PagesTitre_Wi-Fi_XP

18/05/04

13:10

Page 1

s o l u t i o n s
r s e a u x

D A V O R
G U Y

M A L E S

P U J O L L E

Wi-Fi

par la pratique
Avec la contribution de
Olivier Salvatori

Deuxime dition

Groupe Eyrolles, 2002, 2004,

ISBN : 2-212-11409-5

11
Wi-Fi dentreprise
Wi-Fi pntre de plus en plus le monde de lentreprise, surtout celui des petites entreprises, faible effectif.
Un rseau Wi-Fi na gnralement pas pour mission de remplacer le rseau Ethernet existant. Il est plutt considr comme une extension de ce rseau, offrant lavantage dune
connectivit sans fil. Si lentreprise occupe une superficie restreinte et na quun petit
nombre de postes, par exemple une dizaine, Wi-Fi peut toutefois suffire, limitant lachat
et linstallation de prises Ethernet, de cbles et de switchs.
Le prix des quipements Wi-Fi nest pas trs lev, pour peu que lon raisonne long
terme et que lon prenne en compte lconomie lie au matriel filaire (cble, prise,
switch).
Au sein dune entreprise, Wi-Fi peut tre considr soit comme un rseau dexploitation,
o la scurit doit tre accrue de faon viter les coutes clandestines, soit comme un
rseau dit dinvits, permettant, par exemple, aux visiteurs daccder Internet. Dans ce
dernier cas, il est prfrable de sparer ce rseau de celui de lentreprise.
Lavantage de Wi-Fi est que, sagissant dun standard IEEE, il est facile de lintgrer
un autre environnement IEEE, comme Ethernet. De ce fait, linstallation dun point
daccs Wi-Fi dans un rseau dentreprise peut tre compare celle dun hub ou dun
switch.
Comme le chapitre prcdent, consacr linstallation dun rseau Wi-Fi domestique,
le prsent chapitre dcrit les tapes dinstallation et de configuration dun rseau Wi-Fi
dentreprise, en insistant sur la scurit, qui constitue souvent un frein son dploiement.

344

Pratique de Wi-Fi
PARTIE II

Architecture rseau
Dans une entreprise, larchitecture dun rseau Wi-Fi peut diffrer grandement suivant la
taille du rseau, le nombre de postes connecter et les objectifs assigns ce dernier. La
scurit tient un rle prpondrant dans cette architecture.
Larchitecture rseau dune petite entreprise comprenant un seul point daccs avec une
connexion Internet par modem cble ou ADSL ne diffre pas de celle dun rseau domestique, telle quillustre au chapitre prcdent.
Les seules options possibles tiennent la gestion des fonctionnalits de serveur DHCP,
de routeur NAT et de connexion Internet, qui peut seffectuer soit au niveau du point
daccs, soit par le biais dune passerelle ddie. Par lintermdiaire dun switch, il est
ensuite possible dajouter un ou plusieurs points daccs.

Internet
Station

Station

Point
d'accs

Modem

Switch

Point
d'accs

Point
d'accs

Figure 11.1

Architecture dun rseau Wi-Fi comprenant plusieurs points daccs relis un switch

Wi-Fi dentreprise
CHAPITRE 11

345

La figure 11.1 illustre une architecture o le point daccs joue le rle de serveur DHCP,
de routeur NAT et de passerelle de connexion Internet et o un switch lui est connect
pour permettre lajout de nouveaux points daccs larchitecture.
Dans le cas o le rseau utilise une passerelle, le switch doit tre install derrire la
passerelle, et chaque nouveau point daccs tre connect celui-ci, comme illustr la
figure 11.2.

Internet
Passerelle avec
routeur NAT
et serveur DHCP

Modem
Switch

Point
d'accs

Point
d'accs

Figure 11.2

Architecture dun rseau Wi-Fi avec passerelle comprenant plusieurs points daccs relis un switch

Le plus souvent, le rseau Wi-Fi se greffe sur un rseau Ethernet existant, lequel possde
dj certaines fonctionnalits, telles que DHCP, la connexion Internet ou encore NAT.
La figure 11.3 illustre un rseau dentreprise constitu de deux sous-rseaux connects
entre eux via un WAN (Wide-Area Network) par lintermdiaire de routeurs.

346

Pratique de Wi-Fi
PARTIE II

et

ern

Eth

Point
d'accs

Serveur
DHCP

Routeur

et

ern

Eth

WAN

Point
d'accs
Routeur

Point
d'accs

Point
d'accs

Figure 11.3

Architecture de rseau dentreprise avec routeurs incorporant des rseaux Wi-Fi

Choix du standard
Comme expliqu tout au long de cet ouvrage, Wi-Fi est une certification qui correspond
trois standards diffrents, 802.11b, 802.11a et 802.11g. 802.11b et 802.11g, qui est
compatible avec 802.11b, voluent tous deux dans la bande des 2,4 GHz, avec des vitesses
de transmission respectives comprises entre 1 et 11 Mbit/s et 1 et 54 Mbit/s. 802.11a
nest compatible ni avec 802.11b ni avec 802.11g car il volue dans une bande de
frquences diffrente, celle des 5 GHz. 802.11a propose des vitesses de transmission
comprises entre 6 et 54 Mbit/s et est donc comparable 802.11g.

Wi-Fi dentreprise
CHAPITRE 11

347

Si, pour un rseau domestique, le choix se porte clairement sur 802.11g, il nen va pas de
mme pour les rseaux dentreprise.
802.11g partage la mme bande de frquences que 802.11b, avec lequel il est compatible,
mais avec des vitesses de transmission suprieures. Lencombrement de la bande ISM et
son plan frquentiel assez complexe (voir le chapitre 8) sont ses points faibles. 802.11a
propose un plan frquentiel extrmement simple, avec des vitesses comparables celles
de 802.11g, dans une bande libre de toutes interfrences, contrairement 802.11b et
802.11g
802.11g correspond cependant le plus souvent la meilleure solution. Le parc actuel des
terminaux utilise plus de 90 p. 100 le standard 802.11b. 802.11g tant compatible avec
802.11b, son intgration dans un rseau dentreprise existant nengendre aucun problme
de compatibilit. linverse, le taux doccupation de 802.11a compar celui de
802.11b est extrmement faible, ne dpassant pas 5 p. 100. Le passage total 802.11a
exige le changement de toutes les cartes Wi-Fi quipant les terminaux, ce qui implique un
cot non ngligeable, le prix de revient des quipements 802.11a tant deux trois fois plus
lev que celui des mmes quipements 802.11g.
Si 802.11g peut apparatre comme le meilleur choix, certains peuvent estimer que ce
standard nest pas tout fait mr, quil na pas t prouv, la diffrence de 802.11b, et
surtout quil nest pas encore certifi Wi-Fi. Prcisons que daprs la plupart des tests qui
ont t effectus, toutes les cartes Wi-Fi 802.11b fonctionnent avec des points daccs
802.11g. Par ailleurs, les points daccs 802.11g tant plus rcents, ils proposent davantage de fonctionnalits, notamment en terme de scurit, que les points daccs 802.11b,
dj vieillissants. La certification Wi-Fi, qui garantit linteroprabilit entre les quipements, nest pas un rel problme pour quiper son rseau. Il suffit que lentreprise ou le
prestataire qui a en charge cette installation choisisse un unique constructeur pour les
cartes Wi-Fi et les points daccs associs.
Si lentreprise possde dj un parc 802.11b install et que le rseau Wi-Fi convienne
amplement ses besoins, autant attendre 802.11n, la future volution de Wi-Fi. Si en
revanche elle souhaite se doter de fonctionnalits que ne propose pas son rseau, comme
la tlphonie IP Wi-Fi, ou renforcer ses politiques de scurit, il est prfrable de choisir
un matriel 802.11g, compatible 802.11b.
Les quipements multistandards sont une autre solution. Malgr la dmocratisation en
cours de ces quipements, leur cot reste cependant assez lev. Presque tous les constructeurs proposent ce type de matriel.
Les technologies Wi-Fi voluent tous les deux trois ans. Cette volution doit tre anticipe
afin de contrler les investissements. 802.11n, qui propose un dbit gal ou suprieur
Ethernet 100, verra le jour dici un deux ans. Comme ce standard sera compatible avec
802.11a et 802.11g, des points daccs et des cartes multistandards 802.11n, 802.11g et
802.11a seront disponibles ds sa commercialisation. Dici 2008, le parc Wi-Fi devrait
tre compltement fond sur 802.11n.

348

Pratique de Wi-Fi
PARTIE II

Choix des quipements

Certains des critres de choix des quipements dcrits au chapitre prcdent peuvent tre
repris tels quels dans le cas dune entreprise, notamment ceux concernant le nombre de
canaux disponibles, la puissance du point daccs et des cartes et la possibilit de faire
varier cette puissance.
Contrairement un rseau domestique, un rseau dentreprise possde gnralement un
pare-feu, ou firewall, un ou des serveurs DHCP, un accs Internet, voire un NAT. Si le
rseau nutilise pas ou ne possde pas ces fonctionnalits, lutilisation dun point daccs
ou dune passerelle les incorporant est fortement recommande.
Dautres protocoles revtent une importance capitale dans le cadre dune utilisation en
entreprise. Par exemple, les architectes rseau dune entreprise ont un besoin constant
dinformations sur ltat du rseau de faon apprhender et rsoudre tout problme.
Le monitoring est pour eux une fonction essentielle que doit fournir un point daccs.
Outre ces diverses fonctionnalits, la qualit de service et la gestion de la mobilit sont
indispensables, notamment pour la tlphonie Wi-Fi, ainsi que lEthernet aliment et,
bien sr, la scurit, lment crucial de tout rseau dentreprise.

Qualit de service
Lintgration de la qualit de service, ou QoS (Quality of Service), dans Wi-Fi par le
biais du standard 802.11e sera dici peu une autre fonctionnalit critique. Avec la QoS,
Wi-Fi pourra offrir des applications de voix et de vido permettant, par exemple, une
entreprise de faire passer ses communications tlphoniques via Wi-Fi. La QoS ne peut
toutefois tre supporte par Wi-Fi que par le biais de cartes et de points daccs supportant
cette fonctionnalit.
Certains points daccs et tlphones IP Wi-Fi supportent dj une prversion de 802.11e.
Bien que la finalisation de ce standard ne soit pas prvue avant la fin de 2004, certains
constructeurs, comme Cisco Systems et Symbol, se sont mis daccord pour en proposer
une mme prversion afin de garantir une certaine interoprabilit. Cette compatibilit
doit cependant tre vrifie avant dinstaller une solution de tlphonie IP Wi-Fi.

Gestion de la mobilit
Une autre caractristique importante dun rseau dentreprise est la gestion de la mobilit
de lutilisateur. Dans le standard dont est issu Wi-Fi, aucun mcanisme nimplmente
une telle fonctionnalit. Lorsquun utilisateur se dplace dune cellule une autre, sa
communication est coupe, et toute transmission en cours doit tre renouvele.
Avec larrive prochaine de la QoS dans les environnements Wi-Fi, des services de voix,
comme la tlphonie IP, et de vido seront disponibles. La continuit de ces services ne
pourra toutefois tre assure qu deux conditions : que toutes les cellules se recouvrent,
permettant lutilisateur de ne pas sortir du rseau, et quun protocole de mobilit soit
implment dans le rseau.

Wi-Fi dentreprise
CHAPITRE 11

349

Presque tous les constructeurs proposent des protocoles propritaires permettant de grer
la mobilit en attendant la finalisation du standard 802.11f.

PoE, lEthernet aliment

Bien que Wi-Fi soit un rseau sans fil, les points daccs demeurent connects des
rseaux fixes, tels quEthernet ou des modems daccs Internet, et au courant lectrique
par le biais de cbles. La technologie PoE (Power over Ethernet), ou Ethernet aliment,
permet de saffranchir de cette dernire contrainte.
Le comit 802 a dfini le standard 802.3af pour standardiser lalimentation des quipements
par le biais de cbles Ethernet. Grce ce standard, il nexiste plus aucune contrainte
dalimentation lectrique, et un quipement supportant ce standard peut tre install
partout o des prises Ethernet RJ-45 sont prsentes.
Figure 11.4
s nt
cc ra
d'au cou
t
n
oi a
n p ch
cu an
Au st br
n'e

Installation dun botier

PoE 802.3af dans
un rseau Ethernet

Point
d'accs

Point
d'accs

nt

et
ern

e
alim

Eth

et

ern

Eth
PoE

Point d'accs
branch
au courant

350

Pratique de Wi-Fi
PARTIE II

Un cble Ethernet est constitu de quatre paires de fils. Dans le cas des cbles Ethernet de
catgorie 5, seules deux paires sont utilises pour les transmissions, les deux autres
ntant pas utilises. 802.3af se focalise sur ces deux paires non utilises pour faire passer
le courant faible puissance afin de ne pas influer sur les deux autres paires.
LIEEE nest pas le seul organisme de standardisation proposer une telle technologie. De
nombreux constructeurs, comme Cisco Systems, proposent leur propre standard, hlas
incompatible avec 802.3af.
La technologie 802.3af ne demande quun botier PoE connect au rseau et des quipements compatibles PoE, comme illustr la figure 11.4. Le courant tant transmis
faible puissance, laffaiblissement sur la distance est assez important. Il est donc ncessaire de placer dautres botiers PoE tous les 100 m environ. Un botier PoE ne peut
alimenter quun certain nombre dquipements. Ce nombre dpendant des offres des
constructeurs, il est vrifier avant tout achat.
Lavantage de PoE est videmment de faciliter linstallation des points daccs, car il est
plus facile de tirer un cble Ethernet quun cble lectrique. Cette solution nest dailleurs
pas seulement valable pour Wi-Fi. Elle trouve un march dans toutes les solutions de
tlphonie IP, o le combin tlphonique IP est connect au rseau et aliment par la
prise Ethernet.

Choix de larchitecture
Il existe actuellement deux types darchitecture pour les rseaux Wi-Fi dentreprise,
larchitecture centralise et larchitecture distribue.
Dans larchitecture centralise, toute lintelligence est situe dans un contrleur, qui
prend en charge la totalit du rseau Wi-Fi. Tous les points daccs sont alors connects
via le rseau Ethernet de lentreprise ce serveur central.
Le contrleur implmente gnralement les fonctionnalits suivantes :
Gestion de la mobilit. La gestion de la mobilit rsultant dun accord entre points
daccs, cet accord est gr automatiquement par le contrleur. Cette gestion ne peut
se faire que si les cellules Wi-Fi utilisent le mme standard.
Configuration automatique. Tout point daccs qui se connecte par le biais du rseau
Ethernet est automatiquement configur en fonction de la configuration par dfaut
dfinie par ladministrateur. Cette configuration facilite linstallation dun vaste rseau
Wi-Fi comportant de nombreux points daccs. Il est toutefois possible daffecter une
configuration particulire un point daccs donn. Cette solution facilite laffectation
des canaux, qui est assez problmatique dans 802.11b et 802.11g.
Migration. Le contrleur nest pas li un standard donn et peut configurer des
points daccs de standards diffrents. Il sagit dun bon choix pour commencer une
migration partielle de points daccs Wi-Fi ou pour utiliser un rseau Wi-Fi multistandard.

Wi-Fi dentreprise
CHAPITRE 11

351

quilibrage de charge. Un point daccs peut supporter la connexion dune trentaine

de stations. Pour viter toute surcharge du rseau, ladministrateur peut dfinir un
nombre maximal de connexion afin doffrir un dbit convenable chaque utilisateur.
Scurit. Le contrleur peut faire office de serveur dauthentification et permettre la
gnration dynamique de cls afin de prvenir tout type dattaque. Le contrleur peut
aussi authentifier chaque point daccs qui sy connecte. Cela permet de prvenir toute
tentative de connexion au rseau dun point daccs pirate.
Un contrleur ne peut accepter quun nombre limit de point daccs. Gnralement, il
en supporte une dizaine, voire une vingtaine dans certains cas, tout standard confondu.
Comme tout quipement rseau, le contrleur doit tre mis jour chaque nouvelle
version du firmware dun quipement destine corriger bogues et failles.
Une architecture centralise Wi-Fi avec botier PoE est illustre la figure 11.5.

POE

im

t al

rne

e
Eth

ent

E
(Po

Contrleur de point d'accs

Rseau
802.11g

Rseau
802.11a

Figure 11.5

Architecture centralise dun rseau Wi-Fi

La configuration dun contrleur est relativement intuitive et seffectue gnralement par

le biais dune simple page Web.
Les fonctionnalits proposes par le contrleur ne sont pas standardises et dpendent des
solutions propritaires de chaque constructeur. Compte tenu de ce manque de standardisation, un contrleur de marque X ne peut configurer les points daccs dun constructeur
Y ou Z. Le rseau doit donc tre constitu de points daccs et du contrleur associ issus
du mme constructeur.

352

Pratique de Wi-Fi
PARTIE II

Dans larchitecture distribue, lintelligence est situe dans les points daccs. Chaque
point daccs comporte toutes les fonctionnalits ncessaires dtailles prcdemment
pour larchitecture centralise. La configuration peut seffectuer par le biais dun logiciel
propritaire.
Le choix de lune ou lautre de ces architectures dpend des besoins de lentreprise ainsi
que des cots engendrs. Larchitecture centralise, reposant sur lutilisation dun botier
ddi, est toutefois souvent prfre une solution purement logicielle, bien quelle soit
plus coteuse.

Liaisons directives Wi-Fi

Les liaisons directives sont de plus en plus souvent utilises dans les entreprises dont le
site comporte plusieurs btiments. Ce nouveau moyen de communication intersite assure
des transmissions allant dune centaine de mtres plusieurs kilomtres. Au lieu dun point
daccs, ces liaisons utilisent un pont Wi-Fi.
Un pont Wi-Fi joue le mme rle quun pont Ethernet. Connect au rseau Ethernet, le
pont transforme les trames Ethernet en trames 802.11, lesquelles sont transmises sur
linterface air. rception, les trames 802.11 sont transformes en trames Ethernet. Pour
tablir une telle liaison, il faut disposer de deux ponts, quips dantennes directionnelles
de type Yagi ou parabole.
La rapide adoption des liaisons directives Wi-Fi a pour origine leur cot beaucoup moins
lev que celui des liaisons filaires classiques. Linstallation de cette solution nest
cependant pas toujours simple, notamment du fait de contraintes rglementaires assez
strictes. Seuls les standards 802.11b et 802.11g peuvent tre utiliss pour cela, et encore
sous certaines conditions, 802.11a tant interdit en extrieur. Le chapitre 7 dtaille
lensemble des contraintes respecter lors de linstallation dune liaison directive.
Dans ce type de liaison, le dbit est un critre important, ne serait-ce que pour viter tout
goulet dtranglement dans le rseau. Ce dbit est fonction de la distance entre les btiments et de la directivit de lantenne. Plus la distance est grande, plus le dbit est faible.
Il en va de mme de la directivit. On peut aisment atteindre un dbit utile de 5 Mbit/s
sur plus de 500 m avec une antenne de type parabole tout en respectant la rglementation.
Les liaisons directives sans fil extrieures sont sensibles aux intempries, telles que pluie,
neige et brouillard, qui peuvent diminuer le dbit. Cette baisse de performance reste
cependant le plus souvent ngligeable, ne dpassant gure 5 p. 100.
En plus de ces quelques contraintes dinstallation, sajoute le problme de la scurit.
Une liaison directive dpasse le cadre de lentreprise et tend la zone de couverture du
rseau vers lextrieur, augmentant dautant le risque dattaque. Dans un tel dploiement,
la scurit doit donc tre accrue, et tous les mcanismes de scurit disponibles, notamment
les VPN, doivent tre pris en compte.

Wi-Fi dentreprise
CHAPITRE 11

353

Paramtrage de la scurit
Dans un rseau dentreprise, la scurit est un critre essentiel car les donnes changes
sont considres comme critiques, ce qui nest gnralement pas le cas dans un rseau
domestique.
Les solutions proposes par Wi-Fi pour les rseaux domestiques, comme le WEP (Wired
Equivalent Privacy), sont viter. Mieux vaut se tourner vers larchitecture 802.1x pour
la partie authentification, en utilisant des mthodes reposant que sur une authentification
mutuelle, comme EAP-TLS, EAP-TTLS ou PEAP. Pour la confidentialit des donnes,
TKIP (Temporal Key Integrity Protocol) est la solution la plus fiable actuellement. Le
couple TKIP-802.1x forme la base de la certification WPA (Wi-Fi Protected Access).
Certains quipements utilisent des mcanismes du standard 802.11i, bien que ce dernier
ne soit pas encore finalis. Cest le cas de lalgorithme de chiffrement AES et du mcanisme PSK (Pre Shared Key). La prochaine certification WPA2 supportera pleinement
802.11i en sappuyant sur lutilisation conjointe de TKIP, 802.1x et AES.
Quoique largement perfectibles, ces mcanismes offrent une architecture de scurit
assez robuste. Il est possible de scuriser davantage un rseau Wi-Fi en recourant des
mcanismes supplmentaires, tels que ceux qui existent dj dans les rseaux filaires. Le
mcanisme le plus fiable est fourni par les VPN, ou rseaux privs virtuels. Lorsquune
telle solution est utilise, il faut vrifier que le point daccs permet dcouler ce type de
trafic, ce qui nest pas toujours le cas.
Avant tout choix dune solution, il faut avoir lesprit que pour quun systme de scurit
fonctionne, notamment ceux proposs pour Wi-Fi, il importe de vrifier que les cartes
Wi-Fi quipant les terminaux comme les points daccs supportent les mmes mcanismes.
Il convient ensuite de sassurer de la bonne implantation des points daccs. Leur zone de
couverture ne devant pas dpasser le primtre de lentreprise, il faut, pour en minimiser
la porte, disposer de points daccs permettant de faire varier soit la puissance du signal,
soit le dbit, soit les deux. Il nest pas moins important dviter le placement de points
daccs prs des accs extrieurs.

Topologies de scurit
Il existe des moyens radicaux pour scuriser un rseau Wi-Fi dentreprise, par exemple
en linstallant entirement lextrieur du rseau de lentreprise ou en scurisant laccs
entre la partie Wi-Fi et le reste du rseau.
La figure 11.6 illustre la premire solution. Linstallation dun rseau Wi-Fi lextrieur
du rseau de lentreprise est gnralement coteuse, que ce soit en temps ou en achat de
matriels. Lentreprise se retrouve de surcrot avec deux rseaux grer et donc deux
connexions Internet, deux serveurs DHCP, etc., dont ladministration demande videmment
plus de temps.

354

Pratique de Wi-Fi
PARTIE II

Internet

et

ern

Eth

Routeur

Firewall

eau ise
Rs trepr
d'en

Internet

Point
d'accs

eau
RsFi
Wi-

Figure 11.6

Exemple darchitecture de rseau Wi-Fi non connect au rseau dentreprise

Dans la seconde solution, illustre la figure 11.7, la connexion entre le rseau Wi-Fi et
le rseau de lentreprise est scurise de la mme manire quune connexion Internet, par
lintermdiaire dun firewall.
Cette dernire topologie correspond la plupart des cas dextension dun rseau Ethernet
par le biais dun rseau Wi-Fi. Cette sparation peut tre physique, comme la figure 11.7,
ou virtuelle, en cas dutilisation de rseaux locaux virtuels, ou VLAN.

Wi-Fi dentreprise
CHAPITRE 11

355

Figure 11.7

Architecture dun rseau Wi-Fi

connect au rseau dentreprise
par lintermdiaire dun firewall

Internet

et

ern

Eth

Routeur

Firewall

eau ise
Rs trepr
d'en
Firewall

Point
d'accs

Configuration de la scurit
La base de la scurit dun rseau dentreprise repose avant tout sur la collecte dinformations et le monitoring, qui permet de dterminer lorigine dune attaque. Le point daccs
doit donc fournir toutes les informations concernant, les connexions, dconnexions,
authentification, etc., de nimporte quelle station du rseau Wi-Fi.
Comme dans le cadre dun rseau domestique, la configuration du point daccs doit tre
scurise au moyen des quelques fonctionnalits et rgles suivantes :
Modifier les SSID par dfaut des points daccs et viter dutiliser des SSID vides ou
any , qui permettent la connexion automatique de toute station au rseau.
Fermer le rseau afin dviter que le SSID ne soit disponible en clair sur le rseau.
Ne pas utiliser le WEP (Wired Equivalent Privacy), ou, tout le moins, lutiliser avec
des cls de longueur maximale, cest--dire sur 128 bits (104 bits rels).
Utiliser lACL (Access Control List) afin dinterdire laccs toute personne dont la
carte Wi-Fi ne figure pas dans la liste.

356

Pratique de Wi-Fi
PARTIE II

WPA (Wi-Fi Protected Access)

WPA est une certification dfinissant des mcanismes de scurit fiables et robustes dans
les environnements Wi-Fi. WPA repose principalement sur TKIP pour le chiffrement des
donnes et 802.1x pour larchitecture dauthentification. Ces deux mcanismes sont
dtaills au chapitre 4.
TKIP (Temporal Key Integrity Protocol) correspond une volution du WEP qui corrige
la plupart de ses failles. Ce protocole est dsormais implment dans presque tous les
quipements Wi-Fi.
Fond sur le protocole EAP (Extensible Authentication Protocol), 802.1x est une solution de plus en plus utilise pour grer lauthentification des utilisateurs. Ce standard
dfinit une architecture client-serveur dans laquelle le client est la station du rseau WiFi et le serveur un serveur dauthentification install dans le rseau.
Le serveur dauthentification peut tre nimporte quel serveur fonctionnant sur EAP. Le
plus utilis est RADIUS (Remote Authentication Dial-In User Server). Il existe une solution
RADIUS gratuite fonctionnant sous Linux. Ce serveur, appel freeradius, est disponible
ladresse http://www.freeradius.org.
Parmi les diverses mthodes dauthentification existantes, seules celles qui sont fondes
sur une authentification mutuelle peuvent tre prises en compte dans le cadre dun rseau
dentreprise, par exemple EAP-TLS, EAP-TTLS, PEAP ou encore LEAP. Toutes ces
mthodes sont supportes par freeradius. Avant de les adopter, il convient toutefois de
sassurer que le point daccs et les cartes les supportent.
La figure 11.8 illustre un rseau dentreprise utilisant 802.1x pour lauthentification.
Le standard 802.11i devrait tre finalis dici fin 2004. Il repose sur larchitecture 802.1x
pour lauthentification ainsi que sur TKIP et un nouvel algorithme appel AES pour le chiffrement. Les solutions de scurit actuelles seront en partie compatibles avec les quipements qui supporteront 802.11i et permettront une migration progressive vers ce dernier.
La prochaine certification WPA, appele WPA2, ncessitera lutilisation de 802.11i pour
la mise en place dune solution de scurit robuste.
802.11i supporte de nombreux autres mcanismes de scurit, notamment le PSK (Pre
Shared Key), que lon retrouve dans beaucoup dquipements actuels, et qui est comparable au WEP mais en sappuyant sur AES. Comme le WEP, ce mcanisme dfinit une
seule et unique cl secrte partage. Bien quAES soit utilis dans le PSK, ce dernier peut
tre potentiellement cass et nest donc pas conseiller dans un rseau dentreprise.
AES-CCM est une nouvelle mthode de chiffrement fonde sur lalgorithme de chiffrement AES dfini dans 802.11i. Malgr AES, la solution 802.11i na pas non plus la rputation dune solution fiable, et son avenir est loin dtre clair.
Les mcanismes de scurit proposs par lensemble des solutions Wi-Fi ntant pas, loin
sen faut, infaillibles, il faut tre conscient quils ne garantissent pas une scurit parfaite, en
dpit des efforts dploys par le comit IEEE 802. Il faut donc recourir dautres mcanismes, prouvs ceux-l dans les rseaux filaires. Les sections qui suivent rcapitulent
les plus importants dentre eux.

Wi-Fi dentreprise
CHAPITRE 11

357

Figure 11.8

Architecture dun rseau

dentreprise utilisant 802.1x
comme protocole
dauthentification

Internet
Serveur
RADIUS

et

ern

Eth

Routeur

Firewall

Rseau Wi-Fi
compatible
WPA

Serveur
DHCP

VLAN (Virtual LAN)

Comme son nom lindique, un VLAN (Virtual LAN) permet de dfinir des rseaux
locaux virtuels. Cette technologie existe depuis plusieurs annes dans les rseaux Ethernet sous le standard 802.1q. Une mme connexion Ethernet peut ainsi abriter plusieurs
rseaux locaux virtuels.
La plupart des switch dentreprise proposent cette solution, qui est considrer lorsquon
souhaite greffer un rseau Wi-Fi un rseau Ethernet existant. En crant deux rseaux
locaux virtuels, lun pour le rseau Ethernet et lautre ddi Wi-Fi, on aboutit une topologie identique celle illustre la figure 11.7, qui spare les deux rseaux par un firewall.
Le VLAN Wi-Fi repose sur lutilisation de multiples SSID, dont chacun dfinit une configuration particulire. Bien quen plein dveloppement dans les rseaux Wi-Fi, cette solution
nest pas encore standardise pour ces derniers.

Les rseaux privs virtuels (VPN)

Un VPN (Virtual Private Network) reprsente aujourdhui la manire la plus fiable de
scuriser un rseau Wi-Fi dentreprise. Un VPN est un rseau priv qui permet de scuriser
ce point faible de tout rseau hertzien quest la liaison radio. Il sappuie pour cela sur une

358

Pratique de Wi-Fi
PARTIE II

architecture client-serveur, dans laquelle le client est la station Wi-Fi et le serveur une
machine ddie.
Cette solution est explique en dtail au chapitre 10. FreeS/WAN est la solution VPN
Open Source de rfrence (http://www.freeswan.org).

Installation et configuration des points daccs

Dans une entreprise, il nest pas vident de dfinir un emplacement idal pour un point
daccs, la zone de couverture de ce dernier tant pratiquement impossible prdire. La
difficult dterminer la zone de couverture est lie aux proprits physiques de la
propagation des ondes radio.
Linstallation dun rseau Wi-Fi dentreprise doit respecter la politique de lentreprise
concernant les zones couvrir et donc la topologie du rseau.
Comme expliqu au chapitre 8, il existe trois types darchitecture cellulaire dans les
rseaux Wi-Fi :
Cellules disjointes. Nengendre aucun problme daffectation de canal, tant donn
que les cellules ne se voient pas, mais au prix dune mise en uvre difficile.
Cellules partiellement recouvertes. Permet de densifier le rseau, condition que les
canaux soient bien affects. Cette topologie est utiliser si lentreprise compte adopter
une solution de tlphonie IP Wi-Fi.
Cellules recouvertes. Toutes les cellules se recouvrant, une bonne affectation des
canaux est l aussi ncessaire. Cette topologie est utile pour de grandes salles de runion,
pouvant rassembler une quarantaine de personnes.
Une bonne solution consisterait utiliser un logiciel de simulation permettant, grce au
plan du site, den connatre les contraintes, telles que paisseur et type de mur, de fentre,
etc. Ces logiciels ne prennent gnralement en compte que la structure des btiments et
non lenvironnement, constitu de meubles mais aussi dendroits sujets dimportants
flux de personnes, le corps humain tant un redoutable obstacle la transmission des
ondes radio. Ce type de logiciel est tout de mme assez cher, son prix avoisinant les
5 000 euros.
La solution la plus simple reste la mthode empirique, qui consiste essayer toutes les
combinaisons possibles en plaant le point daccs un endroit donn et en testant avec
un ordinateur portable ou un PDA quip dune carte Wi-Fi la zone de couverture. Dans
tous les cas, les murs porteurs, portes coupe-feu et cages dascenseur sont proscrire, et
une position en hauteur est privilgier.
La zone de couverture peut tre limite en utilisant des points daccs permettant de faire
varier la puissance du signal ou en levant leur dbit. Si cela permet thoriquement de
diminuer la zone de couverture, il faut nanmoins sassurer que celle-ci est effective. La
configuration dune puissance de signal minimale, de 1 5 mW, ne se traduit, chez

Wi-Fi dentreprise
CHAPITRE 11

359

certains points daccs, que par une baisse de la taille de la cellule de lordre de 5
10 p. 100, au lieu des 50 p. 100 attendus.
Pour une meilleure scurit, mieux vaut viter de placer le point daccs prs dun accs
vers lextrieur, comme les fentres, sorties de secours ou portes dentre de btiment. Cela
empche le signal de se propager, diminuant par-l mme le risque dattaque extrieure.
Pour faciliter linstallation des points daccs, la technologie PoE est recommande. En
liminant la contrainte de la prise lectrique, cela facilite grandement linstallation, au
prix, il est vrai, dun cot supplmentaire.

Configuration des points daccs

Nous avons vu au chapitre prcdent que la configuration dun point daccs domestique
pouvait se faire aussi bien en sans-fil quen filaire. Dans le cas dun rseau dentreprise,
la configuration ne peut seffectuer que de manire filaire, ladministrateur du rseau
devant tre connect au rseau Ethernet pour configurer le point daccs.
Cela limite les risques de modification des paramtres du point daccs par une personne
malveillante extrieure lentreprise. Ce critre de scurit est vrifier auprs du constructeur, qui, dans la plupart des cas, ne le stipule pas dans la fiche technique du point daccs.
Configuration du point daccs Aironet 350 de Cisco Systems

LAironet est un point daccs essentiellement conu pour une utilisation dans un rseau
local dentreprise. Il peut certes tre utilis dans un environnement domestique, mais il
ne supporte pas, la diffrence de lAirPort dApple, le DHCP ni le NAT.
Pour prserver la scurit du rseau Wi-Fi, la configuration de lAironet ne peut tre
effectue que de manire filaire et donc par une station connecte au mme rseau Ethernet
que le point daccs. Aucune station Wi-Fi ne peut configurer ce point daccs, mme si
elle dispose des paramtres rseau corrects.
Le principal avantage de ce point daccs est quil permet de configurer prcisment
lensemble des paramtres sans fil.
Les principales tapes de la configuration du point daccs Aironet 350 sont les suivantes :
1. La premire partie de la configuration consiste assigner une adresse IP au point
daccs. Si le rseau dans lequel le point daccs est install possde son propre serveur
DHCP, ce dernier lui alloue directement une adresse IP, comme illustr la figure 11.9.
2. Si le rseau ne possde pas dadresse IP, il faut en assigner une au point daccs. Pour
cela, Cisco fournit un outil, nomm IPSU, inclus dans le CD-ROM livr avec le point
daccs (voir figure 11.10). Cet outil permet dassigner une adresse IP au point
daccs (Set Parameters). Il suffit pour cela de renseigner ladresse MAC (indique
sous le point daccs), ladresse IP et le SSID voulus. La machine qui configure le
point daccs doit possder la mme adresse rseau que le point daccs pour pouvoir
communiquer avec ce dernier.

360

Pratique de Wi-Fi
PARTIE II

@IP : 192.168.0.4
Serveur
HDCP

et

ern

Eth

Station
Point
d'accs
Cisco Aironet
@IP(DHCP) : 192.168.0.60
Station
Station

Figure 11.9

Adresse IP du point daccs fournie par le rseau

Figure 11.10

Logiciel de configuration IPSU de lAironet

Wi-Fi dentreprise
CHAPITRE 11

361

3. Ladresse IP choisie pour le point daccs doit avoir la mme adresse de sous-rseau
que la machine laquelle il est connect, soit 192.168.0.x, avec x compris entre 2
et 254.
Paramtres par dfaut de lAironet 350
Ladresse IP par dfaut du point daccs est 10.0.0.1 et le SSID par dfaut tsunami.

4. Si la configuration est effectue par lintermdiaire dune machine directement connecte au point daccs Aironet, lutilisation dun cble RJ-45 crois est ncessaire,
car seul ce type de cble permet de faire communiquer deux machines connectes
entre elles, comme illustr la figure 11.11. Ce point daccs ne peut tre configur
que par le biais de son interface filaire. Toute configuration par linterface sans fil,
cest--dire par un terminal Wi-Fi, est impossible.

rois

le c
Cb

Point d'accs
Cisco Aironet

Station
@IP : 192.168.0.1

Figure 11.11

Accs et configuration du point daccs par lintermdiaire dun cble crois

5. Loutil IPSU permet aussi de fournir ladresse IP donne par le serveur DHCP dun
rseau qui en possde une par lintermdiaire de la fonction Get IP addr illustre la
figure 11.10. Ladresse MAC du point daccs doit alors tre renseigne dans le
champ correspondant.

362

Pratique de Wi-Fi
PARTIE II

6. Contrairement lAirPort, qui ncessite un programme ddi pour configurer le

point daccs, lAironet ne demande quun navigateur Web. Il suffit de saisir dans la
zone dadresse de ce dernier ladresse IP de la machine, ici http://10.0.0.1, cest--dire
ladresse IP par dfaut, pour accder la configuration de la machine.
7. La fentre de configuration express (Express Setup) saffiche alors comme illustr
la figure 11.12. Cette fentre donne des informations sur le SSID, ladresse MAC du
point daccs, son adresse IP, etc. Elle permet en outre doptimiser le point daccs
en fonction du dbit ou de la zone de couverture.

Figure 11.12

Configuration express

8. Une configuration optimise des diffrents paramtres radio est possible par le biais
de la case cocher Custom (voir figure 11.12). La page AP Radio Hardware saffiche
alors comme illustr la figure 11.13.

Wi-Fi dentreprise
CHAPITRE 11

363

Figure 11.13

Configuration de linterface radio du point daccs

Cette page permet de configurer de manire plus prcise la partie Wi-Fi du point
daccs. Il est notamment possible dy dfinir :
Le SSID, ou nom de rseau, et dautoriser ou non sa transmission en clair (Broadcast
SSID).
Les dbits (Data Rates) qui seront utiliss par les stations. Si plusieurs dbits sont
disponibles, la station peut modifier son dbit en fonction de la qualit du signal radio.
La puissance de transmission (Transmit Power), ce qui peut savrer utile si vous
souhaitez utiliser les canaux limits une puissance de 10 mW en France. Si lon
garde lesprit que plus la puissance est faible, moins la couverture du rseau par le
point daccs est importante, cette option permet de faire varier la zone de couverture.
Les diffrentes valeurs seuils de taille des trames, qui, lorsquelles sont dpasses,
dclenchent les mcanismes de fragmentation (Frag. Threshold) et de rservation
RTS/CTS (RTS Threshold). Ces valeurs seuils sont exprimes en octet.

364

Pratique de Wi-Fi
PARTIE II

Le nombre de retransmissions aussi bien pour les RTS (Max. RTS Retries) que pour
les donnes (Max. Data Retries). Pass le seuil indiqu, les donnes sont dfinitivement
perdues.
La priode de transmission (Beacon Period) des trames balises (Beacon Frames)
ainsi que leur dbit (Data Beacon Rate), sachant que plus le dbit est faible, plus la
porte est importante.
Le canal de transmission (Default Radio Channel) en cours dutilisation (In Use: 7).
Le paramtre Restrict Searched Channels permet didentifier les canaux disponibles
du point daccs, comme illustr la figure 11.14.

Figure 11.14

Liste des canaux disponibles au niveau du point daccs

Les antennes dmission et de rception (Receive Antenna et Transmit Antenna),

puisque le point daccs Aironet possde deux antennes amovibles. Gnralement,
ces deux options sont mises en mode automatique.
Les paramtres du WEP (Radio Data Encryption).

Wi-Fi dentreprise
CHAPITRE 11

365

9. Pour lauthentification, diffrents choix sont possibles, comme illustr la

figure 11.15 : Open, ou pas dauthentification, Shared, qui demande lutilisation
dune cl, et Network-EAP, qui permet dutiliser 802.1x pour lauthentification, ce
point daccs tant compatible avec ce standard. Quatre cls de longueur diffrente
(40 ou 128 bits) peuvent tre dfinies. Les valeurs de ces cls doivent tre inscrites
sous forme hexadcimale.

Figure 11.15

Configuration des paramtres WEP

Informations sur le rseau

Au bas de chaque page Web, diverses catgories de boutons donnent accs des informations sur le rseau :
Map permet de connatre larborescence complte du programme de configuration et
dautres informations sur le rseau, comme illustr la figure 11.16.

366

Pratique de Wi-Fi
PARTIE II

Figure 11.16

Loutil de configuration des points daccs

Aironet

Network Map indique les quipements connects (point daccs, pont, station cliente,
etc.).
Summary Status permet de sinformer sur larchitecture du rseau, les derniers vnements et les adresses IP et MAC du point daccs (voir figure 11.17).

Figure 11.17

Monitoring du point daccs

Association Table dfinit les quipements rseau disponibles ainsi que leurs caractristiques (adresse IP, MAC, etc.). Ces dernires peuvent tre modifies dans additional
display filters (voir figure 11.18).

Wi-Fi dentreprise
CHAPITRE 11

367

Figure 11.18

Table dassociation

Event Logs renseigne sur les diffrents vnements survenus sur le point daccs, comme
illustr la figure 11.19.

Figure 11.19

Journal dvnements

368

Pratique de Wi-Fi
PARTIE II

Network Ports donne des informations sur le trafic en cours (type de paquet, nombre
doctets envoys, etc.) sur les interfaces sans fil et filaire du point daccs (voir
figure 11.20).

Figure 11.20

Informations sur le trafic rseau

Network Diagnostics permet dtablir un diagnostic de la qualit du lien radio du point

daccs (voir figure 11.21).

Wi-Fi dentreprise
CHAPITRE 11

369

Figure 11.21

Diagnostic du rseau

Le lien Radio Diagnostic Tests permet de connatre la qualit du lien radio du support
physique (Carrier Busy), ainsi que le niveau du bruit ambiant (Noise Value), comme
illustr la figure 11.22. La ractualisation par le biais de la touche F5 de la page
affiche dans le navigateur permet de connatre en temps rel lvolution de la qualit
du lien radio.

Figure 11.22

Test du lien radio

370

Pratique de Wi-Fi
PARTIE II

Setup permet de dfinir divers paramtres afin de mieux configurer linterface rseau,
ainsi que diffrents services et ports de connexion pour les interfaces rseau, grce
lutilisation de filtres, comme illustr la figure 11.23.

Figure 11.23

Configuration avance

Help redirige vers le site Web de Cisco Systems pour accder son aide en ligne.

Affectation des canaux

Contrairement un rseau domestique, la topologie dun rseau dentreprise comprend
gnralement plusieurs points daccs et non un seul.
Comme expliqu prcdemment, 802.11b et 802.11g fonctionnent en utilisant un canal
de transmission situ dans la bande ISM. Le choix de ce canal est beaucoup plus difficile
effectuer pour un rseau compos de multiples points daccs que pour un rseau
domestique. Le fait dutiliser plusieurs points daccs pose des problmes la fois de
topologie du rseau et daffectation du canal de transmission pour chacune des cellules
du rseau.

Wi-Fi dentreprise
CHAPITRE 11

371

Laffectation des canaux tant traite en dtail au chapitre 8, nous ny revenons pas ici.
Disons, en rsum, quelle dpend essentiellement du nombre de canaux disponibles dans
les quipements. Dans 802.11b et 802.11g, 13 canaux sont disponibles, mais certains quipements ne disposent que de 4 canaux, correspondant la prcdente rglementation.
Plus le nombre de canaux est important, plus il est ais de former des rseaux Wi-Fi
complexes, aux cellules recouvertes. La difficult du plan frquentiel vient du faible
nombre de canaux affecter. Dans le cas dune topologie o toutes les cellules sont
recouvertes, seules 3 ou 4 cellules peuvent tre configures avec des canaux diffrents
pour cohabiter sans interfrence.
Il est certes toujours possible daffecter un mme canal de transmission ou des canaux
proches, par exemple 10 et 11 ou 10 et 13, tous les points daccs, mais des interfrences
surviennent alors dans toutes les zones de recouvrement des cellules, entranant des
erreurs dans les transmissions, des dconnexions intempestives et un affaiblissement
des performances du rseau.
Comme dans le cas des rseaux domestiques, il est possible que un ou plusieurs rseaux
Wi-Fi mettent proximit de lentreprise et que leur zone de couverture stende sur le
site de cette dernire et en perturbent le fonctionnement. Le seul moyen didentifier de
tels rseaux consiste utiliser le logiciel Netstumbler dcrit prcdemment. Mme si ce
logiciel ne permet pas de voir tous les rseaux Wi-Fi, notamment les rseaux dit ferms,
il aide laffectation des canaux dans les points daccs du rseau afin dviter toute
interfrence avec les autres rseaux Wi-Fi.
Contrairement 802.11b et 802.11g, 802.11a ne possde pas de plan frquentiel complexe.
Huit canaux sont disponibles dans 802.11a, et il est possible dutiliser les huit canaux la
fois sans risque dinterfrence dans un mme environnement.

La tlphonie IP Wi-Fi
La tlphonie IP est un march en forte croissance, aussi bien Outre-Atlantique quen
Europe, de plus en plus dentreprises y ayant recours pour leurs communications tlphoniques, que ce soit avec des combins fixes ou Wi-Fi. En plus des conomies de la
tlphonie IP par rapport la tlphonie classique, lavantage apport par Wi-Fi est la
mobilit.
Pour faire passer de la voix, un certain nombre des contraintes exposes au chapitre 6
doivent tre respectes, notamment le dlai entre lenvoi et la rception dun paquet, qui
doit tre infrieur 150 ms. Or Wi-Fi dfinit un mcanisme daccs sans priorit, dans
lequel toutes les stations ont la mme probabilit denvoyer tout type de donne, ce qui
ne permet pas de respecter les contraintes de la tlphonie. Le standard 802.11e a t
dvelopp pour instaurer un nouveau mcanisme daccs au support, fond sur des classes
de trafic niveaux de priorit permettant de faire passer la parole tlphonique avant tout
autre trafic.

372

Pratique de Wi-Fi
PARTIE II

Mme si 802.11e nest pas encore finalis, certains constructeurs tels que Cisco et
Symbol proposent une solution de tlphonie IP Wi-Fi interoprable reposant sur un
prversion de ce standard.
La gestion de la mobilit, souvent appele tord roaming, alors que le terme appropri
est handover, permet de conserver la communication lors dun dplacement entre deux
cellules. Wi-Fi ne dfinissant pas un tel mcanisme, le dplacement intercellulaire se
traduit par une coupure de la communication. Le standard 802.11f implmentera ce
mcanisme quand il sera finalis. En attendant, diffrents constructeurs proposent ce type
de gestion de manire propritaire.
La scurit est videmment un critre fondamental de la tlphonie IP Wi-Fi. Sans mcanisme de scurit, lcoute du rseau Wi-Fi permet de capter les conversations tlphoniques avec une facilit dconcertante. Il est donc ncessaire dutiliser des mcanismes
dauthentification, comme EAP-TLS ou LEAP, fonds sur larchitecture 802.1x, et de
chiffrement, comme TKIP ou AES.
La gestion de la consommation dnergie est un dernier critre important. Wi-Fi na
jamais t conu pour une faible consommation des batteries. Les premiers tlphones IP
Wi-Fi ne tenaient quune heure au grand maximum en communication et quelques heures en
veille. La gestion de lnergie a donc d tre amliore, grce notamment des composants
Wi-Fi adapts.
La plupart de ces critres sont maintenant respects par les diffrents constructeurs. Une
solution de tlphonie IP Wi-Fi se traduit aujourdhui par lutilisation de points daccs
et de tlphones IP Wi-Fi compatibles 802.11e, avec gestion de la mobilit, faible
consommation dnergie et un ensemble de mcanismes de scurit. Pour faire fonctionner
le tout, lentreprise doit tre quipe soit dun PABX-IP soit dune passerelle IP connecte
un PABX.
La tlphonie IP Wi-Fi est un nouveau march. ce titre, le prix des quipements est
assez important, jusqu 600 euros pour un tlphone Wi-Fi et 800 euros pour un point
daccs incorporant toutes les fonctionnalits requises. Ces prix de revient levs ne font
pas de la tlphonie IP Wi-Fi un concurrent srieux des solutions de tlphonie de type
DECT, du moins jusqu la forte baisse des prix attendue.

Wi-Fi dentreprise
CHAPITRE 11

373

Exemple de mise en place dun rseau Wi-Fi

dans une petite entreprise
Cette section illustre par lexemple la mise en place dun rseau Wi-Fi dans une petite
entreprise.
Cette socit possde deux emplacements de bureaux situs 100 m lun de lautre. Les
dimensions de ces bureaux sont indiques, en mtre, la figure 11.24.
e de
Sallfrence
con
Les bureaux sont spars par des

le que
Salh
ni
tec

cloisons mobiles de faible paisseur,

l'exception de quelques bureaux
plus importants, aux murs plus pais
mais sans constituer de vritables
obstacles au passage des signaux
Wi-Fi. Dans chacun des deux
btiments, plusieurs salles de
confrences permettent de tenir des
runions 50 participants. Le nombre
total de bureaux est de 100 pour le
premier btiment et de 130 pour le
second.

aux

Bure

30
ux

100

a
bure

e de
Sallfrence
con

ux

urea
30 b

100

e de
Sallfrence
con
le que
Salh
ni
tec

ux
urea

aux

Bure

30

Figure 11.24

Plan du rseau dentreprise

L'architecte
rseau de la
compagnie souhaite
connecter l'ensemble des stations
de travail et des serveurs ainsi que tous
les ordinateurs portables des employs de la
compagnie des points d'accs dots de fonctions de
routage par un rseau sans fil. Les routeurs sont situs dans le
local technique, et ils sont connects des accs Internet grs par un
oprateur. Les serveurs de l'entreprise sont au nombre de 10 par btiment
et peuvent tre mis dans une salle situe ct des salles de confrence.

374

Pratique de Wi-Fi
PARTIE II

Le cahier des charges du rseau

Larchitecte rseau doit tenir compte du dbit par utilisateur, qui doit tre assez lev, et
de la scurit, galement importante puisque la socit fait transiter sur son rseau des
donnes confidentielles. Il faut en outre pouvoir passer dun btiment lautre sans
coupure de la communication. Ladressage doit tre de type IP et lensemble du rseau
pouvoir tre gr automatiquement.
Un point important concerne la connexion entre les deux btiments, qui doit utiliser
lensemble Wi-Fi. Enfin, larchitecte rseau doit tre capable de prendre en charge rapidement une augmentation de la puissance du rseau pour faire face des demandes de
dbit croissantes au fil des annes.
Un quipement de gestion et de contrle doit tre prsent dans chaque btiment. Cet
quipement doit de surcrot tre susceptible de jouer le rle de routeur. La plupart des
quipementiers proposent de telles stations de gestion et de contrle, comme Enterasys
Networks, avec RoamAbout R2, Symbol, avec Mobius Axon Wireless Switch, Cisco
Systems, avec Access Switch, et Avaya, avec Avaya Wireless AP-3. Ces quipements ont
pour mission de grer les accs des utilisateurs Wi-Fi et dinterconnecter les points
daccs. Associs ces stations de contrle, il faut videmment des points daccs
auxquels les stations de base se raccordent.

Mise en uvre du rseau

Plusieurs solutions sont envisageables pour raliser un tel rseau dentreprise, mais nous
nen prsentons ici quune seule. Ce rseau sans fil est ralisable avec une scurit suffisante
pour faire transiter des donnes importantes.
La figure 11.25 illustre les emplacements des points daccs. Les points daccs 802.11g
sont au nombre de 4 dans le premier btiment et de 6 dans le second. Il y a galement un
point daccs 802.11a dans chaque btiment
Dbit et capacit

Cet exemple met en uvre deux rseaux, un rseau 802.11g pour la connexion des portables
des employs de lentreprise et un rseau 802.11a pour desservir les salles de confrence
et les serveurs. Les points daccs 802.11g sont quips de deux cartes offrant un dbit
total de deux fois 54 Mbit/s. Pour le premier btiment, cela donne 432 Mbit/s, soit un dbit
rel de lordre de 160 Mbit/s.
Ce dbit permet chacun des 100 utilisateurs de disposer de 1,6 Mbit/s en moyenne, ce
qui est largement suffisant pour une utilisation de bon niveau sur Internet. Dans les faits,
il nexiste quune trs faible probabilit que tous les employs utilisent leur portable pour
effectuer une transmission de fichier en mme temps. On peut donc considrer que cette
architecture est suffisante dans le cadre de notre tude. Il est cependant possible
daugmenter le dbit en densifiant le nombre de points daccs.

Wi-Fi dentreprise
CHAPITRE 11

aux

e de
Sallfrence
con

e
Salle
iqu
n
h
tec

Point
d'accs
802.11g

Bure

Point
d'accs
802.11a
Point
d'accs
802.11g

375

Point
d'accs
802.11g

Point
d'accs
802.11g

30
ux

100

a
bure

e de
Sallfrence
n
co

eaux

bur

130

e de
Sallfrence
con

le que
Salh
ni
tec

100

Point
d'accs
802.11g

au
Bure

30

Point
d'accs
802.11g

au
Bure

Point
d'accs
802.11g

Point
d'accs
802.11g

Point
d'accs
802.11a
Point
d'accs
802.11g

Point
d'accs
802.11g

Figure 11.25

Emplacement des points daccs

Les points daccs 802.11a comportent galement deux cartes, ce qui autorise un dbit
total brut de 108 Mbit/s par point daccs. Cette capacit permet de connecter les
10 serveurs et les 50 utilisateurs des salles de confrence lorsquelles sont pleines.
Chaque point daccs 802.11a offre un dbit total rel dapproximativement 40 Mbit/s,
qui pourrait se rpartir en 20 Mbit/s pour les quipements de type serveur et 20 Mbit/s
se partager entre les utilisateurs des salles de confrence. Il est donc raliste dinstaller
dans les salles de confrence des quipements vido aliments par le rseau 802.11a.
Canaux et antennes

Les quipements Wi-Fi utilisent les canaux 1 et 9 et 5 et 13. Les interfrences sont donc
trs faibles et les dbits annoncs atteints.

376

Pratique de Wi-Fi
PARTIE II

Pour les points daccs 802.11a, les frquences peuvent tre choisies parmi les huit
disponibles, ce qui laisse une importante marge de manuvre pour augmenter le dbit en
cas de besoin.
Les deux btiments sont relis par des antennes directives, ce qui ne pose pas de
problme pour un environnement 802.11g sur une distance de 100 m. Cette liaison peut
remplacer avantageusement une liaison loue utilisant une infrastructure souterraine.
Comme le faisceau nest pas partag, un dbit de prs de 10 Mbit/s peut tre atteint sur
cette liaison.
Les diffrents points daccs sont relis au routeur-contrleur par une infrastructure de
type Ethernet 100 Mbit/s.
Scurit

Les solutions de scurit proposes par les quipementiers sappuient toutes sur TKIP et
la modification dynamique des cls de chiffrement.
La longueur de ces cls varie suivant les quipementiers. En dessous de 128 bits, il est
possible de casser la cl en moins de quinze minutes avec le plus puissant ordinateur
disponible sur le march. Pour sassurer que la cl ne soit pas casse, il suffit de la
remplacer dans un laps de temps infrieur dix minutes. Cest ce que permettent de faire
les points daccs supportant le protocole EAP (Extensible Authentication Protocol) et
larchitecture 802.1x.
Des mthodes supplmentaires de scurisation de laccs peuvent tre ajoutes. Kerberos
est une solution propose par plusieurs quipementiers pour authentifier les clients. Cisco
Systems propose un protocole propritaire, appel Cisco Wireless Security Suite. Ce protocole utilise galement le standard 802.1x EAP, mais dans une forme lgrement diffrente,
appele EAP Cisco Wireless. Ce protocole recourt RADIUS pour authentifier les clients et
distribue les cls de faon scurise et une vitesse adapte au besoin de scurit.
Autres fonctionnalits

Les problmes de handovers sont rsolus chez pratiquement tous les quipementiers, qui
proposent des mcanismes permettant de rechercher la frquence ayant la puissance la
plus forte et de se connecter lantenne associe.
La plupart des systmes de contrle centralis utilisent le protocole DHCP pour distribuer
des adresses Internet. De cette faon, lors des changements de point daccs, ladresse IP
obtenue lors de la premire connexion par lintermdiaire de DHCP est rutilise lors
du handover.
Tous les quipementiers proposent des logiciels de gestion. Le protocole de gestion
utilis se fonde la plupart du temps sur SNMP (Simple Network Management Protocol)
pour grer les accs, la configuration, les pannes, ainsi que les procdures de dcouverte
automatique des points daccs et de diagnostic des pannes.

Wi-Fi dentreprise
CHAPITRE 11

377

Les extensions permettant daugmenter le dbit consistent soit densifier le nombre de

points daccs, soit augmenter le nombre de cartes Wi-Fi dans chaque point daccs.
Les solutions peuvent se superposer.
En conclusion, seul le problme du cot global pourrait encore pousser les architectes
rseau prfrer les installations cbles aux solutions sans fil de type Wi-Fi. Pourtant,
de nombreux calculs montrent que, dans un environnement difficile, o le cblage peut
revenir prs de 1 000 euros par prise, le sans-fil est largement comptitif.