Kombinierte LAN- und WLAN-Verwaltung aus einem Guss So macht integriertes Management Netze zukunftsfähig

Autor / Redakteur: Axel Simon / Dipl.-Ing. (FH) Andreas Donner

LAN und WLAN werden in Unternehmen häufig getrennt voneinander implementiert und gemanagt. Das hat gravierende operative und sicherheitstechnische Nachteile. Beide Bereiche sollten daher einheitlich überwacht und verwaltet werden.

Firma zum Thema

Integriertes Zugangsmanagement mit HP IMC User Access Manager.
Integriertes Zugangsmanagement mit HP IMC User Access Manager.
(Bild: HP)

Lassen Sie mich ein fiktives Szenario skizzieren: Beim prototypischen mittelständischen Maschinenbaubetrieb Schräuble & Co. mit 2.000 Angestellten sind die Benutzer mit den Leistungen der IT unzufrieden. Die Netzwerke funktionieren nicht, wie sie sollen. Ein wichtiger Grund: Es fehlt eine einheitliche Netzverwaltung für LAN und WLAN.

Den Mitarbeitern stehen mobil nur eingeschränkte Funktionen zur Verfügung, beispielsweise können sie teils nicht auf wichtige Geschäftsdaten zugreifen, nicht faxen und drucken. Sie können auch nicht reibungslos im Unternehmen roamen, denn das WLAN zeigt immer wieder Funklücken. Beim Wechsel zwischen LAN und WLAN müssen sie sich jeweils neu authentifizieren.

Die Unternehmensleitung verweist auf Sicherheitsrisiken. Eine einheitliche Sicherheits- und Berechtigungsarchitektur gibt es nämlich nicht, weshalb es zum Unmut der Belegschaft auch untersagt ist, private Mobilgeräte für betriebliche Zwecke zu nutzen. Gäste bekommen händisch WLAN-Voucher ausgestellt, über die die IT umständlich Listen führt.

Als die Firma einen Konkurrenten aufkauft, der andere Netzwerktechnik im WLAN nutzt und der spezialisierte WLAN-Hersteller, auf den das Unternehmen beim WLAN im Materiallager gesetzt hat, insolvent wird, eskaliert die Situation: Der Support für die im Lager implementierten Produkte ist nicht mehr garantiert. Die IT-Administration, nur eine Handvoll Mitarbeiter, erklärt, ihre Ressourcen seien bis ans Limit ausgeschöpft. Eine grundsätzlich andere Lösung müsse her, sonst könne man für nichts mehr garantieren.

Solche und ähnliche Situationen sind nichts Ungewöhnliches. Meist werden LAN und WLAN vollkommen getrennt administriert, oder aber LAN- und WLAN-Management sind zwar in ein übergeordnetes Managementsystem eingeklinkt, bleiben aber trotzdem funktional weitgehend unverbunden. Das liegt an der historischen Entwicklung vieler Infrastrukturen: Während in den meisten Firmen ein flächendeckendes LAN schon länger selbstverständlich ist, wurden und werden WLANs mit der Zeit abteilungsweise als Projekte aufgebaut und sind funktional vorwiegend am jeweiligen Abteilungsinteresse orientiert.

Netzwerkmanagement top-down konzipieren

Was also tun? Abhilfe schafft eine zentralisierte und vereinheitlichte Netzwerkadministration, die bei den Anforderungen von Mitarbeitern und Unternehmensleitung an das Netz ansetzt. Davon ausgehend definiert man rollenbasiert und für die gesamte Infrastruktur, wer Zugriff auf welche Daten und Applikationen in welcher Bandbreite benötigt. Ein einziger Login-Vorgang sollte den Anwendern automatisch alle Ressourcen bereitstellen, auf die sie berechtigten Zugriff brauchen – unabhängig von Endgerät, Aufenthaltsort und Medium. Die Managementlösung muss also so ausgewählt werden, dass sie die entsprechenden Features unterstützt.

Grundsätzlich sollte ein integriertes Managementsystem daher Funktionen für alle FCAPS-Bereiche (Fehleranalyse, Konfiguration, Netzwerk-Accounting, Leistungsmanagement und Sicherheit, ISO-Management-Standard) mitbringen, und zwar einheitlich unter einer gemeinsamen Oberfläche für LAN und WLAN. Zentral ist dabei ein medienübergreifendes und -unabhängiges rollenbasierendes Nutzermanagement. Ist wie oft ein Active Directory vorhanden, sollte die Managementsoftware damit kooperieren. Denn hier liegt nicht nur der Kern der Managementvereinfachung, sondern auch der sicheren Vernetzung. Nur bei einem rollenbasierenden Nutzermanagement müssen die Access-Daten nicht mehr applikations- oder medienbezogen gepflegt werden, und Zulassungsregeln sind nicht abhängig von Personen, sondern von den Rollen, die sie einnehmen. Verlässt ein Mitarbeiter sein Unternehmen und übernimmt ein anderer seine Aufgabe, dem dieselbe Rolle zugewiesen wird, erhält diese Person automatisch dieselben Rechte, sobald sie die Rolle erhält. Funktionswechsel im Unternehmen spiegeln sich durch neue Rollen automatisch in neuen Berechtigungen wieder.

Erhebliche Erleichterungen bedeutet es für IT-Verantwortliche, wenn die zentrale Management-Applikation Funktionen für die Einrichtung von Gastzugängen in Selbstbedienung mitbringt. Denn diese Aufgabe wie bisher mehr oder weniger händisch zu lösen, ist einer ohnehin überlasteten IT-Abteilung kaum zuzumuten und bricht im Übrigen die einheitliche Sicherheitsarchitektur, die das Managementsystem ja gerade ermöglichen soll.

Network Access Control (NAC)

Technisch steht Sicherheit für Netzzugangskontrolle (NAC gemäß 802.1x) und Intrusion Prevention auf der WLAN-Seite. Fürs WLAN bedeutet das: Das Managementsystem muss auch die Signale der Access Points erkennen, die auf das Vorhandensein von nicht angemeldeten Access Points oder sonstigen Störern hindeuten. Denn die Access Points, die diese Aufgabe in WLANs oft allein übernehmen, scannen das Netz meist nur während der Hälfte der Zeit, weil sie ansonsten Daten übertragen. VLANs (Virtual LANs), nach außen abgeschottete, verschlüsselte logische Verbindungskanäle, bleiben auch bei einheitlichem Netzmanagement ein zentrales Mittel für vertrauliche Kommunikation, sollten sich aber über LAN und WLAN erstrecken.

Beinahe selbstverständlich ist, dass eine Managementlösung Mitarbeiter nicht aussperren sollte, weil sie das „falsche“ Betriebssystem auf ihrem Mobilgerät nutzen. Ob Android, iOS, Blackberry oder was auch immer in Zukunft Anteile gewinnen wird – ein zukunftstaugliches Managementsystem muss zumindest die gängigen Plattformen unterstützten und diesbezüglich regelmäßig ausgebaut werden. Zum Thema Zukunftsfähigkeit gehört auch, dass das Managementsystem offene Standards einschließlich SDN (Software-Defined Networking) in Form von Open Flow unterstützt und regelmäßig entsprechend aktualisiert wird. Proprietäre Entwicklungen mögen auf den ersten Blick vorteilhaft sein – langfristig führen sie häufig in Sackgassen.

Schließlich ist ein kritischer Blick auf den Hersteller selbst nötig: Newcomer präsentieren zwar oft interessante Entwicklungen. Dass sie und ihre Produkte ihren Kunden auch in zehn Jahren noch gute Dienste leisten, müssen sie aber erst noch beweisen. Vielversprechend sind Hersteller mit erfolgreicher Historie auf diesem Gebiet, die ihre Produkte nachweislich regelmäßig modernisieren und eine dokumentierte Entwicklungs-Pipeline besitzen. Auch schadet es nichts, wenn der Partner der Wahl auch WLAN- und LAN-Equipment anbietet. Denn das vereinfacht den Aufbau einer einheitlichen Infrastruktur selbstverständlich. Ein Beispiel für ein Produkt, das die genannten Anforderungen erfüllt, ist HP IMC.

Auswahl und Implementierung von Strategie und Produkt richten sich im Übrigen nach den infrastrukturellen Gegebenheiten, wobei drei Hauptvarianten denkbar sind:

  • LAN und WLAN sind – flächendeckend oder partiell – vorhanden, werden aber unterschiedlich gemanagt.
  • Es existiert ein flächendeckendes LAN nebst Managementsoftware, aber noch kein WLAN. Das WLAN wird aber benötigt.
  • Es handelt sich um eine vollständige Neuimplementierung, etwa in einem vollständig sanierten Gebäude.

weiter mit: Managementfunktionen sind wichtiger als Hardware

Abbildung 1: Ein rollenbasiertes Zugangsmanagement regelt den Zugriff auf Daten und Anwendungen – unabhängig von Netzzugang, Endgerät und Aufenthaltsort.
Abbildung 1: Ein rollenbasiertes Zugangsmanagement regelt den Zugriff auf Daten und Anwendungen – unabhängig von Netzzugang, Endgerät und Aufenthaltsort.
(Bild: HP)

Managementfunktionen sind wichtiger als Hardware

Am einfachsten ist das Vorgehen naturgemäß bei kompletten Neuimplementierungen. Hier kann man frei planen und sollte dies, ausgehend von den Managementbedürfnissen, top-down tun wie oben beschrieben, bis eine geeignete Managementlösung gefunden ist. Erst nach der Auswahl des Managementprodukts geht es um die Hardwareauswahl. Dabei sind Einzelfeatures spezialisierter Hersteller weniger wichtig als die Interaktion aller Komponenten untereinander, mit Anwendern und Managementsystem. Den geringsten Aufwand verursacht es, wenn alle Komponenten aus einer Hand kommen. Schulung, Wartung und Betrieb sind in diesem Fall am einfachsten, da es nur einen Ansprechpartner gibt.

Um sich trotzdem die Freiheit der Wahl zu erhalten, sollte man darauf achten, dass die Komponenten möglichst ausschließlich offene Standards statt proprietärer Technologien unterstützen. Sogenannte Herstellerstandards sind für Offenheit kein Ersatz, da sie zwar einwandfreies Funktionieren einer einheitlichen Infrastruktur garantieren, aber die Wahlfreiheit einschränken – etwa, wenn der Hersteller Probleme bekommen sollte, Produkte abkündigt oder überraschende technologische Wendungen vollzieht.

Bei der Implementierung des WLANs ist besonders auf eine professionelle Planung der Ausleuchtung zu achten, da sonst später ärgerliche Abdeckungslücken gestopft werden müssen. Bei der Technologieauswahl sollte man Zukunftsfähigkeit hoch bewerten und deswegen beispielsweise einen Standard mit ausreichender Bandbreite wählen, also nicht mehr auf 802.11 b/g setzen, sondern auf neuere Varianten, die hier mehr zu bieten haben. Außerdem sollten alle WLAN-Komponenten die jeweils aktuellen Managementstandards und -funktionen unterstützen. Neue Gebäude brauchen Kabelwege auch dann, wenn die interne Infrastruktur weitgehend drahtlos geplant wird. Denn von den Access Points aus sind Kabelverbindungen zum in aller Regel verkabelten Backbone erforderlich.

Neues WLAN

Ist bereits ein LAN mit einem Verwaltungssystem vorhanden, während das WLAN neu implementiert wird, prüft man zunächst, ob die LAN-Infrastruktur im Licht neuer Anforderungen nicht ohnehin erneuert werden muss. Dies ist etwa der Fall, wenn die Komponenten das Ende ihrer Lebensdauer erreicht haben, von einem nicht mehr existierenden Hersteller stammen oder den aktuellen Bandbreiten- und Leistungsbedarf unterschreiten. In diesem Fall gilt das Vorgehen wie auf der „grünen Wiese“.

Andernfalls sollte man prüfen, inwieweit das vorhandene LAN-Managementsystem sich durch den Zukauf neuer Module um zusätzliche WLAN-Managementfunktionen erweitern lässt. Falls nicht, kann man nach einem Managementsystem suchen, das das neu zu errichtende WLAN und das LAN als Einheit verwaltet, aber eventuell von einem unabhängigen Hersteller oder dem Hersteller des WLAN stammt. Allerdings erfordert diese Lösung häufig Kompromisse hinsichtlich des Komforts und der Vollständigkeit der gemeinsamen Verwaltung. Deshalb sollte man hier alle Lösungsalternativen hinsichtlich ihrer Lebenszykluskosten vergleichen (Anflanschen von Modulen an vorhandenes LAN-Managementsystem, Beschaffung eines unabhängigen einheitlichen Managementsystems) und dabei auch schwer zu beziffernde Faktoren wie Benutzerzufriedenheit, Administrationsaufwand für Gästezugänge und Sicherheit berücksichtigen. Zwei konsequent getrennte Managementsysteme zu implementieren, ist aus den anfangs genannten Gründen nicht empfehlenswert.

Ein Bisschen von beidem

Sind ein gemanagtes LAN und gemanagte WLAN-Inseln vorhanden, aber kein einheitliches Management, gilt es zunächst zu prüfen, ob die vorhandene Netzwerkhardware noch den aktuellen Anforderungen entspricht. Auch das LAN kann die Grenze seiner Standzeit oder Leistungsfähigkeit erreicht haben, denn ein breitbandigeres WLAN belastet die Verbindungen zum Unternehmens-Backbone stärker. Das WLAN prüft man auf Erfüllung der Bandbreiten-, Abdeckungs- und Funktionslücken und behebt diese, was oft ohnehin auf einen partiellen Austausch hinausläuft. Denn ältere WLAN-Access-Points sind oft zu langsam und oder es fehlen ihnen aktuelle Sicherheits- und andere Features. Schließlich sollte man bei allen Überlegungen die innerhalb der Lebensdauer der Infrastruktur erwünschten Services und Anwendungen, etwa Unified Communications, M2M (Machine-to-Machine-Communications) oder BYOD (Bring Your Own Device), sowie zukünftige Standards wie SDN berücksichtigen.

Doch die meisten Unternehmen wollen das Bestehende aus Kostengründen zumindest teilweise erhalten und nur schrittweise aktualisieren. Dann stehen Kompromisse auf der Managementebene an, denn das Ziel sollte auch in diesem Fall weitgehende Vereinheitlichung sein. Deshalb muss man zunächst entscheiden, ob eine der vorhandenen Management-Plattformen abgelöst und die andere durch Zusatzmodule so ergänzt werden kann, dass ein möglichst einheitliches Management entsteht.

Eine weitere Möglichkeit besteht darin, eine übergeordnete Softwareschicht einzuführen, unter der alle Managementprodukte und -funktionen liegen. Häufig bieten solche Lösungen jedoch nur kosmetische Verbesserungen: Unter einer vereinheitlichten Oberfläche bleiben die meisten Funktionen getrennt, weiterhin sind zwei oder mehr Systeme zu pflegen und zu bedienen. Schließlich können Anwender auch eine übergreifende Drittlösung einführen, die weder vom LAN- noch vom WLAN-Hersteller stammt, und die proprietären Herstellerprodukte ablösen. Dann werden sie allerdings in der Regel nur weniger tiefgreifende Managementfunktionen durchführen können als mit dem proprietären Spezialtool des jeweiligen Anbieters.

Axel Simon.
Axel Simon.
(Bild: HP)

Auf das Ziel einer einheitlichen Sicherheits- und Berechtigungsinfrastruktur sollte man allerdings keinesfalls verzichten, da sie großen Mehrwert verspricht. Lässt sich das mit der vorhandenen Hardware nicht realisieren, kann ein Hardwareaustausch auch dann sinnvoll sein, wenn die vorhandenen Geräte an sich die Geschwindigkeits- und Leistungsanforderungen noch erfüllen. Denn die durch Beibehaltung der vorhandenen Hardware eingesparten Kosten werden später häufig durch höheren Aufwand für Pflege und Management mittel- und langfristig mehr als aufgewogen.

Über den Autor

Axel Simon ist Chief Technologist bei HP Networking Deutschland.

(ID:43305623)