Enterprise WLAN Teil 2 – Der Netzwerkaufbau

Anhand des obigen Schaubildes, soll der Netzwerkaufbau für unser WLAN Projekt erläutert werden. Wie im letzten Post bereits kurz beschrieben, geht es um den Aufbau von drei SSIDs:

VLAN IDBezeichnung (SSID)Beschreibung
100mobileaccessWLAN für Handys und Tablets
101guestaccessWLAN für Gäste
102productionaccessProduktionsnetz für WLAN Handscanner

Die SSIDs werden jeweils fest einem VLAN zugewiesen und entsprechend geroutet. Wichtig ist für uns, dass es keine Möglichkeit gibt aus dem WLAN direkt in das Firmennetz zu kommen. Hier muss eine strikte Trennung erfolgen um die Sicherheit gewährleisten zu können. Die Netzwerke für Handys / Tablets / PCs und Gäste werden direkt in das Internet terminiert und die Handscanner aus der Produktion werden an ein SSL VPN Gateway geleitet.

Die Gäste müssen sich natürlich vor dem Zugriff auf das Internet am Captive Portal authentifizieren – das Portal wird in unserem Fall von der Unifi Controllersoftware zur Verfügung gestellt – das muss aber nicht sein, es kann auch ein Portal der Firewall (z.B. Sophos XG) genutzt werden. Hier gibt es viele Möglichkeiten um den Gästen einen reglementierten Internetzugriff zu ermöglichen.

Die Authentifizierung von Notebooks erfolgt über RADIUS gegen das Active Directory. Als RADIUS Server kommt hier der Netzwerkrichtlinienserver von Microsoft zum Einsatz. Über diesen könnte auch eine dynamische VLAN Zuweisung erfolgen.

In der Firewall (in unserem Fall eine Sophos XG 320) werden die Notebooks wie normale PCs behandelt und durch den Proxy inkl. des Rulesets geroutet. Die Gäste werden zwar mit Proxy aber ohne Filter ins Internet geleitet – hier geht es nur um die Protokollierung.

Die Scanner verbinden sich automatisch mit dem WLAN „productionaccess“ und haben anschließend lediglich Zugriff auf das VPN Gateway und den MDM Server. Wird die entsprechende App gestartet, wird automatisch ein sogenanntes „Per App VPN“ aufgebaut. Der Vorteil dieses VPNs ist es, dass nur die über das Mobile Device Management (MDM) System Verteilten Apps den VPN Tunnel nutzen dürfen, und nicht das ganze Gerät bzw. andere Apps. Außerdem wird er automatisch aufgebaut und kommt dank zertifikatsbasierter ohne Eingabe von Benutzernamen und Passwort aus.

Somit können wir mit einem einfachen Setup sowohl eine flexible Funktionalität als auch eine hohe Sicherheit gewährleisten.

Im nächsten Teil folgt dann die technische Umsetzung mithilfe der Unifi Software und Ubiquiti Accesspoints.

Enterprise WLAN Teil 1 – Die Einleitung
Enterprise WLAN Teil 2 – Der Netzwerkaufbau
Enterprise WLAN Teil 3 – Die Einrichtung der Unifi Software

Mobile Device Management // SOTI MobiControl
SOTI MobiControl is a mobile device management system that can be used to manage Android, iOS, Windows Phone and Windows Desktop devices. All device-specific settings can be configured and controlled.
- Soliton MobiControl provides you with a sophisticated Mobile Device and Mobile Application Management System, with which you can manage all your devices.
- Supports Android, iOS or Windows Phone/Mobile devices
- Integration with Apple DEP and VPP
- Locate, lock and erase devices in the blink of an eye
Further information on the

Share this post

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email