Testreihe WLAN-Controller, Teil 3: Xirrus XS-3500
UFO-Alarm im Büro
Bei ihren WLAN-Controllern verfolgt Xirrus einen etwas anderen Weg als die meisten Hersteller. Bis zu 16 Access Points sind in einem runden Gehäuse mitsamt Controller-Intelligenz eingebaut. Dies reduziert zwar den Verkabelungsaufwand. Leiden aber Reichweite und Abdeckung unter dem innovativen Konzept? LANline hat die Wireless-Lösung von Xirrus im Rahmen der Testreihe WLAN-Controller ausführlich unter die Lupe genommen.
Wenn im Büro eine weiße Scheibe mit blinkenden Lichtern an der Decke hängt, muss man nicht unbedingt an UFOs denken - vielleicht hat der Administrator lediglich ein WLAN-System von Xirrus installiert. Der amerikanische Hersteller geht bei der Integration von Access Points (APs) und WLAN-Controller einen anderen Weg, als dies üblicherweise der Fall ist. Zum einen sind mehrere APs - so genannte IAPs - in einem Gehäuse kombiniert: Bis zu 16 Stück passen in eines der UFO-ähnlichen Geräte. Zum anderen genügt der Platz im Inneren, um auch den WLAN-Controller aufzunehmen. Dies führt ganz offensichtlich zu erheblichen Erleichterungen bei der Installation - im Vergleich zu klassischen Konzepten. Statt 16 Netzwerkkabeln und - ohne PoE (Power over Ethernet) - auch 16 Stromversorgungen benötigt der Anwender im Fall des Xirrus XS-3700 mit 16 IAPs genau ein Netzwerk- und ein Stromkabel. Setzt er den optional erhältlichen Power-Injector und Splitter ein, genügt sogar ein Netzwerkkabel mit aufgeschaltetem PoE. Nachdem die beiden Gigabit-Ethernet-Ports in der 8er- und der 16er-Version Load-Balancing-fähig sind, kann der Anwender damit auch eine einfache Form der Redundanz mit einem oder zwei Switches aufbauen.
Schnell installiert
Der Hersteller gibt an, trotz der Konzentration auf geringem Raum durch den Einsatz von
spezieller, interner Antennentechnik sehr gute Abdeckungseigenschaften zu erzielen. Alle Arrays
enthalten auch eine Anschlussbuchse für eine externe Antenne, falls der Anwender mehr
Antennengewinn oder eine bestimmte Richtwirkungen erzielen will. Die Montage des WLAN-Arrays ist
einfach: Der Anwender befestigt eine Bodenplatte an der Decke, und das Array wird – ähnlich einem
Feuermelder – aufgesteckt und darauf im Uhrzeigersinn gedreht, bis es einrastet. Xirrus bietet auch
andere Befestigungsoptionen an, darunter wetterfeste Gehäuse für den Außeneinsatz.
Für den Test stand ein XS-3500-Array mit vier integrierten APs zur Verfügung, alle Ergebnisse
hinsichtlich Abdeckung und Reichweite beziehen sich also auf diese Gerätevariante. Die
Systemsoftware ist jedoch über alle Modelle hinweg identisch. Zum Testzeitpunkt war die
Firmware-Version 3.2 aktuell. Kurz vor Testende gab Xirrus die Version 3.3 frei, die der Anwender
unbedingt einspielen sollte: Das Update scheint die Funktionen des Arrays, vor allem was dessen
Monitoring-Features anbelangt, erheblich zu erweitern und die Benutzerführung deutlich zu
verbessern.
Im Inneren des XS-3500 arbeitet ein Prozessor mit 660 MHz und 256 MByte RAM, die größeren
Modelle verfügen entsprechend über mehr RAM und schnellere CPUs. Pro Array lassen sich maximal 16
SSIDs (Service Set Identifiers) mit jeweils unterschiedlichen Sicherheits- und
Leistungseinstellungen vergeben. Als Standards für die drahtlose Übertragung unterstützt die Lösung
802.11a/b/g, wobei die IAPs wahlweise "b/g"- oder "a"-Pakete durch die Luft schicken. Ein IAP pro
Array ist standardmäßig als Monitoring-Device vorgesehen und nimmt damit nicht am regulären
Datentransfer teil. Wer sich dies ersparen will, zum Beispiel in größeren Umgebungen, wo in anderen
Arrays bereits ausreichend Monitoring-IAPs existieren, kann dies auch abschalten. Zumindest dann,
wenn er weiß wo – der entsprechende Eintrag verbirgt sich in den "globalen IAP-Einstellungen" unter
der Rubrik "IDS > Intrusion Detection ?Off?".
Benutzerführung mit Hindernissen
Dies führt gleich zum ersten Kritikpunkt am Xirrus-Array: Obwohl die webbasierende
Benutzeroberfläche auf den ersten Blick zwar nicht besonders schön, aber zumindest sehr eingängig
erscheint, setzt das System bei einigen Funktionen viel Entdeckerfreude des Anwenders voraus. So
sind zahlreiche Feature-Details lediglich in der Hilfefunktion aufgeführt, zum Beispiel der
Hinweis, dass die Limitierung der Voice-over-IP-Telefone pro IAP nur für Geräte von Spectralink
(heute Polycom) gilt. Oft sind auch keine Plausibilitätskontrollen vorgesehen: So kann der Benutzer
einer SSID IP-Adressen aus einem lokalen DHCP-Pool des internen DHCP-Servers selbst dann zuweisen,
wenn der interne DHCP-Server global abgeschaltet ist.
Zudem vermittelt sich stellenweise der Eindruck, dass die Entwickler die Dokumentation etwas zu
locker nehmen und dabei vergessen, dass der Anwender, der auch im Small- und
Medium-Business-Bereich gesucht wird, eventuell nicht ganz so vertraut mit Terminologie und Technik
ist. Ein Beispiel dafür: Das XS-3500 bietet sowohl einen internen Radius-Server als auch die
Möglichkeit, Anfragen an einen externen Radius-Server weiterzuleiten. Doch eine Auswahlbox, um die
Radius-Authentifizierung ganz auszuschalten, sucht der Anwender vergeblich. Natürlich lässt sich
diese sehr wohl deaktivieren, und zwar indem der Administrator die Box für EAP-Authentifizierung
(Extensible Authentication Protocol) nicht angeklickt. Aber Hand aufs Herz – wer weiß auf Anhieb,
dass Radius die Anfragen über eine der zahlreichen EAP-Varianten verschickt? "Radius
Intern/Extern/Aus" wäre der einfachere Ansatz gewesen.
Dabei begann die Arbeit mit dem XS-3500 im Test durchaus vielversprechend. Nachdem die Hardware
in ein paar Minuten installiert war, sorgte das WLAN-Array erst einmal für eine positive
Überraschung: Xirrus hat eine – von LANline bei anderen WLAN-Controllern stets vermisste – "
Quick-Start"-Konfiguration implementiert. Diese nennt sich Express-Setup und kombiniert alle
Parameter, die für die schnelle Inbetriebnahme des Arrays sorgen. Im Prinzip reichen Host-Name,
IP-Adresse, SSID-Name und die gewünschten Verschlüsselungsoptionen sowie die aktuelle Zeit oder ein
Zeitserver aus, damit das Array seine Dienste zur Verfügung stellt. Ein Button mit der Aufschrift "
Enable/Configure all IAPs" schaltet auf einen Schlag alle IAPs mit den Default-Einstellungen frei.
Dies hat Xirrus hervorragend umgesetzt und es hilft "Nebenbei"-Administratoren, schnell zu einem
funktionsfähigen und sicheren WLAN zu kommen. Unter den bisher getesteten WLAN-Controllern liegt
Xirrus mit diesem Feature eindeutig vorn.
Abgesehen von den bereits angesprochenen Kritikpunkten ist der Umgang mit der Weboberfläche kein
Hexenwerk. Die Funktionen sind grob in "Status", "Konfiguration" und "Tools" gegliedert, mit den
zugeordneten Unterpunkten kommt der Administrator nach einer Weile Einarbeitungszeit gut zurecht.
Im Statusbereich finden sich Infos zum Array, zum Netzwerk und zur Situation im Frequenzbereich.
Hier hat Xirrus sogar einen Spektrumanalysator eingebaut, der Informationen über Belegung von
Frequenzbändern, Signal-Rausch-Verhältnis und Durchsatzverhalten liefert. Der Bereich Intrusion
Detection listet die gefundenen APs und Arbeitsplätze auf, die sich nach "unbekannt", "bekannt" und
"erlaubt" kategorisieren lassen. Unerwünschte Arbeitsplätze kann der Administrator aus dem Netz
verbannen und für die Zukunft sperren. Noch mehr Funktionen im Bereich IDS und Kontrolle der IAPs
erhält der Anwender, wenn er die Software "Xirrus Management System" einsetzt. Diese war allerdings
nicht Bestandteil des Tests.
Ein Statistikmenü und ein Event-Log zeigen sehr detailliert, was im System vorgeht, auf Wunsch
lassen sich die Events per Syslog oder via E-Mail exportieren. Bei größeren Netzwerken, in denen
keine Möglichkeit besteht, weitere Access Points mit Kabeln zu versorgen, kann das XS-3500 bis zu
drei IAPs als Wireless Distributions System (WDS) nutzen. Gerade bei den Ausführungen mit acht oder
16 IAPs erscheint dies als sehr elegante Möglichkeit, ein großes Netz mit ausreichend Bandbreite
zusammenzuschalten, ohne zusätzliche kabelgebundene Installationen vornehmen zu müssen.
Viele Features, viel Sicherheit
Das XS-3500 bringt von Haus aus eine Menge Funktionen und Dienste mit. So ist ein DHCP-Server
integriert, der verschiedene IP-Pools an SSIDs liefert, ein interner Radius-Server sorgt für die
802.1X-Authentifizierung bei kleinen Netzwerken, und VLANs segmentieren den Datenverkehr. Hinzu
kommen noch viele sinnvolle Features wie die Möglichkeit, Datenverkehr zwischen WLAN-Clients zu
blockieren sowie die Managementfreigabe über WLAN oder lediglich per Ethernet-Anschluss. Ferner
kann der Administrator jede SSID ausschließlich zu bestimmten Tagen oder Uhrzeiten freischalten und
die Bandbreite pro Client beschränken. Letztere Funktion nutzt den etwas unüblichen Wert von "
Paketen pro Sekunde" als Einheit, sodass der Administrator erst probieren muss, welche Einstellung
für die Clients ausreicht. Die Limitierung funktionierte allerdings einwandfrei, wie im Test eine
Durchsatzmessung mit dem System
Linktropy 4500 von Apposite
zeigte.
Sehr wichtig bei einem WLAN-System sind die Sicherheitsfunktionen, und auch bei diesem Aspekt
ist die Ausstattung des XS-3500 sehr gut: Neben WEP, WPA und WPA2 lassen sich Benutzer entweder per
Radius oder Preshared-Key anmelden oder zwangsweise auf ein Portal mit Benutzernamen- und
Passwortabfrage umleiten. Auch diese Einstellungen sind leider etwas verwirrend: So muss der
Administrator für den Einsatz eines WPA-Preshared-Keys "802.1X" als Authentifizierung wählen, etwas
weiter unten im Fenster allerdings "EAP-Authentifizierung" abschalten. Im Test hatten wir auch eine
Weile mit den Einstellungen für die Nutzung des "Zwangsportals" zu kämpfen. Wählt der Administrator
die entsprechende Funktion "Web Page Redirect" (WPR), so muss er natürlich die SSID ungeschützt
lassen – also ohne WEP oder WPA. Woher das Array dennoch Anmeldeinformation bezieht, um den Client
zu verifizieren, ist zunächst unklar. Das Handbuch spricht von Feldern unterhalb der
WPR-Einstellungen, auf denen der Administrator den Radius-Server einträgt. Solche Felder existieren
allerdings nicht. Des Rätsels Lösung: Das System nutzt die globale Konfiguration des internen
Radius-Servers, und der Administrator muss unbedingt darauf achten, den angelegten Benutzern die
für WPR ausgesuchte SSID zuzuweisen. Lässt der Administrator den SSID-Eintrag in den
Radius-Benutzerdaten frei, kann sich der Benutzer gar nicht einloggen – unabhängig von Methode und
SSID.
Etwas mehr Konfigurationsaufwand ist auch bei der 802.1X-Anmeldung per Benutzername und Passwort
nötig. Am Client – im Test Windows-XP-SP2- beziehungsweise Windows-Vista-PCs – ist dazu in den
Einstellungen für die drahtlose Netzwerkverbindung von "Smartcard" auf "Protected EAP" (PEAP)
umzustellen. Im gleichen Bildschirm klickt der Anwender auf die Eigenschaften von PEAP und wählt
die Zertifikatsprüfung ab. Im unteren Teil dieses Fensters kann es notwendig sein, die
Eigenschaften von "EAP-MSCHAP v2" auszuwählen und so zu konfigurieren, dass der Client nicht
automatisch seine Windows-Anmeldedaten zur Authentifizierung an das WLAN-Array liefert. Xirrus
beschreibt diese Konfiguration in einem PDF des Benutzerforums im Internet. Dies ist zwar
lobenswert und hilfreich, wäre aber sicher auch gut im Handbuch des XS-3500 aufgehoben.
Die Nutzung eines externen Radius-Servers ist exemplarisch – ebenfalls in einem PDF auf der
Website – anhand der Microsoft Internet Authentication Services (IAS) beschrieben. Wir hielten uns
im Test streng an diesen Ablauf und kamen so innerhalb von 15 Minuten zu einer funktionierenden
Authentifizierung auf der Basis der Active-Directory-Benutzerdaten.
Sicherheit steht auch beim Management des Arrays im Vordergrund: Telnet ist zwar – entgegen den
Release Notes – nutzbar, aber standardmäßig zumindest abgeschaltet. Stattdessen existieren ein
SSH-Zugang sowie eine von der Weboberfläche emulierte serielle Konsole. Wer will, kann auch direkt
per serieller Schnittstelle auf das Array zugreifen, ein passendes Kabel liegt bei. Die zugehörigen
Parameter lauten 115.200 Baud, 8N1. Dies ist wichtig, da sich bei der üblicherweise verwendeten
19.200- oder 9600-Baud-Einstellung nichts im Terminal-Fenster zeigt. Dass der Zugriff mittels
Weboberfläche nur über HTTPS erfolgt, ist ebenfalls ein Pluspunkt für die Sicherheit.
Leistung und Durchsatz
Die Reichweite eines WLAN-Arrays, das alle APs in einem Gehäuse integriert, lässt sich nur
schwer ermitteln. Noch mehr als bei verteilten Systemen kommt es auf die Platzierung an. In unserer
etwa 200 Quadratmeter großen Testumgebung, die nur Gipskartonwände umfasst, war die Abdeckung an
jedem Punkt gewährleistet – praktisch überall auch mit einem Durchsatz von 24 MBit/s und höher.
Etwas schlechter fiel die Scan-Reichweite nach "Rogue APs" (unerlaubt installierten Systemen) aus.
Verglichen mit den bisher getesteten WLAN-Controllern von Cisco und D-Link (siehe LANline
11/2007 beziehungsweise
2/2008), bei denen die Access Points
über die gesamte Fläche verteilt waren, ermittelte der XS-3500 weniger Treffer. Die gefundenen
Systeme zeigte er jedoch eindeutig und insbesondere auch mit allen wichtigen Informationen wie
eingesetzter Verschlüsselung und Zeitpunkt des letzten Auftretens an.
Generell ist die Kombination vieler Access Points auf engem Raum keine leichte Aufgabe für die
Hochfrequenztechnik. Solange das WLAN-Array zentral aufgestellt ist und seine Leistung gleichmäßig
in den Raum abstrahlen kann, dürften die Abdeckung und der Client-Durchsatz am besten sein. Bei der
Positionierung in Ecken sowie in Kombination mit reflektierenden Flächen sieht die Situation anders
aus. Xirrus gibt an, dass die Zellengröße, also der Abstrahlbereich jedes einzelnen IAPs, dynamisch
beeinflusst werden kann und sich an den Interferenzen mit anderen Zellen und mit sonstigen
Teilnehmern im Frequenzspektrum orientiert. Der Anwender kann auch manuell eingreifen und bestimmte
IAPs abschalten, zum Beispiel, wenn das System in einer Ecke aufgebaut werden muss. Davor warnen
die Implementierungshinweise im englischen Handbuch allerdings nachdrücklich: Schließlich
verzichtet der Anwender damit auch auf den möglichen Durchsatz dieser IAPs.
Fazit
Das Xirrus XS-3500 sieht ungewöhnlich aus und unterscheidet sich durch eine ganze Reihe von
Konzepten und Funktionen von den Produkten anderer Hersteller. Sieht man von den Hindernissen bei
der Konfiguration und Benutzerführung ab, ist das Ergebnis ein sehr kompaktes, komfortabel
einsetzbares System, das alle Wünsche an ein intelligentes WLAN-Array abdeckt. Die Integration des
Controllers in das Gehäuse mit den IAPs ist natürlich der Clou – allerdings treibt dies auch die
Kosten in die Höhe. Der Listenpreis für das XS-3500 liegt bei 3200 Euro, die Version mit 16 IAPs
kommt auf 8500 Euro. Verglichen mit einer separaten Controller-/Access-Point-Lösung wird dieses
Konzept spätestens nach dem zweiten XS-3500 teuer. Natürlich spart die Integration der zahlreichen
APs in ein Gehäuse Kosten für die Verkabelung, und Xirrus argumentiert auch, dass durch die
umfassende Abdeckung weniger drahtgebundene Ports und Ethernet-Switches notwendig sind. Dies ist
sicher richtig, ob es sich für den potenziellen Käufer rechnet, muss dieser selbst entscheiden.
Info: Xirrus Tel.: 001/805/4970955 Web:
www.xirrus.com
Info: Brainworks Computer Technologie Tel.: 089/326764-0 Web:
www.brainworks.de
Lesen Sie mehr zum Thema
