Notas de aplicativos Gerenciamento de BYOD e a ...§ão-Gestão... · ... 62 por cento relatam que sua empresa ... o que significa que pode não ... acesso desconhecidos tais como

Notas de aplicativos Gerenciamento de BYOD e a consumerização de TI Manual do aplicativo do assistente de rede OneTouch AT

Índice

» Introdução» Como eu compreendo o inventário de dispositivos Wi-Fi?» Como eu identifico redes indesejadas?» E se um AP não autorizado está usando a SSID corporativa?» Posso localizar um AP, hotspot ou dispositivo ad hoc problemático?» E se um AP não autorizado não está transmitindo seu SSID?» Alguém configurou uma rede ad hoc?» Há algum cliente inesperado em meu SSID corporativo?» Por que o desempenho é ruim nesta área?» Como eu verifico se meu QoS Wi-Fi está funcionando?» Como posso saber mais sobre o dispositivo Wi-Fi?» Como eu verifico o acesso apropriado para meus vários SSIDs?» Minha descarga Wi-Fi está funcionando?» Como eu posso autenticar através de meu SSID convidado?» Eu estou aqui mas meu problema não. O que eu faço?» Isto é um problema cabeado ou sem fio?» Como meu desempenho de transação Wi-Fi compara com a transação cabeada?» Como eu identifico hubs, switches e roteadores BYO?» Eu tenho potência suficiente para meus pontos de acesso?» E se eu precisar capturar tráfego?» Conclusão

1 of 20

IntroduçãoA consumerização de TI está se tornando realidade rapidamente em muitos se não em todos os departamentos de TI corporativos. A proliferação detablets e outros dispositivos inteligentes aumentou dramaticamente nos últimos anos e o uso destes produtos de “classe do consumidor” em redescorporativas é quase onipresente. Um estudo recente mostrou que 90% das empresas pesquisadas permite que algum nível de dispositivostecnológicos próprios seja usado na empresa. Um fenômeno conhecido como BYOD (trazer seu próprio dispositivo). Além da onda de telefones etablets como clientes, os gateways residenciais, os roteadores, APs e switches facilmente disponíveis e de baixo custo, podem se infiltrar na empresa.Confiantes em suas recém-descobertas habilidades de rede residenciais, os funcionários estão mais ousados do que nunca, criando entropia de rede.

O influxo de clientes móveis e equipamentos de rede faz muitos em TI procurarem a melhor maneira de detectar, inventariar, auditar, localizar egerenciar a inundação de novos dispositivos. Em uma pesquisa recente, 62 por cento relatam que sua empresa não tem as ferramentas necessáriaspara suportar os dispositivos pessoais dos funcionários, independente de existir políticas para isso ou não. Os medos e as preocupações são muitos.Gerenciar o impacto de dispositivos pessoais, proteger os dados corporativos e a propriedade intelectual, e auditar para assegurar a conformidade sãoa pedra no sapato da maioria dos departamentos de TI.

O assistente de rede Fluke Networks OneTouch™ AT tem uma variedade de caraterísticas que fornecem a visibilidade e o controle para aproveitar aexplosão de BYOD e reduzir os riscos e os custos operacionais associados com o fornecimento de uma infraestrutura com e sem fio confiável,difundida, de alto desempenho, e segura. O OneTouch tem uma combinação única de caraterísticas de análise com e sem fio em um pacote resistenteque seja tão móvel quanto os dispositivos que ele controla. Esta nota de aplicativo explora a aplicação prática do assistente de rede Fluke NetworksOneTouch AT para uma variedade de questões comuns de BYOD que TI enfrenta, tais como:

Como inventariar o estado atual de sua rede Wi-FiComo investigar queixas do usuário a respeito do desempenho e da conectividadeComo identificar clientes, APs e outros dispositivos de rede não autorizadosComo auditar permissões de redeComo medir o desempenho Wi-FiComo testar a cobertura de transferência de controle celular

2 of 20

Figura 1.

Figura 2

Como eu compreendo o inventário de dispositivos Wi-Fi?A maioria do Wi-Fi na empresa está experimentando uma explosão de uso enquanto as redes quesuportavam anteriormente somente laptops corporativos tratam uma enxurrada de telefones e de tabletsdiversos. Além do crescimento do número total de dispositivos, o apetite por largura de banda podeprejudicar o desempenho de aplicativos de missão crítica da empresa. A chave para tratar o fenômeno deBYOD é entender apenas o quanto ele está difundido. Você deve inventariar os dispositivos, ver a que redese pontos de acesso eles estão se conectando, e entender o quão saudável está o ambiente.

O OneTouch automaticamente descobre e categoriza o Wi-Fi em quatro abas: Rede, AP, cliente e canal.Classificar por propriedades permite múltiplas visões na rede sem fio. Por exemplo, classifique por força dosinal para solucionar problemas de cobertura de Wi-Fi. Classifique pela utilização para identificar problemasde utilização do AP, do cliente ou do canal. Classifique por status de autorização para encontrar potenciaisviolações de segurança. Classifique por fabricação MAC para descobrir dispositivos Wi-Fi por tipo eentender como eles estão conectados com relação a SSID, AP e canal.

A aba do cliente exibe todos os dispositivos sem fio que o OneTouch está vendo em todos os canais. Aqui épossível examinar a conformidade às políticas formais usadas por TI para suportar BYOD. Os dispositivosAndroid são representados tipicamente pelos códigos dos fabricantes Samsung, HTC e Motorola, e oBlackberry é representado por RIM. A Figura 1 é um exemplo. Nós podemos rapidamente identificar pontosdivergentes tais como o dispositivo da Apple no canal 161, em um canal de 5 gigahertz, e outro dispositivoda Apple buscando seus SSIDs conhecidos mas não conectado à rede.

Clicar qualquer dos dispositivos expande a visualização e mostra informação detalhada sobre a rede, oSSID, o canal e a segurança em uso pelo dispositivo, e começa monitoração detalhada dos indicadores chaves de dispositivo. Veja a Figura 2. Osbotões de filtro fornecem uma análise mais profunda de cada rede relacionada ao cliente, pontos de acesso e canais usados.

Quando você aborda sua análise Wi-Fi a partir do domínio mais relevante (SSID, AP, cliente ou canal),classificando e filtrando é uma maneira versátil de compreender o inventário. Clicar na tecla OneTouch ATno canto direito superior permite capturar uma tela (fazer uma imagem da tela) ou criar um relatóriodetalhado em PDF para documentar seu inventário de BYOD.

O OneTouch é Wi-Fi independente de fornecedor, e pode ser usado em sua mesa, andando pelo corredor,ou deixado para operação remota.

3 of 20

Figura 4 Figura 5

Figura 3

Como eu identifico redes indesejadas?Os pontos de acesso de baixo custo e os hot spots móveis podem representar um risco para o desempenho e a segurança na rede corporativa. Um hotspot móvel pode ser usado para permitir a conexão à Internet sem usar a LAN/WAN corporativa. Apesar do hotspot móvel retornar através da redecelular, ele ainda compartilha o ar com a rede Wi-Fi corporativa. Isto pode conduzir ao congestionamento do canal ou à interferência do co-canal.

Ainda mais problemático do que o hotspot 3G móvel é o funcionário que traz um AP ou gateway residencial para criar uma rede Wi-Fi pessoal paraseus tablets e telefones através da conexão do gateway na rede corporativa. Isto conduz não somente ao congestionamento, mas a acesso Wi-Fi nãoautorizado à LAN corporativa.

O OneTouch executa análise Wi-Fi constantemente fazendo a varredura, canal a canal, caracterizando ouso de SSID, AP, clientes e canais. A análise é apresentada em quatro abas, com a habilidade declassificar a análise muitas maneiras diferentes. Por exemplo: para detectar potenciais redes Wi-Fi nãoautorizadas, selecione a aba redes e classifique por menos pontos de acesso. Veja a Figura 3. Isto forneceuma maneira rápida de identificar as redes únicas que têm um único SSID suportado somente por umúnico AP. As indicações adicionais de uma rede indesejada são redes abertas, como indicado pelo ícone decadeado vermelho aberto.

Selecionar qualquer SSID expande os detalhes da rede. Veja a Figura 4. As redes Wi-Fi normais daempresa fornecem a cobertura e a capacidade usando os AP múltiplos que são posicionadoscuidadosamente e atribuídos a canais não sobrepostos O número de AP, canais, e clientes que suportam oSSID são mostrados nos botões de filtro à direita da tela, e clicar em um botão fornece meios de mostrarsomente aqueles dispositivos.

O SSID “cody-dlink” tem somente um AP, que é conectado a um host e está usando um canal. Veja aFigura 5. Isto não representa uma rede corporativa normal, e pode indicar um AP não autorizado. Aclassificação é uma ferramenta poderosa para identificar divergências de rede, pontos de acesso, clientes ecanais.

4 of 20

Figura 7 Figura 8

Figura 6

E se um AP não autorizado está usando a SSID corporativa?E se o funcionário configurar seu dispositivo SSID para corresponder com o SSID corporativo na tentativade mascarar sua rede pessoal? Começando na aba da rede e expandindo para um SSID corporativoaprovado tal como convidado autorizado, nós podemos imediatamente ver que está suportado por 4 APs.Ver a figura 6. Selecionar o botão AP desencadeia uma visualização de filtros poderosa. As abas permitemque você selecione um ponto de início da análise baseado em SSIDs, APs, clientes ou canais, e os trêsbotões de filtro permitem que você reduza facilmente sua investigação.

Ao filtrar, a barra do título muda de análise Wi-Fi para o critério de filtro de prospecção, neste casoconvidado autorizado. Veja a Figura 7. Nós vemos imediatamente que o SSID está suportado por três APs Cisco mas também por um dispositivoLinksys, o que significa que pode não ser parte da rede corporativa.

Você pode usar o OneTouch para identificar proativamente dispositivos não autorizados e outros que são novos à rede. Você pode marcar APsconhecidos em suas dependências, e também APs próximos. Os APs corporativos conhecidos e previstos podem ser marcados como autorizados.Veja a Figura 8. APs fora das dependências mas conhecidos podem ser marcado como vizinhos. A marcação dos AP é lembrada pelo OneTouch. Umavez que os AP previstos são identificados, classificar por status de autorização identifica rapidamente pontos de acesso desconhecidos tais como oLinksys na tela convidado autorizado mostrada na figura 8.

5 of 20

Figura 9 Figura 10

Figura 11

Posso localizar um AP, hotspot ou dispositivo ad hoc problemático?Quando um AP não autorizado ou hotspot móvel é identificado, o OneTouch fornece algumas formas de localizar o dispositivo. Usando a antenadirecional externa (ver a figura 9) e o recurso Localizar (ver a figura 10) o local físico de qualquer dispositivo sem fio, AP ou cliente, pode rapidamenteser encontrado.

No caso de um AP não autorizado conectado à rede cabeada, você será capaz delocalizar o slot do switch e a porta a que está conectado usando a análise OneTouch decabeamento. O dispositivo e o usuário podem ser eliminados desconectando-os da redeno painel de correção de programa ou desabilitando a porta do switch.

Para encontrar um dispositivo de análise Wi-Fi na análise cabeada, classifique a análisecabeada pelo endereço MAC e procure o endereço MAC. Veja a Figura 11. Observe que

em alguns casos endereços MAC adjacentes são usados por dispositivos multi-interface. Neste caso umdispositivo D-Link em um endereço MAC adjacente é anexado ao slot de 2 portas 44 COS_DEV_SW1usando o endereço IP 10.250.1.176 no VLAN 500.

6 of 20

Figura 12

Figura 13

Figura 14

E se um AP não autorizado não está transmitindo seu SSID?E se um funcionário configura seu AP para NÃO transmitir seu SSID na tentativa de não ser percebido na rede corporativa? Identificando redes não-transmitidas, o OneTouch ajuda a gerenciar o uso da rede e atenua questões de segurança.

O OneTouch procura ativamente por redes não-transmitidas e relata o SSID como [Escondido] na lista deredes descobertas. Veja a Figura 12. Selecionar as teclas de filtro do AP para identificar o AP usando essarede não-transmitida. Usando ferramentas você pode marcar um AP não autorizado para a identificaçãodinâmica ou localizar o AP problemático.

Se você sabe o SSID da rede escondida, o OneTouch emite um pedido ativo de sondagem que inclui SSIDespecíficos para um AP para resolver SSID não-transmitidos. O OneTouch procura por todos os SSIDconfigurados em todos seus perfis no instrumento e aprende passivamente sobre os SSID não-transmitidosque estão sendo usados na rede por 802,11 pacotes. Estes SSID não-transmitidos resolvidos serãorelatados entre colchetes tais como [BlackHole]. Veja a Figura 13.

Alguém configurou uma rede ad hoc?E se um pequeno grupo de funcionários configurou seus laptops para operar em modo ad hoc para jogo?Embora as redes ad hoc possam ter seu lugar em um ambiente da empresa, são mais frequentementecontra a política de TI e podem representar um risco para a segurança se configuradas como uma rede nãosegura, aberta e os dados corporativos são comprometidos. As redes ad hoc podem também impactar odesempenho de rede se usarem o mesmo canal que APs corporativos.

Classificar por Tipo de rede traz redes ad hoc descobertas ao começo da lista. Veja a Figura 14. Você podeimediatamente ver o nome de rede ad hoc (Montana) que está sendo usado e se a rede é segura ou não.Expanda a rede para obter mais detalhes sobre a rede. Use o filtro de cliente para identificar e localizar os dispositivos que compreendem a rede.

7 of 20

Figura 15 Figura 16

Há algum cliente inesperado em meu SSID corporativo?A única maneira que a equipe de TI pode manter o controle sobre a proliferação do dispositivos móveis é separando dispositivos de computação móvelem três classes de dispositivo distintas: dispositivos padrão confiáveis fornecidos pela empresa, dispositivos tolerados e dispositivos não suportados. Éboa prática certificar-se de que os SSIDs corporativos de acesso completo, somente contém os APs e clientes esperados. Da aba da rede nósselecionamos nosso SSID corporativo. Veja a Figura 15. Os ícones do AP na barra do indicador da força do AP mostram que o SSID tem a boacobertura por 4 AP em 4 canais diferentes e está executando a segurança da empresa. Para examinar os clientes no SSID selecionado, simplesmenteclique no botão de filtro do cliente para ver os clientes.

A barra de título indica o SSID filtrado. Veja a Figura 16. Para fazer a lista dos 37 clientes mais digeríveis nós classificamos a lista por Fabricante MAC.Dispositivos comuns destes grupos. A lista revela que há 36 laptops corporativos com endereços MAC Intel conectados ao SSID, mas de algum modoum dispositivo de Apple conseguiu se associar à rede corporativa. Este dispositivo pode ser permitido ou não, pela política da empresa. Se nãopermitido, o dispositivo pode ser localizado usando a antena direcional sem fio ou possivelmente encontrando o dispositivo MAC na análise cabeadacomo descrito anteriormente.

8 of 20

Figura 18

Selecionar o botão do filtro do canal nos leva ao canal 4,(ver a figura 18) onde nós vemos a utilização 802,11elevada indicada pela barra amarela. Para determinar afonte da utilização nós filtramos em APs.

Figura 19

Filtrando no canal 4 AP (ver a figura 19), nós vemos trêsAP. Dois são nossos APs corporativos, que estãocarregados pesadamente com 38 os clientes. Mas nósvemos também um AP LinkSys forte, próximo com 2clientes. Está compartilhando inesperadamente nossocanal. Usar as técnicas de localização apresentadasanteriormente para localizar o AP.

Figura 17

Por que o desempenho é ruim nesta área?Uma das armadilhas de suportar BYOD é que pode ser difícil manter o acesso corporativo Wi-Fi de missãocrítica na presença de dispositivos pessoais. O espaço aéreo congestionado e os modelos com uso elevadode largura de banda tais como streaming de vídeo podem obstruir comunicações de missão crítica. O queacontece quando um gerente se queixa de problemas de desempenho em chamadas VoIP de uma sala dereuniões?

Neste caso, a mobilidade do OneTouch somada à análise Wi-Fi é imbatível. Vá à área de problema e use aaba de análise Wi-Fi do cliente e identifique o cliente problemático. Alternativamente, você poderia usar aaba de rede e filtro de cliente para estreitar busca. Na figura 17, nós vemos que o nível de sinal é forte.Observe também que um nível de sinal estável é indicativo de um cliente que não está se movendo. O nívelde ruído é baixo, indicando que o ar é geralmente saudável e sem interferências não-802.11. Porém a taxade nova tentativa é elevada, como indicado pela graduação de cor amarela. As taxas de Rx e de Tx tambémsão completamente variáveis.

9 of 20

Figura 21 Figura 22

Figura 20

Como eu verifico se meu QoS Wi-Fi está funcionando?Com o influxo de dispositivos pessoais do usuário, é crítico verificar o desempenho Wi-Fi e a priorização dotráfego de produção sobre o melhor esforço de tráfego de dados do usuário. A qualidade de serviço (QoS)permite pontos de acesso e switches Wi-Fi a priorizarem o tráfego. Sem QoS, todas os aplicativos quefuncionam em dispositivos diferentes têm oportunidade igual de transmitir frames de dados. Os padrões dosetor tais como 802.11e e WME (extensões multimedia sem fio) dão prioridade ao tráfego de diferentesdispositivos e aplicativos para estender uma experiência do usuário final de alta qualidade ao tráfego demissão crítica tal como voz sob uma grande variedade de condições ambientais e de tráfego. Dar forma aotráfego do QoS pode ser realizado usando uma variedade de mecanismos tais como SSIDs, portas, ouDSCP.

O recurso OneTouch Veri-Fi™ permite a verificação rápida, determinista do desempenho de cabeada/Wi-Fipelo fluxo de dados entre as relações cabeadas e sem fio do OneTouch. Veja a Figura 20. O Veri-Fi podeser usado em uma variedade de maneiras:

Para medir o desempenho Wi-Fi upstream e downstreamPara gerar grandes quantidades de tráfego de background para verificar se o QoS crítico não é impactado quando o AP é carregado.Para verificar se o QoS não está impactado pelo melhor esforço de tráfego.

Neste exemplo nós testaremos se o tráfego VoWi-Fi que usa o valor de 46 do encaminhamento acelerado (EF) DSCP está provisionado corretamente.Veja a Figura 21. Adicionalmente, nós verificaremos se o QoS trabalha sobre IPv4 e IPv6. Nós selecionamos um tamanho representativo de frame doVoIP RTP de 128 bytes e especificamos uma taxa de dados simétrica de 1Mbps upstream (Wi-Fi →Cabeado) e downstream (Cabeado→Wi-Fi) paraaproximar 10 chamados simultâneos. Os resultados do teste (exibidos como a taxa de perda do frame) estão abaixo do limite da passagem/falha de1%, portanto o teste passa. Veja a Figura 22. O tráfego de background pode ser gerado usando dispositivos pessoais ou um segundo OneTouch.

10 of 20

Figura 23

Figura 24

Como posso saber mais sobre o dispositivo Wi-Fi?A análise Wi-Fi nos dá uma visão sem precedentes de redes sem fio, de pontos de acesso, de clientes e decanais. No caso dos clientes (figura 23) nós podemos ver a seguinte informação:

Endereço MACSSID (Rede)APSegurançaTipo de rádio (a/b/g/n)Canal e faixaQuando visto pela última vezTendências de um minuto dos indicadores chave

Nós podemos também filtrar facilmente à rede, ao AP e ao canal associados. Entretanto uma vez que tudoacima do MAC de origem e de destino é criptografado, incluindo endereço IP da camada 3, éfrequentemente desejável a aprender mais sobre o dispositivo com a análise cabeada.

Em muitos casos a análise cabeada OneTouch pode descobrir o endereço IP, o VLAN e mesmo o nomeatribuído ao dispositivo através da descoberta e interrogação do controlador da rede LAN sem fio. Umdispositivo sem fio pode ser encontrado classificando a análise cabeada pelo endereço MAC ecorrespondendo ao endereço MAC Wi-Fi. Na figura 24 nós vemos que o dispositivo da Apple com oendereço MAC de 40a6d9-b46809 está considerado na rede cabeada com um endereço IP de10.250.0.135 no VLAN 500. A informação do VLAN é útil para verificar se o dispositivo está operando naVLAN apropriado relativo a seu nível da autorização ou grupo de usuário. Você pode usar a análise cabeadaOneTouch para fazer a varredura de portas abertas no dispositivo cabeado para aprender mais sobre odispositivo; neste caso a porta de sincronização-iphone TCP 62078 está aberta.

11 of 20

Figura 25

Como eu verifico o acesso apropriado para meus vários SSIDs?As empresas tipicamente implantam zonas de acesso à rede para limitar a conectividade de dispositivosmóveis pessoais usando os SSIDs múltiplos que por sua vez controlam o acesso à rede.

Permissão Acesso SSID

Acesso total Internet e todos os recursos corporativos AcmeCorp

Acesso parcial Internet e algum recurso corporativo AcmeContractor

Internet somente Internet somente AcmeGuest

BYOD exige políticas e provisionamento para controlar quais recursos clientes corporativos têm acessopermitido. Os SSIDs são segmentados frequentemente usando endereçamento IP único e VLANscabeadas para controlar acesso.

Os perfis OneTouch são configurações nomeadas que podem ser usadas de várias de maneiras paraaperfeiçoar a operação. O uso dos perfis permite que uma empresa crie os procedimentos de testepadrão que encapsulem a operação prevista de rede de qualquer SSID.

Na figura 25 nós vemos um perfil chamado Acesso Contratado que testa a conectividade aos serviçospermitidos e não permitidos. As camadas são renomeadas para agrupar o teste como permitido e nãopermitido.

O uso dos perfis para criar auditorias padrão em uma organização permite um processo de testesconsistente e completo e também permite que funcionários menos hábeis executem testes de redesofisticados e auditoria em qualquer lugar na empresa.

12 of 20

Figura 27

Figura 26

Figura 28

Minha descarga Wi-Fi está funcionando?A habilidade de usar a rede em lugares diferentes dentro de uma empresa sem interrupções é fundamentalaos usuários de BYOD atualmente. Descarregar do celular para o Wi-Fi oferece muitas vantagens incluindo:

Cobranças de dados menoresConexões mais rápidasMenor descarga da bateriaMelhor experiência do usuário final

Mas como certificar que sua cobertura Wi-Fi é suficiente para impedir sobrecarga (mudança constante decanal) entre rádios?

Uma vez conectado a um SSID, o OneTouch rastreia a cobertura de uma zona do AP para outra. OOneTouch grava os detalhes de cada troca conforme você anda pela empresa. Você pode usar osresultados dos controles de navegação para ver os detalhes de cada AP associado. Ver a figura 26. Paracada AP, os valores mínimos e máximos para sinal, ruído, novas tentativas e utilização fornecem a visão dafaixa de operação da zona AP.

Clique na aba LOG para ver os detalhes com data e hora de cada conexão, autenticação eassociação. Veja a Figura 27.

Usando a ferramenta Ping (ICMP) durante o deslocamento, nós podemos também encontrar pontosinoperantes na cobertura que poderia resultar em uma ativação 3G. Mirando em uma resposta ping interna,não acessível via celular, nós garantimos que perdemos dados quando não conectados ao Wi-Fi. No modoping contínuo com um limite de um segundo o número de pacotes Ping perdidos equivale ao número desegundos sem Wi-Fi. Veja a Figura 28. Neste caso o Wi-Fi foi perdido por 6 segundos dos 228 segundosem deslocamento. Este teste pode também ser conduzido usando o teste de conexão (TCP) para executaruma porta do TCP aberta ao alvo selecionado para testar a acessibilidade da porta do aplicativo. Testesmais abrangentes de cobertura pode ser conseguido com AirMagnet Survey e AirMapper™.

13 of 20

Figura 29

Como eu posso autenticar através de meu SSID convidado?Ao conectar às redes Wi-Fi do convidado e de hospitalidade, é comum ter que autenticar ou aceitar termosem um portal próprio. O portal próprio força um cliente HTTP em uma rede a ver uma página web específicaantes de usar a rede.

O navegador web integrado OneTouch pode operar através das portas de teste pode operar através degerenciamento, portas de teste cabeadas ou Wi-Fi. Na figura 29 o analisador OneTouch usa sua porta Wi-Fipara alcançar uma página web e o navegador é redirecionado para uma página web que pode exigirautenticação e/ou o pagamento, ou exibir simplesmente uma política de aceitação de uso e exigir aconcordância do usuário. Uma vez autenticado, o endereço MAC da porta de teste Wi-Fi OneTouch énormalmente armazenado, permitindo 24 horas do acesso. Se um portal próprio está sendo usado nainterface de teste cabeada como em um quarto de hotel cabeado, a mesma técnica pode ser usada paraautenticar a interface cabeada.

Além da navegação através dos portais próprios, o navegador web integrado OneTouch pode ser usadopara provisionar elementos de rede tais como switches e controladores de LAN sem fio. Veja a Figura 30.

O analisador OneTouch também inclui um SSH/Terminal integrado para provisionamento de linha ediagnósticos. Veja a Figura 31.

Figura 30Figura 31

14 of 20

Figura 33

O analisador OneTouch é tão versátil que você pode atéconectar uma webcam comum na porta USB para fazer asupervisão remota. Por exemplo, você pode vigiar o número departicipantes em uma sala de reunião, observar uma tela oudisplay, ou monitorar os LEDs de uma peça do equipamento derede. Isto permite o monitoramento não somente da rede mastambém do espaço físico. Veja a Figura 33.

Figura 32

Eu estou aqui mas meu problema não. O que eu faço?Wi-Fi é uma mídia muito desafiadora. Além das demandas dinâmicas da largura de banda, os clientes vême vão, assim como as fontes de interferência. Por exemplo renovações de OS BYOD, atualização paraaplicativos populares, backup em nuvem ou mesmo um vídeo viral podem forçar uma rede. O que acontecequando você anda pelo campus para diagnosticar um problema do cliente só para descobrir que o problemanão existe naquele momento?

Conectar o analisador OneTouch à rede através de sua porta de gerenciamento permite que você o opereremotamente. Isto permiti que você volte a outro trabalho e verifique periodicamente o Wi-Fi de sua mesa,ou quando o cliente ligar novamente.

Simplesmente aponte seu navegador web ou cliente VNC para o endereço IP da porta de gerenciamento evá. Você pode operar o OneTouch de seu desktop, laptop, tablet ou telefone, de onde estiver. Veja a Figura 32. A interface de usuário do analisadorOneTouch, com grandes ícones de toque, o torna fácil de operar mesmo em um telefone. Se você vê algo estranho você pode clicar no botãoOneTouch na parte superior da tela para gravar um relatório ou capturar uma tela para documentar o problema intermitente.

15 of 20

O Wi-Fi traz um acesso diferente à rede usando o RF para a camada 1 e 802,11 para a camada 2.Mas uma vez que você passe dos pontos de acesso, você é dependente da mesma infraestruturacabeada fundamental. Além das técnicas de análise Wi-Fi apresentadas até agora, o analisadorOneTouch têm uma pletora de recursos de análise cabeada que também têm seu papel na gerênciade BYOD. A classificações de análises cabeadas do analisador OneTouch operam de modo similar àsda análise Wi-Fi. Classificar por problemas rapidamente traz à tona todos os problemas cabeadosdescobertos, para a parte superior da lista. Veja a Figura 34. Clicar em qualquer dispositivo revela maisdetalhes. Figura 34

Por exemplo na figura 35, o controlador sem fio da LAN (WLC) reiniciou há 12 minutos e pode serresponsável pelos bilhetes de problema atuais. Usando o SNMP, o analisador OneTouch tambémrelata o local do dispositivo e do proprietário. Outras classificações incluem endereço IPv4, endereçoIPv6, endereço MAC, nome do fabricante, principal emissor, domínio, e mais.

Figura 35

Classificar por VLAN (figura 36) permite verificar se os dispositivos de BYOD estão corretamenterelacionados a sua VLAN designada associada com seu SSID.

Figura 36

Todo o dispositivo descoberto pode ser mais pesquisado usando o scanner de porta integrado.Adicionalmente, a análise cabeada é útil para identificar os principais dispositivos Wi-Fi. Você podeconstruir perfis AutoTest para criar testes padronizados que determinam rapidamente a disponibilidadede equipamento de rede crítico e diagnosticam sua condição.

Isto é um problema cabeado ou sem fio?

16 of 20

Figura 37

Como meu desempenho de transação Wi-Fi compara com a transação cabeada?Às vezes é difícil saber se o gargalo é Wi-Fi ou o resto da rede. O analisador OneTouch testa simultaneamente sua rede Ethernetcabeada e Wi-Fi, e compara desempenho facilmente com resultados de testes de desempenho lado a lado. Esta comparaçãoestende para IPv6 quando habilitada na configuração cabeada do analisador OneTouch.

Na figura 37 nós usamos o teste de usuário FTP para medir o tempo de resposta do usuário final (EURT) do download de umarquivo de um megabyte. O uso do FTP depende do desempenho subjacente do TCP, que também é mostrado nos resultados de teste. A ferramentaFTP permite tanto o download (baixar) quanto o upload (carregar) de arquivos.

O tempo total (EURT) é o a soma dos tempos individuais que compõem a transação:

Consulta DNS é a quantidade de tempo usada para resolver o URL para um endereço IP.Conexão TCP é a quantidade de tempo usada para abrir a porta no servidor.Início de dados é o tempo que levou para receber o frame de dados do arquivo FTP do servidor.Transferência de dados é a quantidade de tempo que levou para transferir os dados do arquivo.

A comparação lado a lado cronometrada de forma precisa do desempenho cabeado e sem fio em conjuntocom o detalhamento dos componentes da transação são inestimáveis em determinar se seu Wi-Fi é ogargalo ou não.

Se o tempo total exceder o limite de tempo você selecionou, o teste falhará. Você pode criar um perfilAutoTest para testar a experiência do usuário final. Observe que dependendo do local do servidor FTP, ogargalo pode ser o recurso WAN, neste caso os tempos de transferência de dados Wi-Fi e cabeado seriasimilar. Outros testes de usuário úteis e comparativos incluem web, multicast e RTSP para a subscrição devídeo.

17 of 20

Figura 38

Figura 39

Como eu identifico hubs, switches e roteadores BYO?Os funcionários, encorajados por suas recém-descobertas habilidades de redes residenciais e equipamentode rede de fácil acesso, representam um novo desafio BYOD, o “traga a sua ameaça”. Se um funcionáriodecide que quer uma outra porta cabeada em sua mesa ele pode conectar um switch de baixo custo, nãogerenciado, disponível em qualquer loja de eletrônicos. Isto o permitiria conectar mais de um dispositivoEthernet em seu escritório.

Usar a análise cabeada e hosts de classificação por nome do switch/slot/porta organiza os dispositivos deacordo com sua conexão ao switch gerenciado da empresa. Tipicamente deve haver um dispositivo host porporta do switch e cada slot/porta ocorre somente uma vez. Se uma porta de switch é usada por mais de umdispositivo isto indica que um hub pequeno ou switch pode estar conectado ao switch da empresa. Nafigura 38 o switch cos_dev_sw3 tem dispositivos múltiplos conectados à porta 20. Uma inspeção adicionalindica que este funcionário não somente conectou o switch em sua tomada, mas usou as portas adicionaispara conectar um computador Linux Raspberry-Pi compacto usando o endereço MAC Rspbry:9977393.Apesar do funcionário talvez não ter a intenção de fazer nada além de alguma programação no horário dealmoço, este dispositivo pode inadvertidamente comprometer a rede corporativa.

Uma situação mais prejudicial ocorre quando um funcionário conecta um gateway residencial na rede, semsaber que ele agirá como um servidor DHCP. Neste caso, tanto o servidor DHCP não autorizado quanto oDHCP da empresa responderão à mensagem de transmissão Discover DHCP inicial enviada a cadadispositivo que se liga à rede. Em muitos casos o gateway não autorizado está localizado a apenas umpasso do switch e responderá primeiro, dando um endereço de rede privada típico no espaço de endereço 192.168.0.x. Tudo parece normal, mas onovo dispositivo não pode se comunicar na sub-rede da empresa.

Para identificar rapidamente servidores DHCP não autorizados, o analisador OneTouch temum recurso exclusivo de detecção de oferta de segundo DHCP. Quando um segundoendereço de DHCP é recebido durante o processo de aquisição de endereço de DHCP,sobre interface cabeada ou sem fio, o OneTouch mostra um ícone de advertência na telainicial.

Clique no servidor DHCP para mostrar o endereço IP do servidor e o endereço que ele enviou. Veja a Figura39. Se o servidor DHCP não autorizado respondeu primeiro, a segunda oferta DHCP pode ser o endereçoIP da empresa.

18 of 20

Figura 40

Figura 41

Eu tenho potência suficiente para meus pontos de acesso?Os pontos de acesso atualmente puxam mais potência dos pontos de acesso do que anteriormente, poiseles incluem dois ou três rádios. O analisador OneTouch AT e sua medição TruePower™ podem medir ecarregar o PoE ao limite do IEEE 802.3at de 25,5 watts. Isto permite verificar a potência apropriada noponto de instalação mesmo para os APs mais consumidores de potência. O PoE é envolto também em umavariedade de escolhas da hardware desde dos injetores da amplitude média de potência até variações deswitch e provisionamento.

Na figura 40 nós vemos que podemos selecionar somente 23,7 watts nos na localização do AP a 90 metrosdo switch. Voltando à porta do switch nós podemos testar a carga de potência novamente para triagementre a capacidade da porta do switch, o painel de conexão e o cabeamento horizontal. Você pode tambémmedir o consumo de potência do PoE de um AP alinhado usando o recurso de captação do analisadorOneTouch.

Implantando AP externos conectados por fibra? Use o analisador OneTouch para medir a potência óptica recebida com as conexões de fibra óptica.

Uma vez que ainda há muito cabeamento nas redes sem fio, o analisador OneTouch fornece um conjunto completo de testes de cabo. Entenda o partrançado usando os testes de cabo pareado cruzado/aberto/curto do analisador OneTouch e as medições TDR de comprimento. Veja a Figura 41. Useos identificadores de cabo e a geração de tons IntelliTone™ para localizar e identificar os cabos e a porta piscante.

19 of 20

Figura 42

E se eu precisar capturar tráfego?A captação do pacote é a ferramenta de último recurso quando uma visão detalhada, quadro a quadro énecessária para resolver um problema de rede ou do aplicativo. Uma das dificuldades com a captaçãoWi-Fi é a criptografia da carga útil após o endereço MAC exigir criptografia do analisador do protocolo.Mas isto funciona somente se for usada uma criptografia fraca, não corporativa, onde uma senhasimples ou uma chave pre-compartilhada (PSK) podem ser inseridas no analisador de protocolo.

Usando o TAP de fibra óptica e cobre integrado ao analisador OneTouch para acessar o tráfego emandamento entre o ponto de acesso e o switch ou WLC, você pode capturar tráfego Wi-Fi no espaçolivre. Veja a Figura 42. O analisador OneTouch evita a complexidade, o tempo e o custo exigidos paraconfigurar portas de switch espelhadas ou para instalar TAPs independentes. Os filtros de hardware detaxa linear permitem que você escolha uma estação por endereço MAC ou IP, uma aplicação tal como oHTTP pela porta, ou um grupo de usuários pela VLAN. Por meio da porta de gerenciamento ou do cartão SD, exporte o arquivo de captura para o seuanalisador de protocolo preferido (tal como Fluke Networks ClearSight™ Analyzer) para decodificação e análise.

Quando instalado alinhado no AP, o analisador OneTouch fornece medição em tempo real da potênciasobre a tensão Ethernet (POE), a corrente e potência, assim você pode quantificar a tração de potência emvárias configurações de AP.

ConclusãoBYOD está aqui para ficar. A maioria de organizações agora permitem o acesso de rede corporativa porsmartphones, por tablets, e por outros dispositivos inteligentes projetados para e comprados porconsumidores para uso pessoal e de negócio. Com o aumento das multifunções nos dispositivos vem maisdisputa pelo acesso, mais tensão na rede, políticas e provisionamento complexos, dispositivos nãoautorizados, e queixas de usuários. O analisador de rede Fluke Networks OneTouch AT é uma ferramentaúnica no gerenciamento de BYOD. Sua combinação de recursos cabeados e Wi-Fi usados em sua mesa,de forma móvel, ou remotamente permite que você inventarie rapidamente, quantifique e solucioneproblemas com o BYOD e a consumerização de TI.

Para mais informações sobre as soluções de BYOD Fluke Networks, por favor visitewww.flukenetworks.com/BYOD

A Fluke Networks opera em mais de 50 países no mundo. Acesse http://pt.flukenetworks.com/contact.

© 2013 Fluke Corporation.

20 of 20