You are on page 1of 47

Architecture de rseau WiFi

centralise Cisco
Une approche simplifie de la gestion des
rseaux sans-fil

UMLV / Ingnieurs 2000


Xpos - IR3 - 2009/2010 Jean-Christophe Rios
Sommaire

1. De quoi parle-t-on ?
2. Architecture autonome
3. Architecture centralise
4. Protocole dchange: LWAPP
5. Bibliographie

2 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Sommaire

1. De quoi parle-t-on ?
2. Architecture autonome
3. Architecture centralise
4. Protocole dchange: LWAPP
5. Bibliographie

3 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


1. De quoi parle-t-on ?
WiFi: bref historique:
1999: 802.11b
Les dbuts
Peu utilis en entreprise (peu de matriel)
Priode 2002-2005: gnralisation des accs sans-fil
Proposer une connexion sans-fil en environnement entreprise
A lpoque, une simple connectivit
Plus rcemment: volont de proposer plus

4 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


1. De quoi parle-t-on ?
Infrastructure de rseau sans-fil IEEE 802.11x

Un rseau WiFi est constitu dun ensemble de points


daccs (AP)
On sintresse la gestion des composants du rseau
(point de vue administrateur)

Comment organise-t-on un tel rseau ?


Quelles sont les architectures disponibles ?

5 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Sommaire

1. De quoi parle-t-on ?
2. Architecture autonome
3. Architecture centralise
4. Protocole dchange: LWAPP
5. Bibliographie

6 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


2. Architecture autonome
Solution classique , largement dploye

Rseau constitu dun ensemble dAP autonomes


Agissent comme des lments indpendants
Chaque AP:
Est un lment autonome du rseau
A sa propre version de configuration
Prend en charge un certain nombre de tches par lui-mme

7 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Schma darchitecture autonome

AP #1 AP #2 AP #3

8 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


AP autonome: caractristiques
Elment autonome du rseau:
Assimilable un commutateur
Gestion RF (radiofrquences)
Gestion des associations 802.11
Gestion de la scurit :
Cls de chiffrement (si utilisation de PSK)
Autorisations daccs (authenticator 802.1x)

9 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Limites
Gestion individuelle des AP, fastidieuse
Une version de configuration par AP
Changement => modifier tous les AP

Pas de coordination des politiques RF


dfinir manuellement, cest parfois difficile

Lourdeur dimplantation
Diffusion et propagation de tous les VLAN client au port de connexion

Pas de gestion intelligente de la mobilit (handover/roaming)

Pas de vue globale du rseau


moins dimplmenter sa propre solution de monitoring et reporting

10 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Sommaire

1. De quoi parle-t-on ?
2. Architecture autonome
3. Architecture centralise
4. Protocole dchange: LWAPP
5. Bibliographie

11 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


3. Architecture centralise
Concepts fondamentaux:
Concentrer lintelligence en un point unique
Les AP doivent tre de simples antennes

Elments constitutifs:
Points daccs lgers (LAP, Lightweight Access Point)
Contrleurs
Serveur(s) dadministration

On prsente ici la solution Cisco CUW (Cisco Unified


Wireless)
Des solutions concurrentes existent:
Aruba Networks
Bluesocket

12 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Schma darchitecture centralise

Rseau daccs

LWAPP LWAPP LWAPP

LAP #1 LAP #2 LAP #3

13 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Schma darchitecture centralise

Contrleurs WiFi

Contrleur A Contrleur B

Rseau daccs

LWAPP LWAPP LWAPP

LAP #1 LAP #2 LAP #3

14 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Schma darchitecture centralise

Administration Cur de rseau

Serveur WCS Routeur


Contrleurs WiFi

Contrleur A Contrleur B

Rseau daccs

LWAPP LWAPP LWAPP

LAP #1 LAP #2 LAP #3

15 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Schma darchitecture centralise

Administration Cur de rseau

Serveur WCS Routeur


Contrleurs WiFi
Tunnel LWAPP

Tunnel LWAPP
Contrleur A Contrleur B

Rseau daccs

Tu
nn
el
WL
LWAPP LWAPP LWAPP

AP
P
LAP #1 LAP #2 LAP #3

16 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Schma darchitecture centralise

Administration Cur de rseau

Serveur WCS Routeur


Contrleurs WiFi
Tunnel LWAPP

Tunnel LWAPP
Contrleur A Contrleur B

Rseau daccs

Tu
nn
el
WL
LWAPP LWAPP LWAPP

AP
P
LAP #1 LAP #2 LAP #3

17 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Point daccs lger
Lger car assurent les fonctions de base du sans-fil:
Couche physique (DSSS, OFDM, MIMO, )
Une partie de la couche liaison:
CSMA/CA
Balises de signalisation (beacons)
Chiffrement de niveau 2 (WPA et al.)
Buffers de transmission/rception
Files QoS
Encapsulation/dcapsulation LWAPP, fragmentation
Les fonctions avances de la couche liaison sont dportes au
contrleur:
Associations 802.11
Gestion du chiffrement (dfinition des politiques de scurit,
authenticator EAP)
Etc.

18 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Dcouverte des contrleurs
Comment lAP se rattache-t-il son contrleur de gestion ?

Deux tapes:
1. Etablissement dune liste de candidats:
Dcouverte par broadcast sur le rseau local
DHCP (champ TLV dans la rponse DHCP)
Requte DNS
Prconfiguration en dur
2. Slection parmi cette liste
Contact de chaque contrleur (unicast) pour rcuprer le statut
Requte denregistrement JOIN , fonction de plusieurs
critres (dont la charge en AP)

19 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


LAP, un matriel particulier ?
Chez Cisco, les LAP sont des matriels classiques
Seul le micrologiciel (firmware) change
Bascule entre AP lourd et LAP par simple flashage
Opration rversible
Exemple de modles:
Cisco AIRONET AP-1120, AP-1130, AP-1140, AP-1240

20 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Contrleur
On parle de WLC (Wireless Lan Controller), cest le cerveau de
larchitecture centralise

Pilote les bornes:


Gestion des versions logicielles et configurations
Politiques de scurit
Gestion des RF
QoS

Fonctionnalits avances:
Mobilit
IPS/IDS
Cache DHCP/RADIUS

Point de sortie de tout le trafic LWAPP client, reli au rseau entreprise

21 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Contrleur
Large gamme, diffrentes capacits:

WLC Capacit (AP)


2100 series 6 / 12 / 25
4402 12 / 25 / 50
4404 100
5508 250
WiSM 300

22 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Serveur de gestion
WCS (Wireless Control System)

Se place au-dessus des contrleurs

Administration depuis un point unique


Peut grer tout contrleur joignable par IP, y compris donc au travers du WAN

Interface Web

Dfinition de templates de configuration, applicables aux contrleurs


et aux AP
SSID
Interfaces (VLAN, adresse), politique sans-fil (802.11 a/b/g/n)
Serveurs DHCP, RADIUS
Etc.

23 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Avantages
Gestion des configurations
Des versions de configurations homognes
Configuration modifie instantanment par le
contrleur (messages LWAPP)
Une seule interface de gestion (serveur WCS)

Serveur WCS

24 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Avantages
Facilits dadministration
Ajout dun point daccs:
1. Propagation dun seul VLAN dans le rseau local
2. Connexion un port daccs
3. Paramtrage IP (par DHCP le plus souvent)
4. Puis configuration depuis le systme WCS par application de
templates

25 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Gestion automatique des RF

En 802.11b/g/n, seuls 3 canaux sont superposables

Dfinir lagencement pour un petit nombre dAP est facile,


mais cela peut vite se compliquer
Cas des btiments plusieurs tages !

Solution centralise = visibilit sur un ensemble dAP


Auto-configuration des paramtres RF (frquence, puissance)
Ajustement en temps rel (rponse aux pannes ou
interfrences)
Equilibrage de charge pour les clients

26 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Ragencement automatique RF

LWAPP LWAPP LWAPP

27 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Ragencement automatique RF

LWAPP LWAPP LWAPP


LWAPP LWAPP LWAPP

LWAPP

28 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Ragencement automatique RF
Dtection des
interfrences

LWAPP LWAPP LWAPP


LWAPP LWAPP LWAPP

LWAPP

29 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Ragencement automatique RF
Dtection des
interfrences

LWAPP LWAPP LWAPP


LWAPP LWAPP LWAPP

LWAPP

Ragencement des
LWAPP LWAPP LWAPP
canaux
LWAPP
Diminution de la
puissance dmission
30 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios
Ajustement automatique RF

LWAPP LWAPP LWAPP

31 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Ajustement automatique RF

Panne dun AP

LWAPP LWAPP LWAPP

LWAPP LWAPP LWAPP

32 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Ajustement automatique RF

Panne dun AP

LWAPP LWAPP LWAPP

LWAPP LWAPP LWAPP

La puissance
dmission des deux
AP est ajuste pour
LWAPP LWAPP LWAPP
couvrir la zone

33 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Bnfices en scurit
Scurisation des configurations et informations sensibles
sur le contrleur

Une seule IP source pour le service RADIUS (rduit surface


attaque)

Dtection et action coordonnes contre les lments


potentiellement dangereux
Rogue AP
Les AP peuvent envoyer des trames de dsassociation au client qui
tenterait de sy associer
Rogue client
Possibilit de bannir de manire globale un client. Interdiction
possible ds ltape dassociation!

34 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Fonctionnalits avances
Mobilit:
Entre AP (niveau 2)
Entre contrleurs (niveau 2/3)

Handover/roaming mieux gr:


Vue globale du contrleur sur les AP
Transfert et mise en cache des donnes utilisateur
Cache DHCP/RADIUS

Fonctions de golocalisation
Par tags RFID
Ncessite un appliance spcifique

35 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Inconvnients
Le contrleur est un point central, donc extrmement
critique
Attention sa dfaillance !

Pour le contrleur, deux types de solutions:


Rsilience physique
Plusieurs ports duplink vers le cur de rseau (agrgation de
liens par trunking)
Double alimentation lectrique systmatique
Backup par utilisation dautres contrleurs
Locaux
Distants (attention la latence !)

36 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Inconvnients
Pour les AP, possibilit dune utilisation hybride (H-
REAP):
Flux de contrle remonts jusquau contrleur
Flux client commuts localement au port de
rattachement au LAN
Mais oblige placer les AP sur des trunks 802.1q, ce qui est
justement ce quon veut viter

VLAN contrle
Trunk 802.1q
VLAN data client

LWAPP

Contrleur Switch LAP H-REAP

37 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Inconvnients
Le prix!
Double facturation:
Matriels physiques
Prix des contrleurs peut devenir lev, notamment pour la
solution WiSM
Ncessite un serveur pour la console dadministration
On peut utiliser une machine virtuelle
Licences dutilisation (pour les AP)
Mais rpartition flexible depuis la console dadministration

38 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Sommaire

1. De quoi parle-t-on ?
2. Architecture autonome
3. Architecture centralise
4. Protocole dchange: LWAPP
5. Bibliographie

39 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


4. Protocole dchange: LWAPP
Protocole de transfert de donnes entre AP et
contrleurs

Introduit en 2002 (Airespace, rachete par Cisco


depuis)

Retenu comme base pour une standardisation par


lIETF pour le futur standard CAPWAP (2006)

CAPWAP: RFC 5415 (Proposed standard, mars 2009)

40 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Caractristiques
Tunnel qui vhicule deux types de donnes:
Flux de contrle (chiffrs)
Flux utilisateurs (en clair)

Opre deux niveaux, L2 ou L3:


L2: Au dessus dEthernet: Ethertype 0xBBBB
L3: Au-dessus dIP, dans un datagramme UDP

L2 est considr comme obsolte:


Non routable
Oblige une visibilit L2 entre contrleur et LAP (mme
VLAN)
Non retenu dans CAPWAP

41 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


LWAPP Layer 3
Trafic encapsul dans un datagramme UDP
Flux de contrle: port destination 12223
Chiffr AES-CCM (chiffrement symtrique)
Utilise des certificats X.509 (AP et contrleur)
Gnrs par la PKI Cisco la fabrication
Stocks dans une mmoire flash protge

Flux utilisateurs: port destination 12222


La totalit de la trame 802.11 est encapsule
Dans CAPWAP, il est possible de nencapsuler que la partie 802.3

Le datagramme est envoy en unicast au contrleur (IP)

42 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Format de trame
Un en-tte LWAPP commun :

La surcharge introduite par len-tte LWAPP est de 6 octets


Avec MAC + IP + UDP + LWAPP, total de 48 octets (3% du MTU)
Si fragmentation du paquet IP, pas de rptition de len-tte LWAPP

43 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Conclusion
Architecture apportant de nombreux bnfices
Gestion plus simple/rationnelle du rseau
Apport de services

Pertinence de squiper valuer en fonction du


budget

44 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Sommaire

1. De quoi parle-t-on ?
2. Architecture autonome
3. Architecture centralise
4. Protocole dchange: LWAPP
5. Bibliographie

45 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Bibliographie
Documentations officielles Cisco:
Gnral
http://snipurl.com/ciscocuw
Scurisation X.509
http://snipurl.com/ciscox509

Protocole CAPWAP: RFC 5415


http://snipurl.com/rfc5415

Draft LWAPP
http://snipurl.com/draftlwapp

Blog Infracom
http://infracom-france.com/blog2/?tag=lwapp

46 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios


Questions ?

47 Xpos 2009 Architecture Wifi centralise Cisco Jean-Christophe Rios