Zum Hauptinhalt springen

Verwalten der Bandbreite für das Staff WiFi: Shaping, QoS und Reduzierung des Traffics

Dieser Leitfaden beschreibt praktische Methoden zur Bandbreitenverwaltung für das Staff WiFi in Unternehmen. Er behandelt Traffic Shaping, QoS-Implementierung und wie der Einsatz von Purple Shield die Netzwerklast ohne Hardware-Upgrades reduziert.

📖 3 Min. Lesezeit📝 738 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
Verwalten der Bandbreite für das Staff WiFi: Shaping, QoS und Reduzierung des Datenverkehrs. Ein technisches Briefing von Purple. Willkommen. Wenn Sie sich dieses Briefing anhören, haben Sie wahrscheinlich mit einer der häufigsten Beschwerden in der Unternehmens-IT zu tun: Mitarbeiter berichten, dass das WiFi langsam ist. Vielleicht hat das Back-of-House-Team eines Hotels Schwierigkeiten beim Check-in. Vielleicht bricht bei einer Einzelhandelskette die Verbindung der POS-Terminals ab. Oder es handelt sich um ein Konferenzzentrum, in dem das AV-Team während einer Live-Veranstaltung keine stabile Verbindung herstellen kann. Unabhängig vom Kontext ist die Ursache fast immer dieselbe: Sie haben mehr Datenverkehr, als Ihr Netzwerk bewältigen kann, und der falsche Datenverkehr erhält Priorität. In diesem Briefing werden wir drei Themen behandeln: wie Traffic Shaping und QoS in einer Staff WiFi Umgebung tatsächlich funktionieren, wie eine praktische Bereitstellung in verschiedenen Veranstaltungsorten aussieht und wie die Implementierung von Purple Shield zur Werbeblockierung Ihre Gesamtnetzwerklast erheblich reduzieren kann - ohne Ihre Leitungsgeschwindigkeit anzupassen oder in Infrastruktur-Upgrades zu investieren. Lassen Sie uns direkt einsteigen. Abschnitt eins: Das Problem verstehen. Die meisten Unternehmensstandorte nutzen eine gemeinsame Internetverbindung. Das Staff WiFi, das Gäste-WiFi, die Back-Office-Systeme, die Videoüberwachung, die Gebäudemanagementsysteme - sie alle teilen sich dieselbe Upstream-Leitung. Wenn diese Leitung überlastet ist, verschlechtert sich die Leistung für alle. Aber nicht jeder Datenverkehr ist gleich wichtig. Der Abbruch eines VoIP-Gesprächs mitten im Satz ist katastrophal. Ein Software-Update, das zwei Minuten länger dauert, ist irrelevant. Das Problem ist, dass Ihr Netzwerk ohne aktives Management den Unterschied nicht kennt. Traffic Shaping ist der Mechanismus, mit dem Sie dem Netzwerk mitteilen, welcher Datenverkehr Priorität hat. Quality of Service, oder QoS, ist das Framework, das die Regeln definiert. Zusammen ermöglichen sie es Ihnen, kritischen Anwendungen Bandbreite zu garantieren und alles andere einzuschränken. Der Standard IEEE 802.11e hat QoS über einen Mechanismus namens WMM - Wireless Multimedia - in drahtlose Netzwerke eingeführt. WMM definiert vier Zugriffskategorien: Sprache, Video, Best Effort und Hintergrund. Jeder moderne Access Point von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist und Ubiquiti UniFi unterstützt WMM. Die Frage ist, ob Sie es richtig nutzen. Auf der kabelgebundenen Seite wird QoS mithilfe von DSCP-Markierungen - Differentiated Services Code Point - im IP-Header implementiert. DSCP EF, was für Expedited Forwarding steht, wird für den Sprachverkehr verwendet. DSCP AF41 wird für Videokonferenzen genutzt. DSCP CS1 ist die Hintergrundklasse - Software-Updates, Massenübertragungen, alle Transaktionen, die warten können. Wenn Sie Ihren Anwendungsdatenverkehr den richtigen DSCP-Markierungen zuordnen und Ihre Switches und Access Points so konfigurieren, dass sie diese berücksichtigen, erhalten Sie eine vorhersehbare Leistung für die Anwendungen, auf die es ankommt. Abschnitt zwei: Architektur und Segmentierung.Bevor Sie QoS konfigurieren, müssen Sie Ihr Netzwerk korrekt segmentieren. Das Mitarbeiter-WiFi sollte auf einem eigenen VLAN - einem Virtual Local Area Network - liegen und vollständig vom Gäste-WiFi und den IoT-Geräten isoliert sein. Dies ist nicht nur eine Sicherheitsanforderung gemäß PCI-DSS und GDPR; es ist eine Voraussetzung für effektives QoS, da Sie unterschiedliche Richtlinien auf verschiedene VLANs anwenden können. Eine typische Netzwerkarchitektur für Unternehmen sieht wie folgt aus: Sie haben einen Core-Switch, der mit Ihrem Internet-Gateway verbunden ist. Von diesem Switch gehen mehrere VLANs ab: eines für Mitarbeitergeräte, eines für den Gastzugang, eines für POS- und Zahlungssysteme und eines für das Gebäudemanagement. Jedes VLAN hat seine eigene QoS-Richtlinie. Dem Mitarbeiter-VLAN wird die höchste garantierte Bandbreite zugewiesen. Das Gäste-VLAN erhält ein Bandbreitenlimit pro Benutzer - in der Regel zwei bis fünf Megabit pro Sekunde im Downstream - sodass kein einzelner Besucher die Verbindung überlasten kann. Auf dem Mitarbeiter-VLAN selbst wenden Sie anwendungsspezifisches QoS an. POS-Transaktionen und RADIUS-Authentifizierungsverkehr erhalten DSCP EF - die höchste Priorität. Ihr ERP-System und Ihre Videokonferenz-Tools erhalten DSCP AF41. Allgemeines Websurfen erhält Best Effort. Software-Updates und Downloads von Betriebssystem-Patches erhalten DSCP CS1 - sie laufen im Hintergrund und konkurrieren nicht mit dem betrieblichen Datenverkehr. Für die Authentifizierung sollten sich die Mitarbeitergeräte über 802.1X entweder mit EAP-TLS - zertifikatsbasiert - oder mit PEAP mit MSCHAPv2 an Ihrem RADIUS-Server authentifizieren. Wenn Sie Microsoft Entra ID, Okta oder Google Workspace nutzen, integriert sich Purple direkt mit allen drei Plattformen über SAML und SCIM, sodass Ihr Identity Provider zur Single Source of Truth für den Netzwerkzugriff wird. Wenn ein Mitarbeiter das Unternehmen verlässt, entziehen Sie ihm den Zugriff in Entra ID, und der Netzwerkzugriff erlischt automatisch. Abschnitt drei: Der versteckte Bandbreitenfresser - und wie Purple Shield ihn behebt. Hier ist etwas, worüber die meisten IT-Teams nicht nachdenken: Ein erheblicher Teil des Datenverkehrs in Ihrem Mitarbeiter-WiFi hat nichts mit Ihrem Unternehmen zu tun. Jede Webseite, die ein Mitarbeiter aufruft, lädt Dutzende von Werbenetzwerken von Drittanbietern, Tracking-Pixeln, Analyse-Skripten und Telemetrie-Endpunkten. Untersuchungen von Ghostery und ähnlichen Ad-Blocking-Analysen zeigen übereinstimmend, dass Werbe- und Tracker-Anfragen zwischen 25 % und 40 % der gesamten HTTP-Anfragen in einer typischen Browsersitzung ausmachen. Dieser Datenverkehr verbraucht echte Bandbreite. Er beansprucht DNS-Abfragekapazitäten. Er erhöht die Latenzzeit bei jedem Seitenaufbau. Und er birgt Sicherheitsrisiken - Malvertising, Drive-by-Downloads und Datenabfluss über Tracking-Pixel sind reale Angriffsvektoren. Purple Shield geht dieses Problem auf Netzwerkebene an. Anstatt sich auf Browser-Erweiterungen zu verlassen, die Mitarbeiter installiert haben könnten oder auch nicht, arbeitet Purple Shield als Filter auf DNS-Ebene. Jede DNS-Abfrage aus dem Mitarbeiter-VLAN durchläuft die Blockliste von Purple Shield, bevor sie aufgelöst wird. Werbe-Domains, bekannte Tracker-Endpunkte und bösartige Domains werden blockiert, noch bevor ein einziges Byte an Inhalten heruntergeladen wird. Das Gerät stellt die Verbindung gar nicht erst her. Die Bandbreite wird niemals verbraucht. In der Praxis berichten Standorte, die Purple Shield im Mitarbeiter-WiFi einsetzen, von einer Reduzierung des gesamten DNS-Abfragevolumens um rund 30 %. Das ist Bandbreite, die zuvor für Werbung und Tracker verschwendet wurde und jetzt für Ihr ERP-System, Ihre Videoanrufe und Ihre POS-Terminals zur Verfügung steht. Sie erhalten das Äquivalent eines Bandbreiten-Upgrades von 30 %, ohne für eine schnellere Leitung bezahlen zu müssen. Purple Shield reduziert auch Ihr Sicherheitsrisiko. Durch das Blockieren bekannter bösartiger Domänen auf der DNS-Ebene eliminieren Sie eine Bedrohungskategorie, die von Endpoint-Antivirensoftware oft übersehen wird - insbesondere bei IoT-Geräten und gemeinsam genutzten Terminals, auf denen keine herkömmliche Sicherheitssoftware ausgeführt wird. Abschnitt vier: Implementierung in der Praxis. Lassen Sie mich zwei Szenarien durchgehen. Erstens: ein Hotel mit 200 Zimmern. Das Team im Backoffice betreibt Property-Management-Software, ein VoIP-Telefoniesystem und eine Videoüberwachungsplattform über dasselbe Netzwerk. Das Gäste-WiFi befindet sich in einem separaten VLAN mit einer Obergrenze von fünf Megabit pro Benutzer, das Mitarbeiter-VLAN verfügt jedoch über keine QoS-Richtlinie. Während der Haupt-Check-in-Zeiten verlangsamt sich das Property-Management-System extrem, da die Mitarbeiter Musik streamen und das Überwachungssystem Videomaterial hochlädt. Die Lösung: Wenden Sie DSCP EF auf den Datenverkehr des Property-Management-Systems und des VoIP-Systems an. Wenden Sie DSCP AF41 auf den Upload-Verkehr der Überwachung an - dieser ist zwar wichtig, aber nicht latenzempfindlich. Wenden Sie DSCP CS1 auf alles andere an. Implementieren Sie Purple Shield im Mitarbeiter-VLAN, um Werbe- und Tracker-Datenverkehr zu eliminieren. Das Ergebnis: Die Reaktionszeiten des Property-Management-Systems sinken in Spitzenzeiten um mehr als 40 %. Die VoIP-Anrufqualität verbessert sich messbar auf der Mean Opinion Score-Skala, die zur Bewertung der Sprachqualität herangezogen wird. Zweitens: eine Einzelhandelskette mit 50 Filialen. Jede Filiale verfügt über einen einzigen 100-Megabit-Breitbandanschluss, der gemeinsam von Mitarbeiter-WiFi, Gäste-WiFi und POS-Terminals genutzt wird. In geschäftigen Verkaufszeiten lastet das Surfen der Mitarbeiter auf privaten Geräten die Verbindung vollständig aus, und bei POS-Transaktionen kommt es zu Timeouts. Die Kette erwägt ein Upgrade auf 200-Megabit-Leitungen, was im gesamten Unternehmen Kosten von rund 18.000 Pfund pro Jahr verursachen würde. Die Lösung: Segmentieren Sie die POS-Terminals in ein dediziertes VLAN mit garantierter Bandbreite. Wenden Sie Ratenbegrenzungen pro Benutzer im Mitarbeiter-WiFi-VLAN an - 10 Megabit pro Benutzer im Downstream, zwei Megabit im Upstream. Implementieren Sie Purple Shield, um Werbedatenverkehr zu eliminieren. Diese Kombination reduziert die Spitzenauslastung um 35 %, POS-Timeouts sinken auf Null und das Leitungs-Upgrade wird auf unbestimmte Zeit verschoben. Die jährliche Einsparung allein bei den Leitungskosten beträgt 18.000 Pfund. Die Konfiguration von Purple Shield und QoS kostet nur einen Bruchteil davon. Abschnitt fünf: Fallstricke bei der Implementierung. Einige Dinge, auf die Sie achten sollten. DSCP-Umschreibung. Viele ISPs und einige Enterprise-Switches entfernen oder ändern DSCP-Werte an der Netzwerkgrenze. Überprüfen Sie, ob Ihre QoS-Markierungen den gesamten Weg vom Gerät bis zur Anwendung überstehen. Nutzen Sie ein Packet Capture am Gateway zur Überprüfung. WMM and Legacy-Geräte. Einige ältere Geräte - insbesondere gemeinsam genutzte Terminals und IoT-Sensoren - unterstützen WMM nicht ordnungsgemäß. Sie ignorieren möglicherweise QoS-Markierungen oder erzeugen Datenverkehr mit falschen DSCP-Werten. Überprüfen Sie Ihren Gerätebestand, bevor Sie QoS-Richtlinien bereitstellen. Ratenbegrenzung und Burst-Datenverkehr. Eine strikte Ratenbegrenzung von 10 Megabit pro Benutzer klingt vernünftig, aber wenn 20 Mitarbeiter gleichzeitig Software-Updates auslösen, erreichen Sie die Gesamtkapazität. Verwenden Sie Token-Bucket-Shaping mit einer Burst-Toleranz anstelle einer strikten Begrenzung. Dies ermöglicht kurze Bursts, während eine dauerhaft hohe Bandbreitennutzung eingeschränkt wird. Shield und DNS-over-HTTPS. Wenn die Geräte der Mitarbeiter DNS-over-HTTPS verwenden, um Ihren DNS-Resolver zu umgehen, greift die Filterung von Shield nicht. Sie müssen entweder DNS-over-HTTPS an der Firewall blockieren oder Ihre Geräte über ein MDM so konfigurieren, dass sie Ihren internen DNS-Resolver verwenden. Dies ist ein einmaliger Konfigurationsschritt, keine laufende Verwaltungsaufgabe. Abschnitt sechs: Schnelle Fragerunde. Benötige ich QoS, wenn ich über ausreichend Bandbreite verfüge? Ja. Bandbreite ist nicht gleichbedeutend mit Leistung. Eine 1-Gigabit-Verbindung ohne QoS liefert dennoch eine schlechte VoIP-Qualität, wenn ein einzelnes Gerät eine Massenübertragung von Dateien durchführt. QoS stellt sicher, dass latenzempfindlicher Datenverkehr die erforderliche Warteschlangenpriorität erhält, unabhängig vom Gesamtdurchsatz. Kann ich Shield bereitstellen, ohne meine vorhandene Hardware zu ändern? Ja. Shield fungiert als DNS-Overlay. Sie verweisen Ihren DHCP-Server auf die DNS-Resolver von Purple und Shield ist sofort aktiv. Es funktioniert mit Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet - ohne dass Hardwareänderungen erforderlich sind. Wie messe ich die Auswirkung? Verfolgen Sie drei Metriken vor und nach der Bereitstellung: den Prozentsatz der Spitzenauslastung Ihres Uplinks, das DNS-Abfragevolumen pro Stunde und die Anwendungsantwortzeiten für Ihre kritischen Systeme. Das Dashboard von Purple stellt alle drei in Echtzeit dar. Abschnitt sieben: Zusammenfassung und nächste Schritte. Zusammenfassend lässt sich sagen. Bei der Verwaltung der Bandbreite für das Mitarbeiter-WiFi geht es nicht darum, mehr Bandbreite zu kaufen. Es geht darum, sicherzustellen, dass die vorhandene Bandbreite an den richtigen Stellen ankommt. Traffic Shaping und QoS geben Ihnen die Kontrolle. Purple Shield sorgt für die Reduzierung. Zusammen liefern sie messbare Verbesserungen der Anwendungsleistung ohne zusätzliche Infrastrukturkosten. Ihre nächsten Schritte: Überprüfen Sie Ihre aktuelle VLAN-Struktur und stellen Sie sicher, dass das Mitarbeiter-WiFi vom Gast- und IoT-Datenverkehr isoliert ist. Ordnen Sie Ihre kritischen Anwendungen DSCP-Klassen zu. Stellen Sie Shield auf Ihrem Mitarbeiter-VLAN bereit und messen Sie die Reduzierung der DNS-Abfragen. Überprüfen Sie Ihre Ratenbegrenzungen pro Benutzer vierteljährlich, wenn sich die Anzahl der Geräte ändert. Wenn Sie tiefer in diese Themen einsteigen möchten, steht Ihnen der vollständige schriftliche Leitfaden unter purple.ai zur Verfügung. Er behandelt die technische Architektur im Detail, enthält Konfigurationsbeispiele für die wichtigsten Hardware-Plattformen und führt Sie durch die ROI-Berechnung für die Bereitstellung von Shield. Vielen Dank fürs Zuhören. Dies war ein technisches Briefing von Purple.

header_image.png

Executive Summary

Die Verwaltung der Bandbreite für das Mitarbeiter-WiFi erfordert weit mehr als nur eine Erhöhung der Leitungsgeschwindigkeit. Enterprise-Standorte sind ständig mit Netzwerküberlastungen konfrontiert, da geschäftskritische Anwendungen mit Hintergrundaufgaben und unwichtigem Datenverkehr konkurrieren. Dieser Leitfaden beschreibt die technische Implementierung von Traffic Shaping und Quality of Service (QoS), um die Leistung für essenzielle Systeme zu garantieren. Er zeigt insbesondere, wie der Einsatz von Purple Shield zur DNS-basierten Werbeblockierung bis zu 30 % des nicht-essenziellen Datenverkehrs eliminiert, noch bevor dieser überhaupt Bandbreite verbraucht. Durch die Kombination von anwendungsspezifischem QoS mit Bedrohungsschutz auf Netzwerkebene optimieren Sie Ihre bestehende Infrastruktur und verschieben kostspielige Leitungs-Upgrades.

Technische Vertiefung: Architektur und Standards

Eine robuste Netzwerkarchitektur trennt die verschiedenen Verkehrsarten, um spezifische Richtlinien anzuwenden. Das Mitarbeiter-WiFi muss auf einem dedizierten VLAN laufen, das vollständig vom Guest WiFi und von IoT-Geräten isoliert ist. Diese Segmentierung ist eine grundlegende Voraussetzung für die Einhaltung von Standards wie PCI-DSS und GDPR und bildet das Fundament für ein effektives Traffic-Management.

Die Rolle von QoS und WMM

Quality of Service (QoS) stellt sicher, dass latenzempfindlicher Datenverkehr Priorität erhält. In drahtlosen Umgebungen wird dies durch den Standard IEEE 802.11e geregelt, der Wireless Multimedia (WMM) eingeführt hat. WMM kategorisiert den Datenverkehr in vier Zugriffsklassen: Sprache, Video, Best Effort (Bestmögliche Leistung) und Hintergrund. Enterprise-Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks und Fortinet unterstützt WMM vollständig.

In kabelgebundenen Infrastrukturen stützt sich QoS auf DSCP-Markierungen (Differentiated Services Code Point) im IP-Header.

  • DSCP EF (Expedited Forwarding) wird kritischen Systemen wie dem Sprachverkehr und Kassentransaktionen zugewiesen.
  • DSCP AF41 verarbeitet Videokonferenzen und ERP-Anwendungen.
  • DSCP CS1 verwaltet Hintergrundaufgaben wie Software-Updates.

qos_traffic_priority_tiers.png

Identitäts- und Zugriffsverwaltung

Mitarbeitergeräte müssen sich über 802.1X mit EAP-TLS oder PEAP an einem RADIUS-Server authentifizieren. Purple lässt sich direkt in Microsoft Entra ID, Okta und Google Workspace integrieren. Dies stellt sicher, dass der Netzwerkzugriff an den zentralen Identitätsanbieter gekoppelt ist. Wenn Sie den Zugriff in Entra ID widerrufen, wird der Netzwerkzugriff sofort beendet.

Implementierungshandbuch: Bandbreitensteuerung und -reduzierung

1. Netzwerksegmentierung

Richten Sie separate VLANs für Mitarbeiter, Gäste und betriebliche Hardware ein. Wenden Sie auf dem Gäste-VLAN Ratenbegrenzungen pro Benutzer an (z. B. 5 Mbps Downstream), um zu verhindern, dass einzelne Benutzer die Leitungen blockieren. Weisen Sie auf dem Mitarbeiter-VLAN kritischen Anwendungen einen garantierten Mindestprozentsatz der Bandbreite zu.### 2. Anwendungsspezifische QoS-Konfiguration Ordnen Sie Ihre Geschäftsanwendungen den entsprechenden DSCP-Markierungen zu. Stellen Sie sicher, dass Ihre Core-Switches und Access Points so konfiguriert sind, dass sie diese Markierungen über den gesamten Netzwerkpfad hinweg berücksichtigen. Verifizieren Sie, dass Ihr ISP die DSCP-Tags nicht am Gateway entfernt.

3. Einsatz von Purple Shield zur Traffic-Reduzierung

Ein großer Teil des Web-Traffics der Mitarbeiter entfällt auf Werbenetzwerke von Drittanbietern und Tracking-Pixel. Dieser Traffic verbraucht Bandbreite, erhöht die DNS-Abfragelast und birgt Sicherheitsrisiken. Purple Shield fungiert als Filter auf DNS-Ebene. Indem Sie Ihre DHCP-Server auf die DNS-Resolver von Purple verweisen lassen, blockiert Shield Anfragen an bekannte Werbenetzwerke und bösartige Domains, noch bevor Verbindungen hergestellt werden.

shield_bandwidth_reduction.png

Standorte, die Shield einsetzen, verzeichnen in der Regel eine Reduzierung des gesamten DNS-Abfragevolumens um 30 %. Dies gibt effektiv Bandbreite für Geschäftsanwendungen frei und wirkt wie ein Leitungs-Upgrade ohne die damit verbundenen Kosten.

Best Practices

  1. Token-Bucket-Shaping nutzen: Verwenden Sie anstelle von strikten Ratenbegrenzungen ein Token-Bucket-Shaping mit einer Burst-Toleranz. Dies fängt kurze Traffic-Spitzen, wie plötzliche Software-Updates, ab, ohne die dauerhafte Performance zu beeinträchtigen.
  2. Legacy-Geräte überprüfen: Ältere gemeinsam genutzte Endgeräte unterstützen WMM unter Umständen nicht ordnungsgemäß. Identifizieren Sie diese Geräte und wenden Sie bei Bedarf portbasierte QoS-Richtlinien an.
  3. Überwachen und anpassen: Überprüfen Sie regelmäßig die Metriken zur Spitzenauslastung und das DNS-Abfragevolumen mithilfe von WiFi Analytics . Passen Sie die Ratenbegrenzungen an, wenn sich die Mitarbeiterzahl und die Anforderungen an Anwendungen ändern.

Fehlerbehebung und Risikominderung

  • DSCP-Umschreibung: Wenn QoS-Richtlinien wirkungslos erscheinen, erfassen Sie Pakete am Gateway. Einige Enterprise-Switches schreiben DSCP-Werte auf Standardeinstellungen um, was Ihre Konfiguration nutzlos macht.
  • Umgehung von DNS-over-HTTPS: Wenn Mitarbeitergeräte DNS-over-HTTPS nutzen, umgehen sie den lokalen DNS-Resolver, wodurch Shield unwirksam wird. Blockieren Sie DNS-over-HTTPS an der Firewall oder konfigurieren Sie verwaltete Geräte über MDM so, dass sie interne Resolver nutzen.

ROI und geschäftlicher Nutzen

Der primäre geschäftliche Nutzen eines effektiven Bandbreitenmanagements liegt in der Kostenvermeidung. Durch die Implementierung von QoS und den Einsatz von Shield kann ein Standort teure Upgrades von Mietleitungen aufschieben. Für eine mittelgroße Retail -Kette kann die Vermeidung von Leitungs-Upgrades in 50 Filialen jährlich Tausende von Pfund einsparen. Darüber hinaus verbessert die Priorisierung des POS- und ERP-Traffics direkt die betriebliche Effizienz und reduziert Ausfallzeiten während der Hauptgeschäftszeiten.

Hören Sie sich unseren technischen Podcast für weitere Details an:

Schlüsseldefinitionen

QoS (Quality of Service)

Eine Reihe von Technologien zur Verwaltung des Netzwerk-Traffics, um die Leistung kritischer Anwendungen zu garantieren.

Unerlässlich, um sicherzustellen, dass VoIP- und POS-Systeme bei Netzwerküberlastung zuverlässig funktionieren.

DSCP (Differentiated Services Code Point)

Ein Feld im IP-Header, das zur Klassifizierung des Netzwerk-Traffics für QoS-Zwecke verwendet wird.

Wird von Netzwerk-Switches verwendet, um zu bestimmen, welche Pakete in der Warteschlange Priorität erhalten.

WMM (Wireless Multimedia)

Eine Zertifizierung der Wi-Fi Alliance basierend auf dem Standard IEEE 802.11e, die QoS-Funktionen für drahtlose Netzwerke bereitstellt.

Sorgt dafür, dass Access Points Sprach- und Video-Traffic gegenüber allgemeinen Daten priorisieren.

VLAN (Virtual Local Area Network)

Ein logisches Subnetzwerk, das eine Gruppe von Geräten zusammenfasst und deren Traffic vom Rest des Netzwerks isoliert.

Wird verwendet, um Mitarbeitergeräte aus Sicherheits- und Traffic-Management-Gründen von Gastnetzwerken zu trennen.

DNS-layer filtering

Der Prozess des Blockierens des Zugriffs auf bestimmte Domains durch Abfangen und Ablehnen von DNS-Auflösungsanfragen.

Der Mechanismus, den Purple Shield nutzt, um zu verhindern, dass sich Geräte mit Werbenetzwerken und schädlichen Websites verbinden.

Token-Bucket-Shaping

Ein Algorithmus zur Bandbreitenverwaltung, der kurze Traffic-Spitzen zulässt, während ein langfristiges durchschnittliches Limit durchgesetzt wird.

Bietet eine bessere Benutzererfahrung als eine strikte Ratenbegrenzung, da kurze Lastspitzen wie das Laden von Seiten abgefangen werden.

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Die Standardmethode zur Sicherung von Staff WiFi in Unternehmen, oft in RADIUS integriert.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentralisierte Verwaltung von Authentifizierung, Autorisierung und Accounting bereitstellt.

Wird in Verbindung mit 802.1X verwendet, um die Anmeldedaten von Mitarbeitern mit Identitätsanbietern wie Microsoft Entra ID abzugleichen.

Ausgearbeitete Beispiele

Ein Hotel mit 200 Zimmern muss sicherstellen, dass die Property-Management-Software und die VoIP-Telefone während der Haupt-Check-in-Zeiten stabil bleiben, während das Personal das Netzwerk auch für allgemeines Surfen nutzt.

Segmentieren Sie das Netzwerk, indem Sie das Personal in ein dediziertes VLAN verschieben. Weisen Sie dem Property-Management-System und dem VoIP-Traffic DSCP EF zu. Weisen Sie allgemeinem Surfen und Hintergrund-Updates DSCP CS1 zu. Implementieren Sie Purple Shield im Staff VLAN, um den Traffic von Werbung und Trackern zu eliminieren und so die Grundkapazität freizugeben.

Kommentar des Prüfers: Dieser Ansatz garantiert Bandbreite für latenzempfindliche Anwendungen und reduziert gleichzeitig die gesamte Netzwerklast. Durch das Blockieren von Werbung auf der DNS-Ebene verarbeitet das Netzwerk weniger HTTP-Anfragen, was die Antwortzeiten für das Property-Management-System direkt verbessert.

Eine Einzelhandelskette mit 50 Filialen verzeichnet in Stoßzeiten POS-Timeouts, weil die Geräte der Mitarbeiter die gemeinsam genutzte 100 Mbps-Breitbandverbindung überlasten.

Isolieren Sie die POS-Terminals in einem dedizierten VLAN mit strenger QoS-Priorität. Richten Sie auf dem Staff WiFi VLAN ein Limit pro Benutzer von 10 Mbps im Downstream und 2 Mbps im Upstream mittels Token-Bucket-Shaping ein. Nutzen Sie Purple Shield, um nicht-geschäftlichen Werbe-Traffic zu blockieren.

Kommentar des Prüfers: Anstatt an 50 Standorten auf 200 Mbps-Leitungen aufzurüsten, priorisiert diese Konfiguration den umsatzgenerierenden Traffic und schränkt die nicht-essenzielle Nutzung ein. Purple Shield sorgt für eine sofortige Reduzierung des Gesamtbandbreitenverbrauchs und löst die POS-Timeouts ohne Investitionsausgaben.

Übungsfragen

Q1. Sie verwalten einen [Hospitality](/industries/hospitality)-Standort, an dem das Gastnetzwerk häufig die 500 Mbps-Verbindung überlastet, was zu Verbindungsabbrüchen im Back-Office-ERP-System führt. Sie haben ein einziges flaches Netzwerk. Was ist der erste Schritt zur Lösung des Problems?

Hinweis: Berücksichtigen Sie die Voraussetzungen für die Anwendung effektiver QoS-Richtlinien.

Musterlösung anzeigen

Der erste Schritt ist die Netzwerksegmentierung. Sie müssen die Geräte der Mitarbeiter und das ERP-System in ein dediziertes VLAN aufteilen, das vom Gastnetzwerk isoliert ist. Sobald es segmentiert ist, können Sie ein striktes Bandbreitenlimit pro Benutzer für das Gäste-VLAN anwenden und QoS auf dem Mitarbeiter-VLAN konfigurieren, um den ERP-Datenverkehr zu priorisieren.

Q2. Nachdem Sie DSCP EF-Markierungen für Ihren VoIP-Datenverkehr im Mitarbeiter-VLAN konfiguriert haben, melden Benutzer während der Stoßzeiten immer noch eine schlechte Anrufqualität. Was ist die wahrscheinlichste Ursache?

Hinweis: Denken Sie darüber nach, was mit den Paket-Headern passiert, wenn sie verschiedene Netzwerkgeräte durchlaufen.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist ein DSCP-Remarking. Entweder entfernt ein dazwischenliegender Enterprise-Switch oder das ISP-Gateway die DSCP-Werte oder setzt sie auf den Standardwert zurück (Best Effort). Sie müssen ein Packet Capture am Gateway durchführen, um zu überprüfen, ob die QoS-Markierungen den gesamten Pfad überstehen.

Q3. Sie müssen den gesamten Bandbreitenverbrauch im Mitarbeiternetzwerk reduzieren, ohne die Geschäftsanwendungen zu beeinträchtigen. Was ist der effektivste Ansatz?

Hinweis: Überlegen Sie, welcher nicht unbedingt notwendige Datenverkehr automatisch erhebliche Bandbreite verbraucht.

Musterlösung anzeigen

Implementieren Sie Purple Shield, um den Datenverkehr auf der DNS-Ebene zu filtern. Durch das Blockieren von Anfragen an Werbenetzwerke und Tracking-Pixel, noch bevor die Verbindungen aufgebaut werden, eliminiert Shield einen erheblichen Teil des nicht geschäftlichen Datenverkehrs, was das gesamte DNS-Abfragevolumen und den Bandbreitenverbrauch in der Regel um bis zu 30 % reduziert.

Weiterlesen in dieser Reihe

Mitarbeiter-WiFi vs. Gäste-WiFi: Best Practices für die Segmentierung von Unternehmensnetzwerken

Ein umfassender technischer Leitfaden für IT-Führungskräfte zur Segmentierung von Mitarbeiter- und Gäste-WiFi-Netzwerken. Er behandelt VLAN-Architektur, 802.1X-Authentifizierung, Firewall-Richtlinien und die geschäftlichen Auswirkungen eines sicheren Netzwerkdesigns.

Leitfaden lesen →

WiFi-Lösungen für Apartments: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden behandelt die Architektur, die Bereitstellung und den Business Case für WiFi-Lösungen in Apartments in Build to Rent- und Multi-Dwelling Unit-Immobilien. Er erklärt, wie die iPSK-Technologie (Identity Pre-Shared Key) sichere, isolierte Netzwerkblasen für jeden Bewohner erstellt und gleichzeitig Smart-Geräte und IoT unterstützt. Immobilienentwickler, Vermieter und BTR-Betreiber finden hier praxisnahe Bereitstellungsanleitungen, ROI-Daten und ausgearbeitete Implementierungsszenarien.

Leitfaden lesen →

Cox Business Managed WiFi: Ein umfassender Leitfaden für Unternehmen

Dieser Leitfaden beschreibt detailliert, wie Immobilienentwickler und BTR-Betreiber skalierbare, sichere Netzwerke mit Cox Business Managed WiFi bereitstellen können. Er behandelt die Netzwerkarchitektur, die herstellerunabhängige Hardware-Bereitstellung und die geschäftlichen Auswirkungen des Übergangs von Konnektivität von einem betrieblichen Problem zu einer zuverlässigen Infrastruktur.

Leitfaden lesen →