Auspacken, einschalten, geht« - dies steht sicher auf fast jeder Wunschliste eines Administrators ganz weit oben, gerade auch für Wireless-LANs. Bei einem einzelnen Access-Point kann dies auch so ganz gut funktionieren. Kommen jedoch ein fünfter, 20. oder gar 50. Access-Point dazu, droht das Ganze trotz der problemlosen Installation der einzelnen Geräte unhandlich zu werden. Jeden Access-Point dann einzeln mit einem Web-Browser anzusteuern, wird für den Administrator zu mühseligen Handarbeit. Für eine größere Installation spielt daher die Unterstützung der WLAN-Lösung bei Installation, Verteilung (Deployment) oder Management eine entscheidende Rolle. Daher nahmen wir diesmal nicht einzelne Access-Points unter die Lupe, sondern wollten uns WLAN-Infrastruktrur-Lösungen genauer ansehen. Der Zeitpunkt unseres Tests fiel mit der Gebäuderenovierung an der Syracuse-Universität zusammen, einer Real-World-Labs-Einrichtung.

Die School of Information Study der Syracuse-University plant ein kürzlich renoviertes, viergeschoßiges Gebäude zu beziehen. Zusätzlich zum Ethernet-Netzwerk will die Einrichtung ein sicheres Wireless-LAN für alle Ebenen einrichten, das parallel die Funk-LAN-Standards 802.11b und 802.11a bereitstellt. Dieses Szenario gaben wir den Herstellern in unserer Testanforderung vor, gemeinsam mit den kompletten »AutoCAD«-Zeichnungen und der erwarteten Netzwerknutzung. Wir teilten den Herstellern auch mit, dass wir ihre Produkte hinsichtlich der Skalierbarkeit in einem größerem Netzwerk untersuchen würden, sowohl für Universitätsgelände als auch andere Bereiche.

Report-Card: Wireless-LAN-Infrastruktur

Features: Wireless-LAN-Infrastruktur

Die Hauptpunkte, die wir vorgaben, spiegeln auch die Sorgen der meisten IT-Manager wider, wenn es um strategische WLAN-Einrichtung geht. An der Spitze der Liste befand sich Sicherheit, was flexible Authentifizierung, Zugangskontrolle und Intrusion-Detection sowie Fremd-Geräte-Erkennung einschloss. Wir bewerteten auch die Zuverlässigkeit und Skalierbarkeit des Systems mit ausreichender Management-Automatisierung, so dass kein zusätzlicher Netzwerk-Administrator benötigt wird. Weiter stand auf der Prioritätenliste die Minimierung der Gesamtkosten des Systems, damit gleichzeitig Investitionen in die Infrastruktur der Universität erhalten blieben. Schließlich forderten wir die Hersteller auf, unsere Wünsche nach aufkommenden drahtlosen Anwendungen zu erfüllen. Dies schloss etwa Wireless-Voice-over-IP, Video oder transparentes Wechseln (Roaming) zwischen verschiedenen IP-Subnetzen ein.

Das dichtgedrängte Feld von Start-Ups für WLAN-Systeme im Hinterkopf, schickten wir das Anforderungsprofil an eine lange Liste von etablierten und neuen Herstellern. Wir erwarteten dabei eine detaillierte Antwort und Zeit für eine praktische Einweisung in ihr System an einem Tag in unseren Labors. Dabei sollte das System eine Reihe vordefinierter Tests durchlaufen. Für einige neue Hersteller waren wir zu früh dran. Etablierte Hersteller wie Cisco Systems, Enterasys Networks und Symbol Technologies sowie die Start-Ups Airspace, Aruba Wireless Networks, Chantry Networks und Trapeze Networks antworteten auf unsere Einladung und zogen das Projekt durch. Unter den bekannten Unternehmen, die nicht teilnahmen, war Proxim, das zwar auf die Anforderungsliste antwortete, sich aber während des Tests zurückzog. Proxim begründete dies mit geplanten Änderungen in der Produktlinie, so dass die derzeitige Lösung bei Veröffentlichung überholt wäre. Verschiedene Hersteller, einschließlich Airflow Networks, Legra Systems, Extreme Networks und Nortel Networks lehnten eine Teilnahme mit der Begründung ab, dass ihre aktuellen Lösungen für die Tests noch nicht reif seien. Hewlett-Packard lehnte eine Teilnahme wegen begrenzter Ressourcen ab. Das System von HP baut sich um die Produkte von Proxim und Vernier Networks auf. Intermec sandte uns schließlich eine detaillierte Erklärung, warum ihre Geräte und das anwendungsorientierte Geschäftsmodell sie in unserem Szenario nicht gut aussehen lassen würden. Diese ehrliche Darstellung haben wir sehr begrüßt.

Start-ups eine Chance geben

Vorausgesetzt, dass unser System frühestens ab Mitte 2004 installiert wird, empfehlen wir der Universität, dass sie sich verschiedene Angebote von Start-ups anschaut. Wir hatten den Eindruck, dass die getesteten Start-up-Produkte wohl durchdacht sind. Abhängig von den Bedürfnissen, könnte ein Unternehmen jedes von diesen Produkten nehmen, so lange es die Geduld hat, sie ein wenig reifen zu lassen. Daneben muss es das Risiko tolerieren, mit einem Start-up zu arbeiten. Dabei geht es um neue, komplexe Systeme. Auch wenn wir keinen Grund haben, die Fähigkeiten der Start-ups in Frage zu stellen, wären wir überrascht, wären die Systeme von der Version 1.0 an vollkommen stabil.

Wenn wir allerdings ein System im nächsten Monat einrichten müssten und keine erweiterten Sicherheitsfunktionen und Mobilitätsdienste benötigten, wie sie die neuen Hersteller anbieten, würden wir vielleicht mehr etablierten Herstellern wie Cisco, Enterasys oder Symbol den Vorzug geben. Diese haben anerkannte Erfahrung mit der Technologie und besitzen ausgereiften Verkauf und Support.

Airspace Wireless Enterprise Platform

Mehr als 500 Access-Points hatte Airspace bei Kunden bereits installiert, bevor sie in unseren Labor antrat. Dies hebt das Unternehmen ein wenig aus den Start-ups hervor, was die Erfahrung anbelangt. Airspaces Antwortpapier war umfangreich, kosteneffizient und übertraf unsere minimalen Anforderungen bezüglich der Performance. Im Labor durchlief Aispace alle Tests, ohne dabei ins Schwitzen zu kommen. Die einfache Installation, die Sicherheitseigenschaften, die Anpassung an eine veränderte Funkumgebung, die Bandbreite und die Reichweitenergebnisse beeindruckten uns.

Airspace bietet Switches an, die eine ähnliche Funktionalität besitzen wie die von Aruba und Trapeze. Aber Airspace zog es vor, seine »Airspace 4100 WLAN Appliance« in unserer Testumgebung einzusetzen. Der 4100 schloss sich an unseren Gebäude-Backbone-Switch durch einen oder beide Gigabit-Ethernet-Interfaces an. Die »Airspace 1200«-Access-Points kommunizieren mit dem 4100 über die vorhandene Layer-2-Ethernet-Infrastruktur. Die »Airspace Control Software« kann bis zu 25 Appliances und die zugehörigen Access-Points verwalten.

Obwohl der Listenpreis nur etwas mehr als die Hälfte des Angebots von Trapeze beträgt, erschienen die Airspaces-Access-Points gut verarbeitet, mit einer herausragenden und flexiblen Antenne als auch Anschlüssen für externe Antennen. Der 1200-Access-Point unterstützt 802.11b und 802.11a. Es traten keine Interoperabilitätsprobleme während der Tests auf. Die Access-Points waren auch bereit für 802.11g, mittels Software-Upgrade.

Bei der Funk-LAN-Planung bewegt sich Airspace auf der Grenzlinie zwischen automatischem und traditionellem Vorgehen. Das Unternehmen offeriert einige ein wenig begrenzte Werkzeuge, um die Ausbreitung der Funkwellen zu bestimmen. Die Werkezuge sind allerdings nicht so leistungsfähig wie bei Trapeze. Die Werkzeuge helfen dem Administrator, fundierte Vorschläge für die Positionen der Access-Points zu bekommen. Allerdings empfiehlt Airspace, immer noch eine manuelle Überprüfung vorzunehmen. Die richtige Platzierung der Access-Point ist nicht so essenziell wie bei den Konkurrenzprodukten. Denn die »AirWave Director«-Software, die im Bundle mit dem 4100 kommt, gleicht Interferenzen dynamisch aus, behebt Funklöcher und gleicht die Anwenderdichte aus, indem es die Sendeleistung und Kanalwahl anpasst sowie Load-Balancing einsetzt. Airspace nennt dies »Intelligent RF Control Plane« und gibt an, dass es entworfen wurde, um den Funkdurchsatz unter Wahrung der Sicherheit zu verbessern.

Andere Produkte können entweder manuell oder zu bestimmten Intervallen neu konfiguriert werden. Airspaces System arbeitet dagegen in Echtzeit. Trotzdem kann der Administrator die Kontrolle behalten, indem er das System so einstellt, dass es erst nach einem System-Prompt die Änderungen ausführt und manuelle Änderungen erlaubt, falls er dynamische nicht wünscht. Airspace gibt an, dass die gleichen Access-Points, die auch den Datenverkehr abwickeln, gleichzeitig auch eine Analyse der Funkumgebung in Echtzeit mit einer Performanceeinbuße von weniger als einem Prozent durchführen.

Die Sicherheitsarchitektur von Airspace beeindruckte uns. Um die Wahrscheinlichkeit einer sicheren Installation vom Tag null an zu erhöhen, unterstützt die Default-Konfiguration von 4100 nur SSH- oder HTTPS-Verbindungen. Allerdings kann der Administrator Telnet und HTTP manuell freischalten. Dazu passt auch, dass die Box die sicherere Version 3 von SNMP beherrscht.

Ein sicheres Management stellt aber nur ein Element einer WLAN-Sicherheits-Infrastruktur dar. Mit der Unterstützung von 802.1x, WPA (Wi-Fi-Protected-Architectur), VPN-Terminierung und -Pass-Through, Hardware-AES-Encryption sowie erzwungener Authentifizierung über ein Portal (Captive-Portal) kann die Airspace-Enterprise-Plattform geradezu jede Sicherheitsherausforderung bewältigen. Das Captive-Portal erlaubt ein einfaches Login über das Web, was eine interessante Alternative bedeutet, wenn etwa 802.1x oder VPN nicht denkbar sind. Jeder Anwender mit einem auf Browser basierendem Gerät – Besucher und Gäste eingeschlossen – kann Zugang mit den entsprechenden Anwender- oder Gruppen-spezifischen Beschränkungen erhalten.

Um Einbruchsversuche über das Wireless-LAN zu durchkreuzen, hat der 4100 eine Black-List-Funktion. Diese hält einen Anwender für eine bestimmte, vom Administrator einstellbare Zeit davon ab, sich an einem Access-Point anzumelden (Association), wenn eine konfigurierbare Anzahl fehlgeschlagener Logins stattfand. Das System kann auch nach unerwünschten Access-Points (Rogue-Access-Points) suchen und den Administrator für diesen Fall benachrichtigen. Es kann sogar Anwender abhalten, sich am fremden Gerät anzumelden, indem es einen Denial-of-Service-Angriff auf dieses Gerät startet.

Setup und Tests verliefen ohne eine Störung. Wir bekamen den 4100 und die zugehörigen Access-Points in weniger als 10 Minuten zum Laufen. Airspace steckt viel Energie – mit großem Erfolg – hinein, die Installation so einfach wie möglich zu halten. Das Web-Management-Interface lässt sich allgemein sehr intuitiv bedienen, ohne Leistungsfähigkeit und Flexibilität zu opfern. Ein IOS ähnliches Interface, dem Betriebssystem von Cisco, steht ebenfalls bereit.

Der Wechsel zwischen den Subnetzen war sauber und einfach. Zusätzlich zur Unterstützung von 802.1x kann Airspace IPsec-Sessions terminieren und erlaubt umfassende Mobilität über Subnetze hinweg. Der Durchsatz war an oder nahe an der Spitze, etwa gleich mit Cisco und Symbol. Die Reichweite für 11a war die beste von allen getesteten Produkten, was die Qualität des Antennendesigns glaubhaft bestätigte. Mittlerweile veröffentlichte Airspace die Version 2 von »AirOS« für die Access-Points sowie vom Airspace-Control-System. Letzteres arbeitet jetzt eng mit dem »Airwave Director« zusammen, um WLAN-Parameter in Echtzeit anzupassen. Der neue »Airspace 1200R Remote Access Point« (REAP) muss nicht direkt am Switch hängen, sondern kann etwa in Außenbüros stehen, über ein WAN mittels LWAPP (Lightweight-Access-Point-Protocol) an den Switch angebunden.

Aruba 5000 Wireless LAN Switching System & Aruba 52 Access Point

Aruba lieferte ein ausgezeichnetes Antwortpapier, das auf dem hoch skalierbaren »Aruba 500 Wireless Switch« und dem »Aruba 52«-Vielzweck-Access-Point beruht. Auch wenn der 3U-hohe Wireless-Switch in direkter Verbindung bis zu 72 Access-Points unterstützt, passt das 30000 Dollar teuere Gerät besser in die Verteilungsebene oder den Backbone als an den Rand des Netzes. Dies ist auch genau der Bereich, wo Aruba ihn uns einrichtete, verbunden mit unserem Backbone-Switch via Gigabit-Ethernet.

Der Aruba-5000-Switch kann die Access-Points sowohl direkt ansprechen und verwalten, also unmittelbar mit den Switch-Ports verbunden, als auch über eine Ebene-2- oder -3-Architektur. Access-Points von Dritt-Herstellern werden unterstützt. Es stehen dann allerdings einige Management-Fähigkeiten des Systems nicht zur Verfügung. Über einen einfachen DNS-Aufruf finden neu gebootete Aruba-Access-Points den 5000-Wireless-Switch in ihrem eigenem Netzwerk oder über Router hinweg, bei Letzterem mit Hilfe von GRE (Generic-Routing-Encapsulation). Außerdem erhalten die Access-Points über den DNS-Aufruf automatisch ihre passende Konfigurationsdatei.

Aruba kombiniert fortgeschrittene Site-Survey-Funktionen, ähnlich wie bei Trapeze, mit der Echtzeit-Infrastruktur-Optimierung, die der von Airspace ähnelt. Auch wenn die Fähigkeiten nicht so ausgeprägt sind wie bei Trapeze, kann Aruba Stockwerkspläne importieren, ein 3D-Modell der Funkwellenausbreitung erstellen und einen Startvorschlag für die Positionierung von Access-Points machen.

Sind die Access-Points einmal installiert, dient eine dynamische Kalibrierung der Frequenz-Parameter dazu, Abdeckungsprobleme zu beheben. Dazu werden Funkleistung des Access-Points und Kanalzuordnung geändert. Dynamisches Load-Balancing kann einen Access-Point entlasten, wenn dort die Anwenderdichte zu hoch ist. Anders als Airspace, das jeden Access-Point für Monitoring und Netzwerkverbindungen nutzt, konfiguriert Aruba eine begrenzte Anzahl von Access-Points so, dass sie als »Air-Monitors« arbeiten. Air-Monitors können dynamisch in den Access-Point-Modus wechseln, um die Systemverfügbarkeit zu erhöhen, wenn ein Access-Point ausfällt. Dieser Ansatz erhöht die Systemkosten moderat. Aruba argumentiert allerdings, dass die Trennung von Access-Point- und Air-Monitoring-Funktionen die Möglichkeit eines zusätzlichen Overheads vermeidet. Dies verhindert die damit einhergehende Verringerung der Performance, wenn der Access-Point beide Aufgaben ausführt.

Der Aruba-5000-Wireless-Switch unterstützt die ganze Palette an Sicherheits-Standards. Wie andere Produkte bringt der 5000 802.1x, WPA, AES sowie Authentifizierung über ein Captive-Portal mit. Aruba erleichtert die Einrichtung (Deployment) und Nutzung eines VPNs, indem es den »Aruba VPN dialer« als Download über eine anpassbare Captive-Portal-Web-Seite anbietet. Was Aruba aber hervorhebt, sind Stateful-Firewall-Funktionen pro Anwender: Es steht eine vollständige auf Rollen basierende Authentifizierung zur Verfügung, deren Rollen der Administrator über Stateful-Firewall-Regeln konfiguriert. Dies bietet die meisten Möglichkeiten von allen Produkten für eine sehr detaillierte Zugangskontrolle in diesem Test.

Wie Airspaces Produkt kann auch Arubas Wireless-Switch fremde Access-Points aufspüren und Anwender davon abhalten, sich an illegalen Access-Points anzumelden (Association). Allein Aruba führt eine verteilte Echtzeitanalyse von Paketen pro Access-Point oder pro Anwender durch. Die Basis bildet dabei die Protokoll-Analyse-Software »Ethereal«. Aruba plant zusätzlich »AiroPeek« von WildPacket in einem kommenden Release zu unterstützen.

Genauso wie Airspace unterstützen auch Arubas Access-Points mehrfache ESSID (Extended-SSID) wie auch VLAN-Tagging und stellen 16 BSSIDs (Basic-SSID, normalerweise MAC-Adressen) pro Funkeinheit bereit, um Themen wie Broadcasts und Bündelung von Multicast-Verkehr zu entschärfen, wenn mehr als eine ESSID verwendet wird.

Bei der Einrichtung fanden die Access-Points den Switch schnell und konnten dann ihre Konfiguration erhalten. Wir richteten das System einmal so ein, dass die Access-Points direkt mit dem Switch verbunden waren. Dann hingen Access-Points und Switch direkt im gleichen Netz, und schließlich richteten wir die Access-Points noch in einem anderen Subnetz ein. Unabhängig davon, wie die Access-Points mit dem Switch verbunden waren, waren sie immer korrekt mit unterschiedlichen Kanälen konfiguriert. Wir konnten die Tests immer nach wenigen Minuten starten. Während unserer Testzeit waren Konfiguration und Management auf ein IOS-ähnlichen Command-Line-Interface (CLI) begrenzt. Das CLI ist ein mächtiges Werkzeug für erfahrene Administratoren, für Neulinge aber schwierig zu erlernen. Aruba informierte uns, dass sie jetzt ein auf Webtechniken basierendes Management-Tool ausliefern.

Der Durchsatz bei Aruba war solide. Der maximale Durchsatz bei 802.11b betrug 6,5 MBit/s, bei 802.11a waren es 24,3 MBit/s. Nur Airspace und Cisco lieferten vergleichbare Ergebnisse. Bei der Reichweite war Aruba für 11a nahe an der Spitze, aber bei 11b erzielte Aruba das schlechtestete Ergebnis von allen sieben getesteten Herstellern.

Bei der Höhe der Kosten stand Aruba mit seinem Lösungsvorschlag an fünfter Stelle, was zum größten Teil an den Kosten für den 5000-Switch lag. Auf der positiven Seite steht das Setup des Aruba-5000, das mächtig genug ist, als Appliance im Kernnetzwerk zu arbeiten und dabei ein sicheres sowie skalierbares Gateway zu bilden, das fremde Access-Points am Netzwerkrand unterstützt. Dies mag genau das sein, was viele Funknetze benötigen – in diesem Zusammenhang erscheinen 30000 Dollar für ein zentrales Gerät, um drahtloses und drahtgebundenes Netzwerk zu verbinden, nicht unverständlich. Allerdings kann die Appliance, wenn sie im Kernetz installiert wird, nicht alle ihre Vorteile ausspielen, die das System bietet, wenn die Access-Points direkt am Switch hängen.

Trapeze Networks Mobility System

Als Antwort von Trapeze auf unsere Anfrage kam einmal der »Mobility Exchange« (MX), ein verteilter Wireless-Switch, dann die »Mobility Points« (MP) als schlanke Access-Points sowie die »Mobility System Software«, um die zwei Hardware-Komponenten miteinander zu verbinden. Schließlich gehörte noch die »RingMaster Tool Suite« dazu, eine integrierte Werkzeugsammlung für Planung, Deployment und Management.

Obwohl das Trapeze-System viele Eigenschaften mit den Systemen von Airspace und Aruba teilt, hebt es doch vor allem auf die Ringmaster-Software als Hauptunterschied zum Mitwettbewerb ab – Ringmaster als Kronjuwel. In der Tat zeigt sich Ringmaster als das durchdachteste WLAN-Simulations- und Design-Tool, das wir gesehen haben. Es erlaubt, ein komplettes virtuelles System zu entwerfen, bevor ein einziger Techniker losgeht und ein einziger Access-Point installiert wird.

Das Tool zieht Faktoren, die das Frequenzverhalten des Funknetzbereiches beeinflussen, mit in die Simulation ein, Türen, Fenster, Wände oder Decken eingeschlossen. Auch wenn die Simulation nicht zu 100 Prozent vollständig ist – Ringmaster berücksichtigt etwa nicht die Effekte durch Möbel oder Menschen – kommt es dem Ganzen näher, als es jemand zuerst vermuten würde. Außerdem erstellt die Software eine detaillierte Arbeitsliste für die Installation aller Systemkomponenten, bis hin zum genaue Ort und dem MX-Switch-Port, an dem der Access-Point hängen soll. Dies kann eine Menge Zeit sparen, wenn ein Unternehmen für eine Installation unter Vertrag steht.

Es stellt sich aber die Kernfrage, um wieviel mehr Ringmaster an das Ideal herankommt als ein einfaches Frequenzplanungswerkzeug. Interessanterweise war die vorgeschlagene Konfiguration von Trapeze für unser Gebäude auf der Basis der AutoCAD-Zeichnungen, die wir mitlieferten, recht ähnlich denen, wleche die Mitwettbewerber lieferten. In Anbetracht der Unsicherheiten bei der Ausbreitung von Funksignalen und der Schwierigkeit, die Bandbreitenbedürfnisse der Anwender vorauszusagen, ergibt es oft mehr Sinn, eine hohe Dichte an Access-Points zu installieren und das System die Probleme lösen zu lassen, indem es Leistungseinstellungen und Kanalzuordnung selbst vornimmt.

Auch wenn Trapeze sich für die Funkplanung auf Ringmaster verlässt, schätzt das Unternehmen die Umgebung im Bereich eines Funknetzes als zu unwägbar ein, als dass es sich auf eine dynamische Anpassung der Funkparameter für einen ordnungsgemäßen WLAN-Betrieb verlassen möchte. Stattdessen sammelt der Administrator mit Ringmaster neue Informationen für den Betrieb, entwickelt ein neues Modell und verteilt es anschließend; am besten, wenn niemand im System ist.

Wenn die MXs und MPs einmal installiert sind, kann das Management-System die Konfiguration verteilen, die Ringmaster während der Planung erzeugt hat. »Was wäre wenn«-Fragen wie eine Zunahme der Anwenderlast oder fehlerhafte Access-Points kann der Administrator innerhalb Ringmaster untersuchen, um herauszufinden, wie diese die Netzwerkperformance beeinflussen, ohne dass sie im System auftreten müssen.

Natürlich geht es bei der Lösung von Trapeze nicht nur um Ringmaster. Sicherheitsfunktionen schließen beispielsweise WEP, TKIP oder WPA ein und über ein Software-Upgrade auch AES. In der nachfolgenden Version 1.1 implementierte Trapeze AES in Hardware. Die Sicherheitsarchitektur dreht sich im Großen und Ganzen, um die Authentifizierung mit 802.1x, was von allen Anwendern verlangt, sich über einen AAA-Server (Authentication, Authorization und Accounting) anzumelden, um einen Netzwerkzugang zu erhalten. Trapeze nimmt auch dem AAA-Server Arbeit ab. Das lindert auch mögliche Performance-Flaschenhälse, wie Trapeze meint. Nicht authentifizierte Anwender bleibt entweder der Netzwerkzugang ganz versperrt, oder sie erhalten einen vorkonfigurierten Minimalzugang wie etwa ins Internet. Diese Anwender können vom Administrator auf Basis der MAC-Adresse auch mehr Zugriffsrechte bekommen. Es gibt keine Unterstützung für VPN-Zugang oder Authentifizierung über ein Captive-Portal.

Trapezes »Identiy-based Networking«-Funktion unterstützt Mobilität über Subnetz-Grenzen hinweg, indem dem einzelnen Anwender ein VLAN zuordnet und dieses aufrechterhält, wenn Anwender ein Roaming durchführen. Dies geschieht gewöhnlich, indem das System den Verkehr zur Home-MX routet. Die Lösung funktioniert gut für Organisationen, die Einschränkungen über die Zugangskontrolle mit Hilfe von VLANs durchführen. CoS und QoS (Class- und Quality-of-Service) unterstützt die Lösung ebenso.

Unsere Tests des Mobility-Systems schlossen ein paar Rückschläge mit ein, die uns bis spät in die Nacht im Labor hielten. Obwohl Trapeze mehr Ausrüstung mitbrachte als jeder andere Hersteller, zog sie es vor, unser Test-Szenario mit einer Beta-Version der Ringmaster-Software durchlaufen, um uns die Funktionen für die Erkennung von unerwünschten Geräten zu demonstrieren. Allerdings erwies sich die neue Software als ein bißchen fehlerhaft. Wir wollten die Zuordnungen der Access-Point-Kanäle ändern. Die Access-Points weigerten sich, geänderte Konfigurationsdaten anzunehmen Dieses Verhalten führte letztlich zu einem Kaltstart der gesamten Ausrüstung. Trapeze versicherte uns, dass dieses Problem behoben wurde.

Trapezes Authentifizierungssystem ist eng mit 802.1x verbunden. Wir erlebten einige Probleme, 802.1x unter Windows-2000 bei allen unseren Netzwerkkarten im Testpool zum Laufen zu bringen. Dies war jedoch eine Voraussetzung für unsere Performancetests. Wir lösten schließlich die meisten Clientprobleme, bis wir herausfanden, dass es einen einfacheren Weg unter Windows-2000 gab, die Windows-2000-Clients mit dem System für die Test zu verbinden. Wir verwendeten eine Standard-Zugangskonfiguration.

Trapeze landete im mittleren Bereich des Feldes, was die Performance anbelangt, mit maximalen Durchsatz von 5,1 MBit/s für 802.11b und 23,1 MBit/s für 802.11a. Bei den Reichweitentests glänzte das System nicht so sehr: Bei 11b kam Trapeze an vorletzter Stelle. Für 11a sah es ein wenig besser aus. Hier kam Trapeze an vierter Stelle hinter Airspace, Aruba und Symbol. Ähnlich wie bei Aruba erreichte Trapeze eine bessere Abdeckung mit seiner 11a-Funkeinheit als mit dem 11b-Teil.

Mit etwa 161000 Dollar ohne redundante Stromversorgung und Gigabit-Ethernet-Interfaces für die MXs war Trapezes Lösung die teuerste – mehr als 60 Prozent höher als die von Airspace. Wenn man jedoch in Betracht zieht, dass die Einkaufskosten nur 25 Prozent der TCO (Total-Cost-of-Ownership) ausmachen, und Trapeze meint, dass die Lösung operationale Kosten einspart, dann fällt die Differenz bei den Kosten natürlich nicht so hoch aus. Da sich die MPs sich direkt mit den MXs verbinden, ohne dass separate Ethernetports benötigt werden, treten kleinere Einspareffekte bei den Ethernet-Port-Kosten auf, die in unseren Kostenbetrachtungen nicht herauskommen.

In der nachfolgenden Version 1.1 bringt Trapeze Access-Point für 11a, 11b oder 11g, den jeweiligen WLAN-Standard per Software einstellbar. Die Dual-Mode-Version besitzt zwei Funkinterfaces, wobei auch ein Interface als Access-Point arbeiten und das andere Monitoring übernehmen kann.

Symbol Technologies Symbol Wireless Switch 5000

Symbol war der erste Hersteller, der 2002 mit seinem »Symbol Wireless Switch« eine echt verteilte Enterprise-Wireless-Lösung vorstellte. Zu dem Switch gehören Thin-Access-Points, die Symbol »Access Ports« nennt.

Mit ein bißchen mehr als einem Funkinterface und ein paar Power-over-Ethernet-Schaltkreisen (PoE) stellt Symbols Wireless-Switch-Design den Archetypus einer Thin-Access-Point-Lösung dar. Wenn der Access-Port eingeschaltet wird, sucht er den Wireless-Switch mittels Broadcasts. Dieser antwortet dann mit der passenden Konfiguration. Wie bei den anderen Switching-Produkten speichert Symbols Access-Point keine nützlichen Informationen und kann ohne eine zentrale Kontrolleinheit auch nicht arbeiten. Dies bringt nur ein geringes Risiko eines Diebstahls mit sich. Zudem erlaubt das schlanke Design, die Access-Ports oberhalb der Decke in einem Zwischenboden zu verstecken.

Wireless-Netzwerke arbeiten als Shared-Medium. Obwohl der Wireless-Switch mehr einem Appliance-ähnlichem Wireless-Gerät entspricht, beschreibt sein Name genauer die Systeme Airspace-4000, Trapeze und Aruba, die geswitchte Ethernet-Ports besitzen, an denen Access-Points hängen können. Der Wireless-Switch wird in eine Standard-Draht-Ethernet-Infrastruktur eingebunden. Das Produkt bietet redundante 10/100-MBit/s-Ethernet-Ports und soll in einer künftigen Version Gigabit-Ethernet unterstützen. Obwohl der Switch in einem einzelnen Subnetz sitzen kann, dient er doch vor allem dazu, 802.1q-VLANs zu handhaben. Daher kann der Switch mit Access-Points und Anwendern über alle Subnetze hinweg kommunizieren. Bei Access-Points, die nicht im eigentlichen VLAN des Anwenders sitzen, ermöglicht die Lösung ein Roaming, indem sie Verkehr über Access-Points, die nicht im Heimat-VLAN des Anwenders liegen, zum Switch hin oder zurück tunnelt, so dass die Notwendigkeit entfällt, einen Router zu durchqueren. Die Arbeit mit VLAN ist zweckmäßig, aber komplex.

Info

Kostenübersicht

Die Gesamtkosten schließen ein:

• Kosten der Ethernet-Infrastruktur (geliefert vom Hersteller oder basierend auf unserer Cisco-Konfiguration für 63410 Dollar),

• Kosten der vom Hersteller gelieferten Infrastruktur-Hardware (Switch, Access-Points und andere Geräte),

• Kosten der gesamten Software, die notwendig ist, und

• Kosten für die Installation (Annahme von 500 Dollar für jeden Access-Point).

Airspace: Die kompletten Systemkosten, einschließlich Cisco-Switches, der 4100-WLAN-Appliance (13195 Dollar), 22 Access-Points (je 400 Dollar) und Installation betrugen 96405 Dollar. Das Air-Control-System kostet 1000 Dollar und wird benötigt, um mehrere Appliances oder Switches zu administrieren.

Aruba: Die kompletten Systemkosten, einschließlich Cisco-Switches, einem Startpaket mit einem WS-5000-Switch, Supervisor-Modul und 10 Access-Points (38995 Dollar), 15 zusätzlichen Access-Points (je 500 Dollar) sowie Installation betrugen 122405 Dollar.

Chantry: Die kompletten Systemkosten, einschließlich Cisco-Switches, einem Startpaket mit einem Wireless-Router und 4 Access-Points (14900 Dollar), 22 zusätzlichen Access-Points (je 349 Dollar) sowie Installation betrugen 98988 Dollar.

Cisco: Die kompletten Systemkosten, einschließlich Switches, 40 1200-Serie-Dual-Band-Access-Points (je 1299 Dollar), WLSE-Management-System und Installation betrugen 143865 Dollar.

Enterasys: Zwei Vorschläge erhielten wir von Enterasys, einen mit Cisco-Switches und einen mit ihren eigenen Switches. Gemeinsam mit den Cisco-Switches schlug Enterasys eine Konfiguration mit 23 Access-Points (je 696 Dollar) und dem Netsight-Manager (20940 Dollar) vor. Inklusive der Installation betrugen die Kosten 118137 Dollar. Mit den Enterasys-Switches waren die Kosten bei 133197 Dollar.

Symbol: Zwei Vorschläge erhielten wir von Symbol, einen mit Cisco-Switches und einen mit Foundry-Switches. Gemeinsam mit den Cisco-Switches schlug Symbol eine Konfiguration mit 24 11b- und 24 11a-Access-Points (je 249 Dollar) und drei Switches (16360 Dollar) vor. Inklusive der Installation betrugen die Kosten 120722 Dollar. Mit den Foundry-Switches waren die Kosten bei 108267 Dollar.

Trapeze: Die kompletten Systemkosten, einschließlich Cisco-Switches, vier MX-Wireless-Switches mit Gigabit-Ethernet-Support (je 7990 Dollar), 24 Single-Band-Access-Points (je 649 Dollar), 19 Dual-Band-Access-Points (je 899 Dollar), System-Software (11975 Dollar) und Installation betrugen 161502 Dollar.

Von allen Herstellern in diesem Test ist Symbol derjenige mit der meisten Erfahrung im Umgang mit Handhelds, und sein Produkt ist für diese Art von Umgebung ausgerichtet. Beispielsweise wies Symbol darauf hin, dass drahtlose VoIP-Telefone (Voice-over-IP), Handhelds oder andere Geräte, die von PSP (Power-Save-Polling) profitieren, eine zusätzliche Latenzzeit erfahren können und dies ihre Batterie-Spar-Fähigkeiten in einer Umgebung zunichte macht, die nicht für gelegentlichen mobilen Verkehr ausgelegt ist. Diesen Verkehr, der in Queues zwischengespeichert ist, bietet das System in einem Frame zu einem festgelegten Intervall an, gemeinsam mit BSSID der ESSID, um passende Geräte zu benachrichtigen, dass für sie Pakete da sein könnten. Broadcast- und Multicast-Verkehr wird in diesem Intervall ebenfalls hinausgeschickt. In Umgebungen jedoch mit mehreren ESSIDs auf einem Access-Point – ein guter Ansatz, um Latenz-empfindlichen Verkehr zu trennen – würden PSP-Geräte konstant mit Broadcast- und Multicast-Verkehr von allen SSIDs überschwemmt. Dies hebt die Vorteile des PSP-Modus auf und zwingt die Geräte elektronisch in die Knie. Um dieses Problem zu lösen, erhält jeder Access-Point mehr als eine BSSID, um zusätzliche SSIDs nutzen zu können. Dadurch haben Broadcast- und Multicastverkehr nicht den gleichen schädlichen Effekt. Symbols Access-Point, der 32 ESSIDs besitzen kann, stellt vier BSSIDs zur Verfügung, um dieses Problem zu entschärfen. Airspace und Aruba haben sich als einzige Hersteller ebenfalls dieses Problems angenommen. Mittlerweile arbeitet Trapeze auch mit mehreren BSSIDs.

Der Wireless-Switch unterstützt sowohl 802.1x als auch Kerberos-Authentifizierung und WEP-Verschlüsselung. In der nachfolgenden Version 1.1.4.30SP1 unterstützt Symbol WPA, 802.1x sowie seinen proprietären »KeyGuard«-Algorithmus zur Rotation von Schlüsseln.

Das Setup des Wireless-Switches und der Access-Points verlief schmerzlos. Nach dem Einschalten des Switches und dem Verschicken der Konfigurations-Policy an die Access-Points waren wir bereit für den Test. Wir konnten auch die Noch-Beta-11a-Fähigkeiten in Symbols zum Testzeitpunkt neuen Access-Points testen. Unsere 11b-Tests führten wir mit Symbols derzeit lieferbaren 11b-Access-Points aus.

Der Durchsatz von Symbol lag in der Mitte, mit einer Spitze von 5,8 MBit/s für 802.11b und maximalen Performance von 22,2 MBit/s für 802.11a. Interessanterweise stellten wir in unseren 802.11b-Tests fest, dass unser Notebook, ausgerüstet mit einer Symbol-Karte mit 3 MBit/s eine bessere Performance erzielte als die anderen Karten, die ungefähr ein MBit/s übertrugen. Symbol arbeitete glänzend in unseren Reichweitentests. Für 11b teilte sie sich mit Airspace und Cisco den ersten Platz, für 11a lag sie an dritter Stelle.

Info

Infrastruktur-Anforderungen

Die School of Information Studies (IST) der Syracuse University zieht in ein komplett renoviertes, viergeschoßiges Gebäude um, erbaut in 1953. Dieses Gebäude stellt die Umgebung dar, für welche die Hersteller im Test ihren Vorschlag liefern sollten.

Ein vorläufiges Ethernet ist um die Standard-SU-Konfiguration herum entworfen worden. Ein »Cisco Systems 4503«-Multilayer-Switch wird als Backbone-Switch für die Verteilung im Gebäude verwendet, mit Gigabit-Ethernet-Verbindungen zum Universitäts-Backbone und Gigabit-Ethernet-Verbindungen zu »Cisco Catalyst 3550«-Switches mit Power-other-Ethernet-Fähigkeit.

Der geschätzte Preis für die Ethernet-Backbone-Komponenten beträgt 63410 Dollar. Im Test konnten die Hersteller bei ihrem Vorschlag entweder auf die vorhandene Infrastruktur mit »Cisco 3550/4503« aufbauen oder eine andere Infrastruktur vorschlagen. Den Kostenvergleich führten wir zwischen den Vorschlagen der Hersteller auf der Basis des kombinierten drahtgebundenen und drahtlosen Netzwerks durch.

Die Struktur des Gebäudes besteht aus Fluren mit Stahlbetonplatten und Betonsäulen, mit Stahltägern verstärkt. Der Einsatz von Wireless-LAN wird vermutlich in den öffentlichen und halböffentlichen Bereichen wie Klassenräumen und Labors am höchsten sein. Die Hersteller erhielten Hilfestellung bei der zu erwartenden Dichte der WLAN-Anwender. Als Ziel wurde ein minimaler, durchschnittlicher Durchsatz pro Anwender von 500 KBit/s vorgeben.

Das IST-Netzwerk wird in das Campus-Netzwerk eingebunden. Die zentrale IT-Gruppe der Syracuse-Universität hat eine Anzahl von drahtlosen Hotspots auf dem Campus installiert. Dazu setzte sie »Cisco 350«- und »1200«-Access-Points ein, sowohl in öffentlichen Räumen wie der Bibliothek, als auch in verschiedenen Universitätsabteilungen. Selbst wenn die Universität einen neuen Wireless-Netzwerk-Hersteller auswählen würde, bliebe das Ziel, so viel wie möglich der bereits vorhandenen Investitionen zu erhalten.

Derzeit gibt es in den Laboren, Klassenräumen und Büros um die 145 Desktops und 70 Notebooks. Diese Rechner greifen auf Server zu, die unter Netware, Linux oder Windows arbeiten. Das IST hat zwei IP-Subnetze innerhalb des Class-B-Netzwerkes der Universität erhalten. Für die kommenden drei Jahre rechnet das IST mit einem Anstieg bei der Zahl von Notebooks, PDAs oder anderer Geräte mit drahtloser Funktionalität. Etwa 200 Notebooks werden für 2004 erwartet, was einen Anstieg von mehr als 100 Prozent bedeutet. Dabei schätzt das IST, dass zu jedem Zeitpunkt etwa 20 Prozent dieser Rechner in einem Wireless-LAN hängen.

Das derzeitige Wireless-System von Cisco hat sich für die IST bewährt. Allerdings erscheint es vielleicht als nicht ganz geeignet für die neue Gebäudeumgebung. Hier erwartet die IST, dass neue Technologien und Anwendungen, einschließlich der Konvergenz von Sprache, Video und Daten, eine mehr dominante Rolle spielen. Wie viele andere derzeitige Kunden von Cisco ist die IST hoch zufrieden mit der Produktlinie von Cisco, die sich als kostengünsitg und zuverlässig erwies. Bei entsprechenden Varianten muss daher der Nutzwert sehr hoch sein. Außerdem müssen die Produkte mit der existierenden Wireless-Infrastruktur zusammenarbeiten können.

Selbst mit einer Konfiguration, die einen redundanten Standby-Switch enthielt, lag Symbol preislich leicht unter dem Durchschnitt der Angebote der anderen Unternehmen. Der alternative Vorschlag des Unternehmens, uns mit Foundry-Switches auszurüsten, um das Cisco-Gerät zu ersetzen, senkte das Ganze um weitere 10000 Dollar.

Cisco Systems Aironet Series of Wireless LAN Solutions

Unsere Anfrage beantwortete Cisco, derzeit der führende Enterprise-Wireless-LAN-Hersteller, mit einem Set von IOS-fähigen Access-Points, einer Management-Appliance »WLSE« (»Cisco Works Wireless LAN Solution Engine«) und dem Versprechen, für die Zukunft weitere Funktionalität über ihre SWAN-Architektur (Structured-Wireless-Aware-Networking) bereitzustellen. Eine überzeugende Produktentwicklung steht hinter Ciscos äußerst verlässlichen und mächtigen Access-Points. Objektiv betrachtet kann Cisco aber mit dem, was es derzeit auslierfert, nicht mit dem Funktionsumfang der Start-up-Mitbewerber mithalten. Wenn allerdings die Mehrheit der Kunden all diese Funktionalität noch gar nicht benötigt, ist es klar, dass viele ruhig auf ihrem Kurs bleiben und auf Erweiterungen warten können.

Um seine Vision umzusetzen, wird Cisco die Anstrengungen verschiedener Geschäftseinheiten koordinieren müssen, eingeschlossen diejenigen für Wireless-LAN-, Management- und Switch-Produkte. Das kann eine echte Herausforderung bedeuten. Aber mit WSLE-2.5 scheint Cisco eine gute Ausgangsbasis zu haben. WSLE ist eine auf Linux basierende Management-Plattform, mit deren Hilfe Administratoren leicht bis zu 2500 »Cisco-Aironet«-Access-Points konfigurieren, überwachen und verwalten. Neu eingerichtete Access-Points, die irgendwo im Netzwerk sitzen, können Konfigurationsinformationen vom WSLE über ein vordefiniertes Template erhalten. Konfigurationsparameter, die von der Defaulteinstellung abweichen, kann der Administrator entweder pro einzelnem Access-Point oder pro Gruppe einstellen. Der WLSE übernimmt Routine-Management-Aufgaben. Beispielsweise stellt er die korrekte Implementierung der Sicherheits-Policies sicher, indem er darauf achtet, dass alle Access-Points die richtige Konfiguration besitzen, oder dass die 802.1x-Server laufen und antworten. Weiter schiebt der WLSE Firmware-Upgrades oder -Downgrades zu den Access-Points in großer Stückzahl. Diese Aufgaben würden sonst viel Arbeit erfordern.

Die Version des WLSE in unseren Labors war ein wenig eingeschränkt. Aber Cisco zeigte uns die Version 2.5, die jetzt verfügbar ist. In der Version kamen die Entdeckung von fremden Access-Points, Site-Survey-Möglichkeiten mit Hilfefunktionen, Wireless-Scans und -Überwachung oder Interferenz-Erkennung hinzu.

Wegen des Schwerpunkts auf dem Management hat Cisco für seine 350-, 1100- und 1200-Serien das ältere Vx-Works mit seinem populären IOS ersetzt. Administratoren, die IOS bereits von ihren Cisco-Routern und -Switches her kennen, werden das Upgrade begrüßen. Für diejenigen, die ein CLI (Command-Line-Interface) nicht besonders anspricht, hat Cisco auch das Web-Interface des Access-Points überarbeitet. Es bietet den Zugang zu den gleichen Funktionen wie das alte, unübersichtliche Interface, dieses aber in einer mehr eingängigen und hierarchischen Anordnung.

Ciscos Flagschiff, der Dual-Band-«Aironet-1200«-Access-Point, arbeitet sowohl mit 802.11b als auch 802.11a. Nach diesem Test kam noch 802.11g für die 1200- und 1100-Serie hinzu. Der 1200-Access-Point beherrscht 802.1q-VLAN-Trunking und kann mit bis zu 16 VLANs und ESSIDs umgehen. Allerdings besitzt jeder Access-Point nur eine BSSID. Damit gibt es keine Möglichkeit, die negativen Effekte von Broadcasts und Multicast-Verkehr über mehrere ESSIDs hinweg zu begrenzen.

Für das Subnetz-Roaming verlässt sich Aironet auf Routers, die Mobile-IP beherrschen, und Access-Points, für die Unterstützung von Proxy-Mobile-IP konfiguriert. Dieser Ansatz benötigt keine Mobile-IP-Clients. Aber Cisco verzichtete darauf, die Funktion in unserem Labor zu demonstrieren.

Die Sicherheitsoptionen für den 1200-Access-Point schließen Authentifizierung über 802.1x ein. Zu den Authentifizierungsmethoden gehören etwa Ciscos proprietäres LEAP, WEP, WPA als auch Ciscos eigene TKIP-Implementierung (Temporal-Key-Integrity-Protocol). Über ein Upgrade soll der Access-Point auch AES beherrschen. Als Neuerung kann der 1200 als sein eigener 802.1x-Server agieren. Allerdings eignet sich dies wegen der mangelnden Skalierbarkeit kaum für Enterprise-Anwendungen. Es ist eher eine nette Funktion für abgetrennte Orte, an denen relativ wenige Anwender arbeiten.

Das Setup des WLSE-Management-Servers und der Access-Points war unkompliziert. Der WLSE entdeckte die Access-Points schnell, so dass wir diese dann konfigurieren konnten. Die Testergebnisse für den 1200 fielen gemischt aus. Bei den Durchsatztests arbeitete der Access-Point in einigen Tests spitzenmäßig, in anderen hinkte er hinterher. Beispielsweise lag der Durchsatz für 802.11b um die 5,9 MBit/s, deutlich niedriger als bei den anderen Systeme, die mit Atheros neuesten Chipsatz arbeiteten. Die Ergebnisse für 802.11a waren mit 22 MBit/s beachtenswert, trugen aber wenig dazu bei, den führenden WLAN-Hersteller von seinen Mitbewerbern abzuheben.

Die Reichweitenergebnisse waren ebenfalls gemischt: Die Abdeckung für 802.11b war ausgezeichnet, was zu einem unentschiedenen Rennen führte, gemeinsam mit Airspace und Symbol auf dem ersten Platz. Die 11a-Reichweite ergab ein anderes Bild. Ciscos Dual-Band-Access-Point kam hier nur auf den vorletzten Platz, nur noch vor Enterasys, und das mit einer Reichweite, die nur noch bei 70 Prozent der Abdeckung der Produkte von Airspace lag.

Obwohl die Lösung von Cisco nicht die ganze Funktionalität liefert wie die ihrer Mitbewerber, war der Lösungsvorschlag doch eines der teueren Angebote. Dies lag zum größten Teil an den höheren Kosten für die Cisco-Access-Points. Nach den Anfangskosten für die Ausrüstung liegen die operationalen Kosten für ein Cisco-WLAN wahrscheinlich höher als die der Mitbewerber, zumindestens bis SWAN ausgereift ist.

Info

Return-on-Investment für WLANs

Viele Studien fanden in den vergangenen Jahren statt, um den Return-on-Investment (ROI) bezüglich Wireless-LANs abzuschätzen. Im Allgemeinen kamen diese Studien dazu, dass Wireless-LANs mit vergleichsweise geringem Aufwand hohen Nutzen bringen. In Kürze bedeutet dies, dass Leute, die mehr geistig arbeiten, WLANs als etwas erleben, was ihnen hilft, produktiver zu arbeiten. Außerdem arbeiten sie gerne damit.

Um den ROI systematischer zu dokumentieren, hat die Wi-Fi-Alliance 2003 ein Excel-Sheet veröffentlicht (www.wi-fi.org/OpenSection/WLAN_Calculator.asp). Auch wenn dies hilft, den Nutzen zu dokumentieren, muss das Unternehmen Investitions- und Betriebskosten selbst bestimmen.

Investitionskosten tragen mit 25 Prozent zu den Gesamtkosten (Total-Cost-of-Ownership, TCO) bei, laut Chris Kozup, einem Programmdirektor bei der Meta-Group. Die restlichen Kosten gehören zu den laufenden Kosten.

Kozup erklärt, dass nur ein geringer Prozentsatz seiner Unternehmenskunden sich mit detaillierten ROI-Untersuchungen beschäftige. Dies liegt hauptsächlich daran, dass die IT und ihre Kunden Wireless-Installationen als unvermeidbar betrachten.

Für die Mehrheit der Unternehmen, in denen strategische Wireless-LANs noch nicht installiert sind, ist der Bedarf signifikant und groß. Und es gibt keine Möglichkeit, das Budget-Thema zu umgehen. Denn auch die Entscheidung, kein Wireless-LAN einzurichten, zieht Kosten nach sich. Nun entstehen Kosten, um sicherzustellen, dass keine Consumer-orientierten Wireless-Router oder andere unerwünschte Geräte auf einem anderen Weg in Betrieb genommen wurden. Es kann einen hohen Aufwand bedeuten, periodische Scans durchzuführen, entweder über Analyzer wie »AirMagnet« oder durch ein mehr intelligentes Monitoring-System wie AirDefenses »RogueWatch« oder »AirMagnet Distributed«.

In Bezug auf die Performance und Zuverlässigkeit ergibt es in der Regel, was die Praxis anbelangt, keinen Sinn, Wireless-LAN als Kabelersatz zu sehen, ausgenommen in SoHo-Umgebungen oder quasi-öffentlichen Bereichen wie Konferenzräume oder Cafeterias. Ein Ethernet-Netzwerk wird eine Performance und Zuverlässigkeit bereitstellen, die selbst ein optimal entworfenes Wireless-LAN-System übertrifft. Für geschäftskritische Anwendungen, bei denen die Kosten für Ausfallzeiten hoch sind und Mobilität nicht absolut notwendig ist, sind drathgebundene Netzwerke nach wie vor die bessere Lösung.

Enterasys Networks Enterasys RoamAbout R2

Enterasys, das hauptsächlich für seine drahtgebundene Infrastruktur bekannt ist, antwortete auf unsere Anfrage mit einem System, das sich um seinen »RoamAbout R2«-Access-Point mit Dual-Slot herum aufbaut. Der Roam-About unterstützt zwei Funkkarten durch einen optionalen Mezzanine-Adapter und kann so 11a- und 11b-Funkeinheiten verwenden. Nach dem Test veröffentlichte Enterasys mit dem »RoamAbout R3000« einen Access-Point für 11a, 11b und 11g mit AES-Unterstützung.

Der Roam-About erweist sich als ein solides Produkt, aber das Systemdesign kann insgesamt nicht mit den neueren Angeboten mithalten. Nichtsdestotrotz, für alle, die bereits Enterasys-Kunden sind und nicht erweiterte Funktionen wie Subnetz-Roaming benötigen, ist es eine effiziente Lösung.

Konfiguration und Management der Roam-About-R2 übernimmt der »RoamAbout AP Manager« von Enterasys, der kostenlos jedem Access-Point beiliegt. Für die Suche nach Access-Points gibt der Administrator einen IP-Bereich sowie das Access-Point-Management-Passwort ein. Einmal aufgespürt, trägt die Software die Access-Points in eine Liste ein, so dass der Administrator Konfigurationsattribute wie Kanal, Ausgangsleistung oder Sicherheitseinstellungen setzen kann, sowohl für einzelne als auch eine logische Gruppe von Access-Points.

Der Roam-About-AP-Manager besitzt zwar keine netten Spielereien, aber er kann alle Access-Points von einem Ort aus konfigurieren, ohne dass es etwas kostet. Das Management erledigt der Administrator auch über eine serielle Console, Telnet, SSH, HTTP, HTTPS oder die Integration mit irgendeiner auf SNMP basierenden Netzwerk-Management-Software.

Die Sicherheitsfunktionen vom Roam-About-R2 sind zweckmäßig. Das System kann Schlüssel automatisch erzeugen und rotieren. Dabei verwendet es Enterasys »RrK«-Funktionalität (Rapid-Rekeying) und arbeitet mit einem 802.1x-Server zusammen. Obwohl die Lösung auch 802.1x zur Verfügung stellt, verwendet sie stattdessen Enterasys UPN-Framework (User-Personalized-Networking). UPN kann die Identität eines Anwenders mit einer Liste der freigegebenen Netzwerkressourcen vergleichen, was einen schnellen und sicheren Zugang erlaubt.

Das Unternehmen will sowohl AES als auch WPA in einem künftigen Firmware-Upgrade zur Verfügung stellen, allerdings nur für 802.11g und 11a. Auch den noch nicht verabschiedeten Sicherheitsstandard 802.11i will Enterasys unterstützen.

Verglichen mit der Funktionalität der Produkte einiger der Mitbewerber liegt Roam-About-R2 in einigen Punkten zurück. Es gibt keine Hilfe für Site-Survey-Untersuchungen und auch keine Suche nach fremden Access-Points, so dass die administrative Kleinarbeit hoch bleibt. Auch die Roaming-Fähigkeiten fehlen – keine hohe Priorität für bestehende Kunden, meint Enterasys.

Das Setup verlief einfach. Wir installierten den Roam-About-AP-Manager. Dann gaben wir das IP-Subnetz an, damit die Software nach unseren 11b/11a-Test-R2-Access-Points sucht. Wir richteten die Basis-Parameter ein und konnten dann loslegen. Die Durchsatzergebnisse für den R2 waren mittelmäßig und lagen irgendwo zwischen der Mitte des Feldes und ganz unten. Der maximale Durchsatz für 802.11b betrug 5,2 MBit/s, während der Durchsatz für 802.11a bei 20,3 MBit/s lag.

Bei Enterasys erlebten wir ein paar Interoperabilitätsprobleme mit einer Netgear-Karte, die bei keinem anderen Hersteller auftraten. Die Reichweitenergebnisse waren ausreichend. Mit der Abdeckung von 90 Prozent lag die 11b-Funkeinheit an fünfter Steller hinter Chantry und dem Spitzenteam mit Airspace, Cisco und Symbol. Die Reichweite bei 11a fiel deutlich schlechter aus, mit etwa 65 Prozent der Reichweite von Airspace bildete Enterasys hier das Schlusslicht.

Chantry Networks BeaconWorks

Die vorgeschlagene Lösung von Chantry beruht auf ihrem »BeaconMaster«-Wireless-Router und den »BeaconWorks«-Access-Points. Im Gegensatz zu den anderen Unternehmen setzt das System von Chantry auf der Netzwerkebene 3 auf, wodurch es mit jedem über IP erreichbaren Access-Point kommuniziert. Unabhängig davon, ob die Access-Points innerhalb eines Gebäudes, eines Unternehmensgeländes oder über das ganze Land verstreut stehen, arbeitet der Beacon-Master-Wireless-Router als Konzentrationspunkt für die Access-Points und Stelle für ein zentrales Management. An der existierenden Infrastruktur muss der Administrator keine Änderungen vornehmen. Eine einfache DHCP-Option hilft neu gebooteten Access-Points, ihre primären und sekundären Beacon-Master zu finden. Wir halten das für eine ansprechende Lösung, die aber für uns noch nicht genug ausgereift ist, um eine positive Bewertung abzugeben.

Mit Hilfe von »Virtual Network Services« (VNS), von Chantry so genannt, erzeugt der Beacon-Master virtuelle Netzwerke über dem Wireless-Netzwerk, unabhängig davon, in welchen Subnetzen die Access-Points liegen. Dies erlaubt es Anwendern, zu einem der vielen möglichen Netzwerke zu gehören, auf Basis der SSID, mit der der Anwender verbunden ist. Trotzdem kann Broadcast- und Multicast-Verkehrsbündelung ein Thema sein, da die Access-Points nur eine BSSID und zugeordnete MAC-Adresse haben. Die Beacon-Master-Appliance leitet den Verkehr von diesen VNS zum Rest der drahtgebundenen Infrastruktur. Der Ansatz vereinfacht das Management, indem er Sicherheits- und Konfigurationseinstellungen mit den VNS-Netzwerken verknüpft, anstatt zu verlangen, dass die Konfiguration pro Access-Point erfolgt.

Chantry stellt für die Sicherheitsbelange ein Grundpaket bereit: WPA, 802.1x-Unterstützung und kommernde Unterstützung für 802.11i sowie AES-Verschlüsselung. Das Unternehmen unterstützt aber keine VPN-Session-Terminierung, noch gibt es eine Captive-Portal-Authentication. Beacon-Master kann unerwünschte Access-Points aufspüren und den ungefähren Ort dieses Access-Points über eine Triangulation (Dreiecksverfahren) mit Hilfe der Beacon-Points bestimmen.

Anstatt sein eigenes Funk-LAN-Planungssystem anzubieten, hat sich Chantry mit Wireless Valley zusammengetan, deren »LANPlanner«-Software reichhaltige Funktionen besitzt, und das zu einem sehr fairen Preis von 18995 Dollar.

In einer ersten Konfiguration unseres Cisco-3550-Layer-3-Switches im Labor richteten wir das Routing über vier Subnetze ein, eines für den Beacon-Master und eines für je drei »Beacon-Points«. Wir richteten unseren DHCP-Server ein, Adressen für jedes Subnetz zu liefern. Dann trat ein Problem auf, das den Beacon-Master davon abhielt, richtig zu arbeiten. Die Option auf unserem Cisco-Switch, die es erlaubt, dass jedes Subnetz seine Adressen von einem DHCP-Server in einem anderen Netzwerk erhält, war nicht auf dem Gigabit-Fiber-Uplink-Port verfügbar, an dem der Beacon-Master hing. Obwohl dieser eine statische Adresse hatte, konnte er nicht den DHCP-Server erreichen, um mitzuteilen, dass er der primäre Beacon-Master sei. Daher würde auch die Kommunikation mit den Beacon-Points nicht funktionieren. Dieses Problem behoben wir notdürftig, indem wir den 10-MBit/s-/100-MBit/s-Ethernet-Management-Port als Uplink-Port nutzen – keine empfehlenswerte Lösung.

Obwohl Chantrys Antwort Access-Points enthielt, die 11a, 11b und 11g beherrschten, trat der Hersteller im Labor mit älteren 802.11b-Geräten für den Test an. Selbst mit den 802.11b-Beacon-Points war die Performance mit einem maximalen Durchsatz von 3,5 MBit/s und 1,6 MBit/s beim Test mit einer einzelnen Station das schlechtestete von allen getesteten Produkten. Andererseits waren die Reichweitenergebnisse in Ordnung. Der Beacon-Point erreichte 95 Prozent der Abdeckung von Airspace, Cisco und Symbol, die bei der Reichweite mit 11b führten.

Fazit

Basierend auf den Antworten der Hersteller und den Testergebnissen, gefiel uns das Angebot von Airspace am besten. Als auf einer Appliance basierendes System offeriert die Airspace-Wireless-Enterprise-Plattform die beste Kombination von Eigenschaften, Funktionen und Nutzen und verdiente sich die Auszeichung »Referenz« der Network Computing leicht.

Arubas System würde sich gut eignen für Installationen, die mit einer Wireless-Switch-Infrastruktur als Kern arbeiten wollen. Aber es ist eine kostspielige Angelegenheit. Das System von Trapeze bietet sich offensichtlich als Wahl für Käufer an, die eine ausgefeilte Analyse vor der Installation und detaillierte Arbeitslisten haben wollen. Die kostspielige Voraussetzung, dass die Access-Points direkt mit dem Switch verbunden sein müssen, hat Trapeze in der Folgeversion 1.1 aufgehoben.

Symbol gewinnt seine Lorbeeren durch frühe Innovationen im Wireless-Switching. Das Unternehmen besticht mit der Tiefe und Breite seiner WLAN-Erfahrung. Allerdings brachte das Design von Symbol mehr Einschränkungen mit sich als das der Start-up-Hersteller.

Steckbrief

So testete Network Computing

In unseren Syracuse University Real-World Labs führten wir Tests der Eigenschaften, Funktionalität sowie Reichweite und Performance für jedes Gerät durch. Vor den Tests erhielt jeder Hersteller eine Liste mit den geplanten Tests. Außerdem vereinbarten wir einen Termin in unserem Labor, an dem wir bei der Installierung des Systems und der Testdurchführung unterstützt wurden.

Für die Durchsatztests setzten wir NetIQs »Chariot 4.3« und »Dell Latitude«-Laptops mit 256 MByte RAM unter Windows-2000 ein. Wir verwendeten Chariots auf TCP basiererendes, unidirektionales Datei-Empfangs-Testskript (filercvl) mit 100 Iterationen einer 1-MByte-Datei. Wir testeten sowohl 802.11b als auch 802.11a mit einem und dann mit vier Clients für jeden Standard.

Jeden Test führten wir in zwei Richtungen durch: Vom drahtgebundenen Endpunkt zum drahtlosen Client beziehungsweise Clients (Downstream) und vom drahtlosen Endpunkt beziehungsweise Endpunkten zum drahtgebundenen Endpunkt (Upstream). Die Laptops waren jeweils 1,5 Meter vom Access-Point entfernt.

Wir stellten es den Herstellern frei, welche Karte wir für den Einzel-Stations-Test verwenden sollten. Für den Test mit vier Stationen gaben wir ein Set von Client-Karten vor. Die Clients für den Vier-Stationen-Test mit 11b bestanden aus einer »Symbol Spectrum24«-Karte, einer »Netgear 11a/b«-Karte und zwei »Cisco 350«-Karten. Für den 11a-Test mit vier Stationen nutzten wir eine »Proxim Harmony 802.11a«-Karte, eine Intel-Karte, eine Netgear-11a/b-Karte sowie eine »Proxim 11a/b/g ComboCard«. Wir testeten mit verschiedenen Clients in unserem Vier-Stationen-Test, um eine realistische Situation in der Praxis draußen widerzuspiegeln und um grundlegende Interoperabilität zu untersuchen. Es ist allerdings zu beachten, dass in der Praxis draußen eine Vielzahl von Faktoren die Performance eines Wireless-LANs beeinflussen können. Unsere Performance-Messungen können daher nur einen groben Vergleich zwischen den Produkten bieten, die hier in einer optimierten Laborumgebung arbeiten.

Die Reichweitentests für die Access-Points führten wir an einer zentralen Stelle an der Decke in einem großen, gemauertem Klassenzimmer- und Bürogebäude aus, das Mitte 1980 gebaut worden war. Die meisten Wände bestanden aus Rigipsplatten mit Metallschrauben; und die meisten Türen waren aus Metall mit ein wenig Glas. Wir begrenzten die Datenrate für die Access-Points bei 11b auf minimale 5,5 MBit/s sowie 12 MBit/s für 11a. Dann maßen wir die maximale Reichweite an Hand des Paketverlustes.

Um einen einfachen Test für Roaming zwischen Subnetzen - bei Produkten, die diese Funktion unterstützen - durchzuführen, konfigurierten wir zwei Access-Points in zwei verschiedenen Subnetzen, mit verschiedenen, sich nicht überlappenden Kanälen und mit der gleichen SSID (Service-Set-ID). Für den Test starteten wir dann einen FTP-Transfer (Session-orientiertes Protokoll) von einem lokalem Server in unserem Labor und wechselten dann von einem Access-Point zum anderen. Dabei überprüften wir, ob die FTP-Session in dem neuen Subnetz weiterlief.

Für einfache Sicherheitstests mit 802.1x setzten wir entweder Funks »Odyssey Server« oder Microsofts »IAS« ein, in Abhängigkeit der Vorliebe des Herstellers. Als Supp