Von 54 Megabit keine Spur, aber dennoch fünfmal schneller als 802.11b - so lautet das Throughput-Fazit unseres Vergleichstests der drei ersten verfügbaren Wireless-LAN-Lösungen auf Basis der neuen Norm 802.11a. So wenig, wie übers Kabel eines 100-Megabit-Fast-Ethernet-LANs tatsächlich 100 Megabit Nutzdaten pro Sekunde gehen, vermag ein kabelloses Netzwerk die angegebene Maximaldurchsatzrate zu erreichen. Laut Adrian Kummer, Systems Engineer für WLAN-Lösungen bei Cisco, ist mit rund 27 Megabit zu rechnen, was der Hälfte des theoretisch erreichbaren Werts entspricht.
Damit trifft Kummer ins Schwarze: Rechnet man den Overhead durch Handshaking und Prüfsummen zu den Nutzdaten hinzu, kommt der InfoWeek-Test bei der Cisco-Lösung annähernd auf diesen Wert. Das Testverfahren: Wir haben keine praxisfremden Benchmark-Utilities eingesetzt, sondern schlicht mehrere 150 Megabyte grosse Files von einem Windows-2000-Server via 100-Megabit-Switch und 54-Megabit-WLAN-Access-Point auf ein Notebook mit WLAN-Adapter kopiert, jedesmal die Zeit gestoppt und zum Schluss den Durchschnittswert errechnet. Bei der Umrechnung nahmen wir an, dass pro Byte an Nutzdaten insgesamt 11 Bit über die Funkstrecke gehen.
Neben der WLAN-Aktivität war das Netzwerk nur schwach belegt; die Ergebnisse widerspiegeln also den in der Praxis maximal möglichen Durchsatz. Je nach Lösung erreichte unser Testaufbau eine drei- bis fünfmal höhere Geschwindigkeit als das ältere 11-Megabit-WLAN, das wir zum Vergleich heranzogen.
Die Höchstwerte erreicht man mit ausgeschalteter WEP-Verschlüsselung. Wird die Encryption aktiviert, was eigentlich in jeder produktiven Installation geschehen sollte, verringert sich der Speed merklich, aber nicht dramatisch.
Analoges gilt für unterschiedliche Entfernungen zwischen Access Point und Funkadapter. Beim File-Copy-Test war der Access Point etwa acht Meter vom Notebook entfernt, das in einem anderen, durch eine Zwischenwand getrennten Raum stand. Punktuell haben wir auch andere Setups getestet. So erhöhte sich die Übertragungszeit beim Cisco-System mit einer Entfernung von 15 Metern von 65 auf 75 Sekunden; das Produkt von D-Link schaffte es in 85 statt 91 Sekunden, wenn Access Point und Notebook direkt nebeneinander plaziert wurden.
Bei einem ersten Throughput-Test zeigte sich übrigens, dass nicht alle Notebooks den Anforderungen eines Highspeed-Netzwerks genügen: Ein Gerät mit 266-MHz-Celeron und offenbar nicht allzu schneller Harddisk zeigte im Wired-LAN keine höhere Kopiergeschwindigkeit als mit dem 54-MBit-WLAN. Erst ein zweiter Test mit einem schnelleren Gerät brachte die wahren Verhältnisse an den Tag.
Neben dem Datendurchsatz und der Sicherheit spielt die Reichweite der kabellosen Netzwerkverbindung beim Kaufentscheid die dritte Hauptrolle. Hier beweisen die Hersteller immer wieder eine blühende Fantasie: Es ist von Entfernungen "bis 550 Meter" (Proxim) oder "bis 100 Meter indoors" (D-Link) die Rede. Dazu sind drei Dinge zu bemerken: Erstens gelten diese beeindruckenden Werte für die maximale Sendeleistung, zweitens reduziert sich der Durchsatz mit zunehmender Entfernung, und drittens lassen sich übergrosse Reichweiten im Bereich mehrerer hundert Meter allenfalls mit zusätzlichen Richtantennen in einer Punkt-zu-Punkt-Sichtverbindung zwischen zwei Access Points erreichen. Dies gibt auch die Proxim-Dokumentation bei näherem Augenschein zu: Die 550 Meter gelten offenbar nur für 11-Megabit-Verbindungen im Freien; das Datenblatt des 54-Megabit-Moduls stellt im "semi-open office" bei voller Bandbreite die durchaus realistische Maximaldistanz von 15 Metern in Aussicht; auch im "open environment" sollen es ganze 40 Meter sein, was unsere Erfahrungen bestätigt.
Ein Grund für die in der Praxis eher dürftige Reichweite: Auch wenn die Sendeleistung bei den derzeit verfügbaren 802.11a-Funkmodulen, die im 5-Gigahertz-Band arbeiten, bis zu 40 Milliwatt beträgt, gilt dies nicht für die Schweiz: So die Gerätschaften nicht über die Funktionen TPC und DFS verfügen, dürfen sie mit höchstens 30 Milliwatt senden, was die Reichweite des WLAN naturgemäss drastisch einschränkt.
Dies zeigt auch unser Test: Der Cisco-Access-Point, von Anfang an auf die erlaubten 20 mW konfiguriert (die nächste mögliche Stufe wäre 40 mW), erbrachte clientseitig bereits im Acht-Meter-Abstand des Haupttests nur noch eine mittlere Signalstärke von 55 Prozent, die sich bei 15 Metern auf allerdings nach wie vor 54-Megabit-fähige 20 Prozent reduzierte.
Beim Verlassen der Räumlichkeiten musste das Funksignal eine weitere Wand durchdringen; die Verbindung brach hier nach rund 20 Metern zusammen. Im Gegensatz dazu stand der Funklink beim ersten Test des D-Link-Systems, der unerlaubterweise mit 40 Milliwatt Sendeleistung erfolgte, auch ausserhalb des Gebäudes bis zu einer Distanz von fast 60 Meter.
Ähnlich der Sendeleistung wurde in den Schweizer Richtlinien übrigens auch der Frequenzbereich kastriert: Während der Standard 802.11a im 5-Gigahertz-Bereich von 5,15 bis 5,825 GHz drei verschiedene Bänder mit Sendeleistungen zwischen 50 und 250 mW vorsieht, hat das Bakom bisher ausschliesslich das unterste Band mit den vier Kanälen 36, 40, 44 und 48 freigegeben, "die Möglichkeit der Nutzung in den Frequenzbändern 5,25 bis 5,35 und 5,47 bis 5,725 GHz wird derzeit geprüft".
Sogenannte Wardriving-Tests haben vor einigen Monaten für Aufruhr in der Networking-Szene gesorgt. Findige Hacker, die mit einem funkadapterbestückten Notebook unterwegs waren, konnten vom Parkplatz vor dem Gebäude aus in viele Firmen-WLANs völlig ungehindert eindringen. Es stimmt, dass der am einfachsten einsetzbare WLAN-Verschlüsselungsmechanismus Mängel zeigt - so wird in der simpelsten Konfiguration zum Beispiel bloss ein statischer Schlüssel benutzt, der sich durch die Analyse der abgehörten Daten über eine gewisse Zeit hinweg erraten lässt.
Dennoch scheinen uns übertriebene Sicherheitsbedenken unangebracht: Die meisten Wardriving-Erfolge kamen bei Netzwerken zustande, in denen WEP nicht einmal aktiviert war. Ein Mindestmass an Security-Anstrengungen darf man aber von jedem WLAN-Betreiber erwarten, sonst ist er selber schuld, wenn sensitive Informationen publik werden.
Neben der im WiFi-Standard vorgesehenen WEP-Verschlüsselung, die bei den getesteten Produkten mit Schlüssellängen von 40 bis 152 Bit implementiert sind, sehen sämtliche Lösungen zusätzliche Sicherheits-Features vor. Dazu gehört insbesondere ein serverbasierter Authentifizierungsprozess gemäss 802.1x und EAP. Hier läuft, im Gegensatz zum reinen WEP, das überhaupt keine stringenten Anmelderichtlinien kennt, die gegenseitige Anerkennung zwischen Access Point und Funkadapter über einen Authentifikationsserver, üblicherweise einen RADIUS-Server. Noch mehr Sicherheit gibt es mit Methoden wie TLS (auf Zertifikatsbasis) oder TTLS (mit User-ID und Passwort). Ebenfalls wichtig, im WiFi-Standard zwar nicht näher spezifiziert, aber durch die meisten aktuellen WLAN-Produkte unterstützt, ist die Distribution neuer, dynamisch generierter WEP-Schlüssel in regelmässigen Intervallen. Damit wird das drahtlose LAN auch gegen länger andauernde Abhörversuche hinreichend sicher.
Das Hauptproblem von 802.11a-basierten WLANs: Sie arbeiten in einem anderen Frequenzbereich als die bisherigen 802.11b-Geräte und sind so mit bestehenden Installationen völlig inkompatibel. Sämtliche getesteten Lösungen setzen deshalb auf das Dual-Band-Prinzip und bieten, entweder fix installiert oder modular nachrüstbar, sowohl einen 2,4-Gigahertz- als auch einen 5-Gigahertz-Sender. So auch das Cisco-System Aironet 1200. Hier ist der 802.11b-konforme Funkteil in den Access Point integriert; der 5-Gigahertz-Sender wird samt Antenne als Zusatzmodul angesteckt. Je nach Position strahlt die Antenne als Rund- (im aufgeklappten Zustand bei liegendem Access Point) oder Richtantenne (bei senkrechter Montage an den AP herangeklappt). Das Gehäuse ist kompakt und elegant, besteht aus Aluminium und eignet sich laut Cisco für widrige Umgebungen wie Lagerhäuser und Fabrikationshallen ebenso wie für repräsentative Bereiche wie den Empfang.
Die Einrichtung des Access Point ist rasch erledigt - jedenfalls dann, wenn er frisch aus der Fabrik kommt. Unser Testgerät war dagegen bereits vorher im Einsatz und konnte nur über die serielle Schnittstelle per Terminalapplikation auf die gewünschte IP-Adresse umprogrammiert werden. Die weiteren Einstellungen konnten dann über ein Web-Interface erfolgen, das beim Cisco-Produkt für den Einsteiger etwas unübersichtlich wirkt, dem Netzwerkexperten aber Zugriff auf die gesamten, äusserst vielfältigen Konfigurations- und Sicherheitsoptionen gibt.
Auf der Client-Seite bietet Cisco zwei verschiedene PC-Cards für 11- und 54-Megabit-Netzwerke an. Für die Administration stellt Cisco ein Client-Utility bereit, das neben dem raschen Wechsel zwischen verschiedenen Profilen (zum Beispiel fürs Firmennetzwerk und für den Access am Public Hotspot) auch ein Site-Survey-Tool zur Abklärung der idealen Verteilung mehrerer Access Points sowie eine grafische, laufend nachgeführte Anzeige der Signalstärke bietet. Alternativ lassen sich unter Windows XP die wichtigsten Einstellungen auch mit den im Betriebssystem integrierten Dialogen verwalten - dann fallen Features wie Profile oder Site Survey allerdings weg.
Nach den aufgemotzten 801.11b-Produkten der AirPlus-Serie, die laut Hersteller bis 22 MBit Speed erlauben, bringt D-Link nun auch ein 54-Megabit-Equipment. Der DWL-6000AP ist als einziger getesteter Access Point von Haus aus mit zwei Sendern ausgerüstet und fungiert damit auch gleich als Bridge zwischen zwei Funknetzwerken; gleichzeitig ist er das preisgünstigste der drei Geräte.
Diese Vorteile erkauft man sich allerdings mit einer gewissen Qualitätseinbusse: Der Durchsatz lag mit knapp über 18 Megabit pro Sekunde deutlich unter dem der Produkte von Cisco und Proxim. Abgebrochene Verbindungen - der Windows-Kopiervorgang konnte nicht abgeschlossen werden, weil der Server temporär nicht verfügbar war - kamen nur beim D-Link-Test vor. Dazu kommen kleinere Ungereimtheiten: Der mitgelieferte Multiple-AP-Manager, eine Alternative zur webbasierten Administration, fand den Access Point nicht auf dem Netz. Das Client-Utility liess sich, zumindest unter Windows XP, nicht starten - statt der herstellereigenen Oberfläche mussten wir zur Konfiguration die Windows-eigenen Dialoge verwenden.
Allen Missliebigkeiten zum Trotz: Im grossen ganzen arbeitet auch die D-Link-Lösung zufriedenstellend. Die Reichweite ist sehr gut, die Durchsatzrate immerhin mehrfach höher als bei einem 11-Megabit-WLAN. Auch die Sicherheits-Features genügen mit 802.1x-Authentication und WEP-Verschlüsselung bis 152 Bit inklusive dynamischer Schlüsselverteilung den meisten Anforderungen zumindest im KMU-Netzwerk.
Die Marke Orinoco übernahm Proxim vor kurzem von Lucent. Sie umfasst mehrere Produktelinien, die in erster Linie für Enterprise-Netzwerke und Hotspot-Installationen gedacht sind. Der von uns getestete Access Point AP2000 (bis auf zusätzliche Hotspot-Features wie integrierte Billing-Unterstützung mit dem Modell AP2500 identisch) kam zerlegt: Sowohl die 11-Megabit-Karte als auch das 5-Gigahertz-Funkmodul mit Karte und Antennen mussten zunächst am inneren Metallgehäuse montiert werden, bevor die äussere Plastikhülle angebracht werden konnte. Das Ganze ist im Vergleich zu Cisco und D-Link riesig und eignet sich aufgrund der Konstruktion ausschliesslich für die fixe Montage.
Auch die Orinoco-Lösung war einfach zu installieren: Access Point ans Ethernet anschliessen, IP-Adresse mit dem Scan Tool setzen, Einstellungen via Web-Browser vornehmen. Das Web-Interface von Proxim bietet eine ähnlich umfassende Kontrolle wie das von Cisco, kommt aber im Erscheinungsbild eleganter daher.
Leider konnten wir den Orinoco-Access-Point nur mit markenfremden Funkadaptern testen: Die deutsche Proxim-Niederlassung lieferte statt der 802.11a/b-Combo-Karte bloss die 11-Megabit-Variante. Die Performance eines vollständigen Orinoco-WLANs konnte deshalb nicht getestet werden, dafür war die Gelegenheit für einen Interoperabilitätstest günstig. Die Funkadapter von Cisco und D-Link arbeiteten problemlos mit dem Orinoco-Access-Point zusammen - interessanterweise brachte die D-Link-Karte einen etwas schnelleren Durchsatz als der Cisco-Adapter. Im Fall Cisco mussten zudem zur Konfiguration die Windows-eigenen Dialoge verwendet werden; über das Cisco-Client-Utility liess sich der Client nicht mit dem Access Point assoziieren.
