2007-08-11 06:41:21

Voice over WLAN: Herausforderung an QoS und Sicherheit

Technologie-Guide:

Funknetze gehören zu den Gewinnern im Bereich der Netzwerke. Wireless LANs (WLANS) sind in vielen Unternehmen bereits der Standard zur Anbindung der Endgeräte an das Unternehmensnetzwerk.

Michael Reisner

Druckversion

 Funkgestützte Netze, auf der Grundlage des Standards IEEE 802.11, ermöglichen den problemlosen Datentransfer von den mobilen Endgeräten mit den Unternehmensressourcen. Durch den Einzug neuer Protokolle wachsen die Kommunikationstechniken immer weiter zusammen. Immer mehr Applikationen aus der Telefon-, Video- und Datenwelt sind bereits, oder werden in naher Zukunft auf Basis der TCP/IP Protokolle miteinander verknüpft (Triple Play). Daher werden die Triple Play Anforderungen auf die WLAN Techniken übertragen. Besonderer Augenmerk gilt dabei der Echtzeitfähigkeit und der Sicherheit der Übertragung, denn die VoIP Technologie stellt besondere Anforderungen an die Kommunikationsinfrastruktur.

 

 

 

Die durch die WLAN Technologie gewonnene Mobilität bleibt nur auf Basis einer hohen Verfügbarkeit und einer gute Übertragungsqualität erhalten. Die Anwender erwarten vom WLAN die gleichen Funktionen die sie aus den kabelgebundenen Netzen gewohnt sind. Die Erfahrung zeigt, dass sich in Unternehmen die Benutzer – ähnlich dem öffentlichen Bereich - zwischen den Funkzellen hin und her bewegen wollen. Schwankungen der Signalstärke sind daher normal, Verbindungsabbrüche nicht immer auszuschließen. Die WLAN-Roaming-Performance inklusive der spezifischen Sicherheitsmechanismen, ist somit das Kriterium für den Einsatz von mobilen Geschäftsanwendungen. Beim Einsatz von Voice over IP kommt es ohne eine detaillierte Planung und das daraus resultierende Feintuning der Anwendung, in einem WLAN zu Problemen. Daher muss das WLAN an die VoIP-Anforderungen optimal angepasst werden.

Anforderungsparameter

 

Die wichtigsten Parameter bei der Übermittlung von Sprache über ein Netzwerk sind:

 

  • Verfügbarkeit: Ist nur durch ausreichend dimensionierte bzw. redundante Systeme zu gewährleisten.

     

  • Paketverluste: Die Paketverlustrate gibt den prozentualen Anteil an verloren gegangenen Datenpaketen auf einer Übertragungsstrecke wieder. Die Paketverluste sind in der Regel auf Verstopfungen im Netz (hoher Füllgrad der Warteschlangen in Routern/L3 Switches) zurückzuführen. Zur Vermeidung von Paketverlusten sind Priorisierungsmechanismen im Netz zu implementieren. Paketverlustraten bis zu 5 % sind bei äquidistanten Paketverlusten und nicht komprimierenden Codecs kaum störend wahrzunehmen. Übersteigen die Verluste 5 - 10 % der übermittelten Pakete, verschlechtert sich die Sprachqualität signifikant.

     

  • Verzögerung: Die Verzögerung bezeichnet die Zeitdifferenz zwischen Senden und Empfangen einer Information (Ende zu Ende bzw. Mund zu Ohr). Die Gesamtverzögerung sollte 150 ms nicht überschreiten, wobei ca. 40 – 50 ms bereits von den Codecs und von den IP-Stacks benötigt wird. Damit bleiben ca. 100 ms für das gesamte Netzdelay. Die Verzögerungszeiten für Sprachübertragungen sind von der ITU in der Empfehlung G.114 festgelegt.

     

  • Jitter: Die weitere Beeinflussung der Sprachqualität betrifft die zeitliche Variation der Verzögerung der Sprache, die die Verständigung holprig und schwer verständlich macht. Die Verzögerungsschwankungen auf dem gesamten Datenpfad bezeichnet man als Jitter. Jitterbuffer sorgen für eine Verbesserung des Jitterverhaltens, verschlechtern jedoch die Gesamtverzögerung.

     

  • Echo: Unter Echo versteht man das zeitversetzte Hören seiner eigenen Stimme, durch Verzögerung auf der Übertragungsleitung und Rückkopplung beim Empfänger. Die negative Beeinflussung durch das Echo hängt von der Verzögerung in Hin- und Rückrichtung und dem Amplitudenunterschied zwischen dem Ursprungs- und Echosignal ab.

     

  • Round Trip Delay: Der Round Trip Delay wird oft als Verzögerung (beide Wege) zwischen zwei IP Endpunkten erklärt. Oft wird dieser mit Hilfe des Ping Programms gemessen. Da der Ping relativ ungenau arbeitet und in der Regel nie mehr als ein Paket pro Sekunde übermittelt, verbietet sich diese Messmethode zur Ermittlung des Round Trip Delays. Nur mit Hilfe von VoIP Simulatoren lassen sich präzise Ende-zu-Ende Werte im Bereich VoIP Telefonie ermitteln.

Verlust-Indikatoren

Die Telefonbenutzer erwarten einen Rufton, wenn sie den Telefonhörer abnehmen. Lastspitzen sorgen in vielen Unternehmensnetzen immer wieder dafür, dass es eng wird, und dann kommt es je nach Aus- und Überlastung zu teils erheblichen Datenverlusten. Aber auch andere übertragungstechnische Parameter wie Latency oder Jitter können, wenn sie gewisse Toleranzwerte überschreiten, zu Störungen einzelner Services oder auch der gesamten Kommunikation führen.

 

  • Für die Übertragung von Echtzeitapplikationen ist zunächst das Datenverlustverhalten von entscheidender Bedeutung. Für VoIP gilt beispielsweise: Ab 5 Prozent Verlust ist, je nach Codec, mit deutlicher Verschlechterung der Übertragungsqualität zu rechnen,
  • 10 Prozent führen zu einer massiven Beeinträchtigung,
  • ab 20 Prozent Datenverlust ist beispielsweise die Telefonie definitiv nicht mehr möglich.

     

Auf Grund ihrer Bedeutung für die Übertragungsqualität ist das Verlustverhalten das primäre K.o.-Kriterium. Die Parameter Latency und Jitter sind für die genauere Diagnose und weitere Analyse im Einzelfall wichtig. Sind jedoch die Datenverlustraten schon zu hoch, können gute Werte für Latency und Jitter die Sprachqualität auch nicht mehr retten. Die Gesprächs-Verzögerungseffekte müssen bei VoIP unbedingt vermieden werden.

 

Die Übertragung von Sprache über ein Netzwerk wird von verschiedenen Parametern beeinflusst. Der Begriff Verständlichkeit wird in diesem Zusammenhang gewählt, weil die Parameter zur Ermittlung der Qualität einer Übertragung, keine Aussagen über die Verständlichkeit zulassen. Erst die Verifizierung der Parameter macht deren Einfluss auf die Verständlichkeit deutlich.

 

Zur Bewertung einer Sprachübertragung muss diese in unidirektional und bidirektional unterschieden werden. Die Verständlichkeit ist eine subjektive Empfindung und kann nur vom Empfänger ermittelt werden. Deshalb muss bei der Ermittlung der Verständlichkeit von einer unidirektionalen Verbindung ausgegangen werden. In diesem Zusammenhang wird auch die Bezeichnung Listening Quality Score verwendet. Die Bewertung der Sprachqualität für eine bidirektionale Verbindung berücksichtigt die Eigenschaften von Sender und Empfänger.

Sprachqualitäts-Parameter

 

Unter der Berücksichtigung der unidirektionalen Verbindung können die QoS Parameter in Abhängigkeit ihres Einflusses auf die Verständlichkeit, zugeordnet werden.

 

Parameter wie Laufzeit und Echo haben einen Einfluss auf die Verständlichkeit. Delay kennzeichnet die Dauer der Übermittlung und Echos können nur vom Sender erkannt werden.

 

Beeinflussungen, die einen Verlust von Informationen erzeugen, wirken sich auf die Verständlichkeit aus. Dazu gehören:

 

  • Codierung, Decodierung und Kompression

     

  • Paketverluste

     

  • Voice-Activity-Detection

     

  • Hintergrundgeräusche

     

  • Schwankungen in der Amplitude (Effekte durch Verstärkung).

     

Obwohl die Laufzeit selbst keinen Einfluss auf die Verständlichkeit hat, wirken sich die Schwankungen der Laufzeit auf die Verständlichkeit aus.

 

 

 

Anhand der folgenden Methoden wird die Qualität der übertragenen Sprache beurteilt:

 

  • MOS-WertDer Mean Opinion Score (MOS) ist ein Bewertungsmaßstab für die Übertragung von Sprache. Er bietet die Möglichkeit, die Übertragungsqualität für unterschiedliche Sprachcodierungen miteinander zu vergleichen. Der MOS-Wert ist ein dimensionsloser Wert zwischen eins und fünf, der für die Sprachqualität steht; wobei der Wert »eins« eine mangelhafte Sprachqualität repräsentiert, bei der keine Verständigung möglich ist, der Wert »fünf« hingegen für eine exzellente Übertragungsqualität steht, die nicht von dem Original zu unterscheiden ist. Der MOS-Wert wird subjektiv ermittelt indem Sprechproben Probanden vorgespielt, die einzelnen Bewertungen gewichtet und daraus die statistischen Ergebnisse ermittelt werden. In der ITU-Empfehlung P.830 werden die Bewertungsmethoden verfeinert. Wichtigste Qualitätskriterien für die Übermittlung von Sprachinformationen sind die Verzögerungszeiten, Bitfehlerraten, Echos und Jitter. Da das Ohr auf Klangschwankungen und Sprachunterbrechungen sensibel reagiert, sollten die Verzögerungszeiten annähernd konstant sein. Die Sprachqualität wird durch die Verzögerung während der Übertragung nicht beeinträchtigt, es verschlechtert sich lediglich die Gesprächsqualität. Bitfehler hingegen wirken sich durch Knackgeräusche aus. Echos entstehen in analogen Systemen am Übergang von Vierdraht- auf Zweidrahttechnik und irritieren den Sprecher durch die Sprachreflexion, worunter die Verständlichkeit leidet.

     

  • E-ModelDas von der ITU-T entwickelte Verfahren (G.107) dient der Bestimmung von objektiven Qualitätsparametern für Sprachverbindungen. Hierbei wird der Transmission Rating Factor „R“ unter Berücksichtigung folgender Einflussgrößen berechnet:

     

  • · Signal-Rauschabstand

     

  • · Simultane Beeinträchtigungen (beispielsweise Quantisierung, Sidetone)

     

  • · Einflüsse der Verzögerung (beispielsweise absolute Verzögerung, Echo)

     

  • · Beeinträchtigungen durch die Geräte (beispielsweise Codecs, Paketverluste)

     

  • · Advantage Factor (beispielsweise Mobilkommunikation)

     

Aus diesen Werten wird eine Vorhersage der Sprachqualität im Bereich 0 bis 100 getroffen, die auf die MOS-Skala abbildbar sind.

 

 

 

Wi-Fi Security beeinflusst die Voice Performance

 

Bei der Integration von Voice over IP in ein Wi-Fi Netzwerk ergeben sich zwei Herausforderungen bei der Sicherheit. Der Sicherheitsmechanismus des Sprachverkehrs darf die Performance der Sprachströme nicht reduzieren. Einige Sicherheitsmechanismen, die sich optimal für den Transport von Daten eignen, erzeugen eine wahrnehmbare Verzögerung oder führen bei Sprachverbindungen zu erheblichen Paketverlusten. Dies macht sich besonders bemerkbar beim Roaming der mobilen Telefone zwischen zwei Access Points.

 

Sicherheitsanforderungen

Darüber hinaus müssen bei der Konvergenz von Sprache und Daten bei beiden Servicetypen die spezifischen Sicherheitsanforderungen berücksichtigt werden.

 

Aus Performance-Gründen unterstützen die gängigen VoWi-Fi Handsets in der Regel nur die statische oder dynamische Wired Equivalent Privacy (WEP) Verschlüsselung. Der WEP-Mechanismus wurde inzwischen durch wesentlich verbesserte Sicherheitsstandards ersetzt. Diese weisen jedoch in der Praxis oft erhebliche Verzögerungsprobleme auf.

 

Das statische WEP führt zu keiner wahrnehmbaren Verzögerung und sorgt in der Regel bei Sprachverbindungen für eine Umschaltzeit von < 100 Millisekunden.

 

Sicherheitsmechanismen, die dynamische Schlüssel (beispielsweise WPA) nutzen, sind aufgrund ihrer hohen Verzögerungszeiten weniger für den Einsatz von Sprachapplikationen in mobilen WLAN-Netzen geeignet. Die Ursache für die Verzögerung liegt in dem relativ lang andauernden Einbuchvorgang bei der Bewegung des mobilen Telefons zwischen zwei Access Points. Beim WPA-Mechanismus muss der neue AP das mobile Telefon erneut authentifizieren. Dies erfordert den kompletten Austausch von Handshake-Prozeduren und die Anforderung des neuen Sessionschlüssels vom zentralen RADIUS Server. Die IEEE Standardisierungsgruppen arbeiten zwar an unterschiedlichen Lösungsansätzen für dieses Problem, doch ein endgültiger Mechanismus für das schnelle Roaming bzw. Übergabe zwischen Access Points auf Basis des WPA existiert nicht.

 

Die statische WEP Verschlüsselung basiert auf Schlüsseln, die lokal in jedem Access Point gespeichert sind und somit ein schnelles Roaming zwischen APs ermöglicht. Um die Sprachdienste vor nicht berechtigten Nutzern zu schützen, sollten die mobilen WLAN Telefone zusätzlich auf Basis der MAC Adressen authentifiziert werden. Eine Authentifizierung auf Basis der MAC Adressen lässt sich sehr schnell durchführen und sorgt für ein sicheres Roaming der Sprachdienste. Da keine langwierigen Handshake-Prozeduren ausgetauscht werden müssen, braucht der AP nur die MAC Adresse des betreffenden Geräts (anhand einer lokal im Access Point oder in einem zentralen Radius Server abgelegten Adressliste) überprüfen.

 

 

 

Sprache und Daten erfordern unterschiedliche Sicherheitskonfigurationen

 

Die Konvergenz von Sprache und Daten in einem gemeinsamen Wi-Fi Netzwerk erfordert auch für die unterschiedlichen Anwendungen, den Einsatz verschiedener Sicherheitsmechanismen. In einem solchen Netzwerk müssen folgende Sicherheitsmechanismen parallel betrieben werden:

 

  • WEP für Sprachapplikationen,

     

  • WPA oder VPN für Datenapplikationen.

     

Soll im Enterprise-Netzwerk zusätzlich noch die Möglichkeit geschaffen werden, den Gästen einen direkten Zugang zum Internet zu ermöglichen, muss für diese Verbindungen ein dritter Sicherheitsmechanismus (nicht authentifiziert und nur für eine bestimmte Netzressource zugelassen) implementiert werden.

 

Hierzu muss der Wi-Fi Access Point die jeweiligen Datenströme sicher den virtuellen LANs (VLANs) im Wireless- bzw. dem kabelgebundenen Netz zuordnen. Der Sprachverkehr wird beispielsweise vom AP mit einem VLAN Tag versehen, der nur einen Zugriff auf die Sprachkomponenten (Server) im Backbone erlaubt. Gleiches gilt für die Datenapplikationen und den Gastzugriff. Entsprechend der vom Netzadministrator eingerichteten Sicherheitsrichtlinien, wird der jeweilige Verkehr den unterschiedlichen VLANs und somit den für diese Anwendungen freigegebenen Ressourcen zugeordnet.

 

 

 

Die Übermittlung von Sprache erfordert QoS Mechanismen im Netzwerk

 

Die Sprachanwendungen gehören zu den Echtzeitprogrammen. Daher erwartet der Benutzer eine verzögerungsfreie Kommunikation. Multimedianetze auf Basis einer paketorientierten Kommunikation erfordern spezielle Priorisierungsmechanismen, zur Gewährleistung einer optimalen Performance für die VoIP Anwendungen. Der Standard IEEE 802.11e wurde zwar inzwischen endgültig verabschiedet, erfordert jedoch Veränderungen auf der MAC-Ebene, um die QoS-Funktionen bereit zu stellen. Daher benötigen ältere WLAN Produkte Übergangsmechanismen, die 802.11e Zusatzfunktionen bereitstellen.

 

Beispielsweise stellen die Wireless Multimedia Extensions (WME) Mechanismen zur Klassifizierung und zur Priorisierung der Verkehrsströme zur Verfügung. Die WME legt folgende Verkehrsklassen fest: Sprache, Video, Best-effort und Hintergrundverkehr. Mit Hilfe der Wi-Fi Scheduled Multimedia (WSM) Funktionen wird sichergestellt, dass jeder Verkehrsklasse die entsprechende Bandbreite bereitstellt.

 

 

 

Die Konvergenz erfordert unterschiedliche Wi-Fi Services

 

Die unterschiedlichen Anforderungen an die QoS- und Sicherheitsmechanismen zur sicheren Übermittlung von Sprach- und Datenströmen erfordern, dass Wi-Fi Netzwerke zwei Services bereitstellen. Jeder Service stellt dabei die spezifischen QoS- und Sicherheitsfunktionen zur Verfügung. Die Service Charakteristiken für Wi-Fi Voice- und Datenapplikationen sind:

 

 

 

 

  • Applikation

     

  • QoS

     

  • Security

     

  • Enterprise Daten

     

  • Best Effort

     

  • WPA oder VPN

     

  • Sprache

     

  • Hohe Priorität

     

  • WEP oder Open

     

Die meisten heute verfügbaren Wi-Fi Access Komponenten sind nicht in der Lage, simultan mehrere Sicherheits- und QoS-Profile zu unterstützen. Daher behelfen sich die meisten Netzmanager entweder mit dem Aufbau mehrerer Access Points, die jeweils die spezifischen Anforderungen der Applikationen umsetzen, oder die Sicherheits- und QoS-Anforderungen werden auf dem kleinsten, gemeinsamen Nenner realisiert. In der Regel führt der letzt genannte Lösungsansatz jedoch zu mäßigen Ergebnissen bei der Sprachqualität und zu erheblichen Sicherheitsmängeln bei der Übermittlung von Datenapplikationen.

 

 

 

Die Colubris Lösung basiert auf virtuellen Access Points

 

Die von Colubris Networks entwickelte Multiservice Virtual AP Technologie stellt dem Netzbetreiber ein individuell abstufbares Konzept, zur Umsetzung der unterschiedlichen Sicherheits- und QoS-Funktionen bereit. Ein virtueller Access Point (AP) stellt eine logische Zugangskomponente innerhalb eines realen Access Points dar. Ein virtueller AP erbringt gegenüber den WLAN Endgeräten die gleichen Dienste und Funktionen wie ein normaler physikalischer AP. Jeder virtuelle AP verfügt über einen vollständigen 802.11 Media Access Control (MAC) Layer, inklusive dem individuellen Basic Service Set Identifikator (BSSID), dem Service Set Identifikator (SSID) und den notwendigen Sicherheitsfunktionen. Jeder virtuelle AP lässt sich vom Netzadministrator wie ein handelsüblicher AP konfigurieren.

 

Ein virtueller Access Point stellt auf der gleichen physikalischen Infrastruktur bis zu 16 unterschiedlichen Services bereit. Jeder Service lässt sich individuell - nach den Security- und QoS Vorgaben der Sprach- und Datenapplikationen- konfigurieren.

 

Zur Gewährleistung der QoS-Funktionen und zur Bereitstellung optimierter VoIP-Services hat Colubris Networks in die Access Points sowohl das SpectraLink Voice Priority (SVP) Protokoll, als auch die Wireless Multimedia Extensions (WME) implementiert. Jeder, über den virtuelle AP übermittelten Service, lässt sich anhand dieser Mechanismen individuell priorisieren. Darüber hinaus garantiert SVP auch die Interoperabilität mit einer Vielzahl von SpectraLink NetLink Wi-Fi Telefonen. Die WME Mechanismen sorgen darüber hinaus für die individuelle Bereitstellung der QoS Dienste für alle Wi-Fi Applikationen.

 

Auch die Konfiguration der Sicherheitsmechanismen erfolgt auf den virtuellen Access Points von Colubris individuell, nach den jeweiligen Anforderungen der Dienste. Dadurch ist es möglich einen virtuellen AP so zu konfigurieren, dass dieser Sprachdienste auf Basis eines offenen Zugangs oder auf Basis der WEP Verschlüsselung, MAC Adressauthentisierung und einer Priorisierung auf Basis der Wireless Multimedia Extensions oder des SpectraLink Voice Priority Protokolls aufzusetzen. Gleichzeitig ist der gleiche virtuelle AP in der Lage, die Sicherheit für die Datendienste auf Basis von WPA oder einer VPN Security bereitzustellen.

 

Der virtuelle AP steuert für jeden Service den Zugriff auf die hierfür bereitgestellten Ressourcen im Backbone, auf der Grundlage von VLAN Tags. Durch die vom virtuellen AP zugeordneten VLAN Tags werden die unterschiedlichen Verkehrsströme auf der Serviceebene voneinander isoliert und alle notwendigen Sicherheitsrichtlinien im Netzwerk berücksichtigt.

 

In einem virtuellen AP werden drei unterschiedliche Wi-Fi Services umgesetzt. Jeder Service stellt dabei unterschiedliche Sicherheits- und QoS Profile bereit und wird bei der Kommunikation mit dem Backbone in die hierfür bereitgestellten Ethernet VLAN abgebildet.

 

 

 

 

 

Colubris

Die von Colubris entwickelten Lösungen, werden weltweit vertrieben. Zu den Kunden zählen sowohl die bekanntesten Wireless Carrier, als auch führende Großunternehmen und Institutionen aus den Bereichen Schulen, Universitäten, Handel und Logistik und aus dem Gesundheitswesen. Inzwischen sind weltweit mehr als 100.000 Colubris WLAN Lösungen installiert. Die Lösungen von Colubris sind als einzige FAA zertifizierte WLAN Lösung in der internationalen Luftfahrt einsetzbar. Daher bauen die WLAN Konzepte der Lufthansa und der Star Alliance auf den Colubris Networks Konzepten auf. In den Boing Jumbo Jets und auch im neuen Airbus 380 werden sowohl für die interne Kommunikation (Logistik), als auch für die externe Kommunikation der Fluggäste, die Multiservice Wireless LAN (WLAN) Systeme von Colubris Networks genutzt. Weitere Informationen über die Colubris Produkte erhalten Sie auf unserer Web Site: www.colubris.com