Dedicated Air Monitors? You Decide

最近着手研究Aruba无线技术 还是官方的英文文档给力

Aruba的客户经常会问？
我需要部署Aruba 的Air monitor吗？或者仅仅只部署一个AP？

我们的回答是：
Aruba AP可拥有双倍性能的Air monitor，即 Air monitor能 提供了额外的性能和保护特性。

一台Aruba可以被配置为一台瘦AP以提供802.11a/b/g的无线接入用户。被当作一台Air monitor 通常扫描射频频谱，或者做为一台同时具备AP和Air monitor功能的设备（具备扫描功能的AP）。

任一Aruba 被动态的配置为Air monitor模式，如Aruba 70系列的双无线电AP可以一个无线电工作在AP模式，为客户端提供服务，另外一个无线电可以工作在Air monitor模式。一台Air monitor会进入”只听“模式，并在其频段内，不间断的去扫描所有信道。

一台AP能在它配置的通道里自动的提供监测。例如，一台AP在channel 1为客户端提供服务，那么他就能在channel 1里提供无安全的监测服务。如果被设置为为运行off-channel 扫描，AP将在频段内花费比较简短的时间间隔去扫描其他的信道。扫描的间隔越短，客户端性能受到的影响越小。

在off-channel模式下的扫描，一些性能影响是不可避免的。最近许多厂商的实验测试发现，当使用scannning AP为客户端服务或off-channel监测，会花费大量的去off-channel可能吞吐量会下降到16%。

真的需要一台专用的Air monitor？虽然Aruba给了用户这样一个选择，我们强烈推荐他们使用。以下一些观点详细的说明了使用专用的monitor设备的好处：

安全方面：
专用的Air monitor 通过扫描APs 承担了大量的与安全相关的增强功能多重任务。
恶意 APs：
恶意AP是未经管理员许可和授权的AP，通常情况下，一些并非恶意的员工未能意识到恶意AP连接到网络所造成的安全风险。通过以下功能能快速的响应增强的安全监控：
1.检测
一台专用的Air monitor能在数秒内识别恶意的AP，数分钟内发现恶意AP在不同信道间的恶意操作。否则他将永远不能发现所有的流氓行为。因为AP监控那个channel时，在短暂的时间内少量的使用恶意AP是不会产生流量的。
2.分类
恶意的AP区分是取决于看他有没有能力接入到有线网络中去，并且看他连到哪里了。Aruba发明了一个算法，就是在网络范围内进行数据抽样，Aruba正在申请自动分类算法的专利。AP或者Air monitor在一个channel上对数据抽样所花费的时间越长，分类算法的结果将越精确，其所呈现的结果将具准确性和及时性。扫描为客户端提供服务的AP也能类别出恶意AP，由于他们要为客户端付出时间，因此他们会变得很慢。
3.遏制
一旦恶意AP已经发现并标识出来后，Aruba能快速的禁用它使用较低的带宽的有线和无线拒绝服务攻击。要实施无线DoS攻击，发出的设备必须与恶意AP 处于同一channel上来实行遏制行动。如果恶意AP在不同的channel上，通过off-channel来对恶意AP实行遏制，会比本地遏制所产生 的吞吐量产生的影响要多一些。


Ad - hoc 网络监测和遏制
Ad-hoc网络监测和遏制与恶意AP遏制和监测是相关联的。Aruba是第一家能自动检测，分类和禁用Ad-hoc的厂商。可是Ad-hoc通常产生比 恶意APs更少的流量，由于这种原因，在短暂的时间间隔内，通过扫描AP来发现Ad-hoc网络的可能性将变得更低。通过专用的Air monitor，Ad-hoc网络将很快的被检测到并禁用掉。

Honey-pot AP侦测
在一个honey-pot攻击中，入侵者在无线网络范围内设置了一个AP（经常在建筑物外边），并开始冠以企业网络的ESSID。毫不知情的客户端设备关 联到入侵者的AP之后，并相信他们漫游到了一个有效的AP。然后攻击者直接从二层连入客户端的设备。开始大量的额外攻击，例如中间人攻击，ARP毒 害，DHCP/DNS劫持，网络蠕虫和病毒的注入。
为避免检测，通常使用非常用的信道，如在802.11b/g使用channel 2.专用的Air monitor能马上检测出这些设备，识别出他们在使用一个预留的企业ESSID，并禁用跨越空气的DoS攻击的设备。Air monitor与入侵的AP保持在相同的channel上，以确保没有站点关联到它。一个扫描的AP可以为它服务的客户端执行一些动作，但是经验上会出现 两个严重的问题：①发现honey-pot会产生延误；②最终由于在off-channel上花费大量的时间而造成网络性能的降低。

无线网桥的检测
通常会用在互联的建筑物中，无线网桥是公司间谍最喜欢的工具。通常放置于会议室的桌子上或门廊的底下。网桥能悄悄的连入公司网络，由于他们是定向的信号且缺乏信标，是很难被检测出来的。扫描AP去监测一个信道，是无法在短时间内发现他们的，一个专用的Air monitor却能快速的发现它们。一旦它被定位后，IT人员能会很容易移除他们。

多样性的报告点
更多的数据源，产生更大的覆盖范围和精度。基础设施的AP无法监听到它，一个攻击的AP能被客户端设备发现。解决这种问题的最好方法是打量部署APs。在Aruba无线网络的设计中会详细介绍，并增加少量的高增益天线的Air monitor。

射频的管理和排错
远程抓包
数据包抓取或嗅探，启用网络管理来对网络进行排错。AP能在配置的channel上进行抓包，在另外的channel上执行此功能会影响客户端的流量。一台专用的Air monitor能够解决这些问题，因为它能在任一channel上进行抓包。

另外，一台AP能够抓取接收的数据，但转发的时候不能监听自己。如果在转发的电路上部分失败，数据包在抓取自己数据可能会导致错误。专用的Air monitor提供了一个"独立的第三方"网络流量视图，和客户端的角度视图而不是AP的视图。

统计监测
统计监测是另一个有价值的统计监测工具。Aruba收集了丰富的RF环境统计信息，如干扰水平，设备数目，最高用量，帧重试速率，RSSI，设备的范围， 帧类型/大小分布。APs提供了自己的channels并给出了有限的事件发生和其它channel上的事件的视图。专用的Air monitor 用更长的驻留时间去扫描channel，并为每一个channel提供了更多的图片形式。

报告点的多样性
例如安全监测，更多的数据资源提供了更大的准确性。一个干扰源可以被定位例如基础AP不能收听到它，但是客户端设备可以，密集部署监测设备提供发现问题的机会。

高可用性
容错
专用的Air monitor 担当一个冗余AP的角色提高了网络的可靠性。在AP失效的事件中，一台Air monitor通过设置来通告网络失效的事件，自动将自己转化为一台AP。几乎没有down的时间间隔，并告知网络管理员。

未来的潜力
专用的Air monitor提供了额外的特性：
按需超出的覆盖率。Air monitor，感知网络中的高流量，能够被设置来通告流量并将他们转换为APs为按需的超出覆盖率高需求的环境如一个大型的公司会议。
按需的室外无线接入。Air monitor被用来保护建筑物的边缘被转化为APs，并提供临时的覆盖率。
临时增长的覆盖率。Air monitor能被自动的转化为APs起到增长时的缓冲作用。