Note d'application : gestion du « Bring You Own Device » (apporter son propre terminal sur le lieu de travail) et la consumérisation de l'informatique | enterprise.netscout.com

Note d'application : gestion du « Bring You Own Device » (apporter son propre terminal sur le lieu de travail) et la consumérisation de l'informatique

Manuel de l'application de l'assistant réseau OneTouch AT

Introduction

La consumérisation de l'informatique est une réalité qui s'impose de plus en plus rapidement dans de nombreux services informatiques d'entreprise (si ce n'est tous). La prolifération des tablettes et autres périphériques intelligents s'est considérablement accrue ces dernières années et l'utilisation de ces produits de « classe consommateur » sur les réseaux d'entreprise est quasi-omniprésente. Une étude récente a ainsi révélé que 90 % des organisations sondées autorisaient leurs employés à utiliser dans une certaine mesure leurs propres dispositifs technologiques ; un phénomène connu sous le nom de « Bring You Own Device » (apporter son propre terminal sur le lieu de travail). Après la vague des téléphones et des tablettes comme clients, ce sont désormais des passerelles, des routeurs, des points d'accès et des commutateurs résidentiels facilement disponibles et bon marché qui peuvent s'introduire dans l'entreprise. Sûrs de leurs compétences nouvellement acquises dans la mise en réseau domestique, les employés se sentent plus audacieux que jamais, provoquant ainsi une entropie du réseau.

L'afflux des clients mobiles et des équipements de réseau a poussé de nombreux spécialistes des IT à chercher les meilleurs moyens de détecter, inventorier, procéder à des audits, localiser et contrôler la pléthore de nouveaux dispositifs. Dans une étude récente, 62 % des répondants ont rapporté que leur société ne disposait pas des outils nécessaires pour prendre en charge les dispositifs personnels des employés, indépendamment du fait que des politiques aient été mises en place. Les craintes et les soucis abondent. Gérer l'incidence des dispositifs personnels, protéger les données et les propriétés intellectuelles de l'entreprise, et procéder à des audits pour assurer la conformité du système est problématique pour la plupart des services informatiques.

L’assistant réseau OneTouch™ AT de NETSCOUT dispose d’une série de fonctionnalités qui fournissent la visibilité et le contrôle nécessaires pour faire face à l’explosion du BYOD et pour réduire les risques et les coûts d’exploitation liés à la fourniture d’une infrastructure filaire et sans fil sécurisée, de haute performance, systématique et fiable. OneTouch est doté d'une combinaison unique de fonctionnalités d'analyse filaires et sans fil dans un boitier robuste et compact aussi mobile que les dispositifs qu'il gère. Cette note d'application explore l'application pratique de l'assistant réseau OneTouch AT de NETSCOUT pour une série de problèmes de BYOD courants auxquels doivent faire face les services informatiques tels que :

  • Comment inventorier l'état de votre réseau Wi-Fi actuel
  • Comment analyser les plaintes des utilisateurs concernant la performance et la connectivité
  • Comment identifier les clients, les PA et les autres dispositifs de réseau indésirables
  • Comment auditer les permissions de réseau
  • Comment mesurer la performance du Wi-Fi
  • Comment tester la couverture des transferts cellulaires
OneTouch AT Wi-FI
 
Analyse Wi-Fi

Figure 1

Comment dois-je interpréter l'inventaire des dispositifs Wi-Fi ?

La plupart des réseaux Wi-Fi dans l'entreprise connaissent une explosion de leur utilisation du fait que les réseaux qui auparavant prenaient en charge uniquement les ordinateurs portables doivent désormais prendre en charge une véritable vague de différents téléphones et tablettes. En plus de la croissance du nombre total de dispositifs, l'appétit pour le haut débit peut également perturber la performance des applications critiques de l'entreprise. La clé pour traiter le phénomène de BYOD consiste simplement à comprendre dans quelle mesure il est systémique. Vous devez inventorier les dispositifs, voir à quels réseaux et points d'accès ils se connectent, et découvrir si le système est sain ou pas.

Le OneTouch découvre automatiquement et classe le Wi-Fi par catégories sous quatre onglets : Réseau, PA, Client et Canal. Triez par propriétés pour obtenir plusieurs affichages du réseau sans fil. Par exemple, triez par intensité du signal pour résoudre les problèmes de couverture Wi-Fi. Triez par l'utilisation pour identifier les problèmes liés à l'utilisation du canal, du client ou du PA. Triez par état d'autorisation pour détecter les violations de sécurité potentielles. Triez par fabricant MAC pour détecter les dispositifs Wi-Fi par type et comprendre comment ils sont connectés par rapport au SSID, au PA et au canal.

L'onglet Client affiche tous les dispositifs sans fil qu'observe OneTouch sur tous les canaux. Ici il est possible d'effectuer un audit de la conformité aux politiques formelles utilisées par les services IT pour la prise en charge du BYOD. Les dispositifs Android sont typiquement représentés par les codes constructeur de Samsung, de HTC et de Motorola, et Blackberry est représenté par RIM. La Figure 1 est un exemple. Nous pouvons rapidement identifier des cas isolés tels que le dispositif d'Apple sur le canal 161, un canal de 5 GHz, et un dispositif différent d'Apple sondant pour ses SSID connus mais non connecté au réseau.

En tapant sur n'importe lequel des dispositifs, la vue s'élargit pour afficher des informations détaillées sur le réseau, le SSID, le canal et la sécurité utilisés par le dispositif, et commence à donner des tendances complètes des indicateurs principaux de dispositif. Voir figure 2. Ces boutons de filtre fournissent une analyse plus approfondie de tous les réseaux, les points d'accès et les canaux utilisés du client.

 

Figure 2

Quand vous approchez votre analyse Wi-Fi du domaine le plus approprié (SSID, PA, client ou canal), le tri et le filtrage sont des outils souples pour mieux comprendre l'inventaire. En tapant sur le bouton OneTouch AT dans le coin supérieur droit vous pouvez effectuer une capture d'écran (prendre une copie d'écran) ou créer un rapport détaillé en PDF pour documenter votre inventaire de BYOD.

Le OneTouch est indifférent au constructeur Wi-Fi et peut être utilisé à votre bureau, en marchant dans un couloir, ou laissé sur site une exécution à distance.


Comment puis-je identifier les réseaux indésirables ?

Les points d'accès et les points névralgiques mobiles bon marché peuvent faire courir un risque aux performances et à la sécurité du réseau d'entreprise. Un point d'accèss mobile peut être utilisé pour permettre une connexion à Internet sans utiliser le LAN/WAN de l'entreprise. Tandis que le point névralgique portatif est relayé par le réseau cellulaire, il partage toujours l'air avec le réseau Wi-Fi d'entreprise. Ceci peut mener à l'encombrement du canal ou à une interférence du co-canal.

Bien plus problématique que le point névralgique 3G portatif est l'employé qui apporte un PA ou une passerelle résidentiels pour créer un réseau WI-Fi personnel pour leurs tablettes et téléphones en branchant la passerelle au réseau d'entreprise. Ceci a pour conséquence non seulement un encombrement de l'air, mais aussi l'accès Wi-Fi non autorisé au LAN de l'entreprise.

Figure 3

Le OneTouch exécute une analyse du Wi-Fi en balayant constamment l'air, canal par le canal, caractérisant les SSID, les PA, les clients et l'utilisation de canal. L'analyse est présentée dans quatre onglets, avec la capacité de trier l'analyse de nombreuses façons différentes. Exemples : pour détecter des réseaux Wi-Fi indésirables potentiels, choisissez l'onglet Réseaux et les triez-les par Le moins de points d'accès. Voir figure 3. Cela fournit un moyen rapide d'identifier les réseaux uniques qui ont un SSID unique pris en charge par uniquement un simple PA. Les indications supplémentaires d'un réseau indésirable sont des réseaux ouverts, comme indiqué par l'icône rouge du verrou ouvert.

La sélection de n'importe quel SSID élargit les détails du réseau. Voir figure 4. Les réseaux Wi-Fi normaux d'entreprise fournissent leur couverture et leur capacité en utilisant plusieurs points d'accès soigneusement placés et assignés aux canaux non-recouverts. Le nombre de PA, de canaux, et le client prenant en charge le SSID sont affichés sur les boutons de filtre sur le côté droit de l'affichage, et en tapant sur un bouton il est possible d'afficher uniquement ces dispositifs.

Le SSID « cody-dlink » a seulement un seul point d'accès, qui est connecté à un seul hôte et utilise un canal. Voir figure 5. Ce n'est pas représentatif d'un réseau d'entreprise normal, et peut indiquer un PA indésirable. Le tri est un outil puissant pour identifier des réseaux, des points d'accès, des clients et des canaux isolés.

Figure 4

Figure 5


Que faire si un point d'accès indésirable utilise le SSID de l'entreprise ?

Figure 6

Que se passe-t-il si un employé paramètre le SSID de son dispositif pour correspondre à un SSID de l'entreprise pour essayer de masquer leur réseau privé ? En commençant sur l'onglet Réseau et en élargissant un SSID d'entreprise sanctionné tel que « Invité autorisé », nous pouvons immédiatement voir qu'il est pris en charge par 4 PA. Voir la figure 6. La sélection du bouton PA déclenche la vue filtrée puissante. Les onglets vous permettent de choisir un point de départ d'analyse basé sur les SSID, le PA, le client ou les canaux, et les trois boutons de filtre vous permettent d'affiner simplement votre recherche.

Lors du filtrage, la barre de titre passe de l'analyse du Wi-Fi au critère de filtre d'accès, dans le cas présent, Invité autorisé. Voir figure 7. Nous voyons immédiatement que le SSID est pris en charge par trois PA Cisco mais également un dispositif Linksys, ce qui veut dire qu'il ne fait peut-être pas partie du réseau de l'entreprise.

Vous pouvez utiliser le OneTouch pour identifier proactivement le dispositif indésirable et les autres qui sont nouveaux pour le réseau. Vous pouvez marquer les PA connus dans votre installation, ainsi que les PA voisins. Des PA d'entreprise connus et attendus peuvent être marqués comme Autorisés. Voir figure 8. Les PA hors du site mais connus peuvent être marqués comme Voisins. L'inscription des PA est enregistrée par le OneTouch. Une fois que les PA attendus sont étiquetés, le tri par Mode d'autorisation identifie rapidement les points d'accès inconnus tels que le Linksys dans l'écran Invité autorisé affiché sur la figure 8.

Figure 7

Figure 8


Puis-je localiser un point d'accès, un point actif ou un périphérique ad-hoc responsable ?

Une fois qu'un PA indésirable ou un point d'accès mobile est identifié, le OneTouch fournit plusieurs moyens de localiser le dispositif. En utilisant l'antenne directrice externe (voir la figure 9) et la fonctionnalité Localiser (voir la figure 10), le site physique de n'importe quel dispositif sans fil, du PA ou du client, peuvent être rapidement trouvés.

Figure 9

Figure 10

Figure 11

 

Dans le cas d'un PA indésirable branché au réseau câblé, vous pourrez localiser le logement et le port du commutateur auquel il est connecté en utilisant l'analyse de réseau câblé de OneTouch. Le dispositif et l'utilisateur peuvent être déconnectés du réseau via le tableau de connexions ou en désactivant le port du commutateur.

Pour trouver un dispositif d'analyse Wi-Fi dans l'analyse de réseau câblé, triez l'analyse de réseau câblé par adresse MAC et recherchez l'adresse MAC sans fil. Voir figure 11. Notez que dans certains cas des adresses MAC adjacentes sont employées par des dispositifs à interfaces multiples. Dans le cas présent un dispositif D-Link à une adresse MAC adjacente est joint au logement 2/port 44 de COS_DEV_SW1 utilisant l'adresse IP 10.250.1.176 sur le VLAN 500.


Que faire si un point d'accès indésirable ne diffuse pas son identifiant SSID ?

Que se passe-t-il si un employé configure son PA de manière à ne pas diffuser son SSID afin d'essayer de naviguer de manière invisible sur le réseau de l'entreprise ? En identifiant les réseaux non-diffusés, OneTouch vous aide à gérer votre utilisation du réseau et à limiter les problèmes de sécurité.

Figure 12

OneTouch écoute activement les réseaux non-diffusés et signale le SSID comme étant [Caché] dans la liste de réseaux découverts. Voir figure 12. Choisir les boutons de filtre de PA pour identifier le PA utilisant ce réseau non-diffusé. En utilisant les outils vous pouvez marquer un PA non autorisé pour une identification proactive ou localiser le PA contrevenant.

Si vous connaissez le SSID du réseau caché, OneTouch envoie une demande active de détection qui inclut les SSID spécifiques à un PA pour résoudre les SSID non-diffusés. OneTouch sonde tous les SSID configurés dans tous ses profils sur l'instrument et se renseigne passivement sur les SSID non-diffusés qui sont utilisés sur le réseau 802.11 depuis les paquets. Ces SSID non-diffusés résolus seront signalés entre crochets comme [BlackHole]. Voir figure 13.

Figure 13

Est-ce que quelqu'un a installé un réseau ad-hoc ?

Que se passe-t-il si un petit groupe d'employés ont configuré leurs ordinateurs portables pour qu'ils fonctionnent en mode ad-hoc pour le jeu ? Bien que les réseaux ad-hoc puissent se justifier dans un environnement d'entreprise, ils sont plus souvent à l'encontre des politiques des services informatiques et peuvent poser un risque pour la sécurité s'ils sont configurés en tant que réseau ouvert non sécurisé et les données de l'entreprise seront compromises. Les réseaux ad-hoc peuvent également influer sur la performance du réseau s'ils utilisent le même canal que le PA d'entreprise.

Trier par Type de réseau porte les réseaux ad-hoc découverts au sommet de la liste. Voir figure 14. Vous pouvez immédiatement voir le nom du réseau ad hoc (Montana) qui est utilisé et cela, que le réseau soit sécurisé ou pas. Élargir le réseau pour obtenir plus d'informations sur ce dernier. Utiliser le filtre de client pour identifier et localiser les dispositifs qui comprennent le réseau.

Figure 14


Y a-t-il des clients inattendus sur mon SSID d'entreprise ?

La seule manière pour le personnel informatique de garder le contrôle face à la prolifération des appareils mobiles est de diviser les dispositifs d'informatique mobile en trois classes d'appareils distinctes : les appareils standard de confiance fournis par la société, les dispositifs tolérés et les dispositifs non pris en charge. S'assurer que les SSID à accès complet, d'entreprise ont uniquement des PA et des Clients attendus constitue une bonne pratique. À partir de l'onglet Réseau nous avons choisi notre SSID d'entreprise. Voir figure 15. Les icônes PA sur la barre indicatrice de la force indiquent que le SSID a une bonne couverture sur 4 PA sur 4 différents canaux et fait fonctionner la sécurité d'entreprise. Pour vérifier les clients sur le SSID choisi, tapez simplement sur le bouton de filtre Client pour voir les clients.

La barre de titre indique le SSID filtré. Voir figure 16. Pour nous rendre la liste des 37 clients plus facile à lire, nous trions la liste selon l'adresse MAC du fabricant. Cela regroupe les dispositifs courants. La liste indique qu'il existe 36 ordinateurs portables d'entreprise avec des adresses MAC Intel liées au SSID, mais un dispositif Apple est parvenu d'une façon ou d'une autre à s'associer au réseau de l'entreprise. Ce dispositif peut être autorisé ou pas, selon la politique de l'entreprise. S'il n'est pas autorisé, le dispositif peut être localisé en utilisant l'antenne directionnelle sans fil ou peut-être en trouvant l'adresse MAC du dispositif dans l'analyse filaire tel que décrit précédemment.

Figure 15
Figure 16

Pourquoi la performance est-elle mauvaise dans cette zone ?

Figure 17

Un des écueils de la prise en charge du BYOD est qu'il peut être difficile de maintenir l'accès au Wi-Fi de l'entreprise critique à sa mission en présence des dispositifs personnels. Le champ d'action congestionné et les modes d'utilisation du haut débit tels que le streaming vidéo peuvent entraver les transmissions critiques à la mission. Que se produit-il quand un responsable se plaint de problèmes de performance des appels en VoIP depuis une salle de réunion ?

Dans ce cas, la portabilité du OneTouch, associée à l'analyse Wi-Fi, n'a pas d'égal. Dirigez-vous vers la zone du problème et utilisez l'onglet Client d'analyse du Wi-Fi pour identifier le client problématique. Sinon, vous pouvez également utiliser l'onglet Réseau et le filtre Client pour affiner la recherche. Dans la figure 17, nous voyons que le niveau du signal est élevé. Notez également qu'un niveau de signal régulier est indicatif d'un client qui ne se déplace pas. Le niveau de bruit est bas, indiquant que l'air est généralement sain et vide de sources d'interférence non-802.11. Toutefois la cadence de relance est haute, comme l'indique l'évaluation de couleur jaune. En outre, les cadences de Rx et de Tx sont assez variables.

Figure 18

La sélection du bouton de filtre de canal nous reporte au canal 4, (voir la figure 18) où nous voyons une utilisation élevée 802.11 indiquée par la barre jaune. Pour déterminer la source de l'utilisation, nous allons filtrer les PA.

Figure 19

En filtrant les PA du canal 4 (voir la figure 19), nous voyons trois PA. Deux d'entre eux sont nos PA d'entreprise, qui sont fortement chargés avec 38 clients. Mais nous voyons également un PA de LinkSys fort et proche avec 2 clients. Il partage inopinément notre canal. Utilisez les techniques de localisation présentées précédemment pour localiser le PA.

Comment puis-je vérifier que la qualité de service de mon Wi-Fi fonctionne correctement ?

Figure 20

Avec l'afflux des dispositifs personnels d'utilisateur, il est critique de vérifier la performance du Wi-Fi et le classement par ordre de priorité du trafic de production avant le meilleur trafic possible de données d'utilisateur. La qualité du service (QoS) permet aux points d'accès Wi-Fi et aux commutateurs de définir la priorité du trafic. Sans QoS, toutes les applications fonctionnant sur différents dispositifs ont une chance égale de transmettre des trames de données. Les standards de l'industrie tels que 802.11e et WME (extensions sans fil de multimédia) donnent la priorité au trafic de différents dispositifs et applications pour étendre une expérience utilisateur de qualité au trafic critique à la mission telle que la voix, dans une large variété de conditions environnementales et de trafic. La formation du trafic de QoS peut être obtenue en utilisant divers mécanismes tels que des SSID, des ports, ou DSCP.

La fonctionnalité Veri-Fi™ de OneTouch permet la vérification rapide et déterministe de la performance filaire/Wi-Fi en diffusant des données en continu entre les interfaces filaires et sans fil de OneTouch. Voir figure 20. Veri-Fi peut être utilisé de diverses façons :

  • Pour mesurer les performances ascendantes et descendantes de la liaison Wi-Fi
  • Pour produire de grandes quantités de trafic de fond afin de vérifier que la qualité du service critique n'est pas affectée quand le PA est chargé.
  • Pour vérifier que la QoS n'est pas affectée par le trafic optimal.

Dans cet exemple nous allons effectuer un test pour voir si le trafic VoWi-Fi utilisant la valeur de DSCP d'expédition (E-F) de 46 est correctement approvisionné. Voir figure 21. En outre, nous vérifierons que la QoS fonctionne à la fois sur IPv4 et IPv6. Nous choisissons une taille de trame représentative RTP de VoIP de 128 octets et spécifions un débit de données symétrique de 1Mbps en amont (Wi-Fi →Filaire) et en aval (Filaire→Wi-Fi) pour se rapprocher de 10 appels simultanés. Les résultats du test (affichés sous la forme de cadence de perte de trame) sont au-dessous de la limite de réussite/échec de 1 %, et donc le test est passé avec succès. Voir figure 22. Le trafic de fond peut être généré en utilisant des dispositifs personnels ou un deuxième OneTouch.

Figure 21
Figure 22
 

Figure 23


Comment puis-je en dire davantage au sujet du dispositif Wi-Fi ?

L'analyse Wi-Fi nous donne un point de vue sans précédent sur les réseaux sans fil, les points d'accès, les clients et les canaux. Dans le cas des clients (figure 23) nous pouvons voir l'information suivante :

  • Adresse MAC
  • SSID (Réseau)
  • PA
  • Sécurité
  • Type de radio (a/b/g/n)
  • Canal et bande
  • Lors de la dernière consultation
  • Tendances à une minute des indicateurs clés

Nous pouvons également filtrer facilement le réseau, le PA et le canal associés. Cependant puisque tout ce qui est au-dessus de la source et de l'adresse MAC de destination est crypté, y compris les adresses IP de 3 couches, il est souvent souhaitable d'en apprendre davantage au sujet du dispositif par l'analyse de réseau câblé.

 

Figure 24

Dans de nombreux cas, l'analyse de réseau câblé par OneTouch peut découvrir l'adresse IP, le VLAN et même le nom assignés au dispositif par la découverte et l'interrogation du contrôleur de LAN sans fil. Un dispositif sans fil peut être trouvé en triant l'analyse de réseau câblé par adresse MAC et en l'appariant à l'adresse MAC Wi-Fi. Dans la figure 24, nous voyons que le dispositif Apple avec l'adresse MAC de 40a6d9-b46809 est visible sur le réseau filaire avec une adresse IP de 10.250.0.135 sur le VLAN 500. Les informations sur le VLAN sont utiles pour vérifier que le dispositif fonctionne sur le VLAN approprié par rapport à son niveau d'autorisation ou son groupe d'utilisateurs. Vous pouvez utiliser l'analyse de réseau câblé de OneTouch pour balayer le dispositif câblé pour les ports ouverts afin d'en apprendre davantage au sujet du dispositif ; dans le cas présent, le port TCP iphone-syn 62078 est ouvert.

 
Comment puis-je vérifier l'accès approprié pour mes divers SSID ?

Habituellement les entreprises implémentent des zones d'accès au réseau pour limiter la connectivité des dispositifs mobiles possédés personnellement en utilisant des SSID multiples qui contrôlent à leur tour l'accès au réseau.

Figure 25

Permission Accès SSID
Accès complet Internet et toutes les ressources de l'entreprise AcmeCorp
Accès partiel Internet et certaines ressources de l'entreprise AcmeContractor
Internet uniquement Internet uniquement AcmeGuest
Le BYOD nécessite des politiques et de l'approvisionnement afin de contrôler à quelles ressources d'entreprise les clients ont le droit d'accéder. Les SSID sont souvent segmentés en utilisant un adressage d'IP unique et les VLAN de câble pour contrôler l'accès.

Les profils OneTouch sont des configurations désignées qui peuvent être utilisées de diverses façons pour rationaliser l'utilisation. L'utilisation des profils permet à une organisation de créer des procédures de test standard qui encapsulent les opérations attendues du réseau depuis n'importe quel SSID.

Dans la figure 25, nous voyons un profil appelé Accès fournisseur qui teste la connectivité à la fois aux services permis et rejetés. Les échelons sont renommés pour grouper le test sous permis et rejetés.

L'utilisation des profils pour créer des audits standard dans une organisation permet d'avoir une procédure de test cohérente et complète tout en donnant la possibilité au personnel moins compétent de réaliser des tests et des audits de réseau sophistiqués n'importe où dans l'entreprise.

Le déchargement de mon Wi-Fi fonctionne-t-il ?

Figure 26

La capacité d'itinérer sans interruption au sein d'une entreprise est fondamentale pour les utilisateurs BYOD d'aujourd'hui. Le transfert des offres cellulaires sur le Wi-Fi offre de nombreux avantages parmi lesquels :

  • Des frais de données moins élevés
  • Des connexions plus rapides
  • Une réduction de la consommation de la batterie
  • Une expérience de l'utilisateur final améliorée

Mais comment vous assurez-vous que votre couverture Wi-Fi est suffisante pour éviter les emballements (sauts constants de canaux) entre les radios ?

Une fois connecté à un SSID, le OneTouch suit la couverture d'une zone de PA à une autre. Le OneTouch enregistre les détails de chaque itinérance lorsque vous circulez dans votre installation. Vous pouvez utiliser les commandes de navigation dans les résultats d'itinérance pour visualiser les détails de chaque PA associé. Voir la figure 26. Pour chaque PA, les valeurs minimum et maximum pour le signal, le bruit, les relances et l'utilisation fournissent un aperçu de la plage de fonctionnement de la zone du PA.

Figure 27

Tapez sur l'onglet LOG pour visualiser les détails horodatés de chaque connexion, authentification et association. Voir figure 27.
 

Figure 28

En utilisant l'outil du ping (ICMP) pendant l'itinérance, nous pouvons également trouver les angles morts de la couverture qui pourraient avoir comme conséquence un surchargement 3G. En visant un répondeur interne de ping, inaccessible par le cellulaire, nous nous assurons que nous perdons les données lorsqu'il n'y a pas de connexion au Wi-Fi. En mode continu de ping avec un délai d'une seconde ; le nombre de paquets perdus de ping est égal au nombre de secondes sans Wi-Fi. Voir figure 28. Dans le cas présent, le Wi-Fi a été perdu pendant 6 secondes sur les 228 secondes d'itinérance. Ce test peut également être effectué à l'aide du test Connect (TCP) pour exécuter un port de TCP ouvert sur la cible choisie pour déterminer l'accessibilité du port de l'application. Le test de couverture le plus complet peut être réalisé à l'aide d'AirMagnet Survey et AirMapper.


Comment puis-je m'authentifier au moyen de mon identifiant SSID d'invité ?

Figure 29

Lorsqu'on se connecte aux réseaux d'invité et d'hospitalité Wi-Fi, il est habituel d'avoir à s'authentifier ou à accepter les conditions dans un portail captif. Le portail captif force un client HTTP sur un réseau à voir une page Web spéciale avant d'utiliser le réseau.

Le navigateur web intégré de OneTouch peut fonctionner via les ports de test de gestion, câblé ou Wi-Fi. Dans la figure 29, l'analyseur OneTouch utilise son port Wi-Fi pour accéder à une page Web et le navigateur est redirigé vers une page Web qui peut exiger une authentification et/ou un paiement, ou afficher simplement une politique d'utilisation acceptable et exigent l'acceptation de l'utilisateur. Une fois authentifié, l'adresse MAC du port de test Wi-Fi de OneTouch est habituellement caché, accordant 24 heures d'accès. Si un portail captif est utilisé sur l'interface de test câblé comme dans une chambre d'hôtel câblée, la même technique peut être employée pour authentifier l'interface câblée.

En plus de la navigation par les portails captifs, le navigateur intégré de OneTouch peut être employé pour approvisionner des éléments de réseau tels que les commutateurs et les contrôleurs sans fil de LAN. Voir figure 30.

L'analyseur OneTouch inclut également un SSH/Terminal intégré pour l'approvisionnement et les diagnostics de la ligne de commande. Voir figure 31.

Figure 30

Figure 31


Je suis ici mais pas mon problème. Que dois-je faire ?

Figure 32

Le Wi-Fi est un média très difficile. Outre les demandes dynamiques de haut débit, les clients viennent et vont, tout comme les sources d'interférence. Par exemple les mises à jour des systèmes d'exploitation, les mises à jour des applications populaires, la sauvegarde sur le nuage ou même une vidéo virale en BYOD peuvent tendre un réseau. Que se produit-il quand vous marchez à travers le campus afin de diagnostiquer un problème de client pour trouver uniquement que le problème n'existe pas à l'heure actuelle ?

En connectant l'analyseur OneTouch au réseau par l'intermédiaire de son port de gestion, vous pouvez laisser l'unité sur place et l'actionner à distance. Ceci vous permet de reprendre d'autres travaux et de contrôler périodiquement le Wi-Fi depuis votre bureau, ou quand le client appelle de nouveau.

Dirigez simplement votre navigateur web ou client VNC sur l'adresse IP du port de gestion et partez. Vous pouvez actionner le OneTouch depuis votre desktop, votre ordinateur portable, votre tablette ou votre téléphone en déplacement. Voir figure 32. L'interface utilisateur de l'analyseur OneTouch, avec ses grandes icônes tactiles, le rende très facile à utiliser même depuis un téléphone. Si vous voyez quelque chose d'étrange vous pouvez taper le bouton OneTouch AT en haut de l'écran pour sauvegarder un rapport ou pour capturer un écran afin de documenter le problème intermittent.

Figure 33

L'analyseur OneTouch est si souple que vous pouvez même brancher une webcam ordinaire sur le port USB pour effectuer une surveillance à distance. Par exemple, vous pouvez suivre le nombre de participants dans une salle de réunion, observer un écran ou un affichage, ou surveiller les LED sur une partie de l'équipement du réseau. Ceci vous permet non seulement de suivre le réseau mais aussi l'espace physique. Voir figure 33.

Est-ce un problème de connexion sans fil ou filaire ?
Le Wi-Fi présente un accès différent au réseau utilisant le RF pour la couche 1 et 802.11 pour la couche 2. Mais une fois que vous passez les points d'accès, vous dépendez de la même infrastructure de câble sous-jacente. Outre les techniques d'analyse de la Wi-Fi présentées jusqu'ici, l'analyseur OneTouch dispose d'une pléthore de fonctionnalités d'analyse câblée qui jouent également un rôle dans la gestion de BYOD. Les tris de l'analyse câblée de l'analyseur OneTouch fonctionnent pareillement à ceux dans l'analyse Wi-Fi. Le tri par problème fait remonter rapidement tous les problèmes de câblage découverts en haut de la liste. Voir figure 34. Il est possible d'obtenir plus d'informations en tapant sur n'importe quel dispositif.

Figure 34

Par exemple sur la figure 35, le contrôleur de LAN sans fil (WLC) a redémarré il y a 12 minutes et pourrait être responsable du/des dossier(s) de dépannage actuel(s). En utilisant le SNMP, l'analyseur OneTouch enregistre également la position géographique du dispositif et du propriétaire. Parmi les autres tris se trouvent l'adresse IPv4, l'adresse IPv6, l'adresse MAC, le nom du constructeur, le radiodiffuseur le plus actif, le domaine, et plus encore.

Figure 35

Le tri par VLAN (figure 36) permet de vérifier que les dispositifs de BYOD sont correctement confinés à leur VLAN désigné associé à leur SSID.

Figure 36

N'importe quel dispositif découvert peut être sondé davantage en utilisant le scanneur de port intégré. En outre, l'analyse de réseau câblé est utile pour identifier les principaux dispositifs Wi-Fi. Vous pouvez établir des profils d'AutoTest pour créer des tests standardisés qui déterminent rapidement la disponibilité de l'équipement du réseau critique et diagnostiquent son état.

Comment la performance de transaction de mon Wi-Fi est-elle par rapport à ma connexion filaire ?

Il est parfois difficile de savoir si le problème est le Wi-Fi ou le reste du réseau. L'analyseur OneTouch teste ainsi simultanément votre réseau filaire Ethernet et vos réseaux Wi-Fi, et en compare aisément les performances grâce à la visualisation en vis-à-vis des résultats de test. Cette comparaison s'étend au IPv6 une fois activé dans l'installation câblée de l'analyseur OneTouch.

Dans la figure 37, nous utilisons le test d'utilisateur de FTP pour mesurer le temps de réponse de l'utilisateur (EURT) d'un téléchargement d'un fichier d'un méga-octet. L'utilisation du FTP dépend de la performance sous-jacente du TCP, qui est également affichée dans les résultats de test. L'outil de FTP permet soit de télécharger (obtenir) ou de mettre en ligne (placer) un fichier.

Figure 37

 

Le temps total (EURT) est la somme des différents temps qui composent la transaction :

  • La consultation de DNS est la quantité de temps employée pour résoudre l'URL vers une adresse IP.
  • La connexion au TCP est le délai utilisé pour ouvrir le port sur le serveur.
  • Le début de données est le temps qu'il a fallu pour recevoir la trame de données du fichier FTP depuis le serveur.
  • Le transfert des données est le laps de temps qu'il a fallu pour transférer les données de fichier.

La comparaison côte à côte parfaitement synchronisée de la performance câblée et sans fil ajoutée au détail des éléments de la transaction est d'une valeur inestimable pour déterminer si votre Wi-Fi est la raison du congestionnement ou pas.

Si le temps total dépasse la durée limite que vous avez choisie, le test se traduira par un échec. Par conséquent, vous pouvez créer un profil AutoTest pour tester l'expérience de l'utilisateur final. Notez que selon l'emplacement du serveur FTP, la raison du congestionnement peut être la capacité du WAN, et dans ce cas, les durées de transfert des données sur câble et Wi-Fi devraient être semblables. Parmi les autres tests d'utilisateur utiles et comparatifs se trouvent le Web, la multidiffusion, et le RTSP pour l'abonnement visuel.


Comment puis-je identifier les hubs, commutateurs et routeurs de type BYOD ?

Figure 38

Les employés encouragés par leurs compétences nouvellement découvertes sur le réseautage domestique et l'équipement courant des réseaux constituent une nouvelle menace à part entière pour l'informatique. Si un employé décide qu'il veut un autre port câblé dans son espace de travail, il va peut-être brancher un commutateur consommateur non géré et bon marché disponible dans n'importe quelle grande surface. Ceci lui permettrait de brancher plus d'un dispositif Ethernet dans leur bureau.

En utilisant l'analyse câblée et en triant les hôtes par nom de commutateur/logement/port, il est possible d'arranger les dispositifs en fonction de leur connexion sur le commutateur d'entreprise géré. Habituellement, il y aura un dispositif hôte par port de commutateur et chaque logement/port se produit seulement une fois. Si un port de commutateur est utilisé par plus d'un dispositif, cela indique qu'un petit hub ou commutateur est peut-être fixé au commutateur de l'entreprise. Dans la figure 38, le commutateur cos_dev_sw3 a plusieurs dispositifs attachés au port 20. Une inspection plus poussée révèle que cet employé a non seulement branché un commutateur à sa prise murale, mais qu'il a en plus utilisé les ports supplémentaires pour brancher un ordinateur Raspberry Pi Linux de la taille d'une carte de crédit à l'aide de l'adresse MAC Rspbry : 9977393. Bien que l'employé n'ait peut-être jamais rien voulu faire d'autre qu'un peu de programmation pendant la pause déjeuner, ce dispositif pourrait sans le savoir compromettre le réseau de l'entreprise.

Une situation plus nuisible peut se produire lorsqu'un employé branche une passerelle résidentielle sur le réseau, sans savoir qu'elle agira en tant que serveur DHCP. Dans ce cas, le serveur DHCP indésirable comme le serveur DHCP de l'entreprise répondront au message de diffusion initial Découverte DHCP envoyé lorsque chaque nouveau dispositif démarre sur le réseau. Dans de nombreux cas, la passerelle indésirable est localisée à une distance d'un saut de commutateur et répondra en premier, donnant une adresse réseau privée typique dans l'espace d'adressage 192.168.0.x. Tout semble normal mais le nouveau dispositif ne peut pas communiquer sur le sous-réseau de l'entreprise.

Pour identifier rapidement les serveurs DHCP indésirables, l'analyseur OneTouch propose une deuxième fonctionnalité exclusive de détection d'offre de DHCP. Quand une deuxième adresse DHCP est reçue pendant le processus de saisie de son adresse DHCP, sur l'interface câblée ou sans fil, le OneTouch affiche une icône d'alerte sur l'écran d'accueil.

Figure 39

Tapez sur le serveur DHCP pour afficher l'adresse IP du serveur et l'adresse qu'il a offerte. Voir figure 39. Si le serveur DHCP indésirable répond en premier, la 2ème offre de DHCP peut être l'adresse IP de l'entreprise.


Puis-je obtenir une alimentation suffisante pour mes points d'accès ?

Figure 40

Les points d'accès d'aujourd'hui consomment une énergie comme jamais auparavant du fait qu'ils incluent deux ou trois radios. L'analyseur OneTouch AT et son outil de mesure TruePower™ peuvent mesurer et charger jusqu'à 25,5 watts du PoE vers IEEE 802.3. Cela vous permet de vérifier la puissance appropriée au point de l'installation même pour les PA les plus gourmands en énergie. Le PoE (alimentation électrique par câble Ethernet) est également enveloppé dans divers choix de matériel, des injecteurs de puissance de moyenne portée aux variantes de commutateurs et à l'approvisionnement.

Dans la figure 40, nous voyons que nous pouvons seulement tirer 23,7 watts à l'emplacement du PA à 90 mètres du commutateur. De retour au port du commutateur, nous pouvons tester la puissance de charge à nouveau pour répartir entre la capacité de port de commutateur et le panneau de brassage et le câblage horizontal. Vous pouvez également mesurer la consommation de puissance de PoE d'un PA en ligne lors de l'utilisation de la fonctionnalité de capture de l'analyseur OneTouch.

Déployer en dehors des PA connectés par l'intermédiaire de la fibre ? Utilisez l'analyseur OneTouch pour mesurer la puissance optique transitant dans les liaisons à fibre optique.

Comme il reste toujours beaucoup de câble dans le sans fil, l'analyseur OneTouch fournit un jeu complet de tests de câbles. Comprendre le câble à paire torsadée à l'aide des tests de câble à paire court-circuitée/coupée/croisée de l'analyseur OneTouch AT et des mesures de longueur de TDR. Voir figure 41. Exploitez les identificateurs de câble et le système de génération de tonalités IntelliTone™ pour localiser et identifier les câbles ainsi que le port clignotant.

 

Figure 41


Comment faire si j'ai besoin de capturer le trafic ?

La capture de paquets est l'outil de dernier recours lorsque vous avez besoin d'une vue détaillée, image par image, pour résoudre un problème relatif au réseau ou à une application. Une des difficultés que pose la capture de Wi-Fi est le chiffrement de charge utile après les adresses de MAC nécessitant un chiffrement par l'analyseur de protocole. Mais ceci fonctionne uniquement si un chiffrement faible, pas un cryptage d'entreprise, est utilisé et là où un mot de passe simple ou une clé pré-partagée (PSK) peuvent être saisis dans l'analyseur de protocole.

À l'aide du TAP d’agrégation en ligne pour réseaux cuivre et fibre optique de l'analyseur OneTouch pour accéder au trafic transitant entre le point d'accès et le commutateur ou le WLC, vous pouvez capturer le trafic Wi-Fi en clair. Voir figure 42. L'analyseur OneTouch évite ainsi de configurer des ports de commutateur dédoublés, processus complexe, long et coûteux, ou bien d’installer des TAP autonomes. Les filtres de matériel à débit en ligne vous permettent d'isoler une station par son adresse MAC ou IP, une application telle que le HTTP par le port, ou un groupe d'utilisateurs par VLAN. Exportez le fichier de capture, via le port de gestion ou une carte SD, vers votre analyseur de protocole de prédilection (tel que ClearSight™ Analyzer de NETSCOUT), à des fins de décodage et d’analyse.

Figure 42

Une fois installé en ligne au PA, l'analyseur OneTouch fournit la mesure en temps réel de la tension, le courant et la puissance de l'alimentation par Ethernet (PoE), de telle sorte que vous puissiez mesurer le tirage de puissance dans diverses configurations du PA.

Conclusion

Le BYOD est un phénomène qui va durer. La plupart des organismes autorisent désormais l'accès au réseau d'entreprise des smartphones, des tablettes, et d'autres périphériques intelligents conçus et achetés par des consommateurs pour un usage personnel et d'affaires. L'augmentation complexe de ces dispositifs est associée à un conflit plus important pour l'air, davantage de contraintes de réseau, des politiques et un approvisionnement complexes, des dispositifs indésirables, et des plaintes d'utilisateurs. L’analyseur de réseau intégré OneTouch AT de NETSCOUT est décidément un outil unique dans la gestion du BYOD. Sa combinaison de fonctionnalités pour câble et Wi-Fi utilisables à votre bureau, en déplacement ou à distance, vous permettent d'inventorier rapidement, mesurer et dépanner les problèmes liés au BYOD et à la consumérisation des IT.

Pour en savoir plus sur les solutions BYOD de NETSCOUT, veuillez consulter www.enterprise.netscout.com/BYOD

 
 
Powered By OneLink