WLAN-Controller, Teil 6: Ruckus Zonedirector
WLAN leicht gemacht
Immer der optimale Datenpfad zum drahtlosen Client, Hindernisse automatisch umgehen und jederzeit die beste Frequenzkonfiguration - Ruckus Wireless verspricht mit seiner WLAN-Technik viel. LANline hat im Rahmen ihrer WLAN-Controller-Testreihe die Ruckus-Lösung Zonedirector ZD1000 unter die Lupe genommen und auf ihre Tauglichkeit für den Unternehmenseinsatz überprüft.
Auf den ersten Blick unterscheiden sich die WLAN-Komponenten des amerikanischen Herstellers Ruckus Wireless kaum von denen anderer Anbieter. Der WLAN-Controller Ruckus Zonedirector ZD1000 steckt in einem stabilen Stahlgehäuse, die Ausführung für größere Netzwerke ist in ein 19-Zoll-Chassis eingebaut. Auch die Access Points (APs) sind mit ihrem weißen, leicht kugeligen Gehäuse nicht besonders auffällig. Hat Ruckus also ein WLAN-System wie jedes andere im Programm? Ganz und gar nicht, sagen die Produktmanager des Herstellers. Das Geheimnis liegt unter der halbrunden Haube der Access Points verborgen. Dort ist ein Array aus zwölf Leiterplattenantennen namens "Beamflex" aufgebaut. Laut Ruckus lassen sich damit zu jeder Zeit etwa 4000 Kombinationen aus horizontalen und vertikalen Antennensegmenten schalten.
Der Access Point beziehungsweise - im Fall eines gemanagten Systems - der Controller überprüft alle paar Millisekunden, wie die Situation im Frequenzspektrum aussieht. Sind neue Sender hinzugekommen, die den Kanal stören? Hat sich der Client bewegt, oder führen Hindernisse im Raum zu Reflexionen? Dann konfiguriert der Access Point sein Antennen-Array um, damit die Abstrahlung wieder optimal zur Anforderung der Clients passt. Ruckus spricht von einem Expertensystem, das die Einschätzung der Funkumgebung vornimmt und die Antennenkombination auf Paketbasis neu einstellt. Das Expertensystem zieht eine ganze Reihe von Informationen zur Bewertung heran, darunter die Leistung des Senders, Fehlerraten und dessen ungefähre Position. So sollen die Abdeckungswerte einer omnidirektionalen Antenne mit dem Durchsatz einer Richtantenne möglich sein. Vor allem sorgt die Flexibilität des Antennen-Arrays laut Hersteller für sehr stabile Verbindungen mit gleichmäßigem Durchsatz.
Hardware und Administration
Um in den Genuss der angepriesenen WLAN-Abdeckung zu kommen, muss das System natürlich zunächst eingerichtet werden. Im LANline-Test stand dafür ein Zonedirector ZD1000 als Controller zur Verfügung, die Lizenz erlaubt das Verwalten von bis zu sechs Access Points und bis zu 1.250 Clients. Maximal kann der ZD1000 50 Access Points steuern. Ruckus baut den Controller in ein zigarrenkistengroßes Metallgehäuse ein, das auf dem Schreibtisch oder in einem Server-Raum gut Platz findet. Da das Gerät ohne Lüfter auskommt, ist sogar eine ruhige Ecke im Büro kein Problem. Zwei Gigabit-Ethernet-Ports an der Front sorgen für die Verbindung zum Netzwerk. PoE-fähig sind sie jedoch nicht - die APs müssen ohnehin nicht direkt mit dem Controller verbunden sein, können also beispielsweise an einem PoE-fähigen Switch im Netz angeschlossen werden. Allerdings müssen die Access Points derzeit im selben Layer-2-Subnetz wie der Controller liegen. In einer künftigen Version soll auch Layer-3-Routing möglich sein.
Ebenfalls an der Front des ZD1000 findet sich ein serieller Port, um bei Problemen einen Notzugang zum Controller zu erhalten. Im Normalfall erfolgt die Administration per Web-Browser und zwar - wie es sein soll - über HTTPS. Ebenfalls vorgesehen ist Zugriff über SSH, aber dieser dürfte nur in wenigen Fällen das Mittel der Wahl darstellen. Denn die Benutzeroberfläche, die Ruckus dem ZD1000 verpasst hat, gehört zum Besten, was wir in dieser WLAN-Controller-Testreihe zu Gesicht bekamen. Dies beginnt bei der übersichtlichen Aufteilung der Einstellungen und Monitorfunktionen, setzt sich mit dem sinn- und stilvollen Einsatz von Farben und grafischen Elementen fort und endet bei der tatsächlich gelungenen deutschen Übersetzung. Wir können es nicht mit Sicherheit behaupten, aber vermutlich zum ersten Mal hat die Lokalisierung eines Produkts so gut funktioniert, dass auch nach der Übersetzung eindeutig klar ist, was mit den Menütexten, Statusmeldungen und Funktionsbeschreibungen gemeint ist. Allein dafür gebührt Ruckus ein dickes Lob. Im Test funktionierte die Browser-Ansicht sowohl mit Internet Explorer ab Version 6 als auch mit Firefox ab Version 2 gleich gut. Allerdings macht ein Feature, die Anzeige des Gebäudeplans, starken Gebrauch von Javascript und Java. Dazu muss auf dem Client das Java Runtime Environment auf dem letzten Stand und ordnungsgemäß eingebunden sein.
WLAN to go
Den Erstkontakt mit dem Controller kann der Administrator am einfachsten in einem Netzwerk mit aktiviertem DHCP-Server aufnehmen. Der ZD1000 holt sich dann automatisch eine IP-Adresse. Fehlt der DHCP-Server, dann arbeitet das Gerät mit der Werks-IP 192.168.0.2. Nach der üblichen Warnung des Browsers über ein nicht gültiges Zertifikat begegnet der Administrator zunächst dem Wizard zur Schnellkonfiguration. Solch einen Wizard fordern wir in unseren Tests, da er sicherstellt, dass auch unerfahrene Anwender schnell zu einem grundsätzlich lauffähigen System gelangen. Ebenfalls in den Testkriterien abgeprüft wird eine sinnvolle Grundkonfiguration der Sicherheitseinstellungen. So darf ein frisch in Betrieb genommener Controller kein offenes und aktives WLAN ausstrahlen. Bis der Anwender bei den notwendigen Einstellungen angekommen ist, wäre das Netz ungeschützt.
Auch in dieser Hinsicht kann Ruckus glänzen, der Wizard führt nach Sprachwahl und Vergabe des Admin-Passworts direkt zur Erstellung des ersten WLANs einschließlich der gewünschten Sicherheitsoptionen. Standardmäßig ist nach dem ersten Start kein WLAN aktiv. Nun kann der Administrator weitere Benutzer in der bis zu 1.000 Einträge umfassenden, internen Datenbank des WLAN-Controllers anlegen. Für kleinere Installationen ist dies ein gangbarer Weg, größere Unternehmen werden auf einen externen Authentifizierungsserver ausweichen, von denen der ZD1000 mehrere gleichzeitig verwalten kann. Darunter ist neben dem üblichen 802.1X-RADIUS - erstmals in der Testreihe - auch eine direkte Active-Directory-Schnittstelle vorgesehen. Es genügt, die IP-Adresse des Servers anzugeben, fortan können sich alle WLAN-Benutzer über ihren ADS-Account am Netzwerk anmelden. So bequem haben wir den Zugang zum WLAN noch nicht erlebt.
Das Konzept, alles, was zum WLAN-Betrieb gehört, per Mausklick zusammenzustellen, zieht sich wie ein roter Faden durch das System. Alle Funktionen sind logisch voneinander abhängig: Wählt der Administrator 802.1X-Authentifizierung, verschwinden "PSK" (Pre-Shared Key) und "Gastzugang" aus der Konfigurationsliste. Wird ein Funknetz für den Gastzugang eingerichtet, schaltet der Controller in diesem WLAN die direkte Client-zu-Client-Kommunikation und den Zugriff auf das interne LAN aus. So "denkt" das System mit und vermeidet Konfigurationsfehler durch die Wahl widersprüchlicher Optionen. Dies lässt sich auch sehr stringent durchziehen, da der Ruckus-WLAN-Controller alles mitbringt, was in diesem Umfeld nötig ist. Er verfügt nicht nur über ein "Captive"-Portal zur Authentifizierung der Benutzer sondern auch über eine Gastfunktion, mit der etwa Besucher oder Hotelgäste per Gastausweis für eine bestimmte Zeit Internetzugang erhalten.
Ebenfalls eingebaut: ein "Zero-IT" genanntes Feature, bei dem Erstnutzer im Browser die Adresse des Controllers mit dem Zusatz "/activate" eingeben. Nach der korrekten Anmeldung erhalten die Benutzer ein kleines Programm zum Download angeboten, das nach dem Start die WLAN-Konfiguration des Computers automatisch mit der richtigen SSID sowie einem dynamischen PSK konfiguriert. Dieser verfällt nach einstellbaren Zeitintervallen, dann muss der Benutzer die Anmeldung wiederholen. Ein ideales Mittel, um zum einen den Konfigurationsaufwand für den Administrator bei der Client-Installation gering zu halten und zum anderen beispielsweise Mitarbeiter, die das Unternehmen verlassen haben, garantiert aus dem Netz auszusperren. Auch wenn Ruckus Zero-IT nur für Windows XP SP2 empfiehlt, funktionierte es im Test mit XP SP3 und Vista SP1 tadellos.
Sicherheit geht vor
Jeder Ruckus-Access-Point kann bis zu acht WLANs verwalten, die mit völlig unterschiedlichen Charakteristika ausgestattet sein können. Generell möglich sind die Unterdrückung des SSID-Beacons, die Zuweisung eines VLAN-Tags und die Limitierung der Up-/Downstream-Rate in 1/2/5-Schritten. Neben den üblichen Sicherheitsmaßnahmen wie WPA/WPA2 und RADIUS fiel vor allem der Gastausweis im Test positiv auf. Besucher werden dazu nach der Verbindung mit einem entsprechend freigeschalteten WLAN auf ein Zwangsportal umgeleitet. Den Code, der ihnen dann den Zugang ins Internet freigibt, kann jeder berechtigte Benutzer am Controller anfordern: Dazu setzt er hinter die IP-Adresse des Controllers den Zusatz "/guestpass". Stimmt der Code, leitet der Controller entweder zu der vom Besucher gewünschten Seite oder auf eine einstellbare "Landing Page" weiter. Alles lässt sich von der Administration mit wenigen Klicks, ohne Konfigurations- oder gar Programmieraufwand einrichten.
Was im Controller etwas zu kurz kommt, ist der Umgang mit den diversen Systemmeldungen. Zwar lässt sich der "Verbosity Level" einstellen, sodass die Administration von Meldungen der Kategorie "niedrig" verschont bleibt, aber dadurch entgehen beispielsweise interessante Informationen über das Roaming von Clients. Die Nachrichtenlisten lassen sich aber weder herunterladen noch durchsuchen - wer ein bestimmtes Ereignis finden will, ist auf einen externen Syslog-Server angewiesen. Dies ist äußerst schade, denn der ZD1000 versieht - soweit möglich - jeden Eintrag mit klickbaren MAC-Adressen und berichtet in wirklich mustergültiger Detailfülle aus dem Wirken des WLANs. Ein Export im HTML-Format wäre daher eine sinnvolle Ergänzung.
Die aktiven Sicherheitsmaßnahmen des Controllers entsprechen dem Niveau anderer Lösungen: Es gibt einen Schutz vor "Floods" mit WLAN-Management-Paketen sowie eine Sperrung von Clients bei zu vielen Fehlversuchen. Ebenfalls integriert ist eine Suche nach fremden DHCP-Servern im Netz. Auch "Rogue Access Points" werden gemeldet und auf dem Lageplan eingezeichnet, den die Administration mit eigenen Grundrissen versehen kann. "Disassociation" von Clients fehlt allerdings ebenso wie etwa ein integriertes Intrusion-Detection-/Prevention-System.
Systeminterna
Gut gelungen ist hingegen die Handhabung von Updates - sowohl des Controllers als auch der Access Points. Ein eigener Menüpunkt löst eine Überprüfung auf der Website des Herstellers aus und zeigt die aktuelleren Firmware-Versionen an. Für den Download ist allerdings ein aktiver Support-Vertrag notwendig. Den Rest erledigt der ZD1000 in Eigenregie. Sowohl der Controller als auch die Access Points werden automatisch mit der neue Software versorgt, über Statusmeldungen erfährt der Administrator, was gerade in den Geräten vorgeht.
Die Access Points von Ruckus unterscheiden sich noch in einem weiteren Aspekt von denen vieler anderer WLAN-Controller-Lösungen. Auch wenn im Unternehmenseinsatz ein Funknetz ohne Controller nicht anzuraten ist, so unterstützt Ruckus dennoch den Stand-alone-Einsatz: Die Access Points - im Test hatten wir vier Geräte des Typs Zoneflex 2942 mit 802.11b/g - lassen sich auch eigenständig betreiben. Dazu ist ein kleiner Web-Server eingebaut, über den der Anwender den AP konfigurieren kann. Ein Modell, der Zoneflex 2925 bringt sogar einen Vier-Port-Switch und PPPoE-Fähigkeit mit, um als Hotspot zu fungieren. Doch üblicherweise dürften sich Anwender im Unternehmensumfeld für eine gemanagte Lösung entscheiden. In diesem Fall hat der Administrator nichts mit den Access Points zu tun, außer, diese mit Strom und Netzwerkanschluss zu versorgen, den Rest erledigt der Controller zentral. Mittlerweile hat Ruckus auch ein AP-Modell mit 802.11n-Fähigkeit im Angebot (ZF7942), dieses lag uns zum Testzeitpunkt leider noch nicht vor. Darüber hinaus existieren auch Outdoor-Ausführungen der APs mit wasserdichtem Gehäuse nach IP-65.
Was Ruckus ebenfalls unterstützt, ist die Möglichkeit, aus mehreren Access Points eine drahtlose Infrastruktur, ein so genanntes Mesh, zu formen. Dazu suchen sich die APs automatisch Nachbarn, über die sie das kabelgebundene LAN erreichen können. So muss für das Gros der APs kein Netzwerkkabel verlegt sein, ein Stromanschluss genügt dort. Das Schöne an der Mesh-Funktion ist ihre Einfachheit. Sobald Mesh für das WLAN freigegeben ist, stellt sich jeder fest angeschlossene Access Point auf seine mögliche Rolle als Mesh-Knoten ein. Neue APs braucht die Administration nur einmal kurz mit dem LAN zu verbinden, bis sie ihre Konfigurationsdaten erhalten haben und dem Mesh bekannt gegeben sind. Danach lässt sich das Netzwerkkabel entfernen und der AP am gewünschten Ort aufstellen. Dieser sucht sich den oder die nächstgelegenen Access Points und verbindet sich per verschlüsseltem Link mit ihnen. Natürlich geht der durch die Vermaschung generierte Up- und Downstream-Durchsatz zum LAN zu Lasten der Client-Bandbreite. Im Test erreichten 802.11g-Clients bei traditioneller WLAN-Konfiguration im Schnitt einen Durchsatz von 31 MBit/s. Waren sie über einen Mesh-AP angebunden, reduzierte sich der Wert auf etwa 11 MBit/s. Bei 802.11n-Access-Points dürfte die Mesh-Technik also besser aufgehoben sein.
Fazit
Das Ruckus-System aus WLAN-Controller und Access Points begeisterte uns im Test von Anfang an. Die Benutzeroberfläche des Controllers sucht ihresgleichen, die Funktionen sind sehr einfach zu nutzen, und die Entwickler haben alles integriert, was der Anwender zum Betrieb eines Unternehmensnetzes benötigt. Dazu kommt noch ein beachtliches Preis-Leistungs-Verhältnis: Mit 850 Euro ist der ZD1000 eines der günstigsten Geräte in der Testreihe, die 802.11b/g-APs liegen mit 210 Euro ebenfalls im Rahmen. Selbst der Preis für die 802.11n-APs geht mit 570 Euro in Ordnung. Berücksichtigt man noch die Möglichkeit, über die Mesh-Funktion schnell und unkompliziert Bereiche außerhalb der verkabelten Infrastruktur erschließen zu können, so hat der hierzulande bislang noch wenig bekannte Hersteller Ruckus einen echten Geheimtipp am Start.
Info: Ruckus Wireless Tel.: 01520/4745227 Web:
Lesen Sie mehr zum Thema
