Fliegender WLAN-Teppich

WLANs etablieren sich täglich mehr in den Unternehmen. Mit 802.11n steht zudem eine Technik vor
der Tür, mit der hohe Durchsätze und damit praktisch ein Kabelersatz möglich wären – zumindest im
Edge-Bereich lokaler Netze. Doch die maximal möglichen Geschwindigkeiten erreicht der Anwender nur,
wenn die Funkzelle den Luftraum für sich und den Client allein nutzen kann. Stören weitere Access
Points (APs) mit ihren Funkwellen die Ausbreitung, sinkt die Geschwindigkeit drastisch,
gleichgültig, ob es ein eigener AP oder der des Nachbarn ist. Für eine hohe Abdeckung sind aber
viele Access Points notwendig. Dies führt dazu, dass beim Einsatz von WLANs in Firmenumgebungen oft
viel Planungsaufwand in das so genannte Cell-Planning fließt. Grundregel dabei: Die Abdeckung der
APs soll knapp überlappend sein, muss aber den gesamten Bereich, in dem WLAN-Kommunikation
gewünscht ist, ausleuchten. Je nach 802.11-Technik gibt es mehr oder weniger Kanäle, die
störungsfrei nebeneinander existieren können, bei 802.11b/g (2,4-GHz-Band) sind es drei. Bei
802.11n soll die zusätzliche Nutzung des 5-GHz-Bands (bislang 802.11a) die Situation zwar
entspannen, aber auch dort wird die Zahl nicht konkurrierender Kanäle in der Praxis überschaubar
bleiben.

Verschiedene Anbieter versuchen der Beschränkung durch eine exakt kontrollierte Abstrahlung Herr
zu werden, sodass sich die Signale nicht in die Quere kommen. Bei Ruckus beispielsweise hält das
System Daten so lange wie möglich im internen Verbund, bevor es – auf dem kürzesten Weg – an den
Client gesendet wird. Das israelische Unternehmen Extricom wählt einen anderen Ansatz: Sein
WLAN-Controller verdient den Namen zu Recht, denn die Intelligenz des Systems befindet sich
ausschließlich in diesem Gerät. Die zugehörigen Access Points sind "Ultra-Thin" – sie besitzen
nicht einmal eine eigene MAC-Adresse. Sie dienen lediglich als verlängerte Funk-"Arme" des
Controllers, der direkt mit den Clients kommuniziert. Das Besondere dabei: Die APs arbeiten alle
auf demselben Kanal, es gibt also keine störenden Überlagerungen zwischen den Geräten, sondern das
System sorgt für etwas, was Extricom "Blanket" nennt – also eine Art "WLAN-Teppich". Es handelt
sich um eine homogene Abdeckung eines Bereichs, der nur über einen Funkkanal läuft. Dies
funktioniert, weil der WLAN-Controller weiß, welcher der APs gerade optimal für die Übergabe der
Daten positioniert ist. Die Extricom APs verfügen über mehrere Funkmodule, je nach Modell bis zu
vier. Alle vier lassen sich auf unterschiedlichen Kanälen und mit verschiedenen Funktechniken
(802.11a/b/g) betreiben. Kurz vor Testende kam zudem ein Firmware-Update für den Controller heraus,
das den Draft-"n"-Standard unterstützt – allerdings standen uns die dazu passenden Access Points
noch nicht zur Verfügung, sie sollen aber inzwischen erhältlich sein.

Alle APs auf derselben Welle

Die Crux beim üblichen Cell-Planning ist, dass der Anwender versucht, einander widersprechende
Ziele zu erreichen. So soll möglichst der gesamte Bereich nahtlos abgedeckt sein, damit ein Client,
der sich im Gebäude bewegt, zu keiner Zeit außer Reichweite des Funknetzes ist. Das Handover von AP
zu AP muss ohne Unterbrechung klappen. Durch die Interferenz der Kanäle dürfen die APs aber auch
nicht zu nahe beieinander positioniert sein. Dies lässt sich natürlich lösen, es gibt sogar
spezielle Software wie beispielsweise Airmagnet Survey, mit der sich solche Ausleuchtungsprofile
erstellen lassen. Mit Extricom funktioniert es allerdings ohne diesen Aufwand, da für die
gewünschte Ausleuchtung beliebig viele APs positioniert werden können, ohne sich in die Quere zu
kommen. Auch das Handover ist unkritisch: Da die APs keine eigenen MAC-Adressen besitzen, ist für
das "Roaming" auch nichts auf Layer 2 oder höher abzuwickeln. Besonders vorteilhaft kann solch ein
Verhalten bei Voice over WLAN sein, da störende Verzögerung während des Handovers entfallen.

Ein Nachteil der Lösung ist, dass Extricoms APs eine direkte Kabelverbindung zum Controller
benötigen – ohne MAC funktionieren sie nicht einmal an einem anderen Switch-Port im gleichen
Segment. Konsequenterweise bietet jeder der Ports am WLAN-Controller 802.3af-konformes Power over
Ethernet, das sich auf Port-Ebene abschalten lässt. Konfigurationsaufwand für die Access Points ist
praktisch nicht vorhanden, fällt ein Gerät aus, kann es der Anwender sofort ersetzen. Das fehlende
Handover zwischen APs hat auch aus der Sicherheitsperspektive einen Vorteil: Solange sich der
Client im Abdeckungsbereich des WLAN-Blankets bewegt, finden keine De- und Neuassoziationen statt,
die ein Angreifer mithören und nach Anhaltspunkten für eine Attacke analysieren könnte.

Dies war viel Theorie zu Beginn, hat aber einen Grund: Für den Administrator und vor allem für
die Nutzer ist der komplette "Blanket"-Ansatz unsichtbar. Im Einsatz verhalten sich
WLAN-Switch/Controller und Access Points, wie es die Anwender von anderen Systemen gewohnt sind,
auch bei der Konfiguration bemerkt der Administrator nichts von Extricoms MAC-losem Konzept. Nach
mittlerweile zahlreichen Tests von WLAN-Controllern (siehe Kasten) lässt sich sogar sagen, dass die
Konfiguration von Extricoms EXSW-2400 bislang am einfachsten ablief, obwohl es keinen Wizard für
die Grundkonfiguration gibt. Ein solcher erübrigt sich, da in der Tat nicht sehr viel zu
konfigurieren ist – verglichen etwa mit den extrem detaillierten RF-Settings bei Ciscos
WLAN-Controller oder den umfassenden Routing-Funktionen bei Extreme Networks. Mit Extricoms
WLAN-Lösung erstellt der Administrator ein WLAN, nichts weiter.

Ohne Umwege zum WLAN-Switch

Für den Test stand LANline ein EXSW-2400 mit 24 PoE-Ports zur Verfügung – es sind auch
Ausführungen mit vier, acht oder zwölf Ports erhältlich. Als APs kamen drei EXRP-40 mit jeweils
vier Radiomodulen und internen Antennen zum Einsatz. Obwohl die APs eine Buchse für den Anschluss
eines externen Netzteils haben, dürften die meisten Anwender die PoE-Versorgung vorziehen. Um den
Nachteil des direkten Kabelanschlusses auszugleichen, ist von Extricom ein PoE-Extender erhältlich,
der die Entfernung zwischen AP und Switch auf 200 Meter verdoppelt. APs mit Anschlussmöglichkeiten
für externe Antennen sind ebenfalls verfügbar.

Der Switch/Controller lässt sich prinzipiell über SSH und einen seriellen Port verwalten, am
einfachsten geht es aber per Webbrowser. Extricom wickelt – sehr lobenswert – die Kommunikation
grundsätzlich per HTTPS ab. Weniger lobenswert ist, dass ein Logout-Button fehlt und zudem kein
Time-out existiert. Nach dem ersten Start hat der Switch die Adresse 192.168.1.254, ein PC im
gleichen Subnetz findet schnell Kontakt und wird mit dem Login-Screen begrüßt. Die Anmeldedaten
lauten "Admin/Switch1", wobei Groß-/Kleinschreibung zu beachten ist. An dieser Stelle gleich ein
wichtiger Hinweis: Jede Konfigurationsänderung kann und muss der Administrator im entsprechenden
Menü per "Save" speichern. Aktiv wird diese jedoch erst nach einem Klick auf die "Apply"-Funktion,
die Extricom im Menü "System Tools" untergebracht hat. Die Konsequenz für die Arbeit mit dem
Controller ist, dass der Anwender sich sehr gut überlegen sollte, was er aktuell alles
konfigurieren will. Der Apply-Vorgang dauert etwa 80 Sekunden, wer Verschiedenes nacheinander
ausprobiert, beginnt spätestens nach dem fünften "Apply", ungeduldig mit den Fingern auf den Tisch
zu trommeln.

Das Aufsetzen der WLANs selbst erweist sich allerdings als eine sehr einfache Angelegenheit. Der
Konfigurationsbereich im Switch teilt sich in drei Menüs auf: In einem sind die SSIDs mit ihren
Attributen festzulegen, im zweiten schaltet der Administrator die Funkmodule der APs auf den
jeweiligen 802.11-Modus und im dritten ordnet er die SSIDs den Funkmodulen zu. Realisierbar sind
bis zu 16 SSIDs pro Modul und damit pro Funkkanal. Die einzelnen Access Points tauchen dabei
überhaupt nicht auf – abgesehen von einem Menü, das die PoE-Konfiguration anzeigt, sind die APs als
eigenständige Geräte nicht präsent. Bei der Zuordnung Funkmodul/802.11Modus kann der Anwender auch
das Extricom-Feature "True Reuse" aktivieren. Dabei wird die Signalstärke jedes empfangenen Pakets
vom Client gemessen und die Sendeleistung entsprechend angepasst. Dies soll verhindern, dass ein
Access Point mit APs in anderen Bereichen des Gebäudes konkurriert, die zwar den gleichen Kanal
verwenden, aber nicht zum selben Controller gehören.

Sicherheit und Zugang

Neben der Frage, welches Radiomodul welchen Kanal bedienen soll, muss der Administrator sich nur
noch um die Absicherung des Systems kümmern. Der Controller unterstützt die üblichen
Sicherheitsmerkmale wie WEP und WPA/WPA2, jeweils mit Radius-Unterstützung oder einem statischen
Schlüssel. Die Auswahl erfolgt pro SSID mit einem Drop-Down-Menü. Anschließend darf der Anwender
jedoch nicht vergessen, die SSIDs auf die Radiomodule zu verteilen und die "Apply"-Zwangspause
abzuwarten. Als Radius-Server kam im Test das bewährte Programm Winradius zum Einsatz: Das Ganze
funktionierte auf Anhieb und ohne weitere Konfigurations-"Klimmzüge". Der Controller bietet dem
Anwender mehrere Einträge für Radius-Server an, sodass sich unterschiedliche Segmente mit
unterschiedlichen Authentifizierungsservern abdecken lassen. Einen eigenen Radius-Server wie etwa
bei Xirrus hat Extricom nicht eingebaut, auch das Definieren von Benutzern direkt im Switch ist
nicht vorgesehen.

Mit von der Partie ist jedoch ein "Captive"Portal, dessen Erscheinungsbild sich sehr einfach
anpassen lässt. Die Konfiguration verlief im Test allerdings schwerfälliger, da Extricom in diesem
Fall mit VLANs arbeitet und Clients und Server in unterschiedliche Subnetze verweist. Im Test
erwies es sich als am einfachsten, im VLAN für die Clients auch einen DHCP-Server zu platzieren,
der den Clients ihre IP-Adressen zuteilt. Von Extricom ist ein eigenes Dokument zum Thema
erhältlich, das die komplette Umgebung mit Captive-Portal, VLAN und Radius-Authentifizierung
detailliert beschreibt. Leider erhält der Anwender dieses, wie die meisten anderen technischen
Dokumente von Extricom, nur auf Nachfrage, die Website bietet bis auf Marketing-Material nur wenig
zum Download an.

Ebenfalls nicht offen downloadbar sind Firmware-Updates, was sehr schade ist, denn der
Hersteller erweitert den Funktionsumfang seines Controllers dabei ganz erheblich. Gegen Ende des
Testzeitraums erhielten wir einen Update (4.0.25), das erheblich mehr Funktionsumfang bei den
Funk-/Kanaleinstellungen bot und zudem das Captive-Portal um "Pre"-Authentifizierung erweiterte.
Damit lassen sich TCP- und UDP-Dienste definieren, die den Clients schon vor der Authentifizierung
zur Verfügung stehen. Im Test funktionierte dies auch mit DHCP, sodass sich Clients eine IP-Adresse
abholen konnten, obwohl sie in einem anderen Subnetz auf den Zugang zum Netzwerk warten mussten.
Die Firmware lässt sich über ein eigenes Menü im Bereich System-Tools installieren, die
komprimierte ".gz"-Datei darf dabei nicht entpackt, sondern muss als solche in den Switch
hochgeladen werden. Pluspunkte gibt es dafür, dass der EXSW-2400 das Format vor dem Update prüft
und bei nicht passenden Dateien den Vorgang im Test ohne Schäden abbrach.

Aber auch mit der aktuellsten Firmware bot der EXSW-2400 wenig, wenn es um die Überwachung des
Funkraums ging: RF- und Spektrumsanalyse sowie die Anzeige von APs in einer Karte, wie sie Cisco,
Aruba oder Xirrus beherrschen, fehlen beispielsweise. Das Reporting ist auf ein Fenster mit
Event-Meldungen beschränkt, die sich per Syslog an einen zentralen Server weiterschicken lassen,
eine E-Mail-Benachrichtigung ist nicht vorgesehen. Die Ausrichtung erscheint klar: Extricom sorgt
für einen leistungsfähigen WLAN-Zugang, wer Analysefunktionen benötigt, muss sie sich von einem
Fremdanbieter besorgen. Allerdings hat Extricom – wie beispielsweise auch Cisco – eine optionale
Managementsoftware im Angebot, mit der sich mehrere Switches überwachen und verschiedene
Monitoring-Aufgaben zentral erledigen lassen. Dafür muss der Administrator im "Advanced"Menü das
Feld "Monitoring" freischalten und die Adresse des Computers mit der Managementsoftware
angeben.

Auf frischer Tat ertappt

Was Extricom dennoch eingebaut hat, ist ein Intrusion-Detection-System (IDS), das in den
Grundeinstellungen zwar etwas schnell Alarm schlägt, aber mit seinen Funktionen typische Angriffe
wie "Dis-Association Floods" und "Invalid Authentication Requests" zuverlässig erkennt. Für die
meisten Administratoren dürfte das IDS eine sehr willkommene Ergänzung des restlichen
Funktionsumfangs sein, reduziert es doch die Wahrscheinlichkeit, dass Angreifer unbemerkt
Zugangsversuche durchprobieren. Je nach eigener Umgebung sollte der Administrator die Grenzwerte
etwas nach oben korrigieren, sonst ist das IDS fast durchgehend am "Meckern". Eine Firewall oder
einen VPN-Endpunkt hat Extricom nicht eingebaut, hingegen ist Redundanz durch einen zweiten
Controller möglich. Auch die Konfiguration weiterer "Slave"-Controller lässt sich zentral mit dem
EXSW-2400 abwickeln.

Im Test war die erzielte Abdeckung trotz sehr störungsintensiver Umgebung mit vielen APs von
fremden Netzen ausgezeichnet. Wir konnten in der Referenzumgebung an jedem Punkt maximalen
Datendurchsatz feststellen, dies kam in dieser Form bislang noch nicht vor. Ein subjektiver Test
mit einem drahtlosen IP-Telefon von Netgear ergab weder Unterbrechungen noch Verzerrungen eines
Dauertons, während wir uns durch das Gebäude bewegten und dabei auch zwischen den Einflussbereichen
mehrerer Access Points wechselten. Da wir von Anfang an über SSIDs separate Kanalteppiche für
VoWLAN beziehungsweise für Daten festgelegt hatten, wirkten sich auch parallele Datentransfers –
zumindest in diesem Testszenario – nicht negativ auf die Sprachqualität aus.

Fazit

Kooperation anstelle von Konkurrenz – dies beschreibt Extricoms Konzept mit seiner innovativen
Art der Funkversorgung sehr gut. Die "vierte Generation", wie solche Konzepte mit Ultra-Thin-APs
auch genannt werden, unterscheidet sich, zumindest für den Benutzer, nicht von ihren Vorgängern.
Der Kanalteppich mit nicht konkurrierenden Frequenzbereichen funktionierte im Test wie vom
Hersteller beschrieben. Durch die sehr einfache Konfiguration des WLAN-Controllers sowie die
PoE-Versorgung aller Ports stand ohne große Vorbereitungen ein schnelles WLAN zur Verfügung.
Hinsichtlich der Preise liegt das System im Mittelfeld, der EXSW-2400 kostet laut Preisliste knapp
11.000 Dollar, die EXRP-40-Access-Points kommen auf knapp 700 Dollar. Während andere
WLAN-Controller unserer Testserie mehr Funktionen rund um den Netzwerkzugang boten, seien es
bessere Reporting-, Analyse-, Sicherheits- oder Routing-Funktionen, konzentriert sich die
Extricom-Lösung auf die Funkversorgung. Wer bereits eine Infrastruktur mit ausreichenden
Sicherheitssystemen am Laufen hat, kann den EXSW-2400 schnell einfügen und seine Umgebung um einen
WLAN-Zugang erweitern.

Info: Extricom Networks Tel.: 08708/9276990 Web:
www.extricom.com