Vers une gestion centralisée du Wifi

Ex: évolution du Wireless chez Cisco

Evolution de l’administration

AP indépendants lourds à gérer quand le nombre augmente:

Serveur web embarqué ou CLI

SNMP, Scripts ?...

Deux types d’AP:

Autonomous indépendants

LightWeight nécessite un contrôleur

ayant toute l’intelligence

Gestion centralisée

Solution Cisco: rachat de AireSpace, inventeur de LWAPP

Solutions centralisées ~identiques chez constructeurs compétiteurs:

Aruba

Trapeze

Nortel

Ruckus

Regardons déjà les Points d’accès

EOS: Aironet 1000 Series Lightweight Access Point

Dual-band 802.11a/b/g

Antennes intégrées

Pour bureaux, et emplacements similaires

Disponible en version « Lightweight » uniquement

Aironet 1100 Series

Single-band 802.11b/g

Antennes intégrées

Pour bureaux, et emplacements similaires

Disponible en version « Lightweight » et « Autonomous »

Aironet 1130 AG Series

Dual-band 802.11a/b/g

Antennes intégrées

Pour bureaux, et emplacements similaires

Disponible en version « Lightweight » et « Autonomous »

Deux versions possibles :

• Version « Lightweight »

• Utilisable avec le Lightweight Access Point

Protocol (LWAPP), Cisco Wireless LAN

Controler, et Cisco Wireless Control System

(WCS)

• Version « Autonomous »

• Basé sur IOS Software, et peut de façon

optionnelle marcher avec Cisco Works

Wireless LAN Solution Engine (WLSE)

Deux types d’alimentation :

• Avec « Power injector »

• Nécessaire si le commutateur sur lequel sont

branchées les bornes n’est pas PoE

• Avec « Power supply »

• Nécessaire si le commutateur est PoE. Par

défaut, les bornes contiennent un power

supply.

Points d’accès

Aironet 1200 Series

Single-band 802.11b/g

Upgrade possible pour réseaux 802.11a/g

Disponible en version « Lightweight » et « Autonomous »

Aironet 1230 AG Series

Dual-band 1ère génération 802.11a/b/g

Disponible en version « Lightweight » et « Autonomous »

Aironet 1240 AG Series

Dual-band 2ème génération 802.11a/b/g

Environnement industriel (hautes températures, usines, entrepôts, …)

Disponible en version « Lightweight » et « Autonomous »

Points/Ponts d’accès – Tropicalisés (pour l’extérieur)

Aironet 1300 Series

Utilisable en tant que point d’accès ou pont d’accès (Single-band 802.11b/g)

Idéal pour secteurs extérieurs, raccordement de réseaux ou pour infrastructures

extérieures pour réseaux mobiles

Antennes intégrées ou extérieures optionnelles

Support des configurations point à point et point à mutlipoint

Disponible en version « Lightweight » et « Autonomous »

Aironet 1400 Series

Pont d’accès Dual-band 1ère génération 802.11a/Sb/g

Support des configurations point à point et point à mutlipoint

Antennes intégrées ou extérieures optionnelles

Disponible en version « Autonomous » uniquement

Aironet 1500 Series

Existe en Single-band (802.11 b/g) ou Dual-band 2ème génération 802.11a/b/g

Déploiement évolutif de WLANs extérieurs utilisant la technologie « Mesh »

Disponible en version « Lightweight » uniquement

Autonomous % Lightweight APs

Contrôleurs WLAN Gestion des réseaux sans fil sécurisés à l’échelle de l’entreprise

Utilisation du protocole sécurisé LWAPP (Lightweight Access Point Protocol) entre points d’accès et contrôleurs WLAN

2 gammes selon le besoin

1. 2106 (ceux de l’IUT)

Destinée aux environnements des petites et moyennes entreprises

Gère jusqu’à 6 points d’accès

Intègre les services DHCP et la configuration automatique des points d’accès

2. Gamme 4000

Conçue pour les installations de taille moyenne à grande

Gère selon le modèle 12, 25, 50 ou 100 points d’accès

Ports Gigabit Ethernet et slots d’extensions (pour le support de la terminaison VPN)

Alimentation électrique redondante en option

3. Cartes WISM ou dans ISR

Les contrôleurs WLAN sont également disponibles dans la gamme Cisco Catalyst 6500 et dans la gamme des routeurs ISR (Integrated Service Routers)

Contrôleurs WLAN

Controller WLAN 2106 (ceux de l’IUT) 8 ports 10/100 Ethernet (RJ-45)

Supporte 6 point d’accès

Deux ports PoE

Interface Web d’administration

Interface CLI mais pas IOS

http://www.cisco.com/en/US/products/ps7221/index.html

Contrôleurs WLAN

Controller WLAN 4402 2 ports 1000Base-x (SFP)

1 slot d’extension

Supporte selon modèle 12, 25 ou 50 points d’accès

Module de connexion VPN en option assurant un

cryptage IPSec pour les VPN

Controller WLAN 4404 4 ports 1000Base-x (SFP)

2 slots d’extension

Supporte 100 point d’accès

Module de connexion VPN en option assurant un cryptage IPSec pour les VPN

Wireless intégré dans des commutateurs ou routeurs

Cisco Catalyst 6500 Series Wireless Services Module (WiSM) Fonctionne avec les points d’accès légers Aironet, Cisco Wireless

Control System, et Cisco Wireless Location Appliance

Fournit une communication en temps réel entre les points d’accès

légers et les autres contrôleurs WLAN pour fournir une solution sans fil

sécurisée et unifiée

Supporte 300 points d’accès

Cisco Wireless LAN Controler Module

Pour les structures de petite à moyenne envergure

Fonctionne sur les routeurs Cisco 2800 et 3800 Series à

services intégrés et sur les routeurs Cisco 3700

Supporte 6 points d’accès

Wireless Controller Product Portfolio

Number of APs

100 25

WiSM-300

12 50 300 6

Perf

orm

ance &

Scale

1

5508-12

250 500

5508-12, 25, 50, 100, 250 (LICENSE-BASED)

5508-25 5508-50 5508-100 5508-250

WLCME-6, 8, 12, 25

3750G-25, 50

4404-100

4402-12, 25, 50

2106, 12, 25

H-REAP

Architecture centralisée

S’appuyant sur un protocole spécifique (LWAPP/CAPWAP)

Présentation de l’architecture de gestion centralisée

Les bornes « lourdes »

Inconvénients : les points d'accès individuels utilisés sans unité

de gestion doivent être gérés un à un les attaques et les interférences sur l’ensemble

du réseau ne sont pas détectables sur le système tout entier

le système par lui-même est incapable d’effectuer des corrélations ou des prédictions d’activité sur l’ensemble de l’entreprise

il existe un risque inhérent de sécurité en cas de vol ou de manipulation d’un point d’accès

Les bornes légères (Lightweight Access Point)

Avantages : simplifient les opérations de gestion des

WLANs réduire la quantité de traitement

réalisée par un point d'accès La centralisation de l’intelligence sur

les contrôleurs Évolutivité Sécurité (en cas de vol)

Light Weight Access Point Protocol « LWAPP »

LWAPP : premier protocole de communication entre les bornes et le contrôleur

LWAPP contribue à assurer la sécurité des communications entre les bornes et le contrôleur

Schéma de principe LWAPP :

LWAPP

Authentification mutuelle

AP-Contrôleur

Chiffrement des flux de contrôle

(AES-CCM)

AP WLC

LWAPP

LWAPP à l’origine un protocole de niveau 2 limitations

Rapidement élevé au niveau 3 de manière à devenir routable, sans nécessité de cablage direct entre AP et switch du controller

LWAPP-L2

Lightweight

Access

Points

Cisco WLAN

Controller

LWAPP-L3

Lightweight

Access Points

Cisco WLAN

Controller

LWAPP-L3

MAC Header LWAPP Header (C=0) Data …

LWAPP-L2 : Data Message

MAC Header LWAPP Header (C=1) Control Msg

LWAPP-L2 : Control Message

Control Elts …

MAC Header LWAPP Header (C=0) Data …

LWAPP-L3 : Data Message

MAC Header LWAPP Header (C=1) Control Msg

LWAPP-L3 : Control Message

Control Elts …

IP UDP=12222

IP UDP=12223

Layer 2 LWAPP is in an Ethernet frame (Ethertype 0xBBBB)

Cisco WLAN Controller and AP must be connected to the same VLAN/subnet

Layer 3 LWAPP is in a UDP / IP frame Data traffic uses source port 1024 and destination 12222

Control traffic uses source port 1024 and destination port 12223

Cisco Controller and AP can be connected to the same VLAN/subnet or connected to a different VLAN/subnet

Requires IP addressing of Cisco Lightweight AP

Format de la trame LWAPP

Deux types de trames sont utilisés

pour les données utiles

pour les trames de contrôle.

Le protocole est routable

utilise les ports UDP 12222 et 12223

La connectivité vers le contrôleur

Les bornes légères

livrées avec une image de base permettant de contacter le contrôler pour établir un

tunnel LWAPP

Le contrôleur (Wireless LAN Controller – WLC) possède l’intelligence et gère la configuration de toutes les bornes affiliées

Chaque borne connaît au préalable: son @IP, @IP de default gateway @IP de l’interface de Management du contrôleur

Afin d’être capable de monter un tunnel LWAPP avec l’interface AP Manager du contrôleur

Procédure d’établissement d’un tunnel LWAPP

La borne fait une demande d’adresse IP par le Protocol DHCP.

Cas 1 : • La borne reçoit une @IP par DHCP avec l’option 43

paramétrée permet de renseigner l’adresse ip de son futur controller sur lequel la borne doit se rattacher.

Cas 2 : • La borne reçoit une @IP mais l’option 43 du DHCP n’a

pas été renseignée • Dans ce cas la borne tente de faire une résolution

DNS sur CISCO-LWAPP-CONTROLLER.localdomain au préalable renseignée dans le dns pour correspondre à l’@IP du management du contrôleur

Procédure d’établissement d’un tunnel LWAPP(suite)

Lorsque la borne a son IP et qu’elle connaît l’adresse de management du contrôleur (WLC), elle envoie une requête « LWAPP Join »

Le WLC répond à la borne l’autorisant l’AP à monter son tunnel LWAPP

La borne télécharge son image sur le WLC (firmware, configuration) et redémarre

La borne est maintenant définitivement associée au WLC

« Over-the-air provisionning »

Fonctionnement des 1ère/2ème générations

L’AP agit comme un bridge 802.1Q

Il répartit le trafic directement entre les différents VLAN

Data VLAN

Voice VLAN

Management VLAN

Fonctionnement de la 3ème génératio

L’AP encapsule tout le trafic dans un tunnel LWAPP (ou CAPWAP maintenant) en direction du controller

Le controller bridges le trafic des clients de manière centrale

Data VLAN

Voice VLAN

Management VLAN

LWAPP/CAPWAP

Tunnel

CAPWAP

What is CAPWAP?

CAPWAP - Control And Provisioning of Wireless Access Points is used between APs and WLAN Controller and based on LWAPP

CAPWAP carries control and data traffic between the two Control plane is DTLS encrypted (%AES-CCM encrypted in LWAPP)

Data plane is DTLS optionnaly encrypted (% not encrypted in LWAPP)

LWAPP-enabled access points can discover and join a CAPWAP controller and conversion to a CAPWAP controller is seamless

CAPWAP is not supported on Layer-2 mode deployment

Access Point Controller

WiFi Client

Business Application

Control Plane

Data Plane

Wireless Virtual LAN Support

• Multiple SSIDs

• Multiple security types

• IEEE 802.1Q trunking

LAP modes

Tous les modes supportés par les AP:

Wireless > Access Points > All APs > Detail

Access Point: Local Mode

Mode par defaut:

Data services

Monitoring services

AP will scan all channels over 180 seconds by default

Only management packets are inspected for intrusion detection system (IDS) signature matches

Utilisable pour site surveys

Access Point: Monitor Mode

Software configuration to reduce AP capabilities to perform only WLAN monitoring on a per-AP basis: Trusted AP policies

Rogue policies

Signatures Both data and management packets are

inspected for IDS signature matches

AP will scan all channels for 1.1 seconds

AP only a beacon device

Works in conjunction with products like AiroPeek or AirMagnet to monitor a single wireless channel

Requires an external server to capture the packets

Gathers the following data

Time stamp

Signal strength

Packet size

Access Point: Sniffer Mode

Access Point: Rogue Detector Mode

Software configuration to reduce AP capabilities to perform only rogue detection on a per-AP basis Listens for rogue devices on the wired network

Compares ARP request heard on the network to rogue MAC address reported by the controller

Generates an alarm when a wireless rogue is seen on the wired side

Does not allow client connectivity – radios are shut down, 100% of CPU dedicated to rogue detection

Does not perform rogue containment

Hybrid REAP H-REAP AP can be controlled across WAN links:

Designed to support remote offices

Control traffic still LWAPP-encapsulated and sent to Cisco Wireless LAN Controller (WLC); client data can be locally bridged

All management control and RF management is available when WAN link is up and connectivity is available to Cisco WLC.

H-REAP can remain operational when unable to communicate with a controller during a WAN outage.

H-REAP

When operating in LWAPP, H-REAP-compatible APs have two possible modes:

Connected mode (connected state): When H-REAP can reach the controller, it gets help from the controller to complete client authentication

Standalone mode (disconnected state): When the AP cannot reach the controller, it processes client requests based on local settings and rules

Once an AP is configured as H-REAP, the controller will inform the AP of the mode change through an LWAPP control message. The AP saves this information in NVRAM and boots with the new mode.

In connected mode, H-REAP traffic can be backhauled to the controller or locally bridged.

H-REAP in Connected Mode

HREAP in Standalone Mode

Standalone mode (disconnected): When the controller is not reachable by H-REAP, it goes into standalone mode and performs client authentication by itself

All the following authentication types are supported in standalone mode: Open, WPA-PSK, WPA2-PSK, 802.1X Central-switched WLANs will shut down Local-switched WLANs will remain up:

Authentication of local WLANs continues to operate normally

Existing 802.1x authenticated clients continue sessions until they roam or trigger session reauthentication

New 802.1x clients are authenticated on the AP, from a local user list

Unsupported features when in standalone mode: RRM, Cisco Centralized Key Management , WIDS, LBS,

AP modes WebAuth, NAC

Roaming (Itinérance)

Gestion de la mobilité

« Quand les clients wifi se déplacent… »

Roaming Concept

Roaming refers to movement of clients across Cisco APs while transmitting

Roaming can occur across different mobility groups, but must be within a mobility domain

The Cisco WLC can reside in only a single mobility group

The following should be consistent for mobility groups:

Mobility group membership

Code across all member controllers

LWAPP mode across all member controllers

ACLs configured on all member controllers

WLAN configuration

Virtual IP address

Two types of roaming

Intrasubnet roaming (Layer 2)

Intersubnet roaming (Layer 3)

Cisco Wireless Layer 2 Roaming

Single Cisco WLC

Or multiple Cisco WLCs in the same subnetwork

Transparent to the client

The session is sustained during connection to the new AP

The client continues using the same DHCP-assigned or static IP address

Client Roaming Within a Subnetwork

Cisco Wireless Layer 3 Roaming

Multiple Cisco WLCs in different subnetworks Transparent to the client The session is sustained during connection

to the new AP Tunnel between the anchor Cisco WLC and

foreign Cisco WLC along with special handling of the client traffic by both controllers allows the client to continue using the same DHCP or client-assigned IP address while the session remains active

Set up via either a symmetric or asymmetric tunnel

Client Roaming Across Subnetworks

Roaming: Tunnels (Symmetric Example)

Logiciels additionels

Pour la gestion centralisée

Outils de management pour points d’accès « Autonomous » - Historique

CiscoWorks Wireless LAN Solution Engine (WLSE) Système de management centralisé pour moyenne à grande structure utilisant des

points d’accès Aironet « Autonomous » et des ponts sans fil

Permet la gestion complète radiofréquence (RF) et des dispositifs afin de simplifier le déploiement, de réduire la complexité opérationnelle et de fournir la plus grande visibilité du réseau à l’administrateur

Outils de management pour points d’accès « Lightweight »

Cisco Wireless Control System (WCS) Composant facultatif fonctionnant avec les points d’accès Cisco

« Lightweight » et les contrôleurs WLAN de Cisco

Plateforme pour la planification, la configuration, et la gestion de WLAN

Permet aux équipes techniques de concevoir, contrôler, et surveiller les réseaux WLAN de l’entreprise composés de points d’accès Cisco « Lightweight » et de contrôleurs WLAN de façon centralisé

Outils de management pour points d’accès « Lightweight »

Cisco Wireless Location Appliance (Serveur de localisation sans fil) Première solution industrielle de localisation permettant de suivre simultanément

plusieurs milliers d’unités au sein même de l’infrastructure de réseau WLAN

Met à la disposition des applications critiques comme le suivi des actifs de valeur, la gestion informatique, et la sécurité par secteur, toute la puissance d’une solution économique à haute résolution

Utilise les contrôleurs WLAN et les points d’acès « Lightweight » pour localiser des dispositifs à quelques mètre près

Installation rapide et intuitive

Wireless Control System (WCS)

Couche supplémentaire sur WLC

• Service d’administration et supervision des WLC

Géolocalisation

Détection de « Rogues »

IDS et « containment »

Création de rapports automatisés

Gestion des alarmes

Reporting