Testreihe WLAN-Controller, Teil 4: Extreme WM200
Im Nebenjob WLAN-Controller
Extreme Networks bietet vier verschiedene WLAN-Controller für unterschiedliche Unternehmensgrößen an. Im LANline-Test sollte der WM200, ein mittleres Modell, zeigen, wie gut er Access Points und drahtlose Clients in das Firmennetz einbindet. Dabei sorgten zahlreiche Features für viel Flexibilität, aber auch für eine steile Lernkurve beim Administrator.
Switches von Extreme erkennt das geschulte Auge im Rechenzentrum sofort: Die lila Lackierung sorgt für Aufmerksamkeit im 19-Zoll-Schrank. Der amerikanische Hersteller ist Spezialist für Infrastruktursysteme - selbst die Einstiegsmodelle unter den Extreme-Switches sind mit einem umfassenden und flexiblen Betriebssystem ausgestattet. Aber Extreme ist nicht nur im kabelgebundenen Bereich zu Hause, auch für das WLAN sind passende Controller samt Access Points im Angebot: Die Summit-Produktreihe des Herstellers reicht vom Modell WM20, das bis zu 32 Access Points kontrollieren kann, bis zum WM2000 für 200 drahtlose Zugangspunkte. Dazu gibt es Access Points für den Innen- und Außeneinsatz - neben IEEE 802.11a/b/g mittlerweile auch in 802.11a/n- und -b/g/n-Ausführungen. Kern des Systems ist jedoch der Controller, mit dem sich die Zugangspunkte installieren, verwalten und überwachen lassen.
Der Extreme WM200 macht schon von außen klar, dass er vor allem für den Einsatz in größeren Umgebungen konzipiert ist: Das Gerät ist in ein 19-Zoll-Gehäuse eingebaut, besitzt redundante Netzteile und modulare Einschübe für die Controller-Funktionen. Ganz oben ist eine Prozessoreinheit untergebracht, darunter folgen ein Vier-Port-Switch und anschließend ein Einschub mit dem Management-Controller und einem eigenen Netzwerk-Port. Leider sind die vier Switch-Ports nicht Power-over-Ethernet-fähig. Von Extreme sind allerdings auch Steckernetzteile für ihre "Wireless Access Points" (WAPs) erhältlich. Im Test standen drei "Altitude 350-2 WAPs" mit 802.11a/b/g zur Verfügung.
Die bisherigen WLAN-Controller unserer Testreihe (siehe Kasten auf Seite 24) ließen sich für den ersten Start weitgehend ohne Vorbereitung in Betrieb nehmen: Je nach Intuitivität der Benutzeroberfläche kam der Anwender mehr oder weniger schnell mit den Funktionen zurecht. Beim WM200 sollte der Administrator jedoch auf alle Fälle den 130 Seiten starken "Quick Start Guide" zurate ziehen. Das Produkt bietet jedenfalls keinen "Wizard", der durch die Konfiguration führt, und die Fähigkeiten des Switches beim "Jonglieren" mit unterschiedlichen Subnetzen sind schlicht überwältigend. Wie bei Cisco, deren Controller ebenfalls sehr viele, komplexe Funktionen auf der drahtgebundenen Seite anbietet, ist dabei weniger das WLAN als das LAN die entscheidende Hürde - zumindest, wenn der Anwender die grundlegenden Konzepte hinter der WLAN-Anbindung nicht kennt: Extreme setzt auf so genannte Access Domains (ADs), in denen sich verschiedene Parameter wie die Authentifizierung, die Verschlüsselung und die Art des Übergangs zwischen LAN und WLAN festlegen lassen. Vor allem Letzteres hat großen Einfluss auf das Netzwerkdesign. Grundsätzlich existieren dabei drei verschiedene Möglichkeiten: erstens das Bridging der Daten direkt am WAP, zweitens das Bridging am WLAN-Controller und drittens die Betriebsart "Router".
Die Router-Betriebsart ist am schnellsten erklärt: Die Access Points und Clients agieren in einem eigenen IP-Bereich, der WLAN-Controller arbeitet ganz klassisch auf Layer 3 und übersetzt die Daten von WLAN nach LAN. Dazu muss natürlich die Routing-Tabelle passen, die die Konfigurationssoftware allerdings nicht automatisch aktualisiert oder ergänzt. Statische Routen einzutragen, bleibt also Aufgabe des Administrators beim Setup. Selbstverständlich unterstützt der Switch auch komplexe Routing-Konstruktionen, wobei sich das OSPF-Protokoll (Open Shortest Path First) nutzen lässt. Zur Steuerung der Access Points etabliert der Switch automatisch ein Management-VLAN, um diese Pakete getrennt von den Nutzdaten abzuwickeln. Vorteile des Routing-Modus sind die klare Trennung der drahtlosen Netzsegmente und der volle Zugriff auf alle Fähigkeiten, die der WLAN-Controller bei der Manipulation von Paketen bietet. So sind beispielsweise sehr umfangreiche Quality-of-Service-(QoS-)Funktionen mit vielen Abstufungen und Serviceklassen realisierbar. Die Versorgung mit IP-Adressen kann entweder ein externer DHCP-Server oder das integrierte DHCP-Modul übernehmen.
Lokales Bridging am Access Point hingegen ist eine sinnvolle Betriebsart, wenn es eher um guten Durchsatz und einfaches Handling als um maximale Funktionsbreite geht. Im Test kam weitgehend diese Einstellung zum Einsatz. Dabei erhalten die Access Points eine VLAN-ID, und die WLAN-Daten werden schon beim physischen Übergang in das LAN in ein VLAN-Tunnel geschleust. Dadurch lassen sie sich direkt am Switch, ausleiten und in das Netzwerk weitergeben. Der WLAN-Controller muss so nicht alle Daten durchschleusen und bearbeiten, allerdings sind dadurch auch einige Features des WM200 nicht umsetzbar, weil der Controller die Daten im Tunnel nicht zu sehen bekommt: Die Nutzung des "Captive Portal" (Zwangsportal) ist ebenso wenig möglich wie der Einsatz von Filterregeln oder eine Multicast-Unterstützung. Die Versorgung der drahtlosen Clients mit IP-Adressen muss ebenfalls ein Server in der LAN-Infrastruktur übernehmen. Die dritte Variante - lokales Bridging am Controller - vergibt ebenfalls eine VLAN-ID für die Access Points und WLAN-Clients, schließt den Controller aber mit ein: So hat dieser auf die getunnelten Daten Zugriff und kann alle Funktionen wie Captive Portal und QoS-Manipulationen anwenden. Auch die IP-Adressen lassen sich sowohl vom WM200 als auch von einem Server im Netzwerk bereitstellen.
Die WLAN-SSID (Service Set Identifier) ist jeweils fest einer Access Domain zugeordnet. Welche Access Points mit welchen Funkmodulen an einer AD teilnehmen, lässt sich ebenfalls in den Einstellungen definieren. Jeder Access Point kann Mitglied mehrerer ADs sein und damit auch mehrere SSIDs zur Verfügung stellen. Das Konzept der Access Domains erlaubt viel Flexibilität, denn die Routing- und Weiterleitungsoptionen lassen sich sehr bedarfsgerecht einstellen. Wer sich intensiv mit dem WM200 und seinen Möglichkeiten beschäftigt, weiß die hohe Funktionalität sicher auch zu schätzen. Hinsichtlich der Übersichtlichkeit und logischen Geradlinigkeit der Konfiguration haben allerdings Hersteller wie etwa Cisco die Nase deutlich vorn.
Der erste Start
Zusätzlich zum Quick Start Guide existiert - zumindest als PDF - gewissermaßen ein "Super Quick Start Guide". Dieser beschreibt die Netzwerkanschlüsse des Systems und den erste Browser-Kontakt mit dem Controller. Nach dem ersten Start geht es zunächst an die Konfiguration der vier Switch-Ports mit IP-Parametern. Dabei gibt es drei Betriebsarten: Im Modus "Host Port" lassen sich weitere Switches und Altitude-WAPs anschließen, "Routing" erwartetet an diesem Port einen Upstream-Router, und "3rd-Party AP" erlaubt Access Points von anderen Herstellern an diesem Port. Extreme lässt übrigens neben den Admin-Usern auch das Anlegen von Benutzern mit Leserechten zu - die Delegation unterschiedlicher Operator-Funktionen ist allerdings nicht vorgesehen. Zur Sicherung der Konfiguration und der Systemdateien ist eine Maintenance-Funktion im WM200 integriert: ein wichtiges Feature - schließlich kann die Konfiguration sehr komplex werden, und der Administrator will ungern riskieren, diese neu aufsetzen zu müssen. Während das Backup reibungslos läuft, sollte der Anwender beim Restore aufpassen: Die Software prüft den Versionsstand gesicherter Dateien nicht ab. Wer zwischen Backup und Restore das Betriebssystem des WLAN-Controllers upgedatet hat, muss sich auf Fehlermeldungen nach dem Restore gefasst machen.
"Narrensicher" ist hingegen die Anbindung der WAPs gelöst. Direkten Kontakt mit den Access Points, der über die Versorgung mit Strom und LAN-Anschluss hinausgeht, hat der Administrator nicht. Einmal in Betrieb genommen, suchen sich die WAPs einen WLAN-Controller und registrieren sich dort automatisch. Dies funktioniert entweder über das Service Location Protocol (SLP), oder indem der Administrator beim zuständigen DHCP-Server die Bereichsoption "78" mit der IP-Adresse des WLAN-Controllers versieht. Allerdings lässt sich festlegen, wie weit der Automatismus gehen soll. Eine Option ist, den WAPs die Anmeldung völlig autark zu erlauben, eine andere Variante ermöglicht die Anmeldung mit anschließender Freigabe durch den Administrator. Im Test kam es hier zu Schwierigkeiten, weil zwei der drei Access Points zwar Verbindung mit dem Controller aufnahmen, aber dennoch keine WLAN-Funktion bereitstellten. Letztlich half ein Reset auf die Werkseinstellungen. Nachdem der Auslieferzustand hergestellt war, verbanden sich die WAPs korrekt mit dem WM200, nahmen dann auch die richtigen IP-Adressen entgegen und ließen sich auf den neuesten Firmware-Stand bringen.
Wie von einem WLAN-Controller zu erwarten, kann der Administrator die komplette Verwaltung der WAPs über die zentrale Benutzeroberfläche abwickeln. Dazu hat Extreme neben den Default-Einstellungen, die der Controller automatisch an neue Access Points verteilt, auch einen "Multi-Edit"-Modus vorgesehen. Dieser Parametersatz wird nur an die WAPs geschickt, die der Administrator in einem Listenfenster anklickt - mehrere WAPs lassen sich mit gedrückter "Strg"-Taste markieren. Auch wenn dies ein probates Mittel bei kleinen bis mittleren Netzwerken ist, so vermisst der Anwender doch die Möglichkeit, Gruppen zu definieren - bei mehr als einer Handvoll WAPs geht sonst schnell die Übersicht verloren. Positiv fielen dagegen Funktionen auf, die Extreme in die Access Points integriert hat. Der WAP lässt sich beispielsweise so konfigurieren, dass er auch bei Verlust der Verbindung zum Controller die Sessions mit den Clients aufrechterhält. Ebenfalls elegant gelöst: Da die definierten SSIDs als eigene Konfigurationsgruppe eingeblendet werden, sieht der Administrator schnell, welche WAPs zu einer SSID gehören.
Solide WLAN-Fähigkeiten
Betrachtet man die reine WLAN-Funktion, ist der WM200 gut, aber nicht überragend ausgestattet. Er unterstützt natürlich die Absicherung des Zugangs durch WEP und WPA-PSK sowie über einen oder mehrere externe Radius-Server. Im Quick Start Guide ist relativ ausführlich beschrieben, wie ein Windows Server 2003 konfiguriert sein muss, um diese Aufgabe zu erfüllen. Im Zusammenhang mit Radius melden sich Benutzer über das Captive Portal mit ihrer Benutzername-/Passwort-Kombination an. Der Administrator kann das Portal in Maßen über die Einbindung von URLs an das jeweilige Firmenlogo und -erscheinungsbild anpassen. Die Konfiguration ist einfach, aber nur dann selbsterklärend, wenn der Administrator vorab weiß, dass beim Betriebsmodus "Local Bridged at WAP" - wie erwähnt - kein Captive Portal möglich ist, und wenn er im Handbuch nachgelesen hat, dass die Radius-Server global auf der Access-Domain-Startseite definiert werden. Den entsprechenden Menüpunkt hatten wir im Test zunächst konsequent übersehen - anschließend funktionierte die 802.1X-Anmeldung über den zentralen Windows-2003-Laborserver problemlos.
Für WLAN-Monitoring und Übersicht bietet der WM200 den so genannten "Summit Spy", eine Art verteiltes Minimal-IDS (Intrusion Detection System): Ein oder mehrere WAPs scannen die drahtlose Netzwerkumgebung und melden alles, was sie finden. Dies erledigen sie durchaus zuverlässig, und die angezeigten Daten sind sehr ausführlich. Die Art der Verschlüsselung ist ebenso dabei wie MAC-Adresse, SSID und (vermutlicher) Hersteller. Es finden sich allerdings zwei kleine Wermutstropfen: Zum einen blockiert der Scan die WLAN-Funktion des WAPs, sodass dieses Funkmodul für die Client-Versorgung verloren ist. Zum anderen kann der Anwender die Ergebnisse nicht auf einfache Weise für den späteren Vergleich exportieren. Dies beherrschen allerdings die diversen Reports, die Extreme fest in die Benutzeroberfläche integriert hat: "Clients pro WAP" sind ebenso dabei wie "Verfügbarkeit" der WAPs oder diverse Statistiken nach Port und Interface sortiert. Was sich der Hersteller allerdings gespart hat, ist eine grafische Einordnung der gefundenen APs in einen Grundriss oder Lageplan, wie dies etwa Cisco, Aruba oder Xirrus beherrschen.
Fazit
Der WLAN-Controller WM200 von Extreme erscheint als sehr leistungsfähiges System, das dem Netzwerkarchitekten eine große Zahl von Einsatzmöglichkeiten bietet - wenn er die jeweiligen Funktionen zu nutzen weiß. Die Lernkurve beim Umgang mit dem System ist jedenfalls sehr steil - andere Hersteller wie etwa D-Link haben ihre Benutzeroberflächen bei ebenfalls großem Funktionsumfang deutlich geradliniger und intuitiver gestaltet. Wenn man die "Tiefen" des Controllers ausgelotet hat, wird klar, dass der WM200 vor allem als Erweiterung eines drahtgebundenen Netzwerks konzipiert ist. Extreme legt den Schwerpunkt dabei auf optimale Integration in große IP-Netze. Die notwendigen WLAN-Funktionen sind zwar durchweg gut umgesetzt, besondere Highlights bieten sie aber nicht. Klar ist: Die WLAN-Controller von Extreme passen am ehesten zu bestehenden Extreme-Umgebungen oder zu Anwendern, die sehr spezifische Anforderungen an IP-Routing, QoS und VLAN-Features haben. Die Preise könnten dabei auf den ersten Blick abschrecken: Der kleinste Controller, Summit WM20, beginnt bei 6193 Dollar und der getestete WM200 bei 17.855 Dollar. Berücksichtigt man allerdings, dass der Anwender dafür Unterstützung für bis zu 100 Access Points auf der WM200-Plattform sowie sehr umfassende Routing- und Integrationsfunktionen erhält, so relativiert sich dies. Die anderen WLAN-Controller der Testreihe lagen da in ähnlichen Kategorien. Die Extreme-Access-Points Altitude 350-2 sind mit 629 Dollar ohnehin recht günstig.
Info: Extreme Networks Tel.: 089/37427-0 Web:
Lesen Sie mehr zum Thema
