Die Coronapandemie ist nicht vorbei, trotzdem könnte es bei immer mehr Impfungen demnächst wieder häufiger Präsenzveranstaltungen mit vielen Gästen geben. Solche Events mit Tausenden Menschen können für drahtlose Netzwerke eine echte Herausforderung sein.

Da stellt sich die Frage: Wie ist es möglich, so viele Gäste mit einer stabilen und möglichst performanten Netzwerkverbindung auszustatten? Wie können Interferenzen zwischen verschiedenen Access-Points (AP) vermindert und trotzdem eine flächendeckende Verbindung hergestellt werden?

Admins, die selbst bereits drahtlose Netzwerke betreuen und planen, wissen: Das zu erreichen, ist nicht gerade einfach. Wir haben den CCC um Rat gebeten und einige Tipps erhalten, wie dies auf den eigenen Kongressen möglich ist. Auch eigene Erfahrungen der Redaktion fließen mit ein. Die Ratschläge lassen sich auch auf andere Szenarien wie große Lagerhallen, neue Büros oder Tagungsräume und Großveranstaltungen anwenden, auch wenn in speziellen Fällen die Prioritäten und Anforderungen sicherlich unterschiedlich sein werden.

Beim CCC gilt der Ansatz: Die Kapazität des Netzwerks soll vor die flächenmäßige Abdeckung gestellt werden. Für das Netzwerkteam eines Kongresses ist es wichtig, dass Access-Points nicht übermäßig in andere Teile des Geländes abstrahlen. Daher sollte Hardware so positioniert werden, dass sie zwar einen Seminarraum abdeckt, aber zum Beispiel nicht den Flur hinter der Wand.

Vor dem Aufbau einer neuen WLAN-Infrastruktur sollten wir uns zunächst im Klaren sein, wo und wie sich Access-Points in den eigenen Gebäuden aufstellen lassen. Dabei helfen Grundrisse oder auch Brandschutz- und Fluchtpläne. Diese können wir als Grundlage für ein Netzwerkkonzept nutzen. Ein direkt neben festen Wänden oder großen Möbeln aufgestellter Router strahlt etwa weniger durch eben diese Hindernisse durch und ist von anderen Seiten besser erreichbar. Auch kann die Funkleistung vieler Enterprise-Access-Points in der Firmware eingestellt werden. Hilfreich ist das etwa in besonders kleinen Konferenzräumen oder Büros, wenn die standardmäßige Sendeleistung eigentlich zu hoch ist.

Der CCC geht noch einen Schritt weiter: Um das Shared-Medium des Äthers besser nutzen zu können, sollen Kollisionsdomänen möglichst klein gehalten werden. Das sind Netzwerksegmente, bei denen verschiedene Datenübertragungen überlappen können und nur ein Teilnehmender innerhalb dieses Segments Daten senden darf, während die anderen auf ihr Intervall warten. Große Kollisionsdomänen mit vielen Clients können demzufolge die Leistung des Netzwerks stark verringern.

Auf Messen wie dem Chaos Communication Congress werden mehrere Virtual-Local-Area-Networks (VLAN) verwendet, um Clients in logisch voneinander getrennte Subnetze zu unterteilen. Um Access-Points zu entlasten, werden VLAN per Tunneling auf einem zentralen Radiusserver verwaltet. Das Netzwerkprotokoll Remote-Authentication-Dial-in-User-Service (Radius) steuert die Authentifizierung, Verwaltung und Autorisierung von Clients auf einem gegebenen Netzwerk. Die zentrale Steuerung soll zudem den Vorteil haben, dass die einzelnen Access-Points auf dem großen Gelände entlastet werden und sich selbst nur um die Datenübertragung kümmern müssen. Für die Einrichtung des Servers nutzt der CCC Freeradius – ein quelloffenes Projekt, welches das Protokoll umsetzen kann.

Trotzdem gibt es weiteren Optimierungsbedarf. Das Netzwerkteam geht davon aus, dass viele der Gäste mit mindestens drei netzwerkfähigen Geräten anreisen. Was wäre der Kongress auch ohne techaffine Fans? Um DHCP-Requests und Multicasts auf dem Shared-Medium zu vermindern, soll jedem Client eine feste IP-Adresse zugewiesen werden, die sich über den gesamten Besuch nicht ändert. Das zugewiesene VLAN kann per Radiusprotokoll automatisiert gewechselt werden. Die statische IP-Adresse wird aus dem öffentlichen IPv4- und IPv6-Adressraum generiert. Auf großen Events werden zudem umfassende Subnetze mit Subnetzmasken von /18 oder weniger verwendet – je nachdem, wie viele Besucher erwartet werden.

Router mit sinnvollem Broadcast-Filtering sind daher wichtig, um möglichst wenig unnötigen Traffic in einer Kollisionsdomäne zu erzeugen. Es soll dazu auch ein ARP- und NDP-Proxy eingerichtet werden, um Arp- und NDP-Requests an unnötig viele Mitglieder im Netzwerk zu verringern. Das Address-Resolution-Protocol wird auf der OSI-Sicherungsschicht (Layer 2) für die Auflösung von IPv4-Adressen in Mac-Adressen genutzt. Das Neighbor-Discovery-Protocol findet etwa bei der Umwandlung von IPv6-Adressen in wesentlich simplere IPv4-Adressen Verwendung. Zweiteres ist in einigen Anwendungsfällen nicht nötig, wenn etwa IPv6 intern in Unternehmensnetzwerken nicht verwendet werden muss.

Einstellungen an den Access-Points selbst helfen dabei, akzeptable Datenraten für möglichst viele Clients zu gewährleisten.

In kleineren Heimnetzen sind Funktionen wie Channel-Bonding sinnvoll, da dadurch die Datenraten einzelner Geräte erheblich gesteigert werden können. Das ist auf großen Events allerdings ohne unrealistisch hohen Hardwareaufwand nicht möglich. Daher gilt: Die Kanalbündelung wird ausgeschaltet, um auch mehr Clients zu unterstützen. Stattdessen werden nur die einzelnen 20-Megahertz-Kanäle genutzt, in die sich WLAN-Signale aufteilen. Dabei sollen beide Frequenzbänder eingesetzt werden: 2,4 Gigahertz und 5 Gigahertz.

Obwohl das 2,4-Gigahertz-Band wesentlich mehr Kanäle unterstützt, setzt das Netzwerkteam des CCC auf nur vier verschiedene. Das liegt daran, dass aneinanderliegende Frequenzen sich gegenseitig stören und für Interferenzen sorgen können. Daher werden 2,4-Gigahertz-Kommunikationen in Europa auf vier Kanäle begrenzt: 1, 5, 9 und 13. In Nordamerika sieht das 2,4-Gigahertz-Band keinen 13. Channel vor, dort muss etwa auf Channel 11 ausgewichen werden.

Um EU-Richtlinien zu wahren, sollte auch darauf geachtet werden, dass DFS-Kanäle im Fünf-Gigahertz-Band stets freigehalten werden. Auf diesen laufen nämlich auch Radarkommunikationen ab, die absolute Priorität haben müssen. Radar-Traffic wird deshalb separat beobachtet und entsprechende DFS-Kanäle bei Bedarf temporär abgeschaltet.

Durch diese Einschränkungen kann es auf einzelnen Kanälen zu einer hohen Anzahl an Clients in einer Kollisionsdomäne kommen. Gerechnet wird mit etwa 50 bis 75 Geräten pro Kanal. Daher sollten in einem einzelnen Raum genug Router stehen, um eine solch hohe Menge abzufangen. Generell empfiehlt der CCC, in volleren Gebieten – etwa Eingangsbereichen und Pausenzonen – 3×3-MIMO-Geräte zu verwenden, die mehr Geräte gleichzeitig ansprechen können. In weniger frequentierten Standorten sind 2×2-Antennen auch ausreichend.

Sinnvoll kann es ebenfalls sein, langsamere WLAN-Standards im eigenen Netzwerk komplett abzuschalten. Der CCC empfiehlt etwa das Deaktivieren des überholten 802.11b und die Beschränkung von 802.11 a+g auf höhere Datenraten. Das Ziel ist es, Pakete möglichst schnell und in kurzer Zeit zu übertragen. Langsamere Verbindungen belegen wertvolle Zeitintervalle auf dem Medium für einen längeren Zeitraum. Sehr alte oder preiswerte Endgeräte könnten in diesem Fall allerdings nicht mehr funktionieren. Daher sollten wir uns vor dem Deaktivieren von älteren Standards im Klaren sein, welche Hardware in unserem Netz miteinander interagiert.

Mit der stetigen Verbreitung von Wi-Fi 5 und 6 – 802.11ac und 802.11ax – werden auch immer mehr Clients mit Fünf-Gigahertz-Kompatibilität genutzt. Der CCC ist bereits vor einigen Jahren von einem Anteil von 60 bis 70 Prozent ausgegangen. Mittlerweile nutzen fast alle neueren Geräte auch Fünf-Gigahertz-Frequenzen.

Um die Ressourcen auf beiden Frequenzbändern zu nutzen, werden vom Netzwerkteam deshalb unterschiedliche SSID für 2,4 und 5 Gigahertz genutzt. Laut eigenen Aussagen sieht das Netzwerkteam des CCC Band-Steering, also das automatische Aussuchen des richtigen Frequenzbandes durch den Client selbst, als unzuverlässig an. Entsprechend werden solche Funktionen abgeschaltet. Auf Events wie dem 36C3 wurden zudem SSID, offene Gästenetzwerke, verschlüsselte private WLAN oder die Netzwerke von Community-Projekten parallel betrieben.

Generell gilt allerdings: Zu viele verschiedene SSID im selben Netzwerk können unnötig viel Air-Time belegen, die andererseits für eine bessere Leistung nutzbar wäre. Das liegt an den periodisch gesendeten Beacon-Frames und Probes, die für jede SSID auf dem WLAN-Signal gesendet werden. Deshalb sollten wir nicht zu viele SSID erstellen, vor allem wenn die Ressourcen knapp bemessen sind. Hier helfen etwa mehrere VLAN, die einer SSID per Dynamic-VLAN-Assignment zugewiesen sind.

Von der generellen Raumplanung bis hin zur Implementierung der Hardware: Wichtig ist, dass sich Netzwerkteams ein sinnvolles Schritt-für-Schritt-Konzept ausdenken und sich auch bewusst sind, was sie mit ihren Drahtlosnetzwerken überhaupt erreichen wollen.

Schon vor Corona zeigten Events wie der 36C3 in einer Extremform, wie wichtig ein guter Netzwerkplan ist. Erfahrungsgemäß ist die Netzwerkverbindung auf den Events des CCC stabil, auch bei großen Menschenansammlungen. Der Club hat uns eine ausführliche Dokumentation des Herstellers Aruba empfohlen. Diese geht nochmals auf die Installation von WLAN mit mindestens 100 Geräten pro Zelle ein und gibt Tipps.

Autor des Artikels ist Oliver Nickel.