"Overlay Netzwerk": Netzwerke für Access Points trennen ohne VLAN

Die Trennung von Netzwerken in einer gemeinsam genutzten physikalischen Infrastruktur basiert in vielen Fällen auf dem Einsatz von VLANs. Dieses Verfahren setzt allerdings voraus, dass die eingesetzten Switches VLAN-fähig sind und dass in allen Switches die entsprechenden VLAN-Konfigurationen durchgeführt werden. Der Administrator rollt die VLAN-Konfiguration in diesem Beispiel also über das gesamte Netzwerk aus.

Mit einem WLC können Sie die Netze auch mit minimalem Einsatz von VLANs trennen. Über einen CAPWAP-Datentunnel leiten die APs die Nutzdaten der angeschlossenen WLAN-Clients direkt zum WLC, der die Daten den entsprechenden VLANs zuordnet. Die VLAN-Konfiguration beschränkt sich dabei auf den WLC und einen einzigen zentralen Switch. Alle anderen Switches arbeiten in diesem Beispiel ohne VLAN-Konfiguration.

Anmerkung: Mit dieser Konfiguration reduzieren Sie das VLAN auf den Kern der Netzstruktur (in der Grafik blau hinterlegt dargestellt). Darüber hinaus erfordern lediglich 3 der genutzten Switch-Ports eine VLAN-Konfiguration.
Abbildung 1. Anwendungsbeispiel Overlay-Netz

Die Grafik zeigt ein Anwendungsbeispiel mit den folgenden Komponenten:

Das Ziel der Konfiguration: Ein WLAN-Client, der sich an einer bestimmten SSID anmeldet, soll Zugang zu "seinem" Server haben – unabhängig vom verwendeten AP und unabhängig vom Segment, in dem er sich gerade befindet.

Anmerkung: Die folgende Beschreibung basiert auf einer funktionsfähigen Grundkonfiguration des WLCs. Die Konfiguration des VLAN-Switches ist nicht Bestandteil dieser Beschreibung.

Konfiguration der WLAN-Einstellungen

  1. Erstellen Sie für jede SSID einen Eintrag in der Liste der logischen Netzwerke mit einem passenden Namen und der zugehörigen SSID. Verbinden Sie diese SSID mit einem WLC-Tunnel, die erste SSID z. B. mit 'WLC-TUNNEL-1' und die zweite mit 'WLC-TUNNEL-2'. Stellen Sie die VLAN-Betriebsart jeweils auf 'Tagged' mit der VLAN-ID '10' für das erste logischen Netz und der VLAN-ID '20' für das zweite logischen Netz. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > Logische WLAN-Netzwerke (SSIDs).
  2. Erstellen Sie einen Eintrag in der Liste der physikalischen WLAN-Parameter mit den passenden Einstellungen für Ihre APs, z. B. für das Land 'Europa' mit den Kanälen 1, 6 und 11 im 802.11g/b/n und 802.11a/n gemischten Modus. Aktivieren Sie für dieses Profil der physikalischen WLAN-Parameter die Option, das VLAN-Modul auf den APs einzuschalten. Stellen Sie die Betriebsart für das Management-VLAN in den APs auf 'Ungetagged' ein. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > Physikalische WLAN-Parameter.
  3. Erstellen Sie ein WLAN-Profil mit einem passenden Namen und ordnen Sie diesem WLAN-Profil die zuvor erstellten logischen WLAN-Netzwerke und die physikalischen WLAN-Parameter zu. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > Profile > WLAN-Profile.
  4. Erstellen Sie für jeden verwalteten AP einen Eintrag in der AP-Tabelle mit einem passenden Namen und der zugehörigen MAC-Adresse. Ordnen Sie diesem AP das zuvor erstellte WLAN-Profil zu. In LANconfig finden Sie diese Einstellungen unter Konfiguration > WLAN-Controller > AP-Konfig. > Access-Point-Tabelle.

Konfiguration der Schnittstellen am WLC

  1. Ordnen Sie jedem physikalischen Ethernet-Port eine separate logische LAN-Schnittstelle zu, z. B. 'LAN-1'. Stellen Sie sicher, dass die anderen Ethernet-Ports nicht der gleichen LAN-Schnittstelle zugeordnet sind. In LANconfig finden Sie diese Einstellungen unter Konfiguration > Schnittstellen > LAN > Ethernet-Ports.
  2. Ordnen Sie die logische LAN-Schnittstelle 'LAN-1' und die WLC-Tunnel 'WLC-Tunnel-1' und 'WLC-Tunnel-2' der Bridge-Gruppe 'BRG-1' zu. Stellen Sie sicher, dass die anderen LAN-Schnittstellen nicht der gleichen Bridge-Gruppe zugeordnet sind. In LANconfig finden Sie diese Einstellungen unter Konfiguration > Schnittstellen > LAN > Port-Tabelle.
    Anmerkung: Die LAN-Schnittstellen und WLC-Tunnel gehören standardmäßig keiner Bridge-Gruppe an. Indem Sie die LAN-Schnittstelle 'LAN-1' sowie die beiden WLC-Tunnel 'WLC-Tunnel-1' und 'WLC-Tunnel-2' der Bridge-Gruppe 'BRG-1' zuordnen, leitet das Gerät alle Datenpakete zwischen LAN-1 und den WLC-Tunneln über die Bridge weiter.
  3. Aktivieren Sie unter Schnittstellen > VLANdas VLAN-Modul des WLC und ordnen Sie unter VLAN-Tabelle dem gewünschten VLAN den oben gewählten LAN-Port (LAN-1) sowie den passenden WLC-Tunnel zu.
  4. Stellen Sie unter Schnittstellen > VLAN > Port-Tabelle den Tagging-Modus der Tunnel-Interfaces sowie des LAN-Interfaces korrekt ein und setzen Sie die passende Port-VLAN-ID.

    Je nach Schaltung des Switches konfigurieren Sie den Tagging-Modus des LAN-Interfaces auf 'Gemischt' oder 'Immer'.

    Im Normalfall betreibt man die Tunnel-Interfaces im Modus 'Niemals', da Pakete hier (aus dem WLAN) immer ungetaggt ankommen und der WLC sie mit der Port-VLAN-ID versieht.

    Wichtig: Bitte beachten Sie, dass bei Aktivierung des VLAN-Moduls die auf dem WLC angelegten ARF-Netze eine VLAN-ID erhalten müssen. Soll der WLC das Netz ohne VLAN-Tag erreichen, setzen Sie bei oben stehender VLAN-Konfiguration die '1' als VLAN-ID für das IP-Netz.
    Anmerkung:

    Eine ähnliche Konfiguration ist möglich, indem Sie schon am Access Point ein VLAN-Tag für die durch den Tunnel zu leitenden Pakete setzen und das VLAN-Modul des WLC nicht nutzen.

    Dabei würde der WLC allerdings durch das Bridgen der verschiedenen WLC-Tunnel untereinander auch Broadcasts in alle Tunnel weiterleiten, was ab einer bestimmten Menge von Tunneln/SSIDs und APs zu Lastproblemen im Netz und auf dem WLC führen kann. Die vorliegende Konfiguration des VLAN-Moduls verhindert das.

  5. Ergänzend konfigurieren Sie unter IPv4 > Allgemein > IP-Netzwerke für die auf Layer 2 getrennten Netzwerke die IP-Einstellungen.
    Wichtig: Damit das Gerät die Netzwerke nicht wieder auf Layer 3 verbindet, ist auch eine Trennung auf Layer 3 erforderlich, z. B. durch ein Schnittstellen-Tag oder durch die Firewall.
  6. Der WLC kann optional als DHCP-Server für die APs fungieren. Aktivieren Sie dazu den DHCP-Server für das 'INTRANET'. In LANconfig finden Sie diese Einstellungen unter IPv4 > DHCPv4 > DHCP-Netzwerke.