Suchen

Den Spagat zwischen Leistung und Effizienz gemeistert

Access-Point-Arrays erschaffen neue WLAN-Generation

Seite: 2/2

Firmen zum Thema

Bald Gigabit-Performance: 802.11ac

Der ac-Standard wird voraussichtlich im Sommer dieses Jahres verabschiedet. Er läuft ausschließlich im 5 GHz-Band und wird die WLAN-Performance über die Gigabit/s-Marke heben – nominell zunächst auf 1,3 GBit/s.

Die Unterstützung von bis zu acht Signalströmen (Spatial Streams) und 160-MHz-Kanälen wird in künftigen Versionen von 802.11ac maximale Datenraten von bis zu 6,9 Gbit/s ermöglichen. Vorwiegend für den Consumer-Markt gibt es bereits erste APs nach dem neuen Standard – eine schon sehr weit gediehene Vorversion (Draft 2) der Spezifikationen ist immerhin seit Mitte Februar 2012 veröffentlicht.

Mit hoher Wahrscheinlichkeit ist davon auszugehen, dass sich Änderungen/Ergänzungen des finalen Standards bei Bedarf mit einem Firmware-Upgrade der APs nachrüsten lassen. Für den Business-Markt ist das aber zu unsicher, zumal hier in der Regel noch kein Bedarf an derart hohen Bandbreiten besteht, über die im Heimnetz unter anderem auch HD-Videosignale von einem Media-Server auf einen TV-Bildschirm verteilt werden.

Mit 802.11ac kommt die Unterstützung für ein erweitertes MIMO-Verfahren, das es erlaubt, ein und denselben Datenstrom an mehrere Empfänger zu senden, beziehungsweise über dieselbe Funkzelle gleichzeitig mehrere Geräte miteinander zu verbinden. Auf Großveranstaltungen könnte sich dieses Multipoint-MIMO (MU-MIMO) als begehrtes Feature erweisen. Interessant ist, dass ac-Module trotz wesentlich höherer Leistung weniger Strom fressen als n-Module. Diese Tatsache dürfte dafür sorgen, dass sich die neue WLAN-Technologie auch bei Akku-betriebenen Clients wie Laptops, Tablets und Smartphones sehr schnell etablieren wird.

Sollen WLANs eines Tages kabelgebundene Netze ablösen, muss deren Kapazität deutlich zulegen. Hierzu bedarf es nicht nur des neuen Standards 802.11ac: Kabelgebundene Netzwerke haben sich von Shared-Hubs zu dedizierten Multiport-Switches weiterentwickelt. Architektonisch gesehen hat dieser Wandel aber für Wireless-Netzwerke bislang nicht stattgefunden. Systeme mit mehreren Funkzellen eignen sich daher sehr gut als logisches Wireless-Pendant zu den Multiport-Switches in der verkabelten Welt. Unter diesem Gesichtspunkt ist eine WLAN-Architektur mit AP-Arrays sicher wegweisend.

Zugangskontrolle am Rand des WLANs

Eines der brennendsten Probleme bei den IT-Administratoren vieler Unternehmen ist der ungebremste Trend, einfach die liebgewonnenen privaten Geräte im Firmennetz zu nutzen und oft auch wertvolle Firmendaten darauf zu speichern. Gab es das Problem früher nur mit einer noch halbwegs überschaubaren Zahl an Laptops, hat sich die Lage mit der überwältigenden Verbreitung von leistungsstarken und mit enormen Speicherkapazitäten ausgestatteten Tablets und Smartphones inzwischen massiv verschärft.

Zudem laufen auf den beliebten Gerätetypen Betriebssysteme, die als wenig sicher gelten und in der üblichen IT-Umgebung auch sonst nicht verwendet werden. Noch schlimmer sind die darauf laufenden Applikationen: Nutzer laden sie lebhaft aus den verschiedenen Online-Stores – die größten davon sind mit mehr als einer Million Apps befüttert. Für deren Sicherheit gibt es keine Garantien – App-Prüf-Services mögen privaten Usern einen gewissen Schutz bieten, erfüllen die Sicherheitskriterien von Unternehmen aber in keiner Weise. Die beliebteste „Auffahrt“ dieser Geräte ins Firmennetz ist das WLAN, denn damit sind sie alle ab Werk ausgestattet.

Zahlreiche Hersteller haben inzwischen auf den anhaltenden BYOD-Boom (Bring Your Own Device) reagiert und teils sehr umfangreiche und komplexe Mobile-Device-Management-Lösungen (MDM) auf den Markt gebracht.

Eine konzeptionelle Schwäche liegt bei vielen darin, dass Kontrolle und Steuerung erst im Kern des Netzwerks stattfinden – potenziell riskante Daten also bereits über das Firmennetz fließen. Ein aktueller Gegenentwurf sieht vor, Kontrolle und Steuerung bereits am Netzwerkrand vorzunehmen, also bevor die unsicheren Geräte überhaupt in das Netzwerk gelangen. Das erhöht die Sicherheit und reduziert gleichzeitig den Datenverkehr im Firmennetz.

Für ein WLAN bedeutet das analog zu den Controller-Funktionen, dass entsprechende Firewall-Funktionen bereits am AP verarbeitet werden. Dies aber erfordert eine sehr hohe Rechenleistung, denn mit einfachen Firewall-Funktionen früherer Generationen ist es bei der Behandlung der mobilen Alleskönner nicht getan.

DPI auf Applikationsebene

Soll das Produktivitätspotenzial der mobilen Devices ausgeschöpft und gleichzeitig das gebotene Maß an Sicherheit erreicht werden, ist ein Check auf Applikationsebene die Methode der Wahl. Die technische Umsetzung läuft über „Deep Packet Inspection“ (DPI) auf ISO-Layer 7.

Idealerweise sollte DPI auch noch in die Applikationen hineinschauen können und gegebenenfalls einzelne Funktionen der Applikation separat erlauben, beziehungsweise blockieren oder im Bandbreitenbedarf regulieren. So könnte die DPI-Firewall beispielsweise die Nutzung von Facebook erlauben, die darin aktivierbaren Anwendungen (etwa Spiele) aber verhindern. Videoconferencing etwa via Skype könnte in der Bandbreite gedeckelt werden – wobei gleichzeitig andere Skype-Funktionen wie der Datenaustausch komplett geblockt sein könnten.

Prozessoren, deren Leistung für eine Untersuchung von IP-Paketen in einer für dieses Szenario nötigen Tiefe in Echtzeit ausreicht, sind nicht für kleines Geld zu haben. Aus diesem Grund erweist sich auch hier die entsprechende Bestückung eines AP-Arrays mit einer DPI-Instanz als weitaus wirtschaftlichere und effizientere Alternative im Vergleich zu Lösungen, die entsprechende Aufgaben am AP erledigen.

Xirrus beispielsweise bietet seit Ende letzten Jahres für seine Arrays eine „Application Control“ genannte Funktion an, die verbotene Anwendungen sperrt, kritische Anwendungen priorisiert, bandbreitenintensive Applikationen gegebenenfalls einschränkt und neue Bedrohungen aus dem Netzwerk erkennt. Nachdem alles im Array stattfindet, kommt nur das ins Netz, was auch ins Netz soll. Für eine bedarfsgerechte Bereitstellung von Rechenleistung stehen pro Array Prozessoren mit zwei bis sechs Kernen zur Verfügung.

Fazit

Angesichts der aktuellen Herausforderungen wie große User-Zahlen auf engstem Raum, BYOD, unsicheren Applikationen und vielem mehr, zeigt sich das Konzept mit variabel bestückbaren AP-Arrays als besonders flexible, skalierbare, sichere und ökonomische Lösung.

Willi Dütsch, Technical Director EMEA bei Xirrus
Willi Dütsch, Technical Director EMEA bei Xirrus
(Bild: Xirrus)

Xirrus als weltweit bekanntester Player mit diesem Konzept hat im Sommer letzten Jahres auch in Deutschland seine eigene Präsenz ausgebaut, um den wichtigen Markt noch zielgenauer bedienen zu können. Seit Ende letzten Jahres hat das Unternehmen auch einen kostengünstigen Einzel-AP im Angebot, der die Flexibilität in Richtung Flächenabdeckung und Spots mit spärlicher WLAN-Nutzung erweitert.

Über den Autor

Willi Dütsch ist Technical Director EMEA bei Xirrus

(ID:37990960)