Chapitre 4 de CCNA3
Chapitre 4 de CCNA3
Chapitre 4 de CCNA3
Il existe de nombreuses infrastructures différentes (LAN filaire, réseaux de fournisseurs de services) qui
rendent cette mobilité possible ; mais dans un environnement d'entreprise, la plus importante est le
réseau local sans fil (WLAN).
La plupart des entreprises se basent sur des réseaux locaux (LAN) commutés pour le fonctionnement au
quotidien au sein des bureaux.
Les réseaux sans fil peuvent être répartis dans les principales catégories suivantes :
Réseaux personnels sans fil (WPAN, Wireless Personal-Area Network) : réseaux ayant une
portée de quelques dizaines de centimètres.
Réseaux locaux sans fil (WLAN, Wireless LAN) : réseaux ayant une portée de plusieurs mètres
ou dizaines de mètres, et couvrant par exemple une pièce, une habitation, des bureaux, voire un
environnement de campus.
Réseaux sans fil étendus (WWAN, Wireless Wide-Area Network) : réseaux ayant une portée de
plusieurs kilomètres.
WiMAX (Worldwide Interoperability for Microwave Access) : norme WWAN IEEE 802.16 offrant
un accès sans fil à haut débit jusqu'à 50 km de distance.
Haut débit cellulaire : utilisation de l'accès cellulaire des fournisseurs de services par des
entreprises et organisations nationales et internationales pour offrir une connectivité au réseau
mobile en haut débit.
Haut débit satellite : technologie offrant un accès réseau aux sites distants via une antenne
parabolique directionnelle alignée sur un satellite à orbite géostationnaire (GEO).
Remarque : les réseaux WLAN fonctionnent sur la bande de fréquence ISM 2,4 GHz et la bande UNII
5 GHz.
Les communications sans fil se font dans la plage des ondes radio (p. ex. 3 Hz à 300 GHz) du spectre
électromagnétique, comme illustré à la figure.
les bandes de fréquences suivantes sont affectées aux LAN sans fil 802.11 :
2,4 GHz (UHF) - 802.11b/g/n/ad
5 GHz (SHF) - 802.11a/n/ac/ad
60 GHz (EHF) - 802.11ad
Différentes implémentations de la norme IEEE 802.11 ont été développées au fil des ans. Voici les
principales :
802.11
IEEE 802.11a
IEEE 802.11b
IEEE 802.11g
IEEE 802.11n
IEEE 802.11ac
IEEE 802.11ad
les trois principales organisations d'influence en matière de normes WLAN sont les suivantes :
ITU-R
IEEE
Wi-Fi Alliance
La Wi-Fi Alliance certifie la compatibilité des produits et de la technologie Wi-Fi comme suit :
Compatibilité IEEE 802.11a/b/g/n/ac/ad
Utilisation sécurisée IEEE 802.11i avec WPA2™ et le protocole EPA (Extensible Authentication
Protocol)
Technologie WPS (Wi-Fi Protected Setup) pour simplifier les connexions au périphérique
Wi-Fi Direct pour partager des données multimédias entre les périphériques
Wi-Fi Passpoint pour simplifier la mise en place d'une connexion sécurisée avec les réseaux de
points d’accès sans fil Wi-Fi
Wi-Fi Miracast pour afficher en toute transparence des vidéos entre les périphériques
Remarque : d'autres produits de certification Wi-Fi sont également disponibles, tels que WMM® (Wi-Fi
Multimedia™), Tunneled Direct Link Setup (TDLS) et WMM-Power Save.
Composants de WLAN :
Cependant, la majorité des déploiements sans fil nécessitent également les éléments suivants :
périphérique d'infrastructure, par exemple un routeur sans fil ou un point d'accès sans fil.
Remarque : la norme IEEE 802.11 fait référence au client sans fil sous le nom de station (STA).
Remarque : les besoins sans fil d'une petite organisation diffèrent de ceux d'une organisation de grande
taille.
Les points d'accès peuvent être divisés en deux catégories : les points d'accès autonomes et les points
d'accès basés sur un contrôleur.
Les points d'accès autonomes, parfois appelés points d'accès intensifs, sont des périphériques
indépendants configurés à l'aide de l'interface en ligne de commande Cisco ou d'une interface graphique
utilisateur.
Les points d'accès basés sur un contrôleur sont des périphériques dépendants d'un serveur, qui ne
nécessitent aucune configuration initiale.
Remarque : certains modèles de point d'accès peuvent fonctionner aussi bien en mode autonome que
sur la base d'un contrôleur.
Cisco propose les solutions de points d'accès sans fil autonomes suivantes :
Cisco WAP4410N AP
Cisco WAP121 AP et WAP321 AP
Cisco AP541N AP
Remarque : la plupart des solutions de point d'accès professionnelles prennent en charge PoE.
Il est possible de former un cluster entre deux points d'accès lorsque les conditions suivantes sont
réunies :
L'architecture cloud Cisco Meraki est une solution de gestion utilisée pour simplifier les déploiements
sans fil.
Points d'accès sans fil gérés par le Cloud Cisco MR : il existe plusieurs modèles, adaptés aux
différents types de déploiement.
Meraki Cloud Controller (MCC) : le contrôleur MCC permet la gestion, l'optimisation et la
surveillance centralisées d'un système WLAN Meraki.
Tableau de bord Web : le tableau de bord Web Meraki effectue la configuration et les diagnostics à
distance.
Les points d'accès Cisco Aironet peuvent utiliser les antennes suivantes :
Remarque : les routeurs sans fil ne sont pas tous identiques. Par exemple, les routeurs 802.11n d'entrée
de gamme prennent en charge une bande passante de 150 Mb/s à l'aide d'une radio Wi-Fi et d'une
antenne, associée à l'unité.
Mode ad hoc : lorsque deux périphériques se connectent en mode sans fil sans l'aide d'un
périphérique d'infrastructure, tel qu'un point d'accès ou un routeur sans fil.
Mode d'infrastructure : lorsque l'interconnexion entre les clients sans fil se fait via un point d'accès
ou un routeur sans fil, comme dans un WLAN.
Un réseau sans fil ad hoc est composé de deux périphériques sans fil qui communiquent en mode P2P
(peer-to-peer), sans utiliser de points d'accès ou de routeurs sans fil.
Il existe une variante de la topologie ad hoc dans laquelle un smartphone ou une tablette disposant d'un
accès aux données de réseau cellulaire peut créer un hotspot personnel.
L'ensemble BSS se compose d'un point d'accès unique interconnecté avec tous les clients sans fil
associés.
Lorsqu'un ensemble BSS seul offre une couverture RF insuffisante, il est possible de réunir plusieurs
ensembles BSS par le biais d'un système de distribution commun, pour former un éventail ESS.
Remarque : le contenu des champs d'adresse varie en fonction des paramètres du champ de contrôle de
trame.
Retry (Réessayer)
Security (Sécurité)
Reserved (Réservé)
Remarque : les champs de type et de sous-type de trame sont utilisés pour indiquer le type de
transmission sans fil concerné.
une trame sans fil peut être de l'un des trois types suivants :
Trame de gestion
Trame de contrôle
Trame de données
la valeur de champ des trames de gestion les plus courantes, telles que :
Trame de désassociation (0x0A) :
Trame d'authentification (0x0B)
Trame de désauthentification (0x0C)
la valeur de champ des trames de contrôle les plus courantes, telles que :
SSID :
Remarque : tous les routeurs et points d'accès sans fil doivent être sécurisés à l'aide des paramètres du
niveau le plus élevé possible.
Les clients sans fil se connectent au point d'accès à l'aide d'un processus d'analyse (enquête). Ce
processus peut être :
Mode passif
Mode actif
Authentification ouverte
Une fois le client sans fil associé avec un point d'accès, le trafic peut se faire entre le client et le point
d'accès.
Une meilleure pratique en matière de WLAN nécessitant plusieurs points d'accès consiste à utiliser des
canaux non chevauchants. S'il existe trois points d'accès adjacents, utilisez les canaux n° 1, n° 6 et n° 11.
S'il n'y a que deux points d'accès, sélectionnez deux canaux séparés par cinq autres, par exemple les
canaux n° 5 et n° 10.
Menaces WLAN :
La difficulté de préserver la sécurité d’un réseau filaire est amplifiée avec un réseau sans fil.
Les réseaux sans fil sont particulièrement sensibles à certaines menaces, notamment :
applications criminelles ;
interception de données ;
attaques DoS.
Les attaques DoS sans fil peuvent avoir les conséquences suivantes :
Les trames de gestion peuvent être manipulées afin de créer divers types d'attaque DoS. Voici deux
attaques de trame de gestion courantes :
Attaque de déconnexion par usurpation
Inondation PAE
Remarque : il s'agit là d'un simple exemple d'attaque par trame de gestion. Il en existe de
nombreuses autres formes.
Un point d'accès non autorisé est un point d'accès ou un routeur sans fil :
Qui a été connecté ou activé par un pirate pour capturer les données des clients, par exemple
l'adresse MAC (des clients sans fil et filaires), ou encore capturer et déguiser des paquets de
données, de manière à obtenir l'accès aux ressources du réseau ou à lancer des attaques Man-
in-the-Middle.
Sécurisation de WLAN :
La sécurité a toujours été une préoccupation majeure concernant le Wi-Fi, car les frontières du réseau se
sont déplacées.
Masquage SSID
Filtrage des adresses MAC
Remarque : les réseaux Wireless-N (sans fil n) doivent utiliser le mode de sécurité WPA2-Personal
(WPA2-Particulier) pour obtenir des performances optimales.
Remarque : généralement, les réseaux 2,4 GHz comme les réseaux 5 GHz doivent être configurés sur
les mêmes modes de sécurité.
Particulier
Entreprise
les informations requises pour contacter le serveur AAA :
Le processus de connexion 802.1X utilise le protocole EAP pour communiquer avec le point d'accès et le
serveur RADIUS.
Étape 1. Démarrez le processus d'implémentation WLAN avec un point d'accès et un client sans fil
uniques, sans activer la sécurité sans fil.
Étape 2. Vérifiez que le client a reçu une adresse IP DHCP et peut envoyer une requête ping au routeur
filaire local par défaut, puis se connecter au réseau Internet externe.
Étape 3. Configurez la sécurité sans fil avec l'option WPA2/WPA Mixed Personal (WPA2/WPA mixte
particulier). N'utilisez jamais la technologie WEP, sauf si aucune autre option n'est disponible.
Étape 4. Sauvegardez la configuration.
Avant d'installer un routeur sans fil, tenez compte des paramètres suivants :
Network Password (Mot de passe de réseau), si nécessaire : lorsque vous y êtes invité, ce mot
de passe doit être saisi pour l'association et l'accès au SSID.
Router Password (Mot de passe du routeur) : mot de passe du routeur de gestion équivalent au
mot de passe enable secret du mode d'exécution privilégié.
Guest Network SSID Name (Nom SSID du réseau invité) : pour des raisons de sécurité, les
invités peuvent être isolés avec un SSID différent.
Guest Network Password (Mot de passe du réseau invité) : mot de passe permettant d'accéder
au réseau SSID invité.
Linksys Smart Wi-Fi Username (Nom d'utilisateur Linksys Smart Wi-Fi) : compte Internet
nécessaire pour accéder au routeur à distance, depuis Internet.
Linksys Smart Wi-Fi Password (Mot de passe Linksys Smart Wi-Fi) : mot de passe nécessaire
pour accéder au routeur à distance.
la page d'accueil Linksys Smart-Wi-Fi se divise en trois sections principales, comme suit :
Smart Wi-Fi Router Settings (Paramètres du routeur Smart Wi-Fi)
Smart Wi-Fi Tools (Outils Smart Wi-Fi)
Smart Wi-Fi Widgets (Widgets Smart Wi-Fi)
Remarque : pour charger une sauvegarde, cliquez sur Restore (Restaurer), localisez le fichier et lancez
le processus de restauration.
L'utilisateur doit également vérifier que le client a pu se connecter sans problème au réseau sans fil
souhaité, car il peut y avoir plusieurs WLAN disponibles à la connexion.
Méthode ascendante
Méthode descendante
Méthode Diviser et conquérir
Pour optimiser et accroître la bande passante des routeurs bibande 802.11n/ac, vous avez le choix
entre :
Mettre à niveau vos clients sans fil
Diviser le trafic
Attention : ne mettez jamais à niveau le microprogramme tant que le point d'accès ne présente pas de
problème ou que le nouveau microprogramme ne contient pas une fonctionnalité souhaitée.
MIMO
Cisco FlexConnect
Sélection de bande