Vers une gestion centralisée du Wifi - IUT de...
Transcript of Vers une gestion centralisée du Wifi - IUT de...
Evolution de l’administration
AP indépendants lourds à gérer quand le nombre augmente:
Serveur web embarqué ou CLI
SNMP, Scripts ?...
Deux types d’AP:
Autonomous indépendants
LightWeight nécessite un contrôleur
ayant toute l’intelligence
Gestion centralisée
Solution Cisco: rachat de AireSpace, inventeur de LWAPP
Solutions centralisées ~identiques chez constructeurs compétiteurs:
Aruba
Trapeze
Nortel
Ruckus
Regardons déjà les Points d’accès
EOS: Aironet 1000 Series Lightweight Access Point
Dual-band 802.11a/b/g
Antennes intégrées
Pour bureaux, et emplacements similaires
Disponible en version « Lightweight » uniquement
Aironet 1100 Series
Single-band 802.11b/g
Antennes intégrées
Pour bureaux, et emplacements similaires
Disponible en version « Lightweight » et « Autonomous »
Aironet 1130 AG Series
Dual-band 802.11a/b/g
Antennes intégrées
Pour bureaux, et emplacements similaires
Disponible en version « Lightweight » et « Autonomous »
Deux versions possibles :
• Version « Lightweight »
• Utilisable avec le Lightweight Access Point
Protocol (LWAPP), Cisco Wireless LAN
Controler, et Cisco Wireless Control System
(WCS)
• Version « Autonomous »
• Basé sur IOS Software, et peut de façon
optionnelle marcher avec Cisco Works
Wireless LAN Solution Engine (WLSE)
Deux types d’alimentation :
• Avec « Power injector »
• Nécessaire si le commutateur sur lequel sont
branchées les bornes n’est pas PoE
• Avec « Power supply »
• Nécessaire si le commutateur est PoE. Par
défaut, les bornes contiennent un power
supply.
Points d’accès
Aironet 1200 Series
Single-band 802.11b/g
Upgrade possible pour réseaux 802.11a/g
Disponible en version « Lightweight » et « Autonomous »
Aironet 1230 AG Series
Dual-band 1ère génération 802.11a/b/g
Disponible en version « Lightweight » et « Autonomous »
Aironet 1240 AG Series
Dual-band 2ème génération 802.11a/b/g
Environnement industriel (hautes températures, usines, entrepôts, …)
Disponible en version « Lightweight » et « Autonomous »
Points/Ponts d’accès – Tropicalisés (pour l’extérieur)
Aironet 1300 Series
Utilisable en tant que point d’accès ou pont d’accès (Single-band 802.11b/g)
Idéal pour secteurs extérieurs, raccordement de réseaux ou pour infrastructures
extérieures pour réseaux mobiles
Antennes intégrées ou extérieures optionnelles
Support des configurations point à point et point à mutlipoint
Disponible en version « Lightweight » et « Autonomous »
Aironet 1400 Series
Pont d’accès Dual-band 1ère génération 802.11a/Sb/g
Support des configurations point à point et point à mutlipoint
Antennes intégrées ou extérieures optionnelles
Disponible en version « Autonomous » uniquement
Aironet 1500 Series
Existe en Single-band (802.11 b/g) ou Dual-band 2ème génération 802.11a/b/g
Déploiement évolutif de WLANs extérieurs utilisant la technologie « Mesh »
Disponible en version « Lightweight » uniquement
Contrôleurs WLAN Gestion des réseaux sans fil sécurisés à l’échelle de l’entreprise
Utilisation du protocole sécurisé LWAPP (Lightweight Access Point Protocol) entre points d’accès et contrôleurs WLAN
2 gammes selon le besoin
1. 2106 (ceux de l’IUT)
Destinée aux environnements des petites et moyennes entreprises
Gère jusqu’à 6 points d’accès
Intègre les services DHCP et la configuration automatique des points d’accès
2. Gamme 4000
Conçue pour les installations de taille moyenne à grande
Gère selon le modèle 12, 25, 50 ou 100 points d’accès
Ports Gigabit Ethernet et slots d’extensions (pour le support de la terminaison VPN)
Alimentation électrique redondante en option
3. Cartes WISM ou dans ISR
Les contrôleurs WLAN sont également disponibles dans la gamme Cisco Catalyst 6500 et dans la gamme des routeurs ISR (Integrated Service Routers)
Contrôleurs WLAN
Controller WLAN 2106 (ceux de l’IUT) 8 ports 10/100 Ethernet (RJ-45)
Supporte 6 point d’accès
Deux ports PoE
Interface Web d’administration
Interface CLI mais pas IOS
http://www.cisco.com/en/US/products/ps7221/index.html
Contrôleurs WLAN
Controller WLAN 4402 2 ports 1000Base-x (SFP)
1 slot d’extension
Supporte selon modèle 12, 25 ou 50 points d’accès
Module de connexion VPN en option assurant un
cryptage IPSec pour les VPN
Controller WLAN 4404 4 ports 1000Base-x (SFP)
2 slots d’extension
Supporte 100 point d’accès
Module de connexion VPN en option assurant un cryptage IPSec pour les VPN
Wireless intégré dans des commutateurs ou routeurs
Cisco Catalyst 6500 Series Wireless Services Module (WiSM) Fonctionne avec les points d’accès légers Aironet, Cisco Wireless
Control System, et Cisco Wireless Location Appliance
Fournit une communication en temps réel entre les points d’accès
légers et les autres contrôleurs WLAN pour fournir une solution sans fil
sécurisée et unifiée
Supporte 300 points d’accès
Cisco Wireless LAN Controler Module
Pour les structures de petite à moyenne envergure
Fonctionne sur les routeurs Cisco 2800 et 3800 Series à
services intégrés et sur les routeurs Cisco 3700
Supporte 6 points d’accès
Wireless Controller Product Portfolio
Number of APs
100 25
WiSM-300
12 50 300 6
Perf
orm
ance &
Scale
1
5508-12
250 500
5508-12, 25, 50, 100, 250 (LICENSE-BASED)
5508-25 5508-50 5508-100 5508-250
WLCME-6, 8, 12, 25
3750G-25, 50
4404-100
4402-12, 25, 50
2106, 12, 25
H-REAP
Les bornes « lourdes »
Inconvénients : les points d'accès individuels utilisés sans unité
de gestion doivent être gérés un à un les attaques et les interférences sur l’ensemble
du réseau ne sont pas détectables sur le système tout entier
le système par lui-même est incapable d’effectuer des corrélations ou des prédictions d’activité sur l’ensemble de l’entreprise
il existe un risque inhérent de sécurité en cas de vol ou de manipulation d’un point d’accès
Les bornes légères (Lightweight Access Point)
Avantages : simplifient les opérations de gestion des
WLANs réduire la quantité de traitement
réalisée par un point d'accès La centralisation de l’intelligence sur
les contrôleurs Évolutivité Sécurité (en cas de vol)
Light Weight Access Point Protocol « LWAPP »
LWAPP : premier protocole de communication entre les bornes et le contrôleur
LWAPP contribue à assurer la sécurité des communications entre les bornes et le contrôleur
Schéma de principe LWAPP :
LWAPP
Authentification mutuelle
AP-Contrôleur
Chiffrement des flux de contrôle
(AES-CCM)
AP WLC
LWAPP
LWAPP à l’origine un protocole de niveau 2 limitations
Rapidement élevé au niveau 3 de manière à devenir routable, sans nécessité de cablage direct entre AP et switch du controller
LWAPP-L2
Lightweight
Access
Points
Cisco WLAN
Controller
LWAPP-L3
Lightweight
Access Points
Cisco WLAN
Controller
LWAPP-L3
MAC Header LWAPP Header (C=0) Data …
LWAPP-L2 : Data Message
MAC Header LWAPP Header (C=1) Control Msg
LWAPP-L2 : Control Message
Control Elts …
MAC Header LWAPP Header (C=0) Data …
LWAPP-L3 : Data Message
MAC Header LWAPP Header (C=1) Control Msg
LWAPP-L3 : Control Message
Control Elts …
IP UDP=12222
IP UDP=12223
Layer 2 LWAPP is in an Ethernet frame (Ethertype 0xBBBB)
Cisco WLAN Controller and AP must be connected to the same VLAN/subnet
Layer 3 LWAPP is in a UDP / IP frame Data traffic uses source port 1024 and destination 12222
Control traffic uses source port 1024 and destination port 12223
Cisco Controller and AP can be connected to the same VLAN/subnet or connected to a different VLAN/subnet
Requires IP addressing of Cisco Lightweight AP
Format de la trame LWAPP
Deux types de trames sont utilisés
pour les données utiles
pour les trames de contrôle.
Le protocole est routable
utilise les ports UDP 12222 et 12223
La connectivité vers le contrôleur
Les bornes légères
livrées avec une image de base permettant de contacter le contrôler pour établir un
tunnel LWAPP
Le contrôleur (Wireless LAN Controller – WLC) possède l’intelligence et gère la configuration de toutes les bornes affiliées
Chaque borne connaît au préalable: son @IP, @IP de default gateway @IP de l’interface de Management du contrôleur
Afin d’être capable de monter un tunnel LWAPP avec l’interface AP Manager du contrôleur
Procédure d’établissement d’un tunnel LWAPP
La borne fait une demande d’adresse IP par le Protocol DHCP.
Cas 1 : • La borne reçoit une @IP par DHCP avec l’option 43
paramétrée permet de renseigner l’adresse ip de son futur controller sur lequel la borne doit se rattacher.
Cas 2 : • La borne reçoit une @IP mais l’option 43 du DHCP n’a
pas été renseignée • Dans ce cas la borne tente de faire une résolution
DNS sur CISCO-LWAPP-CONTROLLER.localdomain au préalable renseignée dans le dns pour correspondre à l’@IP du management du contrôleur
Procédure d’établissement d’un tunnel LWAPP(suite)
Lorsque la borne a son IP et qu’elle connaît l’adresse de management du contrôleur (WLC), elle envoie une requête « LWAPP Join »
Le WLC répond à la borne l’autorisant l’AP à monter son tunnel LWAPP
La borne télécharge son image sur le WLC (firmware, configuration) et redémarre
La borne est maintenant définitivement associée au WLC
Fonctionnement des 1ère/2ème générations
L’AP agit comme un bridge 802.1Q
Il répartit le trafic directement entre les différents VLAN
Data VLAN
Voice VLAN
Management VLAN
Fonctionnement de la 3ème génératio
L’AP encapsule tout le trafic dans un tunnel LWAPP (ou CAPWAP maintenant) en direction du controller
Le controller bridges le trafic des clients de manière centrale
Data VLAN
Voice VLAN
Management VLAN
LWAPP/CAPWAP
Tunnel
CAPWAP
What is CAPWAP?
CAPWAP - Control And Provisioning of Wireless Access Points is used between APs and WLAN Controller and based on LWAPP
CAPWAP carries control and data traffic between the two Control plane is DTLS encrypted (%AES-CCM encrypted in LWAPP)
Data plane is DTLS optionnaly encrypted (% not encrypted in LWAPP)
LWAPP-enabled access points can discover and join a CAPWAP controller and conversion to a CAPWAP controller is seamless
CAPWAP is not supported on Layer-2 mode deployment
Access Point Controller
WiFi Client
Business Application
Control Plane
Data Plane
Access Point: Local Mode
Mode par defaut:
Data services
Monitoring services
AP will scan all channels over 180 seconds by default
Only management packets are inspected for intrusion detection system (IDS) signature matches
Utilisable pour site surveys
Access Point: Monitor Mode
Software configuration to reduce AP capabilities to perform only WLAN monitoring on a per-AP basis: Trusted AP policies
Rogue policies
Signatures Both data and management packets are
inspected for IDS signature matches
AP will scan all channels for 1.1 seconds
AP only a beacon device
Works in conjunction with products like AiroPeek or AirMagnet to monitor a single wireless channel
Requires an external server to capture the packets
Gathers the following data
Time stamp
Signal strength
Packet size
Access Point: Sniffer Mode
Access Point: Rogue Detector Mode
Software configuration to reduce AP capabilities to perform only rogue detection on a per-AP basis Listens for rogue devices on the wired network
Compares ARP request heard on the network to rogue MAC address reported by the controller
Generates an alarm when a wireless rogue is seen on the wired side
Does not allow client connectivity – radios are shut down, 100% of CPU dedicated to rogue detection
Does not perform rogue containment
Hybrid REAP H-REAP AP can be controlled across WAN links:
Designed to support remote offices
Control traffic still LWAPP-encapsulated and sent to Cisco Wireless LAN Controller (WLC); client data can be locally bridged
All management control and RF management is available when WAN link is up and connectivity is available to Cisco WLC.
H-REAP can remain operational when unable to communicate with a controller during a WAN outage.
H-REAP
When operating in LWAPP, H-REAP-compatible APs have two possible modes:
Connected mode (connected state): When H-REAP can reach the controller, it gets help from the controller to complete client authentication
Standalone mode (disconnected state): When the AP cannot reach the controller, it processes client requests based on local settings and rules
Once an AP is configured as H-REAP, the controller will inform the AP of the mode change through an LWAPP control message. The AP saves this information in NVRAM and boots with the new mode.
In connected mode, H-REAP traffic can be backhauled to the controller or locally bridged.
H-REAP in Connected Mode
HREAP in Standalone Mode
Standalone mode (disconnected): When the controller is not reachable by H-REAP, it goes into standalone mode and performs client authentication by itself
All the following authentication types are supported in standalone mode: Open, WPA-PSK, WPA2-PSK, 802.1X Central-switched WLANs will shut down Local-switched WLANs will remain up:
Authentication of local WLANs continues to operate normally
Existing 802.1x authenticated clients continue sessions until they roam or trigger session reauthentication
New 802.1x clients are authenticated on the AP, from a local user list
Unsupported features when in standalone mode: RRM, Cisco Centralized Key Management , WIDS, LBS,
AP modes WebAuth, NAC
Roaming Concept
Roaming refers to movement of clients across Cisco APs while transmitting
Roaming can occur across different mobility groups, but must be within a mobility domain
The Cisco WLC can reside in only a single mobility group
The following should be consistent for mobility groups:
Mobility group membership
Code across all member controllers
LWAPP mode across all member controllers
ACLs configured on all member controllers
WLAN configuration
Virtual IP address
Two types of roaming
Intrasubnet roaming (Layer 2)
Intersubnet roaming (Layer 3)
Cisco Wireless Layer 2 Roaming
Single Cisco WLC
Or multiple Cisco WLCs in the same subnetwork
Transparent to the client
The session is sustained during connection to the new AP
The client continues using the same DHCP-assigned or static IP address
Cisco Wireless Layer 3 Roaming
Multiple Cisco WLCs in different subnetworks Transparent to the client The session is sustained during connection
to the new AP Tunnel between the anchor Cisco WLC and
foreign Cisco WLC along with special handling of the client traffic by both controllers allows the client to continue using the same DHCP or client-assigned IP address while the session remains active
Set up via either a symmetric or asymmetric tunnel
Outils de management pour points d’accès « Autonomous » - Historique
CiscoWorks Wireless LAN Solution Engine (WLSE) Système de management centralisé pour moyenne à grande structure utilisant des
points d’accès Aironet « Autonomous » et des ponts sans fil
Permet la gestion complète radiofréquence (RF) et des dispositifs afin de simplifier le déploiement, de réduire la complexité opérationnelle et de fournir la plus grande visibilité du réseau à l’administrateur
Outils de management pour points d’accès « Lightweight »
Cisco Wireless Control System (WCS) Composant facultatif fonctionnant avec les points d’accès Cisco
« Lightweight » et les contrôleurs WLAN de Cisco
Plateforme pour la planification, la configuration, et la gestion de WLAN
Permet aux équipes techniques de concevoir, contrôler, et surveiller les réseaux WLAN de l’entreprise composés de points d’accès Cisco « Lightweight » et de contrôleurs WLAN de façon centralisé
Outils de management pour points d’accès « Lightweight »
Cisco Wireless Location Appliance (Serveur de localisation sans fil) Première solution industrielle de localisation permettant de suivre simultanément
plusieurs milliers d’unités au sein même de l’infrastructure de réseau WLAN
Met à la disposition des applications critiques comme le suivi des actifs de valeur, la gestion informatique, et la sécurité par secteur, toute la puissance d’une solution économique à haute résolution
Utilise les contrôleurs WLAN et les points d’acès « Lightweight » pour localiser des dispositifs à quelques mètre près
Installation rapide et intuitive