Dedicated Air Monitors? You Decide

最近着手研究Aruba無線技術 還是官方的英文文檔給力

Aruba的客戶經常會問？
我需要部署Aruba 的Air monitor嗎？或者僅僅只部署一個AP？

我們的回答是：
Aruba AP可擁有雙倍性能的Air monitor，即 Air monitor能 提供了額外的性能和保護特性。

一臺Aruba可以被配置爲一臺瘦AP以提供802.11a/b/g的無線接入用戶。被當作一臺Air monitor 通常掃描射頻頻譜，或者做爲一臺同時具備AP和Air monitor功能的設備（具備掃描功能的AP）。

任一Aruba 被動態的配置爲Air monitor模式，如Aruba 70系列的雙無線電AP可以一個無線電工作在AP模式，爲客戶端提供服務，另外一個無線電可以工作在Air monitor模式。一臺Air monitor會進入”只聽“模式，並在其頻段內，不間斷的去掃描所有信道。

一臺AP能在它配置的通道里自動的提供監測。例如，一臺AP在channel 1爲客戶端提供服務，那麼他就能在channel 1裏提供無安全的監測服務。如果被設置爲爲運行off-channel 掃描，AP將在頻段內花費比較簡短的時間間隔去掃描其他的信道。掃描的間隔越短，客戶端性能受到的影響越小。

在off-channel模式下的掃描，一些性能影響是不可避免的。最近許多廠商的實驗測試發現，當使用scannning AP爲客戶端服務或off-channel監測，會花費大量的去off-channel可能吞吐量會下降到16%。

真的需要一臺專用的Air monitor？雖然Aruba給了用戶這樣一個選擇，我們強烈推薦他們使用。以下一些觀點詳細的說明了使用專用的monitor設備的好處：

安全方面：
專用的Air monitor 通過掃描APs 承擔了大量的與安全相關的增強功能多重任務。
惡意 APs：
惡意AP是未經管理員許可和授權的AP，通常情況下，一些並非惡意的員工未能意識到惡意AP連接到網絡所造成的安全風險。通過以下功能能快速的響應增強的安全監控：
1.檢測
一臺專用的Air monitor能在數秒內識別惡意的AP，數分鐘內發現惡意AP在不同信道間的惡意操作。否則他將永遠不能發現所有的流氓行爲。因爲AP監控那個channel時，在短暫的時間內少量的使用惡意AP是不會產生流量的。
2.分類
惡意的AP區分是取決於看他有沒有能力接入到有線網絡中去，並且看他連到哪裏了。Aruba發明了一個算法，就是在網絡範圍內進行數據抽樣，Aruba正在申請自動分類算法的專利。AP或者Air monitor在一個channel上對數據抽樣所花費的時間越長，分類算法的結果將越精確，其所呈現的結果將具準確性和及時性。掃描爲客戶端提供服務的AP也能類別出惡意AP，由於他們要爲客戶端付出時間，因此他們會變得很慢。
3.遏制
一旦惡意AP已經發現並標識出來後，Aruba能快速的禁用它使用較低的帶寬的有線和無線拒絕服務***。要實施無線DoS***，發出的設備必須與惡意AP 處於同一channel上來實行遏制行動。如果惡意AP在不同的channel上，通過off-channel來對惡意AP實行遏制，會比本地遏制所產生 的吞吐量產生的影響要多一些。


Ad - hoc 網絡監測和遏制
Ad-hoc網絡監測和遏制與惡意AP遏制和監測是相關聯的。Aruba是第一家能自動檢測，分類和禁用Ad-hoc的廠商。可是Ad-hoc通常產生比 惡意APs更少的流量，由於這種原因，在短暫的時間間隔內，通過掃描AP來發現Ad-hoc網絡的可能性將變得更低。通過專用的Air monitor，Ad-hoc網絡將很快的被檢測到並禁用掉。

Honey-pot AP偵測
在一個honey-pot***中，***者在無線網絡範圍內設置了一個AP（經常在建築物外邊），並開始冠以企業網絡的ESSID。毫不知情的客戶端設備關 聯到***者的AP之後，並相信他們漫遊到了一個有效的AP。然後***者直接從二層連入客戶端的設備。開始大量的額外***，例如中間人***，ARP毒 害，DHCP/DNS劫持，網絡蠕蟲和病毒的注入。
爲避免檢測，通常使用非常用的信道，如在802.11b/g使用channel 2.專用的Air monitor能馬上檢測出這些設備，識別出他們在使用一個預留的企業ESSID，並禁用跨越空氣的DoS***的設備。Air monitor與***的AP保持在相同的channel上，以確保沒有站點關聯到它。一個掃描的AP可以爲它服務的客戶端執行一些動作，但是經驗上會出現 兩個嚴重的問題：①發現honey-pot會產生延誤；②最終由於在off-channel上花費大量的時間而造成網絡性能的降低。

無線網橋的檢測
通常會用在互聯的建築物中，無線網橋是公司間諜最喜歡的工具。通常放置於會議室的桌子上或門廊的底下。網橋能悄悄的連入公司網絡，由於他們是定向的信號且缺乏信標，是很難被檢測出來的。掃描AP去監測一個信道，是無法在短時間內發現他們的，一個專用的Air monitor卻能快速的發現它們。一旦它被定位後，IT人員能會很容易移除他們。

多樣性的報告點
更多的數據源，產生更大的覆蓋範圍和精度。基礎設施的AP無法監聽到它，一個***的AP能被客戶端設備發現。解決這種問題的最好方法是打量部署APs。在Aruba無線網絡的設計中會詳細介紹，並增加少量的高增益天線的Air monitor。

射頻的管理和排錯
遠程抓包
數據包抓取或嗅探，啓用網絡管理來對網絡進行排錯。AP能在配置的channel上進行抓包，在另外的channel上執行此功能會影響客戶端的流量。一臺專用的Air monitor能夠解決這些問題，因爲它能在任一channel上進行抓包。

另外，一臺AP能夠抓取接收的數據，但轉發的時候不能監聽自己。如果在轉發的電路上部分失敗，數據包在抓取自己數據可能會導致錯誤。專用的Air monitor提供了一個"獨立的第三方"網絡流量視圖，和客戶端的角度視圖而不是AP的視圖。

統計監測
統計監測是另一個有價值的統計監測工具。Aruba收集了豐富的RF環境統計信息，如干擾水平，設備數目，最高用量，幀重試速率，RSSI，設備的範圍， 幀類型/大小分佈。APs提供了自己的channels並給出了有限的事件發生和其它channel上的事件的視圖。專用的Air monitor 用更長的駐留時間去掃描channel，併爲每一個channel提供了更多的圖片形式。

報告點的多樣性
例如安全監測，更多的數據資源提供了更大的準確性。一個干擾源可以被定位例如基礎AP不能收聽到它，但是客戶端設備可以，密集部署監測設備提供發現問題的機會。

高可用性
容錯
專用的Air monitor 擔當一個冗餘AP的角色提高了網絡的可靠性。在AP失效的事件中，一臺Air monitor通過設置來通告網絡失效的事件，自動將自己轉化爲一臺AP。幾乎沒有down的時間間隔，並告知網絡管理員。

未來的潛力
專用的Air monitor提供了額外的特性：
按需超出的覆蓋率。Air monitor，感知網絡中的高流量，能夠被設置來通告流量並將他們轉換爲APs爲按需的超出覆蓋率高需求的環境如一個大型的公司會議。
按需的室外無線接入。Air monitor被用來保護建築物的邊緣被轉化爲APs，並提供臨時的覆蓋率。
臨時增長的覆蓋率。Air monitor能被自動的轉化爲APs起到增長時的緩衝作用。