無線管控方案測試

針對上述兩種方案，我們分別做了測試。

方案一測試

我們選取了國內(nèi)知名廠商深信服的無線管控設(shè)備進行測試，設(shè)備型號為AC-2000，以橋接模式部署，部署位置是在防火墻和核心交換機之間。

本次測試的重點是觀察無線管控產(chǎn)品對無線終端上網(wǎng)行為的管理效果，主要關(guān)注的功能是細致的應(yīng)用行為管理、無線熱點和移動終端管控、各種日志信息查詢和報表的生成。

經(jīng)過一個月的在線測試，測試結(jié)果如下：

1.發(fā)現(xiàn)移動終端

當(dāng)手機、PAD、PC等終端通過無線接入上網(wǎng)時，在無線管控設(shè)備上能看到移動終端的IP、所屬用戶組、通過規(guī)則發(fā)現(xiàn)的終端類型及發(fā)現(xiàn)時間。

判斷是否是移動終端接入，主要通過AC內(nèi)置的移動應(yīng)用規(guī)則來識別，其中包括IM社交、在線視頻、生活、新聞資訊、地鐵、下載客戶端、移動瀏覽器、PC端手機助手等類型的應(yīng)用，例如微信、移動QQ、新浪微博、優(yōu)酷、91助手等常見手持終端的App應(yīng)用。

通過無線接入的方式，包括 360WiFi、小米WiFi、小度 WiFi、無線路由器、PC上安裝的共享上網(wǎng)軟件等，一旦移動終端接入上網(wǎng)，AC就能發(fā)現(xiàn)，如下圖3所示。

2.管理非法接入的移動終端

把合法IP和用戶加入信任列表后，通過這些IP網(wǎng)段上網(wǎng)和使用這些用戶名上線的移動終端，將不會出現(xiàn)在移動終端發(fā)現(xiàn)的列表中。

對新發(fā)現(xiàn)的違法移動終端，可選擇“拒絕此移動終端”，禁止該移動終端上網(wǎng)，此時經(jīng)過該IP的所有訪問將會被拒絕；或者“發(fā)送告警郵件”，提醒管理員該IP有非法的移動終端接入。

3.移動終端發(fā)現(xiàn)趨勢

圖3 深信服AC檢測效果圖1

圖4 深信服AC檢測效果圖2

圖5 深信服AC檢測效果圖3

圖6 深信服AC檢測效果圖4

從圖4可以看出，AC設(shè)備能夠針對最近7天、30天每天發(fā)現(xiàn)的移動終端數(shù)量做一個趨勢統(tǒng)計，便于管理員掌握無線接入的相關(guān)情況。

4.防私接無線路由器測試

通過配置上網(wǎng)權(quán)限策略，開啟防止共享上網(wǎng)檢測，將單IP允許的最大終端數(shù)設(shè)置為1的時候，具體配置情況示例如圖5所示。

之后我們內(nèi)部私接一臺無線路由器，共享IP設(shè)置為172.19.4.90，這時我們在AC設(shè)備的控制平臺上可以直接看到共享的IP地址和連接終端類型。

我們在未設(shè)置策略，即不做任何管控的情況下，利用手機或者筆記本連接該路由器共享上網(wǎng)一切正常。

我們通過控制臺開啟共享上網(wǎng)策略，并將行為策略設(shè)置為禁止時，再利用安卓手機訪問新浪網(wǎng)頁，瀏覽器提示信息如圖6所示。

從圖6可以看出，這臺筆記本電腦連接共享路由器172.19.4.90后，訪問互聯(lián)網(wǎng)的通道被阻斷，已經(jīng)無法正常使用互聯(lián)網(wǎng)。由此可見，針對這種無線路由器的管控，效果還是立竿見影的。

方案二測試

本方案測試的重點是無線路由器檢測程序檢測的效果，為了便于演示，本文將檢測程序的四個模塊進行了集成，開發(fā)出一個圖形界面，下面將逐步展示檢測的過程。

1.圖形界面是基于Visual Studio 2010平臺開發(fā)的，在Windows系統(tǒng)中雙擊可執(zhí)行文件即可，圖7是檢測程序啟動的界面。

從圖7可以看出，圖形界面上分為四個標(biāo)簽頁，每個標(biāo)簽頁分別代表了一個模塊，整個檢測流程就是依次執(zhí)行這四個模塊。

2.進行IEEE MAC地址庫查詢；點擊“MAC地址庫查詢”標(biāo)簽下的“查詢”按鈕，查詢出的結(jié)果就是IEEE給出的MAC地址分配表，共有近二萬條，分配范圍覆蓋了全球了的網(wǎng)絡(luò)設(shè)備廠商。

3.篩選無線MAC地址庫；點擊“無線MAC庫查詢”標(biāo)簽。

然后選擇無線廠商，目前我們僅入庫了TP-Link和D-Link兩家廠商，后期可以收集更多無線MAC分配信息進行擴展。下面我們以TP-Link為例來進行說明。選中“TP-LINK”，然后點擊“MAC入庫”按鈕，完成后顯示如圖8所示。

圖8說明無線MAC信息入庫成功，我們可以點擊“查詢”按鈕進行查看。

查詢出來的結(jié)果就是分配給TP-LINK廠商的MAC地址段，這些信息將用于后續(xù)的掃描工作中。

圖7 檢測程序啟動界面

圖8 無線MAC入庫

圖9 啟動TFTP服務(wù)器

圖10 天津核心交換機ARP信息抓取圖

4.網(wǎng)關(guān)ARP數(shù)據(jù)抓??；點擊“ARP數(shù)據(jù)抓取”標(biāo)簽。

由于需要將網(wǎng)關(guān)設(shè)備上的實時ARP信息導(dǎo)出，需要使用到TFTP服務(wù)，TFTP服務(wù)器可以隨意選擇，并沒有任何限制，本文選用的是Tftpd32這個輕量級的TFTP服務(wù)程序。此時需要先啟動TFTP服務(wù)，點擊“啟動TFTP服務(wù)”按鈕即可，如圖9所示。

從圖9可以看出，TFTP服務(wù)器已經(jīng)啟動，下面我們以“天津核心交換機”為例來進行ARP數(shù)據(jù)抓取工作，選中“天津核心交換機”，然后點擊“ARP信息抓取”按鈕，如圖10。

圖10顯示天津核心交換機的實時ARP信息已經(jīng)抓取出來，下一步需要將ARP信息寫入數(shù)據(jù)庫中；點擊“ARP信息入庫”按鈕。

入庫完畢后，選擇查詢目標(biāo)為天津核心交換機，點擊“ARP信息查詢”按鈕查詢剛抓取的ARP信息，如圖11所示。

圖11查詢出的內(nèi)容就是天津核心交換機上的實時ARP信息，主要包括IP地址和對應(yīng)的MAC地址，這也將應(yīng)用于無線節(jié)點掃描。

4.進行無線節(jié)點掃描工作。點擊“掃描無線節(jié)點”標(biāo)簽。

掃描對象選擇“天津核心交換機”，然后點擊“開始掃描”按鈕，即可啟動掃描程序。

掃描工作執(zhí)行完畢后，就可以從數(shù)據(jù)庫中查詢到局域網(wǎng)內(nèi)TP-Link無線路由器的相關(guān)信息了，選擇查詢對象為“天津核心交換機”，點擊“查詢無線節(jié)點”，即可獲得最終的無線路由器掃描結(jié)果。

圖11 天津核心交換機ARP信息查詢

從掃描結(jié)果圖右邊的表格中就可以看到當(dāng)前局域網(wǎng)內(nèi)的TP-Link無線路由器的相關(guān)信息，包括了序號、無線路由器MAC地址、IP地址、位置（接入交換機端口）、廠商和掃描時間。有了這些信息，就可以與無線路由器登記表中的信息進行對照，找出非法接入的無線路由器，結(jié)合點位圖，就可找到非法接入點的物理位置。由于核心交換機上的ARP信息會定時進行更新，所以如果新接入了無線路由器，ARP信息也會同步更新，檢測程序也能夠立即檢測出該無線路由器。