Anda di halaman 1dari 47

Architecture de rseau WiFi centralise Cisco

Une approche simplifie de la gestion des rseaux sans-fil

UMLV / Ingnieurs 2000 Xpos - IR3 - 2009/2010

Jean-Christophe Rios

Sommaire
1.
2. 3.

4.
5.

De quoi parle-t-on ? Architecture autonome Architecture centralise Protocole dchange: LWAPP Bibliographie

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Sommaire
1.
2. 3.

4.
5.

De quoi parle-t-on ? Architecture autonome Architecture centralise Protocole dchange: LWAPP Bibliographie

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

1. De quoi parle-t-on ?
WiFi: bref historique:
1999: 802.11b Les dbuts Peu utilis en entreprise (peu de matriel)
Priode 2002-2005: gnralisation des accs sans-fil Proposer une connexion sans-fil en environnement entreprise A lpoque, une simple connectivit Plus rcemment: volont de proposer plus

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

1. De quoi parle-t-on ?
Infrastructure de rseau sans-fil IEEE 802.11x Un rseau WiFi est constitu dun ensemble de points

daccs (AP)
On sintresse la gestion des composants du rseau

(point de vue administrateur)


Comment organise-t-on un tel rseau ?
Quelles sont les architectures disponibles ?

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Sommaire
1.
2. 3.

4.
5.

De quoi parle-t-on ? Architecture autonome Architecture centralise Protocole dchange: LWAPP Bibliographie

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

2. Architecture autonome
Solution classique , largement dploye Rseau constitu dun ensemble dAP autonomes
Agissent comme des lments indpendants

Chaque AP: Est un lment autonome du rseau A sa propre version de configuration Prend en charge un certain nombre de tches par lui-mme

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Schma darchitecture autonome

AP #1

AP #2

AP #3

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

AP autonome: caractristiques

Elment autonome du rseau:

Assimilable un commutateur Gestion RF (radiofrquences) Gestion des associations 802.11 Gestion de la scurit :

Cls de chiffrement (si utilisation de PSK) Autorisations daccs (authenticator 802.1x)

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Limites
Gestion individuelle des AP, fastidieuse Une version de configuration par AP Changement => modifier tous les AP Pas de coordination des politiques RF dfinir manuellement, cest parfois difficile Lourdeur dimplantation Diffusion et propagation de tous les VLAN client au port de connexion Pas de gestion intelligente de la mobilit (handover/roaming) Pas de vue globale du rseau moins dimplmenter sa propre solution de monitoring et reporting

10

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Sommaire
1.
2. 3.

4.
5.

De quoi parle-t-on ? Architecture autonome Architecture centralise Protocole dchange: LWAPP Bibliographie

11

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

3. Architecture centralise
Concepts fondamentaux:
Concentrer lintelligence en un point unique Les AP doivent tre de simples antennes

Elments constitutifs:
Points daccs lgers (LAP, Lightweight Access Point) Contrleurs Serveur(s) dadministration

On prsente ici la solution Cisco CUW (Cisco Unified

Wireless)

Des solutions concurrentes existent: Aruba Networks Bluesocket

12

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Schma darchitecture centralise

Rseau daccs

LW APP
LAP #1

LW APP
LAP #2

LW APP
LAP #3

13

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Schma darchitecture centralise

Contrleurs WiFi

Contrleur A

Contrleur B

Rseau daccs

LW APP
LAP #1

LW APP
LAP #2

LW APP
LAP #3

14

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Schma darchitecture centralise


Administration Cur de rseau

Serveur WCS

Routeur

Contrleurs WiFi

Contrleur A

Contrleur B

Rseau daccs

LW APP
LAP #1

LW APP
LAP #2

LW APP
LAP #3

15

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Schma darchitecture centralise


Administration Cur de rseau

Serveur WCS

Routeur

Contrleurs WiFi

Tunnel LWAPP

Contrleur A

Tunnel LWAPP

Contrleur B

Rseau daccs

Tu nn L el P AP W

LW APP
LAP #1

LW APP
LAP #2

LW APP
LAP #3

16

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Schma darchitecture centralise


Administration Cur de rseau

Serveur WCS

Routeur

Contrleurs WiFi

Tunnel LWAPP

Contrleur A

Tunnel LWAPP

Contrleur B

Rseau daccs

Tu nn L el P AP W

LW APP
LAP #1

LW APP
LAP #2

LW APP
LAP #3

17

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Point daccs lger


Lger car assurent les fonctions de base du sans-fil:
Couche physique (DSSS, OFDM, MIMO, ) Une partie de la couche liaison: CSMA/CA Balises de signalisation (beacons) Chiffrement de niveau 2 (WPA et al.) Buffers de transmission/rception Files QoS Encapsulation/dcapsulation LWAPP, fragmentation Les fonctions avances de la couche liaison sont dportes au

contrleur:

Associations 802.11 Gestion du chiffrement (dfinition des politiques de scurit,

authenticator EAP) Etc.


18

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Dcouverte des contrleurs


Comment lAP se rattache-t-il son contrleur de gestion ? Deux tapes:
1.

Etablissement dune liste de candidats:


Dcouverte par broadcast sur le rseau local DHCP (champ TLV dans la rponse DHCP) Requte DNS Prconfiguration en dur

2.

Slection parmi cette liste


Contact de chaque contrleur (unicast) pour rcuprer le statut Requte denregistrement JOIN , fonction de plusieurs critres (dont la charge en AP)
Jean-Christophe Rios

19

Xpos 2009 Architecture Wifi centralise Cisco

LAP, un matriel particulier ?


Chez Cisco, les LAP sont des matriels classiques
Seul le micrologiciel (firmware) change
Bascule entre AP lourd et LAP par simple flashage Opration rversible

Exemple de modles: Cisco AIRONET AP-1120, AP-1130, AP-1140, AP-1240

20

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Contrleur
On parle de WLC (Wireless Lan Controller), cest le cerveau de

larchitecture centralise

Pilote les bornes: Gestion des versions logicielles et configurations Politiques de scurit Gestion des RF QoS Fonctionnalits avances: Mobilit IPS/IDS Cache DHCP/RADIUS Point de sortie de tout le trafic LWAPP client, reli au rseau entreprise

21

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Contrleur
Large gamme, diffrentes capacits:
WLC 2100 series 4402 4404 5508 Capacit (AP) 6 / 12 / 25 12 / 25 / 50 100 250

WiSM

300

22

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Serveur de gestion
WCS (Wireless Control System) Se place au-dessus des contrleurs Administration depuis un point unique Peut grer tout contrleur joignable par IP, y compris donc au travers du WAN Interface Web Dfinition de templates de configuration, applicables aux contrleurs

et aux AP

SSID Interfaces (VLAN, adresse), politique sans-fil (802.11 a/b/g/n) Serveurs DHCP, RADIUS Etc.

23

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Avantages

Gestion des configurations

Des versions de configurations homognes Configuration modifie instantanment par le contrleur (messages LWAPP) Une seule interface de gestion (serveur WCS)

Serveur WCS

24

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Avantages

Facilits dadministration

Ajout dun point daccs:


1. 2. 3. 4.

Propagation dun seul VLAN dans le rseau local Connexion un port daccs Paramtrage IP (par DHCP le plus souvent) Puis configuration depuis le systme WCS par application de templates

25

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Gestion automatique des RF


En 802.11b/g/n, seuls 3 canaux sont superposables Dfinir lagencement pour un petit nombre dAP est facile,

mais cela peut vite se compliquer


Cas des btiments plusieurs tages !

Solution centralise = visibilit sur un ensemble dAP


Auto-configuration des paramtres RF (frquence, puissance) Ajustement en temps rel (rponse aux pannes ou

interfrences) Equilibrage de charge pour les clients


26 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Ragencement automatique RF

LW APP

LW APP

LW APP

27

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Ragencement automatique RF

LW APP

LW APP

LW APP

LW APP LW APP

LW APP

LW APP

28

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Ragencement automatique RF
Dtection des interfrences

LW APP

LW APP

LW APP

LW APP LW APP

LW APP

LW APP

29

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Ragencement automatique RF
Dtection des interfrences

LW APP

LW APP

LW APP

LW APP LW APP

LW APP

LW APP

LW APP LW APP

LW APP

LW APP

Ragencement des canaux Diminution de la puissance dmission


Jean-Christophe Rios

30

Xpos 2009 Architecture Wifi centralise Cisco

Ajustement automatique RF

LW APP

LW APP

LW APP

31

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Ajustement automatique RF
Panne dun AP
LW APP LW APP LW APP

LW APP

LW APP

LW APP

32

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Ajustement automatique RF
Panne dun AP
LW APP LW APP LW APP

LW APP

LW APP

LW APP

La puissance dmission des deux AP est ajuste pour couvrir la zone


33

LW APP

LW APP

LW APP

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Bnfices en scurit
Scurisation des configurations et informations sensibles

sur le contrleur
attaque)

Une seule IP source pour le service RADIUS (rduit surface

Dtection et action coordonnes contre les lments

potentiellement dangereux

Rogue AP Les AP peuvent envoyer des trames de dsassociation au client qui tenterait de sy associer Rogue client Possibilit de bannir de manire globale un client. Interdiction possible ds ltape dassociation!
34 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Fonctionnalits avances
Mobilit:
Entre AP (niveau 2) Entre contrleurs (niveau 2/3)

Handover/roaming mieux gr:


Vue globale du contrleur sur les AP Transfert et mise en cache des donnes utilisateur Cache DHCP/RADIUS

Fonctions de golocalisation
Par tags RFID Ncessite un appliance spcifique
35 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Inconvnients
Le contrleur est un point central, donc extrmement

critique
Attention sa dfaillance !

Pour le contrleur, deux types de solutions:


Rsilience physique Plusieurs ports duplink vers le cur de rseau (agrgation de liens par trunking) Double alimentation lectrique systmatique Backup par utilisation dautres contrleurs Locaux Distants (attention la latence !)
36 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Inconvnients
Pour les AP, possibilit dune utilisation hybride (H-

REAP):
Flux de contrle remonts jusquau contrleur Flux client commuts localement au port de

rattachement au LAN
Mais oblige placer les AP sur des trunks 802.1q, ce qui est

justement ce quon veut viter


VLAN contrle VLAN data client Trunk 802.1q

LW APP
Contrleur Switch LAP H-REAP

37

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Inconvnients
Le prix!

Double facturation:
Matriels physiques Prix des contrleurs peut devenir lev, notamment pour la solution WiSM Ncessite un serveur pour la console dadministration On peut utiliser une machine virtuelle Licences dutilisation (pour les AP) Mais rpartition flexible depuis la console dadministration

38

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Sommaire
1.
2. 3.

4.
5.

De quoi parle-t-on ? Architecture autonome Architecture centralise Protocole dchange: LWAPP Bibliographie

39

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

4. Protocole dchange: LWAPP


Protocole de transfert de donnes entre AP et

contrleurs
Introduit en 2002 (Airespace, rachete par Cisco

depuis)
Retenu comme base pour une standardisation par

lIETF pour le futur standard CAPWAP (2006)


CAPWAP: RFC 5415 (Proposed standard, mars 2009)
40 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Caractristiques
Tunnel qui vhicule deux types de donnes:
Flux de contrle (chiffrs) Flux utilisateurs (en clair)

Opre deux niveaux, L2 ou L3:


L2: Au dessus dEthernet: Ethertype 0xBBBB L3: Au-dessus dIP, dans un datagramme UDP

L2 est considr comme obsolte:


Non routable Oblige une visibilit L2 entre contrleur et LAP (mme

VLAN) Non retenu dans CAPWAP


Xpos 2009 Architecture Wifi centralise Cisco

41

Jean-Christophe Rios

LWAPP Layer 3
Trafic encapsul dans un datagramme UDP
Flux de contrle: port destination 12223 Chiffr AES-CCM (chiffrement symtrique) Utilise des certificats X.509 (AP et contrleur) Gnrs par la PKI Cisco la fabrication Stocks dans une mmoire flash protge
Flux utilisateurs: port destination 12222 La totalit de la trame 802.11 est encapsule Dans CAPWAP, il est possible de nencapsuler que la partie 802.3

Le datagramme est envoy en unicast au contrleur (IP)


42 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Format de trame
Un en-tte LWAPP commun :

La surcharge introduite par len-tte LWAPP est de 6 octets Avec MAC + IP + UDP + LWAPP, total de 48 octets (3% du MTU) Si fragmentation du paquet IP, pas de rptition de len-tte LWAPP
43 Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Conclusion
Architecture apportant de nombreux bnfices
Gestion plus simple/rationnelle du rseau
Apport de services

Pertinence de squiper valuer en fonction du

budget

44

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Sommaire
1.
2. 3.

4.
5.

De quoi parle-t-on ? Architecture autonome Architecture centralise Protocole dchange: LWAPP Bibliographie

45

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Bibliographie
Documentations officielles Cisco:
Gnral http://snipurl.com/ciscocuw Scurisation X.509 http://snipurl.com/ciscox509

Protocole CAPWAP: RFC 5415


http://snipurl.com/rfc5415

Draft LWAPP
http://snipurl.com/draftlwapp

Blog Infracom
http://infracom-france.com/blog2/?tag=lwapp

46

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios

Questions ?

47

Xpos 2009 Architecture Wifi centralise Cisco

Jean-Christophe Rios