 Ja, dann hallo. Ich bin Hendrik und ich erzähle euch jetzt ein bisschen was über WLAN. Yo Wi-Fi Sux ist also eine Aussage, die man immer mal wieder hört. Erst mal zur Struktur meines Talks, erst mal sage ich kurz ein bisschen was zu mir. Dann die Problemstellung, die wir überhaupt haben mit WLAN. Dann gehe ich ein bisschen darauf ein, was man für Hardware gerne haben möchte, welche Eigenschaften die aufweisen soll. Ein bisschen was zur RF-Planung, weil das ist ja Hochfrequenz und Hochfrequenz ist immer so ein bisschen Magie mit bei, was man so beachten muss. Standortplanung, dass man nicht irgendwie irgendwas hinstellt und denkt, es würde irgendwie funktionieren, sondern dass man sich ein bisschen Gedanken macht. Dann habe ich eines Leid zum Thema Sicherheit. Wie stütze ich meine User und mich selbst auch ein bisschen, wenn ich Leuten Zugang zu meinem Netz gebe und dann ein kleines bisschen Fazit. Ich bin Hendrik, 22, studier am Karlsruhe Institut für Technologie Elektrotechnik. Bin dort beim Rechenzentrum Netzwerk-HIVI, kümmer mich ums WLAN aktuell und um den WLAN-Controller. Ich mache Freifunk noch nebenbei, wenn ich ein bisschen Zeit habe. Am Matürfunk auch, daher auch mein IAC-Nick, D9XE. Generell habe ich viel mit Elektronik und Netzwerk jetzt am Hut und mache jetzt auch für euch das WLAN hier auf der GPN. So, WLAN an sich ist ja für zu Hause immer total cool. Man hat seine Fritzbox und man kann auf seiner Fritzbox WLAN nutzen und das alles so gut und so schön bis Wände ins Spiel kommen. Und Stahlbieton. Und geschirmte kann man mit Kupfer wenden. Und das zieht sich auch in öffentliche Räume jetzt rein. GPN, Universität, Bibliotheken. Dass man immer mehr Bring Your Own Device hat. Das ist so ein schönes Busword-Bingo, was man da spielen kann. Bring Your Own Device, Internet of Things. Immer mehr ist kabellos, weil Leute haben keinen Bock mehr auf Kabel. Jeder User hat mehrere Devices, das sehen wir hier. Das ist die Durchschnittsanzahl der WLAN-Geräte, die jeder User mit sich führt. Stand 2014. Und da ist schon zu erkennen, dass wir mit Deutschland mit 2,4 Geräten pro User noch im Mittelfeld liegen. In den Niederlanden ist das schon ein bisschen mehr eskaliert. Diese Zahl werde ich später als die sogenannte Take Rate referieren, wie viele Geräte der User mitbringt. Dann ist WLAN ein Shared Medium. Wir haben nur eine Luft. Luft ist als eine einzige Kollisionsdomäne anzusehen. Da muss man natürlich ganz viel optimieren. Wir haben bei den einzelnen Kanälen Interferenzen durch Nachbarkanäle. Wenn ihr euch zu Hause gewohnt habt, warum euer WLAN scheiße ist, dann habt ihr wahrscheinlich in der Fritzbox einen anderen WLAN-Kanal euch hingeklickt, wo weniger SSIDs von eurer Nachbarn drauf sind, um das Ganze ein bisschen zu verbessern. Da das alles eine Kollisionsdomäne ist, können wir auch immer nur ein bisschen R-Time pro Device alloziieren. Auch wenn wir mehrere SS-Points auf einem Kanal haben, müssen diese SS-Points nicht alle gleichzeitig senden. Die müssen sich irgendwie diese R-Time aufstöckeln. Das macht natürlich viele Probleme. Wir hier in diesem Saal haben wir auch vieles, die weiß es auf wenig Raum. Wir sind hier passend 100 Leute in den Saal. Wir haben hier ungefähr mit 200 bis 240 WLAN-Geräten zu rechnen. Ihr sitzt alle ziemlich eng. HF-technisch ist das eine Katastrophe. Ihr seid alle zu 70 Prozent aus Wasser. Ihr schirmt tierisch ab, ist doof. Und wir haben auch immer sehr hohe Erwartungen der User-Aussage, your Wi-Fi sucks. Die User erwarten schnelles WLAN. Sie erwarten keine Verbindungsabbrüche. Sie wollen in der Vorlesung in Full HD Netflix schauen, und zwar alle. Ich bin auch Student. Aber wir müssen auch beachten, wir haben eine Sicherheit der Daten, erwarten die User. Die User möchten nicht, dass wenn sie in der Vorlesung gucken, wieviel Euro sie noch für den Rest des Monats haben, dass irgendjemand auf deren Konto zugreifen kann und die Daten wegsniffen kann im WLAN. Und sie erwarten ein einfaches Login. Kein User hat Lust, groß anzufangen, zu konfigurieren und ewig lange dafür was zu tun, dass ein WLAN funktioniert. Aber grundsätzlich sag ich immer, die User erwarten einfach zu viel. Weil wir bekommen dann teilweise an unser Ticket-System solche Texte. Er beschrieb erst mal, was er für Hardware hat und wo er sich aufhalte. Und dann schrieb er, in Folge dessen ist die TX-Rate teilweise im unteren zweistelligen Ambit-Bereich statt 867 Ambit bei zweifach MIMO-AC-WLAN. Und ich dachte mir so, du sitzt in einem Hörsaal, da sitzen 500 Leute, ist vielleicht ein bisschen optimistisch, eine Gigabit über WLAN zu erwarten. Deswegen, das war so ungefähr mein Gesicht dann. So, seriously. So, zum Gesamtsystem, wenn man eine Identity WLAN deployt, möchte man kein Open-WRT oder andere Open-Source-Varianten benutzen. Weil die funktionieren ganz super für zu Hause. Für Freifunk funktionieren sie auch super. Das Problem ist einfach nur, wenn man es auf Identity-Deployments sieht, ist es nicht so toll. Man hat Treiberprobleme teilweise oder irgendwelche grundlegenden Implementierungsprobleme, dass einfach irgendwelche Funktionen nicht verfügbar sind. Ich weiß jetzt von der HFG, die verwenden Open-WRT auf ihren SS-Points und die sind gerade dabei ein bisschen zu debaggen, weil es einfach Treiberprobleme gibt. Man möchte sein Gesamtsystem-Controller basiert haben. Man möchte nicht jeden einzelnen SS-Point konfigurieren und zu jedem SS-Point hinlaufen. Die alten LAN-Com-Systeme zum Beispiel sind auch alle noch Turn-to-Managed. Wenn wir da was ändern wollen, dann sitzt mein Chef da und klickt jeden einzelnen Router durch und ändert das. Noch ein Problem. Er muss dann auch auf allen Switchen, wo ein LAN-Com-SS-Point dran hängt. Also, die sind schon ein bisschen älter, die unterstützen auch nur, ich glaube, BG und maximal N, 2,4 Gigahertz. Deswegen, er muss zu jedem SS-Point das VLAN wieder hinrouten. Das ist auch nochmal ein zusätzlicher Aufwand. Deswegen ist es immer ziemlich cool, den sogenannten Tunnel-Mode zu verwenden, dass der unterstützt wird. Unsere Aruba-SS-Points, die wir jetzt hier haben, unterstützen das auch, die machen das auch gerade. Wir müssen das VLAN für die ganzen SSIDs nicht überall hinrouten. Wir haben das einmal zum Controller geroutet. Da liegt das an. Und der SS-Point baut jetzt ein Gretunnel auf zu unserem Controller und schiebt da die ganzen Daten durch. Und alles ist gut, weil wir müssen nicht mehr den Kram lokal terminieren. Auch toll ist, dass wir keine vollen Abtables mehr haben und alles als Unicast läuft. Das ist auch immer sehr schön, weil man dann auch nicht mehr so stark ausgelastete Netzwerk-Hardware vor Ort hat an den Switchen. Virtual-AP-Fähigkeit ist auch immer ganz toll. Virtual-APs sind sozusagen die einzelnen SSIDs, dass man Profile anlegen kann und dann einen virtuellen AP zum Beispiel für unser GPN-Wählern, der das jetzt mit 802.1x gesichert ist und einen virtuellen AP für das offene GPN-Wählern. Weil dann kann ich jetzt nämlich auf jeden SS-Point, kann ich dann sagen, der unterstützt jetzt diese virtuellen SS-Points. Oder ich sage, diese Gruppe an SS-Points unterstützt jetzt diese virtuellen SS-Points und in diesen virtuellen SS-Points ist schon festgelegt, wie ist die Authentifizierung, Optimierungen, Adaptive-Radio-Management, dazu komme ich später noch mal. Was das Ganze einfach viel angenehmer zu managen ist, weil ein guter Atmen arbeitet nicht. Das System arbeitet für ihn, es funktioniert und man arbeitet dann auch weniger, wenn man dann doch mal was konfigurieren muss. Zur Hardware von eurem WLAN, ihr wollt unbedingt Dualband benutzen. Wir haben heutzutage ein Verhältnis von ungefähr 1 Viertel 2,4 GHz zu 3 Viertel 5 GHz. Auch jetzt hier auf AGPN. Teilweise sehe ich das im Real-Life dann einfach so, dass wir zum Beispiel im Audimax vom KIT haben wir 10 5 GHz User auf ein 2,4 GHz User. Das ist natürlich nochmal ein bisschen andere Umgebung, aber 5 GHz kommt und 5 GHz ist schön. Es macht Spaß. Wir haben so viele Kanäle dort, dass wir unbedingt 5 GHz unterstützen wollen. Problem bei 5 GHz, DFS. Das DFS ist dazu da, damit Wetterradars erkannt werden und diese Wetterradars dann umgangen werden, dass wir dort keine Störungen mit unseren WLAN machen. Wichtig an diesem Punkt. Leider muss ich wieder sagen, ob ein VRT zwar eine DFS-Implementierung, die soll angeblich auch funktionieren, aber sie ist nicht lizenziert. Das Problem bei diesen DFS-Implementierungen ist, die müssen lizenziert sein und wenn sie nicht lizenziert sind, sind sie leider illegal, auch wenn sie funktionieren. Das ist das Problem daran. Deswegen guckt das ja dann irgendwie Hardware Hub, die das vernünftig lizenziert unterstützt. Wir wollen auch 802.11 AC unterstützen. Nicht weil wir jetzt 160 MHz breite Kanäle machen und unsere User irgendwie schöne Gigabit über WLAN durchkriegen. 802.11 AC bringt nämlich noch was Weiteres mit, das 256 QAM, das Modulationsverfahren. Und mit diesem Modulationsverfahren kriegen wir halt eben noch mal mehr Daten durch. Auch mit schmalen Kanälen kriegen wir dann mehr Daten durch, als mit älteren Modulationsverfahren von älteren WLAN-Standards. Wir wollen 3x3 MIMO haben. Das ist so, was man überall so schön liest. Das ist das sogenannte Sparshall Streams. Das sind sozusagen 3 eigenes Streams. Hier auf der GPR, ich habe das so als Faustformel, kann ich das hier sozusagen nennen. Mein Laptop hat 2 Sparshall Streams. Ich kriege 100 Mbit übers WLAN. Ich hatte auch jemanden jetzt schon mit seinem Handy, 3 Sparshall Streams, 150 Mbit. Das kommt immer drauf an, aber je mehr Streams man hat, desto besser ist es und desto schneller kriegt man die User, die sozusagen abgefertigt, wenn sie gerade Daten senden oder Daten empfangen. Man möchte seine SS-Points mit Gigabit-Lan anbinden, weil 100 Mbit werden ab und zu mal ein bisschen voll. Das sind dann meistens eher einzelne Leute, aber speziell, wenn wir Dualbandgeräte haben und das auch ganz gut ausgelastet ist, kratzt man dann schon teilweise mal an der 100 Mbit Grenze. Ist nicht oft, aber es passiert und deswegen möchte man das haben. 224 Mbit übers WLAN. Super, ein Applaus für Mick. Und Mick hat auch gerade 802.1X benutzt. Natürlich, weil 802.1X möchte man haben. Die SS-Points tunneln zwar zum Controller, aber wie ihr alle wisst, es gibt mittlerweile sogar Provider, die innerhalb eines Gretunnels filtern und sperren. Gibt es. Ist doof, weil man den Gretunnel einfach reingucken kann, ist ja unencrypted. 802.1X verhindert das, vor allem wenn ihr controllerbasiert arbeitet, weil wenn ihr controllerbasiert arbeitet, dass 802.1X erst am Controller aufgebrochen wird, dann könnt ihr nämlich, dann gehen nämlich die Daten auch schon wieder verschlüsselt durch diesen Tunnel zum Controller. Heißt, ihr habt auch innerhalb des Kabelnetzwerkes eine individuelle Verschlüsselung für die User und die haben eine Sicherheit ihrer Daten. So, das ist Hardware, wie man sie sehen möchte. Also nicht unbedingt, aber sie ist schon gut. Die Software dazu ist nicht so schön. Das ist ein SS-Point von HP. Und dieser SS-Point unterstützt hat zwei Radios, 1,5 GHz, 1,2,4 GHz. Er hat sehr gute Abstrahleigenschaften. Man sieht auch daran, dass er 6 Antennen hat, dass er drei Special Streams pro Radio unterstützt. Das ist auch sehr gut. Problem ist, die Controller-Software von HP macht so lustige Sachen, zum Beispiel bei der automatischen Kanalauswahl. Sie scanen die SS-Points nicht alle einzeln, was gerade los ist, sondern alle SS-Points gehen gleichzeitig aus. Der Controller hört, sieht, cool, alles frei. Was nehme ich für ein Kanal? Ach, Kanal 6, cool, alle SS-Points auf Kanal 6 ist doof. Und das ist dann schon wieder so Punkte, wo es dann nicht so optimal ist für größere Deployments. Also das war gerade auf 2,4 GHz bezogen. Bei der Hardware und bei den Antennen benutzt die mitgelieferten Antennen. Manchmal. Weil die mitgelieferten Antennen bei so TP-Link Sachen sind omnidirektional, schöne Rundstrahler, ist ganz cool. Man muss es allerdings auch auf seine Gegebenheiten anpassen. Wenn ich jetzt irgendwo in der Ecke einen SS-Point habe oder oben auf dem Turm möchte ich keine Rundstrahler haben. In solchen Fällen nimmt man andere Antennen, Sektor-Antennen. In dem Fall müsst ihr die Diagramme der SS-Points beziehungsweise der Antennen prüfen. Weil da kann man auch einiges falsch machen. Wir haben das gerade an der Uni falsch gemacht. Unsere SS-Points hängen nämlich an ganz vielen Stellen, so wie sie es dort an der Wand hängen. Die hängen sozusagen so senkrecht an der Wand. Das Problem ist, genau in der Mitte des SS-Points, wo das Aruba-Logo ist, ist eine Art tote Zone, dieses wie so ein kleiner Kiegel, von einem donutfarmingen Abstrahldiagramm. Wenn der SS-Point zu tief hängt und die User direkt davor stehen, wir haben das ausprobiert in einer Bibliothek, wir hatten ein Signal, was total grauenvoll war und wir hatten direkt einen Sichtkontakt zum SS-Point, das Handy in die Mitte gehalten, mit dem wir gemessen haben. Wir sind drei Meter zur Seite gegangen, hatten 20 dB Signal mehr. Überprüft eure Antennen. Ihr könnt ja echt was falsch machen. Im Audimax haben wir auch gerade zwei schwarze Flecken, wo man ein sehr schlechtes Signal hat, was ungefähr einen Kreis mit 30 Sitzplätzen je umfasst. Ist nicht so toll, muss man noch mal was optimieren. Macht die Antennen auf. Wenn ihr Antennen habt, unbedingt öffnen. Ihr könnt da ganz, ganz böse Überraschungen haben. Seht ihr gleich noch. Weil schlecht Antennen erkennt man eigentlich sozusagen sofort. Also die richtig schlechten. Das sind dann auch solche, diese High-Gain Omnis, die man irgendwie für sieben Euro aus Ibechina kriegt oder sowas. Ist nicht so toll. Gebt lieber ein bisschen mehr Geld für die Antennen aus. Guckt, dass ihr Abstrahldiagramme zu den Antennen findet und damit ihr wirklich sicher gehen könnt, dass ihr auch wirklich dann dort das WLAN habt, wo ihr es haben wollt. Denn die DBI-Werte sind auch nicht immer korrekt. Da ist immer so ein bisschen Marketing hinterbei. Und sind die Antennen multibandfähig. Auch ganz wichtig, nicht jeder Antennen ist multibandfähig. Er könnte auch dann ganz doofe Überraschungen kriegen, wenn ihr eine Antenne habt, die nur für 2,4 Gigahertz gebaut ist und nicht für 5 Gigahertz. Dann habt ihr teilweise Dämpfung und einfach ein gottiges 5 Gigahertz-Signal. Deswegen guckt euch die Antennen an. Das sind einfach nur zwei Metallplatten, die isolierten aneinander geflanscht sind. Das ist keine tolle Antenne. Das ist eine Pendel-Antenne sozusagen, so Sektor-Antennen ähnlich. Haben wir gerade erst in der Uni abgerissen und wir haben uns gewundert, warum ist denn da so schlechtes WLAN? Wir haben sie aufgeschraubt. Ja, wir haben es sofort gesehen, warum. Dann ist zur RF-Planung. Das Hauptproblem ist 2,4 Gigahertz. Wir haben 14 mögliche Kanäle, auf denen wir senden können. Der 14. ist nur in Japan verfügbar, soweit ich weiß. Dann in den USA sind noch mal weniger als 13 verfügbar. Kanal 13 können die US-Omerikanischen Treiber meistens nicht. Ist auch nicht so toll. Dann haben wir dort Kanalbreiten von 20 oder 40 Gigahertz. Kann man machen? Ist aber nicht so schön. Weil sobald wir eine Überlagerung der Kanäle untereinander haben, wenn sich das zum Beispiel nur ein bisschen überlagert oder komplett überlagert, stürzt sich das. Da gibt Interferenzen, das Signal-to-Noise-Ratio steigt dann an und die SS-Points fühlen sich davon gestürzt und wir kriegen immer weniger Daten durch, weil es zu viele Übertragungen kommt. Und wir müssen auch immer ganz wichtig die Einschränkungen durch unsere Rectom beachten. Die Rectom, das ist die Regulary-Domain. Was dürfen wir auf welchen Kanälen mit wieviel Sendeleistung? Da gibt es so ein schönes Bild auf Wikipedia. Mit den vier Kanälen bis Kanal 14. So ist es überlappungsfrei. Wenn wir jetzt noch ein bisschen auf 16,25 Gigahertz runtergehen und überlappungsfrei wollen, dann sind wir dort bei Kanal 1, 6 und 11, damit wir auch die US-amerikanischen Treiber unterstützen. Da sieht man auch, wir möchten 20 Megahertz-Kanäle nutzen und keine 40 Megahertz-Kanäle, weil mit 40 Megahertz-Kanälen unter Unterstützung der amerikanischen Treiber haben wir nur einen Kanal, den wir nutzen können. Gehen auf einem Kanal viele Daten durch, aber wir haben nur einen Kanal, unterstütze ich dann wieder mit den Nachbarzellen. Deswegen, da muss man genau darauf achten und nach Möglichkeit eine automatische Kanalwahl einstellen. Da gibt es eine Adaptive-Radio-Management, nennt sich das Ganze. Das ist eine Implementierung von Aruba-Networks. Die SS-Points schalten sich nach und nach, immer einzeln, kurz für nicht ganz 200 Millisekunden ab, scannen einmal über das komplette Band, gucken, wo sind es wie stark, welches Signal, wo sind andere SS-Points und dann kann man noch weitere Einstellungen vornehmen, um die SS-Points dazu zu zwingen, um den Kanal zu wechseln, beziehungsweise den optimiertesten Kanal, mit dem niedrigsten signal-to-noise-ratio und mit der größten Entfernung zu den Nachbarzellen auszuwählen. Denn je mehr APs pro Kanal sind, wie schon gesagt, haben wir immer weniger R-Time. R-Time ist golden, ist vergoldet und man möchte die R-Time so schonend nutzen wie möglich, weil man sonst einfach nur Miesendaten durchsattet. Deswegen kein Channelbonding im 2,4 GHz-Bereich, auch im 5 GHz-Bereich, ist Channelbonding in High-Density-Areas nicht so gerne gesehen. Also die User sehen es gerne, aber haftechnisch ist das teilweise nicht so schön. Hier vor GPN haben wir aktuell auch nur 20 MHz-Kanäle aktiviert. Auch im 5 GHz, ihr seht, es reicht und wenn ihr dann wirklich euer Gigabit haben wollt, dann müsst ihr halt Kabel nehmen. Aber mit den 20 MHz-Kanälen ist man eigentlich schon ganz gut bedient. Man möchte die Zellgröße beachten. Man möchte nicht 800 Leute in einer Zelle haben. Im Handynetzen mag das vielleicht gut gehen, aber das ist auch ein bisschen was anderes. Das ist ein anderer Hardware, die ist deutlich teurer und das ist ein ganz anderer Standard. Hier müssen wir achten, wie viele User haben wir pro SS-Point? Wie viele User kann ein SS-Point überhaupt? Wir müssen die Sendeleistung beachten, dass die Zellen nicht zu groß werden und sich die Zellen nicht gegenseitig beeinflussen. Die SS-Points sich nicht unbedingt sehen. Antennenausrichtungen von Sektor-Antennen zum Beispiel, sind alles solche Sachen, auf die man genau gucken muss. Weil so eine Fritzbox kann, ich glaube, aktiv schafft die so circa sechs Clients. Das ist nicht viel. Dann kommen wir ein bisschen höhere Preiskategorie. Die Unifier-Pace, die kriegen aktiv versorgt mit beiden Radios, ich glaube, 150 Clients. Und dann, wenn man es dann so ganz teuer macht, dann kommt so Aruba mit 255 Clients pro Radio, mit zwei Radios. Also ist so das, was sie im Maximalen kriegen. Damit sollte man aber nicht planen mit der maximalen Zahl. Man sollte ungefähr nur so die Hälfte bis zwei Drittel der möglichen Clients pro SS-Point berechnen, damit man bei größeren Menschenbewegungen, zum Beispiel aus dem Hörsaal raus oder aus Saal 1 im CCH in Hamburg, raus ins Foyer. Das sind größere Kleinbewegungen. Und da hat man dann auch ganz schnell mal mehr Clients auf den Radios als eigentlich berechnet. Und dann möchte man, dass alle Leute weiterhin irgendwie ihre kleinen TCP-Streams auf ihren Geräten haben. Und wenn das Roaming dann funktioniert. Und das ist dann wieder so ein Punkt, wo man diese Hälfte bis zwei Drittel unbedingt beachten sollte. Was auch ganz nett ist, ist Band Steering. Die Clients versuchen sich auf 2,4 Gigahertz, wieso auch immer, als erstes einzuloggen, manche. Und die kriegen dann einfach vom Controller ein paar Mal gesagt, du kommst hier nicht rein. Dann sehen sie das 5 Gigahertz WLAN und gehen da rein. Das funktioniert meistens ganz gut. Man sollte dann auch gucken, dass man jetzt nicht unbedingt Mixed Environments hat, sprich, dass man mehrere WLAN-Hersteller in einem Bereich hat. Das hatten wir am KIT teilweise. Der Hörsaal war schon auf Aruba umgestellt und draußen auf dem Flur hängt noch ein alter Laden kommen. Ist okay. Der Client hat versucht, sich einzubuchen im Hörsaal. Das war sogar beim Laptop auch mal der Fall. Ich habe mich eingeloggt, habe Band Steering gekriegt, habe mich rausgeschmissen aus 2,4 Gigahertz. Ich habe gesagt, du kommst hier nicht rein. Dann dachte ich, eigentlich, er geht ins 5 Gigahertz. Da hinten war nämlich dann noch dieser alte Lahnkommasses-Point. Der hat gesagt, cool, 2,4 Gigahertz, nehm ich alle, ich kann nämlich kein 5 Gigahertz. Ich war verbunden, aber total grottig. Weil der Lahnkomm irgendwo weit hinten hat mich ja trotzdem genommen. Und deswegen sollte man dann auch beim Band Steering genau hingucken, wo verbaut man was und möglichst eine homogene Umgebung schaffen. Dann, wie schon erwähnt, die R-Time. Sie muss optimiert werden. Man möchte wenig SSIDs benutzen. Wir fahren aktuell hier auf der GPR 2 SSIDs pro Band. Wenn die Freifunker fertig sind mit ihrem Netz, dann kommt da noch eine dritte SSID dazu. Das ist noch im grünen Bereich. Man kann es auch anders machen. Wir haben teilweise am KIT-Bereiche mit 9 bzw. 10 SSIDs. Es ist doof. Jede SSID sendet nämlich alle 200 Millisekunden einmal ihren Broadcast, sozusagen, dass sie existiert. Bei 10 SSIDs ist das schon wieder ein bisschen mehr. Und wenn wir dann auch noch die Übertragungsraten von dem ganzen Kram angucken, weil das nämlich immer mit der niedrigsten möglichen Übertragungsrate gesendet wird, damit auch die ältesten Clients alles mitkriegen, haben wir dann wieder sehr viel R-Time, die da verloren geht. Da habe ich gleich noch zwei sehr schöne große Tabellen zu. Deswegen auch bei den Clients möchten wir die Basic Rates und die TX Rates hinaufsetzen. Sprich, was muss der Klein mindestens unterstützen, um sich verbinden zu können und was muss er mindestens senden an Raten, was unterstützen wir überhaupt? Wir wollen das beides auf mindestens 18 Mbit setzen. Dadurch unterstützen wir keine 812-B-Clients mehr. Aber bei 10.000 gleichzeitigigen WLAN-Clients haben wir im KIT ungefähr zwei DB noch machen. Und das ist dann so, ja, habt ihr halt kein Netz mehr. Ist zwar böse, aber man muss irgendwie dann ein Optimum finden und dann kann man irgendwie auf das unter 0,1%. Irgendwann kann man keine Rücksicht mehr nehmen. Das ist wie man einfach im Rechenzentrum keinen Token Ring mehr unterstützen kann. Irgendwann muss man aufhören und das ist jetzt auch der Punkt. Auf AGPN hier unterstützen wir übrigens auch keine B-Clients mehr. Das ist diese schöne Tabelle von der ich gerade sprach. Und zwar mit den Beacon Rates. 6 Mbit Beacon Rate und 18 Mbit Beacon Rate. Ihr seht, das ist ein bisschen, ich habe das aus dem Here Very High Density 802 11AC Networks & Engineerings Configuration Guide von Aruba geklaut, die Tabelle. Die gehen davon aus, dass man immer so gleich so ein Stadion ausstatten möchte in der Größe Superbowls. Die haben entweder für ganz klein oder für ganz groß. Dazwischen können die nicht. Und unten rechts in der Ecke kann man dann wunderbar den Teufel an die Wand malen. Sagen 66,65% der R-Time-Gen verloren durch SSIDs bei 50 APs auf dem Kanal und 3 SSIDs. Es ist schon ziemlich identity. Wenn man 50 APs auf dem gleichen Kanal hat, die sich auch noch alle Gegenseitige sehen. Das Problem ist einfach, wenn wir jetzt nach rechts erweitern mit der Anzahl der SSIDs und mit den SS-Points runtergehen, das Rote wird dann weiter hochwandern. Je mehr SSIDs wir haben, desto weniger SS-Points brauchen wir, um unsere R-Time voll zu bomben. Deswegen sollte man sich überlegen, ob man überhaupt die 6 Mbit Beacon Rate unterstützen möchte oder 18 Mbit. Man möchte eigentlich eher in diesen Bereich reingehen. Da sieht es schon deutlich schöner aus, wenn man 24 Mbit oder 36 Mbit Beacon Rate unterstützt. Weil man dann einfach ungefähr kein Overhead mehr hat. Die Beacon Rate, bitte. Aktuell, was wir hier eingestellt haben, müsste 24 Mbit, glaube ich, sein. Ja, haben wir. Das macht es einfach deutlich performanter schon mal in dem Bereich, weil wir einfach keine langsamen Clients mehr haben, die sozusagen das runtersetzen. Übrigens, worauf man auch achten muss, wenn man seine Basic Rates auf 18 Mbit setzt, heißt es nicht unbedingt, dass auch alles mit mindestens 18 Mbit übertragen wird. Multicast fällt übrigens dann nicht rein. Selbst wird nämlich Multicast mit der langsamsten möglichen Rate geschickt. Und das ist ziemlich blöd. Deswegen eine Erhöhung der Beacon Rate bringt nicht unbedingt auch gleich super Geschwindigkeit mit. Man muss auch den Multicast minimieren. Es gibt dazu Multicast-to-Unicast-Optimierungen, dass bis zu einem gewissen Gerat Multicast-Streams-to-Unicast-Streams umgewandelt werden von den Controllern oder SS Points und als Unicast über die Luft gesendet werden. Das bedeutet, dass wir Unicast in der Luft haben, wenn jemand einen Multicast-Video-Stream vom Vogue zum Beispiel schaut. Das bringt uns sehr, sehr viel Optimierungen. Haben wir auch gerade jetzt hier auf der GPN an, ich habe ungefähr 99,94 % Unicast in der Luft. Am KIT sieht das anders aus, da haben wir ungefähr 70-80 % Multicast. Ist doof, weil es Cloud-Air-Time. Was man auch unbedingt in größeren Areas blocken möchte, ist P2P-Communication. Einmal als Sicherheitsaspekt ist aber nicht unbedingt cool. Auf dem Kongress zum Beispiel, oder jetzt hier auf der GPN, möchte man das nicht blocken, weil jeder möchte mit jedem kommunizieren. Es gibt ja so schöne Protokolle, die untereinander sich austauschen. Aber wenn ich zum Beispiel im Hörsaalsitze muss ich nicht unbedingt in meinem Nachbarn kommunizieren, außer man spielt irgendwelche Spiele. Dafür blockt man dann einfach mal die P2P-Communication, weil das auch lokal als Multicast rausfällt und ist auch nicht so toll. 802.11ac unterstützt Jumbo-Frames. Das hat einen Vorteil. Wir kriegen mit einem Frame einfach mehr Daten durch. Problem ist, unterstützt die Hardware hinter den SS Points. Das auch, weil da ist es leider nicht so, dass das sozusagen durch den Tunnel optimiert wird, weil die Pakete bleiben so groß. Und wenn wir nicht wollen, dass der Kram sich wegfragmentiert, müssen wir auch gucken, dass unsere Switches zwischen den SS Points und dem Controller auch diese Jumbo-Frames unterstützen, damit der Kram nicht wegfragmentiert wird und uns wieder die gewonnene Übertragungsrate wieder ein bisschen kleiner macht. Auch möchte man für R-Time Quality-of-Service machen. Quality-of-Service ist insofern cool, weil man langsamer Kleins oder schwächere Kleins nicht benachteiligt. Es gibt da verschiedene Methoden. Man kann entweder das so machen, dass jeder gleich viel R-Time kriegt oder so machen, dass jeder ungefähr gleich viele Daten durchkriegt. Heißt, schnellere Kleins kriegen weniger R-Time, weil sie kriegen ihre Daten ja auch schneller durch. Ich bin mir gar nicht sicher, ob wir es anhaben. Kann Stefan einmal kurz nachgucken. Damit kann man auch schon einiges machen. Zum Beispiel im Audimux hatten wir grauenvolles Wlan, nicht mal 5 Gigahertz hat funktioniert. Wir haben ein bisschen Adaptive-Radio-Management rumgeschraubt und haben QoS angemacht. Es funktionierte im 5 Gigahertz-Bereich. Aber das 2,4 Gigahertz, das ist eine Sache, da müssen wir wirklich die SS Points nochmal anders hinhängen. Wir haben hier kleinen Qohertz. Okay, aber es funktioniert trotzdem. Und 12 Ambit Basic Rate, aber wie schon gesagt, es funktioniert. Wir sind nicht so high-density. Es ist uns gerade eben erst aufgefallen. So, Standortplanung. Ich kann nicht einfach hingehen und sagen, oh cool, hier ist eine Halle. Ich möchte jetzt hier Wlan machen und ich kleb überall meine kleinen 841er SS Points rein. Man muss sich überlegen, wie installiere ich die SS Points in Hinsicht auf die Abstrahlung der SS Points und die Antennen. Man möchte die SS Points installieren, weil User ziehen gerne SS Points raus. Ich war zum Beispiel mal um 22 Uhr in der Bibliothek gewesen, weil ein User einen SS Point rausgezogen hat. Und dann fragte ich ihn, warum er das getan hat. Ja, mein Wlan ging nicht. Ich so, okay. Warum ziehst du an den Wlan ein SS Point raus? Ja, 3 Räume weiter ist doch auch noch ein SS Point. Ich dachte, das stört sich. Ja. Man möchte wirklich die SS Points installieren, wo User nicht rankommen. Oder irgendein CCCler kommt an und hängt sich zwischen uns nüftkram. Ich habe gehört, das passiert manchmal. Dann möchte man auch die Anzahl der Menschen in den Bereich kennen. Als wir das Wlan jetzt hier für die GPN geplant haben, haben wir gleich als erstes gefragt, wie viele Leute sitzen in dem Saal. Da sitzen 100, da sitzen 300, da sitzen 100. Weil da muss man wieder auf die Radios gucken, wie viele Kleins pro Radio können wir und dass das halt eben alles Schöner funktioniert. Und auch die Anbindung der APs. Was habe ich an Kabeln? Das muss man vorher planen, wie viel Kabel brauche ich überhaupt. Wir hatten z.B. jetzt hier schöne Bodenkabel im Hackcenter. Haben wir durchgemessen? Ich dachte, ich hätte das Fluggegerät richtig verstanden. Das Fluggegerät sagt, ja cool. Ich teste mal. Ja gut, Standard Gigabit, der zu funktionieren. Hat leider nicht funktioniert. Kabel kaputt, super. Und dann mussten wir jetzt wieder die Kabel irgendwie oben rumziehen und 50 Meter Kabel einmal quer oben ums Hackcenter rum zum Switch ist doof. Also überlegt es, man sollte es vorher wirklich gucken und planen. Und dann sage ich noch gleich was über die Edgecorn Wahndimensionierung, weil es bringt einem nichts, ein supergeiles Wlan zu machen, wo die User alle gleichzeitig darüber kriegen, wenn ich 16 MB DSL abnehmen kann. Das ist ein bisschen suboptimal. Zu den Installationspaktiken gibt es generell drei Bereiche, in denen man unterscheiden kann. Einmal die Overhead Coverage, die Side Coverage und die Floor Coverage. Overhead Coverage heißt, dass sich die APS an der Decke montieren. Das wollten wir hier eigentlich auch machen. Leider gibt es hier nicht unbedingt was zum dranhängen. Und teilweise hängt es auch zu hoch. Mit Overhead Coverage, weil wir können die Kabel oben auf die Trasse hängen und es funktioniert alles Bestens. Man hat eine direkte Sichtverbindung vom Kleinen zum SS Point, weil über den Leuten da ist meistens nicht so viel. Allerdings ist die Zählgröße schwer zu dimensionieren. Die SS Points strahlen von oben runter und die Zählen überschneiden sich dann öfters mal. Und man ist da wirklich sehr, sehr stark abhängig von den Antennen. Und man ist da wirklich sehr stark abhängig, um die Zählen klein zu halten. An links hat man auch den Vorteil, dass man überall ein gleiches Signal hat, weil keine Wassersäcke dazwischen stehen und das Signal dämpfen. Und die Verkabelung ist auch nicht immer einfach. Wenn wir es zum Beispiel hier in Decke haben, können wir nicht einfach das Kabel hier damit runterhängen lassen. Da werden wir dann von Obliques gehauen, weil Brandschutz und alles. Und teilweise hat man auch einfach fertige Decken, wo man irgendwie was dran schraubt wie das Signal schön fest installiert an der Seite runter. Ist alles aufwendig. Und teilweise kommen dann auch die Architekten, die ihre wunderschöne Barockdecke designt haben, an und sagen, ne, der SS Point sieht da kacke aus. Der passt jetzt nicht ins Barock-Design. Und das sind so paar Kleinigkeiten, wo man dann Probleme hat, wo man dann überlegen muss, ob man nicht eine andere Installations-Praktik wählt. Weil auch ab einer gewissen Deckenhöhe ist das WLAN-Signal bekannt schwächer. Weil irgendwie versteht ihr ja, wenn WLAN irgendwie 100 Meter weit der SS Point weg ist, irgendwann ist das Signal auch schwach. Gute 100 Meter Deckenhöhe haben wir jetzt nicht unbedingt überall, aber so sieht das dann zum Beispiel aus. Das ist bei uns im Rechenzentrum, glaube ich. Einfach ein SS Point an die dicke Kleben funktioniert super für ein Büro. Ist eigentlich super schön. Side Coverage ist das, was wir hier aktuell haben. Die APS sind an der Wand montiert. Man versucht, eine möglichst gleichmäßige Montage zu kriegen, um Dämpfungen durch Wände auszugleichen. Auch möchte man nicht 2 APS an der gleichen Wand gegenüber installiert haben, weil da sind wir wieder in dem Bereich Hochfrequenz unterstört sich gegenseitig. Und vor allem wenn die dann auch auf den gleichen Kanälen sind. Man sollte unbedingt die Abstrahlung von Menschen einplanen. Das heißt ich habe gleich noch ein Suchbild. Das heißt sucht den SS Point. Wenn man einen Raum hat, voll mit Menschen, möchte man seinen SS Point nicht unten rechts in der Ecke auf dem Boden an der Wand montieren. Ganz viele Menschen, alles dämpft, ist alles blöd. Und bei manchen SS Points hat man hinter dem SS Points ein schlechtes Signal, weil sie schon von vornherein eher nach vorne abstrahlen. Zum Beispiel diesen die noch CPE 210 und 510 von TP Link. Die Strahlen nach hinten so gut wie gar nichts ab. Da muss man dann drauf achten. So sieht es dann im Optimalfall aus. Unsere SS Points strahlen primär nach vorne weg und versorgen den Raum. Wir haben beachtet was dämpft unsere Wand, wie stark sind die Signale und so kann man dann schön eine Schule mit Metallwänden oder so was abdecken. Jeden Raum einen kleinen SS Point, den den Raum versorgt und auch alle schön gleichmäßig in eine Richtung von Abstrahlung montiert, dann kann man schon ganz gute Ergebnisse erzielen. Das ist diese Sache mit den nicht gegenseitig an die Wand hängen. Weil wenn die auf ähnlichen Kanälen sind, wie 36 und 40 ganz rechts, das ist okay. Aber es ist schon wieder ziemlich dicht zusammen. Deswegen stört sich das wieder ein bisschen. Ganz doof ist 36 und 36 direkt hinterhängen. Dann lieber gucken, dass man da einen größeren, wenn man die schon gegenüber einer Wand montieren muss, dass man da schon einen größeren Kanalabstand zwischen den SS Points hinbekommt. Da sind wir übrigens wieder bei den Planungen von den RF Eigenschaften und seinen Kanälen. Man möchte im 2,4 Gigahertz entweder einen 3-Kanal-Plan nehmen oder einen 4-Kanal-Plan nehmen. Das haben wir dort benutzt. Aktuell hier auf der GPN haben wir 4 Kanäle. 1, 5, 9 und 13. Und diese Kanäle werden zwar nicht alle von allen 3 unterstützt, aber es gibt manche Bits, die man in den Paketen aktivieren kann, die den Clients sagen, dass man sich befindet, dass die wissen so, ich bin ja gar nicht in Amerika. Cool. Dann muss ich mich auch nicht wundern, wenn ich in dem Bereich keine WLAN mehr habe, sondern dass die Kleines Bescheid wissen, was Sache ist. 4 Kanäle ist übrigens eine sehr, sehr schöne Sache, weil es gibt in der linearen Algebra in der Informatik das sogenannte Landkartenproblem. Wie viele Farben braucht man, um eine Landkarte einzufärben, damit kein Land, egal in welcher Kombination diese Landkarte ist, kein Land, was direkt nebeneinander liegt, die gleiche Farbe hat. Ja, wer weiß das? 4. Richtig, das sind 4. 5 Kanäle geht natürlich auch. Mathematisch werde ich das nicht bereisen, das sind ungefähr 200 A4 Seiten. Aber 4 Kanäle ist da schon total super. Deswegen möchte man das benutzen. Entschuldigung, ich bin vor diesem Außenrum-Themenwechsel. Zurück zur Sidecoverage. Wo ist der S-Point? Nein. Neben dem Regal ist der S-Point. Nein. Doch, da ist der S-Point. Das ist irgendwie ein bisschen blöd, weil da sind Tische und da sitzen Leute vor und mittlerweile ist das ein bisschen besser geworden, weil wir haben den S-Point von der Wand abgenommen und einfach auf die Fensterbank gelegt. Es ist simpel, aber das war eine Riesenoptimierung. Die Leute haben sich so sehr gefreut, dass ihr WLAN super funktioniert. Weil das sind dann wieder die Abstrahleigenschaften des S-Points. So, das ist eine andere Möglichkeit für Sidecoverage. Das ist so ne Mischung aus Overhead und Sidecoverage. Der ist unser Assistence-Engineer von Ariba gesprochen. Und der sagte uns, eure S-Points, wie die an der Wand hängen, ist doof. Optimiert, sagt er, wenn ihr sich schon an die Wand montieren müsst, dann hängt sie doch bitte in einem gewissen Abstand zur Wand. Daraufhin ist Stefan losgeflitzt, hat für drei Euro bei dem Baumarkt diese Winkel geholt. Die sind ja so ungefähr so ein Stück von der Wand entfernt für 90 Grad drehende Assist-Points. Und wir haben wunderschöne Abstrahleigenschaften. Wir probieren das gerade im Rechenzentrum aus. Wir müssen mal gucken, ob wir das überall auf den Campus so einsetzen, weil diese Winkel sind schon so ein bisschen wackelig. Ja. So, dann gibt es etwas, was ich unbedingt noch mal irgendwann irgendwo einbauen möchte. Ich habe allerdings nicht die Möglichkeit dazu, weil das doch ein bisschen teuer ist. Die sogenannte Floor Coverage da werden die APs auf dem Boden montiert in kleinen Kistchen. Wir minimieren die Zellgröße diesmal mit dem, was wir sonst mal so stören finden, die User, indem wir einfach die Entdämpfung ausnutzen und dadurch die Zellen möglichst klein halten. Das ist eher geeignet für Stadien und Hörsäle mit größeren Ausmaßes so ungefähr 2.500 User. Deswegen werde ich wahrscheinlich nicht so die Möglichkeit haben, das mal einzubauen. Es ist auch ein sehr hoher Installationsaufwand, weil wir müssen nicht nur die Kisten irgendwo ran schrauben, sondern wir müssen auch die Kabel dort hinlegen, wir müssen dann dafür die Kabelkanäle legen. Wir haben mehr SS-Points, die wir benötigen, weil die Zellen ja kleiner sind und es ist ultra schwierig dann da überhaupt hinzukommen, dass das alles gut installiert ist und auch randalierungssicher installiert ist. Speziell in Stadien. Manche Leute werfen Tische und manche SS-Points, aber deswegen hat man auch immer so die Probleme, man kommt nicht immer unbedingt unter die Tribüne drunter um dort von unten durch den Beton das Loch für das Kabel zu bohren. Deswegen ist es ein bisschen schwierig umzusetzen. Hier ist so ein schönes Beispiel, wie das dann aussieht im Stadion, wenn die SS-Points unter den Sitzen montiert sind. Einfach eine kleine unscheinbare Box, aber da kommt ganz viel schönes WLAN raus und alles funktioniert ganz toll. Das überschneidet sich oben, aber das sind keine User- bzw. Endgeräte, die noch irgendwas senden. Deswegen ist das da nicht das Problem. Es geht um den Bereich zwischen wo die Endgeräte sind, ob sich dort Kanäle überschneiden bzw. Zellen überschneiden, weil HF Eigenschaften hatte ich ja gerade eben schon gesagt. So, jetzt ist die Frage, was ist der Praktik? Es ist abhängig von der Kleinanzahl. Ich möchte keine Floor-Coverage in einem Raum mit 50 Leuten machen. Ist einfach viel zu aufwendig. Eine Overhead-Coverage bei doppelter Decke ist eigentlich ganz cool anzustreben, weil man hat diese schönen Deckenplatten. Die kann man einfach rausnehmen auf den Tisch legen, SS-Point ran schrauben und von oben den Kabel ran führen. Das ist total toll, das funktioniert echt super. Aber bei einer gewissen Deckenhöhe sind auch wieder nicht mehr so schön, dass man dann dort die SS-Points hinhängt. Zum Beispiel im Saal 1 vom CCH, da haben wir ein extrem hoher Deckenhöhe. Dort werden die SS-Points aktuell bei jedem Kongress immer mit Stahlseilen von der Decke gehängt. Guckt mal genau hin. Damit die so nicht an euch dran sind, dass ihr kleine Zellen habt und trotzdem noch Daten überschneiden kriegt. Im Endeffekt ist die Side-Coverage am günstigsten von den Sachen, wo man dann einfach den SS-Point an die Wand packen kann. Meistens sind unten Wulandosen und man kriegt den Kram recht schnell installiert. Und es ist auch ultra einfach zu installieren. Deswegen haben wir das auch hier verwendet. Und wenn man auf die Abschall eingeschafft und achtet, dann kann das auch super funktionieren. Eine Mischung der Praktiken kann ich nicht empfehlen, weil es ist zwar gut für die Signalstärken, wenn von allen Seiten die Leute mit WLAN zugebompt wird, dann ist es nicht so toll. Dann lieber für eine Sache entscheiden, darauf achten, dass man es auch gut aufbaut und dann das so lassen. Die Anbindung der APS mit Gigabit ist cool, weil 100 Ambit gerne mal ausgelastet ist, ab und zu, hatte ich ja schon gesagt. Auch zum Minimierung des Installationsaufwanders versorgt sie mit PoE. Es gibt so kleine PoE-Injektoren, kennt ihr bestimmt von 841 von TP-Link. Die werden mit so kleinen PoE-Injektoren angeschlossen. Macht es auch viel einfacher, wenn ihr den SS-Point an der Decke hängen habt. Dann müsst ihr für den Hard-Reset nicht unbedingt dort oben hin und die Sicherung ausschalten oder irgendwie dann hochkackt dann an die Decke und das Kabel ziehen, sondern ihr könnt für den Hard-Reset einfach zum PoE-Injektor hingehen und einfach rausziehen. Ist super toll. Wenn ihr PoE-Switch habt, müsst ihr das sogar nicht mehr aufstehen. Genau, notfalls dann PoE-Injektoren kaufen dann oder einfach PoE-Switches benutzen und ihr könnt auch überwachen, welcher SS-Point wie viel Strom gerade zieht. Achtet dabei auf die PoE-Standards, die größeren SS-Points nehmen dann auch gerne mal das sogenannte PoE-Plus. Nicht alle Switches unterstützen das und achtet auch, wenn ihr Switches kauft, wenn nachten Port 40 Port PoE-Switch unterstützt keine 48 Ports PoE-Plus. Das ist dann einfach irgendwann so viel Leistung. Das geht gar nicht mehr. Die Dimensionierung der Anbindung. Das ist extrem viel Magie. Ich habe mich da durchgelesen. Ich saß drei Stunden in den Zug, habe das PDF dazu immer wieder und wieder gelesen. Es ist irgendwie so eine riesen Formel. Ich habe versucht, das in extra kurz zu fassen. Es geht nicht. Deswegen habe ich es einfach mal weggelassen. Schätzt das ab. Ich habe da gehabt, ich habe eine Veranstaltung mit 1000 Nutzern, sollte man schon seine 500 Mbit Ablink haben und ab einem gewissen Punkt hat man auch mehrere Gigabit. Hint der Kongress mit seinen 13.000 Besuchern hat im WLAN normalerweise unter 3 Gigabit. Weil es ist bei Netzverkabelnetz verfügbar und deswegen so der richtige Traffic geht beim Kongress echt nicht übers WLAN. Deswegen man darf es dann auch wieder nicht sagen, ich habe 100 Leute die alle richtig cool WLAN nutzen und wir kaufen mal ein Gigabit. Aber da sollte man dann schon darauf achten. Was auch immer sehr wichtig ist ist eine Glasfaserverbindung von den sogenannten Edge Switchen zum Core Switch. Weil das dann teilweise doch größere Entfernungen mehr als 100 Meter vor allem in großen Stadien einfach Glasfaser nehmen. 10 Gigabit kommt darauf an. Wir haben hier 10 Gigabit links, aber auch nur, weil wir nur 10 Gigabit da haben. Unser Reichtum ist ein bisschen das Problem. Wir können kein Gigabit, das ist uns zu langsam und zu günstig. Deswegen war ein Kapazität abschätzen was man dann so grob haben könnte. Da spielt dann unter anderem die sogenannte Take Rate mit rein die Use Rate also wie viel Prozent der möglichen Bandbreite nutzt das Gerät überhaupt so jetzt beim Talk sind es so eher so 10 bis 20 Prozent eher 50 Prozent wenn ihr mit dem Talk langweilig findet 90 Prozent Vorlesung und dann hat man auch die Take Rate wie viele Devices pro User also ich gehe jetzt hier in dem Saal die Geräten eigentlich aus Rechnungsweise und weil ihr Reftops alle da gelassen habt ist es wieder auch gebietabhängig. Da steht Stateful Firewall und Nut auf der Folie. Achtet da drauf was der Kram kann. Wenn ihr unbedingt Nut machen müsst dann habt ihr teilweise das Problem, dass ihr paar tausend User auch mit Kabeln das performt irgendwann nicht mehr so schön. Wir haben das Problem gerade mit dem Wohnheim in dem ich lebe hinter der gesamten Firewall hängen ungefähr 4.500 Leute die Firewall ist mit 10 Gigabit angeschlossen. Nur das Problem ist ab einem gewissen Punkt ich glaube 1,8 Gigabit oder so laufen alle Interrupts der Netzwerkarte auf einen CPU Core von der Firewall dieser läuft auf 100 Prozent und drop dann Pakete ganz munter. Abends vor allem bis 24 Uhr ist unser Ping grauenvoll. Unser Datendurchsatz ist echt doof im Vergleich zu morgens um 5 kriegt man halt eben auch sein Gigabit ins Zimmer mit seinen 2 Millisekunden Ping. Ist cool. IPv6 ist bei uns hinter einer Stateful Firewall. Ich weiß nicht ob es die gleiche Maschine ist oder ist eine andere Maschine und da wird natürlich nicht genattet sondern das einfach nur ein Firewall auszulässt das erzeugt deutlich weniger Load und über V6 hat man immer noch schnelles Netz bei uns deswegen die Empfehlung bei uns im Wohnheim ist auch immer nehmt V6, macht mit V6 ein Tunnel zur Uni auf weil das nochmal anders terminiert wird man kriegt eine Public IP Adresse und IPv4 über das Uni VPN und kann dann immer noch weiterhin schnell seinen Netflix schauen. Wir haben hier mich rausgefunden es ist wirklich es sind Streamingdienste die uns das alles schon überlegen, fragen wir mal Netflix ob die ein Mirror hinter unser Nut stellen wollen damit wir dann eine Entlastung für das Nut haben. Also achte drauf was eure Hardware irgendwie kann. Vierneinhalb Tausend User sind noch nicht so viel ich glaube, da würden sie auch nicht drauf reagieren. Achtet da drauf was euer Nut kann, testet das vorher mit IPav aus nicht dass ihr dann irgendwie da Probleme habt. Jetzt noch kurz was zum Thema Network Security. Ihr könnt eh wieder WLAN haben dann wenn ihr wirklich die Kleins schützen wollt und nicht auf freie Netze ausseiten sondern einfach nur den Leuten eine Möglichkeit geben wollt WLAN was nutzbar ist Klein Isolation an und Captive Portal ich sehe mich schon das Gesicht verziehen ja Captive Portal mein Gott das hat nichts damit zu tun dass ich die User irgendwie will sondern leider haben wir in Deutschland das Problem Störerhaftung das wisst ihr alle und wir haben da ein Problem wenn wir uns einfach zur Verfügung stellen man kann es umgehen, ja ich weiß Mik Also wenn ich jetzt um normal das GDA wiechert die mache Passwort setze dass ich an die Wand schreibe das ist ja genau so offen also nun mal so zu bedenken ja genau also ok jetzt ist es zu spät für das Mikrofon ja Miks sagte man kann auch einfach das Passwort an nehmen das Passwort an die Wand schmieren und dann kann man es im Nachhinein sagen ich weiß ja nicht wer das Passwort hat weil ich habe das nur an meine Mitarbeiter weitergegeben ist schon sicher dann ist man wahrscheinlich auch schnell aus dem Schneide aber das ist schon wieder zu viel für Kleins Kleins können teilweise nicht lesen also die User die das Gerät bedienen können teilweise nicht lesen also so was nicht lesen und deswegen Klein Isolation immer damit die sich nicht gegenseitig wegsniffen und Captive Portal einfach für die eigene Sicherheit man möchte aber eigentlich kein Captive Portal und kein Klein Isolation haben also das nochmal dazu ich bin auch ein Freund von offenen Netzwerken wie Freifunk ich mache sie auch selbst deswegen das ist wirklich nur wenn man es wirklich machen muss das sage ich euch auch gerne versucht überall Captive Portal zu vermeiden sie sind scheiße, sie machen Dinge kaputt das ist wie hier auf der GPN 802 1x das in größeren Deployments wie Stadien oder Unis kann man das nur für sogenannte Static Devices nutzen die öfters da sind wenn ihr jetzt bei der Fast-Food-Kette von nebenan seid und gerade jetzt in München zu Besuch seid und so oh cool Fast-Food-Kette ich gehe mal schnell ins WLAN dann seid ihr einmal da vielleicht noch ein zweites Mal in der Woche oder ein paar Jahre später wenn ihr nochmal da seid deswegen ist es immer für jeden dann einen eigenen 802 1x Account im Radius anzulegen nicht so toll es gibt da schöne Lösungen für dass man das auch woanders nutzen kann wie zum Beispiel das EdoRome das wird alles immer an den Radioserver in der jeweiligen Universität terminiert auch wenn ihr woanders an der Universität seid dann geht eure Anfrage erstmal an den Radioserver eurer Heim-Universität das ist echt total toll und man hat halt auch diese Sicherheit man kann einstellen dass der Radioserver die Clients in spezifische V-Lands rein droppt das werden wir jetzt zum Beispiel am KIT wahrscheinlich auch noch einführen weil wir zu viele SSIDs einfach haben wir wollen auf 3 SSIDs runter und wie kriegen wir es dann hin dass wir weiterhin das weiterhin unsere Studenten auf die KIT Intendienste zugreifen können auf die die EdoRome Leute nicht zugreifen sollen da kann man dann den Radioserver beibringen dass sie die Leute in entsprechende V-Lands droppt das haben wir aktuell auch hier im WLAN zum Beispiel kann man jetzt über das GPN WLAN aktuell mit der richtigen Nutzer-Passwort-Kombination in das Freifunk-V-Lan jetzt schon reinkommen das haben die Freifunker angefragt damit die testen können ob ihr V-Lan überhaupt richtig funktioniert nicht damit nicht dass ihr dann schlechte Eindrücke von einem nicht funktionierenden Freifunk kriegt, zwar ja doof Software Free Radios kann ich empfehlen Radiator ist muss ich dazu sagen Payware ist in Perl geschrieben ja es funktioniert in Perl, ich hab auch schon gehört so wie da ist Software in Perl und die funktioniert und skaliert in großen Environments, ja es geht Free Radios ist die freie Alternative dazu ich weiß gar nicht in was das geschrieben ist aber der liebe Floräuf hatte dazu mal gesagt er kriegt schlechte Laune wenn er das konfigurieren muss und ich hab's dann für dieses Jahr GPN konfiguriert und man kriegt wirklich schlechte Laune davon das sind dann solche Sachen es gibt ein Test-Tool und dieses Test-Tool testet dann den Server aber greift dazu auf Konfig-Dateien vom Server zurück, das hab ich nicht ganz verstanden warum es das tut, das kam mir ein bisschen komisch vor weil ich hab nämlich den Fehler dann beim Test-Tool gesucht obwohl es ein Fehler in meiner Konfiguration war das war ein bisschen schwierig aber an sich es funktioniert eigentlich ganz gut wenn es dann funktioniert, dann funktioniert es man darf nur nicht die Base-Config groß anfassen und da groß rauslöschen und sagen ich nehme eine leere Datei und schreibe meine Konfig selbst sondern nehmt die Konfig, das wird auch überall im Internet empfohlen, nehmt die vorhandene Konfig und ändert sie nur schrittweise ab und testet immer wieder ob es funktioniert wir können natürlich nicht für jeden GPN-User einen eigenen Account anlegen deswegen haben wir hier Sternchen-Sternchen sozusagen als User in der Passwort-Kombination ihr könnt eintragen was ihr wollt und das funktioniert dann und ihr seid dann geschützt und man möchte TTLS und MS-Shop-V2 beziehungsweise TTLS und PAP benutzen einfach für die erhöhte Sicherheit weil ich hab jetzt zum Beispiel schon gehört dass man es schaffen kann wenn es PEAP und MS-Shop-V2 ist, ich glaube das ist primär beziehungsweise MS-Shop-V2 den Kram mitsniffen kann die Authentification und dann daraus aus den Hashes davon innerhalb von 24 Stunden das Passwort Brut forsten kann und das Passwort hat ziemlich doof im Bereich Ederoom weil meistens hängen an den Accounts noch ein paar mehr Sachen an man kann da Leute für Prüfungen anmelden wo die Leute merken gar nichts davon weil man kriegt dann für sowas keine Mails man kann da schon ziemlich scheiße mitbauen deswegen achtet da drauf was ihr nutzt, informiert euch vorher ich kenne mich in den Bereichen nicht so gut aus dass ich jetzt irgendwie euch sagen kann genehmt genau das lest dazu selbst lieber nochmal genau was nach ich bin jetzt auch schon so gut wie durch das Fazit ist es ist ein fucking umfangreiches Themengebiet man sollte nicht einfach hingehen und aufstellen und fertig man sollte vorher planen was man mit dem WLAN macht man sollte nicht an Hardware sparen man kann natürlich irgendwie versuchen so eine ganze Veranstaltung mit 15 Euro APs auszustatten kauft dann lieber die Unify-APs die funktionieren in den meisten Fällen echt super gut im Vorausplan die Nutzerzahlen beachten nicht unterschätzen planen wenn ihr Festinstallation macht ungefähr fünf Jahre im Voraus so rechnet dann mit Faktoren dass ihr sozusagen guckt wie sieht das aus in ein paar Jahren dann jetzt irgendwie nicht 2,4 die weißes pro User haben sondern irgendwie schon 3,6 dass ihr das einplant plant darauf ein dass die User immer mehr 5 Gigahertz nutzen zum Beispiel in dem Medienteater haben wir aktuell 4 SS Points hängen und zwei davon machen gar kein 2,4 Gigahertz mehr weil wir prima dass wir es darauf ausgelegt haben dass die User 5 Gigahertz haben da sehen wir auch hier in den aktuellen Userzahlen GPN also nochmal um die Verwirkung aufzuheben legacy ist 2,4 Gigahertz aber das wussten wahrscheinlich auch die meisten eh schon genau und optimiert euer System laufend auch wenn ihr sagt oh es funktioniert jetzt sobald der Saal gefüllt ist funktioniert es nicht mehr das kann ich eigentlich fast versprechen deswegen immer wieder reinsetzen auch mal in eine volle Vorlesung während der Veranstaltung einfach mit dem Laptop mitten in die Menschenmenge hocken und einfach mal testen wir haben auch diese großen schlechten Abdeckungsflecken im Audimax erst gefunden dass wir uns mitten in die Vorlesung reingesetzt haben mit dem Laptop und einfach mal ganz blöd auf der Treppe saßen Speedtest gemacht haben dadurch findet man Fehler laufend einfach optimieren immer weiter irgendwann wird es dann deutlich schöner ja wenn ihr dann noch Fragen habt dann bin ich jetzt für Fragen bereit sonst später erreicht ihr mich auf DECT WLAN oder einfach am Noctesk und ja ich hoffe ich konnte euch ein bisschen Licht ins dunkle des WLANs bringen ich habe nicht von manchen gehört es ist so ein bisschen Magie mit bei ich hoffe ihr habt es verstanden vielen Dank und jetzt Fragen so kriegst du ein Mikrofon sorry dass ich mit dem Thema noch mal nervig zum Captive Portal ich wollte wissen ist das überhaupt legal man macht da ja Adress Fälschung jaaaain wie das rechtlich aussieht kann ich dir nicht sagen ich habe aber auch schon erlebt dass in Bereichen wo Captive Portals eingesetzt wurde dass ein redirect gab der auch nur ohne SSL funktioniert also heißt sobald du eine Seite mit SSL explizit aufgerufen hast weil Google zum Beispiel deine Startseite ist dann hat das einfach gar nicht funktioniert dann kam es gar nicht zum Captive Portal hin ich vermute mal dass es so semi legal ist ich weiß nicht ob darüber sich jemand schon mal gestritten hat aber ich denke mal dass es einfach so alle Leute haben das so diesen Punkt bisher ignoriert also weiß nicht sonst noch Fragen ich kenne es jetzt nur aus der Unify-Doku aber es gibt ja diese 2 Modi dass du sagst entweder alle Access Ponds stellen quasi einen virtuellen Access Pond da der Klein weiß überhaupt nicht mehr ob es andere gibt oder gibt die Möglichkeit dass man mehrere hat und der Klein sieht auch mehrere wird aber vielleicht aktiv vom Controller irgendwie von einem weggeschubst um den anderen zu nehmen oder so ist das beides noch akut oder ist man da weiter oder was macht man, was nimmt man oder hängt es davon ab also der Klein geht ja primär nach der SSID der guckt nach der BSSID und das gibt Optionen für dass die Controller die Klein's einfach nicht mehr auf den einen SS-Point rauf lassen wenn sie merken dass ein anderer SS-Point den Klein stärker sieht ich sehe Stefan hat gerade das Mikrofon der verwendet diese Unify AP bei sich im Wohnheim und der kann dazu wahrscheinlich nochmal mehr sagen also ich hab mich gerade mit dem Thema Unify Access Ponds und Klein-Droaming auseinander gesetzt Ubiquiti hat ein recht speziellen Punkt im Bezug zu Roaming dieser Zero-Hand-off-Modus den du gerade genannt hast ist im Grunde nur für Abdeckung in Low Density Bereichen denn der nimmt alle Access Points auf den gleichen Klein und gaukelt einen Access Point alle Access Points auf den gleichen Kanal und gaukelt einen großen Access Point vor in High Density Bereichen wie hier können wir das nicht machen weil dann ist die airtime fall was die großen Enterprise Lösungen wie hier haben oder an der Uni ist das die Access Points auf verschiedenen Kanälen sind damit wir mehr airtime bekommen und der Controller die Clients aktiv auf andere Access Points Stubbs durch und es passiert durch Disconnects oder besser das implementiert Ubiquiti gerade in Alpha Version über die Standards 8021 11R K und V ja ist die Frage dann soweit beantwortet? okay gut ich bin gespannt was sie machen wenn sie mit einem Buchstaben von den 8021 irgendwas durch sind ja AC ist das wird irgendwann sehr lustig in 100 Jahren welche Diagnose-Möglichkeiten habe ich denn wenn ich jetzt so ein komplexeres Netzwerk aufgebaut habe mit X Access Points die über eine Wi-Fi Analyzer App auf dem Android vor und hinaus gehen also Flücke war vorhin schon angesprochen was ging jetzt mehr wahrscheinlich um Kabel durchmessen aber was für Möglichkeiten habe ich denn da eigentlich einmal diese Wi-Fi Analyzer App auf dem Handy die euch diese wunderschönen Hügelchen anzeigt die ist gar nicht mal so schlecht also sie zeigt euch an was ihr sehen müsst und das reicht eigentlich in den Fällen schon wenn wir Ausleuchtungen machen von Büros dann nehmen die Hivi sich ein Access Point mit packen den ungefähr dorthin wo er dann später auch mal sitzen soll und gucken nach wie stark ist das Signal wo da kommen dann jetzt natürlich nochmal diese Sachen zu mit Clients beachten aber für Büros reicht das in größeren Netzen kannst du dann teilweise echt nur noch hingehen und sagen ich jag Leute rein und testet das mit Leuten weil du kannst nicht simulieren, dass du viele Leute hast machen bzw. du kannst es aber das wird teuer zum Beispiel manche Enterprise Hersteller haben dann einen Test Stand das ist ein abgeschirmter Raum da haben die einfach mal 30 MacBook Pro reingestellt das kann man nicht einfach so bezahlen und hängen dann immer einzelne Access Points drüber und machen dann Test-Szenarios mit entsprechend dann den MacBooks die dann halt eben Daten durchsatz erzeugen um das dann sozusagen zu testen aber es sind wieder Laborbedingungen also außer groß Signalsteigemessen und Rumrennen und Speed Test machen gibt es da recht wenig Möglichkeiten man kann natürlich eine professionelle Firma beauftragen aber das ist auch wieder sehr teuer ich denke mal für das was man so normalerweise tut reicht einfach im laufenden Betrieb testen ich habe noch eine Frage zum Band Steering und zwar was wir jetzt hier sehen und was halt auch denke ich Best Practices bei manchen Situationen erstmal Band Steering da aber zu machen dass man verschiedene SSIDs benutzt und dann halt die 2Ghz SSID Legacy nennt damit das für User irgendwie unattraktiv aussieht da drauf zu drücken das ist jetzt hier so deployed aber du hast gesagt, dass Enterprise Wifi-Lösungen wie zum Beispiel die Arubaus oder andere auch einen Band Steering durch den Controller beziehungsweise ein Access Point also aktives Band Steering warum ist das da nicht an hier also was ist da die Schwierigkeit wir haben es an wir haben nur jetzt das Client wer kann das nennen, ja Client basiert der Band Steering an also mit verschiedenen SSIDs weil wir beobachtet haben dass teilweise die Clients auf den Kongress zum Beispiel weiter weg von ihren SS Points kommen wenn sie im 5Ghz Bereich sind schlechteren Empfang haben und auf 2,4Ghz runter droppen und die SS Points sich dann einfach alle im 5Ghz Bereich sammeln und immer weniger im 5Ghz Bereich sind alle wieder runter auf 2,4Ghz gehen das hat eben zu Problemen geführt und deswegen haben wir jetzt explizite SSIDs gesetzt die Leute wirklich im 5Ghz behalten egal wie schlecht das WLAN ist weil sie einfach die anderen SSIDs nicht kennen das heißt wir verhindern sozusagen, dass der ganze Kram auf 2,4Ghz runter rutscht man könnte das natürlich auch noch andere Weise optimieren dass man zum Beispiel möglichst versucht die Clients möglichst balanciert auf 2,4Ghz und 5Ghz zu halten aber das finde ich persönlich nicht so schön und wir werden für die Freifahrung SSID das Band Steering anhaben also das aktive von Controller da könnt ihr dann ja mal testen wie das so ist und wie sich das dann genau verhält kann sein, dass es mit der neuesten Software-Version schon deutlich besser funktioniert noch weitere Fragen mit noch mal da bringst du mich jetzt auf das nächste Thema ich habe ja dann irgendwann als ich mich weiter mit gefasst habe einen großen Haarmoment gehabt dass ich herausgefunden habe, es gibt so etwas wie Minimum-RSSI also man kann vielleicht auch beim Controller einstellen bei welchem Access Point welcher Wert ein Minimum sein soll an Signal zu Neustradio denn der Access Point vom Client hört also dem Weg zurück dass zum Beispiel der Access Point durch die Wand auf meinem Smartphone noch zu hören ist aber andersrum nicht wie läuft das so was gibt es da für Möglichkeiten also in den Enterprise-Lösungen gibt es da Schwellwerte die man einstellen kann die Enterprise-Lösungen sind ziemlich schön weil man einfach alles einstellen kann ich kann dann auch wirklich angeben in gewissen Bereichen die empfohlen sind bis zu welchen Werten die Access Points noch angenommen werden und ab welchem Punkt der Controller aktiv sie auch auf andere Access Points roamen soll oder irgendwelche anderen Sachen mit denen anstellen soll da gibt es Möglichkeiten nur die Empfehlung ist da wirklich dass man sich dann zu solchen Sachen mit richtigen Leuten also Experten auseinandersetzt und mit denen sich unterhält weil das dann teilweise schon richtig Probleme verursachen kann wenn man einfach nur ein bisschen zu weit vom Access Point weg ist so dass ich jetzt zum Beispiel wenn ich zum ersten Punkt hinten sehe mich nicht verbinden kann weil irgendwie Signal einfach zu schwach wird weil auch so ich jetzt schon wieder Signalverluste habe deswegen aber da gibt es Möglichkeiten und damit müsste man nochmal ein bisschen mehr rumspielen da hatte ich bisher an der Uni noch nicht so viel Zeit zu sonst was gut, dann denke ich sind wir durch schön dass sie da war ich habe freue mich auch, dass sie voll geworden ist gut, Dankeschön und Tschüss