Gruppenschlüssel pro VLAN

In einer VLAN-Umgebung weist die zentrale Netzwerkverwaltung jedem virtuellen Netz in der Regel eine eindeutige VLAN-ID zu. Die Zugehörigkeit zu einem VLAN ergibt sich meist über den physikalischen Anschluss, der den Netzwerk-Client mit dem Netz verbindet.

Die zentrale, das Netz verwaltende Station (z. B. ein VLAN-fähiger Switch) weist ihren Ports intern bestimmte VLAN-IDs zu. Trifft nun ein Datenpaket an einem Port ein, geschieht die interne Weiterleitung ausschließlich an Ports mit korrespondierenden VLAN-IDs. Alle anderen Netzteilnehmer, die an Ports mit abweichenden oder ohne VLAN-IDs angeschlossen sind, erhalten diese Datenpakete nicht.

Bei mehreren vorhandenen VLANs mit differenziertem Dienstumfang erfolgt die Trennung der Datenkommunikation meistens über die Zuweisung zu unterschiedlichen logischen WLAN-Netzen (SSIDs). Mitarbeiter erhalten z. B. über eine spezielle SSID Zugriff auf das Firmennetzwerk und das Internet. Gäste hingegen erhalten über eine andere SSID eingeschränkten Zugriff auf das Internet.

LANCOM APs verwalten darüber hinaus in VLAN-Netzwerk-Tabellen die Zuordnung von WLAN-Clients zu einzelnen VLANs. In umfangreichen Netzwerkumgebungen übernimmt meist ein RADIUS-Server die Rechteverwaltung und Zuordnung der Clients zu genutzten VLANs. Nach erfolgreicher Authentifizierung übergibt der RADIUS-Server die Daten zurück an den entsprechenden AP. Für die Dauer der Client-Anmeldung speichert er sie in seiner VLAN-Netzwerk-Tabelle.

Bei Bedarf erhalten die verschiedenen WLAN-Clients, die am gleichen AP angemeldet sind, unterschiedliche VLAN-IDs. Dies geschieht durch die dynamischen VLAN-Netzwerk-Tabellen in den APs. Die VLAN-interne Kommunikation erfolgt abgesichert über einen bei der Anmeldung am AP ausgehandelten Sitzungsschlüssel. Somit ist die Datenübertragung der Clients in unterschiedlichen VLANs voneinander isoliert, obwohl jeder Client zur Kommunikation mit dem AP dasselbe logische WLAN-Netz (SSID) verwendet.

Meldet sich ein Client an einem AP eines WLAN-Netzes an, erhält er vom AP außerdem einen Gruppenschlüssel für den Empfang von Broad- oder Multicast-Nachrichten.

Broad- und Multicast-Nachrichten unterstützen kein VLAN-Tagging. Deshalb können WLAN-Clients, die sich in einem isolierten VLAN befinden, nicht vom Empfang dieser Nachrichten ausgeschlossen werden. Im Idealfall ignorieren die WLAN-Clients die Kommunikation über VLAN-fremde Broad- und Multicast-Nachrichten.

Da diese Nachrichten jedoch besonders zur Netzwerk-Konfiguration vermehrt zum Einsatz kommen, ergeben sich folgende Probleme:

Mit der zunehmenden Verbreitung von IPv6 werden auch diese Client-Probleme zunehmen.

Um diese Probleme zu vermeiden, kann der AP statt eines für alle WLAN-Clients gültigen Gruppenschlüssels jedem verwendeten VLAN einen separaten Gruppenschlüssel zuweisen. Er schickt somit seine Broad- und Multicast-Sendungen nicht mehr an alle vorhandenen WLAN-Clients, sondern ausschließlich an ein bestimmtes VLAN und an die dort registrierten Clients. Die WLAN-Clients anderer VLANs können diese Sendungen nun nicht mehr entschlüsseln.

Wichtig: Der IEEE 802.11-Standard sieht die Verwaltung von 4 unterschiedlichen Schlüsseln vor. Ein Schlüssel ist dabei immer für die gesicherte Unicast-Kommunikation zwischen dem AP und einem WLAN-Client reserviert.

Es können prinzipiell also maximal 3 separate VLANs über eigene Gruppenschlüssel verwaltet werden. Die jeweiligen Gruppenschlüssel werden dabei entweder automatisch vom AP oder manuell vom Netzwerk-Administrator verwaltet. Während der Anmeldung des WLAN-Clients am Netzwerk überträgt der AP ihm den zugehörigen VLAN-Gruppenschlüssel zur Entschlüsselung aller für sein VLAN bestimmten Broad- und Multicast-Sendungen.

Damit ergeben sich 2 mögliche Szenarien:

Die Verwaltung der VLAN-Gruppenschlüssel erfolgt in 2 Tabellen:

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo