Test: Switches steuern große WLANs

22.07.2005
Von Christoph Lange
Um drahtlose Netze aufzubauen, setzen immer mehr Firmen spezielle WLAN-Switches ein. Die COMPUTERWOCHE verglich die Geräte von Strix, Aruba und Trapeze, die unterschiedliche Ansätze verfolgen.

Bei kleineren drahtlosen Netzen, die nur aus zwei oder drei Access Points bestehen, hält sich der Planungs- und Verwaltungsaufwand meist in Grenzen. Ganz anders sieht dies jedoch bei WLAN-Installationen aus, die eine größere Zahl an Mitar- beitern flächendeckend versorgen sollen. Hier sind Lösungen gefordert, die sich zentral verwalten lassen, Access Points regelbasierend konfigurieren und Sicherheitseinstellungen für das gesamte Funknetz vornehmen können. Auch für die Planung der Funkstandorte sind spezielle Tools erforderlich, die die räumlichen Gegebenhei- ten erfassen und aufzeigen, welche Signalqualität an den verschiedenen Stellen zu erwarten ist.

Hier lesen Sie …

• warum für große WLANs Switches empfehlenswert sind;

• wie sich die WLAN-Switches von Trapeze Networks, Strix Systems und Aruba Networks unterscheiden;

• was die Produkte kosten und welche Vor- und Nachteile sie aufweisen.

Mehr zum Thema

www.computerwoche.de/go/

*77016: WLAN-Chip von Intel;

*78382: EU fördert WLANs;

*75835: WLANs auf Erfolgskurs;

*75143: WLANs am Flughafen und im Hotel nutzen.

Fazit

• Die getesteten WLAN-Switches machten insgesamt eine gute Figur.

• Die Produkte unterscheiden sich in puncto Lieferumfang und technischem Ansatz.

• Kleine Defizite weisen die Produkte bei den Verwaltungsfunktionen auf.

Plus- und Minuspunkte der Produkte

Anbieter Produkt Preis Vorteile Nachteile

Aruba Networks Aruba 800-4 2400 Euro, Aruba einfach zu bedienendes, übersichtliches VPN-Module, Mobility Controller Access Point: 350 bis Verwaltungs-Tool; WLAN-Planungs- IDS/IPS und Firewall http://www.aruba 700 Euro (je nach Modell) werkzeug im Lieferumfang enthalten; sind extra zu kaufen. networks.com optionale Software-Module: umfangreiche Policies für eine 300 bis 1200 Euro zentrale Verwaltung der Einstellungen; (Single Switch License) Access Points lassen sich auch als Monitoring-Station betreiben.

Strix Systems Access/One 500 bis 1000 Euro pro sehr einfach in Betrieb zu nehmen; keine Policies für eine Node (abhängig von der automatische Konfiguration der Access zentrale Verwaltung von http://www.strix Konfiguration der Points und der WLAN-Mesh-Topologie; Konfigurationseinstellungen systems.com Steckmodule) modulare WLAN-Nodes lassen sich flexibel bestücken.

Trapeze Networks MXR-2 920 Euro, Trapeze Access Profile für die zentrale Verwaltung von umständlich zu bedienendes Point: 500 Euro, Ringmaster Konfigurationseinstellungen; leistungs- Browser-Tool für die Adminis- http://www.trapeze Tool Suite: von 1840 Euro fähiges WLAN-Planungs-Tool (extra zu tration. Ringmaster nicht im networks.com (max. 50 APs) bis 13 850 erwerben); umfangreiche Reportfunk- Lieferumfang enthalten. Euro (unlimitiert) tionen und Berichtsvorlagen.

Für solche Aufgaben eignen sich WLAN-Switches. Der computerwoche Vergleichstest unterzog die Lösungen der drei Startup-Unternehmen Aruba Networks, Strix Systems und Trapeze Networks einem Praxistest. Die drei Hersteller setzen die erwähnten Anforderungen um. In den Produkten sind unterschiedliche Switching-Verfahren und Verwaltungs-Tools implementiert.

Aruba und Trapeze haben die Philosophie des "Thin Access Point" konsequent umgesetzt: Die Geräte laden die für den Funkbetrieb erforderliche Software bei jedem Startvorgang vom WLAN-Switch, mit dem sie entweder direkt oder über das LAN verbunden sind. Dies hat den Vorteil, dass beim Diebstahl eines Access Point keine sensiblen Informationen in fremde Hände fallen können. Zudem lässt sich die Konfiguration einfach ändern, indem die neuen Einstellungen vom Switch auf die Funkstationen verteilt werden. Die Geräte halten die Steuerungsintelligenz für das Funknetz vor und stellen Roaming-Funktionen bereit. Sowohl Aruba als auch Trapeze bieten eine breite Modellpalette an, die von einfachen Geräten bis zu modularen Systemen reicht.

Einen anderen Weg hat Strix Systems gewählt. Der Hersteller integriert den WLAN-Switch als Modul direkt in die Access Points.

Um die WLAN-Switching-Lösungen zu testen, wurden die Testkandidaten in ein Windows-Netz eingebunden. Der Windows-2003-Domänen-Controller stellte auch einen DHCP- (Dynamic Host Configuration Protocol) und einen Radius-Server für die sichere Authentifizierung per 802.1x bereit. Zwei Notebooks wurden abwechselnd mit Funkkarten für 802.11b, g und a bestückt.

Trapeze MXR-2: Mitgeliefertes Verwaltungs-Tool taugt wenig

Trapeze Networks stellte für den computerwoche -Vergleichstest den WLAN-Switch "MXR-2" sowie zwei Access Points zur Verfügung. Der für kleinere Büros und Filialen gedachte MXR-2 enthält zwei Ethernet-Ports, unterstützt maximal drei Access Points und ist der kleinste Spross der Trapeze-Familie. Der Switch ist mit derselben Software ausgestattet wie die größeren Modelle.

Der Hersteller bietet nur ein Access-Point-Modell an. Der "MP-372" ist mit Funkmodulen und Antennen für den 802.11b/g- und den 802.11a-Standard so- wie zwei redundanten Ether- net-Ports ausgerüstet. Trapeze kann wie die anderen beiden Testkandidaten auch eine Outdoor-Version des Access Point liefern.

Geräte von Drittherstellern einbinden

Um Geräte von anderen Herstellern einzubinden, hat Trapeze vor einigen Monaten die "Open Access Point Initiative" gestartet. Damit sollen Access Points von Drittherstellern mit den MX-Switches kompatibel gemacht werden. Zu den ersten Partnern zählen D-Link und Nortel Networks.

Für die Inbetriebnahme der WLAN-Lösung von Trapeze gibt es zwei Wege. Zum einen kann sich der Administrator über den seriellen Port mit dem MX-Switch verbinden und die Grundeinstellungen via Terminalkonsole vornehmen. Alternativ verbindet er sich mittels eines mit DHCP konfigurierten Notebooks direkt mit dem MX-Switch. In diesem Fall erhält der PC vom integrierten DHCP-Server eine IP-Adresse, so dass der Switch via Web-Browser eingerichtet werden kann. Im Test wurde dieser Weg gewählt.

Eine der ersten Aufgaben besteht darin, die Rolle der Ethernet-Ports zu konfigurieren. Drei Typen stehen zur Wahl: Netzwerk, AP (Access Point) und Wired Authentication Port. Beim Testgerät wurde der Port 1 für "Netzwerk" konfiguriert und mit dem LAN verbunden. Das Quickstart-Setup weist automatisch alle Switch-Ports dem VLAN 1 (Virtual LAN) zu. Es ist aber auch möglich, demselben Port mehrere VLANs zuzuteilen.

Die MX-Switches unterstützen auch multiple SSIDs (Service Set Identifier), wodurch es möglich ist, jede SSID mit einem eigenen VLAN zu verknüpfen. Dadurch wird jeder Anwender abhängig von seiner VLAN-Gruppenzugehörigkeit mit einem bestimmten WLAN verbunden. Durch den 802.1q-Support für VLANs ist es auch möglich, den Datenverkehr über das Priority-Tag zu priorisieren. Die Netzwerk-Ports lassen sich zwecks Lastverteilung als redundante Port-Gruppen konfigurieren.

Der zweite Port des MXR-2 erhielt die Einstellung "AP" und eine Ethernet-Verbindung zum Access Point. Zudem wurde für diesen Port die Power-over-Ethernet-Funktion aktiviert, die an allen MX-Ports zur Verfügung steht. Der zweite Access Point von Trapeze wurde an einen anderen LAN-Switch des Testnetzes angeschlossen, der sich im selben IP-Subnetz befand. Nicht getestet wurde der Port-Typ "Wired Authentication", der bei direkt per Kabel mit dem MX-Switch verbundenen Rechnern die 802.1x-Authentifizierung vollzieht.

Service- und Radioprofile ausrollen

Für eine sichere Anmeldung der WLAN-Clients wurden auf dem MXR-2-Switch die Sicherheitsmechanismen 802.1x/WPA (Wi-Fi Protected Access), PEAP (Protected Extensible Authentication Protocol) und AES (Advanced Encryption Standard) angeschaltet. Dabei lassen sich entweder lokale Radius-Zertifikate verwenden, die der WLAN-Switch bereitstellt, oder ein zentraler Radius-Server nutzen, der im Testnetz die Zertifikate liefert. Trapeze verwendet Profile, um die Sicherheits- und Konfigurationseinstellungen auf die Access Points zu verteilen. Mit den Service- und den Radioprofilen lassen sich die gewünschten Settings von zentraler Stelle aus bequem auf die Funkstationen ausrollen.

Für die Verwaltung des "Trapeze Networks Mobility Systems" bietet der Hersteller zwei Tools an. Im Standardlieferumfang enthalten ist das Browser-Programm "Web View", dessen grafische Oberfläche im Vergleich zu den beiden anderen Testkandidaten recht grob gestrickt ist. Auch die Navigation erweist sich als schwierig, da sich die Baumstruktur immer nur für einen Menüpunkt öffnen lässt.

Administrator benötigt Ringmaster

Deutlich mehr Komfort und einen wesentlich größeren Funktionsumfang bietet das Tool "Ringmaster". Es vereinfacht die Verwaltung von WLAN-Netzen, muss allerdings extra in Lizenz genommen werden. Mit der Software kann der Administrator die Datenübertragungen zwischen den Funkstationen überwachen und Parameter wie Durchsatz, Auslastung und fehlerhafte Pakete erfassen. Hierüber lassen sich auch Statistiken erstellen. Zudem hat Trapeze Intrusion-Detection- und -Prevention-Funktionen (IDS/IPS) integriert. Damit kann die Software unter anderem Flood- und DoS-Attacken erkennen. Die Lösung ist auch in der Lage, fremde Access Points zu erkennen und als "Rogue" oder "Interfering" zu klassifizieren. Bei Bedrohungen kann der MX-Switch Gegenmaßnahmen ergreifen und zum Beispiel die eigenen Access Points anweisen, fremde Funkstationen mit WLAN-Paketen zu bombardieren.

Für die Optimierung des Funkverkehrs unterstützen die MX-Systeme eine automatische Wahl des besten Channels und eine dynamische Anpassung der Sendeleistung. Das "RF Auto-Tuning" von Trapeze überprüft in den vom Administrator festgelegten Zeitabständen die Funkaktivitäten und passt auf den Access Points falls nötig die Kanäle, die Sendeleistung und die Übertragungsrate automatisch an. Wenn sich zum Beispiel ein Funk-Client von einem Access Point entfernt, erhöht dieser automatisch die Sendeleistung, um die Verbindung aufrechtzuerhalten.

Nachdem die Test-Notebooks für 802.1x/WPA, PEAP und AES konfiguriert und zwei Testbenutzer im Active Directory angelegt worden waren, klappte die Verbindung zum Trapeze-Funknetz und der Zugriff über den MX-Switch auf das Test-LAN und die Windows-Domäne.

Ringmaster umfasst auch ein leistungsfähiges Planungs-Tool, das anhand von Gebäudeplänen abschätzt, wie viele Access Points voraussichtlich nötig sind und wo sie positioniert werden sollten. Die mit diesem Tool erstellten Konfigurationsparameter lassen sich als XML-Datei oder im CLI-Format exportieren und in MX-Switches und Access Points importieren.

Die Software kann zudem Reports im HTML-Format an-

ertigen. Hierfür stehen 14 Berichtsvorlagen zur Verfügung, die wichtige Standard-Reports etwa über das Inventar, die Netzwerkauslastung und fremde Access Points abdecken. Trapeze liefert eine umfangreiche Dokumentation mit, die detailliert alle für die WLAN-Konfigura- tion erforderlichen Schritte beschreibt.

Aruba 800: Sicherheitsfunktionen müssen extra gekauft werden

Die Firma Aruba stellte für den Vergleichstest ebenfalls das Einstiegsmodell zur Verfügung. Der WLAN-Switch "Aruba 800" ist mit acht Fast-Ethernet-Ports ausgerüstet und lässt sich zu- dem mit einem Gigabit-Uplink-Port bestücken. Je nach erworbener Lizenz verwaltet der Switch zwischen vier und maximal 16 Access Points. Alle Modelle verwenden dasselbe Betriebssystem ("Aruba OS"), das auf Linux basiert. Die Basissoftware umfasst neben den WLAN-Verwaltungsfunktionen auch ein RF-Planungs-Tool. Gesondert in Lizenz zu nehmen sind unter anderem die Softwaremodule "Firewall", "VPN" und "IDS/IPS".

Der Anbieter verwendet ein hierarchisches Modell für die Zusammenarbeit der WLAN-Switches in größeren Netzen. Der "Master Switch" ist die zentrale Steuerungsinstanz, der die "Local Switches" untergeordnet sind. Die Master lassen sich mit Hilfe von VRRP (Virtual Routing Redundancy Protocol) auch redundant auslegen. Ein Local Switch kann als passives Standby-System eingerichtet werden. Der Administrator hat zudem die Möglichkeit, mehrere LAN-Ports zu bündeln.

Access Points laden Betriebssystem vom Switch

Die Access Points müssen nicht direkt mit dem WLAN-Switch verbunden, sondern können an beliebigen Stellen im LAN positioniert werden. Aruba hat seine Funkstationen ebenfalls als Thin-Access-Point ausgelegt. Das Betriebssystem erhalten die Geräte beim Boot-Vorgang über das Netzwerk vom Aruba-Switch. Zur Wahl stehen verschiedene Versionen mit Single oder Dual Radio für die Standards a, b und g. Zudem sind Modelle mit einem oder zwei LAN-Ports erhältlich. An den zweiten Port lässt sich zum Beispiel ein Drucker oder ein PC anschließen, für den dann dieselben zentralen Sicherheitseinstellungen gelten wie für die Access Points.

Um auch Geräte von Drittherstellern zu integrieren, hat Aruba das Programm "Aruba Certified" gestartet. Es hat zum Ziel, dass sich auch Access Points von anderen Anbietern mit dem Aruba-OS-Image booten lassen. Bislang sind Accton und Netgear mit von der Partie. Das Boot Image stellt Aruba auch als Open Source zur Verfügung.

Im Test wurde ein Notebook mit einem der Switch-Ports verbunden. Auf dem Aruba 800 läuft ein DHCP-Server, der die IP-Adresse automatisch zuweist. Ist bereits ein DHCP-Server vorhanden, muss der Systemverwalter den Aruba-Switch als DHCP-Relay konfigurieren, damit die angeschlossenen Access Points eine IP-Adresse erhalten können. Für den Test wurde dem Switch eine feste IP-Adresse aus dem lokalen IP-Subnetz zugewiesen, die er für das Default-VLAN benötigt. Aruba unterstützt wie auch Trapeze multiple SSIDs, die sich unterschiedlichen VLANs zuordnen lassen.

Im nächsten Schritt erhielt der Switch eine neue Betriebssystem-Version, die per TFTP-Server eingespielt wurde. Dies war nötig, weil zum Zeitpunkt des Tests gerade eine neue Softwareversion herausgekommen war.

Um die Access Points zu konfigurieren, liefert Aruba ein spezielles Kabel mit, das auf der einen Seite in einen seriellen Port (für die Workstation), auf der anderen in zwei Ethernet-Stecker (für Access Poiunt und Switch) mündet. Durch die von Aruba patentierte Technik "Serial Power over Ethernet" ist es möglich, über das Ethernet-Kabel zusätzlich eine serielle Verbindung aufzubauen. Der Administrator kann sich zudem per Telnet auf den WLAN-Switch verbinden und von dort über den jeweiligen LAN-Port eine serielle Verbindung zu dem angeschlossenen Access Point aufbauen.

Damit ein Access Point beim ersten Verbindungsaufbau den WLAN-Master-Switch findet, verwendet Aruba die DHCP-Vendor-Option 43. Falls dies nicht funktioniert, setzt die Funkstation eine DNS-Abfrage nach "Aruba-Master" ab. Sollte auch dies scheitern, kommt das "Aruba Discovery Protocol" zum Einsatz.

Bei der Anbindung des ersten Access Point klappte die IP-Adressenzuweisung zunächst nicht, weil bereits ein DHCP-Server im Testnetz vorhanden und der Aruba-Switch noch nicht als DHCP-Relay konfiguriert war. Nachdem die Einstellungen entsprechend korrigiert worden waren, funktionierte die Einbindung der beiden Test-Access-Points reibungslos. Die mitgelieferten PDF-Handbücher beschreiben ausführlich die für die Erstkonfiguration und den Betrieb erforderlichen Schritte.

Sicherheitseinstellungen zentral vornehmen

Das Aruba-WLAN verwaltet der Administrator über den Browser. Um auch die Statistik- und RF-Planungsfunktionen verwenden zu können, muss der Web-Client Active X Controls und Macromedia Flash unterstützen. Für den Test wurde 802.1x/WPA mit AES aktiviert, um das sichere Login via Radius-Server zu überprüfen. Die Anmeldung mit den beiden Test-Notebooks an der Domäne vollzog sich problemlos.

Die WLAN-Switches stellen eine große Auswahl an Policies bereit, mit denen sich auch zahlreiche sicherheitsrelevante Einstellungen zentral steuern lassen. Vordefinierte Benutzerrollen erleichtern die Konfiguration der Policies, die sich unter anderem auf Access Points, Benutzer, LAN-Ports und Dienste anwenden lassen. Die Priorisierung des Datenverkehrs, zum Beispiel für Voice over IP, erfolgt ebenfalls mit Hilfe von Policies.

WLAN-Monitoring prüft Einstellungen

Eine Besonderheit von Aruba ist, dass sich Access Points als WLAN-Monitor verwenden lassen. Sie dienen dazu, die RF-Konfiguration im WLAN fortlaufend zu überprüfen und bei Veränderungen automatisch zu optimieren. Die Access Points unterstützen hierfür das "Adaptive Radio Management", das selbständig Funkkanäle und Sendeleistung einstellt. Zudem kommen die Monitore zum Tragen, wenn das integrierte Intrusion-Prevention-System fremde Access Points oder WLAN-Clients entdeckt. In diesem Fall kann der Monitor zum Beispiel pausenlos Deauthentication-Pakete an die unbekannten Geräte schicken. Weitere Funktionen sind Packet Capturing und Paketanalyse sowie die Lokalisierung von Funkstationen. Ein Monitor kann automatisch zu einem Access Point umkonfiguriert werden, falls eine Funkstation ausfällt.

Strix Access: Konfiguration nicht zentral verwaltbar

Die WLAN-Lösung "Access/ One" von Strix unterscheidet sich deutlich von den anderen beiden Testkandidaten. Der Hersteller verwendet "fette" Access Points mit integrierter Switching-Funktion, die sich automatisch zu einem vermaschten WLAN verbinden. Die Geräte bestehen aus aufeinander gesteckten Modulen und lassen sich dadurch flexibel konfigurieren.

Als Basismodul stehen ein Vier-Port-LAN-Switch, ein Ein-Port-LAN-Modul und ein WLAN-Backbone-Switch-Modul zur Verfügung. Die Stromversorgung erfolgt entweder per Power over Ethernet oder über ein separates Netzteil. Der "Network Server", der das vermaschte WLAN zentral steuert, ist in einem eigenen Steckmodul untergebracht. Die nächste Schicht im Stapel bilden die Funkmodule für die IEEE-Standards 802.11b, g und a, die sich beliebig miteinander kombinieren lassen.

Maximal vier Strix-Module pro Basisstation

Die Flexibilität hat Grenzen: Auf eine Basiskomponente dürfen nur maximal vier Module gesteckt werden. Den Abschluss des Stack bildet der Antennendeckel, der alle drei Funkstandards unterstützt.

Der Network Server und die Funkmodule sind mit derselben Firmware ausgestattet. verfügen über eine eigene IP-Adresse und lassen sich zentral verwalten. Für den Test stellte Strix Module für ein Access/One Network aus zwei WLAN-Nodes mit 802.11b-, g- und a-Funkstationen zur Verfügung.

Das Network-Server-Modul wird direkt mit dem LAN verbunden und arbeitet mit bis zu acht Nodes zusammen. In größeren Netzen mit mehreren Network Servern lässt sich eine Master-Slave-Beziehung zwischen den Server-Modulen definieren.

Stapelbare Komponenten konfigurieren sich selbst

Die Installation des Access/One Network war schnell vollbracht. Nachdem die Module für die beiden Nodes ineinander gesteckt worden waren, musste nur noch der Ethernet-Port mit dem Testnetz verbunden und der Strom eingeschaltet werden. Sobald ein Strix-Node den Bootvorgang abgeschlossen hat, konfiguriert er sich selbst mit den anderen Nodes im Netz zu einem vermaschten WLAN. Am einfachsten funktioniert dies, wenn ein DHCP-Server vorhanden ist. Im Testnetz mit den beiden Strix-Nodes verlief dieser Vorgang reibungslos. Die Funkmodule wählen dabei automatisch den besten Kanal für die maximale Übertragungsleistung und Reichweite.

Diese dynamische Performance-Optimierung betrifft ausschließlich die Kommunikation zwischen den WLAN-Nodes und nicht die Übertragungen zwischen Clients und Nodes. Der von Strix entwickelte Mechanismus sorgt dafür, dass die Pakete den bestmöglichen Pfad zum jeweiligen Ziel-Node wählen. Verändert sich die Anzahl der Access Points oder der Standorte, passt die automatische Rekonfiguration die Netzleistung an. Ein permanent im Hintergrund laufender Funk-Scan erkennt sofort, wenn fremde Access Points dem WLAN betreten wollen.

Die in jedem Modul integrierten LAN-Switches ermöglichen es, pro Network Server bis zu 256 VLANs zu definieren. Zudem lassen sich für die VLANs acht Class-of-Service-Filter einstellen, um den Datenverkehr unterschiedlich zu priorisieren.

Die Administration des Access/One Network erfolgt mit Hilfe des Browser-Plug-ins "Manager One". Es zeigt alle im WLAN vorhandenen Nodes und Module inklusive IP- und MAC-Adressen in einer Baumstruktur übersichtlich an. Das Verwaltungsmenü des Network Server präsentiert die Strix-Nodes und -Module grafisch und liefert detaillierte Informationen über deren aktuellen Zustand. Hier werden auch Einstellungen wie SSID (Service Set Identifier) und Authentifizierungsmechanismen konfiguriert.

Für eine sichere Anmeldung wurde der Network Server so konfiguriert, dass sich die Clients über 802.1x/WPA an dem Radius-Server im Testnetz authentifizieren müssen, wobei die Daten mit AES verschlüsselt werden. Auch die WLAN-Lösung von Strix absolvierte diese Übung fehlerfrei. Firmware-Upgrades führt der Network Server zentral aus, indem er alle im WLAN vorhandenen Strix-Module aktualisiert.

Jedes Funkmodul verfügt über eine eigene Monitoring-Datenbank, die zahlreiche Traffic-Informationen auf Benutzerbasis sammelt. Eine einfache Report-Funktion zeigt diese Daten im Browser an. Für die WLAN-Planung bietet Strix das Tool "Architect/One" an, das zusätzlich in Lizenz genommen werden muss. Die mitgelieferte Dokumentation deckt alle für den Aufbau und die Administration erforderlichen Punkte ab. (fn)