Access Points und VLANs

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP230W, AP330, AP332CR, AP430CR, AP432) Dieses Thema gilt für Wi-Fi 6 Access Points, die Sie in WatchGuard Cloud verwalten (AP130, AP230W, AP330, AP332CR, AP430CR, AP432).

Sie können VLANs (Virtual LANs) mit Ihren Access Points in Wi-Fi in WatchGuard Cloud verwenden. Falls Sie mehrere Access Points im selben physischen Netzwerk haben, können Sie den Datenverkehr zwischen den SSIDs mithilfe von VLANs logisch trennen.

So könnten Sie beispielsweise VLANs einrichten, um den Datenverkehr des privaten und vertrauenswürdigen WLAN-Netzwerks vom Gast-WLAN-Netzwerk zu trennen, oder um den Datenverkehr auf Basis Ihrer bestehenden kabelgebundenen Netzwerk-VLANs zu trennen.

Mit VLANs können Sie die Sicherheit verbessern, den Zugriff verwalten und den Broadcast-Datenverkehr in Ihren Netzwerken reduzieren.

Über dynamische VLANs

Mit Access Point-Firmware v2.2 oder höher und WPA2 oder WPA3 Enterprise-Authentifizierung können Sie auch dynamische VLANs verwenden, mit denen Sie einem WLAN-Client dynamisch VLANs zuweisen können, basierend auf den Informationen, die nach erfolgreicher Authentifizierung von einem RADIUS-Server über den Benutzer zurückgegeben werden.

Dadurch reduziert sich der Verwaltungsaufwand für die Zuweisung von Verbindungen zu bestimmten VLANs, da die VLANs automatisch auf der Grundlage der Benutzer- oder Gruppenmitgliedschaft des Benutzers auf Ihrem RADIUS-Server, z. B. einem Active Directory NPS (Netzwerkregel-Server), zugewiesen werden.

Weitere Informationen finden Sie unter Access Point Dynamische VLANs konfigurieren.

Über die VLAN-Konfiguration

Ein VLAN kann Tagged oder Untagged sein. Ein Tagged VLAN verwendet eine spezifische VLAN-ID auf Basis des IEEE 802.1Q-Standards, die zu einem Netzwerkpaket hinzugefügt wird. Mit dieser VLAN-ID kann der Datenverkehr durch Netzwerk-Switches oder andere Netzwerkgeräte, auf deren Ports 802.1Q VLAN-Tagging aktiviert ist, richtig abgewickelt werden. Der Netzwerk-Datenverkehr kann nur an andere Ports auf dem Switch kommuniziert werden, die mit dieser VLAN-ID konfiguriert sind.

Bei einem Untagged VLAN ist dem Netzwerk-Datenverkehr keine spezifische VLAN-ID zugewiesen. Wenn der Untagged-Datenverkehr den Netzwerk-Switch oder ein anderes Gateway-Gerät erreicht, wird der Datenverkehr als Teil des standardmäßigen oder nativen VLAN, wie VLAN 0, gehandhabt und kann an jeden anderen Port auf dem Gerät an andere Netzwerk-Switches oder Geräte kommuniziert werden.

Falls Sie VLAN-Tagging für SSIDs auf einem WatchGuard-Access Point oder ein Tagged Management VLAN für einen Access Point aktivieren, müssen Sie VLANs auch auf dem Netzwerk-Switch, der Firebox oder anderen Gateway-Geräten aktivieren, mit denen der Access Point verbunden ist.

In der Standardkonfiguration benötigt der Access Point beim Hinzufügen zu WatchGuard Cloud ein Untagged VLAN, um sich mit dem Netzwerk zu verbinden und mit WatchGuard Cloud zu kommunizieren.

• Weitere Informationen zur Konfiguration von VLAN-Tagging auf einem Netzwerk-Switch finden Sie unter VLANs auf einem verwalteten Netzwerk-Switch konfigurieren.
• Weitere Informationen zu VLANs auf einer Firebox finden Sie unter VLANs auf einer Firebox konfigurieren.
• Weitere allgemeine Informationen zu VLANs und WatchGuard Fireboxen finden Sie unter Über virtuelle lokale Netzwerke (VLANs).

Beispiel für ein WLAN mit getrennten VLANs

Um Datenverkehr zwischen Ihren privaten und Gast-Wi-Fi-Netzwerken zu trennen, können Sie diese VLAN IDs dem Management-Datenverkehr für Access Points und Ihren privaten und Gast-WLAN-SSIDs zuweisen:

• Management VLAN — In den meisten Umgebungen ist der Management VLAN-Datenverkehr für Access Points in der Regel Untagged, um eine Trennung der Access Points vom WLAN-Verwaltungszugriff zu verhindern. In der Standardkonfiguration benötigt der Access Point beim Hinzufügen zu WatchGuard Cloud eine Verbindung zu einem Untagged VLAN-Netzwerk, um sich mit dem Internet zu verbinden und mit WatchGuard Cloud zu kommunizieren.
  
  Wenn Sie ein Tagged Management VLAN für Ihre Access Point-Bereitstellung verwenden möchten, stellen Sie sicher, dass der Access Point bereits mit dem Netzwerk verbunden ist und mit WatchGuard Cloud über ein nicht Untagged VLAN kommuniziert, bevor Sie das Management VLAN in ein Tagged VLAN ändern.
  In diesem Beispiel verwenden wir VLAN-ID 10 für die Verwaltungskommunikation mit dem Access Point.

• Privates WLAN-Netzwerk (VLAN-ID 20) — Tagged VLAN für die private SSID für WLAN-Verbindungen zu Ihrem vertrauenswürdigen Netzwerk.

• Gast-WLAN-Netzwerk (VLAN-ID 30) — Tagged VLAN für die Gast-SSID für den WLAN-Gastzugang zum Internet.

Ein Management VLAN auf einem Access Point konfigurieren

Bevor Sie ein Tagged VLAN für die Verwaltungskommunikation mit einem Access Point konfigurieren, stellen Sie sicher, dass der Access Point zunächst über ein Untagged VLAN-Netzwerk eine Verbindung zum Netzwerk und zum Internet herstellen kann.

In der Standardkonfiguration benötigt der Access Point eine Verbindung zu einem Untagged VLAN-Netzwerk, um sich mit WatchGuard Cloud zu verbinden und eine Konfiguration zu erhalten.

So konfigurieren Sie ein Tagged VLAN für die Verwaltungskommunikation mit einem Access Point in WatchGuard Cloud:

1. Verbinden Sie den Access Point mit einem Netzwerk mit einem Untagged VLAN, das Zugriff auf das Netzwerk und das Internet hat.
   Dadurch kann der Access Point die Verbindung zum Netzwerk aufrechterhalten, nachdem er die Konfiguration von WatchGuard Cloud erhalten hat.
2. Wählen Sie Konfigurieren > Geräte.
3. Wählen Sie einen Cloud-verwalteten Access Point.
4. Wählen Sie Gerätekonfiguration.
5. Wählen Sie in der Kachel Einstellungen die Option Geräteeinstellungen.

6. Markieren Sie das Kontrollkästchen Management VLAN aktivieren.
7. Wählen Sie eine VLAN-ID zwischen 1 und 4094.
   In diesem Beispiel verwenden wir VLAN 10.
8. Klicken Sie auf Speichern.
9. Stellen Sie die Konfiguration für den Access Point bereit.

Wenn Ihr Untagged Management VLAN-Netzwerk keinen Internetzugang hat, müssen Sie die VLAN-Einstellungen für das Management VLAN manuell über die CLI (Befehlszeilenschnittstelle) des Access Points konfigurieren. Wenn Sie die Konfiguration über die CLI auf dem Access Point speichern und das Gerät auf dem richtigen VLAN konfiguriert ist, kann das Gerät eine Verbindung zu WatchGuard Cloud herstellen und die Cloud-Konfiguration empfangen. Weitere Informationen finden Sie unter Access Point-Befehlszeilenschnittstelle.

10. Updaten Sie Ihre Netzwerkgeräte, wie z. B. Ihren Netzwerk-Switch, Ihre Firebox oder andere Netzwerkgeräte, damit sie dieselbe Tagged VLAN-ID verwenden.

VLANs auf einer SSID konfigurieren

So konfigurieren Sie ein Tagged VLAN auf einer WLAN-Netzwerk-SSID in WatchGuard Cloud:

1. Wählen Sie Konfigurieren > Geräte.
2. Wählen Sie einen Cloud-verwalteten Access Point.
3. Wählen Sie Gerätekonfiguration.
4. Wählen Sie in der Kachel WLAN-Netzwerke die Option SSIDs.
5. Wählen Sie eine vorhandene SSID für Ihr privates WLAN-Netzwerk aus oder erstellen Sie eine neue SSID.
6. Markieren Sie im Abschnitt Netzwerk der WLAN-Konfiguration das Kontrollkästchen VLAN aktivieren.
7. Wählen Sie eine VLAN-ID zwischen 1 und 4094.
   In diesem Beispiel verwenden wir VLAN 20 für das private Wi-Fi-Netzwerk.

8. Klicken Sie auf Speichern.
9. Wiederholen Sie diese Schritte, um die VLAN-ID für Ihr Gast-WLAN-Netzwerk auf 30 festzulegen.

10. Stellen Sie die Konfiguration für den Access Point bereit.
11. Updaten Sie Ihre Netzwerkgeräte, wie z. B. Ihren Netzwerk-Switch, Ihre Firebox oder andere Netzwerkgeräte, damit sie dieselben Tagged VLAN-IDs verwenden.

VLANs auf einer Firebox konfigurieren

Falls Sie Ihren Access Point an eine Firebox-Schnittstelle anschließen, müssen Sie VLANs auf den Firebox-Schnittstellen konfigurieren, um das VLAN-Tagging für Ihre SSIDs zu ermöglichen.

Legen Sie für die Firebox-Schnittstelle, an die der Access Point angeschlossen wird, den Schnittstellentyp als VLAN fest. Konfigurieren Sie dann die VLANs, die für den Access Point genutzt werden sollen.

Informationen zum Erstellen eines VLAN auf einer Firebox finden Sie unter Konfigurieren von Firebox-VLANs.

• Konfigurieren Sie die von den einzelnen SSIDs genutzten VLANs auf der Firebox so, dass Tagged-Datenverkehr an die VLAN-Schnittstelle gesendet wird.
• Wenn Ihre Access Point-Verwaltungsverbindung als Untagged VLAN konfiguriert ist (keine Management VLAN-ID konfiguriert), konfigurieren Sie auf der Firebox ein VLAN, über das die Access Point-Verwaltungsverbindung Untagged-Datenverkehr an die VLAN-Schnittstelle sendet.
• Wenn Sie ein Tagged Management VLAN für Ihren Access Point aktivieren, konfigurieren Sie auf der Firebox ein VLAN, über das die Access Point-Verwaltungsverbindung den Tagged-Datenverkehr an die VLAN-Schnittstelle sendet.
• Aktivieren Sie für jedes VLAN DHCP-Server oder DHCP-Relay.
• Der Access Point erhält eine IP-Adresse vom DHCP-Server am VLAN, das für die Verwaltungskommunikation verwendet wird.
• WLAN-Clients erhalten bei der Verbindung mit einer SSID eine IP-Adresse vom DHCP-Server auf dem VLAN für diese SSID.

VLANs auf einem verwalteten Netzwerk-Switch konfigurieren

Falls Sie VLAN-Tagging aktivieren und Ihren Access Point mit einem Managed Switch verbinden wollen, müssen Sie auch auf dem Switch VLANs konfigurieren. Der Switch muss VLAN-Tagging gemäß 802.1Q unterstützen.

Auf dem Switch müssen Sie Folgendes tun:

1. VLANs hinzufügen, deren IDs mit den auf den Access Points und SSIDs konfigurierten IDs übereinstimmen.
2. Die mit dem Access Point verbundenen Switch-Schnittstellen so konfigurieren, dass sie getaggten Datenverkehr für die den SSIDs zugewiesenen VLANs senden und empfangen können.
3. Wenn Sie ein Tagged Management VLAN für Ihren Access Point aktivieren, konfigurieren Sie die Switch-Schnittstellen, die mit dem Access Point verbunden sind, so, dass sie den für die Access Point-Verwaltung erforderlichen Tagged-Datenverkehr senden und empfangen können.

Eine Anleitung zur Aktivierung und Konfiguration von VLANs entnehmen Sie bitte der Dokumentation für Ihren Netzwerk-Switch.

Falls Sie VLAN-Tagging für die SSIDs auf Ihrem Access Point aktiviert haben, verbinden Sie Ihren Access Point nicht mit einem Switch, der VLAN-Tagging gemäß 802.1Q nicht unterstützt.

Ähnliche Themen

SSID-Einstellungen von Access Points konfigurieren

Geräteeinstellungen von Access Points konfigurieren