无线局域网故障诊断增强有效性和安全性(2)

RF信号故障

不同于有线网络，无线网络的性能会随AP和客户端的位置变化和环境变化而受到影响。因为连接AP的客户端是移动的，所以合理地部署AP是一个挑战。另外，当AP负载过重时，或者当一个客户端漫游到RF信号很弱的地方，可能会造成无线网的盲区。

有些偏僻的死角位置，因为没有安装AP，所以也会有盲区，这些盲区会对一些应用带来影响，例如基于无线网的VOIP应用；有时，尽管做好了信号勘测，但是由于物理环境的变化，也会影响信号的变化，从而使客户端不能与AP通讯。比如，家具的移动，金属文件柜的移动，微波炉的安装或其它使用无线的家电出现等等。

消除对网络的猜测

通常主要的困难是用户使用无线网络的经验不足，甚至也包括对有线网络不了解.有报告显示，去年22%的用户故障集成在网络产品，电缆和连接器问题，69%的故障归因于服务器和应用。

无认如何，网管人员需要判断是什么原因导致网络故障，很多时候应用支持人员需要明确地知道是否网络存在问题。

故障诊断步骤

当用户遇到Wi-Fi无线网的连接故障，通常是寻求内部IT支持人员的帮助。通过电话说明可能不够，还需要派人前往。

如果用户存在登录问题，网管员需要定位故障位置。使用手持式的仪表，即可以测试有线网络，也可以测试无线网络，这可以最快速地找到问题根源。

如果技术人员使用测试仪可以从客户端位置成功登录无线网络，那么问题可能在客户端设备的配置或权限。如果测试仪不能连接到服务器，问题可能在无线或有线网络的物理层方面。另外，没有足够的带宽、请求排队超时、冲突干扰等也可能是故障的根源。

网管员使用无线测试仪从故障位置扫描无线网环境可以测量信号强度和AP的性能。测试仪可以使用被动的扫描方式，不需要登录AP。在被动模式下，测试仪的无线网卡只接收信号，不发送数据。如果RF质量可以满足要求，那么管理员可以用客户端模式登录无线网进行测试，例如登录测试，PING和吞吐量测试。

通常，管理员必须验证客户端的配置是否与业务的安全模式一致。（例如EAP）。如果安全模式不一致，会影响登录。

一个好的手持式仪表，应具备有线/无线综合分析功能，能够监测和故障诊断登录网络的每个一步是否成功，定位失败的环节。如果服务器拒绝用户登录，那么问题会与认证服务器自身有关，或者与用户的安全配置有关，或都与用户的接入权限有关。加强对EAP的监管可以减少此类故障。

支持安全测试

前面提到，无线网是动态的，部署完成后，环境会改变。有时是人为的错误，有时因增加无线网接入覆盖范围而带进一些未授权的设备。很多时候，因为无线网是在三维空间里提供接入服务，所以未授权的AP可能会连接进来。另外，也可能是由于设计错误导致这个结果。

寻找AP和Ad-Hoc网络

不是所有的公司都部署了安全检测设备（比如IDS）来查找恶意设备或AP。多数情况下，寻找恶意AP的工作是通过移动测试来完成的。在手持测试仪中可以将部署好的AP设定为“已授权”，这样可以实进地快速确定哪些AP或ad-hoc网络是示授权的。

 
图2、无线网络扫描

网络审查

从安全的角度来看，根据预测,在2006年,70%的恶意攻击会是通过AP或客户端的错误配置造成的安全漏洞造成的。无线测试工具可以帮助企业定期地审查AP和客户端的配置，查看这些配置是否符合公司安全策略。

研究机构推荐企业定期地检查设备配置，确保严格遵守公司内部安全策略。如果企业选择WPA网络，那么PEAP是一种有效的授权方式，管理员需要确认所有的AP都配置为PEAP。

对无线网进行周期性地现场勘测是必要的，网管员可以使用手持工具分析RF信号质量，查看性能有没有下降。他们也可以看到用户使用趋势，可以看在在哪里用户比较集中，是否需要增加AP数量。

需要考虑的功能因素

有几种测试仪既可以进行故障诊断，也可以做安全测试。另一方面，最有用的测试仪应该既能够测试有线网络，也能够测试无线网络。

手持式设计

集成式网络分析仪与笔记本电脑式和PDA测试方式相比有几个优点。坚固耐用是一个重要特点。笔记本电脑式受到无线网卡的限制，网卡会大大降低测试性能.从可用性来分析，笔记本电脑也不方便借给其它人带到外面长时间使用。