tp wireless local area network kais mabrouk 2011
DESCRIPTION
TP WLANTRANSCRIPT
TP WLAN K.MABROUK 1
TP
Wireless Local area Network
K.MABROUK
ESIGETEL 2011
TP 2éme année Cursus Ingénieur de l’ESIGETEL
TP WLAN K.MABROUK 2
Sommaire Objectif du TP .......................................................................................................................................... 3
Equipements nécessaires pour le TP ....................................................................................................... 3
1‐ Routeur VPN sans fil G Cisco WRV210 ........................................................................................ 3
2‐ Une clef sans‐fil compatible 802.11.g ou un PC (fixe ou portable) équipé d’une carte WIFI ..... 4
3‐ Le logiciel “Wireshark” Windows Installer (64‐bit) .................................................................... 4
Déroulement du TP ................................................................................................................................. 5
I. Introduction ..................................................................................................................................... 5
II. Mise en place des deux réseaux de types Ad‐hoc superposés. ...................................................... 6
II.1 Le mode ad hoc ............................................................................................................................. 6
II.2 Construction du réseau sans‐fil en mode Adhoc .......................................................................... 7
II.2.1 Réseaux 1 ................................................................................................................................ 7
II.2.2 Réseaux 2 ................................................................................................................................ 7
I.3 Test et validation ............................................................................................................................ 7
III. Construction du réseau sans‐fil en mode Infrastructure ............................................................ 8
III.1 VLAN 1 ...................................................................................................................................... 8
III.2 VLAN2 ....................................................................................................................................... 9
III.3 Configuration LAN .................................................................................................................... 9
III.3.2 VLAN .................................................................................................................................... 10
III.1 Configuration Sans fil .............................................................................................................. 10
1. Paramètres sans‐fil ................................................................................................................ 10
2. Sécurité sans fil ...................................................................................................................... 10
3. Accès au réseau sans fil ......................................................................................................... 10
4. Paramètres sans fil avances .................................................................................................. 11
III.2 Pare‐feu .................................................................................................................................. 11
1. General .................................................................................................................................. 11
2. Filtrage d'URL ........................................................................................................................ 11
III.3 QoS pour les accès sans‐fil ..................................................................................................... 11
Etat & Performances système ........................................................................................................... 12
TP WLAN K.MABROUK 3
Objectif du TP
Mise en place et Configuration d’un réseau sans fil 802.16.g (MIMO) comme extension du réseau Virtuel en mode infrastructure et
déploiements de réseaux sans-fil en mode Ad-hoc superposés.
1- Appliquer les principes vus en cours des structures sans-fil 2- Se familiariser avec les nouvelles générations de routeurs 3- Conception d’un réseau sans-fil pour petite entreprise 4- Configuration des réseaux virtuels étendus au sans-fil 5- Analyse des signaux et des trames sans-fil 6- Familiarisation avec les aspects avancée (QoS, Sécurité, filtrage…)
Equipements nécessaires pour le TP
1 Routeur VPN sans fil G Cisco WRV210
Le routeur VPN sans fil G Cisco® WRV210 est un routeur VPN (réseau privé virtuel) qui intègre un point d'accès sans fil pour les petits bureaux ou les bureaux à domicile. L'interface WAN Ethernet 10/100 se connecte directement à votre modem câble/DSL haut débit. L'interface LAN intègre un commutateur Ethernet 10/100 duplex intégral à 4 ports, avec possibilité de raccorder jusqu'à quatre périphériques. Le point d'accès sans fil prend en charge les normes 802.11b/g et intègre la technologie RangeBooster, qui fait appel à des antennes MIMO (Multiple-Input, Multiple-Output) pour fournir la couverture et assurer la fiabilité. Le routeur Cisco WRV210 dispose des fonctionnalités de sécurité avancées nécessaires aux réseaux d'entreprise, notamment un pare-feu avancé d'inspection avec état (SPI) prenant en charge la prévention des attaques par déni de service, ainsi qu'un moteur VPN assurant la sécurité des communications entre les travailleurs mobiles ou distants et les filiales. Ce routeur prend en charge plusieurs SSID et VLAN pour la séparation du trafic. Il met en oeuvre les cryptages WPA2-PSK (Wi-Fi Protected Access Pre-Shared Key), WPA2 Enterprise et WEP (Wired Equivalent Privacy), ainsi que d'autres fonctions de sécurité, notamment le filtrage MAC et la capacité à activer et désactiver les diffusions SSID. Un réseau sans fil professionnel exige de la souplesse. Le routeur Cisco WRV210 peut étendre ou réduire la zone de votre réseau sans fil via un système de distribution sans fil qui vous permet de développer votre réseau en connectant certains points d'accès Cisco autonomes, sans câble supplémentaire. Cette capacité, associée à la possibilité d'augmenter ou de réduire la puissance de sortie RF, garantit une couverture réseau optimale. Pour prendre en charge la voix sur IP (VoIP), le routeur Cisco WRV210 dispose d'une passerelle de couche Application SIP (Session Initiation Protocol) et de fonctionnalités de qualité de service (QoS) avancée. La VoIP basée sur SIP rencontre quelques problèmes pour passer à travers les pare-feu standard avec traduction d'adresses de réseau (NAT),
TP WLAN K.MABROUK 4
notamment lorsque plusieurs clients SIP sont déployés. La passerelle de couche Application SIP permet à ce trafic de passer à travers le pare-feu du routeur. La qualité de service (QoS) peut améliorer la qualité de la voix ou de la vidéo sur IP. La prise en charge de la qualité de service sans fil (WMM [Wi-Fi Multimedia]) et de la qualité de service filaire (hiérarchisation des ports) par le routeur WRV210 aide à assurer une qualité voix et vidéo homogène à travers votre réseau.
2 Une clef sansfil compatible 802.11.g ou un PC (fixe ou portable) équipé d’une carte WIFI
Vous pouvez utiliser votre PC portable doté d’une carte sans-fil. Our Grâce à l’adaptateur USB sans fil DWA-110, vous pouvez doter votre PC d’une connectivité sans fil 802.11g. Doté des dernières avancées en matière de technologie sans fil. De par sa conformité à la norme sans fil 802.11g, le DWA-110 permet de transmettre des vidéos en continu et de transférer de gros fichiers sur un réseau sans fil. L’adaptateur USB sans fil DWA-110 est facilement configurable et détecte les réseaux sans fil disponibles quel que soit l’endroit où vous vous trouvez. L’utilitaire peut également créer des profils de connectivité détaillés destinés à enregistrer les réseaux les plus fréquemment utilisés. Vous pouvez également activer la prise en charge du WPA et de la norme 802.1x pour un meilleur chiffrement des données et une meilleure authentification des utilisateurs. Le DWA-110 est un adaptateur USB 2.0 sans fil qui se connecte rapidement et facilement à n’importe quel ordinateur portable ou de bureau équipé d’un port USB disponible. Il suffit d’insérer le DWA-110 pour profiter de la liberté de la mise en réseau sans fil. Lorsqu’il est utilisé avec d’autres produits sans fil G D-Link dans leur configuration par défaut, le DWA-110 détecte le réseau sans fil et s’y connecte automatiquement. Comme tous les autres adaptateurs sans fil D-Link, l’adaptateur USB sans fil DWA-110 peut être utilisé en mode poste à poste (ad-hoc) pour une connexion directe à d’autres ordinateurs compatibles avec la norme sans fil 802.11b/g afin de partager directement des fichiers, ou bien en mode client (infrastructure) pour une connexion à des points d’accès ou des routeurs sans fil.
3 Le logiciel “Wireshark” Windows Installer (64bit)
Wireshark est l'analyseur réseau le plus populaire du monde. Cet outil extrêmement puissant fournit des informations sur des protocoles réseaux et applicatifs à partir de données capturées sur un réseau.
Comme un grand nombre de programmes, Wireshark utilise la librairie réseau pcap pour capturer les paquets.
La force de Wireshark vient de:
- sa facilité d'installation.
TP WLAN K.MABROUK 5
- sa simplicité d'utilisation de son interface graphique.
- son très grand nombre de fonctionnalités.
Wireshark fut appelé Ethereal jusqu'en 2006 où le développeur principal décida de changer son nom en raison de problèmes de copyright avec le nom de Ethereal qui était enregistré par la société qu'il décida de quitter en 2006.
Vous pouvez obtenir des informations supplémentaires sur le site web de Wikipedia.
Si vous n'avez pas d'interface graphique, vous pourriez être intéressé par "TShark" qui est une version en ligne de commande de Wireshark. TShark supporte les mêmes fonctionnalités que Wireshark.
Déroulement du TP
Le TP est construit sur plusieurs étapes qui aboutiront finalement à la mise en œuvre d’un réseau WiFi de type 802.11.g intégrant l’aspect sécurité, QoS et réseaux virtuels.
Les principales étapes du TP sont :
1- Introduction générale du TP 2- Rappels sur les principales notions pour réussir ce TP. 3- Mise en place de deux réseaux de types Ad-hoc superposés. 4- Construction d’un réseau sans-fil pour petites entreprises. 5- Analyse et optimisation du réseau
I. Introduction
Il existe différents types d'équipements pour la mise en place d'un réseau sans fil Wifi :
* Les adaptateurs sans fils ou cartes d'accès (en anglais wireless adapters ou network interface controller, noté NIC) : il s'agit d'une carte réseau à la norme 802.11 permettant à une machine de se connecter à un réseau sans fil. Les adaptateurs WiFi sont disponibles dans de nombreux formats (carte PCI, carte PCMCIA, adaptateur USB, carte CompactFlash, ...). On appelle station tout équipement possédant une telle carte.
* Les points d'accès (notés AP pour Access point, parfois appelés bornes sans fils) permettant de donner un accès au réseau filaire (auquel il est raccordé) aux différentes stations avoisinantes équipées de cartes wifi.
Le standard 802.11 définit deux modes opératoires :
* Le mode infrastructure dans lequel les clients sans fils sont connectés à un point d'accès. Il s'agit généralement du mode par défaut des cartes 802.11.
* Le mode ad hoc dans lequel les clients sont connectés les uns aux autres sans aucun point d'accès.
TP WLAN K.MABROUK 6
Figure 1
II. Mise en place des deux réseaux de types Adhoc superposés.
II.1 Le mode ad hoc
En mode ad hoc les machines sans fils clientes se connectent les unes aux autres afin de constituer un réseau point à point (peer to peer en anglais), c'est-à-dire un réseau dans lequel chaque machine joue en même temps le rôle de client et le rôle de point d'accès.
L'ensemble formé par les différentes stations est appelé ensemble de services de base indépendants (en anglais independant basic service set, abrégé en IBSS).
Figure 2 Mode AdHoc
Un IBSS est ainsi un réseau sans fil constitué au minimum de deux stations et n'utilisant pas de point d'accès. L'IBSS constitue donc un réseau éphémère permettant à des personnes situées dans une même salle d'échanger des données. Il est identifié par un SSID, comme l'est un ESS en mode infrastructure.
TP WLAN K.MABROUK 7
Dans un réseau ad hoc, la portée du BSS indépendant est déterminée par la portée de chaque station. Cela signifie que si deux des stations du réseau sont hors de portée l'une de l'autre, elles ne pourront pas communiquer, même si elles "voient" d'autres stations. En effet, contrairement au mode infrastructure, le mode ad hoc ne propose pas de système de distribution capable de transmettre les trames d'une station à une autre. Ainsi un IBSS est par définition un réseau sans fil restreint.
II.2 Construction du réseau sansfil en mode Adhoc
Créer deux réseaux de type AdHoc ayant les caractéristiques suivantes :
II.2.1 Réseaux 1
IBSSID : ad_hoc_1
Canal :6
Clé de type : WEP
Longueur de clé : 128 bits/ 13 Caractère 104 + 24
Clé : ESIGETEL-11-1
index 2,
Adresse IP: classe privée en 192.168.0.0/24
Configuration statique des adresses IP de chaque carte 192.168.0.10 à 192.168.019
II.2.2 Réseaux 2 IBSSID : ad_hoc_2
Canal :6
Clé de type : WEP
Longueur de clé : 128 bits/ 13 Caractère 104 + 24
Clé : ESIGETEL-11-2
index 2,
Adresse IP: classe privée en 192.168.0.0/24
Configuration statique des adresses IP de chaque carte 192.168.0.10 à 192.168.019
I.3 Test et validation 1- Vérifiez que vous avez accès à tous les PC du réseau. 2- Affichez votre cache arp et la table des adresses. Que déduisez-vous ?
TP WLAN
III.
Vouen cour
Dl’utilisatutilisate
III.1 VLA
Lgroupe égaleme
Il néces
Figure 3
N K.MABROU
Const
us allez réalrs (WLAN pa
Deux réseaion d’un s
eurs doivent
AN 1
Le réseau x » devra êent accès a
ssitera une a
UK
ruction d
iser une arcage 121) et
aux virtuelsserveur DHt voir appara
VLAN 1 étêtre en me
au réseau E
authentifica
du réseau
chitecture st qui est illus
constituenHCP et un aître deux r
tendu sur lesure de fouEthernet de
ation par clé
Serveur
@
u sansfil
sans-fil deststrée par la
nt cette archserveur d
réseaux san
’interface aurnir un serl’entreprise
é WPA que
r DHCP
l en mode
inée à un Pa figure suiv
hitecture. Vd’authentificns-fil access
air par le brvice comp.
vous devez
e Infrastr
PME identiqvante :
Vous devezcation de tsibles.
biais du SSlet aux utili
z choisir et c
ructure
ue à celle a
égalementtype RADU
SID1 : « permisateurs, int
configurer.
abordée
t prévoir US. Les
manents ternet et
8
TP WLAN K.MABROUK 9
L’accès aux équipements par les différents ports est autorisé une fois que l’authentification est réussie cependant l’accès à internet devra être autorisé une fois que l’authentification sur le serveur RADUS est validée.
Ils bénéficieront d’un débit plus important que les visiteurs.
III.2 VLAN2
Quand aux réseaux VLAN2 qui s’étend également sur l’interface air par le biais du SSID2 : « visiteurs groupe x » devra permettre à ceux qui l’utilisent une connexion internet seulement.
L’authentification se fait uniquement par un serveur RADIUS.
Aucun port ne doit être accessible pour cette catégorie d’utilisateur.
Note : groupe x, corresponds au numéro de groupe qui vous a été affecté lors du TP.
Canal fréquentiel :
Précaution d’interférence :
Négocier avec vos voisins, le canal que vous allez utiliser. Soyez le plus loin possible de votre voisin.
Figure 4
III.3 Configuration LAN
1.1 Configuration LAN Adresse IP locale : 192.168.1.1 Masque de sous-réseau : 255.255.255.0
1.2 Configuration Internet
Type de connexion Internet : configuration automatique
1.3 Configuration du serveur DHCP Activer le Serveur DHCP local. Adresse IP de début : 192. 168. 1.10
TP WLAN K.MABROUK 10
Adresse IP de fin : 192. 168. 1.19 Durée de location du client : 86400 Définissez le serveur DNS : Adresse IP DNS 1 : 10.0.0.2 Adresse IP DNS 2 : 10.0.0.1
III.3.2 VLAN
Selon votre besoin spécifié par l’architecture précédente définir :
‐ votre catégorie VLAN. ‐ le nombre de VLAN nécessaire
Configurez votre routeur selon ce choix afin de garantir l’architecture préconisée.
Clonage de l'adresse MAC (option)
Cloner l’adresse MAC permet d'identifier un routeur comme si c'était un équipement physique avec une adresse bien précise.
III.1 Configuration Sans fil
1. Paramètres sansfil
Définissez le ou les noms de vos SSID.
Choisissez votre canal de transmissions sans-fil.
Pour les visiteurs, restreindre l’utilisation aux horaires suivants :
« Du Lundi au vendredi de 10h du matin à 16 h de l’après midi ».
N’oubliez pas de limiter la vitesse de transmission sur le support « sans-fil » pour les visiteurs.
2. Sécurité sans fil
Voir description dans les deux VLANs.
3. Accès au réseau sans fil
Pour des raisons de sécurité on vous demande d’exclure un utilisateur (identifié par son adresse MAC : A1:AF:MM:PU:41:02 ) de tout accès au réseau via l’accès sans-fil.
TP WLAN K.MABROUK 11
4. Paramètres sans fil avances
Afin de restreindre la couverture radio la puissance de transmission doit être la plus faible possible.
III.2 Parefeu
1. General Blocage Internet
Bloquer les requêtes Internet anonymes destinées aux équipements reliés au réseau sans-fil.
Bloquer la multidiffusion aux réseaux sans-fil.
Blocage Web
Bloquer les Cookies
2. Filtrage d'URL
La société ne souhaite pas que les permanents et les visiteurs aient accès à certain site internet via l’interface sans-fil. On vous demande de mettre en place deux stratégies de restriction nommée « Dicta1 » & « Dicta2» ayant les objectifs suivants :
Pour tout les ports aucun accès possible à Dailymotion et Youtube.
III.3 QoS pour les accès sansfil
QoS basée sur les services
Proposez une QoS basée sur les services. Proposez des protocoles ou des services que vous jugez important à définir et distribuez les priorités que vous jugez nécessaires tout en les justifiant.
Figure 5 QoS
TP WLAN
Etat &
Pour vot
Connex Paquet Paquet Octets Octets Paquet
Paquet
Nom
Connex Paquet Paquet Octets Octets Paquet
Paquet
SSID 1
Nom duAdresseMode dDiffusio
valeurs d
N K.MABROU
Performa
tre compte re
N
xion s reçus s envoyés reçus envoyés s d'erreur re
s abandonné
xion s reçus s envoyés reçus envoyés s d'erreur re
s abandonné
u réseau sanse MAC e sécurité n du SSID
Impd'usine.
UK
ances sys
elever les inf
Nom
eçus
és reçus
eçus
és reçus
s fil (SSID)
portant : Une
stème
formations su
P
e fois que vo
uivantes :
Internet
Port1
SSID 2
us avez fini,
SSID1
Port2
SSID 3
ne pas oubli
SSID2
Port3
SSID 4
ier de reconf
SSID3
Port4
figurer le rou
3 SSID
teur aux
12
D4