(Spec) 2017 - Wlan2 Praxis

Textmasterformate
durch Klicken bearbeiten
WLAN Workshop II - Specialist
Praxis
Textmasterformate
Agenda
Aufbau einer WLAN-Bridge zwischen Basisstationen

Konfiguration einer WLAN-Netzwerkkopplung mit Transfernetz
WLAN-Client Anbindung mit RADIUS Authentifizierung
Grundkonfiguration des WLC
WLAN Controller mit einer SSID
Multi-SSID mit WLC-Tunnel
Clientanbindung über LEPS
Konfiguration eines LANCOM Public Spot
Seite 2
Textmasterformate
Grundkonfiguration - Szenario
Die Zahnarztpraxis MEDCON wächst
Dr. Lan kauft das gegenüberliegende Gebäude um dort weitere

Praxisräume zu erhalten.
Leider trennt eine Straße die beiden Praxisräumlichkeiten. Eine
Kabelverbindung ist nicht möglich. Der Internetzugang auf einer
Seite ist zu langsam.
Eine Punkt zu Punkt Strecke muss her%
Seite 3
1
Textmasterformate
WLAN-Bridge zwischen zwei AP | Szenario
WLAN AP WLAN AP
IP: 192.168.x.0
Subnetz-Maske: 255.255.0.0
Seite 4
Textmasterformate
WLAN-Bridge zwischen zwei AP | Aufgabe
Bei dieser Übung arbeiten die benachbarten Arbeitsplätze zusammen (1-2, 3-4, 5-6,)
› Die Arbeitsplätze werden über eine Point-to-Point WLAN Bridge zwischen den beiden
Access Points miteinander verbunden
› Ein Access Point agiert dabei als Master, der andere Access Point als Slave
› Die Bridge soll betrieben werden
› im Outdoorbereich
› des Trainingslands
› im 5-GHz Band
› Unterband 1 + 2
› Beide WLAN APs müssen sich im gleichen Subnetz befinden
Seite 5
2
Textmasterformate
WLAN-Bridge zwischen zwei AP | Vorgehensweise
• Konfigurieren Sie das WLAN Interface des Access Points anhand der vorgegebenen
Konfigurationsparameter:
› Wireless-LAN Allgemein Physikalische WLAN-Einstellungen
• Aktivieren Sie unter
Wireless-LAN Allgemein Gemeinsame Punkt zu Punkt Einst.

› den exklusiven oder gemischten P2P-Betrieb Ihres Access Points
› Tragen Sie den Stations-Namen den dieser Access-Point zur Authentifizierung auf den
P2P-Verbindungen nutzen soll ein
› Definieren Sie den Access Points als MASTER oder als SLAVE
Seite 6
Textmasterformate
Unter Wireless-LAN Allgemein Punkt-zu-Punkt-Partner

› Wählen Sie einen P2P-Kanal
› Aktivieren sie den P2P-Kanal und wählen die gewünschte Art der Identifizierung Ihres P2P-
Partners (Stations-Name)
› Tragen Sie den Stations-Namen Ihres P2P-Partners ein
› Definieren Sie einen gemeinsamen WPA-Schlüssel
Seite 7
3
Textmasterformate
Gehen Sie wie folgt vor:

› Überprüfen Sie die Qualität der Point-to-Point Verbindung in einer Telnet-Sitzung auf Ihrem
Access Point über den Menüpunkt:
› Status /WLAN/Interpoints/Accesspoint-List
› Alternativ überprüfen Sie die Qualität der P2P-Verbindung über den WLAN Linktest im
› WEBconfig
› oder im LANmonitor
› Testen Sie die WLAN-Bridge, indem Sie auf den Rechner des benachbarten Arbeitsplatzes
zugreifen
Seite 8
Textmasterformate
WLAN-Bridge zwischen zwei AP | Fehlersuche
Trace
› WLAN-Status
› DFS
Telnet/Putty
› ls /Status/WLAN/Interpoints/Accesspoint-List
› Linktest
› Show Bindings
LANmonitor
› Antennenausrichtung
Seite 9
4
Textmasterformate
Agenda

Seite 10
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Szenario
Die Zahnarztpraxis MEDCON wächst weiter
Dr. Lan möchte nun doch eine Trennung der beiden Netze haben.
Sein Netzwerkbetreuer hat festgestellt, dass Broadcastpakete das
WLAN beeinträchtigen.
Ein Transfernetz muss her%
Seite 11
5
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Szenario
Transfernetz
192.168.1.1 10.0.0.1 10.0.0.2 192.168.2.1

LAN 1
LAN 2
192.168.1.0/24 10.0.0.0/24 192.168.2.0/24
Seite 12
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Aufgabe
Gehen Sie wie folgt vor:

› Bei dieser Übung arbeiten die Arbeitsplätze paarweise zusammen (1-2, 3-4, 5-6,)
› Konfigurieren Sie eine WLAN-Punkt-zu-Punkt-Verbindung
› Passen Sie Ihre IP-Umgebung so an, das hinter jedem Router ein anderes Netz erreicht
werden kann
› Erstellen Sie ein Transfernetz auf der WLAN-Strecke
› Passen Sie Ihre IPv4-Routing-Tabelle entsprechend an
Seite 13
6
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Vorgehensweise I
› Weisen Sie Ihrem Access Point eine IP-Adresse für das Transfernetz zu
› 10.0.0.x /24
› Weisen Sie das Transfernetz der Punkt-zu-Punkt-Verbindung (P2P-1-1) zu
Seite 14
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Vorgehensweise II
Stellen Sie sicher, dass das Netz P2P-1-1 nicht zur BRG-1 gehört
› Konfiguriere Schnittstellen LAN Port-Tabellen
Seite 15
7
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Vorgehensweise III
› Erstellen Sie einen entsprechenden Routingeintrag auf die IP der WLAN-Gegenstelle

› Konfiguriere IP-Router Routing IPv4-Routing-Tabelle
› Aktivieren Sie NICHT die Maskierung
Seite 16
Textmasterformate
WLAN-Netzwerkkopplung mit Transfernetz | Fehlersuche
Trace
› ip-router
Telnet:
› Show bindings
› ls /Status/Ip-Router/Act.-IP-Routing-Tab.
› ls /Status/WLAN/Interpoints/Accesspoint-List
Seite 17
8
Textmasterformate
Agenda

Seite 18
Textmasterformate
Grundkonfiguration - Szenario
Auch die Sicherheitsanforderungen der MEDCON steigen
Dr. Lan hat in einem Fachblatt gelesen, dass es mit einer WPA2-
Verschlüsselung potentielle Angriffsmöglichkeiten auf seine
empfindlichen Patientendaten geben kann.
Nach Rücksprache mit seinem IT-Betreuer entschließt er sich, das

interne Netzwerk mit einem sichereren Netzwerk zu erweitern, in
dem WLAN-Zugriffe über IEEE802.1x geschützt werden soll..
Seite 19
9
Textmasterformate
RADIUS Authentifizierung - Aufgabe
› RADIUS-Server ist ein LANCOM mit integrierten Radius-Server

› Authenticator ist der LANCOM1781EW
› Supplicant ist ein Notebook mit WLAN Client, gerne auch ein Smartphone
› Verwendung von 802.1x mit WPA2 und MSCHAPv2 (Benutzername und Kennwort)
› WLAN-Client baut eine Verbindung zum Access Point auf
› Die Authentifizierung erfolgt nicht über einen vordefinierten Preshared Key
› Sitzung wird zu einem zentralen RADIUS-Server aufgebaut
› WLAN Client bekommt Stammstellenzertifikat mit öffentlichem Schlüssel
› RADIUS prüft Userdaten am Verzeichnis auf dem zentralen Radius
Seite 20
Textmasterformate
RADIUS Authentifizierung - Vorgaben
Platz 1 Platz 2 Platz 3 Platz 4 Platz 5 Platz 6

1781EW 82.82.82.11 82.82.82.12 82.82.82.13 82.82.82.14 82.82.82.15 82.82.82.16
WAN-IP
SSID MEDCON- MEDCON- MEDCON- MEDCON- MEDCON- MEDCON-
Intern1 Intern2 Intern3 Intern4 Intern5 Intern6
WLAN-
IEEE 802.11g/n
Standard
IP-Radius
82.82.82.1
Server
Radius-
Secret RADIUS
(Authenticator)
Username LCS1 LCS2 LCS3 LCS4 LCS5 LCS6
(Supplicant)
Kennwort LCS1 LCS2 LCS3 LCS4 LCS5 LCS6
(Supplicant)
Seite 21
10
Textmasterformate
RADIUS Authentifizierung - Konfiguration des Accesspoints
Verschlüsselung auf 802.11i (WPA)-802.1x stellen

› Schlüsselfeld füllen
› Unter 802.1x einen Radius Server anlegen
Seite 22
Textmasterformate
RADIUS Authentifizierung - Fehlersuche
Trace
› EAP für Probleme mit der Verschlüsselung
› RADIUS für die Aushandlung mit dem RADIUS Server
Telnet:
› ls /Status/WLAN/Station-Table
Logs auf dem freeradius Server

› /etc/freeradius
› /var/logs
Seite 23
11
Textmasterformate
Agenda

Konfiguration eines LANCOM PublicSpot
Seite 24
Textmasterformate
Grundkonfiguration WLC | Szenario
Die Zahnarztpraxis MEDCON wächst immer noch weiter
Dr. Lan hat mittlerweile volle Terminkalender über Monate im

Voraus. Er stellt 2 weitere Zahnärzte ein, um die Praxis zu
vergrößern. Er mietet sich mehrere Etagen im Praxisgebäude und
braucht nun auch wesentlich mehr AP´s.
Ein WLAN Controller (WLC) muss her%
Seite 25
12
Textmasterformate
Grundkonfiguration WLC | Szenario
PPPoE Verbindung
LAN
Internet
Seite 26
Textmasterformate
Grundkonfiguration WLC | Vorgehensweise
Platz 1 Platz 2 Platz 3 Platz 4 Platz 5 Platz 6

IP-Adresse 192.168.10.1 192.168.20.1 192.168.30.1 192.168.40.1 192.168.50.1 192.168.60.1
WAN-IP
82.82.82.21 82.82.82.22 82.82.82.23 82.82.82.24 82.82.82.25 82.82.82.26
(PPPoE)
Router- LCS1- LCS2- LCS3-
LCS4-Zentrale LCS5-Zentrale LCS6-Zentrale
Name Zentrale Zentrale Zentrale
Hauptgeräte-
Platz001 Platz002 Platz003 Platz004 Platz005 Platz006
passwort
NTP Server 82.82.82.1
WAN-Port Uplink
PPPoE User LCS1-2 LCS2-2 LCS3-2 LCS4-2 LCS5-2 LCS6-2
PPPoE
LCS1-2 LCS2-2 LCS3-2 LCS4-2 LCS5-2 LCS6-2
Passwort
Seite 27
13
Textmasterformate
Grundkonfiguration WLC | Vorgehensweise
Wo werden die Infos/Daten in der Konfiguration definiert?

› Management Allgemein
› Management Admin
› Kommunikation Gegenstellen Gegenstellen (DSL)
› Kommunikation Protokolle PPP-Liste
› Datum/Zeit Synchronisierung ZeitserverSchnittstellen LAN Ethernet-Ports
› TCP/IP Allgemein IP-Netzwerke
› TCP/IP DHCP DHCP-Netzwerke
› IP-Router Routing Routing-Tabelle
Seite 28
Textmasterformate
Grundkonfiguration WLC | Fehlersuche
Trace
› PPP
LANmonitor
› Überprüfen der Systemzeit
› Aufbau der WAN-Verbindung und WAN-IP
› H..
Seite 29
14
Textmasterformate
Agenda

Seite 30
Textmasterformate
WLAN Controller mit einer SSID | Szenario
› WPA2 geschützter WLAN Zugang auf einem Access-Point für den Arzt, konfiguriert durch den
LANCOM WLAN Controller
MEDCON-Internx
LAN
Seite 31
15
Textmasterformate
WLAN Controller mit einer SSID | Erstellung der WLAN-Profile
Aktivieren Sie im WLC den integrierten SCEP-Server, damit der WLC den Access-Points Zertifikate
ausstellen kann
› Zertifikate Certificate-Authority-Server (CA) mit SCEP aktiviert
Konfigurieren Sie die Basis-Einstellungen des WLAN-Controllers

› WLAN-Controller Allgemein WLAN-Controller
› WLAN-Controller aktiviert
› Automatische Annahme neuer Aps aktiviert (Auto-Accept)
› APs automatisch eine Default-Konfiguration zuweisen
› Synchronisieren des Haupt-Geräte-Passworts
Seite 32
Textmasterformate
WLAN Controller mit einer SSID | Erstellung der WLAN-Profile
Konfigurieren Sie im WLC logische und physikalische WLAN-Parameter und fassen diese zu einem
Profil zusammen
› WLAN-Controller Profile Logische WLAN-Netzwerke
› WLAN-Controller Profile Physikalische WLAN-Parameter
› WLAN-Controller Profile WLAN-Profile
Machen Sie dieses Profil zum Defaultprofil für alle neuen Access-Points des WLCs
› WLAN-Controller AP-Konfig. Access-Point-Tabelle
Seite 33
16
Textmasterformate
WLAN Controller mit einer SSID | Fehlersuche
Trace
› CAPWAP-Ctrl.
› EAP
LANmonitor
› Kontrollieren Sie
› die Erstellung der Zertifikate
› die Annahme des Access-Points
› ob die Parameter des WLAN-Profils auf dem Access-Point übernommen worden sind
Seite 34
Textmasterformate
Agenda

Seite 35
17
Textmasterformate
Multi-SSID mit WLC-Tunnel | Szenario
Nutzung der Infrastruktur für mehrere logische WLANs
Firmen
Internet
MEDCON-Gastx MEDCON-Internx
WPA2 WPA2
LAN
Gast
Internet
Seite 36
Textmasterformate
Multi-SSID mit WLC-Tunnel | Konfiguration des Gast-Netzwerks
Erzeugen Sie ein zweites IP-Netzwerk für Ihre Gäste

› TCP-IP Allgemein IP-Netzwerke
› Weisen Sie dem Intranet und dem Mitarbeiternetzwerk eine passende Schnittstelle zu
(INTRANET = LAN-2 und Gastnetzwerk = WLC-Tunnel-1)
› Nutzen Sie ARF-Tags (alternativ die Firewall), um zu Verhindern, dass Ihre Gäste auf das
interne Netzwerk zugreifen können
› TCP/IP DHCP DHCP-Netzwerke
› Benutzen Sie zunächst ebenfalls eine WPA2/PSK Verschlüsselung
Konfigurieren Sie zu Ihrem Gastnetzwerk logisches WLAN-Netzwerk (SSID) und fügen es zum
vorhandenen WLAN-Profil zu
› WLAN-Controller Profile Logische WLAN-Netzwerke
› WLAN-Controller Profile WLAN-Profile
Seite 37
18
Textmasterformate
Multi-SSID mit WLC-Tunnel | Fehlersuche
Trace
› EAP
› DHCP
› IP-Router (oder FIREWALL)
LANmonitor
› IP-Netwerke
› DHCP
› WLAN-Profile
› H..
Seite 38
Textmasterformate
Agenda

Seite 39
19
Textmasterformate
Client-Anbindung mit LEPS | Szenario
Die Sicherheitsanforderungen der MEDON steigen immer weiter
Dr. Lan möchte, dass ein zusätzliches Netz aufgespannt werden

soll, welches über individuelle Passphrases pro Teilnehmer
verfügen soll.
Dieses Netzwerk ist für die Mitarbeiter gedacht.
Seite 40
Textmasterformate
Client-Anbindung mit LEPS | Szenario
0A-F3-22-A6-61-00
Seite 41
20
Textmasterformate
Multi-SSID mit WLC-Tunnel | Szenario
Nutzung der Infrastruktur für mehrere logische WLANs
Firmen
Internet
MEDCON-Gastx MEDCON-Internx
WPA2/PSK 802.1x
LAN
MEDCON-Mitarbeiterx
WPA2/PSK LEPS
Gast
Internet
Seite 42
Textmasterformate
Client-Anbindung mit LEPS | Aufgabe
Erzeugen Sie ein neues Netzwerk für Mitarbeiter inklusive SSID, bei der die Verschlüsselung für
jeden WLAN-Client mit einer individuellen Passphrase generiert wird
› Tragen Sie die entsprechenden MAC-Adressen in die Stationstabelle ein
› Konfigurieren Sie auf Ihrem Client die entsprechende individuelle Passphrase
› Bauen Sie eine Verbindung auf
Seite 43
21
Textmasterformate
Client-Anbindung mit LEPS | Vorgehensweise I
› Erstellen Sie ein neues Logisches Netzwerk und aktivieren Sie den MAC-Filter für das logische
Netzwerk
› Wireless-LAN Allgemein Logische WLAN-Einstellungen
› Erstellen Sie für das neue WLAN-Netz eine WPA2 Verschlüsselung
› Wireless-LAN Verschlüsselung WLAN-Verschlüsselungs-Einstellungen
› Legen Sie für den / die WLAN-Client(s) Einträge in der Stationstabelle an (Beachten Sie dabei
die Arbeitsweise der Filter)
› Wireless-LAN Stationen Stationen
Seite 44
Textmasterformate
Client-Anbindung mit LEPS | Vorgehensweise II
Seite 45
22
Textmasterformate
Client-Anbindung mit LEPS | Vorgehensweise III
Seite 46
Textmasterformate
Client-Anbindung mit LEPS | Vorgehensweise mit Stationstabelle
Seite 47
23
Textmasterformate
Client-Anbindung mit LEPS | Fehlersuche
Trace
› tr # EAP (für Probleme mit der Verschlüsselung)
› tr # RADIUS-Server (Bei Einsatz der RADIUS-Benutzertabelle)
Telnet:
› ls /Status/WLAN/Station-Table
Seite 48
Textmasterformate
Agenda

Seite 49
24
Textmasterformate
LANCOM Public Spot | Szenario
Intranet
Public Spot Area
Seite 50
Textmasterformate
LANCOM Public Spot | Szenario
MEDCON bekommt einen Public Spot
Dr. Lan stellt fest, dass die Schüler der benachbarten Schule
permanent über seine offene Gast-SSID surfen. Dies möchte er
unterbinden. Darüber hinaus befürchtet er Probleme durch
Schäden, welche durch dritte im Internet verursacht werden
könnten. Ein Public Spot muss her%
Seite 51
25
Textmasterformate
LANCOM Public Spot | Vorgaben
Konfigurieren Sie den Public Spot nach folgenden Vorgaben für Ihre bestehende GAST-SSID:
› Verschlüsselung der SSID: keine
› Anmeldung am Public Spot: über Name und Passwort
› Den Public-Spot nur für die Gast-SSID bereitstellen
› Kein VLAN
› Die Benutzerliste soll automatisch bereinigt werden
› Mehrfachanmeldungen zulassen (max. 3 Stück)
› Ein Voucher gilt für einen Zeitraum von 24 Stunden
› User Anlegen, der die Berechtigung hat, Public Spot Benutzer anzulegen und zu verwalten.
Keine Administrative Rechte vergeben!
Seite 52
Textmasterformate
LANCOM Public Spot | Grundlegendes - Aktivierung
Aktivierung durch Auswahl des Anmeldungs-Modus
Seite 53
26
Textmasterformate
LANCOM Public Spot | Grundlegendes – Auswahl des/der Interfaces
Interfaces bestimmen, auf denen der Public-Spot aktiv sein soll
Seite 54
Textmasterformate
LANCOM Public Spot | Grundlegendes - Benutzerverwaltung
Benutzerverwaltung im internen RADIUS-Modul
Seite 55
27
Textmasterformate
LANCOM Public Spot | Grundlegendes - Parameter anpassen
› Standardlaufzeiten
› Benutzernamen
› Passwortlänge
› Public-Spot SSIDs
› Mehrfach-Login
› Bandbreitenprofile
› H.
Seite 56
Textmasterformate
LANCOM Public Spot | Grundlegendes - Benutzerverwaltung
Aktivierung des integrierten RADIUS-Servers
› Eingabe der Radius Ports

› Authentifizierungs-Port: 1812
› Accounting-Port : 1813
Seite 57
28
Textmasterformate
LANCOM Public Spot | Grundlegendes - User für eingeschränkte Verwaltung
User anlegen, der nur den Public Spot Assistenten

benutzen darf
Seite 58
Textmasterformate
LANCOM Public Spot | Fehlersuche
Trace
› Radius-Server
› EAP
Telnet:
› Show bindings
Seite 59
29
Textmasterformate
LANCOM Systems
Adenauerstraße 20 B2
52146 Würselen
info@lancom.de
www.lancom-systems.de
30

(Spec) 2017 - Wlan2 Praxis

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

(Spec) 2017 - Wlan2 Praxis

Hochgeladen von

Copyright:

Verfügbare Formate

Textmasterformate

durch Klicken bearbeiten

WLAN Workshop II - Specialist

Aufbau einer WLAN-Bridge zwischen Basisstationen

Die Zahnarztpraxis MEDCON wächst

Dr. Lan kauft das gegenüberliegende Gebäude um dort weitere

Eine Punkt zu Punkt Strecke muss her%

• Aktivieren Sie unter

Wireless-LAN Allgemein Gemeinsame Punkt zu Punkt Einst.

Unter Wireless-LAN Allgemein Punkt-zu-Punkt-Partner

Gehen Sie wie folgt vor:

Aufbau einer WLAN-Bridge zwischen Basisstationen

Die Zahnarztpraxis MEDCON wächst weiter

Ein Transfernetz muss her%

192.168.1.1 10.0.0.1 10.0.0.2 192.168.2.1

192.168.1.0/24 10.0.0.0/24 192.168.2.0/24

Gehen Sie wie folgt vor:

› Erstellen Sie einen entsprechenden Routingeintrag auf die IP der WLAN-Gegenstelle

Aufbau einer WLAN-Bridge zwischen Basisstationen

Auch die Sicherheitsanforderungen der MEDCON steigen

Nach Rücksprache mit seinem IT-Betreuer entschließt er sich, das

› RADIUS-Server ist ein LANCOM mit integrierten Radius-Server

Platz 1 Platz 2 Platz 3 Platz 4 Platz 5 Platz 6

Verschlüsselung auf 802.11i (WPA)-802.1x stellen

Logs auf dem freeradius Server

Aufbau einer WLAN-Bridge zwischen Basisstationen

Die Zahnarztpraxis MEDCON wächst immer noch weiter

Dr. Lan hat mittlerweile volle Terminkalender über Monate im

Ein WLAN Controller (WLC) muss her%

Platz 1 Platz 2 Platz 3 Platz 4 Platz 5 Platz 6

NTP Server 82.82.82.1

PPPoE User LCS1-2 LCS2-2 LCS3-2 LCS4-2 LCS5-2 LCS6-2

Wo werden die Infos/Daten in der Konfiguration definiert?

Aufbau einer WLAN-Bridge zwischen Basisstationen

Konfigurieren Sie die Basis-Einstellungen des WLAN-Controllers

Aufbau einer WLAN-Bridge zwischen Basisstationen

Nutzung der Infrastruktur für mehrere logische WLANs

Erzeugen Sie ein zweites IP-Netzwerk für Ihre Gäste

Aufbau einer WLAN-Bridge zwischen Basisstationen

Die Sicherheitsanforderungen der MEDON steigen immer weiter

Dr. Lan möchte, dass ein zusätzliches Netz aufgespannt werden

Nutzung der Infrastruktur für mehrere logische WLANs

Aufbau einer WLAN-Bridge zwischen Basisstationen

Public Spot Area

MEDCON bekommt einen Public Spot

Aktivierung durch Auswahl des Anmeldungs-Modus

Interfaces bestimmen, auf denen der Public-Spot aktiv sein soll

Benutzerverwaltung im internen RADIUS-Modul

Aktivierung des integrierten RADIUS-Servers

› Eingabe der Radius Ports

User anlegen, der nur den Public Spot Assistenten

Das könnte Ihnen auch gefallen