Access Points mit VLANs einrichten
Alle Tags (Access Points AP300 VLAN WatchGuard-Wi-Fi WLAN )
Dieser Artikel berschreibt die Einrichtung mehrerer WLANs mit unterschiedlicher SSID und getrennten VLANs, um sie auf der Watchguard mit entsprechenden Policies sehr sauber getrennt managen zu können.
Benötigte Hardware:
- 1 Watchguard Firebox
- 1 oder mehrere Access Points (hier wurden zwei AP300 verwendet)
- 1 VLAN-fähiger PoE-Switch, verwendet wurde ein Netgear GS108PEv3 (8 Port Gbit, davon 4 Port PoE, VLAN-fähig)
IP-Konfiguration
In diesem Beispiel verwende ich das Subnetz 192.168.200.0/24 Subnetz, das weiter unterteilt wird wie folgt:
| Subnetz/IP auf Watchguard | Name/Verwendung | VLAN-ID | tagged/untagged | DHCP-Range |
|---|---|---|---|---|
| 192.168.200.1/28 | AP-Discovery | 1 | untagged | 192.168.200.5-14 |
| 192.168.200.17/28 | AP-Config | 1042 | tagged | 192.168.200.20-30 |
| 192.168.200.65/26 | AP-Guests | 1001 | tagged | 192.168.200.70-126 |
| 192.168.200.129/25 | AP-Intern | 1000 | tagged | 192.168.200.130-250 |
Konfiguration des Switches
| VLAN.ID | Port 1 PoE | Port 2 PoE | Port 3 PoE | Port 4 PoE | Port 5 | Port 6 | Port 7 | Port 8 |
|---|---|---|---|---|---|---|---|---|
| 1 | untagged | untagged | untagged | untagged | untagged | untagged | untagged | untagged |
| 1042 | tagged | tagged | tagged | |||||
| 1000 | tagged | tagged | tagged | |||||
| 1001 | tagged | tagged | tagged |
Der Switch wird fest auf eine IP im AP-Discovery-Netz konfiguriert (hier 192.168.200.2). Der Netgear Switch ist leider nur untagged zu erreichen. Die Verkabelung wie fogt; Die beiden APs sind auf Port 1 und 2 über PoE mit Netz und Strom versorgt. Die Watchguard wird an Port 7 angeschlossen (man kann auch die VLANs >=1000 auf allen ports taggen, damit der Switch einheitlich konfiguriert ist und für weitere APs vorgesehen ist.
Konfiguration der Watchguard / Einrichten der VLANs
- Das Interface für die WLAN-Accesspoints wird auf VLAN konfguriert
- die oben angegebenen VLANs werden mit den entsprechenden DHCP-Ranges eingerichtet.
Die VLANs 1 und 1042 werden auf “optional” gesetzt, denn nur dort funktioniert das Discovery der APs.
- Der Haken für Interface empfängt UNTAGGED als VLAN wird gesetzt und das VLAN 1 ausgewählt.
- Unter Network => Gateway Wireless Controller => Haken für Enable setzen.
- in den Settings: Passphrase angeben, Enalbe Manament VLAN Tagging => VLAN ID: 1042 einstellen
- gewünschte SSIDs hinzufügen => SSID Firmennetz => Enable VLAN tagging: ID 1000
gewünschte SSIDs hinzufügen => SSID Gaestenetz => Enable VLAN tagging: ID 1001
- Security des jeweiligen SSID einstellen, Accesspoints zuweisen
Funktionsweise – Übersicht
- Ein AP-300 wird ausgepackt und an den PoE-Switch angeschlossen.
- Er erhält eine IP aus dem Discovery-Netz
- Das Pairing wird durchgeführt, die Konfiguration geschrieben
- der AP erneuert seine Netzwerkkonfiguration und kommt ins 42er VLAN
- der AP erhält eine neue IP aus dem Management VLAN
- der AP ist online
Einrichten eines WLAN Hotspot mit User/Passwort Tickets - BOC WatchGuard Info-Portal
HOWTO: Gateway Wireless Controller aktivieren und konfigurieren - BOC WatchGuard Info-Portal