WLAN-Infrastruktur mit Hardware von Ubiquiti Networks

Wie bereits hier beschrieben habe ich in den letzten Jahren in unserer Schule eine nahezu flächendeckende  WLAN-Ausleuchtung geschaffen. Diese ging weitgehend mit der Ausstattung der Klassenzimmer mit fest montierten Beamern einher, so dass es ohne große Mehrkosten möglich war, jeweils auch einen WLAN-AccessPoint zu installieren.

Dieser neue Beitrag soll hier sowohl eingehender die verwendete Hardware von Ubiquiti Networks behandeln, als auch die bisherigen Erfahrungen damit wiedergeben.

Anforderungen

Im Vergleich zu einem Heim-WLAN sind im Bereich der WLAN-Ausstattung einer Schule etwas andere Anforderungen zu erfüllen. Hier ist meiner Meinung nach zum einen wichtig, dass ein komfortabler Controller zur Verfügung steht, um nicht jeden AccessPoint einzeln händisch konfigurieren zu müssen. Zum anderen sollte es möglich sein, dass mehrere WLAN-Netzwerke (z.B. jeweils separat für Lehrer und Schüler) über dieselbe Hardware aufgespannt werden können. Auch sollten Möglichkeiten zur Verfügung stehen, um den Benutzern jeweils ganz gezielt Zugang gewähren zu können, ohne nur einen einzelnen Zugangsschlüssel zu verwenden. Aufgrund der großen Ausdehnung sollte auch Roaming zwischen den einzelnen Funkzellen möglich sein.

Die oben angeführten Anforderungen sind sicher nichts Besonderes und sollten von nahezu jeder WLAN-Hardware aller denkbaren Hersteller erfüllt werden, die für größere Netzwerke gedacht ist. Da der für IT-Ausstattung vorgesehene Haushalt eher knapp bemessen ist, musste ich natürlich auch die Kosten im Blick behalten. Bei meinen Recherchen nach sinnvollen und gleichzeitig günstigen Lösungen bin ich durch einen Tipp eines Kollegen eben auf die Hardware von Ubiquiti Networks gestoßen, die ich im Folgenden genauer vorstellen möchte:

Kosten

Die billigsten Access Points (UAP-AP) von Ubiquiti Networks sind bereits für ca. 60 EUR zu bekommen. Diese erfüllen bereits alle oben genannten Anforderungen, senden dann allerdings nur im 2,4 GHz-Band. Somit lässt sich hiermit bereits zu nahezu konkurrenzlosen Kosten ein professionelles WLAN-Netz aufbauen, das im Moment sicher alle aktuellen Geräte bedienen kann.

Im Sinne einer größeren Zukunftsfähigkeit habe ich mich allerdings für die teureren Access Points vom Typ UAP-AP Pro entschieden. Deren Kosten liegen mit ca. 200 EUR pro Stück zwar deutlich höher, aber sie senden nicht nur im 2,4 GHz-Band, sondern gleichzeitig auch im 5 GHz-Band. Außerdem verfügen sie über einen zweiten Netzwerkport, der verwendet werden kann, um ein weiteres Gerät über Kabel anzuschließen. Somit wäre es z.B. möglich die in den Klassenzimmer installierten Beamer ebenfalls an das LAN anzuschließen, um deren Möglichkeiten zur Fernwartung auszuschöpfen. Diese Möglichkeiten relativieren die Kosten auch im Vergleich zur Konkurrenz.

Beiden Typen gemein ist, dass sich die zugehörige Controller-Software einfach hier herunterladen lässt. Sie steht für alle gängigen Betriebssysteme (Windows, Mac OS X, Linux) zur Verfügung und ermöglicht eine bequeme Verwaltung aller Access Points. Dies ist ein nicht zu unterschätzender Kostenfaktor, da hier bei vielen Herstellern neben den Hardwarekosten noch Lizenzgebühren anfallen. Auch werden in der Regel die passenden Power-over-Ethernet-Adapter (kurz: PoE-Adapter) mitgeliefert. Diese können im Verteilerschrank positioniert werden und versorgen die Access Points über das LAN-Kabel mit der benötigten Betriebsspannung, so dass kein Stromanschluss notwendig ist. Jedoch muss man meiner Erfahrung nach beim Einkauf etwas aufpassen, ob diese auch tatsächlich mitgeliefert werden. Falls jedoch der verwendete Switch bereits PoE-fähig ist, kann auf diese auch verzichtet werden.

Mehrere WLAN-Netzwerke

Aufgrund unterschiedlicher Erfordernisse habe ich an meiner Schule drei verschiedene WLAN-Netzwerke mit jeweils einer eigenen SSID eingerichtet: Ein Lehrer-WLAN stellt jedem Lehrer einen freien, ungefilterten Internetzugang zur Verfügung. Das Schüler-WLAN gibt Schülern, die die zugehörige Nutzungsvereinbarung unterzeichnet haben, einen gefilterten Internetzugang. Bei diesem wird mit einem Inhaltsfilter, der auf einem transparenten Proxy läuft, ein möglicher Missbrauch unterbunden. Zu dessen Realisierung habe ich hier bereits meine Überlegungen dargelegt. Außerdem gibt es noch ein Gäste-WLAN, das Gästen einen ungefilterten Internetzugang auf Zeit geben kann.

Dies habe ich über vLANs in Verbindung mit verschiedenen Möglichkeiten zur Authentifizierung realisiert. So wird jeder Access Point über ein LAN-Kabel angesteuert, das drei verschiedenen vLANs zugeordnet ist:

  1. Das Management-Netzwerk zur Verwaltung der Access Points. In diesem erhält jeder Access Point (per DHCP-Reservierung) eine eindeutige IP-Adresse. Darüber erfolgt die Kommunikation mit dem Controller.
  2. Das Schüler-vLAN, in dem der bereits erwähnte transparente Proxy mit Inhaltsfilter arbeitet.
  3. Das Lehrer-vLAN, für den ungefilterten Internetzugang für Lehrer und Gäste

Controller

Wie oben bereits angeführt, lässt sich die Controller-Software ohne Kosten herunterladen. Diese habe ich auf einem bereits vorhandenen (Windows-)Server im Management-Netzwerk installiert. Danach ist er unter https://<<ip-adresse oder dns-name des Servers>>:8443/login erreichbar.

Der auf einem beliebigen Computer installierte Controller lässt sich per Webinterface erreichen.
Der auf einem beliebigen Computer installierte Controller lässt sich per Webinterface erreichen.

Nun können unter Settings -> Wireless Networks die gewünschten Netzwerke eingerichtet werden. Dies kann bereits im Vorfeld auch ohne Access Points erfolgen und dabei muss auch die passende vLAN-Zuordnung vorgenommen werden. Hier lassen sich auch WLAN-Groups definieren, falls nicht alle Access Points in denselben WLAN-Netzwerken senden sollen. Dies könnte z.B. relevant sein, wenn der Access Point im Lehrerzimmer nicht das Schüler-WLAN senden soll.

Die gewünschten WLANs können unabhängig von den Access Points zunächst konfiguriert werden.
Die gewünschten WLANs können unabhängig von den Access Points zunächst konfiguriert werden.

Wird ein neuer Access Point in Betrieb genommen und der verwendete Anschluss ist bereits den passenden vLANs zugeordnet, dann erscheint er automatisch unter Devices. Dann muss er aufgenommen werden (Schaltfläche Adopt), um konfiguriert werden zu können. Meist ist dann noch ein Firmware-Update durchzuführen. Aber auch dies erfordert nur das Anklicken der entsprechenden Schaltfläche. Dann kann er den Wünschen entsprechend konfiguriert werden. Dazu kann z.B. der zunächst aus der MAC-Adresse bestehende Name durch einen selbsterklärenden Namen (z.B. mit der Raum-Nummer) ersetzt werden. Außerdem muss die Zuordnung zu der gewünschten WLAN-Group vorgenommen werden. Das ist im Wesentlichen bereits alles, damit der Access Point verwendet werden kann.

Für die einzelnen Access Points kann eingestellt werden, in welchem WLAN sie senden.
Für die einzelnen Access Points kann eingestellt werden, in welchem WLAN sie senden.

Wächst die Zahl der Access Points, dann wird es mit dem Überblick schnell etwas schwieriger. Hier kann z.B. ein Plan des Schulhauses eingepflegt werden, in dem dann die Position der Access Points eingetragen werden kann.

Ein Überblick über alle verfügbaren Access Points.
Ein Überblick über alle verfügbaren Access Points.

Authentifizierung

Hier beherrscht der Controller von Ubiquiti Networks alle gängigen Möglichkeiten. Für Lehrer und Schüler habe ich z.B. im Moment die Authentifizierung über einen Radius-Server (vgl. eigener Artikel) gewählt. Dies erfordert zwar relativ hohen Verwaltungsaufwand, aber ermöglicht größtmögliche Kontrolle, was meiner Meinung nach im Schüler-WLAN notwendig ist. Lehrer erhalten an unserer Schule automatisch das Recht, sich mit ihren Zugangsdaten für die Computer auch am Lehrer-WLAN anmelden zu können. Schüler hingegen müssen hierzu zunächst den Regelungen der Nutzungsvereinbarung zustimmen. Dann können sie sich ebenfalls mit ihren Zugangsdaten für die Computer auch im Schüler-WLAN anmelden. Sollten sie jedoch gegen die Nutzungsvereinbarung verstoßen, dann könnte ihnen dieses Recht aber auch individuell wieder entzogen werden. Für das Schüler-WLAN ist die Anmeldung jedoch zeitlich auf die Öffnungszeit der Schule beschränkt.

Für Gäste ist im Gegensatz dazu eine Voucher-basierte Anmeldung eingerichtet. Das bedeutet, dass das Gäste-WLAN zunächst als offenes WLAN angezeigt wird. Sobald jedoch eine Verbindung hergestellt wird, öffnet sich der Standard-Browser des Geräts und es muss eine Voucher-ID eingegeben werden. Erst danach ist der Zugang auch verwendbar. Die Voucher können bequem im Controller ausgestellt werden. Dabei sind individuelle Gültigkeitsdauern möglich. Auch das Erstellen vieler Voucher gleichzeitig ist möglich.

Für Lehrer würde ich jederzeit wieder eine Authentifizierung über einen Radius-Server verwenden. Das ermöglicht für die Kollegen eine bequeme Anmeldung ohne sich weitere Zugangsdaten merken zu müssen. Wer den Aufwand für Schüler scheut, könnte auch einen anderen Weg wählen: Jeder Lehrer, der die Schüler-Geräte im Unterricht einsetzen lassen möchte, erhält eine Liste mit Vouchers mit einer Gültigkeit von z.B. 40 Minuten. Dürfen die Schüler ins WLAN, dann schreibt er die ID eines (noch nicht verwendeten) Vouchers an die Tafel. Dann können alle Schüler dieser Klasse für die vorgegebene Zeit damit ins Netz. Das stellt eine sehr schnelle und bequeme Zugangsmöglichkeit auf Zeit dar, die kaum Verwaltungsaufwand erfordert. Jedoch kann dann nicht so einfach evtl. Missbrauch nachvollzogen werden und es ist den Schülern nicht so einfach möglich, auch in Freistunden für die Schule das Netz zu nutzen.

Fazit

Nach einiger Erfahrung in der Nutzung der WLAN-Hardware von Ubiquiti Networks kann ich diese uneingeschränkt empfehlen. Sie ermöglicht zu überschaubaren Kosten den Aufbau eines flächendeckenden WLANs.

Bei der Authentifizierung werde ich noch etwas Erfahrungen sammeln, ob der Weg über den Radius-Server für Schüler den Aufwand rechtfertigt. Hier behalte ich mir im Moment noch die Möglichkeit vor, doch noch auf eine Voucher-basierte Authentifizierung umzusteigen.

4 Antworten auf „WLAN-Infrastruktur mit Hardware von Ubiquiti Networks“

  1. Hallo!

    Mit Interesse habe ich Ihren Artikel verfolgt. Wir überlegen auch unsere Schule (ca. 500 Schüler/Lehrer) mit WLAN auszustatten und sind auf UniFi gestoßen. Sind – 2 Jahre nachdem Sie den Artikel erstellt haben – Sie immernoch zufrieden mit den Geräten von UniFi? Läuft alles stabil? Wieviele APs und wieviele Teilnehmer haben Sie?

    Vielen Dank schon jetzt

    1. Hallo!
      Ja das kann ich ruhigen Gewissens sagen: Wir sind noch immer sehr zufrieden mit unserer WLAN-Ausstattung. Mit einer Version des Controllers gab es zwischenzeitlich mal ein paar Probleme. Diese sind seit dem darauf folgenden Update lange wieder behoben und alles läuft (wieder) stabil. Wir haben knapp 50 APs und die Anzahl verbundener Devices schwankt stark. Zu Spitzenzeiten sind es schon mal bis zu 200 Geräte.
      Viele Grüße

  2. Sehr geehrter Herr Martin,
    mit Interesse habe ich Ihre Beiträge gelesen. Da ich derzeit in einem ähnlich gelagerten Projekt eingebunden bin, bei dem ich mich um den Internet Access für die einzelnen Standorte (mehrere Ausbildungs-/ Schulungseinrichtungen) kümmern soll, würde mich interessieren, wie Ihre Erfahrungen im Bezug auf die benötigte Bandbreite an Ihrer Schule sind. Lässt sich ggf. sogar ein Wert pro Schüler, respektive pro Klasse und Blackboard definieren?

    Vielen Dank für Ihre Einschätzung und viele Grüße.

    1. Hallo!
      Hierzu kann ich aktuell keine Zahlenwerte liefern. Aber bislang hat die vorhandene Bandbreite mehr als ausgereicht. Das Nadelöhr stellt im Moment nicht das WLAN, sondern eher die (noch) sehr schmale Bandbreite unseres Internetzugangs dar.
      Viele Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.