Der im Jahr 2003 durch die Universitätsleitung gewünschte und damals vom ZID begonnene Ausbau der WLAN-Infrastruktur am Campus der TU Wien wird nach wie vor durch Einsatz neuester Technologie vorangetrieben. Ende 2009 soll das Vorhaben in einer zeitgemäß flächendeckenden Versorgung der wichtigsten Bereiche abgeschlossen sein, aber naturgemäß damit nicht enden.

Ein Access Point (AP) ist die Verbindung zwischen Funkmedium und drahtgebundener Netzinfrastruktur, quasi eine Bridge. Bis Mitte dieses Jahres wurden alle APs im autonomen Modus betrieben. Jeder AP fungierte dabei als unabhängige Netzwerk-Komponente und musste eigens konfiguriert und softwaretechnisch gewartet werden. Mit steigender Zahl von APs bedeutete dies immer mehr Aufwand. Um diesen zu reduzieren, wurde Mitte 2008 auf eine zentrale Infrastruktur in Form von Wireless LAN Service Modul (WiSM) Einschüben, so genannte WLAN Controller, in den vorhandenen Backbone Cisco Cat6509 Switch Systemen umgestellt. Dabei werden die APs zentral vom Controller gesteuert, dort liegt im Wesentlichen die ganze Intelligenz. In der Literatur findet man solche Lösungen unter dem Begriff „Unified Wireless Network Solution“. Ziele dieser Strukturanpassung sind, die rapide wachsende Anzahl von WLAN-Usern und damit das Verkehrsaufkommen auf Dauer zu bewältigen, den flächendeckenden Ausbau (insbesondere in neuen Bereichen) zu garantieren und auf neue Anforderungen rasch und flexibel  reagieren zu können.

Im Zuge der Implementierung musste jeder AP konvertiert, d. h. mit einem neuen Betriebssystem versehen werden. Es erfolgte die Umstellung auf das LWAPP (Lightweight Access Point Protocol) Protokoll. Arbeitet der AP im Lightweight Modus, dann fungiert er im Prinzip als mehr oder weniger unintelligente Sende- und Empfangseinheit, die sich bei einem Controller registrieren muss. Zu diesem hält er dann über einen LWAPP-Tunnel immer den Kontakt aufrecht, wobei dieser die globalen Steuerungsaufgaben übernimmt.

Durch den aufgebauten Tunnel geht der ganze Datenverkehr encapsuliert zum Controller, wo dieser dann in den TUNET-10GE-Backbone übergeht. Dadurch wird ein höheres Maß an Sicherheit erreicht, da derzeit alle Daten zwischen dem Wireless LAN Client und dem Access Point (zumindest bei 802.1x) verschlüsselt sind. In einer der nächsten Software-Releases wird dann auch der Datenverkehr bis hin zum Controller verschlüsselt werden können. Die Infrastruktur dahinter, zwischen AP und dem Controller, gilt als sicher.

Apropos Sicherheit: Ein AP im LWAPP Mode enthält keinerlei Informationen über die TUNET-Infrastruktur. Ein Diebstahl in dieser Hinsicht lohnt sich also nicht, ohne Controller würde der AP auch gar nicht funktionieren.

Alle wesentlichen Wireless Security Protocols – wie 802.11i, Wi-Fi Protected Access (WPA), WPA2 und 802.1x sowie die gängigsten Extensible Authentication Protocol (EAP)-Arten – werden unterstützt. Die Access Points selbst ermöglichen alle Verschlüsselungsmethoden bis hin zum hardware-beschleunigten Advanced Encryption Standard (AES).

Der Begriff WLAN-Controller steht für eine Netzwerk-Komponente (in unserem Fall ein Einschubmodul in einem Backbone Switch), welches zentralisiertes Management sowie Kontrolle über alle (LWAPP) Access Points implementiert. Hauptvorteil dieser Lösung ist die Verwaltung aller WLAN-Services von einem zentralen Punkt (dem Controller bzw. der zugehörigen Management Station) aus. Das alles kann auch über eine Web-Oberfläche erfolgen. Dieses Managementsystem (WCS – Wireless Control System) bietet neben ausgedehnten Report-Funktionen auch Site Survey Planungsoptionen. Natürlich kann am lebenden WLAN-Service damit bei Bedarf auch jede Menge Live Monitoring und Trouble Shooting erfolgen. So werden alle APs dauernd bezüglich ihres Status überwacht und die Ausbreitung der Funkwolke kontrolliert und dynamisch an neue Bedingungen angepasst. Dies führt auch massenweise zum Auffinden von nicht vom ZID betriebenen APs (so genannter Rogue APs), die sich im Empfangsbereich der TUNET Wireless LAN Services befinden. An dieser Stelle sei nochmals der Hinweis angebracht, dass der Betrieb eigener APs nicht gestattet ist. Bei Bedarf kontaktieren Sie bitte den ZID.

Ein Ziel aller Aktivitäten beim Ausbau der TUNET WLAN Infrastruktur ist die Steigerung der Ausfallssicherheit. Die heute mehr als 300 betriebenen APs werden derzeit von sechs aktiven Controllern im Freihaus, Karlsplatz und Gußhaus gesteuert. Fällt ein Controller aus, so orientieren sich alle APs auf einen Backup Controller um und garantieren so weiterhin die reibungslose Funktionalität der TUNET WLAN-Services.

Ein Vorteil einer solchen Lösung ist die zentralisierte Data-Forwarding Funktion. Damit ist gemeint, dass jeglicher Verkehr über den Controller geht. Dort können an optimaler Stelle neben der Authentifizierung für die WLAN-Benutzung auch alle weiteren Entscheidungen wie konkrete Weiterleitung der Datenpakete, Ausführen von QoS Queueing Mechanismen, VLAN-Zuweisung etc. erfolgen.

Bei der Authentifizierung gibt es im Prinzip zwei unterschiedliche Szenarien. Entweder erfolgt diese über 802.1x Mechanismen (z. B. bei eduroam) oder über ein Webportal. Letztere, die so genannte Web-Authentication Methode, hat schon eine längere (und manchmal sowohl für Benutzer als auch Systembetreuer auch leidvolle) Geschichte. Erste Erfahrungen wurden mit einem so genannten Universal Subscriber Gateway von der Fa. Nomadix gesammelt. Diese Lösung stieß sehr schnell an ihre Grenzen. Daher wurde eine von der Universität Wien entwickelte Eigenlösung (die so genannten PNS – Public Networks Services – Gateways) für die TU adaptiert. Mitte 2008 war ob der enorm gestiegenen Anforderungen (mehr als 900 gleichzeitige WLAN-Benutzer in Spitzenzeiten) wieder Handlungsbedarf gegeben. Daher erfolgte nach Evaluierungen und Diskussionen der Umstieg auf die vorhin beschriebene controller-basierte Lösung. Damit konnte auch gleich die Benutzerauthentifizierung integriert erfolgen und die PNS-Gateways anderen Verwendungszwecken zugeführt werden.

In weniger als einer Dekade ist Wireless LAN von einer interessanten Idee zu einer unverzichtbaren Technologie für Millionen Benutzer geworden, die sich zudem rasant weiterentwickelt. Auch die letzte Generation von Highspeed Wireless LAN Lösungen, basierend auf dem IEEE Draft 802.11n Standard, wird an der TU Wien im Rahmen der TUNET Wireless LAN Services bereits (seit einiger Zeit) unterstützt.

Begonnen wurde die WLAN-Installation am Campus mit der damals verfügbaren Technologie 802.11b in Form von Cisco APs der Serie 1230, welche Bruttodatenraten bis zu 11MBit/sec (netto ca. 5,5 MBit/sec) im 2,4 GHz Bereich erlaubte (siehe ZIDline Nr. 12). Die im TUNET verbauten APs der nächsten Generation der Type 1240 dehnten die WLAN-Services auf das 5 GHz Band (802.11a) inkl. höherer Datenraten aus und verbesserten auch im 2,4 GHz Bereich (802.11g) den Datendurchsatz sowie die Anzahl unterstützter Clients.

Die aktuellen Cisco Access Point Modelle vom Typ 1250 unterstützen 802.11a/b/g Clients und neue Wi-Fi 802.11n Draft 2.0 zertifizierte Endgeräte. Diese APs sind modulare Geräte und verfügen über zwei Radio Module. Dabei sitzt nicht nur mehr eine Antenne am Gehäuse, sondern pro Sende/Empfangseinheit verrichten drei Antennen ihren Dienst. Diese MIMO (Multiple Input / Multiple Output) Technologie garantiert ob ihrer Diversity bestmöglichen Empfang auch unter schwierigen örtlichen Verhältnissen. Und dieser wiederum garantiert stabilere Verbindungen und höhere Datenraten beim Zugriff auf Universitätsservices – und das für mehr gleichzeitige User. Diese Access Points der neuesten Generation sind somit bestens geeignet für die Versorgung anspruchsvoller Lokationen wie große Hörsäle und Bereiche, in denen sich viele Studierende aufhalten.

Derzeit sind 319 Access Points in Produktion. Das WLAN-Service wird sowohl im 2,4 GHz Bereich (802.11 b/g/n Draft 2.0) als auch im 5 GHz Bereich (802.11a/n Draft 2.0) angeboten. Die zu beobachtende maximale Anzahl assoziierter Clients aller WLANs (SSIDs) geht gegen 1000 User.

In der folgenden Abbildung sind die im TUNET eingesetzten AP-Typen zu sehen. 802.11g ist der momentan am weitesten verbreitete Standard. 802.11a wird vor allem von neueren Endgeräten benutzt. 802.11n ist der neue defacto Industriestandard und stark im Kommen, allerdings noch ein so genannter Draft Standard in der Version 2.0. Er wird einen signifikant größeren Datendurchsatz für Applikationen als 802.11a/b/g bieten (siehe Tabelle).

Die IEEE 802.11 Task Group n (TGn) arbeitet seit September 2003 an dem Standard. Nach der Einreichung von 32 verschiedenen Proposals stellte sich bei der Entwicklung ein gewisser Deadlock ein. Im Oktober 2005 wurde auf Initiative einiger Firmen (Gründung EWC – Enhanced Wireless Consortium) ein neues Proposal eingereicht, dies wurde im Jänner 2006 von der IEEE als Basis für den 802.11n Standard akzepiert. Dadurch konnte die Industrie beginnen, entsprechende Produkte zu produzieren und auf den Markt zu schmeißen. Moderne Geräte unterstützen damit bereits den Draft 2.0 des 802.11n Standards, der in beiden Bändern (2,4 und 4 GHz) arbeitet.

Generell soll 802.11n die Performance verbessern, die Verlässlichkeit der WLAN-Verbindung erhöhen, Rückwärtskompatibilität mit 802.11a/b/g Standards garantieren, verbesserte Unanfälligkeit gegen Störgeräusche bieten sowie mehr gleichzeitige Clients durch erweitertes Frequenzspektrum und mehr verfügbare Kanäle unter- stützen.

Über die zentrale WLAN Management Station kann die Ausdehnung der Funkwolke im 2,4 und 5 GHz Bereich und damit die Versorgung des Campus mit WLAN näherungsweise dargestellt werden. Dazu wurden alle Gebäudepläne der TU Wien in das System eingepflegt. Ein Beispiel für die Ausleuchtung des ersten Stocks des Freihauses zeigt eine so genannte Heat Map auf dem Titelblatt.

Die aktuelle Versorgung entnehmen Sie bitte: www.zid.tuwien.ac.at/kom/tunet/wlan/versorgte_bereiche/

Der ZID betreibt derzeit drei unterschiedliche WLANs mit folgenden Kennungen/Eigenschaften:

• SSID „tunet“: unsicheres offenes WLAN für alle TU-Angehörigen und Gäste, Konferenzen, Authentifizierung über ein Webportal, optional mit VPN-Nutzung.
• SSID „eduroam“: gesichertes Netzwerk mit 802.1x, für Studenten und Mitarbeiter der TU sowie für Personen, deren Heimat-Organisation am eduroam teilnimmt.
• SSID „wlanipsec“: WLAN Service aussschließlich für TU-Mitarbeiter, VPN erforderlich.

Je nach SSID wird dem WLAN-Client dynamisch eine IP-Adresse aus einem Pool zugeweisen oder bei Verwendung von VPN auch fix zugeordnet.

Als Mitarbeiter der TU Wien ist man mit einem Mobil-Netzzugang (dem so genannten WLANDEMO-Account) am Puls der Zeit dabei. Es gibt keinen anonymen Zugang zum TUNET über die WLAN-Infrastruktur. Wohl gibt es für Institute die Möglichkeit, WLAN-Gast-Accounts für ihre Gäste zu bekommen. Auch für Konferenzen können Massen-Accounts mit Zeitbeschränkung vergeben werden.

Überall am Campus, wo sich die WLAN-Funkwolke ausbreitet, kann man auf das dahinter liegende Datenangebot der Universität, seine Einrichtungen etc. zugreifen. Bestimmte Accounts können auch weltweit verwendet werden, indem sie zu eduroam berechtigen (siehe dazu auch ZIDline Nr. 16). Man kann einfach mit den Mobil-Account-Daten der TU Wien die örtliche WLAN-Infrastruktur nutzen und muss sich nicht um einen Gast-Account bemühen. Dies gilt natürlich auch für alle Studenten-Accounts.

Um den WLAN-Boom (u:book) zu unterstützen und den steigenden Kapazitätsbedarf bei IP-Adressen, Bandbreite und gleichzeitiger Benutzer-Logins abzudecken, waren die beschriebenen Änderungen in der Infrastruktur erforderlich. Im Oktober erfolgte die Umstellung der Web-Authentifizierung im unsicheren WLAN „tunet“ auf eine andere Plattform. Dabei änderte sich die Webseite für die Authentifizierung (diese kommt nun direkt vom WLAN-System und nicht mehr von einem externen Webserver). Nach erfolgreichem Login landet man auf der ursprünglich angegebenen Webseite und kann das WLAN bis zu 8 Stunden nutzen. Bei Inaktivität wird man nach Ablauf eines entsprechenden Timers automatisch aus dem WLAN ausgeloggt und man muss sich neuerlich validieren. Auch in den drahtgebundenen Hörsaal-Anschlüssen kommt dieser neue Authentifizierungsmechanismus zur Anwendung. Berechtigte Benutzer haben dort mit ihrem WLANDEMO-Account Zugriff auf alle TUNET-Ressourcen.

Bei der WebAuth-Methode ist zu beachten, dass der Aufruf einer Webseite (ein so genannter http-Request auf Port 80) notwendig ist, um zum WLAN-Authentifizierungsportal zu gelangen. Achtung: Die Umleitung durch einen https-Request (Port 443) funktioniert dabei nicht. Beim erstmaligen Zugriff auf die Authentifizierungs-Webseite des WLAN-Systems ist derzeit das (vom Hersteller Cisco Systems ausgestellte) Zertifikat mit IP-Adresse 1.1.1.1 webauth.demo.tuwien.ac.at zu bestätigen.

Den Benutzern steht nun ein größerer Adressraum zur Verfügung, aus dem WLAN-Clients via DHCP eine IP-Addresse zugewiesen bekommen. Man sollte jedoch unbedingt sicherstellen, dass der Rechner so eingestellt ist, dass er im WLAN seine IP-Adresse automatisch beziehen kann.