WLAN-Controller, Teil 7: Lancom WLC-4025
WLAN für alle Fälle
Für seine Access Points ist Lancom seit langem bekannt. Mittlerweile hat der Hersteller auch zwei WLAN-Controller im Angebot, mit denen sich die Zugangspunkte zentral verwalten lassen. Im Rahmen unserer WLAN-Controller-Testreihe hatten wir das Modell WLC-4025 von Lancom im Labor und kamen gerade recht zu einer maßgeblichen Umstellung der Firmware.
Bereits 2007 führte Lancom zwei WLAN-Controller ein, den WLC-4006 und den WLC-4025 zur Kontrolle
von sechs respektive 25 Access Points (APs). Während viele Anbieter von WLAN-Controllern möglichst
viel Intelligenz im Controller konzentrieren und die APs mehr oder weniger zu einer Antenne mit
Netzwerkanschluss degradieren, ging Lancom einen anderen Weg: Nachdem ohnehin speziell entwickelte
Betriebssysteme für die APs zur Verfügung standen, sollte deren Potenzial nicht durch den Einsatz
eines Controllers eingeschränkt werden. Der Hersteller entwickelte seine Controller in Anlehnung an
den IETF-Standard CAPWAP (Control and Provisioning of Wireless Access Points). Dieser sieht drei
verschiedene Modi vor: Remote-MAC, Split-MAC und Local-MAC. Bei den ersten beiden Modi dient der
WLAN-Controller als zentrales Element, das die Kommunikation steuert. Dies bedeutet auch, dass alle
Paketinhalte, die die Access Points übertragen, durch den Controller laufen.
Während dies bei den bisherigen WLAN-Durchsätzen selten ein Problem darstellte, kann die
Einführung von 802.11n durchaus zu einem Engpass im Controller führen. Lancom setzt daher auf die
Variante "Local-MAC". Dabei erfolgt die komplette Abwicklung des Datenverkehrs direkt im Access
Point. Die APs tauschen lediglich Steuersignale mit dem Controller über einen separaten Kanal aus.
Dies hat zwei Folgen: Zum einen lässt sich die Nutzlast der Daten bereits am Access Point in das
LAN auskoppeln. Der Flaschenhals Controller entfällt, je nach Umgebung ist dafür eine VLAN-Struktur
notwendig, um die Pakete aus dem WLAN vom Rest des Netzwerks zu trennen. Zum anderen gewinnen die
Access Points dadurch mehr Widerstandsfähigkeit gegen Ausfälle.
Sicherheit durch Verschlüsselung
Damit niemand die Steuersignale zwischen Controller und APs missbrauchen kann, verschlüsselt
Lancom den Tunnel mit DTLS (Datagram Transport Layer Security). Dabei handelt es sich um ein, auf
TLS basierendes Verschlüsselungsprotokoll, das sich im Gegensatz zu TLS auch über unzuverlässige
Transportprotokolle wie UDP übertragen lässt. Den Anwender tangiert dies im laufenden Betrieb
nicht. Lediglich bei der Planung des Netzwerks beziehungsweise der AP-Standorte sollten sich
Administratoren Gedanken machen, damit die WLAN-Daten später möglichst schnell und kompakt im LAN
weiterverarbeitet werden.
Für unseren Test stellte Lancom vier Access Points zur Verfügung. Drei davon gehörten zur neuen
L-310agn-Serie, die – wie der Name verrät – ein 802.11n-WLAN bereitstellen. Der vierte AP war ein
Dual-Band-Gerät "L-54 Dual" mit a/b/g-Unterstützung. Bei seinen 802.11n-APs verzichtet Lancom
bislang auf ein zweites Funkmodul, mit dem 2,4 und 5 GHz gleichzeitig möglich wären. Dies
beschränkt zwar den Einsatz auf jeweils ein Frequenzband, bietet aber den Vorteil, dass auch für
802.11n die PoE-Versorgung gemäß 802.3af ausreichend ist, falls der Anwender diese nutzen will.
Als Controller stand im Test das Modell WLC-4025 zur Verfügung. Das System im 19-Zoll-Format
verfügt über fünf nicht PoE-fähige Ethernet-Ports an der Front, von denen einer als Uplink
gekennzeichnet ist. Funktional bietet er aber die gleichen Möglichkeiten wie seine vier Kollegen.
Ein beleuchtetes LC-Display gibt Infos zu den Access Points. So listet dieses abwechselnd die
Anzahl der angeschlossenen, der verwalteten und der verloren gegangenen APs auf. Ebenfalls zeigt
das System die Firmware-Version an. Diese ist durchaus relevant, denn die Versionen von
Controller-Firmware und Management-Software müssen zusammenpassen. Im Grundzustand der
Testinstallation war Version 7.56 installiert, die wir sofort auf den damals aktuellen Stand 7.58
aufrüsteten. Nachdem die "Lantools" des Herstellers auf der beiliegenden CD zu alt für diesen
Release-Stand waren, hieß es, die aktuellen Programmversionen aus dem Internet herunterzuladen.
Großes Lob an dieser Stelle an Lancom: Im Gegensatz zu fast allen bislang getesteten Herstellern,
gibt man den Zugang zu Soft- und Firmware ohne Registrierung, Service-Vertrag oder sonstigen
bürokratischen Aufwand frei.
Aber zunächst stand die Inbetriebnahme von Controller und Access Points an. Nach dem Einschalten
des WLC-4025 ist Geduld angesagt. Das Gerät generiert Zufallszahlen für die Zertifikate und die
DTLS-Verschlüsselung, was etwa 20 Minuten dauert. Da die IP-Adresse nicht im Display ersichtlich
ist, nutzen wir das externe Konfigurations-Tool Lanconfig von Lancom für den Erstkontakt. Wenn der
Controller im selben Netzsegment angeschlossen ist, findet ihn das Tool nach ein paar Sekunden und
startet einen von mehreren Wizards für die Konfiguration. Zunächst geht es um Systemnamen,
Passwort, NTP-Zeitquelle und DHCP-Modus. Danach folgt nahtlos der nächste Wizard, der das erste
WLAN einrichten soll. Hier steht bereits der erste Blick ins Handbuch an, denn Lancom benutzt ein
mehrstufiges Konzept für die WLAN-Parameter.
Ganz oben steht das so genannte Profil, in dem physikalische Daten und logische Einstellungen
wie die SSID zusammengefasst sind. Die physikalischen Daten umfassen Frequenzbereiche und bestimmte
Parameter zur Optimierung des Funkmoduls, in den logischen Einstellungen ist unter anderem die
Absicherung durch Verschlüsselung festzulegen. Nachdem im Test die Angaben dem Controller
mitgeteilt waren, versuchten wir den ersten Verbindungsaufbau, fanden aber keine der definierten
SSIDs wieder. Nach einer Weile des Wartens überprüften wir die Einstellungen manuell und fanden
heraus, dass der Wizard die logischen Einstellungen nicht an den Controller übergibt. Laut
Hersteller ist dieser Fehler im zwischenzeitlich verfügbaren finalen Release 7.60 behoben.
Außenstellen-Gateway integriert
Während sich andere WLAN-Controller wie etwa Geräte von Cisco oder Xirrus in dieser Testreihe
auf das reine Verwalten der Access Points beschränken, bietet Lancom einen umfangreicheren
Lösungsansatz: In den Controller sind die kompletten Funktionen eines Außenstellen-Gateways
eingebaut. Es gibt eine Firewall, ein Intrusion-Detection-Modul, einen VPN-Server für PPTP und
IPSec sowie umfangreiche Routing-Funktionen mit Backup-Verbindungen. Dies alles hat der Hersteller
in die seit Jahren von Lancom genutzte Menüstruktur mit einem schmalen Konfigurationsfenster und
Tabs für die Verzweigung gepackt. Altgediente Lancom-Profis kennen (und wollen) nichts anderes –
Neueinsteiger haben aber zunächst ein Problem mit der Übersicht.
Kein WLAN ohne Access Points: Bei Lancom finden die APs auf Wunsch von allein den Weg zum "
großen Meister". Der Administrator kann die automatische Ankopplung aller Anschluss suchenden APs
freigeben, oder die erlaubten Geräte per MAC-Adresse in einer Liste spezifizieren. Letzteres ist
auch über ein Skript realisierbar. Eine "Default"-Konfiguration lässt sich nach Anschluss
automatisch zuweisen, andernfalls stehen die APs in einem der angesprochenen Submenüs zur manuellen
Auswahl und Zuordnung an ein Profil bereit. Dabei sind sehr viele Detaileinstellungen möglich, auch
erlaubt der Controller die Vererbung von ausgewählten Eigenschaften auf Access Points, und sogar
die rekursive Vererbung ist realisierbar. Davon werden Administratoren aber nur in komplexen
Umgebungen Gebrauch machen. Häufiger dürfte die Funktion des "autarken Betriebs" zum Einsatz
kommen: Die APs speichern Konfigurationsdaten in einem Flash-Bereich, der auch nicht mit den
üblichen Tools zugänglich ist. Verlieren sie den Kontakt zum Controller, können sie für eine
definierbare Zeitspanne funktionsfähig bleiben und das WLAN wie zuvor bereitstellen. Für
Außenstellen ohne eigenen WLAN-Controller ist dieses Feature sehr interessant, um so eventuelle
Ausfälle der WAN-Verbindung zu überbrücken.
Im Test funktionierte der autarke Betrieb problemlos und erlaubte auch die Authentifizierung von
Clients per RADIUS. Dazu muss in diesem Fall ein externer RADIUS-Dienst im Netz vorhanden sein –
der WLC-4025 selbst ist ja gerade nicht erreichbar. Außerdem ist in den Access Points die
aktuellste Firmware Voraussetzung – erst ab Version 7.60 können die APs Authentifizierungsanfragen
auch an einen anderen als den WLC-4025-RADIUS-Server weiterleiten. Die Weiterentwicklungen des
Herstellers an der Firmware brachten allerdings auch unsere Testinstallation etwas in Bedrängnis:
Während der Testphase stellte uns Lancom den Release Candidate 2 von Version 7.60 zur
Verfügung.
Was sich angesichts der niedrigen Wertigkeit nach einem reinen Fix-Release anhört, hatte es
jedoch in sich: Zwischen den Versionen 7.58 und 7.60 liegen Welten, was Erscheinungsbild und
Funktionalität anbelangt. Die Web-Oberfläche von Controller und Access Points ist komplett
überarbeitet und repräsentiert nun deutlich besser als zuvor den typischen "Lanconfig"-Aufbau. Ein
neues Status-"Summary" hilft, den aktuellen Zustand des Systems schnell zu erfassen, und die
grafische Umsetzung erscheint nun erheblich zeitgemäßer als zuvor. Zu den neuen Funktionen zählt
die Umstellung der Firewall auf objektorientierte Konfiguration. Regeln lassen sich jetzt grafisch
darstellen und mit einem Mausklick überarbeiten. Zudem hat Lancom den VPN-Server um sowohl
XAUTH-Server (Extended Authentication Protocol) als auch -Client erweitert, was bei
IPSec-Verbindungen eine zusätzliche Benutzername/Passwort-Prüfung ermöglicht.
Drei Tools für das Management
Lancom liefert drei Windows-Tools mit, um das Netzwerk, ob LAN oder WLAN, im Auge zu behalten.
Während die Konfiguration von Controller und APs auch über die Web-Oberfläche anstelle des Tools "
Lanconfig" laufen kann, hat der Benutzer bei der Überwachung des Funknetzwerks keine Wahl: Der so
genannte Wlanmonitor muss ran. Mit diesem Tool lassen sich sowohl Betriebsparameter wie SSID,
Clients und zugeordnete APs anzeigen, als auch die Funkumgebung überwachen. "Rogue" Access Points
oder Clients tauchen ausschließlich in diesem Tool auf – und auch nur dann, wenn der Administrator
die Überwachung explizit freischaltet. Dazu muss er in den physikalischen Einstellungen der APss
das "Background-Scan-Intervall" eintragen. Dieses gibt an, in welchem Abstand der AP die Kanäle
nach anderen aktiven Funkteilnehmern durchsuchen soll. Dass diese Einstellung wiederum nicht im
dafür zuständigen Wlanmonitor, sondern in Lanconfig beziehungsweise in der Web-Oberfläche
vorzunehmen ist, erscheint – gelinde gesagt – verwirrend. Immerhin findet sich im Wlanmonitor ein
Hinweis, wo das entsprechende Menü zu finden ist.
Damit nicht genug: In den Optionen von Wlanmonitor muss der Administrator die Erfassung von "
Rogue"-Systemen explizit aktivieren. Dann allerdings überzeugt das Tool durch eine informative und
sehr übersichtliche Darstellung der Ergebnisse. Die APs und Clients lassen sich in vorgegebenen
Ordner wie "Neu", "Unbekannt" und "Rogue" verschieben und erhalten dann eine passende
Farbmarkierung. Administratoren können neue Ordner anlegen, um die Aufteilung des eigenen Netzwerks
zu repräsentieren. Im Test wurden allerdings zunächst keine "Rogues" angezeigt: Erst nach einem
Update der Tools auf die Version 7.60 verschwand dieser Fehler spurlos. Aktiv eingreifen kann der
Administrator bei "Rogues" an dieser Stelle leider nicht: Die Disassoziierung von Clients, die
unberechtigterweise mit APs verbunden sind, unterstützt der Wlanmonitor nicht, dies lässt sich nur
über die Kommandozeile des entsprechenden Access Points realisieren.
Was Durchsatz und Reichweite der Lancom-Lösung angeht, so lassen sich aufgrund des – in dieser
Testreihe – erstmaligen Einsatzes von 802.11n kaum vergleichbare oder repräsentative Aussagen
treffen. Der Gesamtdurchsatz und die Reichweite hängen bei 802.11n extrem von der richtigen
Platzierung der APs und der räumlichen und baulichen Situation der jeweiligen Umgebung ab. Wir
beschränkten uns daher darauf, den maximalen Durchsatz mit 802.11n zwischen einem Client und einem
Access Point per FTP-File-Transfer zu ermitteln. Ganz wichtig dabei: unbedingt den Burst- oder
Aggregation-Modus bei Client und AP freischalten. Im Mittel zahlreicher Messungen ließ sich so ein
Nettodurchsatz von knapp 43 MBit/s erzielen. Schon bei Tests im selben Raum zeigte es sich, dass
auch die Position der beiden Geräte zueinander eine große Rolle spielt. Je nach Lage des Clients
zum AP traten Schwankung von 20 bis 30 Prozent zwischen den einzelnen Messungen auf. Hersteller und
Art des Clients schlugen ebenfalls auf das Ergebnis durch: Die besten Werte schaffte ein USB-Stick
von Logilink, ein in einem Lenovo-Notebook verbauter 802.11n-Adapter blieb hingegen deutlich hinter
dem Spitzenwert zurück.
Internet-Café integriert
Eines der Lancom-Features, die bislang nur bei Ruckus zu finden waren, ist der
Public-Hotspot-Modus: Im Prinzip handelt es sich dabei um ein "Captive"-Portal, eine
Zwangsumleitung, mit der Benutzer gegen den RADIUS-Server oder eine interne Datenbank
authentifiziert werden. Lancom hat die Funktion erweitert und zeitlich begrenzte Zugänge samt
Voucher-Druck eingerichtet. Als wir uns im Test davon überzeugen wollten, ließ sich diese Funktion
jedoch nicht aktivieren. Erst nach einem Lizenz-Upgrade funktionierte der Public Hotspot wie
erwartet. Nach intensiver Beschäftigung mit dem WLC-4025 fällt uns das Fazit schwer. Die
Ausstattung mit sinnvollen Features ist überwältigend – das Gerät scheint sich für jeden
Einsatzfall zu eignen. Während viele WLAN-Funktionen sehr gut umgesetzt sind, und auch die
Leistungsdaten der Access Points stimmen, knirscht es an einigen Stellen noch im Getriebe. Dies mag
im Test zum Teil an der noch nicht finalen Firmware gelegen haben, manches wie das weitgehend
passive Monitor-Tool sollte Lancom noch einmal überarbeiten. Positiv überrascht allerdings der
Preis. Mit nicht einmal 4.300 Euro für den Controller und 399 Euro für einen 11a/g/n-AP ist die
Lancom-Lösung unser Preis-Leistungs-Favorit.
Info: Lancom Systems Tel.: 02405/49936-0 Web:
www.lancom.de
Lesen Sie mehr zum Thema
