Einzeltest: Cisco WAP321

Kleiner Access-Point für große Vorhaben

Cisco WAP321 - Der Wireless-N-Selectable-Band-Access-Point ist ein unauffälliges Gerät, das speziell auf die Bedürfnisse kleinerer Unternehmen zugeschnitten ist.

© Cisco 

Vollbild

-

Schliessen

© Cisco

-

Der Access-Point aus Ciscos Small-Business-Familie WAP321 kümmert sich nicht um Internet-Verbindungen, kommt dafür aber mit Wireless-Features, die ihn zu einem robusten Arbeitspferd machen. Der WAP321 ist ein Dual-Band-AP (einstellbar), der 802.11a, -b, -g und -n beherrscht. Was das Gerät einem AP der Konsumentenklasse voraus hat, sind beispielsweise viele Einstellungen, mit denen Administratoren Übertragungsraten und Bandbreitennutzung tunen können. Ganz oben steht da die generelle Bandbreiten-Utilization, ein Prozentsatz der Bandbreite, der genutzt werden kann, bevor der AP keine neuen Client-Verbindungen mehr akzeptiert. Mit dieser einfachen Einstellung lässt sich innerhalb einer Multi-AP-Umgebung bereits verhindern, dass ein einzelner AP überlastet wird. Der Administrator erhält außerdem eine sehr feine Kontrolle über die Legacy- und Multicast-Link-Raten, die ein Client nutzen kann, sowie eine fast erschlagene Anzahl von Stellschrauben für die Feineinstellung der QoS. Der WAP321 unterstützt TSPEC und offeriert dafür ebenfalls eine Menge Einstellungen. Das setzt natürlich Client-Geräte voraus, die 802.11e, also Voice-over-Wireless-LAN (VoWLAN) unterstützen.

Mit dem WAP321 lassen sich Wireless-LANs einfach erweitern. Dafür bietet der AP gleich zwei Wireless-Bridging-Modi: WDS-Bridge und Workgroup-Bridge. Der WDS-Bridge-Modus unterstützt bis zu vier Verbindungen mit Static-WEP- oder WPA-Personal-Verschlüsselung und optionalem Spanning-Tree-Modus zur Verhinderung von Switching-Loops. Dabei darf es sich um Point-to-Point- oder Point-to-Multipoint-Verbindungen handeln. Der Workgroup-Bridge-Modus ist zu nutzen, wenn einer der Brücken-Partner kein WAP321- oder WAP121-AP ist. Dieser Modus unterstützt zur Zeit ausschließlich IPv4-Verkehr und funktioniert nicht über einen Cluster. Cisco empfiehlt, den Workgroup-Bridge-Modus nur dann zu verwenden, wenn der WDS-Bridge-Modus nicht genutzt werden kann. Fast muss man Cisco dankbar dafür sein, diesen Workgroup-Bridge-Modus überhaupt anzubieten, manch anderer Hersteller hätte auf so etwas verzichtet, um den Kunden auf die eigene Produkt-palette festzunageln.

Ein AP für Unternehmen sollte höhere Sicherheitsanforderungen erfüllen, als ein 08/15-AP. Ciscos WAP321 liegt hier gut im Rennen. Neben der üblichen Verschlüsselung, Authentifizierung und MAC-Adress-Filterung bietet der AP 802.1X mit Radius-Authentifizierung und die von Ciscos Switches und Routern bekannten Access-Control-Lists (ACLs), die es dem Administrator erlauben, bis zu 50 Regeln zu konfigurieren, die Clientzugriffe basierend auf IPv4-, IPv6- oder MAC-Adressen erlauben oder verweigern. Der WAP321 unterstützt auch Wifi-Protected-Setup (WPS), allerdings als Soft-WPS ohne WPS-Taste. Eine Funktion zur Entdeckung nicht autorisierter Access-Points ist direkt im AP integriert. Eines der herausragenden Features des WAP321 ist seine Eignung als AP für die Erschaffung von Wireless-Hotspots, beispielsweise um Kunden oder Gästen Zugang ins Internet zu gewähren. Das integrierte Captive-Portal-Feature führt Nutzer zu einer Webseite, die mehrere Optionen zur Authentifizierung offeriert. Es ist aber auch möglich, den Zugang völlig zu öffnen und lediglich eine Seite mit Informationen - oder Werbung - zwischen Benutzer und Internet zu schalten. Das Gerät unterstützt gleich zwei dieser Captive-Portals, jedes mit seiner eigenen Verifikation und sogar der Möglichkeit, die Upload- und Download-Bandbreiten einzuschränken, um beispielsweise Angestellten mehr Bandbreite zu geben als Gästen. Die Authentifizierung von Nutzern mit Benutzernamen und Passwort erfolgt entweder gegen eine lokal auf dem AP gespeicherte Datenbank oder gegen einen Radius-Server. Die interne Datenbank arbeitet mit bis zu 128 Benutzern und maximal drei Benutzergruppen.

Wer gerne den Datenverkehr verschiedener  Abteilungen, Kommunikationsgeräte oder Benutzer trennen möchte, kann dies mit Hilfe virtueller Access-Points (VAPs) tun. VAPs segmentieren das Wireless-Netzwerk in mehrere Broadcast-Domänen und sind gewissermaßen das Wireless-Equivalent von VLANs. Tatsächlich erhält jeder VAP auch eine VLAN-ID, die ihn mit dem entsprechenden VLAN verknüpft. Der WAP321 unterstützt acht VAPs, von denen jeder separat ein- und ausgeschaltet werden kann. Eine Ausnahme bildet der VAP0, denn dahinter verbirgt sich die physische Radio-Schnittstelle. Wie ein echter AP wird auch ein VAP über einen eigenen Service- Set-Identifier (SSID) identifiziert. SSID-Broadcasts sind standardmäßig eingeschaltet. VLANs unterstützt der WAP321 neun an der Zahl: acht für WLANs und ein Management-VLAN. Das gerade angesprochene Captive-Portal lässt sich jedem beliebigen VAP oder gleich allen VAPs zuordnen.

1. Teil: Kleiner Access-Point für große Vorhaben
2. Teil: Die Hardware
3. Teil: Fazit