Zum Hauptinhalt springen
Deutsch

Dynamische VLAN-Zuweisung mit RADIUS: Segmentierung von Benutzern nach Rollen

Dieser Leitfaden bietet eine umfassende technische Übersicht zur Implementierung der dynamischen VLAN-Zuweisung mithilfe von RADIUS-Attributen. Er beschreibt im Detail, wie Unternehmen die Netzwerksegmentierung für Mitarbeiter, Gäste und IoT-Geräte automatisieren können, um die Sicherheit zu erhöhen und den manuellen Konfigurationsaufwand zu reduzieren.

📖 5 Min. Lesezeit📝 1,035 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Willkommen zum Purple Technical Briefing. Ich bin Ihr Gastgeber, und heute tauchen wir in ein entscheidendes Architekturthema für Betreiber von Multi-Venue-Standorten ein: Dynamische VLAN-Zuweisung mit RADIUS. Wenn Sie Netzwerke in Hotels, Einzelhandelsketten oder großen öffentlichen Veranstaltungsorten verwalten, kennen Sie die Probleme der manuellen Netzwerksegmentierung. Sie haben Mitarbeitergeräte, Gastgeräte und eine ständig wachsende Anzahl an IoT-Sensoren. Sie alle in einem flachen Netzwerk zu betreiben, ist ein Sicherheitsrisiko, aber die manuelle Zuweisung statischer VLANs pro Port oder SSID lässt sich nicht skalieren. Hier kommt RADIUS ins Spiel. Durch die Nutzung der 802.1X-Authentifizierung und von RADIUS-Attributen, insbesondere Tunnel-Private-Group-ID, können Sie Benutzer und Geräte genau in dem Moment, in dem sie sich authentifizieren, automatisch dem richtigen VLAN zuweisen. Lassen Sie uns die technischen Mechanismen aufschlüsseln. Wenn sich ein Gerät mit einem Access Point verbindet, initiiert es einen EAP-Austausch. Der Authentifikator – in der Regel Ihr AP oder Switch – leitet diesen an Ihren RADIUS-Server weiter. Wenn die Anmeldedaten gültig sind, sendet der RADIUS-Server eine Access-Accept-Nachricht zurück. Aber hier liegt der Clou: Innerhalb dieses Access-Accept-Pakets konfigurieren Sie den RADIUS-Server so, dass er drei spezifische IETF-Standardattribute enthält. Erstens: Tunnel-Type, eingestellt auf VLAN, was dem Wert 13 entspricht. Zweitens: Tunnel-Medium-Type, eingestellt auf IEEE-802, Wert 6. Und drittens: Tunnel-Private-Group-ID, welche die eigentliche VLAN-ID-Zeichenfolge enthält, wie z. B. "10" für Mitarbeiter oder "20" für Gäste. Wenn der Access Point dies empfängt, taggt er den Datenverkehr des Benutzers dynamisch mit dieser VLAN-ID. Das Ergebnis? Eine einzige SSID kann mehrere verschiedene Benutzergruppen sicher bedienen und sie in isolierte Netzwerksegmente mit eigenen Firewall-Regeln und Bandbreitenbegrenzungen einteilen. Lassen Sie uns über die Implementierung sprechen. Unabhängig davon, ob Sie Cisco Catalyst, Aruba ClearPass oder Ubiquiti UniFi verwenden, bleiben die Kernprinzipien dieselben, auch wenn die genaue Syntax variiert. In einem Hotellerie-Szenario beispielsweise meldet sich ein Mitarbeiter an der Rezeption an und wird dem sicheren Mitarbeiter-VLAN mit Zugriff auf das Property-Management-System zugewiesen. Ein Gast verbindet sich über das Captive Portal und wird in einem isolierten Gäste-VLAN mit aktivierter Client-Isolierung platziert. In der Zwischenzeit authentifizieren sich intelligente Thermostate über MAC-Authentication-Bypass (MAB) und werden einem gesperrten IoT-VLAN zugewiesen, das nur bestimmte Steuerungsserver erreichen kann. Bei dieser Architektur geht es nicht nur um Komfort, sondern auch um Risikominderung und Compliance. Wenn Sie Zahlungen verarbeiten, erfordert PCI DSS eine strikte Segmentierung Ihrer Point-of-Sale-Terminals. Dynamische VLANs stellen sicher, dass ein POS-Gerät selbst dann sicher segmentiert bleibt, wenn es an einen anderen Port angeschlossen wird. Aber was sind die Fallstricke? Die häufigste Fehlerquelle ist die Nichtverfügbarkeit von RADIUS. Wenn Ihre Access Points den RADIUS-Server nicht erreichen können, können sich Geräte nicht authentifizieren. Sie müssen Fallback-Mechanismen konfigurieren. Die meisten Enterprise APs unterstützen eine "Critical VLAN"- oder "Fallback VLAN"-Einstellung. Wenn RADIUS das Zeitlimit überschreitet, verschiebt der AP das Gerät in ein eingeschränktes VLAN, das möglicherweise nur den Internetzugang erlaubt, sodass der Geschäftsbetrieb ohne Beeinträchtigung der internen Sicherheit aufrechterhalten wird. Ein weiterer Fallstrick ist eine inkonsistente VLAN-Benennung über verschiedene Standorte hinweg. Wenn VLAN 10 an Standort A "Staff", aber an Standort B "Guest" ist, führt die dynamische Zuweisung zu Chaos. Standardisieren Sie Ihre VLAN-IDs global, bevor Sie dies implementieren. Zusammenfassend lässt sich sagen: Die dynamische VLAN-Zuweisung via RADIUS verwandelt den Netzwerkzugriff von einer manuellen Aufgabe in eine automatisierte, skalierbare Sicherheitsrichtlinie. Sie reduziert das SSID-Bloat, setzt eine rollenbasierte Zugriffskontrolle durch und vereinfacht die Compliance. Vielen Dank für Ihre Teilnahme an diesem technischen Briefing. Weitere vertiefende Informationen zur Enterprise-WiFi-Architektur finden Sie im Bereich Leitfäden auf der Purple-Website.

Executive Summary

header_image.png

Für Betreiber von Multi-Venue-Standorten ist die manuelle Verwaltung der Netzwerksegmentierung ein erheblicher betrieblicher Engpass. Da die Anzahl der verbundenen Geräte im Gastgewerbe, im Einzelhandel und im öffentlichen Sektor immer weiter ansteigt, ist es nicht mehr tragbar, sich auf statische VLAN-Konfigurationen pro Port zu verlassen oder Dutzende von SSIDs auszustrahlen. Dieser Leitfaden zeigt, wie Sie die dynamische VLAN-Zuweisung mit RADIUS nutzen können, um Benutzer und Geräte beim Authentifizierungsprozess automatisch nach ihrer Rolle zu segmentieren. Durch die Übergabe spezifischer RADIUS-Attribute (wie Tunnel-Pvt-Group-ID) können Netzwerkarchitekten Benutzer dynamisch dem richtigen VLAN zuweisen, strenge Sicherheitsrichtlinien durchsetzen, die Einhaltung von Standards wie PCI DSS gewährleisten und den manuellen IT-Aufwand drastisch reduzieren.

Technical Deep-Dive

Die dynamische VLAN-Zuweisung basiert auf dem IEEE 802.1X-Standard für portbasierte Netzwerkzugriffskontrolle in Kombination mit einem RADIUS-Server (Remote Authentication Dial-In User Service) für die zentralisierte Authentifizierung, Autorisierung und Abrechnung (AAA). Wenn ein Client-Gerät versucht, eine Verbindung zum Netzwerk herzustellen, fungiert der Authentifikator (in der Regel ein Wireless Access Point oder ein Netzwerk-Switch) als Vermittler und leitet die Anmeldedaten des Clients über das Extensible Authentication Protocol (EAP) an den RADIUS-Server weiter.

Sind die Anmeldedaten gültig, antwortet der RADIUS-Server mit einer Access-Accept-Nachricht. Der entscheidende Mechanismus für die dynamische VLAN-Zuweisung ist die Einbindung spezifischer IETF-Standard-RADIUS-Attribute in dieses Access-Accept-Paket. Die drei wesentlichen Attribute sind:

  1. Tunnel-Type (Attribut 64): Muss auf VLAN (Wert 13) festgelegt sein.
  2. Tunnel-Medium-Type (Attribut 65): Muss auf IEEE-802 (Wert 6) festgelegt sein.
  3. Tunnel-Private-Group-ID (Attribut 81): Dies enthält den eigentlichen VLAN-ID-String (z. B. „10“, „20“, „Guest_VLAN“).

Wenn der Authentifikator diese Attribute empfängt, versieht er den Datenverkehr des Benutzers dynamisch mit der angegebenen VLAN-ID und platziert ihn im entsprechenden Netzwerksegment – unabhängig vom physischen Port oder der SSID, mit der er verbunden ist.

radius_vlan_architecture.png

Diese Architektur ermöglicht eine rollenbasierte Netzwerkzugriffskontrolle. Eine einzige SSID kann mehrere unterschiedliche Benutzergruppen sicher bedienen und sie in isolierten Netzwerksegmenten mit eigenen Firewall-Regeln, Bandbreitenbegrenzungen und Routing-Richtlinien platzieren. Zum Beispiel lassen sich die Guest WiFi -Lösungen von Purple oft mit RADIUS integrieren, um sicherzustellen, dass Gäste in einem isolierten VLAN platziert werden, was interne Ressourcen schützt.

Implementation Guide

Die Bereitstellung einer dynamischen VLAN-Zuweisung erfordert eine Konfiguration sowohl auf dem RADIUS-Server als auch auf der Netzwerkinfrastruktur (Access Points oder Switches). Obwohl die genaue Syntax je nach Hersteller variiert (z. B. Cisco ISE, Aruba ClearPass, FreeRADIUS), bleiben die Kernprinzipien dieselben.

Schritt 1: Konfiguration des RADIUS-Servers

Konfigurieren Sie Ihren RADIUS-Server so, dass er die erforderlichen Attribute basierend auf Benutzergruppen oder Geräteprofilen zurückgibt. Sie können beispielsweise Richtlinien mit folgendem Inhalt erstellen:

  • Wenn Benutzergruppe = "Staff", Tunnel-Private-Group-ID = "10" zurückgeben.
  • Wenn Benutzergruppe = "Contractors", Tunnel-Private-Group-ID = "20" zurückgeben.
  • Wenn Gerätetyp = "IoT Sensor" (über MAC Authentication Bypass), Tunnel-Private-Group-ID = "30" zurückgeben.

Schritt 2: Konfiguration des Authenticators (Access Points/Switches)

Konfigurieren Sie Ihre Netzwerkgeräte so, dass sie den RADIUS-Server abfragen und die zurückgegebenen Attribute verarbeiten. Dies umfasst in der Regel:

  1. Definieren der RADIUS-Server-IP-Adresse und des Shared Secret.
  2. Aktivieren der 802.1X-Authentifizierung auf den entsprechenden SSIDs oder Switch-Ports.
  3. Aktivieren der dynamischen VLAN-Zuweisung (manchmal auch als "AAA Override" oder "RADIUS-VLAN-Zuweisung" bezeichnet).

Herstellerspezifische Überlegungen

  • Cisco: Stellen Sie auf WLCs sicher, dass "AAA Override" in der WLAN-Konfiguration aktiviert ist. Konfigurieren Sie bei Switches authentication port-control auto und dot1x pae authenticator.
  • Aruba: Stellen Sie in ArubaOS sicher, dass für das AAA-Profil ein "RADIUS Server" konfiguriert ist und die Servergruppe so eingestellt ist, dass Serverregeln für die VLAN-Ableitung verarbeitet werden.
  • Ubiquiti UniFi: Aktivieren Sie in der UniFi Network-Anwendung "RADIUS MAC Authentication" oder "WPA2/WPA3 Enterprise" und stellen Sie sicher, dass "Enable RADIUS assigned VLAN" in den Netzwerkeinstellungen aktiviert ist.

vlan_segmentation_comparison.png

Best Practices

Um eine robuste und skalierbare Bereitstellung zu gewährleisten, sollten Sie die folgenden branchenüblichen Empfehlungen befolgen:

  1. VLAN-IDs global standardisieren: Eine uneinheitliche VLAN-Benennung an verschiedenen Standorten ist eine große Fehlerquelle. Wenn VLAN 10 an Standort A "Staff" ist, an Standort B jedoch "Guest", führt die dynamische Zuweisung zu Chaos. Erstellen Sie ein globales VLAN-Nummerierungsschema, bevor Sie die dynamische Zuweisung implementieren.
  2. Fallback-Mechanismen implementieren: Die Nichtverfügbarkeit von RADIUS ist ein kritischer Ausfallszenario. Konfigurieren Sie ein "Critical VLAN" oder "Fallback-VLAN" auf Ihren Access Points. Wenn der RADIUS-Server nicht erreichbar ist, sollte der AP das Gerät in ein eingeschränktes VLAN verschieben, das möglicherweise nur Internetzugang zulässt, um die Konnektivität aufrechterhalten zu können, ohne die interne Sicherheit zu gefährden.
  3. MAC Authentication Bypass (MAB) für headless Geräte nutzen: IoT-Geräte wie Sensors oder intelligente Thermostate können oft keine 802.1X-Authentifizierung durchführen. Verwenden Sie MAB, um diese Geräte anhand ihrer MAC-Adresse zu authentifizieren und sie einem isolierten IoT-VLAN zuzuweisen.
  4. Analysen nutzen: Nutzen Sie Plattformen wie die WiFi Analytics von Purple, um Authentifizierungstrends zu überwachen, Anomalien zu erkennen und die Netzwerkleistung basierend auf rollenbasierten Nutzungsmustern zu optimieren.

Fehlerbehebung & Risikominderung

Bei der Implementierung der dynamischen VLAN-Zuweisung sollten Sie auf die Behebung gängiger Probleme vorbereitet sein:

  • Client im Standard-VLAN platziert: Dies tritt normalerweise auf, wenn der RADIUS-Server nicht die korrekten Attribute sendet oder der Authenticator nicht für deren Verarbeitung konfiguriert ist (z. B. wenn „AAA Override“ deaktiviert ist). Nutzen Sie Paketerfassungen, um den Inhalt der Access-Accept-Nachricht zu überprüfen.
  • Authentifizierungs-Timeouts: Wenn sich Geräte nicht authentifizieren können, überprüfen Sie die Netzwerkverbindung zwischen dem Authenticator und dem RADIUS-Server. Verifizieren Sie das Shared Secret und stellen Sie sicher, dass der RADIUS-Server den Authenticator als gültigen Client konfiguriert hat.
  • DHCP-Probleme: Nachdem ein Gerät dynamisch einem VLAN zugewiesen wurde, muss es eine IP-Adresse für dieses Subnetz beziehen. Stellen Sie sicher, dass der DHCP-Server für alle dynamischen VLANs korrekt konfiguriert ist und dass bei Bedarf IP-Helper-Adressen eingerichtet sind.

ROI & geschäftliche Auswirkungen

Die Implementierung einer dynamischen VLAN-Zuweisung bietet eine erhebliche Rentabilität (ROI), indem sie den manuellen Konfigurationsaufwand reduziert und Sicherheitsrisiken minimiert.

  • Operative Effizienz: Erspart die manuelle Konfiguration statischer VLANs pro Port oder die Ausstrahlung mehrerer SSIDs für verschiedene Benutzergruppen, was IT-Teams stundenlange administrative Arbeit erspart.
  • Erhöhte Sicherheit: Setzt eine strikte rollenbasierte Zugriffskontrolle durch und stellt sicher, dass kompromittierte Geräte oder unbefugte Benutzer von kritischen Geschäftssystemen isoliert werden. Dies ist entscheidend für die Einhaltung von Standards wie PCI DSS in Retail -Umgebungen.
  • Verbessertes Nutzungserlebnis: Bietet Mitarbeitern und Gästen ein nahtloses Authentifizierungserlebnis, da sie sich mit einer einzigen SSID verbinden können und automatisch die entsprechenden Netzwerkzugriffsrechte erhalten.

Hören Sie sich unseren Podcast zum technischen Briefing an, um weitere Einblicke zu erhalten:

Weitere Informationen zur Sicherung Ihres Netzwerks finden Sie in unserem Leitfaden über 802.1X-Authentifizierung: Sicherung des Netzwerkzugriffs auf modernen Geräten .

Schlüsseldefinitionen

Dynamic VLAN Assignment

Der Prozess der automatischen Zuweisung eines Geräts zu einem bestimmten Virtual Local Area Network (VLAN) basierend auf seiner Identität oder Rolle während der Authentifizierung, anstatt auf seinem physischen Verbindungspunkt.

Unerlässlich für die skalierbare Netzwerksegmentierung in Enterprise-Umgebungen, da eine manuelle Port-Konfiguration überflüssig wird.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Die Kern-Engine, die Anmeldedaten auswertet und Netzwerkrichtlinien, einschließlich der VLAN-Zuweisung, vorschreibt.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle (PNAC), der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das Framework, das es Geräten ermöglicht, Anmeldedaten sicher an die Netzwerkinfrastruktur zu übertragen, bevor sie Zugriff erhalten.

Tunnel-Private-Group-ID

RADIUS-Attribut 81, das verwendet wird, um die VLAN-ID oder den VLAN-Namen anzugeben, die der Authenticator der Sitzung des Benutzers zuweisen soll.

Das spezifische Datenfeld in der RADIUS-Antwort, das das Netzwerksegment bestimmt.

MAC Authentication Bypass (MAB)

Eine Technik zur Authentifizierung von Geräten, die 802.1X nicht unterstützen (wie Drucker oder IoT-Sensoren), indem deren MAC-Adresse als Identität verwendet wird.

Entscheidend für die Integration von headless-Geräten in eine dynamisch segmentierte Netzwerkarchitektur.

Authenticator

Das Netzwerkgerät (z. B. ein Wireless Access Point oder Switch), das den Authentifizierungsprozess zwischen dem Client und dem RADIUS-Server ermöglicht.

Das Gerät, das für die Durchsetzung der vom RADIUS-Server zurückgegebenen VLAN-Zuweisungsrichtlinie verantwortlich ist.

Access-Accept

Die an den Authenticator gesendete RADIUS-Nachricht, die angibt, dass die Anmeldedaten des Benutzers gültig sind und der Zugriff gewährt werden sollte.

Dieses Paket enthält die entscheidenden VLAN-Zuweisungsattribute.

AAA Override

Eine Konfigurationseinstellung auf vielen Authenticatoren (wie Cisco WLCs), die es dem RADIUS-Server ermöglicht, das auf dem Gerät konfigurierte Standard-VLAN oder die Standardrichtlinie zu überschreiben.

Muss aktiviert sein, damit die dynamische VLAN-Zuweisung ordnungsgemäß funktioniert.

Ausgearbeitete Beispiele

Ein Luxushotel mit 500 Zimmern muss sein Netzwerk für Gäste, Mitarbeiter und IoT-Geräte (intelligente Thermostate und Türschlösser) segmentieren. Derzeit werden 5 verschiedene SSIDs ausgestrahlt, was zu erheblichen Co-Kanal-Interferenzen führt und Gäste verwirrt. Wie kann eine dynamische VLAN-Zuweisung dieses Problem lösen?

Das Hotel sollte auf zwei SSIDs konsolidieren: „Hotel_Guest“ (Open/Captive Portal) und „Hotel_Secure“ (802.1X). Bei „Hotel_Secure“ authentifizieren sich die Mitarbeiter mit ihren Unternehmens-Anmeldedaten. Der RADIUS-Server überprüft die Anmeldedaten im Active Directory und gibt „Tunnel-Private-Group-ID = '10'“ (Mitarbeiter-VLAN) zurück. Für IoT-Geräte, die 802.1X nicht nutzen können, verwendet das Netzwerk MAC Authentication Bypass (MAB). Der RADIUS-Server erkennt die MAC-Adressen der Thermostate und Schlösser und gibt „Tunnel-Private-Group-ID = '30'“ (IoT-VLAN) zurück. Gäste verbinden sich mit „Hotel_Guest“ und werden über Standard-Captive Portal-Workflows, die potenziell in die Hospitality -Lösungen von Purple integriert sind, im VLAN 20 platziert.

Kommentar des Prüfers: Dieser Ansatz reduziert den SSID-Overhead drastisch und verbessert die HF-Leistung. Die Verwendung von MAB für IoT-Geräte ist die Standard-Alternative für bildschirmlose Clients. Der kritische Erfolgsfaktor besteht darin, sicherzustellen, dass der RADIUS-Server über eine aktuelle Datenbank der IoT-MAC-Adressen verfügt.

Eine große Einzelhandelskette führt an 50 Standorten Point-of-Sale-Terminals (POS) ein. Zur Einhaltung von PCI DSS müssen diese Terminals strikt vom Unternehmens- und Gastnetzwerk isoliert werden. Wie kann eine dynamische VLAN-Zuweisung die Compliance gewährleisten, selbst wenn ein Terminal an einen anderen Port angeschlossen wird?

Das IT-Team konfiguriert die Netzwerk-Switches so, dass an allen Edge-Ports eine 802.1X-Authentifizierung erforderlich ist. Die POS-Terminals werden mit Zertifikaten für die EAP-TLS-Authentifizierung konfiguriert. Wenn sich ein Terminal mit einem beliebigen Port verbindet, authentifiziert es sich beim RADIUS-Server. Der RADIUS-Server überprüft das Zertifikat und gibt „Tunnel-Private-Group-ID = '40'“ (PCI-VLAN) zurück. Der Switch weist den Port dynamisch dem VLAN 40 zu und wendet strenge ACLs an, die nur die Kommunikation mit den Zahlungsabwicklungs-Gateways zulassen.

Kommentar des Prüfers: Dies ist ein Paradebeispiel für die Nutzung dynamischer VLANs zur Einhaltung von Compliance-Vorgaben. Durch die Bindung der VLAN-Zuweisung an die Geräteidentität (über das Zertifikat) anstelle des physischen Ports behält die Einzelhandelskette die PCI DSS-Compliance unabhängig von physischen Umzügen, Hinzufügungen oder Änderungen bei.

Übungsfragen

Q1. Sie stellen eine dynamische VLAN-Zuweisung auf einem Universitätsgelände bereit. Der RADIUS-Server sendet erfolgreich die Access-Accept-Nachricht, wobei die Tunnel-Private-Group-ID für Fakultätsmitglieder auf '50' gesetzt ist. Die Geräte der Fakultät werden jedoch weiterhin im Standard-VLAN (VLAN 1) platziert, das auf der SSID konfiguriert ist. Was ist die wahrscheinlichste Ursache?

Hinweis: Überprüfen Sie die Konfiguration auf dem Wireless Access Point oder Controller.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist, dass auf dem Authenticator (dem Wireless LAN Controller oder Access Point) das 'AAA Override' (oder die entsprechende Einstellung wie 'RADIUS-zugewiesenes VLAN aktivieren') für diese spezifische SSID nicht aktiviert ist. Selbst wenn der RADIUS-Server die korrekten Attribute sendet, ignoriert der Authenticator diese und verwendet die Standardkonfiguration, es sei denn, er wird explizit angewiesen, dynamische Zuweisungen zu verarbeiten.

Q2. Ein Krankenhaus muss Hunderte von neuen intelligenten Infusionspumpen mit dem Netzwerk verbinden. Diese Geräte unterstützen keine 802.1X-Supplicants. Wie kann das IT-Team sicherstellen, dass diese Geräte automatisch in ein sicheres, isoliertes klinisches IoT-VLAN eingeordnet werden?

Hinweis: Überlegen Sie, wie Geräte ohne 802.1X-Funktionen vom Netzwerk identifiziert werden können.

Musterlösung anzeigen

Das IT-Team sollte MAC Authentication Bypass (MAB) implementieren. Die MAC-Adressen aller Infusionspumpen müssen in die Datenbank des RADIUS-Servers eingepflegt werden. Wenn sich eine Pumpe mit dem Netzwerk verbindet, verwendet der Switch oder AP deren MAC-Adresse als Identität für die Authentifizierung. Der RADIUS-Server erkennt die MAC-Adresse und gibt eine Access-Accept-Nachricht zurück, die die Tunnel-Private-Group-ID für das klinische IoT-VLAN enthält.

Q3. Ihr Unternehmensnetzwerk stützt sich stark auf die dynamische VLAN-Zuweisung. Während eines geplanten Wartungsfensters sind die primären und sekundären RADIUS-Server vorübergehend nicht erreichbar. Welche Konfiguration muss vorhanden sein, um sicherzustellen, dass geschäftskritische Geräte ein gewisses Maß an Konnektivität behalten?

Hinweis: Suchen Sie nach Funktionen, die sich auf Authentifizierungsfehler oder Fallback-Szenarien auf dem Switch oder AP beziehen.

Musterlösung anzeigen

Die Netzwerkinfrastruktur muss mit einem 'Critical VLAN' oder 'Fallback-VLAN' konfiguriert sein. Wenn der Authenticator feststellt, dass die RADIUS-Server offline (nicht erreichbar) sind, platziert er die verbindenden Geräte automatisch in dieses vordefinierte Critical VLAN. Auf dieses VLAN sollten strenge ACLs angewendet werden, die möglicherweise nur den Internetzugang oder den Zugriff auf wichtige Behebungsdienste erlauben, um die grundlegende Konnektivität zu gewährleisten, ohne das interne Netzwerk zu gefährden.

Weiterlesen in dieser Reihe

Hotel Guest WiFi Management: Integration von PMS, Portalen und Markenstandards

Dieser technische Leitfaden beschreibt detailliert die Architektur von WiFi-Netzwerken der Enterprise-Klasse für Hotels, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für die GDPR-konforme Datenerfassung.

Leitfaden lesen →

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Dieser maßgebliche Leitfaden bietet IT-Leitern und Netzwerkarchitekten eine definitive Vorlage für die Bereitstellung von sicherem Enterprise-Guest-WiFi. Er behandelt die wesentliche Architektur, die WPA3-Migration, VLAN-Segmentierung und die Integration von Captive Portals, um interne Systeme zu schützen und gleichzeitig DSGVO-konforme First-Party-Daten zu erfassen.

Leitfaden lesen →

Verwalten der Bandbreite für Staff WiFi: Shaping, QoS und Verkehrsreduzierung

Dieser Leitfaden beschreibt praktische Methoden zur Verwaltung der Bandbreite für Staff WiFi in großen Unternehmen. Er behandelt Traffic Shaping, QoS-Implementierung und wie der Einsatz von Purple Shield die Netzwerklast reduziert, ohne dass Infrastruktur-Upgrades erforderlich sind.

Leitfaden lesen →