无线网络的故障诊断及安全策略简介
加入技术交流群
消除对网络的猜测
通常主要的困难是用户使用无线网络的经验不足,甚至也包括对有线网络不了解.有报告显示,去年22%的用户故障集成在网络产品,电缆和连接器问题,69%的故障归因于服务器和应用。
无认如何,网管人员需要判断是什么原因导致网络故障,很多时候应用支持人员需要明确地知道是否网络存在问题。
故障诊断步骤
当用户遇到Wi-Fi无线网的连接故障,通常是寻求内部IT支持人员的帮助。通过电话说明可能不够,还需要派人前往。
如果用户存在登录问题,网管员需要定位故障位置。使用手持式的仪表,即可以测试有线网络,也可以测试无线网络,这可以最快速地找到问题根源。
如果技术人员使用测试仪可以从客户端位置成功登录无线网络,那么问题可能在客户端设备的配置或权限。如果测试仪不能连接到服务器,问题可能在无线或有线网络的物理层方面。另外,没有足够的带宽、请求排队超时、冲突干扰等也可能是故障的根源。
网管员使用无线测试仪从故障位置扫描无线网环境可以测量信号强度和AP的性能。测试仪可以使用被动的扫描方式,不需要登录AP。在被动模式下,测试仪的无线网卡只接收信号,不发送数据。如果RF质量可以满足要求,那么管理员可以用客户端模式登录无线网进行测试,例如登录测试,PING和吞吐量测试。
通常,管理员必须验证客户端的配置是否与业务的安全模式一致。(例如EAP)。如果安全模式不一致,会影响登录。
一个好的手持式仪表,应具备有线/无线综合分析功能,能够监测和故障诊断登录网络的每个一步是否成功,定位失败的环节。如果服务器拒绝用户登录,那么问题会与认证服务器自身有关,或者与用户的安全配置有关,或都与用户的接入权限有关。加强对EAP的监管可以减少此类故障。
支持安全测试
前面提到,无线网是动态的,部署完成后,环境会改变。有时是人为的错误,有时因增加无线网接入覆盖范围而带进一些未授权的设备。很多时候,因为无线网是在三维空间里提供接入服务,所以未授权的AP可能会连接进来。另外,也可能是由于设计错误导致这个结果。
寻找AP和Ad-Hoc网络
不是所有的公司都部署了安全检测设备(比如IDS)来查找恶意设备或AP。多数情况下,寻找恶意AP的工作是通过移动测试来完成的。在手持测试仪中可以将部署好的AP设定为“已授权”,这样可以实进地快速确定哪些AP或ad-hoc网络是示授权的。
图2、无线网络扫描
从安全的角度来看,根据预测,在2006年,70%的恶意攻击会是通过AP或客户端的错误配置造成的安全漏洞造成的。无线测试工具可以帮助企业定期地审查AP和客户端的配置,查看这些配置是否符合公司安全策略。
研究机构推荐企业定期地检查设备配置,确保严格遵守公司内部安全策略。如果企业选择WPA网络,那么PEAP是一种有效的授权方式,管理员需要确认所有的AP都配置为PEAP。
对无线网进行周期性地现场勘测是必要的,网管员可以使用手持工具分析RF信号质量,查看性能有没有下降。他们也可以看到用户使用趋势,可以看在在哪里用户比较集中,是否需要增加AP数量。
评论