Heute beim Kunden, morgen in einer anderen Niederlassung und am nächsten Tag auf einem Kongress - viele Arbeitnehmer sehen ihren Schreibtisch nur noch selten. Durch die zunehmende Mobilität steigt der Verwaltungsaufwand für das Netz rasant. Kunden und Lieferanten schließen Endgeräte an, die nicht kontrollierbar sind. Des Weiteren bereiten Zugangspunkte, die nicht zum regulären Unternehmensnetz gehören, den Verantwortlichen Kopfzerbrechen. Eine Möglichkeit, die Mobilität der einzelnen Anwender ohne hohen Verwaltungsaufwand zu unterstützen, ist die Integration der mobilen Access Points (Wireless LAN) direkt in das Local Area Network (LAN). Diesem Ansatz begegnen viele IT-Verantwortliche momentan noch mit Vorbehalten, denn das WLAN gilt als eines der Einfallstore für Viren, Trojaner oder andere digitale Schädlinge. Tatsächlich bietet aber die Kombination beider Netze in vielen Fällen erhebliche Vorteile. So vereinfacht sie den Einsatz neuer Technologien im Umfeld der Integration von Sprache und Daten: beispielsweise das Telefonieren über das eigene Netzwerk und das Internet (Voice over IP, VoIP) oder mobil über WLAN (Voice over WLAN, VoWLAN).

Wenn LAN und WLAN zusammenwachsen

Geringerer Aufwand für die IT-Administration bei gleichzeitig höherem Sicherheitsniveau - das klingt für IT-Manager zunächst zu schön, um wahr zu sein. Tatsächlich macht ein integriertes Netz nicht nur die Nutzer flexibler, sondern auch die Administration einfacher - wenn die Voraussetzungen stimmen. Eine davon ist eine Schicht, die LAN und WLAN miteinander verbindet. Mit Hilfe dieser Schicht kann der IT-Verantwortliche jeden Anwender im Netzwerk "erkennen" - unabhängig davon, ob er sich von einem Desktop oder über ein mobiles Endgerät im Netz anmeldet. Das Netz orientiert sich aufgrund dieser Schicht also nicht mehr am Endgerät, sondern am Nutzer. Das nutzerbasierende Netz-Management auf der Basis von Identitäten ist eine wesentliche Bedingung für ein integriertes Netz. Für den Administrator spielt es dann keine Rolle mehr, ob er einen drahtlosen oder drahtgebundenen Port konfigurieren muss.

Der Anwender selbst merkt im idealen Fall keinen Unterschied zwischen der Anmeldung für das LAN oder das WLAN. Im Gegenteil: Der hohe Konfigurationsaufwand beim Einloggen in das mobile Netz entfällt, weil sich der Anwender keinen Netzschlüssel mehr organisieren muss. Der Grund: Die IT-Verantwortlichen haben auf Basis eines identitätsbasierenden Konzepts für das Netz-Management verschiedene Profile definiert, mit denen sich ein Anwender in das Netz einwählen kann. Das kann beispielsweise ein Gastprofil oder ein bestimmtes Mitarbeiterprofil sein. In den einzelnen Profilen legt der IT-Verantwortliche genau fest, über welche Rechte ein Nutzer sowohl im LAN als auch im WLAN verfügt.

Auch was die Kosten für die Netzwerkadministration angeht, kann das Unternehmen Vorteile aus diesem Ansatz ziehen: Der Administrator muss neben dem regulären LAN nicht auch noch diverse Zugangspunkte (Access Points) im Netz kontrollieren, sondern sieht über die Integrationsschicht, die ein zentrales Management-Modul einschließt, alle Nutzer auf einen Blick.

Enges Wechselspiel zwischen einzelnen Komponenten

Welche Komponenten für die Kombination in Frage kommen, muss der IT-Verantwortliche anhand des Mobilitätsbedarfs im Unternehmen entscheiden. Grundsätzlich gibt es zwei Architekturmodelle für ein kabelloses Unternehmensnetz. Soll er nur einige wenige WLAN-Hotspots im Unternehmen einrichten oder kleinere Außenstellen mit WLAN ausstatten, ist es aus Kostensicht sinnvoll, auf klassische alleinstehende Access Points zu setzen. Diese arbeiten unabhängig voneinander und in jedem Access Point sind Funktionen für die Netzsicherheit und die Nutzerauthentifizierung integriert. Der Nachteil dieser Architektur: Das WLAN lässt sich nicht schnell beliebig skalieren, und die Access Points können sich bei Ausfällen nicht gegenseitig ersetzen.

Dies ermöglichen aber "koordinierte" kabellose Netze. Eine intelligente, zentrale Kontrolleinheit ist dabei der Leistungsträger im Netz. In ihr sind sämtliche Funktionen für das Management sowie für die Sicherheit von kabelgebundenen und kabellosen Netzzugängen vereint: Dazu zählen unter anderem ein schnelles Roaming der WLAN-Verbindung, Lastenausgleich, Monitoring sowie das zentrale Management von Funkfrequenzen oder auch die Authentifizierung der Nutzer. Diese Kontrollfunktionen kann beispielsweise ein Modul ermöglichen, das in einen intelligenten Switch integriert ist. Die klassischen Access Points werden bei dieser Netzarchitektur durch Radio-Ports ersetzt. Diese verfügen nur über die relevanten Funktionen für die Datenübertragung per Funk und sind deshalb auf die Intelligenz einer zentralen Komponente angewiesen. (Die Radio-Ports müssen die Funkfrequenzbänder für die gängigen WLAN-Standards unterstützen. Sie sind entweder mit einer externen oder einer internen Antenne ausgestattet.)

Dieses Konzept bietet nicht nur eine größere Flexibilität beim Aufbau eines WLAN. Vor allem lassen sich über einen "intelligenten" Switch, der mit einem entsprechenden Controller-Modul ausgestattet ist, LAN und WLAN gemeinsam verwalten. Zudem ist es möglich, solche Switches mit Software für das Identity-Management auszustatten. So kann die Authentifizierung bereits am Rand des Netzes erfolgen, dort wo sich die Nutzer einloggen - mobil oder über das LAN.

Planung von integrierten Netzen ist sinnvoll

Wie kann ein Konzept für eine LAN-WLAN-Integration aussehen? Plant ein Unternehmen ein WLAN, müssen sich die IT-Verantwortlichen zunächst für eine Architektur entscheiden. Sollen LAN und WLAN gemeinsam gesteuert werden, muss die Entscheidung zugunsten eines zentral verwalteten WLAN fallen: Einzelne Access Points lassen sich nicht nahtlos in das LAN integrieren. Deshalb sollten IT-Entscheider den Aufbau eines integrierten Netzes dann in Betracht ziehen, wenn beispielsweise eine umfassende LAN-Migration ins Haus steht.

Ebenso wie beim Einsatz einzelner Access Points, müssen die IT-Verantwortlichen dem Aufbau eines integrierten LAN/ WLAN ein Site Survey vorschalten. Dabei stellen sie fest, an welchen Stellen die mobilen Netzzugänge einzurichten sind, um eine bestmögliche und flächendeckende Abdeckung ohne Funklöcher zu schaffen.

Ein Site Survey sorgt für bestmögliche WLAN-Abdeckung

Welche Anwendungen werden im Netz genutzt? Was erwarten die Nutzer von ihm? Wie weit sind die Arbeitsplätze von den einzelnen Nutzern entfernt? Welche Barrieren wie zum Beispiel Möbelstücke und Glasfenster könnten die WLAN-Verbindung stören? Solche Fragen gilt es im Rahmen des Site Survey zu beantworten. Außerdem sollten die IT-Verantwortlichen ein Netzdesign-Dokument erstellen. In diesem wird beispielsweise festgehalten, wo genau sich welche LAN- und WLAN-Zugänge befinden, ebenso die Komponenten, die beim Aufbau des Netzes verwendet wurden, sowie die Auswahl an verfügbaren Kanälen für den mobilen Zugang (802.11 a, b oder g).

Stromversorgung der Zugangspunkte frühzeitig planen

Wie die Zugangspunkte mit Strom versorgt werden, müssen die IT-Verantwortlichen in der frühen Planungsphase ebenfalls klären. Auch hier gibt es grundsätzlich zwei Möglichkeiten: den Einsatz von eigenen Netzteilen oder Power over Ethernet (PoE). Ist das WLAN integrativer Bestandteil des LAN, ist die PoE-Variante empfehlenswert. Denn werden Strom und Daten über ein Netz verteilt, lässt sich dieses noch flexibler gestalten: Die IT-Verantwortlichen müssen bei Ausbau des integrierten Netzes keine neuen Steckdosen anbringen oder zusätzliche Stromkabel verlegen, sondern lediglich PoE-Switches installieren. Der Radio-Port (oder auch Access Point) wird über das Netzkabel selbst mit Strom durch den dahintergeschalteten PoE-Switch versorgt. Ist VoIP für das Unternehmen wichtig, müssen die Verantwortlichen dafür sorgen, dass die Switches auch die entsprechenden Leistungen pro Port zur Verfügung stellen können. Dies erfolgt meist durch zusätzliche Stromversorgungen für die Switches.

Sind die Voraussetzungen für die Installation der Radio-Ports geschaffen, gilt es, die wesentlichen Bestandteile des kombinierten Netzes in einzelnen Teilkonzepten zu berücksichtigen. Dazu zählen ein Integrationskonzept mit entsprechendem Migrationspfad und natürlich eine Sicherheitsstrategie mit Vorgaben für die Zugangskontrolle. Die IT-Verantwortlichen sollten das Sicherheitskonzept auf jeden Fall im Zusammenhang mit dem Aufbau des LAN/WLAN erarbeiten. Neben einer durchgängigen, einheitlichen Datenverschlüsselung im gesamten Netz spielt hier eine konsistente Zugriffsautorisierung die entscheidende Rolle. Sie ist Voraussetzung für das nutzerbasierende Management, damit Netzzugänge - ob kabellos oder kabelgebunden - kein Einfallstor für unerwünschte Eindringlinge bilden. Darüber hinaus wird damit Sorge getragen, dass sich die Nutzer unkompliziert im Netz anmelden können.

Nichts geht auf Kosten der Sicherheit

Bei einem kombinierten LAN/ WLAN steht der IT-Verantwortliche also vor der Frage, wie viel Bedeutung er dem Thema Identity-Management beimessen will. Er muss entscheiden, welche Rechte er mit Hilfe der Identity-Management-Software an die verschiedenen Nutzergruppen vergibt. Die Profile können beispielsweise mit nutzerspezifischen, aber auch orts- und zeitabhängigen Parametern ausgestattet sein. Nutzerrechte sowie das Active Directory werden dabei auf dem Server hinterlegt. Die Profile bestimmen die IT-Verantwortlichen mit Hilfe der Software. So können sie auch für jedes Profil festlegen, welche Nutzergruppen über welche Netzzugänge zugreifen dürfen - egal, ob im LAN oder im WLAN. Der Switch arbeitet dabei eng verzahnt mit der Identity-Management-Software zusammen, um die Entscheidungen und Profile direkt am Netz-Port umzusetzen.

Aus Sicherheitsgründen sollten identitätsbasierende Zugangsmechanismen möglichst mit Verschlüsselungsmechanismen kombiniert werden. Das Netz sollte dabei über einen entsprechenden Zugangsmechanismus verfügen. Zu den wichtigsten Verschlüsselungsstandards gehört 802.11i. Er garantiert die Abhörsicherheit für den Datenaustausch zwischen den Netzzugängen - eine wichtige Voraussetzung für Technologien wie VoIP oder VoWLAN. Die Verbindungen sollten außerdem über ein virtuelles privates Netz (VPN) verschlüsselt sein. Mit Hilfe solcher Standards und dem zugewiesenen Nutzerprofil "entscheidet" der Switch selbst, ob ein Access Point für einen bestimmten Anwender geöffnet wird.

Integrierte Netzwerke als Innovationsbasis

Das WLAN in das LAN integrieren und dabei auf eine PoE-Stromversorgung setzen - das sind zwei wesentliche Faktoren für ein zukunftsfähiges Netz. So lässt sich beispielsweise Internet-Telefonie (VoIP) weitaus günstiger mit PoE ausführen, da die Endgeräte bereits mit Strom versorgt sind. Für das Telefonieren über WLAN (VoWLAN) sind integrierte LAN-WLAN-Konstruktionen unumgänglich. Denn nur ein nahtloser Übergang vom LAN in das WLAN kann die Quality of Service (QoS) garantieren, die für eine unterbrechungsfreie Sprachübertragung notwendig ist. (mb)