Anwendungshinweis: Verwaltung von BYOD und IT-Konsumerisierung | enterprise.netscout.com

Anwendungshinweis: Verwaltung von BYOD und IT-Konsumerisierung

Handbuch zur Anwendung OneTouch AT Network Assistant

Einleitung

Die IT-Konsumerisierung wird in vielen, wenn nicht sogar allen IT-Abteilungen immer schneller zur Realität. Die Verbreitung von Tablets und anderen Smart Devices hat in den letzten Jahren drastisch zugenommen, und die Verwendung dieser Produkte der „Verbraucherkategorie“ in Unternehmensnetzwerken ist fast allgegenwärtig. Eine jüngst durchgeführte Studie zeigte, dass 90 % der befragten Organisationen die Verwendung persönlicher Geräte vor Ort in einem gewissen Maße zulassen – ein Phänomen, das als BYOD (Bring Your Own Device) bekannt ist. Zusätzlich zur Welle der Phones und Tablets als Clients können sich leicht verfügbare, kostengünstige Heim-Gateways, -Router, -APs und -Switches in das Unternehmen einschleichen. Mit dem Vertrauen in ihre neu entdeckten Heimnetzwerk-Fähigkeiten fühlen sich Mitarbeiter mehr denn je ermutigt und sorgen für Netzwerkentropie.

Der Zufluss der mobilen Clients und Netzwerkausrüstung ist der Anlass dafür, dass viele in der IT Beschäftigte nach dem besten Weg suchen, den Ansturm neuer Geräte zu erkennen, zu inventarisieren, zu prüfen, zu lokalisieren und zu verwalten. In einer jüngst durchgeführten Befragung berichteten 62 Prozent, dass ihr Unternehmen nicht über die notwendigen Tools verfüge, persönliche Geräte ihrer Mitarbeiter zu unterstützen, ungeachtet dessen, ob eine derartige Politik verfolgt werde oder nicht. Angst und Besorgnis sind im Überfluss vorhanden. Die Verwaltung der Auswirkungen persönlicher Geräte, das Schützen der Unternehmensdaten und geistigen Eigentums sowie die Prüfung zur Gewährleistung von Compliance sind den meisten IT-Abteilungen ein Dorn im Auge.

Der NETSCOUT OneTouch™ AT Network Assistant bietet eine Vielzahl von Funktionen, die für Transparenz und Kontrolle zur Nutzung der BYOD-Explosion sorgen und gleichzeitig die Risiken und Betriebskosten verringern, die mit dem Bereitstellen einer omnipräsenten, zuverlässigen verdrahteten und drahtlosen Infrastruktur mit sicherer, hoher Leistung einhergehen. OneTouch verfügt über eine einzigartige Kombination aus verdrahteten und drahtlosen Analysefunktionen in einem robusten Paket, das so mobil ist wie die Geräte, die er verwaltet. In diesem Anwendungshinweis wird die praktische Anwendung des NETSCOUT OneTouch AT Network Assistant auf eine Vielzahl der geläufigen BYOD-Probleme, der sich die IT gegenüber gestellt sieht, erforscht, wie:

  • Statusinventarisierung des aktuellen Wi-Fi-Netzwerks
  • Untersuchung von Benutzerbeschwerden hinsichtlich Leistung und Konnektivität
  • Identifizierung nicht autorisierter Clienten, APs und anderer Netzwerkgeräte
  • Prüfung von Netzwerkerlaubnissen
  • Messen der Wi-Fi-Leistung
  • Prüfung der Abdeckung der Mobilfunkübergabe
OneTouch AT Wi-Fi
 
Wi-Fi-Analyse

Abbildung 1

Wie verstehe ich den Bestand der Wi-Fi-Geräte?

Das Wi-Fi der meisten Unternehmen erfährt einen explosiven Nutzungsanstieg, während Netzwerke, die zuvor nur Unternehmenslaptops unterstützten, nun eine Flut verschiedener Phones und Tablets handhaben. Zusätzlich zur erhöhten Gesamtzahl von Geräten kann der Appetit auf Bandbreite die Leistung geschäftskritischer Unternehmensanwendungen stören. Der Schlüssel im Umgang mit dem BYOD-Phänomen liegt im Verstehen dessen, wie tiefgreifend es eigentlich ist. Sie müssen die Geräte inventarisieren, sehen, mit welchen Netzwerke und Access Points sie sich verbinden, und herausfinden, wie gesund die Luft ist.

OneTouch entdeckt und kategorisiert Wi-Fi automatisch in folgende vier Reiter: Netzwerk, AP, Client und Kanal. Das Sortieren nach Eigenschaften ermöglicht mehrfache Einsichten in das drahtlose Netzwerk. Sortieren Sie beispielsweise nach Signalstärke, um Wi-Fi-Abdeckungsprobleme zu beheben. Sortieren Sie nach Nutzung, um Probleme mit dem AP, Client oder der Kanalnutzung zu identifizieren. Sortieren Sie nach Autorisierungsstatus, um potenzielle Sicherheitsverstöße zu erkennen. Sortieren Sie nach MAC-Hersteller, um den Wi-Fi-Gerätetyp zu erkennen und zu verstehen, wie die Verknüpfung mit SSID, AP und dem Kanal eingerichtet ist.

Der Reiter „Client“ zeigt alle drahtlosen Geräte an, die OneTouch auf allen Kanälen sieht. Hier ist es möglich, auf Compliance mit den formalen Richtlinien zu prüfen, die von der IT für den BYOD-Support verwendet werden. Android-Geräte werden für gewöhnlich anhand der Herstellercodes von Samsung, HTC und Motorola dargestellt, während Blackberry von RIM dargestellt wird. Abbildung 1 zeigt hierzu ein Beispiel. Wir können schnell Sonderfälle wie ein Apple-Gerät auf Kanal 161, einem 5-GHz-Kanal, sowie ein anderes Apple-Gerät identifizieren, das nach seinen bekannten SSIDs sucht, aber nicht mit dem Netzwerk verbunden ist.

Das Antippen eines Geräts vergrößert die Ansicht und zeigt detaillierte Informationen zu vom Gerät verwendetem Netzwerk, SSID, Kanal und Sicherheit an und startet die detaillierte Tendenzverfolgung von Schlüsselgerätanzeigen. Siehe Abbildung 2. Über die Filterschaltflächen lässt sich eine genauere Analyse der zugehörigen verwendeten Netzwerke, Access Points und Kanäle eines jeden Client erhalten.

 

Abbildung 2

Wenn Sie Ihre Wi-Fi-Analyse vom wichtigsten Gebiet (SSID, AP, Client oder Kanal) aus angehen, bietet das Sortieren und Filtern einen vielseitigen Weg zum Verstehen des Bestands. Durch Antippen der OneTouch AT Schaltfläche in der oberen rechten Ecke halten Sie den Bildschirminhalt fest (Screenshot) oder erstellen einen detaillierten PDF-Bericht zur Dokumentation des BYOD-Bestands.

OneTouch ist agnostisch gegenüber Wi-Fi-Anbietern und kann am Schreibtisch, beim Durchqueren des Korridors oder im Remotebetrieb verwendet werden.


Wie identifiziere ich unerwünschte Netzwerke?

Kostengünstige Access Points und mobile Hotspots stellen ein Risiko für Leistung und Sicherheit des Unternehmensnetzwerks dar. Ein mobiler Phone-Hotsport kann dazu verwendet werden, eine Internetverbindung ohne Nutzung des Unternehmens-LAN/WAN aufzubauen. Während der mobile Hotspot an ein Mobilfunknetzwerk angebunden ist, teilt er sich dennoch den Luftraum mit dem Wi-Fi-Netzwerk des Unternehmens. Dies kann zu einer Kanalüberbelegung oder Zweitkanalstörungen führen.

Noch problematischer als der mobile 3G-Hotspot ist jedoch die Mitarbeiter, die einen Heim-AP oder -Gateway einbringen, um ein persönliches Wi-Fi-Netzwerk für ihre Tablets und Phone zu erstellen, indem sie das Gateway an das Unternehmensnetzwerk anschließen. Daraus ergibt sich nur eine Überbelegung des Luftraums, sondern auch ein nicht autorisierter Wi-Fi-Zugriff auf das Unternehmens-LAN.

Abbildung 3

OneTouch führt eine Wi-Fi-Analyse durch, indem er ständig die Luft, Kanal um Kanal, überprüft und SSIDs sowie die Nutzung von APs, Clients und Kanälen bestimmt. Die Analyse wird in vier Reitern dargestellt mit der Möglichkeit, die Ergebnisse auf vielfältige Art zu sortieren. Beispielweise: wählen Sie zum Erkennen möglicher nicht autorisierter Wi-Fi-Netzwerde den Reiter „Netzwerke“ aus und sortieren Sie nach „Wenigste Access Points“. Siehe Abbildung 3. Dies ist eine schnelle Methode, um einmalige Netzwerke mit einen einzigen SSID zu identifizieren, der durch einen einzelnen AP unterstützt wird. Weitere Anzeichen für ein unerwünschtes Netzwerk sind offene Netzwerke, die durch das rote Symbol eines offenen Schlosses angezeigt werden.

Das Auswählen eines SSID erweitert die Netzwerkdetails. Siehe Abbildung 4. Normale Wi-Fi-Netzwerke von Unternehmen bieten Abdeckung und Kapazität anhand von mehreren APs, die sorgfältig positioniert werden und nicht überlappende Kanäle zugewiesen bekommen. Die Anzahl der APs, Kanäle und den SSID unterstützenden Clients werden anhand der Filterschaltflächen rechts auf der Anzeige dargestellt, und durch Antippen einer Schaltfläche werden nur derartige Geräte aufgeführt.

Der SSID „cody-dlink“ verfügt über nur einen AP, der an einen Host angeschlossen ist und nur einen Kanal benutzt. Siehe Abbildung 5. Dies ist für ein reguläres Unternehmensnetzwerk nicht bezeichnend und kann auf einen unerwünschten AP hinweisen. Die Sortierfunktion ist hier ein leistungsstarkes Tool zur Identifikation von abweichenden Netzwerken, Access Points, Clients und Kanälen.

Abbildung 4

Abbildung 5


Was mache ich, wenn ein nicht autorisierter AP den Unternehmens-SSID verwendet?

Abbildung 6

Was ist, wenn der Mitarbeiter seinen Geräte-SSID mit einem Unternehmens-SSID abgleicht, um sein privates Netzwerk zu kaschieren? Vom Reiter „Netzwerk“ ausgehend und durch Erweitern eines genehmigten Unternehmens-SSID wie „Autorisierter Gastzugriff“ lässt sich sofort erkennen, dass es von 4 APs unterstützt wird. Siehe Abbildung 6. Durch Auswählen der AP-Schaltfläche werden die starken Fähigkeiten der Filteransicht erst so richtig deutlich. Anhand der Reiter lässt sich basierend auf SSID, AP, Client oder Kanal ein Analysestartpunkt wählen, und die drei Filterschaltflächen sorgen für eine einfache Verfeinerung der Suche.

Bei der Anwendung der Filter ändert sich die Titelleiste von „Wi-Fi-Analyse“ zum Quellfilterkriterium, in diesem Fall „Autorisierter Gastzugriff“. Siehe Abbildung 7. Es wird sofort sichtbar, dass der SSID von drei Cisco APs sowie durch ein Linksys-Gerät unterstützt wird – was bedeutet, dass dieses möglicherweise nicht Teil des Unternehmensnetzwerks ist.

Mit OneTouch können Sie proaktiv nicht autorisierte und andere Geräte identifizieren, die sich neu im Netzwerk befinden. Sie können bekannte APs auf Ihrem Gelände sowie nahe gelegene APs markieren. Bekannte und erwartete Unternehmens-APs können als „Autorisiert“ markiert werden. Siehe Abbildung 8. Für bekannte APs außerhalb des Geländes steht die Markierung „Nachbar“ zur Verfügung. Die jeweilige Markierung der APs wird von OneTouch gespeichert. Mit der Etikettierung erwarteter APs erlaubt die Sortierung nach Autorisationsstatus die schnelle Identifizierung unbekannter Access Points wie das Linksys-Gerät im Bildschirm „Autorisierter Gastzugriff“ in Abbildung 8.

Abbildung 7

Abbildung 8


Kann ich einen nicht autorisierten AP, Hotspot oder ein Ad-Hoc-Gerät lokalisieren?

Sobald ein nicht autorisierter AP oder mobiler Hotsport identifiziert wird, bietet OneTouch mehrere Möglichkeiten zur Lokalisierung des Geräts. Mithilfe der externen Richtantenne (siehe Abbildung 9) und der Funktion „Lokalisieren“ (siehe Abbildung 10) kann der physische Standort jedes drahtlosen Geräts, APs oder Client schnell bestimmt werden.

Abbildung 9

Abbildung 10

Abbildung 11

 

Im Falle eines an das LAN angeschlossenen unerwünschten APs lassen sich mittels der OneTouch Wired Analyis Anschluss-Switchslot und -Port bestimmen. Gerät und Benutzer können abgeschaltet werden, indem sie an der Verbindungstafel vom Netzwerk getrennt werden oder der Switchport deaktiviert wird.

Sortieren Sie zum Auffinden eines Wi-Fi-Geräts in der LAN-Analyse die LAN-Analyse nach MAC-Adresse und suchen Sie nach der Wi-Fi-MAC-Adresse. Siehe Abbildung 11. Beachten Sie, dass in einigen Fällen angrenzende MAC-Adressen von mandantenfähigen Geräten verwenden werden. In diesem Fall ist ein D-Link-Gerät an einer angrenzenden MAC-Adresse an Slot 2/Port 44 am COS_DEV_SW1 angeschlossen und benutzt die IP-Adresse 10.250.1.176 im VLAN 500.


Was mache ich, wenn ein nicht autorisierter AP seinen SSID nicht übermittelt?

Was ist, wenn ein Mitarbeiter seinen AP konfiguriert, seinen SSID NICHT zu übertragen in dem Versuch, im Unternehmensnetzwerk unentdeckt zu bleiben? Durch Identifizieren nicht übertragener Netzwerke unterstützt OneTouch Sie dabei, Ihre Netzwerkbenutzung zu verwalten und Sicherheitsprobleme zu entschärfen.

Abbildung 12

OneTouch sucht aktiv nach nicht übertragenen Netzwerken und berichtet den SSID in der Liste der entdeckten Netzwerke als [Versteckt]. Siehe Abbildung 12. Durch Wählen deer AP-Filterschaltflächen identifizieren Sie den AP, der dieses nicht übertragene Netzwerk verwendet. Mithilfe von Tools können Sie einen nicht autorisierten AP für die proaktive Identifikation kennzeichnen und lokalisieren.

Wenn Sie den SSID des versteckten Netzwerkes kennen, sendet OneTouch eine aktive Prüfanfrage mit spezifischen SSIDs an einen AP, um nicht übertragene SSIDs aufzuspüren. OneTouch sucht nach allen in seinen Profilen konfigurierten SSIDs und ermittelt anhand von 802.11 Paketen passiv im Netzwerk verwendete nicht übertragene SSIDs. Diese aufgefundenen nicht übertragenen SSIDs werden in Klammern berichtet, zum Beispiel [BlackHole]. Siehe Abbildung 13.

Abbildung 13

Hat jemand ein Ad-Hoc-Netzwerk eingerichtet?

Was ist, wenn eine kleine Gruppe von Mitarbeitern ihre Laptops konfiguriert hat, zum Spielen im Ad-Hoc-Modus zu arbeiten? Obwohl Ad-Hoc-Netzwerke ihren Platz in einer Unternehmensumgebung haben können, gehen sie meist gegen die IT-Richtlinie und können ein Sicherheitsrisiko aufwerfen, wenn sie als ungesichertes, offenes Netzwerk konfiguriert sind und Unternehmensdaten gefährdet werden. Ad-Hoc-Netzwerke können sich ebenfalls negativ auf die Netzwerkleistung auswirken, wenn sie den gleichen Kanal wie die Unternehmens-APs verwenden.

Durch Sortieren nach Netzwerktyp rücken die entdeckten Ad-Hoc-Netzwerke an die Spitze der Liste. Siehe Abbildung 14. Der Name des verwendeten Ad-Hoc-Netzwerks (Montana) wird sofort angezeigt sowie, ob es gesichert ist oder nicht. Erweitern Sie die Netzwerkansicht für detailliertere Informationen zum Netzwerk. Verwenden Sie den Client-Filter, um die das Netzwerk gefährdenden Geräte zu identifizieren und zu lokalisieren.

Abbildung 14


Gibt es unerwartete Clients auf meinem Unternehmens-SSID?

Der einzige Weg, auf dem das IT-Personal die Kontrolle über die Ausbreitung der Mobilgeräte behalten kann, besteht darin, sie in drei unterschiedliche Geräteklassen einzuteilen: verlässliche, durch das Unternehmen bereitgestellte Standardgeräte, zugelassene Geräte und nicht unterstützte Geräte. Es ist selbstverständlich, sicherzustellen, dass die Unternehmens-SSIDs mit vollem Zugriff nur erwartete APs und Clients aufweisen. Vom Netzwerkreiter aus wählen wir unseren Unternehmens-SSID aus. Siehe Abbildung 15. Die AP-Symbole auf der AP-Stärkeanzeigeleiste zeigen, dass der SSID an 4 APs auf 4 verschiedenen Kanälen gut empfangen wird und die Unternehmenssicherheit aktiv ist. Zum Prüfen der Clients auf dem ausgewählten SSID genügt das Antippen der Schaltfläche „Client-Filter“, um die Clients zu sehen.

Die Titelleiste zeigt den gefilterten SSID an. Siehe Abbildung 16. Um die Liste der 37 Clients übersichtlicher zu gestalten, wird sie nach Hersteller-MAC sortiert. Ähnliche Geräte werden so gruppiert. Die Liste zeigt auf, dass es 36 Unternehmenslaptops mit mit dem SSID verbundenen Intel-MAC-Adressen gibt – es hat es jedoch ein Apple-Gerät geschafft, sich auf irgendeine Weise mit dem Unternehmensnetzwerk zu verbinden. Je nach Firmenpolitik ist dieses Gerät erlaubt oder verboten. Ist das Gerät nicht erlaubt, kann es mithilfe der Wi-Fi-Richtantenne oder möglicherweise durch Suchen der Geräte-MAC über die Wi-Fi-Analyse lokalisiert werden, wie zuvor beschrieben.

Abbildung 15
Abbildung 16

Warum ist die Leistung in diesem Bereich mangelhaft?

Abbildung 17

Eine der Gefahren bei der BYOD-Unterstützen liegt in der Schwierigkeit, den geschäftskritischen Wi-Fi-Zugriff bei Anwesenheit persönlicher Geräte beizubehalten. Ein verstopfter Luftraum und Modelle mit hoher Bandbreitennutzung wie Videostreaming können geschäftskritische Kommunikationen hemmen. Was geschieht, wenn sich ein Manager über die Leistungsprobleme im Zusammenhang mit VoIP-Anrufen aus einem Konferenzzimmer beschwert?

In diesem Fall ist die Portabilität des OneTouch in Verbindung mit der Wi-Fi-Analyse unübertroffen. Gehen Sie einfach zum Problembereich und verwenden Sie den Client-Reiter in der Wi-Fi-Analyse, um den sich beschwerenden Client ausfindig zu machen. Alternativ können Sie den Netzwerk-Reiter und den Client-Filter verwenden, um die Suche einzuschränken. In Abbildung 17 sehen wir, dass die Signalhöhe stark ist. Beachten Sie ebenfalls, dass eine unveränderliche Signalhöhe darauf hinweist, dass der Client sich nicht bewegt. Der Störpegel ist niedrig, worauf sich auf eine allgemeine gesunde Luft frei von nicht-802.11 Störungen schließen lässt. Die Wiederholungsrate jedoch ist hoch, angezeigt durch die gelbe Farbe. Auch die Rx- und Tx-Raten verändern sich stark.

Abbildung 18

Das Auswählen der Kanalfilterschaltfläche gelangen wir zu Kanal 4 (siehe Abbildung 18), wo wir anhand des gelben Balkens die hohe 802.11-Anwendung erkennen. Zur Bestimmung der Quelle der Nutzung filtern wir nach APs.

Abbildung 19

Nach Setzen des Filters für APs auf Kanal 4 (siehe Abbildung 19) sehen wir drei APS. Zwei davon sind Unternehmens-APs, die mit 38 Clients schwer ausgelastet sind. Wir sehen jedoch auch einen starken LinkSys-AP mit 2 Clients in der Nähe. Unerwarteterweise teilt er unseren Kanal. Verwenden Sie zur Lokalisierung des AP die zuvor beschriebenen Techniken.

Wie überprüfe ich, dass mein Wi-Fi-QoS funktioneirt?

Abbildung 20

Mit dem Zustrom persönlicher Geräte von Benutzern ist es von entscheidender Bedeutung, die Wi-Fi-Leistung und Priorisierung des Produktionsverkehrs über den Best-Effort-Benutzerdatenverkehr zu verifizieren. Die Servicequalität (QoS) ermöglicht es den Wi-Fi-Access Points und -Switches Datenverkehr zu priorisieren. Ohne QoS haben alle Anwendungen, die auf verschiedene Geräten laufen, Chancengleichheit hinsichtlich der Übertragung von Datenrahmen. Industriestandards wie 802.11e und WME (drahtlose Multimedia-Extensionen) geben dem Verkehr von verschiedenen Geräten und Anwendungen den Vorzug, um eine qualitativ hochwertige Endbenutzererfahrung auf geschäftskritischen Verkehr wie Voice unter einer großen Vielfalt von Umgebungs- und Verkehrsbedingungen auszudehnen. Die QoS-Verkehrsformung kann unter Verwendung einer Vielzahl von Mechanismen wie SSIDs, Ports oder DSCP übertragen werden.

Die OneTouch Veri-Fi™ Funktion erlaubt die schnelle, deterministische Überprüfung der LAN-/Wi-Fi-Leistung, indem sie Daten zwischen den verdrahteten und drahtlosen OneTouch-Schnittstellen streamt. Siehe Abbildung 20. Veri-Fi kann auf vielfältige Art verwendet werden:

  • Zur Messung der vor- und nachgelagerten Wi-Fi-Leistung
  • Zum Erstellen großer Mengen von Hintergrundverkehr zur Prüfung, dass kritische QoS bei belastetem AP nicht beeinträchtigt wird
  • Zum Überprüfen, dass kritische QoS bei Best-Effort-Verkehr nicht beeinträchtigt wird

In diesem Beispiel prüfen wir, ob der den DSCP Expedited Forwarding (EF)-Wert von 46 nutzende VoWi-Fi-Verkehr korrekt bereitgestellt wird. Siehe Abbildung 21. Zusätzlich überprüfen wir, ob die QoS sowohl über IPv4 und IPv6 funktioniert. Wir wählen eine für die VoIP RTP repräsentative Rahmengröße von 128 Bytes und spezifizieren eine vorgelagerte (Wi-Fi →verdrahtet) sowie eine nachgelagerte (verdrahtet →Wi-Fi) symmetrische Datenrate von 1 Mbps, um eine ungefähre Anzahl von 10 simultanen Anrufen zu erhalten. Die Testergebnisse (angezeigt als Rahmenverlustrate) liegen unterhalb der Pass-/Fail-Grenze von 1 %, der Test ist also bestanden. Siehe Abbildung 22. Hintergrundverkehr kann durch Verwenden persönlicher Geräte oder eines zweiten OneTouch generiert werden.

Abbildung 21
Abbildung 22
 

Abbildung 23


Wie kann ich mehr über das Wi-Fi-Gerät erfahren?

Die Wi-Fi-Analyse ermöglicht eine zuvor nie dagewesene Transparenz für drahtlose Netzwerke, Access Points, Clients und Kanäle. Im Falle der Clients (Abbildung 23) werden die folgenden Informationen angezeigt:

  • MAC-Adresse
  • SSID (Netzwerk)
  • AP
  • Sicherheit
  • Funktyp (a/b/g/n)
  • Kanal und Band
  • Zuletzt gesehen
  • Eine-Minute-Tendenzen der Schlüsselanzeigen

Ebenso lässt sich ganz einfach nach zugehörigem Netzwerk, AP und Kanal filtern. Da jedoch alles über Quell- und der Ziel-MAC einschließlich der Schicht 3-IP-Adressen verschlüsselt ist, ist es oftmals wünschenswerter, anhand der LAN-Analyse mehr über das Gerät zu erfahren.

 

Abbildung 24

In vielen Fällen kann die OneTouch LAN-Analyse durch Entdecken und Befragen der drahtlosen LAN-Controller IP-Adresse, VLAN und sogar den Gerätenamen ausfindig machen. Drahtlose Geräte lassen sich finden, indem Sie die LAN-Analyse nach MAC-Adressen sortieren und sie mit der Wi-Fi-MAC-Adresse abgleichen. In Abbildung 24 sehen wir, dass das Apple-Gerät mit der MAC-Adresse „40a6d9-b46809“ im LAN-Netzwerk mit der IP-Adresse „10.250.0.135“ im VLAN 500 angezeigt wird. Die VLAN-Informationen sind nützlich, um zu überprüfen, ob das Gerät gemäß seiner Autorisierung oder Benutzergruppe im korrekten VLAN arbeitet. Sie können die OneTouch LAN-Analyse dazu verwenden, das verdrahtete Gerät auf offene Ports zu überprüfen und so mehr über das Gerät zu erfahren; in diesem Fall ist der iPhone-Synchronisierungs-TCP-Kanal 62078 geöffnet.

 
Wie überprüfe ich den korrekten Zugriff für meine verschiedenen SSIDs?

Unternehmen erstellen üblicherweise Zugriffsnetzwerkzonen, um die Konnektivität privater Mobilgeräte unter Verwendung verschiedener SSIDs einzuschränken, die im Gegenzug den Netzwerkzugriff kontrollieren.

Abbildung 25

Erlaubnis Zugriff SSID
Voller Zugriff Internet u. alle Unternehmensressourcen AcmeCorp
Teilweiser Zugriff Internet u. einige Unternehmensressourcen AcmeContractor
Nur Internet Nur Internet AcmeGuest
BYOD benötigt Richtlinien und Bereitstellungen zur Steuerung dessen, auf welche Unternehmensressourcen Clients zugreifen dürfen. SSIDs werden häufig unter Verwendung eindeutiger IP-Adressierung und verdrahteter VLANs zur Zugriffssteuerung eingeteilt.

OneTouch Profile sind benannte Konfigurationen, die in einer Vielzahl von Arten verwendet werden können, um den Betrieb zu straffen. Durch den Einsatz von Profilen kann ein Unternehmen Standardtestverfahren erstellen, die den erwarteten Netzwerkbetrieb von jedem SSID einkapseln.

Abbildung 25 zeigt ein Profil namens „Contractor Access“, das die Konnektivität für erlaubte und verbotene Services überprüft. Die Stufen werden umbenannt, um den Test in erlaubt und verboten einzuteilen.

Der Einsatz von Profilen zur Erstellung von Standardprüfungen in einem Unternehmen bietet einen konsistenten und gründlichen Prüfprozess und ermöglicht es gleichzeitig weniger ausgebildetem Personal, komplizierte Netzwerkprüfungen und Tests im gesamten Unternehmen durchzuführen.

Funktioniert mein Wi-Fi-Offload?

Abbildung 26

Die Fähigkeit, ein Unternehmen nahtlos zu durchstreifen, ist für die BYOD-Benutzer von heute grundlegend. Das Offloading von Mobilfunk auf Wi-Fi bietet zahlreiche Vorteile, darunter:

  • Geringere Datenchargen
  • Schnellere Verbindungen
  • Geringerer Batterieverbrauch
  • Verbesserte Endbenutzererfahrung

Aber wie stellen Sie sicher, dass Ihre Wi-Fi-Abdeckung ausreicht, um eine Überbelastung (konstantes Kanalwechseln) zwischen den Funkgeräten zu verhindern?

Sobald OneTouch mit einem SSID verbunden ist, verfolgt es die Abdeckung zwischen den AP-Zonen. OneTouch speichert die jeweiligen Roaming-Details, während Sie durch die Anlage gehen. Anhand der Navigationssteuerung für Roaming-Ergebnisse können Sie die Details jedes zugehörigen APs anzeigen. (Siehe Abbildung 26.) Für jedes AP bieten die Mindest- und Höchstwerte für Signalstärke, Störungen, Wiederholungen und Nutzung Transparenz in die Betriebsreichweite einer jeden AP-Zone.

Abbildung 27

Durch Antippen des Reiters „Protokoll“ erhalten Sie Einsicht in die mit Zeitstempeln versehenen Details zu jeder Verbindung, Authentifizierung und Zuordnung. Siehe Abbildung 27.
 

Abbildung 28

Mit Hilfe des Tools Ping (ICMP) während des Roamings ist es ebenfalls möglich, Toträume in der Abdeckung zu finden, die zu einer 3G-Aufladung führen könnten. Durch Anzielen eines internen Ping-Antwortsenders, der über den Mobilfunk nicht zu erreichen ist, lässt sich ein Datenverlust bei fehlender Verbindung zum Wi-Fi sicherstellen. Im kontinuierlichen Ping-Modus mit einer ein Zeitbegrenzung von einer Sekunde entspricht die Anzahl der verlorenen Ping-Pakete der Anzahl von Sekunden ohne Wi-Fi-Verbindung. Siehe Abbildung 28. In diesem Fall betrug der Wi-Fi-Ausfall 6 Sekunden von 228 Sekunden Roaming. Dieser Test kann auch unter Verwendung des Verbindungstests (TCP) durchgeführt werden, um einen TCP-Kanal für das gewählte Ziel zu öffnen und so die Anwendungsport-Anwählbarkeit zu prüfen. Eine noch umfassendere Prüfung der Abdeckung lässt sich anhand des AirMagnet Survey und AirMapper erhalten.


Wie kann ich mich mit meinem Gast-SSID authentifizieren?

Abbildung 29

Bei der Verbindung mit Gast- und gastgebenden Wi-Fi-Netzwerken ist es üblich, sich zur Einwahl in das unternehmenseigene Portal authentifizieren oder Geschäftsbedingungen akzeptieren zu müssen. Das unternehmenseigene Portal zwing einen HTTP-Client in einem Netzwerk dazu, vor Nutzung des Netzwerks eine spezielle Webseite anzusehen.

Der OneTouch integrierte Webbrowser arbeitet sich durch das Management für verdrahtete und Wi-Fi-Testports. In Abbildung 29 verwendet der OneTouch Analysator seinen Wi-Fi-Port zum Zugriff auf eine Webseite, und der Browser wird auf eine Webseite umgeleitet, auf der eine Authentifizierung und/oder Zahlung erforderlich ist oder die lediglich eine anzunehmende Nutzungsrichtlinie anzeigt, der der Benutzer zustimmen muss. Nach der Authentifizierung wird die MAC-Adresse des OneTouch Wi-Fi-Testports für gecached und erhält 24 Stunden lang Zugriff. Wenn ein unternehmenseigenes Portal auf der verdrahteten Testschnittstelle wie in einem verdrahteten Hotelzimmer benutzt wird, kann die gleiche Technik verwendet werden, um die verdrahtete Schnittstelle zu authentifizieren.

Zusätzlich zur Navigation durch unternehmenseigene Portale kann der OneTouch integrierte Webbrowser dazu verwendet werden, Netzwerkelemente wie Switches und WLAN-Controller bereitzustellen. Siehe Abbildung 30.

Der OneTouch Analysator enthält ebenfalls ein integriertes SSH/Terminal für Bereitstellung und Diagnose der Befehlszeile. Siehe Abbildung 31.

Abbildung 30

Abbildung 31


Ich bin hier, aber mein Problem nicht. Was soll ich tun?

Abbildung 32

Wi-Fi ist sehr herausforderndes Medium. Außer der Nachfrage nach dynamischer Bandbreite kommen und gehen Clients und Störungsquellen. Beispielsweise stellen BYOD OS-Updates, Updates beliebter Apps, Cloud-Backups oder sogar das Abspielen eines wichtigen Videos eine Belastung für das Netzwerk dar. Was geschieht, wenn Sie über den Campus gehen, um ein Client-Problem zu lösen – und dann herausfinden, dass das Problem zu diesem Zeitpunkt nicht existiert?

Durch Verbinden des OneTouch Analysators mit dem Netzwerk über den Managementport können Sie das Gerät zurücklassen und es remote betreiben. Dies erlaubt es Ihnen, andere Arbeiten zu verrichten und zwischendurch das Wi-Fi von Ihrem Schreibtisch aus zu prüfen oder dann, wenn der Client sich wieder meldet.

Wählen Sie einfach mit Ihrem Webbrowser oder VNC-Client die IP-Adresse des Managementports an und legen Sie los. Sie können OneTouch von Ihrem Desktop, Laptop, Tablet oder Phone von unterwegs bedienen. Siehe Abbildung 32. Die Schnittstelle des OneTouch Analysators mit ihren großen berührbaren Symbolen macht die Bedienung selbst von einem Phone aus einfach. Wenn Sie etwas Merkwürdiges sehen, tippen Sie einfach die OneTouch AT-Schaltfläche oben im Bildschirm an und speichern so zur Dokumentation des zeitweilig auftretenden Problems einen Bericht oder einen Screenshot.

Abbildung 33

Der OneTouch Analysator ist so vielseitig, dass Sie sogar eine geläufige Webcam in den USB-Port einstecken und so remote überwachen können. Beispielsweise können Sie die Anzahl der Teilnehmer in einem Meetingraum überwachen, einen Bildschirm oder eine Bildschirmanzeige beobachten oder die LEDs an der Netzwerkausrüstung überwachen. So können Sie nicht nur das Netzwerk überwachen, sondern auch den physischen Raum. Siehe Abbildung 33.

Handelt es sich um ein drahtloses oder ein verdrahtetes Problem?
Wi-Fi stellt einen anderen Zugriff auf Netzwerk unter Verwendung von RF für Schicht 1 und 802.11 für Schicht 2 dar. Sobald Sie jedoch über die Access Points hinaus gehen, sind Sie von der gleichen zugrunde liegenden verdrahteten Infrastruktur abhängig. Außer den schon vorgestellten Wi-Fi-Analysetechniken verfügt der OneTouch Analysator über eine Fülle von LAN-Analysefunktionen, die ebenfalls eine Rolle im BYOD-Management spielen. Die Sortierung des OneTouch Analysator LAN-Analyse funktioniert ähnlich der der Wi-Fi-Analyse. Durch Sortieren nach Problem rücken die entdeckten LAN-Probleme an die Spitze der Liste. Siehe Abbildung 34. Das Antippen eines Geräts führt zu einer detaillierteren Ansicht.

Abbildung 34

In Abbildung 35 beispielsweise startete der drahtlose LAN-Controller (WLC) vor 12 Minuten neu und ist eventuell für das aktuelle Fehlerticket verantwortlich. Unter Verwendung von SNMP lokalisiert der OneTouch Analysator ebenfalls Gerät und Benutzer. Andere Sortierungen umfassen nach IPv4-Anschrift, IPv6-Anschrift, MAC-Adresse, Herstellername, Top-Sender, Gebiet und weitere.

Abbildung 35

Das Sortieren nach VLAN (siehe Abbildung 36) erlaubt die Überprüfung, dass BYOD-Geräte gemäß ihrem zugewiesenen mit ihrem SSID verbundenen VLAN korrekt abgesondert sind.

Abbildung 36

Alle entdeckten Gerät können mittels des integrierten Portscanners weiter geprüft werden. Zusätzlich ist die LAN-Analyse bei der Identifikation wichtiger Wi-Fi-Geräte nützlich. Sie können automatische Testprofile aufbauen, um standardisierte Tests zu erstellen, die schnell die Verfügbarkeit entscheidender Netzwerkausrüstung feststellen und ihren Zustand bestimmen.

Wie schneidet meine Wi-Fi-Transaktionleistung im Vergleich zur verdrahteten ab?

Manchmal ist es schwierig, zu wissen, ob das Wi-Fi oder der Rest des Netzwerks den Engpass darstellt. Der OneTouch Analysator testet Ihre drahtgebundenen Ethernet- und Wi-Fi-Netzwerke gleichzeitig vergleicht einfach die Leistung anhand nebeneinander angezeigter Testergebnisse. Dieser Vergleich erstreckt sich auf IPv6, wenn dieses im LAN-Setup des OneTouch Analysators aktiviert ist.

In Abbildung 37 wird anhand des FTP-Benutzertests die Endbenutzer-Antwortzeit (EURT) eines Dateidownloads von 1 MB Größe gemessen. Die Verwendung des FTP hängt von der zugrunde liegenden TCP-Leistung ab, die ebenfalls in den Testergebnissen angezeigt wird. Das FTP-Tool lässt entweder den Dateidownload (erhalten) oder -upload (einstellen) zu.

Abbildung 37

 

Die Gesamtzeit (EURT) ist die Summe der einzelnen Zeiten, die die Transaktion bilden:

  • DNS-Lookup ist die Zeitdauer, die dazu benötigt wird, um den URL zu einer IP-Adresse zu bestimmen.
  • TCP Connect ist die Zeitdauer, die dazu benötigt wird, den Port am Server zu öffnen.
  • Datenbeginn ist die Zeitdauer, derer es bedurfte, den FTP-Dateidatenrahmen vom Server zu empfangen.
  • Datentransfer ist die Zeitdauer, derer es bedurfte, die Dateidaten zu übertragen.

Der genau zeitgesteuerte, nebeneinander angezeigte Vergleich der verdrahteten und drahtlosen Leistung in Verbindung mit der Aufschlüsselung der Transaktionsbestandteile ist von unschätzbarem Wert, um zu bestimmen, ob Ihr Wi-Fi der Engpass ist oder nicht.

Wenn die Gesamtzeit die gewählte Zeitgrenze überschreitet, gilt der Test als nicht bestanden. Folglich können Sie ein AutoTest-Profil erstellen, um die Endbenutzererfahrung zu prüfen. Beachten Sie, dass abhängig vom Ort des FTP-Servers die WAN-Kapazität der Engpass sein kann, in welchem Fall die Zeiten für die verdrahtete und die Wi-Fi-Datenübertragung ähnlich wären. Andere nützliche und vergleichbare Benutzertests umfassen Web, Multicast und RTSP für Videoabonnements.


Wie identifiziere ich BYO-Hubs, -Switches und -Router?

Abbildung 38

Die Mitarbeiter, die sich durch ihre neu gefunden Homenetzwerkfähigkeiten und Netzwerk-Konsumgutausstattungen ermutigt fühlen, stellen eine weitere Gefahr für die IT dar. Wenn ein Mitarbeiter entscheidet, dass er einen weiteren verdrahteten Port an seinem Arbeitsplatz wünscht, dann schließt er eventuell einen nicht verwalteten, kostengünstig in einem Kaufhaus erstandenen Verbraucher-Switch an. Dadurch hätte er die Gelegenheit, mehr als ein Ethernet-Gerät im Büro anzuschließen.

Unter Verwendung der LAN-Analysen und durch Sortieren der Hosts nach Switch-Name/Schlitz/Port werden die Geräte hinsichtlich ihrer Verbindung mit dem verwalteten Unternehmens-Switch geordnet. Für gewöhnlich es gibt ein Host-Gerät pro Switch-Port, und jeder Schlitz/Port tritt nur einmal auf. Wenn ein Switch-Port von mehr als nur einem Gerät benutzt wird, zeigt dies an, dass möglicherweise ein kleiner Hub oder Switch am Unternehmens-Switch angebracht ist. Abbildung 38 zeigt, dass für Switch cos_dev_sw3 mehrere Geräte an Port 20 angeschlossen sind. Die weitere Kontrolle zeigt, dass dieser Mitarbeiter nicht nur einen Switch in die Anschlussdose eingesteckt hat, sondern auch noch zusätzliche Ports verwendet, um einen privaten Raspberry Pi kreditkartengroßen Linux-Computer mit der MAC-Adresse Rspbry:9977393 anzuschließen. Während der Mitarbeiter wahrscheinlich nichts weiter beabsichtigt, als in seiner Mittagspause etwas zur programmieren, kann dieses Gerät unbekannterweise das Unternehmensnetzwerk gefährden.

Eine noch schädlichere Situation tritt auf, wenn ein Angestellter ein Heim-Gateway in das Netzwerk einsteckt, ohne Ahnung dessen, dass es als DHCP-Server fungiert. In diesem Fall antworten sowohl der unerwünschte DHCP-Server als auch das Unternehmens-DHCP auf die ursprüngliche DHCP-Discover-Broadcast-Nachricht, die beim Starten der Geräte im Netzwerk gesendet wird. Oftmals wird das unerwünschte Gateway als nah erkannt und antwortet zuerst, wodurch es eine übliche private Netzwerkadresse im Bereich 192.168.0.x erhält. Alles scheint normal zu sein, aber das neue Gerät kann nicht mit dem Unternehmensteilnetz kommunizieren.

Um unerwünschte DHCP-Server schnell zu identifizieren, verfügt der OneTouch Analysator über eine exklusive 2. DHCP-Angebotsabfragefunktion. Wenn während des Verfahren zum Erhalt seiner DHCP-Anschrift, entweder über eine verdrahtete oder drahtlose Schnittstelle, eine zweite DHCP-Anschrift empfangen wird, zeigt das OneTouch ein Warnsymbol auf dem Hauptbildschirm an.

Abbildung 39

Tippen Sie auf den DHCP-Server, um die IP-Adresse des Servera sowie die angebotene Adresse anzuzeigen. Siehe Abbildung 39. Wenn der unerwünschte DHCP-Server zuerst antwortete, ist das zweite angebotene DHCP möglicherweise die IP-Adresse des Unternehmens.


Kann ich meinen Access Points genug Leistung bereitstellen?

Abbildung 40

Die Access Points von heute ziehen Energie wie nie zuvor, da sie zwei oder drei Funkgeräte enthalten. Der OneTouch AT Analysator und seine TruePower™ Messung kann den PoE messen und das IEEE-802.3 mit maximal 25,5 Watt belasten. So können Sie den korrekten Strom am Installationspunkt selbst der am meisten Energie konsumierenden APs überprüfen. Der PoE ist auch in einer Vielzahl von Hardware-Möglichkeiten von Mittelspannungs-Strominjektoren bis Switch-Varianten und -Bereitstellung abgeschirmt.

In Abbildung 40 sehen wir, dass wir am AP-Standort 90 Meter vom Switch entfernt nur 23,7 Watt abnehmen können. Zurück am Switch-Port testen wir die Stromlast erneut für eine Triage zwischen Switch-Portfähigkeit und Verbindungstafel und Horizontalverdrahtung. Durch Verwenden der Erfassungsfunktion des OneTouch Analysators können Sie den PoE-Stromverbrauch eines AP auch inline messen.

Sie setzen äußere, per Glasfaserkabel angeschlossene APs ein? Verwenden Sie den OneTouch Analysator, um den über die Faseroptikverbindungen erhaltene optische Leistung zu messen.

Da bei drahtlos immer noch eine Menge Draht im Spiel ist, liefert der OneTouch Analysator einen kompletten Satz Kabeltests. Analysieren Sie Twisted-Pair-Kabel mithilfe der Tests auf Kurzschluss/offenen Stromkreis/Crosskabel und der TDR-Längenmessung des OneTouch AT Analysators. Siehe Abbildung 41. Verwenden Sie Kabelidentifizierer und die IntelliTone™ Tonprüfung, um Kabel und blinkende Port zu lokalisieren und zu identifizieren.

 

Abbildung 41


Was tue ich, wenn ich den Datenverkehr erfassen muss?

Das Tool zur Paketerfassung ist der letzte Ausweg, wenn eine detaillierte Ansicht nach Rahmen erforderlich ist, um ein Netzwerk- oder Anwendungsproblem zu beheben. Eine der Schwierigkeiten mit der Wi-Fi-Erfassung liegt in der den MAC-Adressen nachgelagerten Nutzlastverschlüsselung, die eine Verschlüsselung durch den Protokolanalysator erforderlich macht. Dieses funktioniert jedoch nur, wenn eine schwache, nicht unternehmenseigene Verschlüsselung verwendet wird, wo ein einfacher Passphrase- oder Pre-Shared Key (PSK) in den Protokolanalysator eingegeben werden kann.

Durch Zugriff auf den Verkehr zwischen Access Point und Switch oder WLC mithilfe des integrierten anhäufenden Inline-Kupfer- und -Glasfaseroptikabgriffs des OneTouch Analysators können Sie den Wi-Fi-Verkehr im freien Raum erfassen. Siehe Abbildung 42. Der OneTouch Analysator vermeidet die Komplexität sowie den Zeit- und Kostenaufwand für die Konfiguration von Switch-Spiegelports oder die Installation von Standalone-TAPs. Hardware-Filter für die Anschlussgeschwindigkeit erlauben es Ihnen, eine Station nach MAC- oder IP-Adresse, eine Anwendung wie HTTP nach Port oder eine Benutzergruppe nach VLAN auszusondern. Exportieren Sie die Capturedatei über Management-Port oder SD-Karte zu Dekodierungs- und Analysezwecken in Ihren bevorzugten Protokoll-Analyzer (wie den NETSCOUT ClearSight™ Analyzer).

Abbildung 42

Bei Installation inline im AP bietet der OneTouch Analysator Echtzeitmessungen von Spannung, Strom und Leistung des Power over Ethernet (PoE), sodass Sie die Leistungsaufnahme in verschiedenen AP-Konfigurationen mengenmäßig bestimmen können.

Fazit

BYOD ist ein dauerhaftes Phänomen. Die meisten Organisationen erlauben inzwischen den Zugriff auf das Unternehmensnetzwerk per Smartphone, Tablet und anderen Smart-Geräten, die für den persönlichen und Geschäftsgebrauch durch Verbraucher ausgelegt sind und von ihnen gekauft werden. Mit der sprungmäßigen Zunahme der Geräte einher kommt ein steigender Kampf um den Luftraum, eine höhere Netzwerkbelastung, kompliziertere Richtlinien und Bereitstellungen, unerwünschte Geräte und Benutzerbeanstandungen. Der NETSCOUT OneTouch AT Network Analyzer ist ein einzigartiges Produkt für das BYOD-Management. Seine Kombination von LAN- und Wi-Fi-Funktionen lassen sich von Ihrem Schreibtisch aus, unterwegs, oder remote einsetzen und ermöglichen es Ihnen so, Probleme im Zusammenhang mit BYOD und der IT-Konsumerisierung schnell zu inventarisieren, zu quantifizieren und zu beheben.

Weitere Informationen zu den BYOD-Lösungen von NETSCOUT finden Sie unter www.enterprise.netscout.com/BYOD

 
 
Powered By OneLink