Toon posts:

Nieuw WLAN infrastructuur voor MKB

Pagina: 1
Acties:

donderdag 26 november 2009 12:04

Acties:

Verwijderd

Topicstarter
Case:
Bedrijf van ~100 man wil een nieuwe WLAN infrastructuur. Er liggen nu een paar huis-tuin-keuken wlan routers waarvan iedereen de WPA key kent. Ex medewerkers kunnen dus zonder pardon naast het pand gaan staan en op het netwerk inloggen. Onwenselijk dus, en toe aan vervanging.

Wensen:
Er moet een fatsoenlijk draadloos netwerk komen, het liefst op basis van Cisco apparatuur (netwerk standaard binnen het bedrijf). Het netwerk moet verbeterd worden op de volgende gebieden:
- Betere security
- Integratie met een WLAN gedeelte voor gasten.
- Makkelijk in te stellen voor de eindgebruikers. (evt toegangscodes voor tijdelijke gasten access)
- Overzichtelijk, en eenvoudig in beheer.

Vragen:
- Er draait een radius server (op windows 2008), is het aan te raden om radius te gebruiken? Of zijn er makkelijkere/betere/veiligere alternatieven?
- Kan ik met Cisco devices , zowel productie als gasten WLAN aanbieden op 1 device, en toch het netwerk gescheiden houden?
- Hoe moet ik de kanalen afstemmen? Alles op 1 frequentie of juist verdeelt over meerdere frequenties?
- Welke apparatuur heb ik nodig?

Ik heb de Cisco advisor gedraaid, en ik kom uit op de volgende producten:
- Wireless LAN Controller 2106
- Cisco Aironet 1130G (qua bereik nog bereken hoeveel ik er nodig heb)
Is dat goed spul voor mijn wensen? moet ik nog aan andere zaken denken?

Nu vraag ik me af hoe ik de boel dan moet aansluiten, hang ik alle apparaten gewoon in mijn lan? En moet ik de aironets verwijzen naar de controller, of moeten de aironets direct gepatched worden op de controllers?

Hoe moet ik omgaan met het gasten WLAN, dit is fysiek een ander netwerk, kan ik de controller in 2 netwerken hangen? En kunnen de aironets 2 wlan’s broadcasten?

donderdag 26 november 2009 12:14

Acties:
  • ralpje
  • Registratie: November 2003
  • Laatst online: 10:15

ralpje

Deugpopje

Verwijderd schreef op donderdag 26 november 2009 @ 12:04:

Vragen:
- Er draait een radius server (op windows 2008), is het aan te raden om radius te gebruiken? Of zijn er makkelijkere/betere/veiligere alternatieven?
De cisco kan je voor zover ik weet via built-in systeem authenticeren, maar ook op een Radius.
- Kan ik met Cisco devices , zowel productie als gasten WLAN aanbieden op 1 device, en toch het netwerk gescheiden houden?
Ja, je krijgt gewoon verschillende SSID's die gebroadcast worden. Afhankelijk van welk SSID je gebruikt, kom je op een bepaald VLAN. Eventueel kan dit ook nog op mac-adres gebeuren, geloof ik.
- Hoe moet ik de kanalen afstemmen? Alles op 1 frequentie of juist verdeelt over meerdere frequenties?
Dat regelt de controller voor je.
- Welke apparatuur heb ik nodig?

Ik heb de Cisco advisor gedraaid, en ik kom uit op de volgende producten:
- Wireless LAN Controller 2106
- Cisco Aironet 1130G (qua bereik nog bereken hoeveel ik er nodig heb)
Is dat goed spul voor mijn wensen? moet ik nog aan andere zaken denken?
Precies wat ik wilde adviseren :) Als je nu al een (door middel van VLAN's?) gescheiden productie- en bezoekersnetwerk hebt, of in ieder geval routerende switches waarmee je dat kan maken, heb je alles wat je nodig hebt.
Nu vraag ik me af hoe ik de boel dan moet aansluiten, hang ik alle apparaten gewoon in mijn lan? En moet ik de aironets verwijzen naar de controller, of moeten de aironets direct gepatched worden op de controllers?
De aironets komen in het lan, met de controller. Je programmeert ze om naar het IP-adres van de controller te kijken, de config krijgen ze daarvandaan.
Hoe moet ik omgaan met het gasten WLAN, dit is fysiek een ander netwerk, kan ik de controller in 2 netwerken hangen? En kunnen de aironets 2 wlan’s broadcasten?
De controller kan verschillende VLAN's aan. Je kunt zoveel SSID's aanmaken als je wilt, en afhaneklijk van het SSID waar je op connect, kom je in een bepaald VLAN terecht.

Disclaimer: mijn collega heeft een tijdje terug een implementatie van dit spul gedaan, ik heb er zelf nog niet mee kunnen spelen, helaas.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 26 november 2009 12:24

Acties:

Verwijderd

Topicstarter
Thx voor het duidelijke verhaal.

Het feit is: we hebben nu geen gasten VLAN, maar een fysiek gasten LAN. Echter zal dat niet zo'n probleem zijn, alle apparatuur kan VLAN's aan. dus moeten we dat maar aan gaan maken.

donderdag 26 november 2009 23:48

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Zie ook deze post.

Authenticatie van wireless netwerken wordt vaak gedaan op basis van IEEE 802.1X. dot1X kan je in een later stadium eventueel ook op het wired netwerk configureren. Hiervoor heb je een RADIUS server nodig zoals Cisco ACS of ACS Express. Microsoft IAS kan je eventueel ook gebruiken.
Je Microsoft AD omgeving kan je integreren met de RADIUS server, zodat je hier mee je users kan managen.

Als je ook wil checken op bijvoorbeeld de status van de AV, services packs, patches, enz. dan kan je kijken naar Cisco NAC. Voldoen clients niet aan de policies, dan komen ze niet het netwerk op en worden ze in een guest VLAN geplaatst. Hier kunnen ze updates downloaden, zodat ze wel aan de policies voldoen.

Maar dot1X is een goede start om je netwerk te beveiligen.

Vaak worden er 3 VLAN's / SSID's aangemaakt (of meer als je dat zou willen):
- Data
- Voice (voor voice over Wifi)
- Guest

Op Cisco WLAN Controllers kan je met de Lobby Ambassador functie tijdelijke login codes genereren.

Eerst moet je kijken hoe het wireless netwerk je bedrijf kan ondersteunen:
- Zijn er barcode scanners die wireless moeten werken?
- Wil je het wireless netwerk gebruiken zodat je assets kan tracken?
( Active clients zoals laptops en barcode scanner en pasive clients zoals wifi tags op heftrucks, pallets, enz. )
- Ga je voice over wifi (VoWifi) doen doen? ( Access points moeten dan dichter op elkaar geplaatst worden. )
- Waar zitten de clients? Gebieden waar veel users zitten, hebben veel access points nodig.
( Wireless is namelijk een shared medium. )
- Hoeveel bandbreedte is vereist per client?
- Enz.

Met een wireless site survey kan je vervolgens bepalen waar en hoeveel AP's geplaatst moeten worden.
Ook aan de hand van bovenstaande info; wil je bijvoorbeeld VoWifi doen, dan wordt het wireless netwerk daarop "in-gemeten". Ook storende factoren worden dan meegenomen. ( Zoals andere AP's in de buurt.)
Niet active storingsbronnen zijn bijvoorbeeld betonstaal, machines, magazijn stellingen, andere stalen constucties, enz. Deze zaken worden duidelijk met een standaard site survey.

Als je dit echt uitgebreid wil doen dan kan je ook het spectrum analyseren. Maar bij een standaard kantooromgeving is dit niet nodig. ( Maar wel als er problemen zijn. ) DECT telefoons, magnetrons Bluetooth apparatuur zijn ook zaken die je alleen kan detecteren met een spectrum analyse.

Een wireless netwerk valt of staat met de juiste implementatie en een gedegen site survey
Met de Cisco Partner Locator kan je bepalen welke Cisco partners een wireless specialisatie hebben. (Onder "Specialization")

De 1130 is een aardig AP voor een standaard netwerk bij een indoor kantooromgeving. Deze doet A/B/G standaard. (Theoretisch dus max. 54 Mbps.) Een alternatief is de 1240. Deze is rugadized en geschikt voor magazijn en fabriekshallen. Bij dit AP moet je externe antennes bestellen. (voor zowel de A radio op 5 GHz als voor de G radio op 2.4 GHz.)

Wil je N doen (omdat dit een hogere throughput heeft) dan kan je kijken naar de AP1140 en de 1250.
( 1140 --> standaard AP, 1250 --> rugadized, antennes idem. )

Let wel op dat N AP extra veel PoE verbruiken. De 1140 gebruikt tegen de 15.4W en dit is de grens van wat een 2960 / 3560 / 3750 kan leveren. ( Maximaal 24x 15.4W = 370W per switch. 370W geld ook voor de 48 poorts PoE varianten !!! )

De 1250 gebruikt meer dan 15.4W als je beide radio's gebruikt. Om dit AP te voeden:
- Kan je de losse voeding er bij bestellen.
- Moet je switches gebruiken die enhanced PoE ondersteunen, zoals de 3560-E / 2750-E.
( Enhanced PoE is de nieuwe 802.3at standaard )
- PowerDsine midspans zijn eventueel ook een optie.
(Hiermee kan je een aantal poorten van Enhanced PoE voorzien.)

Daarnaast heb je gigabit switches nodig om de bandbreedte van N AP's aan te kunnen.
De 2100 WLAN controller is daarom ook ongeschikt, omdat hier alleen 10/100Mbps poorten op zitten.

Tussen het Light Weight AP en de WLAN controller wordt tunnel opgezet, dus al het wireless verkeer gaat door de WLAN controller. Voor N zijn de 4400 of 5500 WLAN controllers beter geschikt. ( SFP's zitten hier niet standaard en moet je los bestellen voor de uplinks naar je switches. )

De twee laatste cijfers van het model WLAN controller geeft het aantal AP's aan wat het ondersteund.
Dus 4402-12 --> 12 AP's, 5508-50 --> 50 AP's
De vet gedrukte cijfers geven het aantal SFP's aan wat je in de WLAN controller kan plaatsen.

Access Points kan je bestellen als autonoom AP, of als Light Weight AP. Die laatste moet je hebben als je met WLAN controllers wil werken. ( Hoewel je ze naderhand wel kan "omkatten" van AAP naar LWAP. )

Wireless N is mooi, maar de praktijk is dat het vaak 2x duurder is dan een klassiek A/B/G netwerk.
Daarnaast zijn er natuurlijk nog veel zaken waar je rekening mee moet houden, maar wat ik niet genoemd heb.

Meer info is te vinden op:
http://www.cisco.com/go/wireless

En dan doorklikken naar:
--> <Product> --> Datasheets voor product info
--> <Product> --> Configure voor configuration guides

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq