小熊在線 無極鳥

    介紹

    基于IEEE802.11標準的無線LAN，也被稱為Wi-Fi網(wǎng)絡(luò)，它已經(jīng)從傳統(tǒng)的倉庫廠房環(huán)境中的應用，逐漸發(fā)展進入主流網(wǎng)絡(luò)。

    結(jié)果，對于無線網(wǎng)絡(luò)的故障診斷和安全保障對于網(wǎng)絡(luò)技術(shù)人員或工程師就變得與有線網(wǎng)絡(luò)一樣重要。

    手持式，有線與無線集成式的分析儀就變得非凡有用。技術(shù)人員通過這樣一個設(shè)備既可以對無線網(wǎng)絡(luò)也可以對有線網(wǎng)絡(luò)進行故障診斷，可以快速定位故障原因是無線網(wǎng)絡(luò)問題,還是有線網(wǎng)絡(luò)問題，或者排除是網(wǎng)絡(luò)問題。這樣對于那些不斷增加移動應用的用戶來說，可以最大化地提高工作效率。

    無線網(wǎng)環(huán)境

    Wi-Fi配置為幾種模式，包括對等模式，橋接模式，交換模式和網(wǎng)狀模式，好的工具能在不同模式網(wǎng)絡(luò)中都能對設(shè)備，RF通道和協(xié)議類型進行分析，同時進行快速的故障定位。例如，使用一個設(shè)備對于四種不同模式的網(wǎng)絡(luò)都可以按照設(shè)備分類，連接接口進行測試。

    網(wǎng)絡(luò)結(jié)構(gòu)

    Ad-hoc網(wǎng)絡(luò)由客戶端設(shè)備組成，這些客戶端設(shè)備在一個工作組中，客戶端設(shè)備可以通過無線網(wǎng)卡直接通訊。Ad-hoc網(wǎng)絡(luò)會帶來安全問題，未授權(quán)的用戶可能會自動地與合法用戶通訊，這樣可以會獲得一些敏感數(shù)據(jù)，也可能通過無線網(wǎng)絡(luò)進入有線網(wǎng)絡(luò)。

    無線基礎(chǔ)構(gòu)架的構(gòu)成包括無線接入點AP，AP可以連接到有線網(wǎng)絡(luò)，也可以連接無線交換機。AP為客戶端提供RF信號，它也可以配置成點對點的模式來橋接不同建筑物間的無線網(wǎng)，比如可以適用于由停車場隔離兩個建筑物。

    另一種基本構(gòu)架的網(wǎng)絡(luò)是網(wǎng)狀結(jié)構(gòu)，網(wǎng)狀結(jié)構(gòu)也由AP組成，AP間可通過無線路由協(xié)議進行通訊。網(wǎng)狀結(jié)構(gòu)可以通過連接到有線網(wǎng)絡(luò)的AP與有線網(wǎng)絡(luò)通訊。網(wǎng)狀結(jié)構(gòu)可以減少布線工程，降低每個AP間互聯(lián)的布線成本，提高可擴展性和靈活性。

    多種模式的通道掃描

    無線網(wǎng)卡和AP普遍使用802.11標準組。其中802.11b和802.11g工作在2.4GHz頻段,802.11a工作5GHz頻段，這些標準在企業(yè)級網(wǎng)絡(luò)環(huán)境中使用,對于業(yè)務網(wǎng)絡(luò)都期望有最多的無干擾通道，避免RF信號干擾，優(yōu)化WLAN的性能。

    即使一個企業(yè)只使用一個802.11標準的WLAN，也最好推薦使用支持三種標準802.11b,a,和g的測試儀，因為它可以對所有通道進行掃描。否則，你的企業(yè)會從ad-hoc模式或惡意的AP處帶來安全隱患。

    支持多種模式的分析儀可以掃描所以802.11的頻段，包括2.4GHz和5GHz頻段中的所有通道，并以圖形化的形式顯示，從這些圖表中你可以查看配置是否合理，SNR信噪比是多少，可以利用的帶寬會有多少，及其它相關(guān)問題。假如某個AP出現(xiàn)突出流量，可能是因為有很多客戶端正在通過這個AP上網(wǎng)；另一方面，也可能是某種非凡的應用或協(xié)議正在大量占用帶寬。技術(shù)人員攜帶無線分析儀可以搜索“發(fā)送流量最多者”，可以快速判定是否有mp3下載，BT下載等應用，這些在無線網(wǎng)絡(luò)中可能是需要禁止的應用。

    對無線局域網(wǎng)絡(luò)進行故障診斷

    RF信號故障

    不同于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)的性能會隨AP和客戶端的位置變化和環(huán)境變化而受到影響。因為連接AP的客戶端是移動的，所以合理地部署AP是一個挑戰(zhàn)。另外，當AP負載過重時，或者當一個客戶端漫游到RF信號很弱的地方，可能會造成無線網(wǎng)的盲區(qū)。

    有些偏僻的死角位置，因為沒有安裝AP，所以也會有盲區(qū)，這些盲區(qū)會對一些應用帶來影響，例如基于無線網(wǎng)的VOip應用；有時，盡管做好了信號勘測，但是由于物理環(huán)境的變化，也會影響信號的變化，從而使客戶端不能與AP通訊。比如，家具的移動，金屬文件柜的移動，微波爐的安裝或其它使用無線的家電出現(xiàn)等等。

    消除對網(wǎng)絡(luò)的猜測

    通常主要的困難是用戶使用無線網(wǎng)絡(luò)的經(jīng)驗不足，甚至也包括對有線網(wǎng)絡(luò)不了解.有報告顯示，去年22%的用戶故障集成在網(wǎng)絡(luò)產(chǎn)品，電纜和連接器問題，69%的故障歸因于服務器和應用。

    無認如何，網(wǎng)管人員需要判定是什么原因?qū)е戮W(wǎng)絡(luò)故障，很多時候應用支持人員需要明確地知道是否網(wǎng)絡(luò)存在問題。

    故障診斷步驟

    當用戶碰到Wi-Fi無線網(wǎng)的連接故障，通常是尋求內(nèi)部IT支持人員的幫助。通過電話說明可能不夠，還需要派人前往。

    假如用戶存在登錄問題，網(wǎng)管員需要定位故障位置。使用手持式的儀表，即可以測試有線網(wǎng)絡(luò)，也可以測試無線網(wǎng)絡(luò)，這可以最快速地找到問題根源。

    假如技術(shù)人員使用測試儀可以從客戶端位置成功登錄無線網(wǎng)絡(luò)，那么問題可能在客戶端設(shè)備的配置或權(quán)限。假如測試儀不能連接到服務器，問題可能在無線或有線網(wǎng)絡(luò)的物理層方面。另外，沒有足夠的帶寬、請求排隊超時、沖突干擾等也可能是故障的根源。

    網(wǎng)管員使用無線測試儀從故障位置掃描無線網(wǎng)環(huán)境可以測量信號強度和AP的性能。測試儀可以使用被動的掃描方式，不需要登錄AP。在被動模式下，測試儀的無線網(wǎng)卡只接收信號，不發(fā)送數(shù)據(jù)。假如RF質(zhì)量可以滿足要求，那么治理員可以用客戶端模式登錄無線網(wǎng)進行測試，例如登錄測試，PING和吞吐量測試。

    通常，治理員必須驗證客戶端的配置是否與業(yè)務的安全模式一致。（例如EAP）。假如安全模式不一致，會影響登錄。

    一個好的手持式儀表，應具備有線/無線綜合分析功能，能夠監(jiān)測和故障診斷登錄網(wǎng)絡(luò)的每個一步是否成功，定位失敗

    的環(huán)節(jié)。假如服務器拒絕用戶登錄，那么問題會與認證服務器自身有關(guān)，或者與用戶的安全配置有關(guān)，或都與用戶的接入權(quán)限有關(guān)。加強對EAP的監(jiān)管可以減少此類故障。

    支持安全測試

    前面提到，無線網(wǎng)是動態(tài)的，部署完成后，環(huán)境會改變。有時是人為的錯誤，有時因增加無線網(wǎng)接入覆蓋范圍而帶進一些未授權(quán)的設(shè)備。很多時候，因為無線網(wǎng)是在三維空間里提供接入服務，所以未授權(quán)的AP可能會連接進來。另外，也可能是由于設(shè)計錯誤導致這個結(jié)果。

    簡要介紹對無線局域網(wǎng)絡(luò)進行故障診斷

    尋找AP和Ad-Hoc網(wǎng)絡(luò)

    不是所有的公司都部署了安全檢測設(shè)備（比如IDS）來查找惡意設(shè)備或AP。多數(shù)情況下，尋找惡意AP的工作是通過移動測試來完成的。在手持測試儀中可以將部署好的AP設(shè)定為“已授權(quán)”，這樣可以實進地快速確定哪些AP或ad-hoc網(wǎng)絡(luò)是示授權(quán)的。

    網(wǎng)絡(luò)審查

    從安全的角度來看，根據(jù)猜測,在2006年,70%的惡意攻擊會是通過AP或客戶端的錯誤配置造成的安全漏洞造成的。無線測試工具可以幫助企業(yè)定期地審查AP和客戶端的配置，查看這些配置是否符合公司安全策略。

    研究機構(gòu)推薦企業(yè)定期地檢查設(shè)備配置，確保嚴格遵守公司內(nèi)部安全策略。假如企業(yè)選擇WPA網(wǎng)絡(luò)，那么PEAP是一種有效的授權(quán)方式，治理員需要確認所有的AP都配置為PEAP。

    對無線網(wǎng)進行周期性地現(xiàn)場勘測是必要的，網(wǎng)管員可以使用手持工具分析RF信號質(zhì)量，查看性能有沒有下降。他們也可以看到用戶使用趨勢，可以看在在哪里用戶比較集中，是否需要增加AP數(shù)量。

    需要考慮的功能因素

    有幾種測試儀既可以進行故障診斷，也可以做安全測試。另一方面，最有用的測試儀應該既能夠測試有線網(wǎng)絡(luò)，也能夠測試無線網(wǎng)絡(luò)。

    手持式

    設(shè)計集成式網(wǎng)絡(luò)分析儀與筆記本電腦式和PDA測試方式相比有幾個優(yōu)點。堅固耐用是一個重要特點。筆記本電腦式受到無線網(wǎng)卡的限制，網(wǎng)卡會大大降低測試性能.從可用性來分析，筆記本電腦也不方便借給其它人帶到外面長時間使用。

    PDA方式會受到接口和總線的限制，也很難做到對802.11a/b/g所有通道的掃描，如前面提到的，它的能力不能勝任所以有無線網(wǎng)測試功能。

    集中治理

    假如一個系統(tǒng)，可以將RF信號治理和數(shù)據(jù)中心的交換機治理都集中在一起，那么一定是非常有用的。然而，有時只能對AP信號能覆蓋的部分進行報告，對于一些因環(huán)境因素造成的盲區(qū)則很難治理。

    類似的，一個集中式系統(tǒng)可以定位惡意的AP，但是網(wǎng)管員很難禁用它；另一方面，假如有手持式儀表，可以根據(jù)信號的強弱指示來靠近這個AP，找到它的物理位置。

    最后，許多企業(yè)仍然使用傳統(tǒng)的AP，他們沒有預算來升級到集中式的網(wǎng)絡(luò)構(gòu)架，也沒有安裝IDS。對于這樣的企業(yè)進行周期性的審查就變得非常必要。

    總結(jié)

    隨著無線網(wǎng)技術(shù)的發(fā)展和普遍使用，無線網(wǎng)的使用者會越來越多地報告使用中出現(xiàn)的問題或故障。幸運地是，網(wǎng)管員不用再帶很多不同的工具進行故障診斷，集成了有線和無線功能的手持式儀表可以幫助他們快速方便地定位故障位置，包括有線部分，無線部分，客戶端設(shè)備，應用性能，使得問題得到迅速解決。

    無線測試儀的搜索網(wǎng)絡(luò)中有什么設(shè)備存在，并提供他們的具體信息，包括信號強度，安全配置，流量健康統(tǒng)計。這些工具也可以做為一個客戶端登錄無線網(wǎng)絡(luò)，從而判定是否是客戶端出現(xiàn)問題。手持式，集成式的儀表在性能和功能上都優(yōu)于筆記本電話和PDA，它可以用多種模式掃描網(wǎng)絡(luò)，在成本和測試精度上也優(yōu)于一些集中式的治理系統(tǒng)。（寧一編輯）