Software-defined Networking auf unkomplizierte Art

Der Netzwerkhersteller TP-Link hat mit Omada eine Software-defined-Netzwerk­lösung auf den Markt gebracht, die für unterschiedliche Szenarien von Hospitality über Bildungswesen und Retail-Standorte bis zum Büro in KMU und Grossunternehmen empfohlen wird. Wir haben von TP-Link eine Testumgebung erhalten, bestehend aus Switch, Controller, VPN Router und Access Points. Konkret handelt es sich um den L2+ Managed Switch SX3206HPP mit vier 10-GB-PoE- und zwei SPF+-Ports, den SDN-Hardware-Controller OC400, den VPN Router ER8411 mit Load Balancing und bis zu zehn WAN-Ports sowie die Access Points BE9300 (WiFi 7, Deckenmontage) und EAP650 (Indoor/Outdoor).

Netzwerkhardware schnell aufgesetzt

Der Aufbau der Netzwerkhardware und die Verbindung mit dem Internet waren rasch und einfach zu erledigen: Switch mit dem Internet Gateway verbinden (in unserem Fall eine Fritzbox 7582, via G.Fast mit dem ISP Green.ch verbunden), danach Controller, LAN-Clients und den WiFi-7-Access-Point mit dem Switch verbinden – den zweiten Access Point haben wir ohne Ethernet-Kabel eingesetzt und über die Web-Oberfläche des Controllers als Mesh-Element konfiguriert, mehr dazu später.


Die TP-Link-Hardware kommt inklusive aller möglicherweise benötigten Montagehilfen, zum Beispiel zur Decken­montage des Access Points oder zur Rack-Montage von Switch, Controller und VPN Router. Beim Indoor/Outdoor Access Point war sogar ein Schutz­element zur Abschirmung der Ethernet-­Verbindung von äusseren Einflüssen wie Feuchtigkeit dabei. Zu den Geräten sei eines gesagt: Man bringt sie am besten in einem Server-Raum unter, für den Betrieb in einem Büro sind sie aufgrund der integrierten Lüfter etwas laut. Daran zeigt sich auch, dass der Hersteller die Omada-­Produkte primär für den Einsatz im Unternehmen und in Organisationen wie etwa Schulen konzipiert hat.

Konfiguration des SDN

Nachdem die Hardware aufgebaut und verbunden war, folgte das Aufsetzen des softwaredefinierten Netzwerks vollständig über die Web-Oberfläche des Controllers. Alternativ zum Hardware-Controller lässt sich die Controller-Software auch auf einem dedizierten PC installieren.

Als Erstes meldet man sich am Controller an, bei der Inbetriebnahme zunächst über dessen IP-Adresse. Danach erhält man Zugang zur vollständigen Web-Oberfläche, auf der sich alle weiteren Einstellungen für das Netzwerk vornehmen lassen. Bei den weiteren Schritten haben wir uns weitgehend an die Empfehlungen eines instruktiven Tutorial-Videos gehalten, das der Hersteller auf Youtube zur Verfügung stellt – ausser, dass wir zuallererst die Verbindung mit dem Internet sichergestellt haben, damit wir schnell wieder mit dem vorhandenen Computer-­Equipment arbeiten konnten. Im Video selbst wird nach dem Log-in am Controller eine Reihenfolge von sechs Schritten vorgeschlagen: Omada-Devices «adoptieren», Dashboard und Menüs erkunden, WAN-Setup, LAN- und VLAN-Setup, WiFi-Setup und Definition von Access Control Lists (ACL) für den Switch.


Der Hardware-Controller erhält seine IP-Adresse üblicherweise vom DHCP-­Server des Internet Routers und lässt sich somit mithilfe der MAC-Adresse des Controllers über die DHCP-Client-Liste des Routers ermitteln. Bei der ersten Inbetriebnahme des Controllers gibt man im automatisch gestarteten Setup Wizard einen Namen für den Controller, das Land des Standorts, die Zeitzone und das Einsatzszenario an – in unserem Fall ­Office. Danach erscheint die Liste mit den via Ethernet verbundenen Omada-­Geräten, neben dem Controller der Switch, die Access Points und der VPN-Router – diese Geräte wurden automatisch adoptiert. Auf letzteren haben wir für den weiteren Test in Ermangelung verschiedener ISPs und unterschiedlicher Standorte verzichtet. Erst danach folgt die Definition eines Administratorkontos samt zugehörigem Passwort.

Die Web-Oberfläche des Omada-Controllers

Im Dashboard des Controllers wird eine Grobübersicht des Netzwerks angezeigt, die über die Anzahl Sites, Gateways, Switches, Access Points und Clients informiert. Wichtig dabei ist die Unterscheidung zwischen einer globalen Ansicht über das gesamte Netzwerk mit allen Standorten hinweg und der Ansicht eines einzelnen Standorts, bei Omada Site beziehungsweise Organisation genannt. Die detaillierten Einstellmöglichkeiten für einen Standort erhält man nur, wenn dieser im Menü Organisation rechts oben im Dashboard ausgewählt wurde. Dann erscheinen links nebst der Auswahl für das Dashboard Icons für den Zugang zu den Seiten für Statistiken, Netzwerkkarte (Map), Devices, Clients sowie Insights, Logs, Tools und Reports. Einige Einstellungen sind jedoch nur über das Zahnrad-Icon links unten zugänglich.


Im Punkt Map zeigt der Controller eine grafisch aufbereitete Netzwerkkarte an, mit allen Omada-Geräten und zugeordneten Clients. Mit einem Klick auf einen Client in der Karte erscheinen detaillierte Angaben sowie historische Daten zum Client und verschiedene Konfigurationsoptionen, zum Beispiel für die Limitierung der Übertragungsrate bei via WLAN verbundenen Clients oder die Möglichkeit, eine fixe IP-Adresse zu vergeben sowie den Client auf einen bestimmten ­Access Point zu fixieren. Die Festlegung der Bandbreite für via Ethernet mit dem Gate­way oder Switch verbundenen Clients findet dagegen auf einer separaten Seite zur Konfiguration der LAN-Bandbreiten statt. Der Menüpunkt Clients ruft eine Liste aller im Netz vorhandenen Clients auf, inklusive Angaben zu Download Speed und dem Volumen der mit dem Client ausgetauschten Daten. Unter Tools lässt sich ein Ping-basierter Netzwerkcheck durchführen und die Option Reports präsentiert eine Übersicht über den gesamten Traffic, die Verteilung des Traffics zwischen Wired und Wireless sowie Traffic-Daten zu den Access Points, SSIDs, Frequenzbändern und Switches. Dazu kommen Angaben zu Warnmeldungen und Ereignissen wie Fehler, Warnungen und Informationen.

Konfiguration von VLANs

Eine gebräuchliche Sicherheitsmassnahme in Netzwerken ist die Segmentierung in verschiedene VLANs, die nur nach bestimmten Regeln untereinander kommunizieren dürfen. Auch dafür bietet die Omada-Lösung einfach zu verwaltende Möglichkeiten. Die Konfiguration von VLANs erfolgt über das Zahnrad-Icon – bei einem Klick darauf erscheint ein neues Menü mit zahlreichen Unterpunkten für die Einstellung von kabelgebundenen und drahtlosen Netzwerken, der Netzwerksicherheit, Übertragungsvarianten wie Routing, NAT, Bandbreitenkontrolle und QoS auf dem Gateway – falls es sich dabei um ein Omada-Gateway handelt. Des Weiteren umfasst das Menü Einstellungen für VPN, Profile und Authentifizierung sowie Services wie DNS-bezogene Dienste (DHCP Reservation, Dynamic DNS, mDNS), SNMP, automatischer Reboot von Omada-Geräten zu bestimmten Zeiten und Update-Zyklus.

VLANs werden im Punkt Wired Networks unter LAN definiert. Für jedes VLAN erfasst man die Nummer des VLAN, den DHCP-Bereich sowie allenfalls weitere DHCP-bezogene Angaben. Für unseren Test haben wir neben dem LAN (VLAN 1), indem sich die Omada-­Geräte und der Mac zur Steuerung des Controllers befinden, zwei VLANs mit den Bezeichnungen Studio (VLAN 11) und Lab (VLAN 21) aufgesetzt. Damit die Segmentierung und damit die Trennung der neu definierten VLANs vom LAN und untereinander auch wirklich funktioniert, müssen zunächst zusätzlich Port-Profile für den Switch angelegt werden. Dies ist im Menüpunkt Wired Networks/LAN möglich. Beim Anlegen eines Port-Profils ist jeweils ein Name zu vergeben, dazu das native Netzwerk (das VLAN) sowie bei Bedarf weitere Netzwerkoptionen.


Damit ist die Segmentierungsaufgabe aber noch nicht erledigt – zusätzlich müssen passende ACLs definiert werden. Denn ohne diese Zugriffskontrolllisten können die VLANs weiterhin beliebig untereinander kommunizieren. ACLs definiert man im Punkt Network Security/ACL des erweiterten Einstellungsmenüs. Sinnvoll ist bei der Definition einer Inter-­VLAN-Zugriffsregel, diese als Reverse Rule zu gestalten (dazu die Checkbox Bi-Directional aktiveren). Dann wird die Kommunikation zwischen den beiden VLANs automatisch in beiden Richtungen unterbunden. Die ACL wird dazu an die betreffenden Switch Ports gebunden – in unserem Fall an alle. Die VLANs sind dann voneinander getrennt, können aber weiterhin aufs Internet zugreifen.

WiFi-Setup für schnelles WLAN

Bezüglich des Setups der Access Points und SSIDs sind wir nicht ganz dem Tutorial Video gefolgt. Wir haben nämlich nach der Deaktivierung des WLAN des Internet Routers im Überschwang, rasch wieder WLAN zu erhalten, die Access Points als einen der ersten Schritte verbunden und verschiedene SSIDs mit unterschiedlichen Kombinationen der Frequenzbänder konfiguriert. Dass eine SSID auch einem VLAN zugeordnet werden und somit der Segmentierung von WiFi-­Clients dienen kann, haben wir erst später herausgefunden.

Aber zuerst zurück zum Aufsetzen der Access Points. Dies findet naturgemäss im Punkt Wireless Networks des Einstellungsmenüs statt. Der Begriff Wireless Network steht bei Omada jeweils für eine SSID. Für jede SSID lässt sich festlegen, welche Frequenzbänder abgedeckt werden sollen und welche Sicherheitsoptionen gelten. Für unser kleines Netzwerk haben jeweils WPA Personal gewählt und das entsprechende Passwort eingetragen. Beim Erstellen oder Modifizieren eines Wireless Networks lässt sich unter Advanced Settings festlegen, ob die SSID im Broadcast-Modus gesendet wird oder nicht und ob VLAN aktiviert werden soll. Klickt man die entsprechende Checkbox an, kann man genau eine VLAN-Nummer erfassen. In diesem Fall werden die Wireless Clients, die über diese SSID zugreifen, automatisch dem eingetragenen VLAN zugeordnet.


Den zweiten Access Point haben wir wie erwähnt nicht via Ethernet verbunden, sondern als Mesh-Element konfiguriert – beziehungsweise nicht konfiguriert, denn der Access Point erschien automatisch in der Device-Liste und musste nur noch adoptiert werden. Es dauerte zwar eine Weile, bis der EAP650 nach dem Klick auf Adoptieren tatsächlich im Netz aktiv war, aber der Vorgang selbst ging vollautomatisch über die Bühne. In der Device-­Liste erscheint der Access Point nun mit einem kleinen WiFi-Symbol neben der Angabe Connected.

Vielfältiges Angebot an SDN-fähigen Geräten

Neben den Geräten, die wir für unseren Test erhielten, sind bei TP-Link zahlreiche weitere Optionen erhältlich. Dazu gehören etwa zwei kleinere Controller. Unser OC400 kann bis zu 1000 Omada-­Access-Points steuern und unterstützt bis 200 Omada-Switches und 100 Omada-­Router. Dieser grösste Controller im Sortiment eignet sich somit bestens auch für grosse Netzwerke. Im Sortiment sind weiter die Modelle OC300 (bis zu 500 Omada-Geräte) und OC200 (maximal 100 Geräte) zu finden. Auch an Switches mangelt es der Produktpalette nicht, vom simplen Unmanaged Switch bis zu kleinen und grossen Managed Switches (L2+ und L3) mit bis zu 52 Ports. Das Gleiche gilt für die Auswahl an Access Points mit einer riesigen Anzahl von EAPs für die Nutzung in Gebäuden und im Freien. Dazu kommen Gateways und Router für verschiedene Einsatzszenarien.