Objectifs de certification

CCNA 200-301

  • 1.11 Décrire les principes des réseaux sans-fil

    • 1.11.a Nonoverlapping Wi-Fi channels
    • 1.11.b SSID
    • 1.11.c RF
    • 1.11.d Encryption
  • 2.6 Comparer les architectures Cisco Wireless Architectures et les modes des APs

  • 1.1 Expliquer le rôle et la fonction des composants réseau

    • 1.1.a Routers
    • 1.1.b Commutateurs (switches) L2 et L3
    • 1.1.c Pare-feu NG (Next-generation firewalls) et IPS
    • 1.1.d Point d’accès (Access points)
    • 1.1.e Controlleurs (Cisco DNA Center et WLC)
    • 1.1.f Points terminaux (Endpoints)
    • 1.1.g Serveurs
  • 2.7 Décrire les connexions physiques d’infrastructure des composants WLAN (AP,WLC, access/trunk ports, et LAG)

  • 2.8 Décrire les connexions des accès de gestion des APs et du WLC (Telnet, SSH, HTTP,HTTPS, console, et TACACS+/RADIUS)

  • 2.9 Configurer les composants d’un accès au LAN sans-fil pour la connectivité d’un client en utilisant un GUI seulement pour la création du WLAN, les paramètres de sécurité, les profiles QoS et des paramètres WLAN avancés

  • 5.9 Décrire les protocoles de sécurité sans-fil (WPA, WPA2, et WPA3)

  • 5.10 Configurer un WLAN en utilisant WPA2 PSK avec un GUI


Introduction aux technologies WLAN

1. Composants et architectures du protocole IEEE 802.11

1.1. Composants 802.11

Un réseau sans fil conforme à la norme IEEE 802.11 comprend des composants essentiels : les stations de base, le support de transmission sans fil (l’air) et le système de distribution (DS). Les stations désignent les ordinateurs du réseau WLAN ou d’autres types de clients. Les stations de base, ou points d’accès (AP), servent de “ponts” (L2) pour la communication entre les stations, entre les stations et les hôtes externes au réseau sans fil, via le DS.

À l’origine, la fonctionnalité d’un point d’accès se trouvait dans un périphérique, mais elle peut également être divisée en points d’accès “légers” (Thin APs) et en contrôleurs de points d’accès (WLC).

Le système de distribution ou DS a pour tâche de permettre la communication entre AP et le monde extérieur ou entre AP.

1.2. Types de réseaux 802.11

La base d’un réseau sans fil est l’ensemble de services de base (Basic Service Set), un BSS :

  • Un groupe de stations communiquant entre elles
  • Communiquant dans la zone de service de base (BSA), un espace défini par les caractéristiques de propagation des ondes radio.

Mais on peut trouver aussi un Réseau indépendant, BSS indépendant (IBSS, appelé aussi réseau ad-hoc)

1.3. BSS indépendant (IBSS, réseaux ad-hoc)

Dans un réseau indépendant, BSS indépendant (IBSS, réseau ad-hoc) on n’utilise aucun point d’accès, les stations communiquent directement entre elles. De tels réseaux sont généralement mis en place pour quelques stations et une courte période.

1.4. Réseau d’infrastructure, infrastructure BSS

Ce type de topologie nécessite l’utilisation de points d’accès (AP), toute communication sans fil implique donc une station de base (AP). Une station est alors considérée comme connectée si elle est associée au point d’accès. Ainsi, le BSA (Basic Service Area) est définit comme étant la zone couverte par les zones d’émission et de réception du point d’accès.

Ainsi, une communication de station à de station nécessite 2 sauts, mais la centralisation des échanges réduit les problèmes typiques d’un réseau ad hoc.

On peut utiliser un seul AP pour gérer plusieurs BSS (“multi-BSS”) ou “APs virtuels”. Une station de base physique simule un ensemble de stations de base avec différentes configurations, notamment protocolaires ou de sécurité. Une possibilité de structuration du réseau est la combinaison de ces différents domaines avec des VLANs associés.

1.5. ESS, ensembles de services étendus

Les ensembles de services étendus sont utilisés pour étendre les BSS, plusieurs BSS pouvant être combinés dans un même ESS. C’est l’abstraction logique de plus haut niveau d’un réseau dans la spécification 802.11. Chaque point d’accès desservant un BSS dans un ESS communique avec les autres BSS (chacun étant desservi par d’autres AP) via un réseau fédérateur faisant partie du système de distribution.

1.6. Système de distribution, DS

Le système de distribution établit la connexion entre Ethernet en réseau filaire et le réseau sans fil à un niveau logique, agissant ainsi comme un pont vers le réseau Wi-Fi. Dans le cas d’un ESS avec plusieurs AP, le système de distribution (DS) est également responsable de la connexion des AP entre eux ; il regroupe plusieurs BSS dans un même ESS.

1.7. Service Set Identifier (SSID)

Un ESS est identifié par un identifiant unique, le SSID (Service Set Identifier). Cet identifiant peut être long de 32 octets, il est entièrement paramétrables et il est intelligible, contrairement au BSSID. Le SSID est diffusé par les stations grâce des trames de balises (beacon) pour annoncer la présence d’un réseau.

1.8. Basic Service Set Identidier (BSSID)

Chaque ensemble de services de base (BSS) a son propre identificateur unique, un BSSID, qui est un identificateur unique de 48 bits qui suit les conventions d’adresses MAC.

1.9. Connexion à un ensemble de services

Dans un réseau filaire de type Ethernet, il suffira de placer le connecteur dans une prise appropriée et la connectivité de couche 2 sera assurée. Dans un réseau Wi-Fi, la connectivité passera par une série d’étapes en vue d’authentifier et d’associer les partenaires de la communication.

Pour trouver un réseau sans fil, quand un client sans fil démarre, il tente d’abord de trouver un BSS disponible. Ce processus est appelé recherche (scanning). La recherche intervient avant tout autre processus. Le sondage peut être actif ou passif. Il engage trois types de trames de gestion que sont :

  • les trames de balisage (beacon),
  • les trames de requête de sondage (probe requests),
  • les trames de réponse de sondage (probe responses).

Une station est “connectée” si elle est authentifié et associée comme si on venait de connecter une carte Ethernet au port d’un commutateur.1

Le standard 802.11 connait deux types d’authentification dont une seule est encore utilisée aujourd’hui : l’authentification “Open System Authentication” qui est une authentification ouverte. Le protocole IEEE 802.11 embarque nativement une autre méthode d’authentification et de chiffrement extrêmement faible : le WEP qu’il ne faut plus utiliser aujourd’hui.

D’autres protocoles formalisés dans le standard IEEE 802.11i mettent en oeuvre des mécanismes d’authentification et de chiffrement sur les réseaux sans fil bien plus robustes. Aujourd’hui, on utilisera le protocole WPA dans une de ces versions WPA, WPA2 ou WPA3 et dans l’une de ses variantes Personal dont partage la clé (Pre-Shared Key) ou Enterprise avec authentification et une génération des clés de chiffrement centralisées grâce à des protocoles comme IEEE 802.1X, EAP et Radius.

Dans la suite de la connexion à un ensemble de services à partir d’une station de travail Wi-Fi, d’autres mécanismes d’authentification et de chiffrement pourraient donc intervenir.

1.10. Pour aller plus loin

  • IEEE 802.11 MAC CSMA/CA
  • Tramage IEEE 802.11
    • Trames de gestion
    • Trames de contrôle
    • Trames de donnée
  • Sécurité WLAN

2. Architectures de déploiement WLAN

Dans les architectures modernes d’entreprise, les concepts de station (ordinateurs Wi-Fi), de station de base (point d’accès) et de système de distribution ont été adaptés aux contraintes de performance, d’optimisation et de contrôle des réseaux modernes.

Généalogie des solutions WLAN chez Cisco Systems :

  • Cisco Structured Wireless-Aware Network (SWAN), avant plus ou moins 2000.
  • Cisco Aironet (Rachat 2002).
  • Cisco Unified Wireless Network (CUWN), depuis plus ou moins 2000.
  • Cisco Meraki (Rachat 2012).
  • Cisco DNA, depuis quelques années.

2.x. Marché LAN/WLAN Access

Cisco est nommé “Leader” chaque année depuis 2013 dans le “Magic Quadrant for the Wired and Wireless LAN Access Infrastructure” de Gartner.

Gartner Magic Quadrant for the Wired and Wireless LAN Access Infrastructure 2019

Selon ce rapport que l’on peut obtenir avec ce lien :

Cisco continue d’être le leader sur le marché des commutateurs de campus et de la connectivité de la couche d’accès WLAN. Les revenus des commutateurs Cisco ont augmenté d’environ 10 %, mais leur part de marché a diminué de 1 % en 2018. Les revenus des produits WLAN ont augmenté de 10 % d’un exercice à l’autre. La part de marché de Cisco sur le marché des points d’accès a augmenté de 1,5 %. Cisco continue d’offrir deux solutions de couche d’accès : Aironet/Catalyst et Meraki, qui sont liés de manière “lâche” ensemble par Cisco DNA Center. Les clients devraient envisager Cisco au niveau mondial pour toutes les entreprises sur site et les opportunités de couche d’accès “basé-nuage”.

Architectures de solutions WLAN (Catalyst/Aironet ou Meraki avec DNA Center)

  • Point d’Accès (AP)
  • Contrôlleur (WLC)
  • DNA Controller

2.x. Types de déploiements

  • Point d’accès lourds
  • Controlleur et points d’accès légers
  • Solution basée nuage

2.x. Intégration au résau filaire existant

2.x. Cisco Catalyst / Cisco Aironet

Cisco Unified Wireless Network Solution Overview

2.x. WLC (Wireless LAN Controllers)

Cisco Wireless LAN Controllers Page

Un Wireless LAN Controllers a pour objectif de “contrôler” des points d’accès (AP), une partie des fonctions MAC (Split MAC Architecture) telles que l’authentification et l’association leur étant impartie alors que les antennes, en général dites légères (Thin APs), prennnent charger le transport physique et le chiffrement. De plus, les contrôlleurs ayant la main sur les points d’accès, il permettent d’avoir une vue du réseau sans-fil et pourquoi pas filaire. De plus en plus intelligents, ils embarquent des fonctions avancées du réseau. Plus fondamentalement, ils permettent de détection des interférences et l’ajustement des fréquences utilisées et sont capables d’optimiser la couverture radio sur des espaces physiques très larges.

2.x. Protocoles de contrôle

Communication et transport WLC-AP : Lightweight Access Point Protocol (LWAPP), Control And Provisioning of Wireless Access Points (CAPWAP), …

What is CAPWAP?

2.x. Déploiement et types de contrôlleurs

  • WLC physiques
  • WLC Cloud (nuage)
  • WLC embarqués
  • Controller-less

Compare Wireless LAN Controllers

2.x Gestion des contrôlleurs

What are the various options available to access the WLC?

This is the list of options available to access the WLC:

  • GUI access with HTTP or HTTPS
  • CLI access with Telnet, SSH, or console access
  • Access through service port

Wireless LAN Controller (WLC) FAQ

2.x. Points d’accès

Modes de déploiement des poinst d’accès légers :

  • FlexConnect
  • Central mode (formellement local mode)
  • Mesh
  • FlexConnect + Mesh
  • OfficeExtend

2.x. Cisco Meraki

Meraki Cloud Architecture

2.x. Cisco DNA

Cisco Digital Network Architecture and Software-Defined Access

Laisser un commentaire