Evolution du Wireless chez Cisco - IUT de Nice

Evolution du Wireless chez Cisco
Vers la gestion centralisée
PANORAMA DU MATÉRIEL
Points d’accès
EOS: Aironet 1000 Series Lightweight Access Point
Aironet 1100 Series
Dual-band 802.11a/b/g
Antennes intégrées
Pour bureaux, et emplacements similaires
Disponible en version « Lightweight » uniquement
Single-band 802.11b/g
Antennes intégrées
Pour bureaux, et emplacements similaires
Disponible en version « Lightweight » et « Autonomous »
Deux versions possibles :
• Version « Lightweight »
• Utilisable avec le Lightweight Access Point
Protocol (LWAP), Cisco Wireless LAN
Controler, et Cisco Wireless Control System
(WCS)
• Version « Autonomous »
• Basé sur IOS Software, et peut de façon
optionnelle marcher avec Cisco Works
Wireless LAN Solution Engine (WLSE)
Aironet 1130 AG Series
Dual-band 802.11a/b/g
Antennes intégrées
Pour bureaux, et emplacements similaires
Disponible en version « Lightweight » et « Autonomous »
Deux types d’alimentation :
• Avec « Power injector »
• Nécessaire si le commutateur sur lequel sont
branchées les bornes n’est pas PoE
• Avec « Power supply »
• Nécessaire si le commutateur est PoE. Par
défaut, les bornes contiennent un power
supply.
Points d’accès
Aironet 1200 Series
Single-band 802.11b/g
Upgrade possible pour réseaux 802.11a/g
Disponible en version « Lightweight » et « Autonomous »
Aironet 1230 AG Series
Dual-band 1ère génération 802.11a/b/g
Disponible en version « Lightweight » et « Autonomous »
Aironet 1240 AG Series
Dual-band 2ème génération 802.11a/b/g
Environnement industriel (hautes températures, usines, entrepôts, …)
Disponible en version « Lightweight » et « Autonomous »
Points/Ponts d’accès – Tropicalisés
( pour l’extérieur)
Aironet 1300 Series
Utilisable en tant que point d’accès ou pont d’accès (Single-band 802.11b/g)
Idéal pour secteurs extérieurs, raccordement de réseaux ou pour infrastructures
extérieures pour réseaux mobiles
Antennes intégrées ou extérieures optionnelles
Support des configurations point à point et point à mutlipoint
Disponible en version « Lightweight » et « Autonomous »
Aironet 1400 Series
Pont d’accès Dual-band 1ère génération 802.11a/Sb/g
Support des configurations point à point et point à mutlipoint
Antennes intégrées ou extérieures optionnelles
Disponible en version « Autonomous » uniquement
Aironet 1500 Series
Existe en Single-band (802.11 b/g) ou Dual-band 2ème génération 802.11a/b/g
Déploiement évolutif de WLANs extérieurs utilisant la technologie « Mesh »
Disponible en version « Lightweight » uniquement
Contrôleurs WLAN
Ils garantissent le contrôle, l’évolutivité, et la fiabilité des réseaux sans fil sécurisés à l’échelle de l’entreprise, quelle
que soit sa taille
Utilisation du protocole sécurisé LWAPP (Lightweight Access Point Protocol) entre points d’accès et contrôleurs
WLAN ; gestion RF intelligente ; WPA2, WEP, EAP, PEAP
2 gammes selon le besoin
1. 2106 (ceux de l’IUT)
2.
Gamme 4000
Destinée aux environnements des petites et moyennes entreprises
Gère jusqu’à 6 points d’accès
Intègre les services DHCP et la configuration automatique des points d’accès
Conçue pour les installations de taille moyenne à grande
Gère selon le modèle 12, 25, 50 ou 100 points d’accès
Ports Gigabit Ethernet et slots d’extensions (pour le support de la terminaison VPN)
Alimentation électrique redondante en option
Les contrôleurs WLAN sont également disponibles dans la gamme Cisco Catalyst 6500 et dans la gamme des
routeurs ISR (Integrated Service Routers)
Contrôleurs WLAN
Controller WLAN 2106
Controller WLAN 4402
8 ports 10/100 Ethernet (RJ-45) (dont 2 PoE)
Supporte 6 point d’accès
2 ports 1000Base-x (SFP)
1 slot d’extension
Supporte selon modèle 12, 25 ou 50 points d’accès
Module de connexion VPN en option assurant un
cryptage IPSec pour les VPN
Controller WLAN 4404
4 ports 1000Base-x (SFP)
2 slots d’extension
Supporte 100 point d’accès
Module de connexion VPN en option assurant un cryptage IPSec pour les VPN
Wireless intégré dans des commutateurs ou routeurs
Cisco Catalyst 6500 Series Wireless Services Module (WiSM)
Fonctionne avec les points d’accès légers Aironet, Cisco Wireless
Control System, et Cisco Wireless Location Appliance
Fournit une communication en temps réel entre les points d’accès
légers et les autres contrôleurs WLAN pour fournir une solution sans fil
sécurisée et unifiée
Supporte 300 points d’accès
Cisco Catalyst 3750G Integrated Wireless LAN Controller
Fonctionne avec les points d’accès légers Aironet, Cisco Wireless
Control System, et Cisco Wireless Location Appliance
Supporte 25 ou 50 points d’accès selon modèle
24 ports 10/100/1000 PoE
2 slots SFP
2 RU
Wireless intégré dans des commutateurs ou routeurs
Cisco Wireless LAN Controler Module
Pour les structures de petite à moyenne envergure
Fonctionne sur les routeurs Cisco 2800 et 3800 Series à
services intégrés et sur les routeurs Cisco 3700
Supporte 6 points d’accès
Routeur Cisco 3200 Series wireless & mobile
Conçu pour les environnements rudes (hautes températures,
hautes altitudes, chocs et vibrations, …)
Utilisable dans des véhicules ou en milieu extérieur
Option « Rugged enclorure »
Outils de management pour points d’accès « Lightweight »
Cisco Wireless Control System (WCS)
Composant facultatif fonctionnant avec les points d’accès Cisco « Lightweight » et les contrôleurs WLAN de Cisco
Plateforme pour la planification, la configuration, et la gestion de WLAN
Permet aux équipes techniques de concevoir, contrôler, et surveiller les réseaux WLAN de l’entreprise composés de
points d’accès Cisco « Lightweight » et de contrôleurs WLAN de façon centralisé
Cisco Wireless Location Appliance (Serveur de localisation sans fil)
Première solution industrielle de localisation permettant de suivre simultanément plusieurs milliers d’unités au sein
même de l’infrastructure de réseau WLAN
Met à la disposition des applications critiques comme le suivi des actifs de valeur, la gestion informatique, et la sécurité
par secteur, toute la puissance d’une solution économique à haute résolution
Utilise les contrôleurs WLAN et les points d’acès « Lightweight » pour localiser des dispositifs à quelques mètre près
Installation rapide et intuitive
Outils de management pour points d’accès « Autonomous »
CiscoWorks Wireless LAN Solution Engine (WLSE)
Système de management centralisé pour moyenne à grande structure utilisant des points d’accès
Aironet « Autonomous » et des ponts sans fil
Permet la gestion complète d’air/radiofréquence (RF) et des dispositifs afin de simplifier le
déploiement, de réduire la complexité opérationnelle, et de fournir la plus grande visibilité du
réseau à l’administrateur
CiscoWorks Wireless LAN Solution Engine Express
–
–
Compléter la solution de management des WLAN
Serveur intégré de AAA pour les petites et moyennes structure utilisant des points d’accès Cisco
Aironet « Autonomous » et des ponts sans fil
SOLUTIONS DE
GESTION CENTRALISÉE
Présentation de l’architecture
Les bornes « lourdes »
Inconvénients :
• les points d'accès individuels utilisés sans unité de
gestion doivent être gérés un à un
• les attaques et les interférences sur l’ensemble du
réseau ne sont pas détectables sur le système tout
entier,
• le système par lui-même est incapable d’effectuer des
corrélations ou des prédictions d’activité sur
l’ensemble de l’entreprise
• il existe un risque inhérent de sécurité en cas de vol ou
de manipulation d’un point d’accès
Les bornes légères
(Lightweight Access Point)
Avantages :
• simplifient les opérations de gestion des WLANs
• réduire la quantité de traitement réalisée par un
point d'accès
• La centralisation de l’intelligence sur les
contrôleurs
• Évolutivité
• Sécurité ( en cas de vol )
Light Weight Access Point Protocol
« LWAPP »
• LWAPP : protocole de communication entre les bornes et le contrôleur
• LWAPP contribue à assurer la sécurité des communications entre les
bornes et le contrôleur
• Schéma de principe LWAPP :
LWAPP
AP
Chiffrement des flux de contrôle
(AES-CCM)
WLC
Authentification mutuelle
AP-Contrôleur
Format de la trame LWAPP
• Deux types de trames sont utilisés. Un type de trame pour
les données utiles et l’autre pour les trames de contrôle.
• Le protocole est routable et utilise les ports UDP 12222 et
12223
La connectivité vers le contrôleur
• Les bornes utilisées pour cette architecture sont
dites légères. Elles sont livrées avec une image de
base permettant de contacter le contrôler pour
établir un tunnel LWAPP.
• l’intelligence et la configuration sont gérées par le
contrôleur
• Chaque borne connaît au préalable son adresse IP,
l’adresse IP de la default gateway et l’adresse IP de
l’interface de Management
• Lorsque l’ensemble de ces trois paramètres sont
renseignés l’AP est capable de monter un tunnel
LWAPP avec l’interface AP Manager du contrôleur
Procédure d’établissement d’un tunnel
LWAPP
• La borne fait une demande d’adresse IP par le Protocol
DHCP.
• Cas 1 :
• La borne reçoit une adresse IP par DHCP avec L’option 43
paramétrée. Cette option permet de renseigner l’adresse ip
du controller sur lequel la borne doit se rattacher.
• Cas 2 :
• La borne reçoit une adresse ip mais l’option 43 du DHCP n’a pas
été renseignée. Dans ce cas la borne tente de faire une
résolution DNS sur CISCO-LWAPP-CONTROLLER.localdomain. Il
faudra au préalable renseigner dans le dns, pour ce nom,
l’adresse IP du « controller ».
• Lorsque la borne a son IP et qu’elle connaît l’adresse du
« controller » elle envoie une requête « LWAPP Join ».
Procédure d’établissement
d’un tunnel LWAPP(suite)
• Le WLC répond à la borne par un « LWAPP JOIN »
autorisant le point d’accès à monter son tunnel
LWAPP.
• La borne télécharge son image sur le WLC et
redémarre.
• La borne est associée au WLC.
Présentation du Wireless Control System
(WCS)
• Couche supplémentaire sur WLC
• Service d’administration et supervision des WLC
•
•
•
•
•
•
Géolocalisation
Détection de « Rogues »
IDS et « containment »
Création de rapports automatisés
Gestion des alarmes
Reporting