Dedicated Air Monitors? You Decide

最近着手研究Aruba无线技术 仍是官方的英文文档给力

Aruba的客户常常会问？
我须要部署Aruba 的Air monitor吗？或者仅仅只部署一个AP？

咱们的回答是：
Aruba AP可拥有双倍性能的Air monitor，即 Air monitor能 提供了额外的性能和保护特性。

一台Aruba能够被配置为一台瘦AP以提供802.11a/b/g的无线接入用户。被看成一台Air monitor 一般扫描射频频谱，或者作为一台同时具有AP和Air monitor功能的设备（具有扫描功能的AP）。

任一Aruba 被动态的配置为Air monitor模式，如Aruba 70系列的双无线电AP能够一个无线电工做在AP模式，为客户端提供服务，另一个无线电能够工做在Air monitor模式。一台Air monitor会进入”只听“模式，并在其频段内，不间断的去扫描全部信道。

一台AP能在它配置的通道里自动的提供监测。例如，一台AP在channel 1为客户端提供服务，那么他就能在channel 1里提供无安全的监测服务。若是被设置为为运行off-channel 扫描，AP将在频段内花费比较简短的时间间隔去扫描其余的信道。扫描的间隔越短，客户端性能受到的影响越小。

在off-channel模式下的扫描，一些性能影响是不可避免的。最近许多厂商的实验测试发现，当使用scannning AP为客户端服务或off-channel监测，会花费大量的去off-channel可能吞吐量会降低到16%。

真的须要一台专用的Air monitor？虽然Aruba给了用户这样一个选择，咱们强烈推荐他们使用。如下一些观点详细的说明了使用专用的monitor设备的好处：

安全方面：
专用的Air monitor 经过扫描APs 承担了大量的与安全相关的加强功能多重任务。
恶意 APs：
恶意AP是未经管理员许可和受权的AP，一般状况下，一些并不是恶意的员工未能意识到恶意AP链接到网络所形成的安全风险。经过如下功能能快速的响应加强的安全监控：
1.检测
一台专用的Air monitor能在数秒内识别恶意的AP，数分钟内发现恶意AP在不一样信道间的恶意操做。不然他将永远不能发现全部的流氓行为。由于AP监控那个channel时，在短暂的时间内少许的使用恶意AP是不会产生流量的。
2.分类
恶意的AP区分是取决于看他有没有能力接入到有线网络中去，而且看他连到哪里了。Aruba发明了一个算法，就是在网络范围内进行数据抽样，Aruba正在申请自动分类算法的专利。AP或者Air monitor在一个channel上对数据抽样所花费的时间越长，分类算法的结果将越精确，其所呈现的结果将具准确性和及时性。扫描为客户端提供服务的AP也能类别出恶意AP，因为他们要为客户端付出时间，所以他们会变得很慢。
3.遏制
一旦恶意AP已经发现并标识出来后，Aruba能快速的禁用它使用较低的带宽的有线和无线拒绝服务***。要实施无线DoS***，发出的设备必须与恶意AP 处于同一channel上来实行遏制行动。若是恶意AP在不一样的channel上，经过off-channel来对恶意AP实行遏制，会比本地遏制所产生 的吞吐量产生的影响要多一些。


Ad - hoc 网络监测和遏制
Ad-hoc网络监测和遏制与恶意AP遏制和监测是相关联的。Aruba是第一家能自动检测，分类和禁用Ad-hoc的厂商。但是Ad-hoc一般产生比 恶意APs更少的流量，因为这种缘由，在短暂的时间间隔内，经过扫描AP来发现Ad-hoc网络的可能性将变得更低。经过专用的Air monitor，Ad-hoc网络将很快的被检测到并禁用掉。

Honey-pot AP侦测
在一个honey-pot***中，***者在无线网络范围内设置了一个AP（常常在建筑物外边），并开始冠以企业网络的ESSID。绝不知情的客户端设备关 联到***者的AP以后，并相信他们漫游到了一个有效的AP。而后***者直接从二层连入客户端的设备。开始大量的额外***，例如中间人***，ARP毒 害，DHCP/DNS劫持，网络蠕虫和病毒的注入。
为避免检测，一般使用很是用的信道，如在802.11b/g使用channel 2.专用的Air monitor能立刻检测出这些设备，识别出他们在使用一个预留的企业ESSID，并禁用跨越空气的DoS***的设备。Air monitor与***的AP保持在相同的channel上，以确保没有站点关联到它。一个扫描的AP能够为它服务的客户端执行一些动做，可是经验上会出现 两个严重的问题：①发现honey-pot会产生延误；②最终因为在off-channel上花费大量的时间而形成网络性能的下降。

无线网桥的检测
一般会用在互联的建筑物中，无线网桥是公司间谍最喜欢的工具。一般放置于会议室的桌子上或门廊的底下。网桥能悄悄的连入公司网络，因为他们是定向的信号且缺少信标，是很难被检测出来的。扫描AP去监测一个信道，是没法在短期内发现他们的，一个专用的Air monitor却能快速的发现它们。一旦它被定位后，IT人员能会很容易移除他们。

多样性的报告点
更多的数据源，产生更大的覆盖范围和精度。基础设施的AP没法监听到它，一个***的AP能被客户端设备发现。解决这种问题的最好方法是打量部署APs。在Aruba无线网络的设计中会详细介绍，并增长少许的高增益天线的Air monitor。

射频的管理和排错
远程抓包
数据包抓取或嗅探，启用网络管理来对网络进行排错。AP能在配置的channel上进行抓包，在另外的channel上执行此功能会影响客户端的流量。一台专用的Air monitor可以解决这些问题，由于它能在任一channel上进行抓包。

另外，一台AP可以抓取接收的数据，但转发的时候不能监听本身。若是在转发的电路上部分失败，数据包在抓取本身数据可能会致使错误。专用的Air monitor提供了一个"独立的第三方"网络流量视图，和客户端的角度视图而不是AP的视图。

统计监测
统计监测是另外一个有价值的统计监测工具。Aruba收集了丰富的RF环境统计信息，如干扰水平，设备数目，最高用量，帧重试速率，RSSI，设备的范围， 帧类型/大小分布。APs提供了本身的channels并给出了有限的事件发生和其它channel上的事件的视图。专用的Air monitor 用更长的驻留时间去扫描channel，并为每个channel提供了更多的图片形式。

报告点的多样性
例如安全监测，更多的数据资源提供了更大的准确性。一个干扰源能够被定位例如基础AP不能收听到它，可是客户端设备能够，密集部署监测设备提供发现问题的机会。

高可用性
容错
专用的Air monitor 担当一个冗余AP的角色提升了网络的可靠性。在AP失效的事件中，一台Air monitor经过设置来通告网络失效的事件，自动将本身转化为一台AP。几乎没有down的时间间隔，并告知网络管理员。

将来的潜力
专用的Air monitor提供了额外的特性：
按需超出的覆盖率。Air monitor，感知网络中的高流量，可以被设置来通告流量并将他们转换为APs为按需的超出覆盖率高需求的环境如一个大型的公司会议。
按需的室外无线接入。Air monitor被用来保护建筑物的边缘被转化为APs，并提供临时的覆盖率。
临时增加的覆盖率。Air monitor能被自动的转化为APs起到增加时的缓冲做用。