Les commutateurs WIFI DWS-40XX
Agenda Aperçu du DWS-3000 Caractéristiques de bases de la commutation L2 Apercu du WLAN Topologie et Environnement Découverte des APs, Authentification Gestion des APs (Profiles, VAPs, et Réseaux) Sécurité et detections d’ Intrusions Les bases du Roaming
Aperçu du DWS-4000 Une architecture modulaire et évolutive
Les solutions Unifiées de D-Link Solution unifiée proposée par D-Link. Nouveauté: Commutateur unifié DWS-4026 Point d’accès DWL-8600AP 802.11n Management: groupement des commutateurs / 802.1X Authenticator Sécurité étendue: Wireless Intrusion Detection (WIDS) Roaming étendu: tunneling AP-AP Groupement des 8600AP en mode Standalone: AP Clustering Intégration du mode Wireless Distribution System (WDS) Switch DWS-3024L / 3024 DWS-3026 DWS-4026 Description 24-port Gigabit L2+ PoE Unified Switch 24-port Gigabit L2+ PoE Unified Switch et 2 slots d’extension pour du 10GE Access Point DWL-3500AP / DWL-8500AP DWL-8600AP* DWL-8600AP # of AP 24 / 48 48 64 Note PoE
IEEE 802.1Q VLANs Permet la segmentation logique d’un réseau. Un simple réseau physique peut devenir en un ensemble de réseaux logiques. La Segmentation permet : Une meilleure administration Une meilleure sécurité Une meilleure gestion des flux multicast( multimédia, flux video,etc…) Le VLAN “tagé” permet de véhiculer une priorité des flux (QoS). Le traffic entre VLANS ou segments doit être routé.
IEEE 802.1Q VLANs Un port tagé peut appartenir à de multiples VLANs. Un membre d’ un VLAN se caractérise par son : _ Port _ Protocole _ Adresse MAC _ IP Le DWS-4000 autorise le routage inter-VLAN. Le DWS-4000 peut supporter 3965 VLANs.
IEEE 802.1Q VLANs Exemple d’architecture: DWS-4026 VLAN 2 VLAN 3 Port 0/1 VLAN 2 Port 0/4 VLAN 3 Port 0/3 VLAN 3 Port 0/2 VLAN 2 & 3 VLAN 2 VLAN 3
IEEE 802.1Q VLANs
ACL et filtrages DiffServ Les ACLs permettent de contrôler et de filtrer le trafic existant sur le réseau en se basant sur des critères bien définis. Elles sont normallement utilisées dans un réseau intranet par des routeurs Firewall voire routeurs. Le nombre maximum d’ ACLs est de 100. Le nombre de règles par ACL est de 8. Une ACL peut être appliquée pour une ou plusieurs interfaces.
ACL et filtrages DiffServ Les ACLs sont seulement appliquables sur les ports physiques. Les ACLs sont fabriquées à partir de séquences d’autorisations (permit) et d’ interdictions (deny) appelées “règles”. Les règles peuvent être paramétrées pour inspecter un paquet de données selon les 6 critères suivant: L’adresse IP Source IP L’adresse IP de Destination Port Source L4 Port de Destination L4 Type de Service (TOS Byte) Le Protocole
Apercu du WLAN Commutateur Wireless: DWS-4026 Point d‘Accès Wireless DWL-3500AP (802.11b/g) DWL-8500AP (802.11a/b/g) DWL-8600AP( 802.11a:b,g N) Le commutateur Wireless peut gérer 64 APs Il peut accèpter jusqu‘à 256 clients wireless. On peut installer jusqu‘à 8 commutateurs sur un réseau qui permettra le: Partage les informations des APs. Partage les informations des clients wireless associés aux APs Au total un système unifié (Unified Access System) peut gèrer jusqu‘à 2048 clients wireless.
Fast Roaming Idéal pour les applications VoIP. Le Fast L2/L3 Roaming: Un commutateur DWS-4000 peut supporter le “fast roaming” à travers 64 Aps. Le “Fast roaming” est fonctionnel à travers un réseau de nibeau 2 ou 3. Unified Switch Réseau A Réseau B AP-1 AP-2 AP-3 L2 Roaming L3 Roaming
Topologie classique d’un system Unifié Commutateur Wireless AP 1 Terminal connecté directement par un câble série. Réseau L2/L3 AP 2 Station d’ administration distante AP 3 Clients Wireless RADIUS DHCP SYSLOG
Topologie comprenant plusieurs Switch Wireless Wireless Switch 1 Wireless Switch 2 Station d’ administration distante. Terminal connecté directement par un câble série. L3 Network Wireless Switch 3 APs gérés par WS 1 APs gérés par WS 3 APs gérés par WS 2
Topologie de réseau 1 : solution Overlay Centre de données ou solution Overlay Ajout d’un WLAN avec un minimum de changement sur le réseau existant. Layer 3 Switch Server Farm Layer 2 switch Wireless Switch
Topologie de réseau 2: solution Unified Multiple Floors Réseau fonctionnant par le remplacement des commutateurs LAN par des Systèmes unifiés et bénéficier de liens gigabits et 10 Gigabits en façade arrière*. Layer 3 Switch Server Farm Tous les commutateurs N2 sont remplacés par un commutateur Wireless Layer 2 switch Layer 2 switch Wireless Switch Wireless Switch
Switch AP Protocole Le protocole est utilisé pour: La découverte La Configuration La Sécurisation de la communication Les connexions en TCP et UDP sont ouvertes entre le commutateur et le protocole des APs. TCP est utilisé pour sécuriser les connexions via une session SSL. Durée de connexion(Heartbeat) Configuration du profile de l’ AP Association et Disassociation du Client Disassociation des commandes du client pre-authentication du Client Authentication de l’ AP UDP est utilisé lors de la communication pour le passage de statisques. statistique des Clients Le sondage des paquets Clients.
Découverte en Niveau 2 Même domaine de diffusion (broadcast) en niveau 2. Les deux appareils sont paramétrés sur le VLAN par défaut (Management VLAN=1). Découverte Automatique (ne nécessite pas de configuration additionnelle). Découverte du Message en niveau 2
DWL-8600AP: 802.11n Unified AP Nouvelle génération de point d’accès unifié de D-Link’s géré par les DWS-3000* et DWS-4000. Nouvelles Fonctionalités: Supportent la norme 802.11n Draft 2.0 Vitesse de transmission wireless théorique de 300Mbps soit 5x 802.11g Délivré avec 4 Antennes selon la technologie MIMO. Virtuel AP (VAP) gère jusqu’à 16 SSIDs par radio, soit 32 SSIDs par AP Wireless Distribution System (WDS) Accepte le mode Pont wireless Supporte le protocole 802.1d Spanning Tree Dual-band concurrent APs from other vendor (such as Aruba AP125 and Cisco 1250) require PoE+ to fully function. Groupement des AP cluster Conception GREEN du produit : Processeur à basse consommation Pas besoin de Poe+ Compatible ave cla norme 802.3af avec l’injecteur Poe Inclus *: Révision 3.0
Fonctionnalité: AP Clustering Auparavant , l’administrateur devait paramétrer les Aps les uns après les autres. Maintenant, l’administrateur peut créer un groupe de 8600AP appartenant au même réseau, et ce groupe sera reconnu en tant qu’un simple point d’accès. AP Clustering Même concept qu’une grappe de switches (Switch Clustering). Les APs partagent les mêmes informations de configuration. fournit un seul point d’administration pour l’ensemble. Configuration AP Cluster Configuration Admin This feature is supported under standalone mode
Fonctionnalité Wireless Distribution System (WDS) Le mode WDS permet à un 8600AP de pouvoir se connecter en mode pont et permettre l’interconnexion de deux réseaux wifi. Les données transmises entre les deux réseaux peuvent être sécurisées. Ne nécessite pas de câbles entre les deux sites pour l’interconnexion. On peut valider le mode WDS pour faire de la redondance. Le 802.1d STP évitera les boucles sur le réseau. This feature is supported under standalone mode Network 1 Network 2
Réseaux WIFI Identification par un SSID (Service Set IDentifier). On peut paramétrer 64 réseaux unique(VLAN). Association d’un réseau avec chaque VAP (Virtual AP). Le paramétrage d’un réseau wifi peut nécessiter: SSID (Service Set IDentifier) Les paramètres de Sécurité. VLAN ID. Paramètres pour le client vers un AP RADIUS tunnel L3…
L’interface Web L’ interface WEB du commutateur dispose d’un menu simplifié pour l’Administration de la partie Wireless, le « Basic Setup ». le « Basic Setup » n’est autre qu’un menu dit « wizard »qui permet en quelques cliques de paramétrer tous les points d’accès Wifi de votre réseau.
Discovery Ce menu permet de faire le lien entre des Vlans créés et la partie Wifi.
RF Management Ajustement automatique des canneaux: Le SwitchWireless ajuste automatiquement les canneaux en fonction de l’ajout ou de la suppression d’un point d’accès sur le réseau. On peut aussi programmer le Switch Wireless pour contrôler et réajuster les canneaux automatiquement pendant un temps défini. Comme il y a une interference, le channel change Channel 24 Channel 48 Un rogue AP utilisant le channel 48 apparait 3. Changes to Channel 18 New AP Channel 36 un nouveau AP s’ajoute au réseau Channel 54 On Scan la couverture de RF … Sélection d’un nouveau channel
RF Management Ajustement automatique de la puissance: Les fréquences RF sont automatiquement ajustées pour “Broadcaster” non seulement les clients wifi mais aussi les points d’accès afin de connaître le status global du réseau WIFI. Lorsqu’un point d’accès managé est éteint, la puissance des points d’accès voisins et qui sont gérés par le même commutateur vont augmenter immédiatement la puissance de couverture de 20%. Channel Plan Period Power Adjustment Clustering Power 50% Power 90% Auto Power Adjustment Power 90% Power 50% Power 90% Power 60% Power 30% Power 50% Power 70% Power 90% RF Self-Healing Auto Power Adjustment AP Fail
Self-Healing Wireless Network (Load Utilization) Les APs transmettent au Switch un rapport sur l’utilisation de leurs bandes passantes régulièrement. Si la bande passante utilisée dépasse le seuil défini, le nouveau client qui voudra s’associer au point d’accès sera rejeté. Il sera forcé à se connecter sur un AP voisin qui utilise moins de bande passante. Utilization rate increased Default bandwidth utilization: 60% Wireless Switch Reach utilization threshold!!! User4 rejected Utilization rate for AP-2: 10% Force to connect to Ap-2 AP-1 AP-2 user4 User4 connect to AP-2 user4 Attempt to connect AP-1
RF Management
Wireless Security & Encryption
Wireless Security & Encryption Rogue AP Management Tout les points d’accès scannés mais qui ne se trouvent pas dans la base de données, sont listés comme “rogue AP”. L’administrateur réseau pourra alors mieux contrôler le réseau wireless grace aux informations délivrées par le “rogue APs’ information” (MAC, SSID, Channel, etc). Paramètres de Sécurité: Wireless Gestion des APs par adresses MAC Gestion des clients Wireless par leurs adresses MAC. WEP (Static/Dynamic) WPA Enterprise/Personal WPA2 Enterprise/Personal
Rogue Access Point Chaque réseau d’AP rapporte au commutateur via un scan des radios Fréquences (RF) les informations suivantes: La liste des adresses MAC de sa base de données. La liste des APs associés. La liste des commutateurs wireless. Un AP est considéré comme un “rogue” si: Le switch ne l’a pas découvert dans sa base de données. L’AP n’est pas géré par le switch. l’adresse MAC de l’AP n’est pas renseignée dans la liste des APs autorisés.
RF Scan Status
Réseaux WIFI
Informations des clients wifi Les Aps avertissent le commutateur Wireless de l’état de connexion d’un nouveau client, si ce dernier est s’associé ou non au réseau. Le switch maintient une liste de tous les clients associés de chaque points d’accès. Les Clients sont gérés par AP et le commutateur.
Aperçu du Roaming Roaming de niveau 2 Les APs appartiennent au même sous-réseau Les APS ont de commun le : VAP SSID Mécanisme de sécurité et configuration Roaming de niveau 3 Prévu pour le trafic VOIP wireless Nécessite du routage sur le switch Les Clients doivent conserver leurs adresses IP.
Roaming 1 4 3 2 5 Wireless Switch AP-1 AP-2 Commutateur Wireless 1. AP-1 est connecté sur un port du commutateur et ce dernier l’a découvert automatiquement. 2. l’administrateur réseau peut alors déterminer si c’est un rogue AP ou un point d’accès autorisé. 3. l’administrateur peut alors intégrer via une gestion centralisée la configuration / firmware et securité demandée pour son réseau. 4. Tous les clients sont alors authentifiés, gérés et contrôlés par les polices du commutateur. 5. Le Roaming entrel’ AP-1 vers l’ AP-2 peut s’effectuer sans avoir besoin de re-spécifier une adresse IP et de se re-authentifier.Le client pourra se déplacer sans coupure.
Fast Roaming Le Roaming permet à des clients wireless de se déplacer de point d’accès en point d’accès sans avoir de coupure et de permet de maintenir la connexion et l’accès au réseau. Ce paramètre peut être supporté tant dans un réseau ip classique que dans un réseau “subnetté”. Lorsqu’un client se déplace dans un réseau wifi faisant du “Fast Romanig” il conservera la même adresse IP, connecté à un même SSID tout en conservant ses paramètres de sécurité.. Wireless switch Mobile user No re-authenticate when user moves Mobile user want to move HERE
Roaming Client Configuration Les clients ne nécessitent pas de paramétrages spécifiques pour une connexion en roaming N2 ou N3. Exception: Authentification en WPA2 pour le fast roaming (“fast authenticated roaming”) Le client wifi doit intégrer et supporter le WPA2. Windows update. Le client se connecte par un SSID SSID (Network name) doit être sur tout les APs fonctionnant en roaming La sécurité doit être aussi identiques sur tout les APs. Pour le roaming N2 et N3,le client conserve la même adresse IP.
Dynamic Keys (WPA/WPA2 Enterprise) Fast Roaming (Cont.) Pre-Shared Keys PSK Fast Roaming No relocating IP No re-auth – Key was distributed by Switch to APs PSK PSK Dynamic Keys (WPA/WPA2 Enterprise) Radius Server PMK Fast Roaming No relocating IP No re-auth – the dynamic key - PMK (Pairwise Master Key) can be cached in Switch and forwarded to APs in the same roaming group Management of thousands of users is possible PMK 802.1x Auth PMK
Outils de visualisation
MERCI