Alles unter Controller?

Der Standard 802.11n ist da, auch wenn er nach wie vor Pre-n, also Vorversion, heißt. Nachdem seit einem Jahr auch die letzten "Bedenkenträger" aus den Reihen der seriösen Hersteller nach und nach verstummt sind, geben inzwischen auch Analysten grünes Licht für den ungehemmten Einsatz der neuen WLAN-Technik - und das explizit auch im Unternehmensumfeld. In der Architektur gibt es zwischen den 11n-Lösungen der einzelnen Hersteller große Unterschiede. Einige belassen alles so wie bei den Vorgängertechniken und setzen auf einen zentralen Controller, der WLAN-weit die Regeln durchsetzt und dabei verlangt, jeden Verkehr zu inspizieren. Das andere Extrem ist die Auflösung der Controller-Funktion in einen lokalen Access-Point-Verbund, der vor Ort Regeln durchsetzt und Pakete prüft. Dazwischen existiert eine Reihe unterschiedlicher Kompromisslösungen.

Paradigmenwechsel mit 802.11n

WLANs dienten bisher primär zur Steigerung des Komforts für die Benutzer. Von daher war es nicht weiter tragisch, dass sie dem verkabelten Netzwerk als eigenständiges Overlay-Netzwerk "aufgepfropft" wurden. Unternehmenskritische Daten und Anwendungen liefen nur selten über ein WLAN - zu schlecht waren Performance und Zuverlässigkeit. So gesehen hatte die drahtlose Infrastruktur bisher weder einen merklichen Einfluss auf den Verkehr im LAN, noch war es in der Netzwerkabteilung wichtig, das Design des WLAN-Verkehrsflusses genauer zu erörtern.

Mit der Einführung von 802.11n ändert sich die Sachlage. In dem Maße, wie Performance, Durchsatz und Zuverlässigkeit steigen, entwickelt sich das WLAN zur interessanten Alternative beziehungsweise zum "Partner" des verkabelten Netzwerks - mit hohen Übertragungsraten und unternehmenskritischen Anwendungen. Zu letzteren zählt auch die Drahtlostelefonie, die mit 11n endlich vollwertig WLAN-fähig werden soll. Analysten wie Burton haben jetzt bestätigt, was zunächst nur Werbeslogan einiger Hersteller zu sein schien. Konkret: Bis 2011 soll Ethernet im Unternehmens-Access seine dominierende Rolle an das WLAN auf 802.11n-Basis abgeben müssen.

Im Hinblick auf diese neue Stoßrichtung wird es sehr wohl wichtig, zu verstehen, wie der WLAN-Verkehr genau fließt. Dabei sind Datenverkehr (Nutzdaten) und Steuerverkehr (Technik, mit der die WLAN-Komponenten Mobilität realisieren, Funkfrequenzen steuern und Nutzer-Policies verfolgen, wenn Clients den Access Point wechseln) getrennt voneinander zu betrachten. Wie diese Verkehrsströme fließen, hängt im Wesentlichen von der Architektur des WLANs ab. Der Umgang damit kann die tatsächliche WLAN-Performance stark beeinflussen.

Zentral - dezentral oder hybrid?

Wenn sich die Access Points (APs) eines WLANs vollständig auf einen zentralen Controller stützen, läuft der gesamte Verkehr, den die APs in der Domain dieses Controllers erzeugen, über eben diesen. Die Daten belasten damit zwangsläufig auch stark die verkabelte Infrastruktur auf ihrem Weg vom und zum Controller. Einige Hersteller haben sich etwas einfallen lassen, um diesen umständlichen Kommunikationsweg etwas abzukürzen. Sie erlauben trotz zentralem Controller eine lokale Weiterleitung des Verkehrs, beispielsweise anhand des Applikationstyps. So lassen sich etwa Echtzeitanwendungen wie Sprach- und Videoverkehr ohne Controller-Beteiligung abhandeln. Andere Hersteller platzieren mehrere kleinere Controller im WLAN, um die Aggregationslast zu verteilen. Mit solchen Hybridansätzen haben sich Hersteller wie etwa Siemens und Colubris hervorgetan. Colubris allerdings ist unlängst von HP Procurve übernommen worden, die - ausnahmsweise im Gleichklang mit dem großen Konkurrenten Cisco - einen bedingungslos zentralen Controller-Ansatz verfolgt. Damit bleibt abzuwarten, ob der bisherige Colubris-Ansatz Zukunft hat.

Hybride Controller-Architekturen sind durchaus geeignet, den Flaschenhals Controller deutlich zu entlasten. Wer sich darauf einlässt, sollte jedoch darauf achten, dass damit keine allzu gravierenden Funktionalitätskompromisse verbunden sind. Bedenklich sind beispielsweise Lösungen, die das Roaming zwischen Subnetzen kappen, oder - noch schlimmer - mit dem "Vorbeischleusen" am Controller auch die Durchsetzung von Regeln umgehen.

In Hinblick auf Skalierbarkeit sind Controller-Lösungen durchaus problematisch: So muss der Controller gegebenenfalls über erhebliche Leistungsreserven verfügen beziehungsweise die Möglichkeit zur Kaskadierung mehrerer Controller bieten. Beides ist mit beträchtlichen Investitionen verbunden. Mehrere Controller sind auch fällig, wenn es darum geht, das Netzwerk abzusichern. Nachdem der gesamte Verkehr über den Controller läuft, ist es sinnvoll, diesen redundant auszulegen. Um die Sache wirtschaftlich etwas erträglicher zu gestalten, sollten Mehr-Controller-Konfigurationen wenigstens beides unterstützen: Leistungsskalierung und Security. Zu beachten ist dabei, dass der Verkehr, der zwischen AP und Controller durch einen verschlüsselten Tunnel fließt, für die klassische Security-Phalanx des Unternehmens unsichtbar ist: Intrusion Detection/Prevention, Firewalls und Traffic Engineering laufen zumindest an dieser Stelle ins Leere.

Auch in puncto Performance bleiben bei (Mehr-)Controller-Lösungen zumindest Herausforderungen, die es im Auge zu behalten gilt. Die höheren Bandbreiten von 802.11n werden zusammengefasst und überlagern sich, wenn sie auf sehr wenigen Backbone-Verbindungen ihren Weg zwischen den Routern/Switches und Controllern nehmen. Abhilfe schaffen 10-GBit/s-Links, die an Highend-Controllern inzwischen vermehrt zu finden sind. Sie sprechen allerdings eine deutliche Sprache, was hier im Backbone zu erwarten ist.

Cisco wertet Controller-Ansatz auf

Allerdings haben sich auch auf Seiten der Controller-Fraktion in jüngerer Zeit Fortschritte ergeben, die einen Teil dieser Probleme entschärfen. Technischer Vorreiter ist hier der marktdominante (etwa 60 Prozent Marktanteil bei Unternehmens-WLANs) Player Cisco. Mit seiner "Cisco-Motion"-Architektur vereint der Anbieter Endgeräte, Applikationen, Security und verschiede Netzwerke auf einer gemeinsamen Plattform. Das Ganze ist über eine offene Programmierschnittstelle in ein breit angelegtes Partnerkonzept eingebunden, für das Unternehmen wie HP, IBM, Nokia, Oracle und weitere bereits ihre Unterstützung angekündigt haben. Kernstück der Lösung ist - wie könnte es bei Cisco anders sein - wiederum ein neuer Controller. Er nennt sich "Mobility Service Engine (MSE) 3300" und erlaubt von Cisco-Seite die Integration verschiedener Anwendungen wie "Context-Aware Software", "Adaptive Wireless Intrusion Prevention System", "Secure Client Manager" sowie "Mobile Intelligent Roaming". Sämtliche MSE-Applikationen sollen mit dem kompletten "Cisco-Unified-Wireless-Network"-Portfolio, dem "Cisco Unified Communications Manager" und allen Cisco-kompatiblen Endgeräten zusammenarbeiten.

Ein genereller Ausweg aus der "Controller-Falle" könnte der Ansatz sein, die Controller-Funktionen auf Gruppen von APs zu verteilen. Der Charme dieses Ansatzes liegt unter anderem darin, dass sich der Verkehrsfluss hier auf die gleiche Art regeln lässt, wie es auch im verkabelten Netz üblich ist: Datenverkehr fließt von den drahtlosen Clients zum AP und von dort über einen direkten, offenen Pfad zum Ziel. Steuerverkehr wird lokalisiert und fließt nur zwischen APs in unmittelbarer Nachbarschaft. Vielleicht noch wichtiger: Der WLAN-Verkehr ist in das Gesamtnetz integriert und profitiert von den Sicherheits- und QoS-Mechanismen (Quality of Service), die dort bereits eingerichtet sind. Ein klarer Nachteil ist allerdings, dass es bisher nur sehr wenige Anbieter gibt, die diesen Ansatz verfolgen - entsprechende Erfahrungen im Markt sind noch rar. Einer der Pioniere auf diesem Sektor ist beispielsweise Aerohive.

Der Weg ins LAN scheint mit 11n vorgezeichnet: Die Controller kommen mit 10GbE-Ports (Gigabit Ethernet) und die APs bieten GbE-Ports an. Als Option ist beides sicher sinnvoll, als Standardausstattung ist es derzeit jedoch meist eher als teure Überdimensionierung zu bewerten. Bemerkenswert ist in diesem Zusammenhang sicher auch, dass gerade Hersteller mit breitem Switch-Portfolio gerne auf die hohe Ausstattung drängen. Beim Link zwischen AP und Switch scheinen die Argumente in der Tat zunächst zwingend. Grund: Der theoretisch maximal mit 11n realisierbare Durchsatz ist größer, als ihn ein Fast-Ethernet-Port ohne Überbuchung verarbeitet.

Gigabit-Ethernet-Links oder Link-Aggregation?

Etwas Entschärfung dieser Situation ist jedoch bereits durch die Vollduplex-Fähigkeit von 100Base-T gegeben - denn die Funkseite arbeitet stets nur simplex. Wenn Sende- und Empfangsverkehr relativ ausgewogen sind, wäre es durchaus möglich, den 150-MBit/s-Durchsatz eines 11n-APs an einem 100-MBit/s-Switch-Port annähernd verlustfrei abzuwickeln. Allerdings sieht die Realität in den Unternehmen etwas anders aus: E-Mail und Web sorgen in der Regel für eine Verschiebung des Sende- und Empfangsverhältnisses zugunsten der Empfangsseite (Downstream zum Client) mit dort durchschnittlich etwa 70 bis 80 Prozent.

Rein aus Sicht der Performance ist Gigabit Ethernet sicher optimal. Zieht der Anwender die Kosten ins Kalkül - insbesondere auch für die eventuell fällige Aufrüstung der Switch-Infrastruktur, ist oft eine andere Lösung sinnvoller. Die Technik der Wahl wäre dann beispielsweise Link-Aggregation. Diese erlaubt, den Durchsatz über zwei (oder mehr) zusammengeführte 100-MBit/s-Ports zu verteilen. Voraussetzung dafür sind natürlich mindestens zwei Fast-Ethernet-Ports am AP sowie die softwaretechnische Unterstützung der Link-Zusammenführung.

Power over Ethernet und 802.11n

PoE (Power over Ethernet) hat sich als elegantester Weg zur Versorgung von 802.11a/b/g-APs mit Strom erwiesen. Am einfachsten ist es, PoE in die Verteiler-Switches zu integrieren. In manchen Fällen ist es sinnvoll, die PoE-Funktion über separate PoE-Injektoren zu realisieren. Der gegenwärtige Standard für PoE ist 802.3af. Er erlaubt, bis zu 15,4 Watt über eine Ethernet-Verbindung mit bis zu 100 Meter Länge zu transportieren. Dual-Radio-802.11n-APs benötigen allerdings oft mehr Strom. Dies liegt an den zusätzlichen Sendern, Empfängern, digitalen Signalprozessoren und ähnlichen Komponenten.

Zur Lösung dieses Problems gibt es verschiedene Optionen, mindestens eine davon sollten 11n-APs unterstützen: Interessante Ansätze sind etwa die intelligente Energiesteuerung oder zwei PoE-Ports. Ersteres ist eine Sache von Softwarelogik, die im Ernstfall Verbraucher im AP deaktiviert. Diese Maßnahme ist als "Feuerwehr" für kurzzeitige Problemsituationen sinnvoll - eine dauerhafte Reduzierung von Leistungskomponenten im AP kann sicher nicht der Weisheit letzter Schluss sein. Ein zweiter PoE-Port setzt dem Problem auf physischer Ebene ein Ende - mit dem zusätzlichen Vorteil, diese Ports an unterschiedliche USVs anschließen zu können und so die Ausfallsicherheit zu erhöhen.

Zur endgültigen Lösung des Problems, von dem beispielsweise auch Videoüberwachungskameras mit elektromechanischen Steuerungskomponenten betroffen sind, soll es in Kürze neue Standards geben: PoE+ beziehungsweise 802.3at wird erlauben, bis zu 30 Watt je Port zu liefern. 802.3at soll Ende dieses Jahres verabschiedet werden - Vorversionen entsprechender High-Power-Switches beziehungsweise -Injektoren sind bereits auf dem Markt verfügbar. Neben der Versorgung über PoE sollten die APs auch über die Möglichkeit eines Direktanschlusses an ein Netzteil bieten - zumindest wenn die APs ohne verkabelte Infrastruktur "vermascht" werden sollen. In diesem Fall wäre dies die einzige Möglichkeit der Stromversorgung.

Anbieterspektrum

Die wichtigsten Player im globalen Markt für Enterprise-WLANs sind laut aktuellen Marktstudien - etwa von Dell´Oro - neben Cisco Hersteller wie Alcatel-Lucent, Aruba, Avaya, Enterasys, HP Procurve, Motorola (bislang in Europa kaum mit WLANs präsent), Nortel, Siemens und 3Com/H3C. Treiber für Innovationen sind erfahrungsgemäß primär Newcomer. Deren "Halbwertszeit" scheint im WLAN-Geschäft allerdings sehr kurz zu sein: Viele im Zuge der WLAN-Entwicklung entstandene Unternehmen sind inzwischen entweder wieder verschwunden oder von einem Big Player "geschluckt" worden. Zwei Beispiele zu Letzteren sind Colubris und Trapeze Networks. Colubris gehört jetzt - wie erwähnt - zu HP Procurve, und Trapeze agiert nun unter dem Dach des Verkabelungsspezialisten Belden - allerdings weiterhin als eigenständige Geschäftseinheit mit Aufrechterhaltung etablierter OEM-Beziehungen etwa zu Nortel.

Zu den Anbietern, die noch auf dem Markt sind, gehören jüngere bis sehr junge Hersteller wie etwa Aerohive, Extricom, Meru und Ruckus. Meru wird schon seit längerem als nächster "heißer" Übernahmekandidat gehandelt. Wichtigste etablierte deutsche Player sind beispielsweise Lancom Systems und Funkwerk Enterprise Communications. Im SOHO-Bereich ist - im Gegensatz zum Enterprise-Segment - das globale Spektrum der Player deutlich größer - hier finden sich Namen wie Apple, Belkin, Buffalo, D-Link, Cisco-Ableger Linksys (Cisco Consumer Business Group - CBG), Netgear und Zyxel.

Die technischen Basisinformationen stammen aus Unterlagen von Cisco und Aerohive.