Verteiltes WLAN

WLANs taugen nicht nur für Heimanwender und ihren DSL-Router. Immer mehr Firmen setzen auf die Vorteile der drahtlosen Anbindung mobiler Arbeitplätze und der Integration von Voice-over-WLAN. Daher wächst die Komplexität vieler WLANs in beachtlichem Maße – und damit der Aufwand für die Administration einzelner Access Points. Eine Zentralisierung der drahtlosen Infrastruktur mit Hilfe von Thin Access Points soll Abhilfe schaffen.

Bei einer klassischen Wireless-LAN-Infrastruktur übernehmen die Access Points zahlreiche Funktionen. Sie stellen nicht nur den Netzzugriff durch ein Bridging zwischen drahtlosem und kabelgebundenem LAN bereit, sondern kümmern sich auch um Benutzerauthentifizierung, Verschlüsselung und Netzwerkmanagement. Beim Installieren einzelner Access Points zu Hause, in kleinen Firmennetzwerken oder beim Betrieb einer Kombination aus WLAN Access Point und Router ergibt das durchaus Sinn, da sich der Administrationsaufwand auf eine zentrale Komponente reduziert.

In umfangreichen WLANs großer Firmen, die aus mehreren hundert Access Points bestehen, kann die dezentrale Administration der einzelnen APs zu einem zeitaufwendigen und komplizierten Unterfangen geraten. Denn gerade die in Firmen eingesetzten Access Points verfügen über eine Vielzahl von Zusatzfunktionen für die Sicherheit, das Management und die Durchsatzoptimierung, die über die Definitionen des 802.11-Standards hinausgehen. Außerdem realisiert der Access Point eigene Mechanismen der Zugriffskontrolle, etwa MAC-Adress-Filter, die lokal auf jedem einzelnen AP zu konfigurieren sind. Die Anbindung erfolgte bisher über konventionelle Ethernet Switches, mit dem normalen LAN als Backbone für das WLAN.

Features für die Optimierung der Kommunikation innerhalb eines WLAN und des Handoff zwischen mehreren Access Points sind kaum umsetzbar, wenn jeder Access Point lediglich für seinen eigenen Funkbereich zuständig ist. Anwendungen wie Sprachübertragung (Voice-over-WLAN) sind aber nur dann praktikabel, wenn es einen nahtlosen Übergang zwischen APs gibt, sobald sich der Anwender innerhalb mehrerer Funkzellen bewegt. Hinzu kommt, dass herkömmliche Access Points eine relativ komplexe und damit teure Hard- und Software voraussetzen.

Mit solchen Geräten ist nicht nur der Aufbau eines komplexen WLAN kostspielig, sondern vor allem dessen Skalierung. Wer zusätzliche APs aufstellen möchte, um beispielsweise die Abdeckung oder den Durchsatz zu erhöhen, sieht sich jedes Mal mit erheblichen Kosten konfrontiert. Teuer wird es außerdem bei der Migration auf neue Übertragungsverfahren. Dann muss entweder die Firmware umständlich auf jedem einzelnen Access Point aktualisiert oder oft sogar alle Access Points ausgetauscht werden.

Zentralisierte Admin-Unterstützung

Abhilfe sollen die so genannten "Thin Access Points" schaffen. Im Gegensatz zu den als "Thick" oder "Fat Access Points" bezeichneten herkömmlichen Access Points verfügen sie nicht über Management- und andere Funktionen, die über die reine Datenübertragung hinausgehen. Die stellt stattdessen ein zentraler WLAN-Switch im Netz bereit.

In einem solchen Szenario sind die Komponenten klassischer WLAN-APs praktisch voneinander getrennt. Ein Großteil der Funktionen ist auf den WLAN-Controller oder Switch ausgelagert. Lediglich ein geringer Teil verbleibt im eigentlichen Access Point, im Wesentlichen die Antenne mit Funkmodul ("Layer 0"), die physische Übertragungsschicht und teilweise auch die zeitkritischen Elemente der MAC-Ebene (Media Access Control).

Alle übrigen Komponenten beherbergt der zentrale WLAN-Switch. Dazu gehören der restliche Teil der MAC und das Layer Management. Auch alle in 802.1x spezifizierten Funktionen für die Benutzerauthentifizierung sind hier untergebracht. Die Administrationsschnittstelle des Access Points, in klassischen APs oft als eigener Webserver integriert, befindet sich ebenfalls im WLAN-Switch und ermöglicht eine zentrale Administration aller APs.

Die Hersteller lagern unterschiedlich viele Funktionen vom AP in den zentralen WLAN-Switch aus. Das hat zur Folge, dass die APs in vielen Fällen nur mit den WLAN-Switches des gleichen Herstellers zusammenarbeiten. Je nach Hersteller haben die Thin APs zudem ganz unterschiedliche Bezeichnungen. Namen wie Mobility Point, Access Port, Lightweight Access Point, Air Hub, Grid Point, Wireless Point oder WLAN Appliance bezeichnen diverse Geräte, die mehr oder weniger einem Thin AP entsprechen.

Während bei der ersten Generation von Thin APs nach dem Motto "alles oder nichts" sämtliche Funktionen, bei denen es überhaupt möglich war, in den Switch ausgelagert waren, setzen heute viele Hersteller auf Mischformen aus Fat und Thin AP. Solche oft als Integrated AP bezeichneten Geräte können mehr als die erste Generation von Thin APs, bieten aber im Vergleich zu klassischen Fat APs ein einfacheres Management und eine unkompliziertere Konfiguration. Ein Beispiel für solch einen Integrated AP ist der Mobility Point von Trapeze. Eine ausgewogene Aufteilung von Funktionen zwischen dezentralem AP und zentralem WLAN-Switch führt zu einer engen Verzahnung zwischen der Software und der Hardware aller beteiligten Komponenten, die als ganzes ein komplexes "Mobility System" bilden.

Neben den Investitionen, die der Aufbau eines WLAN erfordert, reduziert der Einsatz von Thin APs auch die laufenden Betriebskosten, da neben der gesamten Administration auch die Nachrüstung neuer Funktionen und andere Wartungsmaßnahmen lediglich auf den Switches erfolgen.

Zunächst spezialisierten sich einige Startup-Unternehmen wie Airespace oder Chantry auf die neue Technik. Inzwischen widmen sich eine ganze Reihe von Firmen diesem Bereich. Auch die großen renommierten Netzwerkausrüster wie 3Com oder Cisco bieten inzwischen selbst entsprechende Lösungen an oder kauften kurzerhand spezialisierte Startup-Unternehmen. So wurde Airespace inzwischen von Cisco übernommen, und Chantry fand den Weg in die HiPath-Produktfamilie von Siemens. Andere große Firmen haben Produkte von WLAN-Spezialisten im Rahmen von OEM-Verträgen in ihr Angebot aufgenommen, zum Beispiel Alcatel von Aruba und Nortel von Trapeze.

Gateway oder Switch?

Für den Aufbau von WLAN-Infrastrukturen, die auf Thin APs basieren, gibt es zwei grundsätzlich verschiedene Ansätze. Als zentrale Einheit des Netzwerkes dient entweder ein WLAN-Switch oder ein WLAN-Gateway. Das Gesamtkonzept hängt von der Umsetzung des jeweiligen Herstellers ab, auch hier kommen Mischformen beider Varianten vor.

WLAN-Switches entsprechen konventionellen Ethernet-Switches mit zusätzlichen WLAN- und Mobilitätsfunktionen. Der Access Point kommuniziert in den meisten Fällen über ein proprietäres Protokoll mit dem Switch, an den er direkt angeschlossen ist. Oft lassen sich auch an einem Port mehrere Access Points anschließen. Da die Anzahl von Access Points pro Switch und die Länge des in vielen Fällen verwendeten CAT5-Kabels auf 100 m begrenzt ist, erfordern größere Installationen den Einsatz mehrerer Switches. Trotz der Verfügbarkeit entsprechender Management-Software, die die Administration vereinfacht, geht der ursprüngliche Vorteil, nämliche das komplette WLAN an einem zentralen Ort zu verwalten, auf diese Weise zum Teil wieder verloren.

Voice-over-WLAN (VoWLAN) Infolge der derzeitigen VoIP-Euphorie rückt auch die Kombination von WLAN und Voice over IP ins Blickfeld. Voice over WLAN (VoWLAN) ermöglicht es, dass derjenige, der sich in Reichweite der WLAN-Abdeckung befindet, über VoIP telefonieren kann und somit auch über seine Festnetznummer erreichbar ist. Viele zukünftige Smartphones werden neben UMTS auch über WLAN kommunizieren können. Auch die Anzahl der Anbieter, die reine VoWLAN-Telefone auf den Markt bringen, wächst ständig, dazu gehören Netgear oder UTStarcom. Nicht nur die Hardware-Hersteller unterstützen zurzeit dieses Konzept, sondern auch alle wichtigen GSM-Netzbetreiber haben inzwischen entsprechende Produkte angekündigt. Zentralisierte, auf Thin APs basierende WLAN-Netze sind besonders gut für den Einsatz von VoWLAN geeignet, da sie per zentraler Steuerung des WLAN-Netzes mit Hilfe von 802.11e eine entsprechende QoS bereitstellen und gleichzeitig das Handoff zwischen den APs optimieren können. Beim Einsatz von WiFi-Multimedia (WMM) können unterschiedliche Anwendungen individuell Übertragungskapazität nutzen, womit sich die WLAN-Auslastung optimieren lässt. Noch einen Schritt weiter geht das UMA-Konzept (Unlicensed Mobile Access, siehe GSM getunnelt). Es soll einen nahtlosen Übergang von Mobilfunkverbindungen zwischen GSM/UMTS und WLAN sowie Bluetooth gewährleisten. Gesprächsübertragungen sollen – ohne dass der Benutzer etwas davon bemerkt – zwischen verschiedenen Netzen wechseln, je nachdem, welche Technologie gerade zur Verfügung steht und in diesem Moment am günstigsten ist. Der Name Unlicensed Mobile Access beruht auf der Tatsache, dass der Betrieb von WLAN- und Bluetooth-Netzen anders als derjenige von GSM- und UMTS-Netzen keine Lizenzen voraussetzt. VoWLAN stellt in Verbindung mit UMA im Wesentlichen eine Verbindung zum Kernnetz des GSM-Anbieters über einen Breitbandanschluss und das Internet her. Der Nutzen für den Anwender besteht darin, dass Gespräche per VoWLAN meistens wesentlich günstiger sind als über eine vergleichbare GSM-Verbindung. Damit UMA einwandfrei funktioniert, ist der Einsatz von WMM erforderlich, der die QoS sicherstellt. Motorola hat zusammen mit Avaya und Proxim ein Konkurrenzverfahren zu UMA namens Seamless converged Communication across Networks (SCAN) entwickelt. UMA wird hingegen von einer ganzen Reihe namhafter Hersteller unterstützt. Während UMA die herkömmliche WLAN-Infrastruktur weiterverwendet, was APs, Router und DSL-Modems betrifft, so erfordert SCAN spezielle APs. Auch für das Handoff selbst stehen mehrere Varianten zur Verfügung.

Ein WLAN-Switch bildet das Distributionssystem der gesamten WLAN-Installation. Er soll die Funkübertragung zentral steuern und die Access Points verwalten. Außerdem überwacht er die "Luftschnittstelle" hinsichtlich Fehlern, der WLAN-Abdeckung sowie Durchsatz- und Sicherheitsaspekten. Solche Aufgaben müsste in einem klassischen WLAN jeder Access Point selbst übernehmen.

Die Alternative zum Switching ist die Bereitstellung eines WLAN-Gateways als zentrale Komponente oder Controller des WLAN-Systems. Es bildet meist den Abschluss des Distributionssystems und trennt die AP-Infrastruktur vom firmeninternen LAN. Je nach Hersteller gibt es unterschiedlich starke Abhängigkeiten der APs vom WLAN-Gateway. Während der reine Gateway-Ansatz keine speziellen Anforderungen an die APs stellt und auch den Einsatz von Fat APs zulässt, erfordern Mischansätze wiederum, einen Teil der AP-Funktionen auf dem Gateway abzubilden – ähnlich wie bei WLAN-Switches.

Der Schwerpunkt des Gateway-Ansatzes liegt auf Sicherheitsfunktionen. Ein Gateway stellt vor allem Authentifizierungs- und Tunnelmechanismen zur Verfügung. Oft enthält es bereits eine Benutzerverwaltung, die es ermöglicht, Nutzergruppen mit verschiedenen Zugriffsrechten zu definieren. Daher ist ein WLAN-Gateway durchaus mit einer Firewall oder einem VPN-Gateway vergleichbar. In vielen Fällen sind WLAN-Gateways als Server-Appliances realisiert, meistens mit einem Unix-Derivat als Betriebssystem und einer herstellerspezifischen Gateway-Software.

Nahtloser Übergang

Als weiterer Vorteil der Zentralisierung kommt zum Tragen, dass sich das WLAN nun einfacher optimieren lässt. Roaming Handoffs verwaltet der zentrale Switch, und der Einsatz von Voice-over-Wireless wird somit wesentlich praktikabler, weil sich per WLAN angebundene VoIP-Telefone innerhalb eines Gebäudes während des Betriebes bewegen können. Teilweise unterstützen Hersteller sogar ein Preemptive Roaming, das den Client bereits am nächsten Access Point anmeldet, obwohl er sich noch gar nicht in Reichweite befindet. Das ermöglicht einen nahtlosen Übergang, sobald der Client in Reichweite des nächsten Access Point kommt.

Diese Technik ist für alle Echtzeit-Anwendungen, etwa für Streaming und Voice over WLAN wichtig, damit der Benutzer möglichst wenig vom Wechsel zwischen den verschiedenen APs spürt. Zu diesem Zweck sollte die Unterbrechung der Datenübertragung beim Handoff nicht länger als 50 ms dauern. Ein Handoff von einer zur nächsten Verbindung besteht aus mehreren Schritten, zunächst einer Reauthentifizierung. Damit die bestehende Verschlüsselung erhalten bleibt, ist in den meisten Fällen das Aushandeln eines neuen Keys gemäß 802.11i erforderlich. Danach bekommt der Client eventuell auch eine neue IP-Adresse zugewiesen, und der IP-Traffic muss zum neuen AP gelangen, mit dem der Client dann verbunden ist. Schließlich muss – falls vorhanden – der QoS-Kontext (Quality of Service) gemäß 802.11e erhalten bleiben, um die Servicequalität und das erforderliche Übertragungstempo sicherzustellen. All diese Schritte sind bei jedem AP-Wechsel notwendig, ohne dass der Benutzer etwas davon bemerkt.

Klassische WLANs mit autonomen Fat APs haben mit einem zusätzlichen Problem beim Handoff zu kämpfen, denn mit zunehmender Entfernung vom AP verlangsamt sich Schritt für Schritt auch die Datenübertragung. Am Ende überträgt das WLAN nur noch 1 MBit/s, bis endlich der Handoff stattfindet, obwohl eventuell schon früher ein besser geeigneter AP in Reichweite gelangt. Beim Einsatz von Thin-AP-Systemen kann der zentrale Switch, der alle APs kennt, die sich in Reichweite des Clients befinden, den Handoff schon früher auslösen, sodass dem Client immer die größtmögliche Übertragungskapazität zur Verfügung steht.

Verteilte Last

Zentralisierte WLANs bieten darüber hinaus Funktionen wie dynamisches Load Balancing, bei dem der Switch einen Client von einem stark frequentierten Access Point an einen weniger ausgelasteten weiterreichen kann. Bisher kamen zwei verschiedene Arten des Load Balancing in Betracht. Beim Peer-to-Peer-Verfahren tauschen APs Informationen über die jeweilige Last miteinander aus. Das verursacht allerdings zusätzlichen Traffic und kann den Durchsatz reduzieren sowie die Latenzzeit erhöhen. Außerdem lässt dieser Ansatz externe Parameter wie QoS oder das "User Mobility Pattern" außer Acht.

Eine andere Möglichkeit besteht darin, dass die APs Informationen über die Auslastung per Broadcast direkt an die Clients senden, die selbst entscheiden, welchen AP sie bevorzugen. Das hat allerdings den Nachteil, dass keine systemweiten Informationen zur Verfügung stehen, da die Clients selbst nicht miteinander kommunizieren, sondern die Informationen nur von den APs erhalten und dann autonom eine Entscheidung treffen.

Theoretisch könnten Unternehmen bis hin zur Telefonie die gesamte Kommunikation drahtlos abwickeln – praktisch ist nach wie vor jeder stationäre Arbeitsplatz mit einem oder mehreren Kabelanschlüssen ausgestattet (Grafik: Bluesocket).

Beim Thin-AP-Ansatz gibt es verschiedene Techniken, die das Load Balancing optimieren sollen. Anbieter wie Airespace realisieren eine besonders wirksame Lastverteilung mit Hilfe ihrer gesplitteten MAC-Architektur, da dem zentralen Switch detaillierte Informationen über die Umgebung aus der Sicht jedes einzelnen AP zur Verfügung stehen. Der Client sendet zu diesem Zweck in regelmäßigen Abständen Testsignale aus. Der AP antwortet dem Client auf diese Signale und schickt die so erhaltenen Informationen an den WLAN-Switch. Der wertet die Informationen zusammen mit denen der anderen Clients aus. Die Auswahl des optimalen AP für jeden Client übernimmt der WLAN-Switch aufgrund der Informationen über die Anzahl der Clients und der Last des jeweiligen AP. Der Switch weist einen Client bei Bedarf an, sich bei einem anderen, besser geeigneten AP anzumelden. Dies geschieht über bestehende Mechanismen gemäß 802.11-Management-Protokoll.

Mittels Channel Detection und optimaler Verteilung der Kanäle verschiedener Access Points lassen sich außerdem der Durchsatz erhöhen und Störungen vermeiden. Da der WLAN-Switch den Anwender kennt, sehen manche Geräte zudem ein rollenbasiertes Sicherheitsmodell vor. So kann der Systemverantwortliche zum Beispiel festlegen, welcher Anwender sich an welchem Access Point anmelden darf.

WLANs mit Thin Access Point sind darüber hinaus besonders einfach erweiterbar. Einen neuen Access Point, der das bestehende WLAN erweitern soll, erkennt der WLAN-Switch automatisch, sobald er am Ethernet-Kabel angeschlossen und eingeschaltet ist. Der Switch übernimmt selbstständig dessen Einrichtung. Konfigurationsänderungen nimmt der Administrator lediglich am zentralen Switch vor, der sie automatisch an die angeschlossenen APs weiterleitet. In vielen Fällen arbeitet der Switch unabhängig von der verwendeten WLAN-Funktechnologie, die allein die Access Points vorgeben.

Bisher benötigte das IT-Personal oft physischen Zugang zu jedem einzelnen Access Point, wenn es Fehler beheben musste oder die Firmware aktualisieren wollte – auch an schwer zugänglichen Stellen wie Zwischendecken. Da das Thin-AP-Konzept das Konfigurieren und Warten automatisiert und zentralisiert, entfällt somit die Notwendigkeit des physischen Zugangs zum AP.

Selten ist nach wie vor ein direkter Zugang zum AP erforderlich, etwa beim Austausch wegen eines Defekts. Aber auch dieser Vorgang gestaltet sich wesentlich einfacher als beim klassischen Fat AP. Per Plug&Play-Funktion erkennt und konfiguriert der Switch das Ersatzgerät ohne weiteren Benutzereingriff. Außerdem stellen die meisten WLAN-Switches die zentrale Stromversorgung per Power over Ethernet bereit (PoE, siehe Kasten). Das reduziert den Administrationsaufwand zusätzlich und erleichtert das Austauschen eines defekten AP. In vielen Fällen steht überdies der direkte Zugriff auf den Thin AP per Remote-Konsole und ohne spezielle Administrations-Software bereit.

Fazit

Wireless LANs bieten Firmen im Prinzip ein enormes Einsparpotenzial, da sie keine weitverzweigte kabelgebundene LAN-Infrastruktur erfordern und der damit verbundene hohe Planungs- und Investitionsaufwand allein für das Übertragungsmedium entfällt. Noch einen Schritt weiter können Firmen gehen, die auch die Telefoninfrastruktur auf VoWLAN umstellen. Das lohnt sich natürlich nur dann richtig, wenn es an dem Standort noch keine Kabelinfrastruktur gibt. Da viele Bürogebäude sowieso damit ausgestattet sind, reduziert sich dieses Einsparpotenzial jedoch erheblich. Und noch wird kaum ein Unternehmen ein neues Gebäude ohne Verkabelung bis zu jedem Arbeitsplatz in Auftrag geben. Anders sieht es aus bei Altbauten mit strengen Auflagen des Denkmalschutzes.

Wer sich für ein WLAN entscheidet, muss sich über alle Konsequenzen im Klaren sein, die sich aus dem Aufbau und der Administration ergeben. Je nach der gewünschten Größe und der Flexibilität des zukünftigen Ausbaus muss das Unternehmen entscheiden, ob der Aufbau einer Switched-WLAN-Infrastruktur Sinn ergibt. Bei kleinen Unternehmen ist oft ein WLAN-Router oder eine Lösung aus mehreren herkömmlichen Access Points die bessere und günstigere Wahl, während große Firmen mit zahlreichen Access Points und Anwendern dank Switched-WLAN ein erhebliches Einsparpotenzial sowohl beim Aufbau als auch bei der späteren Administration erreichen können. (un)