Suchen

Den Spagat zwischen Leistung und Effizienz gemeistert Access-Point-Arrays erschaffen neue WLAN-Generation

Autor / Redakteur: Willi Dütsch / Dipl.-Ing. (FH) Andreas Donner

Der Komfort der Nutzer geht im WLAN mit großen Herausforderungen an die Infrastruktur einher. Rapide wachsende Nutzerzahlen, bandbreitenhungrige, möglicherweise mit Schad-Software infizierte Anwendungen und per se unsichere Geräte müssen schnell und sicher kontrolliert und gesteuert werden. Access-Point-Arrays sind hier die optimale Lösung.

Firmen zum Thema

Über Access-Point-Arrays kann man WLANs aufbauen, die den aktuellen und künftigen BYOD-Anforderungen gewachsen sind.
Über Access-Point-Arrays kann man WLANs aufbauen, die den aktuellen und künftigen BYOD-Anforderungen gewachsen sind.
(Bild: drubig-photo - Fotolia.com)

Drahtlose Netzwerke oder WLANs haben sich in den letzten Jahren zur allgegenwärtigen Commodity-Technologie entwickelt. Fast jeder, der ein Smartphone besitzt, nutzt damit früher oder später das darin verbaute WLAN für den schnellen Zugang zum Internet, sei es bei sich zuhause, an öffentlichen WLAN-Hotspots oder im Unternehmen.

Anders als bei nur für eine sehr überschaubare Zahl von Nutzern ausgelegten Netzen im Heim- und Public-Bereich mit meist nur einem Access-Point (AP), müssen im Unternehmen oft sehr viele Nutzer bedient werden. Typischerweise prägen sich dabei an neuralgischen Stellen wie Konferenz-, Schulungs- und Aufenthaltsräumen, Empfangshallen etc. gewisse „Ballungszentren“ aus, an denen eine Vielzahl an Personen gleichzeitig den WLAN-Zugang sucht.

Die Extremform solcher Zugangs-Ballungen findet sich auf jeder Art von Großveranstaltung – seien es Messen, Konzerte, große Konferenzen, Sportereignisse oder vieles mehr. Auch hier erwarten die Besucher beziehungsweise Teilnehmer heute fast selbstverständlich einen drahtlosen Netzwerkzugang. In allen Fällen sind auf jeden Fall mehrere APs für den Service notwendig – in KMUs typischerweise zwischen 10 und 100, in größeren Unternehmen bis zu 1.000, an einigen Einrichtungen sind sogar Installationen mit mehreren 1.000 APs bekannt.

Zahlreiche Steuerungsaufgaben

Natürlich lassen sich solche Mengen nicht am einzelnen AP konfigurieren. Jedes Unternehmens-WLAN verfügt daher über ein zentrales Management-Tool. Das allein reicht aber nicht. Wären alles autonome APs, ließen sich keinerlei dynamische Funktionen wie die Kanalabstimmung und Steuerung der Sendeleistung in Abhängigkeit des aktuellen Nutzerbedarfs realisieren, denn dafür müssen die APs sich untereinander „zuhören“ und in Echtzeit reagieren.

Darüber hinaus müssen sie wissen, welche User mit welchen Rechten an welchem AP angemeldet sind. Die Informationen darüber samt den damit verbundenen Regeln müssen sie entsprechend den räumlichen Bewegungen der Person mit der Übergabe der Funkverbindung untereinander weiterreichen (Layer-2- und Layer-3-Roaming). Nutzt ein Teilnehmer Echtzeitdienste wie Telefonie oder Video-Chat über das WLAN, müssen zusätzlich noch die Attribute für die Servicequalität mitgereicht werden – und das ganze so schnell, dass keine Unterbrechung der Verbindung wahrzunehmen ist (Fast Roaming).

Alles unter „Controller“

Für all diese Steuerungsfunktionen (im Detail kommen noch zahlreiche weitere Aufgaben hinzu) hat sich in WLANs die Instanz des Controllers herausgebildet. Den oder die Controller gibt es fast in allen Netzen mit mehr als fünf APs – die physikalische und konzeptionelle Ausprägung ist jedoch mitunter sehr unterschiedlich.

Am weitesten verbreitet ist die Ausbildung als zentrale Appliance. Die lässt sich zwar sehr schön in die gesicherte Umgebung eines Rechenzentrums integrieren, bildet aber konzeptionell einen singulären Fehlerpunkt und erfordert, dass sämtlicher WLAN-Verkehr über diese Appliance läuft. Spätestens wenn auch WLANs in Außenstellen über Fernverbindungen an den Controller angeschlossen sind, erweist sich dieses Konzept als Performance-Bremse und Kostenfalle.

Der XR-520 Access Point von Xirrus
Der XR-520 Access Point von Xirrus
(Bild: Xirrus)

Eine Reihe von Anbietern hat zumindest letztere Punkte zwar entschärft – nur noch die Steuerdaten werden über den zentralen Controller geroutet – das konzeptionelle Manko für die Ausfallsicherheit aber bleibt. Es lässt sich nur durch Redundanz ausbügeln – und das bringt oft unvernünftig hohe Investitionen mit sich.

Die zweite Grundvariante ist die Verteilung der Controller-Intelligenz auf die einzelnen APs. In Sachen Verfügbarkeit ist dieses Konzept unschlagbar – und auch hinsichtlich Performance und Skalierbarkeit bringt es zahlreiche Vorteile. Der Grund, warum es dennoch nur wenige Hersteller verfolgen, liegt sicher zu einem guten Teil in den Hardware-Kosten: Jeder einzelne AP braucht sehr leistungsstarke Prozessoren (mit Folgekosten etwa hinsichtlich Energieverbrauch), um für die maximal daran anschließbare Zahl von Nutzern gewappnet zu sein. Das treibt den Preis mächtig in die Höhe – während die Auslastung der Prozessoren oft einen Großteil der Zeit sehr niedrig ist.

Dritte Basis-Variante ist die Auslagerung der WLAN-Controller-Funktion in die Cloud – insbesondere für KMUs manchmal eine sehr interessante Möglichkeit.

AP-Arrays als ökonomische Controller-Variante

Inzwischen gibt es noch eine vierte Variante – eigentlich aber eine Spezialausprägung der Variante mit der verteilten Intelligenz: Xirrus etwa fasst jeweils vier bis 16 APs in einem WLAN-Array zusammen und stattet diese Arrays mit der Controller-Funktion aus.

Das Konzept nimmt also die Vorteile des dezentralen Konzepts mit – verbessert aber gleichzeitig signifikant die Kosten-, Auslastungs- und Energiebilanzen. Die Arrays sind modular aufgebaut, also variabel mit APs unterschiedlicher WLAN-Standards bestückbar. Darüber hinaus lassen sich die APs softwaremäßig auf bestimmte Frequenzen (2,4 oder 5 GHz) konfigurieren – und falls die Situation es erfordert, können einzelne Module auch rein für das Monitoring verwendet werden. Es lassen sich damit APs nach IEEE 802.11 b/g-, n- und in der jüngsten Array-Generation auch solche nach ac-Standard in gemischter Bestückung einsetzen.

Die Lösung des in solchen Konfigurationen keineswegs trivialen Interfearence-Problems (wechselseitige Beeinflussung der Funkwellen) gilt als eine der technologischen Spezialitäten von Xirrus – allein dafür hat der WLAN-Pionier mehr als 30 Patente angemeldet. Die wirtschaftlichen und verwaltungstechnischen Vorteile von Arrays setzen sich auch in Richtung Backbone fort, denn anstelle jedes einzelnen APs muss nur noch jedes Array verkabelt werden. Neben dem Verkabelungsaufwand an sich reduziert das auch die Zahl der benötigten Ports am Switch.

weiter mit: Bald Gigabit-Performance: 802.11ac, Zugangskontrolle am Rand des WLANs und DPI auf Applikationsebene

Bald Gigabit-Performance: 802.11ac

Der ac-Standard wird voraussichtlich im Sommer dieses Jahres verabschiedet. Er läuft ausschließlich im 5 GHz-Band und wird die WLAN-Performance über die Gigabit/s-Marke heben – nominell zunächst auf 1,3 GBit/s.

Die Unterstützung von bis zu acht Signalströmen (Spatial Streams) und 160-MHz-Kanälen wird in künftigen Versionen von 802.11ac maximale Datenraten von bis zu 6,9 Gbit/s ermöglichen. Vorwiegend für den Consumer-Markt gibt es bereits erste APs nach dem neuen Standard – eine schon sehr weit gediehene Vorversion (Draft 2) der Spezifikationen ist immerhin seit Mitte Februar 2012 veröffentlicht.

Mit hoher Wahrscheinlichkeit ist davon auszugehen, dass sich Änderungen/Ergänzungen des finalen Standards bei Bedarf mit einem Firmware-Upgrade der APs nachrüsten lassen. Für den Business-Markt ist das aber zu unsicher, zumal hier in der Regel noch kein Bedarf an derart hohen Bandbreiten besteht, über die im Heimnetz unter anderem auch HD-Videosignale von einem Media-Server auf einen TV-Bildschirm verteilt werden.

Mit 802.11ac kommt die Unterstützung für ein erweitertes MIMO-Verfahren, das es erlaubt, ein und denselben Datenstrom an mehrere Empfänger zu senden, beziehungsweise über dieselbe Funkzelle gleichzeitig mehrere Geräte miteinander zu verbinden. Auf Großveranstaltungen könnte sich dieses Multipoint-MIMO (MU-MIMO) als begehrtes Feature erweisen. Interessant ist, dass ac-Module trotz wesentlich höherer Leistung weniger Strom fressen als n-Module. Diese Tatsache dürfte dafür sorgen, dass sich die neue WLAN-Technologie auch bei Akku-betriebenen Clients wie Laptops, Tablets und Smartphones sehr schnell etablieren wird.

Sollen WLANs eines Tages kabelgebundene Netze ablösen, muss deren Kapazität deutlich zulegen. Hierzu bedarf es nicht nur des neuen Standards 802.11ac: Kabelgebundene Netzwerke haben sich von Shared-Hubs zu dedizierten Multiport-Switches weiterentwickelt. Architektonisch gesehen hat dieser Wandel aber für Wireless-Netzwerke bislang nicht stattgefunden. Systeme mit mehreren Funkzellen eignen sich daher sehr gut als logisches Wireless-Pendant zu den Multiport-Switches in der verkabelten Welt. Unter diesem Gesichtspunkt ist eine WLAN-Architektur mit AP-Arrays sicher wegweisend.

Zugangskontrolle am Rand des WLANs

Eines der brennendsten Probleme bei den IT-Administratoren vieler Unternehmen ist der ungebremste Trend, einfach die liebgewonnenen privaten Geräte im Firmennetz zu nutzen und oft auch wertvolle Firmendaten darauf zu speichern. Gab es das Problem früher nur mit einer noch halbwegs überschaubaren Zahl an Laptops, hat sich die Lage mit der überwältigenden Verbreitung von leistungsstarken und mit enormen Speicherkapazitäten ausgestatteten Tablets und Smartphones inzwischen massiv verschärft.

Zudem laufen auf den beliebten Gerätetypen Betriebssysteme, die als wenig sicher gelten und in der üblichen IT-Umgebung auch sonst nicht verwendet werden. Noch schlimmer sind die darauf laufenden Applikationen: Nutzer laden sie lebhaft aus den verschiedenen Online-Stores – die größten davon sind mit mehr als einer Million Apps befüttert. Für deren Sicherheit gibt es keine Garantien – App-Prüf-Services mögen privaten Usern einen gewissen Schutz bieten, erfüllen die Sicherheitskriterien von Unternehmen aber in keiner Weise. Die beliebteste „Auffahrt“ dieser Geräte ins Firmennetz ist das WLAN, denn damit sind sie alle ab Werk ausgestattet.

Zahlreiche Hersteller haben inzwischen auf den anhaltenden BYOD-Boom (Bring Your Own Device) reagiert und teils sehr umfangreiche und komplexe Mobile-Device-Management-Lösungen (MDM) auf den Markt gebracht.

Eine konzeptionelle Schwäche liegt bei vielen darin, dass Kontrolle und Steuerung erst im Kern des Netzwerks stattfinden – potenziell riskante Daten also bereits über das Firmennetz fließen. Ein aktueller Gegenentwurf sieht vor, Kontrolle und Steuerung bereits am Netzwerkrand vorzunehmen, also bevor die unsicheren Geräte überhaupt in das Netzwerk gelangen. Das erhöht die Sicherheit und reduziert gleichzeitig den Datenverkehr im Firmennetz.

Für ein WLAN bedeutet das analog zu den Controller-Funktionen, dass entsprechende Firewall-Funktionen bereits am AP verarbeitet werden. Dies aber erfordert eine sehr hohe Rechenleistung, denn mit einfachen Firewall-Funktionen früherer Generationen ist es bei der Behandlung der mobilen Alleskönner nicht getan.

DPI auf Applikationsebene

Soll das Produktivitätspotenzial der mobilen Devices ausgeschöpft und gleichzeitig das gebotene Maß an Sicherheit erreicht werden, ist ein Check auf Applikationsebene die Methode der Wahl. Die technische Umsetzung läuft über „Deep Packet Inspection“ (DPI) auf ISO-Layer 7.

Idealerweise sollte DPI auch noch in die Applikationen hineinschauen können und gegebenenfalls einzelne Funktionen der Applikation separat erlauben, beziehungsweise blockieren oder im Bandbreitenbedarf regulieren. So könnte die DPI-Firewall beispielsweise die Nutzung von Facebook erlauben, die darin aktivierbaren Anwendungen (etwa Spiele) aber verhindern. Videoconferencing etwa via Skype könnte in der Bandbreite gedeckelt werden – wobei gleichzeitig andere Skype-Funktionen wie der Datenaustausch komplett geblockt sein könnten.

Prozessoren, deren Leistung für eine Untersuchung von IP-Paketen in einer für dieses Szenario nötigen Tiefe in Echtzeit ausreicht, sind nicht für kleines Geld zu haben. Aus diesem Grund erweist sich auch hier die entsprechende Bestückung eines AP-Arrays mit einer DPI-Instanz als weitaus wirtschaftlichere und effizientere Alternative im Vergleich zu Lösungen, die entsprechende Aufgaben am AP erledigen.

Xirrus beispielsweise bietet seit Ende letzten Jahres für seine Arrays eine „Application Control“ genannte Funktion an, die verbotene Anwendungen sperrt, kritische Anwendungen priorisiert, bandbreitenintensive Applikationen gegebenenfalls einschränkt und neue Bedrohungen aus dem Netzwerk erkennt. Nachdem alles im Array stattfindet, kommt nur das ins Netz, was auch ins Netz soll. Für eine bedarfsgerechte Bereitstellung von Rechenleistung stehen pro Array Prozessoren mit zwei bis sechs Kernen zur Verfügung.

Fazit

Angesichts der aktuellen Herausforderungen wie große User-Zahlen auf engstem Raum, BYOD, unsicheren Applikationen und vielem mehr, zeigt sich das Konzept mit variabel bestückbaren AP-Arrays als besonders flexible, skalierbare, sichere und ökonomische Lösung.

Willi Dütsch, Technical Director EMEA bei Xirrus
Willi Dütsch, Technical Director EMEA bei Xirrus
(Bild: Xirrus)

Xirrus als weltweit bekanntester Player mit diesem Konzept hat im Sommer letzten Jahres auch in Deutschland seine eigene Präsenz ausgebaut, um den wichtigen Markt noch zielgenauer bedienen zu können. Seit Ende letzten Jahres hat das Unternehmen auch einen kostengünstigen Einzel-AP im Angebot, der die Flexibilität in Richtung Flächenabdeckung und Spots mit spärlicher WLAN-Nutzung erweitert.

Über den Autor

Willi Dütsch ist Technical Director EMEA bei Xirrus

(ID:37990960)