Zum Hauptinhalt springen
Deutsch

Verwalten der Bandbreite für Staff WiFi: Shaping, QoS und Verkehrsreduzierung

Dieser Leitfaden beschreibt praktische Methoden zur Verwaltung der Bandbreite für Staff WiFi in großen Unternehmen. Er behandelt Traffic Shaping, QoS-Implementierung und wie der Einsatz von Purple Shield die Netzwerklast reduziert, ohne dass Infrastruktur-Upgrades erforderlich sind.

📖 3 Min. Lesezeit📝 738 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Bandbreitenmanagement für das Mitarbeiter-WiFi: Shaping, QoS und Traffic-Reduzierung. Ein technisches Briefing von Purple. Willkommen. Wenn Sie sich das hier anhören, haben Sie wahrscheinlich mit einer der häufigsten Beschwerden in der Unternehmens-IT zu tun: Mitarbeiter beschweren sich über langsames WiFi. Vielleicht ist es das Back-of-House-Team im Hotel, das Probleme bei der Abwicklung von Check-ins hat. Vielleicht ist es eine Einzelhandelskette, bei der die Kassen-Terminals Timeouts verursachen. Oder vielleicht ist es ein Konferenzzentrum, in dem das AV-Team während eines Live-Events keine stabile Verbindung aufbauen kann. Was auch immer der Kontext ist, die Ursache ist fast immer dieselbe: Sie haben mehr Traffic, als Ihr Netzwerk bewältigen kann, und der falsche Traffic erhält Priorität. In diesem Briefing werden wir drei Dinge behandeln: wie Traffic Shaping und QoS in einer Mitarbeiter-WiFi-Umgebung tatsächlich funktionieren, wie eine praktische Bereitstellung in verschiedenen Standorttypen aussieht und wie der Einsatz von Purple Shield zur Werbeblockierung Ihre gesamte Netzwerklast um einen erheblichen Betrag reduzieren kann – ohne Ihre Leitungsgeschwindigkeit anzupassen oder in Infrastruktur-Upgrades zu investieren. Legen wir los. Bereich eins: Das Problem verstehen. Die meisten Unternehmensstandorte nutzen einen gemeinsam genutzten Internetanschluss. Das Mitarbeiter-WiFi, das Gäste-WiFi, die Back-Office-Systeme, die Videoüberwachung, die Gebäudemanagementsysteme – sie alle teilen sich dieselbe Upstream-Leitung. Wenn diese Leitung überlastet ist, verschlechtert sich alles. Aber nicht jeder Traffic ist gleich wichtig. Ein VoIP-Anruf, der mitten im Satz abbricht, ist katastrophal. Ein Software-Update, das zwei Minuten länger dauert, ist irrelevant. Das Problem ist, dass Ihr Netzwerk ohne aktives Management den Unterschied nicht kennt. Traffic Shaping ist der Mechanismus, mit dem Sie dem Netzwerk mitteilen, welcher Traffic wichtig ist. Quality of Service, oder QoS, ist das Framework, das die Regeln definiert. Zusammen ermöglichen sie es Ihnen, kritischen Anwendungen Bandbreite zu garantieren und alles andere einzuschränken. Der Standard IEEE 802.11e hat QoS über einen Mechanismus namens WMM (Wireless Multimedia) in drahtlose Netzwerke eingeführt. WMM definiert vier Zugriffskategorien: Sprache (Voice), Video, Best Effort und Hintergrund (Background). Jeder moderne Access Point von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi unterstützt WMM. Die Frage ist, ob Sie es richtig nutzen. Auf der kabelgebundenen Seite wird QoS mithilfe von DSCP-Markierungen (Differentiated Services Code Point) im IP-Header implementiert. DSCP EF (Expedited Forwarding) wird für Sprachtraffic verwendet. DSCP AF41 wird für Videokonferenzen genutzt. DSCP CS1 ist die Hintergrundklasse – Software-Updates, Massenübertragungen, alles, was warten kann. Wenn Sie Ihren Anwendungs-Traffic den richtigen DSCP-Markierungen zuweisen und Ihre Switches und Access Points so konfigurieren, dass sie diese berücksichtigen, erhalten Sie eine berechenbare Leistung für die Anwendungen, auf die es ankommt. Bereich zwei: Architektur und Segmentierung. Bevor Sie QoS konfigurieren, müssen Sie Ihr Netzwerk korrekt segmentieren. Das Mitarbeiter-WiFi sollte in einem eigenen VLAN – einem Virtual Local Area Network – laufen, völlig isoliert vom Gäste-WiFi und IoT-Geräten. Dies ist nicht nur eine Sicherheitsanforderung gemäß PCI DSS und GDPR, sondern auch eine Voraussetzung für effektives QoS, da Sie auf verschiedene VLANs unterschiedliche Richtlinien anwenden können. Eine typische Enterprise-Venue-Architektur sieht wie folgt aus. Sie haben einen Core-Switch, der mit Ihrem Internet-Gateway verbunden ist. Von diesem Switch gehen mehrere VLANs ab: eines für Mitarbeitergeräte, eines für den Gästezugang, eines für POS- und Zahlungssysteme und eines für das Gebäudemanagement. Jedes VLAN hat seine eigene QoS-Richtlinie. Das Mitarbeiter-VLAN erhält die höchste garantierte Bandbreitenzuweisung. Das Gäste-VLAN erhält eine Ratenbegrenzung pro Benutzer – typischerweise zwei bis fünf Megabit pro Sekunde im Downstream –, sodass kein einzelner Besucher die Verbindung überlasten kann. Auf dem Mitarbeiter-VLAN selbst wenden Sie anwendungsbezogenes QoS an. POS-Transaktionen und RADIUS-Authentifizierungs-Traffic erhalten DSCP EF – die höchste Priorität. Ihr ERP-System und Ihre Videokonferenz-Tools erhalten DSCP AF41. Normales Surfen im Web erhält Best Effort. Software-Updates und Betriebssystem-Patches erhalten DSCP CS1 – sie laufen im Hintergrund und konkurrieren nicht mit dem betrieblichen Traffic. Für die Authentifizierung sollten sich Mitarbeitergeräte über 802.1X mit entweder EAP-TLS – zertifikatsbasiert – oder PEAP mit MSCHAPv2 an Ihrem RADIUS-Server authentifizieren. Wenn Sie Microsoft Entra ID, Okta oder Google Workspace nutzen, integriert sich Purple direkt über SAML und SCIM mit allen dreien, sodass Ihr Identity Provider zur Single Source of Truth für den Netzwerkzugriff wird. Wenn ein Mitarbeiter das Unternehmen verlässt, entziehen Sie ihm den Zugriff in Entra ID, und der Netzwerkzugriff erlischt automatisch. Abschnitt drei: Der versteckte Bandbreitenfresser – und wie Shield ihn behebt. Hier ist etwas, worüber die meisten IT-Teams nicht nachdenken. Ein erheblicher Teil des Traffics in Ihrem Mitarbeiter-WiFi hat nichts mit Ihrem Geschäft zu tun. Jede Webseite, die ein Mitarbeiter besucht, lädt Dutzende von Werbenetzwerken von Drittanbietern, Tracking-Pixeln, Analyse-Skripten und Telemetrie-Endpunkten. Untersuchungen von Ghostery und ähnlichen Ad-Blocking-Analysen zeigen konsistent, dass Werbe- und Tracker-Anfragen zwischen 25 % und 40 % aller HTTP-Anfragen einer typischen Browsing-Sitzung ausmachen. Dieser Traffic verbraucht echte Bandbreite. Er beansprucht DNS-Abfragekapazitäten. Er erhöht die Latenz bei jedem Seitenaufruf. Und er birgt Sicherheitsrisiken – Malvertising, Drive-by-Downloads und Datenabfluss über Tracking-Pixel sind allesamt reale Angriffsvektoren. Purple Shield packt dies auf Netzwerkebene an. Anstatt sich auf Browser-Erweiterungen zu verlassen, die Mitarbeiter installiert haben könnten oder auch nicht, arbeitet Shield als Filter auf der DNS-Ebene. Jede DNS-Abfrage aus dem Mitarbeiter-VLAN läuft durch die Sperrliste von Shield, bevor sie aufgelöst wird. Domains von Werbenetzwerken, bekannte Tracker-Endpunkte und bösartige Domains werden blockiert, noch bevor ein einziges Byte an Inhalten heruntergeladen wird. Das Gerät stellt die Verbindung erst gar nicht her. Die Bandbreite wird niemals beansprucht. In der Praxis verzeichnen Veranstaltungsorte, die Shield in ihrem Mitarbeiter-WiFi einsetzen, eine Reduzierung des gesamten DNS-Abfragevolumens um rund 30 %. Diese Bandbreite, die zuvor für Werbung und Tracker verschwendet wurde, steht nun für Ihr ERP-System, Ihre Videoanrufe und Ihre POS-Terminals zur Verfügung. Sie erhalten das Äquivalent eines Bandbreiten-Upgrades von 30 %, ohne für eine schnellere Leitung bezahlen zu müssen. Shield reduziert zudem Ihr Sicherheitsrisiko. Durch das Blockieren bekannter bösartiger Domänen auf der DNS-Ebene eliminieren Sie eine Bedrohungskategorie, die von Endpunkt-Antivirensoftware oft übersehen wird – insbesondere bei IoT-Geräten und gemeinsam genutzten Terminals, auf denen keine herkömmliche Sicherheitssoftware ausgeführt wird. Abschnitt vier: Implementierung in der Praxis. Lassen Sie mich Sie durch zwei Szenarien führen. Erstens: ein Hotel mit 200 Zimmern. Das Back-of-House-Team betreibt eine Hotelmanagement-Software, eine VoIP-Telefonanlage und eine Videoüberwachungsplattform über dasselbe Netzwerk. Das Gäste-WiFi befindet sich in einem separaten VLAN mit einer Obergrenze von fünf Megabit pro Benutzer, während das Mitarbeiter-VLAN keine QoS-Richtlinie hat. Zu den Haupt-Check-in-Zeiten verlangsamt sich das Hotelmanagementsystem extrem, da Mitarbeiter Musik streamen und das Überwachungssystem Bildmaterial hochlädt. Die Lösung: Wenden Sie DSCP EF auf den Datenverkehr des Hotelmanagementsystems und des VoIP-Systems an. Wenden Sie DSCP AF41 auf den Upload-Verkehr der Überwachung an – dieser ist zwar wichtig, aber nicht latenzempfindlich. Wenden Sie DSCP CS1 auf alles andere an. Setzen Sie Shield im Mitarbeiter-VLAN ein, um Werbe- und Tracker-Traffic zu eliminieren. Das Ergebnis: Die Antwortzeiten des Hotelmanagementsystems sinken in Stoßzeiten um über 40 %. Die Qualität von VoIP-Anrufen verbessert sich messbar auf der Mean-Opinion-Score-Skala, die zur Bewertung der Sprachqualität verwendet wird. Zweitens: eine Einzelhandelskette mit 50 Filialen. Jede Filiale verfügt über einen einzigen 100-Megabit-Breitbandanschluss, der von Mitarbeiter-WiFi, Gäste-WiFi und POS-Terminals gemeinsam genutzt wird. In geschäftigen Verkaufszeiten führt das Surfen der Mitarbeiter auf privaten Geräten zu einer Auslastung der Verbindung, wodurch bei POS-Transaktionen Zeitüberschreitungen auftreten. Die Kette erwägt ein Upgrade auf 200-Megabit-Leitungen, was sich auf Kosten von rund 18.000 Pfund pro Jahr für das gesamte Unternehmen belaufen würde. Die Lösung: Segmentieren Sie die POS-Terminals in ein dediziertes VLAN mit garantierter Bandbreite. Wenden Sie Ratenbegrenzungen pro Benutzer im Mitarbeiter-WiFi-VLAN an – 10 Megabit pro Benutzer im Downstream, zwei Megabit im Upstream. Setzen Sie Shield ein, um Werbe-Traffic zu eliminieren. Diese Kombination reduziert die Spitzenauslastung um 35 %, POS-Zeitüberschreitungen sinken auf null und das Leitungs-Upgrade wird auf unbestimmte Zeit verschoben. Die jährliche Einsparung allein bei den Leitungskosten beträgt 18.000 Pfund. Die Konfiguration von Shield und QoS kostet nur einen Bruchteil davon. Abschnitt fünf: Fallstricke bei der Implementierung. Einige Dinge, auf die Sie achten sollten. DSCP-Remarking. Viele ISPs und einige Enterprise-Switches entfernen oder ändern DSCP-Werte an der Netzwerkgrenze. Überprüfen Sie, ob Ihre QoS-Markierungen den gesamten Weg vom Gerät bis zur Anwendung überstehen. Verwenden Sie zur Überprüfung eine Paketerfassung am Gateway. WMM und Legacy-Geräte. Einige ältere Geräte – insbesondere gemeinsam genutzte Terminals und IoT-Sensoren – unterstützen WMM nicht richtig. Sie ignorieren möglicherweise QoS-Markierungen oder erzeugen Datenverkehr mit fehlerhaften DSCP-Werten. Überprüfen Sie Ihren Gerätebestand, bevor Sie QoS-Richtlinien bereitstellen. Bandbreitenbegrenzung und Burst-Traffic. Ein striktes Limit von 10 Megabit pro Benutzer klingt vernünftig, aber wenn 20 Mitarbeiter gleichzeitig Software-Updates starten, stoßen Sie an die Gesamtkapazitätsgrenze. Verwenden Sie Token-Bucket-Shaping mit einer Burst-Toleranz anstelle eines strikten Policers. Dies ermöglicht kurze Spitzen, während eine dauerhaft hohe Bandbreitennutzung eingeschränkt wird. Shield und DNS-over-HTTPS. Wenn Mitarbeitergeräte DNS-over-HTTPS verwenden, um Ihren DNS-Resolver zu umgehen, greift die Filterung von Shield nicht. Sie müssen entweder DNS-over-HTTPS an der Firewall blockieren oder Ihre Geräte über ein MDM so konfigurieren, dass sie Ihren internen DNS-Resolver verwenden. Dies ist ein einmaliger Konfigurationsschritt, kein dauerhafter Verwaltungsaufwand. Abschnitt sechs: Kurze Fragen. Benötige ich QoS, wenn ich über ausreichend Bandbreite verfüge? Ja. Bandbreite ist nicht gleichbedeutend mit Performance. Eine 1-Gigabit-Verbindung ohne QoS führt dennoch zu einer schlechten VoIP-Qualität, wenn ein einzelnes Gerät einen großen Dateitransfer durchführt. QoS stellt sicher, dass latenzempfindlicher Datenverkehr die erforderliche Warteschlangenpriorität erhält, unabhängig vom Gesamtdurchsatz. Kann ich Shield ohne Änderungen an meiner vorhandenen Hardware bereitstellen? Ja. Shield fungiert als DNS-Overlay. Sie verweisen Ihren DHCP-Server auf die DNS-Resolver von Purple und Shield ist sofort aktiv. Es funktioniert mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet – keine Hardware-Änderungen erforderlich. Wie messe ich die Auswirkungen? Erfassen Sie vor und nach der Bereitstellung drei Metriken: die prozentuale Spitzenauslastung Ihres Uplinks, das DNS-Abfragevolumen pro Stunde und die Anwendungsantwortzeiten für Ihre geschäftskritischen Systeme. Das Dashboard von Purple stellt alle drei in Echtzeit dar. Abschnitt sieben: Zusammenfassung und nächste Schritte. Zusammenfassend lässt sich sagen: Bei der Bandbreitenverwaltung für das Mitarbeiter-WiFi geht es nicht darum, mehr Bandbreite zu kaufen. Es geht darum, sicherzustellen, dass die vorhandene Bandbreite an den richtigen Stellen ankommt. Traffic-Shaping und QoS geben Ihnen die Kontrolle. Purple Shield sorgt für die Reduzierung. Zusammen liefern sie messbare Verbesserungen der Anwendungsperformance ohne Infrastrukturinvestitionen. Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle VLAN-Struktur und stellen Sie sicher, dass das Mitarbeiter-WiFi vom Gäste- und IoT-Datenverkehr isoliert ist. Ordnen Sie Ihre geschäftskritischen Anwendungen DSCP-Klassen zu. Stellen Sie Shield in Ihrem Mitarbeiter-VLAN bereit und messen Sie die Reduzierung der DNS-Abfragen. Überprüfen Sie Ihre bandbreitenbegrenzenden Limits pro Benutzer vierteljährlich, wenn sich die Geräteanzahl ändert. Wenn Sie tiefer in diese Themen einsteigen möchten, steht Ihnen der vollständige schriftliche Leitfaden unter purple.ai zur Verfügung. Er beschreibt die technische Architektur im Detail, enthält Konfigurationsbeispiele für die wichtigsten Hardwareplattformen und führt Sie durch die ROI-Berechnung für die Shield-Bereitstellung. Haben Sie vielen Dank fürs Zuhören. Das war ein technisches Briefing von Purple.

header_image.png

Executive Summary

Das Bandbreitenmanagement für das Mitarbeiter-WiFi erfordert mehr als nur eine Erhöhung der Leitungsgeschwindigkeit. Enterprise-Standorte sind ständig mit Netzwerküberlastungen konfrontiert, da geschäftskritische Anwendungen mit Hintergrundaufgaben und unwichtigem Traffic konkurrieren. Dieser Leitfaden beschreibt die technische Implementierung von Traffic Shaping und Quality of Service (QoS), um die Leistung essenzieller Systeme zu garantieren. Vor allem wird gezeigt, wie der Einsatz von Purple Shield für DNS-basiertes Ad-Blocking bis zu 30 % des unnötigen Traffics eliminiert, bevor er überhaupt Bandbreite verbraucht. Durch die Kombination von anwendungsspezifischem QoS mit Bedrohungsschutz auf Netzwerkebene optimieren Sie Ihre bestehende Infrastruktur und verschieben kostspielige Leitungs-Upgrades.

Technischer Deep-Dive: Architektur und Standards

Eine robuste Netzwerkarchitektur isoliert Traffic-Typen, um spezifische Richtlinien anzuwenden. Das Mitarbeiter-WiFi muss auf einem dedizierten VLAN betrieben werden, das vollständig von Guest WiFi und IoT-Geräten segmentiert ist. Diese Segmentierung ist eine grundlegende Voraussetzung für die Einhaltung von Standards wie PCI DSS und GDPR und bildet die Basis für ein effektives Traffic-Management.

Die Rolle von QoS und WMM

Quality of Service (QoS) stellt sicher, dass latenzempfindlicher Traffic Priorität erhält. In Wireless-Umgebungen wird dies durch den Standard IEEE 802.11e geregelt, der Wireless Multimedia (WMM) eingeführt hat. WMM kategorisiert Traffic in vier Zugriffsklassen: Voice, Video, Best Effort und Background. Enterprise-Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet unterstützt WMM vollständig.

In der kabelgebundenen Infrastruktur basiert QoS auf DSCP-Markierungen (Differentiated Services Code Point) im IP-Header.

  • DSCP EF (Expedited Forwarding) wird Voice-Traffic und kritischen Systemen wie POS-Transaktionen zugewiesen.
  • DSCP AF41 verarbeitet Videokonferenzen und ERP-Anwendungen.
  • DSCP CS1 verwaltet Hintergrundaufgaben wie Software-Updates.

qos_traffic_priority_tiers.png

Identity und Access Management

Mitarbeitergeräte sollten sich über 802.1X mit EAP-TLS oder PEAP an einem RADIUS-Server authentifizieren. Purple lässt sich direkt in Microsoft Entra ID, Okta und Google Workspace integrieren. Dies stellt sicher, dass der Netzwerkzugriff an den zentralen Identity Provider gekoppelt ist. Wenn Sie den Zugriff in Entra ID entziehen, wird der Netzwerkzugriff sofort beendet.

Implementierungsleitfaden: Shaping und Reduzierung

1. Netzwerksegmentierung

Richten Sie separate VLANs für Mitarbeiter, Gäste und betriebliche Hardware ein. Wenden Sie auf dem Gäste-VLAN ein Download-Limit pro Nutzer an (z. B. 5 Mbit/s), um zu verhindern, dass einzelne Nutzer die Leitung überlasten. Weisen Sie auf dem Mitarbeiter-VLAN kritischen Anwendungen garantierte Mindestprozentsätze der Bandbreite zu.

2. Anwendungsorientierte QoS-Konfiguration

Ordnen Sie Ihre Geschäftsanwendungen den entsprechenden DSCP-Markierungen zu. Stellen Sie sicher, dass Ihre Core-Switches und Access Points so konfiguriert sind, dass sie diese Markierungen auf dem gesamten Netzwerkpfad berücksichtigen. Überprüfen Sie, ob Ihr ISP keine DSCP-Tags am Gateway entfernt.

3. Einsatz von Purple Shield zur Traffic-Reduzierung

Ein erheblicher Teil des Web-Traffics der Mitarbeiter entfällt auf Werbenetzwerke von Drittanbietern und Tracking-Pixel. Dieser Traffic verbraucht Bandbreite, erhöht die Auslastung durch DNS-Anfragen und bringt Sicherheitsrisiken mit sich. Purple Shield fungiert als Filter auf DNS-Ebene. Indem Sie Ihren DHCP-Server auf die DNS-Resolver von Purple verweisen lassen, blockiert Shield Anfragen an bekannte Werbenetzwerke und bösartige Domains, noch bevor die Verbindung hergestellt wird.

shield_bandwidth_reduction.png

Standorte, die Shield einsetzen, verzeichnen in der Regel eine Reduzierung des gesamten DNS-Anfragevolumens um 30 %. Dies gibt effektiv Bandbreite für Geschäftsanwendungen frei und wirkt wie ein Upgrade der Leitung ohne die damit verbundenen Kosten.

Best Practices

  1. Token-Bucket-Shaping nutzen: Verwenden Sie anstelle von harten Ratenbegrenzungen ein Token-Bucket-Shaping mit einer Burst-Toleranz. Dies fängt kurze Traffic-Spitzen, wie z. B. ein plötzliches Software-Update, ab, ohne die dauerhafte Leistung zu beeinträchtigen.
  2. Legacy-Geräte überprüfen: Ältere gemeinsam genutzte Terminals unterstützen WMM möglicherweise nicht korrekt. Identifizieren Sie diese Geräte und wenden Sie bei Bedarf portbasierte QoS-Richtlinien an.
  3. Überwachen und Anpassen: Überprüfen Sie regelmäßig Spitzennutzungskennzahlen und das DNS-Anfragevolumen mithilfe von WiFi Analytics . Passen Sie die Ratenbegrenzungen an, wenn sich die Mitarbeiterzahl und die Anforderungen der Anwendungen ändern.

Fehlerbehebung & Risikominderung

  • DSCP-Umschreibung: Wenn QoS-Richtlinien wirkungslos erscheinen, führen Sie eine Paketerfassung am Gateway durch. Einige Enterprise-Switches schreiben DSCP-Werte auf Standardeinstellungen um, was Ihre Konfiguration hinfällig macht.
  • DNS-over-HTTPS-Umgehung: Wenn Mitarbeitergeräte DNS-over-HTTPS verwenden, umgehen sie den lokalen DNS-Resolver, wodurch Shield unwirksam wird. Blockieren Sie DNS-over-HTTPS an der Firewall oder konfigurieren Sie verwaltete Geräte über ein MDM so, dass sie den internen Resolver verwenden.

ROI & geschäftliche Auswirkungen

Die primäre geschäftliche Auswirkung eines effektiven Bandbreitenmanagements ist die Kostenvermeidung. Durch die Implementierung von QoS und den Einsatz von Shield kann ein Standort teure Upgrades von Standleitungen aufschieben. Für eine mittelgroße Retail -Kette kann die Vermeidung eines Leitungs-Upgrades in 50 Filialen jährlich Zehntausende Pfund einsparen. Darüber hinaus verbessert die Priorisierung von POS- und ERP-Traffic direkt die betriebliche Effizienz und reduziert Ausfallzeiten während der Hauptgeschäftszeiten.

Hören Sie sich unseren Technical Briefing Podcast an, um weitere Details zu erfahren:

Schlüsseldefinitionen

QoS (Quality of Service)

Eine Gruppe von Technologien, die den Netzwerkverkehr verwalten, um die Leistung kritischer Anwendungen zu garantieren.

Unerlässlich, um sicherzustellen, dass VoIP- und POS-Systeme bei Netzwerküberlastung zuverlässig funktionieren.

DSCP (Differentiated Services Code Point)

Ein Feld im IP-Header, das zur Klassifizierung des Netzwerkverkehrs für QoS-Zwecke verwendet wird.

Wird von Netzwerk-Switches verwendet, um zu bestimmen, welche Pakete in der Warteschlange Priorität erhalten.

WMM (Wireless Multimedia)

Eine Wi-Fi Alliance-Zertifizierung basierend auf dem Standard IEEE 802.11e, die QoS-Funktionen für drahtlose Netzwerke bereitstellt.

Stellt sicher, dass Access Points Sprach- und Videoverkehr gegenüber allgemeinen Daten priorisieren.

VLAN (Virtual Local Area Network)

Ein logisches Teilnetzwerk, das eine Gruppe von Geräten zusammenfasst und deren Verkehr vom Rest des Netzwerks isoliert.

Wird verwendet, um Mitarbeitergeräte aus Sicherheits- und Verkehrsmanagementgründen von Gastnetzwerken zu trennen.

Filterung auf DNS-Ebene

Der Prozess des Blockierens des Zugriffs auf bestimmte Domains durch Abfangen und Ablehnen von DNS-Auflösungsanfragen.

Der Mechanismus, den Purple Shield verwendet, um zu verhindern, dass Geräte eine Verbindung zu Werbenetzwerken und schädlichen Websites herstellen.

Token-Bucket-Shaping

Ein Bandbreitenmanagement-Algorithmus, der kurze Datenverkehrsspitzen zulässt, während ein langfristiges durchschnittliches Ratenlimit erzwungen wird.

Bietet eine bessere Benutzererfahrung als eine strikte Ratenbegrenzung, indem kurze Spitzen wie das Laden von Seiten abgefangen werden.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Die Standardmethode zur Absicherung von Enterprise Staff WiFi, oft in RADIUS integriert.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Authentifizierung, Autorisierung und Abrechnungsverwaltung bereitstellt.

Wird in Verbindung mit 802.1X verwendet, um die Anmeldedaten der Mitarbeiter mit Identitätsanbietern wie Microsoft Entra ID abzugleichen.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicherstellen, dass die Property-Management-Software und VoIP-Telefone während der Haupt-Check-in-Zeiten stabil bleiben, während die Mitarbeiter das Netzwerk auch zum allgemeinen Surfen nutzen.

Segmentieren Sie das Netzwerk, indem Sie die Mitarbeiter in ein dediziertes VLAN einteilen. Wenden Sie DSCP EF auf das Property-Management-System und den VoIP-Verkehr an. Wenden Sie DSCP CS1 auf allgemeines Surfen und Hintergrund-Updates an. Implementieren Sie Purple Shield im Staff-VLAN, um Werbe- und Tracker-Verkehr zu eliminieren und die Basis-Kapazität freizugeben.

Kommentar des Prüfers: Dieser Ansatz garantiert Bandbreite für latenzempfindliche Anwendungen und reduziert gleichzeitig die gesamte Netzwerklast. Durch das Blockieren von Werbung auf DNS-Ebene verarbeitet das Netzwerk weniger HTTP-Anfragen, was die Antwortzeiten für das Property-Management-System direkt verbessert.

Eine Einzelhandelskette mit 50 Filialen verzeichnet in Stoßzeiten POS-Timeouts, weil die Geräte der Mitarbeiter die gemeinsam genutzte 100-Mbit/s-Breitbandverbindung überlasten.

Isolieren Sie POS-Terminals in einem dedizierten VLAN mit strenger QoS-Priorität. Implementieren Sie auf dem Staff WiFi-VLAN ein Ratenlimit pro Benutzer von 10 Mbit/s Downstream und 2 Mbit/s Upstream mittels Token-Bucket-Shaping. Setzen Sie Purple Shield ein, um nicht-geschäftlichen Werbeverkehr zu blockieren.

Kommentar des Prüfers: Anstatt an 50 Standorten auf 200-Mbit/s-Leitungen aufzurüsten, priorisiert diese Konfiguration den umsatzgenerierenden Verkehr und schränkt die nicht-essenzielle Nutzung ein. Shield sorgt für eine sofortige Reduzierung des Gesamtbandbreitenverbrauchs und behebt die POS-Timeouts ohne Investitionsausgaben.

Übungsfragen

Q1. You manage a [Hospitality](/industries/hospitality) venue where the guest network frequently saturates the 500 Mbps connection, causing the back-office ERP system to drop connections. You have a single flat network. What is the first step to resolve this?

Hinweis: Consider the prerequisites for applying effective QoS policies.

Musterlösung anzeigen

The first step is network segmentation. You must separate the staff devices and the ERP system onto a dedicated VLAN, isolated from the guest network. Once segmented, you can apply a strict per-user rate limit to the guest VLAN and configure QoS on the staff VLAN to prioritise the ERP traffic.

Q2. After configuring DSCP EF markings for your VoIP traffic on the staff VLAN, users still report poor call quality during peak hours. What is the most likely cause?

Hinweis: Think about what happens to packet headers as they traverse different network equipment.

Musterlösung anzeigen

The most likely cause is DSCP remarking. Either an intermediate enterprise switch or the ISP gateway is stripping or resetting the DSCP values to default (best effort). You need to perform a packet capture at the gateway to verify if the QoS markings are surviving the full path.

Q3. You need to reduce overall bandwidth consumption on the staff network without impacting business applications. What is the most effective approach?

Hinweis: Consider what non-essential traffic consumes significant bandwidth automatically.

Musterlösung anzeigen

Deploy Purple Shield to filter traffic at the DNS layer. By blocking requests to ad networks and tracking pixels before the connections are established, Shield eliminates a significant portion of non-business traffic, typically reducing total DNS query volume and bandwidth consumption by up to 30%.

Weiterlesen in dieser Reihe

Hotel Guest WiFi Management: Integration von PMS, Portalen und Markenstandards

Dieser technische Leitfaden beschreibt detailliert die Architektur von WiFi-Netzwerken der Enterprise-Klasse für Hotels, mit Schwerpunkt auf VLAN-Segmentierung, PMS-Integration für automatisiertes Sitzungsmanagement und Captive Portal-Optimierung für die GDPR-konforme Datenerfassung.

Leitfaden lesen →

How to Set Up Guest WiFi: A Secure Enterprise Configuration Guide

Dieser maßgebliche Leitfaden bietet IT-Leitern und Netzwerkarchitekten eine definitive Vorlage für die Bereitstellung von sicherem Enterprise-Guest-WiFi. Er behandelt die wesentliche Architektur, die WPA3-Migration, VLAN-Segmentierung und die Integration von Captive Portals, um interne Systeme zu schützen und gleichzeitig DSGVO-konforme First-Party-Daten zu erfassen.

Leitfaden lesen →

Wie Sie die Anzahl der WiFi SSIDs mit gerätespezifischem PSK (iPSK, DPSK, MPSK) reduzieren

Dieser maßgebliche technische Leitfaden erklärt, wie IT-Teams WiFi-Leistungseinbußen durch SSID-Beacon-Overhead eliminieren können, indem sie mehrere zweckgebundene Netzwerke in einer einzigen SSID mittels gerätespezifischem PSK (xPSK) zusammenführen. Er beleuchtet die Anbieterlandschaft mit Cisco iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK und Ubiquiti UniFi PPSK und bietet praxisnahe Anleitungen zur Implementierung von dynamischer VLAN-Zuweisung, IoT-Onboarding und PCI DSS-Compliance. Betreiber von Veranstaltungsorten in den Bereichen Hotellerie, Einzelhandel, Stadien und Organisationen des öffentlichen Sektors finden hier direkt umsetzbare Architekturempfehlungen und praxisnahe Rechenbeispiele.

Leitfaden lesen →