Dedicated Air Monitors? You Decide

最近着手研究Aruba無線技術 仍是官方的英文文檔給力

Aruba的客戶常常會問？
我須要部署Aruba 的Air monitor嗎？或者僅僅只部署一個AP？

咱們的回答是：
Aruba AP可擁有雙倍性能的Air monitor，即 Air monitor能 提供了額外的性能和保護特性。

一臺Aruba能夠被配置爲一臺瘦AP以提供802.11a/b/g的無線接入用戶。被看成一臺Air monitor 一般掃描射頻頻譜，或者作爲一臺同時具有AP和Air monitor功能的設備（具有掃描功能的AP）。

任一Aruba 被動態的配置爲Air monitor模式，如Aruba 70系列的雙無線電AP能夠一個無線電工做在AP模式，爲客戶端提供服務，另一個無線電能夠工做在Air monitor模式。一臺Air monitor會進入」只聽「模式，並在其頻段內，不間斷的去掃描全部信道。

一臺AP能在它配置的通道里自動的提供監測。例如，一臺AP在channel 1爲客戶端提供服務，那麼他就能在channel 1裏提供無安全的監測服務。若是被設置爲爲運行off-channel 掃描，AP將在頻段內花費比較簡短的時間間隔去掃描其餘的信道。掃描的間隔越短，客戶端性能受到的影響越小。

在off-channel模式下的掃描，一些性能影響是不可避免的。最近許多廠商的實驗測試發現，當使用scannning AP爲客戶端服務或off-channel監測，會花費大量的去off-channel可能吞吐量會降低到16%。

真的須要一臺專用的Air monitor？雖然Aruba給了用戶這樣一個選擇，咱們強烈推薦他們使用。如下一些觀點詳細的說明了使用專用的monitor設備的好處：

安全方面：
專用的Air monitor 經過掃描APs 承擔了大量的與安全相關的加強功能多重任務。
惡意 APs：
惡意AP是未經管理員許可和受權的AP，一般狀況下，一些並不是惡意的員工未能意識到惡意AP鏈接到網絡所形成的安全風險。經過如下功能能快速的響應加強的安全監控：
1.檢測
一臺專用的Air monitor能在數秒內識別惡意的AP，數分鐘內發現惡意AP在不一樣信道間的惡意操做。不然他將永遠不能發現全部的流氓行爲。由於AP監控那個channel時，在短暫的時間內少許的使用惡意AP是不會產生流量的。
2.分類
惡意的AP區分是取決於看他有沒有能力接入到有線網絡中去，而且看他連到哪裏了。Aruba發明了一個算法，就是在網絡範圍內進行數據抽樣，Aruba正在申請自動分類算法的專利。AP或者Air monitor在一個channel上對數據抽樣所花費的時間越長，分類算法的結果將越精確，其所呈現的結果將具準確性和及時性。掃描爲客戶端提供服務的AP也能類別出惡意AP，因爲他們要爲客戶端付出時間，所以他們會變得很慢。
3.遏制
一旦惡意AP已經發現並標識出來後，Aruba能快速的禁用它使用較低的帶寬的有線和無線拒絕服務***。要實施無線DoS***，發出的設備必須與惡意AP 處於同一channel上來實行遏制行動。若是惡意AP在不一樣的channel上，經過off-channel來對惡意AP實行遏制，會比本地遏制所產生 的吞吐量產生的影響要多一些。


Ad - hoc 網絡監測和遏制
Ad-hoc網絡監測和遏制與惡意AP遏制和監測是相關聯的。Aruba是第一家能自動檢測，分類和禁用Ad-hoc的廠商。但是Ad-hoc一般產生比 惡意APs更少的流量，因爲這種緣由，在短暫的時間間隔內，經過掃描AP來發現Ad-hoc網絡的可能性將變得更低。經過專用的Air monitor，Ad-hoc網絡將很快的被檢測到並禁用掉。

Honey-pot AP偵測
在一個honey-pot***中，***者在無線網絡範圍內設置了一個AP（常常在建築物外邊），並開始冠以企業網絡的ESSID。絕不知情的客戶端設備關 聯到***者的AP以後，並相信他們漫遊到了一個有效的AP。而後***者直接從二層連入客戶端的設備。開始大量的額外***，例如中間人***，ARP毒 害，DHCP/DNS劫持，網絡蠕蟲和病毒的注入。
爲避免檢測，一般使用很是用的信道，如在802.11b/g使用channel 2.專用的Air monitor能立刻檢測出這些設備，識別出他們在使用一個預留的企業ESSID，並禁用跨越空氣的DoS***的設備。Air monitor與***的AP保持在相同的channel上，以確保沒有站點關聯到它。一個掃描的AP能夠爲它服務的客戶端執行一些動做，可是經驗上會出現 兩個嚴重的問題：①發現honey-pot會產生延誤；②最終因爲在off-channel上花費大量的時間而形成網絡性能的下降。

無線網橋的檢測
一般會用在互聯的建築物中，無線網橋是公司間諜最喜歡的工具。一般放置於會議室的桌子上或門廊的底下。網橋能悄悄的連入公司網絡，因爲他們是定向的信號且缺少信標，是很難被檢測出來的。掃描AP去監測一個信道，是沒法在短期內發現他們的，一個專用的Air monitor卻能快速的發現它們。一旦它被定位後，IT人員能會很容易移除他們。

多樣性的報告點
更多的數據源，產生更大的覆蓋範圍和精度。基礎設施的AP沒法監聽到它，一個***的AP能被客戶端設備發現。解決這種問題的最好方法是打量部署APs。在Aruba無線網絡的設計中會詳細介紹，並增長少許的高增益天線的Air monitor。

射頻的管理和排錯
遠程抓包
數據包抓取或嗅探，啓用網絡管理來對網絡進行排錯。AP能在配置的channel上進行抓包，在另外的channel上執行此功能會影響客戶端的流量。一臺專用的Air monitor可以解決這些問題，由於它能在任一channel上進行抓包。

另外，一臺AP可以抓取接收的數據，但轉發的時候不能監聽本身。若是在轉發的電路上部分失敗，數據包在抓取本身數據可能會致使錯誤。專用的Air monitor提供了一個"獨立的第三方"網絡流量視圖，和客戶端的角度視圖而不是AP的視圖。

統計監測
統計監測是另外一個有價值的統計監測工具。Aruba收集了豐富的RF環境統計信息，如干擾水平，設備數目，最高用量，幀重試速率，RSSI，設備的範圍， 幀類型/大小分佈。APs提供了本身的channels並給出了有限的事件發生和其它channel上的事件的視圖。專用的Air monitor 用更長的駐留時間去掃描channel，併爲每個channel提供了更多的圖片形式。

報告點的多樣性
例如安全監測，更多的數據資源提供了更大的準確性。一個干擾源能夠被定位例如基礎AP不能收聽到它，可是客戶端設備能夠，密集部署監測設備提供發現問題的機會。

高可用性
容錯
專用的Air monitor 擔當一個冗餘AP的角色提升了網絡的可靠性。在AP失效的事件中，一臺Air monitor經過設置來通告網絡失效的事件，自動將本身轉化爲一臺AP。幾乎沒有down的時間間隔，並告知網絡管理員。

將來的潛力
專用的Air monitor提供了額外的特性：
按需超出的覆蓋率。Air monitor，感知網絡中的高流量，可以被設置來通告流量並將他們轉換爲APs爲按需的超出覆蓋率高需求的環境如一個大型的公司會議。
按需的室外無線接入。Air monitor被用來保護建築物的邊緣被轉化爲APs，並提供臨時的覆蓋率。
臨時增加的覆蓋率。Air monitor能被自動的轉化爲APs起到增加時的緩衝做用。