WLAN Installation leicht gemacht Praxisleitfaden für kleinere und mittlere Unternehmen (KMU) Autor: Hans-Dieter Wahl, Teldat GmbH IP Access WLAN ITK VoIP / VoVPN IT Security UC Unified Communications
Allgemein Jedes Unternehmen hat heutzutage eine IT Infrastruktur, die je nach Unternehmensgröße und Notwendigkeit unterschiedlich ausgeprägt ist. Das fängt an mit kleineren Installationen, bei denen nur wenige Rechner vernetzt sind, um Ressourcen wie Drucker, Filesysteme oder das Internet gemeinsam zu nutzen, bis hin zu größeren Infrastrukturen, die eine größere Anzahl von Rechnern einbinden und über eigene Server und Firewalls verfügen. All diese Installationen verbinden die einzelnen Komponenten üblicherweise über eine strukturierte Ethernetverkabelung. Irgendwann kommt der Wunsch auf, das Netzwerk um ein WLAN Netz zu ergänzen, um so beispielsweise mobilen Laptop-Benutzern einen drahtlosen Zugang zum Firmennetz zu ermöglichen. Dieser kleine Praxisleitfaden gibt Ihnen Tipps, was im Einzelnen zu beachten ist und wie man mit überschaubarem Aufwand zu einem gut funktionierenden und vor allen Dingen auch zu einem sicheren drahtlosen Netzwerk kommt. Welche Technologie 802.11n oder 802.11g? Die bisherige Technik nach 802.11g erlaubt Bruttodatenraten bis 54 Mbit/s. Seit Ende 2009 ist 802.11n final verabschiedet und erlaubt Bruttodatenraten bis zu 300 Mbit/s. Der neue Standard ist zu 100% kompatibel zu Geräten, die nach dem alten 54 Mbit/s Standard arbeiten. Es ist auch problemlos ein Mischbetrieb mit Clients möglich, die nach altem und neuem Standard arbeiten. Clients, die schon den neuen 802.11n Standard unterstützten, erhalten einfach eine höhere Bandbreite. Die Frage, ob man eine Neuinstallation eines WLAN Netzes mit 54 Mbit/s Access Points oder mit Access Points, die bereits 802.11n unterstützt ausstattet, kann man klar für die Verwendung von Geräten der neuen Generation, die mit 802.11n arbeiten, beantworten. Wer hier das Risiko minimieren möchte, dass das neue Netz kompatibel mit möglichst allen vorhandenen Clients ist, sollte darauf achten, das die neuen 802.11n Access Points von der WiFi Alliance zertifiziert sind. Die WiFi Alliance ist ein Zusammenschluss namhafter Hersteller von WiFi Chipsätzen und WiFi Geräten. Unabhängige Testhäuser testen für die WiFi Alliance nach umfangreichen Testspezifikationen die Kompatibilität. Der Kunde, der ein durch die WiFi Alliance zertifiziertes Gerät kauft, kann sicher sein, dass dieses Gerät sich zu 100% standardkonform verhält und mit anderen 802.11n und 802.11abg Geräten kompatibel ist.
Beispiel einer IT-Anbindung von Filialen, die alle Netzwerkteilnehmer sicher, kostengünstig und ohne großen Aufwand miteinander verbindet. Die vorhandene Netzwerkinfrastruktur Der oder die Access Points werden mit der vorhandenen Netzwerkinfrastruktur über Switches verbunden. Die meisten älteren Verkabelungen und Switches sind für 100 Mbit/s ausgelegt. Nun fragt man sich, ob beim Einbau von 802.11n Access Points die immerhin bis 300 Mbit/s leisten sollen, nicht auch die Netzwerkinfrastruktur auf Gigabit Technik umgerüstet werden muss. Die Antwort ist schlichtweg: Nein Um nachvollziehen zu können, dass eine Anbindung der Access Point mit 100 Mbit/s ausreicht, muss man einen kleinen Ausflug in die Details der 802.11n Technik machen. Die Erhöhung der Bruttodatenrate von 54 Mbit/s auf 300 Mbit/s wird stark vereinfacht dargestellt durch die in der Tabelle unten definierten technische Maßnahmen realisiert. Bandbreitenerhöhung Benutzte Verfahren 54 Mbit/s 75 Mbit/s Verbesserte OFDM Modulation Block Acknowledgement Effizientere Medien Zugriffssteuerung 75 Mbit/s 150 Mbit/s Mimo Verfahren mit zwei Daten-Streams 150 Mbit/s 300 Mbit/s Kanalbündelung, also die Erhöhung von 20 MHz Bandbreite auf 40 MHz Die Verwendung von 40 MHz Bandbreite ist im 2,4 GHz Bereich nicht sinnvoll anwendbar, da bereits ein Access Point beinahe alle zur Verfügung stehenden Kanäle belegen würde. Daher ist ein Betrieb mit 40 MHz Bandbreite im 2,4 GHz Band nicht sinnvoll, wir können daher von einer Bruttodatenrate von kleiner 150 Mbit/s ausgehen. Nun haben wir die ganze Zeit über lediglich über die Bruttorate geredet. Im Vergleich erreichen die bekannten 54 Mbit/s Systeme Nettoraten von maximal 22-25 Mbit/s und das auch nur in unmittelbarer Nähe des Access Points. Sobald die Entfernung steigt und damit die Feldstärke sinkt, fahren die Geräte deutlich die Datenrate herunter. Abhängig von vielen Parametern ergibt sich für die heute am Markt befindlichen 802.11n Geräte folgende Nettorate, wenn sich der Client in unmittelbarer Nähe des Access Points befindet:
300 Mbit/s Bruttorate (40 MHz, 2 Streams) 144 Mbit/s Bruttorate (20 MHz, 2 Streams) 70-130 Mbit/s Nettorate 30-70 Mbit/s Nettorate Unter realen Bedingungen werden diese Maximalraten selten erreicht, in den meisten Einsatzszenarien werden gerade mal 30-50 Mbit/s Nettorate erreicht. Das ist aber dennoch 2-3 mal mehr Durchsatz, als die bisherigen 54 Mbit/s Systeme erreichen. Wir erkennen also, dass eine vorhandene 100 Mbit/s Netzwerkstruktur zumeist ausreicht, um sinnvoll mit 802.11n Geräten zu arbeiten. Vorhandene Uralt 10 Mbit/s Technik sollte jedoch gegen den aktuellen Stand der Technik ausgetauscht werden. 5 GHZ oder 2,4 GHz? Dadurch, dass die meisten höherwertigen Access Points sowohl im 5 GHz als auch im 2,4 GHz Bereich arbeiten können, ergibt sich die Frage welches Frequenzband für Office Umgebungen genutzt werden sollte. Daher gilt es die Vor- und Nachteile abzuwägen. Zulässige Sendeleistung innerhalb von Gebäuden Reichweite bei max. zulässiger Sendeleistung Unterstützen alle Clients den Frequenzbereich Anzahl der 20 MHz Kanäle Anzahl der 40 MHz Kanäle Störungsfreiheit 5 GHz 2,4 GHz 200 mw 100 mw -- Besser als 5 GHz Nur neuere Clients unterstützen 5 GHz. Im Einzelfall prüfen 19 überlappungsfreie Kanäle 9 überlappungsfreie Kanäle Besser als 2,4 GHz Sowohl neue als auch ältere Clients unterstützen 2,4 GHz 3 überlappungsfreie Kanäle 1 überlappungsfreier Kanäle Aufgrund der besseren Reichweite und weil meist noch ältere PCs vorhanden sind, die nur 2,4 GHz unterstützen, wird man sich fast immer für eine Installation im 2,4 GHz Band entscheiden. Eine Alternative wäre noch die Verwendung von Access Point mit zwei Radiomodulen, hierbei kann ein Radiomodul im 2,4 GHz Band arbeiten und das zweite im 5 GHz Band. Die Verwendung derartiger Access Points erhöht jedoch die Kosten nicht unerheblich, außerdem muss für eine lückenlose Funkabdeckung im 5 GHz Bereich das Netz der Access Points dichter sein, es wird also eine höhere Anzahl von Access Points benötigt. Wie sichere ich das drahtlose Netzwerk ab? Ganz wichtig für ein Firmennetz ist die Sicherheit des Funknetzes. Dass man keine offenen ungesicherten Netze betreiben sollte, ist jedem klar. Auch dass der alte WEP Standard als unsicher einzustufen ist, ist inzwischen allgemein bekannt. Stand der Technik und als sicher gelten WPA-PSK bzw. WPA2- PSK. WPA2-PSK wird von jedem PC mit Windows XP und Service Pack 3 unterstützt und sollte daher bevorzugt eingesetzt werden. WPA2-PSK gilt zwar als sicher, jedoch kann der Schlüssel leicht WLAN Installation leicht gemacht
in fremde Hände gelangen, z.b. durch Gerätediebstahl, Mitarbeiterwechsel, usw. Daher sollte der Schlüssel regelmäßig gewechselt werden. Bei einer Handvoll PCs ist dies noch praktikabel, bei größeren Installationen ist jedoch der Zeitaufwand nicht zu unterschätzen. Bei größeren Installationen ist die Benutzer-Administration über einen RADIUS Server realisiert. Hier bietet sich dann an, auch die Administration der drahtlosen Benutzer über den RADIUS Server durch die Verwendung von 802.1x zu realisieren. Dies erspart die lästige Pflege der WPA2-PSK Schlüssel auf den Client PCs. Weitere Maßnahmen wie z.b. das Verbergen der SSID oder die Pflege von Zugangsfiltern auf Basis der MAC Adresse der Clients sind prinzipiell möglich, bieten aber keinen echten Schutz, da diese Maßnahmen leicht zu umgehen sind. Wie viele Access Point benötige ich für mein Gebäude? Um diese Frage auch nur ansatzweise beantworten zu können, müssen einige Details der Anwendung und der Umgebung geklärt werden. Soll eine lückenlose, roaming-fähige Funknetzabdeckung erreicht werden oder sollen nur einzelne Räume abgedeckt werden? 2,4 GHz oder 5 GHz Funktechnik? Raumaufteilung und aus welchem Material bestehen die Wände? Welche Netzwerkqualität bzw. welcher minimale Nettodurchsatz soll erreicht werden? Wie aus den Fragestellungen zu erkennen ist, kann man die Anzahl der benötigen Access Point nicht durch ein einfaches Berechnungsschema festlegen. Je nach Umgebung und Anforderungsprofil wird der Abstand der Geräte zwischen 10 m und 80 m liegen. Wichtig bei der Planung der Aufstellorte der Access Points ist auch, dass die Funkzellen sich ausreichend überlappen, da es für einige Anwendungen, z.b. Wireless Barcode Scanner, notwendig ist, dass Wireless Infrastruktur ein nahtloses Roaming erlaubt. Material Stahlbeton Gemauerte Wand Glasfenster Dünne Wand Tür Dämpfung ~ 12 db bis 20 db ~ 10 db bis 15 db ~ 1 db bis 5 db ~3 db bis 8 db ~ 3 db bis 8 db Für eine professionelle Planung ist eine sogenannte Funkvermessung vor Ort notwendig, diese ist sehr zeitaufwendig und nur durch geschultes Personal durchführbar - ein Kostenaufwand, der sich für kleinere Installationen meist nicht rechnet. Netzwerkqualität Notwendige Signalstärke Datenrate 802.11bg Datenrate 802.11n (20MHz) Basisverbindung > -85 dbm ~ 6 MBit/s ~ 10 Mbit/s Internet/E-Mail > -75 dbm ~ 24 MBit/s ~ 90 Mbit/s Hochgeschwindigkeitsverbindung > -65 dbm ~ 54 MBit/s ~ 130 Mbit/s
Statt einer Funkvermessung kann man auch einen erfahrenden IT-Spezialisten zu Rate ziehen, der meist schon bei der ersten in Augenscheinnahme der Räumlichkeiten eine erste Abschätzung zu den Aufstellpunkten der Access Points geben kann. Oder man leitet aus unseren Beispielen den eigenen Bedarf an Access Points ab. Die verschiedenen Farben um die Access Point herum zeigen den Empfangspegel an. Der Empfangspegel stellt gleichzeitig ein ungefähres Maß für den an diesem Punkt der Skizze verfügbaren Bruttodurchsatz dar. Beispiel 1: Kleines Büro mit 802.11n AP (20 MHz) Beispiel 2: Mittlere Bürofläche mit 802.11n AP (20 MHz)
Die obigen Beispiele sind mit dem Tool Ekahau HeatMapper entstanden. Dieses kostenlose Tool wird auf einem Laptop installiert und erstellt derartige Funkausleuchtungsanaylsen, sogenannte Site Surveys. http://www.ekahau.com/products/heatmapper/overview.html Die richtige Antenne? Im Normalfall werden für die Installationen in Innenräumen keine zusätzlichen Antennen benötigt, die kurzen Stummelantennen die sich im Lieferumfang des Access Point befinden sind ausreichend. Wenn jedoch der Access Point z.b. in einer Zwischendecke versteckt montiert werden soll, ist eine abgesetzte rundstrahlende Deckenantenne zweckmäßig und verbessert die Ausleuchtung. Bei Access Points, die nach 802.11n arbeiten und mit zwei Streams senden, muss mindestens für jeden Sender (TX/ RX Antennenanschluss) eine Antenne vorhanden sein. Bei den Teldat 802.11n Access Points sind dies die Anschlüsse ANT1 und ANT2. Installation und Konfiguration Einige Grundregeln zur Konfiguration: Alle Access Points des WLAN Netzes sollen die gleichen SSIDs konfiguriert haben. Nur so ist ein Roaming (Wechseln) zwischen den Access Points für den Clients möglich. Die Security Einstellungen, inklusive der verwendeten Preshared Key müssen auf allen Access Points identisch sein. Falls MAC Adressenfilter eingesetzt werden, müssen für alle Access Points die gleichen MAC Adressen eingepflegt werden. Die Access Points dürfen nicht alle den gleichen Funkkanal verwenden, da es ansonsten zu deutlichen Durchsatzeinbußen kommt. Die einzustellenden Kanäle müssen sorgfältig geplant werden, dazu aber später mehr Details. Die Access Points sollten sich alle in einem Subnetz befinden. Die IP Adresse Wireless Client sollten zweckmäßigerweise über DHCP vergeben werden. Kanalauswahl Bei der Kanalauswahl dürfen nur sogenannte überlappungsfreie Kanäle verwendet werden. Das 2,4 GHz Netz hat in Europa 13 Kanäle, aber jeder Kanal hat nur 5 MHz Bandbreite. Ein Access Point, der mit 802.11g oder 802.11n (20 MHz) arbeitet, belegt aber eine Bandbreite von 20 MHz, also von 4 Kanälen. Teldat Mimo Decken-Antenne mit zwei unabhängigen Antennensystemen Darstellung des 2,4 GHz Frequenzbandes mit drei Access Points, die nach 802.11n (20MHz) arbeiten
Damit es zu keinen Beeinträchtigungen kommt, sollten immer nur bestimmte Kanäle vergeben werden, die sich gegenseitig nicht stören. Sinnvolle Kanalkombinationen sind z.b. 1, 6, 11 oder 2, 7, 12. Es sollten sich also immer nur maximal drei Access Points im gleichen räumlichen (Funk-)Bereich befinden und diese sollten mit unterschiedlichen überlappungsfreien Kanälen betrieben werden. Sollten sich in der Nachbarschaft Access Points befinden und diese in den Funkbereich der eigenen Geräte hineinragen, so sollte dies bei der Kanalauswahl berücksichtigt werden. Beispiel einer möglichen Kanalzuordnung Anmerkung: Ab Release 7.9.5 unterstützen die Teldat Access Points den sogenannten Channel Plan. Das Merkmal Channel Plan legt fest, welche Kanäle für die automatische Kanalwahl verwendet werden, damit kann dann auch bei automatischer Kanalwahl der Betrieb mit überlappungsfreien Kanälen sichergestellt werden. Überprüfung der Ausleuchtung Nach Abschluss der Installation sollte das Netzwerk mit Hilfe der Zielanwendung, z.b. Laptop mit drahtlosem Internetzugang, überprüft werden und ein Rundgang durch alle Räume gemacht werden. Ergänzend bietet sich die Dokumentation der Funkausleuchtung mittels des Ekahau HeatMapper an. Teldat GmbH bintec Südwestpark elmeg GmbH 94 Südwestpark 90449 Nürnberg, 94 Germany 90449 Nürnberg, Germany Tel. +49 (0) 911 / 9673-0 Telefon: Fax +49 (0) - 911 911-96 / 673-0 88 07 25 Telefax: +49-911 - 6 88 07 25 E-Mail: info@teldat.de E-Mail: info@bintec-elmeg.com Internet: www.teldat.de www.bintec-elmeg.com WLAN Installation leicht gemacht Technische Änderungen vorbehalten FA v5.1 07 / 2010