Ebenfalls wichtig: Die Client-Übersicht
Werbung
So ziemlich jeder Netzwerk-Administrator möchte wissen, was in "seinem" Netzwerk vorgeht und welche Geräte beziehungsweise Clients gerade mit dem jeweiligen Netzwerk verbunden sind. Auf diese Weise lässt sich herausfinden, ob die Netzwerkzugriffe gewollt sind oder nicht. Zunächst einmal kann zwischen Wired- und Wireless-Clients unterschieden werden, was natürlich sehr praktisch ist. Jeweils wird aufgeschlüsselt hinterlegt, mit welcher MAC-Adresse, IP-Adresse dieser im Netzwerk unterwegs ist. Ferner in welchem VLAN (sofern konfiguriert) sowie in welchem Netzwerk-Subnetz bzw. SSID bei WLAN-Netzen. Gut gelöst ist auch, dass mit angezeigt wird, über welchen Netzwerk-Switch und über welchen Port dieser Client verbunden ist.
Wenn ein WLAN-Access-Point an einem Netzwerk-Switch-Port hängt, werden alle WLAN-Clients, die gerade über diesen Access Point angemeldet sind, am selben Switch-Port hinterlegt. Dennoch ist einfach nachzuvollziehen, wie die Verbindungswege pro Client ausfallen. Zusätzlich wird mit protokolliert, wie lange der Client verbunden ist, wieviel Bandbreite dieser bisher verbraucht hat und wie die aktuelle Download-Geschwindigkeit ausfällt.
Die Site-Settings für den Standort
Für jeden Standort können individuelle Einstellungen getroffen werden, die innerhalb dieser "Site" gültig sind. Die Einstellungsmöglichkeiten sind umfangreich. Neben dem Site Name und der Region, wo dieser Standort ansässig ist, kann natürlich auch die Zeitzone festgelegt werden. Speziell für die angeschlossenen WLAN-Access-Points können Einstellungen getroffen werden, ob die LEDs an den APs leuchten sollen, ob Mesh aktiv sein, ob es ein Channel-Limit geben und ob DFS (Dynamic Frequency Selection) in vollem Umfang berücksichtigt werden soll und bei der Existenz von Wetter- oder Militärfunk sinnvoll ist.
Konfiguration der Router-Interfaces
Der nächste Punkt umschreibt die kabelgebundenen Netzwerke. Der Punkt "Internet" ist nur aufrufbar, wenn auch ein Omada-Router im Netzwerk hängt. Beim ER707-M2 können alle Anschlüsse auf Wunsch als WAN-Port genutzt werden und das auch redundant oder gleichzeitig. In unserem Fall ist der 2,5-GBit/s-WAN-Port mit dem Draytek Vigor 165 verbunden und ist alleinig als WAN-Port im Einsatz.
Bei der Einwahl ins Internet bietet TP-Link fünf Möglichkeiten an: Dynamic IP, Static IP, PPPoE, L2TP und PPTP. Da wir in unserem Fall mit einem SVVDSL-250-Anschluss von der Deutschen Telekom arbeiten, müssen wir natürlich PPPoE auswählen und erhalten dann die Möglichkeit, mit unserer Anschlusskennung, der T-Online-Nummer, der Mitbenutzernummer in einem Rutsch als Benutzername. Für eine nähere Beschreibung haben wir den Artikel zu der OPNsense-Konfiguration verlinkt.
Soll auch IPv6 verwendet werden, muss dies natürlich entsprechend konfiguriert werden. Zunächst wird der Haken zu IPv6 selbst aktiviert, schließlich im Falle des Anschlusses der Deutschen Telekom PPPoE auswählen und gleich unten den Haken "Share the same PPPoE session with IPv4" aktivieren, da der IPv6-Präfix über die IPv4-Verbindung angefordert wird. Bei der Auswahl "Get IPv6 address" muss "via DHCPv6" ausgewählt werden, da die Deutsche Telekom bei den Privathaushalten keine festen IPv6-Präfixe verteilt. Die Präfix-Delegationsgröße beträgt 56. Schließlich kann als DNSv6 entweder die vom Provider genommen oder manuelle DNS-Server hinterlegt werden. In unserem Falle haben wir die beiden IPv6-DNS-Server von Google in abgekürzter Form hinterlegt:
2001:4860:4860::8888 und 2001:4860:4860::8844. Die beiden Doppelpunkte hintereinander vor 8888 und 8844 sind besonders wichtig, da hierdurch vier Bereiche mit Nullen aufgefüllt werden. Die vollständig ausgeschriebenen IPv6-Adressen lauten nämlich:
- 2001:4860:4860:0000:0000:0000:0000:8888 (kurz: 2001:4860:4860:0:0:0:0:8888, kürzer: 2001:4860:4860::8888)
- 2001:4860:4860:0000:0000:0000:0000:8844 (kurz: 2001:4860:4860:0:0:0:0:8844, kürzer: 2001:4860:4860::8844)
Konfiguration der internen Netzwerke
Sämtliche lokale Netzwerke (sprich LANs) werden in einem separaten Menüpunkt unterhalb von Internet erstellt. Alle bisherigen Netzwerke (sofern konfiguriert) werden übersichtlich aufgelistet. Jeweils der Name mit dem entsprechenden Subnetz und das dazugehörige VLAN. Für jedes Subnetz kann der Administrator auf Wunsch eine Bandbreiten-Limitierung einrichten.
Um ein weiteres, lokales Netzwerk zu erstellen, muss der Mausklick auf "Create New LAN" erfolgen. In dem darauf erscheinenden Fenster können dann alle wichtigen Parameter für dieses neue Subnetz eingetragen werden: den Namen, den Zweck, ob es sich um ein Interface oder lediglich um ein VLAN handeln soll. Im Interface-Mode muss der Administrator den Wunsch-LAN-Port vom Router auswählen, über den dieses neue Subnetz geroutet werden soll. Die Eingabe eines VLANs ist dann natürlich verpflichtend sowie die IPv4-Adresse des Subnetzes inklusive Angabe der Subnetzmaske mittels der Bit-Angabe.
Im Falle eines gebräuchlichen Klasse-C-Netzwerks demnach beispielsweise 192.168.20.0. Um die Subnetzmaske 255.255.255.0 zu hinterlegen, muss rechts im Feld nach dem Slash-Zeichen eine 24 eingetragen werden. Für ein Klasse-B-Netzwerk mit bis zu 65.534 Hosts pro Subnetz wäre es der Wert 16 (für die Subnetzmaske 255.255.0.0) und bei sehr großen Netzwerken der A-Klassifizierung mit bis zu 16.777.214 Hosts pro Subnetz demnach der Wert 8 (für die Subnetzmaske 255.0.0.0).
Auf Wunsch kann auch gleich DHCP mit der entsprechenden Range hinterlegt werden sowie auch die Lease-Time. Soll IPv6 gleich mit konfiguriert werden, kann zwischen den Modi DHCPv6, SLAAC+Stateless DHCP, SLAAC+RDNSS und Pass-Through entschieden werden. Im Falle eines Internet-Anschlusses von der Deutschen Telekom ist die korrekte Einstellung SLAAC+Stateless DHCP. Beim IPv6-Präfix muss "Get from Prefix Delegation" und das korrekte WAN-Interface ausgewählt und schließlich eine freie IPv6-Prefix-ID eingegeben werden. Die Router-Advertisement-Priority sollte auf High stehen.
Profile sind wichtig für die Switch-Config
Vor allem für die Switch-Konfiguration ist es wesentlich einfacher, wenn der Administrator entsprechende Profile erstellt, die er dann den Netzwerk-Ports am Switch zuordnen kann. Das Omada-System hinterlegt automatisch bereits einige Profile, doch es können natürlich weitere hinterlegt werden.
Am Beispiel für den WLAN-Access-Point: PoE (Power over Ethernet) natürlich auf enabled. Das native Netzwerk sollte aus Sicherheitsgründen kein Subnetz der WLAN-Netze sein, sondern das des Management-LANs. Dasselbe gilt dann unter Untagged-Netzwerke. In die Tagged-Netzwerke hingegen kommen die VLANs für die WLAN-Netze hinein.
Die Profileinstellungen für den WLAN-Uplink des Routers sehen dann wie folgt aus: PoE auf disabled, Native- und Untagged-Network ist das Untagged-VLAN vom WLAN-Uplink des Routers. Sollen mehrere WLAN-Netze realisiert werden, muss unter Tagged-Networks noch das Tagged-VLAN hinterlegt werden.