アプリケーション・ノート:BYOD の管理と IT のコンシューマリゼーション|enterprise.netscout.com

アプリケーション・ノート:BYOD の管理と IT のコンシューマリゼーション

OneTouch AT ネットワーク・アシスタント活用ハンドブック

はじめに

IT のコンシューマリゼーションは、企業 IT 部門のすべてがそうでないとしても、急速に広がっています。ここ数年、タブレットや他のスマート・デバイスが飛躍的に普及し、このような「コンシューマー・クラス」の製品をエンタープライズ・ネットワークで使用しているのを至る所で見ることができます。最近の調査では、調査対象の企業の 90% が社内で個人所有のテクノロジーを使用すること、つまり BYOD(Bring Your Own Device:自分のデバイスの持ち込み)として知られる現象を、ある程度認めていることが示されました。クライアントとしての電話やタブレットだけでなく、すぐに利用できる低コストの住居用ゲートウェイ、ルーター、AP、およびスイッチが企業内に入り込んでいる可能性があります。従業員は新しいホーム・ネットワーキング・スキルに自信を持ち、これまでよりも大胆になり、ネットワーク・エントロピーを作っています。

モバイル・クライアントとネットワーク機器の流入により、多くの IT 担当者は膨大な数の新しいデバイスを検出し、把握し、監査し、配置し、管理する優れた方法を探さなければならなくなりました。最近の調査では、62 パーセントが、ポリシーが定められていてもいなくても、会社には従業員個人の機器をサポートするために必要なツールがないと報告しています。懸念と問題が山積しています。個人のデバイスの影響の管理、企業のデータと知的財産の保護、コンプライアンス順守の監査は、ほとんどの IT 部門の悩みの種になっています。

フルーク・ネットワークスの OneTouch™ AT ネットワーク・アシスタントには、可視化を実現し、急増する BYOD を管理し、安全で高パフォーマンスで広く普及している信頼性の高い有線および無線インフラストラクチャの提供に関連するリスクおよび運用コストを低減する、さまざまな機能が用意されています。OneTouch は管理対象のデバイスと同様に移動可能な堅牢なパッケージに、独自の組み合わせの有線および無線解析機能を備えています。このアプリケーション・ノートは、IT 部門が直面している以下のような BYOD の一般的問題に対するフルーク・ネットワークスの OneTouch AT ネットワーク・アシスタントの実践的活用方法について説明しています。

  • 現在の Wi-Fi ネットワークの状態を把握する方法
  • パフォーマンスと接続性に関するユーザーからの苦情について調べる方法
  • 不正なクライアント、AP、および他のネットワーク・デバイスを識別する方法
  • ネットワーク許可の監査方法
  • Wi-Fi パフォーマンスの測定方法
  • セルラー方式のハンドオフのカバー範囲のテスト方法
OneTouch AT Wi-Fi
 
Wi-Fi 解析

図 1

Wi-Fi デバイスのインベントリーを把握するにはどうすればよいでしょうか?

これまで企業のノートパソコンのみをサポートしていたネットワークで大量のさまざまな電話やタブレットを処理するようになったため、企業内の大部分の Wi-Fi の使用量が増大しています。デバイスの総数が増加しているだけでなく、帯域幅の要求も、重要な企業アプリケーションのパフォーマンスを低下させる原因になる場合があります。BYOD 現象に対処するために重要なのは、BYOD がどの程度広がっているかを理解することです。デバイスを把握し、そのデバイスの接続先のネットワークやアクセスポイントを見極め、電波の健全性を調べる必要があります。

OneTouch は [Network(ネットワーク)]、[AP]、[Client(クライアント)]、[Channel(チャネル)] の 4 つのタブで Wi-Fi を自動的に検出し分類します。プロパティで並べ替えることにより、無線ネットワークを詳しく把握できるようになります。たとえば、信号強度別に並べ替えて、Wi-Fi 受信範囲の問題をトラブルシューティングします。利用率によって並べ替えて、AP、クライアント、またはチャネル利用の問題を特定します。承認ステータス別に並べ替えて、潜在的なセキュリティ違反を見つけます。MAC 製造者別に並べ替えて、タイプ別に Wi-Fi デバイスを検出し、それらが SSID、AP およびチャンネルに対してどのように接続されているかを判断します。

[Client (クライアント)] タブには、すべてのチャネルで OneTouch が把握しているすべての無線デバイスが表示されます。ここでは、BYOD のサポートについて IT 部門が使用している正式なポリシーへのコンプライアンスを監査できます。通常、Android デバイスは Samsung、HTC、および Motorola の製造者コードで、Blackberry は RIM で表されます。図 1 はその例です。チャネル 161、5 GHz チャネルの Apple デバイスなどの外れ値や、既知の SSID を探しているがネットワークに接続されていない別の Apple デバイスをすばやく識別できます。

デバイスをタップするとビューが拡張され、デバイスごとに使用中のネットワーク、SSID、チャネル、およびセキュリティに関する詳細情報が表示され、主要なデバイス・インジケーターの詳細なトレンド把握が開始されます。図 2 を参照してください。フィルター・ボタンにより、各クライアントの使用中の関連ネットワーク、アクセス・ポイント、およびチャネルの詳細な解析が表示されます。

 

図 2

最も関連の強いドメイン(SSID、AP、クライアント、またはチャネル)から Wi-Fi 解析にアプローチする場合、並べ替えとフィルタリングはインベントリーを理解する上で多目的に利用できる方法です。右上の [OneTouch AT] ボタンをタップすると画面をキャプチャ(スクリーン・ショットを取る)したり、詳細な PDF レポートを作成して BYOD インベントリーを文書化したりできます。

OneTouch は Wi-Fi ベンダーを問わず、デスクに向かっているときだけでなく廊下を歩いているときでも使用でき、リモート操作にすることもできます。


望ましくないネットワークを特定するにはどうすればよいでしょうか?

低コストのアクセス・ポイントやモバイル・ホットスポットは、企業ネットワークのパフォーマンスを低下させ、セキュリティ・リスクを生む可能性があります。携帯電話のホットスポットを使用すると、企業の LAN/WAN を使用しないでインターネットに接続できます。ポータブル・ホットスポットがセルラー・ネットワークを通じて逆転送されると、企業の Wi-Fi ネットワークと電波を共有したままになります。これがチャネルの輻輳やチャネル間干渉の原因になる場合があります。

ポータブル 3G ホットスポットよりもさらに問題になるのは、従業員が住宅用 AP またはゲートウェイを持ち込み、ゲートウェイを企業のネットワークにつないで自分のタブレットや電話で使用する個人用 Wi-Fi ネットワークを作ることです。これは電波の輻輳だけでなく、企業 LAN への未承認の Wi-Fi アクセスにつながります。

図 3

OneTouch は電波をチャネルごとに常にスキャンすることで Wi-Fi 解析を行い、SSID、AP、クライアント、およびチャネルの使用の特徴を把握します。解析は 4 つのタブに表示され、解析をさまざまな方法で並べ替えることができます。例えば、不正の可能性のある Wi-Fi ネットワークを検出するには、[Networks (ネットワーク)] タブを選択し、[Fewest Access Points (最も少ないアクセス・ポイント)] で並べ替えます。図 3 を参照してください。こうすると、1 つの AP でしかサポートされていない 1 つの SSID を持つ 1 回限りのネットワークをすばやく特定できます。また、望ましくないネットワークも示され、オープン・ネットワークが赤のアンロック・アイコンで示されます。

SSID を選択すると、ネットワークの詳細が拡張されて表示されます。図 4 を参照してください。通常の企業の Wi-Fi ネットワークは、注意深く配置され重複のないチャネルに割り当てられた複数の AP を使用してカバーし、使用できるようにされています。SSID をサポートしている AP、チャネル、およびクライアントの数がディスプレイの右側のフィルター・ボタンに表示され、ボタンをタップするとそれらのデバイスのみを表示できます。

SSID "cody-dlink" には、1 台のホストに接続され 1 つのチャネルを使用している 1 台の AP しかありません。図 5 を参照してください。これは通常の企業ネットワークの表示ではなく、不正な AP を示している可能性があります。並べ替えは外れ値のネットワーク、アクセス・ポイント、クライアント、およびチャネルを特定するための強力なツールです。

図 4

図 5


不正な AP が企業の SSID を使用していたらどうなりますか?

図 6

従業員が、プライベート・ネットワークを隠そうとして企業の SSID に合わせてデバイスの SSID を設定した場合、どうなるでしょうか。[Network (ネットワーク)] タブからAuthorized Guest などの承認済みの企業の SSID を拡張すると、4 台の AP にサポートされていることがすぐにわかります。図 6 を参照してください。[AP] ボタンを選択すると、強力なフィルター・ビューが表示されます。これらのタブを使用して SSID、AP、クライアント、またはチャネルに基づいて解析の開始点を選択でき、3 つのフィルター・ボタンで調査対象を簡単に絞り込むことができます。

フィルタリングを行うときは、タイトル・バーが [Wi-Fi Analysis (Wi-Fi 解析)] からソーシング・フィルター基準に変わります。この例では Authorized Guest です。図 7 を参照してください。この SSID は 3 台の Cisco AP と 1 台の Linksys デバイスにサポートされていることがすぐにわかります。これは、企業ネットワークの一部ではない可能性があることを示しています。

OneTouch を使用して、ネットワークに新しく接続している不正なデバイスや他のデバイスを事前に特定できます。区域内の既知の AP だけでなく付近の AP もマークできます。既知および予期される企業の AP は [Authorized (許可済み)] としてマークできます。図 8 を参照してください。区域外であるが既知の AP は [Neighbors (隣接)] としてマークできます。AP のマーク付けは OneTouch が記憶しています。予期される AP がタグ付けされた場合、[Authorization Status (承認ステータス)] で並べ替えると、図 8 に示すように、[Authorized Guest (承認ゲスト)] 画面の Linksys などの不明なアクセス・ポイントがすばやく識別されます。

図 7

図 8


違法 AP、ホットスポット、またはアドホック・デバイスを見つけられますか?

不正 AP またはモバイル・ホットスポットが識別された場合に、OneTouch ではデバイスを探す方法がいくつかあります。外部指向性アンテナ(図 9 を参照)および Locate (検出)機能(図 10 を参照)を使用すると、無線デバイス、AP、またはクライアントの物理的な場所をすばやく検出できます。

図 9

図 10

図 11

 

有線ネットワークにつながれている不正 AP の場合、OneTouch の [Wired Analysis (有線解析)] を使用して接続先のスイッチ・スロットおよびポートを探すことができる場合があります。パッチ・パネルでネットワークから外したりスイッチ・ポートを無効にしたりして、デバイスとユーザーを排除できます。

[Wired Analysis (有線解析)] で Wi-Fi 解析デバイスを見つけるには、MAC アドレスで有線解析を並べ替えて、無線 MAC アドレスを探します。図 11 を参照してください。隣接する MAC アドレスがマルチインターフェイス・デバイスによって使用されている場合があることに注意してください。この場合、隣接する MAC アドレスの D-Link デバイスが VLAN 500上の IP アドレス 10.250.1.176 を使用して COS_DEV_SW1 のスロット2/ポート 44 にアタッチされています。


不正な AP が SSID をブロードキャストしていない場合はどうなりますか?

企業のネットワークで検出されないようにするために、従業員が SSID をブロードキャストしないように AP を設定した場合はどうなるでしょうか。OneTouch はブロードキャストしないネットワークを識別して、ネットワーク使用量を管理しセキュリティの問題を軽減するのを支援します。

図 12

OneTouch はブロードキャストしないネットワークをアクティブにリスンし、検出されたネットワークのリストで SSID を [Hidden] (非表示)と報告します。図 12 を参照してください。AP のフィルター・ボタンを選択し、そのブロードキャストしないネットワークを使用している AP を識別します。ツールを使用して、未承認の AP をマークして積極的に識別したり、違法な AP を探したりできます。

非表示のネットワークの SSID がわかっている場合、OneTouch は特定の SSID を含むアクティブなプローブ要求を AP に送信し、ブロードキャストしない SSID を解決します。OneTouch は機器のすべてのプロファイルで構成されているすべての SSID を調べ、802.11 パケットからネットワーク上で使用されているブロードキャストしない SSID についてパッシブに学習します。これらの解決済みのブロードキャストしない SSID は [BlackHole] のように角かっこで囲んで報告されます。図 13 を参照してください。

図 13

誰かがアドホック・ネットワークを設定していますか?

少人数の従業員グループが、ゲームをするためにアドホック・モードを使用できるようにノートパソコンを構成した場合はどうなるでしょうか。アドホック・ネットワークは企業環境内にあるにもかかわらず IT ポリシーに従っていないことが多く、安全でないオープン・ネットワークとして構成されている場合はセキュリティ・リスクがあり、企業データが危険にさらされます。アドホック・ネットワークが企業の AP と同じチャネルを使用している場合、ネットワーク・パフォーマンスにも影響を与える場合があります。

[Network Type (ネットワークの種類)] で並べ替えると、検出されたアドホック・ネットワークがリストの上部に表示されます。図 14 を参照してください。使用されているアドホック・ネットワークの名前 (Montana) とネットワークがセキュアかどうかがすぐにわかります。ネットワークを拡張してネットワークの詳細を表示します。クライアント・フィルターを使用して、ネットワークを構成する機器を識別し、探します。

図 14


企業の SSID に予期しないクライアントがいますか?

IT スタッフが急増するモバイル・デバイスを管理し続けるための唯一の方法は、モバイル・コンピューティング・デバイスを、企業が提供する信頼できる標準的なデバイス、許容できるデバイス、サポートされていないデバイスの 3 つのデバイス・クラスに分けることです。これは、フル・アクセスの企業の SSID に予期される AP とクライアントしかないことを確認するための優れた方法です。[Network (ネットワーク)] タブで企業の SSID を選択します。図 15 を参照してください。AP の強さを示すインジケーター・バー上の AP アイコンは、SSID は 4 個のチャネルの 4 台の AP によってよくカバーされており、企業のセキュリティに従っていることを示しています。選択した SSID のクライアントを監査するには、クライアント・フィルター・ボタンをタップして、クライアントを表示します。

タイトル・バーにフィルター対象の SSID が示されます。図 16 を参照してください。37 個のクライアントのリストをより理解しやすくするには、メーカー MAC 別に並べ替えます。これによって、共通するデバイスがグループ化されます。このリストによって、SSID が付与された Intel MAC アドレスを持つ企業ラップトップが 36 個存在し、Apple デバイスも企業ネットワークに接続していることがわかります。この Apple デバイスは、企業ポリシーによって許可されている場合も、許可されていない場合もあります。許可されていない場合は、無線指向性アンテナを使用してデバイスを見つけることができますが、上述したように、有線解析でデバイス MAC を検索しても見つけることができる場合があります。

図 15
図 16

なぜこの地域のパフォーマンスが良くないのでしょうか?

図 17

BYOD を支持する立場の落とし穴の 1 つは、個人所有のデバイスを使用することで、ミッション・クリティカルな企業 Wi-Fi アクセスを維持することが困難になる場合があることです。ストリーミング・ビデオなどのモデルの使用で混雑状態の空域と高帯域幅では、ミッション・クリティカルな通信が阻害される可能性があります。会議室からの VoIP コールのパフォーマンス問題についてマネージャーが不満を言うとき、何が発生しているのでしょうか?

このような問題では、Wi-Fi 解析と組み合わされた OneTouch の携帯性が非常に役に立ちます。問題の原因を的確に発見し、[Wi-Fi 解析クライアント] タブを使用して、問題のクライアントを特定します。あるいは、ネットワーク・タブとクライアント・フィルターを使用して検索を絞り込むこともできます。図 17 から、信号レベルが強いことがわかります。また、信号レベルが一定の場合は、クライアントが移動していないことを示します。ノイズ・レベルが低い場合、エアの全体的な状態が良く、非 802.11 の干渉がありません。ただし、黄色の等級付けによって示されているように、再試行レートが高くなっています。また、Rx レートと Tx レートは大きく変化しています。

図 18

チャネル・フィルター・ボタンを選択すると、チャネル 4(図 18 を参照)が表示され、黄色のバーで示された 802.11 の利用率が高いことがわかります。この利用率の原因を特定するには、AP でフィルターします。

図 19

チャネル 4 の AP でフィルターすると(図 19 を参照)、3 つの AP が表示されます。これらのうち 2 つの AP は企業 AP で、38 個のクライアントが原因で負荷が大きくなっています。一方で、2 個のクライアントでは、強力な近隣の LinkSys AP も確認できます。予想外に、チャネルは共有されています。以前に示した検出方法を使用して、AP を見つけます。

Wi-Fi QoS が機能していることを確認するにはどうすればよいですか?

図 20

パーソナル・ユーザー・デバイスが出現したことにより、最善のユーザー・データ・トラフィックを使用して、生産性のあるトラフィックの Wi-Fi パフォーマンスと優先度を検証することが重要になっています。QoS (Quality of Service) によって、Wi-Fi アクセス・ポイントおよびスイッチでトラフィックの優先順位を指定できます。QoS が利用できない場合、データ・フレームを伝送する際、異なるデバイスで実行中のすべてのアプリケーションに均等な機会が与えられることになります。802.11e や WME (Wireless Multimedia Extensions) などの業界標準では、さまざまなデバイスおよびアプリケーションからのトラフィックの優先順位を指定して、高品質のエンドユーザー・エクスペリエンスを、多種多様な環境およびトラフィックの条件での音声などのミッション・クリティカルなトラフィックに拡張します。QoS トラフィック・シェーピングは、SSID、ポート、DSCP などのさまざまな仕組みを使用して実現します。

OneTouch Veri-Fi™ 機能では、OneTouch 有線および無線インターフェース間でデータをストリーミングすることで、有線/Wi-Fi パフォーマンスの短時間での決定論的な検証が可能になります。図 20 を参照してください。Veri-Fi は、さまざまな方法で使用できます。

  • Wi-Fi アップストリームおよびダウンストリーム・パフォーマンスの測定
  • AP の負荷時に重要な QoS が影響を受けないことを検証するための大量のバックグラウンド・トラフィックの生成
  • QoS が最善のトラフィックの影響を受けないことの検証

この例では、DSCP Expedited Forwarding (EF) 値 (46) を使用する VoWi-Fi トラフィックが正常にプロビジョニングされることを確認します。図 21 を参照してください。さらに、QoS が IPv4 と IPv6 の両方で維持されることも検証します。VoIP RTP の代表的なフレーム・サイズを 128 バイトに選択し、対称的なデータ・レートとして 1Mbps のアップストリーム(Wi-Fi → 有線)およびダウンストリーム(有線 →Wi-Fi)に指定して、10 の同時コールを概算します。テストの結果(フレーム損失レートとして表示されます)が 1% の合否範囲以下の場合、テストは合格です。図 22 を参照してください。バックグラウンド・トラフィックは、パーソナル・デバイスまたは第 2 OneTouch を使用して生成できます。

図 21
図 22
 

図 23


Wi-Fi デバイスについて詳しく調べるにはどうすればよいですか?

Wi-Fi 解析によって、無線ネットワーク、アクセス・ポイント、クライアント、およびチャネルを今までにないレベルで観察できるようになります。クライアントの場合(図 23)、以下の情報を得ることができます。

  • MAC アドレス
  • SSID(ネットワーク)
  • AP
  • セキュリティ
  • 無線タイプ (a/b/g/n)
  • チャネルと帯域
  • 最終表示内容
  • 重要な指標の 1 分のトレンド

また、関連するネットワーク、AP、およびチャネルを簡単にフィルターできます。ただし、レイヤー 3 の IP アドレスを含む発信元と発信先の MAC より上の項目はすべて暗号化されているため、有線解析によってデバイスを調べるのが望ましい場合もあります。

 

図 24

多くの場合、OneTouch 有線解析によって、無線 LAN コントローラーが検出および調査され、IP アドレス、VLAN、およびデバイスに割り当てられた名前も検出されます。無線デバイスは、有線解析を MAC アドレスで並べ替え、Wi-Fi MAC アドレスと一致させることで検出できます。図 24 では、40a6d9-b46809 の MAC アドレスを持つ Apple デバイスが VLAN 500 上の 10.250.0.135 の IP アドレスを持つ有線ネットワーク上で検出されています。VLAN 情報は、デバイスがその認証レベルまたはユーザー・グループに関連する適切な VLAN 上で動作していることを検証するのに便利です。OneTouch 有線解析を使用すると、オープン・ポートについて有線デバイスをスキャンして、デバイスを詳細に調査できます。ここでは、iphone-sync TCP ポート 62078 がオープンです。

 
さまざまな SSID の正しいアクセスを確認するにはどうすればよいですか?

通常、企業では、アクセス・ネットワーク・ゾーンを実装し、最終的にネットワーク・アクセスを制御する複数の SSID を使用して、個人所有のモバイル・デバイスの接続性を制限します。

図 25

許可 アクセス SSID
フル・アクセス インターネットとすべての企業リソース AcmeCorp
部分アクセス インターネットと一部の企業リソース AcmeContractor
インターネットのみ インターネットのみ AcmeGuest
BYOD では、アクセスを許可する企業リソースのクライアントを管理するポリシーとプロビジョニングが必要です。SSID は、アクセスを制御するために、一意の IP アドレッシングと有線 VLAN を使用して分割される場合があります。

OneTouch プロファイルとは、名前の付いた設定のことで、さまざまな方法で操作を簡略化することができます。プロファイルを使用することで、予想されるネットワーク操作を SSID からカプセル化する標準的なテスト手順を作成できます。

図 25 は、許可されたサービスと許可されていないサービスの両方への接続性をテストする Contractor Access という名前のプロファイルを示しています。層の名前は、許可と不許可によってテストをグループ化する際に変更されます。

組織の標準的な監査を作成するためにプロファイルを使用すると、一貫性のある詳細なテスト・プロセスを実行できるようになり、経験の浅い担当者が企業内のいかなる場所でも洗練されたネットワークのテストと監査を行うことができます。

Wi-Fi オフロードは正しく機能していますか?

図 26

企業内でのシームレスなローミング機能は、現在の BYOD ユーザーに必須です。セルラーから Wi-Fi にオフロードすると、以下を含む多くの利点が得られます。

  • データ通信料の低下
  • 接続の高速化
  • バッテリー消費量の低下
  • エンド・ユーザー・エクスペリエンスの向上

しかし、現在の Wi-Fi 受信範囲が無線間のスラッシング(継続的なチャネル・ホッピング)を防止するのに十分であることを確認するにはどうすればよいでしょうか?

OneTouch は、SSID に接続されると、ある AP ゾーンと別の AP ゾーンの範囲を追跡します。OneTouch では、施設を移動したときの各ローミングの詳細を記録します。このローミング結果のナビゲーション・コントロールを使用して、関連する各 AP の詳細な情報を確認できます。図 26 を参照。各 AP について、信号、ノイズ、再試行、および使用率の最小値と最大値から、AP ゾーンの操作範囲を詳細に把握できます。

図 27

各接続、認証、およびアソシエーションについてのタイム・スタンプ付き情報を表示するには、[ログ] タブをタップします。図 27 を参照してください。
 

図 28

ローミング中に Ping (ICMP) ツールを使用して、3G オンロードが生じる可能性がある範囲でデッド・スポットを見つけることもできます。セルラーからは到達できない内部 ping の応答を対象とすると、Wi-Fi に接続できない場合、データが失われます。時間制限が 1 秒の連続 ping モードでは、ping パケットの損失数と Wi-Fi に接続できない秒数が等しくなります。図 28 を参照してください。この場合、228 秒のローミングのうち 6 秒間、Wi-Fi 接続が失われます。このテストは、接続 (TCP) テストを使用して、選択したターゲットに対して TCP ポートを開き、アプリケーション・ポートの到達可能性をテストしても、実施できます。AirMagnet サーベイおよび AirMapper を使用すると、さらに包括的なテストを実施できます。


ゲスト のSSID で認証するにはどうすればよいですか?

図 29

ゲストおよびホスピタリティ Wi-Fi ネットワークに接続する場合、通常、キャプティブ・ポータルに接続するための条件を認証または受け入れる必要があります。キャプティブ・ポータルを使用する場合、ネットワーク上の HTTP クライアントに対して、ネットワークを使用する前に特別な Web ページが表示されます。

OneTouch 統合 Web ブラウザーは、管理、有線、または Wi-Fi テスト・ポートを介して操作できます。図 29 では、OneTouch アナライザーでその Wi-Fi ポートを使用して Web ページにアクセスし、認証や支払いを要求するか、または受け入れ可能な使用方針を表示してユーザーに同意を求めるだけの Web ページにブラウザーがリダイレクトされています。認証されると、通常、OneTouch Wi-Fi テスト・ポート MAC アドレスはキャッシュされ、24 時間のアクセスが可能になります。有線のホテルの部屋など、有線のテスト・インターフェースでキャプティブ・ポータルが使用される場合、同じ方法を使用して、有線インターフェースが認証されます。

OneTouch 統合 Web ブラウザーを使用すると、キャプティブ・ポータルを介した接続だけでなく、スイッチや無線 LAN コントローラーなどのネットワーク要素もプロビジョニングできます。図 30 を参照してください。

OneTouch アナライザーにも、コマンド・ライン・プロビジョニングおよび診断用の統合 SSH/ターミナルが含まれています。図 31 を参照してください。

図 30

図 31


私がいる場所とは別の場所で問題が発生しました。どうすればよいですか?

図 32

Wi-Fi は、非常に取り扱いが難しいメディアです。帯域幅の需要が動的であることに加え、クライアントが行き交い、干渉の原因にもなります。たとえば、BYOD の OS がアップグレードされると、人気のアプリケーションへのアップデート、クラウドのバックアップ、さらにはバイラルビデオによって、ネットワークが負担を受ける可能性があります。クライアントの問題を診断するためにキャンパス中を調べた結果、現時点では問題がないとわかった場合はどうすればよいでしょうか?

OneTouch アナライザーを管理ポートを介してネットワークに接続すると、この機器を携帯しなくてもリモートで操作できます。これによって、他の作業を再開し、定期的にデスクから Wi-Fi をチェックできます。再度クライアントから呼び出しがあった場合も同様です。

Web ブラウザーまたは管理ポートの IP アドレスの VNC クライアントをポイントして、手順に従うだけです。OneTouch は、デスクトップ、ラップトップ、タブレット、または携帯電話からも操作できます。図 32 を参照してください。OneTouch アナライザーのユーザー・インターフェースは、大きなタッチ式アイコンを採用しており、電話機からでも簡単に操作できます。何か異常が表示された場合は、画面の一番上にある OneTouch AT ボタンをタップして、レポートを保存するか、画面を取り込み、この断続的な問題を文書化します。

図 33

OneTouch アナライザーは非常に多用途なので、一般的な Web カメラを USB ポートに差し込んで、リモートから監視することもできます。たとえば、会議室の参加者数を確認したり、画面またはディスプレイを観察したり、ネットワーク機器の一部の LED を監視したりできます。これによって、ネットワークだけでなく、物理的空間も監視できます。図 33 を参照してください。

これは無線の問題ですか、有線の問題ですか?
Wi-Fi によって、層 1 の RF および層 2 の 802.11 を使用して、ネットワークに別の方法でアクセスできます。しかし、いったんアクセス・ポイントを通過すると、同じ基本的な有線インフラストラクチャに依存することになります。OneTouch アナライザーは、これまで示した Wi-Fi 解析方法以外にも非常に多くの有線解析機能を備え、BYOD 管理にも使用できます。OneTouch アナライザーの有線解析ソートは、Wi-Fi 解析と似ています。問題で並べ替えると、検出されたすべての有線の問題がリストの一番上に素早く表示されます。図 34 を参照してください。デバイスをタップすると、詳細な情報が表示されます。

図 34

図 35 の例では、無線 LAN コントローラー (WLC) が 12 分前に再起動し、現在のトラブル・チケットの原因である可能性があります。OneTouch アナライザーでも、SNMP を使用して、デバイスとオーナーの位置を報告します。その他の並べ替えには、IPv4 アドレス、IPv6 アドレス、MAC アドレス、メーカー名、トップ・ブロードキャスター、ドメインなどが含まれます。

図 35

VLAN で並べ替えると(図 36)、SSID に関連づけられた指定の VLAN に対して BYOD が適切に隔離されていることを確認できます。

図 36

検出されたデバイスは、内蔵のポート・スキャナーを使用してさらにプローブできます。さらに、有線解析は主要な Wi-Fi デバイスを特定するのに役立ちます。AutoTest プロファイルを構築して、重要なネットワーク機器の可用性を素早く特定し、その条件を診断する標準的なテストを作成できます。

Wi-Fi トランザクションのパフォーマンスは有線のパフォーマンスと比較してどうですか?

ボトルネックが Wi-Fi なのか、ネットワークの残りの要素なのかを判断するのが困難な場合もあります。OneTouch アナライザーでは、有線イーサネットと Wi-Fi ネットワークを同時にテストし、テスト結果を並べて表示してパフォーマンスを容易に比較できます。この比較は、OneTouch アナライザーの有線セットアップで有効になっている場合、IPv6 についても実行されます。

図 37 では、FTP ユーザー・テストを使用して、1 MB のファイルのダウンロードに対するエンド・ユーザーのレスポンス・タイム (EURT) を測定しています。FTP を使用できるかどうかは、基本的な TCP パフォーマンスによって決定し、テスト結果にも示されます。FTP ツールにより、ファイルのダウンロード(取得)やアップロード(置く)のいずれかを行えます。

図 37

 

合計時間 (EURT) は、トランザクションを行う個々の時間の合計です。

  • DNS ルックアップとは、IP アドレスへの URL を解決するために必要な使用時間のことです。
  • TCP 接続とは、サーバー上でポートを開くために必要な使用時間のことです。
  • データ開始とは、FTP ファイル・データ・フレームをサーバーから受信するためにかかる時間のことです。
  • データ転送とは、ファイル・データを転送するためにかかる使用時間のことです。

トランザクション・コンポーネントの細分化に加えて、時間を正確に測定して有線と無線のパフォーマンスを横に並べて比較することは、Wi-Fi がボトルネックかどうかを判断する上で有効です。

合計時間が選択した時間制限を超過した場合、テストは不合格となります。したがって、エンド・ユーザー・エクスペリエンスをテストするには、AutoTest プロファイルを作成します。FTP サーバーの場所によっては、ボトルネックは WAN の容量である可能性があります。その場合は、有線と Wi-Fi は同じようなデータ転送時間となります。他の有益で比較できるユーザー・テストには、映像サブスクリプションのための Web、マルチキャスト、RTSP があります。


BYO ハブ、スイッチ、ルーターを特定するにはどうすればよいですか?

図 38

従業員が新しいホーム・ネットワーキングのスキルやコモディティ・ネットワーキング機器を使おうとすれば、IT に対して自分自身の脅威を持ち込むことになります。従業員が、自分の作業スペースで別の有線ポートを使いたいと考えた場合、大規模小売店で入手できるセルフサービスの低コストなコンシューマー・スイッチを接続するかもしれません。これにより、従業員は複数のイーサネット・デバイスをオフィスに接続することができます。

有線解析を使用したり、スイッチ名/スロット/ポートでホストをソートすることにより、管理されている企業スイッチへの接続に従ってデバイスが整列されます。通常、スイッチ・ポートあたり 1 つのホスト・デバイスがあり、各スロット/ポートは一度だけ発生します。複数のデバイスが 1 つのスイッチ・ポートを使用する場合は、小さいハブまたはスイッチがエンタープライズ・スイッチに接続している可能性があることを示しています。図 38 では、スイッチ cos_dev_sw3 にはポート 20 に接続しているデバイスが複数あります。さらに調査すると、この従業員はスイッチをウォール・ジャックに接続しただけでなく、個人の MAC アドレス Rspbry:9977393 を使用したクレジットカードサイズのlinux コンピューター、Raspberry Pi を接続するために他のポートも使用したことが分かります。この従業員は、昼休みにちょっとしたプログラミングをしようとしただけかもしれませんが、このようなデバイスは、気づかないうちに企業ネットワークを危険にさらすこともあるのです。

従業員が、DHCP サーバーとして動作するとは知らずに、住宅用ゲートウェイをネットワークに接続すると、もっとひどい状況になります。このような場合、不正な DHCP サーバーおよびエンタープライズ DHCP は両方とも、ネットワークでの新しい各デバイスの起動時に送信された初期 DHCP ディスカバー・ブロードキャスト・メッセージに対して応答します。不正なゲートウェイがある場合は通常、スイッチはホップで隔たりが生まれ、最初に応答し、通常のプライベート・ネットワーク・アドレスを 192.168.0.x アドレス・スペースに与えます。すべて正常のように思われますが、新しいデバイスはエンタープライズ・サブネット上で通信できません。

不正な DHCP サーバーを素早く識別するため、OneTouch アナライザーは、排他的な 2 つ目の DHCP 提供検出機能を搭載しています。2 つ目の DHCP アドレスがその DHCP アドレス取得処理中に受信された場合、OneTouch は、有線または無線のインターフェイスを介して、ホーム画面に警告アイコンを表示します。

図 39

DHCP サーバーをタップして、サーバーの IP アドレスと提供されたアドレスを示します。図 39 を参照してください。不正な DHCP サーバーが最初に応答したら、 2 つ目の DHCP はエンタープライズ IP アドレスを提供する可能性があります。


アクセスポイントに十分な電力が供給されていますか?

図 40

今日のアクセス・ポイントは、2、3 の無線を含めると、今までになかったようなパワーを引き出します。OneTouch AT アナライザーとその TruePower™ 測定では、PoE を測定して、最大25.5ワットで IEEE 802.3 にロードすることができます。これにより、最も電力を必要とする AP に対してでも、インストールの時点で適切な電力を確認することができます。また、PoE は、ミッドスパン・パワー・インジェクターからスイッチ・バリアントおよびプロビジョニングまで、さまざまなハードウェアの選択肢の中に潜んでいます。

図 40 から、スイッチから 90 メートルの AP の場所では 23.7 ワットしか引き出せないことがわかります。スイッチ・ポートに戻り、電力負荷をもう一度テストし、スイッチ・ポート機能、パッチ・パネル配線、水平配線の間で優先順位付けをすることができます。また、OneTouch アナライザーのキャプチャー機能を使用すると、AP インラインの PoE の消費電力を測定できます。

ファイバーで接続されている屋外 AP を実装していますか?OneTouch アナライザーを使用して、光ファイバー・リンクから受ける光パワーを測定します。

無線環境での有線接続もまだ多いため、OneTouch アナライザーではケーブル・テスト一式を用意しています。OneTouch AT アナライザーのショート/オープン/クロス・ペア・ケーブルのテストと TDR 長さ計測を使用して、ツイスト・ペア・ケーブルをよく理解してください。図 41 を参照してください。また、ケーブル識別機能と IntelliTone™ トーニングを使用して、点滅ポートとケーブルを検出および識別してください。

 

図 41


トラフィックをキャプチャする必要がある場合はどうなりますか?

パケット・キャプチャーは、ネットワークやアプリケーションの問題を解決するためにフレームごとの詳細な表示が必要な場合、最後の手段として使用するツールです。Wi-Fi キャプチャーの問題点の一つに、プロトコル・アナライザーによる暗号解読が必要な MAC アドレスを通過したペイロードの暗号化があります。しかし、これは、単純なパスフレーズまたは事前共有キー (PSK) がプロトコル・アナライザーに入力される、弱い非エンタープライズ暗号化が使用される場合にのみうまくいきす。

OneTouch アナライザーに内蔵されたインライン・カッパー・アグリゲーション・タップおよび光ファイバー・タップを使用して、アクセス・ポイントとスイッチまたは WLC の間で実行されているトラフィックにアクセスすると、暗号化されていない文章で Wi-Fi トラフィックをキャプチャーできます。図 42 を参照してください。スイッチ・ミラー・ポートを設定したり、スタンドアロンのタップをインストールする複雑さ、時間、およびコストを避けることができます。ライン・レート・ハードウェアのフィルターを使用すれば、MAC アドレスまたは IP アドレスごとのステーション、ポートごとの HTTP などのアプリケーション、あるいは、VLAN ごとのユーザー・グループを選び出すことができます。キャプチャ・ファイルを管理ポートまたは SD カード経由でプロトコル・アナライザー(フルーク・ネットワークの ClearSight™ アナライザーなど)にエクスポートして、デコードおよび解析することができます。

図 42

OneTouch アナライザーは、AP にインラインでインストールされると、PoE の電圧、電流、電力のリアルタイム計測を提供するため、さまざまな AP 設定で消費電力を定量化できます。

まとめ 

BYOD がなくなることはありません。今では、個人用やビジネス用に購入されたスマートフォン、タブレットなどのスマート・デバイスによる企業ネットワーク・アクセスを、多くの組織が許可しています。機器数の急激な増加に伴い、電波の奪い合い、ネットワークへの負担、複雑なポリシーやプロビジョニング、不正なデバイス、ユーザーからの苦情が増加しています。フルーク・ネットワークの OneTouch AT ネットワーク・アナライザーは、BYOD 管理のユニークなツールです。有線と Wi-Fi 機能をデスクで組み合わせて使用すると、即座に、またはリモートで、棚卸しや定量化、BYOD や IT を一般消費者向けにすることに関連した問題のトラブルシューティングを素早く行うことができます。

NETSCOUT の BYOD ソリューションの詳細については、www.enterprise.netscout.com/BYOD をご覧ください。

 
 
Powered By OneLink