HOWTO: Best Practices/Empfehlungen Konfiguration von Access Points in der WatchGuard Cloud
Dieser Artikel soll eine Richtschnur liefern über die empfohlenen Einstellungen der WatchGuard Access Points. Diese hängen allerdings sehr von den Gegebenheiten vor Ort und der Art und dem Alter der WiFi-Clients ab.
Folgende Überlegungen sind wichtig:
- Die Netzwerkanbindung der Access Points und Konfiguration der VLAN’s
- Die Ordnerstruktur in der Cloud
- Die Erstellung einer Access Point Site
Ordner
Zur Verwaltung der Access Points in der Cloud ist es sinnvoll sich eine Ordnerstruktur zu überlegen! Hier macht bspw. Sinn: Firma (Mein Konto) – Standort – “APs”. Sie können auf das 3-Punkte Menü klicken um einen Ordner zu erstellen. Mehrere verschachtelte Ordner sind problemlos möglich.
Beim Hinzufügen eines neuen APs zur Cloud können Sie dann gleich den zuvor angelegten Ordner “APs” auswählen.
Netzwerkeinstellungen
Bei den Netzwerkeinstellungen besteht die Möglichkeit, dass sich der Access Point eine DHCP IP-Adresse zieht oder Sie weisen diesem eine statische IP-Adresse zu. Ich empfehle eine DHCP-Adresse, wenn Sie einen DHCP-Server in diesem Netzwerksegment verwenden. In meiner Labor-Umgebung erhält der AP eine Adresse vom DHCP-Server der Firewall. Die IP-Adresse habe ich zuvor als Reservierung auf der Firewall hinterlegt. So bleibe ich auf der einen Seite flexibel und doch ist der AP immer unter der selben IP-Adresse erreichbar.
Management-VLAN
Empfehlung: Management VLAN nicht aktivieren.
Ein Management VLAN bietet zwar die höchste Sicherheit, jedoch hat diese Einstellung einen großen Nachteil: Wenn Sie bei einem AP einen Reset durchführen oder anderweitig neu zu Ihrer Cloud-Konfiguration hinzufügen müssen, kennt der AP mit seinen werksseitigen Einstellungen, in diesem Augenblick, kein Management VLAN! Sie bekommen den AP dann nicht mehr verbunden ohne Konfigurationsanpassungen in der Cloud rückgängig machen zu müssen oder Sie müssten den AP an einen anderen Switch-Port ohne oder ungetaggten VLAN anschließen, ..der Cloud hinzuzufügen und dann wieder an den ursprünglichen Switch-Port zurückhängen. 🙁 Das ist nicht wirklich praktikabel!
Gerätekonfiguration (pro AP)
Achten Sie darauf das in den Radio-Einstellungen (pro AP) das richtige regulatorische Land ausgewählt ist.
Access Point Site
Fügen Sie den AP Ihrer Access Point Site hinzu.
Eine “Access Point Site” bietet ein Set an Konfigurations-Voreinstellungen. Nutzen Sie dieses Set als Schablone um mehreren APs die gleichen Einstellungen zu verpassen. Der Site können dann alle APs (bspw. eines Lager-Gebäudes oder einem Filial-Standort) zugewiesen werden. Mehrere Access Point Sites sind möglich. Das erspart Ihnen, für jeden AP einzeln, die SSID und weitere Einstellungen konfigurieren zu müssen. Ab der Access Point Firmware Release v2.2.22-0.B691305 können Sie auch die Radio-Einstellungen komfortabel für die Access Points über die Access Point Site definieren.
Access Point Site Einstellungen
Die Site Einstellungen finden Sie im Menü unter Konfigurieren / Configure.
Wi-Fi-Netzwerke / SSIDs
Empfehlung: Verwenden Sie möglichst pro SSID ein eigenes VLAN.
Für ein WiFi-Gast-Netzwerk soll der Traffic getrennt vom Produktiv-WiFi laufen. Hierfür nutze ich ein auf der Firewall konfiguriertes Gast-VLAN ID 40. Als Typ wählen wir überbrückt. Dadurch ziehen sich die Clients jeweils eine IP aus dem in der Firewall für VLAN ID 40 konfigurierten Netzwerkpool. Bei NAT würde der AP eine IP-Adresse beziehen, hinter dieser wären dann alle Gäste versteckt. Hier sind dann zusätzlich Netzwerkangaben notwendig. Sehr wichtig ist auch die Aktivierung der Funktion Client Isolation (Standard bei SSID-Typ: Gast) unter den erweiterten Einstellungen. Dadurch können die Clients im Gäste-WLAN sich nicht untereinander erreichen / sehen!
Beispiel: VLAN und Überbrückt (Empfehlung)
Beispiel: NAT
Bei WPA3
Bei WPA2
Sendereinstellungen / Radios-Settings
Bei den Radio-Settings empfehle ich 20 MHz bei der Kanalbreite, es sei denn, Sie haben einen sehr hohen Anwendungsdurchsatz in Lokationen mit geringer Dichte und einer kleinen Anzahl an WiFi-Geräten.
2.4 GHz
Den Standard 802.11b/g (veraltet) bitte abschalten, dieser ist veraltet und sollte nach Möglichkeit nicht verwendet werden. Dieser sollte nur bei alten WiFi-Clients genutzt werden, die sonst keine Verbindung zum AP erhalten und nicht ersetzt werden können, beispielsweise bei älteren mobilen Lager-Scannern und mobilen Druckern (dadurch werden andere schnellere WiFi-Clients im selben Netzwerk ausgebremst).
5 GHz
Den Standard 802.11a (veraltet) nur zulassen wenn Sie ältere WiFi-Clients mit der SSID verbinden müssen, die sich sonst nicht verbinden können.
Einstellungen / Settings
Geräteeinstellungen
In der Voreinstellung finden Sie unter den Einstellungen für die NTP-Server die weltweit zentralen Pools. Verwenden Sie hier besser Ihre nächsten regionalen Server, da ein exaktes Zeitsignal für die korrekte Funktion der APs wichtig ist. Verwenden Sie als ersten Eintrag den NTP-Server der Firewall (die NTP-Server Funktion muss auf der Firewall aktiviert sein, IP der Firewall im gleichen Segment wie die DHCP IP Adresse) und im weiteren zwei regionale Pools wie bspw. die folgenden aus Deutschland.
-
- IP der Firewall
- 0.de.pool.ntp.org
- 2.de.pool.ntp.org
Weiterführende Links
- Access point actions that result in a reboot of the device or a restart of the radios that disconnect wireless clients
- HOWTO: Access Point Factory Reset für AP130 AP330 AP332CR AP430CR AP432
Das könnte Sie auch interessieren: