KUNDE
ÖJAB – Österreichische Jungarbeiterbewegung
BRANCHE
Gemeinnützige Jugendarbeit, Seniorinnen- und Seniorenarbeit, europäische Bildungsarbeit und Entwicklungszusammenarbeit
HERAUSFORDERUNGEN
AUFGABENSTELLUNG
Planung und Umsetzung einer LAN- und WLAN-Infrastruktur mit eigenem, abgegrenztem Netzwerk pro Zimmer
UNSERE LEISTUNG
Netzwerk-Konzeptionierung, Subnetting, Routing, Authentication
RAHMENBEDINGUNGEN
Da das betroffene Objekt primär als Studierendenheim genutzt wird, hatte für den Kunden die Trennung des Netzwerkverkehrs besondere Priorität. Die Beeinflussung der Internetgeschwindigkeit durch einzelne Bewohner sollte ebenso ausgeschlossen werden wie die Sichtbarkeit von Endgeräten, die nicht im Besitz des jeweiligen Zimmerbewohners stehen.
Zusätzlich galt es, Verwaltung und ausgewählten Arbeitsgruppen im Haus eine garantierte Mindestbrandbreite einzurichten, um vom Surfverhalten der Studierenden unbeeinflusst arbeiten zu können. Die diesbezügliche Trennung der Netzwerke war im Umsetzungsprozess natürlich inbegriffen.
Alle Anforderungen im Überblick:
- ein eigenes Netzwerk pro Zimmer
- priorisierte Bandbreite für Verwaltung und ausgewählten Arbeitsgruppen im Haus (darunter auch ein Coworking Space)
- faire und durchdachte Aufteilung der WAN-Bandbreite
- persönlicher Zugriff auf seine privaten LAN-Geräte im Zimmer über WLAN im ganzen Gebäude
- Zugriffsmöglichkeiten auf ausgewählte Steuerdienste (z.B. RFID-Türen) für den Verwaltungsbereich
- möglichst geringer Hardwareeinsatz
LÖSUNG
Um die Zahl der eingesetzten Hardwarekomponenten gering zu halten und dennoch die erforderliche Anzahl an benötigten Netzwerken zu erreichen, war der Einsatz von VLANs unabdingbar. Dabei wurde jedem Zimmer ein eigenes virtuelles Netzwerk mit einer /24er Subnetmask zugeteilt. Für die kabelgebundenen Clients konfigurierten wir die benötigten Dosen fix auf die jeweiligen VLANs.
Im Bereich WLAN gestaltete sich die Situation allerdings komplexer: Um einem WiFi-Client ein VLAN zuweisen zu können, bedarf es entweder einer SSID pro Zimmer oder eines Benutzers, der an einem Server authentifiziert werden muss. Da wir aus Erfahrung wissen, dass eine Häufung von SSIDs an einem Standort zu einer schlechteren Performance pro WLAN führt, fiel unsere Wahl auf die User-Authentifizierung. Um Lizenzkosten vorzubeugen und den Administrationsaufwand gering und nachvollziehbar zu halten, entschieden wir uns dabei bewusst gegen ein Microsoft Active Directory und für einen Radius-Server mit Web-Frontend. Damit wird Verwaltenden mit wenig IT-Kenntnissen die Möglichkeit gegeben, in einer übersichtlichen Weboberfläche User und Passwörter anzulegen und sie einem bestimmten VLAN zuzuordnen.
Auf den Accesspoints, die ein flächendeckendes WLAN am Standort ausstrahlen, wurde in einem weiteren Schritt eine SSID mit WPA2-Enterprise angelegt, wobei wir den Radiusserver als Authentifizierungsstelle angaben. Meldet sich ein Client im WLAN an, erfolgt eine Abfrage der Credentials (Benutzername + Passwort). Tippt sie der Anwender ein, leiten die Accesspoints den Request an den Radiusserver weiter, der die angegebenen Credentials mit seiner Datenbank abgleicht. Sind die Logindaten korrekt, sendet dieser eine Anfrage zum Start einer Usersession an den Accounting-Server (in diesem Fall die Firewall). Dem Client wird nun mitgeteilt, in welchem VLAN er sich befindet. Anschließend wird via DHCP nach einer IP-Adresse gefragt. Dabei ist firewallseitig definiert, dass kein Internet-Traffic aus den Zimmernetzen erlaubt ist, solange keine aktive Useranmeldung besteht. Somit wird eine Umgehung der Authentifizierung ausgeschlossen.
Gästen im Haus steht eine eigene SSID mit PSK (Passwort) zur Verfügung, über die Benutzer in ein eigenes Gästenetzwerk verbunden werden.
Durch die Aufteilung der Netzwerkinfrastruktur in VLANs ist eine klare Abtrennung der einzelnen Zimmer und Dienstleister gegeben. Damit lässt sich ein durchdachtes Trafficshaping mit Bandbreitenpriorisierung für bestimmte Netze – wie Verwaltung und eingemietete Arbeitsgruppen – einrichten. Über Firewallregeln kann der Netzwerkverkehr letztlich sogar so weit eingeschränkt werden, dass jedes Unternehmen ausschließlich auf die von ihm benötigten Dienste Zugriff erhält, die Netzwerke sonst aber keinen Einfluss aufeinander nehmen.
ERGEBNIS
Mit der etablierten Lösung konnte GEKKO it-solutions den Anforderungen des Kunden in allen Aspekten gerecht werden. Das Ergebnis spricht für sich:

Jens Tersteegen
Spezialist für
Netzwerk-Konzeptionierung
Die Planung einer Netzwerkinfrastruktur ist stark von den Anforderungen eines Kunden abhängig. Auch komplexe Systeme lassen sich durch eine gute Konzeption und unter Einsatz der richtigen Technologien effizient umsetzen.