Smart WLAN-Controlling in der Filialanbindung
Dezentrale WLANs zentral im Griff
Gerade in Unternehmensfilialen und verteilten Außenstellen ersetzt Wireless LAN oft aufwändige Verkabelung vor Ort. Die Steuerung der zahlreichen verteilten Access Points kann dabei ein WLAN-Controller in der Unternehmenszentrale übernehmen. Der Beitrag zeigt, welche Aspekte für eine leistungsfähige und ausfallsichere WLAN-Infrastruktur bei Zweigstellenszenarien relevant sind.Im Lauf der letzten Jahre waren die drahtlosen Netzwerke einem grundlegenden strukturellen Wandel unterworfen: Die autonomen Access Points der ersten Generation wurden im Zug der rasch steigenden WLAN-Verbreitung durch zentral verwaltete Lösungen ersetzt. Um die signifikanten Nachteile dieser zentralisierten WLANs speziell in Unternehmen mit vielen Zweigstellen zu überwinden, setzen moderne WLAN-Architekturen auf eine intelligente Arbeitsteilung zwischen Access Points und WLAN-Controllern, dem so genannten Smart WLAN-Controlling. WLAN-Architekturen der ersten Generation Bei allen Vorzügen der WLANs gegenüber drahtgebundenen Netzwerken bleiben einige offene Aspekte: Die Installation, Konfiguration und Wartung der Access Points ist aufwändig und erfordert qualifiziertes Personal. Wichtige Funktionen wie das Einrichten von Gastzugängen oder die Erkennung von unerwünschten Access Points und WLAN-Clients (Rogue Detection) sind auf jedem Access Point separat vorzunehmen. Frequenzüberlagerungen lassen sich nur durch manuelle Anpassung der verwendeten Funkkanäle vermeiden. Änderungen der Konfiguration oder Struktur greifen damit nicht gleichzeitig bei allen Access Points, sondern erst mit zeitlichem Verzug. Access Points an öffentlich zugänglichen Orten stellen zudem ein potenzielles Sicherheitsrisiko dar, weil mit den Geräten auch die darin gespeicherten, sicherheitsrelevanten Daten wie Kennwörter etc. gestohlen werden können. Als Ergebnis steigen die Kosten für den Betrieb von WLANs deutlich mit der Anzahl eingesetzter Access Points. Die zweite Generation: WLAN-Switching Der erste Ansatz zur Überwindung dieser Nachteile in großen WLAN-Installationen bestand in der vollständigen Verlagerung der "Intelligenz" in eine zentrale Komponente, dem WLAN-Switch. Beim WLAN-Switching agieren die Access Points nur als verlängerte Antennen dieser zentralen Instanz. Die auch als "Thin Access Point" bezeichneten Geräte benötigen keine Konfiguration und übertragen alle empfangenen Daten aus dem WLAN direkt über das LAN an den WLAN-Switch. Das Konzept des WLAN-Switchings reduziert den Aufwand und die Kosten für den Betrieb der drahtlosen Netzwerke zwar deutlich, dafür entsteht im WLAN-Switch aber ein "Flaschenhals" für die übertragenen Daten sowie ein "Single Point of Failure". Das Versagen des Switches würde somit zu einem Totalausfall des gesamten WLANs führen. Smart WLAN-Controlling als dritte Generation Das Smart WLAN-Controlling kombiniert die spezifischen Vorteile der beiden ersten Ansätze und realisiert ein WLAN-System nach den folgenden Anforderungen: Es existiert eine flexible Datenauskopplung je nach Anwendung und Benutzer: Entweder findet die Auskopplung direkt am Access Point für Daten mit hohem Bandbreitebedarf (zum Beispiel IEEE 802.11n) oder für Access Points in den Filialstandorten statt. Oder die Nutzdaten werden erst am WLAN-Controller zur Realisierung von Layer-3-Roaming für Anwendungen wie Voice over WLAN (VoWLAN) oder Gastzugänge in das LAN geleitet. Außerdem sollen sich alle Access Points und Wireless Router zentral im WLAN-Controller authentifizieren und dort auch konfigurieren lassen. Dadurch ergibt sich eine Reihe von Vorteilen: Sicherheitsrelevante Zonen können sich jetzt auch auf die angeschlossenen Access Points in Filialen oder Home Offices erstrecken. Ebenso ist eine automatische Funkfeldoptimierung für den störungsfreien Betrieb von WLANs innerhalb der Reichweite anderer Access Points möglich. Zudem sind ein sicheres Fallback- und Redundanz-Konzept beim Ausfall des WLAN-Controllers ohne Speichern sicherheitsrelevanter Daten in den Access Points (APs) sowie die automatische Zuordnung der WLAN-Clients zu bestimmten Netzwerken ohne komplexe Konfiguration realisierbar. Nicht zuletzt sorgen die zentrale Rogue-AP- und -Client-Detection für einen deutlichen Sicherheitsgewinn. Mit dem CAPWAP-Protokoll (Control and Provisioning of Wireless Access Points) gibt die IETF (Internet Engineering Task Force) einen Draft-Standard für das zentrale Management großer WLAN-Strukturen vor. CAPWAP-Standard CAPWAP verwendet zwei unterschiedliche Kanäle für die Datenübertragung: einen verschlüsselten Kontrollkanal, über den die Verwaltungsinformationen zwischen dem WLAN-Controller und dem Access Point laufen, sowie einen nur wahlweise verschlüsselten Datenkanal. Über Letzteren lassen sich optional die Nutzdaten aus dem WLAN vom Access Point über den WLAN-Controller ins LAN übertragen - gekapselt in das CAPWAP-Protokoll. Das Smart WLAN-Controlling nutzt gezielt die Möglichkeiten der unterschiedlichen CAPWAP-Kanäle: Nur die Daten, die für den WLAN-Controller wichtig sind, werden durch den CAPWAP-Tunnel zum Controller geleitet. Das deutliche größere Datenvolumen der Nutzdaten lässt sich direkt am Access Point auskoppeln und ins LAN oder WAN übertragen. Diese Methode reduziert den Datendurchsatz im WLAN-Controller deutlich und vermeidet dort den zentralen Flaschenhals. So können Access Points ihren WLAN-Controller auch in entfernten Netzen suchen - eine einfache IP-Verbindung zum Beispiel über eine VPN-Strecke reicht aus. Da die WLAN-Controller nur den WLAN-Teil der Konfiguration im Access Point oder Router beeinflussen, lassen sich alle anderen Funktionen separat verwalten. Durch diese Aufteilung der Konfigurationsaufgaben eignen sich WLAN-Controller hervorragend für den Aufbau einer unternehmensweiten WLAN-Infrastruktur in der Zentrale einschließlich aller angeschlossenen Niederlassungen und Home Offices. Ebenso verhindert dieses Konzept Fehlkonfigurationen der WLAN-Einstellungen in den entfernten Access Points, durch die unerlaubte Clients Zugang zum Unternehmensnetzwerk erhalten. Gerade bei Zweigstellen mit langsamer Anbindungen an das zentrale Netzwerk lassen sich so die Vorteile einer zentralen Verwaltung mit einer von Anwendern akzeptierten Performance kombinieren. Layer-3-Tunneling und -Roaming im WLAN In manchen Anwendungen ist es jedoch erwünscht, dass auch die Nutzdaten durch den Layer-3-Tunnel über den WLAN-Controller laufen. Bei Applikationen wie VoWLAN können dabei mobile WLAN-Clients in größeren Installationen problemlos zu einer anderen Funkzelle wechseln. Die zugrunde liegende IP-Verbindung bleibt jedoch ohne Unterbrechung, da der zentrale WLAN-Controller diese fortlaufend verwaltet. Mobile SIP-Telefone können so auch während eines Gesprächs komfortabel "roamen". Automatische Funkfeldoptimierung für separate Kanäle Die Auswahl des Funkkanals legt den Bereich des Frequenzbands fest, den ein Access Point für seine logischen WLANs verwendet. Alle WLAN-Clients, die sich mit einem bestimmten Access Point verbinden wollen, müssen denselben Kanal im gleichen Frequenzband verwenden. Auf jedem Kanal kann dabei jeweils nur ein Access Point gleichzeitig Daten übertragen. Um in der Funkreichweite eines anderen Access Points ein WLAN störungsfrei betreiben zu können, sollte daher jeder Access Point einen separaten Kanal nutzen, anderenfalls müssen sich die WLANs die Bandbreite des Kanals teilen. Ohne zentrale automatische Konfiguration durch einen WLAN-Controller scheuen Administratoren bei mehreren vernetzen Filialen allerdings oft die mühselige Arbeit für die Suche nach den jeweils besten Übertragungskanälen. Mit ihrer automatischen Funkfeldoptimierung bieten zum Beispiel die WLAN-Controller von Lancom ein Verfahren, um die optimalen Kanäle der Access Points für das 2,4-GHz-Band automatisch vor Ort einzustellen. Dabei löscht der WLAN-Controller im ersten Schritt die Kanallisten der Access Points und definiert sie neu. Anschließend werden die WLAN-Module ausgeschaltet und sukzessive wieder aktiviert. Beim Einschalten suchen die Module dann automatisch einen freien Kanal und optimieren so die Verteilung der Kanäle im umgebenden Funkfeld. Autarker Weiterbetrieb bei Verbindungsstörungen In Installationen mit einem einzigen WLAN-Controller bildet dieses Gerät zwangsläufig einen "Single Point of Failure": Bei einer Störung sind sofort alle angeschlossenen WLANs ebenfalls betroffen. Viele WLAN-Controller bieten daher die Möglichkeit des autarken Weiterbetriebs der Wireless Router und Access Points bei einer vorübergehenden Störung. Da die komplette Verwaltung der Nutzdaten beim Smart WLAN-Controlling weiterhin auf den Access Points verbleibt, muss der Controller nach einer Störung nur für die Aktualisierung der Konfiguration sorgen. Falls die Verbindung zum WLAN-Controller unterbrochen ist, arbeitet der Access Point für eine zuvor definierte Zeit mit seiner Konfiguration weiter. Ist der Timer abgelaufen und die Verbindung zum WLAN-Controller noch nicht wiederhergestellt, löscht der Access Point die Konfiguration und beendet seinen Betrieb. Sobald der WLAN-Controller wieder erreichbar ist, überträgt dieser die Konfiguration erneut zum Access Point. Durch diese Option kann der Access Point auch dann weiterarbeiten, wenn die Verbindung zum WLAN-Controller kurzfristig unterbrochen ist. Backup-Lösungen für Hochverfügbarkeit WLAN-Controller verwalten oft eine große Zahl von Access Points, bei denen wiederum zahlreiche WLAN-Clients eingebucht sein können. Die WLAN-Controller haben daher eine zentrale Bedeutung für die Funktionsfähigkeit der gesamten WLAN-Infrastruktur. Die Einrichtung einer Backup-Lösung für den vorübergehenden Ausfall eines WLAN-Controllers erweist sich aus diesem Grund in vielen Fällen als unverzichtbar. In einem Backup-Fall soll sich ein gemanagter Access Point mit einem anderen WLAN-Controller verbinden. Da diese Verbindung nur gelingt, wenn der Backup-Controller das Zertifikat dieses Access Points authentifizieren kann, müssen alle WLAN-Controller in einer Backup-Lösung identische Root-Zertifikate verwenden. Für die Backup-Struktur selbst stehen zwei Ansätze zur Auswahl: Beim Backup mit redundanten WLAN-Controllern ist jedes Gerät eins zu eins durch ein zweites Gerät abgesichert. Im Backup-Controller sind dabei neben den identischen Zertifikaten auch alle Konfigurationen des primären WLAN-Controllers redundant vorhanden. Beim Einsatz mehrerer WLAN-Controller können sich die Geräte alternativ auch untereinander absichern und im Backup-Fall die Access Points eines anderen WLAN-Controllers mit verwalten. Bei diesem Konzept kommen im Verbund insgesamt mehr WLAN-Controller zum Einsatz, als eigentlich für die Verwaltung der vorhandenen Access Points notwendig wären. Die Access Points sind dann in den AP-Tabellen aller WLAN-Controller eingetragen, damit bei Ausfall eines Controllers ein anderes Gerät dessen Aufgaben mit übernehmen kann. Fazit Smart WLAN-Controlling bietet eine ganze Reihe an Funktionen für den komfortablen Betrieb von WLAN-Installationen in Filialstrukturen. Automatische Authentifizierung und Konfiguration erleichtern den Rollout auch an Standorten ohne geschultes IT-Personal. Automatische Firmware-Updates halten die dezentralen Access Points jederzeit aktuell, und die Nutzung der freien Funkkanäle vor Ort lässt sich ebenfalls automatisch optimieren. Die gezielte Trennung von Nutz- und Kontrolldaten, wie sie beispielsweise die WLAN-Controller von Lancom praktizieren, bewirkt einen effektiven Lastausgleich im Netzwerk und vermeidet den Datenstau im Controller. Für einzelne Anwendungen lassen sich die Nutzdaten aber auch gezielt über den WLAN-Controller führen, um unterbrechungsfreie IP-Beziehungen beim mobilen Wechsel zwischen Funkzellen zu ermöglichen (Layer-3-Roaming). Eine zentrale WLAN-Konfiguration für entfernte Standorte bezieht auch Home Offices oder Filialen in das WLAN-Sicherheitskonzept des Unternehmens mit ein, und kritische Netzwerksegmente lassen sich bei vorhandenen Gastzugängen problemlos über VLAN-Zuweisungen abschirmen. Eine kurzfristige Störung des WLAN-Controllers können die Access Points vorübergehend autark überbrücken, für eine höhere Ausfallsicherheit stehen verschiedene Backup-Strategien zur Verfügung.
Lesen Sie mehr zum Thema
