Verbindungen zwischen WLAN-Clients verhindern

1894Aufrufe 30. Juli 2020 0

Motivation

Innerhalb eines Firmennetzwerks ist es durchaus üblich, dass direkte Verbindungen zwischen einzelnen Client-Endgeräten, wie z.B. PCs, Telefonen, Smartphones erlaubt sind. Dies bringt insbesondere bei VoIP-Verbindungen (Telefone, Softphones aber auch Collaboration-Clients wie MS Teams und andere) den Vorteil mit sich, dass die Pakete der Audioverbindung direkt zwischen den Endgeräten übermittelt werden und nicht den Umweg über eine Telefonanlage oder sogar einen entfernt stehenden Server nehmen müssen.

Anders sieht die Situation in Gastnetzwerken (LAN/WLAN) aus. Dort gilt es, die Kommunikation zwischen den einzelnen Clients unbedingt zu verhindern, da alle Clients grundsätzlich als nicht vertrauenswürdig eingestuft werden müssen.

In der Konfiguration des WLAN-Controllers (Wirelss LAN Controller->Slave-AP-Konfiguration->Drahtlosnetzwerke (VSS)) können Sie für jede einzelne SSID festlegen, ob die Kommunikation zwischen den WLAN-Clients zugelassen oder unterbunden wird. Ist der Funktion “Intra-cell Repeating” deaktiviert, sind keine direkten Verbindungen zwischen den Clients möglich.

Intra-cell Repeating

Intra-cell Repeating (deaktiviert)

Diese Einstellung wird vom WLAN-Controller an die Access Points übertragen und ist dort sofort aktiv. Allerdings wird dadurch in Umgebungen mit mehreren Access Points nicht verhindert, dass eine Kommunikation zwischen den Clients zweier verschiedener Access Points weiterhin möglich ist, da die Clients nicht direkt durch den AP verbunden sind, sondern über die darunterliegende Switch-Infrastruktur.

PrivateVLAN Netzwerkübersicht

PrivateVLAN Netzwerkübersicht

Umsetzung

Die bintec elmeg Switches der Serie ESW4000 haben eine Funktion “Traffice Segmentation”, die ähnlich arbeitet wie “Intra-cell Repeating” auf den Access Points. Hier werden jeweils Uplink- und Downlink-Ports festgelegt. Die Uplink-Ports in der Switch-Konfiguration entsprächen dem LAN-Port des Access-Points und die Downlink-Ports des Switchs der WLAN-Schnittstellen des APs. Die Downlink-Ports sind die Ports an denen die Clients verbunden sind. Uplink-Ports sind die Ports, die die Verbindung zur weiteren Infrastruktur oder des Routers herstellen.

Port-Rollen festlegen

In diesem Beispiel sind die Access Points an den Ports 2 und 4 des Switches angeschlossen und eine be.IP Plus als Router und WLAN-Controller an Port 9.

Legen Sie also zuerst den Port 9 als Uplink-Port fest.  Melden Sie sich dazu im Webinterface des Switches an und wechseln in den Bereich “Traffic Segmentation”. Dort wählen Sie oben als Step “Configure Session” und als Action “Add”.

Tragen Sie eine Session ID (in der Regel 1) ein, wählen Sie “Uplink” als “Direction” aus. Anschließend tragen Sie den Uplink-Port oder eine Reihe von Uplink-Ports ein:

Uplink-Port(s) festlegen

Uplink-Port(s) festlegen

Nach der Bestätigung durch einen Klick auf “Apply” wird die Eingabemaske wieder geleert und Sie können weitere Einträge vornehmen.

Unter der gleichen ID wie zuvor wählen Sie nun “Downlink” als “Direction” aus. Tragen Sie nun einen einzelnen Port oder eine Reihe von Ports ein:

Downlink-Port(s) festlegen

Downlink-Port(s) festlegen

Sollten Sie weitere einzelne Downlink-Ports hinzufügen, wiederholen Sie den letzten Schritt.

Die eingerichteten Ports können Sie sehen, wenn Sie oben “Show” als “Action” auswählen:

Traffic Segmentation anzeigen

Traffic Segmentation anzeigen

Traffic Segmentation global aktivieren

Nach der Konfiguration der Traffic Segmenation Session müssen Sie die Funktion nun noch systemweit aktivieren. Im Bereich “Traffic Segmentation” wählen Sie “Configure Global” als “Step”.

Aktivieren Sie die Funktion durch Aktivieren der Checkbox “Enabled”. Sollten Sie mehrere Uplink-Ports können Sie noch festlegen, ob Verbindungen zwischen verschiedenen Uplink-Ports unterbunden (Blocking) oder zugelassen (Forwarding) sein sollen.

Traffic Segmentation aktivieren

Traffic Segmentation aktivieren

Nach einem Klick auf “Apply” ist die Konfiguration sofort aktiv. Wenn alles funktioniert wie gewünscht, denken Sie daran die Konfiguration bootfest zu speichern.

Hinweis

Achtung! Während die beschriebene Funktion beim WLAN Access Point je VSS/SSID aktiviert oder deaktiviert werden kann, ist dies am Switch (hier je VLAN) nicht möglich. Die Funktion der Traffic Segmentation gilt grundsätzlich zwischen den gewählten Switchports. Eine Eingrenzung auf einzelne VLANs (z.B. auf das Gast-VLAN) ist leider nicht möglich. Diese Funktion ist angekündigt, ein Datum für die Freigabe kann derzeit aber noch nicht abgeschätzt werden.