Zentral verwaltete Infrastruktur für Unternehmen jeder Größe Im Test: Cambium ONE Network

Anbieter zum Thema

Cambium Networks

Aagon GmbH

Vitel GmbH

Cambium Networks bietet eine Netzwerk-Infrastruktur für Unternehmen an, die sich über ein zentrales Web-Interface verwalten lässt. Zu den Komponenten gehören unter anderem ein Firewall-Router sowie diverse Switches und Access Points. Wir haben die Lösung bei uns im Testlabor in Betrieb genommen und uns angesehen, wie die tägliche Arbeit damit abläuft.

Das Herzstück der Netzwerklösung von Cambium Networks ist die Management-Software “cnMaestro”. Diese lässt sich sowohl in der Cloud als auch on-premises nutzen und ermöglicht die Verwaltung und Überwachung der im Netz aktiven Komponenten von einer zentralen Stelle aus. Darüber hinaus kommt sie auch zum Einsatz, um Geräte über eine Zero-Touch-Provisioning-Funktion (ZTP) automatisch mit einer Konfiguration zu versehen und so direkt in Betrieb zu nehmen.

Die eingesetzte Hardware

Was die im Test verwendete Hardware angeht, so ist zunächst einmal der Firewall-Router “NSE 3000” (Network Service Edge) zu nennen. Dieses Produkt kann nicht nur Netzwerk- und Sicherheitsdienste bereitstellen, sondern integriert auch SD-WAN-Funktionalitäten. Mit der Lösung wendet sich Cambium an kleine und mittlere Unternehmen. Was das SD-WAN angeht, unterstützt der NSE 3000 Routing, WAN-Load-Balancing und Failover, Bandbreitenkontrolle und WAN QoS (Quality of Service). Bei den Netzwerkdiensten gehören DHCP und RADIUS zum Leistungsumfang. Im Sicherheitsbereich bietet die Appliance eine Firewall, IDS/IPS (Intrusion Detection/Intrusion Protection), VPNs, IoT Sicherheit und eine LAN-Sicherheitseinschätzung.

Bildergalerie

Bildergalerie mit 9 Bildern

Als Switch stellte uns Cambium den “cnMatrix EX2010-P” zur Verfügung. Dieser verfügt über acht PoE-fähige Ethernet-Anschlüsse sowie zwei SFP-Uplink-Ports und erreicht einen Durchsatz von 20 Gbps. Darüber hinaus unterstützt er unter anderem 802.1s Multiple Spanning Tree, VLANs und IGMP Snooping V1/V2.

Abgerundet wurde unsere Testumgebung durch zwei Wireless Access Points vom Typ “XV2-2X”. Sie unterstützen WiFi 6 (802.11ax) in den 2,4- und 5-GHz-Bändern und sind abwärtskompatibel zu den Standards 802.11a/b/g/n und ac.

Der Test

Im Test legten wir uns zunächst auf der Registrierungsseite ein cnMaestro-Konto an, das Cambium anschließend mit der entsprechenden Lizenz versah, damit wir für den Test cnMaestro X nutzen konnten. Danach fügten wir unsere Testgeräte dem Account hinzu, nahmen die Komponenten in Betrieb und nutzten sie über den Zeitraum mehrerer Wochen. Dabei sammelten wir Erfahrungen über die Administration der Umgebung und die tägliche Arbeit mit der Lösung. Zum Schluss analysierten wir unsere Ergebnisse.

Das Onboarding der Cambium-Geräte

Die Netzwerkkomponenten von Cambium lassen sich über ihre Seriennummern in die cnMaestro-Umgebung aufnehmen. Im Test wechselten wir dazu nach “Onboard / Claim Device”. Danach öffnete sich ein Fenster, in dem wir die Seriennummer eingeben konnten. Das System erkannte daraufhin, um welches Gerät es sich handelte (also NSE 3000, Switch oder Access Point) und nahm das betroffene Device in eine Liste auf.

Mit der Aufnahme der Geräte in die Onboarding-Liste ist der Prozess allerdings noch nicht abgeschlossen. Es besteht nun die Möglichkeit, über die angesprochene ZTP-Funktion Konfigurationen für die Geräte zu erstellen und diese den Devices vorab zuzuweisen. Auf diese Weise ist es möglich, die Produkte auch in Umgebungen zum Laufen zu bringen, in denen kein technisches Personal bereitsteht. Die Mitarbeiter müssen die Geräte, die dem Web-Interface von cnMaestro ja bekannt sind, lediglich mit dem Netz und einer Stromversorgung verbinden. Die Devices fahren dann hoch, verbinden sich mit der Management-Umgebung in der Cloud und beziehen von dort ihre Konfiguration. Anschließend können sie direkt in Betrieb gehen. Das funktioniert immer dann, wenn der Internet-Zugang bereits besteht. Soll eine NSE 3000 die Aufgabe des Internet-Routers übernehmen, so muss der Zugang über DHCP hergestellt werden.

Die Konfigurationsoptionen für die einzelnen Gerätetypen

Wenden wir uns nun den Konfigurationsoptionen zu, die für die einzelnen Gerätetypen zur Verfügung stehen. Zunächst setzen wir uns mit dem NSE 3000 auseinander. Möchte ein IT-Verantwortlicher für diesen eine Konfiguration erstellen, so muss er nach “Configuration / NSE Groups” wechseln. Dort findet sich eine “Default Configuration”, die die Administratoren bearbeiten können, es besteht aber auch die Möglichkeit, neue Konfigurationen zu erstellen oder Konfigurationen zu importieren.

Im Test machten wir uns zu diesem Zeitpunkt daran, die Standardkonfiguration an unsere Bedürfnisse anzupassen. Der NSE 3000 verfügt über eine Firewall-Funktion, die bis hinauf auf Layer-7 arbeitet, das bedeutet, es lassen sich Firewall-Regeln erstellen, die bestimmte Anwendung erlauben oder blockieren.

Sowohl für ein-, als auch für ausgehenden Verkehr lassen sich Geo-IP-Filter setzen. So ist es beispielsweise möglich, den Datenverkehr nach Brasilien, China oder ein beliebiges anderes Land zu unterbinden, wenn zu diesem keine Geschäftsbeziehungen bestehen. Das funktionierte im Test problemlos. Über einen DNS-Filter besteht parallel dazu die Option, bestimmte Seiten aus den Bereichen Pornographie, Social Media oder auch Ad- und Malware zu sperren.

Unter “Management” aktivieren die Administratoren bei Bedarf den SSH-Zugriff auf das Gerät sowie den DNS-Server und nehmen Einstellungen zur Zeitzone, den NTP-Servern sowie den Syslog-Servern vor. “Network” ermöglicht im Gegensatz dazu die Konfiguration der LAN-Ports (es stehen an dieser Stelle vier Ports zur Verfügung), der VLANs und der statischen Routen. Bei den VLANs ist es noch erwähnenswert, dass die VLAN-Konfigurationen sich über Policies auf die Geräte verteilen lassen, so dass bei Bedarf beispielsweise NSE-Devices und Access Points automatisch in anderen VLANs landen. Die VLANs können außerdem auch auf Benutzerbasis oder mit Hilfe einer RADIUS-Authentifizierung zugewiesen werden.

Ebenfalls interessant ist die WAN-Konfiguration, die mit dynamischen Adresszuweisungen, einer statischen IP-Adresse oder PPPoE funktioniert. Da die Appliance über zwei WAN-Ports verfügt, können die Verantwortlichen an dieser Stelle auch eine Load-Balancing-Funktion einrichten, Traffic Shaping aktivieren und die Link-Kapazität beschränken.

Die Konfiguration des cnMatrix EX2010-P

Bei der Konfiguration für die Switches können die zuständigen Mitarbeiter unter anderem die Konfiguration für die PoE-Ports vornehmen. “Management” ermöglicht das Anschalten des Zugriffs via Telnet, HTTP und SSH, das Setzen der Zeiteinstellungen und die DNS-, SNMP- und Syslog-Konfiguration. Unter “Network” finden sich unter anderem Einstellungen zum IGMP- und DHCP-Snooping, zu den VLANs, den Routen und zum Spanning-Tree-Protokoll.

Die Verwaltung der Access Points

Bei der Konfiguration der Access Points stehen unter anderem Einstellungen zu LLDP-Paketen und den LEDs zur Verfügung, die sich bei Bedarf ausschalten lassen. Zusätzlich richten die IT-Verantwortlichen damit auch WLANs ein beziehungsweise verwalten diese.

Zu den WLAN-Konfigurationsparametern gehören SSID, VLAN, Verschlüsselungstyp, Band, Einstellung zur Client Isolation, Timeouts und Ähnliches. Außerdem umfassen die Einstellungen Angaben zum Authentifizierungs-Server und Zugriffskontrolloptionen mit MAC-Authentifizierung, ACLs sowie Datenbeschränkungen für Clients und WLANs.

“Management” umfasst die Zugriffsoptionen wie SSH, HTTP und HTTPS, das Administrator-Passwort, die Konfiguration der Kommunikation mit dem RADIUS-Server sowie Einstellungen zu Syslog, SNMP und Zeit. Unter “Network” besteht die Möglichkeit, die IPv4- und die IPv6-Konfiguration vorzunehmen. Der Punkt “Security” stellt Einstellungen zum DoS-Schutz, zur Wireless Flood Detection und zum WIDS (Wireless Intrusion Detection System) zur Verfügung, das nichts mit dem IDS/IPS des NSE 3000 zu tun hat, aber Angriffe auf den Access Point selbst erkennen kann.

Das Einrichten von Captive Portals

Nachdem wir die Konfiguration unserer Geräte abgeschlossen hatten und alles zu unserer Zufriedenheit funktionierte, machten wir uns daran, ein Captive Portal einzurichten, das den Zugriff auf unser WLAN absichern sollte. Cambium unterstützt in diesem Zusammenhang Captive Portals für kostenlose WLANs, für WLANs, bei denen der Zugriff mit Vouchern ermöglicht wird und für kostenpflichtige WLANs.

Um ein Captive Portal einzurichten, wechseln die Administratoren nach “Network Services / Guest Access Portal” und gehen dort auf “Add Portal”. Dann können sie dem Portal einen Namen geben, eine Beschreibung einfügen und das Client-Login-Event-Logging aktivieren.

Ansonsten gibt es noch die Möglichkeit, diverse Parameter wie die Sitzungsdauer, die Down- und Uplink-Raten und die Quota festzulegen. Sobald das Captive Portal fertig konfiguriert wurde, kann es in der WLAN-Konfiguration unter “Guest Access” zugewiesen werden. Danach geht es in Betrieb. Im Test ergaben sich dabei keine Schwierigkeiten.

Das Monitoring und die Problemlösung mit cnMaestro

Ebenfalls von Interesse: Die von cnMaestro bereitgestellten Überwachungs- und Problemlösungsfunktionen. Wechselt beispielsweise ein Administrator unter “Monitor and Manage” auf den Eintrag eines Clients, so erhält er ein Dashboard, das Aufschluss über die Datenübertragungen, die Top-Anwendungen, die Top-Kategorien (wie Datenübertragungen, Messaging und so weiter), die Datenrate, die Signal to Noise Ratio und Ähnliches gibt.

Neben dem Dashboard stellt das System auch noch Reiter zu den verwendeten Applikationen und der Leistung (mit Signalstärke, Signal to Noise Ratio, Datenrate, Nutzung und Anwendungsnutzung) zur Verfügung. Die Überwachungsdaten können im Betrieb eine wichtige Hilfe beim Troubleshooting sein. So lassen sich über das Switch-Dashboard beispielsweise einzelne Switch-Ports analysieren und die daran angeschlossenen PoE-Geräte neu starten.

Bei der Fehlerdiagnose für Wireless Clients hilft eine Roaming-History. Diese macht beispielsweise deutlich, wenn es nach dem Wechsel zu einem anderen Access Point zu einem Leistungsabfall kommt. Abgesehen davon besteht auch die Option, in WLANs oder VLANs einen Packet-Capture-Vorgang zu starten, um Probleme ausfindig zu machen.

Zusammenfassung und Fazit

cnMaestro ist ein extrem leistungsfähiges Management-Tool, das alle Produkte von Cambium verwalten kann. Es ermöglicht nicht nur die Inbetriebnahme und Konfiguration der Komponenten, sondern auch deren Überwachung und das Troubleshooting. Unter dem Strich können wir sagen, dass cnMaestro für Administratoren bei der täglichen Arbeit eine große Hilfe sein kann.

Über den Autor

Der Leiter des IT-Testlab – Dr. Götz Güttich – verfügt über rund 20 Jahre Branchenerfahrung als IT-Consultant und Fach- beziehungsweise Chefredakteur im IT-Umfeld. Aufgrund seiner langjährigen umfangreichen Testtätigkeit für führende deutsche Netzwerkmagazine beschränken sich seine Fähigkeiten nicht auf die Theorie des IT-Geschäfts.

Dr. Güttich bringt auch umfassende praktische Kenntnisse aus dem Einsatz unterschiedlichster Lösungen in Unternehmensnetzen mit. Seine Schwerpunkte liegen in den Bereichen Cloud, Mobile Computing, IT-Sicherheit, Storage, Netzwerkmanagement, Netzwerkbetriebssysteme, Terminalserver und Virtualisierung.

Einen noch ausführlicheren Testbericht finden Sie hier als PDF zum Download:

(ID:49431486)