问: 我在最近一次Wi-Fi测试中,发现有来自智能手机的对等网络通信(特别是早期的iPhones)。这个问题该如何解决?
答:企业WLAN正面临着日益增加的射频挑战,它们来自用户电子设备所形成的个人Wi-Fi网络。两个典型的例子是支持Wi-Fi端对端打印任务的打印机和支持个人Wi-Fi热点,3G/4G Internet连接共享的智能手机。
以前,打印机有广播802.11对等模式的SSID,这现在逐渐被Wi-Fi Direct所取代。对于有无线入侵防御系统或是内置流氓AP扫描系统来识别和检测的WLAN,对等模式SSID是毫无用处的。甚至是像NetStumbler这样的手动扫描工具也能轻松地找到对等模式SSID。
处理对等网络通信通常有以下方法:
让WLAN自动改变信道来避免同信道的干扰。
设置客户端接入策略或是引入无线入侵防御系统屏蔽对等网络,防止受信用户连上未经授权的对等网络。
可惜,广播个人Wi-Fi热点SSID的智能手机可能很难被有效区分和处理。一些个人热点很容易看出是由制造商或是运营商提供的SSID(例如, "Lisa 的iPhone")。但是一旦重新配置个人Wi-Fi热点名字,根据SSID判断的黑名单就失效了。 一些个人热点也能通过MAC地址被查到(特别是,制造商的OUI)。然而,OUI白名单比较复杂而且较难维护。因此,导致周围不稳定的流氓AP也显著增加。
那么如何才能减少和避免问题?首先,让WLAN自动改变信道,避免流氓AP造成的破坏。如果受信的Wi-Fi客户端支持5GHz,想让危险最小化,可以考虑最大化使用5GHz,因为很多智能手机频率只工作在2.4GHz(至少目前是)。当然最好使用高增益天线或是其他途径来调整WLAN的射频,避免智能手机微弱短暂的射频过度干扰。
其次,如果设备级别较低,无线入侵防御系统阻止连上这些智能手机的射频会影响来宾,邻近企业或是受信用户。那么,请学习WLAN或是无线入侵防御系统是如何区分个人热点。比如,智能手机射频会触发软AP、主机AP或是有潜在危险AP的警报吗?无线入侵防御系统能使用状态跟踪或是设备指纹,来区分个人热点是不是外部AP吗?你能通过配置基本的SSID或OUI黑名单来加强分类吗?一旦你知道智能手机射频如何分类,就可以做出明智的决定:是否和在哪里开启无线入侵防御系统的屏蔽功能。
遗憾的是,我没有一个很好的解决方案。智能手机热点正不断扩大,占据着整个领空;很多设备都在IT控制之外。查出它们的位置,评估它们对你WLAN的影响是正确解决这类不当竞争的重要一步。