Netzwerken ohne Kabelsalat
Artikel erschienen in Swiss IT Magazine 2009/08
Ob Desktop-Computer, Notebook oder Smartphones: Fast alle neuen Geräte verfügen heute standardmässig über einen WLAN-Chip und können also kabellos via Funk in Netzwerke eingebunden werden. Eine mühsame und kostspielige Verkabelung in Unternehmen ist also überflüssig. Ausserdem sind WLANs heute schnell, Übertragungsraten von 100 Mbit/s und mehr sind heute problemlos möglich. All das führt dazu, dass Unternehmen heute bestehende LANs vermehrt durch WLANs ersetzen. Wie eine kürzlich von Motorola durchgeführte Studie zeigt, wollen bis nächstes Jahr mehr als zwei Drittel aller Firmen komplett auf ein WLAN umsteigen. Die Ethernet-Kabel werden also mehr und mehr in den Hintergrund, also in die Rechenzentren und Serverräume verschwinden. Es gibt aber ein paar Haken: Die Technik muss gemäss den Umfrageteilnehmern und Motorola unbedingt sicher, performant und zuverlässig sein. Das ist aber heute durchaus möglich und der Fall.
Ein Beispiel aus der Praxis gefällig? Im traditionsreichen deutschen Handels-Konzern Henkel, mit den bekannten Marken Persil, Schwarzkopf oder Loctite, steht seit kurzem die zweite Generation eines Drahtlosnetzwerks. Mit darin eingebunden ist natürlich auch die Schweizer Tochter Henkel Schweiz in Pratteln mit ihren rund 170 Angestellten. Insgesamt beschäftigt Henkel in über 125 Ländern weltweit über 55’000 Mitarbeitende und macht einen jährlichen Umsatz von 14,131 Milliarden Euro (2008).
Bis Mitte 2005 hatte Henkel nur an einzelnen Standorten und für spezielle Aufgaben WLANs eingerichtet. Das wollte man aber ändern und das Drahtlosnetzwerk massiv ausbauen, nämlich auf alle Niederlassungen weltweit. Also machte man sich auf die Suche nach einer Lösung, die sicher und modern ist. Schnell war Henkel klar, dass man dieses riesige WLAN nicht mehr mit herkömmlichen Access Points lösen kann. Die Aufwände für die Administration, die Sicherheit und damit die Kosten wären gemäss den Erfahrungswerten aus den bestehenden WLANs schlicht zu gross geworden. Es musste also eine komplett neue Infrastruktur aufgebaut werden.
Aufgrund der Grösse des Netzwerks und der Bedeutung der Umstellung für den laufenden Betrieb startete Henkel ein systematisches Auswahlverfahren, mit dem der beste Anbieter für die benötigte Lösung gefunden werden sollte. Henkel arbeitete ganz klassisch gemäss Pflichtenheft eine Liste mit mehr als 150 Anforderungen aus, anhand derer die Anbieter evaluiert und getestet wurden. Gewünscht wurde eine zentral gesteuerte Sicherheitsarchitektur mit WPA2 und 802.1x-Authentifizierung mit Microsoft-ISA-Servern. Ausserdem wollte man eine Architektur mit weltweit verteilten lokalen Mastercontrollern, die ebenfalls zentral verwaltet werden, aber die lokale Infrastruktur auch autonom steuern können. Weiter stellte man die Einhaltung nationaler Bestimmungen zu Frequenzen, Kanälen und Sendeleistung voraus und die Unterstützung bestehender 802.11b/g-Handscanner in Warenlagern und vorhandener und zukünftiger Notebooks, einschliesslich des 802.11n-Standards. Und schlussendlich sollte die neue WLAN-Lösung auch geringere Gesamtbetriebskosten generieren.
Rund 20 Unternehmen kamen grundsätzlich für die Realisation der WLAN-Lösung bei Henkel in Frage und wurden der genauen Evaluation unterzogen. Keiner erfüllte alle Anforderungen. Mit dabei waren alle bekannten, grossen Netzwerkhersteller, die als Favoriten galten, sowie einige WLAN-Spezialisten. Das Ergebnis fiel schliesslich klarer und unerwarteter aus als angenommen. «Wir hatten eigentlich ein Kopf-an-Kopf-Rennen zwischen den verschiedenen Herstellern erwartet», berichtet Detlef Feistl, Systemingenieur und IT-Experte bei Henkel. Umso überraschter sei man gewesen, als die reine WLAN-Schmiede Aruba ganz klar als Siegerin hervorging. Arubas WLAN-Lösung konnte gemäss Feistl 87 Prozent der gestellten Anforderungen meistern und vor allem punkto Verwaltung und Sicherheit überzeugen können. Dort habe man als einziges Unternehmen alle Punkte erfüllt und mit aufeinander abgestimmten Lösungen für Firewall, LDAP oder Intrusion Detection/Prevention beeindruckt.
Nachdem mit Aruba der passende Partner und Hersteller gefunden wurde, ging es an den Aufbau des umfassenden Netzwerks, der einige Zeit in Anspruch nahm. Insgesamt 1100 Thin Access Points (Thin APs) und mehr als 90 Mobility Controller mussten in ganz Europa sowie in Australien, China, Russland und den USA installiert und in Betrieb genommen werden. Ungefähr ein Drittel dieser derzeit von Henkel genutzten Access Points ist in der Verwaltung und in den Warenlagern in Düsseldorf im Einsatz, der Rest über die ganze Welt verteilt. Alles musste schnell gehen. Denn ins WLAN klinken sich heute alle Notebooks von Mitarbeitenden oder Schulungsteilnehmern genau so ein wie einige hundert Handscanner aus dem Warenlager, die in Echtzeit Logistikdaten an das SAP-System schicken.
Die neue WLAN-Infrastruktur von Henkel besteht aus sogenannten Thin APs und einem Wireless Switch, im Fall von Aruba einem Mobility Controller. Dieser ist verantwortlich für die Konfiguration und Steuerung der Thin APs, die nur noch als Vermittler zum Client agieren. Die komplette WPA2-Verschlüsselung und 802.1x-Authentifizierung findet direkt zwischen den Clients und den Controllern statt. Für jede Domänen-Installation (DNS) wird ein Mobility Controller als lokaler Master und redundante lokale Controller für Business Continuity eingesetzt. Verwaltet wird das gesamte Netzwerk zentral vom Hauptsitz Düsseldorf aus, und zwar mit der Airwave Management Platform.
Die neue WLAN-Architektur ist laut Detlef Feistl vor allem bei der Inbetriebnahme neuer Access Points und bei Software-Upgrades effizient. «Die Umstellung auf WPA2 in den europäischen WLANs von Henkel war innerhalb von zwei Stunden abgeschlossen. Bei einer klassischen Access-Point-Infrastruktur hätte dieses Projekt mindestens zwei Wochen in Anspruch genommen», gibt Feistl ein Beispiel.
Das Wireless LAN von Henkel besteht aber noch aus einem weiteren, ganz zentralen Feature: Die Netzwerkkonfiguration und die Frequenzverwaltung der eingesetzten Geräte erfolgen automatisch. Das ist nötig, weil die Lösung wie erwähnt in ganz unterschiedlichen Ländern zum Einsatz kommt und dort verschiedene Gesetze herrschen. Wie bei den Funkfrequenzen, die man benutzen darf, beispielsweise.
Das WLAN von Henkel steht nun seit einigen Monaten. Allerdings ist das Projekt damit nur teilweise abgeschlossen beziehungsweise das Netz wird laufend erweitert werden. Henkel prüft derzeit beispielsweise die Remote-Access-Point-Lösung von Aruba, mit der das Unternehmens-WLAN auch bei den Mitarbeitern zu Hause, also im Home Office, bereitgestellt werden kann.
Weiter ist bei Henkel die Aruba-Mobility-Management-Lösung im Gespräch, die neben verfeinerten Managementfunktionen eine detaillierte und umfangreiche Analyse des Funkverkehrs inklusive Traffic-Optimierung ermöglichen soll. Ausserdem plant man demnächst ein Voice-over-Wi-Fi-Angebot aufzubauen, zumindest hat man von Aruba das WLAN so bauen lassen, damit ein Layer-3-Roaming später ganz sicher möglich ist.
(mv)