Die Mist WLAN Access Points können allerhand – grundsätzlich sollen sie allerdings ein sicheres und zuverlässiges WLAN für den täglichen Gebrauch zur Verfügung stellen. Daher soll es an dieser Stelle genau darum gehen: Wie kann ein WLAN mit Mist eingerichtet werden? Dabei ist es trotz des Funktionsumfangs überraschend einfach ein WLAN einzurichten, denn die Optionen für das WLAN sind übersichtlich und intuitiv gestaltet.
Für den Guide wird davon ausgegangen, dass bereits ein Konto bei Mist besteht, eine Organisation angelegt und zumindest ein Access Point eingerichtet und einem Standort zugeordnet wurde.
In unserem Beispiel besteht bereits ein WLAN Netzwerk, dass alle Angestellten benutzen können. Dieses besitzt keine besonderen Einstellungen und ist den Angestellten über ein Passwort zugänglich. Zusätzlich soll ein Gastnetzwerk für Besucher erstellt werden. Um einen reibungslosen Arbeitsalltag zu ermöglichen und gleichzeitig die Sicherheit des Netzwerkes sicherzustellen, soll das Gastnetzwerk eine Reihe von Kriterien erfüllen:
- Das WLAN darf nur einen Teil der verfügbaren Gesamtbandbreite der Internetverbindung nutzen, um Firmenanwendungen nicht zu gefährden.
- Den Gästen soll eine eigenständige Anmeldung ohne Hinzuziehung von IT Personal oder Herausgabe eines Passworts ermöglicht werden, daher sollen sich die Gäste über ein Webportal anmelden.
- Der WLAN Zugang soll für jeden Gast zeitlich beschränkt werden. Nach diesem Zeitraum soll eine erneute Anmeldung nötig sein.
- Das WLAN soll lediglich zu den üblichen Geschäftszeiten zur Verfügung stehen.
- Das WLAN soll ausschließlich in dem Gebäudeteil, der für Besucher zugänglich ist, zur Verfügung stehen.
- Gastgeräte dürfen nicht auf andere Teilnehmer des Netzwerkes zugreifen.
Dieser umfangreiche Anforderungskatalog kann mit Mist innerhalb von Minuten umgesetzt werden. Wie dies genau geht, soll im Folgenden gezeigt werden. Im Anschluss findet sich ein Kompendium mit allen Optionen, die das Mist WLAN Interface bietet.
Die WLAN Übersicht
Über das seitliche Menü Network – WLANs befinden sich die bereits eingerichteten Drahtlosen Netzwerke sowie die Möglichkeit neue Netzwerke anzulegen.
In der Übersicht der bestehenden Netzwerke lassen sich die Informationen, wie in allen Übersichtsdarstellungen von Mist, anpassen. Hierzu kann auf das Sandwich-Icon in der rechten oberen Ecke geklickt werden. Dort kann ausgewählt werden, welche Informationen über das WLAN angezeigt werden sollen.
Um ein neues Netzwerk zu erstellen, wird in der rechten oberen Ecke der Button Add WLAN ausgewählt.
Das Konfigurationsmenü
Für die Einrichtung des neues WLANs öffnet sich eine neue Seite im Dashboard, die alle Konfigurationsmöglichkeiten auf einer Seite präsentiert.
Zuerst wird die SSID für das WLAN ausgewählt, für das Gastnetz wird die SSID Mist_Gast verwendet. Als Label wird ebenfalls Gast vergeben. Dieses Label kann später genutzt werden, um Sicherheitspolicies zu definieren.
Unter WLAN Status/Radio Band/Band Steering/Client Inactivity werden alle Optionen auf ihren Defaulteinstellungen belassen. Ebenso bei den Data Rates und den WiFi-Protocols.
Um die Bandbreite des WLAN zu beschränken, wird der Haken bei WLAN Rate Limit für den Up- und Downlink gesetzt und die gewünschte Datenrate eingetragen. Hier kann ein freier Zahlenwert eingetragen und zwischen Kbps und Mbps gewählt werden. Die Per-Client Bandbreite kann ebenfalls beschränkt werden. Dies ist besonders empfehlenswert, wenn viele Gäste erwartet werden und jedem Gast die gleiche WiFi-Qualität zur Verfügung gestellt werden soll. Die Datenrate für einzelne Anwendungen werden für unser Beispiel nicht beschränkt.
Da sich die Gäste über ein Onlineportal für das WLAN anmelden sollen, wird bei Security Open Access ausgewählt. Meldet sich ein Gast in dem WLAN an, wird er direkt auf das Anmeldeportal geleitet. Ein Zugriff auf das Internet ist erst nach Anmeldung im Gästeportal möglich.
Um das Gastportal einzurichten sind keine externen Dienste nötig. Hierzu wird unter Guest Portal die Option Show guest portal aktiviert und das Gastportal mit einem Klick auf Configure Portal konfiguriert. Natürlich ist auch die Nutzung eines externen Portals möglich, dieses kann unter Forward to external portal eingebunden werden.
Da dieses Gastnetzwerk ohne Passwort zugänglich sein soll, zugleich aber kein unbeschränkter Zugang auf das Internet gewährt werden soll, wird ein Anmeldeportal eingerichtet. Erst nach einer Anmeldung wird ein Zugang ins Internet gewährt. Für die Anmeldung sollen Name, Emailadresse und Firmenname verpflichtend angegeben werden. Der Nutzer bekommt dann durch die Option Authentication code via Email einen Anmeldecode zugesandt, der auf dem Portal eingegeben werden muss. Der Internetzugang wird daraufhin für 8 Stunden gewährt. All diese Optionen können über die Portalkonfiguration eingestellt werden. Externe Zusatzdienste sind nicht notwendig.
Da unser WLAN nur in bestimmten Bereichen des Unternehmens zur Verfügung stehen soll, wird das Gast-WLAN unter Apply to Access Points einzelnen Access Points zugeordnet. Hier kann entweder nach Labels ausgewählt werden oder es werden bestimmte APs ausgewählt.
Unter Isolation wird der Haken bei prohibit peer to peer communication gesetzt, um einen Zugriff auf andere Endgeräte im Netzwerk zu verhindern. Die Optionen unter Filtering können ebenfalls eingesetzt werden, um die Sicherheit weiter zu erhöhen. Da diese Optionen jedoch auch die Funktionsfähigkeit des WLANs gefährden können, muss hier abgewogen werden.
Zuletzt soll die Verfügbarkeit des WLANs beschränkt werden. Außerhalb der Geschäftszeiten und am Wochenende soll das WLAN nicht verfügbar sein, um einen möglichen Missbrauch durch Dritte zu unterbinden. Hierzu werden unter SSID Scheduling die gewünschten Zeiten eingetragen.
Dies waren alle notwenigen Schritte für die Konfiguration des Gast-WLANs. Die gesamte Konfiguration, abgesehen von dem Webportal, ist auf einer Seite einsehbar. Stimmen alle Einstellungen, kann mit Create in der rechten oberen Ecke bestätigt werden. Hiermit wurde das WLAN erstellt, das nach wenigen Minuten zur Benutzung zur Verfügung steht. Spätere Änderungen können jederzeit über das WLAN Menü vorgenommen werden.
Kompendium
SSID & Labels
Zuerst kann die SSID festgelegt werden. Zusätzlich kann dazu ein Label vergeben werden. Die Label dienen dazu Tags oder Gruppen zu bilden, die zur Erstellung von Security Policies genutzt werden können.
WLAN Status / Radio Band / Band Steering / Client Inactivity
Im nächsten Block können erste Einstellungen zum WLAN Status vorgenommen werden.
Hier kann das Netzwerk ein- und ausgeschalten werden sowie die die SSID versteckt werden. Die Option No Static IP Devices bietet die Möglichkeit Geräte auszuschließen, die mit einer statischen IP Adresse konfiguriert wurden und daher Netzwerkprobleme in einem dynamischen System hervorrufen können.
Unter Radio Band kann eingestellt werden, welche Frequenzen für das WLAN genutzt werden sollen. Es kann in gewissen Situationen kann es sinnvoll sein, getrennte 2,4 GHz/ 5 GHz Netzwerke zur Verfügung zu stellen, da 2,4 GHz deutlich höhere Reichweiten und 5 GHZ bessere Datenraten zur Verfügung stellt.
Unter Band Steering kann der Mist AI erlaubt werden, selbstständig zu entscheiden auf welchem Frequenzband Dualbandfähige Endgeräte kommunizieren.
Unter Client Inactivity kann eingestellt werden, nach wievielen Sekunden Inaktivität ein Client getrennt wird und sich nach dem Aufwachen neu anmelden muss.
Data Rates
In dem Block Data Rates kann ausgewählt werden, welche Datenraten genutzt werden. Ob niedrige Datenraten in einem drahtlosen Netzwerk blockiert werden sollten ist umstritten und abhängig vom Einzelfall. Mist erlaubt diese Einstellungen bei Wunsch einfach vorzunehmen.
Die Standardeinstellung erlaubt alle Datenraten. Wird No Legacy ausgewählt, werden im 2,4 GHz Frequenzbereich Geräte blockiert, die nur den 11b Standard beherrschen und somit das gesamte Netzwerk in der Geschwindigkeit drosseln. Bei der Einstellung High Density werden alle 2,4 GHz Clients und Clients mit schlechter Signalrate blockiert. Unter Custom Rates können eigene Datenraten im 2,4 GHz und 5 GHz WLAN erzwungen oder ausgeschlossen werden.
WiFi Protocols
Hier kann die Unterstützung für WiFi 6 ein- und ausgeschalten werden.
WLAN Rate Limit / Per-Client Rate Limit / Application Rate Limit
Hier können verschiedene Einstellung vorgenommen werden, um die Geschwindigkeit des WLANs einzuschränken. Diese können für das gesamt WLAN, einzelne Clients oder für bestimmte Anwendungen und Anwendungsgruppen wie Soziale Medien vorgenommen werden. So können beispielsweise Gast Netzwerke so eingestellt werden, dass sie nur einen kleinen Teil der verfügbaren Bandbreite erhalten und das eigentliche Netzwerk nicht beeinträchtigt wird. Ebenso können bestimmte Applikationen beschränkt werden, so dass etwa Betriebssystemupdates oder Streamingplattformen nicht die Gesamtperformance des Netzwerks beeinträchtigen.
Security / Fast Roaming
Unter dem Punkt Security finden sich eine ganze Bandbreite von Authentifizierungsmöglichkeiten. Bei der Verschlüsselung kann nur zwischen einem unverschlüsseltem und einem mit WPA-2 verschlüsselten Netzwerk gewählt werden. Eine WEP Verschlüsselung kann aufgrund der Unsicherheit der Methode nicht ausgewählt werden. Sollte ein WEP Netzwerk zwingend nötig sein, kann die Verschlüsselungsmethode vom Mist Support auf Anfrage freigeschalten werden.
Bei der Authentifizierung finden sich eine ganze Bandbreite von Möglichkeiten. Die meistgenutzte Variante ist wohl das Passwort, hier als Passphrase bezeichnet, dass bei Mist zwischen 8 und 64 Zeichen lang sein muss. Mit der Option WPA-2/EAP (802.1X) werden zusätzliche Optionen für Enterprise Lösungen freigeschalten. Hier bietet sich die Möglichkeit RadSec, RADIUS Accounting Server, NAS Identifier und NAS IP Address sowie CoA/DM Server einzusetzen.
Unter Fast Roaming kann der Standard 11r hinzugeschalten werden, der eine schnelle Authentifizierung zwischen den APs ermöglicht und somit für ein besseres Roaming sorgt.
VLAN
Die VLAN Einstellungen passen sich mit der Authentifizierungsmethode an. In Verbindung mit einer Radius Serverauthentifizierung lässt sich ein dynamisches VLAN erstellen.
Guest Portal
Hier können einfach spezielle Authentifizierungsmethoden für Gastnetzwerke erstellt werden. Mit der Option Show guest portal kann ein einfaches Portal konfiguriert werden, dass Gäste willkommen heißt und verschieden Möglichkeiten zur Anmeldung bietet. Das Portal kann nach eigenen Wünschen konfiguriert werden und bietet dazu die Möglichkeit weitere Authentifizierungsdienste wie Google, Facebook, Amazon oder Microsoft einzubinden. Zusätzlich gibt es die Möglichkeit auch über das Portal eine Passwortabfrage einzurichten oder Anmeldecodes über Email und Textnachrichten einzurichten. Zusätzlich kann die Dauer des Gastzuganges beschränkt werden. Natürlich kann auch ein externes Portal zur Authentifizierung eingerichtet werden.
Konfiguration Gastportal
Form Fields
Die Konfiguration des Portals ist ebenfalls einfach. Es kann ausgewählt werden welche Angaben für die Anmeldung gefordert werden. Neben Name, Emailadresse und Firmenname können zusätzliche Angaben gefordert werden, die dann unter Customize Label definiert werden.
Customize Label
Unter diesem Menüpunkt kann die Sprache des Portals abweichend von der Defaulteinstellung des Access Points eingestellt werden. Unter Message Text können Anweisungen oder Begrüßungen angepasst werden. Label Customization bietet die Option alle Textbausteine des Portals anzupassen. Mist bietet hier noch keine vordefinierten Labels in deutscher Sprache an.
Customize Layout
Unter diesem Menüpunkt lässt sich das Design des Portals anpassen. Hierbei kann auf das Mist Branding verzichtet werden und dem Firmendesign angepasst werden.
Authorization
Unter diesem Punkt kann die Authentifizierung ausgewählt werden. Neben einem Passwort können vom Mist Dashboard automatisiert Zugangscodes versendet werden oder externe Dienstleister integriert werden. Zusätzlich kann angepasst werden, wie lang der Zugang gültig bleibt.
Apply to Access Points
Hier kann ausgewählt werden welche Access Points das WLAN anbieten dürfen. Es wird unterschieden zwischen Allen, APs mit einem bestimmten Label und spezifischen APs. So macht es beispielweise Sinn, ein Gäste-WLAN nur bei den Access Points zur Verfügung zu stellen, die sich in Bereichen mit Besuchern befinden.
Isolation / Filtering
Diese beiden Optionen dienen der Sicherheit. Unter Isolation und Filtering wird verhindert, dass eine Kommunikation der Geräte untereinander möglich ist. Da diese Optionen jedoch die reibungslose Funktion des Netzwerkes beeinträchtigen können, sollte hier vorsichtig verfahren werden.
Custom Forwarding
Mit dieser Option kann erzwungen werde, dass der Traffic nicht über die Standardethernetports geleitet wird, sondern genau definierte Ethernetports verwendet werden. Zusätzlich kann ein L2TPv3 Tunnel gewählt werden.
SSID Scheduling
Über das SSID Scheduling kann ausgewählt werden, an welchen Tagen und zu welchen Uhrzeiten das WLAN zur Verfügung stehen soll.
QoS Priority
Mit dieser Option lassen sich die generellen Quality of Service Einstellungen für dieses WLAN überschreiben und nach den Kriterien Best Effort, Background, Video oder Voice einstellen.
AirWatch
Unter diesem Punkt lässt sich das Mobile Device Management Tool AirWatch für das WLAN hinzufügen.
Fragen? Fragen!
Ich bin Pablo Vertedor Sanchez aus dem HCD Vertriebsteam. Ich berate Sie gerne oder helfe Ihnen bei Fragen weiter. Sie erreichen mich telefonisch unter +41 58 590 110-0 oder per Kontaktformular.
Jetzt beraten lassen