FeM

 


Im Rahmen einer Pilotphase wurde dazu zunächst Hardware von Hewlett Packard, Avaya, Linksys, Ubiquiti Networks und Freescale evaluiert. Dabei erfüllte nur die Hardware von Freescale (P1020WLAN [0]) unsere Anforderungen [1] zufriedenstellend. Wesentlich war die Leistungsfähigkeit und Austattung der Hardware sowie dass fehlende Funktionen durch Anpassung der freien Software selbst entwickelt werden konnten.

So vermissten wir im Besonderen die Unterstützung einer verschlüsselten Verbindung der AccessPoints mit dem Backbone bei gleichzeitg bestehender Integration in die Block-VLANs sowie die Unterstützung von DHCP-Snooping. Dies schützt das WLAN gegen missbräuchliche Nutzung, auch wenn die AccessPoints an öffentlich zugänglichen Orten installiert sind. Durch Crypto-Offloading und Gigabit-Ethernet unterstützen die AccessPoints die schnelle verschlüsslte Anbindung an das Backbone. Weiterhin benötigten wir die Unterstützung von WPA-PSK mit gerätespezifischen Passwörtern, da dies die Einrichtung für die Nutzer vereinfacht und sichere Verwendung älterer Geräte erlaubt. Für eine einfachere Installation und Fernwartung erfolgt die Stromversorgung mittels IEEE 802.3af POE über das Netzwerkkabel. Diese Art der Stromversorgung ermöglicht uns außerdem, die AccessPoints zur Not bei allen Arten von Ausfällen aus der Ferne vom Strom zu trennen und neu ggf. neu zu starten.


Nach erfoglreichen ersten Tests wurden dann im November 2012 im Wohnheim "Haus P" 12 AccessPoints installiert. Das Studentenwerk Thüringen hatte zuvor im Rahmen einer ohnehin nötigen Sanierung die baulichen Voraussetzungen dafür geschaffen. In der Rahmen der nächsten Ausbaustufe wurden im April 2013 in den Räumlichkeiten der Studentenclubs des ILSC e.V. sieben AccessPoints installiert. Da sich das neue Funknetzwerk einem großen Zuspruch erfreut, ist der weitere Ausbau auf dem Hans-Stamm-Campus geplant. So wird das WLAN derzeit von 350 angemeldeten Geräten genutzt, wobei bis zu 60 Geräte gleichzeitig online sind und im Monat über 500 GByte an Nutzertraffic generieren.


Es ist geplant, in den kommenden drei Jahren alle Ilmenauer Campus-Wohnheime des Studentenwerks Thüringen mit WLAN zu versorgen. Dazu werden voraussichtlich ca. 300 AccessPoints benötigt. Die gleichen Geräte können außerdem auch verwendet werden, um beispielsweise auf Veranstaltungen kurzfristig und vorübergehend für WLAN-Zugang zum FeM-Net zu sorgen - beispielsweise im Rahmen von Streaming-Projekten. Dabei reicht auch ein eingeschränkter Internetzugang aus, welcher die Kommunikation des AccessPoints durch TCP-only NAT einschränkt. So können wir den Studierenden auch zukünftig eine solide Infrastruktur für ihre universitären Aufgaben und die Erforschung der elektronischen Medien bieten.


Die Pilotphase konnte dank der Nutzung freier und quelloffener Software besonders schnell und kostengünstig durchgeführt werden. Im Rahmen der Entwicklung wurde weit verbreitete freie Software angepasst, die Änderungen an die Projekte zurück gegeben und somit neueFunktionen der Allgemeinheit zur Verfügung gestellt. Ausgangspunkt für die Firmware der AccessPoints war die sehr flexibel einsetzbare Linux-Distribution OpenWRT, welche zudem durch sogenannte Feeds schnell und einfach um neue Funktionen erweitert werden kann. Im Rahmen der Anpassung an die FeM wurde sodann unter anderem im Linux Kernel ein Fehler beim Umgang mit stromsparenden WLAN-Geräten korrigiert, der zu Paketverlust geführt hat, hostapd um Tunnel-Passwort-Unterstützung (WPA-PSK) sowie tagged-VLAN-Unterstützung ergänzt und die automatische Konfiguration der VLANs im hostapd verbessert.
Ebenfalls der Öffentlichkeit als freie und quelloffene Software zur Verfügung gestellt wurden komplette Eigenentwicklungen, die im Rahmen des Projektes entstanden sind. Darunter ist beispielsweise ein DHCP-Snooping Dienst [2] für AccessPoints. Dieser setzt durch, dass Geräte nur die ihnen zugewiesenen IP-Adressen nutzen können. Unsere Implementierung ist dabei nicht nur auf Access-Points sondern auch auf anderen Geräten, etwa Linux-basierten Switchen, einsetzbar und kann auch mit dem Wechsel des Gerätes auf einen anderen Access-Point (Roaming) umgehen. Um die große Anzahl an Access Points besser verwalten zu können, wurde eine zentrale Verwaltungssoftware geschrieben, welche die Access Points über XMPP (Jabber) zentral steuern und authentifizieren kann und sich dabei um die dynamische Verwaltung der AP-spezifischen Krypto-Keys sowie Berechtigungen kümmert, welcher der AccessPoint zur Authorisierung gegenüber den anderen Komponenten der Infrastruktur benötigt. Diese Software stellt außerdem Schnittstellen bereit, über welche die Verwaltung des WLANs in andere Verwaltungssoftware integriert werden kann und sperrt AccessPoints, welche zu lange nicht erreichbar waren - also potentiell kompromitiert wurden.
Somit können nun auch andere Projektgruppen mit ähnliche technischer Problemstellung auf eine größere Basis an Wissen und Werkzeugen zurückgreifen.


Um die Aktualisierung der Firmware der AccessPoints im Rahmen der Weiterentwicklung zu vereinfachen und bei Problemen mit der neuen Firmware dennoch schnell und einfach auf die alte Firmware zurück schalten zu können, wurde die Firmware in zwei Stufen unterteilt. Die erste Stufe wird vom Bootloader (U-Boot) direkt vom Flash-Speicher gebootet und hat lediglich die Aufgabe, die zweite Stufe herunter zu laden, die kryptografische Signatur der Datei zu überprüfen und mittels kexec zu booten. Dabei wird sichergestellt, dass niemals ältere Firmwareversionen erneut verwendet werden können. So kann die Ausnutzung alter, bereits behobener Fehler unterbunden werden. Die schnelle und einfache Aktualisierung trägt dazu bei, dass Fehlerkorrekturen und neue Funktionen schnell und einfach zum Nutzer gebracht werden können.

Die AccessPoints können außerdem für Sensoren verwendet werden, beispielsweise um die Temperatur des Betriebsraumes zu überwachen.


Die von den WLAN-Geräten gesendeten und empfangenden Daten werden durch Übergabepunkte ins FeM-Net eingespeißt. Zur Lastverteilung können dabei die unterschiedlichen VLANs auf unterschiedliche Übergangspunkte verteilt werden und die AccessPoints Daten auch direkt untereinander austauschen. Derzeit verwenden wir nur einen Übergangspunkt, der sich die Hardware mit dem Verwaltungsdienst teilt und über Bonding mit 2 Gbit angebunden ist. Da dieser Knoten kritisch für den Betrieb des gesammten WLANs ist, wurde er redundant und ausfallsicher ausgelegt. Auf den beiden dafür verwendeten Knoten laufen unterschiedliche Linux-basierte Betriebssysteme (Gentoo und Debian) und sie nutzen unterschiedliche Prozessorarchitekturen. Dennoch ist das Failover Dank der Nutzung von corosync und pacemaker problemlos und schnell möglich. Die zentralen Komponenten sowie alle AccessPoints werden außerdem mittels der Monitoring-Software NAGIOS überwacht, sodass die Administratoren sowie Interessierte schnell über Ausfälle informiert werden um den Fehler so schnell wie möglich zu beheben.


Zur Zukunftssicherheit trägt bereits heute die vollständige Unterstützung von IPv6 für die WLAN-Nutzer bei.
Das Gehäuse für die AccessPoints wurde von einem Ilmenauer Masterstudierenden in seiner Freizeit entwickelt. Ein erster Prototyp ist mit Hilfe eines 3D-Druckers [3] bei uns entstanden (siehe Bild ganz oben).


[0] http://www.freescale.com/webapp/sps/site/prod_summary.jsp?code=RD_P1020WLANS
[1] http://www.fem.tu-ilmenau.de/wlan#c2057
[2] https://github.com/michael-dev/ebtables-dhcpsnooping
[3] http://blog.fem.tu-ilmenau.de/archives/853-Wir-haben-eine-Wollmilchsau!.html

Weitere Informationen gibt es auf http://www.fem.tu-ilmenau.de/wlan