Académique Documents
Professionnel Documents
Culture Documents
Chap11 - Reseau Wifi Pratiques
Chap11 - Reseau Wifi Pratiques
18/05/04
13:10
Page 1
s o l u t i o n s
r s e a u x
D A V O R
G U Y
M A L E S
P U J O L L E
Wi-Fi
par la pratique
Avec la contribution de
Olivier Salvatori
Deuxime dition
11
Wi-Fi dentreprise
Wi-Fi pntre de plus en plus le monde de lentreprise, surtout celui des petites entreprises, faible effectif.
Un rseau Wi-Fi na gnralement pas pour mission de remplacer le rseau Ethernet existant. Il est plutt considr comme une extension de ce rseau, offrant lavantage dune
connectivit sans fil. Si lentreprise occupe une superficie restreinte et na quun petit
nombre de postes, par exemple une dizaine, Wi-Fi peut toutefois suffire, limitant lachat
et linstallation de prises Ethernet, de cbles et de switchs.
Le prix des quipements Wi-Fi nest pas trs lev, pour peu que lon raisonne long
terme et que lon prenne en compte lconomie lie au matriel filaire (cble, prise,
switch).
Au sein dune entreprise, Wi-Fi peut tre considr soit comme un rseau dexploitation,
o la scurit doit tre accrue de faon viter les coutes clandestines, soit comme un
rseau dit dinvits, permettant, par exemple, aux visiteurs daccder Internet. Dans ce
dernier cas, il est prfrable de sparer ce rseau de celui de lentreprise.
Lavantage de Wi-Fi est que, sagissant dun standard IEEE, il est facile de lintgrer
un autre environnement IEEE, comme Ethernet. De ce fait, linstallation dun point
daccs Wi-Fi dans un rseau dentreprise peut tre compare celle dun hub ou dun
switch.
Comme le chapitre prcdent, consacr linstallation dun rseau Wi-Fi domestique,
le prsent chapitre dcrit les tapes dinstallation et de configuration dun rseau Wi-Fi
dentreprise, en insistant sur la scurit, qui constitue souvent un frein son dploiement.
344
Pratique de Wi-Fi
PARTIE II
Architecture rseau
Dans une entreprise, larchitecture dun rseau Wi-Fi peut diffrer grandement suivant la
taille du rseau, le nombre de postes connecter et les objectifs assigns ce dernier. La
scurit tient un rle prpondrant dans cette architecture.
Larchitecture rseau dune petite entreprise comprenant un seul point daccs avec une
connexion Internet par modem cble ou ADSL ne diffre pas de celle dun rseau domestique, telle quillustre au chapitre prcdent.
Les seules options possibles tiennent la gestion des fonctionnalits de serveur DHCP,
de routeur NAT et de connexion Internet, qui peut seffectuer soit au niveau du point
daccs, soit par le biais dune passerelle ddie. Par lintermdiaire dun switch, il est
ensuite possible dajouter un ou plusieurs points daccs.
Internet
Station
Station
Point
d'accs
Modem
Switch
Point
d'accs
Point
d'accs
Figure 11.1
Architecture dun rseau Wi-Fi comprenant plusieurs points daccs relis un switch
Wi-Fi dentreprise
CHAPITRE 11
345
La figure 11.1 illustre une architecture o le point daccs joue le rle de serveur DHCP,
de routeur NAT et de passerelle de connexion Internet et o un switch lui est connect
pour permettre lajout de nouveaux points daccs larchitecture.
Dans le cas o le rseau utilise une passerelle, le switch doit tre install derrire la
passerelle, et chaque nouveau point daccs tre connect celui-ci, comme illustr la
figure 11.2.
Internet
Passerelle avec
routeur NAT
et serveur DHCP
Modem
Switch
Point
d'accs
Point
d'accs
Figure 11.2
Architecture dun rseau Wi-Fi avec passerelle comprenant plusieurs points daccs relis un switch
Le plus souvent, le rseau Wi-Fi se greffe sur un rseau Ethernet existant, lequel possde
dj certaines fonctionnalits, telles que DHCP, la connexion Internet ou encore NAT.
La figure 11.3 illustre un rseau dentreprise constitu de deux sous-rseaux connects
entre eux via un WAN (Wide-Area Network) par lintermdiaire de routeurs.
346
Pratique de Wi-Fi
PARTIE II
et
ern
Eth
Point
d'accs
Serveur
DHCP
Routeur
et
ern
Eth
WAN
Point
d'accs
Routeur
Point
d'accs
Point
d'accs
Figure 11.3
Choix du standard
Comme expliqu tout au long de cet ouvrage, Wi-Fi est une certification qui correspond
trois standards diffrents, 802.11b, 802.11a et 802.11g. 802.11b et 802.11g, qui est
compatible avec 802.11b, voluent tous deux dans la bande des 2,4 GHz, avec des vitesses
de transmission respectives comprises entre 1 et 11 Mbit/s et 1 et 54 Mbit/s. 802.11a
nest compatible ni avec 802.11b ni avec 802.11g car il volue dans une bande de
frquences diffrente, celle des 5 GHz. 802.11a propose des vitesses de transmission
comprises entre 6 et 54 Mbit/s et est donc comparable 802.11g.
Wi-Fi dentreprise
CHAPITRE 11
347
Si, pour un rseau domestique, le choix se porte clairement sur 802.11g, il nen va pas de
mme pour les rseaux dentreprise.
802.11g partage la mme bande de frquences que 802.11b, avec lequel il est compatible,
mais avec des vitesses de transmission suprieures. Lencombrement de la bande ISM et
son plan frquentiel assez complexe (voir le chapitre 8) sont ses points faibles. 802.11a
propose un plan frquentiel extrmement simple, avec des vitesses comparables celles
de 802.11g, dans une bande libre de toutes interfrences, contrairement 802.11b et
802.11g
802.11g correspond cependant le plus souvent la meilleure solution. Le parc actuel des
terminaux utilise plus de 90 p. 100 le standard 802.11b. 802.11g tant compatible avec
802.11b, son intgration dans un rseau dentreprise existant nengendre aucun problme
de compatibilit. linverse, le taux doccupation de 802.11a compar celui de
802.11b est extrmement faible, ne dpassant pas 5 p. 100. Le passage total 802.11a
exige le changement de toutes les cartes Wi-Fi quipant les terminaux, ce qui implique un
cot non ngligeable, le prix de revient des quipements 802.11a tant deux trois fois plus
lev que celui des mmes quipements 802.11g.
Si 802.11g peut apparatre comme le meilleur choix, certains peuvent estimer que ce
standard nest pas tout fait mr, quil na pas t prouv, la diffrence de 802.11b, et
surtout quil nest pas encore certifi Wi-Fi. Prcisons que daprs la plupart des tests qui
ont t effectus, toutes les cartes Wi-Fi 802.11b fonctionnent avec des points daccs
802.11g. Par ailleurs, les points daccs 802.11g tant plus rcents, ils proposent davantage de fonctionnalits, notamment en terme de scurit, que les points daccs 802.11b,
dj vieillissants. La certification Wi-Fi, qui garantit linteroprabilit entre les quipements, nest pas un rel problme pour quiper son rseau. Il suffit que lentreprise ou le
prestataire qui a en charge cette installation choisisse un unique constructeur pour les
cartes Wi-Fi et les points daccs associs.
Si lentreprise possde dj un parc 802.11b install et que le rseau Wi-Fi convienne
amplement ses besoins, autant attendre 802.11n, la future volution de Wi-Fi. Si en
revanche elle souhaite se doter de fonctionnalits que ne propose pas son rseau, comme
la tlphonie IP Wi-Fi, ou renforcer ses politiques de scurit, il est prfrable de choisir
un matriel 802.11g, compatible 802.11b.
Les quipements multistandards sont une autre solution. Malgr la dmocratisation en
cours de ces quipements, leur cot reste cependant assez lev. Presque tous les constructeurs proposent ce type de matriel.
Les technologies Wi-Fi voluent tous les deux trois ans. Cette volution doit tre anticipe
afin de contrler les investissements. 802.11n, qui propose un dbit gal ou suprieur
Ethernet 100, verra le jour dici un deux ans. Comme ce standard sera compatible avec
802.11a et 802.11g, des points daccs et des cartes multistandards 802.11n, 802.11g et
802.11a seront disponibles ds sa commercialisation. Dici 2008, le parc Wi-Fi devrait
tre compltement fond sur 802.11n.
348
Pratique de Wi-Fi
PARTIE II
Qualit de service
Lintgration de la qualit de service, ou QoS (Quality of Service), dans Wi-Fi par le
biais du standard 802.11e sera dici peu une autre fonctionnalit critique. Avec la QoS,
Wi-Fi pourra offrir des applications de voix et de vido permettant, par exemple, une
entreprise de faire passer ses communications tlphoniques via Wi-Fi. La QoS ne peut
toutefois tre supporte par Wi-Fi que par le biais de cartes et de points daccs supportant
cette fonctionnalit.
Certains points daccs et tlphones IP Wi-Fi supportent dj une prversion de 802.11e.
Bien que la finalisation de ce standard ne soit pas prvue avant la fin de 2004, certains
constructeurs, comme Cisco Systems et Symbol, se sont mis daccord pour en proposer
une mme prversion afin de garantir une certaine interoprabilit. Cette compatibilit
doit cependant tre vrifie avant dinstaller une solution de tlphonie IP Wi-Fi.
Gestion de la mobilit
Une autre caractristique importante dun rseau dentreprise est la gestion de la mobilit
de lutilisateur. Dans le standard dont est issu Wi-Fi, aucun mcanisme nimplmente
une telle fonctionnalit. Lorsquun utilisateur se dplace dune cellule une autre, sa
communication est coupe, et toute transmission en cours doit tre renouvele.
Avec larrive prochaine de la QoS dans les environnements Wi-Fi, des services de voix,
comme la tlphonie IP, et de vido seront disponibles. La continuit de ces services ne
pourra toutefois tre assure qu deux conditions : que toutes les cellules se recouvrent,
permettant lutilisateur de ne pas sortir du rseau, et quun protocole de mobilit soit
implment dans le rseau.
Wi-Fi dentreprise
CHAPITRE 11
349
Presque tous les constructeurs proposent des protocoles propritaires permettant de grer
la mobilit en attendant la finalisation du standard 802.11f.
Point
d'accs
Point
d'accs
nt
et
ern
e
alim
Eth
et
ern
Eth
PoE
Point d'accs
branch
au courant
350
Pratique de Wi-Fi
PARTIE II
Un cble Ethernet est constitu de quatre paires de fils. Dans le cas des cbles Ethernet de
catgorie 5, seules deux paires sont utilises pour les transmissions, les deux autres
ntant pas utilises. 802.3af se focalise sur ces deux paires non utilises pour faire passer
le courant faible puissance afin de ne pas influer sur les deux autres paires.
LIEEE nest pas le seul organisme de standardisation proposer une telle technologie. De
nombreux constructeurs, comme Cisco Systems, proposent leur propre standard, hlas
incompatible avec 802.3af.
La technologie 802.3af ne demande quun botier PoE connect au rseau et des quipements compatibles PoE, comme illustr la figure 11.4. Le courant tant transmis
faible puissance, laffaiblissement sur la distance est assez important. Il est donc ncessaire de placer dautres botiers PoE tous les 100 m environ. Un botier PoE ne peut
alimenter quun certain nombre dquipements. Ce nombre dpendant des offres des
constructeurs, il est vrifier avant tout achat.
Lavantage de PoE est videmment de faciliter linstallation des points daccs, car il est
plus facile de tirer un cble Ethernet quun cble lectrique. Cette solution nest dailleurs
pas seulement valable pour Wi-Fi. Elle trouve un march dans toutes les solutions de
tlphonie IP, o le combin tlphonique IP est connect au rseau et aliment par la
prise Ethernet.
Choix de larchitecture
Il existe actuellement deux types darchitecture pour les rseaux Wi-Fi dentreprise,
larchitecture centralise et larchitecture distribue.
Dans larchitecture centralise, toute lintelligence est situe dans un contrleur, qui
prend en charge la totalit du rseau Wi-Fi. Tous les points daccs sont alors connects
via le rseau Ethernet de lentreprise ce serveur central.
Le contrleur implmente gnralement les fonctionnalits suivantes :
Gestion de la mobilit. La gestion de la mobilit rsultant dun accord entre points
daccs, cet accord est gr automatiquement par le contrleur. Cette gestion ne peut
se faire que si les cellules Wi-Fi utilisent le mme standard.
Configuration automatique. Tout point daccs qui se connecte par le biais du rseau
Ethernet est automatiquement configur en fonction de la configuration par dfaut
dfinie par ladministrateur. Cette configuration facilite linstallation dun vaste rseau
Wi-Fi comportant de nombreux points daccs. Il est toutefois possible daffecter une
configuration particulire un point daccs donn. Cette solution facilite laffectation
des canaux, qui est assez problmatique dans 802.11b et 802.11g.
Migration. Le contrleur nest pas li un standard donn et peut configurer des
points daccs de standards diffrents. Il sagit dun bon choix pour commencer une
migration partielle de points daccs Wi-Fi ou pour utiliser un rseau Wi-Fi multistandard.
Wi-Fi dentreprise
CHAPITRE 11
351
POE
im
t al
rne
e
Eth
ent
E
(Po
Rseau
802.11a
Figure 11.5
352
Pratique de Wi-Fi
PARTIE II
Dans larchitecture distribue, lintelligence est situe dans les points daccs. Chaque
point daccs comporte toutes les fonctionnalits ncessaires dtailles prcdemment
pour larchitecture centralise. La configuration peut seffectuer par le biais dun logiciel
propritaire.
Le choix de lune ou lautre de ces architectures dpend des besoins de lentreprise ainsi
que des cots engendrs. Larchitecture centralise, reposant sur lutilisation dun botier
ddi, est toutefois souvent prfre une solution purement logicielle, bien quelle soit
plus coteuse.
Wi-Fi dentreprise
CHAPITRE 11
353
Paramtrage de la scurit
Dans un rseau dentreprise, la scurit est un critre essentiel car les donnes changes
sont considres comme critiques, ce qui nest gnralement pas le cas dans un rseau
domestique.
Les solutions proposes par Wi-Fi pour les rseaux domestiques, comme le WEP (Wired
Equivalent Privacy), sont viter. Mieux vaut se tourner vers larchitecture 802.1x pour
la partie authentification, en utilisant des mthodes reposant que sur une authentification
mutuelle, comme EAP-TLS, EAP-TTLS ou PEAP. Pour la confidentialit des donnes,
TKIP (Temporal Key Integrity Protocol) est la solution la plus fiable actuellement. Le
couple TKIP-802.1x forme la base de la certification WPA (Wi-Fi Protected Access).
Certains quipements utilisent des mcanismes du standard 802.11i, bien que ce dernier
ne soit pas encore finalis. Cest le cas de lalgorithme de chiffrement AES et du mcanisme PSK (Pre Shared Key). La prochaine certification WPA2 supportera pleinement
802.11i en sappuyant sur lutilisation conjointe de TKIP, 802.1x et AES.
Quoique largement perfectibles, ces mcanismes offrent une architecture de scurit
assez robuste. Il est possible de scuriser davantage un rseau Wi-Fi en recourant des
mcanismes supplmentaires, tels que ceux qui existent dj dans les rseaux filaires. Le
mcanisme le plus fiable est fourni par les VPN, ou rseaux privs virtuels. Lorsquune
telle solution est utilise, il faut vrifier que le point daccs permet dcouler ce type de
trafic, ce qui nest pas toujours le cas.
Avant tout choix dune solution, il faut avoir lesprit que pour quun systme de scurit
fonctionne, notamment ceux proposs pour Wi-Fi, il importe de vrifier que les cartes
Wi-Fi quipant les terminaux comme les points daccs supportent les mmes mcanismes.
Il convient ensuite de sassurer de la bonne implantation des points daccs. Leur zone de
couverture ne devant pas dpasser le primtre de lentreprise, il faut, pour en minimiser
la porte, disposer de points daccs permettant de faire varier soit la puissance du signal,
soit le dbit, soit les deux. Il nest pas moins important dviter le placement de points
daccs prs des accs extrieurs.
Topologies de scurit
Il existe des moyens radicaux pour scuriser un rseau Wi-Fi dentreprise, par exemple
en linstallant entirement lextrieur du rseau de lentreprise ou en scurisant laccs
entre la partie Wi-Fi et le reste du rseau.
La figure 11.6 illustre la premire solution. Linstallation dun rseau Wi-Fi lextrieur
du rseau de lentreprise est gnralement coteuse, que ce soit en temps ou en achat de
matriels. Lentreprise se retrouve de surcrot avec deux rseaux grer et donc deux
connexions Internet, deux serveurs DHCP, etc., dont ladministration demande videmment
plus de temps.
354
Pratique de Wi-Fi
PARTIE II
Internet
et
ern
Eth
Routeur
Firewall
eau ise
Rs trepr
d'en
Internet
Point
d'accs
eau
RsFi
Wi-
Figure 11.6
Dans la seconde solution, illustre la figure 11.7, la connexion entre le rseau Wi-Fi et
le rseau de lentreprise est scurise de la mme manire quune connexion Internet, par
lintermdiaire dun firewall.
Cette dernire topologie correspond la plupart des cas dextension dun rseau Ethernet
par le biais dun rseau Wi-Fi. Cette sparation peut tre physique, comme la figure 11.7,
ou virtuelle, en cas dutilisation de rseaux locaux virtuels, ou VLAN.
Wi-Fi dentreprise
CHAPITRE 11
355
Figure 11.7
Internet
et
ern
Eth
Routeur
Firewall
eau ise
Rs trepr
d'en
Firewall
Point
d'accs
Configuration de la scurit
La base de la scurit dun rseau dentreprise repose avant tout sur la collecte dinformations et le monitoring, qui permet de dterminer lorigine dune attaque. Le point daccs
doit donc fournir toutes les informations concernant, les connexions, dconnexions,
authentification, etc., de nimporte quelle station du rseau Wi-Fi.
Comme dans le cadre dun rseau domestique, la configuration du point daccs doit tre
scurise au moyen des quelques fonctionnalits et rgles suivantes :
Modifier les SSID par dfaut des points daccs et viter dutiliser des SSID vides ou
any , qui permettent la connexion automatique de toute station au rseau.
Fermer le rseau afin dviter que le SSID ne soit disponible en clair sur le rseau.
Ne pas utiliser le WEP (Wired Equivalent Privacy), ou, tout le moins, lutiliser avec
des cls de longueur maximale, cest--dire sur 128 bits (104 bits rels).
Utiliser lACL (Access Control List) afin dinterdire laccs toute personne dont la
carte Wi-Fi ne figure pas dans la liste.
356
Pratique de Wi-Fi
PARTIE II
Wi-Fi dentreprise
CHAPITRE 11
357
Figure 11.8
Internet
Serveur
RADIUS
et
ern
Eth
Routeur
Firewall
Rseau Wi-Fi
compatible
WPA
Serveur
DHCP
358
Pratique de Wi-Fi
PARTIE II
architecture client-serveur, dans laquelle le client est la station Wi-Fi et le serveur une
machine ddie.
Cette solution est explique en dtail au chapitre 10. FreeS/WAN est la solution VPN
Open Source de rfrence (http://www.freeswan.org).
Wi-Fi dentreprise
CHAPITRE 11
359
certains points daccs, que par une baisse de la taille de la cellule de lordre de 5
10 p. 100, au lieu des 50 p. 100 attendus.
Pour une meilleure scurit, mieux vaut viter de placer le point daccs prs dun accs
vers lextrieur, comme les fentres, sorties de secours ou portes dentre de btiment. Cela
empche le signal de se propager, diminuant par-l mme le risque dattaque extrieure.
Pour faciliter linstallation des points daccs, la technologie PoE est recommande. En
liminant la contrainte de la prise lectrique, cela facilite grandement linstallation, au
prix, il est vrai, dun cot supplmentaire.
LAironet est un point daccs essentiellement conu pour une utilisation dans un rseau
local dentreprise. Il peut certes tre utilis dans un environnement domestique, mais il
ne supporte pas, la diffrence de lAirPort dApple, le DHCP ni le NAT.
Pour prserver la scurit du rseau Wi-Fi, la configuration de lAironet ne peut tre
effectue que de manire filaire et donc par une station connecte au mme rseau Ethernet
que le point daccs. Aucune station Wi-Fi ne peut configurer ce point daccs, mme si
elle dispose des paramtres rseau corrects.
Le principal avantage de ce point daccs est quil permet de configurer prcisment
lensemble des paramtres sans fil.
Les principales tapes de la configuration du point daccs Aironet 350 sont les suivantes :
1. La premire partie de la configuration consiste assigner une adresse IP au point
daccs. Si le rseau dans lequel le point daccs est install possde son propre serveur
DHCP, ce dernier lui alloue directement une adresse IP, comme illustr la figure 11.9.
2. Si le rseau ne possde pas dadresse IP, il faut en assigner une au point daccs. Pour
cela, Cisco fournit un outil, nomm IPSU, inclus dans le CD-ROM livr avec le point
daccs (voir figure 11.10). Cet outil permet dassigner une adresse IP au point
daccs (Set Parameters). Il suffit pour cela de renseigner ladresse MAC (indique
sous le point daccs), ladresse IP et le SSID voulus. La machine qui configure le
point daccs doit possder la mme adresse rseau que le point daccs pour pouvoir
communiquer avec ce dernier.
360
Pratique de Wi-Fi
PARTIE II
@IP : 192.168.0.4
Serveur
HDCP
et
ern
Eth
Station
Point
d'accs
Cisco Aironet
@IP(DHCP) : 192.168.0.60
Station
Station
Figure 11.9
Figure 11.10
Wi-Fi dentreprise
CHAPITRE 11
361
3. Ladresse IP choisie pour le point daccs doit avoir la mme adresse de sous-rseau
que la machine laquelle il est connect, soit 192.168.0.x, avec x compris entre 2
et 254.
Paramtres par dfaut de lAironet 350
Ladresse IP par dfaut du point daccs est 10.0.0.1 et le SSID par dfaut tsunami.
4. Si la configuration est effectue par lintermdiaire dune machine directement connecte au point daccs Aironet, lutilisation dun cble RJ-45 crois est ncessaire,
car seul ce type de cble permet de faire communiquer deux machines connectes
entre elles, comme illustr la figure 11.11. Ce point daccs ne peut tre configur
que par le biais de son interface filaire. Toute configuration par linterface sans fil,
cest--dire par un terminal Wi-Fi, est impossible.
rois
le c
Cb
Point d'accs
Cisco Aironet
Station
@IP : 192.168.0.1
Figure 11.11
5. Loutil IPSU permet aussi de fournir ladresse IP donne par le serveur DHCP dun
rseau qui en possde une par lintermdiaire de la fonction Get IP addr illustre la
figure 11.10. Ladresse MAC du point daccs doit alors tre renseigne dans le
champ correspondant.
362
Pratique de Wi-Fi
PARTIE II
Figure 11.12
Configuration express
8. Une configuration optimise des diffrents paramtres radio est possible par le biais
de la case cocher Custom (voir figure 11.12). La page AP Radio Hardware saffiche
alors comme illustr la figure 11.13.
Wi-Fi dentreprise
CHAPITRE 11
363
Figure 11.13
Cette page permet de configurer de manire plus prcise la partie Wi-Fi du point
daccs. Il est notamment possible dy dfinir :
Le SSID, ou nom de rseau, et dautoriser ou non sa transmission en clair (Broadcast
SSID).
Les dbits (Data Rates) qui seront utiliss par les stations. Si plusieurs dbits sont
disponibles, la station peut modifier son dbit en fonction de la qualit du signal radio.
La puissance de transmission (Transmit Power), ce qui peut savrer utile si vous
souhaitez utiliser les canaux limits une puissance de 10 mW en France. Si lon
garde lesprit que plus la puissance est faible, moins la couverture du rseau par le
point daccs est importante, cette option permet de faire varier la zone de couverture.
Les diffrentes valeurs seuils de taille des trames, qui, lorsquelles sont dpasses,
dclenchent les mcanismes de fragmentation (Frag. Threshold) et de rservation
RTS/CTS (RTS Threshold). Ces valeurs seuils sont exprimes en octet.
364
Pratique de Wi-Fi
PARTIE II
Le nombre de retransmissions aussi bien pour les RTS (Max. RTS Retries) que pour
les donnes (Max. Data Retries). Pass le seuil indiqu, les donnes sont dfinitivement
perdues.
La priode de transmission (Beacon Period) des trames balises (Beacon Frames)
ainsi que leur dbit (Data Beacon Rate), sachant que plus le dbit est faible, plus la
porte est importante.
Le canal de transmission (Default Radio Channel) en cours dutilisation (In Use: 7).
Le paramtre Restrict Searched Channels permet didentifier les canaux disponibles
du point daccs, comme illustr la figure 11.14.
Figure 11.14
Wi-Fi dentreprise
CHAPITRE 11
365
Figure 11.15
Au bas de chaque page Web, diverses catgories de boutons donnent accs des informations sur le rseau :
Map permet de connatre larborescence complte du programme de configuration et
dautres informations sur le rseau, comme illustr la figure 11.16.
366
Pratique de Wi-Fi
PARTIE II
Figure 11.16
Network Map indique les quipements connects (point daccs, pont, station cliente,
etc.).
Summary Status permet de sinformer sur larchitecture du rseau, les derniers vnements et les adresses IP et MAC du point daccs (voir figure 11.17).
Figure 11.17
Association Table dfinit les quipements rseau disponibles ainsi que leurs caractristiques (adresse IP, MAC, etc.). Ces dernires peuvent tre modifies dans additional
display filters (voir figure 11.18).
Wi-Fi dentreprise
CHAPITRE 11
367
Figure 11.18
Table dassociation
Event Logs renseigne sur les diffrents vnements survenus sur le point daccs, comme
illustr la figure 11.19.
Figure 11.19
Journal dvnements
368
Pratique de Wi-Fi
PARTIE II
Network Ports donne des informations sur le trafic en cours (type de paquet, nombre
doctets envoys, etc.) sur les interfaces sans fil et filaire du point daccs (voir
figure 11.20).
Figure 11.20
Wi-Fi dentreprise
CHAPITRE 11
369
Figure 11.21
Diagnostic du rseau
Le lien Radio Diagnostic Tests permet de connatre la qualit du lien radio du support
physique (Carrier Busy), ainsi que le niveau du bruit ambiant (Noise Value), comme
illustr la figure 11.22. La ractualisation par le biais de la touche F5 de la page
affiche dans le navigateur permet de connatre en temps rel lvolution de la qualit
du lien radio.
Figure 11.22
370
Pratique de Wi-Fi
PARTIE II
Setup permet de dfinir divers paramtres afin de mieux configurer linterface rseau,
ainsi que diffrents services et ports de connexion pour les interfaces rseau, grce
lutilisation de filtres, comme illustr la figure 11.23.
Figure 11.23
Configuration avance
Help redirige vers le site Web de Cisco Systems pour accder son aide en ligne.
Wi-Fi dentreprise
CHAPITRE 11
371
Laffectation des canaux tant traite en dtail au chapitre 8, nous ny revenons pas ici.
Disons, en rsum, quelle dpend essentiellement du nombre de canaux disponibles dans
les quipements. Dans 802.11b et 802.11g, 13 canaux sont disponibles, mais certains quipements ne disposent que de 4 canaux, correspondant la prcdente rglementation.
Plus le nombre de canaux est important, plus il est ais de former des rseaux Wi-Fi
complexes, aux cellules recouvertes. La difficult du plan frquentiel vient du faible
nombre de canaux affecter. Dans le cas dune topologie o toutes les cellules sont
recouvertes, seules 3 ou 4 cellules peuvent tre configures avec des canaux diffrents
pour cohabiter sans interfrence.
Il est certes toujours possible daffecter un mme canal de transmission ou des canaux
proches, par exemple 10 et 11 ou 10 et 13, tous les points daccs, mais des interfrences
surviennent alors dans toutes les zones de recouvrement des cellules, entranant des
erreurs dans les transmissions, des dconnexions intempestives et un affaiblissement
des performances du rseau.
Comme dans le cas des rseaux domestiques, il est possible que un ou plusieurs rseaux
Wi-Fi mettent proximit de lentreprise et que leur zone de couverture stende sur le
site de cette dernire et en perturbent le fonctionnement. Le seul moyen didentifier de
tels rseaux consiste utiliser le logiciel Netstumbler dcrit prcdemment. Mme si ce
logiciel ne permet pas de voir tous les rseaux Wi-Fi, notamment les rseaux dit ferms,
il aide laffectation des canaux dans les points daccs du rseau afin dviter toute
interfrence avec les autres rseaux Wi-Fi.
Contrairement 802.11b et 802.11g, 802.11a ne possde pas de plan frquentiel complexe.
Huit canaux sont disponibles dans 802.11a, et il est possible dutiliser les huit canaux la
fois sans risque dinterfrence dans un mme environnement.
La tlphonie IP Wi-Fi
La tlphonie IP est un march en forte croissance, aussi bien Outre-Atlantique quen
Europe, de plus en plus dentreprises y ayant recours pour leurs communications tlphoniques, que ce soit avec des combins fixes ou Wi-Fi. En plus des conomies de la
tlphonie IP par rapport la tlphonie classique, lavantage apport par Wi-Fi est la
mobilit.
Pour faire passer de la voix, un certain nombre des contraintes exposes au chapitre 6
doivent tre respectes, notamment le dlai entre lenvoi et la rception dun paquet, qui
doit tre infrieur 150 ms. Or Wi-Fi dfinit un mcanisme daccs sans priorit, dans
lequel toutes les stations ont la mme probabilit denvoyer tout type de donne, ce qui
ne permet pas de respecter les contraintes de la tlphonie. Le standard 802.11e a t
dvelopp pour instaurer un nouveau mcanisme daccs au support, fond sur des classes
de trafic niveaux de priorit permettant de faire passer la parole tlphonique avant tout
autre trafic.
372
Pratique de Wi-Fi
PARTIE II
Mme si 802.11e nest pas encore finalis, certains constructeurs tels que Cisco et
Symbol proposent une solution de tlphonie IP Wi-Fi interoprable reposant sur un
prversion de ce standard.
La gestion de la mobilit, souvent appele tord roaming, alors que le terme appropri
est handover, permet de conserver la communication lors dun dplacement entre deux
cellules. Wi-Fi ne dfinissant pas un tel mcanisme, le dplacement intercellulaire se
traduit par une coupure de la communication. Le standard 802.11f implmentera ce
mcanisme quand il sera finalis. En attendant, diffrents constructeurs proposent ce type
de gestion de manire propritaire.
La scurit est videmment un critre fondamental de la tlphonie IP Wi-Fi. Sans mcanisme de scurit, lcoute du rseau Wi-Fi permet de capter les conversations tlphoniques avec une facilit dconcertante. Il est donc ncessaire dutiliser des mcanismes
dauthentification, comme EAP-TLS ou LEAP, fonds sur larchitecture 802.1x, et de
chiffrement, comme TKIP ou AES.
La gestion de la consommation dnergie est un dernier critre important. Wi-Fi na
jamais t conu pour une faible consommation des batteries. Les premiers tlphones IP
Wi-Fi ne tenaient quune heure au grand maximum en communication et quelques heures en
veille. La gestion de lnergie a donc d tre amliore, grce notamment des composants
Wi-Fi adapts.
La plupart de ces critres sont maintenant respects par les diffrents constructeurs. Une
solution de tlphonie IP Wi-Fi se traduit aujourdhui par lutilisation de points daccs
et de tlphones IP Wi-Fi compatibles 802.11e, avec gestion de la mobilit, faible
consommation dnergie et un ensemble de mcanismes de scurit. Pour faire fonctionner
le tout, lentreprise doit tre quipe soit dun PABX-IP soit dune passerelle IP connecte
un PABX.
La tlphonie IP Wi-Fi est un nouveau march. ce titre, le prix des quipements est
assez important, jusqu 600 euros pour un tlphone Wi-Fi et 800 euros pour un point
daccs incorporant toutes les fonctionnalits requises. Ces prix de revient levs ne font
pas de la tlphonie IP Wi-Fi un concurrent srieux des solutions de tlphonie de type
DECT, du moins jusqu la forte baisse des prix attendue.
Wi-Fi dentreprise
CHAPITRE 11
373
le que
Salh
ni
tec
aux
Bure
30
ux
100
a
bure
e de
Sallfrence
con
ux
urea
30 b
100
e de
Sallfrence
con
le que
Salh
ni
tec
ux
urea
aux
Bure
30
Figure 11.24
L'architecte
rseau de la
compagnie souhaite
connecter l'ensemble des stations
de travail et des serveurs ainsi que tous
les ordinateurs portables des employs de la
compagnie des points d'accs dots de fonctions de
routage par un rseau sans fil. Les routeurs sont situs dans le
local technique, et ils sont connects des accs Internet grs par un
oprateur. Les serveurs de l'entreprise sont au nombre de 10 par btiment
et peuvent tre mis dans une salle situe ct des salles de confrence.
374
Pratique de Wi-Fi
PARTIE II
Cet exemple met en uvre deux rseaux, un rseau 802.11g pour la connexion des portables
des employs de lentreprise et un rseau 802.11a pour desservir les salles de confrence
et les serveurs. Les points daccs 802.11g sont quips de deux cartes offrant un dbit
total de deux fois 54 Mbit/s. Pour le premier btiment, cela donne 432 Mbit/s, soit un dbit
rel de lordre de 160 Mbit/s.
Ce dbit permet chacun des 100 utilisateurs de disposer de 1,6 Mbit/s en moyenne, ce
qui est largement suffisant pour une utilisation de bon niveau sur Internet. Dans les faits,
il nexiste quune trs faible probabilit que tous les employs utilisent leur portable pour
effectuer une transmission de fichier en mme temps. On peut donc considrer que cette
architecture est suffisante dans le cadre de notre tude. Il est cependant possible
daugmenter le dbit en densifiant le nombre de points daccs.
Wi-Fi dentreprise
CHAPITRE 11
aux
e de
Sallfrence
con
e
Salle
iqu
n
h
tec
Point
d'accs
802.11g
Bure
Point
d'accs
802.11a
Point
d'accs
802.11g
375
Point
d'accs
802.11g
Point
d'accs
802.11g
30
ux
100
a
bure
e de
Sallfrence
n
co
eaux
bur
130
e de
Sallfrence
con
le que
Salh
ni
tec
100
Point
d'accs
802.11g
au
Bure
30
Point
d'accs
802.11g
au
Bure
Point
d'accs
802.11g
Point
d'accs
802.11g
Point
d'accs
802.11a
Point
d'accs
802.11g
Point
d'accs
802.11g
Figure 11.25
Les points daccs 802.11a comportent galement deux cartes, ce qui autorise un dbit
total brut de 108 Mbit/s par point daccs. Cette capacit permet de connecter les
10 serveurs et les 50 utilisateurs des salles de confrence lorsquelles sont pleines.
Chaque point daccs 802.11a offre un dbit total rel dapproximativement 40 Mbit/s,
qui pourrait se rpartir en 20 Mbit/s pour les quipements de type serveur et 20 Mbit/s
se partager entre les utilisateurs des salles de confrence. Il est donc raliste dinstaller
dans les salles de confrence des quipements vido aliments par le rseau 802.11a.
Canaux et antennes
Les quipements Wi-Fi utilisent les canaux 1 et 9 et 5 et 13. Les interfrences sont donc
trs faibles et les dbits annoncs atteints.
376
Pratique de Wi-Fi
PARTIE II
Pour les points daccs 802.11a, les frquences peuvent tre choisies parmi les huit
disponibles, ce qui laisse une importante marge de manuvre pour augmenter le dbit en
cas de besoin.
Les deux btiments sont relis par des antennes directives, ce qui ne pose pas de
problme pour un environnement 802.11g sur une distance de 100 m. Cette liaison peut
remplacer avantageusement une liaison loue utilisant une infrastructure souterraine.
Comme le faisceau nest pas partag, un dbit de prs de 10 Mbit/s peut tre atteint sur
cette liaison.
Les diffrents points daccs sont relis au routeur-contrleur par une infrastructure de
type Ethernet 100 Mbit/s.
Scurit
Les solutions de scurit proposes par les quipementiers sappuient toutes sur TKIP et
la modification dynamique des cls de chiffrement.
La longueur de ces cls varie suivant les quipementiers. En dessous de 128 bits, il est
possible de casser la cl en moins de quinze minutes avec le plus puissant ordinateur
disponible sur le march. Pour sassurer que la cl ne soit pas casse, il suffit de la
remplacer dans un laps de temps infrieur dix minutes. Cest ce que permettent de faire
les points daccs supportant le protocole EAP (Extensible Authentication Protocol) et
larchitecture 802.1x.
Des mthodes supplmentaires de scurisation de laccs peuvent tre ajoutes. Kerberos
est une solution propose par plusieurs quipementiers pour authentifier les clients. Cisco
Systems propose un protocole propritaire, appel Cisco Wireless Security Suite. Ce protocole utilise galement le standard 802.1x EAP, mais dans une forme lgrement diffrente,
appele EAP Cisco Wireless. Ce protocole recourt RADIUS pour authentifier les clients et
distribue les cls de faon scurise et une vitesse adapte au besoin de scurit.
Autres fonctionnalits
Les problmes de handovers sont rsolus chez pratiquement tous les quipementiers, qui
proposent des mcanismes permettant de rechercher la frquence ayant la puissance la
plus forte et de se connecter lantenne associe.
La plupart des systmes de contrle centralis utilisent le protocole DHCP pour distribuer
des adresses Internet. De cette faon, lors des changements de point daccs, ladresse IP
obtenue lors de la premire connexion par lintermdiaire de DHCP est rutilise lors
du handover.
Tous les quipementiers proposent des logiciels de gestion. Le protocole de gestion
utilis se fonde la plupart du temps sur SNMP (Simple Network Management Protocol)
pour grer les accs, la configuration, les pannes, ainsi que les procdures de dcouverte
automatique des points daccs et de diagnostic des pannes.
Wi-Fi dentreprise
CHAPITRE 11
377