无线网络的故障诊断及安全策略简介

基于IEEE802.11标准的无线LAN，也被称为Wi-Fi网络，它已经从传统的仓库厂房环境中的应用，逐渐发展进入主流网络。结果，对于无线网络的故障诊断和安全保障对于网络技术人员或工程师就变得与有线网络一样重要。

手持式，有线与无线集成式的分析仪就变得特别有用。技术人员通过这样一个设备既可以对无线网络也可以对有线网络进行故障诊断，可以快速定位故障原因是无线网络问题,还是有线网络问题，或者排除是网络问题。这样对于那些不断增加移动应用的用户来说，可以最大化地提高工作效率。

无线网环境

Wi-Fi配置为几种模式，包括对等模式，桥接模式，交换模式和网状模式，好的工具能在不同模式网络中都能对设备，RF通道和协议类型进行分析，同时进行快速的故障定位。例如，使用一个设备对于四种不同模式的网络都可以按照设备分类，连接接口进行测试。

网络结构

Ad-hoc网络由客户端设备组成，这些客户端设备在一个工作组中，客户端设备可以通过无线网卡直接通讯。Ad-hoc网络会带来安全问题，未授权的用户可能会自动地与合法用户通讯，这样可以会获得一些敏感数据，也可能通过无线网络进入有线网络。

无线基础构架的构成包括无线接入点AP，AP可以连接到有线网络，也可以连接无线交换机。AP为客户端提供RF信号，它也可以配置成点对点的模式来桥接不同建筑物间的无线网，比如可以适用于由停车场隔离两个建筑物。

另一种基本构架的网络是网状结构，网状结构也由AP组成，AP间可通过无线路由协议进行通讯。网状结构可以通过连接到有线网络的AP与有线网络通讯。网状结构可以减少布线工程，降低每个AP间互联的布线成本，提高可扩展性和灵活性。

多种模式的通道扫描

无线网卡和AP普遍使用802.11标准组。其中802.11b和802.11g工作在2.4GHz频段,802.11a工作5GHz频段，这些标准在企业级网络环境中使用,对于业务网络都期望有最多的无干扰通道，避免RF信号干扰，优化WLAN的性能。

即使一个企业只使用一个802.11标准的WLAN，也最好推荐使用支持三种标准802.11b,a,和g的测试仪，因为它可以对所有通道进行扫描。否则，你的企业会从ad-hoc模式或恶意的AP处带来安全隐患。

支持多种模式的分析仪可以扫描所以802.11的频段，包括2.4GHz和5GHz频段中的所有通道，并以图形化的形式显示，从这些图表中你可以查看配置是否合理，SNR信噪比是多少，可以利用的带宽会有多少，及其它相关问题。如果某个AP出现突出流量，可能是因为有很多客户端正在通过这个AP上网；另一方面，也可能是某种特别的应用或协议正在大量占用带宽。技术人员携带无线分析仪可以搜索“发送流量最多者”，可以快速判断是否有MP3下载，BT下载等应用，这些在无线网络中可能是需要禁止的应用。通常维信仪器的员工也是不许在上班期间进行BT下载的。

图1、对混合模式下的Wi-Fi环境进行故障诊断，确保其安全性

RF信号故障

不同于有线网络，无线网络的性能会随AP和客户端的位置变化和环境变化而受到影响。因为连接AP的客户端是移动的，所以合理地部署AP是一个挑战。另外，当AP负载过重时，或者当一个客户端漫游到RF信号很弱的地方，可能会造成无线网的盲区。

有些偏僻的死角位置，因为没有安装AP，所以也会有盲区，这些盲区会对一些应用带来影响，例如基于无线网的VOIP应用；有时，尽管做好了信号勘测，但是由于物理环境的变化，也会影响信号的变化，从而使客户端不能与AP通讯。比如，家具的移动，金属文件柜的移动，微波炉的安装或其它使用无线的家电出现等等。 [page]

消除对网络的猜测

通常主要的困难是用户使用无线网络的经验不足，甚至也包括对有线网络不了解.有报告显示，去年22%的用户故障集成在网络产品，电缆和连接器问题，69%的故障归因于服务器和应用。

无认如何，网管人员需要判断是什么原因导致网络故障，很多时候应用支持人员需要明确地知道是否网络存在问题。

故障诊断步骤

当用户遇到Wi-Fi无线网的连接故障，通常是寻求内部IT支持人员的帮助。通过电话说明可能不够，还需要派人前往。

如果用户存在登录问题，网管员需要定位故障位置。使用手持式的仪表，即可以测试有线网络，也可以测试无线网络，这可以最快速地找到问题根源。

如果技术人员使用测试仪可以从客户端位置成功登录无线网络，那么问题可能在客户端设备的配置或权限。如果测试仪不能连接到服务器，问题可能在无线或有线网络的物理层方面。另外，没有足够的带宽、请求排队超时、冲突干扰等也可能是故障的根源。

网管员使用无线测试仪从故障位置扫描无线网环境可以测量信号强度和AP的性能。测试仪可以使用被动的扫描方式，不需要登录AP。在被动模式下，测试仪的无线网卡只接收信号，不发送数据。如果RF质量可以满足要求，那么管理员可以用客户端模式登录无线网进行测试，例如登录测试，PING和吞吐量测试。

通常，管理员必须验证客户端的配置是否与业务的安全模式一致。（例如EAP）。如果安全模式不一致，会影响登录。

一个好的手持式仪表，应具备有线/无线综合分析功能，能够监测和故障诊断登录网络的每个一步是否成功，定位失败的环节。如果服务器拒绝用户登录，那么问题会与认证服务器自身有关，或者与用户的安全配置有关，或都与用户的接入权限有关。加强对EAP的监管可以减少此类故障。

支持安全测试

前面提到，无线网是动态的，部署完成后，环境会改变。有时是人为的错误，有时因增加无线网接入覆盖范围而带进一些未授权的设备。很多时候，因为无线网是在三维空间里提供接入服务，所以未授权的AP可能会连接进来。另外，也可能是由于设计错误导致这个结果。

寻找AP和Ad-Hoc网络

不是所有的公司都部署了安全检测设备（比如IDS）来查找恶意设备或AP。多数情况下，寻找恶意AP的工作是通过移动测试来完成的。在手持测试仪中可以将部署好的AP设定为“已授权”，这样可以实进地快速确定哪些AP或ad-hoc网络是示授权的。

图2、无线网络扫描

网络审查

从安全的角度来看，根据预测,在2006年,70%的恶意攻击会是通过AP或客户端的错误配置造成的安全漏洞造成的。无线测试工具可以帮助企业定期地审查AP和客户端的配置，查看这些配置是否符合公司安全策略。

研究机构推荐企业定期地检查设备配置，确保严格遵守公司内部安全策略。如果企业选择WPA网络，那么PEAP是一种有效的授权方式，管理员需要确认所有的AP都配置为PEAP。

对无线网进行周期性地现场勘测是必要的，网管员可以使用手持工具分析RF信号质量，查看性能有没有下降。他们也可以看到用户使用趋势，可以看在在哪里用户比较集中，是否需要增加AP数量。