WLAN-Dokumentation: SSIDs, VLANs, Kanäle und Authentifizierung dokumentieren

Eine professionelle WLAN-Dokumentation ist in Unternehmen kein Luxus, sondern eine betriebliche Notwendigkeit. WLAN ist heute ein produktives Netzwerk – für Mitarbeitende, Gäste, IoT-Geräte, Scanner, VoIP, Konferenztechnik und zunehmend auch für kritische Anwendungen. Gleichzeitig ist WLAN dynamisch: Clients roamen, Funkbedingungen ändern sich, Controller-Policies werden angepasst, Kanäle und Sendeleistungen werden optimiert, und Sicherheitsanforderungen steigen durch Zero Trust, NAC und Compliance. Ohne saubere Dokumentation entstehen typische Probleme: SSIDs werden „historisch“ weiterbetrieben, VLAN-Zuordnungen sind unklar, Authentifizierungswege (RADIUS/IdP) sind nicht nachvollziehbar, Gästezugänge landen versehentlich intern, und bei Störungen weiß niemand, ob das Problem im Funk, im LAN, im DNS/DHCP oder in der Policy liegt. Dieser Leitfaden zeigt, wie Sie WLAN so dokumentieren, dass Betrieb, Security und Troubleshooting profitieren: mit klaren Vorlagen für SSIDs, VLANs, Kanäle, Authentifizierung, Standort-Design und Monitoring – verständlich, praxistauglich und direkt nutzbar.

Warum WLAN-Dokumentation so oft über Stabilität und Sicherheit entscheidet

Im Gegensatz zum kabelgebundenen LAN ist WLAN eine „geteilte Luftschnittstelle“. Schon kleine Änderungen – ein neues Access-Point-Modell, eine andere Kanalbreite, eine geänderte Roaming-Policy, ein Zertifikatswechsel am RADIUS – können spürbare Auswirkungen haben. Dokumentation schafft Transparenz über die zentralen Zusammenhänge: Welche SSID ist für welchen Zweck? In welches VLAN terminiert sie? Welche Authentisierung ist aktiv? Wie ist der Breakout ins Internet gelöst? Welche Funkparameter gelten pro Standort? Und wie wird die Umgebung überwacht?

• Weniger Ausfallzeiten: Störungen lassen sich systematisch eingrenzen (Funk vs. LAN vs. Policy).
• Sicherere Segmentierung: SSID-zu-VLAN- und Zonen-Zuordnungen sind nachvollziehbar.
• Saubere Changes: Firmware-Updates, Zertifikatswechsel und Policy-Anpassungen werden kontrollierter.
• Bessere Zusammenarbeit: Netzwerk, Security, Workplace/Client-Teams und Facility sprechen über dieselben Fakten.
• Auditfähigkeit: Gästezugang, Logging, Zugriffskontrolle und Verantwortlichkeiten sind belegt.

Dokumentationsstruktur: So bleibt WLAN-Doku lesbar und aktuell

WLAN-Dokumentation wird schnell unübersichtlich, wenn alles in einem Dokument steht. Bewährt hat sich eine Struktur nach Ebenen: Architektur (Überblick), SSID- und Policy-Dokumentation (Details), Funkplanung (Radio), sowie Betrieb (Monitoring, Runbooks). So findet jede Zielgruppe schnell, was sie braucht.

• Architektur (HLD): Controller-/Cloud-Management, Standorte, SSID-Landschaft, Zonenmodell, Breakout-Strategie.
• SSID- und Policy-Details (LLD): VLAN-Mapping, Authentisierung, Rollen/ACLs, QoS, Client-Settings.
• Funkplanung (Radio): Bänder, Kanalplanung, Kanalbreiten, Sendeleistung, Roaming-Parameter.
• Betrieb: Monitoring, Alarmierung, Logging, Firmware-/Lifecycle, Runbooks und Eskalation.

Ein Dokument, eine Frage

Statt „WLAN komplett“ in eine Seite zu packen, arbeiten Sie mit klaren Artefakten: „SSID-Übersicht“, „Standort-Design“, „Gastzugang“, „RADIUS/802.1X“, „Radio-Plan“. Das verbessert Pflege und reduziert Missverständnisse.

SSID-Dokumentation: Der wichtigste Einstiegspunkt

SSIDs sind die sichtbare Oberfläche des WLANs. Genau deshalb müssen sie besonders klar dokumentiert sein. In vielen Unternehmen existieren zu viele SSIDs, die niemand mehr begründen kann. Jede SSID sollte einen Zweck, eine Zielgruppe und eine definierte Sicherheits- und Segmentierungslogik haben. Wenn diese Informationen fehlen, entstehen Risiken: falsche Zugriffe, unnötige Broadcasts, Roaming-Probleme und ein unklarer Support.

Pflichtfelder pro SSID

• SSID-Name: eindeutig, konsistent (z. B. CORP, CORP-IOT, GUEST)
• Zweck: Mitarbeitende, Gäste, IoT, Scanner, VoIP, Konferenztechnik
• Broadcast: sichtbar/hidden (hidden ist selten eine sinnvolle Security-Maßnahme)
• Bänder: 2,4 GHz / 5 GHz / 6 GHz (WPA3/6E) und Band-Steering-Policy
• VLAN/VRF/Zone: wohin terminiert der Traffic (Mapping)
• Authentisierung: WPA2/WPA3, 802.1X, PSK, Captive Portal, Zertifikate
• Client-Policy: Rollen/ACLs, erlaubte Ziele, Split-Tunnel (falls RA-VPN involviert)
• DHCP/DNS: welche Server/Resolver werden verteilt (oder Standardverweis)
• Logging: was wird geloggt, wohin, Aufbewahrung (wenn relevant)
• Owner: technischer Owner (Netzwerk) und fachlicher Owner (Workplace/Security)
• Status: aktiv, deprecated, geplant, stillzulegen (mit Datum)

Optionale Felder, die häufig sehr hilfreich sind

• Max Clients pro AP: falls begrenzt
• QoS/WMM: VoIP/Video-Priorisierung
• Client Isolation: bei Gäste- oder IoT-SSIDs
• Roaming-Optimierung: 802.11k/v/r (wenn eingesetzt)
• Minimum Data Rates: Mindestdatenrate zur Stabilisierung (um „Sticky Clients“ zu reduzieren)

SSID->VLAN-Dokumentation: Segmentierung ohne Rätselraten

Die VLAN-Zuordnung ist der häufigste „unsichtbare“ Fehler im WLAN: Eine SSID funktioniert, aber landet im falschen Segment. Oder eine Standorterweiterung nutzt ein anderes VLAN als geplant. Deshalb sollten Sie für jede SSID das VLAN-Mapping sauber dokumentieren – inklusive Besonderheiten wie dynamische VLAN-Zuweisung (RADIUS Attribute) oder Rollen-basierte Policies.

Statisches VLAN-Mapping

• SSID: CORP
• VLAN: 120
• Subnetz: 10.12.0.0/24
• Gateway: 10.12.0.1 (SVI auf Core oder Firewall-Subinterface)
• Zone: internal

Dynamische VLAN-Zuweisung über RADIUS

• SSID: CORP
• Zuweisung: abhängig von Benutzergruppe/Device-Posture
• RADIUS Attribute: Tunnel-Private-Group-ID (VLAN), ggf. Role/ACL-Attribute
• Fallback: Default VLAN bei Fehler (z. B. Quarantine)

Wenn Sie VLANs und Segmentierung als Standard etablieren möchten, ist eine klare Namens- und Nummernlogik hilfreich. Technische Grundlagen zur VLAN-Tagging-Logik liefert IEEE 802.1Q.

Authentifizierung dokumentieren: WPA2/WPA3, 802.1X, Captive Portal

WLAN-Sicherheit steht und fällt mit der Authentifizierung. Eine saubere Doku erklärt nicht nur „WPA2-Enterprise“, sondern die gesamte Kette: Client → AP/Controller → RADIUS/IdP → Zertifikate/Policies. Besonders bei 802.1X entstehen Ausfälle durch Zertifikatsablauf, falsche EAP-Profile oder geänderte RADIUS-Policies. Dokumentieren Sie daher die Authentifizierungswege pro SSID klar und vollständig.

WPA2/WPA3-Personal (PSK) dokumentieren

• Einsatz: nur für Gäste/IoT, wenn 802.1X nicht möglich
• Key-Management: Rotation-Intervall, Verantwortliche, Ablage im Secret-Management (nicht im Dokument)
• Risiko: geteilter Schlüssel → schwer zuzuordnen, wer Zugriff hatte

WPA2/WPA3-Enterprise (802.1X) dokumentieren

• EAP-Methode: z. B. EAP-TLS (Zertifikate), PEAP, EAP-TTLS (je nach Vorgabe)
• RADIUS: Servernamen, Redundanz, Ports, Timeouts (high-level)
• Zertifikate: CA/Chain, Erneuerungsprozess, Ablaufüberwachung
• Identity Source: AD/LDAP/IdP, Gruppen-/Rollenmapping
• Fallback/Quarantine: was passiert bei Auth-Fail (z. B. Quarantine VLAN)

Für WLAN-Sicherheitsprinzipien und die Rolle von Policy-Kontrollpunkten kann der NIST-Leitfaden zu Firewalls und Firewall Policies als Referenz helfen, insbesondere wenn WLAN-Traffic über Firewalls/Zonen sauber dokumentiert werden soll.

Gastzugang mit Captive Portal dokumentieren

• SSID: GUEST
• Portal: Plattform/URL, Branding, Auth-Methode (Voucher, SMS, SSO)
• Breakout: Internet-only, keine internen Ziele (klar definieren)
• Isolation: Client-to-Client Isolation, Rate Limiting
• Rechtliches: Logging/Consent (je nach Vorgaben), Aufbewahrung

Funkparameter dokumentieren: Kanäle, Kanalbreiten und Sendeleistung

Viele WLAN-Probleme sind keine „IP-Probleme“, sondern Funkprobleme: Interferenzen, falsche Kanalbreiten, zu hohe Sendeleistung, ungünstige Mindestdatenraten oder ein überfülltes 2,4-GHz-Band. Eine gute WLAN-Dokumentation hält fest, welche Funkstrategie pro Standort gilt und welche Parameter zentral vorgegeben sind. So können Änderungen nachvollzogen und Standorte vergleichbar betrieben werden.

Bänder und Einsatzregeln

• 2,4 GHz: Reichweite hoch, Störanfälligkeit hoch; oft nur für Legacy/IoT
• 5 GHz: Standardband für Unternehmensgeräte, bessere Performance
• 6 GHz (Wi-Fi 6E): neues Band, oft WPA3-Requirement; dokumentieren, wo aktiv

Kanalplanung und Kanalbreiten

• Kanalbreiten: 20/40/80/160 MHz (je nach Dichte und Performance-Ziel)
• DFS-Kanäle: Nutzung ja/nein, Umgang mit Radar-Events, Standortbesonderheiten
• Kanalstrategie: automatische RRM vs. statische Kanäle (und wann welches gilt)

Sendeleistung und Mindestdatenraten

• Tx Power Policy: auto vs. manuell, Min/Max pro Band
• Minimum Data Rates: Strategie zur Reduktion von „Sticky Clients“
• Coverage vs. Capacity: dokumentieren, ob Standort auf Abdeckung oder Kapazität optimiert ist

Roaming dokumentieren: 802.11k/v/r, Fast Transition und Client-Erwartungen

Gerade in Büros, Kliniken, Lagerhallen und Campus-Umgebungen ist Roaming geschäftskritisch. Ohne dokumentierte Roaming-Policies ist unklar, ob Abbrüche durch Funk, Client-Treiber oder Controller-Settings verursacht werden. Halten Sie fest, welche Roaming-Features genutzt werden, für welche SSIDs sie gelten und welche Client-Anforderungen existieren (z. B. EAP-TLS kompatible Geräte, Fast-Roaming Support).

• 802.11k: Neighbor Reports (Hilfe beim Finden besserer APs)
• 802.11v: BSS Transition Management (Roaming-Steuerung)
• 802.11r: Fast Transition (schnelleres Roaming, kann Kompatibilitätsfragen erzeugen)
• Band Steering: bevorzugt 5/6 GHz, wenn Client es unterstützt

WLAN-Controller, Cloud-Management und HA dokumentieren

Ob On-Prem-Controller, Cloud-Controller oder eine Hybridlösung: Dokumentieren Sie Management-Architektur, Redundanz und Zuständigkeiten. In Incidents ist entscheidend, ob ein Problem lokal (AP/Radio), zentral (Controller), oder in der Management-Kette (IdP/RADIUS/DNS) liegt.

Pflichtfelder für WLAN-Management

• Plattform: Hersteller/Produktlinie, Controller/Cloud-Portal
• Management-Standort: On-Prem, Cloud-Region, Hybrid
• HA-Design: aktiv/aktiv, aktiv/passiv, Failover-Verhalten
• Firmware-/Version-Policy: Release-Zyklen, Testumgebung, Rollback
• AP-Modelle: unterstützte Modelle, Lifecycle/EoS/EoL (wenn relevant)
• Konfigurations-Backups: Export/Restore, Aufbewahrung, Testfrequenz

Monitoring und Troubleshooting dokumentieren: Mehr als „AP ist online“

Ein AP kann online sein und trotzdem schlechte Nutzererfahrung liefern. Dokumentieren Sie deshalb Monitoring-Kriterien, die Funk- und Client-Qualität abbilden. Ergänzen Sie Runbooks für die häufigsten Fehlerbilder: Auth-Fails, DHCP-Probleme, DNS-Probleme, Roaming-Abbrüche, Interferenz. Damit wird WLAN-Betrieb planbar.

Monitoring-Bausteine für WLAN

• AP-Health: Up/Down, CPU/RAM, Uplink-Speed, PoE-Status
• Radio-Health: Kanal, Kanalbreite, Sendeleistung, Noise Floor, Interferenz-Indikatoren
• Client Experience: RSSI/SNR, Retransmits, Roaming-Events, Auth-Zeit, DHCP-Zeit
• Authentifizierung: RADIUS-Fehlerquoten, Zertifikatsprobleme, MFA/IdP-Verfügbarkeit
• Kapazität: Clients pro AP, Airtime Utilization, Durchsatz-Trends
• Security Events: Rogue AP Detection, ungewöhnliche Association Patterns

Runbook-Checkliste bei typischen WLAN-Problemen

• „Verbunden, aber kein Internet“: DHCP-Lease, Gateway, DNS-Resolver, VLAN-Mapping, Firewall/Proxy
• „Anmeldung schlägt fehl“: EAP-Profile, RADIUS-Reachability, Zertifikatskette, Uhrzeit/NTP
• „Langsam/abbrüche“: RSSI/SNR, Kanalüberlastung, Interferenz, Kanalbreite, Roaming-Policy
• „Nur bestimmte Geräte betroffen“: Treiberversion, WPA3/802.11r-Kompatibilität, MDM-Profile

WLAN-Sicherheit und Dokumentationsschutz: Rollen, Logs, keine Secrets

WLAN-Dokumentation enthält sensible Informationen: SSIDs, Segmentierung, Gastzugang, Management-Details, manchmal auch Standortdaten. Schützen Sie die Dokumentation durch rollenbasierte Rechte und Audit-Trails. Gleichzeitig gilt: Passwörter, PSKs oder private Schlüssel gehören nicht in die Doku, sondern in ein Secret-Management. Für organisatorische Leitplanken zu dokumentierten Schutzmaßnahmen und Zugriffsschutz ist der BSI IT-Grundschutz eine hilfreiche Referenz.

• Rollenrechte: Read-only für Support, Edit nur für Netzwerk/Security
• Audit-Trail: Änderungen nachvollziehbar, mit Ticketreferenz
• Secret-Trennung: PSKs, Zertifikatskeys, API-Tokens in Vault, nicht im Wiki
• Klassifizierung: Management-IP/Controller-Details ggf. separat schützen

Praxisvorlagen: SSID- und Standort-Template, das Teams wirklich pflegen

Damit WLAN-Dokumentation nicht abstrakt bleibt, helfen Copy/Paste-fähige Templates. Sie können diese in einem Wiki, einer CMDB oder einem IPAM/DCIM-System abbilden. Wichtig: Pflichtfelder müssen kurz bleiben, sonst wird Pflege umgangen.

SSID-Template (kompakt)

• SSID: CORP
• Zweck: Mitarbeitende
• Bänder: 5 GHz bevorzugt, 2,4 GHz optional (Legacy), 6 GHz falls aktiviert
• Security: WPA2/WPA3-Enterprise (802.1X)
• Auth: RADIUS cluster rad-01/02, EAP-TLS, Zertifikats-CA: corp-ca
• VLAN: dynamisch via RADIUS, Default VLAN: quarantine
• DNS/DHCP: corp-dns-01/02, DHCP zentral, Relay auf Core
• Policy: Rolle employee, Zugriff intern + Proxy, Logging aktiv
• Owner: Netzwerkteam / Workplace
• Status: aktiv, letzter Review: 2026-01-10

Standort-Template (kompakt)

• Standort: BER
• WLAN-Design: Coverage/Capacity Ziel, AP-Dichte, kritische Bereiche (Konferenz, Lager)
• Radio-Policy: Kanalbreiten, DFS-Nutzung, Tx-Power Min/Max, Mindestdatenraten
• Uplink/LAN: Switches/PoE-Budgets, Uplink-Speed, VLAN-Trunks, Management-VLAN
• SSIDs: CORP, GUEST, IOT (mit VLAN-Mapping)
• Monitoring: KPI-Set, Alarme, On-Call, Runbooks

Best Practices: So bleibt WLAN-Dokumentation dauerhaft aktuell

WLAN veraltet schnell, wenn Dokumentation nicht Teil des Change-Prozesses ist. Definieren Sie deshalb ein Change-Gate: Jede Änderung an SSIDs, VLAN-Mappings, Authentisierung, Radio-Policies, Firmware oder Gastzugang muss ein Doku-Update auslösen. Ergänzen Sie regelmäßige Reviews (z. B. quartalsweise für Gastzugang und Authentisierung, halbjährlich für Radio-Policies und AP-Lifecycle).

• Change-Gate: Kein WLAN-Change ohne aktualisierte SSID-/Standort-Doku und Testnachweis
• Review-Zyklen: SSID-Landschaft, Zertifikatslaufzeiten, Gastportal-Policy, VLAN-Mappings
• Stichproben: SSIDs ohne Owner/Review-Datum, VLAN-Mappings ohne Referenz, offene Gastzugänge
• Standardisierung: Namenskonventionen für SSIDs, VLANs, Rollen, RADIUS-Profile
• Stilllegung: Deprecated SSIDs mit Datum, Kommunikationsplan, Migration und Abschalt-Checkliste

Checkliste: WLAN-Dokumentation für SSIDs, VLANs, Kanäle und Authentifizierung

• Architektur dokumentiert (Controller/Cloud, Standorte, HA, Breakout-Strategie)
• SSID-Template eingeführt (Zweck, Bänder, Security, VLAN/Zone, Auth, DHCP/DNS, Owner, Status)
• SSID->VLAN-Mapping sauber festgehalten (statisch oder dynamisch via RADIUS, inkl. Fallback/Quarantine)
• Authentifizierung dokumentiert (WPA2/WPA3, 802.1X/EAP, RADIUS/IdP, Zertifikatsprozesse, Captive Portal)
• Radio-Policies dokumentiert (Kanäle, Kanalbreiten, DFS, Tx-Power, Mindestdatenraten, Band-Steering)
• Roaming-Features festgehalten (802.11k/v/r, Kompatibilitätsanforderungen, Zielverhalten)
• Monitoring definiert (AP/Radio-Health, Client Experience, Auth-Fehler, Kapazität, Logs/SIEM)
• Runbooks vorhanden (Auth-Fails, DHCP/DNS-Probleme, Performance/Interferenz, Roaming-Abbrüche)
• Dokumentationsschutz umgesetzt (Rollenrechte, Audit-Trail, keine Secrets in der Doku)
• Aktualität gesichert (Change-Gate, Review-Zyklen, Stilllegungsprozess für alte SSIDs)

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.