Das „WLAN-Problem“ besteht immer noch in vielen Firmen. Wie kann ich kosteneffektiv ein Campus-WLAN aufbauen? Oft findet man hier Lösungen von Cisco oder Aruba (HPE) – aber ein Cisco Accesspoint kostet über 500€ – und das nur einer! Dazu dann der Controller, Lizenzen etc. – da ist man schnell bei über 20.000€. Genauso sieht es bei den neuen Marktbegleitern aus dem UTM-Markt aus.
Es gibt aber Alternativen! Man muss natürlich ein paar Abstriche machen – das ist klar. Ein 150€ Gerät kann nicht alle Funktionen eines 500€ Gerätes bieten, aber alles in allem hat Ubiquiti mit seiner Unifi-Reihe eine gute Alternative auf den Markt gebracht. Bei einem unserer Kunden bauen wir gerade ein firmenweites WLAN über das gesamte Werksgelände auf – und das soll in dieser Serie beschrieben werden.
Zielstellung
Das Ziel ist es, das gesamte Gelände mit WLAN abzudecken um so die Datentarife der Firmenhandys zu entlasten, ein flächendeckendes Gast-WLAN zur Verfügung zu stellen und Handscannern in der Produktion das direkte Buchen im ERP System zu ermöglichen. Drei sehr verschiedene Anwendungszwecke, doch mit den Ubiquiti Accesspoints können wir all dies abbilden.
Die Authentifizierung soll je nach WLAN-Netzwerk mit RADIUS Authentifizierung, Voucher Codes oder Zertifikaten erfolgen. Die Zertifikate werden über das Mobile Device Management (MDM) System oder Windows Gruppenrichtlinien auf die Geräte verteilt.
Die Umgebung
Das Netzwerk besteht aus einer Sophos XG Firewall, HP Switchen und Ubiquiti Accesspoints (UAP-AC-PRO). In diesem Fall wird das Hotspot Portal des Gast-WLANs über die Sophos XG und nicht die Unifi Software bereit gestellt.
Das Konzept
Über das vorhandene Netzwerk werden drei VLANs gespannt, die für die WLAN SSIDs zuständig sind:
Die drei SSIDs werden von allen Accesspoints ausgestrahlt, sodass dank „zero-handoff“ Roamings zwischen den Accesspoints gewechselt werden kann, ohne die Verbindung zu verlieren. So sollen sogar Skype-Anrufe das Roaming überstehen – das werden wir definitiv testen. Durch die VLANs ist der Netzwerktraffic sauber voneinander getrennt und kann an der Firewall terminiert sowie gefiltert werden. Dadurch ist sichergestellt, dass der Zugriff in das interne Netzwerk nur über VPN möglich ist – eine direkte Verbindung aus dem WLAN gibt es nicht. Auf den Handscannern wird ein zertifikatsbasiertes SSL-VPN bei Bedarf automatisch im Hintergrund aufgebaut.
In den nächsten Teilen folgt dann die Detailplanung sowie die technische Umsetzung mithilfe der Unifi Software und Ubiquiti Accesspoints.
Enterprise WLAN Teil 2 – Der Netzwerkaufbau
Enterprise WLAN Teil 3 – Die Einrichtung der Unifi Software
