technik ist die Datenmenge beträchtlich gestiegen, damit verlieren Lösungen mit Thin-APs weiter an Bedeutung gegenüber Lösungen mit intelligenten
FAT-APs. Seit Einführung des Sicherheitsstandards WPA2-PSK und dem Fast-Roaming
nach 802.11r ist nun auch die Handover-Problematik bei WLAN-Lösungen mit FAT-APs
gelöst.
Die bintec WLAN Controller-Lösung arbeitet mit intelligenten Access Points (FAT-APs),
die die Nutzdaten lokal verwalten. Dieses Szenario hat gegenüber Thin-Client Lösungen
erhebliche Performance-Vorteile. Der bintec WLAN Controller ist kein Muss für eine
VoWLAN-Installation, erleichtert aber die Installation erheblich und vereinfacht die Überwachung des Systems.
8.2.7 Mögliche Störquellen
Das 2,4-GHz-Band wird neben WLAN von verschiedensten Funkdiensten genutzt. Die
meisten dieser Dienste sind auf kleine Sendeleistungen beschränkt und haben nur eine geringe Reichweite. So haben zum Beispiel die meisten Bluetooth-Geräte, die wir in Büroumgebungen häufig finden, meist nur eine Sendeleistung von 1 mW und sind somit für VoWLAN kein echtes Problem. Wichtig für störungsfreien VoWLAN-Betrieb ist darüber hinaus
natürlich auch, dass sich möglichst wenige, fremde Access Points (Nachbarn) in der Nähe
befinden. Diese fremden Access Points stören zwar zunächst nicht, reduzieren aber die
Nettobandbreite. Verbesserung bringt hier z. B. ein geänderter Kanalplan, um so am Nachbar-Access-Point „vorbei zu funken“. Besonders dann, wenn ein VoWLAN-Netz für eine hohe Anzahl von Teilnehmern geplant wird, kann es auch hilfreich sein, ein zweites WLANNetz mit 5 GHz zu installieren, um so die Datenanwendungen auf das freie 5-GHz-Netz zu
bringen.
Nach unserer Erfahrung sind unbekannte Störquellen in VoWLAN-Anwendungen selten,
wenn die hier beschriebenen Grundregeln bei der Installation eingehalten werden. Eventuelle, breitbandige Störquellen oder Nachbarschafts-Access-Points, die später zu Problemen führen können, werden darüber hinaus bei einer Site-Survey-Begehung des Gebäudes bereits im Vorfeld erkannt und es können vorab Gegenmaßnahmen ergriffen werden.
8.3 Beispielkonfiguration
216
Workshops (Auszug)
bintec elmeg GmbH
8.3.1 Netzwerkplan
Die obige Beispielkonfiguration zeigt ein kleines Anwendungsszenario, bestehend aus einer elmeg hybird 300, einem bintec R1202 als WLAN Controller, drei bintec W2003n-ext
Access Points und einem Ascom i62 VoWLAN-Telefon.
Das LAN besteht aus zwei Netzen: Zum einen aus dem Netz 192.168.1.0/24, dieses Netz
dient der Kommunikation zwischen dem WLAN Controller ( bintec R1202) und den Access
Points.
Das zweite Netz 192.168.2.0/24 ist hier mit der VLAN-ID getagged und dient zum
Transport der Voice-Daten. Die SSID %0#: ist der VLAN-ID zugeordnet. Dadurch werden nur die Voice-Daten zwischen dem VoWLAN-Telefon und der hybird
über die WLAN-Strecke übertragen.
bintec R1202 arbeitet als WLAN Controller und stellt darüberhinaus für die VoWLAN-Telefone zusätzlich noch den NTP-Zeitserver (192.168.1.254) zur Verfügung.
Workshops (Auszug)
217
bintec elmeg GmbH
8.3.2 WLAN Konfiguration mit oder ohne WLAN Controller
Ein VoWLAN-Netz kann sowohl über einen WLAN Controller als auch manuell konfiguriert
und betrieben werden. Da der Handling-Aufwand für eine größere Installation bei Verwendung eines WLAN Controller deutlich geringer ist und zudem auch mehr Komfort bei der
Überwachung bietet, empfehlen wir bei Installationen mit mehr als drei Access Points den
Einsatz eines WLAN Controllers.
Um auf die Konfigurationsoberfläche zu gelangen, geben Sie im Web-Browser die IPAdresse des bintec R1202 an.
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile -> Neu.
Abb. 131: Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile ->
Neu
218
(1)
Bei Betriebsmodus legen Sie fest, in welchem Modus das Funkmodulpofil betrieben
werden soll, hier .
(2)
Wählen Sie das Frequenzband des Funkmodulprofils 4 &;7 -S " aus.
(3)
Bei Anzahl der Spatial Streams wählen Sie aus, wieviele Datenströme parallel verwendet werden sollen, z. B. (Standardwert): Zwei Datenströme werden verwendet.
(4)
Wählen Sie bei Drahtloser Modus die Wireless-Technologie aus, die der Access
Workshops (Auszug)
bintec elmeg GmbH
Point anwenden soll, hier .
(5)
Wählen Sie die Max. Übertragungsrate aus. Mit (Standardwert) wird die Übertragungsgeschwindigkeit automatisch ermittelt.
(6)
Legen Sie anschließend die Drahtlosnetzwerk-Einträge an.
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu.
Abb. 132: Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke
(VSS) -> Neu
Workshops (Auszug)
(1)
Geben Sie den Netzwerknamen (SSID) des Drahtlosnetzwerks, z. B. %
0#: ein.
(2)
Deaktivieren Sie das Intra-cell Repeating. Die Kommunikation zwischen den WLANClients innerhalb einer Funkzelle ist nicht erlaubt.
(3)
Deaktivieren Sie das ARP Processing.
(4)
Aktivieren Sie die Funktion WMM (Wireless Multimedia) um stets eine optimale Übertragungsqualität bei zeitkritischen Anwendungen zu erreichen.
(5)
Wählen Sie den Sicherheitsmodus aus.
(6)
Bei WPA-Modus wählen Sie aus, welche Verschlüsselung angewendet werden soll,
219
bintec elmeg GmbH
hier .
(7)
Wählen Sie bei WPA2 Cipher aus, mit welcher Verschlüsselung Sie WPA anwenden
wollen, hier ,- und 5.
(8)
Geben Sie bei Preshared Key das WPA-Passwort ein, z. B. !"". Solange
der Key nicht geändert wurde, ist ihr Gerät nicht gegen einen unautorisierten Zugriff
geschützt!
(9)
Deaktivieren Sie ACL-Modus . Für dieses Drahtlosnetzwerk werden alle Clients zugelassen.
(10) Wählen Sie bei VLAN-ID den Zahlenwert ein, der das VLAN identifiziert, hier .
8.4 Ascom i62 Talker Konfiguration
8.4.1 Vorrausetzungen
Folgende Geräte bzw. Software benötigen Sie zur Konfiguration des Ascom i62:
• Ascom i62 Talker (EH1-AAAA/1A)
• Ascom Desktop Programmer (DP1-AAAA)
• Ascom WinPDM Version 3.8.1 oder höher
• Softwarestand 2.1.20 oder höher
• Parameterversion 13.3 oder höher
8.4.2 Konfiguration
8.4.2.1 Neues Telefon anlegen
220
(1)
Öffnen Sie das Ascom WinPDM-Programm.
(2)
Zum Anlegen eines neuen Teilnehmers gehen Sie zu Numbers -> New.
(3)
Tragen Sie in das Feld Call number die SIP-Rufnummer ein, z. B. .
Workshops (Auszug)
bintec elmeg GmbH
Abb. 133: Numbers -> New
Netzwerk definieren
Beim Ascom i62 kann man vier WLAN-Netzwerke (Network A bis D) definieren.
Gehen Sie zu Network -> Network B.
Workshops (Auszug)
221
bintec elmeg GmbH
Abb. 134: Network -> Network B
Zum Betrieb sind folgende Einträge nötig:
Name
Wert
DHCP mode
Enable
SSID
Bintec-Dev_Voice
Security mode
WPA-PSK & WPA2-PSK
WPA-PSK passphrase
z. B. supersecret
Voice power save mode
U-APSD
802.11b/g/n channels
1, 6, 11
IP DSCP for voice
0x2E (46)
IP DSCP for signaling
0x2E (46)
Geräte-Einstellungen
Gehen Sie zu Device -> Settings.
222
Workshops (Auszug)
bintec elmeg GmbH
Abb. 135: Device -> Settings
Name
Wert
User display text
z. B. bintec elmeg
Active Network
Network B
Allgemeine Geräte-Einstellungen
Gehen Sie zu Device -> General.
Workshops (Auszug)
223
bintec elmeg GmbH
Abb. 136: Device -> General
Name
Wert
Time zone
Central European Time (GMT+1)
NTP server
192.168.1.254
Allgemeine VoIP-Einstellungen
Gehen Sie zu VoIP -> General.
224
Workshops (Auszug)
bintec elmeg GmbH
Abb. 137: VoIP -> General
Name
Wert
VoIP protocol
SIP
Endpoint number
Stellt die Rufnummer des Gerätes dar und
ist hier nicht veränderbar. Die Rufnummer
wird bereits bei Erzeugung des Geräteparametersatzes festgelegt.
SIP-Konfiguration
Gehen Sie zu VoIP -> SIP.
Workshops (Auszug)
225
bintec elmeg GmbH
Abb. 138: VoIP -> SIP
Name
Wert
SIP proxy IP address
192.168.2.253
SIP proxy password
z. B. supersecret
Authentication identity
Endpoint number (die Rufnummer wird als
SIP username verwendet)
8.4.3 Testbefehle am Ascom i62
Das Ascom i62 hat einige Testbefehle die bei der Installation und Fehlersuche hilfreich
sind:
*#76# Schaltet die RSSID-Anzeige ein/aus
*#77# Schaltet die Site Survey Tools ein
8.5 Konfiguration der elmeg hybird 300
226
Workshops (Auszug)
bintec elmeg GmbH
8.5.1 Konfiguration
Für das VoWLAN-Telefon muss ein SIP-Teilnehmer eingerichtet werden. Die unbedingt
notwendige Einstellung des DSCP-Wertes auf 0x2E / 101110 / 46 ist bereits als StandardEinstellung berücksichtigt, so dass hier keine Änderung notwendig ist.
Die Netzwerkschnittstelle der elmeg hybird 300 muss in unserem Anwendungsbeispiel mit
VLAN-ID getaggt werden.
Um auf die Konfigurationsoberfläche zu gelangen, geben Sie im Web-Browser die IPAdresse der elmeg hybird 300 an.
Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> Neu.
Abb. 139: LAN -> IP-Konfiguration -> Schnittstellen -> Neu
Workshops (Auszug)
(1)
Bei Basierend auf Ethernet-Schnittstelle wählen Sie die virtuelle Schnittstelle aus,
z. B. .
(2)
Bei Schnittstellenmodus wählen Sie ,*
(3)
Bei VLAN-ID geben Sie ein.
(4)
J:.$K aus.
227
bintec elmeg GmbH
8.5.2 Betriebsfall: WLAN-Telefon nicht erreichbar
Ein Ruf auf das WLAN-Telefon kann fehlschlagen, wenn der Teilnehmer sich zum Beispiel
außerhalb der Reichweite eines Access Points befindet, das Telefon ausgeschaltet ist oder
wenn der Akku leer ist. Damit dennoch keine Rufe verloren gehen ist es sinnvoll, eine Anrufweiterschaltung (AWS) % %7% $ in der elmeg hybird 300
für die betreffende Nebenstelle einzurichten.
Gehen Sie zu Anrufkontrolle -> Ausgehende Dienste -> Anrufweiterschaltung (AWS) > Neu.
Abb. 140: Anrufkontrolle -> Ausgehende Dienste -> Anrufweiterschaltung (AWS) ->
Neu
228
(1)
Wählen Sie eine Interne Rufnummer aus, für die kommende Anrufe weitergeschaltet
werden sollen.
(2)
Bei Art der Anrufweiterschaltung wählen Sie % %7% $ aus.
(3)
Geben Sie eine Zielrufnummer ein, auf die kommende Anrufe nach Zeit oder bei Besetzt weitergeschaltet werden sollen.
(4)
Workshops (Auszug)
bintec elmeg GmbH
8.6 Verwendung anderer WLAN-Telefone
Neben dem von uns zertifizierten und empfohlenen Ascom i62 VoWLAN-Endgerät können
natürlich auch Geräte anderer Anbieter verwendet werden. Auch Smart Phones, wie z. B.
ein Apple iPhone, sind einsetzbar. Leider gibt es jedoch hier kleine Unterschiede in der
Performance, so haben einige Geräte kein U-APSD implementiert oder die Roaming Performance lässt zu wünschen übrig.
Mit den hier aufgeführten Geräten haben wir gute Ergebnisse erzielt:
• Apple iPhone 4 mit bintec SIP APP (kein U-APSD)
• Nokia 6710
Funkmodulprofile konfigurieren
Aktion
Menü
Wert
Betriebsmodus
Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> Neu
Frequenzband
4 &;7 -S "
Anzahl der Spatial Streams
Drahtloser Modus
Max. Übertragungsrate
Funkmodulprofile konfigurieren
Workshops (Auszug)
Aktion
Menü
Wert
Netzwername (SSID)
Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu
z. B. %
0#:
Wireless LAN Controller -> Slave-
0*(#"
229
Aktion
bintec elmeg GmbH
Menü
Wert
AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu
ARP Processing
0*(#"
WMM
(#"
Sicherheitsmodus
WPA-Modus
WPA2 Cipher
5 Preshared Key
z. B. !""
ACL-Modus
0*(#"
VLAN-ID
Feld
Menü
Wert
Call number
Numbers -> New
z. B. DHCP mode
Network -> Network B
5*'
SSID
z. B. %
0#:
Security mode
V WPA-PSK passphase
z. B. !""
Voice power save mode
10
802.11b/g/n channels
44
,- aktiviert
Ascom i62 konfigurieren
230
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
IP DSCP for voice =
0x2E (46)
B5 JK
IP DSCP for signaling =
0x2E (46)
B5 JK
User display text
Device -> Settings
z. B. ' Active network
Device -> Settings
$@"( %
Time zone
Device -> General
"* 5"!*
, J&/,PK
NTP server
Device -> General
z. B. <
VoIP protocol
VoIP -> General
SIP
SIP proxy IP address
VoIP -> SIP
z. B. <2
SIP proxy password
VoIP -> SIP
z. B. !""
Authentication identity
VoIP -> SIP
5 ! '"
Schnittstelle konfigurieren
Feld
Menü
Wert
Basierend auf EthernetSchnittstelle
LAN -> IP-Konfiguration -> Schnitt- z. B. stellen -> Neu
Schnittstellenmodus
LAN -> IP-Konfiguration -> Schnitt- ,*
stellen -> Neu
VLAN-ID
LAN -> IP-Konfiguration -> Schnitt- stellen -> Neu
J:.$K
Anrufweiterschaltung konfigurieren
Workshops (Auszug)
Feld
Menü
Wert
Interne Rufnummer
Anrufkontrolle -> Ausgehende
Dienste -> Anrufweiterschaltung
(AWS) -> Neu
Interne Nummer
Art der Anrufweiterschal- Anrufkontrolle -> Ausgehende
tung
(AWS) -> Neu
% %7%
$ Zielnummer (Bei Besetzt)
Zielnummer
Anrufkontrolle -> Ausgehende
(AWS) -> Neu
231
9 WLAN - WLAN-Controller-Installation mit integrierter
HotSpot-Funktionalität
bintec elmeg GmbH
Kapitel 9 WLAN - WLAN-Controller-Installation
mit integrierter HotSpot-Funktionalität
9.1 Einleitung
Es soll ein WLAN-Netz mit Wireless LAN Controller und der bintec HotSpot Solution aufgebaut werden. Das WLAN-Netz soll zwei SSIDs bereitstellen. Eine SSID für Mitarbeiter,
diese soll Vollzugriff auf das interne Netz und auf das Internet erhalten. Die zweite SSID ist
für Gäste, diese sollen nach Anmeldung über die bintec HotSpot-Lösung ausschließlich Zugang zum Internet haben.
Voraussetzungen
• Ein Router der R-Serie (z. B. bintec R1202, bintec R3002) oder ein Gerät der RXL-Serie
(z. B. bintec RXL 12500)
• Ein bintec W2003n (Artikelnummer 5510000165)
• Software-Lizenzierung für die bintec Router
232
Workshops (Auszug)
bintec elmeg GmbH
• WLAN Controller Lizenz
• 6 Access Points (Artikelnummer 5500000943)
• bintec Hotspot Hosting 2yr1 Location (Artikelnummer 5500000861)
9.2 Funktion
Der bintec Router (z. B. bintec R3002) dient gleichzeitig als Gateway, Firewall, WLAN
Controller und als HotSpot-Gateway. Die Access Points stellen zwei SSIDs bereit, diese
sind jeweils mit einem eigenen VLAN getagged. Der Router separiert anhand des Taggings
die beiden Datenströme und stellt diese intern an zwei virtuellen Ports zur Verfügung.
Der Router stellt drei DHCP-Pools zur Verfügung: einen für die Access Points
(192.168.100.10 bis 192.168.100.110); dieser wird automatisch durch den Wireless LAN
Controller Wizard angelegt. Der Wireless LAN Controller Wizard berücksichtigt dabei automatisch die Konfiguration der DHCP-Option 138. Das ist die WLAN Controller-Adresse, die
die Access Points zur Kommunikation mit dem WLAN Controller benötigen. Die anderen
beiden DHCP-Pools werden manuell angelegt. Sie werden jeweils für die SSID /*"
'" und die SSID &9 verwendet.
Hinweis
In kleinen WLAN-Installationen bis zu 6 Access Points kann man einen bintec
W2003n auch als WLAN Controller verwenden. Dies ist hier nicht möglich, da das Gerät gleichzeitig auch die HotSpot-Gateway-Funktionalität übernehmen muss. Dazu
sind jedoch Routerfunktionen notwendig, die im bintec W2003n deaktiviert sind, wenn
dieser als WLAN Controller arbeitet.
9.3 Konfiguration
9.3.1 Basiskonfiguration
Bevor Sie mit der Konfiguration nach nachstehender Beschreibung beginnen, müssen Sie
mit Hilfe der Assistenten einen Internetzugang einrichten. Falls Sie eine WLAN Controller
Lizenz erworben haben, müssen Sie diese im Menu Systemverwaltung -> Globale Einstellungen -> Systemlizenzen eintragen. Darüber hinaus ist es notwendig, einen NTPZeitserver festzulegen und die Zeitzone einzustellen. Dies ist wichtig für eine zuverlässige
Funktion des Hotspots. Richten Sie bitte zunächst keinen DHCP-Pool für den Router ein,
da später bei der WLAN Controller-Einrichtung der DHCP-Pool für die WLAN Access
Points automatisch eingerichtet wird.
Workshops (Auszug)
233
bintec elmeg GmbH
9.3.2 LAN-Konfiguration
Ändern Sie zuerst in Menü IP-Konfiguration die IP-Adresse.
(1)
.
(1)
Geben Sie die IP-Adresse < ein.
(2)
Den Schnittstellenmodus stellen Sie auf 1* .
(3)
Fügen Sie nun die virtuelle Schnittstelle hinzu.
(1)
234
Workshops (Auszug)
bintec elmeg GmbH
(1)
Bei Basierend auf Ethernet-Schnittstelle wählen Sie aus.
(2)
Fügen Sie mit Hinzufügen die IP-Adresse << ein.
(3)
Wählen Sie bei Schnittstellenmodus ,*
(4)
Weisen Sie der Schnittstelle eine VLAN-ID zu, z. B. <.
(5)
Sie haben eine virtuelle Schnittstelle mit der VLAN-ID < hinzugefügt.
(1)
Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> Neu um eine weitere
Schnittstelle anzulegen.
(2)
Bei Basierend auf Ethernet-Schnittstelle wählen Sie aus.
(3)
Fügen Sie mit Hinzufügen die IP-Adresse < ein.
(4)
Wählen Sie bei Schnittstellenmodus ,*
(5)
Weisen Sie der Schnittstelle eine VLAN-ID zu, z. B. .
(6)
Sie haben eine virtuelle Schnittstelle mit der VLAN-ID hinzugefügt.
J:.$K aus.
J:.$K aus.
Nach dieser Konfiguration sieht das Menü Schnittstellen folgendermaßen aus.
9.3.3 HotSpot-Konfiguration
Um die Konfiguration vorzubereiten, sollten Sie Ihre Lizenz über das Lizenzportal der bintec elmeg-Webseite http://www.bintec-elmeg.com freischalten. Sie erhalten dann kurzfristig Ihre individuellen Zugangsdaten.
Zunächst ist es notwendig einen RADIUS-Server einzutragen.
RADIUS (Remote Authentication Dial In User Service) ist ein Dienst, der es ermöglicht, Authentifizierungs- und Konfigurationsinformationen zwischen Ihrem Gerät und einem RADIUS-Server auszutauschen.
Workshops (Auszug)
235
(1)
bintec elmeg GmbH
Gehen Sie folgendermaßen vor, um einen RADIUS-Server einzurichten:
236
(1)
Wählen Sie den Authentifizierungstyp aus. Der RADIUS-Server wird
zur Erfassung statistischer Verbindungsdaten verwendet.
(2)
Als Betreibermodus wählen Sie ' ;! "#" aus.
(3)
Bei Server-IP-Adresse geben Sie die Adresse des zentralen bintec HotSpot Servers
ein, hier z. B. <<
.
(4)
Das RADIUS-Passwort entnehmen Sie Ihren Zugangsdaten.
(5)
Das Standard-Benutzerpasswort ist identisch mit dem RADIUS-Passwort.
(6)
Die Priorität setzen Sie auf (höchste Priorität).
(7)
(1)
Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu,
um den zweiten RADIUS-Server einzurichten.
(2)
Wählen Sie den Authentifizierungstyp .+7" aus.
(3)
Bei Server-IP-Adresse geben Sie die Adresse des zentralen bintec HotSpot Servers
ein, hier z. B. <<
.
(4)
Das RADIUS-Passwort entnehmen Sie Ihren Zugangsdaten.
(5)
Das Standard-Benutzerpasswort ist identisch mit dem RADIUS-Passwort.
(6)
Die Priorität setzen Sie auf (höchste Priorität).
(7)
Wählen Sie im Menü Erweiterte Einstellungen unter Richtlinie $ #"' .
(8)
Workshops (Auszug)
bintec elmeg GmbH
Die fertige Konfiguration sieht wie folgt aus:
Abb. 146: Systemverwaltung -> Remote Authentifizierung -> RADIUS
Im nächsten Schritt wird ein Hotspot-Netzwerk eingerichten.
(1)
Workshops (Auszug)
(1)
Wählen Sie die Schnittstelle .$A5$
aus. Diese korrespondiert später mit der
SSID &9.
(2)
Unter Domäne am Hotspot-Server geben Sie die Domäne an, die Sie mit den Zugangsdaten erhalten haben, z. B. "*+A .
(3)
Aktivieren Sie die Option Walled Garden.
(4)
Bei Walled Network / Netzmaske geben Sie die IP-Adresse an, die Ihre HotSpot-Gäste ohne Anmeldung erreichen dürfen, z. B. <2 und
237
bintec elmeg GmbH
.
(5)
Unter Walled Garden URL geben Sie die URL an, die Ihren HotSpot Gäste ohne Anmeldung angezeigt werden soll, z. B. !)@@@'. Die Walled
Garden URL muss unter der Walled Network Adresse erreichbar sein.
(6)
Unter Geschäftsbedingungen geben Sie die URL an, unter der Sie Ihre AGB Webseite abgelegt haben, z. B. !)@@@'. Die URL muss unter
der Walled Network Adresse erreichbar sein.
(7)
9.3.4 DHCP-Konfiguration
Nun werden die beiden DHCP-Pools für die virtuellen Schnittstellen en1-0-1 (VLAN-ID 15)
und en1-0-2 (VLAN-ID 16) angelegt.
(1)
Gehen Sie zu Lokale Dienste -> DHCP-Server -> IP-Pool-Konfiguration -> Neu um
den IP-Pool zu konfigurieren.
(1)
Geben Sie bei IP-Poolname eine beliebige Beschreibung ein, um den IP-Pool eindeutig zu benennen, z. B. /*"'".
(2)
Bei IP-Adressbereich geben Sie die erste (erstes Feld) und die letzte (zweites Feld)
IP-Adresse des IP-Adress-Pools ein, z. B. <
- <
.
(3)
nun weitere Konfiguration vornehmen.
238
Workshops (Auszug)
bintec elmeg GmbH
(1)
Wählen Sie die Schnittstelle aus.
(2)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. /*"'".
(3)
Wählen Sie bei Pool-Verwendung .(* aus. Der DHCP-Pool wird nur für DHCPAnfragen im selben Subnetz verwendet.
(4)
Nun legen Sie für die zweite virtuelle Schnittstelle en1-0-2 (VLAN-ID 16) einen weiteren
DHCP-Pool an.
(1)
(2)
Geben Sie bei IP-Poolname z. B. &9 ein.
(3)
Bei IP-Adressbereich geben Sie die IP-Adresse des IP-Adress-Pools ein, z. B.
- .
(4)
(5)
Gehen Sie zu Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration -> Neu.
(6)
(7)
Wählen Sie einen definierten IP-Poolnamen aus, hier z. B. &9.
(8)
Wählen Sie bei Pool-Verwendung .(* aus.
(9)
Die fertige Konfiguration sieht wie folgt aus:
Workshops (Auszug)
239
bintec elmeg GmbH
Abb. 150: Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration
9.3.5 Wireless LAN Controller Wizard
Mit dem Wireless LAN Controller können Sie eine WLAN-Infrastruktur mit mehreren Access Points (APs) aufbauen und verwalten. Der WLAN Controller verfügt über einen Wizard, der Sie bei der Konfiguration Ihrer Access Points unterstützt.
(1)
Gehen Sie zu Wireless LAN Controller -> Wizard -> Wireless LAN Controller Wizard.
240
Workshops (Auszug)
bintec elmeg GmbH
(1)
Bei Region wählen Sie &"*C aus.
(2)
Wählen Sie die Schnittstelle .$A5$
aus.
(3)
Bei DHCP-Server wählen Sie -" aus.
(4)
Geben Sie den IP-Adressbereich ein, hier - .
Nun wird automatisch ein weiterer DHCP-Pool für die Schnittstelle EN1-0 angelegt.
Dabei wird berücksichtigt, dass die IP-Adresse des WLAN Controllers bei jeder DHCP-Anfrage als CAPWAP Option 138 gesendet wird. Hierüber erhalten die Access
Points die Adresse des WLAN Controllers mitgeteilt.
(5)
Klicken Sie auf Weiter.
Im zweiten Schritt fragt der Wizard ab, ob das WLAN-Netz im 2,4 GHz oder im 5 GHz Frequenzbereich betrieben werden soll. Falls Ihr WLAN Netz im 2,4 GHz und im 5 GHz Frequenzbereich arbeiten soll, wählen Sie zunächst 2,4 GHz aus. Sie können später die Konfiguration einzelner Radiomodule auf 5 GHz umstellen.
Im nächsten Schritt definieren Sie die SSID, die später ausgeliefert werden soll.
Workshops (Auszug)
241
bintec elmeg GmbH
(1)
(2)
Bei Netzwerkname (SSID) geben Sie /*"'" ein.
(3)
(4)
Den WPA-Modus stellen Sie auf .
(5)
Geben Sie bei Preshared Key Ihr definiertes Passwort ein.
(6)
Bei VLAN-ID geben SIe < ein.
(7)
Mit diesen Einstellungen wird jeglicher Traffic von WLAN Clients, die über diese SSID verbunden sind, zur virtuellen Schnittstelle en1-0-1 geleitet.
Nun definieren Sie die zweite SSID, die später ausgeliefert werden soll.
242
Workshops (Auszug)
bintec elmeg GmbH
(1)
(2)
Bei Netzwerkname (SSID) geben Sie &9 ein.
(3)
Den Sicherheitsmodus stellen Sie auf -*(#.
(4)
Bei VLAN-ID geben SIe ein.
(5)
Mit diesen Einstellungen wird jeglicher Traffic von WLAN Clients, die über diese SSID verbunden sind, zur virtuellen Schnittstelle en1-0-2 geleitet.
Hinweis
Bevor Sie fortfahren, stellen Sie sicher, dass alle Access Points, die der WLAN Controller verwalten soll, eingeschaltet und über einen Switch an die Schnittstelle en1-0
des Routers angeschlossen sind.
Sie sehen jetzt eine Liste der gefundenen Access Points.
Workshops (Auszug)
243
bintec elmeg GmbH
Um die Einstellungen eines gefundenen APs zu ändern, klicken Sie im entsprechenden
Eintrag auf
.
(1)
Tragen Sie bei Standort den Installationsort des Gerätes ein, z. B. )S++. Dies
erleichtert Ihnen später die Überwachung der Geräte.
(2)
Aktives Funkmodulprofil zeigt das aktuell gewählte Funkmodulprofil, hier 4 &;7
H* "+. Sie können ein anderes Funkmodulprofil aus der Liste wählen,
wenn mehrere Funkmodulprofile angelegt sind.
(3)
Bei Zugewiesene Drahtlosnetzwerke (VSS) werden Ihnen die aktuell zugewiesenen
Drahtlosnetzwerke angezeigt, hier z. B. #)/*"'" und #)&9.
(4)
Wählen Sie nun die Access Points, welche der WLAN Controller verwalten soll. Klicken Sie
dazu in der Spalte Manage auf die gewünschten Einträge.
Klicken Sie auf Start, um die Konfiguration der Access Points zu starten. Wenn die Installation abgeschlossen ist, sehen Sie eine Liste der Managed Access Points.
244
Workshops (Auszug)
bintec elmeg GmbH
Damit Ihre &9 nur das Internet nutzen können, aber keinen Zugriff auf Ihre anderen
Netzwerkkomponenten erhalten, ist es notwendig Firewall Regeln hinzuzufügen. Hier ein
Beispiel einer einfachen Firewall Regel, um den &9 den Zugriff auf das interne Netz
zu verbieten.
Zunächst werden zwei neue Gruppen angelegt, um so die Definition der Filterregeln übersichtlicher zu gestalten.
Gehen Sie dazu folgendermaßen vor:
(1)
Gehen Sie zu Firewall -> Dienste -> Gruppen -> Neu.
Abb. 158: Firewall -> Dienste -> Gruppen -> Neu
Workshops (Auszug)
245
bintec elmeg GmbH
(1)
Geben Sie eine Beschreibung der Service-Gruppe ein, z. B. -".
(2)
Wählen Sie aus den zur Verfügung stehenden Service-Aliassen die Mitglieder der
Gruppe aus. Aktivieren Sie dazu das Feld in der Spalte Mitglieder.
(3)
Gehen Sie analog für die Einstellungen der zweiten Gruppe vor, z. B. (*
.
Die fertige Konfiguration sieht nun wie folgt aus:
Abb. 159: Firewall -> Dienste -> Gruppen
Im letzten Schritt werden noch die lokalen Dienste eingeschränkt. Der Zugriff auf die Dienste ! und !J.K muss erlaubt werden, damit der Router die Anmeldeseite den
HotSpot-Gästen anzeigen kann.
(1)
Gehen Sie zu Firewall -> Richtlinien -> Filterregeln -> Neu.
Gehen Sie folgendermaßen vor, um die Lokalen Dienste einzuschränken:
246
Workshops (Auszug)
bintec elmeg GmbH
(1)
Wählen Sie bei Quelle z. B. .550A5$
aus.
(2)
Bei Ziel wählen Sie z. B. .S. aus.
(3)
Wählen Sie den Dienst aus, z. B. (*
(4)
Wählen Sie bei Aktion E"++ aus.
(5)
Bestätigen Sie die Angaben mit OK.
.
Gehen Sie analog für die Einstellungen weiterer Dienste vor.
Die fertige Konfiguration sieht dann z. B. folgendermaßen aus:
Die Konfiguration ist hiermit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK.
Sie können nun die Konfiguration testen. Melden Sie sich dazu mit der SSID der /*"
'" beziehungsweise mit der SSID der &9 an.
Hinweis
Es wird empfohlen, eine E-Mail-Benachrichtigung bei Ausfall eines WTP zur Überwachung des Systems zu konfigurieren.
Workshops (Auszug)
247
bintec elmeg GmbH
LAN Konfiguration
Feld
Menü
Wert
IP-Adresse
LAN -> IP-Konfiguration -> Schnitt- z. B.
stellen -> <en1-0>
<
Schnittstellenmodus
LAN -> IP-Konfiguration -> Schnitt- 1*
stellen -> <en1-0>
IP-Adresse
LAN -> IP-Konfiguration -> Schnitt- z. B. <<
stellen -> Neu
Schnittstellenmodus
stellen -> Neu
VLAN-ID
LAN -> IP-Konfiguration -> Schnitt- <
stellen -> Neu
IP-Adresse
LAN -> IP-Konfiguration -> Schnitt- z. B. <
stellen -> Neu
Schnittstellenmodus
stellen -> Neu
VLAN-ID
J:.$K
J:.$K
Hotspot Konfiguration
248
Feld
Menü
Wert
Betreibermodus
' ;!
"#"
Server-IP-Adresse
z. B. <<
RADIUS-Passwort
z. B. !""
Standard-Benutzerpasswort
z. B. !""
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
Priorität
.
+7"
Server-IP-Adresse
z. B. <<
RADIUS-Passwort
z. B. !""
Standard-Benutzerpasswort
z. B. !""
Priorität
Hotspot-Netzwerk einrichten
Feld
Menü
Wert
Schnittstelle
Lokale Dienste -> Hotspot-Gateway z. B. .$A5$
Domäne am Hotspot-Ser- Lokale Dienste -> Hotspot-Gateway z. B. "*
ver
+A Waled Garden
Lokale Dienste -> Hotspot-Gateway z. B. <2
und <<<<<<<<
Walled Garden URL
Lokale Dienste -> Hotspot-Gateway !)@@@'
Lokale Dienste -> Hotspot-Gateway !)@@@'
DHCP Konfiguration
Workshops (Auszug)
Feld
Menü
Wert
IP-Poolname
IP-Pool-Konfiguration -> Neu
z. B. /*"'"
IP-Adressbereich
z. B. <
<
Schnittstelle
249
bintec elmeg GmbH
Feld
Menü
Wert
IP-Poolname
z. B. /*"'"
Poolverwendung
.(*
IP-Poolname
z. B. &9
IP-Adressbereich
IP-Pool-Konfigurationn -> Neu
z. B. Schnittstelle
IP-Poolname
z. B. &9
Poolverwendung
.(*
Feld
Menü
Wert
Region
-> Wireless LAN Controller Wizard
&"*C
Schnittstelle
.$A5$
DHCP-Server
-"
IP-Adressbereich
z. B. - Funkmodulprofil
-> Weiter
4 &;7 H* "
+
Netzwerkname (SSID)
-> Weiter
z. B. /*"'"
Sicherheitsmodus
-> Weiter
WPA-Modus
-> Weiter
Preshared Key
z. B. !""
WLAN Controller Wizard
250
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
-> Weiter
VLAN
-> Weiter
(#"
VLAN-ID
-> Weiter
<
Netzwerkname (SSID)
-> Weiter -> Hinzufügen
z. B. &9
Sicherheitsmodus
Inaktiv
VLAN
(#"
VLAN-ID
Standort
-> Weiter
z. B. )S++
Aktives Funkmodulprofil
-> Weiter
4 &;7 H* "
+
Zugewiesene Drahtlosnetzwerke (VSS)
-> Weiter
z. B. #
)/*"'" und
#)&9
Firewall Regeln hinzufügen
Workshops (Auszug)
Feld
Menü
Wert
Beschreibung
Firewall -> Dienste -> Gruppen ->
Neu
z. B. -"
Mitglieder
Neu
z. B. !, !
J.K
Beschreibung
Neu
z. B. (* 0
251
bintec elmeg GmbH
Feld
Menü
Wert
Mitglieder
Neu
z. B. !, !
J.K
Lokale Dienste einschrenken
252
Feld
Menü
Wert
Quelle
Firewall -> Richtlinien -> Filterregeln -> Neu
.550A5$
Ziel
.S.
Dienst
(*
Aktion
E"++
Quelle
.550A5$
Ziel
.S.
Dienst
(*
Aktion
E"++
Quelle
.$A5$
Ziel
.$A5$
Dienst
*C
Aktion
:"@"
Quelle
.$A5$
Ziel
.$A5$
Dienst
*C
Aktion
:"@"
Workshops (Auszug)
bintec elmeg GmbH
Workshops (Auszug)
253
10 WLAN - Management für mehrere Standorte: WLAN
Controller über VPN
bintec elmeg GmbH
Kapitel 10 WLAN - Management für mehrere
Standorte: WLAN Controller über VPN
10.1 Einleitung
Im Folgenden wird die Konfiguration eines bintec-Routers der Rxx02-Serie als zentraler
WLAN Controller für eine über mehrere Standorte verteilte WLAN-Infrastruktur (bintec
W2003n-Access-Points) beschrieben. Ein bintec-Router der RS-Serie dient dabei am jeweiligen Standort als Gateway für den Internetzugang.
Aufgabenprofil des Workshops:
• Mehrere Standorte eines Unternehmens sollen mit WLAN ausgestattet werden. Das
WLAN soll anschließend allen Mitarbeitern zur Verfügung stehen und zentral verwaltet
werden können.
• Die Geräte der Mitarbeiter sollen automatisch per DHCP in das Firmennetzwerk integriert
werden.
• Die Mitarbeiter sollen über das WLAN sowohl auf das Internet als auch auf das Intranet
der Firma zugreifen können. Der Zugang zum Firmenintranet in der Zentrale sowie in den
Außenstellen erfolgt dabei über das Internet mittels eines durch IPSec-gesicherten
VPNs.
254
Workshops (Auszug)
bintec elmeg GmbH
10.1.1 Voraussetzungen
In der Firmenzentrale:
• Zwei bintec-Router der Rxx02- oder RXL-Serie, deren Firmware-Version mindestens
9.1.8 entspricht.
Im Workshop wird exemplarisch ein bintec R1202 als WLAN-Controller und ein bintec
RXL12500 als VPN-Konzentrator verwendet.
In der Filiale:
• Ein bintec-Router mit einer Firmware, die mindestens der Version 9.1.8 entspricht. Für
den Internetzugang der Filiale können Router der RS-, TR- oder der verschiedenen RSerien (alte R2xx-Serie, alte Rxx00-Serie und neue Rxx02-Serie) verwendet werden.
Im Beispiel wird ein bintec RS120 als Filialrouter eingesetzt.
• Ein oder mehrere bintec-Access-Points der Geräteklassen bintec W2003n oder bintec
WIx0xxn (zum Beispiel bintec WI2065n) mit mindestens Firmware-Version 9.8.1. Die
minimal benötigte Anzahl an Access Points richtet sich nach der Größe und Gebäudestruktur des Firmenstandorts und kann durch eine im Vorfeld erfolgte WLAN-Ausleuchtung genau festgelegt werden. Für zusätzliche Informationen lesen Sie bitte in
WLAN - Einführung in den bintec-WLAN-Controller auf Seite 157 nach.
In diesem Workshop werden für den Fall einer Beispielfiliale vier bintec W2003nAccess-Points verwendet.
Workshops (Auszug)
255
bintec elmeg GmbH
• Ein Internetzugang
• Ein PoE-Switch für die Access Points (optional).
10.1.2 Hinweise zum Test-Setup
An dieser Stelle finden Sie eine Übersicht hinsichtlich der Belegung der Schnittstellen in
den einzelnen Routern.
Router
Schnittstelle
Beschreibung
IP-Adresse / Adressbereich
Router der x-ten Filiale
en1-0
LAN-Anbindung der
Filiale
10.x.0.1/24
en1-0
DHCP-Server für Ac- 10.x.0.10 bis
cess Points und
10.x.0.254
WLAN-Geräte der Filiale
VPN-Konzentrator in
der Zentrale
en1-0
LAN-Anbindung der
Zentrale
10.0.0.1/24
WLAN-Controller in
der Zentrale
en1-0
IP-Adresse des
WLAN-Controllers,
die im gesamten
VPN erreichbar sein
muss
10.0.0.123/24
en1-0
Standardroute auf
den VPNKonzentrator
10.0.0.1
en1-0
WLAN-Controller für
alle Access Points aller Filialen
10.2 Konfiguration
256
Workshops (Auszug)
bintec elmeg GmbH
10.2.1 Voreinstellungen
Im Vorfeld muss zwischen dem VPN-Konzentrator in der Zentrale (im Workshop bintec
RXL12500) und einem Filialrouter oder mehreren Filialroutern (im Workshop bintec
RS120) ein funktionierendes VPN eingerichtet werden. Zur Installation eines VPN verweisen wir Sie auf den IP-Workshop "Routing-Protokoll RIPv2 über IPSec-Verbindung". In den
Einstellungen dieses Workshops müssen Sie die IP-Adressbereiche der jeweiligen LANSegmente durch die Werte aus der obigen Tabelle ersetzen. Die restlichen Einstellungen
belassen Sie bitte unverändert.
Die Verwendung von RIPv2 bietet Ihnen folgende Vorteile:
• Alle oben aufgeführten Router für den Einsatz in der Filiale können eingesetzt werden.
• Die verwendeten Geräte sind verhältnismäßig leicht einzurichten.
• Die Konfiguration kann im laufenden Betrieb problemlos um neue Standorte erweitert
werden.
10.2.2 Konfiguration des Routers in der Außenstelle
10.2.2.1 IP-Konfiguration
Ergänzend zum IP-Workshop "Routing-Protokoll RIPv2 über IPSec-Verbindung" wird die
IP-Schnittstelle des ersten Filialrouters folgendermaßen konfiguriert.
(1)
Gehen Sie in das Menü LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>
.
(1)
Workshops (Auszug)
Wählen Sie bei Adressmodus * aus.
257
bintec elmeg GmbH
(2)
Tragen Sie im jeweiligen Feld die IP-Adresse / Netzmaske z. B. des ersten Filialrouters ein. Die IP-Adressen für die zweite, dritte, usw. Filiale lauten folglich
, 2
, usw. Als Netzmaske wählen Sie in diesem Fall
<<<<<<
.
(3)
Belassen Sie den Schnittstellenmodus auf 1* .
(4)
Belassen Sie den Haken bei der MAC-Adresse für :" #"@ .
(5)
10.2.2.2 DHCP-Pool konfigurieren
Anschließend müssen Sie einen DHCP-Pool auf der entsprechenden Schnittstelle für alle
Geräte im LAN, wie die Slave-Access-Points oder die später über das WLAN angebundenen Mitarbeitergeräte, anlegen.
(1)
Gehen Sie dazu in das Menü Lokale Dienste -> DHCP-Server -> IPPool-Konfiguration -> Neu.
(1)
Für den IP-Poolnamen können Sie z. B. &"9 verwenden.
(2)
Für den IP-Adressbereich des ersten Filialrouters verwenden Sie z. B. bis <. Dadurch sind in diesem Fall noch acht Adressen unterhalb von
10.1.0.10 für weitere statisch konfigurierte Geräte im selben Netz frei.
(3)
258
Workshops (Auszug)
bintec elmeg GmbH
(1)
(2)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. &"9.
(3)
Die Pool-Verwendung wird auf .(* gesetzt.
(4)
Klicken Sie auf Erweiterten Einstellungen.
(5)
Dort wird unter Gateway die Einstellung H" * &*@*C #"@ beibehalten. Dadurch erreichen alle DHCP-fähigen Geräte im Netzwerk das Standard-Gateway unter der momentanen IP-Adresse der Schnittstelle en1-0.
(6)
Die Lease Time wird auf Minuten eingestellt.
(7)
Bei DHCP-Optionen klicken Sie auf Hinzufügen.
(8)
Legen Sie als erstes die IP-Adresse des DNS-Server fest. Wählen Sie dazu unter Option 0$"#" aus und tragen Sie unter Wert die IP-Adresse der Schnittstelle
z. B. ein.
(9)
(10) Wählen Sie unter Option "" aus und tragen Sie unter Wert die
IP-Adresse des WLAN-Controllers in der Zentrale ein, in unserem Fall also
2.
(11) Bestätigen Sie Ihre Eingaben mit OK.
Workshops (Auszug)
259
bintec elmeg GmbH
Hinweis
Die Einrichtung weiterer DHCP-Optionen ist für die Slave-Access-Points und WLANGeräte nicht zwingend notwendig. Die Konfiguration des 0$09*, E
"#" , usw. kann aber hilfreich sein und richtet sich nach der vorgegebenen Infrastruktur.
Hinweis
Es wird nicht empfohlen, auf dem Filialrouter an Stelle des lokalen DHCP-Servers ein
sogenanntes DHCP-Relay zu einem in der Zentrale befindlichen DHCP-Server einzurichten. Denn dann ist in der Zentrale nicht mehr unmittelbar über den IPAdressbereich der Slave-Access-Points und der Mitarbeitergeräte ersichtlich, in welcher Filiale sich das jeweilige Gerät befindet. Darüber hinaus könnten sich bei einem
Einsatz von DHCP-Relay und dem Ausfall des Internetzugangs oder des VPNs die
Mitarbeitergeräte nicht mehr in das lokale Netz des jeweiligen Standorts einbuchen, da
sie keine IP-Adresse mehr per DHCP erhalten.
Die Konfiguration des Filialrouters ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK.
10.2.3 Konfiguration des VPN-Konzentrators in der Zentrale
Ergänzend zum IP-Workshop "Routing-Protokoll RIPv2 über IPSec-Verbindung" wird die
IP-Schnittstelle des VPN-Konzentrators in der Zentrale wie folgt eingerichtet.
(1)
Gehen Sie in das Menü LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>
.
260
Workshops (Auszug)
bintec elmeg GmbH
(1)
Wählen Sie für den Adressmodus * aus.
(2)
Tragen Sie im Feld die IP-Adresse z. B. und die Netzmaske
<<<<<<
ein.
(3)
(4)
10.2.4 Konfiguration des WLAN-Controllers in der Zentrale
10.2.4.1 IP-Konfiguration
Zuerst werden die IP-Parameter des WLAN-Controllers eingestellt.
(1)
.
(1)
Wählen Sie für den Adressmodus * aus.
(2)
Tragen Sie im Feld die IP-Adresse z. B. 2 und die Netzmaske
<<<<<<
ein.
(3)
(4)
10.2.4.2 Einrichtung der Standardroute
Anschließend wird auf dem WLAN-Controller die Standardroute über die Schnittstelle
zur IP-Adresse des VPN-Konzentrators eingerichtet.
(1)
Workshops (Auszug)
Gehen Sie zu Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu.
261
bintec elmeg GmbH
Abb. 168: Netzwerk -> Routen -> Konfiguration von IPv4-Routen -> Neu
(1)
Den Routentyp setzen Sie auf * *" " F'" .
(2)
Als Schnittstelle wählen Sie .$A5$
.
(3)
Geben Sie unter Lokale IP-Adresse die IP-Adresse des Hosts ein, an die Ihr Gerät
die IP-Pakete weitergeben soll, hier die LAN-IP-Adresse des VPNKonzentrators.
(4)
Setzen Sie die Metrik der Route z. B. auf , um die Priorität der Route zu wählen. Je
niedriger Sie den Wert setzen, desto höhere Priorität besitzt die Route.
(5)
Bestätigen Sie ihre Eingaben mit OK.
Die Übersicht der IP-Routen sieht im Anschluss folgendermaßen aus:
Abb. 169: Netzwerk -> Routen -> Konfiguration von IPv4-Route
Die VPN-Konzentrator-Konfiguration ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK.
10.2.4.3 WLAN-Controller konfigurieren
Nun kann der eigentliche WLAN-Controller aktiviert werden.
262
Workshops (Auszug)
bintec elmeg GmbH
(1)
Gehen Sie zu Wireless LAN Controller -> Controller-Konfiguration -> Allgemein.
Abb. 170: Wireless LAN Controller -> Controller-Konfiguration -> Allgemein
(1)
Die Region muss passend zum Standort der Access Points eingerichtet werden, z. B.
&"*C. Diese Einstellung bewirkt den Betrieb des WLAN-Funkmoduls der Access
Points nur innerhalb des gesetzlich erlaubten Rahmens des jeweiligen Landes.
(2)
Als Schnittstelle des WLAN-Controllers wird .$A5$
ausgewählt.
(3)
Die DHCP-Server-Einstellung muss auf 5B" belassen werden, da der DHCPServer bereits auf den Filialroutern eingerichtet wurde.
(4)
Der Slave-AP-Standort muss auf 5+" J$K geändert werden. Dies hat zur
Folge, dass verwaltete Slave-Access-Points bei einem eventuellen Netzwerkausfall
autonom weiterlaufen (und somit wenigstens das lokale WLAN des betroffenen Standorts weiterhin funktioniert) und erst nach erneuter Verbindung zum WLAN-Controller
reinitialisiert werden. Ebenso werden mit diesem Schalter wechselseitige Wartezeiten
von Slave-Access-Points und WLAN-Controller an typische Gegebenheiten von
WANs angepasst (zum Beispiel kurze Netzunterbrechungen durch DSLZwangstrennung).
(5)
Die Einstellungen sind jetzt aktiv und der WLAN Controller wird gestartet.
10.2.4.4 Drahtlosnetzwerk-Profil konfigurieren
Anschließend wird das standardmäßig vorhandene Profil für ein Drahtlosnetzwerk (VSS)
wie folgt modifiziert.
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS).
Klicken Sie dazu bei dem vorhandenen Eintrag <vss-1> auf das
Workshops (Auszug)
-Symbol.
263
bintec elmeg GmbH
(VSS) -> <vss-1>
(1)
Der Netzwerkname (SSID) wird z. B. auf /*"'" geändert.
(2)
Für Intra-cell Repeating, ARP Processing, WMM und Max. Clients werden die
Standardeinstellungen belassen.
(3)
Als Sicherheitsmodus wählen Sie aus.
(4)
Daraufhin können Sie den WPA-Modus auf (5)
Bei WPA-Cipher wird ,- und bei WPA2-Cipher 5 aktiv gesetzt.
(6)
Das Preshared Key ist das WLAN-Zugangspasswort für alle Mitarbeiter. Geben Sie
eine ASCII-Zeichenfolge mit 8 - 63 Zeichen ein.
(7)
belassen.
10.2.4.5 Funkmodulprofile konfigurieren
Im nächsten Schritt werden die Funkmodulprofile bearbeitet. Konfigurieren Sie die Funkmodulprofile, indem Sie den Standardeintrag bearbeiten.
264
Workshops (Auszug)
bintec elmeg GmbH
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile.
(2)
Klicken Sie bei dem vorhandenen Eintrag <2.4 GHz Radio Profile> auf das
-
Symbol.
>2.4 GHz Radio Profile>
Workshops (Auszug)
(1)
Das Frequenzband des Funkmodulprofils wird auf 4 &;7 -S " belassen.
(2)
Ändern Sie den Drahtlosen Modus auf .
265
bintec elmeg GmbH
Hinweis
Die Änderung des Drahtlosmodus bewirkt, dass veraltete WLAN-Geräte, die nur auf
dem 802.11b-Übertragungsstandard beruhen, das WLAN nicht mehr nutzen können.
Der größte Vorteil dieser Maßnahme ist jedoch die Vermeidung einer automatischen
Reduktion der Bandbreite, sobald ein 802.11b-Gerät angeschlossen wird.
(3)
Aktivieren Sie die Option Burst-Mode, um die Übertragungsgeschwindigkeit zu erhöhen.
(4)
Klicken Sie auf Erweiterte Einstellungen.
(5)
Wählen Sie den gewünschten Kanalplan aus. Mit %7" +" können Sie
die gewünschten Kanäle selbst auswählen.
(6)
Unter Benutzerdefinierter Kanalplan wählen Sie als erlaubten Kanäle , <, und 2
aus. Dieser Kanalplan ist für alle Länder in denen die Kanäle 1 bis 13 erlaubt sind als
optimaler Kanalplan empfohlen und hat bei 802.11g/n keine (nennenswerte) Frequenzüberlappung. Die Access Points haben somit mehr Auswahlmöglichkeiten einen
möglichst störungsfreien Kanal zu nutzen, was die Leistungsfähigkeit und Zuverlässigkeit des gesamten WLANs steigert.
(7)
Aktivieren Sie die Funktion Short Guard Interval, um das Guard Interval (= Zeit zwischen der Übertragung von zwei Datensymbolen) von 800 ns auf 400 ns zu verkürzen.
(8)
Die restlichen Einstellungen bleiben unverändert und das Konfigurationsmenü wird mit
OK gespeichert und verlassen.
Somit sind alle benötigten Profile im WLAN-Controller eingerichtet.
10.2.4.6 Access Points konfigurieren
Jetzt werden die Access Points aktiviert und eingerichtet.
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points.
In dieser Übersicht sollten alle vorhandenen Access Points als &+ markiert sein.
Sollte dies nicht der Fall sein, empfiehlt es sich, nochmals die DHCP-Server-Einstellungen
auf dem Filialrouter zu überprüfen. Insbesondere sollte kontrolliert werden, ob die CAPWAP-Option korrekt eingerichtet ist. Auch die VPN-Netzwerkverbindung von der Zentrale
in die Filiale kann eine mögliche Fehlerursache sein. Sofern diese Fehlerquellen ausgeschlossen werden können, kann ein versehentlich aktivierter DHCP-Server auf einem Gerät in der Filiale die Störung verursachen. Dieser Server muss deaktiviert und alle Access
Points in der Filiale vom Stomnetz getrennt werden, um eine neue Netzwerkkonfiguration
vom DHCP-Server zu beziehen. Alternativ kann auch der Ablauf der sogenannten DHCP-
266
Workshops (Auszug)
bintec elmeg GmbH
Lease-Time abgewartet werden.
Jetzt können die zuvor konfigurierten Funk- und VSS-Profile auf den gefundenen Access
Points eingerichtet werden. Im Folgenden wird die Anpassung eines Access Points für den
Standort "Nbg - Geschäft" beschrieben.
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points
.
Abb. 173: Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points
Workshops (Auszug)
(1)
Als Standort wird eine möglichst eindeutige Bezeichnung vergeben, z. B. $' &
9+.
(2)
Der Betriebsmodus des Funkmoduls muss zwingend auf 5 belassen werden. Damit wird der Betriebsmodus vom verwendeten Funkmodulprofil bestimmt.
(3)
Als nächstes wird als Aktives Funkmodulprofil hier das zuvor konfigurierte &;7
H* "+ ausgewählt.
(4)
Der Kanal wird auf belassen und wird somit anhand des Kanalplans des Funkprofils sowie der WLAN-Umgebung dynamisch bestimmt.
(5)
Zuletzt wird unter Zugewiesene Drahtlosnetzwerke (VSS) mithilfe der Schaltfläche
Hinzufügen das konfigurierte Drahtlosnetzwerk /*"'" dem Funkmodul zugewiesen.
(6)
Die restlichen Einstellungen werden unverändert übernommen. Bestätigen Sie mit
OK.
267
bintec elmeg GmbH
Hinweis
Bei einem Access Point mit zwei Funkmodulen erscheinen zwei Konfigurationsmasken
für Funkmodul1 und Funkmodul2. Die Einstellung erfolgt entsprechend den Vorgaben des vorangegangenen Beispiels.
Die übrigen Access Points der Übersichtsliste werden genauso wie der Erste konfiguriert.
Für jeden Access Point muss nur eine eindeutige Standortbezeichnung vergeben werden,
andernfalls können die Access Points, z. B. beim WLAN-Netz-Monitoring (im Menü Wireless LAN Controller -> Monitoring) nicht mehr unterschieden werden.
Nachdem die Access Points alle eingerichtet sind, werden sie nach einer kurzen Initialisierungsphase in der Übersicht unter Wireless LAN Controller -> Slave-AP-Konfiguration > Slave Access Points mit dem Status /** gekennzeichnet und sind somit nun in
Betrieb. Zudem sind sie durch den WLAN-Controller gegen jede Art eines externen Konfigurationszugriffs gesperrt.
Durch Klicken auf die
-Schaltfläche oder die
-Schaltfläche in der Spalte Aktion wäh-
len Sie aus, ob der gewählte Access Point vom WLAN Controller verwaltet werden soll.
Sie können einen Access Point vom WLAN Controller trennen und ihn somit aus Ihrer
WLAN-Infrastruktur entfernen, indem Sie auf die
-Schaltfläche klicken. Der Access Point
bekommt dann den Status &+ , aber nicht mehr /** .
Die im Menü Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access
Points angezeigten WLAN-Kanäle sind jedoch unter Umständen noch nicht ideal, z. B. bezüglich der Mehrfachbelegung eines Kanals. Die Access Points konnten sich während der
Inbetriebnahme nur auf die allgemeine WLAN-Umgebung abstimmen, aber noch nicht aufeinander. Dies kann auf zwei unterschiedlichen Wegen nachträglich korrigiert werden: Entweder indem für alle verwalteten Access Points aller Standorte die Aktion Neue Kanalfestlegung über die Schaltfläche START angestoßen wird oder indem individuell durch Betätigen des Aktualisierungssymbols in der Spalte Kanalsuche die Kanalsuche speziell für
einen betroffenen Access Point neu angestoßen wird.
Wenn die Kanalfestlegung abgeschlossen ist, sollten jeweils direkt benachbarte Access
Points eines Standorts auf unterschiedlichen Kanälen senden.
Die Liste der konfigurierten Access Points sieht nun wie folgt aus:
268
Workshops (Auszug)
bintec elmeg GmbH
10.2.4.7 E-Mail-Benachrichtigung einrichten
Abschließend wird ein E-Mail-Alarm für die Slave-Access-Points eingerichtet. Die zuständigen Systemadministratoren werden damit unverzüglich und automatisch über (WLAN-)
Netzprobleme der einzelnen Standorte informiert, inklusive (indirekter) Fehler durch Internetzugangs- und VPN-Ausfall. Die Access Points sind bei Netzstörungen nicht mehr für
den WLAN-Controller sichtbar und werden nach einer bestimmten Zeitspanne automatisch
als ++ deklariert, auch wenn sie immer noch autonom vor Ort ihren Dienst verrichten.
Um den E-Mail-Alarm nutzen zu können, muss zuerst ein E-Mail-Server und anschließend
ein Empfänger für die Alarm-Mitteilung eingerichtet werden.
(1)
Workshops (Auszug)
Gehen Sie zu Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungseinstellungen.
269
bintec elmeg GmbH
Abb. 175: Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungs-
einstellungen
(1)
Der Benachrichtigungsdienst muss aktiviert sein.
(2)
Über den Wert bei Maximale E-Mails pro Minute können Sie die Anzahl der ausgehenden Mails pro Minute begrenzen, z. B. .
(3)
Tragen Sie eine Adresse ein, die in das Absenderfeld der E-Mail eingetragen wird, z.
B. @I!*C .
(4)
Geben Sie die IP-Adresse oder den DNS-Namen des SMTP-Servers ein, der zum
Versenden der Mails verwendet werden soll, z. B. !*.
(5)
Wählen Sie gegebenenfalls eine Authentifizierungsmethode für den SMTP-Server.
(6)
Als Letztes wird ein E-Mail-Alarm für die Slave-Access-Points eingerichtet.
(1)
270
Gehen Sie zu Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger-> Neu.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 176: Externe Berichterstellung ->Benachrichtigungsdienst ->Benachrichtigungsempfänger-> Neu
(1)
Als Empfänger wird die E-Mail-Kontaktadresse der für dieses WLAN zuständigen
Systemadministratoren eingegeben, z. B. * I!*C .
(2)
Als Betreff wird eine möglichst prägnante kurze Information angegeben, z. B. .$
*) E@.
Hinweis
Der Inhalt einer Alarm-E-Mail enthält weitere Informationen, wie Grund des Alarms,
Zeitpunkt des Ereignisses und das betroffene Gerät.
(3)
Als Ereignis muss :"@*" ++ ausgewählt werden.
(4)
Belassen Sie die übrigen Einstellungen und bestätigen Sie mit OK.
Die WLAN Controller-Konfiguration ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern und bestätigen Sie die Auswahl mit OK.
Workshops (Auszug)
271
bintec elmeg GmbH
Konfiguration des Routers in der Außenstelle - IP-Konfiguration
Feld
Menü
Wert
Adressmodus
LAN -> IP-Konfiguration -> Schnitt- *
stellen -> <en1-0>
IP-Adresse / Netzmaske LAN -> IP-Konfiguration -> SchnittIP-Adresse: z. B.
stellen -> <en1-0>
Netzmaske: z. B.
<<<<<<
Schnittstellenmodus
stellen -> <en1-0>
MAC-Adresse
LAN -> IP-Konfiguration -> Schnitt- :"
stellen -> <en1-0>
#"@ Konfiguration des Routers in der Außenstelle - DHCP-Pool
Feld
Menü
Wert
IP-Poolname
z. B. &"9
IP-Adressbereich
z. B. <
Schnittstelle
DHCP-Konfiguartion -> Neu
IP-Poolname
DHCPl-Konfiguration -> Neu
z. B. &"9
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ Lease-Time
z. B. DHCP-Optionen
DHCP-Konfiguration -> Neu-> Hinzufügen
0$"#": z. B.
"":
z. B. 2
272
Workshops (Auszug)
bintec elmeg GmbH
Konfiguration des VPN-Konzentrators in der Zentrale
Feld
Menü
Wert
Adressmodus
stellen -> <en1-0>
IP-Adresse / Netzmaske LAN -> IP-Konfiguration -> Schnitt- ": z. B.
stellen -> <en1-0>
$7*(: z. B.
<<<<<<
Schnittstellenmodus
stellen -> <en1-0>
MAC-Adresse
stellen -> <en1-0>
#"@ Konfiguration des WLAN-Controllers in der Zentrale - IP-Konfiguration
Feld
Menü
Wert
Adressmodus
stellen -> <en1-0>
IP-Adresse / Netzmaske LAN -> IP-Konfiguration -> Schnitt- ": z. B.
stellen -> <en1-0>
2
$7*(: z. B.
<<<<<<
Schnittstellenmodus
stellen -> <en1-0>
MAC-Adresse
stellen -> <en1-0>
#"@ Konfiguration des WLAN-Controllers in der Zentrale - Standardroute
Workshops (Auszug)
Feld
Menü
Wert
Routentyp
Netzwerk -> Routen -> Konfigurati- * *" " F'"
on von IPv4 -> Neu
Schnittstelle
Netzwerk -> Routen -> Konfigurati- .$A5$
on von IPv4 -> Neu
Lokale IP-Adresse
Netzwerk -> Routen -> Konfigurati- z. B. on von IPv4 -> Neu
Metrik
Netzwerk -> Routen -> Konfigurati- z. B. 273
Feld
Menü
bintec elmeg GmbH
Wert
on von IPv4 -> Neu
Konfiguration des WLAN-Controllers in der Zentrale - WLAN-Controller
Feld
Menü
Wert
Region
Wireless LAN Controller -> Controller-Konfiguration -> Allgemein
z. B. &"*C
Schnittstelle
Wireless LAN Controller -> Controller-Konfiguration -> Allgemien
.$A5$
DHCP-Server
5B"
Slave-AP-Standort
5+" J$K
Konfiguration des WLAN-Controllers in der Zentrale - Drahtlosnetzwerk-Profil
274
Feld
Menü
Wert
Netzwerkname (SSID)
Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS)
z. B. /*"'"
(Sichtbar)
(#"
ARP Processing
0*(#"
WMM
(#"
Max. Clients
z. B. 2
Sicherheitsmodus
WPA-Modus
WPA-Cipher
,-
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
WPA2-Cipher
5
Preshared Key
Zeichenfolge mit 8 - 63
Zeichen
ACL-Modus
0*(#"
Erlaubte Adressen
VLAN
0*(#"
Konfiguration des WLAN-Controllers in der Zentrale - Funkmodulprofile
Workshops (Auszug)
Feld
Menü
Wert
Beschreibung
Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile
z. B. &;7 H* "+
Betriebsmodus
Frequenzband
4 &;7 - S
"
Anzahl der Spatial Streams
Drahtloser Modus
Max. Übertragungsrate
Burst-Mode
Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodul-
(#"
275
Feld
Menü
bintec elmeg GmbH
Wert
profile -> 2.4 GHz Radio Profile
Kanalplan
Wireless LAN Controller -> Slave- %7" +"
AP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile
>Erweiterte Einstellungen
Benutzerdefinierter Kan- Wireless LAN Controller -> Slave- , <, , 2
alplan
Beacon Period
Wireless LAN Controller -> Slave- ms
DTIM Period
Wireless LAN Controller -> Slave- AP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio Profile
RTS Threshold
Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> 2.4 GHz Radio
2L
Profile->Erweiterte Einstellungen
Short Guard Interval
(#"
Short Retry Limit
L
Long Retry Limit
Fragmentation Threshold
2 Bytes
276
Workshops (Auszug)
bintec elmeg GmbH
Konfiguration des WLAN-Controllers in der Zentrale - Access Points
Feld
Menü
Wert
Standort
Wireless LAN Controller -> SlaveAP-Konfiguration -> Slave Access
Points
z. B. $' &9+
CAPWAP-Verschlüsselung
Points
(#"
Betriebsmodus
Points
5
Points
z. B. &;7 H* "+
Kanal
Points
Verwendeter Kanal
Points
z. B. 2
Sendeleistung
Points
/*B
Points
z. B. #) /*"
'"
E-Mail-Benachrichtigung einrichten - Einstellungen
Feld
Workshops (Auszug)
Menü
Wert
Benachrichtigungsdienst Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen
(#"
Maximale E-Mails pro
Minute
Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen
z. B. E-Mail-Adresse des
Senders
z. B.
@I!*C
277
bintec elmeg GmbH
Feld
Menü
Wert
SMTP-Server
z. B. !*
SMTP- Authentifizierung Externe Berichterstellung ->Benachrichtigungsdienst -> Benachrichtigungseinstellungen
z. B. E-Mail-Benachrichtigung einrichten - Empfänger
278
Feld
Menü
Wert
Empfänger
z. B. * I!*C
Nachrichtenkomprimierung
(#"
Betreff
z. B. .$*)
E@
Ereignis
:"@*" ++
Timeout für Nachrichten Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu
z. B. Anzahl Nachrichten
z. B. Externe Berichterstellung -> Benachrichtigungsdienst ->Benachrichtigungsempfänger -> Neu
Workshops (Auszug)
11 WLAN - Wireless LAN Controller als Netzzugangsgateway
bintec elmeg GmbH
Kapitel 11 WLAN - Wireless LAN Controller als
Netzzugangsgateway
11.1 Einleitung
Im Folgenden wird die Konfiguration eines Bintec-Routers der Rxx02-Serie als WLAN Controller für die lokale WLAN-Infrastruktur (bintec W2003n-Access Points) und als zentrales
Zugangsgateway in das WAN (Internet) mit automatischer Netzeinrichtung und Firewall für
Geräte im WLAN und Ethernet-LAN beschrieben.
Ein Firmenstandort soll mit Ethernet-LAN und WLAN nach Mitarbeitern und Gästen getrennt ausgerüstet werden:
• Die Rechner und die sonstigen Geräte beider Benutzergruppen sollen automatisch per
DHCP in das Netzwerk integriert werden und auf das Internet zugreifen können.
• Gäste sollen nicht auf das Intranet der Mitarbeiter zugreifen können.
• Mitarbeiter sollen jedoch auf das Intranet der Gäste zugreifen können, um zum Beispiel
ausgewählte Dokumente schnell und sicher mit einem vor Ort befindlichen externen Projektpartner entsprechend der Firmenstandards gemeinsam nutzen zu können.
• Zusätzlich soll der Zugriff auf die Netzinfrastruktur auf Systemadministratoren beschränkt
werden.
Workshops (Auszug)
279
bintec elmeg GmbH
Voraussetzungen
• Ein Bintec-Router der Rxx02-Serie (z. B. bintec R1202) oder der RXL-Serie.
• Access Points der bintec W2003n-Serie oder bintec WIx0xxn-Serie (z. B. bintec
WI2065n). Die mindestens benötigte Anzahl der Access Points richtet sich nach der Größe und Gebäudestruktur des Firmenstandorts und lässt sich mit einer vorherigen WLANAusleuchtung genau festlegen (siehe dazu auch die WLAN Controller-Einführung). In unserem Beispiel werden 5 bintec W2003n und ein bintec WI2065n verwendet.
• Ein Bootimage mit mindestens Version 7.10.1 für den Bintec-Router (empfohlen ist ab
Version 7.10.5).
280
Workshops (Auszug)
bintec elmeg GmbH
• Ein Bootimage mit mindestens Version 7.9.6 für die Access Points (empfohlen ist ab
7.10.1 Patch 5).
• Ein Internetzugang am Firmenstandort.
• Mindestens ein PoE-Switch für die Access Points und weitere Switche für das LAN.
Hinweise zum Test-Setup
Schnittstellenkonfigurationsübersicht am Bintec-Router:
en1-0
Systembereich
IP-Adresse 10.0.0.1/24: DHCP-Server für Access
Points und Schnittstelle des WLAN Controllers
en1-0-1
Mitarbeiter-WLAN
Virtuelle Schnittstelle über en1-0 mit VLAN-ID 10, IPAdresse 10.0.10.1/24: DHCP-Server und Gateway für
das Mitarbeiter-WLAN
en1-0-2
Gast-WLAN
Virtuelle Schnittstelle über en1-0 mit VLAN-ID 20, IPAdresse 10.0.20.1/24: DHCP-Server und Gateway für
das Gast-WLAN
en1-1
Mitarbeiter-Ethernet-LAN
IP-Adresse 10.0.1.1/24: DHCP-Server und Gateway für
das Mitarbeiter-Ethernet-LAN
en1-2
Gast-Ethernet-LAN
IP-Adresse 10.0.2.1/24: DHCP-Server und Gateway für
das Gast-Ethernet-LAN
en1-4
WAN
Uplink ins Internet
11.2 Konfiguration
Portkonfiguration
Hinweis
Während der gesamten Konfiguration sollte der Rechner, von dem aus der Router
konfiguriert wird, am Ethernet-Port 1 angeschlossen sein. Andernfalls sperrt man sich
während der Konfiguration wiederholt aus dem Router aus.
Als erstes werden die Ethernet-Ports als getrennte Schnittstellen konfiguriert und jedem
Port wird aufsteigend, beginnend mit en1-0, eine eigene Schnittstelle zugewiesen.
(1)
Workshops (Auszug)
Gehen Sie zu Physikalische Schnittstellen -> Ethernet-Ports ->
Portkonfiguration.
281
bintec elmeg GmbH
Abb. 178: Physikalische Schnittstellen -> Ethernet-Ports -> Portkonfiguration
Gehen Sie folgendermaßen vor um die Ports den Schnittstellen zuzuordnen:
(1)
Wählen Sie bei Ethernet-Schnittstellenauswahl für die Switch-Ports 1 bis 5 bis im Dropdown-Menü aus.
(2)
Anschließend wird der WAN- bzw. Internetzugang eingerichtet. Zur Konfiguration eines Internetzugangs verfügt das GUI über einen Assistenten. Gehen Sie dazu in folgendes Menü:
282
(1)
Gehen Sie zu Assistenten -> Internetzugang -> Internetverbindungen -> Neu.
(2)
Wählen Sie bei Verbindungstyp den passenden Verbindungstyp Ihres Internetzugangs aus, in unserem Beispiel 5B" &*@*C*' .
(3)
Klicken Sie auf Weiter, um eine neue Internetverbindung zu konfigurieren.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 179: Assistenten -> Internetzugang -> Internetverbindungen -> Neu -> Weiter
Im Folgenden wird die Einstellung für ein externes Gateway beschrieben:
(1)
Im Menüpunkt Physischer Ethernet-Port wählen Sie den physikalischen EthernetPort aus, an dem das xDSL-Modem, bzw. der Internet-Uplink angeschlossen ist, hier
5,;<.
(2)
Bei Internet Service Provider wählen Sie %7" +" aus.
(3)
Deaktivieren Sie die Option IP-Parameter dynamisch abrufen .
(4)
Geben Sie bei Lokale IP-Adresse die Daten Ihres Internetzugangs ein, z. B.
2.
(5)
Bei Gateway-IP-Adresse geben Sie die Adresse des Gateways ein, z. B. 2.
(6)
Geben Sie die entsprechende Netzmaske ein, z. B. <<<<<<
.
(7)
Bei DNS-Server 1 geben Sie die IP-Adresse des Name-Servers ein, z. B. 2.
(8)
Variante:
Workshops (Auszug)
(1)
Ist der Uplink ein xDSL-Zugang eines Providers, kann man stattdessen im ersten
Schritt des Internetzugangsassistenten das -" / als Verbindungstyp
auswählen.
(2)
Die interne Netzwerkschnittstelle heißt in diesem Fall in der Regel
$A"# "* statt und taucht nach abgeschlossener Konfiguration im
Menü Netzwerk -> Routen -> IP-Routen als Schnittstelle für das Standardgateway
auf. (Im einfachsten Fall ist das der einzige Eintrag mit Ziel-IP-Adresse und Netzmas-
283
bintec elmeg GmbH
ke gleich .)
(3)
Der Name der Schnittstelle ist für spätere Konfigurationsschritte in der Firewalleinrichtung relevant.
Hinweis
Diese Schnittstelle darf nicht mit der ebenfalls vorhandenen (zugrundeliegenden)
*-Schnittstelle verwechselt werden.
Anschließend werden die LAN-Schnittstellen konfiguriert.
Konfigurieren Sie die Ethernet-Schnittstelle, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag <en1-0> auf das
-Symbol.
(1)
Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen ->
.
Abb. 180: LAN -> IP-Konfiguration -> Schnittstellen ->
Gehen Sie folgendermaßen vor, um die Ethernet-Schnittstelle zu konfigurieren:
(1)
Geben Sie die statische IP-Adresse und die Netzmaske
<<<<<<
ein.
(2)
Hinweis
Nachdem Sie die Konfiguration mit OK bestätigt haben, haben Sie sich (einmalig) aus
dem Router ausgesperrt. Melden Sie sich auf der soeben neu eingerichteter IPAdresse für erneut an (ggf. muss die Netzkonfiguration des eigenen Rechners zuvor angepasst werden).
(1)
284
Danach wird auf der Ethernet-Schnittstelle die statische IP-Adresse
Workshops (Auszug)
bintec elmeg GmbH
mit der Netzmaske <<<<<<
eingerichtet.
(2)
(3)
Zum Schluss wird noch die Ethernet-Schnittstelle mit der statischen IPAdresse und mit der Netzmaske <<<<<<
eingerichtet. Die
Ethernet-Schnittstelle 2 bleibt ungenutzt.
(4)
Im nächsten Schritt werden zwei virtuelle Schnittstellen basierend auf hinzugefügt.
(1)
Gehen Sie folgendermaßen vor, um die erste virtuelle Schnittstelle zu konfigurieren:
(1)
Bei Basierend auf Ethernet-Schnittstelle wählen Sie die Schnittstelle aus.
(2)
Bei IP-Adresse / Netzmaske klicken Sie auf Hinzufügen.
(3)
Die erste virtuelle Schnittstelle bekommt die statische IP-Adresse und
die Netzmaske <<<<<<
.
(4)
Weisen Sie der Schnittstelle die VLAN-ID zu.
(5)
Konfigurieren Sie die zweite virtuelle Schnittstelle wie folgt:
Workshops (Auszug)
(1)
Bei Basierend auf Ethernet-Schnittstelle wählen Sie die Schnittstelle aus.
(2)
Bei IP-Adresse / Netzmaske klicken Sie auf Hinzufügen.
(3)
Die zweite virtuelle Schnittstelle bekommt die statische IP-Adresse und
die Netzmaske <<<<<<
.
(4)
Weisen Sie der Schnittstelle die VLAN-ID zu.
(5)
285
bintec elmeg GmbH
Ergebnis:
Systemzugangs- und Firewalleinrichtung
Im Menü Zugriff wird der administrativer Zugriff zum Gerät konfiguriert. Zuerst werden alle
Konfigurationsdienste des Routers auf die administrative Ethernet-Schnittstelle beschränkt.
(1)
Gehen Sie zu Systemverwaltung -> Administrativer Zugriff -> Zugriff.
Abb. 183: Systemverwaltung -> Administrativer Zugriff -> Zugriff
286
(1)
Wählen Sie für die Schnittstelle die Konfigurationsdienste des Routers ,
, ;, ;,,, ;,,, und $/ aus.
(2)
Auf allen anderen Schnittstellen soll nur erlaubt sein. Es wird nicht empfohlen,
Ping ebenfalls zu sperren, da dadurch die Fehlersuche im LAN unnötig (ohne Sicherheitsgewinn) erschwert wird.
(3)
Klicken Sie auf OK.
Workshops (Auszug)
bintec elmeg GmbH
Auch das Einstellen der Passwörter gehört zu den grundlegenden Systemeinstellungen.
(1)
Gehen Sie zu Systemverwaltung -> Globale Einstellungen -> Passwörter.
(2)
Geben Sie das Passwort für den Benutzernamen * an.
(3)
Bestätigen Sie das Passwort, indem Sie es erneut angeben.
(4)
Klicken Sie auf OK.
Anschließend wird die Firewall für das LAN eingerichtet. Definieren Sie eine Gruppe, die
alle Dienste beinhaltet, die vom Router selbst im LAN angeboten werden dürfen.
(1)
Gehen Sie zu Firewall -> Dienste -> Gruppen -> Neu.
Abb. 184: Firewall -> Dienste -> Gruppen -> Neu
(1)
Geben Sie bei Beschreibung .(*0 für die Gruppe ein.
(2)
Wählen Sie die Mitglieder der Gruppe aus, z. B. , , !, !. Aktivieren
Sie dazu das Feld in der Spalte Mitglieder.
(3)
Im nächsten Schritt werden die Adresslisten der Firewall definiert. Standardmäßig ist nur
der Eintrag $D vorhanden.
(1)
Workshops (Auszug)
Gehen Sie zu Firewall -> Adressen -> Adressliste -> Neu.
287
bintec elmeg GmbH
Abb. 185: Firewall -> Adressen -> Adressliste -> Neu
(1)
Geben Sie bei Beschreibung %"* * ein.
(2)
Geben Sie als IP-Adresse und Netzmaske <<<<<<<< und
<<<<<<<< ein.
(3)
Definieren Sie weitere LAN-IP-Adresslisten.
(1)
Für /*"'".$& (en1-1) die IP-Adresse mit der Netzmaske
<<<<<<<<.
(2)
(3)
Für &*.$& (en1-2) die IP-Adresse mit der Netzmaske
<<<<<<<<.
(4)
(5)
Für /*"'".$& (en1-0-1) die IP-Adresse mit der Netzmaske <<<<<<<<.
(6)
(7)
Und für &*.$& (en1-0-2) die IP-Adresse mit der Netzmaske
<<<<<<<<.
(8)
Hinweis
Die IP-Adressen in der Firewall müssen zur IP-Konfiguration der jeweiligen Schnittstellen passen (und bei Konfigurationsänderung angepasst werden). Die Maske muss immer 255.255.255.255 sein und hat nichts mit der Netzmaske der jeweiligen Netze zu
tun. Die Maske schränkt den Bereich der jeweiligen Adressliste auf genau die eine angegebene IP-Adresse ein.
288
Workshops (Auszug)
bintec elmeg GmbH
Die Liste der konfigurierten Adressen sieht nun wie folgt aus:
Abb. 186: Firewall -> Adressen -> Adressliste
Jetzt müssen Sie noch die Schnittstellen für die einzelnen Benutzergruppen definieren.
(1)
Gehen Sie zu Firewall -> Schnittstellen -> Gruppen -> Neu.
Abb. 187: Firewall -> Schnittstellen -> Gruppen -> Neu
Gehen Sie folgendermaßen vor, um die Gruppe /*"'" einzurichten:
(1)
Geben Sie als Beschreibung der Gruppe /*"'" ein.
(2)
Wählen Sie aus den konfigurierten Schnittstellen als Mitglieder der Gruppe
.$A5$ und .550A5$
aus.
(3)
Definieren Sie eine weitere Gruppe &* wie folgt:
Workshops (Auszug)
289
bintec elmeg GmbH
(1)
Geben Sie als Beschreibung der Gruppe &* ein.
(2)
Wählen Sie als Mitglieder der Gruppe .$A5$ und .550A5$
aus.
(3)
Einrichtung Schnittstellen-Gruppe %7" (Mitarbeiter und Gäste).
(1)
Geben Sie als Beschreibung der Gruppe %7" ein.
(2)
Wählen Sie als Mitglieder der Gruppe .$A5$, .$A5$, .550A5$
und .550A5$
aus.
(3)
Die Liste der konfigurierten Gruppen sieht nun wie folgt aus:
Abb. 188: Firewall -> Schnittstellen -> Gruppen
Nun können basierend auf diesen Definitionen die eigentlichen Firewallregeln erstellt werden. Als Erstes muss die Regel für den Administratorenbereich auf definiert werden
(andernfalls sperrt man sich sofort komplett aus).
(1)
290
Workshops (Auszug)
bintec elmeg GmbH
(1)
Wählen Sie die Quelle des Pakets aus, hier .$A5$
.
(2)
Wählen Sie als Ziel $D aus. Weder Ziel-Schnittstelle noch Ziel-Adresse werden
überprüft.
(3)
Bei Dienste wählen Sie *C (alle Dienste) aus.
(4)
Wählen Sie die Aktion aus die angewendet werden soll, hier E"++. Die Pakete
werden entsprechend den Angaben weitergeleitet.
(5)
(6)
Als nächste Regel darf die Quellgruppe /*"'" auf die Zielgruppe %
7" über Dienste *C zugreifen.
(7)
(8)
Daran anschließend wird eine Regel erstellt, mit der von der Quellgruppe &* auf
die Zielgruppe &* über Dienste *C zugegriffen werden darf.
(9)
(10) Mit einer weiteren Regel sollen alle %7" auf das Internet zugreifen können:
Wählen Sie als Quelle %7", als Ziel .$A5$ , und als Dienst *C aus.
Hinweis
Falls ein Internetzugang über ein internes xDSL-Modem eingerichtet wurde, muss die
entsprechende WAN-Schnittstelle ( $A"# "*) statt .$A5$ als Ziel
ausgewählt werden.
Bis jetzt sind lediglich Zugriffsregeln für über den Router verbundene Netzbereiche definiert
und niemand außer dem Systembereich an der Schnittstelle darf auf lokal im Rou-
Workshops (Auszug)
291
bintec elmeg GmbH
ter definierte IP-Adressen zugreifen.
Um grundlegende Dienste wie zum Beispiel , ! usw. nutzen zu können, muss der
Zugriff auf die auf dem Router gebundene IP-Adresse der jeweiligen Schnittstelle explizit
erlaubt werden.
(1)
(1)
Wählen Sie als Quelle des Pakets die Gruppe %7" aus.
(2)
Wählen Sie als Ziel die zuvor definierte Adresse %"* * aus.
(3)
Bei Dienste wählen Sie die Dienstgruppe aus, auf die die Benutzer zugreifen dürfen,
hier .(*0 .
(4)
Wählen Sie die Aktion aus, die angewendet werden soll, hier E"++. Die Pakete
werden entsprechend den Angaben weitergeleitet.
(5)
(6)
In der nächsten Regel wählen Sie als Quelle .$A5$ aus. Wählen Sie als Ziel
die zuvor definierte Adresse /*"'".$& , als Dienst wählen Sie .(*
0 und als Aktion E"++ aus.
(7)
(8)
In der darauffolgenden Regel wählen Sie die Quelle .$A5$ aus. Wählen Sie als
Ziel die zuvor definierte Adresse &*.$& , als Dienst wählen Sie .(*
0 und die Aktion E"++ aus.
(9)
(10) Als nächste Regel wählen Sie als Quelle .550A5$
, als Ziel die zuvor definierte Adresse /*"'".$& , als Dienst .(*0 und als Aktion E"++ aus.
292
Workshops (Auszug)
bintec elmeg GmbH
(12) In der letzten Regel wählen Sie die Quelle .550A5$
aus. Wählen Sie als
Ziel die zuvor definierte Adresse &*.$& , als Dienst wählen Sie .(*
0 und die Aktion E"++ aus.
Die Liste der konfigurierten Filterregeln sieht nun wie folgt aus:
Alle übrigen Daten, die nicht zu den obigen Regeln passen, werden von der Firewall automatisch verworfen. Es muss also keine explizite Schlussregel angelegt werden, welche
den übrigen Datenverkehr verwirft. Dies bedeutet auch, dass mit der bestehenden Firewallkonfiguration jeglicher vom WAN/Internet (in unserem Beispiel ) initiierte IPDatenverkehr auf den Router und ins LAN unterbunden ist. Ist ein Zugriff von außen erwünscht, müssen hierzu eigene Firewallregeln mit der WAN-Schnittstelle (hier
.$A5$) als Quelle definiert werden.
Zum Schluss überprüfen Sie noch, ob die Firewall eingeschaltet ist. Gehen Sie dazu in folgendes Menü:
(1)
Workshops (Auszug)
Gehen Sie zu Firewall -> Richtlinien -> Optionen.
293
bintec elmeg GmbH
Abb. 192: Firewall -> Richtlinien -> Optionen
Die Option Firewall Status muss auf (#" gesetzt sein.
DHCP-Server-Konfiguration
Im Anschluss müssen nun insgesamt 5 DHCP-Server passend zum Netz der jeweiligen
Schnittstelle konfiguriert werden.
(1)
Gehen Sie folgendermaßen vor, um den IP-Adress-Pool für die Slave-APs einzurichten:
294
(1)
Geben Sie einen IP-Poolnamen ein, um den IP-Pool eindeutig zu benennen, z. B.
*#.
(2)
Geben Sie einen IP-Adressbereich an. In unserem Beispiel nehmen wir den IP-
Workshops (Auszug)
bintec elmeg GmbH
Adressbereich von bis . Die Größe des IP-Adressbereichs
richtet sich nach der Anzahl der maximal benötigten Access Points (in unserem Beispiel 6 plus Reserve). Die übrigen Adressen können somit für andere Infrastruktur im
selben Netz verwendet werden.
(3)
(1)
Bei Schnittstelle wählen Sie die logische Schnittstelle aus.
(2)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. *# .
(3)
(4)
Für das Gateway belassen Sie die Einstellung H" * &*@*C #"@ .
Die momentane IP-Adresse der Schnittstelle wird als Standardgateway an die
DHCP-Geräte propagiert.
(5)
(6)
Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle ein, hier .
(7)
Klicken Sie erneut auf Hinzufügen.
(8)
Wählen Sie die Option "" aus, und geben Sie die IP-Adresse der
Schnittstelle ein, hier .
(9)
Weitere DHCP-Optionen sind für den korrekten Betrieb der Slave-Access Points nicht not-
Workshops (Auszug)
295
bintec elmeg GmbH
wendig.
Im nächsten Schritt wird der DHCP Pool /*"'".$ eingerichtet.
(1)
Geben Sie einen IP-Poolnamen ein, um den IP-Pool eindeutig zu benennen, z. B.
/*"'".$.
(2)
Geben Sie einen IP-Adressbereich an, in unserem Beispiel den IP-Adressbereich
von bis < . Die noch freien 8 Adressen unterhalb von
10.0.10.10 können somit für weitere statisch konfigurierte Infrastruktur im selben Netz
verwendet werden.
(3)
(4)
Gehen Sie in das Menü Lokale Dienste -> DHCP-Server -> DHCP-Konfiguration ->
Neu.
(5)
Bei Schnittstelle wählen Sie die Schnittstelle aus.
(6)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. /*"'".$ .
(7)
(8)
(9)
(10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle ein, hier .
(11) Bestätigen Sie Ihre Angaben mit OK.
Gehen Sie folgendermaßen vor, um einen weiteren IP-Adress-Pool für den &*.$
einzurichten:
296
(1)
Geben Sie einen IP-Poolnamen ein, z. B. &*A.$.
(2)
von bis < .
(3)
(4)
Neu.
(5)
(6)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. &*.$ .
(7)
(8)
(9)
Workshops (Auszug)
bintec elmeg GmbH
(10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle, hier , ein.
Verfahren Sie analog, um den DHCP Pool für das /*"'"5" zu konfigurieren.
(1)
Geben Sie einen IP-Poolnamen ein, z. B. /*"'"5".
(2)
von bis < .
(3)
(4)
Neu.
(5)
(6)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. /*"'"5" .
(7)
(8)
(9)
(10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnittstelle, hier , ein.
Am Schluss konfigurieren Sie noch den DHCP Pool für das &*5".
(1)
Geben Sie einen IP-Poolnamen ein, z. B. &*5".
(2)
Geben Sie einen IP-Adressbereich an. In unserem Beispiel den IP-Adressbereich
von bis < .
(3)
(4)
Neu.
(5)
(6)
Wählen Sie einen gültigen IP-Pool aus, hier z. B. &*5" .
(7)
(8)
(9)
(10) Wählen Sie die Option 0$"#" aus, und geben Sie die IP-Adresse der Schnitt-
Workshops (Auszug)
297
bintec elmeg GmbH
stelle, hier ein.
Die Liste der konfigurierten DHCP Pools sieht nun wie folgt aus:
Abb. 195: Lokale Dienste -> DHCP-Server -> IP- Pool-Konfiguration
WLAN Controller-Einrichtung
Nun kann der Wireless LAN Controller auf der Schnittstelle aktiviert werden.
(1)
Gehen Sie zu Wireless LAN Controller -> Controller-Konfiguration -> Allgemein.
Abb. 196: Wireless LAN Controller -> Controller-Konfiguration -> Allgemein
(1)
298
Die Region muss passend zum Standort der Access Points eingerichtet werden, in
Workshops (Auszug)
bintec elmeg GmbH
unserem Beispiel &"*C. Die WLAN-Funkmodule der Access Points werden damit
nur innerhalb des gesetzlich erlaubten Rahmens des jeweiligen Landes betrieben.
(2)
Als Schnittstelle des WLAN Controllers wählen Sie aus.
(3)
Nach der Auswahl der Schnittstelle wechselt die DHCP-Server-Einstellungen automatisch auf -" .
(4)
Unter IP-Adressbereich wird der Adressbereich angezeigt, der im Menü DHCP-Pools
auf der Schnittstelle konfiguriert wurde, hier - .
(5)
Belassen Sie den Slave-AP-Standort auf .(* J.$K.
(6)
Die Einstellungen sind jetzt aktiv und der WLAN Controller wird gestartet.
Anschließend werden die Drahtlosnetzwerke (VSS) bearbeitet.
Gehen Sie in folgendes Menü, um Ihr WLAN-Netzwerk zu erstellen:
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS).
Konfigurieren Sie die WLAN-Verbindung, indem Sie den Standardeintrag bearbeiten. Klicken Sie dazu bei dem vorhandenen Eintrag <vss-1> auf das
-Symbol.
Workshops (Auszug)
299
bintec elmeg GmbH
(VSS) -> <vss-1>
300
(1)
Unter Netzwerkname (SSID) tragen Sie z. B. /*"'" ein. Die Option Sichtbar
bleibt aktiviert.
(2)
(3)
Der WPA Cipher wird auf ,- gesetzt.
(5)
Setzen Sie den WPA2 Cipher auf 5.
(6)
Der Preshared Key ist das WLAN-Zugangspasswort für alle Mitarbeiter. Geben Sie
eine ASCII-Zeichenfolge mit 8 - 63 Zeichen ein.
(7)
Aktivieren Sie die Option VLAN.
(8)
Geben Sie die VLAN-ID ein.
Dies bewirkt, dass alle Daten der später mit der SSID /*"'" verbundenen
WLAN-Geräte von den Slave-Access Points im Ethernet mit der VLAN-ID mar-
.
Workshops (Auszug)
bintec elmeg GmbH
kiert werden. Somit ist der Mitarbeiterdatenverkehr zwischen Router und Access
Points auch auf Ethernet-Ebene (Layer 2) ein eigenständiger Netzbereich.
(9)
Wählen Sie die Schaltfläche Neu, um ein Drahtlosnetzwerk für den Gastzugang zu konfigurieren.
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Drahtlosnetzwerke (VSS) -> Neu.
(VSS) -> Neu
Workshops (Auszug)
(1)
Unter Netzwerkname (SSID) tragen Sie z. B. &* ein. Die Option Sichtbar bleibt
aktiviert.
(2)
(3)
Der WPA Cipher wird auf ,- gesetzt.
.
301
bintec elmeg GmbH
(5)
Setzen Sie den WPA2 Cipher auf 5.
(6)
Das Preshared Key ist das WLAN-Zugangspasswort für alle Gäste. Geben Sie eine
ASCII Zeichenfolge mit 8 - 63 Zeichen ein.
(7)
Aktivieren Sie die Option VLAN.
(8)
Geben Sie die VLAN-ID ein.
(9)
Im nächsten Schritt werden die Funkmodulprofile bearbeitet. Konfigurieren Sie die Funkmodulprofile, indem Sie den Standardeintrag bearbeiten.
(1)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Funkmodulprofile .
(2)
Klicken Sie bei dem vorhandenen Eintrag <2.4 GHz Radio Profile> auf das
-
Symbol.
<2.4 GHz Radio Profile>
302
Workshops (Auszug)
bintec elmeg GmbH
(1)
Belassen Sie die Einstellung Frequenzband = &;7 -S ".
(2)
Wählen Sie bei Drahtloser Modus aus. Die Änderung des Drahtlosen
Modus bewirkt, dass alte relativ rar gewordene WLAN-Geräte, die nur 802.11b sprechen, das WLAN nicht mehr nutzen können. Der große Vorteil nur 802.11g/n zu erlauben besteht darin, dass der Datendurchsatz für alle angeschlossenen WLAN-Geräte
nicht mehr automatisch drastisch reduziert wird, sobald ein WLAN-Gerät versucht im
802.11b-Modus ins WLAN-Netz zu gelangen.
(3)
Aktivieren Sie die Option Burst-Mode, um die Übertragungsgeschwindigkeit zu erhöhen.
(4)
(5)
Wählen Sie den gewünschten Kanalplan aus. Mit %7" +" können Sie
die gewünschten Kanäle selbst auswählen.
(6)
Unter Benutzerdefinierter Kanalplan wählen Sie die erlaubten Kanäle, , <, und
2 aus. Dieser Kanalplan ist für alle Länder, in denen die Kanäle 1 bis 13 erlaubt
sind, als optimaler Kanalplan empfohlen und hat bei 802.11g/n keine (nennenswerte)
Frequenzüberlappung. Die Access Points haben somit mehr Auswahlmöglichkeiten,
einen möglichst störungsfreien Kanal zu nutzen, was die Leistungsfähigkeit und Zuverlässigkeit des gesamten WLANs steigert.
(7)
Aktivieren Sie die Funktion Short Guard Interval, um das Guard Interval (= Zeit zwischen der Übertragung von zwei Datensymbolen) von 800 ns auf 400 ns zu verkürzen.
(8)
Belassen Sie die übrigen Einstellungen und bestätigen Sie mit OK.
Somit sind alle benötigten Profile im WLAN Controller eingerichtet.
Jetzt werden die Access Points aktiviert und eingerichtet. Im Menü Slave Access Points
wird eine Liste aller mit Hilfe des Wizard gefundenen APs angezeigt.
(1)
Workshops (Auszug)
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points.
303
bintec elmeg GmbH
Hinweis
Wenn keine Access Points angezeigt werden, empfiehlt es sich, nochmals die DHCPServer-Einstellungen für den DHCP-Pool *# zu überprüfen, ob er auf die
korrekte Schnittstelle (hier ) gebunden ist und die CAPWAP-Option korrekt (hier
) eingerichtet ist. Überprüfen Sie auch, ob im Systembereich auf einem anderen Gerät versehentlich ein weiterer DHCP-Server aktiv ist. Schalten Sie alle Access Points aus und wieder ein, damit sie nochmal die Netzkonfigurationseinstellungen vom DHCP-Server beziehen.
Zum Schluss werden die zuvor konfigurierten Funkmodulprofile und Drahtlosnetzwerke
für jeden Access Point eingerichtet.
(1)
304
Gehen Sie zu Wireless LAN Controller -> Slave-AP-Konfiguration -> Slave Access Points
.
Workshops (Auszug)
bintec elmeg GmbH
(1)
Bei Standort geben Sie z. B. +"7"* ein.
(2)
Bei Beschreibung geben Sie z. B. /*"( ein.
(3)
Bei CAPWAP-Verschlüsselung belassen Sie (#" .
(4)
Bei Betriebsmodus belassen Sie 5 . Dies bewirkt, dass alle Einstellungen in den
gewählten Funkmodulprofilen verwendet werden.
(5)
Als Aktives Funkmodulprofil wählen Sie das zuvor konfigurierte Funkmodulprofil,
hier &;7 H* "+ aus.
(6)
Den Kanal belassen Sie auf (er wird somit anhand des Kanalplan des Funkprofils und der WLAN-Umgebung dynamisch bestimmt).
(7)
Bei Zugewiesen Drahtlosnetzwerke (VSS) werden die beiden konfigurierten Drahtlosnetzwerke /*"'" und &* dem Funkmodul zugewiesen.
(8)
Konfigurieren Sie analog dazu alle gefundenen Access-Points.
Hinweis
Jeder Access Point muss eine eindeutige Standortbezeichnung bekommen. Andernfalls wird man im laufenden Betrieb die Access Points nicht mehr voneinander unterscheiden können.
Workshops (Auszug)
305
bintec elmeg GmbH
Nachdem alle Access Points eingerichtet sind, werden sie nach einer kurzen Initialisierungsphase mit dem Status /** gekennzeichnet und sind somit nun in Betrieb. Zudem sind sie durch den WLAN-Controller gegen jede Art eines externen Konfigurationszugriffs gesperrt.
Durch Klicken auf die
-Schaltfläche oder die
-Schaltfläche in der Spalte Aktion wäh-
len Sie aus, ob der gewählte Access Point vom WLAN Controller verwaltet werden soll.
Sie können einen Access Point vom WLAN Controller trennen und ihn somit aus Ihrer
WLAN-Infrastruktur entfernen, indem Sie auf die
-Schaltfläche klicken. Der Access Point
bekommt dann den Status &+ , aber nicht mehr /** .
Die auf der Übersichtsseite angezeigten momentan verwendeten WLAN-Kanäle sind noch
nicht optimal, da sich die Access Points während der initialen Inbetriebnahme nur auf die
allgemeine WLAN-Umgebung abstimmen konnten.
Klicken Sie unter Neue Kanalfestlegung auf die Schaltfläche START , um die zugewiesenen Kanäle optimal gegenseitig abstimmen zu lassen.
Wenn die Kanalfestlegung abgeschlossen ist, sollten jeweils direkt benachbarte Access
Points unterschiedliche Kanäle haben.
306
Workshops (Auszug)
bintec elmeg GmbH
Die WLAN Controller-Konfiguration und die Konfiguration des Routers als Zugangsgateway
ist somit abgeschlossen. Speichern Sie die Konfiguration mit Konfiguration speichern
und bestätigen Sie die Auswahl mit OK.
Hinweis
In manchen Fällen kann es passieren, dass auch nach der neuen Kanalfestlegung einzelne benachbarte Access Points dennoch denselben Kanal belegen. Dies passiert
immer dann, wenn sich benachbarte Access Points nur unzureichend oder gar nicht
gegenseitig per WLAN erkennen können. Bei korrekten Abständen der Access Points
sind starke lokale Störeinflüsse durch fremde Access Points eine häufige Ursache
hierfür oder eine schwierige Gebäudestruktur wie (zumeist geschlossene) Feuerschutztüren aus Stahl zwischen zwei unmittelbar benachbarten Gebäudebereichen. In
diesem Fall empfiehlt es sich, für diese einzelnen betroffenen Access Points paarweise manuell einen fixen Kanal (passend zum Kanalplan) für die Funkmodule zu setzen
und die Kanalneusuche erneut zu starten. Dadurch werden für die übrigen mit automatischer Kanalwahl konfigurierten Access Points die Kanäle passend zur Umgebung der
fix eingerichteten Access Points vergeben.
Schnittstellen zuweisen
Field
Menu
Value
Switch-Port 1 bis 5
Physikalische Schnittstellen ->
bis Ethernet-Ports -> Portkonfiguration
Internetzugang einrichten
Workshops (Auszug)
307
bintec elmeg GmbH
Field
Menu
Value
Verbindungstyp
Assistenten -> Internetzugang ->
Internetverbindungen -> Neu
5B" &*@*C
*' Physischer EthernetPort
Internetverbindungen -> Weiter
5,;<
Internet Service Provider Assistenten -> Internetzugang ->
%7" +"
IP-Parameter dynamisch Assistenten -> Internetzugang ->
abrufen
Deaktiviert
Lokale IP-Adresse
z. B. 2
Gateway-IP-Adresse
z. B. 2
Netzmaske
<<<<<<
DNS-Server 1
z. B. 2
Schnittstellen konfigurieren
308
Field
Menu
Value
IP-Adresse/Netzmaske
LAN -> IP-Konfiguration -> Schnitt- und
stellen -> <en1-0>
<<<<<<
stellen -> <en1-1>
<<<<<<
stellen -> <en1-2>
<<<<<<
Adressmodus
stellen -> Neu
stellen -> Neu
<<<<<<
Schnittstellenmodus
stellen -> Neu
VLAN-ID
J:.$K
Workshops (Auszug)
bintec elmeg GmbH
Field
Menu
Value
Adressmodus
stellen -> Neu
stellen -> Neu
<<<<<<
Schnittstellenmodus
stellen -> Neu
VLAN-ID
J:.$K
Zugriff einrichten
Field
Menu
Value
en1-0
Systemverwaltung -> Administrati- ,, ;, ;,,,
ver Zugriff -> Zugriff
;,,, , $/
en1-1 bis en1-4
Systemverwaltung -> Administrati- ver Zugriff -> Zugriff
Passwort ändern
Field
Menu
Value
z. B. 2<
Systemadministrator-Pass-Systemverwaltung -> Globale Einwort bestätigen
z. B. 2<
Firewall einrichten
Field
Menu
Value
Beschreibung
Neu
.(*0
Mitglieder
Neu
z. B. , , !,
!
Field
Menu
Value
Beschreibung
Firewall -> Adressen -> Adressliste %"* *
-> Neu
Adresse/Subnetz
Firewall -> Adressen -> Adressliste <<<<<<<< /
-> Neu
<<<<<<<<
Beschreibung
Firewall -> Adressen -> Adressliste z. B. /*"'"
-> Neu
.$&
Adressen definiern
Workshops (Auszug)
309
bintec elmeg GmbH
Field
Menu
Value
Adresse/Subnetz
Firewall -> Adressen -> Adressliste /
-> Neu
<<<<<<<<
Beschreibung
Firewall -> Adressen -> Adressliste &*.$&
-> Neu
Adresse/Subnetz
-> Neu
<<<<<<<<
Beschreibung
Firewall -> Adressen -> Adressliste /*"'"
-> Neu
.$&
Adresse/Subnetz
-> Neu
<<<<<<<<
Beschreibung
Firewall -> Adressen -> Adressliste &*.$&
-> Neu
Adresse/Subnetz
-> Neu
<<<<<<<<
Gruppen definiern
Field
Menu
Value
Beschreibung
Firewall -> Schnittstellen -> Gruppen -> Neu
/*"'"
Mitglieder
.$A5$, .5
50A5$
Beschreibung
&*
Mitglieder
.$A5$, .5
50A5$
Beschreibung
%7"
Mitglieder
.$A5$,
.$A5$, .5
50A5$
, .5
50A5$
Richtlinien erstellen (über den Router verbundene Netzbereiche)
310
Field
Menu
Value
Quelle
.$A5$
Ziel
$D
Workshops (Auszug)
bintec elmeg GmbH
Field
Menu
Value
Dienst
*C
Aktion
E"++
Quelle
/*"'"
Ziel
%7"
Dienst
*C
Aktion
E"++
Quelle
&*
Ziel
&*
Dienst
*C
Aktion
E"++
Quelle
%7"
Ziel
.$A5$
Dienst
*C
Aktion
E"++
Richtlinien erstellen (auf den Router gebundene IP-Adressen)
Workshops (Auszug)
Field
Menu
Value
Quelle
%7"
Ziel
%"* *
Dienst
.(*0
311
bintec elmeg GmbH
Field
Menu
Value
Aktion
E"++
Quelle
.$A5$
Ziel
/*"'".$&
Dienst
.(*0
Aktion
E"++
Quelle
.$A5$
Ziel
&*.$&
Dienst
.(*0
Aktion
E"++
Quelle
.550A5$
Ziel
/*"'"
.$&
Dienst
.(*0
Aktion
E"++
Quelle
.550A5$
Ziel
&*.$&
Dienst
.(*0
Aktion
E"++
DHCP-Konfiguration
312
Workshops (Auszug)
bintec elmeg GmbH
Workshops (Auszug)
Field
Menu
Value
IP-Poolname
z. B. *#
IP-Adressbereich
Schnittstelle
IP-Poolname
z. B. *#
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ DHCP-Optionen
0$"#" /
und "" /
IP-Poolname
z. B. /*"'"
.$
IP-Adressbereich
<
Schnittstelle
IP-Poolname
z. B. /*"'"
.$
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ DHCP-Optionen
DHCP-Konfiguration-> Neu
0$"#" /
IP-Poolname
z. B. &*.$
IP-Adressbereich
<
Schnittstelle
IP-Poolname
z. B. &*.$
313
Field
Menu
bintec elmeg GmbH
Value
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ DHCP-Optionen
0$"#" /
IP-Poolname
z. B. /*"'"
5"
IP-Adressbereich
<
Schnittstelle
IP-Poolname
z. B. /*"'"
5"
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ DHCP-Optionen
0$"#" /
IP-Poolname
z. B. &*5"
IP-Adressbereich
<
Schnittstelle
IP-Poolname
z. B. &*5"
Pool-Verwendung
.(*
Gateway
H" * &*@*C
#"@ DHCP-Optionen
0$"#" /
Wireless LAN Controller konfigurieren
314
Workshops (Auszug)
bintec elmeg GmbH
Field
Menu
Value
Region
&"*C
Schnittstelle
.$A5$
DHCP-Server
-"
IP-Adressbereich
Slave-AP-Standort
.(* J.$K
Drahtlosnetzwerke bearbeiten
Workshops (Auszug)
Field
Menu
Value
Netzwerkname (SSID)
Wireless LAN Controller -> SlaveAP-Konfiguration -> Drahtlosnetzwerke (VSS) -> <vss-1>
z. B. /*"'"
Sicherheitsmodus
WPA-Modus
WPA Cipher
,-
WPA2 Cipher
5
Preshared Key
Passwort eingeben
VLAN
(#"
VLAN-ID
315
bintec elmeg GmbH
Field
Menu
Value
Netzwerkname (SSID)
Wireless LAN -> WLAN1 -> Drahtlosnetzwerke (VSS) -> Neu
z. B. &*
Sicherheitsmodus
WPA-Modus
WPA Cipher
,-
WPA2 Cipher
5
Preshared Key
Passwort eingeben
VLAN
(#"
VLAN-ID
Funkmodulprofile bearbeiten
Field
Menu
Value
Frequenzband
Wireless LAN Controller -> SlaveAP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile>
&;7 -S "
Drahtloser Modus
Burst-Mode
(#"
Kanalplan
-> Erweiterte Einstellungen
Benutzerdefiniert
Benutzerdefinierter Kan- Wireless LAN Controller -> Slavealplan
AP-Konfiguration -> Funkmodulprofile -> <2.4 GHz Radio Profile>
316
, <, , 2
Workshops (Auszug)
bintec elmeg GmbH
Field
Menu
Value
Short Guard Interval
(#"
Slave Access Points einrichten
Workshops (Auszug)
Field
Menu
Value
Standort
Points
z. B. +"7"*
Beschreibung
Points
z. B. /*"(
CAPWAP-Verschlüsselung
Points
(#"
Betriebsmodus
Points
5
Points
&;7 H* "
+
Kanal
Points
Points
#) /*"'"
/ #) &*
Standort
Points
z. B. F
Standort
Points
z. B. ,""*
Standort
Points
z. B. 6" 7 ,"!
!*
317
bintec elmeg GmbH
Field
Menu
Value
Standort
Points
z. B. 6"((
Standort
Points
z. B. 6" Field
Menu
Value
Neue Kanalfestlegung
Points
START
Neue Kanalfestlegung
318
Workshops (Auszug)
12 WLAN - Cloud NetManager
bintec elmeg GmbH
Kapitel 12 WLAN - Cloud NetManager
12.1 Einleitung
Der Cloud NetManager ist ein System, das in der Lage ist sowohl sehr kleine als auch sehr
große und auf viele Standorte verteilte Netze zu verwalten.
Voraussetzungen
• Ein registrierter Benutzer auf dem Portal des Cloud NetManager
• Ein oder mehrere bintec WLAN Access Points z. B. W1001n, W1003n, W2003n, … mit
der Software Rel. 10.1.8 Patch 2 oder höher
• Den DVC (Device Verification Code) des zu verwaltenden Access Points oder ein DHCPServer, der die Option 43 unterstützt
• Für jeden Access Point eine gültige Cloud NetManager-Lizenz
• Ein Internetzugang
12.2 Erste Schritte im Portal
12.2.1 Anlegen eines Benutzers
Öffnen Sie einen Browser, und geben Sie in die Adresszeile die URL: https://bintec.networkcloudmanager.com ein.
Sie müssen sich zuerst registrieren. Klicken Sie dazu auf der Anmeldeseite oben rechts auf
Register.
Geben Sie die erforderlichen Daten für die Registrierung ein.
Workshops (Auszug)
319
bintec elmeg GmbH
Abb. 204: Online registration
Die Felder Partner number und Login sind optional.
Falls Sie für Ihr Unternehmen mehr als ein Benutzerkonto haben, beachten Sie bitte Folgendes:
• Falls ein weiterer Benutzer das gleiche WLAN-Netz verwalten soll, so legen Sie hier keinen weiteren Benutzer an. Weitere Benutzer für Ihren Account können Sie nach dem Login einrichten, sowohl mit vollen als auch mit eingeschränkten Benutzerrechten.
• Wenn Sie einen weiteren Benutzer einrichten möchten, der die Einstellungen des ersten
bereits eingerichteten Benutzers nicht sehen soll, so können Sie das an dieser Stelle tun.
Beachten Sie bitte, dass für jeden Firmennamen nur ein Benutzer eingerichtet werden
kann. Daher muss man möglicherweise die Schreibweise der Firma variieren (z. B. Firma_1; Firma_2; …).
• Nach dem Absenden des Registrierungsformulars erhalten Sie eine E-Mail, dies kann ei-
320
Workshops (Auszug)
bintec elmeg GmbH
nige Minuten dauern.
• Folgen Sie den Anweisungen und legen Sie ein Passwort für Ihren Benutzer fest.
12.2.2 Ändern der Zeitzone
Die Zeitzone steht beim ersten Login auf UTC. Bitte ändern Sie diese auf Europe/Berlin.
Zusätzlich haben Sie hier die Möglichkeit, die Sprache auszuwählen.
Abb. 205: Ändern der Zeitzone
12.2.3 Einspielen der Lizenzen
Gehen Sie auf der Statusseite in das Menü Lizenzen->Lizenzen für diesen cloud Server>Neue Lizenz.
Workshops (Auszug)
321
bintec elmeg GmbH
Abb. 206: Neue Lizenz
• Tragen Sie die Seriennummer und den Lizenzschlüssel (PIN) ein.
• Drücken Sie auf Lizenz registrieren.
In der Übersicht Lizenzen verwalten wird angezeigt, welche Lizenzen unter Ihrem Account
verfügbar sind.
Abb. 207: Übersicht
Bitte beachten Sie, dass hier immer nur die installierten Lizenzen angezeigt werden. Die
Verfügbarkeit zeigt nicht die Restlaufzeit an, sondern die Laufzeit der gekauften Lizenz
bzw. des Lizenzpaketes.
• Eine Lizenz, die auf einen Benutzer-Account registriert wurde, kann nachträglich nicht
auf einen anderen Benutzer übertragen werden.
• Die Lizenzlaufzeit wird nur herunter gezählt, wenn die Lizenz für das Management eines
Gerätes genutzt wird. Wenn das verwaltete Gerät entfernt wird, steht die Lizenz für andere Geräte zur Verfügung. Die Laufzeit wird nicht herunter gezählt, wenn die Lizenz nicht
in Benutzung ist.
322
Workshops (Auszug)
bintec elmeg GmbH
• Wenn die Lizenz für ein verwaltetes Gerät ausläuft, holt sich das System eine weitere Lizenz aus dem Pool der registrierten Lizenzen. Wenn keine freie Lizenz mehr vorhanden
ist, wird das Management für das betreffende Gerät gestoppt. Es ist keine Veränderung
der Konfiguration und auch kein Monitoring mehr möglich. Das Gerät selbst funktioniert
selbstverständlich weiter, auch nach einem Stromausfall.
Sie können sich die Lizenzen anzeigen lassen, die von einem verwalteten Gerät benutzt
werden. Klicken Sie dazu unter Status auf Gültige Lizenz.
Abb. 208: Geräte, die der Lizenz zugeordnet sind
12.3 Anlegen der Profile
12.3.1 Anlegen der Netzwerkprofile (SSID)
Mindestens ein Netzwerkprofil (SSID) muss angelegt werden.
Gehen Sie dazu in das Menü Konfiguration->Netzwerk.
Klicken Sie auf Neues Netzwerkprofil.
Workshops (Auszug)
323
bintec elmeg GmbH
Abb. 209: Netzwerkprofile
324
Workshops (Auszug)
bintec elmeg GmbH
Abb. 210: Konfiguration der Netzwerkprofile
Die wesentlichen Parameter für die jeweilige SSID sind voreingestellt. Die Parameter sind
identisch zur Standardkonfiguration der bintec Access Points oder des WLAN Controllers.
• Bei Profilname geben Sie den Namen des WLAN-Netzwerksprofils ein.
• Der Netzwerkname (SSID) ist der Name des WLAN-Netzwerks, wie er von Benutzern
des Acess Points gesehen wird.
• Klicken Sie auf Neues Netzwerkprofil, um Ihre Angaben zu bestätigen.
Workshops (Auszug)
325
bintec elmeg GmbH
12.3.2 Anlegen der Funkprofile
Mindestens ein Funkprofil muss angelegt werden.
Wenn Access Points mit zwei Funkmodulen verwaltet werden sollen, sollte für 2,4 GHz und
für 5 GHz jeweils ein Funkprofil angelegt werden. Die Parameter sind identisch zur Standardkonfiguration der bintec Access Points oder des WLAN Controllers.
Gehen Sie in das Menü Konfiguration->Funkmodul->Neues Funkmodul-Profil .
Abb. 211: Neues Funkmodulprofil
• Geben Sie einen Namen für das Funkprofil ein.
• Stellen Sie den Betriebsmodus auf .
• Für Band = 4 &;7 wählen Sie die Bandbreite /;7 aus.
• Für Band = < &;7 wählen Sie die Bandbreite /;7 oder /;7 (empfohlen) aus.
• Der WLAN-Modus für 2,4 GHz Profile setzen Sie auf '.
• Der WLAN-Modus für 5 GHz Profile setzen Sie auf *.
• Bestätigen Sie Ihre Angaben, indem Sie auf Neues Funkmodul-Profil klicken.
326
Workshops (Auszug)
bintec elmeg GmbH
12.3.3 Anlegen der Gerätevorlagen / Access-Point-Vorlage
Mindestens eine Gerätevorlage muss definiert werden.
Gehen Sie in das Menü Konfiguration->Access Point->Neue Access-Point-Vorlage .
Abb. 212: Gerätevorlage
• Geben Sie bei Vorlagenname einen Namen der Vorlage ein.
• Geben Sie das Administrator-Passwort ein.
• Das Administrator-Passwort ist das Passwort zum lokalen Einloggen auf einem Access
Point. Im Gegensatz zum bintec WLAN Controller kann man sich hier auf einen Access
Point lokal einloggen. Allerdings sind alle WLAN-relevanten Teile der Konfiguration nicht
lokal konfigurierbar.
• Falls Sie bei der SSID-Konfiguration den Sicherheitsmodus 5"!" gewählt
haben, müssen Sie hier ein Radius Server Profile definieren.
• Wichtig ist, dass dem Funkmodul 1 ein 2,4 GHz-Funkprofil und dem Funkmodul 2 ein 5
GHz-Funkprofil zugeordnet wird.
Workshops (Auszug)
327
bintec elmeg GmbH
• Bestätigen Sie Ihre Angaben, indem Sie auf Neue Access-Point-Vorlage klicken.
12.3.4 Geräte verwalten
Im Menü Geräte wird eine Liste aller registrierten Geräte angezeigt. Zuerst müssen Sie eine Gruppe anlegen.
Abb. 213: Geräte verwalten
Gehen Sie in das Menü Geräte->Gruppen->Neue Gruppe.
Abb. 214: Geräte verwalten / Gruppe
• Wählen Sie die zuvor definierte Konfigurationsvorlage aus.
• Aktivieren Sie die Automatische Aktualisierung. Hiermit wird jede Konfigurationsänderung sofort wirksam.
• Bestätigen Sie Ihre Angaben, indem Sie auf Neue Gruppe klicken.
12.4 Access Points registrieren und verwalten
Um ein neues Gerät hinzuzufügen, gehen Sie in das Menü Geräte->Geräte
verwalten->Geräte hinzufügen.
328
Workshops (Auszug)
bintec elmeg GmbH
Abb. 215: Access Points registrieren und verwalten
12.4.1 Geräte manuell anmelden
Für eine manuelle Registrierung, gehen Sie in das Menü Geräte->Geräte
hinzufügen->Manuelle Anmeldung.
Abb. 216: Manuelle Anmeldung
• Wenn bei Modus die Option Geben Sie die Seriennummer manuell ein aktiviert ist, benötigen Sie die Seriennummer, die Sie auf dem Typenschild des Gerätes finden.
• Wenn bei Modus die Option Geben Sie Geräte aus der Datenquelle (.cvs) ein aktiviert
Workshops (Auszug)
329
bintec elmeg GmbH
ist, benötigen Sie den Gerätesicherheitscode (DVC), den Sie auf dem Typenschild des
Gerätes finden. Falls der DVC noch nicht auf dem Typenschild des Gerätes vorhanden
ist, so wenden Sie sich bitte an unseren Support.
• Wenn Sie mehr als ein Gerät gleichzeitig registrieren möchten, können Sie eine CSVDatei erstellen und einlesen.
• Klicken Sie auf Geräte hinzufügen, um Ihre Angaben zu bestätigen.
12.4.2 Gerät automatisch anmelden
Für die automatische Registrierung, gehen Sie in das Menü Geräte->Geräte
hinzufügen->Automatische Anmeldung.
Abb. 217: Automatische Anmeldung
Mit der DHCP-Option 2 kann der lokale DHCP-Server des Netzes, in dem sich der Access Point befindet, dem Access Point mitteilen, mit welcher User-ID sich der Access Point
beim Cloud NetManager anmelden soll. Dadurch wird eine automatische Registrierung und
eine automatische Inbetriebnahme ohne Eingabe von Seriennummer und DVC Code
(siehe Geräte verwalten auf Seite 328) ermöglicht.
12.5 Geräte Verwaltung
Im Menü Geräte werden nun die registrierten Geräte angezeigt.
330
Workshops (Auszug)
bintec elmeg GmbH
Abb. 218: Geräte anzeigen
Durch Klicken auf die Zeile eines Gerätes in der Übersicht wird die Detailansicht angezeigt.
Mit Bearbeiten können Sie die Details bearbeiten, die Auslastung und die Erweiterten
Optionen anzeigen lassen.
Abb. 219: Detailansicht
12.5.1 Batch-Operationen und Software-Update
In der Geräteansicht finden sich weitere Möglichkeiten zur Geräteverwaltung. Wenn Sie in
der Geräteansicht mehrere Geräte markieren, gibt es zum Beispiel die Möglichkeit BatchOperationen zu starten, um die Firmware der markierten Geräte zu aktualisieren.
Workshops (Auszug)
331
bintec elmeg GmbH
Abb. 220: Bach-Operationen
Abb. 221: Operationen wählen
12.6 Anhang
12.6.1 Einrichtung eines anderen Rechenzentrums
Wenn Sie nicht unseren Cloud NetManager als SaaS (Software as a Service) verwenden
möchten, sondern den Virtual Cloud NetManager in Ihrem eigenen Rechenzentrum hosten
möchten, müssen Sie den Access Points eine andere Cloud NetManager-URL zuweisen.
Dazu haben Sie zwei Möglichkeiten.
12.6.1.1 URL Zuweisung über die DHCP Option 43
Sie können den Access Point eine andere Cloud NetManager-URL zuweisen. Dazu müssen Sie beim dem lokalen DHCP-Server die Option 43 (vendor specific option) konfigurieren.
332
Workshops (Auszug)
bintec elmeg GmbH
Wenn Sie den DHCP-Server eines bintec-Router verwenden, gehen Sie folgendermaßen
vor:
Gehen Sie im GUI (Graphical User Interface) in das Menü Lokale
Dienste->DHCP-Server->DHCP-Konfiguration.
Abb. 222: Lokale Dienste->DHCP-Server->DHCP-Konfiguration
• Wählen Sie das Symbol
, um den entsprechenden Eintrag zu bearbeiten.
• Gehen Sie zur Erweitere Einstellungen.
• Klicken Sie im Feld DHCP-Optionen auf die Schaltfläche Hinzufügen und wählen Sie
die Option = : " " aus.
• Klicken Sie auf das Symbol
, um den Eintrag zu bearbeiten.
• Bei Hersteller auswählen wählen Sie aus.
• Bei Herstellerbeschreibung geben Sie den Namen des Herstellers, z. B. ein.
• Unter Vendor Option String geben Sie die neue Cloud NetManager-URL ein. Wenn Sie
gleichzeitig eine User-ID übermitteln möchten, lesen Sie zuvor den String aus dem Cloud
NetManager aus (siehe Gerät automatisch anmelden auf Seite 330).
• Klicken Sie auf die Schaltfläche Übernehmen.
12.6.1.2 Direkte URL Änderung in der GUI
Über die GUI des Access Point können Sie eine andere Cloud NetManager-Adresse eintragen.
Optional kann auch die User-ID des betreffenden Kontokontos übergeben werden. In diesem Fall wird das Gerät automatisch registriert und mit der Standardkonfiguration konfigu-
Workshops (Auszug)
333
bintec elmeg GmbH
riert.
Gehen Sie in das Menu Systemverwaltung ->Globale Einstellungen->System.
Abb. 223: Systemverwaltung ->Globale Einstellungen->System
• Aktivieren Sie die Option Kommunikation mit dem NetManager.
• Im Feld IP-Adresse des NetManagers geben Sie die Cloud NetManager Adresse des
Servers ein.
• Bestätigen Sie Ihre Angaben mit OK.
12.6.2 Automatische Konfiguration
Mit dem Cloud NetManager haben Sie die Möglichkeit eine einmal festgelegte Konfiguration automatisch auf jeden neuen Access Point der an das lokale LAN angeschlossen wird
zu übertragen. Dieses Verfahren ist z. B. für kleine Filialen, die kein eigenes IT Personal
vor Ort haben, geeignet um schnell und einfach neue Access Points in Betrieb zu nehmen.
Um die automatische Konfiguration nutzen zu können, müssen drei Voraussetzungen erfüllt sein:
(a) Der Access Point muss sich automatisch am Cloud NetManager anmelden können.
Dazu ist entweder die DHCP Option 43 mit dem User-ID String zu setzten oder die
Cloud NetManager URL in der GUI des Access Point anzupassen. Die kundenspezifische URL mit User-ID können Sie unter Geräte->Geräte hinzufügen->Automatische
Anmeldung im Cloud NetManager nachschauen.
334
Workshops (Auszug)
bintec elmeg GmbH
Abb. 224: Geräte->Geräte hinzufügen->Automatische Anmeldung
(b) Im Cloud NetManager unter Geräte->Gruppen muss eine Standardgruppe definiert
sein.
(c) Im Cloud NetManager unter Geräte->Gruppen muss bei der Standardgruppe die Option Automatische Aktualisierung aktiv sein.
Abb. 225: Geräte->Gruppen
12.7 Fehlersuche
Workshops (Auszug)
335
bintec elmeg GmbH
12.7.1 Ein neues Gerät ist nicht sichtbar
Es gibt eine Reihe von Gründen, warum ein Gerät in der Geräteübersicht nicht angezeigt
wird, obwohl der richtige DVC Code eingegeben wurde.
• Das Gerät wird lokal von einem WLAN Controller verwaltet. Bitte setzen Sie das Gerät in
den Auslieferungszustand zurück und löschen Sie die DHCP-Option WLAN Controller
im lokalen DHCP Server.
• Die lokale Firewall hat den Port 443 für ausgehende Verbindungen gesperrt.
12.7.2 Keine Kommunikation mehr mit einem verwalteten Gerät
Das Logo, das den Zustand der Kommunikation anzeigt, ist nicht mehr grün, sondern rot.
Abb. 226: Kommunikationsfehler
Zunächst sollte man sicherstellen, dass der Access Point eine Verbindung zum Internet
hat. Falls die Probleme weiterbestehen, kann ein fehlerhaftes SSL-Zertifikat die Ursache
sein. Dies kann verschiedene Ursachen haben, z. B. kann es auf dem Access Point gelöscht worden sein, oder das Gerät war zuvor unter einem anderen Konto angemeldet.
In diesem Fall sollte die Konfiguration des Gerätes in den Auslieferungszustand zurückgesetzt und das Sicherheitszertifikat auf dem Server für den betreffenden Access Point gelöscht werden.
336
Workshops (Auszug)
bintec elmeg GmbH
12.7.3 Weitere Debug-Möglichkeiten
Im Menü Geräte->Geräte verwalten wählen Sie ein Gerät aus. Gehen Sie zu Geräte verwalten->Konfiguration.
Klicken Sie auf das kleine Logo um sich die Konfigurationsdatei anzeigen zu lassen.
Workshops (Auszug)
337
bintec elmeg GmbH
Abb. 229: Debug-Möglichkeiten
Beachten Sie, dass alle Passwörter in dieser Datei verschlüsselt angezeigt werden.
Abb. 230: Debug-Meldung
12.7.4 Debugging auf Geräteebene
Falls keine Kommunikation zwischen Access Point und Cloud NetManager zustande
kommt, können Sie mit Hilfe von Telnet oder SSH-Terminals die Kommunikation verfolgen.
Dazu müssen Sie sich an den Access Point anmelden und den Befehl „debug tremp“ eingeben. Es wird die Kommunikation zwischen Access Point und Cloud NetManager angezeigt.
338
Workshops (Auszug)
bintec elmeg GmbH
Kommunikationsprobleme und Zertifikatsprobleme lassen sich auf diese Weise schnell
analysieren.
Workshops (Auszug)
339
13 WLAN - Installation und Inbetriebnahme des Virtual
Cloud NetManager
bintec elmeg GmbH
Kapitel 13 WLAN - Installation und Inbetriebnahme des Virtual Cloud NetManager
13.1 Voraussetzungen
• Eine Virtual Cloud NetManager Serverlizenz
• Die Installationsdateien, diese erhalten Sie beim Kauf einer Virtual Cloud NetManager
Server Lizenz
• Für jedes zu verwaltende Gerät benötigen Sie eine Virtual Cloud NetManager Gerätelizenz
• Eine betriebsbereite, den Systemanforderungen entsprechende Virtualisierungsplattform
• Ein registrierter Benutzer auf dem Portal des Cloud NetManager, um die Lizenz zu aktivieren
13.1.1 Systemvoraussetzungen für die Virtualisierungsplattform
Der Server benötigt zwei virtuelle Maschinen. Als Hypervisoren kommen in Frage: VMWare
ESXi (5.1 oder höher) der Citrix XenServer (6.0 oder höher)
- Virtuelle Maschine #1 (VM1): "Storage"
- Virtuelle Maschine #2 (VM2): "Service"
Mindestanforderungen für bis zu 100 Access Points
Virtual Machine Storage size
ID
# CPU
CPU Clock
RAM
VM1
50 GBytes
1
> 1 GHz
2 GBytes
VM2
20 GBytes
1
> 1 GHz
2 GBytes
Anforderungen für 5000 Access Points
Virtual Machine Storage size
ID
# CPU
CPU Clock
RAM
VM1
1 TBytes
4
> 2 GHz
16 GBytes
VM2
64 GBytes
2
> 2 GHz
8 GBytes
Die virtuellen Maschinen müssen sich gegenseitig im Netz "sehen". Das bedeutet in der
340
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Regel, dass die Netzwerkadapter im Hypervisor auf Bridged gestellt sein müssen.
13.1.2 Netzwerkanforderungen
Für diejenigen, die die virtuellen Maschinen firewall-technisch soweit wie möglich voneinander und vom Rest des Netzwerks isolieren wollen, folgen hier die genauen Anforderungen. Andere Benutzer können diesen Abschnitt einfach überspringen.
• Untereinander, also zwischen "Service" und "Storage" gelten folgende Anforderungen:
- "Service" benötigt mysql-Zugang zu "Storage" (TCP Port 3306).
- "Service" ist NFSv4 client von "Storage" (TCP Port 111 und 2049).
- Während eines Updates auf eine neuere Service-Version braucht "Service" ssh-Zugang
zu "Storage" (TCP Port 22).
• Von außen ist Folgendes notwendig:
- Vom Server verwaltete Access Points benötigen HTTPS-bzw. HTTP-Zugang zum konfigurierten Port von "Service" (Default: 8443).
- Benutzer der Weboberfläche benötigen ebenfalls HTTP(S)-Zugang zum Service-Rechner.
"Storage" muss von außen nicht erreichbar sein.
13.2 Installation und Konfiguration der virtuellen Maschinen
Beide virtuelle Maschinen sind weitgehend Standardinstallationen eines Debian GNU Linux-Servers. Auf der Konsole wird das jeweilige Konfigurationsmenü angezeigt. Ein Einloggen ist nicht erforderlich. Es sind wie üblich sechs virtuelle Konsolen konfiguriert, zwischen
denen mit der Tastenkombination Alt-F1 bis Alt-F6 gewechselt werden kann. Die virtuellen
Konsolen 2 bis 6 zeigen den normalen Login. Da kein gültiges root-Passwort angelegt ist,
ist ein Login dort jedoch vorerst nicht möglich. (Weiter unten ist beschrieben, wie Sie ein
solches vergeben können.)
Als Beispiel konfigurieren wir im Folgenden die beiden virtuellen Maschinen in einem gemeinsamen Netzwerksegment 192.168.0.0/24, "Storage" bekommt die IP-Adresse
192.168.0.185, "Service" bekommt die IP-Adresse 192.168.0.186, Standard-Gateway und
Name-Server ist die IP-Adresse 192.168.0.254.
Workshops (Auszug)
341
Cloud NetManager
bintec elmeg GmbH
13.2.1 Konfiguration des Storage-Servers
Nach dem Starten des Storage-Servers erscheint automatisch das Konfigurationsmenü.
Ein Login ist nicht erforderlich.
Netzwerkkonfiguration
342
(1)
Zuerst wird das Netzwerk konfiguriert. Wählen Sie im Hauptmenü den Punkt 1, Configure the network.
(2)
Danach wird die IP-Adresse des Storage-Servers eingetragen, in unserem Beispiel
<.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Workshops (Auszug)
(3)
Hier wird die Netzmaske eingetragen, in unserem Beispiel <<<<<<
.
(4)
Tragen Sie dann die Gateway-IP-Adresse ein, in unserem Beispiel <.
(5)
Im nächsten Schritt wird die DNS-Server-Adresse eingetragen, in unserem Beispiel
343
Cloud NetManager
bintec elmeg GmbH
<.
Damit ist die Netzwerkkonfiguration abgeschlossen.
Zugang zum Storage-Server
Als Nächstes konfigurieren Sie den Zugang zum Storage-Server. Wählen Sie dazu im
Hauptmenü den Punkt 2, Configure access to the storage server .
344
(1)
Zuerst wird die IP-Adresse des Servers eingetragen, der auf den Storage-Server zugreifen kann. In unserem Beispiel .
(2)
Im nächsten Schritt muss ein Datenbank-Passwort vergeben werden, über das der
Storage-Server erreicht werden kann.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
(3)
Damit Sie sich direkt über die Shell oder per SSH als " einloggen können, sollten
Sie ein root-Passwort festlegen.
Damit ist die Konfiguration des Zugangs zum Storage-Server abgeschlossen.
13.2.2 Konfiguration des Services
Nach dem Starten des Servers erscheint automatisch das Konfigurationsmenü. Ein Login
ist nicht erforderlich.
Netzwerkkonfiguration
(1)
Workshops (Auszug)
Im ersten Schritt wird wieder das Netzwerk konfiguriert. Wählen Sie im Hauptmenü
den Punkt 1, Configure the network.
345
Cloud NetManager
bintec elmeg GmbH
(2)
Geben Sie die IP-Adresse ein, unter wecher der Server später erreichbar sein soll, in
unserem Beispiel .
(3)
Alle weiteren Werte (IP-Adresse, Netzmaske, Gateway-IP-Adresse und die DNSServer-Adresse) können Sie aus der Konfiguration des Storage-Servers übernehmen.
Damit ist die Netzwerkkonfiguration abgeschlossen.
Zugang zu dem Storage-Server
Als Nächstes konfigurieren Sie den Zugang zum Storage-Server. Wählen Sie dazu im
346
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Hauptmenü den Punkt 2, Configure access to the storage server .
(1)
Zuerst muss die IP-Adresse des Storage-Server eingetragen werden, in unserem Beispiel <.
(2)
Zur Kommunikation mit dem Storage-Server wird das Datenbankpasswort eingetragen, das zuvor in der Storage-Server-Konfiguration festgelegt wurde. In unserem Beispiel haben wir als Datenbankpasswort !*@" gewählt.
Damit ist die Konfiguration des Zugangs zum Server abgeschlossen.
Webserver des Cloud NetManagers
Als Nächstes konfigurieren Sie den Webserver des Cloud NetManagers. Wählen Sie dazu
im Hauptmenü den Punkt 3, Configure services.
Workshops (Auszug)
347
Cloud NetManager
348
bintec elmeg GmbH
(1)
Die Kommunikation zwischen den zu verwaltenden Endgeräten und dem Server erfolgt verschlüsselt und ist durch Zertifikate abgesichert. Diese Zertifikate werden vom
Server selbst erstellt. Die einzige (rein informelle) Angabe, die von Ihnen dazu nötig
ist, ist der Name Ihrer Organisation.
(2)
Als Nächstes wird der Port des Webservers festgelegt, der für den Aufruf über HTTP
verwendet wird, in unserem Beispiel ist das Port .
(3)
Danach fragt die Konfigurationsroutine ab, ob der Webserver über SSL erreichbar
sein soll. In unserem Beispiel entscheiden wir uns für D.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Workshops (Auszug)
(4)
Hier wird der Port des Webservers festgelegt, der für den Aufruf über HTTPS verwendet wird. In unserem Beispiel ist das Port 2.
(5)
Falls der Server später über eine URL mit HTTPS erreichbar sein soll, muss hier der
vollständige Domainname des Servers angeben werden (z. B. cloudnetmanager.bintec.de). Falls der Server nur über eine IP-Adresse angesprochen wird, kann
das Feld leer bleiben.
349
Cloud NetManager
350
bintec elmeg GmbH
(6)
Dieser Punkt ist ebenfalls für die Erreichbarkeit über HTTPS wichtig. Hier können weitere alternative Domainnamen angegeben werden, falls der Server mit weiteren Domainnamen über eine HTTPS-Verbindung erreicht werden soll. Falls der Server auch
oder ausschließlich mit einer IP-Adresse über HTTPS angesprochen wird, muss hier
die IP-Adresse eingetragen werden.
(7)
Damit der Server Mails z. B. Alarmmeldungen versenden kann, ist ein Mailclient vorhanden, der in den nächsten Schritten konfiguriert wird.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Workshops (Auszug)
(8)
Hier wird der Name des Mailservers eingetragen, der verwendet werden soll. In unserem Beispiel *' . Tragen Sie Ihren eigenen Mailserver ein. Ein Betrieb
mit öffentlichen Mailservern ist nicht vorgesehen. Ebenso ist eine verschlüsselte Verbindung zum Mailserver nicht möglich, da wir davon ausgehen, dass sich der Mailserver in einem privaten Netzwerk befindet.
(9)
Als Nächstes wird der SMTP-Port des Servers eingetragen.
351
Cloud NetManager
bintec elmeg GmbH
(10) Tragen Sie jetzt die Absender-E-Mail-Adresse ein, die verwendet werden soll.
(11) Hier wird der Benutzername des Mailkontos eingetragen. In unserem Beispiel ist das
der Benutzername "!CA" des Mailkontos [email protected] .
352
Workshops (Auszug)
bintec elmeg GmbH
Cloud NetManager
(12) Danach muss noch das Passwort des Mailkontos eingetragen werden.
(13) Damit Sie sich direkt über die Shell oder per SSH als " einloggen können, sollten
Sie ein root-Passwort festlegen.
Workshops (Auszug)
353
Cloud NetManager
bintec elmeg GmbH
(14) Festlegen eines neuen Root-Passwortes.
(15) Daraufhin wird der Webserver gestartet. Das kann ein bis zwei Minuten dauern. Danach erscheint folgende Meldung:
354
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Damit ist die Konfiguration des Webservers des Cloud NetManagers abgeschlossen.
13.2.3 Testen der Installation
Wenn alle Schritte korrekt durchführt worden sind, ist der Server über einen Webbrowser
erreichbar.
Sie können jetzt testen, ob die beiden Server gegenseitig per Ping erreichbar sind, indem
Sie sich auf der Konsole einloggen (ALT+F2) und den Linux Befehl !
< bzw. ! absetzen.
Verlassen Sie die virtuellen Maschinen und rufen Sie in Ihrer lokalen Umgebung den Server über einen Internetbrowser auf. Beachten Sie, dass es bei einigen Browsern erforderlich ist, dem Aufruf http:// bzw https:// voranzustellen.
Format des Aufrufs:
http://192.168.0.186:8080 oder https://192.168.0.186:8443
Beim Aufruf der HTTPS-Seite wird eine Zertifikatswarnung angezeigt, die Sie bestätigen
müssen.
Die Startseite des Servers wird angezeigt. Die Standarddaten zum Einloggen lauten:
User: * Passwort: 2
Workshops (Auszug)
355
Cloud NetManager
bintec elmeg GmbH
Hinweis
Sie sollten unbedingt das Standardpasswort ändern.
13.3 Lizenzierung
Um den Virtual Cloud NetManager nutzen zu können, benötigen Sie eine Virtual Cloud
NetManager Lizenz mit der Artikelnummer 5500001835. Diese erhalten Sie bei Ihrem Distributor. Darüber hinaus ist je nach Anzahl der Geräte, die Sie verwalten möchten, eine Gerätelizenz (z. B. Artikelnummer 5500001837) notwendig. Die Gerätelizenz ist nur innerhalb
eines Kundenkontos gültig und kann nicht auf andere Kundenkonten übertragen werden.
13.3.1 Installation der Serverlizenz
Zusammen mit der Software zur Installation der virtuellen Maschinen erhalten Sie ein Lizenzdokument, das eine Seriennummer und einen PIN-Code enthält.
356
(1)
Zunächst müssen Sie eine Lizenzdatei erzeugen. Um die Lizenzdatei zu erzeugen,
benötigen Sie auf dem bintec Cloud NetManager einen registrierten Account.
(2)
Loggen Sie sich unter https://bintec.networkcloudmanager.com ein.
(3)
Gehen Sie auf der Statusseite in das Menü Lizenzen -> Lizenzen für lokale Server > Neue Lizenz.
(4)
Tragen Sie die Seriennummer und den Lizenzschlüssel (PIN) ein.
(5)
Drücken Sie auf Lizenz registrieren.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Workshops (Auszug)
(6)
Wenn die Lizenzdaten korrekt sind, erweitert sich das Fenster und Sie werden nach
der UUID des lokalen Servers gefragt. Um die UUID des lokalen Servers zu erhalten,
müssen Sie sich in einen zweiten Browserfenster auf Ihren lokalen Server einloggen
und das Lizenzmenü aufrufen.
(7)
Kopieren Sie nun die Server-UUID in das noch offene Fenster Ihres Cloud NetManager-Kontos (bintec.networkcloudmanager.com).
357
Cloud NetManager
358
bintec elmeg GmbH
(8)
Der Server erzeugt nun eine XML-Lizenzdatei, die Sie speichern sollten. Sie können
sich jetzt beim bintec Cloud NetManager ausloggen.
(9)
Im Lizenzmenü Ihres lokalen Servers können Sie jetzt die XML-Lizenzdatei hochladen
und damit die Lizenzierung abschließen.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
13.3.2 Gerätelizenzen installieren
Um Geräte zu verwalten, müssen Sie Gerätelizenzen unter einem Benutzerkonto installieren. Beachten Sie bitte, dass Sie Gerätelizenzen für die virtuelle Maschine benötigen (z. B.
Artikelnummer 5500001837).
Neues Kundenkonto einrichten
Workshops (Auszug)
(1)
Zuerst müssen Sie ein Kundenkonto einrichten. Dazu müssen Sie sich wieder als admin anmelden.
(2)
Gehen Sie auf der Statusseite in das Menü Wiederverkäufer verwalten .
(3)
Klicken Sie auf Wiederverkäufer -> Global.
359
Cloud NetManager
360
bintec elmeg GmbH
(4)
Auf der Seite Wiederverkäuferinformationen klicken Sie auf Melden Sie sich als
Wiederverkäufer an.
(5)
Gehen Sie wieder auf die Statusseite und rufen Sie das Menü Kunden verwalten auf.
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
(6)
Gehen Sie in das Menü Kunden -> Neuer Kunde.
Damit ist das neue Kundenkonto eingerichtet.
Kundenprofil einrichten und zuweisen
Um im Virtual Cloud NetManager dieselbe Ansicht für Kunden zur Verfügung zu stellen wie
im Cloud NetManager, legen Sie als Wiederverkäufer ein entsprechendes Kundenprofil an
und weisen es Ihren Kunden zu bzw. benutzen es als Standard-Kundenprofil.
Sie sind bereits als Wiederverkäufer angemeldet (siehe vorheriger Punkt).
Workshops (Auszug)
(1)
Gehen Sie in das Menü Kunden->Kundenprofile->Neukundenprofil.
(2)
Vergeben Sie im Fenster Kundenprofilinformation einen Namen für das Kundenprofil, z. B. +" A!"+.
(3)
Aktivieren Sie die einzelnen Punkte des Kundenprofils entsprechend der folgenden
Abbildung (grüne Pfeile). Klicken Sie gegebenenfalls auf ein Plus-Zeichen um die Unterpunkte zu sehen. Deaktivieren Sie die einzelnen Punkte entsprechend der folgenden Abbildung (rote Kreuze).
361
Cloud NetManager
bintec elmeg GmbH
(4)
Wählen Sie unter Erlaubte Gerätetypen diejenigen Gerätetypen, die Ihre Kunden
verwalten dürfen.
(5)
Klicken Sie auf Neukundenprofil, um das neue Kundenprofil zu speichern.
(6)
Wenn Sie das soeben konfigurierte Kundenprofil in Zukunft als Standardprofil für Ihre
neuen Kunden verwenden wollen, so wählen Sie das Profil erneut aus und klicken Sie
auf Als Standardkundenprofil aktivieren.
(7)
Wenn Sie das neu definierte Kundenprofil einem bereit angelegten Kunden zuweisen
wollen, so gehen Sie in das Menü Kunden.
(8)
Wählen Sie aus der Liste denjenigen Kunden, dem Sie das Kundenprofil zuweisen
wollen.
(9)
Klicken Sie auf Ändern.
(10) Wählen Sie unter Kundenprofil das gewünschte Kundenprofil, z. B. +
" A!"+.
(11) Klicken Sie auf Änderungen speichern.
(12) Wenn Sie weiteren Kunden ein Kundenprofil zuweisen wollen, wiederholen Sie den
Vorgang.
Sie haben ein Kundenprofil als Standardkundenprofil aktiviert oder/und Sie haben einem
oder mehreren Kunden ein Kundenprofil zugewiesen.
362
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
Gerätelizenz am Kundenkonto installieren
Workshops (Auszug)
(1)
Zunächst müssen Sie sich in das neu erstellte Kundenkonto einloggen.
(2)
Gehen Sie in das Menü Lizenzen -> Lizenzen verwalten.
(3)
Kopieren Sie die Kunden UUID in die Zwischenablage.
(4)
Loggen Sie sich in Ihr Konto auf dem Cloud NetManager an (https://bintec.networkcloudmanager.com ).
(5)
Öffnen sie das Menü Lizenzen -> Lizenzen für lokale Server -> Neue Lizenz.
(6)
Tragen Sie die Seriennummer und den License code der Lizenz ein.
(7)
Unter Kunden UUID fügen Sie die UUID aus der Zwischenablage ein.
(8)
Drücken Sie auf Lizenz registrieren um die Lizenzdatei zu erzeugen.
(9)
Speichern sie Ihre Daten.
363
Cloud NetManager
bintec elmeg GmbH
(10) Gehen Sie jetzt zurück zum Kundenkonto auf Ihrem lokalen Server.
(11) Laden Sie die Lizenzdatei über das Menü Lizenzen -> Lizenzen verwalten -> Lizenz
laden.
13.4 Management von Geräten
Die weitere Bedienung und das Management von Geräten sind identisch mit dem des
Cloud NetManagers (https://bintec.networkcloudmanager.com ). Eine anwendungsbezogene Schritt-für-Schritt-Anleitung zur Verwendung des Cloud NetManagers finden Sie im separaten Handbuch Anwendungs-Workshops , das unter www.bintec-elmeg.com unter
Lösungen zum Download bereitsteht.
364
Workshops (Auszug)
Cloud NetManager
bintec elmeg GmbH
13.4.1 Anpassen der Management URL in den Access Points
Im Auslieferungszustand sind unsere Access Points für den Betrieb mit dem Cloud NetManager vorbereitet (ab Systemsoftware 9.1.14).
Die Adresse des bintec elmeg Cloud NetManagers ist bereits vorkonfiguriert. Für den Betrieb mit einem eigenen virtuellen Cloud NetManager, müssen Sie die Adresse Ihres Servers eintragen.
Dazu haben Sie zwei Möglichkeiten:
• Über das lokale GUI des Access Point.
(1)
Gehen Sie in das Menü Systemverwaltung -> Globale Einstellungen -> System.
(2)
Bei IP-Adresse des Cloud NetManagers tragen Sie die Adresse Ihres Servers ein.
• Über die DHCP-Option 42 Ihres lokalen DHCP-Servers
Workshops (Auszug)
(1)
Neu.
(2)
Wählen Sie die Schnittstelle und den IP-Pool aus.
365
Cloud NetManager
bintec elmeg GmbH
(3)
(4)
Im Feld DHCP-Optionen wählen Sie mit Hinzufügen die Option : " "
aus.
(5)
Wählen Sie das Symbol
(6)
Im Popup-Menü geben Sie unter Vendor Option String die Management URL ein.
(7)
, um den Eintrag zu bearbeiten.
Damit ist die Installation und die Inbetriebnahme des Virtual Cloud NetManagers abgeschlossen.
13.5 Hinweise zu freier Software
Teile des Virtual Cloud NetManagers sind frei erhältliche Software, die unter verschiedenen
Open Source Lizenzen stehen (Apache 2.0, GPL 2.0 oder 3.0, LGPL, BSD, etc.). Genauere Hinweise auf die verwendete Software sowie die jeweilgen copyrigh- Hinweise und Lizenzen finden Sie im Verzeichnis "copyrights" des Datenträgers. Den vollen Text aller erwähnten Lizenzen finden Sie im Verzeichnis "copyrights/common-licenses". Die Sourcen
zu GPL-lizensierten Programmen sind im Verzeichnis "repo" das wie ein Debian Repository aufgebaut ist, sowie im Verzeichnis src.
Darüberhinaus gilt das EULA (End-User-License-Agreement) für dieses Produkt die Sie
ebenfalls mit der Lieferung des Virtual Cloud NetManagers erhalten haben.
366
Workshops (Auszug)
14 WLAN-Netzwerk mit Gäste-WLAN
bintec elmeg GmbH
Kapitel 14 WLAN-Netzwerk mit Gäste-WLAN
14.1 Einleitung
Im Folgenden wird beschrieben, wie Sie einen WLAN-Zugang zum lokalen Netzwerk und
ein Gäste-WLAN konfigurieren. Um zusätzliche Access Points einzubinden, wird der Wireless LAN Controller verwendet. Zur Trennung der beiden Netze auf Layer2-Ebene wird für
das Gästenetzwerk ein VLAN eingerichtet. Die Nutzer des Gäste-WLANs haben uneingeschränkten Zugriff auf das Internet, aber keinen Zugang zum lokalen Netz.
Abb. 231: Beispielszenario WLAN mit Gäste-WLAN
Workshops (Auszug)
367
bintec elmeg GmbH
Hinweis
Der Trunk Link (siehe Abbildung) mündet am RS353aw auf einen der vier ETH-Ports
(ETH1 bis ETH4), die standardmäßig en1-0 zugeordnet sind.
Voraussetzungen
• Ein Gerät der RS-Serie
• Ein Bootimage der Version 10.1.9 Patch 3 oder höher
• Switche, die 802.1q VLAN unterstützen
14.2 Konfiguration
14.2.1 IP-Adresse konfigurieren
Konfigurieren Sie eine IP-Adresse auf der LAN-Schnittstelle.
(1)
Gehen Sie zu LAN->IP-Konfiguration->Schnittstellen-><en1-0>->
Abb. 232: LAN->IP-Konfiguration ->Schnittstellen -><en1-0> ->
368
Workshops (Auszug)
bintec elmeg GmbH
Feld
Bedeutung
Sicherheitsrichtlinie
Wählen Sie, mit welcher Sicherheitseinstellung die Schnittstelle
Adressmodus
Wählen Sie aus, auf welche Weise der Schnittstelle eine IPAdresse zugewiesen wird.
IP-Adresse / Netzmaske Fügen Sie mit Hinzufügen einen neuen Adresseintrag hinzu.
Geben Sie die IP-Adresse und die Netzmaske ein.
Gehen Sie folgendermaßen vor, um die IP-Adresse zu konfigurieren:
(1)
Stellen Sie die Sicherheitsrichtlinie auf :""*@F" .
(2)
Belassen Sie den Adressmodus auf *.
(3)
Klicken Sie auf Hinzufügen. Geben Sie die IP-Adresse ein, z. B. . Belassen Sie die Netzmaske <<<<<<
.
(4)
14.2.2 Bridge-Gruppe anlegen und LAN-Schnittstelle zuweisen
Legen Sie eine neue Bridge-Gruppe an und weisen Sie sie der LAN-Schnittstelle zu.
(1)
Gehen Sie zu Systemverwaltung ->Schnittstellenmodus /
Bridge-Gruppen->Schnittstellen.
Abb. 233: Systemverwaltung ->Schnittstellenmodus / Bridge-Gruppen ->Schnitt-
stellen
Workshops (Auszug)
Feld
Bedeutung
Schnittstellenbeschreibung
Zeigt den Namen der Schnittstelle an.
369
bintec elmeg GmbH
Feld
Bedeutung
Wählen Sie aus, ob Sie die Schnittselle im H/ betreiben wollen oder ordnen Sie die Schnittstelle einer bestehenden ( '"
, '" usw.) oder einer neuen Bridge-Gruppe (
$ %" &"!!) zu.
Legen Sie die Schnittstelle fest, die zur Konfiguration benutzt
wird. Wenn diese Schnittstelle Mitglied einer Bridge-Gruppe ist,
übernimmt sie deren IP-Adresse, wenn sie aus der BridgeGruppe herausgenommen wird.
Gehen Sie folgendermaßen vor, um die LAN-Schnittstelle einer neuen Bridge-Gruppe zuzuweisen und die IP-Adresse der LAN-Schnittstelle auf die Bridge-Gruppe zu übertragen:
(1)
Wählen Sie in der Zeile unter Modus / Bridge-Gruppe $ %" &"!
! aus.
(2)
Wählen Sie als Konfigurationsschnittstelle .
Sobald Sie auf OK geklickt haben, wird automatisch die Bridge-Gruppe '"
angelegt und
die Schnittstelle dieser Bridge-Gruppe hinzugefügt. Die Bridge-Gruppe '"
erhält
dabei automatisch die IP-Konfiguration der Schnittstelle . Die IP-Konfiguration der
Bridge-Gruppe '"
können Sie im Menü LAN -> IP-Konfiguration -> <br0> ->
überprüfen.
14.2.3 Wireless LAN Controller in Betrieb nehmen
Der IP-Adressbereich, den Sie im Folgenden einrichten, muss zur IP-Adresse der LANSchnittstelle passen.
Hinweis
War im Menü Lokale Dienste->DHCP-Server->DHCP-Konfiguration der Schnittstelle bereits ein IP-Pool zugeordnet, so muss dieser Eintrag gelöscht werden.
Gehen Sie in folgendes Menü, um einen IP-Adressbereich einzurichten:
(1)
370
Gehen Sie zu Wireless LAN Controller->Wizard.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 234: Wireless LAN Controller ->Wizard
Relevante Felder im Menü Wireless LAN Controller Wizard, Schritt 1
Feld
Bedeutung
Region
Wählen Sie das Land, in welchem der Wirelless LAN Controller
Schnittstelle
Wählen Sie die Schnittstelle, die für den Wireless Controller verwendet werden soll.
DHCP-Server
Wählen Sie aus, ob ein externer DHCP-Server die IP-Adressen
an die APs vergeben soll bzw. ob Sie selbst feste IP-Adressen
vergeben wollen. Alternativ können Sie Ihr Gerät als DHCPServer verwenden. Bei diesem internen DHCP-Server ist die
CAPWAP Option 138 aktiv, um die Kommunikation zwischen
Master und Slaves zu ermöglichen.
IP-Adressbereich
Wenn die IP-Adressen intern vergeben werden sollen, müssen
Sie die Anfangs-und End- IP-Adresse des gewünschten Bereiches eingeben.
Workshops (Auszug)
(1)
Belassen Sie unter Region die Einstellung &"*C.
(2)
Wählen Sie als Schnittstelle %H-0&5A%H
.
(3)
Wählen Sie DHCP-Server -".
(4)
Geben Sie den ersten und den letzten Wert des IP-Adressbereichs ein, z. B.
- <
.
371
bintec elmeg GmbH
14.2.4 Funkmodulprofil auswählen und WLAN-Zugang zum lokalen Netz konfigurieren
Legen Sie fest, welche Funkmodulprofile verwendet werden sollen. Sie sollten Zwei unabhängige Funkmodulprofile verwenden aktivieren, wenn in Ihrem Netz Access Points mit
zwei 2.4/5 GHz-fähigen Funkmodulen installiert sind.
(1)
Klicken Sie im Wireless LAN Controller Wizard auf Weiter.
Abb. 235: Wireless LAN Controller ->Wizard ->Weiter
Relevante Felder im Menü Wireless LAN Controller Wizard, Schritt 2
Feld
Bedeutung
Zwei Unabhängige
Funkmodulprofile verwenden
Aktivieren Sie diese Option, wenn in Ihrem Netz APs mit zwei
Funkmodulen verwendet werden.
Funkmodulprofil für Modul 1 (für alle Access
Points)
Wählen Sie, welches Frequenzband verwendet werden soll.
Wenn Zwei unabhängige Funkmodulprofile verwenden aktiviert ist, wird Modul 1 das 2.4-GHz-Frequenzband zugeordnet.
Funkmodulprofil für Modul 2 (nur für APs mit 2
Funkmodulen)
Wählen Sie, welches Frequenzband verwendet werden soll.
Wenn Zwei unabhängige Funkmodulprofile verwenden aktiviert ist, wird Modul 2 das 5-GHz-Frequenzband zugeordnet.
372
(1)
Aktivieren Sie Zwei unabhängige Funkmodulprofile verwenden .
Funkmodulprofil für Modul 1 (für alle Access Points) = &;7 H* "
+ und Funkmodulprofil für Modul 2 (nur für APs mit 2 Funkmodulen) = <
&;7 H* "+ wird automatisch ausgewählt und angezeigt.
(2)
Workshops (Auszug)
bintec elmeg GmbH
Abb. 236: Wireless LAN Controller ->Wizard (Schritt 3)
Konfigurieren Sie den WLAN-Zugang zu Ihrem lokalen Netz.
(3)
Klicken Sie auf
.
(4)
Geben Sie einen Namen für Ihr LAN ein, z. B. .*$@"(.
(5)
Geben Sie unter Preshared Key ein Passwort, z. B. !"" ein, belassen Sie
die Voreinstellungen der übrigen Parameter und klicken Sie auf OK.
Sie sehen das lokale Netz, das Sie konfiguriert haben.
14.2.5 Gäste-WLAN konfigurieren
Sie haben einen WLAN-Zugang zu Ihrem lokalen Netz konfiguriert und konfigurieren jetzt
ein Gästenetz. Zur Trennung der beiden Netze auf Layer2-Ebene konfigurieren Sie für das
Gäste-WLAN ein VLAN, im folgenden Beispiel mit VLAN-ID 10. Alle Datenpakete im Gäste-WLAN sind VLAN 10 getagged, Datenpakete im lokalen WLAN sind untagged.
Hinweis
Beachten Sie, dass die Switche in Ihrem Netz 802.1q VLAN unterstützen müssen, damit die Layer2-Trennung der beiden Netze funktioniert.
Workshops (Auszug)
373
bintec elmeg GmbH
Der Wireless LAN Controller konfiguriert Ihre bintec-elmeg Access Points, Ihre Switche
müssen Sie selbst entsprechend konfigurieren.
(1)
Klicken Sie im Wireless LAN Controller->Wizard (Schritt 3) auf Hinzufügen.
Abb. 238: Wireless LAN Controller ->Wizard (Schritt 3) Hinzufügen
Relevante Felder im Menü Wireless LAN Controller Wizard, Schritt 3, Hinzufügen
Feld
Bedeutung
Netzwerkname (SSID)
Geben Sie den Namen des Drahtlosnetzwerks (SSID) ein.
Sicherheitsmodus
Wählen Sie den Sicherheitsmodus (Verschlüsselung und Authentifizierung) des Drahtlosnetzwerkes aus.
WPA-Modus
Wählen Sie aus,ob Sie WPA oder WPA 2 oder beides anwenden wollen.
Preshared Key
Geben Sie ein Passwort ein.
VLAN
Wählen Sie aus, ob für dieses Drahtlosnetzwerk VLANSegmentierung verwendet werden soll.
VLAN-ID
Geben Sie einen ganzzahligen Wert ein, um das VLAN zu identifizieren.
374
(1)
Geben Sie einen Namen für das Gästenetz ein, z. B. &$@"(..
(2)
Wählen Sie als Sicherheitsmodus .
(3)
Wählen Sie als WPA-Modus .
(4)
Geben Sie einen Preshared Key ein, z. B. !""
(5)
Klicken Sie unter VLAN auf (#".
(6)
Geben Sie eine VLAN-ID ein, z. B. .
Workshops (Auszug)
bintec elmeg GmbH
(7)
Sie sehen das lokale Netz zusammen mit dem Gästenetz, das Sie soeben konfiguriert haben.
Abb. 239: Wireless LAN Controller ->Wizard (Schritt 3), mit konfiguriertem Gästenetz
(1)
Alle gefundenen Access Points werden angezeigt.
(2)
Wählen Sie in der Spalte Manage diejenigen Access Points, die Sie vom Wireless
LAN Controller automatisch konfigurieren und verwalten lassen wollen.
14.2.6 Access Points mit dem Wireless LAN Controller konfigurieren
Lassen Sie die gewählten Access Points vom Wireless LAN Controller automatisch konfigurieren.
Workshops (Auszug)
(1)
Klicken Sie auf Start.
Der Konfigurationsprozess erfolgt schrittweise und kann - je nach Anzahl der installierten Access Points - eine Weile dauern.
(2)
Prüfen Sie nach beendeter Konfiguration, ob sich alle gewählten Access Points im
Status /** befinden. Alle /** Access Points haben vom WLAN Controller
375
bintec elmeg GmbH
eine Konfiguration bekommen und werden von diesem verwaltet.
14.2.7 IP-Adresse für die virtuelle Bridge-Schnittstelle konfigurieren
Konfigurieren Sie eine virtuelle Bridge-Schnittstelle mit VLAN-ID 10, damit die WLAN Clients auf die lokalen Dienste, z. B. DHCP, DNS und Echo, zugreifen können. Konfigurieren
Sie für diese Schnittstelle eine IP-Adresse.
Gehen Sie in folgendes Menü:
(1)
Gehen Sie zu LAN->IP-Konfiguration->Schnittstellen->Neu.
Abb. 242: LAN->IP-Konfiguration ->Schnittstellen ->Neu
376
Workshops (Auszug)
bintec elmeg GmbH
Feld
Bedeutung
Wählen Sie die Ethernet-Schnittstelle aus, zu der die virtuelle
Schnittstelle konfiguriert werden soll.
Schnittstellenmodus
Wählen Sie den Konfigurationsmodus der Schnittstelle aus.
Mit der Option ,* J:.$K weisen Sie die Schnittstelle einem VLAN zu. Dies geschieht über die VLAN-ID, die in diesem
Modus angezeigt wird und konfiguriert werden kann.
VLAN-ID
Nur für Schnittstellenmodus = ,*
J:.$K
Weisen Sie die Schnittstelle einem VLAN zu, indem Sie die
VLAN-ID des entsprechenden VLANs eingeben.
Wählen Sie, mit welcher Sicherheitseinstellung die Schnittstelle
Mögliche Werte:
• :""*@F" (Standardwert): Es werden alle IPPakete durchgelassen, außer denen, die explizit verboten
sind.
• $ :""*@F" : Es werden nur diejenigen IPPakete durchgelassen, die einer Verbindung zugeordnet werden können, die aus einer vertrauenwürdigen Zone aufgebaut
wurde.
Adressmodus
Wählen Sie aus, auf welche Weise der Schnittstelle eine IPAdresse zugewiesen wird.
IP-Adresse / Netzmaske Nur für Adressmodus = *
Fügen Sie mit Hinzufügen einen neuen Adresseintrag hinzu
und geben Sie die IP-Adresse und die entsprechende Netzmaske der virtuellen Schnittstelle ein.
Workshops (Auszug)
(1)
Wählen Sie unter Basierend auf Ethernet-Schnittstelle '"
.
(2)
Belassen Sie unter Schnittstellenmodus die Einstellung ,*
(3)
Geben Sie unter VLAN-ID den Wert ein.
J:.$K.
377
bintec elmeg GmbH
(4)
Wählen Sie unter Sicherheitsrichtlinie $ :""*@F" .
(5)
Belassen Sie den Adressmodus *.
(6)
Klicken Sie auf Hinzufügen. Geben Sie die IP-Adresse ein, z. B. . Belassen Sie die Netzmaske <<<<<<
.
(7)
Das Ergebnis Ihrer Konfiguration wird in der Liste in der letzten Zeile angezeigt.
14.2.8 IP-Adressbereich für das Gästenetz einrichten
Konfigurieren Sie einen IP-Adessbereich für die IP-Adressvergabe an WLAN-Clients im
Gästenetz. Dieser IP-Adessbereich muss zur soeben konfigurierten IP-Adresse der virtuellen Bridge-Schnittstelle passen.
Gehen Sie in folgendes Menü, um einen IP-Adressbereich einzurichten:
(1)
378
Gehen Sie zu Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu.
Workshops (Auszug)
bintec elmeg GmbH
Abb. 244: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu
Relevante Felder im Menü IP-Pool-Konfiguration
Feld
Bedeutung
IP-Poolname
Geben Sie eine beliebige Beschreibung ein, um den IP-Pool
eindeutig zu benennen.
IP-Adressbereich
Geben Sie die erste (erstes Feld) und die letzte (zweites Feld)
IP-Adresse des IP-Adress-Pools ein.
(1)
Geben Sie unter IP-Poolname eine Beschreibung ein, z. B. &
".
(2)
Geben Sie unter IP-Adressbereich den ersten und den letzten Wert des IPAdressbereichs ein, z. B. - <
.
(3)
Sie sehen den neuen IP-Adressbereich in der Liste.
Workshops (Auszug)
379
bintec elmeg GmbH
Abb. 245: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration
14.2.9 DHCP-Verwendung konfigurieren
Konfigurieren Sie die Verwendung von DHCP für WLAN-Clients im Gästenetz.
Gehen Sie in folgendes Menü:
(1)
Gehen Sie zu Lokale Dienste->DHCP-Server->DHCP-Konfiguration->Neu.
Abb. 246: Lokale Dienste->DHCP-Server->DHCP-Konfiguration ->Neu
Relevante Felder im Menü DHCP-Konfiguration
380
Workshops (Auszug)
bintec elmeg GmbH
Feld
Bedeutung
Schnittstelle
Wählen Sie die Schnittstelle aus, über welche die in IPAdressbereich definierten Adressen an anfragende DHCP-Clients vergeben werden. Wenn eine DHCP-Anfrage über diese
Schnittstelle eingeht, wird eine der Adressen aus dem AdressPool zugeteilt.
IP-Poolname
Wählen Sie einen im Menü Lokale
Dienste->DHCP-Server->IP-Pool-Konfiguration konfigurierten
IP-Poolnamen aus.
Pool-Verwendung
Wählen Sie aus, ob der DHCP-Pool für Anfragen von DHCP Clients in einem direkt an die Schnittstelle angeschlossenen Ethernet verwendet werden soll oder für DHCP-Anfragen, die aus einem über Gateways erreichbaren Ethernet stammen und über
eine DHCP-Relaisstation an Ihr Gerät weitergeleitet wurden.
(1)
Wählen Sie eine Schnittstelle aus, , z. B. '"
.
(2)
Wählen Sie unter IP-Poolname einen IP-Adresspool, z. B. &
(3)
Wählen Sie unter Pool-Verwendung aus, für welche DHCP-Anfragen der DHCP-Pool
verwendet werden soll, z. B. .(*.
(4)
".
Sie sehen die neue DHCP-Konfiguration in der Liste.
Abb. 247: Lokale Dienste->DHCP-Server->DHCP-Konfiguration
Workshops (Auszug)
381
bintec elmeg GmbH
14.2.10 Firewall einrichten
Die folgende Firewall-Konfiguration ist ein einfaches Beispiel, um die Grundfunktion der Firewall sicherzustellen. Sollten Sie weitere Sicherheitseinstellungen benötigen, so passen
Sie das Beispiel bitte an Ihre Bedürfnisse an.
Bridge-Schnittstelle als vertrauenswürdig definieren
Definieren Sie die Schnittstelle '"
(die Schnittstelle zu Ihrem lokalen Netzwerk) als vertrauenswürdige Schnittstelle.
Gehen Sie zu Firewall->Richtlinien->IPv4-Filterregeln->
.
Abb. 248: Firewall ->Richtlinien->IPv4-Filterregeln ->
Relevantes Feld im Menü IPv4-Filterregeln
Feld
Bedeutung
Mitglieder
Sie können die angezeigten Schnittstellen als vertrauenswürdig
markieren.
(1)
Markieren Sie die Schnittstelle %H-0&5A%H
als vertrauenswürdige Schnittstelle.
(2)
Stellen Sie sicher, dass keine weitere Schnittstelle markiert ist.
(3)
Service-Gruppe anlegen
Legen Sie eine Service-Gruppe mit den Diensten an, die Clients im Gäste-WLAN verwen-
382
Workshops (Auszug)
bintec elmeg GmbH
den wollen.
Gehen Sie zu Firewall->Dienste->Gruppen->Neu.
Abb. 249: Firewall ->Dienste->Gruppen->Neu
Relevante Felder im Menü GruppenNeu
Feld
Bedeutung
Beschreibung
Geben Sie eine beliebige Beschreibung der Service-Gruppe
ein.
Mitglieder
Wählen Sie aus den zur Verfügung stehenden Service-Aliasen
die Mitglieder der Gruppe aus. Aktivieren Sie dazu das Feld in
der Spalte Auswahl.
(1)
Geben Sie eine Beschreibung ein, z.B. &.*.
(2)
Wählen Sie die gewünschten Mitglieder, z. B. !, und .
(3)
Die konfigurierte Service-Gruppe wird angezeigt.
Workshops (Auszug)
383
bintec elmeg GmbH
Abb. 250: Firewall ->Dienste->Gruppen
IPv4-Filterregeln anlegen
Legen Sie eine Regel an, damit Ihre Gäste die Dienste DHCP, DNS und Echo nutzen können, die Sie in einer Service-Gruppe zusammengefasst haben.
Gehen Sie zu Firewall->Richtlinien->IPv4-Filterregeln->Neu.
Relevante Felder im Menü IPv4-FilterregelnNeu
Feld
Bedeutung
Quelle
Wählen Sie einen der vorkonfigurierten Aliase für die Quelle des
Pakets aus.
Ziel
Wählen Sie einen der vorkonfigurierten Aliase für das Ziel des
Pakets aus.
Dienst
Wählen Sie einen der vorkonfigurierten Dienste (bzw. Dienstgruppen) aus, dem das zu filternde Paket zugeordnet sein
muss. Werkseitig ist eine umfangreiche Reihe von Diensten vorkonfiguriert.
Aktion
Wählen Sie die Aktion aus, die auf ein gefiltertes Paket angewendet werden soll.
384
(1)
Wählen Sie als Quelle %H-0&5A%H
.
(2)
Wählen Sie als Ziel .$A.S..
(3)
Wählen Sie als Dienst bzw. Dienstgruppe &.*.
(4)
Wählen Sie als Aktion E"++.
(5)
Workshops (Auszug)
bintec elmeg GmbH
Legen Sie eine Filterregel für den Zugang Ihrer Gäste in das Internet an.
Gehen Sie zu Firewall->Richtlinien->IPv4-Filterregeln->Neu.
(1)
Wählen Sie als Quelle %H-0&5A%H
.
(2)
Wählen Sie als Ziel $A-$,5H$5,.
(3)
Wählen Sie einen Dienst, z. B. *C.
(4)
Wählen Sie als Aktion E"++.
(5)
Die beiden Filterregeln werden angezeigt.
Abb. 251: Firewall ->Richtlinien->IPv4-Filterregeln
Fügen Sie bei Bedarf weitere Regeln hinzu.
Firewall einschalten
Wenn Sie Ihre Firewall-Konfiguration beendet haben, müssen Sie die Firewall einschalten.
Gehen Sie zu Firewall->Richtlinien->Optionen.
Workshops (Auszug)
385
bintec elmeg GmbH
Abb. 252: Firewall ->Richtlinien->Optionen
Relevantes Feld im Menü Optionen
Feld
Bedeutung
Status der IPv4-Firewall
Aktivieren oder deaktivieren Sie die IPv4-Firewall-Funktion.
(1)
Aktivieren Sie den Status der IPv4-Firewall .
(2)
14.3 Ergebnis
Sie haben einen WLAN-Zugang zum lokalen Netz und ein Gäste-WLAN konfiguriert. Ihre
Gäste können auf das Internet zugreifen, aber nicht auf das lokale Netz.
IP-Adresse konfigurieren
Feld
Menü
Wert
LAN->IP-Konfiguration-> Schnittstellen-><en1-0->
:""*@F" Adressmodus
LAN->IP-Konfiguration-> Schnittstellen-><en1-0->
*
IP-Adresse / Netzmaske LAN->IP-Konfiguration-> Schnittstellen-><en1-0->
386
<<<<<<
Workshops (Auszug)
bintec elmeg GmbH
Bridge-Gruppe anlegen und LAN-Schnittstelle zuweisen
Feld
Menü
Wert
Schnittstellenbeschreibung
Systemverwaltung ->Schnittstellenmodus /
Bridge-Gruppen->Schnittstellen
$ %" &"!!
Wireless LAN Controller in Betrieb nehmen
Feld
Menü
Wert
Region
Wireless LAN Controller->Wizard
&"*C
Schnittstelle
%H-0&5A%H
DHCP-Server
-"
IP-Adressbereich
z. B. - <
Funkmodulprofil auswählen und WLAN-Zugang zum lokalen Netz konfigurieren
Feld
Menü
Wert
Zwei Unabhängige
Funkmodulprofile verwenden
Wireless LAN Controller->Wizard >Weiter
(#"
Funkmodulprofil für Modul 1 (für alle Access
Points)
&;7 H* "
+
Funkmodulprofil für Modul 2 (nur für APs mit 2
Funkmodulen)
< &;7 H* "+
Netzwerkname (SSID)
Wireless LAN Controller->Wizard >Weiter ->Weiter -><vss-1>->
.*$@"(
Preshared Key
z. B. !""
Gäste-WLAN konfigurieren
Workshops (Auszug)
387
bintec elmeg GmbH
Feld
Menü
Wert
Netzwerkname (SSID)
z. B. &$@"(
Sicherheitsmodus
WPA-Modus
Preshared Key
z. B. !""
VLAN
(#"
VLAN-ID
z. B. Manage
Wireless LAN Controller->Wizard >Weiter ->Weiter ->Weiter
(#"
Access Points mit dem Wireless LAN Controller konfigurieren
Feld
Menü
Wireless LAN Controller Wireless LAN Controller->Wizard Wizard
>Weiter ->Weiter ->Weiter
Wert
START
IP-Adresse für die virtuelle Bridge-Schnittstelle konfigurieren
Feld
Menü
Wert
LAN->IP-Konfiguration-> Schnittstellen->Neu
'"
Schnittstellenmodus
,*
VLAN-ID
$ :""*
@F" Adressmodus
*
IP-Adresse / Netzmaske LAN->IP-Konfiguration-> Schnittstellen->Neu
J:.$K
<<<<<<
IP-Adressbereich für das Gästenetz einrichten
388
Workshops (Auszug)
bintec elmeg GmbH
Feld
Menü
Wert
IP-Poolname
Lokale Dienste->DHCP-Server->IP- &
Pool-Konfiguration ->Neu
IP-Adressbereich
Lokale Dienste->DHCP-Server->IP- z. B. Pool-Konfiguration ->Neu
- <
"
DHCP-Verwendung konfigurieren
Feld
Menü
Wert
Schnittstelle
Lokale
Dienste->DHCP-Server->DHCPKonfiguration->Neu
'"
IP-Poolname
Lokale
&
Pool-Verwendung
Lokale
.(*
Feld
Menü
Wert
BRIDGE_BRO
Firewall ->Richtlinien
->IPv4-Filterregeln->
Vertrauenswürdig(
#"
Beschreibung
Firewall ->Dienste ->Gruppen
->Neu
z. B. &
.
Mitglieder
Firewall ->Dienste ->Gruppen
->Neu
z. B. !, und
Quelle
->IPv4-Filterregeln->Neu
%H-0&5A%H
Ziel
.$A.S.
Dienst
&15,.S.5
Aktion
E"++
Quelle
%H-0&5A%H
Ziel
$A-$,5H$5,
Dienst
z. B. *C
"
Firewall einrichten
Workshops (Auszug)
389
Feld
bintec elmeg GmbH
Menü
Wert
IPv4-Filterregeln->Neu
390
Aktion
E"++
Status der IPv4-Firewall
Firewall ->Richtlinien ->Optionen
(#"
Workshops (Auszug)
15 Presence Analytics mit bintec Access Points
bintec elmeg GmbH
Kapitel 15 Presence Analytics mit bintec Access Points
15.1 Einleitung
Mit Presence Analytics werden die Wege erfasst und ausgewertet, die Besucher mit eingeschaltetem Smartphone in einem bestimmten Bereich zurücklegen.
Jedes Smartphone sendet in regelmäßigen Abständen sogenannte Probe Requests als
Broadcast, um nach neuen Access Points zu suchen. Diese Requests können auch für andere Zwecke verwendet werden ohne mit dem Benutzer des Smartphones in Kontakt zu
treten. Wenn diese Requests mit einem Zeitstempel versehen und aufgezeichnet werden,
kann über die jeweils empfangene Signalstärke an einem Access Point und dem Vegleich
mit den Daten anderer Access Points der Weg erschlossen werden, den der Besucher in
einer bestimmten Zeitspanne zurücklegt.
Das kann zum Beispiel für Läden innerhalb eines Einkaufszentrum interessant sein. Mit
Presence Analytics kann ein Ladeninhaber erfahren, wieviele Kunden sich wann und wie
lange vor seinem Schaufenster aufgehalten haben, ob sie den Laden betreten haben und
ob sie etwas gekauft haben, z. B. einen Artikel, der aktuell beworben wird.
Zum Identifizieren der einzelnen Smartphones wird deren MAC-Adresse verwendet. Die erfassten Daten werden anonyimisiert bevor sie an den beauftragten Dienstleister zur Auswertung weitergegeben werden.
Im Folgenden wird beschrieben, wie bintec Access Points konfiguriert werden müssen, um
Presence Analytics verwenden zu können. Bei größeren Installationen können Sie die notwendigen Parameter über den Cloud NetManager während des Rollouts an die Access
Points übergeben lassen.
Voraussetzungen
Für die Access Points:
• bintec Access Points mit Softwareversion 10.1.10 oder höher
• Aktiver Access-Point-Modus
• Mindestens ein aktives Funkmodul
Workshops (Auszug)
391
bintec elmeg GmbH
Weitere Voraussetzungen:
• Cloud NetManager (optional)
• Vertrag mit einem Anbieter von Presence-Analytics-Lösungen (im Folgenden als Provider bezeichnet); zur Wahl stehen aktuell 42reports (jetzt DILAX Intelcom), Purple WiFi
oder red Border
• Folgende Daten liegen Ihnen von Ihrem Provider vor oder müssen von Ihnen angefordert
werden:
• URL
• Passwort
• Validator.
Hinweis
Wenn Ihr Provider nach den MAC-Adressen Ihrer Access Points fragt, übermitteln Sie
ihm jeweils die MAC-Adresse der Schnittstelle ETH1.
15.2 Konfiguration
Für Presence Analytics müssen Sie die erforderlichen Parameter entweder direkt in den
Access Points oder - sofern Sie diesen verwenden - im Cloud NetManager konfigurieren.
Für die Konfiguration der Parameter in den Access Points empfehlen wir Ihnen, den
SNMP-Browser im GUI zu verwenden. Sie müssen die Parameter bei jedem der verwendeten Access Points einstellen. Das Vorgehen ist weiter unten beschrieben. Alternativ zum
SNMP-Browser können Sie die Shell verwenden.
Wenn Sie den Cloud NetManager verwenden, können Sie die Parameter dort eingeben.
Dieses Vorgehen ist ebenfalls weiter unten beschrieben.
Access Points konfigurieren
Sie müssen bei jedem Access Point die erforderlichen Parameter von Hand einstellen.
392
(1)
Wählen Sie im GUI des Access Points in der Kopfzeile Ansicht = $/%"@".
(2)
Wählen Sie das Menü wlan->wlanIfTable-><Eintrag>->
(3)
Konfigurieren Sie folgenden Parameter:
.
Workshops (Auszug)
bintec elmeg GmbH
Parameter für Presence Analytics (1)
MIB-Tabelle
MIB-Parameter
Wert
Bedeutung / Bemerkung
wlanIfTable
wlanIfPresenceAnalytics
enabled
Schaltet Presence Analytics
ein.
(1)
Wählen Sie das Menü wlan->wlanPresence-><Eintrag>->
(2)
Konfigurieren Sie folgende Parameter:
.
MIB-Tabelle
MIB-Parameter
Wert
wlanPresence
wlanPresenceStatus
enabled
Aktiviert den Presence Analytics Daemon.
wlanPresence
wlanPresenceOrgSecret
<Passwort>
Wenn Sie vom Provider ein
Passwort zum Verschlüsseln
der MAC-Adresse der Smartphones erhalten haben, können Sie es hier eingeben.
Wenn Sie den Parameter leer
lassen, so werden die MACAdressen nicht verschlüsselt.
wlanPresence
wlanPresenceCollectionInterval
30
Zeitspanne in Sekunden, nach
deren Ablauf der Access Point
Daten zum Provider sendet;
30 ist der Standardwert.
wlanPresence
wlanPresenceMaxElem 4096
Maximale Anzahl an Datensätzen, die gespeichert werden. Wenn der Speicher voll
ist, wird der älteste Eintrag gelöscht. 4096 ist der Standardwert.
(1)
Wählen Sie das Menü wlan->wlanPresenceServerTable ->Neu.
(2)
Konfigurieren Sie folgende Parameter:
Workshops (Auszug)
MIB-Tabelle
MIB-Parameter
Wert
wlanPresenceServerTable
wlanPresenceServerAd- <URL>
dress
Wird Ihnen vom Provider
übermittelt.
wlanPresence-
wlanPresenceServerSe- <Passwort>
393
bintec elmeg GmbH
MIB-Tabelle
MIB-Parameter
Wert
ServerTable
cret
übermittelt.
wlanPresenceServerVa- <Validator
lidator
String>
übermittelt.
wlanPresenceServerRowStatus
active
Mit dem Kommando ! "#$%$&'$ können Sie die Kommunikation zwischen Access
Point und Provider überwachen.
Cloud NetManager konfigurieren
Im Cloud NetManager brauchen Sie die Parameter für Presence Analytics nur einmal zu
konfigurieren. Während des Rollouts werden sie an die einzelnen Access Points übergeben.
(1)
Wählen Sie im Cloud NetManagers das Menü Konfiguration->Analyse->Neues
Analyseprofil.
Die Seite Neues Analyseprofil öffnet sich.
Abb. 253: Menü Konfiguration ->Analyse ->Neues Analyseprofil
394
(2)
Geben Sie einen Namen für das Profil ein, z. B. "A*CA"+A.
(3)
Geben Sie eine Beschreibung für das Profil ein, z. B. !!A**C.
Workshops (Auszug)
bintec elmeg GmbH
(4)
Belassen Sie Aktivieren eingeschaltet, d.h. kontrollieren Sie, ob der Haken angezeigt
wird.
(5)
Belassen Sie Intervall der Erfassung = 2
.
(6)
Geben Sie unter Geheimer Schlüssel der Organisation ein Passwort ein, z. B. !"".
(7)
Geben Sie unter Post URL die Adresse ein, die Ihnen Ihr Provider übermittelt hat, um
die Daten zur Analyse zu ihm zu schicken, z. B. !)!"# ""2<L.
(8)
Geben Sie unter Geheimer Schlüssel das Passwort ein, das Ihnen Ihr Provider übermittelt hat, z. B. !"# "A!@.
(9)
Geben Sie den Validator ein, den Ihnen Ihr Provider übermittelt hat, z. B.
+<*
*L.
(10) Belassen Sie Aktivieren eingeschaltet, d.h. kontrollieren Sie, ob der Haken angezeigt
wird.
Sie haben alle Parameter konfiguriert, die für Presence Analytics benötigt werden.
(11) Klicken Sie auf Speichern, um das Profil zu sichern.
Das Profil wird in der Liste der Analyseprofile angezeigt.
Workshops (Auszug)
395
bintec elmeg GmbH
Access Point konfigurieren
MIB-Parameter
Menü
Wert
wlanIfPresenceAnalytics wlan->wlanIfTable-><Eintrag>->
enabled
wlanPresenceStatus
enabled
wlan->wlanPresence-><Eintrag>->
wlanPresenceOrgSecret wlan->wlanPresence-><Eintrag>->
Passwort, z. B. !"
"
wlanPresenceCollection- wlan->wlanPresence-><Eintrag>->
Interval
30
wlanPresenceMaxElem
4096
wlan->wlanPresence-><Eintrag>->
wlanPresenceServerAd- wlan ->wlanPresenceServerTable - URL, z. B. dress
>Neu
!)!"# "
"
2<L
wlanPresenceServerSe- wlan ->wlanPresenceServerTable - Passwort, z. B. !"#
cret
>Neu
"A!@
wlanPresenceServerVa- wlan ->wlanPresenceServerTable - Validator, z. B.
lidator
>Neu
+<*
*L
wlanPresenceServerRowStatus
wlan ->wlanPresenceServerTable - *#
>Neu
Cloud NetManager konfigurieren
MIB-Parameter
Menü
Wert
Name
Konfiguration->Analyse->Neues
Analyseprofil
z. B. "
A*CA"
+A
Beschreibung
Analyseprofil
z. B. !
!A**C
Aktivieren
Analyseprofil
aktiviert (Haken wird angezeigt)
Intervall der Erfassung
Analyseprofil
30
Geheimer Schlüssel der Konfiguration->Analyse->Neues
Organisation
Analyseprofil
396
Passwort, z. B. !"
"
Workshops (Auszug)
bintec elmeg GmbH
Workshops (Auszug)
MIB-Parameter
Menü
Wert
Post URL
Konfiguration ->Analyse ->Neues
Analyseprofil
URL, z. B. !)!"# "
"
2<L
Geheimer Schlüssel
Analyseprofil
Passwort, z. B. !"#
"A!@
Validator
Analyseprofil
Validator, z. B.
+<*
*L
Aktivieren
Analyseprofil
aktiviert (Haken wird angezeigt)
397
16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme
bintec elmeg GmbH
Kapitel 16 WLAN - bintec HotSpot Secure Option mit Haftungsübernahme
16.1 Einleitung
Beim Betrieb eines WLAN HotSpot kommt es immer wieder zu Abmahnungen auf Unterlassung, für die der Anschlussinhaber (z. B. Hotelier) im Rahmen der Störerhaftung zuständig ist.
Mit der bintec HotSpot Secure Option werden Internetzugriffe über Ihren HotSpot durch
einen nach §6 TKG registrierten Internet Service Provider getunnelt. Damit surfen Ihre
Gäste nicht mehr mit der öffentlichen IP-Adresse des Anschlussinhabers, sondern mit der
IP-Adresse des Internet Service Provider. Alle Abmahnungen erhält nun der Internet Service Provider, der diese als unbegründet abwehren kann.
Abb. 254: bintec HotSpot Solution mit Secure Option
Voraussetzungen
• Internetverbindung über PPPoE
• ein lizensierter und betriebsbereit konfigurierter bintec HotSpot (Artikelnummer
398
Workshops (Auszug)
bintec elmeg GmbH
5510000198 oder 5500000861)
• ein bintec Router oder be.IP plus als HotSpot Gateway
Leistungsumfang
• VPN-Tunnel zu einem nach §6 TKG registrierten Internet Service Provider
• inklusive eines festdefinierten Content Filters, der alle Zugriffe auf Peer-to-Peer Netze
und auf jugendgefährdende Inhalte verhindert.
• Haftungsübernahme durch den Internet Service Provider
• Der Serverstandort ist Frankfurt am Main, womit auch Dienste nutzbar sind, die "Geolocation" verwenden, um den Standort des Kunden zu überprüfen.
Details
• bintec HotSpot Secure Option ist eine Option zu einem bestehenden bintec HotSpot-Vertrag. Sie benötigen zwingend eine gültige bintec HotSpot-Lizenz beziehungsweise eine
Lizenz für einen weiteren Hotspot-Standort.
• Das Freischalten der bintec HotSpot Secure Option erfolgt über die bintec Online Services.
• Die Laufzeit beträgt ein Jahr, Sie benötigen für jeden Standort eine eigene Option.
16.2 Einrichtung der bintec HotSpot Secure Option
Nachdem Sie die Lizenzdaten für die bintec HotSpot Secure Option erhalten haben, registrieren Sie bitte Ihre Lizenz auf www.bintec-elmeg.com im Menü Online-Service. Der
VPN-Tunnel wird dann für Sie eingerichtet, und Sie erhalten die notwendigen Zugangsdaten kurzfristig per E-Mail zugestellt.
Öffnen Sie einen Web-Browser und melden Sie sich mit Ihren Zugangsdaten an Ihrem bintec-Router an. Wenn sie eine be.IP plus als Hotspot Gateway verwenden, wählen Sie die
Ansicht "Vollzugriff", um Zugang zu allen Menüs zu haben.
16.2.1 Konfiguration
Hinweis
Dieser Workshop zeigt Konfiguration anhand einer be.IP plus. Wenn Sie die Konfiguration auf einem anderen bintec-Gerät vornehmen wollen und Probleme bei der Übertragung der Einstellungen haben, wenden Sie sich bitte an unseren Support.
Workshops (Auszug)
399
bintec elmeg GmbH
Wireless LAN Controller-Konfiguration
Mit dem Wireless LAN Controller können Sie eine WLAN-Infrastruktur mit mehreren Access Points (APs) aufbauen und verwalten. Der WLAN Controller verfügt über einen Wizard, der Sie bei der Konfiguration Ihrer Access Points unterstützt.
Wir empfehlen Ihnen, den Wizard auf jeden Fall bei der Erstkonfiguration Ihrer WLANInfrastruktur zu verwenden.
Gehen Sie in das Menü Wireless LAN Controller->Wizard.
(1)
Wählen Sie die Schnittstelle, die für den Wireless Controller verwendet werden soll,
hier %H-0&5A%H
.
(2)
Bei DHCP-Server wählen Sie die Option -" aus.
(3)
Geben Sie bei IP-Adressbereich die Anfangs- und End-IP-Adresse des gewünschten
Bereichs ein, hier .
(4)
Hinweis
Hinweis: Wenn Sie auf Weiter klicken, erscheint eine Warnung, dass beim Fortfahren
die Wireless-LAN-Controller-Konfiguration überschrieben wird. Mit Klicken auf OK sind
Sie einverstanden und fahren mit der Konfiguration fort.
(5)
400
Im Schritt 2 wählen Sie das Funkmodulprofil aus, hier z. B. &;7 H* "
+. Hier kann auch ein < &;7 H* "+ hinzugefügt werden, wenn Ihr
Workshops (Auszug)
bintec elmeg GmbH
Gerät über ein zweites Radiomodul verfügt. Ist das nicht Fall, sollten Sie bei einem 2.4
GHz-Profil bleiben.
(6)
(7)
Im Schritt 3 klicken Sie auf Hinzufügen um einen neuen Eintrag anzulegen.
(8)
Geben Sie bei Netzwerkname (SSID) den Namen des Drahtlosnetzwerks (SSID) ein,
hier z. B. C;!.
(9)
Den Sicherheitsmodus stellen Sie auf Inaktiv.
(10) Aktivieren Sie die Option VLAN.
(11) Um das VLAN zu identifizieren, geben Sie bei VLAN-ID den Wert ein. Sie können
den Wert entsprechend anpassen und einen Zahlenwert zwischen und eingeben.
(13) Klicken Sie auf Weiter. Sie sehen eine Liste der gefundenen Access Points.
(14) Wählen Sie das Gerät aus, das Sie als Hotspot Gateway verwenden und klicken Sie
auf START .
Workshops (Auszug)
401
bintec elmeg GmbH
Die WLAN-Controller-Installation ist hiermit abgeschlossen. Sie sehen in der Liste unter
Status das Symbol
Managed.
Klicken Sie auf Konfiguration speichern um die Konfiguration zu sichern.
Virtuelle Schnittstelle anlegen
Legen Sie nun eine virtuelle Schnittstelle an, um den Datenverkehr aus dem WLAN von
dem anderweitigen Datenverkehr über Ihr Gerät abtrennen zu können.
Gehen Sie dazu in das Menü LAN->IP-Konfiguration->Schnittstellen->Neu.
402
(1)
Bei Basierend auf Ethernet-Schnittstelle wählen Sie die Schnittstelle aus, auf der
die virtuelle Schnittstelle basieren soll, hier '"
.
(2)
Weisen Sie die Schnittstelle einem VLAN zu. Geben Sie dazu unter VLAN-ID ein
(oder den Wert, den Sie bei der WLAN-Controller-Konfiguration für das neu erstellte
WLAN C;! vergeben haben).
(3)
Unter Grundlegnde IPv4-Parameter belassen Sie Sicherheitsrichtlinie auf :"
"*@F" und wählen den Adressmodus *
(4)
Bei IP-Adresse / Netzmaske klicken Sie auf Hinzufügen und geben Sie die IP-
Workshops (Auszug)
bintec elmeg GmbH
Adresse der virtuellen Schnittstelle ein, die Sie von Ihrem Server-Betreiber erhalten
haben. Hier z. B. L2
L<.
Hinweis
Beachten Sie, dass Sie die IP-Adresse mit Ihrem Hotspot-Server-Betreiber absprechen müssen. Sie kann nicht frei gewählt werden, da sie für das Funktionieren des
VPN-Tunnels relevant ist und auch auf der Seite des Server-Betreibers entsprechend
konfiguriert werden muss.
(5)
Die neu konfigurierte Schnittstelle '"
wird in der Liste der vorhandenen Schnittstellen angezeigt.
Abb. 259: LAN->IP-Konfiguration ->Schnittstellen
Speichern Sie die Konfiguration mit Konfiguration speichern .
DHCP-Konfiguration
Um Ihr Gerät als DHCP-Server für das HotSpot-WLAN zu verwenden, müssen Sie zunächst einen IP-Adresspool definieren, aus dem die IP-Adressen an die anfragenden Clients verteilt werden. Gehen Sie dazu in das Menü Lokale Dienste->DHCP-Server->IPPool-Konfiguration ->Neu.
Workshops (Auszug)
403
bintec elmeg GmbH
Abb. 260: Lokale Dienste->DHCP-Server->IP-Pool-Konfiguration ->Neu
(1)
Geben Sie bei IP-Poolname einen Namen ein, z. B. ;!.
(2)
Bei IP-Adressbereich geben Sie die erste und die letzte IP-Adresse des Pools ein.
Hier z. B. L2
L
L2
L.
Hinweis
Der Adressraum, der Ihnen hier zur Verfügung steht, ist mit dem HotSpot-Server-Betreiber abzusprechen, da auf dessen Seite die Konfiguration entsprechend zu
erfolgen hat. Die Beispielwerte können nicht übernommen werden.
(3)
Gehen Sie nun in das Menü Lokale
Dienste->DHCP-Server->DHCP-Konfiguration->Neu.
404
Workshops (Auszug)
bintec elmeg GmbH
Abb. 261: Lokale Dienste->DHCP-Server->DHCP-Konfiguration ->Neu
(1)
Wählen Sie die Schnittstelle '"
aus.
(2)
Bei IP-Poolname wählen Sie den konfigurierten IP-Poolnamen ;! aus.
(3)
Die Pool-Verwendung belassen Sie bei .(*.
(4)
VPN-Konfiguration
Im nächsten Schritt nehmen Sie die Konfiguration der VPN-Verbindung zu Ihrem HotSpot-Sever-Betreiber vor. Legen Sie zunächst ein Phase-1-Profil an.
Gehen Sie dazu in das Menü VPN->IPSec->Phase-1-Profile ->Neues IKEv1-Profil erstellen.
Workshops (Auszug)
405
bintec elmeg GmbH
Abb. 262: VPN IPSec Phase-1-Profile Neues IKEv1-Profil erstellen
(1)
Geben Sie eine Beschreibung für das Profil ein, z. B. ;!A:$.
(2)
Unter Proposals wählen Sie als Verschlüsselung 5< und als Authentifizierung ; aus.
(3)
Als DH-Gruppe wählen Sie <J<2 %K aus.
(4)
Für die Authentifizierungsmethode wählen Sie "*"
(5)
Wählen Sie den Modus "# aus.
(6)
Bei Lokaler ID-Typ wählen Sie den Typ der lokalen ID 6C 3*+
$* J630$K aus.
(7)
Bei Lokaler ID-Wert geben Sie die ID Ihres Gerätes ein, die Sie von Ihrem ServerBetreiber erhalten haben.
(8)
C aus.
0*
Legen Sie nun die Phase-2-Profile an.
Gehen Sie in das Menü VPN->IPSec->Phase-2-Profile->Neu.
406
Workshops (Auszug)
bintec elmeg GmbH
Abb. 263: VPN->IPSec->Phase-2-Profile ->Neu
(1)
Geben Sie eine Beschreibung für das Profil ein, z. B. ;!A:$.
(2)
Unter Proposals wählen Sie als Verschlüsselung 5< und als Authentifizierung ; aus.
(3)
Als PFS-Gruppe verwenden wählen Sie <J<2 %K aus.
(4)
Im nächsten Schritt wird noch der IPSec-Peer eingerichtet. Als Peer wird ein Endpunkt der
Kommunikation in einem Computernetzwerk bezeichnet.
Gehen Sie in das Menü VPN->IPSec->IPSec-Peers->Neu.
Workshops (Auszug)
407
bintec elmeg GmbH
Abb. 264: VPN->IPSec->IPSec-Peers ->Neu
(1)
Geben Sie eine Beschreibung des Peers ein, z. B. ;!A:$.
(2)
Wählen Sie unter Peer-Adresse die IP-Version -# '#"7 aus. Geben Sie
die IP-Adresse ein, die Sie von Ihrem Server-Betreiber erhalten haben. In unserem
Beispiel <<
.
(3)
Bei Peer-ID wählen Sie die IP-Version -# " aus, und tragen Sie die gleiche IP-Adresse wie unter Peer-Adresse ein, hier <<
.
(4)
Bei Preshared Key geben Sie den Presharded Key, den Sie von Ihrem Server-Betreiber erhalten haben.
(5)
Für die Sicherheitsrichtlinie wählen Sie :""*@F" aus. Alle IP-Pakete
werden durchgelassen, außer denen, die explizit verboten sind.
(6)
Unter IPv4-Adressvergabe wählen Sie * aus.
(7)
Aktivieren Sie die Option Standardroute. Damit wird diese Route zu diesem IPSecPeer als Standardroute festgelegt.
(8)
Als Lokale IP-Adresse tragen Sie die lokale IP-Adresse ein, die Sie von Ihrem Server-Betreiber für die HotSpot-Schnittstelle zugeteilt bekommen haben, hier z. B.
L2
L<.
Hinweis
Diese Adresse ist nicht frei wählbar und muss mit dem Server-Betreiber abgesprochen
werden.
(9)
Bei Metrik wählen Sie den Wert aus.
Routing-Konfiguration
408
Workshops (Auszug)
bintec elmeg GmbH
Um den Datenverkehr aus dem HotSpot-WLAN ausschließlich über den VPN-Tunnel zu Ihrem Server-Betreiber zu schicken, müssen Sie eine entsprechende Route anlegen. Gehen
Sie dazu in das Menü Netzwerk->Routen->Konfiguration von IPv4-Routen ->Neu.
Abb. 265: Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu
(1)
Bei Routentyp wählen Sie die Art der Route aus, hier * *" " F'" &*
@*C.
(2)
Wählen Sie die Schnittstelle -5A;S,S,A:$ aus.
(3)
Klicken Sie bei Routenklasse auf Erweitert.
(4)
Geben Sie eine Beschreibung für die Route ein, z. B. ;!A:$.
(5)
Wählen Sie die Quellschnittstelle %H-0&5A%H
aus.
(6)
Wählen Sie für Modus den Wert :"' .
(7)
Bei Metrik wählen Sie den Wert aus.
(8)
Klicken Sie auf Konfiguration speichern um die Konfiguration zu sichern.
Workshops (Auszug)
409
bintec elmeg GmbH
16.2.2 Zugehörige Informationen
Die nötigen Schritte zur Einrichtung Ihres Gerätes als Hotspot-Gateway
finden Sie in einem Workshop unter
http://www.bintec-elmeg.com/portal/downloadcenter/dateien/workshops/
current_de/ws_wlan_html_de_HTML/start.html im Kapitel WLAN - WLANController-Installation mit integrierter HotSpot-Funktionalität .
Hinweis
Beachten Sie, dass Sie die Einstellungen für die HotSpot-Schnittstelle
passend zu der im aktuellen Workshop vorgestellten Konfiguration
über '"
wählen müssen.
Hier finden Sie einen weiteren Workshop zum Thema der Bintec HotSpotLösung.
Wireless LAN Controller-Konfiguration
410
Parameter
Menü
Wert
Schnittstelle
%H-0&5A%H
DHCP-Server
-"
IP-Adressbereich
z. B. Funkmodulprofil
Wireless LAN Controller ->Wizard - z. B. &;7 H* >Weiter
"+
Netzwerkname (SSID)
Wireless LAN Controller->Wizard >Weiter ->Hinzufügen
z. B. C;!
Sicherheitsmodus
-*(#
VLAN
(#"
VLAN-ID
Workshops (Auszug)
bintec elmeg GmbH
Virtuelle Schnittstelle anlegen
Parameter
Menü
Wert
Basierend auf Ethernet-Schnittstelle
LAN->IP-Konfiguration ->Schnittstellen ->Neu
'"
VLAN-ID
LAN->IP-Konfiguration ->Schnittstellen ->Neu
IP-Adresse / Netzmaske
LAN->IP-Konfiguration ->Schnittstellen ->Neu-> Hinzufügen
z. B. L2
L<
Parameter
Menü
Wert
IP-Poolname
Lokale Dienste ->DHCP-Server
->IP-Pool-Konfiguration ->Neu
z. B. ;!
IP-Adressbereich
->IP-Pool-Konfiguration ->Neu
z. B. L2
L
L2
L
Schnittstelle
->DHCP-Konfiguration ->Neu
'"
IP-Poolname
z. B. ;!
Pool-Verwendung
.(*
DHCP-Konfiguration
VPN-Konfiguration (Phase 1)
Workshops (Auszug)
Parameter
Menü
Wert
Beschreibung
VPN->IPSec->Phase-1-Profile
->Neues IKEv1-Profil erstellen
z. B. ;!A:$
Proposals
Verschlüsselung5
< und Authentifizierung;
DH-Gruppe
<J<2 %K
Authentifizierungsmethode
"*"
Modus
"#
Lokaler ID-Typ
6C 3*+
0* $* J630$K
Lokaler ID-Wert
z. B. "2
C
411
Parameter
Menü
bintec elmeg GmbH
Wert
Neues IKEv1-Profil erstellen
VPN-Konfiguration (Phase 2)
Parameter
Menü
Wert
Beschreibung
VPN-> IPSec->Phase-2-Profile
->Neu.
z. B. ;!A:$
Proposals
->Neu
Verschlüsselung5
< und Authentifizierung;
PFS-Gruppe verwenden
->Neu
<J<2 %K
VPN-Konfiguration (IPSec-Peers)
Parameter
Menü
Wert
Beschreibung
VPN-> IPSec->IPSec-Peers ->Neu
z. B. ;!A:$
Peer-Adresse
IP-Version-# '
#"7 und z. B.
<<
Peer-ID
-# "
IP-Version und z. B.
<<
Preshared Key
vom Server-Betreiber
:""*@F" IPv4-Adressvergabe
*
Standardroute
(#"
Lokale IP-Adresse
z. B. L2
L<
Metrik
Parameter
Menü
Wert
Routentyp
Netzwerk ->Routen ->Konfiguration * *" " F'"
von IPv4-Routen ->Neu
&*@*C
Schnittstelle
Netzwerk ->Routen ->Konfiguration -5A;S,S,A:$
Routenklasse
Netzwerk ->Routen ->Konfiguration 5"@"
Beschreibung
Netzwerk ->Routen ->Konfiguration z. B. ;!A:$
Routing-Konfiguration
412
Workshops (Auszug)
bintec elmeg GmbH
Parameter
Menü
Wert
Workshops (Auszug)
Quellschnittstelle
Netzwerk ->Routen ->Konfiguration %H-0&5A%H
Metrik
Netzwerk ->Routen ->Konfiguration von IPv4-Routen ->Neu
413

Benutzerhandbuch Workshops (Auszug)

Transcription

Similar documents

Wlan Modem 850 NN Installationsanleitung

Flyers - Landeszentrale für Umweltaufklärung Rheinland

Installationsanleitung Technicolor TG788vn

Bildbearbeitung mit Irfan View (Tutorial)

BASe-Net

1. Einleitung - SFB/TR 8 Spatial Cognition

CLICKplus

Gebrauchsanweisung - TachoControl

6020 6040 electronic nanostream®

Richtlinie Signalordnung, Bahnbetrieb international

6015, 6025 6045, 6055, 6095 nanostream®

turboSPEED DZ136 - Micro

GenussMAGAZIN 4/2012