16.07.2004, 00:00 Uhr
Wie man WLAN-Kosten senkt
Funknetze erfreuen sich in Unternehmen grosser Beliebtheit, doch stösst die erste WLAN-Generation in vielen Fällen bereits an ihre Leistungsgrenzen. Dies führt zu erhöhtem Administrations- und Kostenaufwand. Switch-gestützte Infrastrukturen könnten die Betriebskosten reduzieren.
Steigende Benutzerzahlen, zunehmende Bandbreitenauslastung sowie zusätzliche Anwendungsbereiche wie Internet, Mobile Data Capture oder Voip-Telefonie haben dazu geführt, dass WLANs der ersten Generation rasch an ihre Grenzen gestossen sind. Faktoren, die nun zu neuen Anforderungen führen und den administrativen Aufwand erheblich erhöhen.
Sollen Funknetze die gestiegenen Anforderungen an ein modernes Netz meistern, muss meist eine Migration auf leistungsfähigere Systeme erfolgen. In einer klassischen Access-Point-Architektur bedeutet dies den Austausch der vorhandenen Hardware und damit grössere Investitionen. Doch selbst neuere WLAN-Systeme stellen die geforderte Leistungsfähigkeit nur bedingt zur Verfügung.
Eine Alternative bietet sich für IT-Manager in der Wahl eines anderen Netzaufbaues. Switch-gestützte WLANs reduzieren die Betriebskosten für ein unternehmensweites Funknetz deutlich. Zudem vereinfachen sie die Administration und erhöhen die Sicherheit. Herkömmliche Access Points besitzen jeweils eigene Prozessoren, eigene Software und eigene IP-Adressen. Und jeder Access Point muss einzeln administriert werden. Eine Aufgabe, die sehr zeitaufwändig und teuer ist. Im Gegensatz dazu werden diese Funktionen beim Wireless-LAN-Switching von einem zentralen Switch übernommen.
Nach aussen verhalten sich solche Wireless-Switch-Systeme standardkonform wie Netzwerk-Switches beziehungsweise Access Points. Die Access Points werden hier aber 'vereinfacht': Sie empfangen nur noch die Funksignale nach 802.11 a/b/g und senden sie über Standard-Ethernet-Strukturen zum zentralen Switch. Dieser ist für die Verarbeitung der Signale und deren Weiterleitung zum Netzwerk verantwortlich. In Funktion und Design entspricht der Wireless Switch eigentlich einem normalen Netzwerk-Switch - mit dem Unterschied, dass er statt Ethernet Ports Antennen besitzt, Access Ports.
Anders als Access Points verfügen Access Ports nur über wenig Firmware, so dass keine Konfiguration erforderlich ist. Die Systeme sind dadurch einfach aufzubauen und zu warten. Für die Installation müssen die Access Ports nur an ein Ethernet-Kabel angesteckt werden. Die Stromversorgung erfolgt über Power over Ethernet nach dem Standard 802.3af. Neben der Unterstützung der Industriestandards 802.11a/b sind Access Ports oft bereits für 802.11g ausgelegt und halten die Übertragungsbandbreite über alle zwölf Kanäle bereit.
Zentrales Management
In einem Wireless Switch wird alle Intelligenz zentral vorgehalten. Netzwerkzugriff, Sicherheit, Policy-Management und Quality of Service (QoS) sind also nicht mehr in den einzelnen Access Points integriert, sondern erfolgen auf der Switch-Ebene. Ebenso werden alle Konfigurationsarbeiten zentral auf dem Switch vorgenommen. Das hat den Vorteil, dass für alle angeschlossenen Access Ports nur eine Konfiguration erstellt werden muss. Auch Software-Updates müssen nur noch an einer zentralen Stelle eingespielt werden. Ferner gestaltet sich der Schutz eines Netzes relativ einfach, da das Funknetz in Form des Switches nur über einen Anschluss mit der restlichen Infrastruktur verbunden ist. Sicherheitsfunktionen wie etwa Verschlüsselung oder Firewalls müssen also nur noch einmal pro Switch eingerichtet werden.
Anstelle von Ethernet Ports besitzt ein Wireless Switch Access Ports, an die Funksender angeschlossen werden. Das Zusammenfassen aller zentralen Funktionen
im Switch vereinfacht das Management. Die Switches verfügen
über ein integriertes Management, mit dem Informationen wie etwa
die Anzahl der angeschlossenen 'Mobile Units', Datendurchsatz und fehlgeschlagene Authentifizierungsversuche zur Verfügung stehen.
Die zentrale Switch-Architektur gewährleistet auch ein Roaming, ohne dass die Verbindung unterbrochen wird oder sich der Anwender neu authentifizieren muss. Durch Pre-emptives Roaming wird die Auslastung der Access Ports gesteuert, um eine möglichst gleichmässige Verteilung der Last auf die erreichbaren Antennen sicherzustellen.
Der 'unsichtbare' Switch
In WLANs erhält die Sicherheit eine besondere Gewichtung, da ohne ausreichende Schutzmassnahmen hier fast jeder unbefugt auf die Daten zugreifen kann. Wie im verkabelten Netzwerk sind Integration und Umsetzung der aktuellen und zukünftigen Standards wichtige Aspekte. Mit standardkonformen Techniken wie 802.1q (VLAN-Tagging) kann der Switch für die Mobile Units gleichsam 'unsichtbar' gemacht werden und ist dadurch nicht mehr von aussen attackierbar. Da der Wireless Switch als zentrale Instanz für die Authentifizierung arbeitet, können die Mobile Units roamen, ohne sich neu authentifizieren zu müssen, und User-Name und Passwort lokal zwischengespeichert werden. Über Filterregeln ist es möglich, dass sich die Mobile Units untereinander nicht sehen. Ferner lassen sich so Broadcasts unterdrücken und Denial-of-Service-Attacken wie etwa 'Poison ARP' verhinderen.
Mit Virtual LANs (VLANs) können verschiedene Nutzergruppen in einer einzigen LAN-Infrastruktur spezifische Quality of Services (QoS) zugewiesen werden. So können Unternehmen beispielsweise für den Bereich 'Public' oder für 'Gäste' nur eine minimale oder gar keine Verschlüsselung und gleichzeitig bei Unternehmensanwendern die ausgefeilteste am Markt erhältliche Verschlüsselung einsetzen, um ihre kritischen Daten sicher zu schützen. Letztlich hat der Netzwerk-Manager mit dem WLAN-Switch einen Ansatz, um einfach unterschiedliche VLANs und WLANs einzurichten, die auf die individuellen Bedürfnisse und Sicherheitsanforderungen abgestimmt sind.
Wireless-LAN-Switches unterstützen die gängigen Protokolle, soweit diese als Standards verabschiedet sind. Wired Equivalent Privacy (WEP) gewährleistet die Interoperabilität zwischen Legacy Clients in weniger kritischen Umgebungen, für kritische Anwendungen unterstützen die Wireless-Switches 802.1x und Kerberos-Authentifizierung sowie Verschlüsselungsmechanismen wie beispielsweise Temporal Key Integrity Protocol (TKIP). Je nach Anforderung können VPN-Architekturen mit IPsec oder Wireless Transport Layer Security (WTLS) implementiert werden.
Total Cost of Ownership
Bei Installationen ab rund zehn Access Ports im Verbund mit einer Wireless-Switch-Architektur sind im Vergleich mit herkömmlichen WLANs bereits Einsparpotenziale spürbar. Die teurere zentrale Komponente, der Switch, muss nur einmal gekauft werden. Je mehr Access Ports installiert sind, desto kosteneffizienter ist das System. Ein Switch kann dabei bis zu 30 Access Ports integrieren.
Martin Palzer ist WLAN-Spezialist bei Symbol Technologies.
Martin Palzer