Les commutateurs WIFIDWS-40XX

Agenda

Aperçu du DWS-3000 Caractéristiques de bases de la commutation L2 Apercu du WLAN Topologie et Environnement Découverte des APs, Authentification Gestion des APs (Profiles, VAPs, et Réseaux) Sécurité et detections d’ Intrusions Les bases du Roaming

Aperçu du DWS-4000

Une architecture modulaire et évolutive

• Solution unifiée proposée par D-Link.

Switch DWS-3024L / 3024 DWS-3026 DWS-4026

Description24-port Gigabit L2+ PoE

Unified Switch24-port Gigabit L2+ PoE Unified Switch

et 2 slots d’extension pour du 10GE

Access PointDWL-3500AP / DWL-8500AP

DWL-8600AP*DWL-8600AP

# of AP 24 / 48 48 64

Note PoE

Nouveauté:

Commutateur unifié DWS-4026

Point d’accès DWL-8600AP 802.11n

Management: groupement des commutateurs / 802.1X Authenticator

Sécurité étendue: Wireless Intrusion Detection (WIDS)

Roaming étendu: tunneling AP-AP

Groupement des 8600AP en mode Standalone: AP Clustering

Intégration du mode Wireless Distribution System (WDS)

Les solutions Unifiées de D-Link

IEEE 802.1Q VLANs

Permet la segmentation logique d’un réseau.

Un simple réseau physique peut devenir en un ensemble de réseaux logiques.

La Segmentation permet : Une meilleure administration Une meilleure sécurité Une meilleure gestion des flux multicast( multimédia, flux

video,etc…)

Le VLAN “tagé” permet de véhiculer une priorité des flux (QoS).

Le traffic entre VLANS ou segments doit être routé.

IEEE 802.1Q VLANs

Un port tagé peut appartenir à de multiples VLANs.

Un membre d’ un VLAN se caractérise par son : _ Port

_ Protocole_ Adresse MAC _ IP

Le DWS-4000 autorise le routage inter-VLAN.

Le DWS-4000 peut supporter 3965 VLANs.

IEEE 802.1Q VLANs

VLAN 2 VLAN 3

Port 0/4VLAN 3

Port 0/3VLAN 3

Port 0/2VLAN 2 & 3

Port 0/1VLAN 2

DWS-4026Exemple d’architecture:

IEEE 802.1Q VLANs

ACL et filtrages DiffServ

Les ACLs permettent de contrôler et de filtrer le trafic existant sur le réseau en se basant sur des critères bien définis.

Elles sont normallement utilisées dans un réseau intranet par des routeurs Firewall voire routeurs.

Le nombre maximum d’ ACLs est de 100.

Le nombre de règles par ACL est de 8.

Une ACL peut être appliquée pour une ou plusieurs interfaces.

ACL et filtrages DiffServ

Les ACLs sont seulement appliquables sur les ports physiques.

Les ACLs sont fabriquées à partir de séquences d’autorisations (permit) et d’ interdictions (deny) appelées “règles”.

Les règles peuvent être paramétrées pour inspecter un paquet de données selon les 6 critères suivant:

L’adresse IP Source IP L’adresse IP de Destination Port Source L4 Port de Destination L4 Type de Service (TOS Byte) Le Protocole

Apercu du WLAN

Commutateur Wireless:

DWS-4026

Point d‘Accès Wireless DWL-3500AP (802.11b/g) DWL-8500AP (802.11a/b/g) DWL-8600AP( 802.11a:b,g N)

Le commutateur Wireless peut gérer 64 APs Il peut accèpter jusqu‘à 256 clients wireless.

On peut installer jusqu‘à 8 commutateurs sur un réseau qui permettra le: Partage les informations des APs. Partage les informations des clients wireless associés aux APs

Au total un système unifié (Unified Access System) peut gèrer jusqu‘à 2048 clients wireless.

• Idéal pour les applications VoIP.• Le Fast L2/L3 Roaming:

Un commutateur DWS-4000 peut supporter le “fast roaming” à travers 64 Aps.

Le “Fast roaming” est fonctionnel à travers un réseau de nibeau 2 ou 3.

AP-1 AP-3AP-2

Réseau A

L2 Roaming

L3 Roaming

Fast Roaming

Unified Switch

Réseau B

Topologie classique d’un system Unifié

RADIUSDHCPSYSLOG

Station d’ administration distante

RéseauL2/L3

AP 3

AP 1

AP 2

Terminal connecté directement par un câble série.

Clients Wireless

Commutateur Wireless

Topologie comprenant plusieurs Switch Wireless

L3 Network

APs gérés par WS 1

Wireless Switch 1 Wireless Switch 2

Wireless Switch 3

APs gérés par WS 2APs gérés par WS 3

Station d’ administration distante.

Terminal connecté directement par un câble série.

Centre de données ou solution Overlay

Ajout d’un WLAN avec un minimum de changement sur le réseau existant.

Topologie de réseau 1 : solution Overlay

Wireless Switch Layer 3 Switch Server Farm

Layer 2 switch Layer 2 switch

Multiple Floors

Réseau fonctionnant par le remplacement des commutateurs LAN par des Systèmes unifiés et bénéficier de liens gigabits et 10 Gigabits en façade arrière*.

Topologie de réseau 2: solution Unified

Layer 2 switchLayer 2 switchWireless Switch Wireless Switch

Layer 3 Switch Server Farm

Tous les commutateurs N2 sont remplacés par un commutateur

Wireless

Switch AP Protocole Le protocole est utilisé pour:

La découverte La Configuration La Sécurisation de la communication

Les connexions en TCP et UDP sont ouvertes entre le commutateur et le protocole des APs. TCP est utilisé pour sécuriser les connexions via une session SSL.

Durée de connexion(Heartbeat) Configuration du profile de l’ AP Association et Disassociation du Client Disassociation des commandes du client pre-authentication du Client Authentication de l’ AP

UDP est utilisé lors de la communication pour le passage de statisques.

statistique des Clients Le sondage des paquets Clients.

Découverte en Niveau 2

Même domaine de diffusion (broadcast) en niveau 2. Les deux appareils sont paramétrés sur le VLAN par défaut

(Management VLAN=1).

Découverte Automatique (ne nécessite pas de configuration additionnelle).

Découverte du Message en niveau 2

DWL-8600AP: 802.11n Unified AP• Nouvelle génération de point d’accès unifié de D-Link’s géré par les DWS-3000* et DWS-

4000.Nouvelles Fonctionalités:

• Supportent la norme 802.11n Draft 2.0

Vitesse de transmission wireless théorique de 300Mbps soit 5x 802.11g

Délivré avec 4 Antennes selon la technologie MIMO.

• Virtuel AP (VAP)

gère jusqu’à 16 SSIDs par radio, soit 32 SSIDs par AP

*: Révision 3.0

• Conception GREEN du produit :

Processeur à basse consommation

Pas besoin de Poe+

Compatible ave cla norme 802.3af avec l’injecteur Poe Inclus

• Wireless Distribution System (WDS)

Accepte le mode Pont wireless

Supporte le protocole 802.1d Spanning Tree

• Groupement des AP cluster

AP Cluster

Fonctionnalité: AP Clustering• Auparavant , l’administrateur devait paramétrer les Aps les uns après les autres.

• Maintenant, l’administrateur peut créer un groupe de 8600AP appartenant au

même réseau, et ce groupe sera reconnu en tant qu’un simple point d’accès.

• AP Clustering

Même concept qu’une grappe de switches (Switch Clustering).

Les APs partagent les mêmes informations de configuration.

fournit un seul point d’administration pour l’ensemble.

Admin

ConfigurationConfiguration

Fonctionnalité Wireless Distribution System (WDS)• Le mode WDS permet à un 8600AP de pouvoir se connecter en mode pont et permettre

l’interconnexion de deux réseaux wifi.

Les données transmises entre les deux réseaux peuvent être sécurisées.

Ne nécessite pas de câbles entre les deux sites pour l’interconnexion.

• On peut valider le mode WDS pour faire de la redondance.

Le 802.1d STP évitera les boucles sur le réseau.

Network 1 Network 2

Identification par un SSID (Service Set IDentifier).

On peut paramétrer 64 réseaux unique(VLAN).

Association d’un réseau avec chaque VAP (Virtual AP). Le paramétrage d’un réseau wifi peut nécessiter:

SSID (Service Set IDentifier) Les paramètres de Sécurité. VLAN ID. Paramètres pour le client vers un AP RADIUS tunnel L3…

Réseaux WIFI

L’interface Web

L’ interface WEB du commutateur dispose d’un menu simplifié pour l’Administration de la partie Wireless, le « Basic Setup ».

le « Basic Setup » n’est autre qu’un menu dit « wizard »qui permet en quelques cliques de paramétrer tous les points d’accès Wifi de votre réseau.

Discovery

Ce menu permet de faire le lien entre des Vlans créés et la partie Wifi.

un nouveau AP s’ajoute au réseau

On Scan la couverture de RF …Sélection d’un nouveau channel

Comme il y a une interference,le channel change

RF Management Ajustement automatique des canneaux:

Le SwitchWireless ajuste automatiquement les canneaux en fonction de l’ajout ou de la suppression d’un point d’accès sur le réseau.

On peut aussi programmer le Switch Wireless pour contrôler et réajuster les canneaux automatiquement pendant un temps défini.

Un rogue AP utilisant le channel 48 apparait

Channel 24 Channel 48

Channel 36 New AP

Channel 54

3. Changes toChannel 18

RF Management Ajustement automatique de la puissance:

Les fréquences RF sont automatiquement ajustées pour “Broadcaster” non seulement les clients wifi mais aussi les points d’accès afin de connaître le status global du réseau WIFI.

Lorsqu’un point d’accès managé est éteint, la puissance des points d’accès voisins et qui sont gérés par le même commutateur vont augmenter immédiatement la puissance de couverture de 20%.

Clustering

Power90%

Power90%

Power50%

Power50%Power

50%

Power90%

Power60%

Channel PlanPeriod Power Adjustment

Auto Power Adjustment

AP FailRF Self-HealingAuto Power

AdjustmentPower

90%Power

30%

Power70%

Self-Healing Wireless Network (Load Utilization)

Wireless Switch

Default bandwidth utilization: 60%

AP-1 AP-2

user4

user4

Utilization rate increased

Reach utilization threshold!!!

Utilization rate for AP-2: 10%

Attempt to connect AP-1

User4 rejectedForce to connect to

Ap-2

User4 connect to AP-2

Les APs transmettent au Switch un rapport sur l’utilisation de leurs bandes passantes régulièrement.

Si la bande passante utilisée dépasse le seuil défini, le nouveau client qui voudra s’associer au point d’accès sera rejeté. Il sera forcé à se connecter sur un AP voisin qui utilise moins de bande passante.

RF Management

Wireless Security & Encryption

Wireless Security & Encryption

• Rogue AP Management Tout les points d’accès scannés mais qui ne se trouvent pas dans la

base de données, sont listés comme “rogue AP”.

L’administrateur réseau pourra alors mieux contrôler le réseau wireless grace aux informations délivrées par le “rogue APs’ information” (MAC, SSID, Channel, etc).

• Paramètres de Sécurité:

Wireless Gestion des APs par adresses MAC Gestion des clients Wireless par leurs adresses MAC. WEP (Static/Dynamic) WPA Enterprise/Personal WPA2 Enterprise/Personal

Rogue Access Point

Chaque réseau d’AP rapporte au commutateur via un scan des radios Fréquences (RF) les informations suivantes:

La liste des adresses MAC de sa base de données. La liste des APs associés. La liste des commutateurs wireless.

Un AP est considéré comme un “rogue” si:

Le switch ne l’a pas découvert dans sa base de données. L’AP n’est pas géré par le switch. l’adresse MAC de l’AP n’est pas renseignée dans la liste des

APs autorisés.

RF Scan Status

Réseaux WIFI

Informations des clients wifi

Les Aps avertissent le commutateur Wireless de l’état de connexion d’un nouveau client, si ce dernier est s’associé ou non au réseau.

Le switch maintient une liste de tous les clients associés de chaque points d’accès.

Les Clients sont gérés par AP et le commutateur.

Aperçu du Roaming

Roaming de niveau 2 Les APs appartiennent au même sous-réseau Les APS ont de commun le :

VAP SSID Mécanisme de sécurité et configuration

Roaming de niveau 3 Prévu pour le trafic VOIP wireless Nécessite du routage sur le switch Les Clients doivent conserver leurs adresses IP.

3

Commutateur Wireless

1. AP-1 est connecté sur un port du commutateur et ce dernier l’a découvert automatiquement.

2. l’administrateur réseau peut alors déterminer si c’est un rogue AP ou un point d’accès autorisé.

3. l’administrateur peut alors intégrer via une gestion centralisée la configuration / firmware et securité demandée pour son réseau.

4. Tous les clients sont alors authentifiés, gérés et contrôlés par les polices du commutateur. 5. Le Roaming entrel’ AP-1 vers l’ AP-2 peut s’effectuer sans avoir besoin de re-spécifier une

adresse IP et de se re-authentifier.Le client pourra se déplacer sans coupure.

Wireless Switch

AP-1

AP-2

2

14

5

Roaming

Wireless switch

Mobile user

No re-authenticate when user moves

Mobile user want to move HERE

Fast Roaming Le Roaming permet à des clients wireless de se déplacer de point d’accès

en point d’accès sans avoir de coupure et de permet de maintenir la connexion et l’accès au réseau.

Ce paramètre peut être supporté tant dans un réseau ip classique que dans un réseau “subnetté”.

Lorsqu’un client se déplace dans un réseau wifi faisant du “Fast Romanig” il conservera la même adresse IP, connecté à un même SSID tout en conservant ses paramètres de sécurité..

Roaming Client Configuration

Les clients ne nécessitent pas de paramétrages spécifiques pour une connexion en roaming N2 ou N3.

Exception: Authentification en WPA2 pour le fast roaming (“fast authenticated roaming”)  Le client wifi doit intégrer et supporter le WPA2. Windows update.  

Le client se connecte par un SSID SSID (Network name) doit être sur tout les APs fonctionnant en

roaming La sécurité doit être aussi identiques sur tout les APs. Pour le roaming N2 et N3,le client conserve la même adresse IP.

Fast Roaming (Cont.)

Pre-Shared Keys

Fast Roaming• No relocating IP• No re-auth

– Key was distributed by Switch to APs

Dynamic Keys (WPA/WPA2 Enterprise)

Fast Roaming• No relocating IP• No re-auth

– the dynamic key - PMK (Pairwise Master Key) can be cached in Switch and forwarded to APs in the same roaming group

• Management of thousands of users is possible

Radius Server

PSK

PSK

PSK

PMK

PMK

PMK

802.1x Auth

Outils de visualisation

MERCI