Zur Webansicht Zur Webansicht
0/1 Rechenzentrum der Universität Regensburg
Home Uni  Pfeil  Rechenzentrum  Pfeil  
Deko-Banner
Zur Lese-/Druckansicht  

Wo Sie sich befinden:
Home RZ
Netzwerkinfrastruktur
WLAN
Technik

Frequently Used Links:
Hauptnavigation:

Technik

In diesem Dokument sind einige Aspekte zur Technik der Funknetze beschrieben.

Funknetztopologien

Funknetze liegen typischerweise in 3 Topologien vor: Point-to-Point, Ad-hoc und Infrastruktur

Point-to-Point/Point-to-Multipoint

Der point-to-point Modus wird zur Kopplung lokaler kabelgebundener Netze über eine Funknetzverbindung verwendet. Dazu besitzt jedes der Netze einen sog. Accesspoint, der über eine Funkstrecke mit dem Accesspoint eines anderen Netzes verbunden ist. Ist der Accesspoint eines Netzes mit den Accesspoints mehrerer Netze verbunden, spricht man von Point-to-Multipoint. Die Funkstrecke dient nur zur Kopplung der Accesspoints; ein Funkzugriff von Clients ist nicht möglich.

Diese Einsatzart von Funknetzen liegt an der Universität Regensburg bei der Anbindung einzelner Studentenwohnheime vor (Buchbergerheim, Plato-Wild-Heim, Melanchtonheim, Sailerhaus, Wohnheime in der Innenstadt, etc.).

Ad-hoc Modus

Im Ad-hoc-Modus kommunizieren die Funknetzclients direkt miteinander. Im Grunde genommen handelt es sich um einzelne Punkt-zu-Punkt-Verbindungen, von denen aber jeder Rechner mehrere unterhalten kann. Es kann dabei möglich sein, dass weit voneinander entfernte Stationen einander nicht ?sehen? können, beide sehr wohl aber eine dritte Station dazwischen. Der Ad-hoc-Modus ist gut geeignet, um wenige Rechner untereinander zu verbinden.

Der Ad-hoc Modus wird an der Universität nicht verwendet.

Infrastruktur Modus

Beim Infrastruktur Modus vermittelt eine spezielle Basisstation, ein sog. Access Point, zwischen den Clients. Da er auch i.a. eine Verbindung zum drahtgebundenen Netz hat, ermöglicht er so den Funkclients den Zugriff auf dieses Netz. Da der Accesspoint die Daten aller Clients vermitteln muß, sinkt der Durchsatz mit der Anzahl der Clients.

Der Infrastruktur Modus ist der übliche an der Universität Regensburg verwendete Modus.

WLAN Standard 802.11b

Der WLAN Standard 802.11b wurde 1999 verabschiedet. Kurz zusammengefaßt bietet er eine max. Bruttotransferdatenrate von 11 MBit/s bei 13 Kanälen im Frequenzbereich von 2.4 GHz.
Die wichtigsten technischen Daten sind:

Frequenzbereich:2.4-2.4835 GHZ (d.h. eine Breite von 83,5 MHz)
max. Bruttoübertragungsrate:  11 MBit/s
max. Nettoübertragungsrate:5 MBit/s
Zahl der Kanäle13 (in Europa)
Kanalbandbreite:25 MHz
ModulationsverfahrenDirect Sequence Spread Spectrum (DSSS)
max. Sendeleistung:100 mW
Reichweite bei 11 MBit/s:25m (geschlossene Umgebung), 50m (halboffene Umgebung), 160m (freies Feld)
Die Reichweite steigt bei Verwendung geringerer übertragungsraten bzw. bei der
Verwendung zusätzlicher Antennen.

Ein gravierender Nachteil des 802.11b Standards ist, daß sich die einzelne Kanäle (Kanalabstand 5 MHz bei einer Kanalbandbreite von 25 MHz) stark überlappen. An einem Standort können daher nur 3 sich nicht überlappende Kanäle (z.B. 1, 7, 13) verwendet werden. Durch die immer zunehmendere Verbreitung von Funknetzen nach dem 802.11b Standard ist diese Forderung nicht immer einzuhalten, da sich die Funkzellen mehrerer Accesspoints (privat, gewerblich) überlappen. Damit kommt es zu Störungen mit mitunter drastischen Reduktionen der übertragungsraten bis hin zum Totalausfall. Dabei stören aber nicht nur Accesspoints anderer Betreiber; viele andere elektronische Geräte nutzen den gleichen Frequenzraum (nicht gut abgeschirmte Mikrowellenherde, Funkbrücken zur drahtlosen übertragung von Fernsehsignalen in Privatwohnungen etc.).

Alle Accesspoints vom Typ Lucent AP500 an der Universität Regensburg benutzen den 802.11b Standard.

WLAN Standard 802.11g

802.11g wurde 2003 als Nachfolger von 802.11b entwickelt. 802.11g verwendet ein besseres Modulationsverfahren (OFDM), da Daten mit 54 MBit/s ügertragen kann. Es wird allerdings das gleiche Frequenzband bei 2.4 GHz mit den gleichen Einschränkungen wie beim 802.11b benutzt (13 stark überlappende Kanäle, Störungen durch andere Funkzellen und sonstige elektronische Geräte).
Die wichtigsten technischen Daten sind:

Frequenzbereich:2.4-2.4835 GHZ (d.h. eine Breite von 83,5 MHz)
max. Bruttoübertragungsrate:  6-54 MBit/s
max. Nettoübertragungsrate:2-16 MBit/s
Zahl der Kanäle13 (in Europa)
Kanalbandbreite:25 MHz
ModulationsverfahrenOrthogonal Frequency Division Multiplexing (OFDM)
max. Sendeleistung:100 mW
Reichweite bei 54 MBit/s:ähnlich der Reichweite von 802.11b:
25m (geschlossene Umgebung), 50m (halboffene Umgebung), 160m (freies Feld)
Die Reichweite steigt bei Verwendung geringerer übertragungsraten bzw. bei der
Verwendung zusätzlicher Antennen.

Wichtig ist, daß der 802.11g Standard einen Kompatibilitätsmodus zum 802.11b Standard beitzt. Ein Accesspoint, der diesen Kompatibilitätsmodus beherrscht, kann sowohl 802.11g als auch 802.11b Clients versorgen. Der Haken an der Sache ist, daß im Fall von gemeinsamen 802.11g und 802.11b Clients dann die Datenrate auf die Rate von 802.11b heruntergefahren wird, d.h. daß statt einer Bruttoübertragungsrate von 54 MBit/s nur mehr eine Bruttoübertragungsrate von 11 MBit/s zur Verfügung steht.
Alle Accesspoints vom Typ Lancom L-54ag an der Universität Regensburg benutzen diesen 802.11g/b Kompatibilitätsmodus.

WLAN Standard 802.11a

Der 802.11a Standard benutzt das 5 GHz Frequenzband und ist somit nicht kompatibel zu den 802.11b/G Standards. Die benutzten Frequenzen sind aber stark länderabhängig

In Europa stehen 8 Kanäle im unteren Frequenzbereich (5.15 - 5.35 GHz) und 11 Kanäle im oberen Frequenzbereich (5.47 - 5.725 GHz) zur Verfügung. Jeder Kanal besitzt eine Bandbreite von 20 MHz. Es tritt somit anders als bei den Standards 802.11b und g keine überlappung der Kanäle auf.
Die wichtigsten technischen Daten für Europa sind:

Frequenzbereich:5.15-5.35 GHz (d.h. eine Breite von 200 MHz)
5.47-5.735 GHz (d.h. eine Breite von 265 MHz)
max. Bruttoübertragungsrate:  6-54 MBit/s
max. Nettoübertragungsrate:2-32 MBit/s
Zahl der Kanäle8 bzw. 11
Kanalbandbreite:20 MHz
ModulationsverfahrenOrthogonal Frequency Division Multiplexing (OFDM)
max. Sendeleistung:< 200mW (mit TPC), < 30mW (ohne TPC)
< 1W (mit TPC), < 30mW (ohne TPC)
Reichweite bei 54 MBit/s:30m (innenbereich), 70m (Außenbereich)
Die Reichweite steigt bei Verwendung geringerer übertragungsraten bzw. bei der
Verwendung zusätzlicher Antennen.

In Europa werden zusätzlich zwei weitere Funktionen gefordert:

  1. dynamische Kanalwahl (DFS: Dynamic Frequency Selection)
  2. automatische Anpassung der Leistung (TPC: Transmission Power Control).
Damit können Accesspoints selbständig Kanäle wählen, die am wenigsten Störungen empfangen und somit die kleinstmögliche Sendeleistung verwenden. Dies ist wichtig, da es auch im 5 GHz Bereich Störquellen, die Interferenzen verursachen gibt, wie z.B. zivile und militärische Radaranlagen. TPC sorgt auch dafür, daß für die Verbindung eines Clients zum Accesspoint immer die Sendeleistung verwendet wird, die für die augenblickliche Entfernung notwendig ist.
Der 802.11a Standard wird an der Universität Regensburg nur bei Point-to-Point Verbindungen, wie z.B. für die Anbindung von Studentenwohnheimen verwendet.

Verschlüsselung im Funknetz

Da WLAN Verbindungen naturgemäß abhörbar sind, ist die Verschlüsselung auf dem Luftweg, d.h. zwischen dem Client und dem Accesspoint, ein wichtiges Thema.
Ursprünglich war WEP (Wired Equivalent Privacy), das das RC4 Verfahren zur Schlüsselerzeugung verwendet, der Standard-Verschlüsselungsalgorithmus für WLAN. Er sollte sowohl den Zugang zum Netz regeln, als auch die Integrität der Daten sicherstellen. Aufgrund verschiedener Schwachstellen ist das Verfahren unsicher. Es gibt mittlerweile Porgramme, wie z.B Aircrack oder Airsnort, mit deren Hilfe man durch Mithören einer ausreichenden Menge des Datenverkehrs den verwendeten WEP-Schlüssel berechnen kann und somit den weiteren Datenverkehr entschlüsseln kann.
Somit muß WEP durch andere Alternativen ersetzt werden. Eine Variante, die nicht notwending an Funknetze gebunden ist und von jedem Rechner verwendet werden kann, ist die Verwendung von VPN (Virtual Private Network); eine zweite Variante, die allerdings nur von leistungsfähigen Rechnern mit einem aktuellen Betriebssystem wie Windows XP verwendet werden kann, ist der neue Standard 802.11i, der die Daten auf der Funkstrecke verschlüsselt.

VPN

Eine VPN Verbindung erlaubt es generell, den Datenverkehr zwischen einem Client und einem sog. VPN Konzentrator zu verschlüsseln. Sie wird üblicherweise verwendet, um vertrauliche Daten über öffentliche Leitungen zu verschicken. Damit kann sie natürlich auch hervorragend eingesetzt werden, um Daten verschlüsselt über Funknetze zu versenden. Wichtig ist, daß die Verschlüsselung am Client beginnt und am VPN Konzentrator endet (VPN Tunnel). Nach dem Konzentrator sind die Daten wieder unverschlüsselt. Die Verschlüsselung wird oft mittels IPSec erzielt. Eine weitere Eigenschaft von VPN Verbindungen ist, daß der Client eine virtuelle Adresse aus dem Adressraum der Einrichtung erhält, an der der VPN Konzentrator steht. Der Client verhält sich damit so, als ob er direkt an der entsprechenden Einrichtung angeschlossen wäre.
Ein VPN Zugang erfordert immer einen Login Vorgang, der am VPN Konzentrator durchgeführt wird. Der Konzentrator überprüft Username und Passwort und öffnet bei erfolgreicher Authensisierung dann den VPN Tunnel.

Der Nachteil der Nutzung einer VPN Verbindung ist, daß i.a. ein zusätzliches Softwarepaket auf Ihrem Rechner zu installieren ist, ohne das kein VPN Zugriff möglich ist.
Auch die Universität Regensburg bietet einen VPN Zugang an. Details dazu finden Sie in der Dokumentation zum VPN Zugang an der Universität Regensburg.
Bei Verwendung des WLANs basic.uni-regensburg.de ist die Verwendung des VPN Zugangs Pflicht!
Denn wenn Sie das Funknetz basic.uni-regensburg.de verwenden, erhalten Sie vor dem Aufbau der VPN Verbindung eine IP Adresse der Form 172.29.a.b; dies ist eine sog. private IP Adressen, mit der Sie keine Verbindung zum Internet, sondern nur zum VPN Konzentrator aufbauen können. Erst wenn Sie die Verbindung zum VPN Konzentrator hergestellt haben, erhält Ihr Rechner eine virtuelle Adresse 132.199.c.d im Adressraum der Universität und damit eine Verbindung zum Datennetz der Universität bzw. zum XWIN und Internet. Ab diesem Zeitpunkt ist auch Ihr gesamter Datenverkehr zwischen Ihrem Rechner und dem VPN Konzentrator verschlüsselt.

802.11i

Im Gegensatz zur VPN Methode liefert der 802.11i Standard eine genau auf Funknetze zugeschnittene Verschlüsselung, bei der die Daten nur zwischen dem Client und dem Accesspoint, d.h. auf der Funkstrecke verschlüsselt sind.


802.11i basiert auf der Zertifizierung WPA/WPA2 der WiFi (WiFi Protected Access). Um eine verschlüsselte Verbindung aufbauen zu können, muß sich der Benutzer am Client zunächst am Netzwerk authentisieren. Dies erfolgt üblicherweise durch den Accesspoint mittels des Netzwerkauthentisierungsprotokolls 802.1X und einem Radiusserver, der die Gültigkeit von Username und Passwort verifiziert. Wer sich für genauere Details über 802.1X interessiert, sei auf das Dokument Netzwerkzugangskontrolle über 802.1X verwiesen. Anschließend wird zwischen Client und Accesspoint ein individueller 128-bit Schlüssel ausgehandelt, der als Grundlage der Datenverschlüsselung dient. Für die Datenverschlüsselung selbst stehen die beiden Verfahren TKIP (Temporal Key Integrity Protocol; basierend auf RC4 mit einer verbesserten Schlüsselberechnung) und AES (Advanced Encryption Standard; Nachfolger von DES) zur Verfügung. 802.11i hat im Gegensatz zu WEP Mechanismen eingebaut, um eine Wiederholung des WPA Schlüssels zu verhindern (Wiederholung erst nach 16 Mio. Paketen bzw. automatische Neuaushandlung in regelmäßigen Abständen). Damit können die Schlüssel auch durch längeres Abhören des Datenverkehrs nicht ermittelt werden und die Daten somit nicht entschlüsselt werden.
Der Nachteil dieses Verfahrens ist, daß nicht alle Betriebssysteme diese Methode unterstützen. So bietet Windows erst ab Windows 2000 und XP die Möglichkeit, TKIP oder AES zu verwenden. Windows 9x Rechner müssen also mit der VPN Lösung vorlieb nehmen.
Ein Funklan mit der SSID 802.11i, das diese Verschlüsselungsmethode verwendet, steht an der Universität Regensburg an allen Accesspoints vom Typ Lancom L-54ag zur Verfügung. Von den Lucent AP500 wird 802.11i nicht unterstützt.
Als IP Adresse erhält der Client nach erfolgreicher Authenisierung eine gültige IP Adresse aus dem Adressraum der Universität Regensburg.

Letzte Änderung: 22. 7.2017 von Ulrich Werling