Vous êtes sur la page 1sur 50

Vers une gestion centralise

du Wifi

Ex: volution du Wireless chez Cisco


Evolution de ladministration
AP indpendants lourds grer quand
le nombre augmente:
Serveur web embarqu ou CLI
SNMP, Scripts ?...
Deux types dAP:
Autonomous indpendants
LightWeight ncessite un contrleur
ayant toute lintelligence
Gestion centralise
Solution Cisco: rachat de AireSpace,
inventeur de LWAPP
Solutions centralises ~identiques
chez constructeurs comptiteurs:
Aruba
Trapeze
Nortel
Ruckus
Regardons dj les
Points daccs
Deux versions possibles :
EOS: Aironet 1000 Series Lightweight
Access Point Version Lightweight
Dual-band 802.11a/b/g Utilisable avec le Lightweight Access Point
Antennes intgres Protocol (LWAPP), Cisco Wireless LAN
Pour bureaux, et emplacements similaires Controler, et Cisco Wireless Control System
Disponible en version Lightweight (WCS)
uniquement
Version Autonomous
Aironet 1100 Series Bas sur IOS Software, et peut de faon
Single-band 802.11b/g optionnelle marcher avec Cisco Works
Antennes intgres Wireless LAN Solution Engine (WLSE)
Pour bureaux, et emplacements similaires
Disponible en version Lightweight et
Autonomous
Deux types dalimentation :
Aironet 1130 AG Series Avec Power injector
Dual-band 802.11a/b/g
Antennes intgres Ncessaire si le commutateur sur lequel sont
branches les bornes nest pas PoE
Pour bureaux, et emplacements similaires
Disponible en version Lightweight et
Avec Power supply
Autonomous
Ncessaire si le commutateur est PoE. Par
dfaut, les bornes contiennent un power
supply.
Points daccs

Aironet 1200 Series


Single-band 802.11b/g
Upgrade possible pour rseaux 802.11a/g
Disponible en version Lightweight et Autonomous

Aironet 1230 AG Series


Dual-band 1re gnration 802.11a/b/g
Disponible en version Lightweight et Autonomous

Aironet 1240 AG Series


Dual-band 2me gnration 802.11a/b/g
Environnement industriel (hautes tempratures, usines,
entrepts, )
Disponible en version Lightweight et Autonomous
Points/Ponts daccs Tropicaliss
(pour lextrieur)
Aironet 1300 Series
Utilisable en tant que point daccs ou pont daccs (Single-band 802.11b/g)
Idal pour secteurs extrieurs, raccordement de rseaux ou pour infrastructures
extrieures pour rseaux mobiles
Antennes intgres ou extrieures optionnelles
Support des configurations point point et point mutlipoint
Disponible en version Lightweight et Autonomous

Aironet 1400 Series


Pont daccs Dual-band 1re gnration 802.11a/Sb/g
Support des configurations point point et point mutlipoint
Antennes intgres ou extrieures optionnelles
Disponible en version Autonomous uniquement

Aironet 1500 Series


Existe en Single-band (802.11 b/g) ou Dual-band 2me gnration 802.11a/b/g
Dploiement volutif de WLANs extrieurs utilisant la technologie Mesh
Disponible en version Lightweight uniquement
Autonomous % Lightweight APs
Contrleurs WLAN
Gestion des rseaux sans fil scuriss lchelle de lentreprise

Utilisation du protocole scuris LWAPP (Lightweight Access Point Protocol) entre points
daccs et contrleurs WLAN

2 gammes selon le besoin


1. 2106 (ceux de lIUT)
Destine aux environnements des petites et moyennes entreprises
Gre jusqu 6 points daccs
Intgre les services DHCP et la configuration automatique des points daccs
2. Gamme 4000
Conue pour les installations de taille moyenne grande
Gre selon le modle 12, 25, 50 ou 100 points daccs
Ports Gigabit Ethernet et slots dextensions (pour le support de la terminaison VPN)
Alimentation lectrique redondante en option
3. Cartes WISM ou dans ISR
Les contrleurs WLAN sont galement disponibles dans la gamme Cisco Catalyst 6500 et dans la
gamme des routeurs ISR (Integrated Service Routers)
Contrleurs WLAN
Controller WLAN 2106 (ceux de lIUT)
8 ports 10/100 Ethernet (RJ-45)
Supporte 6 point daccs
Deux ports PoE

Interface Web dadministration


Interface CLI mais pas IOS

http://www.cisco.com/en/US/products/ps7221/index.html
Contrleurs WLAN
Controller WLAN 4402
2 ports 1000Base-x (SFP)
1 slot dextension
Supporte selon modle 12, 25 ou 50 points daccs
Module de connexion VPN en option assurant un
cryptage IPSec pour les VPN

Controller WLAN 4404


4 ports 1000Base-x (SFP)
2 slots dextension
Supporte 100 point daccs
Module de connexion VPN en option assurant un cryptage IPSec pour les VPN
Wireless intgr dans des commutateurs ou routeurs

Cisco Catalyst 6500 Series Wireless Services Module (WiSM)


Fonctionne avec les points daccs lgers Aironet, Cisco Wireless
Control System, et Cisco Wireless Location Appliance
Fournit une communication en temps rel entre les points daccs
lgers et les autres contrleurs WLAN pour fournir une solution sans fil
scurise et unifie
Supporte 300 points daccs

Cisco Wireless LAN Controler Module


Pour les structures de petite moyenne envergure
Fonctionne sur les routeurs Cisco 2800 et 3800 Series
services intgrs et sur les routeurs Cisco 3700
Supporte 6 points daccs
Wireless Controller Product Portfolio
5508-12, 25, 50, 100, 250 (LICENSE-BASED)

5508-12 5508-25 5508-50 5508-100 5508-250

WiSM-300
4404-100
4402-12, 25, 50

3750G-25, 50
Performance & Scale

2106, 12, 25

WLCME-6, 8, 12, 25

H-REAP

1 6 12 25 50 100 250 300 500


Number of APs
Architecture centralise

Sappuyant sur un protocole


spcifique (LWAPP/CAPWAP)
Prsentation de larchitecture de
gestion centralise
Les bornes lourdes

Inconvnients :
les points d'accs individuels utiliss sans unit
de gestion doivent tre grs un un
les attaques et les interfrences sur lensemble
du rseau ne sont pas dtectables sur le
systme tout entier
le systme par lui-mme est incapable
deffectuer des corrlations ou des prdictions
dactivit sur lensemble de lentreprise
il existe un risque inhrent de scurit en cas de
vol ou de manipulation dun point daccs
Les bornes lgres
(Lightweight Access Point)

Avantages :
simplifient les oprations de gestion des
WLANs
rduire la quantit de traitement
ralise par un point d'accs
La centralisation de lintelligence sur
les contrleurs
volutivit
Scurit (en cas de vol)
Light Weight Access Point Protocol
LWAPP
LWAPP : premier protocole de communication entre les
bornes et le contrleur
LWAPP contribue assurer la scurit des
communications entre les bornes et le contrleur

Schma de principe LWAPP :

LWAPP
WLC
AP

Chiffrement des flux de contrle Authentification mutuelle


(AES-CCM) AP-Contrleur
Cisco WLAN
Controller

LWAPP LWAPP-L2

LWAPP lorigine un
protocole de niveau 2 Lightweight
limitations Access
Points

Cisco WLAN
Rapidement lev au Controller
niveau 3 de manire
devenir routable, sans LWAPP-L3

ncessit de cablage
direct entre AP et
switch du controller
LWAPP-L3

Lightweight
Access Points
Layer 2 LWAPP is in an
LWAPP-L2 : Data Message Ethernet frame (Ethertype
MAC Header LWAPP Header (C=0) Data 0xBBBB)
Cisco WLAN Controller and
AP must be connected to
LWAPP-L2 : Control Message
the same VLAN/subnet
MAC Header LWAPP Header (C=1) Control Msg Control Elts

Layer 3 LWAPP is in a UDP / IP frame


Data traffic uses source port 1024 and destination 12222
Control traffic uses source port 1024 and destination port 12223
Cisco Controller and AP can be connected to the same
VLAN/subnet or connected to a different VLAN/subnet
Requires IP addressing of Cisco Lightweight AP
LWAPP-L3 : Data Message
MAC Header IP UDP=12222 LWAPP Header (C=0) Data

LWAPP-L3 : Control Message


MAC Header IP UDP=12223 LWAPP Header (C=1) Control Msg Control Elts
Format de la trame LWAPP
Deux types de trames sont utiliss
pour les donnes utiles
pour les trames de contrle.

Le protocole est routable


utilise les ports UDP 12222 et 12223
La connectivit vers le contrleur

Les bornes lgres


livres avec une image de base
permettant de contacter le contrler pour tablir un
tunnel LWAPP
Le contrleur (Wireless LAN Controller WLC)
possde lintelligence et gre la configuration de
toutes les bornes affilies

Chaque borne connat au pralable:


son @IP,
@IP de default gateway
@IP de linterface de Management du contrleur
Afin dtre capable de monter un tunnel LWAPP avec
linterface AP Manager du contrleur
Procdure dtablissement dun
tunnel LWAPP
La borne fait une demande dadresse IP par le
Protocol DHCP.
Cas 1 :
La borne reoit une @IP par DHCP avec loption 43
paramtre permet de renseigner ladresse ip de son
futur controller sur lequel la borne doit se rattacher.
Cas 2 :
La borne reoit une @IP mais loption 43 du DHCP na
pas t renseigne
Dans ce cas la borne tente de faire une rsolution
DNS sur CISCO-LWAPP-CONTROLLER.localdomain
au pralable renseigne dans le dns pour correspondre
l@IP du management du contrleur
Procdure dtablissement
dun tunnel LWAPP(suite)
Lorsque la borne a son IP et quelle connat ladresse de management
du contrleur (WLC), elle envoie une requte LWAPP Join
Le WLC rpond la borne lautorisant lAP monter son tunnel LWAPP
La borne tlcharge son image sur le WLC (firmware,
configuration) et redmarre
La borne est maintenant dfinitivement associe au WLC
Over-the-air provisionning
Fonctionnement des 1re/2me gnrations

LAP agit comme un bridge 802.1Q


Il rpartit le trafic directement entre les diffrents VLAN

Data VLAN

Management VLAN

Voice VLAN
Fonctionnement de la 3me gnratio

LAP encapsule tout le trafic dans un tunnel LWAPP (ou CAPWAP


maintenant) en direction du controller
Le controller bridges le trafic des clients de manire centrale

Data VLAN

Management VLAN

LWAPP/CAPWAP
Tunnel Voice VLAN
What is CAPWAP?
CAPWAP - Control And Provisioning of Wireless Access Points is
used between APs and WLAN Controller and based on LWAPP
CAPWAP carries control and data traffic between the two
Control plane is DTLS encrypted (%AES-CCM encrypted in LWAPP)
Data plane is DTLS optionnaly encrypted (% not encrypted in LWAPP)
LWAPP-enabled access points can discover and join a CAPWAP
controller
and conversion to a CAPWAP controller is seamless
CAPWAP is not supported on Layer-2 mode deployment

Business Application

Data Plane
Access Point CAPWAP Controller
WiFi Client

Control Plane
Wireless Virtual LAN Support
Multiple SSIDs
Multiple security types
IEEE 802.1Q trunking
LAP modes
Tous les modes supports par les AP:
Wireless > Access Points > All APs > Detail
Access Point: Local Mode
Mode par defaut:
Data services
Monitoring services
AP will scan all channels over 180 seconds
by default
Only management packets are inspected
for intrusion detection system (IDS)
signature matches
Utilisable pour site surveys
Access Point: Monitor Mode
Software configuration to reduce AP
capabilities to perform only WLAN
monitoring on a per-AP basis:
Trusted AP policies
Rogue policies
Signatures
Both data and management packets are
inspected for IDS signature matches
AP will scan all channels for 1.1 seconds
AP only a beacon device
Access Point: Sniffer Mode
Works in conjunction with products like
AiroPeek or AirMagnet to monitor a single
wireless channel
Requires an external server to capture the
packets
Gathers the following data
Time stamp
Signal strength
Packet size
Access Point: Rogue Detector Mode
Software configuration to reduce AP
capabilities to perform only rogue
detection on a per-AP basis
Listens for rogue devices on the wired network
Compares ARP request heard on the network to
rogue MAC address reported by the controller
Generates an alarm when a wireless rogue is
seen on the wired side
Does not allow client connectivity radios are
shut down, 100% of CPU dedicated to rogue
detection
Does not perform rogue containment
Hybrid REAP
H-REAP AP can be controlled across WAN links:
Designed to support remote offices
Control traffic still LWAPP-encapsulated and sent to Cisco Wireless LAN Controller
(WLC); client data can be locally bridged
All management control and RF management is available when WAN link is up
and connectivity is available to Cisco WLC.
H-REAP can remain operational when unable to communicate with a controller
during a WAN outage.
H-REAP
When operating in LWAPP, H-REAP-
compatible APs have two possible
modes:
Connected mode (connected state): When
H-REAP can reach the controller, it gets
help from the controller to complete client
authentication
Standalone mode (disconnected state):
When the AP cannot reach the controller, it
processes client requests based on local
settings and rules
H-REAP in Connected Mode
Once an AP is configured as H-REAP, the controller will
inform the AP of the mode change through an LWAPP
control message. The AP saves this information in
NVRAM and boots with the new mode.
In connected mode, H-REAP traffic can be backhauled to
the controller or locally bridged.
HREAP in Standalone Mode
Standalone mode (disconnected): When the controller is
not reachable by H-REAP, it goes into standalone mode and
performs client authentication by itself
All the following authentication types are supported in
standalone mode: Open, WPA-PSK, WPA2-PSK, 802.1X
Central-switched WLANs will shut down
Local-switched WLANs will remain up:
Authentication of local WLANs continues to operate
normally
Existing 802.1x authenticated clients continue sessions
until they roam or trigger session reauthentication
New 802.1x clients are authenticated on the AP, from a
local user list
Unsupported features when in standalone mode:
RRM, Cisco Centralized Key Management , WIDS, LBS,
AP modes
WebAuth, NAC
Roaming (Itinrance)

Gestion de la mobilit
Quand les clients wifi se dplacent
Roaming Concept
Roaming refers to movement of clients across Cisco APs
while transmitting
Roaming can occur across different mobility groups, but
must be within a mobility domain
The Cisco WLC can reside in only a single mobility group
The following should be consistent for mobility groups:
Mobility group membership
Code across all member controllers
LWAPP mode across all member controllers
ACLs configured on all member controllers
WLAN configuration
Virtual IP address
Two types of roaming
Intrasubnet roaming (Layer 2)
Intersubnet roaming (Layer 3)
Cisco Wireless Layer 2 Roaming
Single Cisco WLC
Or multiple Cisco WLCs in the same
subnetwork
Transparent to the client
The session is sustained during
connection to the new AP
The client continues using the same
DHCP-assigned or static IP address
Client Roaming Within a Subnetwork
Cisco Wireless Layer 3 Roaming
Multiple Cisco WLCs in different subnetworks
Transparent to the client
The session is sustained during connection
to the new AP
Tunnel between the anchor Cisco WLC and
foreign Cisco WLC along with special
handling of the client traffic by both
controllers allows the client to continue
using the same DHCP or client-assigned IP
address while the session remains active
Set up via either a symmetric or asymmetric
tunnel
Client Roaming Across
Subnetworks
Roaming: Tunnels (Symmetric Example)
Logiciels additionels

Pour la gestion centralise


Outils de management pour points daccs
Autonomous - Historique

CiscoWorks Wireless LAN Solution Engine (WLSE)


Systme de management centralis pour moyenne grande structure utilisant des
points daccs Aironet Autonomous et des ponts sans fil
Permet la gestion complte radiofrquence (RF) et des dispositifs afin de simplifier le
dploiement, de rduire la complexit oprationnelle et de fournir la plus grande
visibilit du rseau ladministrateur
Outils de management pour points daccs Lightweight

Cisco Wireless Control System (WCS)


Composant facultatif fonctionnant avec les points daccs Cisco
Lightweight et les contrleurs WLAN de Cisco
Plateforme pour la planification, la configuration, et la gestion de WLAN
Permet aux quipes techniques de concevoir, contrler, et surveiller les
rseaux WLAN de lentreprise composs de points daccs Cisco
Lightweight et de contrleurs WLAN de faon centralis
Outils de management pour points daccs Lightweight

Cisco Wireless Location Appliance (Serveur de


localisation sans fil)
Premire solution industrielle de localisation permettant de suivre simultanment
plusieurs milliers dunits au sein mme de linfrastructure de rseau WLAN
Met la disposition des applications critiques comme le suivi des actifs de valeur, la
gestion informatique, et la scurit par secteur, toute la puissance dune solution
conomique haute rsolution
Utilise les contrleurs WLAN et les points dacs Lightweight pour localiser des
dispositifs quelques mtre prs
Installation rapide et intuitive
Wireless Control System (WCS)
Couche supplmentaire sur WLC
Service dadministration et supervision des WLC
Golocalisation
Dtection de Rogues
IDS et containment
Cration de rapports automatiss
Gestion des alarmes
Reporting