Feudale Herrschaft

Was bei zwei oder fünf Access-Points wie der Schuss auf Spatzen mit der Kanone erscheint, sieht bei 20 oder 40 Geräten schon anders aus: ein zentrales Management. Sonst bleibt dem Administrator nur der langwierige Weg zu den einzelnen Access-Points über den Web-Browser. Nun würde eine übergreifende Verwaltung allein noch nicht einen eigenen WLAN-Infrastrukturansatz rechtfertigen. Dieses lässt sich mit einer WLAN-Management-Software oder Appliance erledigen. Aber es geht noch um eine zentrale Kontrolle des Wireless-LANs. Welcher Anwender beziehungsweise welches Gerät darf mit welchen Parametern wohin? Und die Übertragung muss sicher sein. Für diese zweite Frage haben verschiedene Hersteller schon länger so genannte Wireless-Security-Gateways als Antwort parat. Sie trennen das Wireless-LAN als Übergangspunkt vom restlichen Unternehmensnetz ab und erlauben ein Roaming auch zwischen IP-Subnetzen. Für die Gateways sind Access-Points aber nichts weiter als eine Komponente im Netzwerk: Fehlanzeige beim Management. In diese Lücken stießen nun die Wireless-Switches, teilweise auch Wireless-LAN-Controller genannt. Grob gesagt, verheiratet ein Wireless-Switch Management und Gateway-Funktionen.

Mit der zunehmenden Akzeptanz von Voice-over-IP wuchs auch das Interesse, digitale Sprache über das Wireless-LAN zu schicken. Allerdings sorgt das Roaming eines WLAN-Handys zwischen zwei Access-Points für eine nicht akzeptable Unterbrechung in der Unterhaltung im Sekundenbereich. Wireless-Switches verkürzen über ein Fast-Roaming diese Zeitspanne wieder auf ein vernünftiges Maß im Millisekundenbereich.

Wenn es nun eine zentrale Instanz mit viel Rechenleistung gibt, dann kann sie den Access-Points auch Arbeit abnehmen. Dieser Gedanke führte so genannten Thin-Access-Points. Hierbei wandert alle Intelligenz bis auf wenigen Ausnahmen in den Wireless-Switch. Der Access-Point (AP) wird zur WLAN-LAN-Bridge degradiert. Allerdings bleiben einige Funktionen wie Verschlüsselung auf der Luftschnittstelle ebenfalls im AP. Der redet nun über ein eigenes Protokoll mit dem Wireless-Switch.

Dieses Vorgehen führt zu einer sehr einfachen Installation. Verbindet ein Mitarbeiter ein Gerät mit dem LAN, sucht dieses nach einem Wireless-Switch und bezieht von ihm seine Konfigurationsdaten. Diebe können ohne passenden Wireless-Switch nichts mit dem Gerät anfangen. Da der Access-Point keine Parameter speichert, kann er auch nichts verraten. Thin-Access-Points sollen auch preiswerter als sein als die Fat-Access-Points.

Dieser Ansatz führt jedoch auch zu einer starken Herstellerbindung. Denn die Thin-APs des einen können nicht mit dem Wireless-Switch des anderen zusammen arbeiten. Dies gilt zum Teil auch für die Fat-Access-Points aus dem gleichen Haus wie des Wireless-Switch. Damit muss ein Unternehmen in der Regel beim Wechsel auf eine Wireless-Switch-Architektur die bisherigen Access-Points austauschen. Das Gleiche gilt beim Wechsel auf ein anderes Wireless-Switch-System. Dies haben auch Hersteller erkannt. Sowohl Aruba als auch Trapeze haben öffentliche Programme gestartet, damit andere Hersteller ihre Access-Points mit einem passenden Boot-Image bestücken und so am entsprechenden Wireless-Switch betreiben können. Außerdem rechtfertigen kleine WLAN-Installationen in der Regel nicht die deutlich höheren Einstiegskosten eines Wireless-Switch-Systems.

Um diesen Inkompatibilitätsproblemen abzuhelfen, gab beziehungsweise gibt es verschiedene Standardsierungsversuche. Die Geräte von Airespace (jetzt Cisco) sprechen LWAPP (Lightwight-Access-Point-Protocol). LWAPP konnte sich aber nicht durchsetzen. Jetzt gibt es eine Arbeitsgruppe CAPWAP (Control-and-Provisioning-of-Wireless-Access-Points) in der IETF. Auf Grund unterschiedlicher Interessen und Ansichten erscheint es jedoch schwierig, zu einer umfassenden Lösung zu kommen. Um das Ganze zu retten, haben Aruba und Trapeze SLAPP (Simple-Light-Access-Point-Protocol) eingebracht. Slapp versucht nur zu regeln, wie ein Access-Point einen Wireless-Switch erkennt, sich gegenüber diesem authentifiziert und ein Steuerprotokoll für die restliche Kommunikation aushandelt.

Nicht mehr ganz in das Bild einer solchen Ansatzes passt die Lösung von Strix. Sie ist als Wireless-Mesh organisiert, das allerdings auch eine zentrale Kontrolle ausübt. Innerhalb des Systems erfolgt aller Transport drahtlos, nicht nur zwischen Client und Access-Point. Dieses erhöht die Flexibilität, schränkt aber die verfügbare Bandbreite gegenüber einem drahtgebundenen Transport zum eigentlichen LAN stark ein.

Unterschiedliche Architekturen
Um die Access-Points mit dem Wireless-Switch zu verbinden, gibt es unterschiedliche Ansätze. Die Verbindung kann einmal direkt auf Ebene 2 erfolgen. Dann hängt der Access-Point unmittelbar an einem Port des Wireless-Switches. Hat der Port Power-over-Ethernet (PoE), versorgt er das Gerät auch mit Strom. Als zweite Möglichkeit liegen Wireless-Switch und Access-Point im gleichen Subnetz. Schließlich können die beiden auch noch in unterschiedlichen Netzen arbeiten und etwa über IP miteinander reden. Welche Möglichkeiten die Lösung beziehungsweise der jeweilige Wireless-Switch erlaubt, hängt vom Produkt ab.

Gleichzeitig bieten die Hersteller ihre Wireless-Switches in unterschiedlichen Größen an: Sie können unterschiedlich viele Access-Points steuern. Zweiter wichtiger Parameter daneben ist die Anzahl der Clients, die ein Wireless-Switch verwalten kann.

Sprache fördern
Im Wireless-LAN bekommt das Thema Quality-of-Service insbesondere durch Voice-over-Wireless-LAN noch zusätzlich Gewicht. Allerdings ist der passende Standard 802.11e für die Luftschnittstelle noch nicht verabschiedet. Mit WMM (Wifi-Multi-Media) gibt es jedoch eine Industriespezifikation, die eine Teilmenge aus 11e realisiert. Daneben unterstützen verschiedene Hersteller das proprietäre SVP (»SpektraLink-Voice-Protocol«). Beim Fast-Roaming beschleunigen die Systeme etwa durch Pre-Authentication oder Key-Caching den Wechsel. Alle Lösungen sind proprietär. Ein passender Standard 802.11r befindet sich erst seit einem Jahr in der Entwicklung. Eventuell kann der Wireless-Switch VoIP-Protokolle wie SIP, H.323, SVP oder Cisco-SCCP (Scinny-Client-Control-Protocol) erkennen und auf Ebene 2 beziehungsweise 3 entsprechend priorisieren.

Schutzschirm errichten
Authentifizierung und Autorisierung erfolgen zentral auf dem Wireless-Switch. Dieser identifiziert die Anwender entweder lokal über einen internen Radius-Server oder greift auf eine externe Quelle zurück: Active-Directory, LDAP oder Radius. Alternativ besitzen verschiedene Systeme ein so genanntes Captive-Portal. Dabei landet der Anwender bei einem Aufruf im Web-Browser automatisch auf einer bestimmten Webseite, auf der er sich dann authentifizieren muss. Dies ist etwa für einen Gastzugang interessant. Außerdem gewähren Systeme den Zugang auch in Abhängigkeit vom Ort, an dem sich der Nutzer befindet. Dies geschieht beispielsweise an Hand einer Lokalisierung des Gerätes oder des Access-Points, an dem sich der Anwender anmelden will.

Hat das System den Nutzer akzeptiert, erhält er Rechte zugeteilt. Dazu gehört etwa, auf welche Systeme er anhand von IP-Adressen oder Ports zugreifen darf. Das System entscheidet, in welches VLAN er gesteckt wird oder wie viel Bandbreite ihm zur Verfügung stehen. Dabei können die Rechte an eine bestimmte Rolle gebunden sein, die der Nutzer zugewiesen bekommt.

Manche Systeme integrieren auch eine Firewall und terminieren VPN-Verbindungen. Bei der Arbeit mit IPsec und NAT schleust NAT-T (NAT-Traversal) IPsec-Pakete unbeschadet durch.

Nachdem Intrusion-Detection/-Prevention im LAN schön länger existiert, findet es jetzt seinen Weg immer mehr auch in die Wireless-Switch-Systeme. Nahezu jedes System kann mittlerweile fremde beziehungsweise unerwünschte Access-Points identifizieren, verwalten und lokalisieren. Daneben erkennen die Lösungen diverse WLAN-Angriffsversuche wie MAC-Spoofing oder Flooding mit falschen SSIDs. Nach der Identifizierung eines unerwünschten Access-Points blockieren verschiedene Systeme diesen etwa über gezielte Deassoziierungsnachrichten. Um die Messungen durchführen, kommen eigene WLAN-Sensoren zum Einsatz. Hersteller haben verschiedene Ansätze, das zu realisieren. Einmal kann ein Gerät je nach Wunsch als Access-Point oder Sensor arbeiten. Oder der Access-Point hat mehrere Sensoren, die wahlweise lauschen oder Daten verschicken. Schließlich will Airespace Lücken in Datenübertragung zum Horchen nutzen. Interessant sind auch Client-Integrity-Checks. Hier arbeitet Aruba mit Sygate (gerade von Symantec gekauft) zusammen oder Bluesocket nutzt CheckPoints »Integrity Clientless Security«.

Alles im Griff
Mit einem Wireless-Switch hat der Administrator nun seine Access-Points alle an einem Haken. Über diesen verwaltet er die Geräte und verteilt die Konfigurationsdaten. Hierein fällt auch die Einstellung der Funkparameter. Dies sind insbesondere Kanal, Sendeleistung und der Typ des Funkinterfaces (11a/b/g). In der Regel besitzen die Systeme ein so genanntes Auto-Tuning. Dabei passt das System die Einstellungen der Access-Points wie Kanal oder Sendeleistung automatisch an die Umgebung an. Dies kann etwa ein zusätzlicher Sender eines benachbarten WLANs oder der Ausfall eines eigenen Geräts sein. Bei Letzterem soll eine Erhöhung der Sendeleistung bei anderen APs die fehlende Abdeckung ausgleichen.

Außerdem kann das System die Events der einzelnen Access-Points zentral einsammeln und darstellen. Reports bieten diverse Übersichten wie über die Netzwerkauslastung und sind wichtig für Fehlersuche oder Kapazitätsplanungen. Ein Syslog-Client bindet die Lösung in eine systemübergreifende Überwachung ein. Als Interfaces sollten geschützte Zugänge wie Secure-Shell, das Web über HTTPS oder SNMPv3 zum Einsatz kommen. Eine serielle Schnittstelle am Wireless-Switch verschafft dem Administrator Zugang, wenn alle anderen Stricke reißen. Ein Monitoring-Interface kann bei Problemen Gold wert sein. Hier leitet das Wireless-Switch-System die Pakete an einen Monitoring-Port zur Analyse etwa mit Ethereal oder kommerziellen Lösungen weiter.

Netzwerkverkehr lenken
Lokale Netze arbeiten heute in der Regel mit Switches: Kollisionen durch Netzwerkpakete gibt es daher kaum. Das ist beim WLAN als Shared-Medium anders. Neben WMM helfen aber auch 802.1p/Q oder DiffServ im Wireless-Switch. Außerdem ordnen verschiedene Systeme auch Bandbreiten zu. Im Wireless-LAN kann eine Lösung den Verkehr auch über Load-Balancing steuern. Hierbei verteilt es die Clients anhand der Last auf die einzelnen Access-Points. Kriterien sind beispielsweise die Auslastung der Access-Points oder die Anzahl der assoziierten Geräte. Je nachdem verschiebt das System Clients auch zu anderen Access-Points.

Anforderungen an die Teilnehmer
Ohne den Wireless-Switch geht in der Regel nichts. Ein Redundanzkonzept mit zwei Geräten sorgt deshalb bei einem Ausfall vor. Spanning-Tree, Per-VLAN-Spanning-Tree, OSPF oder Ähnliches helfen beim Ausfall einer Netzverbindung, einen anderen Weg zu finden.

Besitzt der Access-Point zwei LAN-Interfaces, lassen sich ihm eventuell zwei verschiedenen Wireless-Switches zuordnen beziehungsweise mit ihm verbinden.

Ein oder zwei Gigabit-Interfaces sollten es beim Wireless-Switch sein, um passende Bandbreite für die Access-Points bereitzustellen. Zwanzig 11g-Access-Points können bei einer Netto-Rate von 22 MBit/s immerhin schon 440 MBit/s verschicken.

Die Access-Points sollten am besten zwei 11a/b/g-Funkinterfaces mitbringen. Dies sorgt für Flexibilität in der WLAN-Konfiguration. So könnten 11g für Daten und 11a für Sprache zum Einsatz kommen. Für ein differenziertes Sicherheitskonzept gehören mehrfache SSIDs (Service-Set-ID) unbedingt dazu. Damit kann der Administrator unterschiedliche WLANs wie für Besucher oder Mitarbeiter mit unterschiedlichen Parametern definieren. Bei der Sicherheit ist 802.11i Stand der Dinge. Die passende Industriezertifizierung heißt WPA2 (Wifi-Protected-Access). Ganz grob gesagt, verbirgt sich dahinter 802.1x und AES.

Vor dem Betrieb kommt die Planung
Verschiedene Wireless-Switch-Systeme kommen mit einem Planungsmodul oder einer separaten Software. Diese ermittelt anhand vorgegebener Parameter wie der Mindestbandbreite im WLAN oder Anzahl der Anwender die Orte der Access-Points. Hat der Administrator die Planung akzeptiert und die APs angeschlossen, erhält das Wireless-Switch-System die Parameter und konfiguriert die Access-Points entsprechend. Als zweites kann ein Wireless-Switch-System auch als Site-Survey-Lösung arbeiten. Hier liefert es Bilder über die verfügbare Bandbreite, die Signalstärke oder das Signal-Rausch-Verhältnis.

Als Ausgang dienen CAD-Pläne oder Bilddateien etwa mit einem Grundriss des Stockwerks. Anschießend muss der Administrator die Wände mit den entsprechenden Baumaterialien kennzeichnen. Diesen ordnet das System dann die passenden Dämpfungswerte zu. Allerdings sollte immer auch eine Begehung vor Ort erfolgen. Die Planung ist auch nur eine Schätzung. So berücksichtigt sie etwa Menschen oder Büromöbel nicht, welche die Funkausbreitung ebenfalls beeinflussen.
wve@networkcomputing.de