Sollen Wireless LANs die gestiegenen Anforderungen an ein modernes Netz meistern, muss meist eine Migration auf leistungsfähigere Systeme erfolgen. In einer klassischen Access-Point-Architektur bedeutet dies den Austausch der vorhandenen Hardware und damit größere Investitionen. Doch selbst neuere WLAN-Systeme stellen die geforderte Leistungsfähigkeit nur bedingt zur Verfügung.
Ihre 50 Access Point administriert die Unversität Potsdam effizient per WLAN-Switching.
Eine Alternative bietet sich für IT-Manager in der Wahl eines anderen Netzaufbaues. Switch-gestützte Wireless LANs reduzieren die Betriebskosten für ein unternehmensweites Funknetz deutlich. Zudem vereinfachen sie die Administration und erhöhen die Sicherheit, und dies billiger als bei den traditionellen Ansätzen. Ein Switch mit Access Ports
Herkömmliche Access Points besitzen jeweils eigene Prozessoren, eigene Software und eigene IP-Adressen. Und jeder Access Point muss einzeln administriert werden. Eine Aufgabe, die sehr zeitaufwändig und teuer ist. Im Gegensatz dazu werden diese Funktionen beim Wireless-LAN-Switching von einem zentralen Switch übernommen.
Nach außen fungieren solche Wireless-Switch-Systeme standardkonform wie Netzwerk-Switches beziehungsweise Access Points. Die "Access Points" werden hier aber "vereinfacht": Sie empfangen nur noch die Funksignale nach 802.11 a/b/g und senden sie über Standard-Ethernet-Strukturen zum zentralen Switch. Dieser ist für die Verarbeitung der Signale und deren Weiterleitung zum Netzwerk verantwortlich. In Funktion und Design entspricht der Wireless Switch eigentlich einem normalen Netzwerk-Switch - mit dem Unterschied, dass er statt Ethernet Ports Antennen besitzt, Access Ports.
Anders als Access Points verfügen die Access Ports nur über eine kleine Firmware, so dass keine Konfiguration erforderlich ist. Die Systeme sind so sehr einfach aufzubauen und zu warten. Für die Installation müssen die Access Ports nur an ein Ethernet-Kabel angesteckt werden. Ihre Stromversorgung erfolgt über "Power over Ethernet" nach dem Standard 802.3af. Neben der Unterstützung der Industriestandards 802.11a/b sind Access Ports oft bereits für 802.11g ausgelegt und stellen die Übertragungsbandbreite über alle zwölf Kanäle zur Verfügung. Zentrales Management
In einem Wireless Switch wie etwa dem "WS 5000" von Symbol wird alle Intelligenz zentral vorgehalten. Netzwerkzugriff, Sicherheit, Policy-Management und Quality of Service (QoS) sind also nicht mehr in den einzelnen Access Points integriert, sondern erfolgen auf der Switch-Ebene. Ebenso werden alle Konfigurationsarbeiten zentral auf dem Switch vorgenommen. Das hat den Vorteil, dass für alle angeschlossenen Access Ports nur eine Konfiguration erstellt werden muss. Auch Software-Updates müssen nur noch an einer zentralen Stelle eingespielt werden. Ferner gestaltet sich der Schutz eines Netzes einfacher, da das Funknetz in Form des Switches nur über einen Anschluss mit der restlichen Infrastruktur verbunden ist. Sicherheitsfunktionen wie beispielsweise Verschlüsselung oder Firewalls müssen also nur noch einmal pro Switch eingerichtet werden.
Anstelle von Ethernet Ports besitzt ein Wireless Switch Access Ports, an die Funksender angeschlossen werden.
Das Zusammenfassen aller zentralen Funktionen im Switch vereinfacht zudem das Management. Die Switches verfügen über ein integriertes Management, mit dem wichtige Informationen wie zum Beispiel die Anzahl der angeschlossenen "Mobile Units", Datendurchsatz und fehlgeschlagene Authentifizierungsversuche zur Verfügung stehen.
Die zentrale Switch-Architektur gewährleistet auch ein schnelles und einfaches Roaming, ohne dass die sichere Verbindung unterbrochen wird oder sich der Anwender neu authentifizieren muss. Durch Pre-emptive Roaming wird die Auslastung der Access Ports gesteuert, um eine möglichst gleichmäßige Verteilung der Last auf die erreichbaren Antennen sicherzustellen. Gleichzeitig ist gewährleistet, dass jedem Benutzer ausreichend Bandbreite zur Verfügung steht.
Sicherheit in der geswitchten Architektur
Besonders in drahtlosen Netzwerken ist Sicherheit ein großes Thema, denn ohne ausreichende Schutzmaßnahmen kann hier fast jeder unbefugt auf die Daten zugreifen. Wie im verkabelten Netzwerk sind hierbei die Integration und Umsetzung der aktuellen und zukünftigen Standards wichtige Aspekte.
Die Sicherheit eines Funknetzes wird durch eine Switching-Architektur nachhaltig verbessert. Mit standardkonformen Technologien wie 802.1q (VLAN-Tagging) kann der Switch für die Mobile Units "unsichtbar" gemacht werden und ist dadurch nicht mehr von außen attackierbar. Da der Wireless Switch als zentrale Instanz für die Authentifizierung arbeitet, können die Mobile Units roamen, ohne sich neu authentifizieren zu müssen, und User-Name und Passwort lokal zwischengespeichert werden. Über Filterregeln ist es zudem möglich, dass sich die Mobile Units untereinander nicht sehen. Ferner lassen sich so Broadcasts unterdrücken und Denial-of-Service-Attacken wie etwa "Poison ARP" verhinderen.
Mit Virtual LANs (VLANs) können verschiedene Nutzergruppen in einer einzigen LAN-Infrastruktur spezifische (QoS) zugewiesen werden. So können Unternehmen beispielsweise für den Bereich "Public" oder für "Gäste" nur eine minimale oder gar keine Verschlüsselung und gleichzeitig bei Unternehmensanwendern die ausgefeilteste am Markt erhältliche Verschlüsselung einsetzen, um ihre kritischen Daten sicher zu schützen. Letztlich hat der Netzwerk-Manager mit dem WLAN-Switch einen Ansatz, um einfach unterschiedliche VLANs und WLANs einzurichten, die auf die individuellen Bedürfnisse und Sicherheitsanforderungen abgestimmt sind.
Wireless-LAN-Switches unterstützen dabei die heute gängigen Protokolle, soweit diese als Standards verabschiedet sind. Wired Equivalent Privacy (WEP) gewährleistet die vollständige Interoperabilität zwischen Legacy Clients in weniger kritischen Umgebungen, für kritische Anwendungen unterstützt der Wireless Switch 802.1x und Kerberos-Authentifizierung sowie Verschlüsselungsmechanismen wie beispielsweise TKIP (siehe Kasten "Sicherheit"). Zudem können je nach Anforderung sehr einfach VPN-Architekturen mit IPsec oder Wireless Transport Layer Security (WTLS) implementiert werden, die auch den Anforderungen und Empfehlungen des Bundesamt für Sicherheit in der Informationstechnik entsprechen.
Total Cost of Ownership
Das Konzept des intelligenten zentralen Switchs mit Access Ports anstelle von Access Points führt zu einer deutlichen Senkung der Total Cost of Ownership. Bereits Installationen mit rund zehn Access Ports sind mit einer Wireless-Switch-Architektur wesentlich günstiger als ein herkömmliches WLAN. Die teurere zentrale Komponente, der Switch, muss nur einmal gekauft werden, während die Access Ports im Preis wesentlich günstiger als "normale" Access Points sind. Je mehr Access Ports installiert sind, desto kosteneffizienter ist das System. Ein Switch kann dabei bis zu 30 Access Ports integrieren.
WLAN-Switching in der Praxis
Im Rahmen des Projekts "Neue Medien in der Hochschullehre" des Bundesministeriums für Bildung und Forschung eröffnete die Universität Potsdam vor drei Jahren zunächst 440 Studenten den drahtlosen Zugang zum Campus-Datennetz und dem Internet. Die Studenten bekommen von der Uni kostenfrei eine WLAN-Karte zur Verfügung gestellt und haben so mit ihrem Laptop überall auf dem Gelände Zugang zum Netz. Die unerwartet hohe Akzeptanz des für die Studenten kostenfreien Service stellte allerdings schnell neue Anforderungen an die Infrastruktur.
Die ursprünglich installierte konventionelle Wireless-LAN-Technik mit bis dahin 50 Access Points erwies sich als schwer administrierbar. Im Juni letzten Jahres entschied sich die Zentrale für Informationsverarbeitung deshalb, eine Switch-basierte WLAN-Architektur einzusetzen, die deutlich leichter und schneller zu verwalten ist. Die Universität Potsdam nutzt 50 Access Ports und zwei Switches. Inzwischen verwaltet die Zentralstelle für Informationsverarbeitung und Kommunikation bereits 1700 akademische Notebook-Nutzer.