左向中， 林 婷

(國家信息網(wǎng)絡(luò)產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心，江蘇 蘇州 215104)

0 引言

WLAN可以為 3G網(wǎng)絡(luò)有效卸載數(shù)據(jù)流量，滿足用戶數(shù)據(jù)業(yè)務(wù)逐年增長的需求，但是隨之而來的維護(hù)工作量也不斷的增加，尤其對一些VIP熱點(diǎn)，因?yàn)榧夹g(shù)維護(hù)人員不足等因素，服務(wù)響應(yīng)比較慢，嚴(yán)重影響了用戶的體驗(yàn)和滿意度，為了改善服務(wù)質(zhì)量，亟需一種有效的維護(hù)方式，來提高維護(hù)的效率，改善WLAN的性能以及用戶的體驗(yàn)和滿意度。

1 WLAN維護(hù)面臨的問題

WLAN維護(hù)面臨的問題有：①在一個(gè)較大的地理范圍內(nèi)，派遣技術(shù)人員至每個(gè)故障熱點(diǎn)比較不切實(shí)際；②無線局域網(wǎng)故障特點(diǎn)是間歇性和隨機(jī)性較強(qiáng)，故障可能隨時(shí)出現(xiàn)或消失；③需要實(shí)時(shí)的監(jiān)控VIP熱點(diǎn)區(qū)是否有非法的設(shè)備接入，以及不安全的狀態(tài)；④需要巡檢的無線局域網(wǎng)熱點(diǎn)每次均需要派人前往，時(shí)間和人力成本高昂；⑤無線局域網(wǎng)性能和安全問題沒有存檔和備案，出問題難以進(jìn)行取證分析。

2 無線局域網(wǎng)熱點(diǎn)智能安全監(jiān)護(hù)系統(tǒng)

2.1 方案特點(diǎn)

1）軟件和硬件智能探針結(jié)合的方式，實(shí)現(xiàn)遠(yuǎn)程客戶性能感知測試，性能和安全監(jiān)護(hù)。

2）無線層面上三家運(yùn)營商的比較性測試和分析結(jié)果的展現(xiàn)。

3）從運(yùn)營商WLAN全網(wǎng)管的高度，將實(shí)時(shí)測試、分析結(jié)果從全網(wǎng)到單終端的展現(xiàn)結(jié)構(gòu)。

2.2 系統(tǒng)組件與拓?fù)浣Y(jié)構(gòu)

（1）后臺服務(wù)器軟件與數(shù)據(jù)庫

服務(wù)器與數(shù)據(jù)庫軟件可以安裝在數(shù)據(jù)中心機(jī)房。

（2）控制臺軟件

只要與服務(wù)器網(wǎng)絡(luò)上可達(dá)，控制臺軟件可以安裝在任何一臺管理員電腦上。

（3）探針（Sensor）

每個(gè)VIP熱點(diǎn)部署至少3個(gè)硬件探針，具體數(shù)量視AP數(shù)量，熱點(diǎn)覆蓋面積和現(xiàn)場環(huán)境而定。

在代維人員電腦上安裝部署軟件智能探針，實(shí)現(xiàn)對代維人員的有效管控和必要的遠(yuǎn)程協(xié)助。

無線局域網(wǎng)熱點(diǎn)只能安全監(jiān)護(hù)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 無線局域網(wǎng)熱點(diǎn)只能安全監(jiān)護(hù)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)

2.3 方案優(yōu)勢

①實(shí)時(shí)的監(jiān)控整個(gè)無線環(huán)境，為管理部門提供WLAN整體運(yùn)行狀況實(shí)時(shí)統(tǒng)計(jì)結(jié)果；②預(yù)先捕捉故障，對無線局域網(wǎng)當(dāng)中存在的故障問題進(jìn)行主動(dòng)告警，防患于未然；③在進(jìn)行問題分析和故障處理時(shí)，管理員無需赴現(xiàn)場就能夠進(jìn)行遠(yuǎn)程處理和判斷；④按需針對遠(yuǎn)程站點(diǎn)和工作區(qū)進(jìn)行遠(yuǎn)程故障分析；⑤非常適用于部署大量AP的運(yùn)營商；⑥取證功能避免安全和性能事件遺漏；⑦自動(dòng)探測和消除所有無線威脅[4]；⑧跟蹤，定位，繪制和捕獲任何WLAN或射頻事件的證據(jù)[6]；⑨對 802.11n網(wǎng)絡(luò)進(jìn)行全面的安全和性能分析[5]。

2.4 主要功能

2.4.1 設(shè)備性能分析

分析支持從最大AP負(fù)載、最大流量產(chǎn)生者、最高信道占用、最多性能和安全告警燈角度對設(shè)備和事件進(jìn)行排名，使得管理人員非常方便的就可以找到故障點(diǎn)，并允許以圖表的形式查看和分析數(shù)據(jù)。

2.4.2 Wi-Fi設(shè)備查看

①查看所有802.11a/b/g/n 設(shè)備；②對虛擬AP進(jìn)行自動(dòng)識別和分組；③在非標(biāo)準(zhǔn)信道中檢測設(shè)備；④檢測4.9 GHz 頻段的設(shè)備；⑤在5 GHz頻段可掃描超過200個(gè)信道。

2.4.3 抓包解碼[2]

為了分析更深層次的Wi-Fi問題，或者排除設(shè)備故障，有時(shí)會(huì)需要對空口數(shù)據(jù)進(jìn)行抓包解碼分析，智能探針支持遠(yuǎn)程抓包解碼分析。

2.4.4 無線IDS/IPS功能

智能探針，除了滿足用戶遠(yuǎn)程性能監(jiān)護(hù)和排障需求以外，還具備強(qiáng)大的WLAN安全監(jiān)護(hù)功能，對針對熱點(diǎn)的無線攻擊、黑客入侵、非法設(shè)備接入等行為具備完善的監(jiān)控功能，一旦發(fā)現(xiàn)此類行為，即可實(shí)時(shí)告警，以多種方式通知相關(guān)人員，并可實(shí)現(xiàn)自動(dòng)防護(hù)。

3 WASM部署建議

3.1 基本概念

智能探針的監(jiān)測范圍(FOV)

FOV是指WLAN網(wǎng)絡(luò)的智能探針?biāo)鼙O(jiān)測到的物理范圍。智能探針FOV與AP的覆蓋范圍類似。

（1）可信設(shè)備

可信設(shè)備（trusted device）是指為了提供WLAN服務(wù)，授權(quán)的網(wǎng)絡(luò)部署組織在網(wǎng)絡(luò)中所置放的AP。

（2）未授權(quán)的WLAN設(shè)備

它們可能是WLAN網(wǎng)絡(luò)中在2.4 GHz或 5 GHz頻段發(fā)射或接收802.11信號的設(shè)備(AP 或STA) ，在可信的物理區(qū)域內(nèi)都能夠觀察到它們。有幾類未授權(quán)設(shè)備，例如：“友好的”非法AP，該AP是其他單位網(wǎng)絡(luò)的一個(gè)組成部分，但是恰好輻射進(jìn)可信區(qū)域內(nèi)。

（3）無線接收機(jī)靈敏度/鏈路預(yù)算

WASM智能探針可以接收多種制式（802.11b,11g和11a）的無線幀，智能探針有一個(gè)接收機(jī)靈敏度配置文件，它明確規(guī)定了各種802.11模式下不同數(shù)據(jù)速率所對應(yīng)的接收接靈敏度。與智能探針的天線特性結(jié)合，該配置文件定義了各種802.11模式下的無線鏈路預(yù)算門限值。

（4）802.11 射頻媒體類型

WASM智能探針捕獲了工作在2.4 GHz或 5 GHz頻段的802.11b 或11g模式的數(shù)據(jù)包。由于與2.4 GHz相比，5 GHz頻段具有不同的射頻傳輸特性和無線性能參數(shù)，因此智能探針的 FOV 會(huì)不同于11a 設(shè)備。需要注意的是，設(shè)計(jì)智能探針網(wǎng)絡(luò)時(shí)，雖然大多數(shù)現(xiàn)有的WLAN 設(shè)備使用2.4 GHz的802.11b/g 制式，但是智能探針網(wǎng)絡(luò)也需要精確地檢測出未授權(quán)的11a 設(shè)備。

（5）WLAN 設(shè)備檢測理論[2]

智能探針只需捕獲一個(gè)信標(biāo)幀，就能確定AP是否存在于網(wǎng)絡(luò)中。 這個(gè)信標(biāo)幀幾乎包含了關(guān)于AP自身的所有重要信息和WLAN周圍的環(huán)境狀況，因此它如同WLAN DNA的一部分。信標(biāo)幀通常以BSS支持的最低基本速率（802.11b中為1 Mb/s）在網(wǎng)絡(luò)中廣播發(fā)送。默認(rèn)的幀 間間隔(BI) 通常是100 ms，所以一個(gè)AP在每秒內(nèi)通常發(fā)送10個(gè)信標(biāo)幀。

（6）WLAN 設(shè)備檢測理論[3]

此處引入了WLAN 監(jiān)測的一個(gè)重要概念“可靠檢測”。對于智能探針的給定配置，每一個(gè)智能探針?biāo)鶆?chuàng)建FOV的完整信息會(huì)包含其中。在這些所有的FOV邊界之內(nèi)，這個(gè)系統(tǒng)應(yīng)該發(fā)現(xiàn)參考未授權(quán)設(shè)備的存在，該設(shè)備持續(xù)加電 Ton秒且統(tǒng)計(jì)置信度為P%。當(dāng)條件滿足一個(gè)給定元組(Ton, P)值時(shí)，監(jiān)控系統(tǒng)就會(huì)提供“可靠檢測”。由于一個(gè)隨機(jī)未授權(quán)設(shè)備的數(shù)據(jù)包傳輸速率是未知的，所以選擇具有100 ms BI且沒有關(guān)聯(lián)站點(diǎn)的AP作為參考未授權(quán)設(shè)備。建議值是(60, 99.999)，但是最佳值隨著環(huán)境的變化而變化，并將其作為整體智能探針網(wǎng)絡(luò)操作規(guī)范過程的一部分。

3.2 智能探針的FOV類型

智能探針可以指定為三種不同的FOV類型,需要評估整體WLAN監(jiān)控目標(biāo)，然后選擇合適的FOV類型。

（1）A類型: 監(jiān)控所有可信設(shè)備的流量

A類型的智能探針FOV是指智能探針采用一個(gè)最低信號電平或鏈路速率來監(jiān)控所有可信設(shè)備(AP或站點(diǎn))的流量，該鏈路速率至少不低于設(shè)計(jì)中所指定的最低速率。例如，指定一個(gè)11b WLAN設(shè)備為所有站點(diǎn)提供不低于5.5 Mb/s的鏈路速率服務(wù)，那么在A類型的監(jiān)控邊界， 智能探針就需要捕獲所有站點(diǎn)與AP通信速率不低于 5.5 Mb/s的業(yè)務(wù)流量。系統(tǒng)是以該設(shè)備支持的最大速率來捕獲邊界內(nèi)的大部分可信流量。在大多數(shù)情況下，C類型邊界包含的區(qū)域面積最大，B類型邊界包含的區(qū)域面積偏小，而 A類型邊界包含的區(qū)域面積最小。

（2）B類型:監(jiān)控可信AP的流量

B類型的智能探針FOV是指智能探針以一個(gè)信號電平監(jiān)控可信AP，該信號電平至少不低于設(shè)計(jì)中所定義的最小電平值。

（3）C類型:檢測未授權(quán)設(shè)備

C類型的智能探針FOV邊界是指智能探針檢測室內(nèi)區(qū)域的非法AP設(shè)備，以及智能探針檢測室外開闊區(qū)域AP設(shè)備。

3.3 實(shí)際測量示例

表1總結(jié)了一些WASM智能探針設(shè)計(jì)的實(shí)際測量示例。

表1 WASM智能探針設(shè)計(jì)的實(shí)際測量示例

4 結(jié)語

WASM遠(yuǎn)程性能監(jiān)護(hù)和排障功能可以節(jié)約人力和時(shí)間成本，使其能夠以最小的人員和資本投入，迅速及時(shí)的解決以往需要花費(fèi)大量人力物力才能解決的熱點(diǎn)維護(hù)遇見的問題，系統(tǒng)可以從這里方面實(shí)現(xiàn)這一目標(biāo)：①減少因宕機(jī)導(dǎo)致的損失：持續(xù)監(jiān)視熱點(diǎn)的工作狀態(tài)，在設(shè)備發(fā)生故障之前即可啟動(dòng)報(bào)警；問題一旦發(fā)生，WASM可以提供維護(hù)人員完備的排障工具，使其能夠迅速定位和解決問題；②改善用戶的體驗(yàn)，提高用戶的滿意度和忠誠度：主動(dòng)實(shí)時(shí)的健康檢查，得出用戶網(wǎng)絡(luò)性能趨勢報(bào)告；定位問題出現(xiàn)的時(shí)間段和問題原因，給用戶合理解釋；③提高維護(hù)人員的工作效率，節(jié)省問題解決時(shí)間和人力投入：專家系統(tǒng)自動(dòng)發(fā)現(xiàn)問題，并且給出問題的解決方案；④減少現(xiàn)場支持次數(shù)：WASM遠(yuǎn)程分析和排障工具，使得足不出戶即可定位并解決大部分問題。

[1]全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì).GBT21671-2008[S].北京:中國標(biāo)準(zhǔn)出版社,2008.

[2]譚荊.無線局域網(wǎng)通信安全問題探討[J].通信技術(shù),2010,43(11):84-85.

[3]張磊,王輝.無線局域網(wǎng)安全協(xié)議研究[J].通信技術(shù),2011,44(09):117-119.

[4]翁亮,孟桂娥,楊宇航.現(xiàn)代通信網(wǎng)絡(luò)的安全問題分析[J].通信技術(shù),2010,43(11):11-14.

[5]厲劍.無線局域網(wǎng)安全標(biāo)準(zhǔn)及技術(shù)淺析[J].信息安全與通信保密,2008(10):71-74.

[6]何秋萍,寧建創(chuàng).局域網(wǎng)和無線局域網(wǎng)的差異及安全研究[J].信息安全與通信保密,2011(10):89-92.