Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...


Beschreibung:
In diesem Artikel werden "Best Practice" Tipps zur Verwendung von WLC-Tunneln und SSIDs beschrieben.


Anmerkungen zur Verwendung von WLC-Tunneln:
  • WLC-Tunnel können verwendet werden, wenn der Betriebsmodus LAN am AP mit VLAN nicht eingesetzt werden kann oder soll.
  • Da bei Verwendung eines WLC-Tunnels ein Overhead auftritt, muss im Gegensatz zum Betriebsmodus LAN am AP mit einer geringeren Performance gerechnet werden. Die Höhe des Performance-Verlustes hängt von dem jeweiligen Szenario ab. Daher sollten möglichst wenige WLC-Tunnel verwendet werden.
Wichtig:
Mehreren WLC-Tunneln sollte auf keinen Fall die gleiche Bridge-Gruppe zugewiesen werden. Dies kann dazu führen, dass auf dem WLAN-Controller die CPU-Last stark ansteigt und das Gerät somit dauerhaft ausgelastet ist!

Anmerkungen zur Verwendung von SSIDs:
  • Es sollten möglichst wenig SSIDs angelegt werden, da jede SSID zu einer erhöhten Grundlast auf dem WLAN-Kanal führt.
  • In High-Density Szenarien sollten maximal zwei SSIDs verwendet werden (eine SSID für interne Zwecke und eine SSID für andere Zwecke (etwa ein Gastnetz)).
  • Auf versteckte SSIDs sollte unbedingt verzichtet werden.
    • Zum Einen führt dies zu einer erhöhten Last auf dem WLAN-Kanal, da nach jedem empfangenen Beacon mit versteckter SSID jedes WLAN-Gerät für jedes WLAN-Profil eine Anfrage an den Access Point stellt, ob eines der WLAN-Profile auf dem Access Point vorhanden ist. Dieser Vorgang wiederholt sich für alle weiteren Access Points, die eine versteckte SSID ausstrahlen, da vom WLAN-Gerät nicht erkannt werden kann, ob die versteckten SSIDs zusammen gehören.
    • Zum Anderen führt die Verwendung einer versteckten SSID nicht zu einem Sicherheitsgewinn, sondern sogar im Gegenteil zu einem Sicherheitsverlust. Ist die SSID einem Angreifer bekannt, kann dieser einen entsprechend präparierten Access Point aufstellen (Rogue AP). Dieser antwortet dann auf die Anfragen eines WLAN-Gerätes (Man-in-the-Middle Angriff).
  • Werden mehrere getrennte WLAN-Netzwerke benötigt, kann auch LEPS-U (siehe auch DokumentlinksymbolImage Removed DokumentlinksymbolImage Added) oder eine RADIUS-Authentifizierung (802.1x) verwendet werden. Es wird dabei nur eine SSID ausgestrahlt. Die WLAN-Geräte werden per VLAN-ID in verschiedene Netzwerke geleitet, sodass die Kommunikation zwischen WLAN-Geräten in verschiedenen Netzwerken eingeschränkt werden kann.


...