Notas de aplicativos: Gerenciamento de BYOD e a consumerização de TI | enterprise.netscout.com

Notas de aplicativos: Gerenciamento de BYOD e a consumerização de TI

Manual do aplicativo do assistente de rede OneTouch AT

Introdução

A consumerização de TI está se tornando realidade rapidamente em muitos se não em todos os departamentos de TI corporativos. A proliferação de tablets e outros dispositivos inteligentes aumentou dramaticamente nos últimos anos e o uso destes produtos de “classe do consumidor” em redes corporativas é quase onipresente. Um estudo recente mostrou que 90% das empresas pesquisadas permite que algum nível de dispositivos tecnológicos próprios seja usado na empresa. Um fenômeno conhecido como BYOD (trazer seu próprio dispositivo). Além da onda de telefones e tablets como clientes, os gateways residenciais, os roteadores, APs e switches facilmente disponíveis e de baixo custo, podem se infiltrar na empresa. Confiantes em suas recém-descobertas habilidades de rede residenciais, os funcionários estão mais ousados do que nunca, criando entropia de rede.

O influxo de clientes móveis e equipamentos de rede faz muitos em TI procurarem a melhor maneira de detectar, inventariar, auditar, localizar e gerenciar a inundação de novos dispositivos. Em uma pesquisa recente, 62 por cento relatam que sua empresa não tem as ferramentas necessárias para suportar os dispositivos pessoais dos funcionários, independente de existir políticas para isso ou não. Os medos e as preocupações são muitos. Gerenciar o impacto de dispositivos pessoais, proteger os dados corporativos e a propriedade intelectual, e auditar para assegurar a conformidade são a pedra no sapato da maioria dos departamentos de TI.

O assistente de rede NETSCOUT OneTouch™ AT tem uma variedade de caraterísticas que fornecem a visibilidade e o controle para aproveitar a explosão de BYOD e reduzir os riscos e os custos operacionais associados com o fornecimento de uma infraestrutura com e sem fio confiável, difundida, de alto desempenho, e segura. O OneTouch tem uma combinação única de caraterísticas de análise com e sem fio em um pacote resistente que seja tão móvel quanto os dispositivos que ele controla. Esta nota de aplicativo explora a aplicação prática do assistente de rede NETSCOUT OneTouch AT para uma variedade de questões comuns de BYOD que TI enfrenta, tais como:

  • Como inventariar o estado atual de sua rede Wi-Fi
  • Como investigar queixas do usuário a respeito do desempenho e da conectividade
  • Como identificar clientes, APs e outros dispositivos de rede não autorizados
  • Como auditar permissões de rede
  • Como medir o desempenho Wi-Fi
  • Como testar a cobertura de transferência de controle celular
OneTouch AT Wi-Fi
 
Análise de Wi-Fi

Figura 1.

Como eu compreendo o inventário de dispositivos Wi-Fi?

A maioria do Wi-Fi na empresa está experimentando uma explosão de uso enquanto as redes que suportavam anteriormente somente laptops corporativos tratam uma enxurrada de telefones e de tablets diversos. Além do crescimento do número total de dispositivos, o apetite por largura de banda pode prejudicar o desempenho de aplicativos de missão crítica da empresa. A chave para tratar o fenômeno de BYOD é entender apenas o quanto ele está difundido. Você deve inventariar os dispositivos, ver a que redes e pontos de acesso eles estão se conectando, e entender o quão saudável está o ambiente.

O OneTouch automaticamente descobre e categoriza o Wi-Fi em quatro abas: Rede, AP, cliente e canal. Classificar por propriedades permite múltiplas visões na rede sem fio. Por exemplo, classifique por força do sinal para solucionar problemas de cobertura de Wi-Fi. Classifique pela utilização para identificar problemas de utilização do AP, do cliente ou do canal. Classifique por status de autorização para encontrar potenciais violações de segurança. Classifique por fabricação MAC para descobrir dispositivos Wi-Fi por tipo e entender como eles estão conectados com relação a SSID, AP e canal.

A aba do cliente exibe todos os dispositivos sem fio que o OneTouch está vendo em todos os canais. Aqui é possível examinar a conformidade às políticas formais usadas por TI para suportar BYOD. Os dispositivos Android são representados tipicamente pelos códigos dos fabricantes Samsung, HTC e Motorola, e o Blackberry é representado por RIM. A Figura 1 é um exemplo. Nós podemos rapidamente identificar pontos divergentes tais como o dispositivo da Apple no canal 161, em um canal de 5 gigahertz, e outro dispositivo da Apple buscando seus SSIDs conhecidos mas não conectado à rede.

Clicar qualquer dos dispositivos expande a visualização e mostra informação detalhada sobre a rede, o SSID, o canal e a segurança em uso pelo dispositivo, e começa monitoração detalhada dos indicadores chaves de dispositivo. Veja a
Figura 2. Os botões de filtro fornecem uma análise mais profunda de cada rede relacionada ao cliente, pontos de acesso e canais usados.

 

Figura 2

Quando você aborda sua análise Wi-Fi a partir do domínio mais relevante (SSID, AP, cliente ou canal), classificando e filtrando é uma maneira versátil de compreender o inventário. Clicar na tecla OneTouch AT no canto direito superior permite capturar uma tela (fazer uma imagem da tela) ou criar um relatório detalhado em PDF para documentar seu inventário de BYOD.

O OneTouch é Wi-Fi independente de fornecedor, e pode ser usado em sua mesa, andando pelo corredor, ou deixado para operação remota.


Como eu identifico redes indesejadas?

Os pontos de acesso de baixo custo e os hot spots móveis podem representar um risco para o desempenho e a segurança na rede corporativa. Um hot spot móvel pode ser usado para permitir a conexão à Internet sem usar a LAN/WAN corporativa. Apesar do hotspot móvel retornar através da rede celular, ele ainda compartilha o ar com a rede Wi-Fi corporativa. Isto pode conduzir ao congestionamento do canal ou à interferência do co-canal.

Ainda mais problemático do que o hotspot 3G móvel é o funcionário que traz um AP ou gateway residencial para criar uma rede Wi-Fi pessoal para seus tablets e telefones através da conexão do gateway na rede corporativa. Isto conduz não somente ao congestionamento, mas a acesso Wi-Fi não autorizado à LAN corporativa.

Figura 3

O OneTouch executa análise Wi-Fi constantemente fazendo a varredura, canal a canal, caracterizando o uso de SSID, AP, clientes e canais. A análise é apresentada em quatro abas, com a habilidade de classificar a análise muitas maneiras diferentes. Por exemplo: para detectar potenciais redes Wi-Fi não autorizadas, selecione a aba redes e classifique por menos pontos de acesso. Veja a
Figura 3. Isto fornece uma maneira rápida de identificar as redes únicas que têm um único SSID suportado somente por um único AP. As indicações adicionais de uma rede indesejada são redes abertas, como indicado pelo ícone de cadeado vermelho aberto.

Selecionar qualquer SSID expande os detalhes da rede. Veja a
Figura 4. As redes Wi-Fi normais da empresa fornecem a cobertura e a capacidade usando os AP múltiplos que são posicionados cuidadosamente e atribuídos a canais não sobrepostos O número de AP, canais, e clientes que suportam o SSID são mostrados nos botões de filtro à direita da tela, e clicar em um botão fornece meios de mostrar somente aqueles dispositivos.

O SSID “cody-dlink” tem somente um AP, que é conectado a um host e está usando um canal. Veja a
Figura 5. Isto não representa uma rede corporativa normal, e pode indicar um AP não autorizado. A classificação é uma ferramenta poderosa para identificar divergências de rede, pontos de acesso, clientes e canais.

Figura 4

Figura 5


E se um AP não autorizado está usando a SSID corporativa?

Figura 6

E se o funcionário configurar seu dispositivo SSID para corresponder com o SSID corporativo na tentativa de mascarar sua rede pessoal? Começando na aba da rede e expandindo para um SSID corporativo aprovado tal como convidado autorizado, nós podemos imediatamente ver que está suportado por 4 APs. Ver a figura 6. Selecionar o botão AP desencadeia uma visualização de filtros poderosa. As abas permitem que você selecione um ponto de início da análise baseado em SSIDs, APs, clientes ou canais, e os três botões de filtro permitem que você reduza facilmente sua investigação.

Ao filtrar, a barra do título muda de análise Wi-Fi para o critério de filtro de prospecção, neste caso convidado autorizado. Veja a
Figura 7. Nós vemos imediatamente que o SSID está suportado por três APs Cisco mas também por um dispositivo Linksys, o que significa que pode não ser parte da rede corporativa.

Você pode usar o OneTouch para identificar proativamente dispositivos não autorizados e outros que são novos à rede. Você pode marcar APs conhecidos em suas dependências, e também APs próximos. Os APs corporativos conhecidos e previstos podem ser marcados como autorizados. Veja a
Figura 8. APs fora das dependências mas conhecidos podem ser marcado como vizinhos. A marcação dos AP é lembrada pelo OneTouch. Uma vez que os AP previstos são identificados, classificar por status de autorização identifica rapidamente pontos de acesso desconhecidos tais como o Linksys na tela convidado autorizado mostrada na figura 8.

Figura 7

Figura 8


Posso localizar um AP, hotspot ou dispositivo ad hoc problemático?

Quando um AP não autorizado ou hotspot móvel é identificado, o OneTouch fornece algumas formas de localizar o dispositivo. Usando a antena direcional externa (ver a figura 9) e o recurso Localizar (ver a figura 10) o local físico de qualquer dispositivo sem fio, AP ou cliente, pode rapidamente ser encontrado.

Figura 9

Figura 10

Figura 11

 

No caso de um AP não autorizado conectado à rede cabeada, você será capaz de localizar o slot do switch e a porta a que está conectado usando a análise OneTouch de cabeamento. O dispositivo e o usuário podem ser eliminados desconectando-os da rede no painel de correção de programa ou desabilitando a porta do switch.

Para encontrar um dispositivo de análise Wi-Fi na análise cabeada, classifique a análise cabeada pelo endereço MAC e procure o endereço MAC. Veja a
Figura 11. Observe que em alguns casos endereços MAC adjacentes são usados por dispositivos multi-interface. Neste caso um dispositivo D-Link em um endereço MAC adjacente é anexado ao slot de 2 portas 44 COS_DEV_SW1 usando o endereço IP 10.250.1.176 no VLAN 500.


E se um AP não autorizado não está transmitindo seu SSID?

E se um funcionário configura seu AP para NÃO transmitir seu SSID na tentativa de não ser percebido na rede corporativa? Identificando redes não-transmitidas, o OneTouch ajuda a gerenciar o uso da rede e atenua questões de segurança.

Figura 12

O OneTouch procura ativamente por redes não-transmitidas e relata o SSID como [Escondido] na lista de redes descobertas. Veja a
Figura 12. Selecionar as teclas de filtro do AP para identificar o AP usando essa rede não-transmitida. Usando ferramentas você pode marcar um AP não autorizado para a identificação dinâmica ou localizar o AP problemático.

Se você sabe o SSID da rede escondida, o OneTouch emite um pedido ativo de sondagem que inclui SSID específicos para um AP para resolver SSID não-transmitidos. O OneTouch procura por todos os SSID configurados em todos seus perfis no instrumento e aprende passivamente sobre os SSID não-transmitidos que estão sendo usados na rede por 802.11 pacotes. Estes SSID não-transmitidos resolvidos serão relatados entre colchetes tais como [BlackHole]. Veja a
Figura 13.

Figura 13

Alguém configurou uma rede ad hoc?

E se um pequeno grupo de funcionários configurou seus laptops para operar em modo ad hoc para jogo? Embora as redes ad hoc possam ter seu lugar em um ambiente da empresa, são mais frequentemente contra a política de TI e podem representar um risco para a segurança se configuradas como uma rede não segura, aberta e os dados corporativos são comprometidos. As redes ad hoc podem também impactar o desempenho de rede se usarem o mesmo canal que APs corporativos.

Classificar por Tipo de rede traz redes ad hoc descobertas ao começo da lista. Veja a
Figura 14. Você pode imediatamente ver o nome de rede ad hoc (Montana) que está sendo usado e se a rede é segura ou não. Expanda a rede para obter mais detalhes sobre a rede. Use o filtro de cliente para identificar e localizar os dispositivos que compreendem a rede.

Figura 14


Há algum cliente inesperado em meu SSID corporativo?

A única maneira que a equipe de TI pode manter o controle sobre a proliferação do dispositivos móveis é separando dispositivos de computação móvel em três classes de dispositivo distintas: dispositivos padrão confiáveis fornecidos pela empresa, dispositivos tolerados e dispositivos não suportados. É boa prática certificar-se de que os SSIDs corporativos de acesso completo, somente contém os APs e clientes esperados. Da aba da rede nós selecionamos nosso SSID corporativo. Veja a
Figura 15. Os ícones do AP na barra do indicador da força do AP mostram que o SSID tem a boa cobertura por 4 AP em 4 canais diferentes e está executando a segurança da empresa. Para examinar os clientes no SSID selecionado, simplesmente clique no botão de filtro do cliente para ver os clientes.

A barra de título indica o SSID filtrado. Veja a
Figura 16. Para fazer a lista dos 37 clientes mais digeríveis nós classificamos a lista por Fabricante MAC. Dispositivos comuns destes grupos. A lista revela que há 36 laptops corporativos com endereços MAC Intel conectados ao SSID, mas de algum modo um dispositivo de Apple conseguiu se associar à rede corporativa. Este dispositivo pode ser permitido ou não, pela política da empresa. Se não permitido, o dispositivo pode ser localizado usando a antena direcional sem fio ou possivelmente encontrando o dispositivo MAC na análise cabeada como descrito anteriormente.

Figura 15
Figura 16

Por que o desempenho é ruim nesta área?

Figura 17

Uma das armadilhas de suportar BYOD é que pode ser difícil manter o acesso corporativo Wi-Fi de missão crítica na presença de dispositivos pessoais. O espaço aéreo congestionado e os modelos com uso elevado de largura de banda tais como streaming de vídeo podem obstruir comunicações de missão crítica. O que acontece quando um gerente se queixa de problemas de desempenho em chamadas VoIP de uma sala de reuniões?

Neste caso, a mobilidade do OneTouch somada à análise Wi-Fi é imbatível. Vá à área de problema e use a aba de análise Wi-Fi do cliente e identifique o cliente problemático. Alternativamente, você poderia usar a aba de rede e filtro de cliente para estreitar busca. Na figura 17, nós vemos que o nível de sinal é forte. Observe também que um nível de sinal estável é indicativo de um cliente que não está se movendo. O nível de ruído é baixo, indicando que o ar é geralmente saudável e sem interferências não-802.11. Porém a taxa de nova tentativa é elevada, como indicado pela graduação de cor amarela. As taxas de Rx e de Tx também são completamente variáveis.

Figura 18

Selecionar o botão do filtro do canal nos leva ao canal 4, (ver a figura 18) onde nós vemos a utilização 802.11 elevada indicada pela barra amarela. Para determinar a fonte da utilização nós filtramos em APs.

Figura 19

Filtrando no canal 4 AP (ver a figura 19), nós vemos três AP. Dois são nossos APs corporativos, que estão carregados pesadamente com 38 os clientes. Mas nós vemos também um AP LinkSys forte, próximo com 2 clientes. Está compartilhando inesperadamente nosso canal. Usar as técnicas de localização apresentadas anteriormente para localizar o AP.

Como eu verifico se meu QoS Wi-Fi está funcionando?

Figura 20

Com o influxo de dispositivos pessoais do usuário, é crítico verificar o desempenho Wi-Fi e a priorização do tráfego de produção sobre o melhor esforço de tráfego de dados do usuário. A qualidade de serviço (QoS) permite pontos de acesso e switches Wi-Fi a priorizarem o tráfego. Sem QoS, todas os aplicativos que funcionam em dispositivos diferentes têm oportunidade igual de transmitir frames de dados. Os padrões do setor tais como 802.11e e WME (extensões multimedia sem fio) dão prioridade ao tráfego de diferentes dispositivos e aplicativos para estender uma experiência do usuário final de alta qualidade ao tráfego de missão crítica tal como voz sob uma grande variedade de condições ambientais e de tráfego. Dar forma ao tráfego do QoS pode ser realizado usando uma variedade de mecanismos tais como SSIDs, portas, ou DSCP.

O recurso OneTouch Veri-Fi™ permite a verificação rápida, determinista do desempenho de cabeada/Wi-Fi pelo fluxo de dados entre as relações cabeadas e sem fio do OneTouch. Veja a
Figura 20. O Veri-Fi pode ser usado em uma variedade de maneiras:

  • Para medir o desempenho Wi-Fi upstream e downstream
  • Para gerar grandes quantidades de tráfego de background para verificar se o QoS crítico não é impactado quando o AP é carregado.
  • Para verificar se o QoS não está impactado pelo melhor esforço de tráfego.

Neste exemplo nós testaremos se o tráfego VoWi-Fi que usa o valor de 46 do encaminhamento acelerado (EF) DSCP está provisionado corretamente. Veja a
Figura 21. Adicionalmente, nós verificaremos se o QoS trabalha sobre IPv4 e IPv6. Nós selecionamos um tamanho representativo de frame do VoIP RTP de 128 bytes e especificamos uma taxa de dados simétrica de 1Mbps upstream (Wi-Fi →Cabeado) e downstream (Cabeado→Wi-Fi) para aproximar 10 chamados simultâneos. Os resultados do teste (exibidos como a taxa de perda do frame) estão abaixo do limite da passagem/falha de 1%, portanto o teste passa. Veja a
Figura 22. O tráfego de background pode ser gerado usando dispositivos pessoais ou um segundo OneTouch.

Figura 21
Figura 22
 

Figura 23


Como posso saber mais sobre o dispositivo Wi-Fi?

A análise Wi-Fi nos dá uma visão sem precedentes de redes sem fio, de pontos de acesso, de clientes e de canais. No caso dos clientes (figura 23) nós podemos ver a seguinte informação:

  • Endereço MAC
  • SSID (Rede)
  • AP
  • Segurança
  • Tipo de rádio (a/b/g/n)
  • Canal e faixa
  • Quando visto pela última vez
  • Tendências de um minuto dos indicadores chave

Nós podemos também filtrar facilmente à rede, ao AP e ao canal associados. Entretanto uma vez que tudo acima do MAC de origem e de destino é criptografado, incluindo endereço IP da camada 3, é frequentemente desejável a aprender mais sobre o dispositivo com a análise cabeada.

 

Figura 24

Em muitos casos a análise cabeada OneTouch pode descobrir o endereço IP, o VLAN e mesmo o nome atribuído ao dispositivo através da descoberta e interrogação do controlador da rede LAN sem fio. Um dispositivo sem fio pode ser encontrado classificando a análise cabeada pelo endereço MAC e correspondendo ao endereço MAC Wi-Fi. Na figura 24 nós vemos que o dispositivo da Apple com o endereço MAC de 40a6d9-b46809 está considerado na rede cabeada com um endereço IP de 10.250.0.135 no VLAN 500. A informação do VLAN é útil para verificar se o dispositivo está operando na VLAN apropriado relativo a seu nível da autorização ou grupo de usuário. Você pode usar a análise cabeada OneTouch para fazer a varredura de portas abertas no dispositivo cabeado para aprender mais sobre o dispositivo; neste caso a porta de sincronização-iphone TCP 62078 está aberta.

 
Como eu verifico o acesso apropriado para meus vários SSIDs?

As empresas tipicamente implantam zonas de acesso à rede para limitar a conectividade de dispositivos móveis pessoais usando os SSIDs múltiplos que por sua vez controlam o acesso à rede.

Figura 25

Permissão Acesso SSID
Acesso total Internet e todos os recursos corporativos AcmeCorp
Acesso parcial Internet e algum recurso corporativo AcmeContractor
Internet somente Internet somente AcmeGuest
BYOD exige políticas e provisionamento para controlar quais recursos clientes corporativos têm acesso permitido. Os SSIDs são segmentados frequentemente usando endereçamento IP único e VLANs cabeadas para controlar acesso.

Os perfis OneTouch são configurações nomeadas que podem ser usadas de várias de maneiras para aperfeiçoar a operação. O uso dos perfis permite que uma empresa crie os procedimentos de teste padrão que encapsulem a operação prevista de rede de qualquer SSID.

Na figura 25 nós vemos um perfil chamado Acesso Contratado que testa a conectividade aos serviços permitidos e não permitidos. As camadas são renomeadas para agrupar o teste como permitido e não permitido.

O uso dos perfis para criar auditorias padrão em uma organização permite um processo de testes consistente e completo e também permite que funcionários menos hábeis executem testes de rede sofisticados e auditoria em qualquer lugar na empresa.

Minha descarga Wi-Fi está funcionando?

Figura 26

A habilidade de usar a rede em lugares diferentes dentro de uma empresa sem interrupções é fundamental aos usuários de BYOD atualmente. Descarregar do celular para o Wi-Fi oferece muitas vantagens incluindo:

  • Cobranças de dados menores
  • Conexões mais rápidas
  • Menor descarga da bateria
  • Melhor experiência do usuário final

Mas como certificar que sua cobertura Wi-Fi é suficiente para impedir sobrecarga (mudança constante de canal) entre rádios?

Uma vez conectado a um SSID, o OneTouch rastreia a cobertura de uma zona do AP para outra. O OneTouch grava os detalhes de cada troca conforme você anda pela empresa. Você pode usar os resultados dos controles de navegação para ver os detalhes de cada AP associado. Ver a figura 26. Para cada AP, os valores mínimos e máximos para sinal, ruído, novas tentativas e utilização fornecem a visão da faixa de operação da zona AP.

Figura 27

Clique na aba LOG para ver os detalhes com data e hora de cada conexão, autenticação e associação. Veja a
Figura 27.
 

Figura 28

Usando a ferramenta Ping (ICMP) durante o deslocamento, nós podemos também encontrar pontos inoperantes na cobertura que poderia resultar em uma ativação 3G. Mirando em uma resposta ping interna, não acessível via celular, nós garantimos que perdemos dados quando não conectados ao Wi-Fi. No modo ping contínuo com um limite de um segundo o número de pacotes Ping perdidos equivale ao número de segundos sem Wi-Fi. Veja a
Figura 28. Neste caso o Wi-Fi foi perdido por 6 segundos dos 228 segundos em deslocamento. Este teste pode também ser conduzido usando o teste de conexão (TCP) para executar uma porta do TCP aberta ao alvo selecionado para testar a acessibilidade da porta do aplicativo. Testes mais abrangentes de cobertura pode ser conseguido com AirMagnet Survey e AirMapper.


Como eu posso autenticar através de meu SSID convidado?

Figura 29

Ao conectar às redes Wi-Fi do convidado e de hospitalidade, é comum ter que autenticar ou aceitar termos em um portal próprio. O portal próprio força um cliente HTTP em uma rede a ver uma página web específica antes de usar a rede.

O navegador web integrado OneTouch pode operar através das portas de teste pode operar através de gerenciamento, portas de teste cabeadas ou Wi-Fi. Na figura 29 o analisador OneTouch usa sua porta Wi-Fi para alcançar uma página web e o navegador é redirecionado para uma página web que pode exigir autenticação e/ou o pagamento, ou exibir simplesmente uma política de aceitação de uso e exigir a concordância do usuário. Uma vez autenticado, o endereço MAC da porta de teste Wi-Fi OneTouch é normalmente armazenado, permitindo 24 horas do acesso. Se um portal próprio está sendo usado na interface de teste cabeada como em um quarto de hotel cabeado, a mesma técnica pode ser usada para autenticar a interface cabeada.

Além da navegação através dos portais próprios, o navegador web integrado OneTouch pode ser usado para provisionar elementos de rede tais como switches e controladores de LAN sem fio. Veja a
Figura 30.

O analisador OneTouch também inclui um SSH/Terminal integrado para provisionamento de linha e diagnósticos. Veja a
Figura 31.

Figura 30

Figura 31


Eu estou aqui mas meu problema não. O que eu faço?

Figura 32

Wi-Fi é uma mídia muito desafiadora. Além das demandas dinâmicas da largura de banda, os clientes vêm e vão, assim como as fontes de interferência. Por exemplo renovações de OS BYOD, atualização para aplicativos populares, backup em nuvem ou mesmo um vídeo viral podem forçar uma rede. O que acontece quando você anda pelo campus para diagnosticar um problema do cliente só para descobrir que o problema não existe naquele momento?

Conectar o analisador OneTouch à rede através de sua porta de gerenciamento permite que você o opere remotamente. Isto permiti que você volte a outro trabalho e verifique periodicamente o Wi-Fi de sua mesa, ou quando o cliente ligar novamente.

Simplesmente aponte seu navegador web ou cliente VNC para o endereço IP da porta de gerenciamento e vá. Você pode operar o OneTouch de seu desktop, laptop, tablet ou telefone, de onde estiver. Veja a
Figura 32. A interface de usuário do analisador OneTouch, com grandes ícones de toque, o torna fácil de operar mesmo em um telefone. Se você vê algo estranho você pode clicar no botão OneTouch na parte superior da tela para gravar um relatório ou capturar uma tela para documentar o problema intermitente.

Figura 33

O analisador OneTouch é tão versátil que você pode até conectar uma webcam comum na porta USB para fazer a supervisão remota. Por exemplo, você pode vigiar o número de participantes em uma sala de reunião, observar uma tela ou display, ou monitorar os LEDs de uma peça do equipamento de rede. Isto permite o monitoramento não somente da rede mas também do espaço físico. Veja a
Figura 33.

Isto é um problema cabeado ou sem fio?
O Wi-Fi traz um acesso diferente à rede usando o RF para a camada 1 e 802.11 para a camada 2. Mas uma vez que você passe dos pontos de acesso, você é dependente da mesma infraestrutura cabeada fundamental. Além das técnicas de análise Wi-Fi apresentadas até agora, o analisador OneTouch têm uma pletora de recursos de análise cabeada que também têm seu papel na gerência de BYOD. A classificações de análises cabeadas do analisador OneTouch operam de modo similar às da análise Wi-Fi. Classificar por problemas rapidamente traz à tona todos os problemas cabeados descobertos, para a parte superior da lista. Veja a
Figura 34. Clicar em qualquer dispositivo revela mais detalhes.

Figura 34

Por exemplo na figura 35, o controlador sem fio da LAN (WLC) reiniciou há 12 minutos e pode ser responsável pelos bilhetes de problema atuais. Usando o SNMP, o analisador OneTouch também relata o local do dispositivo e do proprietário. Outras classificações incluem endereço IPv4, endereço IPv6, endereço MAC, nome do fabricante, principal emissor, domínio, e mais.

Figura 35

Classificar por VLAN (figura 36) permite verificar se os dispositivos de BYOD estão corretamente relacionados a sua VLAN designada associada com seu SSID.

Figura 36

Todo o dispositivo descoberto pode ser mais pesquisado usando o scanner de porta integrado. Adicionalmente, a análise cabeada é útil para identificar os principais dispositivos Wi-Fi. Você pode construir perfis AutoTest para criar testes padronizados que determinam rapidamente a disponibilidade de equipamento de rede crítico e diagnosticam sua condição.

Como meu desempenho de transação Wi-Fi compara com a transação cabeada?

Às vezes é difícil saber se o gargalo é Wi-Fi ou o resto da rede. O analisador OneTouch testa simultaneamente sua rede Ethernet cabeada e Wi-Fi, e compara desempenho facilmente com resultados de testes de desempenho lado a lado. Esta comparação estende para IPv6 quando habilitada na configuração cabeada do analisador OneTouch.

Na figura 37 nós usamos o teste de usuário FTP para medir o tempo de resposta do usuário final (EURT) do download de um arquivo de um megabyte. O uso do FTP depende do desempenho subjacente do TCP, que também é mostrado nos resultados de teste. A ferramenta FTP permite tanto o download (baixar) quanto o upload (carregar) de arquivos.

Figura 37

 

O tempo total (EURT) é o a soma dos tempos individuais que compõem a transação:

  • Consulta DNS é a quantidade de tempo usada para resolver o URL para um endereço IP.
  • Conexão TCP é a quantidade de tempo usada para abrir a porta no servidor.
  • Início de dados é o tempo que levou para receber o frame de dados do arquivo FTP do servidor.
  • Transferência de dados é a quantidade de tempo que levou para transferir os dados do arquivo.

A comparação lado a lado cronometrada de forma precisa do desempenho cabeado e sem fio em conjunto com o detalhamento dos componentes da transação são inestimáveis em determinar se seu Wi-Fi é o gargalo ou não.

Se o tempo total exceder o limite de tempo você selecionou, o teste falhará. Você pode criar um perfil AutoTest para testar a experiência do usuário final. Observe que dependendo do local do servidor FTP, o gargalo pode ser o recurso WAN, neste caso os tempos de transferência de dados Wi-Fi e cabeado seria similar. Outros testes de usuário úteis e comparativos incluem web, multicast e RTSP para a subscrição de vídeo.


Como eu identifico hubs, switches e roteadores BYO?

Figura 38

Os funcionários, encorajados por suas recém-descobertas habilidades de redes residenciais e equipamento de rede de fácil acesso, representam um novo desafio BYOD, o “traga a sua ameaça”. Se um funcionário decide que quer uma outra porta cabeada em sua mesa ele pode conectar um switch de baixo custo, não gerenciado, disponível em qualquer loja de eletrônicos. Isto o permitiria conectar mais de um dispositivo Ethernet em seu escritório.

Usar a análise cabeada e hosts de classificação por nome do switch/slot/porta organiza os dispositivos de acordo com sua conexão ao switch gerenciado da empresa. Tipicamente deve haver um dispositivo host por porta do switch e cada slot/porta ocorre somente uma vez. Se uma porta de switch é usada por mais de um dispositivo isto indica que um hub pequeno ou switch pode estar conectado ao switch da empresa. Na figura 38 o switch cos_dev_sw3 tem dispositivos múltiplos conectados à porta 20. Uma inspeção adicional indica que este funcionário não somente conectou o switch em sua tomada, mas usou as portas adicionais para conectar um computador Linux Raspberry-Pi compacto usando o endereço MAC Rspbry:9977393. Apesar do funcionário talvez não ter a intenção de fazer nada além de alguma programação no horário de almoço, este dispositivo pode inadvertidamente comprometer a rede corporativa.

Uma situação mais prejudicial ocorre quando um funcionário conecta um gateway residencial na rede, sem saber que ele agirá como um servidor DHCP. Neste caso, tanto o servidor DHCP não autorizado quanto o DHCP da empresa responderão à mensagem de transmissão Discover DHCP inicial enviada a cada dispositivo que se liga à rede. Em muitos casos o gateway não autorizado está localizado a apenas um passo do switch e responderá primeiro, dando um endereço de rede privada típico no espaço de endereço 192.168.0.x. Tudo parece normal, mas o novo dispositivo não pode se comunicar na sub-rede da empresa.

Para identificar rapidamente servidores DHCP não autorizados, o analisador OneTouch tem um recurso exclusivo de detecção de oferta de segundo DHCP. Quando um segundo endereço de DHCP é recebido durante o processo de aquisição de endereço de DHCP, sobre interface cabeada ou sem fio, o OneTouch mostra um ícone de advertência na tela inicial.

Figura 39

Clique no servidor DHCP para mostrar o endereço IP do servidor e o endereço que ele enviou. Veja a
Figura 39. Se o servidor DHCP não autorizado respondeu primeiro, a segunda oferta DHCP pode ser o endereço IP da empresa.


Eu tenho potência suficiente para meus pontos de acesso?

Figura 40

Os pontos de acesso atualmente puxam mais potência dos pontos de acesso do que anteriormente, pois eles incluem dois ou três rádios. O analisador OneTouch AT e sua medição TruePower™ podem medir e carregar o PoE ao limite do IEEE 802.3at de 25,5 watts. Isto permite verificar a potência apropriada no ponto de instalação mesmo para os APs mais consumidores de potência. O PoE é envolto também em uma variedade de escolhas da hardware desde dos injetores da amplitude média de potência até variações de switch e provisionamento.

Na figura 40 nós vemos que podemos selecionar somente 23,7 watts nos na localização do AP a 90 metros do switch. Voltando à porta do switch nós podemos testar a carga de potência novamente para triagem entre a capacidade da porta do switch, o painel de conexão e o cabeamento horizontal. Você pode também medir o consumo de potência do PoE de um AP alinhado usando o recurso de captação do analisador OneTouch.

Implantando AP externos conectados por fibra? Use o analisador OneTouch para medir a potência óptica recebida com as conexões de fibra óptica.

Uma vez que ainda há muito cabeamento nas redes sem fio, o analisador OneTouch fornece um conjunto completo de testes de cabo. Entenda o par trançado usando os testes de cabo pareado cruzado/aberto/curto do analisador OneTouch e as medições TDR de comprimento. Veja a
Figura 41. Use os identificadores de cabo e a geração de tons IntelliTone™ para localizar e identificar os cabos e a porta piscante.

 

Figura 41


E se eu precisar capturar tráfego?

A captação do pacote é a ferramenta de último recurso quando uma visão detalhada, quadro a quadro é necessária para resolver um problema de rede ou do aplicativo. Uma das dificuldades com a captação Wi-Fi é a criptografia da carga útil após o endereço MAC exigir criptografia do analisador do protocolo. Mas isto funciona somente se for usada uma criptografia fraca, não corporativa, onde uma senha simples ou uma chave pre-compartilhada (PSK) podem ser inseridas no analisador de protocolo.

Usando o TAP de fibra óptica e cobre integrado ao analisador OneTouch para acessar o tráfego em andamento entre o ponto de acesso e o switch ou WLC, você pode capturar tráfego Wi-Fi no espaço livre. Veja a
Figura 42. O analisador OneTouch evita a complexidade, o tempo e o custo exigidos para configurar portas de switch espelhadas ou para instalar TAPs independentes. Os filtros de hardware de taxa linear permitem que você escolha uma estação por endereço MAC ou IP, uma aplicação tal como o HTTP pela porta, ou um grupo de usuários pela VLAN. Por meio da porta de gerenciamento ou do cartão SD, exporte o arquivo de captura para o seu analisador de protocolo preferido (tal como NETSCOUT ClearSight™ Analyzer) para decodificação e análise.

Figura 42

Quando instalado alinhado no AP, o analisador OneTouch fornece medição em tempo real da potência sobre a tensão Ethernet (POE), a corrente e potência, assim você pode quantificar a tração de potência em várias configurações de AP.

Conclusão

BYOD está aqui para ficar. A maioria de organizações agora permitem o acesso de rede corporativa por smartphones, por tablets, e por outros dispositivos inteligentes projetados para e comprados por consumidores para uso pessoal e de negócio. Com o aumento das multifunções nos dispositivos vem mais disputa pelo acesso, mais tensão na rede, políticas e provisionamento complexos, dispositivos não autorizados, e queixas de usuários. O analisador de rede NETSCOUT OneTouch AT é uma ferramenta única no gerenciamento de BYOD. Sua combinação de recursos cabeados e Wi-Fi usados em sua mesa, de forma móvel, ou remotamente permite que você inventarie rapidamente, quantifique e solucione problemas com o BYOD e a consumerização de TI.

Para mais informações sobre as soluções de BYOD da NETSCOUT, visite www.enterprise.netscout.com/BYOD

 
 
Powered By OneLink