Поэтому устранение неисправностей и обеспечение безопасности стало для беспроводных сетей столь же важной задачей, что и для проводных.
Когда у пользователей возникают проблемы с сетью WLAN, они, в первую очередь, обращаются в службу технической поддержки. Прежде чем устранить неисправность, специалисту необходимо определить, что является ее источником — клиентское устройство, беспроводная инфраструктура, проводная сеть или приложение.
Выяснить это помогают портативные интегрированные приборы для анализа как проводных, так и беспроводных сетей. Такое устройство способно быстро определить, где находится источник неисправности — внутри одной из сетей или же вне их. Это позволяет повысить доступность сети для мобильных пользователей, которых с каждым годом становится все больше.
БЕСПРОВОДНАЯ СРЕДА
Сети Wi-Fi имеют разные конфигурации, поэтому наличие информации обо всех подключенных к ним устройствах, радиочастотных каналах и протоколах имеет большое значение для быстрого разрешения проблем. Например, необходимо иметь возможность с помощью одного прибора анализировать одноранговые нерегулярные сети, а также мостовые, коммутируемые и ячеистые сети по таким категориям, как устройства, интерфейс и порты коммутатора (см. Рисунок 1).
Нерегулярные (ad hoc) сети состоят из клиентских устройств, каждое из которых взаимодействует с другим напрямую по типу рабочей группы (peer-to-peer). Такие сети могут представлять опасность в случае автоматического подключения несанкционированных клиентов к санкционированным, содержащим конфиденциальные данные. Кроме того, несанкционированные клиенты могут получить через законного клиента доступ к проводной сети.
Беспроводная сеть инфраструктурного типа состоит из точек доступа, подключенных либо напрямую к проводной сети, либо к беспроводным коммутаторам. Они передают радиочастотный сигнал на клиентские устройства и могут быть сконфигурированы для создания двухточечных соединений между зданиями, например через автомобильную парковку.
Еще одной возможной конфигурацией является ячеистая сеть. Она состоит из точек доступа, взаимодействующих между собой в соответствии с беспроводными протоколами маршрутизации. Ячеистые сети обеспечивают связь с проводной сетью через минимальное число точек доступа, подключенных к проводной сети, и применяются, когда требуется дополнительная гибкость в размещении точек доступа или надо сократить расходы и избежать прокладки кабелей от коммутационных шкафов к точкам доступа.
СКАНИРОВАНИЕ КАНАЛА В НЕСКОЛЬКИХ РЕЖИМАХ
При создании корпоративных беспроводных сетей, включающих клиентские устройства и точки доступа, нередко используются все разновидности стандарта 802.11 — 802.11b и 802.11g с частотным диапазоном 2,4 ГГц, а также 802.11a в диапазоне 5 ГГц. Это объясняется желанием получить как можно больше неперекрывающихся каналов, между которыми не возникает радиочастотной интерференции, для достижения максимальной пропускной способности WLAN.
Даже если на предприятии применяется только один стандарт 802.11, предпочтительно иметь беспроводной анализатор, позволяющий сканировать все каналы 802.11a, b, и g. В противном случае сеть подвергается риску вторжения через нерегулярные (ad-hoc) и несанкционированные точки доступа, где используются другие частоты.
Многорежимный анализатор сканирует каналы 802.11 в частотном диапазоне 2,4 и 5 ГГц в заданном радиусе, проверяя правильность конфигурации, соотношение сигнал/шум (Signal-to-Noise, SNR), коэффициент использования полосы (загруженность) и другие параметры (см. Рисунок 2). Чрезмерно высокая загруженность точки доступа нередко указывает на то, что в данный момент к ней подключено избыточное количество беспроводных клиентов, или, возможно, какой-нибудь пользователь или протокол занимает слишком большую полосу. Имея в своем распоряжении беспроводные анализаторы, специалисты могут выявить таких пользователей и предоставить руководству информацию, на основании которой оно решит, стоит ли запретить в беспроводной сети загрузку файлов формата MP3 и другие создающие большой трафик операции и приложения.
ВЕРОЯТНЫЕ РАДИОЧАСТОТНЫЕ ПРОБЛЕМЫ
В отличие от проводных сетей, производительность беспроводной локальной сети и возможность доступа к ней изменяется в зависимости от окружающей обстановки возле точки доступа и клиентского устройства. С точками доступа активно взаимодействуют мобильные пользователи, которым в связи с их рабочими обязанностями приходится много перемещаться, поэтому предугадать, сколько их подключится к той или иной точке доступа в определенный момент времени, бывает затруднительно. Кроме того, при временной перегрузке точки доступа могут возникать периодические «пробелы» покрытия, или «мертвые зоны». То же самое случается при перемещении клиентских устройств туда, где радиочастотный сигнал слишком слаб.
«Мертвые зоны» осложняют развертывание новых беспроводных приложений, например, системы передачи голоса по IP. Связь клиентских устройств с точками доступа иногда ухудшается после перепланировки и других изменений в помещениях, предпринятых после исследования объекта и построения карты покрытия беспроводной сети. Например, передача данных может осложняться после перестановки, появления новых предметов мебели и оборудования, особенно металлических сейфов, микроволновых печей и прочих бытовых приборов.
ПРОЦЕСС УСТРАНЕНИЯ НЕИСПРАВНОСТЕЙ
Нередко проблемы, с которыми приходится сталкиваться мобильным пользователям, никак не связаны ни с беспроводной, ни с проводной сетью. В исследовании компании Infonetics Research, опубликованном в прошлом году, говорится, что в США и Канаде лишь в 22% случаев простои сети были вызваны неисправностями сетевого оборудования, кабелей и разъемов. В 69% случаев виновниками оказались поставщики услуг, серверы и приложения.
Тем не менее, причину неисправности обязан выяснить технический специалист по сети. Во многих крупных компаниях ответственные за приложения требуют удостовериться, что проблемы вызваны не сетевыми повреждениями, и только затем они приступают к анализу работы приложений.
При невозможности подключиться по Wi-Fi пользователи обычно обращаются во внутреннюю службу поддержки. Если разрешить проблему по телефону не удается, то тогда приходится отправлять технического специалиста для выяснения всех обстоятельств на месте. Когда пользователь не может войти в систему, первое, что необходимо установить, — где находится источник проблемы. Быстрее всего это можно сделать с помощью портативного контрольно-измерительного устройства, позволяющего проверить как беспроводную, так и проводную сеть (см. Рисунок 3).
Если с помощью беспроводного анализатора специалисту удается авторизоваться и подключиться
к сети через данную точку доступа, то причина заключается или в неправильно сконфигурированном клиентском устройстве, или в отсутствии у пользователя прав доступа. Если связь с сервером аутентификации не установлена, неполадки следует искать в беспроводной или проводной части сети. Например, доступ может быть затруднен из-за недостаточной пропускной способности, небольшой зоны покрытия сети либо вследствие интерференции.
Беспроводной анализатор позволяет замерить силу сигнала в данном месте и загруженность точки доступа. Такой вид сканирования часто называют пассивным, так как оно проводится без подключения к точке доступа. В пассивном режиме беспроводной сетевой адаптер анализатора только получает данные, но ничего не передает. Если мощность радиочастотного сигнала достаточна, специалист с помощью анализатора подключается к беспроводной сети в режиме клиентского устройства и проводит ряд проверок, например, тест аутентификации, отправку запроса Ping и определение пропускной
способности.
Часто приходится проверять, соответствует ли конфигурация клиентского устройства принятой в данной компании политике безопасности в отношении шифрования пакетов и метода аутентификации, например, расширенному протоколу проверки подлинности (Extensible Authentication Protocol, ЕАР). Несоответствие параметров безопасности делает невозможной аутентификацию и авторизацию.
Качественный анализатор проводной и беспроводной сети обеспечивает контроль за всеми этапами процесса аутентификации, что помогает точно определить и устранить неисправности. Если сервер аутентификации запрещает пользователю доступ, это может быть вызвано, например, настройками самого сервера, конфигурацией безопасности клиентского устройства и отсутствием прав доступа у этого пользователя. Проверка процесса аутентификации по протоколу ЕАР с помощью беспроводного анализатора позволит сразу исключить некоторые предположения.
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ И ПРОИЗВОДИТЕЛЬНОСТИ
Как уже говорилось, беспроводные сети отличаются динамичностью, так что изменений в них долго ждать не приходится. Это происходит иногда в результате добавления к сети несанкционированных устройств, которые сотрудники компании применяют без разрешения, пытаясь воспользоваться беспроводным доступом в личных целях. Поскольку сигнал в беспроводной сети распространяется в трех измерениях, в некоторых ситуациях, случайно или специально, к ней могут подключаться пользователи, находящиеся вне помещений данной компании.
Не все руководители считают целесообразным тратить средства на сенсорную сеть, в частности, систему обнаружения сетевых атак для выявления несанкционированных точек доступа. В большинстве случаев для обнаружения таких точек доступа и нерегулярных сетей (ad-hoc) достаточно провести аудит сети.
Предварительно необходимо настроить портативный анализатор, введя данные об авторизованных корпоративных точках доступа. Это позволит в ходе регулярного аудита в режиме реального времени быстро отличить несанкционированные точки доступа и нерегулярные сети.
АУДИТ СЕТИ
Как предупреждает аналитическая компания Gartner, к 2010 г. 90% нарушений безопасности сетей WLAN будет результатом их неправильной конфигурации (с вероятностью 0,8). Чтобы этот прогноз не оправдался, следует проводить регулярный аудит беспроводных сетей для проверки соответствия конфигураций точек доступа и клиентских устройств политике безопасности компании.
Например, если в компании принят стандарт WPA и расширяемый защищенный протокол проверки подлинности (Protected Extensible Authentication Protocol, РЕАР), являющийся одним из нескольких доступных методов аутентификации, сетевой администратор должен регулярно контролировать, соответствуют ли настройки точек доступа этому протоколу. С такой рекомендацией выступает SANS Institute, предлагающий обучение и сертификацию по информационным технологиям и безопасности.
После первоначального изучения объекта необходимо периодически анализировать радиоэфир с помощью портативных анализаторов для выявления изменений, вызывающих снижение производительности. Одновременно можно отслеживать тенденции в изменении потребностей на доступ в сеть и выявлять, где следует установить дополнительные точки доступа.
ВЫБОР ФОРМ-ФАКТОРА
На рынке предлагаются различные типы анализаторов, предназначенных для устранения неисправностей и обеспечения безопасности сети. Для рассматриваемых задач оптимальным будет портативное устройство, позволяющее находить и устранять неполадки как
в беспроводной, так и в проводной части корпоративной сети (см., например, врезку «Портативные сетевые анализаторы Fluke Networks»).
Портативные системы. Специа-лизированные интегрированные сетевые анализаторы обладают несколькими преимуществами перед ноутбуками, наладонными персональными компьютерами (КПК) и централизованными системами (см. ниже). В частности, производительность ноутбуков ограничивается драйверами спецификации интерфейса сетевых адаптеров (Network Driver Interface Specification, NDIS), в соответствии с которыми осуществляется взаимодействие протоколов соединения, таких как TCP/IP, с сетевым адаптером ноутбука. Наличие посредника в лице NDIS зачастую снижает производительность вдвое.
Кроме того, технические специалисты неохотно предоставляют свои ноутбуки для проведения тестов, особенно если проверка и анализ занимают длительное время и проводятся в другом помещении. Что же касается КПК, то они поддерживают не все адаптеры Cardbus, необходимые для сканирования каналов Wi-Fi (802.11a/b/g). Как отмечалось выше, это непременное условие для полноценного устранения неисправностей в беспроводной среде.
Централизованные системы. Системы с функциями управления радиоэфиром для коммутационного шкафа, коммутатора или контроллера центра обработки данных, несомненно, полезны , но они получают только ту информацию, которая поступает от распределенных инфраструктурных точек доступа. Если в результате изменения обстановки где-нибудь возникнет «мертвая зона», то централизованная система управления этого не обнаружит. В принципе, она способна определить местонахождение несанкционированной точки доступа, но для технического специалиста, которого отправили для ее демонтажа, она ничем внешне не отличается от расположенной рядом законной точки доступа.
Портативные анализаторы выгодно дополняют централизованную систему, так как предоставляют наглядную и звуковую информацию о силе сигнала и точно указывают на несанкционированную точку доступа. Кроме того, многие компании продолжают пользоваться имеющимися инфраструктурами Wi-Fi с традиционными точками доступа. У них просто не хватает средств или отсутствует технико-экономическое обоснование для обновления централизованной инфраструктуры и установки систем обнаружения несанкционированного доступа. В таких условиях регулярный аудит с помощью портативного беспроводного анализатора является оптимальным решением с точки зрения управления и технического обслуживания.
ВЫВОДЫ
По мере роста беспроводной локальной сети увеличивается количество обращений пользователей в службу поддержки. К счастью, для проверки сетей и устранения неисправностей большой комплект приборов больше не нужен. Интегрированные портативные анализаторы проводных и беспроводных сетей позволяют быстро найти причину проблемы, где бы она ни скрывалась — в проводной или беспроводной сети, в клиентском устройстве или приложении, — и быстро ее устранить.
Беспроводные анализаторы выявляют подключенные к сети устройства и предоставляют информацию об их состоянии, силе сигнала и конфигурациях безопасности. Кроме того, они могут использоваться в качестве беспроводных клиентов, помогая быстро определить, характерна ли данная неисправность только для конкретного устройства. Портативные интегрированные сетевые анализаторы более производительны, чем ноутбуки, обладают возможностью сканирования в нескольких режимах, чего не обеспечивают КПК, а также имеют преимущества более подробной детализации и меньшей стоимости перед централизованными системами.
Игорь Панов — региональный менеджер по продукции и поддержке партнеров Fluke Networks в России, СНГ и Восточной Европе. С ним можно связаться по адресу: igor.panov@flukenetworks.com
Портативные сетевые анализаторы Fluke Networks
Справиться с проблемами как внутри сетей, так и в клиентских устройствах помогают портативные приборы EtherScope Network Assistant и OptiView Series III Integrated Network Analyzer (см. Рисунок 4). Они предназначены для быстрого анализа и устранения неисправностей в беспроводных локальных сетях стандарта 802.11a/b/g и проводных сетях 10/100/1000.
Анализаторы способны автоматически сканировать каналы a/b/g, собирать и обрабатывать статистическую информацию о состоянии беспроводной сети, а также выявлять активные сети, портативных клиентов и точки доступа. Они позволяют детализировать информацию о конфигурации любого беспроводного устройства. Для изменения конфигурации предусмотрена встроенная утилита.
В ходе проверки безопасности беспроводной сети анализаторы помогут определить и идентифицировать уязвимости, включая посторонние устройства и незащищенные точки доступа. Для выявления несанкционированно подключенного устройства предлагается специальная функция.
Портативные анализаторы также служат для устранения неисправностей с соединением и входом в систему, для чего предусмотрена функция отслеживания процессов соединения и аутентификации. Кроме того, в обоих приборах имеются широкие функции отчетности, позволяющие вести документацию сети WLAN.