les commutateurs wifi dws-40xx. agenda aperçu du dws-3000 caractéristiques de bases de la...
TRANSCRIPT
Les commutateurs WIFIDWS-40XX
Agenda
Aperçu du DWS-3000 Caractéristiques de bases de la commutation L2 Apercu du WLAN Topologie et Environnement Découverte des APs, Authentification Gestion des APs (Profiles, VAPs, et Réseaux) Sécurité et detections d’ Intrusions Les bases du Roaming
Aperçu du DWS-4000
Une architecture modulaire et évolutive
• Solution unifiée proposée par D-Link.
Switch DWS-3024L / 3024 DWS-3026 DWS-4026
Description24-port Gigabit L2+ PoE
Unified Switch24-port Gigabit L2+ PoE Unified Switch
et 2 slots d’extension pour du 10GE
Access PointDWL-3500AP / DWL-8500AP
DWL-8600AP*DWL-8600AP
# of AP 24 / 48 48 64
Note PoE
Nouveauté:
Commutateur unifié DWS-4026
Point d’accès DWL-8600AP 802.11n
Management: groupement des commutateurs / 802.1X Authenticator
Sécurité étendue: Wireless Intrusion Detection (WIDS)
Roaming étendu: tunneling AP-AP
Groupement des 8600AP en mode Standalone: AP Clustering
Intégration du mode Wireless Distribution System (WDS)
Les solutions Unifiées de D-Link
IEEE 802.1Q VLANs
Permet la segmentation logique d’un réseau.
Un simple réseau physique peut devenir en un ensemble de réseaux logiques.
La Segmentation permet : Une meilleure administration Une meilleure sécurité Une meilleure gestion des flux multicast( multimédia, flux
video,etc…)
Le VLAN “tagé” permet de véhiculer une priorité des flux (QoS).
Le traffic entre VLANS ou segments doit être routé.
IEEE 802.1Q VLANs
Un port tagé peut appartenir à de multiples VLANs.
Un membre d’ un VLAN se caractérise par son : _ Port
_ Protocole_ Adresse MAC _ IP
Le DWS-4000 autorise le routage inter-VLAN.
Le DWS-4000 peut supporter 3965 VLANs.
IEEE 802.1Q VLANs
VLAN 2 VLAN 3
Port 0/4VLAN 3
Port 0/3VLAN 3
Port 0/2VLAN 2 & 3
Port 0/1VLAN 2
DWS-4026Exemple d’architecture:
IEEE 802.1Q VLANs
ACL et filtrages DiffServ
Les ACLs permettent de contrôler et de filtrer le trafic existant sur le réseau en se basant sur des critères bien définis.
Elles sont normallement utilisées dans un réseau intranet par des routeurs Firewall voire routeurs.
Le nombre maximum d’ ACLs est de 100.
Le nombre de règles par ACL est de 8.
Une ACL peut être appliquée pour une ou plusieurs interfaces.
ACL et filtrages DiffServ
Les ACLs sont seulement appliquables sur les ports physiques.
Les ACLs sont fabriquées à partir de séquences d’autorisations (permit) et d’ interdictions (deny) appelées “règles”.
Les règles peuvent être paramétrées pour inspecter un paquet de données selon les 6 critères suivant:
L’adresse IP Source IP L’adresse IP de Destination Port Source L4 Port de Destination L4 Type de Service (TOS Byte) Le Protocole
Apercu du WLAN
Commutateur Wireless:
DWS-4026
Point d‘Accès Wireless DWL-3500AP (802.11b/g) DWL-8500AP (802.11a/b/g) DWL-8600AP( 802.11a:b,g N)
Le commutateur Wireless peut gérer 64 APs Il peut accèpter jusqu‘à 256 clients wireless.
On peut installer jusqu‘à 8 commutateurs sur un réseau qui permettra le: Partage les informations des APs. Partage les informations des clients wireless associés aux APs
Au total un système unifié (Unified Access System) peut gèrer jusqu‘à 2048 clients wireless.
• Idéal pour les applications VoIP.• Le Fast L2/L3 Roaming:
Un commutateur DWS-4000 peut supporter le “fast roaming” à travers 64 Aps.
Le “Fast roaming” est fonctionnel à travers un réseau de nibeau 2 ou 3.
AP-1 AP-3AP-2
Réseau A
L2 Roaming
L3 Roaming
Fast Roaming
Unified Switch
Réseau B
Topologie classique d’un system Unifié
RADIUSDHCPSYSLOG
Station d’ administration distante
RéseauL2/L3
AP 3
AP 1
AP 2
Terminal connecté directement par un câble série.
Clients Wireless
Commutateur Wireless
Topologie comprenant plusieurs Switch Wireless
L3 Network
APs gérés par WS 1
Wireless Switch 1 Wireless Switch 2
Wireless Switch 3
APs gérés par WS 2APs gérés par WS 3
Station d’ administration distante.
Terminal connecté directement par un câble série.
Centre de données ou solution Overlay
Ajout d’un WLAN avec un minimum de changement sur le réseau existant.
Topologie de réseau 1 : solution Overlay
Wireless Switch Layer 3 Switch Server Farm
Layer 2 switch Layer 2 switch
Multiple Floors
Réseau fonctionnant par le remplacement des commutateurs LAN par des Systèmes unifiés et bénéficier de liens gigabits et 10 Gigabits en façade arrière*.
Topologie de réseau 2: solution Unified
Layer 2 switchLayer 2 switchWireless Switch Wireless Switch
Layer 3 Switch Server Farm
Tous les commutateurs N2 sont remplacés par un commutateur
Wireless
Switch AP Protocole Le protocole est utilisé pour:
La découverte La Configuration La Sécurisation de la communication
Les connexions en TCP et UDP sont ouvertes entre le commutateur et le protocole des APs. TCP est utilisé pour sécuriser les connexions via une session SSL.
Durée de connexion(Heartbeat) Configuration du profile de l’ AP Association et Disassociation du Client Disassociation des commandes du client pre-authentication du Client Authentication de l’ AP
UDP est utilisé lors de la communication pour le passage de statisques.
statistique des Clients Le sondage des paquets Clients.
Découverte en Niveau 2
Même domaine de diffusion (broadcast) en niveau 2. Les deux appareils sont paramétrés sur le VLAN par défaut
(Management VLAN=1).
Découverte Automatique (ne nécessite pas de configuration additionnelle).
Découverte du Message en niveau 2
DWL-8600AP: 802.11n Unified AP• Nouvelle génération de point d’accès unifié de D-Link’s géré par les DWS-3000* et DWS-
4000.Nouvelles Fonctionalités:
• Supportent la norme 802.11n Draft 2.0
Vitesse de transmission wireless théorique de 300Mbps soit 5x 802.11g
Délivré avec 4 Antennes selon la technologie MIMO.
• Virtuel AP (VAP)
gère jusqu’à 16 SSIDs par radio, soit 32 SSIDs par AP
*: Révision 3.0
• Conception GREEN du produit :
Processeur à basse consommation
Pas besoin de Poe+
Compatible ave cla norme 802.3af avec l’injecteur Poe Inclus
• Wireless Distribution System (WDS)
Accepte le mode Pont wireless
Supporte le protocole 802.1d Spanning Tree
• Groupement des AP cluster
AP Cluster
Fonctionnalité: AP Clustering• Auparavant , l’administrateur devait paramétrer les Aps les uns après les autres.
• Maintenant, l’administrateur peut créer un groupe de 8600AP appartenant au
même réseau, et ce groupe sera reconnu en tant qu’un simple point d’accès.
• AP Clustering
Même concept qu’une grappe de switches (Switch Clustering).
Les APs partagent les mêmes informations de configuration.
fournit un seul point d’administration pour l’ensemble.
Admin
ConfigurationConfiguration
Fonctionnalité Wireless Distribution System (WDS)• Le mode WDS permet à un 8600AP de pouvoir se connecter en mode pont et permettre
l’interconnexion de deux réseaux wifi.
Les données transmises entre les deux réseaux peuvent être sécurisées.
Ne nécessite pas de câbles entre les deux sites pour l’interconnexion.
• On peut valider le mode WDS pour faire de la redondance.
Le 802.1d STP évitera les boucles sur le réseau.
Network 1 Network 2
Identification par un SSID (Service Set IDentifier).
On peut paramétrer 64 réseaux unique(VLAN).
Association d’un réseau avec chaque VAP (Virtual AP). Le paramétrage d’un réseau wifi peut nécessiter:
SSID (Service Set IDentifier) Les paramètres de Sécurité. VLAN ID. Paramètres pour le client vers un AP RADIUS tunnel L3…
Réseaux WIFI
L’interface Web
L’ interface WEB du commutateur dispose d’un menu simplifié pour l’Administration de la partie Wireless, le « Basic Setup ».
le « Basic Setup » n’est autre qu’un menu dit « wizard »qui permet en quelques cliques de paramétrer tous les points d’accès Wifi de votre réseau.
Discovery
Ce menu permet de faire le lien entre des Vlans créés et la partie Wifi.
un nouveau AP s’ajoute au réseau
On Scan la couverture de RF …Sélection d’un nouveau channel
Comme il y a une interference,le channel change
RF Management Ajustement automatique des canneaux:
Le SwitchWireless ajuste automatiquement les canneaux en fonction de l’ajout ou de la suppression d’un point d’accès sur le réseau.
On peut aussi programmer le Switch Wireless pour contrôler et réajuster les canneaux automatiquement pendant un temps défini.
Un rogue AP utilisant le channel 48 apparait
Channel 24 Channel 48
Channel 36 New AP
Channel 54
3. Changes toChannel 18
RF Management Ajustement automatique de la puissance:
Les fréquences RF sont automatiquement ajustées pour “Broadcaster” non seulement les clients wifi mais aussi les points d’accès afin de connaître le status global du réseau WIFI.
Lorsqu’un point d’accès managé est éteint, la puissance des points d’accès voisins et qui sont gérés par le même commutateur vont augmenter immédiatement la puissance de couverture de 20%.
Clustering
Power90%
Power90%
Power50%
Power50%Power
50%
Power90%
Power60%
Channel PlanPeriod Power Adjustment
Auto Power Adjustment
AP FailRF Self-HealingAuto Power
AdjustmentPower
90%Power
30%
Power70%
Self-Healing Wireless Network (Load Utilization)
Wireless Switch
Default bandwidth utilization: 60%
AP-1 AP-2
user4
user4
Utilization rate increased
Reach utilization threshold!!!
Utilization rate for AP-2: 10%
Attempt to connect AP-1
User4 rejectedForce to connect to
Ap-2
User4 connect to AP-2
Les APs transmettent au Switch un rapport sur l’utilisation de leurs bandes passantes régulièrement.
Si la bande passante utilisée dépasse le seuil défini, le nouveau client qui voudra s’associer au point d’accès sera rejeté. Il sera forcé à se connecter sur un AP voisin qui utilise moins de bande passante.
RF Management
Wireless Security & Encryption
Wireless Security & Encryption
• Rogue AP Management Tout les points d’accès scannés mais qui ne se trouvent pas dans la
base de données, sont listés comme “rogue AP”.
L’administrateur réseau pourra alors mieux contrôler le réseau wireless grace aux informations délivrées par le “rogue APs’ information” (MAC, SSID, Channel, etc).
• Paramètres de Sécurité:
Wireless Gestion des APs par adresses MAC Gestion des clients Wireless par leurs adresses MAC. WEP (Static/Dynamic) WPA Enterprise/Personal WPA2 Enterprise/Personal
Rogue Access Point
Chaque réseau d’AP rapporte au commutateur via un scan des radios Fréquences (RF) les informations suivantes:
La liste des adresses MAC de sa base de données. La liste des APs associés. La liste des commutateurs wireless.
Un AP est considéré comme un “rogue” si:
Le switch ne l’a pas découvert dans sa base de données. L’AP n’est pas géré par le switch. l’adresse MAC de l’AP n’est pas renseignée dans la liste des
APs autorisés.
RF Scan Status
Réseaux WIFI
Informations des clients wifi
Les Aps avertissent le commutateur Wireless de l’état de connexion d’un nouveau client, si ce dernier est s’associé ou non au réseau.
Le switch maintient une liste de tous les clients associés de chaque points d’accès.
Les Clients sont gérés par AP et le commutateur.
Aperçu du Roaming
Roaming de niveau 2 Les APs appartiennent au même sous-réseau Les APS ont de commun le :
VAP SSID Mécanisme de sécurité et configuration
Roaming de niveau 3 Prévu pour le trafic VOIP wireless Nécessite du routage sur le switch Les Clients doivent conserver leurs adresses IP.
3
Commutateur Wireless
1. AP-1 est connecté sur un port du commutateur et ce dernier l’a découvert automatiquement.
2. l’administrateur réseau peut alors déterminer si c’est un rogue AP ou un point d’accès autorisé.
3. l’administrateur peut alors intégrer via une gestion centralisée la configuration / firmware et securité demandée pour son réseau.
4. Tous les clients sont alors authentifiés, gérés et contrôlés par les polices du commutateur. 5. Le Roaming entrel’ AP-1 vers l’ AP-2 peut s’effectuer sans avoir besoin de re-spécifier une
adresse IP et de se re-authentifier.Le client pourra se déplacer sans coupure.
Wireless Switch
AP-1
AP-2
2
14
5
Roaming
Wireless switch
Mobile user
No re-authenticate when user moves
Mobile user want to move HERE
Fast Roaming Le Roaming permet à des clients wireless de se déplacer de point d’accès
en point d’accès sans avoir de coupure et de permet de maintenir la connexion et l’accès au réseau.
Ce paramètre peut être supporté tant dans un réseau ip classique que dans un réseau “subnetté”.
Lorsqu’un client se déplace dans un réseau wifi faisant du “Fast Romanig” il conservera la même adresse IP, connecté à un même SSID tout en conservant ses paramètres de sécurité..
Roaming Client Configuration
Les clients ne nécessitent pas de paramétrages spécifiques pour une connexion en roaming N2 ou N3.
Exception: Authentification en WPA2 pour le fast roaming (“fast authenticated roaming”) Le client wifi doit intégrer et supporter le WPA2. Windows update.
Le client se connecte par un SSID SSID (Network name) doit être sur tout les APs fonctionnant en
roaming La sécurité doit être aussi identiques sur tout les APs. Pour le roaming N2 et N3,le client conserve la même adresse IP.
Fast Roaming (Cont.)
Pre-Shared Keys
Fast Roaming• No relocating IP• No re-auth
– Key was distributed by Switch to APs
Dynamic Keys (WPA/WPA2 Enterprise)
Fast Roaming• No relocating IP• No re-auth
– the dynamic key - PMK (Pairwise Master Key) can be cached in Switch and forwarded to APs in the same roaming group
• Management of thousands of users is possible
Radius Server
PSK
PSK
PSK
PMK
PMK
PMK
802.1x Auth
Outils de visualisation
MERCI