docWireless-ch12-Centralisation de l`administration et du trafic
download 
Plainte Transcription
Wireless-ch12-Centralisation de l`administration et du trafic
Vers une gestion centralisée du Wifi Ex: évolution du Wireless chez Cisco Evolution de l’administration AP indépendants lourds à gérer quand le nombre augmente: Serveur web embarqué ou CLI SNMP, Scripts ?... Deux types d’AP: Autonomous indépendants LightWeight nécessite un contrôleur ayant toute l’intelligence Gestion centralisée Solution Cisco: rachat de AireSpace, inventeur de LWAPP Solutions centralisées ~identiques chez constructeurs compétiteurs: Aruba Trapeze Nortel Ruckus Regardons déjà les Points d’accès Deux versions possibles : EOS: Aironet 1000 Series Lightweight Access Point Dual-band 802.11a/b/g Antennes intégrées Pour bureaux, et emplacements similaires Disponible en version « Lightweight » uniquement • Version « Lightweight » • Utilisable avec le Lightweight Access Point Protocol (LWAPP), Cisco Wireless LAN Controler, et Cisco Wireless Control System (WCS) • Version « Autonomous » Aironet 1100 Series Single-band 802.11b/g Antennes intégrées Pour bureaux, et emplacements similaires Disponible en version « Lightweight » et « Autonomous » Aironet 1130 AG Series Dual-band 802.11a/b/g Antennes intégrées Pour bureaux, et emplacements similaires Disponible en version « Lightweight » et « Autonomous » • Basé sur IOS Software, et peut de façon optionnelle marcher avec Cisco Works Wireless LAN Solution Engine (WLSE) Deux types d’alimentation : • Avec « Power injector » • Nécessaire si le commutateur sur lequel sont branchées les bornes n’est pas PoE • Avec « Power supply » • Nécessaire si le commutateur est PoE. Par défaut, les bornes contiennent un power supply. Points d’accès Aironet 1200 Series Single-band 802.11b/g Upgrade possible pour réseaux 802.11a/g Disponible en version « Lightweight » et « Autonomous » Aironet 1230 AG Series Dual-band 1ère génération 802.11a/b/g Disponible en version « Lightweight » et « Autonomous » Aironet 1240 AG Series Dual-band 2ème génération 802.11a/b/g Environnement industriel (hautes températures, usines, entrepôts, …) Disponible en version « Lightweight » et « Autonomous » Points/Ponts d’accès – Tropicalisés (pour l’extérieur) Aironet 1300 Series Utilisable en tant que point d’accès ou pont d’accès (Single-band 802.11b/g) Idéal pour secteurs extérieurs, raccordement de réseaux ou pour infrastructures extérieures pour réseaux mobiles Antennes intégrées ou extérieures optionnelles Support des configurations point à point et point à mutlipoint Disponible en version « Lightweight » et « Autonomous » Aironet 1400 Series Pont d’accès Dual-band 1ère génération 802.11a/Sb/g Support des configurations point à point et point à mutlipoint Antennes intégrées ou extérieures optionnelles Disponible en version « Autonomous » uniquement Aironet 1500 Series Existe en Single-band (802.11 b/g) ou Dual-band 2ème génération 802.11a/b/g Déploiement évolutif de WLANs extérieurs utilisant la technologie « Mesh » Disponible en version « Lightweight » uniquement Autonomous % Lightweight APs Contrôleurs WLAN Gestion des réseaux sans fil sécurisés à l’échelle de l’entreprise Utilisation du protocole sécurisé LWAPP (Lightweight Access Point Protocol) entre points d’accès et contrôleurs WLAN 2 gammes selon le besoin 1. 2106 (ceux de l’IUT) Destinée aux environnements des petites et moyennes entreprises Gère jusqu’à 6 points d’accès Intègre les services DHCP et la configuration automatique des points d’accès 2. Gamme 4000 Conçue pour les installations de taille moyenne à grande Gère selon le modèle 12, 25, 50 ou 100 points d’accès Ports Gigabit Ethernet et slots d’extensions (pour le support de la terminaison VPN) Alimentation électrique redondante en option 3. Cartes WISM ou dans ISR Les contrôleurs WLAN sont également disponibles dans la gamme Cisco Catalyst 6500 et dans la gamme des routeurs ISR (Integrated Service Routers) Contrôleurs WLAN Controller WLAN 2106 (ceux de l’IUT) 8 ports 10/100 Ethernet (RJ-45) Supporte 6 point d’accès Deux ports PoE Interface Web d’administration Interface CLI mais pas IOS http://www.cisco.com/en/US/products/ps7221/index.html Contrôleurs WLAN Controller WLAN 4402 2 ports 1000Base-x (SFP) 1 slot d’extension Supporte selon modèle 12, 25 ou 50 points d’accès Module de connexion VPN en option assurant un cryptage IPSec pour les VPN Controller WLAN 4404 4 ports 1000Base-x (SFP) 2 slots d’extension Supporte 100 point d’accès Module de connexion VPN en option assurant un cryptage IPSec pour les VPN Wireless intégré dans des commutateurs ou routeurs Cisco Catalyst 6500 Series Wireless Services Module (WiSM) Fonctionne avec les points d’accès légers Aironet, Cisco Wireless Control System, et Cisco Wireless Location Appliance Fournit une communication en temps réel entre les points d’accès légers et les autres contrôleurs WLAN pour fournir une solution sans fil sécurisée et unifiée Supporte 300 points d’accès Cisco Wireless LAN Controler Module Pour les structures de petite à moyenne envergure Fonctionne sur les routeurs Cisco 2800 et 3800 Series à services intégrés et sur les routeurs Cisco 3700 Supporte 6 points d’accès Wireless Controller Product Portfolio 5508-12, 25, 50, 100, 250 (LICENSE-BASED) 5508-12 5508-25 5508-50 5508-100 5508-250 WiSM-300 4404-100 4402-12, 25, 50 Performance & Scale 3750G-25, 50 2106, 12, 25 WLCME-6, 8, 12, 25 H-REAP 1 6 Number of APs 12 25 50 100 250 300 500 Architecture centralisée S’appuyant sur un protocole spécifique (LWAPP/CAPWAP) Présentation de l’architecture de gestion centralisée Les bornes « lourdes » Inconvénients : les points d'accès individuels utilisés sans unité de gestion doivent être gérés un à un les attaques et les interférences sur l’ensemble du réseau ne sont pas détectables sur le système tout entier le système par lui-même est incapable d’effectuer des corrélations ou des prédictions d’activité sur l’ensemble de l’entreprise il existe un risque inhérent de sécurité en cas de vol ou de manipulation d’un point d’accès Les bornes légères (Lightweight Access Point) Avantages : simplifient les opérations de gestion des WLANs réduire la quantité de traitement réalisée par un point d'accès La centralisation de l’intelligence sur les contrôleurs Évolutivité Sécurité (en cas de vol) Light Weight Access Point Protocol « LWAPP » LWAPP : premier protocole de communication entre les bornes et le contrôleur LWAPP contribue à assurer la sécurité des communications entre les bornes et le contrôleur Schéma de principe LWAPP : LWAPP AP Chiffrement des flux de contrôle (AES-CCM) WLC Authentification mutuelle AP-Contrôleur Cisco WLAN Controller LWAPP LWAPP à l’origine un protocole de niveau 2 limitations Rapidement élevé au niveau 3 de manière à devenir routable, sans nécessité de cablage direct entre AP et switch du controller LWAPP-L2 Lightweight Access Points Cisco WLAN Controller LWAPP-L3 LWAPP-L3 Lightweight Access Points LWAPP-L2 : Data Message MAC Header LWAPP Header (C=0) Data … LWAPP-L2 : Control Message MAC Header LWAPP Header (C=1) Control Elts … Control Msg Layer 3 LWAPP is in a UDP / IP frame Layer 2 LWAPP is in an Ethernet frame (Ethertype 0xBBBB) Cisco WLAN Controller and AP must be connected to the same VLAN/subnet Data traffic uses source port 1024 and destination 12222 Control traffic uses source port 1024 and destination port 12223 Cisco Controller and AP can be connected to the same VLAN/subnet or connected to a different VLAN/subnet Requires IP addressing of Cisco Lightweight AP LWAPP-L3 : Data Message MAC Header IP UDP=12222 LWAPP Header (C=0) Data … LWAPP-L3 : Control Message MAC Header IP UDP=12223 LWAPP Header (C=1) Control Msg Control Elts … Format de la trame LWAPP Deux types de trames sont utilisés pour les données utiles pour les trames de contrôle. Le protocole est routable utilise les ports UDP 12222 et 12223 La connectivité vers le contrôleur Les bornes légères livrées avec une image de base permettant de contacter le contrôler pour établir un tunnel LWAPP Le contrôleur (Wireless LAN Controller – WLC) possède l’intelligence et gère la configuration de toutes les bornes affiliées Chaque borne connaît au préalable: son @IP, @IP de default gateway @IP de l’interface de Management du contrôleur Afin d’être capable de monter un tunnel LWAPP avec l’interface AP Manager du contrôleur Procédure d’établissement d’un tunnel LWAPP La borne fait une demande d’adresse IP par le Protocol DHCP. Cas 1 : • La borne reçoit une @IP par DHCP avec l’option 43 paramétrée permet de renseigner l’adresse ip de son futur controller sur lequel la borne doit se rattacher. Cas 2 : • La borne reçoit une @IP mais l’option 43 du DHCP n’a pas été renseignée • Dans ce cas la borne tente de faire une résolution DNS sur CISCO-LWAPP-CONTROLLER.localdomain au préalable renseignée dans le dns pour correspondre à l’@IP du management du contrôleur Procédure d’établissement d’un tunnel LWAPP(suite) Lorsque la borne a son IP et qu’elle connaît l’adresse de management du contrôleur (WLC), elle envoie une requête « LWAPP Join » Le WLC répond à la borne l’autorisant l’AP à monter son tunnel LWAPP La borne télécharge son image sur le WLC (firmware, configuration) et redémarre La borne est maintenant définitivement associée au WLC « Over-the-air provisionning » Fonctionnement des 1ère/2ème générations L’AP agit comme un bridge 802.1Q Il répartit le trafic directement entre les différents VLAN Data VLAN Management VLAN Voice VLAN Fonctionnement de la 3ème génératio L’AP encapsule tout le trafic dans un tunnel LWAPP (ou CAPWAP maintenant) en direction du controller Le controller bridges le trafic des clients de manière centrale Data VLAN Management VLAN LWAPP/CAPWAP Tunnel Voice VLAN What is CAPWAP? CAPWAP - Control And Provisioning of Wireless Access Points is used between APs and WLAN Controller and based on LWAPP CAPWAP carries control and data traffic between the two LWAPP-enabled access points can discover and join a CAPWAP controller Control plane is DTLS encrypted (%AES-CCM encrypted in LWAPP) Data plane is DTLS optionnaly encrypted (% not encrypted in LWAPP) and conversion to a CAPWAP controller is seamless CAPWAP is not supported on Layer-2 mode deployment Business Application Access Point CAPWAP Data Plane WiFi Client Control Plane Controller Wireless Virtual LAN Support • Multiple SSIDs • Multiple security types • IEEE 802.1Q trunking LAP modes Tous les modes supportés par les AP: Wireless > Access Points > All APs > Detail Access Point: Local Mode Mode par defaut: Data services Monitoring services AP will scan all channels over 180 seconds by default Only management packets are inspected for intrusion detection system (IDS) signature matches Utilisable pour site surveys Access Point: Monitor Mode Software configuration to reduce AP capabilities to perform only WLAN monitoring on a per-AP basis: Trusted AP policies Rogue policies Signatures Both data and management packets are inspected for IDS signature matches AP will scan all channels for 1.1 seconds AP only a beacon device Access Point: Sniffer Mode Works in conjunction with products like AiroPeek or AirMagnet to monitor a single wireless channel Requires an external server to capture the packets Gathers the following data Time stamp Signal strength Packet size Access Point: Rogue Detector Mode Software configuration to reduce AP capabilities to perform only rogue detection on a per-AP basis Listens for rogue devices on the wired network Compares ARP request heard on the network to rogue MAC address reported by the controller Generates an alarm when a wireless rogue is seen on the wired side Does not allow client connectivity – radios are shut down, 100% of CPU dedicated to rogue detection Does not perform rogue containment Hybrid REAP H-REAP AP can be controlled across WAN links: Designed to support remote offices Control traffic still LWAPP-encapsulated and sent to Cisco Wireless LAN Controller (WLC); client data can be locally bridged All management control and RF management is available when WAN link is up and connectivity is available to Cisco WLC. H-REAP can remain operational when unable to communicate with a controller during a WAN outage. H-REAP When operating in LWAPP, H-REAPcompatible APs have two possible modes: Connected mode (connected state): When H-REAP can reach the controller, it gets help from the controller to complete client authentication Standalone mode (disconnected state): When the AP cannot reach the controller, it processes client requests based on local settings and rules H-REAP in Connected Mode Once an AP is configured as H-REAP, the controller will inform the AP of the mode change through an LWAPP control message. The AP saves this information in NVRAM and boots with the new mode. In connected mode, H-REAP traffic can be backhauled to the controller or locally bridged. HREAP in Standalone Mode Standalone mode (disconnected): When the controller is not reachable by H-REAP, it goes into standalone mode and performs client authentication by itself All the following authentication types are supported in standalone mode: Open, WPA-PSK, WPA2-PSK, 802.1X Central-switched WLANs will shut down Local-switched WLANs will remain up: Authentication of local WLANs continues to operate normally Existing 802.1x authenticated clients continue sessions until they roam or trigger session reauthentication New 802.1x clients are authenticated on the AP, from a local user list Unsupported features when in standalone mode: RRM, Cisco Centralized Key Management , WIDS, LBS, AP modes WebAuth, NAC Roaming (Itinérance) Gestion de la mobilité « Quand les clients wifi se déplacent… » Roaming Concept Roaming refers to movement of clients across Cisco APs while transmitting Roaming can occur across different mobility groups, but must be within a mobility domain The Cisco WLC can reside in only a single mobility group The following should be consistent for mobility groups: Mobility group membership Code across all member controllers LWAPP mode across all member controllers ACLs configured on all member controllers WLAN configuration Virtual IP address Two types of roaming Intrasubnet roaming (Layer 2) Intersubnet roaming (Layer 3) Cisco Wireless Layer 2 Roaming Single Cisco WLC Or multiple Cisco WLCs in the same subnetwork Transparent to the client The session is sustained during connection to the new AP The client continues using the same DHCP-assigned or static IP address Client Roaming Within a Subnetwork Cisco Wireless Layer 3 Roaming Multiple Cisco WLCs in different subnetworks Transparent to the client The session is sustained during connection to the new AP Tunnel between the anchor Cisco WLC and foreign Cisco WLC along with special handling of the client traffic by both controllers allows the client to continue using the same DHCP or client-assigned IP address while the session remains active Set up via either a symmetric or asymmetric tunnel Client Roaming Across Subnetworks Roaming: Tunnels (Symmetric Example) Logiciels additionels Pour la gestion centralisée Outils de management pour points d’accès « Autonomous » - Historique CiscoWorks Wireless LAN Solution Engine (WLSE) Système de management centralisé pour moyenne à grande structure utilisant des points d’accès Aironet « Autonomous » et des ponts sans fil Permet la gestion complète radiofréquence (RF) et des dispositifs afin de simplifier le déploiement, de réduire la complexité opérationnelle et de fournir la plus grande visibilité du réseau à l’administrateur Outils de management pour points d’accès « Lightweight » Cisco Wireless Control System (WCS) Composant facultatif fonctionnant avec les points d’accès Cisco « Lightweight » et les contrôleurs WLAN de Cisco Plateforme pour la planification, la configuration, et la gestion de WLAN Permet aux équipes techniques de concevoir, contrôler, et surveiller les réseaux WLAN de l’entreprise composés de points d’accès Cisco « Lightweight » et de contrôleurs WLAN de façon centralisé Outils de management pour points d’accès « Lightweight » Cisco Wireless Location Appliance (Serveur de localisation sans fil) Première solution industrielle de localisation permettant de suivre simultanément plusieurs milliers d’unités au sein même de l’infrastructure de réseau WLAN Met à la disposition des applications critiques comme le suivi des actifs de valeur, la gestion informatique, et la sécurité par secteur, toute la puissance d’une solution économique à haute résolution Utilise les contrôleurs WLAN et les points d’acès « Lightweight » pour localiser des dispositifs à quelques mètre près Installation rapide et intuitive Wireless Control System (WCS) Couche supplémentaire sur WLC • Service d’administration et supervision des WLC Géolocalisation Détection de « Rogues » IDS et « containment » Création de rapports automatisés Gestion des alarmes Reporting
