Vers une gestion centralisée du Wifi Ex: évolution du Wireless chez Cisco
Evolution de l administration AP indépendants lourds à gérer quand le nombre augmente: Serveur web embarqué ou CLI SNMP, Scripts?... Deux types d AP: Autonomous indépendants LightWeight nécessite un contrôleur ayant toute l intelligence
Gestion centralisée Solution Cisco: rachat de AireSpace, inventeur de LWAPP Solutions centralisées ~identiques chez constructeurs compétiteurs: Aruba Trapeze Nortel Ruckus
Regardons déjà les Points d accès EOS: Aironet 1000 Series Lightweight Access Point Dual-band 802.11a/b/g Antennes intégrées Pour bureaux, et emplacements similaires Disponible en version «Lightweight» uniquement Aironet 1100 Series Single-band 802.11b/g Antennes intégrées Pour bureaux, et emplacements similaires Disponible en version «Lightweight» et «Autonomous» Aironet 1130 AG Series Dual-band 802.11a/b/g Antennes intégrées Pour bureaux, et emplacements similaires Disponible en version «Lightweight» et «Autonomous» Deux versions possibles : Version «Lightweight» Utilisable avec le Lightweight Access Point Protocol (LWAPP), Cisco Wireless LAN Controler, et Cisco Wireless Control System (WCS) Version «Autonomous» Basé sur IOS Software, et peut de façon optionnelle marcher avec Cisco Works Wireless LAN Solution Engine (WLSE) Deux types d alimentation : Avec «Power injector» Nécessaire si le commutateur sur lequel sont branchées les bornes n est pas PoE Avec «Power supply» Nécessaire si le commutateur est PoE. Par défaut, les bornes contiennent un power supply.
Points d accès Aironet 1200 Series Single-band 802.11b/g Upgrade possible pour réseaux 802.11a/g Disponible en version «Lightweight» et «Autonomous» Aironet 1230 AG Series Dual-band 1 ère génération 802.11a/b/g Disponible en version «Lightweight» et «Autonomous» Aironet 1240 AG Series Dual-band 2 ème génération 802.11a/b/g Environnement industriel (hautes températures, usines, entrepôts, ) Disponible en version «Lightweight» et «Autonomous»
Points/Ponts d accès Tropicalisés (pour l extérieur) Aironet 1300 Series Utilisable en tant que point d accès ou pont d accès (Single-band 802.11b/g) Idéal pour secteurs extérieurs, raccordement de réseaux ou pour infrastructures extérieures pour réseaux mobiles Antennes intégrées ou extérieures optionnelles Support des configurations point à point et point à mutlipoint Disponible en version «Lightweight» et «Autonomous» Aironet 1400 Series Pont d accès Dual-band 1 ère génération 802.11a/Sb/g Support des configurations point à point et point à mutlipoint Antennes intégrées ou extérieures optionnelles Disponible en version «Autonomous» uniquement Aironet 1500 Series Existe en Single-band (802.11 b/g) ou Dual-band 2 ème génération 802.11a/b/g Déploiement évolutif de WLANs extérieurs utilisant la technologie «Mesh» Disponible en version «Lightweight» uniquement
Contrôleurs WLAN Gestion des réseaux sans fil sécurisés à l échelle de l entreprise Utilisation du protocole sécurisé LWAPP (Lightweight Access Point Protocol) entre points d accès et contrôleurs WLAN 2 gammes selon le besoin 1. 2106 (ceux de l IUT) Destinée aux environnements des petites et moyennes entreprises Gère jusqu à 6 points d accès Intègre les services DHCP et la configuration automatique des points d accès 2. Gamme 4000 Conçue pour les installations de taille moyenne à grande Gère selon le modèle 12, 25, 50 ou 100 points d accès Ports Gigabit Ethernet et slots d extensions (pour le support de la terminaison VPN) Alimentation électrique redondante en option 3. Cartes WISM ou dans ISR Les contrôleurs WLAN sont également disponibles dans la gamme Cisco Catalyst 6500 et dans la gamme des routeurs ISR (Integrated Service Routers)
Contrôleurs WLAN Controller WLAN 2106 (ceux de l IUT) 8 ports 10/100 Ethernet (RJ-45) Supporte 6 point d accès Deux ports PoE Interface Web d administration Interface CLI mais pas IOS http://www.cisco.com/en/us/products/ps7221/index.html
Contrôleurs WLAN Controller WLAN 4402 2 ports 1000Base-x (SFP) 1 slot d extension Supporte selon modèle 12, 25 ou 50 points d accès Module de connexion VPN en option assurant un cryptage IPSec pour les VPN Controller WLAN 4404 4 ports 1000Base-x (SFP) 2 slots d extension Supporte 100 point d accès Module de connexion VPN en option assurant un cryptage IPSec pour les VPN
Wireless intégré dans des commutateurs ou routeurs Cisco Catalyst 6500 Series Wireless Services Module (WiSM) Fonctionne avec les points d accès légers Aironet, Cisco Wireless Control System, et Cisco Wireless Location Appliance Fournit une communication en temps réel entre les points d accès légers et les autres contrôleurs WLAN pour fournir une solution sans fil sécurisée et unifiée Supporte 300 points d accès Cisco Wireless LAN Controler Module Pour les structures de petite à moyenne envergure Fonctionne sur les routeurs Cisco 2800 et 3800 Series à services intégrés et sur les routeurs Cisco 3700 Supporte 6 points d accès
Présentation de l architecture de gestion centralisée
Les bornes «lourdes» Inconvénients : les points d'accès individuels utilisés sans unité de gestion doivent être gérés un à un les attaques et les interférences sur l ensemble du réseau ne sont pas détectables sur le système tout entier le système par lui-même est incapable d effectuer des corrélations ou des prédictions d activité sur l ensemble de l entreprise il existe un risque inhérent de sécurité en cas de vol ou de manipulation d un point d accès
Les bornes légères (Lightweight Access Point) Avantages : simplifient les opérations de gestion des WLANs réduire la quantité de traitement réalisée par un point d'accès La centralisation de l intelligence sur les contrôleurs Évolutivité Sécurité (en cas de vol)
Light Weight Access Point Protocol «LWAPP» LWAPP : protocole de communication entre les bornes et le contrôleur LWAPP contribue à assurer la sécurité des communications entre les bornes et le contrôleur Schéma de principe LWAPP : LWAPP AP WLC Chiffrement des flux de contrôle (AES-CCM) Authentification mutuelle AP-Contrôleur
LWAPP LWAPP à l origine un protocole de niveau 2 limitations Rapidement élevé au niveau 3 de manière à devenir routable
Format de la trame LWAPP Deux types de trames sont utilisés. Un type de trame pour les données utiles et l autre pour les trames de contrôle. Le protocole est routable et utilise les ports UDP 12222 et 12223
La connectivité vers le contrôleur Les bornes utilisées pour cette architecture sont dites légères. Elles sont livrées avec une image de base permettant de contacter le contrôler pour établir un tunnel LWAPP. l intelligence et la configuration sont gérées par le contrôleur Chaque borne connaît au préalable son adresse IP, l adresse IP de la default gateway et l adresse IP de l interface de Management Lorsque l ensemble de ces trois paramètres sont renseignés l AP est capable de monter un tunnel LWAPP avec l interface AP Manager du contrôleur
Procédure d établissement d un tunnel LWAPP La borne fait une demande d adresse IP par le Protocol DHCP. Cas 1 : La borne reçoit une adresse IP par DHCP avec L option 43 paramétrée. Cette option permet de renseigner l adresse ip du controller sur lequel la borne doit se rattacher. Cas 2 : La borne reçoit une adresse ip mais l option 43 du DHCP n a pas été renseignée. Dans ce cas la borne tente de faire une résolution DNS sur CISCO- LWAPP-CONTROLLER.localdomain. Il faudra au préalable renseigner dans le dns, pour ce nom, l adresse IP du «controller».
Procédure d établissement d un tunnel LWAPP(suite) Lorsque la borne a son IP et qu elle connaît l adresse du «controller», elle envoie une requête «LWAPP Join» Le WLC répond à la borne l autorisant le point d accès à monter son tunnel LWAPP La borne télécharge son image sur le WLC (firmware, configuration) et redémarre La borne est associée au WLC
«Over-the-air provisionning»
Outils de management pour points d accès «Lightweight» Cisco Wireless Control System (WCS) Composant facultatif fonctionnant avec les points d accès Cisco «Lightweight» et les contrôleurs WLAN de Cisco Plateforme pour la planification, la configuration, et la gestion de WLAN Permet aux équipes techniques de concevoir, contrôler, et surveiller les réseaux WLAN de l entreprise composés de points d accès Cisco «Lightweight» et de contrôleurs WLAN de façon centralisé
Outils de management pour points d accès «Lightweight» Cisco Wireless Location Appliance (Serveur de localisation sans fil) Première solution industrielle de localisation permettant de suivre simultanément plusieurs milliers d unités au sein même de l infrastructure de réseau WLAN Met à la disposition des applications critiques comme le suivi des actifs de valeur, la gestion informatique, et la sécurité par secteur, toute la puissance d une solution économique à haute résolution Utilise les contrôleurs WLAN et les points d acès «Lightweight» pour localiser des dispositifs à quelques mètre près Installation rapide et intuitive
Outils de management pour points d accès Autonomous» CiscoWorks Wireless LAN Solution Engine (WLSE) Système de management centralisé pour moyenne à grande structure utilisant des points d accès Aironet «Autonomous» et des ponts sans fil Permet la gestion complète radiofréquence (RF) et des dispositifs afin de simplifier le déploiement, de réduire la complexité opérationnelle et de fournir la plus grande visibilité du réseau à l administrateur
Outils de management pour points d accès «Autonomous» CiscoWorks Wireless LAN Solution Engine Express Compléter la solution de management des WLAN Serveur intégré de AAA pour les petites et moyennes structure utilisant des points d accès Cisco Aironet «Autonomous» et des ponts sans fil
Wireless Control System (WCS) Couche supplémentaire sur WLC Service d administration et supervision des WLC Géolocalisation Détection de «Rogues» IDS et «containment» Création de rapports automatisés Gestion des alarmes Reporting