Suchen

Lösung und Problem zugleich: WLAN-Verwaltungslösungen WLAN-Controller und ihre Alternativen

| Autor / Redakteur: Dirk Srocke / Dipl.-Ing. (FH) Andreas Donner

Um zahlreiche Access Points effizient zu verwalten, benötigen Administratoren passende Steuerwerkzeuge. Hier stellen wir die Konzepte dahinter vor.

Firmen zum Thema

Per Layer-3-Tunnel fließen Datenströme über den WLAN-Controller, um eine reibungsloses Roaming über unterschiedliche Access Points sicherzustellen. (Lancom)
Per Layer-3-Tunnel fließen Datenströme über den WLAN-Controller, um eine reibungsloses Roaming über unterschiedliche Access Points sicherzustellen. (Lancom)

Sollen drahtlose Endgeräte ins Firmennetz eingebunden werden, müssen Administratoren Access Points einrichten und konfigurieren. Was in kleinen Umgebungen mit maximal zehn Zugangspunkten noch praktikabel erscheint, wird in großen oder gar verteilten Infrastrukturen zur kaum handhabbaren Sisyphusarbeit.

So müssen ausgebildete Fachkräfte in diesem Szenario jeden einzelnen Access Point separat installieren, konfigurieren und warten. Gastzugänge müssen händisch für jeden Access Point eingerichtet und Vorkehrungen zur Abwehr ungebetener Gäste (Rogue-Detection) getroffen werden. Auch die Ausleuchtung von Funkzellen muss händisch erledigt werden. Administratoren müssen Funkkanäle dabei einzeln anpassen und darauf achten, dass die Frequenzen benachbarter Zugangspunkte sich möglichst nicht überschneiden.

Als Folge der manuellen Konfiguration können Änderungen der kompletten Infrastruktur lediglich schrittweise und mit zeitlichem Verzug durchgeführt werden. Außerdem bergen die Access Points ein nicht unerhebliches Sicherheitsrisiko: Werden die Systeme gestohlen, erlangen Spione damit womöglich auch Zugriff auf darauf gespeicherte Konfigurationsdaten und Passwörter.

Die naheliegende Lösung der beschriebenen Probleme liegt in einer zentralisierten Verwaltung, beispielsweise per WLAN-Controller. Je nach Ausstattung bieten diese zentrales Firmware- und Skriptmanagement, Funktionen für vereinfachtes Rollout oder vererbte Parameter. Ungeschickt implementiert wird ein einzelner WLAN-Controller jedoch schnell zum Flaschenhals und bremst das gesamte Netzwerk aus. Außerdem könnte sich die zentrale Instanz als Single-Point of Failure herausstellen und beim Ausfall das gesamte Funknetz lahmlegen.

Daher ist es ratsam, sich bereits im Vorfeld einige grundlegende, architektonische Gedanken zu machen. Wesentliche Eckpunkte hierbei sind die Parameter: Ausfallsicherheit, Skalierbarkeit und Datenschutz.

Terminologie: Verlängerte Antenne oder autarkes System

Als Fat Access Points bezeichnen Hersteller Zugangspunkte, die auch autark funktionieren. Darunter fallen die weiter oben beschriebenen, separat zu konfigurierenden Zugangspunkte. Als komplettes Gegenteil hierzu gelten Thin Access Points, vergleichsweise einfach konstruierte Access Points die über keine eigene Intelligenz verfügen. Als verlängerte Antennen werden die Systeme direkt von einem WLAN-Switch angesteuert. Der Vorteil: Die Konfiguration über einen WLAN-Switch ist deutlich komfortabler und Änderungen sind sofort über das gesamte Netzwerk verfügbar.

Auch in Sachen Sicherheit punktet das Verfahren. Da Zugangsdaten nicht auf jedem System gespeichert werden müssen, können Angreifer nicht viel mit gestohlenen Access Points anfangen. Probleme gibt es aber leider auch. Da alle Daten über den WLAN-Switch laufen, kommt es hier sehr wahrscheinlich zu Performanceeinbrüchen.

Um die benötigte Bandbreite für aktuelle WLANs gemäß IEEE 802.11n abzuschätzen, setzen Experten 100 Megabit pro Sekunde und Access Point an. Bei einem ausgelasteten Netz mit 100 Zugangspunkten müsste der WLAN-Switch damit bereits zehn Gigabit pro Sekunde verarbeiten können.

Als zentraler Dreh- und Angelpunkt des gesamten Netzwerks ist der WLAN-Switch zudem ein neuralgischer Punkt der gesamten Infrastruktur. Fällt das System aus sind damit auch alle Zugangspunkte unbrauchbar und das drahtlose Netz bricht in sich zusammen.

Vorteile beider Ansätze kombinieren

Mittlerweile gibt es Lösungen, die Vorteile von Fat Access Points und Thin Access Points miteinander kombinieren. Exemplarisch sei die unter dem Terminus "Smart WLAN Controlling" vermarktete Lösung des Netzwerkausrüsters Lancom genannt. Der Hersteller stützt sich dabei auf das CAPWAP-Protokoll (Control and Provisioning of Wireless Access Points), einem von der Internet Engineering Task Force (IETF) als Entwurf vorgelegtem Standard.

Der unterscheidet zwischen Kontrolldaten sowie Nutzdaten und sieht drei abgestufte Szenarien für die Auslagerung von WLAN-Funktionen des Access Points in den Controller vor.

Im Modus Remote-MAC werden alle WLAN-Funktionen an den WLAN-Controller übertragen. Damit fließen also Kontroll- und Nutzdaten zwischen WLAN-Controller und Access Point und verursachen ein entsprechend großes Datenaufkommen.

Im Modus Local-MAC tauschen Access Point und WLAN-Controller dagegen ausschließlich Kontrolldaten aus, also jene Informationen, die für eine einheitliche Konfiguration der Access Points und zum Management des Netzes nötig sind. Nutzdaten können dabei direkt vom Access Point in das LAN ausgekoppelt werden. Das funktioniert auch dann noch, wenn der WLAN-Controller ausfällt. Dann arbeiten die Access Points einfach mit der zuletzt bekannten Konfiguration weiter.

Dieses Provisorium bringt freilich einige Einschränkungen mit sich. So werden dann keine Softwareupdates auf die Access Points verteilt, Konfigurationen lassen sich höchstens nach Wechsel des Betriebsmodus händisch ändern. Wenn der WLAN-Controller als Proxy für den RADIUS-Server fungierte, schlägt außerdem die Authentifizierung von Endgeräten fehl.

Zwischen Remote-MAC und Local-MAC liegt das Szenario Split-MAC. Bei diesem werden zeitkritische Anwendungen auf dem Access Point abgearbeitet und die restlichen Anwendungen über einen zentralen WLAN-Controller abgewickelt.

Dass Datenverkehre überhaupt noch über einen WLAN-Controller fließen müssen, ist speziellen Anwendungen geschuldet, beispielsweise Sprachkommunikation über das WLAN. Damit sich Anwender beim Telefonieren zwischen verschiedenen Access Points frei bewegen können, braucht es funktionierende Roaming-Techniken. Eine davon funktioniert per CAPWAP-Tunneling. Dabei werden IP-Verbindungen fortwährend und unterbrechungsfrei vom WLAN-Controller verwaltet (Layer-3-Roaming).

Wo ist der Controller?

Bislang haben wir lediglich vom einzelnen WLAN-Controller gesprochen, der sich um die Verwaltung aller Access Points kümmert. Das System muss sich freilich nicht selbst im lokalen Netz befinden, sondern kann per VPN-Leitung auch Access Points eines ganz anderen Standorts steuern. Interessant ist dieses Szenario beispielsweise für Unternehmen mit vielen, aber kleinen Filialen.

Denn obwohl es bereits entsprechend dimensionierte WLAN-Controller für Installationen bis zu zehn Access Points gibt, liegen deren Anschaffungskosten im Einzelfall über denen eines zentralen WLAN-Controllers im eigenen Rechenzentrum.

Einige Dienstleister bieten den Controller zudem bereits als reinen Cloud-Service an. Kunden müssen sich dabei also lediglich Access Points anschaffen, die dann aus der Wolke verwaltet werden. Egal ob private oder public Cloud: Anwender sollten sich überlegen, wie geschäftskritisch ihre WLANs sind und welche geschäftlichen Auswirkungen ein Ausfall von Netzwerkverbindungen zu den entfernten WLAN-Controllern haben würde.

Des Weiteren bietet der Markt verschiedene Lösungen, die einer Infrastruktur mit WLAN-Controller zwar ähneln, aber alternative, architektonische Wege beschreiten. Die Funktionen der WLAN-Controller werden dabei beispielsweise in Switches untergebracht. Ein weiterer Ansatz basiert auf Access Points, die sich in so genannten Schwärmen organisieren und komplett auf dedizierte Steuereinheiten verzichten. In einem Folgeartikel stellen wir Ihnen einige dieser Ansätze vor.

(ID:31552580)