Zum Hauptinhalt springen
Deutsch

Wie Dynamic VLAN Assignment in Gebäuden mit mehreren Mietern funktioniert

Dieser technische Leitfaden beschreibt die Architektur und Implementierung von Dynamic VLAN Assignment unter Verwendung von 802.1X und RADIUS in Umgebungen mit mehreren Mietern. Er bietet IT-Managern und Netzwerkarchitekten praktische Anleitungen zur Reduzierung des SSID-Overheads, zur Durchsetzung von Layer 2 Isolation und zur Gewährleistung einer sicheren, skalierbaren Konnektivität in gemeinsam genutzten Gebäuden.

📖 6 Min. Lesezeit📝 1,475 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
[Intro-Musik - Professionelles, optimistisches Corporate-Tech-Thema] Host: Willkommen beim Purple Technical Briefing. Ich bin Ihr Host, und heute befassen wir sich mit einer kritischen Architekturentscheidung für jede Umgebung mit mehreren Mietern: Dynamic VLAN Assignment. Wenn Sie die Netzwerkinfrastruktur für ein gemischt genutztes Geschäftsgebäude, ein Einkaufszentrum oder ein großes Hotel verwalten, ist dies genau das Richtige für Sie. Wir werden aufschlüsseln, wie Sie sich von der Ausstrahlung dutzender SSIDs verabschieden und stattdessen 802.1X und RADIUS nutzen, um den Datenverkehr dynamisch in einem einzigen, sauberen drahtlosen Netzwerk zu segmentieren. [Übergangssound] Host: Beginnen wir mit dem Kontext. Wenn Sie in der Vergangenheit ein Gebäude mit drei Mietern hatten – sagen wir, ein Café im Erdgeschoss, eine Anwaltskanzlei im zweiten Stock und ein Tech-Startup im dritten –, mussten Sie entweder separate physische Netzwerke betreiben, was ein absoluter Albtraum für Verkabelung und Interferenzen ist, oder Sie mussten eine eigene SSID für jeden Mieter ausstrahlen. Aber das Ausstrahlen mehrerer SSIDs verschlechtert die Leistung. Jede SSID sendet Beacon-Frames mit der niedrigsten Basisrate. Wenn Sie zehn Mieter und zehn SSIDs haben, verbrauchen Sie einen riesigen Teil Ihrer Sendezeit nur mit dem Rufen von „Ich bin hier!“, bevor ein einziges Byte an tatsächlichen Daten übertragen wird. Hier verändert Dynamic VLAN Assignment das Spiel. Anstelle von zehn SSIDs strahlen Sie eine einzige sichere SSID der Enterprise-Klasse aus. Nennen wir sie „Building_Secure“. Wenn sich ein Benutzer verbindet, fragt das Netzwerk nicht nur nach einem Pre-Shared Key. Es fragt nach seiner individuellen Identität. Hier ist der technische Deep Dive, wie dieser Ablauf funktioniert. Schritt eins: Der Supplicant. Das ist das Gerät des Benutzers – ein Laptop oder Smartphone. Es verbindet sich mit dem Access Point, ist aber noch nicht im Netzwerk. Der Port ist praktisch für den gesamten Datenverkehr blockiert, außer für EAPOL – Extensible Authentication Protocol over LAN. Schritt zwei: Der Authenticator. Dies ist Ihr Access Point oder Wireless Controller. Er nimmt den EAPOL-Datenverkehr vom Gerät und kapselt ihn in ein RADIUS Access-Request-Paket. Er leitet dieses an den Authentication Server weiter. Schritt drei: Der Authentication Server. Dies ist Ihr RADIUS-Server, der vielleicht in Active Directory, Google Workspace oder das Identitätsmanagement von Purple integriert ist. Der RADIUS-Server überprüft die Anmeldedaten. Wenn sie übereinstimmen, sagt er nicht einfach „Ja, lass sie rein.“ Er sendet eine RADIUS Access-Accept-Nachricht zurück, die spezifische herstellerneutrale Attribute enthält. Konkret sendet er: Tunnel-Type gleich VLAN (Wert 13) Tunnel-Medium-Type gleich IEEE-802 (Wert 6) Und ganz entscheidend: Tunnel-Private-Group-ID. Dies ist die eigentliche VLAN-Nummer. Für die Anwaltskanzlei wird möglicherweise VLAN 20 zurückgegeben. Für das Tech-Startup VLAN 30. Schritt vier: Der Access Point empfängt diese Access-Accept-Nachricht, liest die VLAN-ID und leitet den Datenverkehr des Benutzers dynamisch direkt in dieses spezifische VLAN. Das Ergebnis? Der Mitarbeiter der Anwaltskanzlei und der Mitarbeiter des Tech-Startups sind mit demselben Access Point und derselben SSID verbunden, aber ihr Datenverkehr ist auf Layer 2 vollständig isoliert. Der Switch behandelt sie so, als wären sie an völlig unterschiedliche physische Netzwerke angeschlossen. [Übergangssound] Host: Sprechen wir nun über Implementierungsempfehlungen und die Fallstricke, die Sie vermeiden müssen. Erstens: Zertifikatsmanagement. 802.1X verlässt sich stark auf Zertifikate. Wenn Sie EAP-TLS nutzen, den Goldstandard für Sicherheit, benötigt jedes Gerät ein Client-Zertifikat. Das ist hochsicher, aber operativ aufwendig. Für BYOD-Umgebungen ist PEAP-MSCHAPv2 üblicher, das auf einem serverseitigen Zertifikat und Benutzeranmeldedaten basiert. Aber seien Sie gewarnt: Wenn dieses Serverzertifikat abläuft, geht Ihr gesamtes Gebäude offline. Richten Sie ein aggressives Monitoring für Ihre RADIUS-Zertifikate ein. Zweitens: Switch-Konfiguration. Bei Ihren Edge-Switches müssen alle potenziellen Mieter-VLANs auf den Uplink-Ports, die zu den Access Points führen, getaggt sein. Wenn RADIUS dem AP mitteilt, einen Benutzer in VLAN 40 zu platzieren, aber VLAN 40 auf dem mit dem AP verbundenen Switch-Port nicht getaggt ist, landet der Datenverkehr in einem schwarzen Loch. Der Benutzer authentifiziert sich erfolgreich, erhält aber keine IP-Adresse über DHCP. Dies ist das Ticket zur Fehlerbehebung, das wir am häufigsten sehen. Drittens: Fallback-Mechanismen. Was passiert, wenn der RADIUS-Server nicht erreichbar ist? Sie benötigen eine definierte „Fail-Open“- oder „Fail-Closed“-Richtlinie. In einem Büro mit mehreren Mietern entscheidet man sich aus Sicherheitsgründen in der Regel für Fail-Closed. Bei einem Gästenetzwerk können Sie jedoch ein Fail-Open in ein stark eingeschränktes, reines Internet-VLAN einrichten. [Übergangssound] Host: Machen wir eine schnelle Fragerunde basierend auf häufigen Fragen von Netzwerkarchitekten. Frage 1: Können wir MAC Authentication Bypass (MAB) mit 802.1X kombinieren? Antwort: Ja. Für IoT-Geräte wie Smart-TVs oder Drucker, die 802.1X nicht unterstützen, können Sie den RADIUS-Server so konfigurieren, dass er sich basierend auf der MAC-Adresse authentifiziert und das VLAN entsprechend zuweist. Da MAC-Adressen jedoch gefälscht werden können, sollten Sie diese Geräte in streng isolierten VLANs platzieren. Frage 2: Funktioniert das auch beim Roaming? Antwort: Absolut. Wenn ein Benutzer von einem AP im ersten Stock zu einem AP im zweiten Stock wechselt, kann die Authentifizierung mithilfe von Protokollen wie 802.11r (Fast BSS Transition) oder OKC (Opportunistic Key Caching) zwischengespeichert werden, sodass er nahtlos in seinem zugewiesenen VLAN bleibt, ohne dass es zu Verzögerungen durch eine vollständige Neuauthentifizierung kommt. Frage 3: Wie fügt sich Purple hier ein? Antwort: Purple kann als Identitätsanbieter und Policy-Engine fungieren, die RADIUS-Integration rationalisieren und eine Analyseschicht über der reinen Konnektivität bereitstellen. So wird sichergestellt, dass Sie Einblick in die Nutzung des gemeinsam genutzten Raums haben. [Übergangssound] Host: Zusammenfassend lässt sich sagen: Mit Dynamic VLAN Assignment können Sie Ihre HF-Umgebung auf einer einzigen SSID konsolidieren, was Gleichkanalstörungen und den Verwaltungsaufwand drastisch reduziert. Es nutzt 802.1X und RADIUS, um Benutzer zu authentifizieren und sie sicher in ihr dediziertes Layer 2 Segment zu leiten. Ihre nächsten Schritte? Überprüfen Sie Ihre aktuelle SSID-Anzahl. Wenn Sie mehr als drei oder vier SSIDs im selben Luftraum ausstrahlen, ist es an der Zeit, eine dynamische VLAN-Lösung zu entwerfen. Stellen Sie sicher, dass Ihre Switches ordnungsgemäß getrunkt sind, und konfigurieren Sie Ihren RADIUS-Server so, dass er diese wichtigen Tunnel-Private-Group-ID-Attribute zurückgibt. Vielen Dank, dass Sie an diesem technischen Briefing teilgenommen haben. Bauen Sie weiterhin sichere, skalierbare Netzwerke. [Outro-Musik blendet aus]

header_image.png

Executive Summary

Für IT-Manager und Netzwerkarchitekten, die Multi-Tenant-Gebäude – wie gewerbliche Büros, Einkaufszentren oder weitläufige Hotelanlagen – betreuen, ist die Verwaltung der Netzwerksegmentierung eine kritische Herausforderung. Historisch gesehen bedeutete die Isolierung des Mandanten-Traffics die Bereitstellung einer separaten physischen Infrastruktur oder das Ausstrahlen einer eindeutigen SSID für jeden Mandanten. Beide Ansätze sind grundlegend fehlerhaft. Die physische Trennung ist kostenintensiv und unflexibel, während das Ausstrahlen mehrerer SSIDs die RF-Leistung aufgrund des übermäßigen Overheads durch Management-Frames drastisch verschlechtert.

Dynamic VLAN Assignment löst dieses Problem, indem es die drahtlose Umgebung in einer einzigen, sicheren SSID konsolidiert. Durch die Nutzung von IEEE 802.1X-Authentifizierung und RADIUS weist das Netzwerk den Benutzern dynamisch ihr dediziertes Virtual Local Area Network (VLAN) basierend auf ihrer Identität zu, nicht auf dem von ihnen gewählten Netzwerk. Dieser Leitfaden bietet einen umfassenden technischen Deep-Dive in die Architektur, Bereitstellung und Fehlerbehebung von Dynamic VLAN Assignment, um eine sichere Layer-2-Isolierung, die Einhaltung von Standards wie PCI DSS und GDPR sowie einen robusten ROI für Standortbetreiber zu gewährleisten.

Technical Deep-Dive

Das Problem mit mehreren SSIDs

In einem gemeinsam genutzten Gebäude ist es üblich, Dutzende von ausgestrahlten SSIDs zu sehen (z. B. „TenantA_Corp“, „TenantB_Secure“, „Building_Guest“). Jede von einem Access Point (AP) ausgestrahlte SSID muss Beacon-Frames mit der niedrigsten obligatorischen Datenrate (normalerweise 1 Mbps oder 6 Mbps) übertragen. Mit zunehmender Anzahl von SSIDs wächst der Anteil der Sendezeit, der durch den Management-Overhead verbraucht wird, exponentiell, sodass weniger Sendezeit für die eigentliche Datenübertragung verbleibt. Dies führt zu hoher Latenz, geringem Durchsatz und einer schlechten Benutzererfahrung, unabhängig von der zugrunde liegenden Internetgeschwindigkeit.

Die 802.1X- und RADIUS-Architektur

Dynamic VLAN Assignment verlagert die Segmentierungslogik von der RF-Schicht auf die Authentifizierungsschicht. Es basiert auf dem Standard IEEE 802.1X für die portbasierte Netzwerkzugriffskontrolle, integriert mit einem RADIUS-Server (Remote Authentication Dial-In User Service).

Die Architektur besteht aus drei Hauptkomponenten:

  1. Supplicant: Das Client-Gerät (Laptop, Smartphone), das Netzwerkzugriff anfordert.
  2. Authenticator: Das Netzwerkzugriffsgerät, in der Regel der WiFi Access Point oder Wireless-Controller, der den Datenverkehr blockiert, bis die Authentifizierung erfolgreich war.
  3. Authentication Server: Der RADIUS-Server, der die Anmeldedaten mit einem Identitätsspeicher (z. B. Active Directory, LDAP) abgleicht und Netzwerkrichtlinien vorgibt.

vlan_architecture_overview.png

Der Authentifizierungsablauf

Wenn ein Supplicant versucht, sich mit der vereinheitlichten SSID zu verbinden, läuft folgender Prozess ab:

  1. EAPOL-Initialisierung: Der Supplicant verbindet sich mit dem AP. Der AP blockiert den gesamten Datenverkehr mit Ausnahme von EAPOL-Paketen (Extensible Authentication Protocol over LAN).
  2. RADIUS Access-Request: Der AP kapselt die EAP-Daten und leitet sie als Access-Request an den RADIUS-Server weiter.
  3. Validierung der Anmeldedaten: Der RADIUS-Server überprüft die Anmeldedaten des Benutzers (über EAP-TLS, PEAP usw.).
  4. RADIUS Access-Accept: Nach erfolgreicher Validierung antwortet der RADIUS-Server mit einer Access-Accept-Nachricht. Diese Nachricht enthält entscheidende, dem IETF-Standard entsprechende RADIUS-Attribute, die dem AP mitteilen, welchem VLAN der Benutzer zugewiesen werden soll.

Die für Dynamic VLAN Assignment erforderlichen kritischen RADIUS-Attribute sind:

  • Tunnel-Type (64): Eingestellt auf VLAN (Wert 13)
  • Tunnel-Medium-Type (65): Eingestellt auf 802 (Wert 6)
  • Tunnel-Private-Group-ID (81): Eingestellt auf die spezifische VLAN-ID (z. B. „20“ für Mandant A, „30“ für Mandant B)

radius_auth_flow.png

Sobald der AP diese Attribute empfängt, leitet er den Datenverkehr des Benutzers direkt in das angegebene VLAN weiter. Die vorgelagerten Netzwerk-Switches verarbeiten den Datenverkehr dann so, als ob der Benutzer physisch an einen dedizierten Port für diesen Mandanten angeschlossen wäre, was eine vollständige Layer-2-Isolierung gewährleistet.

Implementation Guide

Die Bereitstellung von Dynamic VLAN Assignment erfordert eine sorgfältige Abstimmung zwischen der Wireless-Infrastruktur, den Edge-Switches und dem Identitätsanbieter. Befolgen Sie diese herstellerunabhängige Implementierungsreihenfolge.

Phase 1: Vorbereitung der Netzwerkinfrastruktur

  1. VLAN-Bereitstellung: Definieren und erstellen Sie die erforderlichen VLANs auf Ihrer Core-Routing-Infrastruktur und Ihren DHCP-Servern. Stellen Sie sicher, dass jedes Mandanten-VLAN über ein eigenes, separates Subnetz und entsprechende Routing-Richtlinien verfügt (z. B. Routing ins Internet, aber Blockieren von Inter-VLAN-Traffic).
  2. Switch-Trunking: Dies ist ein kritischer Schritt. Die Switch-Ports, die mit Ihren Access Points verbunden sind, müssen als 802.1Q-Trunk-Ports konfiguriert werden. Sie müssen alle potenziellen Mandanten-VLANs taggen, die der AP möglicherweise zuweisen muss. Wenn der RADIUS-Server das VLAN 40 zuweist, dieses VLAN 40 jedoch nicht am Switch-Port getaggt ist, wird der Client zwar authentifiziert, erhält jedoch keine IP-Adresse.
  3. AP-Konfiguration: Konfigurieren Sie die APs so, dass sie eine einzige 802.1X-fähige SSID (z. B. WPA3-Enterprise) ausstrahlen. Aktivieren Sie die spezifische Einstellung auf Ihrem Wireless-Controller oder Ihren APs, die es ihnen ermöglicht, RADIUS-Override-Attribute zu akzeptieren (häufig als „AAA Override“ oder „Dynamic VLAN“ bezeichnet).

Phase 2: RADIUS- und Identitätsintegration

  1. Integration des Identitätsspeichers: Verbinden Sie Ihren RADIUS-Server mit dem Verzeichnisdienst, der die Benutzeridentitäten und deren Mandantenzuordnungen enthält.
  2. Erstellung von Netzwerkrichtlinien: Erstellen Sie Richtlinien im RADIUS-Server, die Benutzergruppen den VLAN-IDs zuordnen. Beispielsweise eine Richtlinie, die besagt: Wenn der Benutzer zur Gruppe „Retail_Staff“ gehört, wird Tunnel-Private-Group-ID = 10 zurückgegeben.
  3. Zertifikatsverwaltung: Bei Verwendung von EAP-TLSS (empfohlen für Unternehmensgeräte), stellen Sie Client-Zertifikate bereit. Bei Verwendung von PEAP-MSCHAPv2 (üblich für BYOD) muss sichergestellt sein, dass ein gültiges, vertrauenswürdiges Serverzertifikat auf dem RADIUS-Server installiert ist.

Phase 3: Tests und schrittweise Einführung

  1. Pilot-Tests: Testen Sie mit einer kleinen Gruppe von Geräten über verschiedene Mandanten hinweg. Überprüfen Sie, ob das Gerät nach dem Verbindungsaufbau eine IP-Adresse aus dem richtigen Subnetz erhält und keine Geräte in den VLANs anderer Mandanten anpingen kann.
  2. IoT- und Headless-Geräte: Für Geräte, die 802.1X nicht unterstützen (Drucker, Smart-TVs), implementieren Sie MAC Authentication Bypass (MAB). Der RADIUS-Server authentifiziert das Gerät anhand seiner MAC-Adresse und weist das entsprechende VLAN zu. Hinweis: Platzieren Sie diese Geräte in streng isolierten VLANs, da MAC-Adressen gefälscht werden können.

Best Practices

  • SSIDs konsolidieren: Streben Sie ein absolutes Maximum von drei SSIDs an: eine 802.1X-SSID für alle Mandanten, eine für ältere IoT-Geräte (unter Verwendung von PSK oder MAB) und eine für Guest WiFi (unter Verwendung eines Captive Portal).
  • Client-Isolierung erzwingen: Aktivieren Sie innerhalb des Gastnetzwerks und der nicht vertrauenswürdigen Mandantennetzwerke die Layer-2-Client-Isolierung auf AP-Ebene, um zu verhindern, dass Geräte miteinander kommunizieren, und so das Risiko von Lateral Movement zu minimieren.
  • Erweiterte Analysen nutzen: Integrieren Sie Ihren Authentifizierungsfluss in eine robuste WiFi Analytics -Plattform, um Einblick in die Standortnutzung, Verweilzeiten und die Leistung des Mandantennetzwerks zu erhalten.
  • Standardisierung auf WPA3: Sofern die Client-Unterstützung dies zulässt, schreiben Sie WPA3-Enterprise für die 802.1X-SSID vor, um ein Höchstmaß an Verschlüsselung und Schutz vor Dictionary-Angriffen zu gewährleisten.
  • Branchenkontext: Passen Sie die Bereitstellung an die jeweilige Branche an. In Retail -Umgebungen müssen POS-Systeme auf einem streng isolierten VLAN liegen, um die PCI-DSS-Konformität zu wahren. Im Bereich Hospitality ist sicherzustellen, dass die Gast-VLANs vollständig von den Back-of-House-Aktivitäten getrennt sind.

Fehlerbehebung & Risikominderung

Häufige Fehlerszenarien

  1. Das Szenario „Authentifiziert, aber keine IP“:

    • Symptom: Der Client verbindet sich, die Authentifizierung ist erfolgreich, aber das Gerät weist sich selbst eine APIPA-Adresse (169.254.x.x) zu.
    • Fehlerursache: Der RADIUS-Server hat ein VLAN zugewiesen, aber dieses VLAN ist entweder nicht auf dem DHCP-Server eingerichtet oder – was häufiger vorkommt – das VLAN ist auf dem Trunk-Port, der den Switch mit dem AP verbindet, nicht getaggt.
    • Behebung: Überprüfen Sie die 802.1Q-Trunk-Konfigurationen auf dem Edge-Switch.

  2. RADIUS-Timeout / Nicht erreichbar:

    • Symptom: Clients verbleiben im Status „Verbindung wird hergestellt...“ oder werden wiederholt zur Eingabe von Anmeldedaten aufgefordert.
    • Fehlerursache: Der AP kann den RADIUS-Server nicht erreichen, oder das gemeinsame RADIUS-Geheimnis (Shared Secret) zwischen dem AP und dem Server stimmt nicht überein.
    • Behebung: Überprüfen Sie die Netzwerkverbindung zwischen der AP-Management-IP und dem RADIUS-Server. Überprüfen Sie das Shared Secret genau.

  3. Zertifikatsablauf:

    • Symptom: Plötzliche, flächendeckende Authentifizierungsfehler für alle Benutzer bei PEAP oder EAP-TLS.
    • Fehlerursache: Das RADIUS-Serverzertifikat ist abgelaufen, was dazu führt, dass Clients die Verbindung ablehnen.
    • Behebung: Implementieren Sie ein proaktives Monitoring und Alerting für RADIUS-Zertifikate. Erneuern Sie Zertifikate mindestens 30 Tage vor dem Ablaufdatum.

Strategien zur Risikominderung

  • Fail-Open vs. Fail-Closed: Definieren Sie eine klare Richtlinie für den Fall, dass der RADIUS-Server nicht erreichbar ist. Für Unternehmensnetzwerke von Mandanten ist aus Sicherheitsgründen Fail-Closed (Zugriff verweigern) erforderlich. Für den Gastzugang können Sie eine Fail-Open-Richtlinie konfigurieren, die Benutzer in ein stark eingeschränktes, reines Internet-„Quarantäne“-VLAN leitet.
  • Redundanz: Stellen Sie RADIUS-Server immer als hochverfügbares (HA) Paar bereit, vorzugsweise geografisch verteilt, wenn mehrere Standorte unterstützt werden.

ROI & geschäftlicher Nutzen

Die Implementierung einer dynamischen VLAN-Zuweisung liefert messbare, signifikante Geschäftsergebnisse für Standortbetreiber:

  1. Reduzierte OpEx: Die zentrale Verwaltung einer einzigen SSID reduziert den IT-Aufwand für die Bereitstellung, Aktualisierung und Fehlerbehebung einzelner Mandantennetzwerke drastisch.
  2. Optimiertes HF-Spektrum: Durch die Eliminierung von SSID-Wildwuchs wird wertvolle Sendezeit zurückgewonnen. Einen Leitfaden zur Verwaltung des Spektrums finden Sie in unserem Artikel über Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 . Dies führt zu höherem Durchsatz und weniger Support-Tickets wegen „langsamem WiFi“.
  3. Erhöhte Sicherheit und Compliance: Eine strikte Layer-2-Isolierung stellt sicher, dass sich eine Kompromittierung im Netzwerk eines Mandanten nicht auf andere ausbreitet. Dies ist entscheidend für die Erfüllung regulatorischer Anforderungen wie PCI DSS und GDPR.
  4. Skalierbarkeit: Die Einrichtung eines neuen Mandanten erfordert keinerlei Änderungen an der physischen Infrastruktur oder der Wireless-Konfiguration; es muss lediglich eine neue Richtlinie im RADIUS-Server erstellt werden.

Für umfassendere Strategien zur Netzwerkgestaltung in gemeinsam genutzten Bereichen lesen Sie unseren Leitfaden Designing a Multi-Tenant WiFi Architecture for MDU .

Schlüsseldefinitionen

802.1X

Ein IEEE-Standard für portbasierte Netzwerkzugriffskontrolle, der einen Authentifizierungsmechanismus für Geräte bereitstellt, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Das grundlegende Protokoll, das es dem Netzwerk ermöglicht, eine Identität einzufordern, bevor Zugriff gewährt wird, was dynamische Richtlinien ermöglicht.

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Die Entscheidungs-Engine, die Anmeldedaten validiert und dem Netzwerk mitteilt, welches VLAN einem Benutzer zugewiesen werden soll.

Supplicant

Das Client-Gerät (z. B. Laptop, Smartphone) oder die Software, die Zugriff auf das Netzwerk anfordert und Anmeldedaten bereitstellt.

Der Endpunkt, der für die Unterstützung von 802.1X konfiguriert sein muss (z. B. durch Auswahl von PEAP oder EAP-TLS in den WiFi-Einstellungen).

Authenticator

Das Netzwerkgerät (z. B. WiFi Access Point oder Switch), das den Authentifizierungsprozess erleichtert, indem es Nachrichten zwischen dem Supplicant und dem Authentifizierungsserver weiterleitet.

Der Gatekeeper, der den Datenverkehr blockiert, bis RADIUS grünes Licht gibt, und dann das zugewiesene VLAN anwendet.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird und mehrere Authentifizierungsmethoden unterstützt (z. B. EAP-TLS, PEAP).

Die Sprache, die zwischen dem Supplicant und dem RADIUS-Server gesprochen wird, um Anmeldedaten sicher auszutauschen.

MAB (MAC Authentication Bypass)

Eine Technik zur Authentifizierung von Geräten, die 802.1X nicht unterstützen, indem ihre MAC-Adresse als Anmeldedaten verwendet wird.

Wird für das Onboarding von Legacy-IoT-Geräten, Druckern oder Smart-TVs in einer Umgebung mit mehreren Mietern verwendet.

Tunnel-Private-Group-ID

Das spezifische RADIUS-Attribut (Attribut 81), das zur Übertragung der VLAN-ID vom RADIUS-Server an den Authenticator verwendet wird.

Das entscheidende Datenelement, das tatsächlich bestimmt, in welches Netzwerksegment der Benutzer geleitet wird.

Layer 2 Isolation

Eine Sicherheitsmaßnahme, die verhindert, dass Geräte im selben Netzwerksegment oder VLAN direkt miteinander kommunizieren.

Unerlässlich für Gästenetzwerke und nicht vertrauenswürdige Mieternetzwerke, um die laterale Ausbreitung von Malware oder unbefugten Zugriff zu verhindern.

Ausgearbeitete Beispiele

Ein großes Konferenzzentrum veranstaltet drei gleichzeitige Events. Event A erfordert einen sicheren Unternehmenszugang, Event B erfordert einen offenen Zugang für Teilnehmer und Event C erfordert Zugriff auf bestimmte interne Präsentationsserver. Wie sollte der Netzwerkarchitekt dies mithilfe von dynamischen VLANs bereitstellen?

Der Architekt konfiguriert eine einzige 802.1X SSID für Mitarbeiter und sichere Teilnehmer sowie eine separate offene SSID mit einem Captive Portal für allgemeine Gäste.

Für die 802.1X SSID wird der RADIUS-Server mit drei Richtlinien konfiguriert:

  1. Wenn Benutzergruppe = 'Event_A_Staff', weise VLAN 100 zu (Internet + Corporate VPN-Zugang).
  2. Wenn Benutzergruppe = 'Event_C_Presenters', weise VLAN 102 zu (Internet + Zugriff auf Präsentationsserver).

Für Event B nutzen die Teilnehmer die offene Guest SSID, die sie in das VLAN 101 leitet (nur Internet, Client-Isolation aktiviert).

Kommentar des Prüfers: Dieser Ansatz minimiert den SSID-Overhead und wahrt gleichzeitig strenge Sicherheitsgrenzen. Durch die Nutzung von RADIUS-Richtlinien, die an Benutzergruppen gebunden sind, passt sich das Netzwerk dynamisch an die spezifischen Anforderungen jedes Events an, ohne dass eine manuelle AP-Rekonfiguration erforderlich ist.

Eine Einzelhandelskette betreibt ein gemeinsam genutztes Gebäude mit einem Café, einem Bekleidungsgeschäft und einer Apotheke. Die Apotheke muss HIPAA-konform sein, und das Bekleidungsgeschäft benötigt PCI DSS-Konformität für seine drahtlosen POS-Terminals. Wie wird die Isolation garantiert?

Das IT-Team stellt eine einzige WPA3-Enterprise SSID bereit.

  1. Die Mitarbeiter der Apotheke authentifizieren sich über 802.1X, und RADIUS weist sie dem VLAN 50 zu, das über strenge Firewall-Regeln verfügt, die den Zugriff auf alle anderen internen Subnetze verhindern.
  2. Die POS-Terminals des Bekleidungsgeschäfts authentifizieren sich mittels EAP-TLS (zertifikatsbasiert) und werden dem VLAN 60 zugewiesen. VLAN 60 wird direkt zum Gateway des Zahlungsabwicklers geroutet und ist vom gesamten restlichen Datenverkehr isoliert.
  3. Das Café nutzt eine separate Guest SSID für Kunden, die mit Client-Isolation auf VLAN 70 endet.
Kommentar des Prüfers: Diese Architektur segmentiert hochgradig regulierten Datenverkehr (HIPAA, PCI DSS) erfolgreich vom allgemeinen Unternehmens- und Gästedatenverkehr über eine gemeinsam genutzte physische Infrastruktur. Die Verwendung von EAP-TLS für POS-Terminals macht Passwörter überflüssig und erhöht die Sicherheit erheblich.

Übungsfragen

Q1. Ein Mieter meldet, dass er sich erfolgreich an der 802.1X SSID authentifizieren kann, sein Gerät jedoch selbst eine IP-Adresse (169.254.x.x) zuweist und das Internet nicht erreichen kann. Was ist der wahrscheinlichste Konfigurationsfehler?

Hinweis: Denken Sie an den Pfad zwischen dem Access Point und den Kernnetzwerkdiensten.

Musterlösung anzeigen

Die wahrscheinlichste Ursache ist, dass das vom RADIUS-Server zugewiesene VLAN auf dem 802.1Q-Trunk-Port, der den Edge-Switch mit dem Access Point verbindet, nicht getaggt ist. Der AP versucht, den Datenverkehr in das richtige VLAN zu leiten, aber der Switch verwirft die Frames, weil er nicht so konfiguriert ist, dass er sie auf diesem Port akzeptiert.

Q2. Sie entwerfen ein Netzwerk für ein gemeinsam genutztes Bürogebäude mit mehreren Mietern. Der Kunde möchte für jeden der 15 Mieter eine eigene SSID ausstrahlen, um 'ihnen das Auffinden ihres Netzwerks zu erleichtern'. Was raten Sie dem Kunden?

Hinweis: Berücksichtigen Sie die Auswirkungen des Overheads von Management-Frames auf die HF-Leistung.

Musterlösung anzeigen

Raten Sie dem Kunden dringend von diesem Ansatz ab. Das Ausstrahlen von 15 SSIDs verbraucht eine enorme Menge an Sendezeit für Beacon-Frames, was die Netzwerkleistung drastisch verschlechtert, die Latenz erhöht und den Durchsatz für alle Benutzer verringert. Empfehlen Sie die Bereitstellung einer einzigen 802.1X SSID und die Nutzung von Dynamic VLAN Assignment via RADIUS, um die Mieter im Backend sicher zu segmentieren.

Q3. Ein Gebäude mit mehreren Mietern benötigt Netzwerkzugriff für mehrere bildschirmlose IoT-Geräte (z. B. intelligente Thermostate, digitale Beschilderung), die keine 802.1X Supplicants unterstützen. Wie können diese Geräte sicher in die richtigen Mieter-VLANs integriert werden?

Hinweis: Berücksichtigen Sie alternative Authentifizierungsmethoden, die von RADIUS unterstützt werden.

Musterlösung anzeigen

Implementieren Sie MAC Authentication Bypass (MAB). Der Access Point sendet die MAC-Adresse des Geräts als Benutzernamen und Passwort an den RADIUS-Server. Der RADIUS-Server kann so konfiguriert werden, dass er diese spezifischen MAC-Adressen erkennt und die entsprechende VLAN-ID zurückgibt. Da MAC-Adressen gefälscht werden können, sollten diese Geräte in streng isolierten VLANs mit eingeschränktem Netzwerkzugriff platziert werden.

Weiterlesen in dieser Reihe

Bandbreitenmanagement in Netzwerken für Studentenwohnheime

Dieser Leitfaden bietet IT-Managern, Netzwerkarchitekten und Leitern des Immobilienbetriebs eine herstellerneutrale technische Referenz für das Management der WiFi-Bandbreite in hochverdichteten Studentenwohnheimen. Er behandelt VLAN-Segmentierung, das Design von Quality of Service (QoS)-Richtlinien, identitätsbasiertes Traffic Shaping und Transparenz auf der Anwendungsebene – die vier Säulen eines skalierbaren Netzwerks mit gerechtem Zugriff. Mit realen Bereitstellungsszenarien, messbaren Ergebnissen und Entscheidungsrahmen ist dies das betriebliche Handbuch für jedes Team, das für die Infrastruktur von Wohnheimsnetzwerken in großem Maßstab verantwortlich ist.

Leitfaden lesen →

WPA2-Enterprise vs. Personal für Apartments und Co-Working

Dieser maßgebliche technische Leitfaden vergleicht WPA2-Enterprise mit WPA2-Personal für mandantenfähige Umgebungen wie Apartments und Co-Working-Bereiche. Er bietet Netzwerkarchitekten und IT-Managern praxisnahe Einblicke in die 802.1X-Authentifizierung, dynamische VLAN-Zuweisung und Sicherheits-Compliance und zeigt auf, warum gemeinsam genutzte Passwörter in modernen gemeinsam genutzten Standorten ein unannehmbares Risiko darstellen. Betreiber von Standorten finden hier konkrete Implementierungsanleitungen, Fallstudien aus der Praxis und ROI-Analysen zur Unterstützung einer Migrationsentscheidung in diesem Quartal.

Leitfaden lesen →

Micro-Segmentation Best Practices für gemeinsam genutzte WiFi-Netzwerke

Dieser technische Leitfaden bietet praxisnahe Strategien für die Implementierung von Micro-Segmentation auf gemeinsam genutzten WiFi-Infrastrukturen. Er beschreibt detailliert, wie IT-Manager und Netzwerkarchitekten den Datenverkehr von Gästen, IoT und Mitarbeitern sicher isolieren können, um Risiken zu minimieren, Compliance zu gewährleisten und die Netzwerkleistung zu optimieren.

Leitfaden lesen →