Kaum haben sich die drahtlosen lokalen Netzwerke im Bewusstsein der Anwender durchgesetzt, da verdrängen bei den Infrastrukturen bereits Systeme neuerer Generation die Erstinstallationen.

Mit steigenden Nutzerzahlen, zunehmender Bandbreitenauslastung und zusätzlichen Anwendungsbereichen – Internet, Mobile-Data-Capture, Mobile-VoIP-Telephony – entstehen neue Anforderungen an Installation, Administration und Sicherheit. Und über allem schwebt das Damokles-Schwert der Kosten. Ließen sich während der Test- und Pilotphasen noch Erfahrungen im Rahmen begrenzter Budgets sammeln, erlangen beim Rollout in größeren Strukturen die Fragen der Beschaffungs-, Installations- und Unterhaltskosten ein ganz anderes Gewicht.

Folglich orientieren sich die Anwender nach der Entscheidung, den Service in der gesamten Organisation anzubieten, hinsichtlich der eingesetzten Systeme neu. So geschehen in der Universität Potsdam, die im zweiten Ausbauschritt ihres Wireless-LANs auf die Wireless-Switch-Technology von Symbol setzt.

Mit der Entscheidung, sich dem Projekt »Neue Medien in der Hochschullehre« des Bundesministeriums für Bildung und Forschung anzuschließen, eröffnete die Universität Potsdam vor drei Jahren zunächst 440 Studenten den drahtlosen Zugang zum Campus-Datennetz und dem Internet. Das Angebot wurde bald angenommen. Inzwischen verwaltet die Zentrale Einrichtung für Informationsverarbeitung und Kommunikation (ZEIK) bereits 1700 Notebook-Nutzer auf akademischer Umlaufbahn.

Zwar ist der Service für die Studenten im Prinzip kostenfrei, allerdings steht nur eine begrenzte Anzahl von Wireless-LAN-Karten für die Laptops zum Verleih bereit. Die Attraktivität des Angebots zeigt sich schon daran, dass die entsprechende Hardware von vielen privat beschafft wird, um die Wartezeit von rund neun Monaten zu umgehen. Mit der hohen Akzeptanz stieß allerdings die einmal gewählte Infrastruktur schnell an ihre Grenzen. Die ursprünglich installierte konventionelle Wireless-LAN-Technik erwies sich angesichts steigender Nutzerzahlen als schwer zu administrieren. Jeder der bis dahin 50 Zugänge (Access-Points) musste einzeln verwaltet werden und benötigte eine eigene IP-Adresse. Zudem machte das begrenzte Budget ein Überdenken der eingesetzten Hardware bei den Access-Points notwendig.

Im Juni 2003 entschied sich die ZEIK deshalb, für den weiteren Ausbau des Netzes das neue Wireless-Switch-System von Symbol einzusetzen. Diese Technologie zeichnet sich vor allem dadurch aus, dass die ehedem in den Access-Points vorgehaltene Intelligenz nunmehr in den Wireless-Switches zentralisiert ist. Die Zugangspunkte wurden in ihrer Funktion weitgehend reduziert, um Kosten zu senken und die Administration deutlich zu vereinfachen. Die Access-Points ersetzte man durch einfache Access-Ports.

Vom Access-Point zum Access-Port

Herkömmliche Access-Points besitzen jeweils eigene Prozessoren, eigene Software sowie eigene IP-Adressen. Viele ihrer Funktionen sind sehr kosten- und wartungsintensiv. Beim Wireless-LAN-Switching werden sie vom zentralen Switch wahrgenommen. Die Access-Ports nehmen lediglich die Funksignale nach 802.11b/a/g auf und leiten sie über eine Standard-Ethernet-Infrastruktur an den Wireless-Switch weiter, welcher dann diese entsprechend seiner Konfiguration (Policies) verarbeitet. Anders als Access-Points besitzen sie nur eine kleine Firmware und benötigen weder Konfiguration noch IP-Adresse. Dabei stellen sie sich gegenüber den Endgeräten völlig standardkonform wie Standard-Access-Points dar.

Die Systeme sind sehr einfach aufgebaut und ebenso zu warten. Für die Installation müssen Access-Ports lediglich an ein Ethernet-Kabel angeschlossen werden, aus dem sie auch ihre Stromversorgung via »Power-over-Ethernet« nach dem Standard 802.3af beziehen. Dabei ist die systemgewollte Simplifikation der Funktionen nicht etwa gleichbedeutend mit dem Verzicht auf hohe Leistungsfähigkeit in der Peripherie: Neben der Unterstützung der Industriestandards 802.11a/b sind die Access-Ports bereits für 802.11g ausgelegt und stellen die Übertragungsbandbreite über zwölf Kanäle zur Verfügung. Die integrierte 3.5-dBi-omnidirektionale Antenne stellt die größtmögliche Empfangsabdeckung unabhängig von der Art der Anbringung bereit.

Für die Verarbeitung der von den Access-Ports empfangenen Signale und deren Weiterleitung in Richtung Netzwerk ist der Wireless-Switch von Symbol zuständig. Er stellt sich gegenüber dem LAN in Funktion und Design wie ein Standard-Netzwerk-Switch dar, nur dass er anstatt über die üblichen Ethernet-Ports über Antennen verfügt, eben Access-Ports.

Im WS-5000-Wireless-Switch sind alle Kontroll- und Managementfunktionen zentralisiert. Sämtliche Konfigurationen werden zentral auf dem Switch vorgenommen. Für alle angeschlossenen Access-Ports wird nur eine Konfiguration erstellt. Auch Software-Updates werden nur noch an einer zentralen Stelle eingespielt. Der Wireless-Switch verfügt über ein auf Linux basierendes Real-Time-Operating-System; neue Funktionen können einfach hinzugefügt werden. Der eingebaute Watchdog-Timer-Chip überprüft kontinuierlich den Arbeitsstatus des Betriebssystems und unternimmt im Bedarfsfall Recovery-Maßnahmen. Hardwaremäßig verfügt der Switch über ein 19-Zoll-Gehäuse und stellt zwei 10/100-MBit/s-Ethernet-Interfaces bereit. Der Datenverkehr wird automatisch zwischen den beiden Ports ausgeglichen.

Total Cost of Ownership

Es ist vor allem das Grundkonzept mit intelligentem zentralen Switch und Access-Ports, das zu einer deutlichen Senkung der Total-Costs-of-Ownership führt. Schon allein bei der Beschaffung der Hardware. Rolf Adams, Technischer Leiter des Rechenzentrums der Universität Potsdam und für das Projekt verantwortlich, geht davon aus, dass auf Grund der im Vergleich deutlich kostengünstigeren Access-Points bereits ab einer Zahl von zehn Zugängen das Wireless-Switch-System günstiger zu beschaffen ist als konventionelle WLAN-Systeme. Je mehr Access-Points installiert werden, desto größer wird die Einsparung, weil die Beschaffung des zentralen Switches nur einmal erfolgt – bis zum Erreichen dessen maximaler Kapazität. An der Uni Potsdam werden heute 50 Access-Ports durch zwei WS-5000-Switches bedient, wobei ein Switch maximal 30 Antennen verwalten kann.

Was für die Installation gilt, trifft auch auf die Migration zu. Konventionelle Access-Points sind in ihrer Performance durch die installierte Hardware – CPU sowie Speicher – definiert und begrenzt. Eine Migration auf leistungsfähigere Systeme kommt, anders als beim Wireless-Switch-Prinzip, einem kompletten Ersatz der Hardware gleich (rip and replace).

Die Investition in Hardware ist aber nur ein Punkt unter mehreren. Installation und Wartung tragen weiter zur Kostensenkung bei. Weder sind hierfür spezielle Kenntnisse erforderlich, noch ist ein regelmäßiger Hardware-Check notwendig. Neu installierte Access-Ports werden beispielsweise automatisch erkannt und konfiguriert.

Der für die Arbeit der ZEIK bedeutsamste Vorzug der neuen Technologie liegt allerdings in der Administration. Für Adams lässt sich die gesamte Wireless-LAN-Umgebung heute wesentlich leichter und effizienter bedienen als mit herkömmlicher Technologie, da die Policies nur einmal erstellt werden müssen und die Access-Ports dann nur noch in das entsprechende Regelwerk adaptiert werden.

Die Administration aller Elemente des Systems erfolgt über den zentralen Switch. Die Systemmanagementfunktionen stehen entweder über ein auf XML basierendes grafisches Benutzer-Interface, eine Command-Line-Facility (über Telnet, die serielle Schnittstelle oder PPP) oder auf Java basierende Browser bereit. Auf diese Weise lassen sich alle erforderlichen Maßnahmen wie Nutzerverwaltung, Festlegung von Policies für Nutzergruppen, Definition von Servicequalitäten für Nutzer oder Geräteklassen oder auch Software-Updates zentral und weitgehend automatisiert abwickeln.

Policy-based QoS

Ein besonderes Merkmal der Wireless-Switch-Technologie von Symbol sind die Policies, eine Anzahl von Regeln und Festlegungen für Access-Ports, Ethernet-Ports, Security und Network-Input/Output. Dieses auf Policies basierende Management erlaubt es Adams, für beliebige Nutzergruppen oder Geräteklassen spezifische Service-Levels zu definieren, indem die Art des Netzwerkzugangs, der Typ der zur Anwendung kommenden Sicherheitsmechanismen sowie die Qualitiy-of-Service (QoS) je Nutzer festgelegt werden.

Mit der Access-Port-Policy lassen sich mehrere Access-Ports zu mehreren WLANs und ihren Security- und Netzwerk-Policies zuordnen. Die Ethernet-Port-Policy erlaubt die Zuordnung mehrerer WLANs zu verschiedenen LANs oder Virtual-LANs. Jedes Wireless-LAN kann eine eigene Security-Policy besitzen. Dabei werden jeweils spezifische Methoden für Authentication und Encryption zugewiesen. Und schließlich erlaubt die Network-Policy die Festlegung von Input- und Output-Definitionen wie Filtering, IP-Redirection, Packet-Marking und QoS.

Auch in Wireless-LANs neuerer Generation ist Bandbreite tendenziell knapp. Demgegenüber werden die Zahl und Art der zu bedienenden Endgeräte immer mehr. Der Traffic steigt nicht nur durch zunehmende Internet-Nutzung, sondern auch durch die aufkommenden Wireless-IP-Telefone. Dabei besitzen nicht alle Nutzergruppen, Applikationen oder Geräteklassen den gleichen kritischen Bandbreitenbedarf für die Erfüllung ihrer Aufgaben. Der Wireless-Switch von Symbol stellt deshalb verschiedene Mechanismen für die Sicherstellung einer definierten Servicequalität vom Anfang bis zum Ende des jeweiligen Kommunikationsereignisses bereit.

Dazu zählen etwa die Priorisierung von Application-Traffic durch den Wireless-Switch nach 802.1p, Tx-Profile für die Priorisierung von Datenverkehr über RF sowie DiffServ des Datenverkehrs über Router, Gateways, Server etc.

Ein leistungsfähiges Werkzeug für die gesicherte Bereitstellung von Übertragungsqualität ist die Bandbreiten-Zuweisung nach Benutzergruppen und Geräteklassen. Dabei kontrolliert der Wireless-Switch die verfügbare Bandbreite je Wireless-LAN, etwa in definiertem Umfang beispielsweise für die Nutzergruppen Fakultät, Studenten, Facilities/Security und Besucher. Damit schränkt das System zwar die Übertragungskapazität für alle Nutzergruppen auf das definierte Maß ein, stellt auf der anderen Seite aber auch die Verfügbarkeit eines Minimums an Bandbreite für alle Nutzer sicher.

Innerhalb der definierten Bandbreiten lassen sich wiederum Klassifizierungsgruppen für unterschiedliche Anwendungen festlegen. Im Fall der Universität Potsdam kommt dies etwa für die gerade in der Testphase befindliche IP-Telephonie zum Tragen. Fünf Voice-over-IP-Phones (H.323) werden hier in einer Art Betriebsfunk erprobt. Je nach Nutzungsintensität ist hier eine Zuweisung von beispielsweise 10 Prozent der verfügbaren Kapazität exklusiv für Telefonie denkbar.

Wireless-Security

Insbesondere in Umgebungen mit häufig wechselnden Teilnehmern in heterogenen Sicherheitsklassen kommt der Sicherheit eine besondere Bedeutung zu. Sie wird durch die Switching-Architektur nachhaltig gewährleistet. Mittels standardkonformer Technologien wie 802.1q (VLAN-Tagging) ist der Switch für die User nahezu unsichtbar und kann damit von außen nicht attackiert werden. Zudem lässt sich der Switch durch entsprechende Filter so absichern, dass die mobilen User einander nicht mehr sehen und auch die im Switching-Umfeld gefürchteten Broadcasts unterdrückt werden können. Auch Denial-of-Service-Attacken sind durch diese Policies zu verhindern.

Im Hinblick auf Encryption und Authentication unterstützen die Wireless-LAN-Switches von Symbol – soweit verabschiedet – die heutigen Standardprotokolle WEP, Kerberos, EAP-TLS oder TKIP. Zudem können je nach Anforderung sehr einfach VPN-Architekturen mit IPsec oder WTLS implementiert werden, die auch den Anforderungen und Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und FIPS-140 entsprechen.

Das Wireless-LAN von Symbol ist an der Universität Potsdam nun seit August 2003 im »heißen« Betrieb. Dank der Wireless-Technologie konnten weitere bisher unversorgte Gebäude und Zonen des Campus wie Aufenthalts- und Eingangsbereiche mit einbezogen werden. Das drahtlose Netz der Uni Potsdam wurde von Symbol und seinem Partner Kellner Telecom eingeführt und implementiert.

Nach einem halben Jahr der Erfahrung hebt Adams neben der Arbeitserleichterung durch zentrale Administration vor allem die problemlose Migration hervor. Uwe Scholz, freier Journalist