Wi-Fi-Zugangspunkt
Sie können eine Citrix SD-WAN-Appliance, die Wi-Fi unterstützt, als Wi-Fi-Zugangspunkt konfigurieren. Die als Wi-Fi-Zugangspunkt konfigurierte Citrix SD-WAN-Appliance macht die Wartung einer zusätzlichen Access Point-Appliance zum Erstellen eines WLAN überflüssig. Die Geräte in Ihrem LAN können über Wi-Fi eine Verbindung zur Citrix SD-WAN-Appliance herstellen.
Hinweis
Stellen Sie sicher, dass ein DHCP-Server im Netzwerk verfügbar ist, um den Hostcomputern IP-Adressen zuzuweisen. Wenn kein anderer DHCP-Server im Netzwerk verfügbar ist, können Sie die SD-WAN-Appliance als DHCP-Server konfigurieren. Anweisungen finden Sie unter DHCP-Server.
Die folgenden zwei Varianten der Citrix SD-WAN 110-Plattform unterstützen Wi-Fi und können als Wi-Fi-Zugangspunkt konfiguriert werden:
- Citrix SD-WAN 110-WiFi-SE
- Citrix SD-WAN 110-LTE-WLAN
Weitere Informationen zu den Plattformen finden Sie unter Citrix SD-WAN 110 SE.
Hinweis
Die Wi-Fi-Funktion unterstützt keine Hochverfügbarkeit (HA) in Citrix SD-WAN 11.3 Version.
Sie können Citrix SD-WAN-Appliances, die als Access Points konfiguriert sind, über den Citrix SD-WAN Orchestrator Service konfigurieren und verwalten.
Stellen Sie zum Konfigurieren der Wi-Fi-Funktionen auf einer Citrix SD-WAN 110-Appliance sicher, dass das entsprechende Gerätemodell und Submodell auf der Seite Konfiguration > Standortkonfiguration ausgewählt sind.
Wählen Sie auf der Seite Wi-Fi-Details die Option Wi-Fi aktivieren aus, damit die Citrix SD-WAN 110-Appliance als Wi-Fi-Zugangspunkt fungiert.
Wi-Fi-Funkeinstellungen konfigurieren
Konfigurieren Sie die Wi-Fi-Funkeinstellungen, indem Sie die folgenden Details angeben.
-
Land: Das Land, in dem das Gerät eingesetzt wird. Das Land legt die zulässigen Funkeinstellungen für dieses Land fest.
Hinweis
Das Feld Land ist für die USA und Kanada für Geräte gesperrt, die in die USA und Kanada verkauft werden. Für Geräte, die in andere Länder verkauft werden, ist das Feld Land standardmäßig auf Weltweit eingestellt, sodass Sie das entsprechende Land auswählen können.
- Band: Die Citrix SD-WAN 110-Appliance unterstützt 2,4-GHz- und 5-GHz-Frequenzbänder. Das 5-GHz-Band bietet eine höhere Leistung als das 2,4-GHz-Band, ist jedoch nicht mit allen drahtlosen Geräten kompatibel. Wählen Sie das Band und das Protokoll basierend auf den Geräten aus, die eine Verbindung zur Citrix SD-WAN-Appliance herstellen. Die Citrix SD-WAN 110-Appliance unterstützt kein Dualband, Sie können jeweils nur ein Band auswählen.
-
Protokoll: Wählen Sie das Protokoll basierend auf dem ausgewählten Band aus. Das 2,4-GHz-Band unterstützt das 802.11n-Protokoll, das 5-GHz-Band unterstützt sowohl das 802.11n- als auch das 802.11ac-Protokoll.
Hinweis
Das 802.11ac-Protokoll ist abwärtskompatibel zu 802.11n. Es wird empfohlen, das 802.11ac-Protokoll zu verwenden, wenn das 5-GHz-Band ausgewählt ist.
-
Kanal: Die verfügbaren Kanäle hängen vom ausgewählten Land und dem Funkprotokoll ab. Standardmäßig ist der Kanal auf Autoeingestellt. Die Citrix SD-WAN-Appliance wählt einen Kanal mit der geringsten Interferenz aus der für das Band verfügbaren Liste aus. Obwohl dies nicht empfohlen wird, können Sie bei Bedarf auch manuell einen Kanal auswählen.
- Kanalbreite: Sie können den Kanal so konfigurieren, dass er eine Kanalbreite von 20 MHz, 40 MHz oder 80 MHz verwendet (nur für bestimmte 5-GHz-Kanäle). Standardmäßig ist die Kanalbreite auf die maximal verfügbare Kanalbreite für das ausgewählte Band und den ausgewählten Kanal eingestellt.
SSID konfigurieren
Der Service Set Identifier (SSID) wird verwendet, um ein drahtloses Netzwerkprofil zu identifizieren, um eine drahtlose Verbindung herzustellen und aufrechtzuerhalten. Sie können bis zu vier SSIDs auf der Citrix SD-WAN-Appliance konfigurieren. SSIDs helfen Ihnen, Ihr drahtloses Netzwerk mit unterschiedlichen Sicherheitsstufen zu konfigurieren, um verschiedene Benutzertypen wie Firmenbenutzer, Privatanwender oder Gäste zu bedienen.
Hinweis
Die Wi-Fi-Funkeinstellungen sind allen SSIDs gemeinsam.
Um SSIDs zu konfigurieren, geben Sie die folgenden Details an:
- SSID-Typ: Mit Citrix SD-WAN Orchestrator können Sie zwei Arten von SSID Corporate und Homekonfigurieren. Für eine Unternehmens-SSID wird empfohlen, ein Unternehmens-SSID-Profil zu erstellen und zu verwenden. Weitere Einzelheiten finden Sie unter SSID-Profile.
- SSID-Name: Eine eindeutige Kennung für das Profil des drahtlosen Netzwerks. Die SSID-Namen unterscheiden zwischen Groß- und Kleinschreibung und können bis zu 32 alphanumerische Zeichen enthalten. Verwenden Sie keine führenden oder nachfolgenden Leerzeichen in Ihrem SSID-Namen.
- SSID-Übertragung: Durch die Aktivierung der SSID-Übertragung wird der SSID-Name für alle Geräte in Ihrem Netzwerk sichtbar, sodass sie das Wi-Fi-Netzwerk leicht identifizieren und eine Verbindung herstellen können. Durch das Deaktivieren der SSID-Übertragung wird der SSID-Name für andere Geräte unsichtbar. Es verbirgt jedoch nur den Namen, nicht das Netzwerk selbst. Benutzer, die den SSID-Namen kennen, können weiterhin eine Verbindung zu Ihrem Wi-Fi-Netzwerk herstellen.
- Client-Isolation: Die Client-Isolation verhindert, dass Clients, die mit derselben SSID verbunden sind, miteinander kommunizieren. Für die offene Authentifizierung, bei der sich nicht vertrauenswürdige Clients verbinden können, wird empfohlen, die Client-IsolationaufEin zu setzen.
-
Sicherheit: Citrix SD-WAN unterstützt die folgenden Arten von Wi-Fi-Sicherheitsprotokollen:
- Offen: Das Wi-Fi-Netzwerk ist unsicher und jeder kann sich mit dem drahtlosen Netzwerk verbinden. Es wird empfohlen, offene SSIDs auf ihre eigene Routing-Domain zu isolieren, um zu verhindern, dass nicht vertrauenswürdige Clients persönliche (Heim-) oder Unternehmensnetzwerke gefährden.
- WPA2 Personal: Das Wi-Fi Protected Access (WPA) 2-Protokoll, der Pre-Shared Key-Modus, allgemein als „persönlich“ bezeichnet, wird zum Sichern des Wi-Fi-Netzwerks verwendet. Mit diesem Protokoll können Sie eine Passphrase als Pre-Shared Key (PSK) konfigurieren. Jeder, der die SSID und die Passphrase kennt, kann sich mit Ihrem WLAN-Netzwerk verbinden. Dies wird normalerweise für Heimnetzwerke verwendet. Es wird empfohlen, Heim-SSIDs von ihrer eigenen Routingdomäne zu isolieren, um zu verhindern, dass nicht vertrauenswürdige Clients das Unternehmensnetzwerk gefährden.
-
WPA2 Enterprise: Das Wi-Fi Protected Access (WPA) 2-Protokoll, Unternehmensversion, wird verwendet, um eine Authentifizierung auf Unternehmensebene für den Zugriff auf Ihr Wi-Fi-Netzwerk bereitzustellen. Für die Anmeldung sind ein Benutzername und ein Passwort erforderlich. Ein RADIUS-Server authentifiziert den Benutzernamen und das Kennwort. Sie können die primären und sekundären RADIUS-Profile auswählen, die auf einen primären bzw. sekundären RADIUS-Server verweisen. Wenn der primäre RADIUS-Server ausgefallen ist, wird der sekundäre Server für die Authentifizierung verwendet. Weitere Informationen zum Erstellen von RADIUS-Profilen finden Sie unter RADIUS-Serverprofile.
Hinweis
Jeder Site können bis zu zwei RADIUS-Serverprofile zugewiesen werden, die jeder WPA2-Unternehmens-SSID zugewiesen sind.
- WPA3 Personal: Ähnlich wie bei WPA2 Personal verwenden Sie ein PSK, um eine Verbindung zum Netzwerk herzustellen. Es verwendet die neueste Version des Wi-Fi Protected Access-Protokolls. Nur die Geräte, die WPA3 unterstützen, können eine Verbindung zu diesem Netzwerk herstellen.
- WPA3-Übergang: Ermöglicht WPA3-fähigen Geräten die Verbindung über das neue WPA3-Sicherheitsprotokoll und den nicht unterstützten Geräten, weiterhin das WPA2-Sicherheitsprotokoll zu verwenden. Geräte, die die WPA3- oder WPA2 Personal-Version verwenden, können dasselbe PSK verwenden, um eine Verbindung zu diesem Netzwerk herzustellen.
- VLAN-ID: Ordnet die SSID einer VLAN-Kennung zu. Die VLAN-Kennung kann wiederverwendet werden, wenn die SSID einer virtuellen Schnittstelle zugewiesen wird, um sie einem externen VLAN zuzuordnen oder sie einer bestimmten Routingdomäne zuzuordnen.
Sie können die Unternehmens-SSID-Konfiguration auch als SSID-Profil speichern. Es ermöglicht Ihnen die einfache Wiederverwendung und Verwaltung der SSID-Konfiguration über mehrere Standorte hinweg. Weitere Einzelheiten finden Sie unter SSID-Profile.
Die konfigurierten SSIDs werden bei der Konfiguration von Schnittstellen als virtuelle Schnittstellen wiedergegeben. Darüber hinaus können Sie die SSIDs in Ihrer SD-WAN-Konfiguration verwenden oder die Netzwerksicherheit verbessern. Sie können beispielsweise eine Konfiguration haben, um den gesamten Datenverkehr über eine bestimmte SSID so zu kennzeichnen, dass er zu einer bestimmten Routingdomäne gehört oder einem bestimmten VLAN zugewiesen ist. Diese Routingdomäne kann außerdem so konfiguriert werden, dass sie Zugriff auf bestimmte Netzwerke und Ressourcen hat. Wenn eine Kombination aus drahtlosen Unternehmens-, Privat- und Gastnetzwerken konfiguriert ist, ist es wichtig, sie verschiedenen Routingdomänen zuzuordnen, um die Mandantenisolierung zu gewährleisten und zu verhindern, dass nicht autorisierte oder kompromittierte Clients in einem Netzwerk die anderen gefährden.
RADIUS-Serverprofile
Das WPA2 Enterprise-Protokoll bietet Authentifizierung auf Unternehmensniveau für Ihr drahtloses Netzwerk. Ein Benutzername und ein Kennwort sind erforderlich, um sich mit dem WPA2-Unternehmensprotokoll beim drahtlosen Netzwerk anzumelden. Der Benutzername und das Kennwort werden von einem RADIUS-Server authentifiziert, der mithilfe von RADIUS-Profilen konfiguriert wird. Die RADIUS-Profile können bei der Konfiguration von SSIDs auf mehrere Standorte angewendet werden. Weitere Informationen finden Sie unter Konfigurieren von SSIDs.
Die RADIUS-Profile sind dynamischer Natur. Alle am RADIUS-Profil vorgenommenen Änderungen gelten für alle Standorte, an denen das RADIUS-Profil verwendet wird. Jeder WPA2-Unternehmens-SSID können bis zu zwei RADIUS-Serverprofile zugewiesen werden. Um RADIUS-Profile zu verwalten, navigieren Sie auf Netzwerkebene zu Konfiguration > Sicherheit > RADIUS-Profile. Eine Liste aller verfügbaren RADIUS-Profile wird aufgelistet. Sie können die Profile bearbeiten oder löschen.
Um ein RADIUS-Profil zu erstellen, klicken Sie auf Hinzufügen und geben die folgenden Details an:
- Radius-Profilname: Ein eindeutiger Name zur Identifizierung des RADIUS-Serverprofils.
- Auth Server IP: Die IP-Adresse des RADIUS-Authentifizierungsservers. Der Authentifizierungsserver befindet sich möglicherweise im Rechenzentrum und ist über die Verwaltungsschnittstelle oder die In-Band-Verwaltung zugänglich.
- Authentifizierungsserver-Port: Die Portnummer des RADIUS-Authentifizierungsservers. Die Standardportnummer ist 1812.
- Auth Server Secret: Die geheime Passphrase für die Verbindung mit dem Authentifizierungsserver. Nur autorisierte Clients, die den geheimen Schlüssel kennen, können sich mit dem Authentifizierungsserver verbinden und Authentifizierungsanforderungen senden.
- NAS-Kennung: Konfigurieren Sie dieselbe NAS-ID (Network Access Server) auf dem RADIUS-Server und der Citrix SD-WAN-Appliance. Es ermöglicht dem RADIUS-Server, den richtigen RADIUS-Client zu identifizieren und die Authentifizierung durchzuführen. Es ist ein vollqualifizierter Domainname. Ein spezielles Tag {SITENAME} wird verwendet. Das Tag wird in der NAS-ID durch den jeweiligen Standortnamen für jeden Standort ersetzt.
Der RADIUS-Kontoführungsserver sammelt optional Netzwerküberwachungs- und Statistikdaten. Der Kontoführungsprozess beginnt, wenn der Zugriff auf den RADIUS-Server gewährt wird und wenn die ACCT-Interim-Interval AVP in der RADIUS-Access-Accept-Nachricht vorhanden ist. In diesem Fall meldet der Citrix SD-WAN RADIUS-Client Sitzungsdetails wie Gesamtzeit, Gesamtdaten und übertragene Pakete für alle Acct-Interim-Interim-Intervall-Sekunden. Der Accounting-Server kann derselbe wie der Authentifizierungsserver oder ein anderer Server sein. Um die optionale RADIUS-Kontoführungsfunktion zu aktivieren, wählen Sie RADIUS-Kontoführung konfigurieren und geben Sie die folgenden
- Kontenserver-IP: Die IP-Adresse des Accounting-Servers.
- Kontenserver-Port: Die Portnummer des Accounting-Servers. Die Standardportnummer ist 1813.
- Kontoserver Secret: Die geheime Passphrase für die Verbindung mit dem Accounting-Server. Nur autorisierte Clients, die den geheimen Schlüssel kennen, können sich mit dem Buchhaltungsserver verbinden und Buchhaltungsanfragen senden.
Sie können beim Konfigurieren von Sites auch direkt auf der Wi-Fi-Detailseite ein RADIUS-Profil erstellen. Sie können auch Vorgänge wie Bearbeiten, Klonen und Löschen ausführen.
SSID-Profile
Der Service Set Identifier (SSID) wird verwendet, um ein drahtloses Netzwerkprofil zu identifizieren, um eine drahtlose Verbindung herzustellen und aufrechtzuerhalten. Sie können bis zu vier SSIDs auf der Citrix SD-WAN-Appliance konfigurieren. SSIDs helfen Ihnen, Ihr drahtloses Netzwerk mit unterschiedlichen Sicherheitsstufen zu konfigurieren, um verschiedene Benutzertypen wie Firmenbenutzer, Privatanwender oder Gäste zu bedienen.
In großen Bereitstellungen, die Unternehmens-SSIDs verwenden, wird erwartet, dass dieselben SSID-Einstellungen über zahlreiche Appliances repliziert werden. Die häufig verwendeten Einstellungen können als SSID-Profil gespeichert werden. Die SSID-Profile sind dynamischer Natur. Alle Änderungen, die an einem SSID-Profil vorgenommen werden, gelten für alle Standorte, an denen dieses SSID-Profil verwendet wird.
Um SSID-Profile zu verwalten, navigieren Sie auf Netzwerkebene zu Konfigurationen > Sicherheit > SSID-Profile. Eine Liste aller verfügbaren SSID-Profile wird aufgeführt.
Um ein neues SSID-Profil zu erstellen, klicken Sie auf Hinzufügen. Weitere Informationen zur Konfiguration von SSID finden Sie unter Konfigurieren von SSIDs.
Sie können auch Vorgänge wie Bearbeiten, Klonen und Löschen ausführen.
Wi-Fi-Diagnose
Um Wi-Fi-Verkehrsdetails zu erfassen, navigieren Sie auf Netzwerkebene zu Fehlerbehebung > Diagnose und aktivieren Sie das Kontrollkästchen Paketerfassung . Wählen Sie die entsprechende Wi-Fi-Schnittstelle.
HINWEIS Der
Datenverkehr zwischen drahtlosen Clients ist vom Datenpfad auf der Citrix SD-WAN 110-Plattform isoliert und daher nicht Teil der Paketerfassung.
Detaillierte Informationen zur Paketerfassung finden Sie unter Diagnose.