WAP351 Wireless-N Dual Radio Access Point | Mode d'emploi | Cisco WAP131 Wireless-N Dual Radio Access Point Manuel utilisateur
Ajouter à Mes manuels202 Des pages
▼
Scroll to page 2
of
202
GUIDE D'ADMINISTRATION Point d'accès Cisco WAP131 bibande sans fil N avec PoE Point d'accès Cisco WAP351 bibande sans fil N avec commutateur 5 ports Cisco et le logo Cisco sont des marques commerciales ou des marques commerciales déposées de Cisco Systems Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. Pour consulter la liste des marques commerciales Cisco, rendez-vous sur : www.cisco.com/go/trademarks. Les autres marques commerciales mentionnées sont la propriété de leurs détenteurs respectifs. L'utilisation du terme « partenaire » n'implique pas une relation de partenariat entre Cisco et une autre entreprise. (1110R) © 2014 Cisco Systems, Inc. Tous droits réservés. Table des matières Chapitre 1 : Mise en route Mise en route du programme de configuration 9 9 Navigateurs pris en charge 9 Restrictions s'appliquant aux navigateurs 9 Lancement de l'utilitaire Web de configuration. 10 Déconnexion 11 Utilisation de l'assistant d'installation de point d'accès 11 Configuration de l'Assistant d'installation de Cisco WAP131 12 Configuration de l'Assistant d'installation de Cisco WAP351 13 Modification du mot de passe par défaut 16 Configuration du démarrage rapide 17 Navigation dans les fenêtres 18 En-tête de l'utilitaire de configuration 18 Volet de navigation / Menu principal 19 Boutons de gestion 19 Chapitre 2 : État et statistiques 21 Récapitulatif du système 21 Interfaces réseau 23 Statistiques sur le trafic 26 Transmission/Réception de pont de groupe de travail 27 Clients associés 28 Statistiques sur la radio 29 État des alertes par e-mail 31 Afficher le journal 32 Associations de client TSPEC 32 État et statistiques TSPEC 34 Statistiques de point d'accès TSPEC 36 Guide d'administration pour Cisco WAP131 et WAP351 3 Table des matières Chapitre 3 : Administration 37 Paramètres système 38 Comptes d'utilisateur 38 Ajout d'un utilisateur 39 Modification d'un mot de passe utilisateur 40 Paramètres d'heure 40 Acquisition automatique des paramètres d'heure via NTP 41 Configuration manuelle des paramètres d'heure 41 Paramètres du journal 42 Configuration du journal persistant 42 Configuration du serveur de journalisation distant 44 Alerte électronique 45 Configuration des paramètres des alertes électroniques 46 Exemples d'alertes par e-mail 47 Service HTTP/HTTPS 48 Configuration des services HTTP et HTTPS 48 Gestion des certificats SSL 50 Gestion du contrôle des accès 51 Gestion du microprogramme 52 Permutation de l'image du microprogramme 52 Mise à niveau TFTP 53 Mise à niveau via HTTP/HTTPS 53 Gestion du fichier de configuration 54 Fichier de configuration de secours 55 Téléchargement du fichier de configuration 56 Copie/enregistrement de la configuration 57 Propriétés des fichiers de configuration 58 Redémarrage 58 Découverte - Bonjour 59 Capture de paquets 60 Configuration de la capture de paquets Guide d'administration pour Cisco WAP131 et WAP351 60 4 Table des matières Capture de paquets locale 61 Capture de paquets distante 63 État de la capture de paquets 66 Téléchargement du fichier de capture de paquets 67 Informations relatives au support 68 Paramètres de STP 68 Chapitre 4 : Réseau local 70 Paramètres des ports 70 Configuration des paramètres de port pour Cisco WAP131 70 Configuration des paramètres de port pour Cisco WAP351 71 Configuration VLAN 73 Configuration des paramètres VLAN pour Cisco WAP131 73 Configuration des paramètres VLAN pour Cisco WAP351 74 Paramètres IPv4 75 Paramètres IPv6 76 Chapitre 5 : Accès sans fil 79 Radio 79 Rogue AP Detection 87 Affichage de la Rogue AP List 87 Enregistrement de la liste des points d'accès approuvés 90 Importation d'une liste de points d'accès approuvés 90 Réseaux 91 Conventions d'affectation de noms SSID 91 ID de VLAN 92 Configuration des VAP 92 Définition des paramètres de sécurité 95 None (Plain-text) 95 Static WEP 96 Règles du mode Static WEP 97 Dynamic WEP 98 Guide d'administration pour Cisco WAP131 et WAP351 5 Table des matières WPA Personal 100 WPA Enterprise 101 Scheduler 104 Ajout de profils de planificateur 104 Configuration des règles de planificateur 105 Scheduler Association 106 Bandwidth Utilization 107 MAC Filtering 108 Configuration d'une liste de filtrage MAC stockée localement sur le périphérique WAP 108 Configuration de l'authentification MAC sur le serveur RADIUS 109 WDS Bridge 109 Configuration de STP pour Cisco WAP131 111 Configuration du VLAN non balisé pour Cisco WAP351 111 Configuration d'un pont WDS 112 WEP sur les liaisons WDS 113 WPA/PSK sur les liaisons WDS 113 WorkGroup Bridge 114 Quality of Service 117 Chapitre 6 : Sécurité du système 121 Serveur RADIUS 121 Demandeur 802.1X/802.1X 123 Configurer le demandeur 802.1X pour Cisco WAP131 123 Configurer 802.1X pour Cisco WAP351 125 Complexité des mots de passe 128 Complexité WPA-PSK 129 Chapitre 7 : Qualité de service Paramètres globaux 131 131 Configuration des paramètres QoS pour Cisco WAP131 131 Configuration des paramètres QoS pour Cisco WAP351 132 Guide d'administration pour Cisco WAP131 et WAP351 6 Table des matières Mappage de classe 133 Configuration des mappages de classe IPv4 134 Configuration des mappages de classe IPv6 137 Configuration des mappages de classe MAC 139 Mappage de stratégie 141 Association de la QoS 143 État de la QoS 144 Chapitre 8 : ACL 145 Règle ACL 145 ACL IPv4 et IPv6 145 ACL MAC 146 Flux de travail de configuration des ACL 146 Configuration des ACL IPv4 146 Configuration des ACL IPv6 150 Configuration des ACL MAC 153 Association d'ACL 156 État ACL 157 Chapitre 9 : SNMP 158 Général 158 Vues 161 Groupes 163 Utilisateurs 165 Cibles 166 Chapitre 10 : Portail captif 168 Configuration globale 169 Groupes/Utilisateurs locaux 170 Groupes locaux 170 Utilisateurs locaux 171 Configuration d'instance Guide d'administration pour Cisco WAP131 et WAP351 173 7 Table des matières Association d'instance 176 Personnalisation du portail Web 177 Configuration de la page d'authentification du portail captif 177 Chargement et suppression d'images 180 Clients authentifiés Chapitre 11 : Configuration de point unique Présentation de la configuration de point unique 181 184 184 Gestion de la configuration de point unique sur les points d'accès 185 Négociation de la configuration de point unique 186 Fonctionnement d'un périphérique exclu d'une configuration de point unique 187 Paramètres de configuration propagés et non propagés aux points d'accès à configuration de point unique 188 Points d'accès 189 Configuration du périphérique WAP pour la configuration de point unique190 Affichage des informations de la configuration de point unique 191 Ajout d'un périphérique WAP à une configuration de point unique 192 Suppression d'un périphérique WAP dans une configuration de point unique 192 Accès aux informations de configuration d'un périphérique spécifique 193 Accès à un périphérique à l'aide de son adresse IP dans une URL 193 Sessions 193 Gestion des canaux 195 Configuration et affichage des attributions de canaux 195 Affichage des attributions de canaux et configuration des verrouillages 196 Configuration des paramètres avancés 197 Voisinage sans fil 198 Affichage des périphériques voisins 199 Affichage des détails d'un membre de la configuration de point unique 201 Annexe A : Pour en savoir plus Guide d'administration pour Cisco WAP131 et WAP351 202 8 1 Mise en route Ce chapitre présente l'utilitaire Web de configuration des points d'accès Cisco WAP131 et WAP351 bibande sans fil. Il contient les rubriques suivantes : • Mise en route du programme de configuration • Utilisation de l'assistant d'installation de point d'accès • Modification du mot de passe par défaut • Configuration du démarrage rapide • Navigation dans les fenêtres Mise en route du programme de configuration Cette section décrit la configuration système requise et explique comment accéder à l'utilitaire Web de configuration. Navigateurs pris en charge Avant d'utiliser l'utilitaire de configuration, assurez-vous de disposer d'un ordinateur doté d'Internet Explorer 7.0 ou version ultérieure, Firefox 3.0 ou version ultérieure, Chrome 5.0 ou version ultérieure ou Safari 3.0 ou version ultérieure. Restrictions s'appliquant aux navigateurs • Si vous utilisez Internet Explorer 6, vous ne pouvez pas utiliser directement une adresse IPv6 pour accéder au périphérique WAP. Vous pouvez néanmoins utiliser le serveur DNS (Domain Name System, système de noms de domaine) pour créer un nom de domaine contenant l'adresse IPv6, puis utiliser ce nom de domaine dans la barre d'adresse à la place de l'adresse IPv6. Guide d'administration pour Cisco WAP131 et WAP351 9 Mise en route Mise en route du programme de configuration • • 1 Si vous utilisez Internet Explorer 8, vous pouvez configurer les paramètres de sécurité à partir d'Internet Explorer. - Sélectionnez Outils > Options Internet, puis sélectionnez l'onglet Sécurité. - Sélectionnez Intranet local, puis Sites. - Sélectionnez Avancé, puis Ajouter. Ajoutez l'adresse Intranet du périphérique WAP (http://<adresse-ip>) dans la zone Intranet local. L'adresse IP peut également être spécifiée en tant qu'adresse IP du sous-réseau, afin que toutes les adresses du sous-réseau soient ajoutées à la zone Intranet local. Si vous disposez de plusieurs interfaces IPv6 sur votre station de gestion, utilisez l'adresse globale IPv6 au lieu de l'adresse locale IPv6 pour accéder au périphérique WAP depuis votre navigateur. Lancement de l'utilitaire Web de configuration. Suivez ces étapes pour accéder à l'utilitaire de configuration depuis votre ordinateur afin de configurer le périphérique WAP : ÉTAPE 1 Connectez le périphérique WAPau réseau (sous-réseau IP) auquel votre ordinateur est relié. Le paramètre par défaut pour la configuration de l'adresseIP du périphérique WAP est DHCP. Assurez-vous que votre serveur DHCP fonctionne et est accessible. ÉTAPE 2 Localisez l'adresse IP du périphérique WAP. a. Il est possible d'accéder au périphérique WAP et de le gérer à l'aide des outils et services réseauCisco, comme l'utilitaire Cisco FindIT Network Discovery Utility, qui vous permet de découvrir automatiquement tous les périphériques Cisco pris en charge dans le même segment de réseau local que votre ordinateur. Vous pouvez obtenir une vue instantanée de chaque périphérique ou lancer l'utilitaire de configuration du produit pour afficher et configurer les paramètres. Pour en savoir plus, consultez la page http://www.cisco.com/go/findit. b. Le périphérique WAP est équipé de la fonction Bonjour. Il émet automatiquement ses services et écoute les services publiés par d'autres appareils dotés de la fonction Bonjour. Si vous disposez d'un navigateur compatible avec la fonction Bonjour, tel que Microsoft Internet Explorer avec un plug-in Bonjour ou le navigateur Apple Mac Safari, vous trouverez le périphérique WAP sur votre réseau local sans avoir à fournir son adresse IP. Guide d'administration pour Cisco WAP131 et WAP351 10 Mise en route Utilisation de l'assistant d'installation de point d'accès 1 Vous pouvez télécharger la version complète de Bonjour pour Internet Explorer à partir du site Web d'Apple : http://www.apple.com/bonjour/. c. Identifiez l'adresse IP attribuée par votre serveur DHCP en accédant à votre routeur ou au serveur DHCP. Pour plus d'informations, consultez les instructions relatives à votre serveur DHCP. ÉTAPE 3 Lancez un navigateur Web (par exemple, Internet Explorer). ÉTAPE 4 Saisissez l'adresse par défaut du serveur DHCP dans la barre d'adresse, puis appuyez sur la touche Entrée. ÉTAPE 5 Dans les champs Username et Password, saisissez le nom d'utilisateur par défaut cisco et le mot de passe cisco. ÉTAPE 6 Cliquez sur Log In. L'Assistant Installation du point d'accès sans fil apparaît. Pour terminer l'installation de l'appareil WAP, suivez les instructions de l'Assistant Installation. Nous vous recommandons fortement d'utiliser cet assistant lors de la première installation. Pour plus d'informations, reportez-vous à Utilisation de l'assistant d'installation de point d'accès. Déconnexion Par défaut, l'utilitaire de configuration se déconnecte au bout de 10 minutes d'inactivité. Consultez la section Service HTTP/HTTPS pour obtenir des instructions sur la modification du délai d'expiration par défaut. Pour vous déconnecter, cliquez sur Logout en haut à droite de l'utilitaire de connexion. Utilisation de l'assistant d'installation de point d'accès La première fois que vous vous connectez au périphérique WAP (ou après une réinitialisation aux paramètres d'usine par défaut), l'assistant d'installation de point d'accès apparaît afin de vous aider à effectuer les configurations initiales. REMARQUE Si vous cliquez sur Cancel pour ignorer l'assistant, la page Change Password apparaît. Vous pouvez ensuite modifier le mot de passe par défaut pour vous connecter (pour plus d'informations, reportez-vous à Modification du mot de passe par défaut). Les configurations d'usine par défaut s'appliquent à tous les autres paramètres. Guide d'administration pour Cisco WAP131 et WAP351 11 Mise en route Utilisation de l'assistant d'installation de point d'accès 1 Configuration de l'Assistant d'installation de Cisco WAP131 Suivez ces étapes jusqu'à la fin de l'assistant (vous devrez vous reconnecter après avoir modifié votre mot de passe) : ÉTAPE 1 Cliquez sur Next dans la page d'accueil de l'assistant. La fenêtre Configure Device - IP Address apparaît. ÉTAPE 2 Cliquez sur Dynamic IP Address (DHCP) pour qu'une adresse IP soit automatiquement attribuée par un serveur DHCP au périphérique WAP, ou sur Static IP Address pour configurer l'adresse IP manuellement. Pour obtenir une description de ces champs, reportez-vous à Paramètres IPv4. ÉTAPE 3 Cliquez sur Next. La fenêtre Configure Device - Set System Date and Time apparaît. ÉTAPE 4 Sélectionnez votre fuseau horaire, puis réglez l'heure système manuellement ou configurez le périphérique WAP de telle sorte qu'il obtienne l'heure à partir d'un serveur NTP. Pour obtenir une description de ces options, reportez-vous à Paramètres d'heure. ÉTAPE 5 Cliquez sur Next. La fenêtre Configure Device - Set Password apparaît. ÉTAPE 6 Saisissez un nouveau mot de passe dans le champ New Password et saisissez-le une nouvelle fois dans le champ Confirm Password. REMARQUE Décochez la case Password Complexity si vous souhaitez désactiver les règles de sécurité des mots de passe. Nous vous recommandons toutefois fortement de conserver les règles de sécurité de mot de passe activées. Pour obtenir plus d'informations sur les mots de passe, reportez-vous à Complexité des mots de passe. ÉTAPE 7 Cliquez sur Next. La fenêtre Configure Radio 1 - Name Your Wireless Network apparaît. ÉTAPE 8 Saisissez un nom de réseau dans le champ Network Name. Ce nom fait office de SSID pour le réseau sans fil par défaut. ÉTAPE 9 Cliquez sur Next. La fenêtre Configure Radio 1 - Secure Your Wireless Network apparaît. ÉTAPE 10 Choisissez un type de cryptage de sécurité et saisissez une clé de sécurité. Pour obtenir une description de ces options, reportez-vous à Définition des paramètres de sécurité. ÉTAPE 11 Cliquez sur Next. La fenêtre Configure Radio 1 - Assign The VLAN ID For Your Wireless Network apparaît. Guide d'administration pour Cisco WAP131 et WAP351 12 Mise en route Utilisation de l'assistant d'installation de point d'accès 1 ÉTAPE 12 Saisissez une valeur dans le champ VLAN ID pour le trafic reçu sur le réseau sans fil. Nous vous recommandons d'affecter un ID de VLAN différent de celui par défaut (1) au trafic sans fil, afin de le séparer du trafic de gestion sur le VLAN 1. ÉTAPE 13 Cliquez sur Next. Répétez les étapes 7 à 12 pour configurer les paramètres de l'interface Radio 2. ÉTAPE 14 Cliquez sur Next. La fenêtre Summary - Confirm Your Settings apparaît. ÉTAPE 15 Vérifiez les paramètres que vous avez configurés. Cliquez sur Back pour reconfigurer un ou plusieurs paramètres. Si vous cliquez sur Cancel, tous les paramètres sont rétablis aux valeurs précédentes ou par défaut. ÉTAPE 16 S'ils sont corrects, cliquez sur Submit. Vos paramètres de configuration WAP sont enregistrés et une fenêtre de confirmation apparaît. ÉTAPE 17 Cliquez sur Finish. La configuration du périphérique WAP est terminée. Vous devez vous reconnecter avec le nouveau mot de passe. Configuration de l'Assistant d'installation de Cisco WAP351 Suivez ces étapes jusqu'à la fin de l'assistant (vous devrez vous reconnecter après avoir modifié votre mot de passe) : ÉTAPE 1 Cliquez sur Next dans la page d'accueil de l'assistant. La fenêtre Configure Device - IP Address apparaît. ÉTAPE 2 Cliquez sur Dynamic IP Address (DHCP) pour qu'une adresse IP soit automatiquement attribuée par un serveur DHCP au périphérique WAP, ou sur Static IP Address pour configurer l'adresse IP manuellement. Pour obtenir une description de ces champs, reportez-vous à Paramètres IPv4. ÉTAPE 3 Cliquez sur Next. La fenêtre Single Point Setup - Set a Cluster apparaît. Pour obtenir une description de la configuration de point unique, reportez-vous à Configuration de point unique. ÉTAPE 4 Pour créer une nouvelle configuration de point unique du périphérique WAP, sélectionnez Create a New Cluster et saisissez un nom dans le champ New Cluster Name. Si vous configurez vos périphériques avec le même nom de cluster et que vous activez le mode de configuration de point unique sur d'autres périphériques WAP, ils rejoignent automatiquement le groupe. Guide d'administration pour Cisco WAP131 et WAP351 13 Mise en route Utilisation de l'assistant d'installation de point d'accès 1 Si votre réseau possède déjà un cluster, vous pouvez lui ajouter ce périphérique en cliquant sur Join an Existing Cluster, puis en saisissant le nom du cluster existant dans le champ Existing Cluster Name. Si vous ne voulez pas que ce périphérique participe à la configuration de point unique pour le moment, cliquez sur Do not Enable Single Point Setup. (Facultatif) Vous pouvez entrer l'emplacement dans le champ AP Location pour noter l'emplacement physique du périphérique WAP. ÉTAPE 5 Cliquez sur Next. La fenêtre Configure Device - Set System Date and Time apparaît. ÉTAPE 6 Sélectionnez votre fuseau horaire, puis réglez l'heure système manuellement ou configurez le périphérique WAP de telle sorte qu'il obtienne l'heure à partir d'un serveur NTP. Pour obtenir une description de ces options, reportez-vous à Paramètres d'heure. ÉTAPE 7 Cliquez sur Next. La fenêtre Configure Device - Set Password apparaît. ÉTAPE 8 Saisissez un mot de passe dans le champ New Password et confirmez-le dans le champ Confirm Password. REMARQUE Décochez la case Password Complexity pour désactiver les règles de sécurité des mots de passe. Nous vous recommandons toutefois fortement de conserver les règles de sécurité de mot de passe activées. Pour obtenir plus d'informations sur les mots de passe, reportez-vous à Complexité des mots de passe. ÉTAPE 9 Cliquez sur Next. La fenêtre Configure Radio 1 - Name Your Wireless Network apparaît. ÉTAPE 10 Saisissez un nom de réseau dans le champ Network Name. Ce nom fait office de SSID pour le réseau sans fil par défaut. ÉTAPE 11 Cliquez sur Next. La fenêtre Configure Radio 1 - Secure Your Wireless Network apparaît. ÉTAPE 12 Choisissez un type de cryptage de sécurité et saisissez une clé de sécurité. Pour obtenir une description de ces options, reportez-vous à Définition des paramètres de sécurité. ÉTAPE 13 Cliquez sur Next. La fenêtre Configure Radio 1 - Assign The VLAN ID For Your Wireless Network apparaît. ÉTAPE 14 Choisissez une valeur dans le champ VLAN ID pour le trafic reçu sur le réseau sans fil. Guide d'administration pour Cisco WAP131 et WAP351 14 Mise en route Utilisation de l'assistant d'installation de point d'accès 1 Nous vous recommandons d'affecter un ID de VLAN différent de celui par défaut (1) au trafic sans fil, afin de le séparer du trafic de gestion sur le VLAN 1. ÉTAPE 15 Cliquez sur Next. Répétez les étapes 9 à 14 pour configurer les paramètres de l'interface Radio 2. ÉTAPE 16 Cliquez sur Next. La fenêtre Enable Captive Portal - Create Your Guest Network apparaît. ÉTAPE 17 Sélectionnez si vous voulez configurer ou non une méthode d'authentification pour les invités sur votre réseau, puis cliquez sur Next. Si vous cliquez sur No, passez à l'Étape 25. Si vous cliquez sur Yes, la fenêtre Enable Captive Portal - Name Your Guest Network apparaît. ÉTAPE 18 Saisissez un nom dans le champ Guest Network Name. ÉTAPE 19 Cliquez sur Next. La fenêtre Enable Captive Portal - Secure Your Guest Network apparaît. ÉTAPE 20 Choisissez un type de cryptage de sécurité pour le réseau invité et saisissez une clé de sécurité. Pour obtenir une description de ces options, reportez-vous à Définition des paramètres de sécurité. ÉTAPE 21 Cliquez sur Next. La fenêtre Enable Captive Portal - Assign the VLAN ID apparaît. ÉTAPE 22 Spécifiez un ID de VLAN pour le réseau invité. L'ID de VLAN du réseau invité doit être différent de l'ID de VLAN de gestion. ÉTAPE 23 Cliquez sur Next. La fenêtre Enable Captive Portal - Enable Redirect URL apparaît. ÉTAPE 24 Sélectionnez Enable Redirect URL et spécifiez un nom de domaine complet ou une adresse IP dans le champ Redirect URL (y compris http://). Si l'option est activée, les utilisateurs du réseau invité sont redirigés vers l'URL spécifiée après leur authentification. ÉTAPE 25 Cliquez sur Next. La fenêtre Summary - Confirm Your Settings apparaît. ÉTAPE 26 Vérifiez les paramètres que vous avez définis. Cliquez sur Back pour reconfigurer un ou plusieurs paramètres. Si vous cliquez sur Cancel, tous les paramètres sont rétablis aux valeurs précédentes ou par défaut. ÉTAPE 27 S'ils sont corrects, cliquez sur Submit. Vos paramètres de configuration sont enregistrés et une fenêtre de confirmation apparaît. ÉTAPE 28 Cliquez sur Finish. Guide d'administration pour Cisco WAP131 et WAP351 15 Mise en route Modification du mot de passe par défaut 1 La configuration du périphérique WAP est terminée. Vous devez vous reconnecter avec le nouveau mot de passe. Modification du mot de passe par défaut Pour des raisons de sécurité, vous êtes invité à changer le mot de passe d'administration par défaut dès votre première connexion. Si vous cliquez sur Cancel pour ignorer l'assistant, la page Change Password apparaît. Vous pouvez ensuite changer le mot de passe à utiliser pour la connexion. La complexité des mots de passe est activée par défaut. Les exigences en termes de complexité minimale du mot de passe sont affichées sur la page Change Password. Le nouveau mot de passe doit respecter les règles de complexité par défaut. Il peut également être temporairement désactivé en désélectionnant l'option Password Complexity. Pour plus d'informations, reportez-vous à Complexité des mots de passe. Pour modifier le mot de passe d'administration par défaut : ÉTAPE 1 Renseignez les champs suivants pour définir un nouveau mot de passe : • Old Password : saisissez le mot de passe actuel (par défaut cisco). • New Password : saisissez un nouveau mot de passe. • Confirm Password : saisissez à nouveau le mot de passe pour le confirmer. • Password Strength Meter : affiche le niveau de sécurité du nouveau mot de passe. • Password Complexity : cette option, activée par défaut, vous oblige à respecter les paramètres par défaut suivants : - Le mot de passe doit être différent du nom d'utilisateur actuel. - Le mot de passe doit être différent du mot de passe actuel. - Le mot de passe doit contenir au moins huit caractères. - Le mot de passe doit contenir des caractères appartenant au moins à trois classes de caractères (caractères majuscules, minuscules, numériques et spéciaux disponibles sur un clavier standard). Guide d'administration pour Cisco WAP131 et WAP351 16 1 Mise en route Configuration du démarrage rapide REMARQUE Cochez la case Disable en regard de l'option Password Complexity pour désactiver les règles de complexité de mot de passe. Nous vous recommandons toutefois fortement de conserver les règles de sécurité de mot de passe activées. ÉTAPE 2 Cliquez sur Save. La fenêtre Getting Started apparaît. Vous pouvez désormais configurer le périphérique WAP. Configuration du démarrage rapide Afin de simplifier la configuration du périphérique grâce à une navigation rapide, la page Getting Started offre des liens permettant d'effectuer des tâches courantes. La page Getting Started est la fenêtre par défaut qui apparaît chaque fois que vous vous connectez à l'utilitaire de configuration. Catégorie Nom du lien (sur la page) Page correspondante Configuration initiale Exécuter l'assistant d'installation Utilisation de l'assistant d'installation de point d'accès Configurer les paramètres de radio Radio Configurer les paramètres de réseau sans fil Réseaux Configurer les paramètres LAN Réseau local Configurer les paramètres de port Paramètres des ports Configurer un point unique (pour WAP351 uniquement) Configuration de point unique Guide d'administration pour Cisco WAP131 et WAP351 17 1 Mise en route Navigation dans les fenêtres Catégorie Nom du lien (sur la page) Page correspondante Accès rapide Modifier le mot de passe du compte Comptes d'utilisateur Mettre à niveau le micrologiciel du périphérique Gestion du microprogramme Sauvegarder/Restaurer la configuration Gestion du fichier de configuration Récapitulatif du système Récapitulatif du système État du réseau sans fil Interfaces réseau État du périphérique La page Getting Started comporte trois liens qui vous redirigent vers des pages Web spécifiques sur lesquelles vous trouverez des informations supplémentaires. Vous pouvez : • Cliquer sur le lien Support pour accéder à la page du support produit. • Cliquer sur le lien Forums pour accéder au site de la communauté d'assistance Cisco. • Cliquer sur le lien Wireless Planning Tool pour accéder à la page AirMagnet Planner. Navigation dans les fenêtres Cette section décrit les fonctionnalités de l'utilitaire de configuration. En-tête de l'utilitaire de configuration L'en-tête de l'utilitaire de configuration contient des informations standard et apparaît en haut de chaque page. Il comporte les boutons suivants : Nom du bouton Description (Utilisateur) Nom du compte (Administrateur ou Invité) de l'utilisateur connecté au périphérique WAP. Le nom d'utilisateur par défaut est cisco. Log Out Cliquez sur ce bouton pour vous déconnecter de l'utilitaire de configuration. Guide d'administration pour Cisco WAP131 et WAP351 18 1 Mise en route Navigation dans les fenêtres Nom du bouton Description About Cliquez sur ce bouton pour afficher le type du périphérique WAP ainsi que son numéro de version. Help Cliquez sur ce bouton pour afficher l'aide en ligne. L'aide en ligne est conçue pour être affichée à l'aide de navigateurs utilisant le codage UTF-8. Si l'aide en ligne affiche des caractères errants, vérifiez que les paramètres de codage de votre navigateur sont définis à UTF-8. Volet de navigation / Menu principal Un volet de navigation, ou menu principal, est présent sur le côté gauche de chaque page. Le volet de navigation contient la liste des fonctionnalités de niveau supérieur du périphérique WAP. Si un élément du menu principal est précédé d'une flèche, choisissez de développer et d'afficher le sous-menu de chaque groupe. Vous pouvez ensuite sélectionner l'élément de sous-menu souhaité pour ouvrir la page associée. Boutons de gestion Le tableau suivant décrit les boutons couramment utilisés qui s'affichent sur différentes pages du système. Nom du bouton Description Add Ajoute une nouvelle entrée à la table ou à la base de données. Cancel Annule les modifications apportées à la page. Clear All Efface toutes les entrées dans la table du journal. Delete Supprime une entrée dans une table. Sélectionnez tout d'abord une entrée. Edit Édite ou modifie une entrée existante. Sélectionnez tout d'abord une entrée. Refresh Affiche à nouveau la page en cours avec les dernières données. Guide d'administration pour Cisco WAP131 et WAP351 19 1 Mise en route Navigation dans les fenêtres Nom du bouton Description Save Enregistre les paramètres ou la configuration. Update Met à jour la configuration initiale avec les nouvelles informations. Guide d'administration pour Cisco WAP131 et WAP351 20 2 État et statistiques Ce chapitre explique comment afficher l'état et les statistiques du périphérique WAP. Il contient les sections suivantes : • Récapitulatif du système • Interfaces réseau • Statistiques sur le trafic • Transmission/Réception de pont de groupe de travail • Clients associés • Statistiques sur la radio • État des alertes par e-mail • Afficher le journal • Associations de client TSPEC • État et statistiques TSPEC • Statistiques de point d'accès TSPEC Récapitulatif du système La page System Summary affiche des informations de base, telles que la description du modèle du matériel, la version du logiciel et le temps qui s'est écoulé depuis le dernier redémarrage. Pour afficher les informations système, sélectionnez Status and Statistics > System Summary, ou cliquez sur System Summary sous Device Status sur la page Getting Started. Guide d'administration pour Cisco WAP131 et WAP351 21 2 État et statistiques Récapitulatif du système Les informations suivantes sont indiquées : • PID VID : modèle et version du périphérique WAP. • Serial Number : numéro de série du périphérique WAP. • Base MAC Address : adresse MAC du périphérique WAP. • Host Name : nom affecté au périphérique WAP. • Power Source : le système peut être alimenté par un adaptateur secteur, ou par la technologie PoE (Power-over-Ethernet) à partir d'un appareil PSE (Power Sourcing Equipment). • PSE Status (WAP351 uniquement) - Overload : indique qu'un appareil alimenté (PD, Powered Device) connecté nécessite plus de puissance de la part du périphérique WAP que l'allocation configurée ne le permet à un moment quelconque au cours de la connexion. - Down : absence de connecteur d'appareil alimenté ou présence d'un dysfonctionnement. - Up : indique que le PSE fonctionne normalement en mode 802.3af. • PSE Power Consumption (WAP351 uniquement) : puissance allouée à l'appareil alimenté connecté. • Firmware Version (Active Image) : numéro de version du microprogramme de l'image active. • Firmware MD5 Checksum (Active Image) : somme de contrôle de l'image active. • Firmware Version (Non active) : numéro de version du microprogramme de l'image de sauvegarde. • Firmware MD5 Checksum (Non active) : somme de contrôle de l'image de sauvegarde. • System Uptime : temps qui s'est écoulé depuis le dernier redémarrage. • System Time : heure système actuelle. Le tableau des services TCP/UDP affiche des informations de base sur les protocoles et les services fonctionnant sur le périphérique WAP, notamment : • Service : nom du service, si ce dernier est disponible. Guide d'administration pour Cisco WAP131 et WAP351 22 2 État et statistiques Interfaces réseau • Protocol : protocole de transport sous-jacent utilisé par le service (TCP ou UDP). • Local IP Address : adresse IP, le cas échéant, d'un périphérique distant connecté à ce service sur le périphérique WAP. La valeur All indique que toutes les adresses IP sur le périphérique peuvent utiliser ce service. • Local Port : numéro de port du service. • Remote IP Address : adresse IP d'un hôte distant, le cas échéant, qui utilise ce service. La valeur All indique que le service est disponible pour l'ensemble des hôtes distants qui accèdent au système. • Remote Port : numéro de port de tout périphérique distant qui communique avec ce service. • Connection State : état du service. Pour les services UDP, seules les connexions actives s'affichent dans la table. Lorsque l'état d'une connexion est défini sur Actif, une connexion est établie entre le périphérique WAP et un client ou un serveur. Les états TCP suivants sont disponibles : - Listening : le service est à l'écoute des demandes de connexion. - Active : une session de connexion est établie et les paquets sont transmis et reçus. - Established : une session de connexion est établie entre le périphérique WAP et un serveur ou un client, selon le rôle de chaque périphérique par rapport à ce protocole. - Time Wait : la séquence de fermeture a été initiée et le périphérique WAP attend l'expiration d'un délai défini par le système (généralement 60 secondes) avant de fermer la connexion. Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les informations les plus récentes. Interfaces réseau La page Network Interfaces affiche les informations de configuration et d'état concernant les interfaces filaires et sans fil. Pour afficher les informations sur les interfaces réseau, sélectionnez Status and Statistics > Network Interfaces. Guide d'administration pour Cisco WAP131 et WAP351 23 2 État et statistiques Interfaces réseau Les informations suivantes sont indiquées : • LAN Status : affiche des informations concernant l'interface LAN, notamment : - MAC Address : adresse MAC du périphérique WAP. - Adresse IP : adresse IP du périphérique WAP. - Subnet Mask : masque de sous-réseau du périphérique WAP. - Default Gateway : passerelle par défaut du périphérique WAP. - Domain Name Server-1 : adresse IP du serveur de noms de domaine1 utilisé par le périphérique WAP. - Domain Name Server-2 : adresse IP du serveur de noms de domaine 2 utilisé par le périphérique WAP. - IPv6 Address : adresse IPv6 du périphérique WAP. - IPv6 Autoconfigured Global Address : adresse IPv6 globale configurée automatiquement. - IPv6 Link Local Address : adresse IPv6 de liaison locale du périphérique WAP. - Default IPv6 Gateway : passerelle IPv6 par défaut du périphérique WAP. - IPv6-DNS-1 : adresse IPv6 du serveur DNS IPv6 1 utilisé par le périphérique WAP. - IPv6-DNS-2 : adresse IPv6 du serveur DNS IPv6 2 utilisé par le périphérique WAP. - Green Ethernet Mode (WAP131 uniquement) : le mode Green Ethernet est activé ou désactivé sur le périphérique WAP. - VLAN ID (WAP131 uniquement) : ID de VLAN du périphérique WAP. Ces paramètres s'appliquent à l'interface interne. Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes redirigé sur la page Paramètres IPv4. • Port Status (WAP351 uniquement) : affiche l'état des cinq interfaces (LAN1 à LAN5). - Interface : numéro de l'interface Ethernet. - Port Status : état de l'interface Ethernet. Guide d'administration pour Cisco WAP131 et WAP351 24 2 État et statistiques Interfaces réseau - Port Speed : débit de l'interface Ethernet. - Duplex Mode : mode duplex de l'interface Ethernet. Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes redirigé sur la page Paramètres des ports. • VLAN Status (WAP351 uniquement) : affiche des informations sur tous les VLAN existants, notamment : - VLAN ID : identifiant du VLAN. - Description : description du VLAN. - LAN1-LAN5 : état des interfaces Ethernet du VLAN. Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes redirigé sur la page Configuration VLAN. • Radio Status : affiche des informations concernant les interfaces radio sans fil, notamment : - Wireless Radio : le mode radio sans fil est activé ou désactivé pour l'interface radio. - MAC Address : adresse MAC associée à l'interface radio. - Mode : mode 802.11 (a/b/g/n) utilisé par l'interface radio. - Channel : canal utilisé par l'interface radio. - Operational bandwidth : bande passante opérationnelle utilisée par l'interface radio. Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes redirigé sur la page Radio. • Interface Status : affiche les informations d'état de chaque point d'accès virtuel (VAP, Virtual Access Point) et de chaque interface de système de distribution sans fil (WDS, Wireless Distribution System), notamment : - Interface : interface sans fil du périphérique WAP. - Name (SSID) : nom de l'interface sans fil. - Status : état administratif (opérationnel ou non opérationnel) du point d'accès virtuel. - MAC Address : adresse MAC de l'interface radio. - VLAN ID : ID de VLAN de l'interface radio. Guide d'administration pour Cisco WAP131 et WAP351 25 2 État et statistiques Statistiques sur le trafic - Profile : nom de tout profil de planificateur associé. - State : état actuel (actif ou inactif). L'état indique si le point d'accès virtuel échange des données avec un client. Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les informations les plus récentes. Statistiques sur le trafic La page Traffic Statistics affiche les statistiques de transmission et de réception en temps réel pour l'interface Ethernet, les points d'accès virtuels et toutes les interfaces WDS. Toutes les statistiques de transmission et de réception reflètent les totaux obtenus depuis le dernier démarrage du périphérique WAP. Si vous avez redémarré le périphérique WAP, ces données chiffrées indiquent les totaux de transmission et de réception depuis le redémarrage. Pour afficher les statistiques de trafic, sélectionnez Status and Statistics > Traffic Statistics. Les informations suivantes sont indiquées : • Interface : nom de l'interface Ethernet, de chaque interface VAP et de chaque interface WDS. Le nom de chaque interface VAP est suivi de son SSID entre parenthèses. • Total Packets : nombre total de paquets envoyés (dans la table Transmit) ou reçus (dans la table Received) par le périphérique WAP. • Total Bytes : nombre total d'octets envoyés (dans la table Transmit) ou reçus (dans la table Received) par le périphérique WAP. • Total Dropped Packets : nombre total de paquets abandonnés envoyés (dans la table Transmit) ou reçus (dans la table Received) par le périphérique WAP. • Total Dropped Bytes : nombre total d'octets abandonnés envoyés (dans la table Transmit) ou reçus (dans la table Received) par le périphérique WAP. • Errors : nombre total d'erreurs liées à l'envoi et à la réception de données sur le périphérique WAP. Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les informations les plus récentes. Guide d'administration pour Cisco WAP131 et WAP351 26 État et statistiques Transmission/Réception de pont de groupe de travail 2 Transmission/Réception de pont de groupe de travail La page WorkGroup Bridge Transmit/Receive affiche le nombre de paquets et d'octets du trafic entre postes sur un pont de groupe de travail. Reportez-vous à la section WorkGroup Bridge pour en savoir plus sur la configuration des ponts de groupe de travail. Pour afficher la page WorkGroup Bridge Transmit/Receive, sélectionnez Status and Statistics > WorkGroup Bridge Transmit/Receive. Le tableau Traffic Statistics affiche des informations sur chaque interface réseau configurée en tant qu'interface de pont de groupe de travail, notamment : • Interface : nom de l'interface Ethernet ou VAP. • Status and Statistics : indique si l'interface est déconnectée ou si son état administratif est démarré ou arrêté. • VLAN ID : ID de réseau local virtuel (VLAN). Vous pouvez utiliser des VLAN pour créer plusieurs réseaux internes et invités sur le même périphérique WAP. • Name (SSID) : nom du réseau sans fil, également appelé SSID. Cette clé alphanumérique identifie de façon unique un réseau local sans fil. Les tables Transmit et Receive affichent des informations concernant les directions de transmission et de réception de chaque pont de groupe de travail, notamment : • Total Packets : nombre total de paquets pontés entre les clients filaires dans le pont de groupe de travail et le réseau sans fil. • Total Bytes : nombre total d'octets pontés entre les clients filaires dans le pont de groupe de travail et le réseau sans fil. Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les informations les plus récentes. Guide d'administration pour Cisco WAP131 et WAP351 27 2 État et statistiques Clients associés Clients associés La page Associated Clients affiche les stations clientes associées à un point d'accès donné. Pour afficher des informations sur tous les clients associés, sélectionnez Status and Statistics > Associated Clients. Les stations associées sont affichées avec des informations concernant le trafic des paquets transmis et reçus pour chaque station, notamment : • Total Number of Associated Clients : nombre total de clients actuellement associés au périphérique WAP. • Network Interface : point d'accès virtuel auquel le client est associé. • Station : adresse MAC du client sans fil associé. • Status : état d'association et d'authentification IEEE 802.11 sous-jacent qui est présent quel que soit le type de sécurité utilisé par le client pour se connecter au périphérique WAP. Cet état n'affiche pas l'état d'authentification ou d'association IEEE 802.1X. Quelques points importants sont à garder à l'esprit en ce qui concerne ce champ : • - Si le mode de sécurité du périphérique WAP est None ou Static WEP, l'état d'authentification et d'association des clients apparaît comme prévu, ce qui signifie que si un client s'affiche comme étant authentifié sur le périphérique WAP, il est capable de transmettre et de recevoir des données. (La raison en est que le mode Static WEP utilise uniquement l'authentification IEEE 802.11.) - Si le périphérique WAP utilise la sécurité IEEE 802.1X ou WPA, il se peut qu'une association de client apparaisse comme étant authentifiée (par le biais de la sécurité IEEE 802.11), bien qu'elle ne soit pas réellement authentifiée par la deuxième couche de sécurité. From Station/To Station : les compteurs figurant dans la colonne From Station indiquent les paquets ou octets reçus par le client sans fil. Les compteurs de la colonne To Station indiquent le nombre de paquets et d'octets transmis du périphérique WAP vers le client sans fil. - Packets : nombre de paquets reçus (transmis) à partir du client sans fil. - Bytes : nombre d'octets reçus (transmis) à partir du client sans fil. Guide d'administration pour Cisco WAP131 et WAP351 28 2 État et statistiques Statistiques sur la radio • - Drop Packets : nombre de paquets abandonnés après leur réception (transmission). - Drop Bytes : nombre d'octets abandonnés après leur réception (transmission). - TS Violate Packets (From Station) : nombre de paquets envoyés à partir d'une station cliente vers le périphérique WAP au-delà de sa bande passante de liaison montante active de flux de trafic ou pour une catégorie d'accès nécessitant un contrôle d'admission auquel la station cliente n'a pas été admise. - TS Violate Packets (To Station) : nombre de paquets envoyés à partir du périphérique WAP vers une station cliente au-delà de sa bande passante de liaison descendante active de flux de trafic ou pour une catégorie d'accès nécessitant un contrôle d'admission auquel la station cliente n'a pas été admise. Up Time (DD:HH:MM) : laps de temps pendant lequel le client a été associé au périphérique WAP. Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les informations les plus récentes. Statistiques sur la radio La page Radio Statistics affiche les statistiques au niveau des paquets et des octets pour l'interface radio sans fil. Pour afficher les statistiques radio, sélectionnez Status and Statistics > Radio Statistics. Les informations suivantes sont indiquées : • Packets Received : nombre total de paquets reçus par l'interface radio sélectionnée. • Packets Transmitted : nombre total de paquets transmis par l'interface radio sélectionnée. • Bytes Received : nombre total d'octets reçus par l'interface radio sélectionnée. • Bytes Transmitted : nombre total d'octets transmis par l'interface radio sélectionnée. Guide d'administration pour Cisco WAP131 et WAP351 29 2 État et statistiques Statistiques sur la radio • Packets Receive Dropped : nombre de paquets reçus par l'interface radio sélectionnée qui ont été abandonnés. • Packets Transmit Dropped : nombre de paquets transmis par l'interface radio sélectionnée qui ont été abandonnés. • Bytes Receive Dropped : nombre d'octets reçus par l'interface radio sélectionnée qui ont été abandonnés. • Bytes Transmit Dropped : nombre d'octets transmis par l'interface radio sélectionnée qui ont été abandonnés. • Fragments Received : nombre de trames fragmentées reçues par l'interface radio sélectionnée. • Fragments Transmitted : nombre de trames fragmentées envoyées par l'interface radio sélectionnée. • Multicast Frames Received : nombre de trames MSDU reçues avec le bit de multidiffusion défini dans l'adresse MAC de destination. • Multicast Frames Transmitted : nombre de trames MSDU transmises avec succès pour lesquelles le bit de multidiffusion était défini dans l'adresse MAC de destination. • Duplicate Frame Count : nombre de fois qu'une trame a été reçue et que le champ Sequence Control indique qu'il s'agit d'un doublon. • Failed Transmit Count : nombre de fois qu'une trame MSDU n'a pas été transmise avec succès, car le nombre de tentatives de transmission dépassait la limite de tentatives trames courtes ou la limite de tentatives trames longues. • FCS Error Count : nombre d'erreurs FCS détectées dans une trame MPDU reçue. • Transmit Retry Count : nombre de fois qu'une trame MSDU a été transmise avec succès après une ou plusieurs tentatives. • ACK Failure Count : nombre de trames ACK non reçues au moment où elles étaient attendues. • RTS Failure Count : nombre de trames CTS non reçues en réponse à une trame RTS. Guide d'administration pour Cisco WAP131 et WAP351 30 2 État et statistiques État des alertes par e-mail • WEP Undecryptable Count : nombre de trames abandonnées, car elles ne peuvent pas être décryptées par la radio. Les trames peuvent être abandonnées parce qu'elles n'ont pas été décryptées ou parce qu'elles ont été décryptées avec une option de confidentialité non prise en charge par le périphérique WAP. • RTS Success Count : nombre de trames CTS reçues en réponse à une trame RTS. • Multiple Retry Count : nombre de fois qu'une trame MSDU a été transmise avec succès après plus d'une tentative. • Frames Transmitted Count : nombre de trames MSDU transmises avec succès. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. État des alertes par e-mail La page Email Alert Status fournit des informations sur les alertes envoyées par e-mail sur la base des messages SYSLOG générés sur le périphérique WAP. Pour afficher l'état des alertes par e-mail, sélectionnez Status and Statistics > Email Alert Status. Les informations suivantes sont indiquées : • Email Alert Status : indique si la fonction d'alerte par e-mail est activée ou désactivée sur le périphérique WAP. La valeur par défaut est Disabled. • Number of Emails Sent : nombre total de messages électroniques envoyés. La valeur est un entier de 32 bits, non affecté d'un signe. La valeur par défaut est 0. • Number of Emails Failed : nombre total de messages électroniques ayant échoué. La valeur est un entier de 32 bits, non affecté d'un signe. La valeur par défaut est 0. • Time Last Email Sent : jour, date et heure d'envoi du dernier message électronique. Guide d'administration pour Cisco WAP131 et WAP351 31 2 État et statistiques Afficher le journal Afficher le journal La page View Log répertorie les événements système ayant généré des entrées de journal, comme les tentatives de connexion et les modifications apportées à la configuration. Le contenu du journal est effacé lors d'un redémarrage et il peut également l'être par un administrateur. Le journal peut afficher un maximum de 1000 événements. Lorsque cela s'avère nécessaire, les entrées les plus anciennes sont supprimées de la liste, afin de créer de la place pour les nouveaux événements. Pour consulter les journaux, sélectionnez Status and Statistics > View Log. Les informations suivantes sont indiquées : • Time Stamp : heure système de l'occurrence de l'événement. • Severity : niveau de gravité de l'événement. • Service : application associée à l'événement. • Description : description de l'événement. Vous pouvez filtrer le journal actuel par niveau de gravité et au moyen de mots clés. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. Cliquez sur Clear All pour effacer toutes les entrées du journal. Associations de client TSPEC La page TSPEC Client Associations affiche des informations en temps réel sur les données de client TSPEC transmises et reçues par le périphérique WAP. Les tableaux de la page TSPEC Client Associations indiquent les paquets voix et vidéo transmis et reçus depuis le démarrage de l'association, ainsi que des informations d'état. TSPEC est une spécification de trafic envoyée à partir d'un client sans fil compatible QoS vers un périphérique WAP nécessitant un certain niveau d'accès réseau pour le flux de trafic qu'il représente. Un flux de trafic est un ensemble de paquets de données identifiés par le client sans fil comme appartenant à une priorité d'utilisateur spécifique. Exemple de flux de trafic voix : combiné téléphonique CERTIFIÉ Wi-Fi marquant ses paquets de données générés par codec en tant que trafic de priorité voix. Exemple de flux de trafic vidéo : application de lecteur vidéo sur un ordinateur portable sans fil donnant la priorité à un flux de vidéoconférence à partir d'un serveur d'entreprise. Guide d'administration pour Cisco WAP131 et WAP351 32 2 État et statistiques Associations de client TSPEC Pour afficher les statistiques des associations de clients TSPEC, sélectionnez Status and Statistics > TSPEC Client Associations. Le tableau Status and Statistics contient les informations suivantes : • Network Interface : interface radio utilisée par le client. • SSID : identificateur SSID associé à ce client de flux de trafic. • Station : adresse MAC de station du client. • TS Identifier : identificateur de session de trafic TSPEC (plage de 0 à 7). • Access Category : catégorie d'accès au flux de trafic (voix ou vidéo). • Direction : direction du trafic pour ce flux de trafic. Les options possibles pour la direction sont les suivantes : • - uplink : du client vers le périphérique (liaison montante). - downlink : du périphérique vers le client (liaison descendante). - bidirectional : dans les deux sens (liaison bidirectionnelle). User Priority : priorité d'utilisateur (UP, User Priority) pour ce flux de trafic. La priorité d'utilisateur est envoyée avec chaque paquet dans la partie correspondante de l'en-tête IP. Les valeurs typiques sont les suivantes : - 6 ou 7 pour la voix - 4 ou 5 pour la vidéo La valeur peut varier en fonction des autres sessions de trafic de priorité. • Medium Time : temps pendant lequel le flux de trafic occupe le support de transmission. • Excess Usage Events : nombre de fois que le client a dépassé le temps moyen établi pour son TSPEC. Les violations mineures et peu fréquentes sont ignorées. • VAP MAC Address : adresse MAC du point d'accès virtuel. Le tableau Statistics contient les informations suivantes : • Network Interface : interface radio utilisée par le client. • Station : adresse MAC de station du client. • TS Identifier : identificateur de session de trafic TSPEC (plage de 0 à 7). Guide d'administration pour Cisco WAP131 et WAP351 33 2 État et statistiques État et statistiques TSPEC • Access Category : catégorie d'accès au flux de trafic (voix ou vidéo). • Direction : direction du trafic pour ce flux de trafic. Les options possibles pour la direction sont les suivantes : • • - uplink : du client vers le périphérique (liaison montante). - downlink : du périphérique vers le client (liaison descendante). - bidirectional : dans les deux sens (liaison bidirectionnelle). From Station : affiche le nombre de paquets et d'octets reçus du client sans fil ainsi que le nombre de paquets et d'octets abandonnés après leur réception. - Packets : nombre de paquets excédentaires par rapport à un TSPEC admis. - Bytes : nombre d'octets pour lesquels aucun TSPEC n'a été établi et avec une admission requise par le périphérique WAP. To Station : affiche le nombre de paquets et d'octets transmis à partir du périphérique WAP vers le client sans fil ainsi que le nombre de paquets et d'octets abandonnés durant leur transmission. - Packets : nombre de paquets excédentaires par rapport à un TSPEC admis. - Bytes : nombre d'octets pour lesquels aucun TSPEC n'a été établi et avec une admission requise par le périphérique WAP. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. État et statistiques TSPEC La page TSPEC Status and Statistics affiche des informations récapitulatives sur les sessions TSPEC par radio, sur les sessions TSPEC par VAP, ainsi que les statistiques de transmission et de réception en temps réel concernant l'interface radio et les interfaces réseau. Toutes les statistiques de transmission et de réception affichées sur cette page reflètent les totaux obtenus depuis le dernier démarrage du périphérique WAP. Si vous avez redémarré le périphérique WAP, ces données chiffrées indiquent les totaux de transmission et de réception depuis le redémarrage. Guide d'administration pour Cisco WAP131 et WAP351 34 2 État et statistiques État et statistiques TSPEC Pour afficher l'état et les statistiques TSPEC, sélectionnez Status and Statistics > TSPEC Status and Statistics. Les informations suivantes sur les interfaces (radio) WLAN et VAP sont affichées : • Interface : nom de l'interface radio ou VAP. • Access Category : catégorie d'accès actuelle associée à ce flux de trafic (voix ou vidéo). • Status : indique si la session TSPEC est activée (démarrée) ou désactivée (arrêtée) pour la catégorie d'accès correspondante. REMARQUE Il s'agit d'un état de configuration qui ne représente pas nécessairement l'activité de la session en cours. • Active Traffic Stream : nombre de flux de trafic TSPEC actuellement actifs pour cette radio et cette catégorie d'accès. • Traffic Stream Clients : nombre de clients de flux de trafic associés à cette radio et à cette catégorie d'accès. • Medium Time Admitted : temps alloué à cette catégorie d'accès pour le transport des données sur le support de transmission. Cette valeur doit être inférieure ou égale à celle de la bande passante maximale autorisée sur le support pour ce flux de trafic. • Medium Time Unallocated : temps de bande passante non utilisée pour cette catégorie d'accès. Les statistiques suivantes apparaissent séparément pour les chemins de transmission et de réception sur l'interface radio sans fil : • Wireless Radio : nom de l'interface radio. • Access Category : catégorie d'accès associée à ce flux de trafic (voix ou vidéo). • Total Packets : nombre total de paquets de flux de trafic envoyés (dans la table Transmit) ou reçus (dans la table Received) par cette radio pour la catégorie d'accès spécifiée. • Total Bytes : nombre total d'octets reçus dans la catégorie d'accès spécifiée. Les informations suivantes apparaissent séparément pour les chemins de transmission et de réception sur les interfaces réseau (points d'accès virtuels) : • Interface : nom de l'interface VAP. Guide d'administration pour Cisco WAP131 et WAP351 35 État et statistiques Statistiques de point d'accès TSPEC 2 • Total Voice Packets : nombre total de paquets voix de flux de trafic envoyés (dans la table Transmit) ou reçus (dans la table Received) par ce périphérique WAP pour ce point d'accès virtuel. • Total Voice Bytes : nombre total d'octets voix de flux de trafic envoyés (dans la table Transmit) ou reçus (dans la table Received) par ce périphérique WAP pour ce point d'accès virtuel. • Total Video Packets : nombre total de paquets vidéo de flux de trafic envoyés (dans la table Transmit) ou reçus (dans la table Received) par ce périphérique WAP pour ce point d'accès virtuel. • Total Video Bytes : nombre total d'octets vidéo de flux de trafic envoyés (dans la table Transmit) ou reçus (dans la table Received) par ce périphérique WAP pour ce point d'accès virtuel. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. Statistiques de point d'accès TSPEC La page TSPEC AP Statistics affiche des informations sur les flux de trafic voix et vidéo acceptés et rejetés par le périphérique WAP. Pour afficher les statistiques de point d'accès TSPEC, sélectionnez Status and Statistics > TSPEC AP Statistics. Les informations suivantes sont indiquées : • TSPEC Statistics Summary for Voice ACM : nombre total de flux de trafic voix acceptés et nombre total de flux de trafic voix rejetés. • TSPEC Statistics Summary for Video ACM : nombre total de flux de trafic vidéo acceptés et nombre total de flux de trafic vidéo rejetés. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. Guide d'administration pour Cisco WAP131 et WAP351 36 3 Administration Ce chapitre explique comment configurer les paramètres système globaux et effectuer des diagnostics. Il contient les sections suivantes : • Paramètres système • Comptes d'utilisateur • Paramètres d'heure • Paramètres du journal • Alerte électronique • Service HTTP/HTTPS • Gestion du contrôle des accès • Gestion du microprogramme • Gestion du fichier de configuration • Redémarrage • Découverte - Bonjour • Capture de paquets • Informations relatives au support • Paramètres de STP Guide d'administration pour Cisco WAP131 et WAP351 37 3 Administration Paramètres système Paramètres système La page System Settings vous permet de configurer les informations qui identifient le périphérique WAP sur le réseau. Pour définir les paramètres système : ÉTAPE 1 Cliquez sur Administration > System Settings. ÉTAPE 2 Définissez les paramètres suivants : • Host Name : nom d'hôte attribué au périphérique WAP. Par défaut, il s'agit du nom de domaine complet du nœud. Le nom d'hôte par défaut est wap concaténé avec les 6 derniers chiffres hexadécimaux de l'adresse MAC du périphérique WAP. Le nom d'hôte ne peut comporter que des lettres, des chiffres et des tirets. Il ne peut pas être précédé ou suivi d'un tiret. Les autres symboles, les signes de ponctuation et les espaces ne sont pas autorisés. Le nom d'hôte peut comporter de 1 à 63caractères. • System Contact : personne à contacter pour le périphérique WAP. Le contact système peut comporter de 0 à 255caractères et peut inclure des espaces et des caractères spéciaux. • System Location : emplacement physique du périphérique WAP. L'emplacement système peut comporter de 0 à 255 caractères et peut inclure des espaces et des caractères spéciaux. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Comptes d'utilisateur Par défaut, un utilisateur de gestion est configuré sur le périphérique WAP : • User Name : cisco • Password : cisco Utilisez la page User Accounts pour configurer un maximum de quatre utilisateurs supplémentaires et modifier le mot de passe d'un utilisateur. Guide d'administration pour Cisco WAP131 et WAP351 38 3 Administration Comptes d'utilisateur Ajout d'un utilisateur Pour ajouter un nouvel utilisateur : ÉTAPE 1 Cliquez sur Administration > User Accounts. La table des comptes d'utilisateur affiche les utilisateurs actuellement configurés. L'utilisateur cisco est préconfiguré dans le système et détient des privilèges de lecture/écriture. Tous les autres utilisateurs peuvent disposer d'un accès en lecture seule, mais pas d'un accès en lecture/écriture. ÉTAPE 2 Cliquez sur Add. Une nouvelle ligne de zones de texte s'affiche. ÉTAPE 3 Activez la case à cocher du nouvel utilisateur, puis cliquez sur Edit. ÉTAPE 4 Dans User Name, saisissez un nom d'utilisateur constitué de 1 à 32 caractères alphanumériques. Les noms d'utilisateur ne peuvent comporter que les chiffres 0 à 9 et les lettres a à z (en majuscules ou minuscules). ÉTAPE 5 Dans New Password, saisissez un mot de passe comportant de 1 à 64 caractères, puis saisissez ce même mot de passe dans le champ Confirm New Password. Le champ Password Strength Meter indique la sécurité du mot de passe ainsi : • Rouge : le mot de passe ne répond pas aux exigences minimales en termes de complexité. • Orange : le mot de passe répond aux exigences minimales en termes de complexité, mais offre une faible sécurité. • Vert : le mot de passe offre une sécurité élevée. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer un utilisateur, cochez la case en regard de son nom, puis sélectionnez Delete. Pour enregistrer définitivement votre suppression, cliquez sur Save lorsque vous avez terminé. Guide d'administration pour Cisco WAP131 et WAP351 39 3 Administration Paramètres d'heure Modification d'un mot de passe utilisateur Pour modifier un mot de passe utilisateur : ÉTAPE 1 Cliquez sur Administration > User Accounts. ÉTAPE 2 Sélectionnez l'utilisateur à configurer et cliquez sur Edit. ÉTAPE 3 Dans New Password, saisissez un mot de passe comportant de 1 à 64 caractères, puis saisissez ce même mot de passe dans le champ Confirm New Password. Le champ Password Strength Meter indique la sécurité du mot de passe ainsi : • Rouge : le mot de passe ne répond pas aux exigences minimales en termes de complexité. • Orange : le mot de passe répond aux exigences minimales en termes de complexité, mais offre une faible sécurité. • Vert : le mot de passe offre une sécurité élevée. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Si vous modifiez votre mot de passe, vous devez vous reconnecter au système. Paramètres d'heure Une horloge système fournit un service d'horodatage synchronisé sur le réseau pour les événements logiciels, tels que les journaux de messages. Vous pouvez configurer l'horloge système manuellement ou configurer le périphérique WAP en tant que client Network Time Protocol (NTP) qui obtient les données d'horloge d'un serveur. Utilisez la page Time Settings pour définir l'heure système manuellement ou pour configurer le système afin qu'il récupère ses paramètres d'heure d'un serveur NTP préconfiguré. Par défaut, le périphérique WAP est configuré de manière à obtenir l'heure depuis une liste prédéfinie de serveurs NTP. L'heure système actuelle apparaît en haut de la page avec l'option System Clock Source. Guide d'administration pour Cisco WAP131 et WAP351 40 3 Administration Paramètres d'heure Acquisition automatique des paramètres d'heure via NTP Pour acquérir automatiquement les paramètres d'heure depuis un serveur NTP : ÉTAPE 1 Sélectionnez Administration > Time Settings. ÉTAPE 2 Dans la zone System Clock Source, sélectionnez Network Time Protocol (NTP). ÉTAPE 3 Définissez les paramètres suivants : • NTP Server/IPv4/IPv6 Address/Name : spécifiez l'adresse IPv4, l'adresse IPv6 ou le nom d'hôte d'un serveur NTP. Un serveur NTP par défaut est répertorié. Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série entière d'étiquettes et de points peut comporter jusqu'à 253 caractères. • Time Zone : sélectionnez le fuseau horaire où vous vous trouvez. • Adjust Time for Daylight Savings : si l'heure d'été s'applique à votre fuseau horaire, activez cette option et configurez les champs suivants : - Daylight Savings Start : sélectionnez l'heure, le jour, la semaine et le mois du passage à l'heure d'été. - Daylight Savings End : sélectionnez l'heure, le jour, la semaine et le mois du passage à l'heure d'hiver. - Daylight Savings Offset : indiquez de combien de minutes vous devez avancer l'horloge lors du passage à l'heure d'été et de combien vous devez la reculer lors du passage à l'heure d'hiver. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Configuration manuelle des paramètres d'heure Pour configurer manuellement les paramètres d'heure : ÉTAPE 1 Sélectionnez Administration > Time Settings. ÉTAPE 2 Dans la zone System Clock Source, sélectionnez Manually. Guide d'administration pour Cisco WAP131 et WAP351 41 3 Administration Paramètres du journal ÉTAPE 3 Cliquez sur Cloning à côté du champ Clone PC Time pour cloner les paramètres de l'heure système de votre PC local. ÉTAPE 4 Vous pouvez également configurer les éléments suivants : • System Date : sélectionnez le jour, le mois et l'année actuels dans les listes déroulantes. • System Time : sélectionnez l'heure et les minutes actuelles au format 24 heures. • Time Zone : sélectionnez le fuseau horaire où vous vous trouvez. • Adjust Time for Daylight Savings : si l'heure d'été s'applique à votre fuseau horaire, activez cette option et configurez les champs suivants : - Daylight Savings Start : sélectionnez l'heure, le jour, la semaine et le mois du passage à l'heure d'été. - Daylight Savings End : sélectionnez l'heure, le jour, la semaine et le mois du passage à l'heure d'hiver. - Daylight Savings Offset : indiquez de combien de minutes vous devez avancer l'horloge lors du passage à l'heure d'été et de combien vous devez la reculer lors du passage à l'heure d'hiver. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Paramètres du journal Utilisez Log Settings pour enregistrer des messages de journal dans la mémoire permanente. Vous pouvez également envoyer des journaux à un hôte distant. Configuration du journal persistant Si le système redémarre de manière inattendue, les messages de journal peuvent être utiles pour diagnostiquer la cause. Toutefois, les messages de journal sont effacés au redémarrage du système sauf si vous activez la journalisation persistante. Guide d'administration pour Cisco WAP131 et WAP351 42 3 Administration Paramètres du journal ! AVERTISSEMENT L'activation de la journalisation persistante peut épuiser la mémoire flash (non volatile) et dégrader les performances réseau. Activez uniquement la journalisation persistante pour déboguer un problème. Veillez à désactiver la journalisation persistante une fois que vous avez débogué le problème. Pour configurer la journalisation persistante : ÉTAPE 1 Sélectionnez Administration > Log Settings. ÉTAPE 2 Définissez les paramètres suivants : • Persistence : cochez la case Enable pour enregistrer les journaux système dans la mémoire non volatile, afin de permettre la conservation des journaux au redémarrage du périphérique WAP. Vous pouvez enregistrer jusqu'à 1000 messages de journal dans la mémoire non volatile. Lorsque la limite de 1000 est atteinte, le message le plus ancien du journal est remplacé par le nouveau message. Effacez le contenu de ce champ si vous souhaitez enregistrer les journaux système dans la mémoire volatile. Les journaux présents dans la mémoire volatile sont supprimés au redémarrage du système. • Severity : sélectionnez le degré de sévérité qu'un événement doit avoir pour être écrit dans le journal de la mémoire non volatile. Les événements de moindre importance sont écrits dans la mémoire volatile. • Depth : nombre maximal de messages (jusqu'à 1000) pouvant être stockés dans la mémoire volatile. Lorsque le nombre défini dans ce champ est atteint, l'événement le plus ancien du journal est remplacé par le nouvel événement. Veuillez noter que le nombre maximal de messages de journal pouvant être stockés dans la mémoire non volatile (le journal persistant) est 1000, celui-ci n'étant pas configurable. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 43 3 Administration Paramètres du journal Configuration du serveur de journalisation distant Le journal du noyau est une liste complète d'événements système et de messages du noyau, tels que des conditions d'erreur. Vous ne pouvez pas consulter les messages de journal du noyau directement à partir de l'utilitaire de configuration. Vous devez d'abord configurer un serveur de journalisation distant qui recevra et capturera les journaux. Vous pouvez ensuite configurer le périphérique WAP à journaliser sur le serveur de journalisation distant. Le périphérique WAP prend en charge jusqu'à deux serveurs de journalisation distants. La collecte du serveur de journalisation distant pour les messages syslog offre les fonctions suivantes : • Permet l'agrégation des messages syslog depuis plusieurs points d'accès. • Stocke un historique des messages plus long que celui conservé sur un seul périphérique WAP. • Déclenche des opérations de gestion scriptées et des alertes. Pour spécifier un hôte de votre réseau en tant que serveur de journalisation distant : ÉTAPE 1 Sélectionnez Administration > Log Settings. ÉTAPE 2 Dans le champ Remote Log Server Table, définissez ces paramètres : • Remote Log Server : saisissez l'adresse IPv4 ou IPv6 ou le nom d'hôte du serveur de journalisation distant. Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série entière d'étiquettes et de points peut comporter jusqu'à 253 caractères. • Enable : cochez cette option pour activer le serveur de journalisation distant, puis définissez la sévérité du journal et le port UDP. • Log Severity : cochez les sévérités qu'un événement doit avoir pour être envoyé vers le serveur de journalisation distant. • UDP Port : saisissez le numéro de port logique pour le processus syslog sur l'hôte distant. La plage est comprise entre 1 et 65 535. Le port par défaut est 514. Guide d'administration pour Cisco WAP131 et WAP351 44 3 Administration Alerte électronique Il est recommandé d'utiliser le port par défaut. Si vous reconfigurez le port du journal, vérifiez que le numéro de port que vous attribuez à syslog est disponible. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Si vous activez un hôte de journalisation distant, le fait de cliquer sur Save active la journalisation distante. Le périphérique WAP envoie ses messages du noyau en temps réel afin qu'ils soient affichés sur le moniteur du serveur de journalisation distant, un fichier journal du noyau spécifié ou un autre système de stockage, selon votre configuration. Si vous avez désactivé un hôte de journalisation distant, le fait de cliquer sur Save désactive la journalisation distante. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Le périphérique WAP risque de perdre la connexion. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Alerte électronique Utilisez la page Email Alert pour envoyer des messages aux adresses e-mail configurées lorsque des événements système spécifiques se produisent. Cette fonction prend en charge la configuration du serveur de messagerie, la configuration de la sévérité des messages et la configuration de trois adresses e-mail maximum pour l'envoi par e-mail des alertes urgentes et non urgentes. CONSEIL N'utilisez pas votre adresse e-mail personnelle, car les identifiants de connexion à votre messagerie personnelle seraient dévoilés inutilement. Utilisez plutôt un compte de messagerie distinct. Notez également que de nombreux comptes de messagerie conservent par défaut une copie de tous les messages envoyés. Toutes les personnes ayant accès à ce compte de messagerie ont accès aux messages envoyés. Vérifiez les paramètres de votre messagerie afin de vous assurer qu'ils sont conformes à la politique de confidentialité de votre entreprise. Guide d'administration pour Cisco WAP131 et WAP351 45 3 Administration Alerte électronique Configuration des paramètres des alertes électroniques Pour configurer le périphérique WAP afin qu'il envoie des alertes par e-mail : ÉTAPE 1 Sélectionnez Administration > Email Alert. ÉTAPE 2 Dans la zone Global Configuration, définissez les paramètres suivants : • Administrative Mode : activez ou désactivez globalement la fonction d'alerte par e-mail. • From Email Address : saisissez l'adresse à afficher en tant qu'expéditeur de l'e-mail. L'adresse est une chaîne de 255 caractères uniquement imprimables. Aucune adresse n'est configurée par défaut. • Log Duration : choisissez la fréquence à laquelle les messages planifiés sont envoyés. La plage valide va de 30 à 1440 minutes. La valeur par défaut est 30 minutes. • Scheduled Message Severity : indiquez la sévérité qu'un événement doit avoir pour être envoyé à l'adresse e-mail configurée et à la fréquence indiquée par le paramètre Log Duration. La sévérité par défaut est Emergency, Alert, Critical, Error et Warning. • Urgent Message Severity : indiquez la sévérité qu'un événement doit avoir pour être envoyé immédiatement à l'adresse e-mail configurée. La valeur par défaut est Emergency et Alert. ÉTAPE 3 Dans la zone Mail Server Configuration, définissez les paramètres suivants : • Server IPv4 Address/Name : saisissez l'adresse IP ou le nom d'hôte du serveur SMTP sortant. Vous pouvez demander le nom d'hôte à votre fournisseur de messagerie. L'adresse du serveur doit être une adresse IPv4 ou un nom d'hôte valide. La forme de l'adresse IPv4 doit être similaire à celleci : xxx.xxx.xxx.xxx (192.0.2.10). Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série entière d'étiquettes et de points peut comporter jusqu'à 253 caractères. • Data Encryption : choisissez le mode de sécurité de l'alerte par e-mail sortante. L'alerte peut être envoyée via le protocole TLS sécurisé ou le protocole Open par défaut. L'utilisation du protocole TLSv1 sécurisé empêche l'espionnage électronique et la falsification lors des communications via le réseau public. Guide d'administration pour Cisco WAP131 et WAP351 46 3 Administration Alerte électronique • Port : saisissez le numéro de port SMTP à utiliser pour les e-mails sortants. Le numéro de port doit être compris entre 0 et 65535. Le port par défaut est 465. Le port dépend généralement du mode utilisé par le fournisseur de messagerie. • Username : saisissez le nom d'utilisateur du compte de messagerie qui sera utilisé pour envoyer ces e-mails. Généralement (pas systématiquement), le nom d'utilisateur correspond à l'adresse e-mail complète incluant le domaine (par exemple, [email protected]). Le compte spécifié sera utilisé en tant qu'adresse e-mail de l'expéditeur. Le nom d'utilisateur peut être constitué de 1 à 64 caractères alphanumériques. • Password : saisissez le mot de passe du compte de messagerie qui sera utilisé pour l'envoi de ces e-mails. Le mot de passe peut être constitué de 1 à 64 caractères. ÉTAPE 4 Dans la zone Message Configuration, définissez l'adresse e-mail et la ligne d'objet : • To Email Address 1/2/3 : saisissez au maximum trois adresses de réception des alertes par e-mail. Chaque adresse e-mail doit être valide. • Email Subject : saisissez le texte qui s'affichera dans la ligne d'objet de l'e-mail. Il peut s'agir d'une chaîne alphanumérique de 255 caractères maximum. ÉTAPE 5 Cliquez sur Test Mail pour envoyer un e-mail de test afin de valider le compte de messagerie configuré. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Exemples d'alertes par e-mail L'exemple suivant explique comment renseigner les paramètres de la zone Mail Server Configuration : Gmail Server IPv4 Address/Name = smtp.gmail.com Data Encryption = TLSv1 Port = 465 Username = adresse e-mail complète que vous pouvez utiliser pour vous connecter à votre compte de messagerie associé au serveur ci-dessus Password = xxxxxxxx est un mot de passe valide de votre compte de messagerie valide. To Email Address 1 = [email protected] Guide d'administration pour Cisco WAP131 et WAP351 47 3 Administration Service HTTP/HTTPS Windows Live Hotmail Windows Live Hotmail recommande les paramètres suivants : Data Encryption = TLSv1 SMTP Server = smtp.live.com SMTP Port = 587 Username = votre adresse e-mail complète, telle que [email protected] ou [email protected] Password : votre mot de passe de compte Windows Live Yahoo! Mail Pour pouvoir profiter de ce type de service, Yahoo impose l'utilisation d'un compte payant. Yahoo recommande les paramètres suivants : Data Encryption = TLSv1 SMTP Server = plus.smtp.mail.yahoo.com SMTP Port = 465 ou 587 Username = votre adresse e-mail sans le nom du domaine, telle que monNom (sans @yahoo.com) Password : votre mot de passe de compte Yahoo L'exemple suivant présente la mise en forme d'un e-mail de journal général. De : [email protected] Envoyé Wednesday, September 09, 2009 11:16 AM À : [email protected] Objet : log message from AP TIME PriorityProcess Id Message Sep 8 03:48:25 info login[1457] root login on ttyp0 Sep 8 03:48:26 info mini_http-ssl[1175] Max concurrent connections of 20 reached Service HTTP/HTTPS Utilisez la page HTTP/HTTPS Service pour activer et configurer des connexions de gestion Web. Si HTTPS est utilisé pour sécuriser les sessions de gestion, vous pouvez aussi utiliser cette page pour gérer les certificats SSL requis. Configuration des services HTTP et HTTPS Pour configurer les services HTTP et HTTPS : ÉTAPE 1 Sélectionnez Administration > HTTP/HTTPS Service. ÉTAPE 2 Dans la zone Global Settings, définissez les paramètres suivants : • Maximum Sessions : saisissez le nombre de sessions Web, y compris HTTP et HTTPS, pouvant être utilisées simultanément. Guide d'administration pour Cisco WAP131 et WAP351 48 3 Administration Service HTTP/HTTPS Lorsqu'un utilisateur se connecte à l'utilitaire de configuration du périphérique WAP, une session est créée. Cette session reste active jusqu'à ce que l'utilisateur se déconnecte ou jusqu'à la fin du délai d'expiration de la session. La plage est comprise entre 1 et 10 sessions. La valeur par défaut est 5. Si le nombre maximal de sessions est atteint, le prochain utilisateur qui tente de se connecter à l'utilitaire de configuration reçoit un message d'erreur relatif à la limite de session. • Session Timeout : saisissez la durée maximale en minutes pendant laquelle un utilisateur inactif peut rester connecté à l'utilitaire de configuration de périphérique WAP. Lorsque le délai d'expiration est atteint, l'utilisateur est automatiquement déconnecté. La plage valide va de 1 à 60 minutes. La valeur par défaut est 10 minutes. ÉTAPE 3 Configurez les services HTTP et HTTPS : • HTTP Server : activez ou désactivez l'accès par HTTP. L'accès HTTP est activé par défaut. Si vous le désactivez, toutes les connexions actives qui utilisent ce protocole sont déconnectées. • HTTP Port : saisissez le numéro de port logique à utiliser pour les connexions HTTP, de 1025 à 65535. Le numéro de port par défaut pour les connexions HTTP est le numéro de port bien connu IANA 80. • HTTP Server : activez ou désactivez l'accès par HTTPS (HTTP sécurisé). L'accès HTTPS est activé par défaut. Si vous le désactivez, toutes les connexions actives qui utilisent ce protocole sont déconnectées. • HTTP Port : saisissez le numéro de port logique à utiliser pour les connexions HTTPS, de 1025 à 65535. Le numéro de port par défaut pour les connexions HTTPS est le numéro de port bien connu IANA 443. • Redirect HTTP to HTTPS : redirige les tentatives d'accès HTTP de gestion sur le port HTTP vers le port HTTPS. Ce champ est uniquement disponible lorsque l'accès HTTP est désactivé. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 49 3 Administration Service HTTP/HTTPS Gestion des certificats SSL Pour utiliser les services HTTPS, le périphérique WAP doit avoir un certificat SSL valide. Le périphérique WAP peut générer un certificat ou vous pouvez le télécharger depuis votre réseau ou un serveur TFTP. Dans la zone Generate SSL Certificate, cliquez sur Generate pour générer le certificat à utiliser avec le périphérique WAP. L'opération est effectuée une fois que le périphérique WAP a obtenu une adresse IP, afin de garantir que le nom commun du certificat correspond à l'adresse IP du périphérique WAP. La génération d'un nouveau certificat SSL entraîne le redémarrage du serveur Web sécurisé. La connexion sécurisée ne fonctionne pas tant que le nouveau certificat n'est pas accepté par le navigateur. Dans la zone SSL Certificate File Status, vous pouvez voir s'il existe déjà un certificat sur le périphérique WAP et obtenir les informations suivantes sur celui-ci : • Certificate File Present • Certificate Expiration Date • Certificate Issuer Common Name S'il existe un certificat SSL (avec une extension .pem) sur le périphérique WAP, vous pouvez le télécharger vers votre ordinateur en tant que sauvegarde. Dans la zone Download SSL Certificate (From Device to PC), sélectionnez la méthode de téléchargement HTTP/HTTPS ou TFTPdans Download Method, puis cliquez sur Download. • Si vous sélectionnez HTTP/HTTPS, vous devez confirmer le téléchargement, puis accéder à l'emplacement d'enregistrement du fichier sur votre réseau. • Si vous sélectionnez TFTP, d'autres champs apparaissent pour vous permettre de saisir le nom de fichier à attribuer au fichier téléchargé. Vous devez ensuite saisir l'adresse du serveur TFTP où le fichier sera téléchargé. Vous pouvez également télécharger un fichier de certificat (portant une extension .pem) depuis votre ordinateur vers le périphérique WAP. Dans la zone Upload SSL Certificate (From PC to Device), sélectionnez la méthode de téléchargement HTTP/HTTPS ou TFTP dans Upload Method. • Pour HTTP/HTTPS, accédez à l'emplacement réseau, sélectionnez le fichier, puis cliquez sur Upload. Guide d'administration pour Cisco WAP131 et WAP351 50 3 Administration Gestion du contrôle des accès • Pour TFTP, renseignez File Name puisqu'il existe sur le serveur TFTP et TFTP Server IPv4 Address, puis cliquez sur Upload. Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus. Un message de confirmation s'affiche lorsque le téléchargement a été correctement effectué. Gestion du contrôle des accès Vous pouvez créer une liste de contrôle d'accès (ACL) contenant jusqu'à cinq hôtes IPv4 et cinq hôtes IPv6 autorisés à accéder à l'utilitaire de configuration du périphérique WAP. Si cette fonction est désactivée, tout le monde peut accéder à l'utilitaire de configuration depuis n'importe quel client réseau en fournissant le nom d'utilisateur et le mot de passe corrects du périphérique WAP. Si la liste de contrôle d'accès de gestion est activée, l'accès via le Web et SNMP est limité aux hôtes IP spécifiés. ! AVERTISSEMENT Vérifiez chaque adresse IP que vous saisissez. Si vous saisissez une adresse IP qui ne correspond pas à votre ordinateur d'administration, vous n'aurez plus accès à l'interface de configuration. Il est fortement recommandé d'attribuer une adresse IP statique à l'ordinateur d'administration, afin que cette adresse reste toujours la même. Pour créer une liste d'accès : ÉTAPE 1 Sélectionnez Administration > Management Access Control. ÉTAPE 2 Sélectionnez Enable pour Management ACL Mode. ÉTAPE 3 Saisissez un maximum de cinq adresses IPv4 et cinq adresses IPv6 auxquelles vous donnez accès. ÉTAPE 4 Vérifiez que les adresses IP sont correctes. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 51 Administration Gestion du microprogramme 3 Gestion du microprogramme Le périphérique WAP gère deux images de microprogramme. Une image est active et l'autre est inactive. Si l'image active ne parvient pas à se charger au démarrage, l'image inactive est chargée et devient l'image active. Vous pouvez également permuter l'image active et l'image inactive. Lorsque de nouvelles versions du microprogramme deviennent disponibles, vous pouvez le mettre à niveau sur votre périphérique WAP afin de bénéficier des nouvelles fonctionnalités et améliorations. Le périphérique WAP utilise un client TFTP ou HTTP/HTTPS pour les mises à niveau du microprogramme. Une fois que vous avez chargé le nouveau microprogramme et que le système redémarre, le microprogramme nouvellement ajouté devient l'image principale. Si la mise à niveau échoue, le microprogramme d'origine reste l'image principale. REMARQUE Lorsque vous mettez à niveau le microprogramme, le périphérique WAP conserve les informations de configuration existantes. Permutation de l'image du microprogramme Pour permuter l'image du microprogramme exécuté sur le périphérique WAP : ÉTAPE 1 Sélectionnez Administration > Manage Firmware. L'ID de produit (PID VID) ainsi que les versions active et inactive du microprogramme apparaissent. ÉTAPE 2 Cliquez sur Swap Active Image. La boîte de dialogue qui s'affiche confirme la permutation de l'image du microprogramme et le redémarrage qui suit. ÉTAPE 3 Cliquez sur OK pour effectuer l'opération. Le processus peut prendre plusieurs minutes pendant lesquelles le périphérique WAP est indisponible. Ne mettez pas le périphérique WAP hors tension pendant la permutation de l'image. Une fois la permutation de l'image terminée, le périphérique WAP redémarre. Le périphérique WAP reprend son fonctionnement normal avec les paramètres de configuration qu'il utilisait avant la mise à niveau. Guide d'administration pour Cisco WAP131 et WAP351 52 Administration Gestion du microprogramme 3 Mise à niveau TFTP Pour mettre à niveau le microprogramme sur le périphérique WAP via TFTP : ÉTAPE 1 Sélectionnez TFTP comme méthode de transfert. ÉTAPE 2 Saisissez un nom (de 1 à 256 caractères) pour le fichier image dans le champ Source File Name, en incluant le chemin d'accès au répertoire qui contient l'image à télécharger. Par exemple, pour télécharger l'image ap_upgrade.tar située dans le répertoire /share/builds/ap, saisissez : /share/builds/ap/ap_upgrade.tar Le fichier de mise à niveau du microprogramme fourni doit être un fichier tar. Pour la mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un autre format ; ces types de fichiers ne fonctionnent pas. Le nom de fichier ne peut pas contenir les éléments suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus. ÉTAPE 3 Renseignez TFTP Server IPv4 Address, puis cliquez sur Upgrade. Le téléchargement du nouveau microprogramme peut prendre quelques minutes. N'actualisez pas la page et n'ouvrez pas d'autre page pendant le téléchargement du nouveau microprogramme, sous peine d'interrompre celui-ci. Une fois le processus terminé, le périphérique WAP redémarre et reprend son fonctionnement normal. ÉTAPE 4 Pour vous assurer que la mise à niveau du microprogramme s'est correctement effectuée, connectez-vous à l'utilitaire de configuration, affichez la page Upgrade Firmware, puis vérifiez la version active du microprogramme. Mise à niveau via HTTP/HTTPS Pour effectuer une mise à niveau via HTTP/HTTPS : ÉTAPE 1 Sélectionnez HTTP/HTTPS comme méthode de transfert. ÉTAPE 2 Si vous connaissez le nom du nouveau fichier et le chemin d'accès à celui-ci, saisissez-les dans le champ Source File Name. Sinon, cliquez sur le bouton Browse et recherchez le fichier image du microprogramme sur votre réseau. Le fichier de mise à niveau du microprogramme fourni doit être un fichier tar. Pour la mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un autre format ; ces types de fichiers ne fonctionnent pas. Guide d'administration pour Cisco WAP131 et WAP351 53 3 Administration Gestion du fichier de configuration ÉTAPE 3 Cliquez sur Upgrade pour appliquer la nouvelle image du microprogramme. Le téléchargement du nouveau microprogramme peut prendre quelques minutes. N'actualisez pas la page et n'ouvrez pas d'autre page pendant le téléchargement du nouveau microprogramme, sous peine d'interrompre celui-ci. Une fois le processus terminé, le périphérique WAP redémarre et reprend son fonctionnement normal. ÉTAPE 4 Pour vous assurer que la mise à niveau du microprogramme s'est correctement effectuée, connectez-vous à l'utilitaire de configuration en ligne, affichez la page Upgrade Firmware, puis vérifiez la version active du microprogramme. Gestion du fichier de configuration Les fichiers de configuration du périphérique WAP sont au format XML et contiennent toutes les informations relatives aux paramètres du périphérique WAP. Vous pouvez sauvegarder (télécharger) les fichiers de configuration sur un hôte réseau ou un serveur TFTP, afin de modifier manuellement le contenu ou de créer des sauvegardes. Une fois que vous avez modifié un fichier de configuration sauvegardé, vous pouvez le télécharger vers le périphérique WAP afin de modifier la configuration. Le périphérique WAP prend en charge les fichiers de configuration suivants : • Startup Configuration : fichier de configuration enregistré dans la mémoire flash. • Backup Configuration : fichier de configuration supplémentaire enregistré sur le périphérique WAP à des fins de sauvegarde. • Mirror Configuration : si la configuration de démarrage n'est pas modifiée pendant au moins 24 heures, elle est automatiquement enregistrée dans un fichier de configuration miroir. Le fichier de configuration miroir est un instantané d'une configuration de démarrage antérieure. La configuration miroir est conservée malgré les restaurations des paramètres d'usine. Elle peut donc être utilisée pour récupérer une configuration système après une restauration des paramètres d'usine en copiant la configuration miroir vers la configuration de démarrage. REMARQUE En plus du téléchargement et du transfert de ces fichiers vers un autre système, vous pouvez les copier vers différents types de fichier sur le périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 54 3 Administration Gestion du fichier de configuration Fichier de configuration de secours Pour sauvegarder (télécharger) le fichier de configuration vers un hôte réseau ou le serveur TFTP : ÉTAPE 1 Sélectionnez Administration > Manage Configuration File. ÉTAPE 2 Sélectionnez la méthode de transfert Via TFTP ou Via HTTP/HTTPS dans Transfer Method. ÉTAPE 3 Sélectionnez l'action d'enregistrement Backup (AP to PC) dans Save Action. ÉTAPE 4 Pour une sauvegarde TFTP uniquement, renseignez Destination File Name avec une extension .xml. Incluez également le chemin d'accès à l'emplacement de stockage du fichier sur le serveur, puis renseignez TFTP Server IPv4 Address. Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus. ÉTAPE 5 Pour une sauvegarde TFTP uniquement, renseignez TFTP Server IPv4 Address. ÉTAPE 6 Sélectionnez le fichier de configuration à sauvegarder : • Startup Configuration : type de fichier de configuration utilisé lors du dernier démarrage du périphérique WAP. Ce fichier n'inclut pas les modifications de configuration appliquées mais non encore enregistrées sur le périphérique WAP. • Backup Configuration : type de fichier de configuration de sauvegarde enregistré sur le périphérique WAP. • Mirror Configuration : si la configuration de démarrage n'est pas modifiée pendant au moins 24 heures, elle est automatiquement enregistrée dans un fichier de configuration miroir. Le fichier de configuration miroir est un instantané d'une configuration de démarrage antérieure. La configuration miroir est conservée malgré les restaurations des paramètres d'usine. Elle peut donc être utilisée pour récupérer une configuration système après une restauration des paramètres d'usine en copiant la configuration miroir vers la configuration de démarrage. ÉTAPE 7 Cliquez sur Save pour commencer la sauvegarde. Pour les sauvegardes HTTP/ HTTPS, une fenêtre s'affiche afin de vous permettre d'accéder à l'emplacement souhaité pour l'enregistrement du fichier. Guide d'administration pour Cisco WAP131 et WAP351 55 Administration Gestion du fichier de configuration 3 Téléchargement du fichier de configuration Vous pouvez télécharger un fichier vers le périphérique WAP pour mettre à jour la configuration ou restaurer le périphérique WAP à une configuration précédemment sauvegardée. Pour télécharger un fichier de configuration vers le périphérique WAP : ÉTAPE 1 Sélectionnez Administration > Manage Configuration File. ÉTAPE 2 Sélectionnez la méthode de transfert Via TFTP ou Via HTTP/HTTPS dans Transfer Method. ÉTAPE 3 Sélectionnez l'action d'enregistrement Download (PC to AP) dans Save Action. ÉTAPE 4 Pour un téléchargement TFTP uniquement, renseignez Source File Name avec une extension .xml. Incluez le chemin d'accès à l'emplacement du fichier sur le serveur, puis renseignez TFTP Server IPv4 Address. Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus. ÉTAPE 5 Sélectionnez le fichier de configuration sur le périphérique WAP que vous souhaitez remplacer par le fichier téléchargé : la configuration de démarrage ou la configuration de sauvegarde. Si le fichier téléchargé écrase le fichier de configuration de démarrage et que le fichier réussit un contrôle de validité, la configuration téléchargée prendra effet au prochain redémarrage du périphérique WAP. ÉTAPE 6 Cliquez sur Save pour commencer la mise à niveau ou la sauvegarde. Pour les téléchargements HTTP/HTTPS, une fenêtre s'affiche afin de vous permettre de sélectionner le fichier à télécharger. ! AVERTISSEMENT Veillez à ce que le périphérique WAP soit en permanence alimenté lors du téléchargement du fichier de configuration. En cas de panne de courant lors du téléchargement du fichier de configuration, ce dernier est perdu et le processus doit être redémarré. Guide d'administration pour Cisco WAP131 et WAP351 56 3 Administration Gestion du fichier de configuration Copie/enregistrement de la configuration Vous pouvez copier des fichiers au sein du système de fichiers du périphérique WAP. Vous pouvez par exemple copier le fichier de configuration de sauvegarde dans le type de fichier de configuration de démarrage, afin qu'il soit utilisé lors du prochain démarrage du périphérique WAP. Pour copier un fichier vers un autre type de fichier : ÉTAPE 1 Sélectionnez Administration > Manage Configuration File. ÉTAPE 2 Dans le champ Source File Name, sélectionnez l'un des types de fichiers source suivants que vous souhaitez copier : • Startup Configuration : type de fichier de configuration utilisé lors du dernier démarrage du périphérique WAP. Ce fichier n'inclut pas les modifications de configuration appliquées mais non encore enregistrées sur le périphérique WAP. • Backup Configuration : type de fichier de configuration de sauvegarde enregistré sur le périphérique WAP. • Mirror Configuration : si la configuration de démarrage n'est pas modifiée pendant au moins 24 heures, elle est automatiquement enregistrée dans un fichier de configuration miroir. Le fichier de configuration miroir est un instantané d'une configuration de démarrage antérieure. La configuration miroir est conservée malgré les restaurations des paramètres d'usine. Elle peut donc être utilisée pour récupérer une configuration système après une restauration des paramètres d'usine en copiant la configuration miroir vers la configuration de démarrage. ÉTAPE 3 Dans le champ Destination File Name, sélectionnez le type de fichier à remplacer par le fichier que vous copiez. ÉTAPE 4 Cliquez sur Save pour commencer la copie. Guide d'administration pour Cisco WAP131 et WAP351 57 3 Administration Redémarrage Propriétés des fichiers de configuration Vous pouvez supprimer le fichier de configuration de démarrage ou de configuration de sauvegarde. Si vous effacez le fichier de configuration de démarrage, le fichier de configuration de sauvegarde deviendra actif lors du prochain redémarrage du périphérique WAP. Pour supprimer le fichier de configuration de démarrage ou de configuration de sauvegarde : ÉTAPE 1 Sélectionnez Administration > Manage Configuration File. ÉTAPE 2 Sélectionnez le type de fichier Startup Configuration ou Backup Configuration. ÉTAPE 3 Cliquez sur Clear Files. Redémarrage Utilisez la page Reboot pour redémarrer le périphérique WAP ou restaurer les valeurs d'usine par défaut. Pour redémarrer ou réinitialiser le périphérique WAP : ÉTAPE 1 Sélectionnez Administration > Reboot. ÉTAPE 2 Pour redémarrer le périphérique WAP à l'aide de la configuration de démarrage, cliquez sur Reboot. ÉTAPE 3 Pour redémarrer le périphérique WAP à l'aide du fichier de configuration usine par défaut, cliquez sur Reboot To Factory Default. Tous les paramètres personnalisés sont perdus. REMARQUE Une fenêtre s'affiche pour vous permettre de confirmer ou d'annuler le redémarrage. Il est possible que la session de gestion en cours soit arrêtée. ÉTAPE 4 Cliquez sur OK pour redémarrer. Guide d'administration pour Cisco WAP131 et WAP351 58 3 Administration Découverte - Bonjour Découverte - Bonjour Bonjour permet au périphérique WAP et à ses services d'être découverts à l'aide de mDNS (DNS à multidiffusion). Bonjour annonce ses services au réseau et répond aux questions concernant les types de service pris en charge, ce qui simplifie la configuration du réseau dans vos environnements. Le périphérique WAP annonce les types de service suivants : • Description d'appareils spécifiques à Cisco (csco-sb) : ce service permet aux clients de détecter les périphériques WAP Cisco et d'autres produits déployés sur vos réseaux. • Interfaces utilisateur de gestion : ce service identifie les interfaces de gestion disponibles sur le périphérique WAP (HTTP, HTTPS et SNMP). Lorsqu'un périphérique WAP compatible avec Bonjour est connecté à un réseau, tout client Bonjour peut détecter l'utilitaire de configuration et y accéder sans configuration préalable. Un administrateur système peut utiliser un module d'extension Internet Explorer installé pour détecter le périphérique WAP. L'utilitaire de configuration Web apparaît sous forme d'onglet dans le navigateur. Bonjour fonctionne sur les réseaux IPv4 et IPv6. Pour activer la détection du périphérique WAP via Bonjour : ÉTAPE 1 Sélectionnez Administration > Discovery - Bonjour. ÉTAPE 2 Active ou désactive Bonjour sur le périphérique WAP. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 59 3 Administration Capture de paquets Capture de paquets La fonction de capture de paquets sans fil permet de capturer et de stocker les paquets reçus et transmis par le périphérique WAP. Les paquets capturés peuvent ensuite être analysés par un analyseur de protocole réseau pour des opérations de dépannage ou d'optimisation des performances. Les deux méthodes de capture de paquets sont les suivantes : • Méthode de capture locale : les paquets capturés sont stockés dans un fichier sur le périphérique WAP. Le périphérique WAP peut transférer le fichier vers un serveur TFTP. Le fichier est mis au format pcap et peut être examiné à l'aide d'outils comme Wireshark et OmniPeek. • Méthode de capture distante : les paquets capturés sont redirigés en temps réel vers un ordinateur externe qui exécute l'outil Wireshark. Le périphérique WAP peut capturer les types de paquets suivants : • Les paquets 802.11 reçus et transmis sur les interfaces radio. Les paquets capturés sur les interfaces radio incluent l'en-tête 802.11. • Les paquets 802.3 reçus et transmis sur l'interface Ethernet. • Les paquets 802.3 reçus et transmis sur les interfaces logiques internes, telles que les interfaces VAP et WDS. Utilisez la page Packet Capture pour configurer les paramètres de capture de paquets, démarrer une capture de paquets locale ou distante, afficher l'état actuel de la capture de paquets et télécharger un fichier de capture de paquets. Configuration de la capture de paquets Pour définir les paramètres d'une capture de paquets : ÉTAPE 1 Sélectionnez Administration > Packet Capture. ÉTAPE 2 Dans la zone Packet Capture Configuration, définissez les paramètres suivants : • Capture Beacons : active ou désactive la capture des balises 802.11 détectées ou transmises par radio. • Promiscuous Capture : active ou désactive le mode de proximité lorsque la capture est active. Guide d'administration pour Cisco WAP131 et WAP351 60 3 Administration Capture de paquets En mode de proximité, la radio reçoit tout le trafic sur le canal, y compris le trafic qui n'est pas destiné à ce périphérique WAP. Lorsque la radio fonctionne en mode de proximité, elle continue à servir les clients associés. Les paquets qui ne sont pas destinés au périphérique WAP ne sont pas transférés. Lorsque la capture est terminée, la radio repasse en mode de non-proximité. • Radio Client Filter : active ou désactive le filtre de client WLAN de façon à capturer uniquement les trames transmises à un client WLAN ayant une adresse MAC spécifiée ou reçues de celui-ci. • Client Filter MAC Address : spécifie l'adresse MAC pour le filtrage de client WLAN. Le filtre MAC est uniquement actif lorsqu'une capture est réalisée sur une interface 802.11. • Packet Capture Method : sélectionnez l'une des options suivantes : - Local File : les paquets capturés sont stockés dans un fichier sur le périphérique WAP. - Remote : les paquets capturés sont redirigés en temps réel vers un ordinateur externe qui exécute l'outil Wireshark. ÉTAPE 3 Selon la méthode choisie, reportez-vous aux étapes décrites dans la section Capture de paquets locale ou Capture de paquets distante pour poursuivre. REMARQUE Les modifications apportées aux paramètres de configuration de la capture de paquets prendront effet une fois la capture de paquets redémarrée. La modification des paramètres alors que la capture de paquets est en cours d'exécution n'a aucune incidence sur la session de capture de paquets active. Pour commencer à utiliser les nouvelles valeurs des paramètres, vous devez arrêter puis redémarrer une session de capture de paquets existante. Capture de paquets locale Pour démarrer une capture de paquets locale : ÉTAPE 1 Sélectionnez Administration > Packet Capture. ÉTAPE 2 Assurez-vous que l'option Local File est sélectionnée pour Packet Capture Method. Guide d'administration pour Cisco WAP131 et WAP351 61 3 Administration Capture de paquets ÉTAPE 3 Définissez les paramètres suivants : • • Capture Interface (pour WAP131 uniquement) : saisissez un type d'interface de capture pour la capture de paquets : - Radio 1/Radio 2 : trafic 802.11 sur l'interface radio. - Ethernet : trafic 802.3 sur le port Ethernet. - Radio 1 - VAP0/Radio 2 - VAP0 : trafic VAP0. - Radio 1 - VAP1 to Radio 1 - VAP3 (si configuré) : trafic sur le VAP spécifié. - Radio 2 - VAP1 to Radio 2 - VAP3 (si configuré) : trafic sur le VAP spécifié. - Radio 1 - WDS0 to Radio 1 - WDS3 (si configuré) : trafic sur le WDS spécifié. - Radio 2 - WDS0 to Radio 2 - WDS3 (si configuré) : trafic sur le WDS spécifié. - Brtrunk : interface bridge Linux dans le périphérique WAP. Capture Interface (pour WAP351 uniquement) : saisissez un type d'interface de capture pour la capture de paquets : - Radio 1/Radio 2 : trafic 802.11 sur l'interface radio. - LAN1 à LAN5 : trafic 802.3 sur le port Ethernet. - Radio 1 - VAP0/Radio 2 - VAP0 : trafic VAP0. - Radio 1 - VAP1 to Radio 1 - VAP7 (si configuré) : trafic sur le VAP spécifié. - Radio 2 - VAP1 to Radio 2 - VAP7 (si configuré) : trafic sur le VAP spécifié. - Radio 1 - WDS0 to Radio 1 - WDS3 (si configuré) : trafic sur le WDS spécifié. - Radio 2 - WDS0 to Radio 2 - WDS3 (si configuré) : trafic sur le WDS spécifié. - Brtrunk : interface bridge Linux dans le périphérique WAP. • Capture Duration : saisissez la durée en secondes de la capture. La plage est comprise entre 10 et 3 600. La valeur par défaut est 60. • Max Capture File Size : saisissez la taille maximale autorisée pour le fichier de capture en kilo-octets (Ko). La plage est comprise entre 64 et 4096. La valeur par défaut est 1024. Guide d'administration pour Cisco WAP131 et WAP351 62 3 Administration Capture de paquets ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. ÉTAPE 5 Cliquez sur Start Capture. En mode Packet File Capture, le périphérique WAP stocke les paquets capturés dans le système de fichiers RAM. Une fois l'activation terminée, la capture de paquets s'effectue jusqu'à ce qu'un des événements suivants se produise : • La durée de capture atteint la durée configurée. • Le fichier de capture atteint sa taille maximale. • L'administrateur arrête la capture. Capture de paquets distante La fonction Remote Packet Capture vous permet de spécifier un port distant comme destination des captures de paquets. Cette fonction opère conjointement avec l'outil d'analyse réseau Wireshark pour Windows. Un serveur de capture de paquets est exécuté sur le périphérique WAP et envoie les paquets capturés via une connexion TCP vers l'outil Wireshark. Wireshark est un outil open source disponible gratuitement ; vous pouvez le télécharger à l'adresse http://www.wireshark.org. Un ordinateur Microsoft Windows exécutant l'outil Wireshark vous permet d'afficher, de journaliser et d'analyser le trafic capturé. La fonction de capture de paquets distante est une fonction standard de l'outil Wireshark pour Windows. La version Linux ne fonctionne pas avec le périphérique WAP. Lorsque le mode de capture distante est utilisé, le périphérique WAP ne stocke pas les données capturées localement dans son système de fichiers. Si un pare-feu est installé entre l'ordinateur Wireshark et le périphérique WAP, le trafic de ces ports doit être autorisé à traverser le pare-feu. Le pare-feu doit aussi être configuré pour autoriser l'ordinateur Wireshark à initier une connexion TCP vers le périphérique WAP. Pour initier une capture distante sur un périphérique WAP : ÉTAPE 1 Sélectionnez Administration > Packet Capture. ÉTAPE 2 Activez Promiscuous Capture. ÉTAPE 3 Pour Packet Capture Method, sélectionnez Remote. Guide d'administration pour Cisco WAP131 et WAP351 63 3 Administration Capture de paquets ÉTAPE 4 Dans le champ Remote Capture Port, utilisez le port par défaut (2002) ou si vous utilisez un autre port que celui par défaut, saisissez le numéro de port souhaité pour la connexion de Wireshark au périphérique WAP. La plage de ports est comprise entre 1025 et 65530. ÉTAPE 5 Si vous souhaitez enregistrer les paramètres en vue d'une utilisation ultérieure, cliquez sur Save. Cependant, la sélection de Remote comme Packet Capture Method n'est pas enregistrée. ÉTAPE 6 Cliquez sur Start Capture. Pour lancer l'outil d'analyse réseau Wireshark pour Microsoft Windows : ÉTAPE 1 Sur le même ordinateur, lancez l'outil Wireshark. ÉTAPE 2 Dans le menu, sélectionnez Capture> Options. Une fenêtre contextuelle s'affiche. ÉTAPE 3 Dans le champ Interface, sélectionnez Remote. Une fenêtre contextuelle s'affiche. ÉTAPE 4 Dans le champ Host, saisissez l'adresse IP du périphérique WAP. ÉTAPE 5 Dans le champ Port, saisissez le numéro de port du périphérique WAP. Par exemple, saisissez 2002 si vous avez utilisé le port par défaut ou saisissez le numéro de port si vous avez utilisé un autre port que le port par défaut. ÉTAPE 6 Cliquez sur OK. ÉTAPE 7 Sélectionnez l'interface à partir de laquelle vous devez capturer les paquets. Dans la fenêtre contextuelle Wireshark, en regard de l'adresse IP, une liste déroulante vous permet de sélectionner les interfaces. L'interface peut être l'une des suivantes : Interface bridge Linux dans le périphérique WAP --rpcap://[192.168.1.220]:2002/brtrunk Interface LAN filaire -- rpcap://[192.168.1.220]:2002/eth0 Trafic VAP0 sur radio 1 -- rpcap://[192.168.1.220]:2002/wlan0 Trafic 802.11 -- rpcap://[192.168.1.220]:2002/radio1 Sur le WAP351, trafic VAP1 ~ VAP7 -- rpcap://[ 192.168.1.220]:2002/wlan0vap1 ~ wlan0vap7 Sur le WAP131, trafic VAP1 ~ VAP3 -- rpcap://[ 192.168.1.220]:2002/wlan0vap1 ~ wlan0vap3 Guide d'administration pour Cisco WAP131 et WAP351 64 3 Administration Capture de paquets Vous pouvez effectuer le suivi simultané de quatre interfaces maximum sur le périphérique WAP. Toutefois, vous devez démarrer une session Wireshark distincte pour chaque interface. Pour démarrer des sessions de capture distante supplémentaires, répétez les étapes de configuration Wireshark. Aucune configuration n'est requise sur le périphérique WAP. REMARQUE Le système utilise quatre numéros de port consécutifs, en commençant par le port configuré pour les sessions de capture de paquets distante. Vérifiez que vous disposez de quatre numéros de port consécutifs. Si vous n'utilisez pas le port par défaut, nous vous recommandons d'utiliser un numéro de port supérieur à 1024. Lorsque vous capturez le trafic sur l'interface radio, vous pouvez désactiver la capture des balises, mais les autres trames de contrôle 802.11 sont toujours envoyées à Wireshark. Vous pouvez configurer un filtre d'affichage de façon à afficher uniquement : • Les trames de données dans le suivi • Le trafic sur des BSSID (Basic Service Set ID) spécifiques • Le trafic entre deux clients Voici quelques exemples de filtres d'affichage utiles : • Exclure les balises et les trames ACK/RTS/CTS : !(wlan.fc.type_subtype == 8 | | wlan.fc.type == 1) • Les trames de données uniquement : wlan.fc.type == 2 • Le trafic sur un BSSID spécifique : wlan.bssid == 00:02:bc:00:17:d0 • Tout le trafic de et vers un client spécifique : wlan.addr == 00:00:e8:4e:5f:8e En mode de capture distante, le trafic est envoyé vers l'ordinateur qui exécute Wireshark via l'une des interfaces réseau. Selon l'emplacement de l'outil Wireshark, le trafic peut être envoyé sur une interface Ethernet ou l'une des radios. Pour éviter un flux de trafic causé par le suivi des paquets, le périphérique WAP installe automatiquement un filtre de capture afin d'éliminer tous les paquets destinés à l'application Wireshark. Par exemple, si le port IP Wireshark est configuré sur 58000, alors le filtre de capture suivant est automatiquement installé sur le périphérique WAP : not port range 58000-58004 Guide d'administration pour Cisco WAP131 et WAP351 65 3 Administration Capture de paquets Pour des raisons de performance et de sécurité, le mode de capture de paquets n'est pas enregistré dans la NVRAM sur le périphérique WAP. Si le périphérique WAP est réinitialisé, le mode de capture est désactivé et vous devez le réactiver pour rétablir la capture du trafic. Les paramètres de capture de paquets (autres que le mode) sont enregistrés dans la NVRAM. L'activation de la fonction de capture de paquets peut engendrer un problème de sécurité : des clients non autorisés sont susceptibles de pouvoir se connecter au périphérique WAP et d'effectuer un suivi des données utilisateur. En outre, les performances du périphérique WAP sont dégradées pendant la capture de paquets et cet impact négatif continue à être détecté dans une moindre mesure même lorsqu'il n'y a pas de session Wireshark active. Pour réduire cet impact sur les performances du périphérique WAP pendant la capture du trafic, installez des filtres de capture afin de contrôler le trafic envoyé vers l'outil Wireshark. Pendant la capture du trafic 802.11, les trames capturées sont pour une grande partie des balises (généralement envoyées toutes les 100 ms par tous les points d'accès). Même si Wireshark prend en charge un filtre d'affichage pour les trames de balise, il ne prend pas en charge un filtre de capture empêchant le périphérique WAP de réacheminer les paquets de balise capturés vers l'outil Wireshark. Pour réduire l'impact de la capture des balises 802.11 sur les performances, désactivez le mode de capture des balises. État de la capture de paquets La zone Packet Capture Status indique l'état d'une capture de paquets, lorsqu'une capture est active sur le périphérique WAP. • Current Capture Status : indique si la capture de paquets est en cours d'exécution ou arrêtée. • Packet Capture Time : durée de capture écoulée. • Packet Capture File Size : taille du fichier de capture locale (impossible d'enregistrer la taille du fichier de capture distante). Cliquez sur Refresh pour afficher les dernières données issues du périphérique WAP, ou sur Stop Capture pour arrêter la capture d'un fichier de paquets. Guide d'administration pour Cisco WAP131 et WAP351 66 3 Administration Capture de paquets Téléchargement du fichier de capture de paquets Vous pouvez télécharger un fichier de capture par TFTP vers un serveur TFTP configuré, ou par HTTP/HTTPS vers un ordinateur. Une capture est automatiquement arrêtée dès le déclenchement de la commande de téléchargement du fichier de capture. Puisque le fichier de capture est stocké dans le système de fichiers RAM, il disparaît si le périphérique WAP est réinitialisé. Pour télécharger un fichier de capture de paquets via TFTP : ÉTAPE 1 Sélectionnez Administration > Packet Capture. ÉTAPE 2 Cochez la case Use TFTP to download the capture file. ÉTAPE 3 Dans TFTP Server Filename, saisissez le nom de fichier du serveur TFTP à télécharger s'il diffère du nom par défaut. Par défaut, les paquets capturés sont stockés dans le fichier de dossiers /tmp/apcapture.pcap sur le périphérique WAP. ÉTAPE 4 Renseignez TFTP Server IPv4 Address dans le champ prévu à cet effet. ÉTAPE 5 Cliquez sur Download. Pour télécharger un fichier de capture de paquets via HTTP/HTTPS : ÉTAPE 1 Sélectionnez Administration > Packet Capture. ÉTAPE 2 Décochez la case Use TFTP to download the captured file. ÉTAPE 3 Cliquez sur Download. Une fenêtre de confirmation s'affiche. ÉTAPE 4 Cliquez sur OK. Une boîte de dialogue apparaît. Celle-ci vous permet de choisir l'emplacement d'enregistrement du fichier sur le réseau. Guide d'administration pour Cisco WAP131 et WAP351 67 3 Administration Informations relatives au support Informations relatives au support Utilisez la page Support Information pour télécharger un fichier texte qui contient des informations de configuration détaillées sur le périphérique WAP. Le fichier inclut les informations de version matérielle et logicielle, les adresses MAC et IP, l'état d'administration et opérationnel des fonctions, les paramètres définis par l'utilisateur, les statistiques de trafic, etc. Vous pouvez fournir ce fichier texte aux membres de l'assistance technique pour les aider à résoudre les différents problèmes. Pour télécharger les informations de support : ÉTAPE 1 Sélectionnez Administration > Support Information. ÉTAPE 2 Cliquez sur Download pour générer le fichier à partir des paramètres système actuels. Après un bref instant, une fenêtre s'affiche pour vous permettre d'enregistrer le fichier sur votre ordinateur. Paramètres de STP Utilisez la page Spanning Tree Settings pour définir les paramètres STP sur le Cisco WAP351. Il est possible d'effectuer une configuration par port ou pour l'ensemble du périphérique. REMARQUE Vous pouvez aussi accéder à la page WDS Bridge pour définir les paramètres STP pour le Cisco WAP131. Pour configurer les paramètres STP sur le Cisco WAP351 : ÉTAPE 1 Sélectionnez Administration > Spanning Tree Settings. ÉTAPE 2 Définissez les paramètres suivants : • STP Status : active ou désactive STP sur l'ensemble du Cisco WAP351. Par défaut, STP est activé. • Flood BPDU if STP is disabled on port(s) : activez l'option pour transmettre les paquets BPDU reçus du ou des ports dont l'état STP est désactivé, ou désactivez-la pour abandonner les paquets BPDU reçus du ou des ports dont l'état STP est désactivé. Guide d'administration pour Cisco WAP131 et WAP351 68 3 Administration Paramètres de STP • Per Port STP Status Setting : cochez l'option pour activer STP sur un port ou décochez-la pour désactiver STP sur un port. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 69 4 Réseau local Ce chapitre explique comment configurer les paramètres pour le port, le VLAN et l'adressage IPv4 et IPv6 du périphérique WAP. Il contient les rubriques suivantes : • Paramètres des ports • Configuration VLAN • Paramètres IPv4 • Paramètres IPv6 Paramètres des ports Utilisez la page Port Settings pour afficher et configurer les paramètres du port qui connecte physiquement le périphérique WAP à un réseau local. Configuration des paramètres de port pour Cisco WAP131 Pour configurer les paramètres de port : ÉTAPE 1 Sélectionnez LAN > Port Settings. La zone Operational Status indique le type de port utilisé pour le port de réseau local ainsi que les caractéristiques de liaison, tels qu'ils sont configurés dans la zone Administrative Settings. En cas de modification des paramètres lors de la configuration ou de la négociation automatique, cliquez sur Refresh pour afficher les derniers paramètres. ÉTAPE 2 Activez ou désactivez l'option Auto Negotiation. • Lorsque cette option est activée, le port négocie avec son partenaire de liaison afin de définir la vitesse de liaison la plus rapide et le mode duplex disponible. Guide d'administration pour Cisco WAP131 et WAP351 70 4 Réseau local Paramètres des ports • Si cette option est désactivée, vous pouvez configurer manuellement la vitesse du port et le mode duplex. ÉTAPE 3 Si l'option Auto Negotiation est désactivée, sélectionnez la vitesse dans le champ Port Speed (10/100 Mbit/s) et le mode duplex (Half-duplex ou Full-duplex). ÉTAPE 4 Activez ou désactivez l'option Green Ethernet Mode. • Le mode Green Ethernet prend en charge le mode basse puissance automatique et le mode EEE (Energy Efficient Ethernet, IEEE 802.3az). Le mode Green Ethernet fonctionne uniquement lorsque la négociation automatique de port est activée. • Le mode basse puissance automatique permet de diminuer la consommation énergétique des puces en cas d'absence de signal émanant d'un partenaire de liaison. Le périphérique WAP passe automatiquement en mode basse puissance en cas de perte d'énergie sur la ligne et il reprend un fonctionnement normal lorsqu'il détecte de l'énergie. • Le mode EEE supporte des périodes silencieuses en cas de faible utilisation de la liaison, ce qui permet aux deux extrémités d'une liaison de désactiver des parties de chaque circuit de la couche physique afin d'économiser de l'énergie. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Configuration des paramètres de port pour Cisco WAP351 Pour configurer les paramètres de port : ÉTAPE 1 Sélectionnez LAN > Port Settings. La table Port Settings répertorie les configurations et les états suivants pour les 5 interfaces (LAN1 à LAN5) : • Port Status : affiche l'état de la liaison du port. • Port Speed : en mode vérification, affiche la vitesse actuelle du port. En mode d'édition, si la négociation automatique est désactivée, sélectionnez une vitesse de port, comme 100 Mbit/s ou 10 Mbit/s. La vitesse 1000 Mbit/s n'est prise en charge que si la négociation automatique est activée. Guide d'administration pour Cisco WAP131 et WAP351 71 4 Réseau local Paramètres des ports • Duplex Mode : en mode vérification, affiche le mode duplex actuel du port. En mode d'édition, si la négociation automatique est désactivée, sélectionnez Half-Duplex ou Full-Duplex. • Auto Negotiation : lorsque cette option est activée, le port négocie avec son partenaire de liaison afin de définir la vitesse de liaison la plus rapide et le mode duplex disponible. Si cette option est désactivée, vous pouvez configurer manuellement la vitesse du port (Port Speed) et le mode duplex (Duplex Mode). • Green Ethernet : le mode Green Ethernet prend en charge le mode basse puissance automatique et le mode EEE (Energy Efficient Ethernet, IEEE 802.3az). Le mode Green Ethernet fonctionne uniquement lorsque la négociation automatique de port est activée. Le mode basse puissance automatique permet de diminuer la consommation énergétique des puces en cas d'absence de signal émanant d'un partenaire de liaison. Le périphérique WAP passe automatiquement en mode basse puissance en cas de perte d'énergie sur la ligne et il reprend un fonctionnement normal lorsqu'il détecte de l'énergie. Le mode EEE supporte des périodes silencieuses en cas de faible utilisation de la liaison, ce qui permet aux deux extrémités d'une liaison de désactiver des parties de chaque circuit de la couche physique afin d'économiser de l'énergie. • Jumbo Frames : lorsque cette option est activée, le port accepte des paquets d'une longueur pouvant atteindre 9 720 octets. Dans le cas contraire, la longueur des paquets est limitée à 2 000 octets. Vous ne pouvez activer l'option Jumbo Frame que lorsque la vitesse de liaison est en mode 1000 Mbit/s. Dans la mesure où l'interface sans fil ne prend pas en charge les trames Jumbo, elle ne peut transférer des paquets qu'entre des ports Ethernet (LAN1 à LAN5). Il est donc préférable de désactiver cette option. • CoS (port VLAN priority, 802.1p Class of Service) : affecte la classe de service 802.1p lorsque le port reçoit un paquet non balisé. ÉTAPE 2 Cochez les interfaces à modifier, puis cliquez sur le bouton Edit pour passer en mode d'édition. Saisissez ensuite vos paramètres. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 72 4 Réseau local Configuration VLAN Configuration VLAN Utilisez la page VLAN Configuration pour consulter et configurer les paramètres VLAN. Configuration des paramètres VLAN pour Cisco WAP131 ÉTAPE 1 Sélectionnez LAN > VLAN Configuration. ÉTAPE 2 Définissez les paramètres suivants : • Untagged VLAN : active ou désactive le balisage de VLAN. Lorsque cette option est activée (paramètre par défaut), tout le trafic est balisé avec un ID de VLAN. Par défaut, la totalité du trafic sur le périphérique WAP utilise le VLAN1, à savoir le VLAN non balisé par défaut. Cela signifie que l'ensemble du trafic est non balisé jusqu'à la désactivation du VLAN non balisé, la modification de l'ID de VLAN du trafic non balisé ou la modification de l'ID de VLAN d'un point d'accès virtuel (VAP) ou d'un client utilisant un serveur RADIUS. • Untagged VLAN ID : indique un nombre compris entre 1 et 4094 pour l'ID de VLAN non balisé. La valeur par défaut est 1. Le trafic sur le VLAN que vous spécifiez dans ce champ n'est pas balisé avec un ID de VLAN lors de son transfert sur le réseau. VLAN 1 est à la fois le VLAN non balisé par défaut et le VLAN de gestion par défaut. Si vous souhaitez séparer le trafic de gestion du trafic du VLAN non balisé, configurez le nouvel ID de VLAN au niveau de votre routeur, puis utilisez ce nouvel ID de VLAN sur votre périphérique WAP. • Management VLAN ID : VLAN associé à l'adresse IP que vous utilisez pour accéder au périphérique WAP. Saisissez un nombre compris entre 1 et 4094 pour l'ID de VLAN de gestion. La valeur par défaut est 1. Ce VLAN est également le VLAN non balisé par défaut. Si vous possédez déjà un VLAN de gestion configuré sur votre réseau avec un ID de VLAN différent, vous devez modifier l'ID de VLAN du VLAN de gestion sur le périphérique WAP. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 73 4 Réseau local Configuration VLAN Configuration des paramètres VLAN pour Cisco WAP351 Pour configurer les paramètres d'un VLAN : ÉTAPE 1 Sélectionnez LAN > VLAN Configuration. ÉTAPE 2 Dans la table VLAN Setting, chaque enregistrement VLAN comporte les champs suivants : • VLAN ID : Identifiant du réseau VLAN. Chaque ID VLAN est compris entre 1 et 4094 et doit être différent des autres ID VLAN. • Description : description du réseau VLAN associé. La description ne doit pas comporter plus de 64 caractères (A-Z, a-z, 0-9, _). • VLAN de gestion : sélectionnez le VLAN de gestion utilisé pour accéder au périphérique WAP via Telnet ou l'interface utilisateur graphique (GUI) Web. Il ne doit exister qu'un seul et unique VLAN de gestion. Si aucune interface (filaire ou sans fil) n'appartient au VLAN de gestion, l'utilisateur ne dispose d'aucune interface pour accéder à l'utilitaire de configuration. • LAN1 - LAN5 : chaque port ne doit avoir qu'un seul VLAN non balisé. Les options sont les suivantes : - Non balisé : le port est un membre du VLAN. Un paquet du VLAN émis à partir du port sera non balisé. Un paquet non balisé reçu par le port sera classifié comme appartenant au VLAN (balisé). - Balisé : le port est un membre du VLAN. Un paquet du VLAN émis à partir du port sera balisé avec l'en-tête du VLAN. - Excluded : le port n'appartient pas au VLAN. REMARQUE Il est impossible de supprimer l'ID VLAN 1. Si un port (filaire ou sans fil) associé au VLAN a été supprimé, le périphérique WAP définira automatiquement son ID VLAN à 1. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il se peut que le périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 74 4 Réseau local Paramètres IPv4 Paramètres IPv4 Utilisez la page IPv4 Settings pour configurer l'affectation d'adresses IPv4 statiques ou dynamiques. Pour configurer les paramètres d'adresses IPv4 : ÉTAPE 1 Select LAN > IPv4 Setting. ÉTAPE 2 Configurez les paramètres IPv4 suivants : • Connection Type : par défaut, le client DHCP sur le périphérique WAP diffuse automatiquement les demandes d'informations de réseau. Si vous voulez utiliser une adresse IP statique, vous devez désactiver le client DHCP et configurer manuellement l'adresse IP ainsi que les autres informations de réseau. Sélectionnez l'une des options suivantes : - DHCP : le périphérique WAP acquiert son adresse IP d'un serveur DHCP sur le réseau local. - Static IP : configurez manuellement l'adresse IPv4. La forme de l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10). • Static IP Address, Subnet Mask et Default Gateway : si vous avez choisi d'affecter une adresse IP statique, saisissez ici les informations IP correspondantes. • Domain Name Servers : sélectionnez l'une des options suivantes : - Dynamic : le périphérique WAP acquiert les adresses de serveur DNS d'un serveur DHCP sur le réseau local. - Manual : configurez manuellement une ou plusieurs adresses de serveur DNS. Saisissez jusqu'à deux adresses IP dans les champs fournis. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il se peut que le périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 75 4 Réseau local Paramètres IPv6 Paramètres IPv6 Utilisez la page IPv6 Setting pour configurer le périphérique WAP afin qu'il utilise une adresse IPv6 et un tunnel IPv6. Pour configurer les paramètres d'adresse IPv6 : ÉTAPE 1 Select LAN > IPv6 Setting. ÉTAPE 2 Définissez les paramètres suivants : • IPv6 Connection Type : choisissez la façon dont le périphérique WAP obtient une adresse IPv6 : - DHCPv6 : l'adresse IPv6 est affectée par un serveur DHCPv6. - Static IPv6 : configurez manuellement les adresses IPv6. La forme de l'adresse IPv6 doit être similaire à celle-ci : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91). • IPv6 Administration Mode : active ou désactive l'accès de gestion IPv6. • IPv6 Auto Configuration Administration Mode : active ou désactive la configuration automatique des adresses IPv6 sur le périphérique WAP. Lorsque cette option est activée, le périphérique WAP apprend ses adresses et sa passerelle IPv6 en traitant les messages de notification de routeur reçus sur le port LAN. Le périphérique WAP peut posséder plusieurs adresses IPv6 configurées automatiquement. • Static IPv6 Address : adresse IPv6 statique. Le périphérique WAP peut posséder une adresse IPv6 statique, même si des adresses ont déjà été configurées automatiquement. • Static IPv6 Address Prefix Length : longueur de préfixe de l'adresse statique, à savoir un entier compris entre 0 et 128. La valeur par défaut est 0. • Static IPv6 Address Status : sélectionnez l'une des options suivantes : - Operational : l'adresse IP a été vérifiée comme étant unique sur le réseau local et elle est utilisable sur l'interface. - Tentative : le périphérique WAP initie automatiquement un processus de détection des adresses en double (DAD, Duplicate Address Detection) lors de l'affectation d'une adresse IP statique. Une adresse IPv6 reste à l'état provisoire pendant que le système vérifie qu'elle est unique sur le réseau. Lorsqu'elle se trouve dans cet état, l'adresse IPv6 ne peut pas être utilisée pour transmettre ou recevoir le trafic normal. Guide d'administration pour Cisco WAP131 et WAP351 76 4 Réseau local Paramètres IPv6 - Vide (aucune valeur) : aucune adresse IP n'est affectée ou l'adresse affectée n'est pas opérationnelle. • IPv6 Autoconfigured Global Addresses : si une ou plusieurs adresses IPv6 ont été affectées automatiquement au périphérique WAP, ces adresses sont répertoriées ici. • IPv6 Link Local Address : adresse IPv6 utilisée par la liaison physique locale. L'adresse locale de liaison n'est pas configurable et elle est affectée à l'aide du processus de détection de voisinage IPv6. • Default IPv6 Gateway : passerelle IPv6 par défaut configurée de manière statique. • IPv6 Domain Name Servers : sélectionnez l'une des options suivantes : - Dynamic : les serveurs de noms DNS sont appris dynamiquement par le biais de DHCPv6. - Manual : spécifiez manuellement jusqu'à deux serveurs de noms DNS IPv6 dans les champs prévus à cet effet. ÉTAPE 3 Configurez un tunnel IPv6 à l'aide du protocole ISATAP. Le périphérique WAP prend en charge le protocole ISATAP (Intra-Site Automatic Tunnel Addressing Protocol). Le protocole ISATAP permet au périphérique WAP de transmettre des paquets IPv6 encapsulés dans des paquets IPv4 sur le réseau local. Grâce à ce protocole, le périphérique WAP peut communiquer avec des hôtes compatibles IPv6 distants, même si le réseau local qui les connecte ne prend pas en charge IPv6. Le périphérique WAP agit en tant que client ISATAP. Un hôte ou un routeur prenant en charge le protocole ISATAP doit résider sur le réseau local. L'adresse IP ou le nom d'hôte du routeur est configuré sur le périphérique WAP (par défaut, il s'agit d'isatap). S'il est configuré en tant que nom d'hôte, le périphérique WAP communique avec un serveur DNS pour résoudre le nom en une ou plusieurs adresses de routeur ISATAP. Le périphérique WAP envoie ensuite des messages de sollicitation aux routeurs. Lorsqu'un routeur prenant en charge le protocole ISATAP répond par le biais d'un message d'annonce, le périphérique WAP et le routeur établissent le tunnel. Une adresse lien-local et une adresse IPv6 globale sont affectées à l'interface de tunnel et font office d'interfaces IPv6 virtuelles sur le réseau IPv4. Guide d'administration pour Cisco WAP131 et WAP351 77 4 Réseau local Paramètres IPv6 Lorsque des hôtes IPv6 initient une communication avec le périphérique WAP connecté par l'intermédiaire du routeur ISATAP, les paquets IPv6 sont encapsulés dans des paquets IPv4 par le routeur ISATAP. • ISATAP Status : active ou désactive le mode d'administration du protocole ISATAP sur le périphérique WAP. • ISATAP Capable Host : adresse IP ou nom DNS du routeur ISATAP. La valeur par défaut est isatap. • ISATAP Query Interval : spécifie à quelle fréquence le périphérique WAP doit envoyer des requêtes au serveur DNS pour tenter de résoudre le nom d'hôte ISATAP en une adresse IP. Le périphérique WAP n'envoie des requêtes DNS que lorsque l'adresse IP du routeur ISATAP est inconnue. La plage valide va de 120 à 3600 secondes. La valeur par défaut est 120 secondes. • ISATAP Solicitation Interval : spécifie à quelle fréquence le périphérique WAP doit envoyer des messages de sollicitation de routeur aux routeurs ISATAP dont il obtient des informations par le biais de messages de requêtes DNS. Le périphérique WAP n'envoie des messages de sollicitation de routeur que lorsqu'il n'y a pas de routeur ISATAP actif. La plage valide va de 120 à 3600 secondes. La valeur par défaut est 120 secondes. REMARQUE Lorsque le tunnel a été établi, les champs ISATAP IPv6 Link Local Address et ISATAP IPv6 Global Address s'affichent sur la page. Il s'agit des adresses des interfaces IPv6 virtuelles avec le réseau IPv4. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il se peut que le périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 78 5 Accès sans fil Ce chapitre décrit la procédure de configuration des propriétés de la connexion radio sans fil. Il contient les rubriques suivantes : • Radio • Rogue AP Detection • Réseaux • Scheduler • Scheduler Association • Bandwidth Utilization • MAC Filtering • WDS Bridge • WorkGroup Bridge • Quality of Service Radio Les paramètres radio contrôlent directement le comportement de la radio dans le périphérique WAP et son interaction avec le support physique, à savoir le type de signal émis par le périphérique WAP et la façon dont il procède. Pour définir les paramètres de la radio sans fil : ÉTAPE 1 Sélectionnez Wireless > Radio. ÉTAPE 2 Dans le champ TSPEC Violation Interval, indiquez l'intervalle de temps en secondes pendant lequel le périphérique WAP doit signaler les clients associés qui ne respectent pas les procédures de contrôle d'admission obligatoires. La consignation s'effectue via le journal système et les déroutements SNMP. Guide d'administration pour Cisco WAP131 et WAP351 79 5 Accès sans fil Radio Saisissez une durée comprise entre 0 et 900 secondes. La valeur par défaut est 300 secondes. ÉTAPE 3 Dans la zone Radio Setting Per Interface, sélectionnez l'interface radio à laquelle appliquer les paramètres de configuration. ÉTAPE 4 Dans la zone Basic Settings, définissez les paramètres ci-dessous pour l'interface radio sélectionnée : REMARQUE Les réglementations locales peuvent interdire l'utilisation de certains modes radio. Les modes ne sont pas tous disponibles dans la totalité des pays. • Radio : active ou désactive l'interface radio. Par défaut, la radio est désactivée. • MAC Address : affiche l'adresse Media Access Control (MAC) de l'interface. L'adresse MAC est attribuée par le fabricant et ne peut pas être modifiée. • Mode : sélectionnez la norme IEEE 802.11 et la fréquence utilisées par la radio. Les modes disponibles sont les suivants : • - 802.11a : seuls les clients 802.11a peuvent se connecter au périphérique WAP. - 802.11b/g : les clients 802.11b et 802.11g peuvent se connecter au périphérique WAP. - 802.11a/n : les clients 802.11a et 802.11n fonctionnant dans la fréquence 5 GHz peuvent se connecter au périphérique WAP. - 802.11b/g/n (par défaut) : les clients 802.11b, 802.11g et 802.11n fonctionnant dans la fréquence 2,4 GHz peuvent se connecter au périphérique WAP. - 5 GHz 802.11n : seuls les clients 802.11n fonctionnant dans la fréquence 5 GHz peuvent se connecter au périphérique WAP. - 2.4 GHz 802.11n : seuls les clients 802.11n fonctionnant dans la fréquence 2,4 GHz peuvent se connecter au périphérique WAP. Channel Bandwidth : la spécification 802.11n autorise un canal de 20/ 40 MHz en plus du canal de 20 MHz hérité disponible avec les autres modes. Le canal de 20/40 MHz offre des débits de données plus élevés, mais laisse moins de canaux à la disposition des autres périphériques de 2,4 GHz et 5 GHz. Par défaut, lorsque le mode radio inclut 802.11n, la bande passante du canal est définie sur 20 MHz pour 2,4 GHz et 20/40 MHz pour 5 GHz. Guide d'administration pour Cisco WAP131 et WAP351 80 5 Accès sans fil Radio • Primary Channel (modes 802.11n avec une bande passante de 20/40 MHz seulement) : on peut considérer qu'un canal de 40 MHz se compose de deux canaux de 20 MHz qui sont contigus dans le domaine de fréquence. Ces deux canaux de 20 MHz sont souvent appelés canal principal et canal secondaire. Le canal principal est utilisé pour les clients 802.11n qui prennent uniquement en charge une bande passante de canal de 20 MHz, ainsi que pour les clients hérités. Sélectionnez l'une des options suivantes : • - Upper : définit le canal principal en tant que canal de 20 MHz supérieur dans la bande de 40 MHz. - Lower : définit le canal principal en tant que canal de 20 MHz inférieur dans la bande de 40 MHz. Lower est la sélection par défaut. Channel : partie du spectre radio utilisée par la radio pour la transmission et la réception. La plage des canaux disponibles est déterminée par le mode de l'interface radio et le paramètre de code de pays. Si vous sélectionnez Auto pour le paramètre de canal, le périphérique WAP recherche les canaux disponibles et sélectionne le canal enregistrant le moins de trafic. Chaque mode offre plusieurs canaux en fonction du spectre attribué sous licence par les autorités nationales et internationales, telles que la Federal Communications Commission (FCC) ou la International Telecommunication Union (ITU-R). ÉTAPE 5 Dans la zone Advanced Settings, définissez les paramètres suivants : • Short Guard Interval Supported : ce champ est uniquement disponible si le mode radio sélectionné inclut 802.11n. L'intervalle de sûreté est le temps mort, en nanosecondes, entre les symboles OFDM. L'intervalle de sûreté empêche les interférences ISI (Inter-Symbol Interference) et ICI (Inter-Carrier Interference). Le mode 802.11n permet la réduction, dans cet intervalle de sûreté, des définitions a et g de 800 nanosecondes à 400 nanosecondes. La diminution de l'intervalle de sûreté peut entraîner une amélioration de 10 pour cent du débit de données. Le client avec lequel le périphérique WAP communique doit aussi prendre en charge l'intervalle de sûreté court. Sélectionnez l'une des options suivantes : - Yes : le périphérique WAP transmet les données avec un intervalle de sûreté de 400 nanosecondes lorsqu'il communique avec des clients prenant aussi en charge l'intervalle de sûreté court. Il s'agit de la valeur sélectionnée par défaut. Guide d'administration pour Cisco WAP131 et WAP351 81 5 Accès sans fil Radio • No : le périphérique WAP transmet les données avec un intervalle de sûreté de 800 nanosecondes. Protection : la fonction de protection contient les règles garantissant que les transmissions 802.11 ne créent pas d'interférences avec les stations ou applications héritées. Par défaut, la protection est activée (Auto). Lorsque la protection est activée, celle-ci est appelée si des périphériques hérités se trouvent à portée du périphérique WAP. Vous pouvez désactiver la protection (Off) ; cependant, les clients hérités ou les périphériques WAP à portée peuvent être affectés par les transmissions 802.11n. La protection est également disponible lorsque le mode est 802.11b/g. Si la protection est activée dans ce mode, elle protège les clients 802.11b et les périphériques WAP contre les transmissions 802.11g. REMARQUE Ce paramètre n'empêche pas le client de s'associer au périphérique WAP. • Beacon Interval : intervalle entre la transmission des trames de balise. Le périphérique WAP les transmet à intervalles réguliers pour annoncer l'existence du réseau sans fil. Le comportement par défaut consiste à envoyer une trame de balise toutes les 100 millisecondes (ou 10 par seconde). Saisissez un entier compris entre 20 et 2 000 millisecondes. La valeur par défaut est 100 millisecondes. • DTIM Period : période DTIM (Delivery Traffic Information Map). Saisissez un entier compris entre 1 et 255 balises. La valeur par défaut est 2 balises. Le message DTIM est un élément inclus dans certaines trames de balise. Il indique les stations clientes actuellement en mode basse puissance qui ont des données mises en mémoire tampon sur le périphérique WAP en attente de sélection. La période DTIM que vous spécifiez indique la fréquence à laquelle les clients servis par ce périphérique WAP doivent rechercher les données mises en mémoire tampon qui se trouvent encore sur le périphérique WAP en attente de sélection. La mesure s'effectue en balises. Par exemple, si vous définissez cette valeur sur 1, les clients recherchent les données mises en mémoire tampon sur le périphérique WAP à chaque balise. Si vous définissez cette valeur sur 10, les clients effectuent leur recherche toutes les 10 balises. • Fragmentation Threshold : seuil de la taille de trame en octets. L'entier valide doit être pair et se trouver dans la plage comprise entre 256 et 2 346. La valeur par défaut est 2 346. Guide d'administration pour Cisco WAP131 et WAP351 82 5 Accès sans fil Radio Le seuil de fragmentation est un moyen de limiter la taille des paquets (trames) transmis sur le réseau. Si un paquet dépasse le seuil de fragmentation défini, la fonction de fragmentation est activée et le paquet est envoyé sous la forme de plusieurs trames 802.11. Si le paquet transmis est égal ou inférieur au seuil, la fragmentation n'est pas utilisée. La définition du seuil sur la valeur la plus élevée (2 346 octets, qui est la valeur par défaut) désactive effectivement la fragmentation. La fragmentation implique une charge de traitement supérieure, en raison du travail supplémentaire nécessaire à la division et au réassemblage des trames, mais aussi parce qu'elle augmente le trafic de messages sur le réseau. Toutefois, la fragmentation peut contribuer à améliorer la performance et la fiabilité du réseau si elle est correctement configurée. L'envoi de trames plus petites (par l'intermédiaire d'un seuil de fragmentation plus bas) peut aider à résoudre les problèmes d'interférences, par exemple avec les fours à micro-ondes. Par défaut, la fragmentation est désactivée. Nous vous conseillons de ne pas utiliser la fragmentation à moins que vous ne suspectiez des interférences radio. Les en-têtes supplémentaires appliqués à chaque fragment augmentent la charge de traitement sur le réseau et peuvent réduire significativement le débit. • RTS Threshold : valeur de seuil Request to Send (RTS). La plage de nombres entiers valides est comprise entre 0 et 2 347. La valeur par défaut est 2 347. Le seuil RTS indique le nombre d'octets dans un MPDU au-dessous duquel aucune liaison RTS/CTS n'est établie. La modification du seuil RTS peut aider à contrôler le flux de trafic via le périphérique WAP, notamment lorsqu'il comporte un grand nombre de clients. Si vous indiquez une valeur de seuil faible, les paquets RTS sont envoyés plus fréquemment, ce qui consomme davantage de bande passante et réduit le débit du paquet. Cependant, l'envoi d'un plus grand nombre de paquets RTS peut permettre le rétablissement du réseau suite à des interférences ou des collisions susceptibles de se produire sur un réseau chargé ou sur un réseau rencontrant des interférences électromagnétiques. • Maximum Associated Clients : nombre maximal de stations autorisées à accéder au périphérique WAP à un moment donné. Vous pouvez entrer un entier compris entre 0 et 200. La valeur par défaut est 200 stations. Guide d'administration pour Cisco WAP131 et WAP351 83 5 Accès sans fil Radio • Transmit Power : valeur en pourcentage du niveau de puissance de transmission pour le périphérique WAP. La valeur par défaut de 100 pour cent peut être plus économique qu'un pourcentage inférieur, car elle donne au périphérique WAP une plage de diffusion maximale et réduit le nombre de points d'accès requis. Pour accroître la capacité du réseau, rapprochez les périphériques WAP les uns des autres et réduisez la valeur de la puissance de transmission. Ce paramètre permet ainsi de limiter le chevauchement et les interférences entre les points d'accès. Une puissance de transmission plus basse permet également de sécuriser davantage votre réseau, car des signaux sans fil plus faibles sont moins susceptibles de se propager en dehors de l'emplacement physique de votre réseau. Certaines combinaisons de plages de canaux et de code de pays ont une puissance de transmission maximale relativement basse. Si vous essayez de définir la puissance de transmission sur des plages plus basses (par exemple, 25 % ou 12 %), la baisse de puissance attendue est susceptible de ne pas se produire, car certains amplificateurs de puissance doivent respecter une puissance de transmission minimale. • Fixed Multicast Rate : vitesse de transmission en Mbit/s pour les paquets de diffusion et de multidiffusion. Ce paramètre peut être utile dans un environnement présentant un flux vidéo continu multidestination sans fil, à condition que les clients sans fil prennent en charge le débit configuré. Lorsque Auto est sélectionné, le périphérique WAP choisit le meilleur débit pour les clients associés. La plage de valeurs valides est déterminée par le mode radio configuré. • Legacy Rate Sets : les débits sont exprimés en mégabits par seconde. Le paramètre Supported Rate Sets indique les débits pris en charge par le périphérique WAP. Vous pouvez sélectionner plusieurs débits (cochez une case pour sélectionner un débit ou décochez-la pour le désélectionner). Le périphérique WAP choisit automatiquement le débit le plus efficace en fonction de facteurs tels que les taux d'erreur et la distance entre les stations clientes et le périphérique WAP. Le paramètre Basic Rate Sets indique les débits annoncés au réseau par le périphérique WAP, de façon à établir la communication avec les autres points d'accès et stations clientes du réseau. Il est généralement plus efficace d'avoir un périphérique WAP qui diffuse un sous-ensemble de ses ensembles de débits pris en charge. Guide d'administration pour Cisco WAP131 et WAP351 84 5 Accès sans fil Radio • Broadcast/Multicast Rate Limiting : la limite du débit de diffusion et multidiffusion peut augmenter la performance globale du réseau en limitant le nombre de paquets transmis sur le réseau. Par défaut, cette fonction est désactivée. Tant que vous ne l'activez pas, les champs ci-dessous sont désactivés : • • • - Rate Limit : limite de débit pour le trafic de diffusion et multidiffusion. La limite doit être supérieure à 1, mais inférieure à 50 paquets par seconde. Tout le trafic inférieur à cette limite de débit est conforme et est toujours transmis vers la destination appropriée. Le paramètre de limite de débit par défaut et maximale est de 50 paquets par seconde. - Rate Limit Burst : volume de trafic, mesuré en octets, autorisé à transiter sous forme de rafale temporaire même s'il dépasse le débit maximal défini. Le paramètre de rafale de limite de débit par défaut et maximale est de 75 paquets par seconde. TSPEC Mode : régule le mode TSPEC global sur le périphérique WAP. Par défaut, le mode TSPEC est désactivé. Les options sont les suivantes : - On : le périphérique WAP traite les demandes TSPEC en fonction des paramètres TSPEC définis sur la page Radio. Utilisez ce paramètre si le périphérique WAP gère le trafic provenant de périphériques QoS, tels qu'un téléphone CERTIFIÉ Wi-Fi. - Off : le périphérique WAP ignore les demandes TSPEC des stations clientes. Utilisez ce paramètre si vous ne souhaitez pas utiliser TSPEC pour donner la priorité aux périphériques QoS en cas de trafic urgent. TSPEC Voice ACM Mode : régule le contrôle d'admission obligatoire (ACM) pour la catégorie d'accès vocal. Par défaut, le mode TSPEC Voice ACM est désactivé. Les options sont les suivantes : - On : une station doit envoyer une demande TSPEC de bande passante au périphérique WAP avant d'envoyer ou de recevoir un flux de trafic vocal. Le périphérique WAP répond avec le résultat de la demande, qui inclut le temps moyen alloué si la TSPEC a été autorisée. - Off : une station peut envoyer et recevoir le trafic de priorité voix sans nécessiter de demande TSPEC admise. Le périphérique WAP ignore les demandes TSPEC voix émanant des stations clientes. TSPEC Voice ACM Limit : limite supérieure du volume de trafic que le périphérique WAP tente de transmettre sur le support sans fil via un contrôle d'admission voix pour obtenir l'accès. La limite par défaut est de 20 pour cent du trafic total. Guide d'administration pour Cisco WAP131 et WAP351 85 5 Accès sans fil Radio • TSPEC Video ACM Mode : régule le contrôle d'admission obligatoire pour la catégorie d'accès vidéo. Par défaut, le mode TSPEC Video ACM est désactivé. Les options sont les suivantes : - On : une station doit envoyer une demande TSPEC de bande passante au périphérique WAP avant d'envoyer ou de recevoir un flux de trafic vidéo. Le périphérique WAP répond avec le résultat de la demande, qui inclut le temps moyen alloué si la TSPEC a été autorisée. - Off : une station peut envoyer et recevoir le trafic de priorité vidéo sans nécessiter de TSPEC autorisée ; le périphérique WAP ignore les demandes TSPEC vidéo des stations clientes. • TSPEC Video ACM Limit : limite supérieure du volume de trafic que le périphérique WAP tente de transmettre sur le support sans fil via un contrôle d'autorisation vidéo pour obtenir l'accès. La limite par défaut est de 15 pour cent du trafic total. • TSPEC AP Inactivity Timeout : durée nécessaire à un périphérique WAP pour détecter une spécification inactive de trafic descendant avant de la supprimer. La plage de nombres entiers valides est comprise entre 0 et 120 secondes. La valeur par défaut est 30 secondes. • TSPEC Station Inactivity Timeout : durée nécessaire à un périphérique WAP pour détecter une spécification inactive de trafic montant avant de la supprimer. La plage de nombres entiers valides est comprise entre 0 et 120 secondes. La valeur par défaut est 30 secondes. • TSPEC Legacy WMM Queue Map Mode : active ou désactive l'interaction du trafic hérité dans les files d'attente fonctionnant comme ACM. Par défaut, ce mode est désactivé. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique WAP perde la connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 86 5 Accès sans fil Rogue AP Detection Rogue AP Detection Le périphérique Cisco WAP351 prend en charge la fonction de détection des points d'accès non autorisés. Un point d'accès non autorisé est un point d'accès qui a été installé sur un réseau sécurisé sans l'autorisation explicite d'un administrateur système. Les points d'accès non autorisés constituent une menace sur le plan de la sécurité, car toute personne ayant accès aux locaux peut, par ignorance ou par malveillance, installer un périphérique WAP sans fil bon marché pouvant potentiellement permettre à des personnes non autorisées d'accéder au réseau. REMARQUE La fonction de détection des points d'accès non autorisés est seulement disponible sur les périphériques Cisco WAP351. Le modèle Cisco WAP131 ne prend pas cette fonction en charge. Le périphérique WAP effectue une analyse RF sur tous les canaux afin de détecter tous les points d'accès à proximité du réseau. Si des points d'accès non autorisés sont détectés, ils apparaissent sur la page Rogue AP Detection. Si un point d'accès identifié comme non autorisé est en réalité légitime, vous pouvez l'ajouter à la Known AP List. REMARQUE La Detected Rogue AP List et la Trusted AP List fournissent les informations vous permettant de prendre les mesures adéquates. Le point d'accès n'a aucun contrôle sur les points d'accès non autorisés qui sont indiqués dans les listes et ne peut pas appliquer de stratégies de sécurité aux points d'accès détectés via l'analyse RF. Lorsque la fonction de détection des points d'accès non autorisés est activée, la radio quitte régulièrement son canal de fonctionnement pour analyser les autres canaux de la même bande. Affichage de la Rogue AP List La détection des points d'accès non autorisés ne fonctionne pas tant que la radio sans fil n'est pas activée. Vous devez donc activer l'interface radio avant d'activer la fonction de détection des points d'accès non autorisés pour cette dernière. Pour que la radio puisse recueillir des informations sur les points d'accès non autorisés, procédez comme suit : ÉTAPE 1 Sélectionnez Wireless > Rogue AP Detection. ÉTAPE 2 Cochez Enable en regard des champs AP Detection for Radio 1 et AP Detection for Radio 2. Guide d'administration pour Cisco WAP131 et WAP351 87 5 Accès sans fil Rogue AP Detection ÉTAPE 3 Cliquez sur Save. Le tableau Detected Rogue AP List affiche des informations sur tous les points d'accès non autorisés détectés, tandis que le tableau Trusted AP List affiche des informations sur tous les points d'accès approuvés. • MAC Address : adresse MAC du point d'accès non autorisé. • Beacon Interval : intervalle de balise utilisé par le point d'accès non autorisé. Les trames de balise sont transmises par un point d'accès à intervalles réguliers pour annoncer l'existence du réseau sans fil. Le comportement par défaut consiste à envoyer une trame de balise toutes les 100 millisecondes (ou 10 par seconde). Vous pouvez définir l'intervalle de balise sur la page Radio. • Type : type du périphérique. Les options sont les suivantes : - AP : indique que le périphérique non autorisé est un point d'accès qui prend en charge la structure IEEE 802.11 Wireless Networking Framework en mode infrastructure. - Ad hoc : indique que la station non autorisée fonctionne en mode Ad hoc. Les stations définies en mode Ad hoc communiquent directement entre elles, sans utiliser de point d'accès classique. Le mode Ad hoc est une structure IEEE 802.11 Wireless Networking Framework, également appelée mode d'égal à égal, ou ensemble de services de base indépendants (IBSS, Independent Basic Service Set). • SSID : SSID (Service Set Identifier) du périphérique WAP. Le SSID est une chaîne alphanumérique de 32 caractères maximum qui identifie de manière unique un réseau local sans fil. Il porte également le nom de Network Name (nom du réseau). • Privacy : indique si le périphérique non autorisé intègre un dispositif de sécurité. Les options sont les suivantes : • - Off : indique que le mode de sécurité sur le périphérique non autorisé est défini sur None (aucune sécurité). - On : indique que le périphérique non autorisé intègre un dispositif de sécurité. Vous pouvez utiliser la page Réseaux pour définir les paramètres de sécurité sur le périphérique WAP. WPA : indique si la sécurité WPA est activée ou désactivée pour le point d'accès non autorisé. Guide d'administration pour Cisco WAP131 et WAP351 88 5 Accès sans fil Rogue AP Detection • Band : mode IEEE 802.11 utilisé sur le point d'accès non autorisé, par exemple IEEE 802.11a, IEEE 802.11b, IEEE 802.11g. Le numéro affiché indique le mode : - 2,4 indique le mode IEEE 802.11b, 802.11g ou 802.11n (ou une combinaison des modes). - 5 indique le mode IEEE 802.11a ou 802.11n (ou les deux modes). • Channel : canal sur lequel le point d'accès non autorisé diffuse actuellement. Le canal définit la partie du spectre radio utilisée par la radio pour la transmission et la réception. La page Radio vous permet de définir le canal. • Rate : débit, en mégabits par seconde, auquel le point d'accès non autorisé transmet actuellement. Le débit actuel est toujours l'un des débits affichés dans le champ Supported Rates. • Signal : puissance du signal radio qui émet depuis le point d'accès non autorisé. Si vous passez le pointeur de la souris sur les barres, un nombre représentant la puissance en décibels (dB) apparaît. • Beacons : nombre total de balises reçues du point d'accès non autorisé depuis sa première détection. • Last Beacon : date et heure de la dernière balise reçue du point d'accès non autorisé. • Rates : ensembles de débits de base (annoncés) et pris en charge pour le point d'accès non autorisé. Les débits sont affichés en mégabits par seconde (Mbit/s). Tous les débits pris en charge sont répertoriés ; les débits de base apparaissent en gras. Vous pouvez configurer les ensembles de débits sur la page Radio. ÉTAPE 4 Si le point d'accès se trouve dans la liste des points d'accès non autorisés détectés, cliquez sur Trust pour le déplacer vers la liste des points d'accès approuvés. Si le point d'accès se trouve dans la liste des points d'accès approuvés, cliquez sur Untrust pour le déplacer vers la liste des points d'accès non autorisés détectés. ÉTAPE 5 Cliquez sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. Guide d'administration pour Cisco WAP131 et WAP351 89 5 Accès sans fil Rogue AP Detection Enregistrement de la liste des points d'accès approuvés Pour créer une Trusted AP List et l'enregistrer dans un fichier : ÉTAPE 1 Sélectionnez Wireless > Rogue AP Detection. ÉTAPE 2 Dans Detected Rogue AP List, cliquez sur Trust pour les points d'accès que vous connaissez. Les points d'accès approuvés sont déplacés vers le tableau Trusted AP List. ÉTAPE 3 Dans la zone Download/Backup Trusted AP List, cliquez sur Backup (AP to PC). ÉTAPE 4 Cliquez sur Save. La liste contient les adresses MAC de tous les points d'accès qui ont été ajoutés à la Known AP List. Par défaut, le nom du fichier est Rogue2.cfg. Vous pouvez utiliser un éditeur de texte ou un navigateur Web pour ouvrir le fichier et afficher son contenu. Importation d'une liste de points d'accès approuvés Vous pouvez importer une liste de points d'accès connus à partir d'une liste enregistrée. Vous pouvez obtenir la liste à partir d'un autre point d'accès ou la créer à partir d'un fichier texte. Si l'adresse MAC d'un point d'accès apparaît dans la Trusted AP List, elle ne sera plus détectée comme non autorisée. Pour importer une liste de points d'accès à partir d'un fichier : ÉTAPE 1 Sélectionnez Wireless > Rogue AP Detection. ÉTAPE 2 Dans la zone Download/Backup Trusted AP List, cliquez sur Download (PC to AP). ÉTAPE 3 Dans le champ Source File Name, cliquez sur Browse pour sélectionner le fichier à importer. Le fichier que vous importez doit être un fichier texte brut portant une extension .txt ou .cfg. Les entrées du fichier sont des adresses MAC au format hexadécimal, dont chaque octet est séparé par le signe deux-points (par exemple, 00:11:22:33:44:55). Vous devez séparer les entrées par un caractère espace simple. Pour que le point d'accès accepte le fichier, il doit uniquement contenir des adresses MAC. Guide d'administration pour Cisco WAP131 et WAP351 90 5 Accès sans fil Réseaux ÉTAPE 4 Dans le champ File Management Destination, indiquez si vous souhaitez remplacer la liste des points d'accès approuvés existante ou ajouter les entrées du fichier importé à cette liste. Les options sont les suivantes : • Replace : permet d'importer la liste et de remplacer le contenu de la liste des points d'accès connus. • Merge : permet d'importer la liste et d'ajouter les points d'accès du fichier importé aux points d'accès actuellement présents dans la liste des points d'accès connus. ÉTAPE 5 Cliquez sur Save. Une fois l'importation terminée, l'écran s'actualise et les adresses MAC des points d'accès du fichier importé apparaissent dans la Known AP List. Réseaux Les points d'accès virtuels (VAP) segmentent le réseau local sans fil en plusieurs domaines de diffusion qui constituent l'équivalent sans fil des VLAN Ethernet. Les VAP simulent plusieurs points d'accès dans un seul périphérique WAP physique. Quatre VAP au maximum sont pris en charge sur le périphérique Cisco WAP131 et huit VAP au maximum sont pris en charge sur le périphérique Cisco WAP351. Chaque VAP peut être activé ou désactivé indépendamment, à l'exception du VAP0. Le VAP0 est l'interface radio physique et reste activé tant que la radio est activée. Pour désactiver le VAP0, la radio elle-même doit être désactivée. Chaque VAP est identifié par un SSID (Service Set Identifier) configuré par l'utilisateur. Plusieurs VAP ne peuvent pas avoir le même nom SSID. Les diffusions SSID peuvent être activées ou désactivées indépendamment sur chaque VAP. La diffusion SSID est activée par défaut. Conventions d'affectation de noms SSID Le SSID par défaut de VAP0 est ciscosb. Chaque VAP supplémentaire créé a un nom SSID vierge. Les SSID de tous les VAP peuvent être définis sur d'autres valeurs. Le SSID peut être n'importe quelle entrée alphanumérique sensible à la casse constituée de 2 à 32 caractères. Les caractères imprimables plus l'espace (ASCII 0x20) sont autorisés, mais les six caractères suivants ne le sont pas : ?, ", $, [, \, ] et +. Guide d'administration pour Cisco WAP131 et WAP351 91 5 Accès sans fil Réseaux Les caractères autorisés sont les suivants : ASCII 0x20, 0x21, 0x23, 0x25 à 0x2A, 0x2C à 0x3E, 0x40 à 0x5A, 0x5E à 0x7E. En outre, les trois caractères suivants ne peuvent pas être le premier caractère : !, # et ; (respectivement ASCII 0x21, 0x23 et 0x3B). Les espaces au début et à la fin (ASCII 0x20) ne sont pas autorisés. REMARQUE Cela signifie que les caractères espaces sont autorisés dans le SSID, mais pas comme premier ou dernier caractère. Le point « . » (ASCII 0x2E) est aussi autorisé. ID de VLAN Chaque VAP est associé à un VLAN, qui est identifié par un ID de VLAN (VID). Un VID peut avoir n'importe quelle valeur comprise entre 1 et 4 094 inclus. Le périphérique Cisco WAP131 prend en charge cinq VLAN actifs (quatre pour le WLAN plus un VLAN de gestion). Le périphérique Cisco WAP351 prend en charge 17 VLAN actifs (16 pour le WLAN plus un VLAN de gestion). Par défaut, le VID attribué à l'utilitaire de configuration pour le périphérique WAP est 1, qui est aussi le VID non balisé par défaut. Si le VID de gestion est le même que le VID attribué à un VAP, les clients WLAN associés à ce VAP spécifique peuvent administrer le périphérique WAP. Si nécessaire, une liste de contrôle d'accès (ACL) peut être créée pour désactiver l'administration depuis les clients WLAN. Configuration des VAP Pour configurer les VAP : ÉTAPE 1 Sélectionnez Wireless > Networks. ÉTAPE 2 Dans le champ Radio, cliquez sur l'interface radio à laquelle appliquer les paramètres de configuration VAP. ÉTAPE 3 Si VAP0 est le seul VAP configuré sur le système et que vous souhaitez ajouter un VAP, cliquez sur Add. Cochez ensuite le VAP, puis cliquez sur Edit. ÉTAPE 4 Cochez Enable en regard du VAP à configurer. Guide d'administration pour Cisco WAP131 et WAP351 92 5 Accès sans fil Réseaux ÉTAPE 5 Définissez les paramètres suivants : • VLAN ID : indiquez le VID du VLAN à associer au VAP. Veillez à saisir un ID de VLAN correctement configuré sur le réseau. Des problèmes réseau peuvent survenir si le VAP associe les clients sans fil à un VLAN mal configuré. Si un client sans fil se connecte au périphérique WAP par l'intermédiaire de ce VAP, le périphérique WAP balise tout le trafic provenant du client sans fil avec l'ID de VLAN saisi dans ce champ, sauf si vous saisissez l'ID de VLAN du port ou si vous utilisez un serveur RADIUS pour attribuer un client sans fil à un VLAN. La plage de l'ID de VLAN est comprise entre 1 et 4094. Si vous définissez l'ID de VLAN sur une valeur autre que l'ID de VLAN de gestion actuel, les clients WLAN associés à ce VAP spécifique ne peuvent pas administrer le périphérique. Vous pouvez vérifier la configuration des ID de VLAN non balisés et de gestion sur la page du réseau local (LAN). Pour plus d'informations, reportez-vous à la section Configuration VLAN. • SSID Name : saisissez le nom du réseau sans fil. Le SSID est une chaîne alphanumérique constituée de 32 caractères maximum. Choisissez un SSID unique pour chaque VAP. Si vous êtes connecté en tant que client sans fil au périphérique WAP que vous administrez, la réinitialisation du SSID entraînera une perte de connexion au périphérique WAP. Vous devrez vous reconnecter au nouveau SSID une fois cette nouvelle configuration enregistrée. • SSID Broadcast : active et désactive la diffusion du SSID. Indiquez si vous souhaitez autoriser le périphérique WAP à diffuser le SSID dans ses trames de balise. Le paramètre Broadcast SSID est activé par défaut. Lorsque le VAP ne diffuse pas son SSID, le nom réseau n'apparaît pas dans la liste des réseaux disponibles sur une station cliente. Vous devez donc saisir manuellement le nom réseau exact dans l'utilitaire de connexion sans fil sur le client, afin de permettre l'établissement de la connexion. La désactivation du SSID de diffusion est suffisante pour empêcher les clients de se connecter accidentellement à votre réseau, mais celle-ci n'empêche aucunement la plus simple des tentatives d'un pirate informatique de se connecter ou de surveiller le trafic déchiffré. La suppression de la diffusion SSID offre un niveau de protection très bas sur un réseau autrement exposé (comme un réseau d'invité) où la priorité est de permettre aux clients d'obtenir une connexion et où aucune information sensible n'est disponible. Guide d'administration pour Cisco WAP131 et WAP351 93 5 Accès sans fil Réseaux • Security : sélectionnez le type d'authentification requis pour l'accès au VAP. Les options sont les suivantes : - None - Static WEP - Dynamic WEP - WPA Personal - WPA Enterprise Si vous sélectionnez un mode de sécurité autre que None (Aucun), des champs supplémentaires s'affichent. Pour de plus amples informations sur la définition des paramètres de sécurité sans fil, reportez-vous à la section Définition des paramètres de sécurité. Nous vous conseillons d'utiliser WPA Personal ou WPA Enterprise comme type d'authentification, car ils offrent une sécurité plus élevée. Utilisez Static WEP ou Dynamic WEP uniquement pour les périphériques ou ordinateurs sans fil hérités qui ne prennent pas en charge WPA Personal et WPA Enterprise. Si vous devez définir la sécurité sur Static WEP ou Dynamic WEP, configurez la radio sur le mode 802.11a ou 802.11b/g (voir Radio). Le mode 802.11n restreint l'utilisation de Static WEP ou Dynamic WEP en tant que mode de sécurité. • • MAC Filter : indique si les stations pouvant accéder à ce VAP sont limitées à une liste globale configurée d'adresses MAC. Vous pouvez sélectionner l'un de ces types de filtrage MAC : - Disabled : le filtrage MAC n'est pas utilisé. - Local : utilise la liste d'authentification MAC que vous configurez sur la page MAC Filtering. - RADIUS : utilise la liste d'authentification MAC sur un serveur RADIUS externe. Channel Isolation : active et désactive l'isolation des stations. Lorsque ce paramètre est désactivé, les clients sans fil peuvent communiquer entre eux normalement en envoyant le trafic via le périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 94 5 Accès sans fil Réseaux Lorsque ce paramètre est activé, le périphérique WAP bloque les communications entre les clients sans fil situés sur le même VAP. Le périphérique WAP autorise toujours le trafic de données entre ses clients sans fil et les périphériques filaires du réseau, via une liaison WDS, et avec les autres clients sans fil associés à un autre VAP, mais pas entre les clients sans fil eux-mêmes. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. ! AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique WAP perde la connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. REMARQUE Pour supprimer un VAP, cochez-le, puis cliquez sur Delete. Pour enregistrer définitivement votre suppression, cliquez sur Save lorsque vous avez terminé. Définition des paramètres de sécurité Ces sections décrivent les paramètres de sécurité que vous définissez, en fonction de votre sélection dans la liste Security de la page Networks. None (Plain-text) Si vous sélectionnez None (Aucun) comme mode de sécurité, aucun paramètre de sécurité supplémentaire ne peut être défini sur le périphérique WAP. Ce mode implique que toutes les données transférées depuis et vers le périphérique WAP ne sont pas cryptées. Ce mode de sécurité peut être utile lors de la configuration initiale du réseau pour la résolution des problèmes, mais il n'est pas recommandé pour une utilisation régulière sur le réseau interne, car il n'offre pas la sécurité nécessaire. Guide d'administration pour Cisco WAP131 et WAP351 95 5 Accès sans fil Réseaux Static WEP Wired Equivalent Privacy (WEP) est un protocole de chiffrement de données destiné aux réseaux sans fil 802.11. Tous les points d'accès et stations sans fil du réseau sont configurés avec une clé partagée statique 64 bits (clé secrète 40 bits + vecteur d'initialisation 24 bits) ou 128 bits (clé secrète 104 bits + vecteur d'initialisation 24 bits) pour le cryptage des données. Static WEP n'est pas le mode offrant le plus de sécurité, mais il fournit davantage de protection que le mode None (Plain-text), puisqu'il empêche un utilisateur externe de facilement détecter le trafic sans fil non chiffré. WEP chiffre les données transmises sur le réseau sans fil à partir d'une clé statique. (L'algorithme de chiffrement est un chiffrement de flux appelé RC4.) Les paramètres suivants vous permettent de configurer le mode Static WEP : • Transfer Key Index : saisissez une liste des index de clé. Les index de clé 1 à 4 sont disponibles. La valeur par défaut est 1. Le paramètre Transfer Key Index indique la clé WEP utilisée par le périphérique WAP pour crypter les données qu'il transmet. • Key Length : sélectionnez une longueur de clé de 64 bits ou 128 bits. • Key Type : sélectionnez le type de clé ASCII ou Hex. • WEP Keys : vous pouvez spécifier un maximum de quatre clés WEP. Dans chaque zone de texte, saisissez une chaîne de caractères pour chaque clé. Les clés que vous saisissez dépendent du type de clé sélectionné : - ASCII : inclut les lettres alphabétiques majuscules et minuscules, les chiffres et les symboles spéciaux tels que @ et #. - Hex : inclut les chiffres 0 à 9 et les lettres A à F. Utilisez le même nombre de caractères pour chaque clé, comme spécifié dans le champ Characters Required. Il s'agit des clés RC4 WEP partagées avec les stations par l'intermédiaire du périphérique WAP. Chaque station cliente doit être configurée pour utiliser l'une de ces mêmes clés WEP, dans le même logement que celui spécifié sur le périphérique WAP. • Characters Required : le nombre de caractères que vous saisissez dans les champs WEP Key est déterminé par la longueur de clé et le type de clé que vous sélectionnez. Par exemple, si vous utilisez des clés ASCII 128 bits, vous devez saisir 26 caractères dans le champ WEP key. Le nombre de caractères requis est automatiquement mis à jour en fonction des valeurs définies pour la longueur de clé et le type de clé. Guide d'administration pour Cisco WAP131 et WAP351 96 5 Accès sans fil Réseaux • 802.1X Authentication : l'algorithme d'authentification définit la méthode utilisée pour déterminer si une station cliente est autorisée à s'associer au périphérique WAP lorsque le mode de sécurité Static WEP est sélectionné. Indiquez l'algorithme d'authentification que vous souhaitez utiliser en sélectionnant l'une des options suivantes : - L'authentification Open System permet à n'importe quelle station cliente de s'associer au périphérique WAP, peu importe si cette station cliente dispose de la clé WEP correcte. Cet algorithme est aussi utilisé dans les modes texte en clair, IEEE802.1X et WPA. Lorsque l'algorithme d'authentification est défini sur Open System, tout client peut s'associer au périphérique WAP. REMARQUE Le fait qu'une station cliente soit autorisée à s'associer ne signifie pas qu'elle pourra systématiquement échanger des données avec un périphérique WAP. Une station doit disposer de la clé WEP correcte pour pouvoir accéder au périphérique WAP et déchiffrer ses données, mais aussi pour transmettre des données lisibles à celui-ci. - L'authentification Shared Key nécessite que la station cliente dispose de la clé WEP correcte pour s'associer au périphérique WAP. Lorsque l'algorithme d'authentification est défini sur Shared Key, une station ayant une clé WEP incorrecte ne peut pas s'associer au périphérique WAP. - Open System et Shared Key : si vous sélectionnez les deux algorithmes d'authentification, les stations clientes configurées pour utiliser WEP en mode de clé partagée doivent disposer d'une clé WEP valide pour s'associer au périphérique WAP. En outre, les stations clientes configurées pour utiliser WEP en tant que système ouvert (mode de clé partagée désactivé) peuvent s'associer au périphérique WAP même si elles ne disposent pas de la clé WEP correcte. Règles du mode Static WEP Si vous utilisez Static WEP, les règles suivantes s'appliquent : • Toutes les stations clientes doivent avoir la sécurité Wireless LAN (WLAN) définie sur WEP, et tous les clients doivent disposer de l'une des clés WEP spécifiées sur le périphérique WAP pour pouvoir décoder les transmissions de données du point d'accès vers la station. • Le périphérique WAP doit avoir toutes les clés utilisées par les clients pour les transmissions de la station vers le point d'accès, afin de pouvoir décoder les transmissions de la station. Guide d'administration pour Cisco WAP131 et WAP351 97 5 Accès sans fil Réseaux • La même clé doit occuper le même logement sur tous les nœuds (point d'accès et clients). Par exemple, si le périphérique WAP définit la clé abc123 comme clé WEP 3, alors les stations clientes doivent définir cette même chaîne comme clé WEP 3. • Les stations clientes peuvent utiliser différentes clés pour transmettre des données au point d'accès. (Elles peuvent aussi toutes utiliser la même clé, mais cela s'avère moins sûr car cela signifie qu'une station peut déchiffrer les données envoyées par une autre.) • Sur certains logiciels de clients sans fil, vous pouvez configurer plusieurs clés WEP et définir un index de clé de transfert de station cliente, puis configurer les stations de manière à crypter les données qu'elles transmettent par l'intermédiaire de différentes clés. Cela permet de s'assurer que les points d'accès situés à proximité ne pourront pas décoder les transmissions des autres points d'accès. • Vous ne pouvez pas placer à la fois des clés WEP 64 bits et 128 bits entre le point d'accès et ses stations clientes. Dynamic WEP Dynamic WEP se réfère à la combinaison de la technologie 802.1x et du protocole EAP (Extensible Authentication Protocol). Avec la sécurité Dynamic WEP, les clés WEP sont changées dynamiquement. Les messages EAP sont envoyés via un réseau sans fil IEEE 802.11 par l'intermédiaire d'un protocole appelé EAP Encapsulation Over LANs (EAPOL). IEEE 802.1X fournit des clés générées dynamiquement qui sont régulièrement actualisées. Un chiffrement de flux RC4 est utilisé pour déchiffrer le corps de trame et le contrôle de redondance cyclique (CRC) de chaque trame 802.11. Ce mode nécessite l'utilisation d'un serveur RADIUS externe pour l'authentification des utilisateurs. Le périphérique WAP requiert un serveur RADIUS prenant en charge EAP, tel que le Microsoft Internet Authentication Server. Pour fonctionner avec les clients Microsoft Windows, le serveur d'authentification doit prendre en charge Protected EAP (PEAP) et MSCHAP V2. Vous pouvez recourir à un large choix de méthodes d'authentification prises en charge par le mode IEEE 802.1X, notamment les certificats, Kerberos et l'authentification par clé publique. Vous devez configurer les stations clientes afin qu'elles utilisent la même méthode d'authentification que le périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 98 5 Accès sans fil Réseaux Les paramètres suivants vous permettent de configurer le mode Dynamic WEP : • Use Global RADIUS Server Settings : par défaut, chaque VAP utilise les paramètres RADIUS globaux que vous définissez pour le périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez configurer chaque VAP de façon à ce qu'il utilise un autre groupe de serveurs RADIUS. Pour utiliser les paramètres de serveur RADIUS globaux, veillez à cocher la case. Pour utiliser un serveur RADIUS distinct pour le VAP, décochez la case et saisissez l'adresse IP du serveur RADIUS, puis renseignez les champs cidessous : • Server IP Address Type : version IP utilisée par le serveur RADIUS. Vous pouvez basculer entre les différents types d'adresse afin de définir les paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le périphérique WAP ne contactera que le ou les serveurs RADIUS répondant au type d'adresse que vous sélectionnez dans ce champ. • Server IP Address 1 ou Server IPv6 Address 1 : adresse du serveur RADIUS principal pour ce VAP. Si IPv4 est sélectionné en tant que Server IP Address Type, saisissez l'adresse IP du serveur RADIUS que tous les VAP utilisent par défaut (par exemple, 192.168.10.23). Si IPv6 est sélectionné, saisissez l'adresse IPv6 du serveur RADIUS global principal (par exemple, 2001:DB8:1234::abcd). • Server IP Address 2 à 4 ou Server IPv6 Address 2 à 4 : jusqu'à trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si l'authentification auprès du serveur principal échoue, une tentative est effectuée sur chaque serveur de secours configuré. • Key 1 : clé secrète partagée utilisée par le périphérique WAP pour s'authentifier au serveur RADIUS principal. • Key 2 à Key 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2 utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address 3 utilise Key 3, etc. • Enable RADIUS Accounting : active le suivi et la mesure des ressources consommées par un utilisateur donné (heure système, volume de données transmises et reçues, etc.) Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et pour l'ensemble des serveurs de sauvegarde. Guide d'administration pour Cisco WAP131 et WAP351 99 5 Accès sans fil Réseaux • Active Server : permet de sélectionner administrativement le serveur RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans l'ordre chaque serveur configuré et de choisir le premier serveur actif. Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion est actualisée pour les clients associés à ce VAP. La valeur par défaut est 300 secondes. La plage valide est comprise entre 0 et 86 400 secondes. La valeur 0 indique que la clé de diffusion n'est pas actualisée. • Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion est actualisée pour les clients associés à ce VAP. • Session Key Refresh Rate : intervalle auquel le périphérique WAP actualise les clés de session (monodiffusion) pour chaque client associé au VAP. La plage valide est comprise entre 0 et 86 400 secondes. La valeur 0 indique que la clé de session n'est pas actualisée. WPA Personal WPA Personal est une norme IEEE 802.11i Wi-Fi Alliance qui inclut le chiffrement AES-CCMP et TKIP. La version Personal de WPA utilise une clé prépartagée (PSK) au lieu de IEEE 802.1X et EAP comme dans le mode de sécurité Enterprise WPA. Le PSK est uniquement utilisé pour le contrôle initial des informations d'identification. WPA Personal est également appelé WPA-PSK. Ce mode de sécurité est rétrocompatible pour les clients sans fil qui prennent en charge le WPA d'origine. Les paramètres ci-après permettent de configurer WPA Personal : • WPA Versions : sélectionnez les types de stations clientes que vous souhaitez prendre en charge : - WPA-TKIP : le réseau intègre certaines stations clientes qui prennent uniquement en charge le WPA d'origine ainsi que le protocole de sécurité TKIP. Notez que le fait de sélectionner uniquement WPA-TKIP pour le point d'accès n'est pas autorisé selon les dernières exigences de la WiFi Alliance. - WPA2-AES : toutes les stations clientes du réseau prennent en charge WPA2 ainsi que le protocole de chiffrement et de sécurité AES-CCMP. Cette version de WPA assure une sécurité optimale conformément à la norme IEEE 802.11i. Conformément aux dernières exigences de la WiFi Alliance, le point d'accès doit prendre en charge ce mode en permanence. Guide d'administration pour Cisco WAP131 et WAP351 100 5 Accès sans fil Réseaux Si le réseau intègre un mélange de clients, certains prenant en charge le WPA2 et d'autres prenant uniquement en charge le WPA d'origine, cochez les deux cases. Les stations clientes WPA et WPA2 peuvent ainsi s'associer et s'authentifier, mais peuvent aussi utiliser le WPA2 (plus robuste) pour les clients qui le prennent en charge. Cette configuration WPA offre davantage d'interopérabilité et un peu moins de sécurité. Les clients WPA doivent avoir l'une des clés ci-dessous pour pouvoir s'associer au périphérique WAP : - Une clé TKIP valide - Une clé AES-CCMP valide • Key : clé secrète partagée pour la sécurité WPA Personal. Saisissez une chaîne de 8 caractères minimum et de 63 caractères maximum. Les caractères acceptés sont les lettres alphabétiques majuscules et minuscules, les chiffres numériques et les symboles spéciaux comme @ et #. • Show Key as Clear Text : lorsque cette option est activée, le texte que vous saisissez est visible. Si cette option est désactivée, le texte n'est pas masqué lors de sa saisie. • Key Strength Meter : le périphérique WAP contrôle la clé sur la base de critères de complexité comme le nombre de types de caractères différents utilisés (lettres alphabétiques majuscules et minuscules, nombres et caractères spéciaux), mais vérifie également la longueur de la clé. Lorsque la fonction de contrôle de la complexité WPA-PSK est activée, la clé n'est pas acceptée si elle ne respecte pas les critères minimaux. Pour obtenir des informations sur la configuration du contrôle de la complexité, reportezvous à la section Complexité WPA-PSK. • Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion est actualisée pour les clients associés à ce VAP. La valeur par défaut est 300 secondes et la plage valide est comprise entre 0 et 86 400 secondes. La valeur 0 indique que la clé de diffusion n'est pas actualisée. WPA Enterprise WPA Enterprise avec RADIUS est une implémentation de la norme IEEE 802.11i Wi-Fi Alliance, qui inclut le chiffrement CCMP (AES) et TKIP. Le mode Enterprise nécessite l'utilisation d'un serveur RADIUS pour l'authentification des utilisateurs. Ce mode de sécurité est rétrocompatible avec les clients sans fil qui prennent en charge le WPA d'origine. Guide d'administration pour Cisco WAP131 et WAP351 101 5 Accès sans fil Réseaux Le mode VLAN dynamique est activé par défaut, ce qui permet au serveur d'authentification RADIUS de déterminer quel VLAN utiliser pour les stations. Les paramètres ci-après permettent de configurer WPA Enterprise : • • WPA Versions : sélectionnez les types de stations clientes à prendre en charge. Les options sont les suivantes : - WPA-TKIP : le réseau intègre des stations clientes qui prennent en charge uniquement le WPA d'origine ainsi que le protocole de sécurité TKIP. Notez que le fait de sélectionner uniquement WPA-TKIP pour le point d'accès n'est pas autorisé, conformément aux dernières exigences de la WiFi Alliance. - WPA2-AES : toutes les stations clientes du réseau prennent en charge la version WPA2 ainsi que le protocole de chiffrement et de sécurité AESCCMP. Cette version de WPA fournit une sécurité optimale avec la norme IEEE 802.11i. Conformément aux dernières exigences de la WiFi Alliance, le point d'accès doit prendre en charge ce mode en permanence. Enable pre-authentication : si vous sélectionnez uniquement WPA2 ou à la fois WPA et WPA2 comme version de WPA, vous pouvez activer la préauthentification pour les clients WPA2. Activez cette option pour que les clients sans fil WPA2 envoient les paquets de pré-authentification. Les informations de pré-authentification sont relayées du périphérique WAP que le client utilise actuellement vers le périphérique WAP cible. L'activation de cette fonction permet d'accélérer l'authentification pour les clients en itinérance qui se connectent à plusieurs points d'accès. Cette option ne s'applique pas si vous avez sélectionné WPA pour les versions de WPA, car le WPA d'origine ne prend pas en charge cette fonction. Les stations clientes configurées pour utiliser WPA avec RADIUS doivent posséder l'une des adresses et clés suivantes : • - Une adresse IP RADIUS TKIP et une clé RADIUS valides - Une adresse IP CCMP (AES) et une clé RADIUS valides Use Global RADIUS Server Settings : par défaut, chaque VAP utilise les paramètres RADIUS globaux que vous définissez pour le périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez configurer chaque VAP de façon à ce qu'il utilise un autre groupe de serveurs RADIUS. Guide d'administration pour Cisco WAP131 et WAP351 102 5 Accès sans fil Réseaux Activez cette option pour utiliser les paramètres de serveurs RADIUS globaux, ou désactivez-la pour utiliser un serveur RADIUS distinct pour le VAP et saisissez l'adresse IP et la clé du serveur RADIUS dans les champs appropriés. • Server IP Address Type : version IP utilisée par le serveur RADIUS. Vous pouvez basculer entre les différents types d'adresses afin de définir les paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le périphérique WAP contacte uniquement le ou les serveurs RADIUS correspondant au type d'adresse sélectionné dans ce champ. • Server IP Address 1 ou Server IPv6 Address 1 : adresse du serveur RADIUS principal pour ce VAP. Si IPv4 est sélectionné en tant que Server IP Address Type, saisissez l'adresse IP du serveur RADIUS que tous les VAP utilisent par défaut (par exemple, 192.168.10.23). Si IPv6 est sélectionné, saisissez l'adresse IPv6 du serveur RADIUS global principal (par exemple, 2001:DB8:1234:abcd). • Server IP Address 2 à 4 ou Server IPv6 Address 2 à 4 : jusqu'à trois adresses IPv4 et/ou IPv6 à utiliser comme serveurs RADIUS de sauvegarde pour ce VAP. Si l'authentification auprès du serveur principal échoue, une tentative est effectuée sur chaque serveur de secours configuré. • Key 1 : clé secrète partagée pour le serveur RADIUS global. Vous pouvez utiliser jusqu'à 63 caractères alphanumériques standard et caractères spéciaux. La clé est sensible à la casse. Vous devez en outre configurer la même clé sur le périphérique WAP et sur votre serveur RADIUS. Le texte que vous saisissez s'affiche sous forme d'astérisques pour empêcher d'autres personnes de voir la clé RADIUS pendant la saisie. • Key 2 à Key 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2 utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address 3 utilise Key 3, etc. • Enable RADIUS Accounting : effectue le suivi et la mesure des ressources qui ont été consommées par un utilisateur donné (heure système, volume de données transmises et reçues, etc.) Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et pour l'ensemble des serveurs de sauvegarde. • Active Server : permet de sélectionner administrativement le serveur RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans l'ordre chaque serveur configuré et de choisir le premier serveur actif. Guide d'administration pour Cisco WAP131 et WAP351 103 5 Accès sans fil Scheduler • Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion est actualisée pour les clients associés à ce VAP. La valeur par défaut est 300 secondes. La plage valide est comprise entre 0 et 86 400 secondes. La valeur 0 indique que la clé de diffusion n'est pas actualisée. • Session Key Refresh Rate : intervalle auquel le périphérique WAP actualise les clés de session (monodiffusion) pour chaque client associé au VAP. La plage valide est comprise entre 0 et 86 400 secondes. La valeur 0 indique que la clé de session n'est pas actualisée. Scheduler Le planificateur de radio et VAP vous permet de configurer une règle avec un intervalle de temps spécifique pour que les VAP ou radios soient opérationnels, ce qui automatise l'activation ou la désactivation des VAP et de la radio. L'une des manières d'utiliser cette fonction est de planifier la radio pour qu'elle fonctionne seulement pendant les heures de bureau, afin de bénéficier de la sécurité adéquate et de réduire la consommation électrique. Vous pouvez aussi utiliser le planificateur pour autoriser les clients sans fil à accéder aux VAP uniquement à certaines heures de la journée. Le périphérique WAP prend en charge jusqu'à 16 profils. Seules les règles valides sont ajoutées au profil. Vous pouvez regrouper 16 règles maximum pour former un profil de planification. Les entrées de période appartenant au même profil ne peuvent pas se chevaucher. Ajout de profils de planificateur Vous pouvez créer jusqu'à 16 noms de profil de planificateur. Par défaut, aucun profil n'est créé. Pour afficher l'état du planificateur et ajouter un profil de planificateur : ÉTAPE 1 Sélectionnez Wireless > Scheduler. ÉTAPE 2 Assurez-vous que Administrative Mode est activé. Il est désactivé par défaut. La zone Scheduler Operational Status indique l'état opérationnel actuel du planificateur : • Status : état opérationnel (activé ou désactivé) du planificateur. La valeur par défaut est Disabled. Guide d'administration pour Cisco WAP131 et WAP351 104 5 Accès sans fil Scheduler • Reason : raison de l'état opérationnel du planificateur. Les valeurs possibles sont les suivantes : - IsActive : le planificateur est activé sur le plan administratif. - Administrative Mode is disabled : le mode administratif du planificateur est désactivé. - System Time is out dated : l'heure système n'est pas à jour. - ManagedMode : le planificateur est en mode géré. ÉTAPE 3 Pour ajouter un profil, saisissez un nom de profil dans la zone de texte Scheduler Profile Configuration, puis cliquez sur Add. Le nom de profil peut comporter jusqu'à 32 caractères alphanumériques. Configuration des règles de planificateur Vous pouvez configurer un maximum de 16 règles par profil. Chaque règle spécifie l'heure de début, l'heure de fin ainsi que le ou les jours de la semaine pendant lesquels la radio ou le VAP peut fonctionner. Les règles sont périodiques et se répètent chaque semaine. Une règle valide doit contenir tous les paramètres (jours de la semaine, heure et minute) relatifs à l'heure de début et à l'heure de fin. Il ne doit y avoir aucun conflit de règles. Par exemple, vous pouvez configurer une règle commençant chaque jour ouvrable de la semaine et une autre commençant chaque jour du week-end, mais vous ne pouvez pas configurer une règle commençant quotidiennement et une autre commençant le week-end. Pour configurer une règle pour un profil : ÉTAPE 1 Sélectionnez le profil dans la liste Select a Profile Name. ÉTAPE 2 Cliquez sur Ajouter une règle. La nouvelle règle s'affiche dans la table des règles. ÉTAPE 3 Cochez la case en regard du Profile Name, puis cliquez sur Edit. ÉTAPE 4 Dans le menu Day of the Week, sélectionnez le planning récurrent de la règle. Vous pouvez configurer la règle pour qu'elle s'exécute quotidiennement, chaque jour ouvrable de la semaine, chaque jour du week-end (samedi et dimanche) ou n'importe quel jour de la semaine. Guide d'administration pour Cisco WAP131 et WAP351 105 5 Accès sans fil Scheduler Association ÉTAPE 5 Définissez les heures de début et de fin : • Start Time : heure à laquelle la radio ou le VAP est opérationnellement activé(e). L'heure est au format 24 heures HH:MM. La plage est <00-23>:<0059>. La valeur par défaut est 00:00. • End Time : heure à laquelle la radio ou le VAP est désactivé sur le plan opérationnel. L'heure est au format 24 heures HH:MM. La plage est <0023>:<00-59>. La valeur par défaut est 00:00. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour être mis en œuvre, un profil de planificateur doit être associé à une interface radio ou à une interface VAP. Reportez-vous à la page Scheduler Association. REMARQUE Pour supprimer une règle, sélectionnez le profil dans la colonne Profile Name, puis cliquez sur Delete. Scheduler Association Pour être mis en œuvre, les profils de planificateur doivent être associés à l'interface WLAN ou à une interface VAP. Par défaut, aucun profil de planificateur n'est créé et aucun profil n'est associé à une radio ou à un VAP. Un seul profil de planificateur peut être associé à l'interface WLAN ou à chaque VAP. Un seul profil peut être associé à plusieurs VAP. En cas de suppression du profil de planificateur associé à un VAP ou à l'interface WLAN, l'association est supprimée. Pour associer un profil de planificateur à l'interface WLAN ou à un VAP : ÉTAPE 1 Sélectionnez Wireless > Scheduler Association. ÉTAPE 2 Dans la zone Radio, sélectionnez l'interface radio à laquelle appliquer les paramètres de configuration. ÉTAPE 3 Pour l'interface WLAN ou un VAP, sélectionnez le profil dans la liste Profile Name. La colonne Interface Operational Status indique si l'interface est actuellement activée ou désactivée. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 106 5 Accès sans fil Bandwidth Utilization Bandwidth Utilization La page Bandwidth Utilization vous permet de définir le volume de bande passante radio pouvant être consommé avant que le périphérique WAP ne cesse d'autoriser de nouvelles associations de clients. Cette fonction est activée par défaut. Pour modifier les paramètres d'utilisation de la bande passante : ÉTAPE 1 Sélectionnez Wireless > Bandwidth Utilization dans le volet de navigation. ÉTAPE 2 Cochez Enable pour activer la fonction d'utilisation de la bande passante ou décochez Enable pour la désactiver. ÉTAPE 3 Dans le champ Maximum Utilization Threshold, saisissez le pourcentage d'utilisation de la bande passante réseau autorisé sur la radio avant que le périphérique WAP ne cesse d'accepter de nouvelles associations de clients. La plage de nombres entiers valide est comprise entre 0 et 100 pour cent. La valeur par défaut est 70 pour cent. Si elle est définie à 0, toutes les nouvelles associations sont autorisées quel que soit le taux d'utilisation. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique WAP perde la connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 107 5 Accès sans fil MAC Filtering MAC Filtering Le filtrage Media Access Control (MAC) peut être utilisé pour interdire ou autoriser l'authentification des seules stations clientes répertoriées auprès du point d'accès. L'authentification MAC doit être activée ou désactivée pour chaque VAP sur la page Réseaux. Selon la configuration du VAP, le périphérique WAP peut se référer à une liste de filtrage MAC stockée sur un serveur RADlUS externe ou stockée localement sur le périphérique WAP. Configuration d'une liste de filtrage MAC stockée localement sur le périphérique WAP Le périphérique WAP ne prend en charge qu'une seule liste de filtrage MAC locale. Ainsi, la même liste s'applique à tous les VAP autorisés à utiliser la liste locale. Le filtre peut être configuré pour accorder l'accès uniquement aux adresses MAC spécifiées dans la liste, ou pour interdire l'accès uniquement aux adresses spécifiées dans la liste. Vous pouvez ajouter un maximum de 512 adresses MAC dans la liste de filtrage. Pour configurer le filtrage MAC : ÉTAPE 1 Sélectionnez Wireless > MAC Filtering. ÉTAPE 2 Sélectionnez la façon dont le périphérique WAP utilise la liste de filtrage : • Allow only stations in list : toute station qui ne figure pas dans la liste des stations se voit interdire l'accès au réseau via le périphérique WAP. • Block all stations in list : seules les stations qui figurent dans la liste se voient interdire l'accès au réseau via le périphérique WAP. L'accès est autorisé pour toutes les autres stations. REMARQUE Le paramètre de filtre s'applique également à la liste de filtrage MAC stockée sur le serveur RADIUS, s'il en existe une. ÉTAPE 3 Dans le champ MAC Address, saisissez l'adresse MAC à autoriser ou bloquer, puis cliquez sur Add. L'adresse MAC s'affiche dans la liste des stations. ÉTAPE 4 Continuez à saisir des adresses MAC jusqu'à ce que la liste soit terminée, puis cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 108 5 Accès sans fil WDS Bridge REMARQUE Pour supprimer une adresse MAC de la Stations List, sélectionnez-la, puis cliquez sur Remove. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique WAP perde la connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Configuration de l'authentification MAC sur le serveur RADIUS Si un ou plusieurs VAP sont configurés pour utiliser un filtre MAC stocké sur un serveur d'authentification RADIUS, vous devez configurer la liste des stations sur le serveur RADIUS. Le format de la liste est décrit dans le tableau ci-dessous : Attribut du serveur RADIUS Description Valeur User-Name (1) Adresse MAC de la station cliente. Adresse MAC Ethernet valide User-Password (2) Mot de passe global fixe utilisé pour rechercher une entrée MAC de client. NOPASSWORD WDS Bridge Le système de distribution sans fil (WDS, Wireless Distribution System) vous permet de connecter plusieurs périphériques WAP. Avec WDS, les périphériques WAP peuvent communiquer entre eux sans câbles. Cette fonctionnalité est essentielle à la satisfaction des clients en itinérance et à la gestion de plusieurs réseaux sans fil. Elle simplifie également l'infrastructure réseau en réduisant la quantité de câbles nécessaire. Vous pouvez configurer le périphérique WAP en mode point à point ou point à multipoint en fonction du nombre de liaisons à connecter. En mode point à point, le périphérique WAP accepte les associations de clients et communique avec les clients sans fil et autres répéteurs. Le périphérique WAP transfère tout le trafic destiné à l'autre réseau via le tunnel établi entre les points d'accès. Le pont n'est pas ajouté au nombre de sauts. Il fonctionne comme simple périphérique réseau OSI Layer 2. Guide d'administration pour Cisco WAP131 et WAP351 109 5 Accès sans fil WDS Bridge En mode pont point à point, un périphérique WAP fonctionne en tant que liaison commune entre plusieurs points d'accès. Dans ce mode, le périphérique WAP central accepte les associations de clients et communique avec les clients et autres répéteurs. Tous les autres points d'accès s'associent uniquement au périphérique WAP central qui transfère les paquets au pont sans fil approprié à des fins de routage. Le périphérique WAP peut également fonctionner en tant que répéteur. Dans ce mode, il sert de point de connexion entre deux périphériques WAP susceptibles d'être trop éloignés pour être à portée cellulaire. Lorsqu'il fonctionne en tant que répéteur, le périphérique WAP n'a aucune connexion filaire au réseau local (LAN) et répète les signaux par l'intermédiaire de la connexion sans fil. Aucune configuration spéciale n'est requise pour lui permettre de fonctionner en tant que répéteur et il n'existe pas de paramètres de mode répéteur. Les clients sans fil peuvent toujours se connecter à un périphérique WAP qui fonctionne en tant que répéteur. Avant de configurer WDS sur le périphérique WAP, veuillez noter les informations ci-après : • WDS fonctionne seulement avec les périphériques Cisco WAP131 et Cisco WAP351. • Tous les périphériques WAP Cisco participant à une liaison WDS doivent avoir les paramètres identiques suivants : - Radio - IEEE 802.11 Mode - Channel Bandwidth - Channel (l'option Auto n'est pas recommandée) Si vous effectuez un pontage dans la bande 802.11n 2,4 GHz, définissez Channel Bandwidth sur 20 MHz au lieu du paramètre 20/40 MHz par défaut. Dans la bande 2,4 GHz, 20/40 MHz, la bande passante de fonctionnement peut passer de 40 MHz à 20 MHz si des périphériques WAP de 20 MHz sont détectés dans la zone. Une bande passante de canal incohérente peut entraîner la déconnexion de la liaison. Reportez-vous à la section Radio (paramètres de base) pour obtenir des informations sur la définition de ces paramètres. • Lorsque vous utilisez WDS, veillez à le configurer sur les deux périphériques WAP intégrés à la liaison WDS. • Vous ne pouvez avoir qu'une seule liaison WDS entre n'importe quelle paire de périphériques WAP. Ainsi, une adresse MAC distante ne peut apparaître qu'une seule fois sur la page WDS pour un périphérique WAP donné. Guide d'administration pour Cisco WAP131 et WAP351 110 5 Accès sans fil WDS Bridge Configuration de STP pour Cisco WAP131 ÉTAPE 1 Sélectionnez Wireless > WDS Bridge. ÉTAPE 2 Dans le champ Spanning Tree Mode, cochez Enable pour activer le mode STP sur le périphérique Cisco WAP131. Une fois l'activation effectuée, STP empêche les boucles de basculement. STP est recommandé si vous configurez des liaisons WDS. ÉTAPE 3 Cliquez sur Save. Configuration du VLAN non balisé pour Cisco WAP351 Pour configurer le VLAN non balisé pour le périphérique Cisco WAP351 : ÉTAPE 1 Sélectionnez Wireless > WDS Bridge. ÉTAPE 2 Définissez les paramètres suivants : • Untagged VLAN : active ou désactive le balisage de VLAN. Lorsque cette option est activée (paramètre par défaut), tout le trafic est balisé avec un ID de VLAN. L'ensemble du trafic sur le périphérique WAP utilise le VLAN 1 en tant que VLAN non balisé par défaut. Cela signifie que l'ensemble du trafic est non balisé jusqu'à la désactivation du VLAN non balisé, la modification de l'ID de VLAN du trafic non balisé ou la modification de l'ID de VLAN d'un point d'accès virtuel ou d'un client utilisant un serveur RADIUS. • Untagged VLAN ID : sélectionnez un ID de VLAN dans la liste des ID de VLAN. La valeur par défaut est 1. Le trafic sur le VLAN indiqué dans ce champ n'est pas balisé avec un ID de VLAN lors de son transfert sur le réseau. VLAN 1 est à la fois le VLAN non balisé par défaut et le VLAN de gestion par défaut. Si vous souhaitez séparer le trafic de gestion du trafic du VLAN non balisé, configurez le nouvel ID de VLAN au niveau de votre routeur, puis utilisez ce nouvel ID de VLAN sur votre périphérique WAP. ÉTAPE 3 Cliquez sur Save. Guide d'administration pour Cisco WAP131 et WAP351 111 5 Accès sans fil WDS Bridge Configuration d'un pont WDS Pour configurer un pont WDS : ÉTAPE 1 Sélectionnez Wireless > WDS Bridge. ÉTAPE 2 Cochez Enable en regard de WDS Interface. ÉTAPE 3 Définissez les paramètres restants : • Remote MAC Address : spécifie l'adresse MAC du périphérique WAP de destination, à savoir le périphérique WAP situé à l'autre extrémité de la liaison WDS et auquel les données sont envoyées ou transmises et à partir duquel les données sont reçues. L'adresse MAC est indiquée sur la page Status and Statistics > Network Interface. • Encryption : type de cryptage à utiliser sur la liaison WDS. Il ne doit pas obligatoirement correspondre au VAP pour lequel vous effectuez un pontage. Les paramètres de chiffrement WDS sont propres au pont WDS. Les options disponibles sont none, WEP et WPA Personal. Si vous ne souhaitez pas sécuriser la liaison WDS, vous pouvez choisir de ne définir aucun type de cryptage. De même, si vous souhaitez sécuriser la liaison, vous pouvez choisir entre Static WEP et WPA Personal. En mode WPA Personal, le périphérique WAP utilise le chiffrement WPA2-PSK avec CCMP (AES) sur la liaison WDS. Reportez-vous à la section WEP sur les liaisons WDS ou à la section WPA/PSK sur les liaisons WDS pour en savoir plus sur les options de cryptage. ÉTAPE 4 Répétez ces étapes pour un maximum de trois interfaces WDS supplémentaires. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. ÉTAPE 6 Répliquez cette procédure sur le ou les autres périphériques connectés au pont. CONSEIL Vous pouvez vérifier si la liaison de pont est active en vous rendant sur la page Status and Statistics > Network Interface. Dans le tableau Interface Status, l'état Up doit être spécifié pour WLAN0:WDS(x). Guide d'administration pour Cisco WAP131 et WAP351 112 5 Accès sans fil WDS Bridge ! AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique WAP perde la connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. WEP sur les liaisons WDS Ces champs supplémentaires apparaissent lorsque vous sélectionnez le type de cryptage WEP : • Key Length : si le cryptage WEP est activé, indiquez la longueur de la clé WEP au format 64 bits ou 128 bits. • Key Type : si le cryptage WEP est activé, sélectionnez le type de clé WEP ASCII ou Hex. • WEP Key : si vous avez sélectionné ASCII, saisissez toute combinaison de 0 à 9, a à z, et A à Z. Si vous avez sélectionné Hex, saisissez des chiffres hexadécimaux (toute combinaison de 0 à 9, a à f, ou A à F). Il s'agit des clés de chiffrement RC4 partagées avec les stations par l'intermédiaire du périphérique WAP. Veuillez noter que le nombre de caractères requis est indiqué à droite du champ et change en fonction de vos sélections dans les champs Key Type et Key Length. WPA/PSK sur les liaisons WDS Ces champs supplémentaires apparaissent lorsque vous sélectionnez le type de cryptage WPA/PSK : • WDS ID : saisissez un nom approprié pour la nouvelle liaison WDS que vous avez créée. Il est important que le même WDS ID soit aussi entré à l'autre extrémité de la liaison WDS. Si ce WDS ID n'est pas identique pour les deux périphériques WAP sur la liaison WDS, ils ne pourront pas communiquer et échanger des données. Le WDS ID peut être n'importe quelle combinaison alphanumérique. Guide d'administration pour Cisco WAP131 et WAP351 113 5 Accès sans fil WorkGroup Bridge • Key : saisissez une clé partagée unique pour le pont WDS. Cette clé partagée unique doit aussi être saisie pour le périphérique WAP situé à l'autre extrémité de la liaison WDS. Si cette clé n'est pas identique pour les deux WAP, ceux-ci ne pourront pas communiquer et échanger des données. La clé WPA-PSK est une chaîne de 8 caractères minimum et de 63 caractères maximum. Les caractères acceptés sont les lettres alphabétiques majuscules et minuscules, les chiffres numériques et les symboles spéciaux comme @ et #. WorkGroup Bridge La fonction WorkGroup Bridge du périphérique WAP permet à celui-ci d'étendre l'accessibilité d'un réseau distant. En mode WorkGroup Bridge, le périphérique WAP fonctionne comme une station sans fil (STA) sur le réseau local (LAN) sans fil. Il peut acheminer le trafic entre un réseau filaire distant ou des clients sans fil associés et le réseau local (LAN) sans fil qui est connecté via le mode WorkGroup Bridge. La fonction WorkGroup Bridge permet la prise en charge simultanée du mode STA et du mode AP. Le périphérique WAP peut fonctionner dans un seul BSS (Basic Service Set) en tant que périphérique STA tout en fonctionnant sur un autre BSS en tant que périphérique WAP. Lorsque le mode WorkGroup Bridge est activé, le périphérique WAP prend en charge un seul BSS pour les clients sans fil qui s'associent à celui-ci, et un autre BSS auquel le périphérique WAP s'associe en tant que client sans fil. Nous vous recommandons d'utiliser le mode WorkGroup Bridge uniquement lorsque la fonction WDS Bridge ne peut pas fonctionner avec un périphérique WAP homologue. WDS est une meilleure solution et doit être préférée à la solution WorkGroup Bridge. Utilisez WDS si vous effectuez un pontage des périphériques Cisco WAP131 et Cisco WAP351. Si ce n'est pas le cas, optez pour le mode WorkGroup Bridge. Lorsque la fonction WorkGroup Bridge est activée, les configurations VAP ne sont pas appliquées ; seule la configuration WorkGroup Bridge est appliquée. REMARQUE La fonction WDS ne fonctionne pas lorsque le mode WorkGroup Bridge est activé sur le périphérique WAP. En mode WorkGroup Bridge, le BSS géré par le périphérique WAP fonctionnant en mode périphérique WAP est appelé l'interface de point d'accès, et les STA associés sont appelés les STA descendants. Le BSS géré par l'autre périphérique WAP (c'est-à-dire celui auquel le périphérique WAP s'associe en tant que STA) est appelé l'interface cliente d'infrastructure, et l'autre périphérique WAP est appelé le point d'accès montant. Guide d'administration pour Cisco WAP131 et WAP351 114 5 Accès sans fil WorkGroup Bridge Les périphériques connectés à l'interface filaire du périphérique WAP, ainsi que les stations descendantes associées à l'interface de point d'accès du périphérique, peuvent accéder au réseau connecté par l'interface cliente d'infrastructure. Pour autoriser le pontage des paquets, la configuration VLAN de l'interface de point d'accès et de l'interface filaire doit correspondre à celle de l'interface cliente d'infrastructure. Le mode WorkGroup Bridge peut être utilisé comme amplificateur de portée afin de permettre au BSS de fournir un accès aux réseaux distants ou difficiles d'accès. Une radio unique peut être configurée pour transférer les paquets des STA associés vers un autre périphérique WAP du même ESS, sans utiliser de WDS. Avant de configurer WorkGroup Bridge sur le périphérique WAP, veuillez noter les informations ci-après : • Tous les périphériques WAP intégrés à WorkGroup Bridge doivent avoir les paramètres identiques suivants : - Radio - IEEE 802.11 Mode - Channel Bandwidth - Channel (l'option Auto n'est pas recommandée) Reportez-vous à la section Radio (paramètres de base) pour obtenir des informations sur la définition de ces paramètres. • Le mode WorkGroup Bridge prend actuellement en charge le trafic IPv4 uniquement. • Le mode WorkGroup Bridge n'est pas pris en charge via une configuration de point unique. Pour configurer le mode WorkGroup Bridge : ÉTAPE 1 Sélectionnez Wireless > WorkGroup Bridge. ÉTAPE 2 Cochez Enable en regard de WorkGroup Bridge Mode. ÉTAPE 3 Dans le champ Radio Setting Per Interface, sélectionnez l'interface radio à laquelle appliquer les paramètres de configuration. Guide d'administration pour Cisco WAP131 et WAP351 115 5 Accès sans fil WorkGroup Bridge ÉTAPE 4 Configurez les paramètres suivants pour l'interface cliente d'infrastructure (montante) : • SSID : SSID du BSS. Il y a une flèche en regard de SSID pour l'analyse SSID. Cette fonction est désactivée par défaut et est uniquement activée si la détection des points d'accès est activée dans la détection des points d'accès non autorisés (qui est également désactivée par défaut). • Security : type de sécurité à utiliser pour l'authentification en tant que station cliente sur le périphérique WAP montant. Les options sont les suivantes : • - None - Static WEP - WPA Personal - WPA Enterprise VLAN ID : VLAN associé au BSS. L'interface cliente d'infrastructure sera associée au périphérique WAP montant avec les informations d'identification configurées. Le périphérique WAP peut obtenir son adresse IP d'un serveur DHCP sur la liaison montante. Vous pouvez également attribuer une adresse IP statique. Le champ Connection Status indique si le WAP est connecté au périphérique WAP montant. Vous pouvez cliquer sur le bouton Refresh en haut de la page pour afficher l'état actuel de la connexion. ÉTAPE 5 Configurez les champs supplémentaires suivants pour l'interface de point d'accès : • Status : cochez Enable en regard de l'interface de point d'accès. • SSID : le SSID de l'interface de point d'accès ne doit pas être identique au SSID client d'infrastructure. Toutefois, si vous souhaitez une prise en charge d'un type de scénario d'itinérance, le SSID et la sécurité doivent être identiques. • SSID Broadcast : cochez la case si vous souhaitez que le SSID descendant soit diffusé. La diffusion SSID est activée par défaut. • Security : type de sécurité à utiliser pour l'authentification. Les options sont les suivantes : - None - Static WEP - WPA Personal Guide d'administration pour Cisco WAP131 et WAP351 116 5 Accès sans fil Quality of Service • MAC Filtering : sélectionnez l'une des options ci-dessous : - Disabled : le groupe de clients dans le BSS de points d'accès pouvant accéder au réseau montant n'est pas restreint aux clients spécifiés dans une liste d'adresses MAC. - Local : le groupe de clients dans le BSS de points d'accès pouvant accéder au réseau montant est restreint aux clients spécifiés dans une liste d'adresses MAC localement définie. - RADIUS : le groupe de clients dans le BSS de points d'accès pouvant accéder au réseau montant est restreint aux clients spécifiés dans une liste d'adresses MAC sur un serveur RADIUS. Si vous sélectionnez Local ou RADIUS, reportez-vous à la section MAC Filtering pour obtenir des instructions sur la création de la liste de filtrage MAC. • VLAN ID : configurez l'interface de point d'accès avec le même ID de VLAN que celui annoncé sur l'interface cliente d'infrastructure. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Les clients descendants associés sont désormais connectés au réseau montant. Quality of Service Les paramètres de qualité de service (QoS) vous permettent de configurer les files d'attente de transmission pour bénéficier d'un débit optimal et de meilleures performances si vous administrez un trafic sans fil différencié, comme la voix sur IP (VoIP), d'autres types de flux audio, vidéo et multimédia en continu, ainsi que des données IP classiques. Pour configurer la qualité de service (QoS) sur le périphérique WAP, définissez les paramètres sur les files d'attente de transmission pour les différents types de trafic sans fil et spécifiez les temps d'attente minimum et maximum (via les fenêtres de contention) pour la transmission. Les paramètres EDCA (Enhanced Distributed Channel Access) du WAP affectent le trafic transmis du périphérique WAP à la station cliente. Les paramètres EDCA de la station affectent le trafic transmis de la station cliente au périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 117 5 Accès sans fil Quality of Service En utilisation normale, les valeurs EDCA par défaut du périphérique WAP et de la station ne nécessitent aucune modification. La modification de ces valeurs affecte la qualité de service (QoS) fournie. Pour définir les paramètres EDCA du périphérique WAP et de la station : ÉTAPE 1 Sélectionnez Wireless > Quality of Service. ÉTAPE 2 Sélectionnez l'interface radio (Radio1 ou Radio2). ÉTAPE 3 Sélectionnez l'une de ces options dans la liste EDCA Template : • WFA Defaults : renseigne les paramètres EDCA du périphérique WAP et de la station avec les valeurs WiFi Alliance par défaut, qui sont optimales pour un trafic mixte général. • Optimized for Voice : renseigne les paramètres EDCA du périphérique WAP et de la station avec les valeurs les plus adaptées au trafic vocal. • Custom : vous permet de choisir des paramètres EDCA personnalisés. Ces quatre files d'attente sont définies pour les différents types de données transmises du WAP vers la station. Si vous choisissez un modèle personnalisé, les paramètres qui définissent les files d'attente sont configurables ; sinon, ils ont des valeurs prédéfinies appropriées à votre sélection. Les quatre files d'attente sont : • Data 0 (Voice) : file de priorité élevée, délai minimal. Les données devant être transmises rapidement, comme le VoIP et la lecture multimédia en continu, sont automatiquement envoyées vers cette file d'attente. • Data 1 (Video) : file de priorité élevée, délai minimal. Les données vidéo devant être transmises rapidement sont automatiquement envoyées vers cette file d'attente. • Data 2 (Best Effort) : file de priorité moyenne, débit et délai moyens. La plupart des données IP classiques sont envoyées vers cette file d'attente. • Data 3 (Background) : file de priorité la plus faible, débit élevé. Les données en bloc nécessitant un débit maximal et dont la rapidité n'est pas essentielle sont envoyées vers cette file d'attente (les données FTP, par exemple). Guide d'administration pour Cisco WAP131 et WAP351 118 5 Accès sans fil Quality of Service ÉTAPE 4 Définissez les paramètres EDCA de station suivants : REMARQUE Ces paramètres ne peuvent être définis que si vous avez sélectionné Custom à l'étape précédente. • Arbitration Inter-Frame Space : temps d'attente pour les trames de données. Le temps d'attente se mesure en emplacements. Les valeurs valides pour AIFS sont comprises entre 1 et 255. • Minimum Contention Window : entrée dans l'algorithme qui détermine le temps d'attente d'interruption aléatoire initial (fenêtre) pour une nouvelle tentative de transmission. Cette valeur est la limite supérieure (en millisecondes) d'une plage à partir de laquelle le temps d'attente d'interruption aléatoire initial est déterminé. Le premier nombre aléatoire généré est un nombre compris entre 0 et le nombre spécifié ici. Si le premier temps d'attente d'interruption aléatoire expire avant l'envoi de la trame de données, un compteur de tentatives est incrémenté et la valeur d'interruption aléatoire (fenêtre) est doublée. Le doublage continue jusqu'à ce que la taille de la valeur d'interruption aléatoire atteigne le nombre défini dans le champ Maximum Contention Window. Les valeurs valides sont 1, 3, 7, 15, 31, 63, 127, 255, 511 ou 1024. La valeur spécifiée doit être inférieure à celle du champ Maximum Contention Window. • Maximum Contention Window : limite supérieure en millisecondes pour le doublage de la valeur d'interruption aléatoire. Ce doublage continue jusqu'à ce que la trame de données soit envoyée ou que la taille Maximum Contention Window soit atteinte. Une fois la taille Maximum Contention Window atteinte, les nouvelles tentatives se poursuivent jusqu'à ce que le nombre maximal autorisé de tentatives soit atteint. Les valeurs valides sont 1, 3, 7, 15, 31, 63, 127, 255, 511 ou 1024. La valeur spécifiée doit être supérieure à celle du champ Minimum Contention Window. • Maximum Burst : paramètre EDCA WAP qui s'applique uniquement au trafic transmis du WAP à la station cliente. Cette valeur spécifie (en millisecondes) la longueur de rafale maximale autorisée pour les rafales de paquets sur le réseau sans fil. Une rafale de paquets est un groupe de plusieurs trames transmises sans informations d'entête. La baisse de la charge de traitement génère un débit plus élevé et de meilleures performances. Les valeurs valides sont comprises entre 0,0 et 999. Guide d'administration pour Cisco WAP131 et WAP351 119 5 Accès sans fil Quality of Service • Wi-Fi MultiMedia (WMM) : sélectionnez Enable pour activer les extensions Wi-Fi MultiMedia (WMM). Ce champ est activé par défaut. Lorsque WMM est activé, la définition des priorités de qualité de service (QoS) et la coordination de l'accès au support sans fil sont activées. Lorsque WMM est activé, les paramètres de qualité de service (QoS) sur le périphérique WAP contrôlent le trafic descendant transmis du périphérique WAP à la station cliente (paramètres EDCA de point d'accès), ainsi que le trafic montant transmis de la station vers le point d'accès (paramètres EDCA de station). La désactivation de WMM désactive le contrôle de qualité de service (QoS) des paramètres EDCA de station sur le trafic montant transmis de la station vers le périphérique WAP. Lorsque WMM est désactivé, vous pouvez toujours définir certains paramètres sur le trafic descendant transmis du périphérique WAP vers la station cliente (paramètres EDCA de point d'accès). • TXOP Limit (Station only) : la limite TXOP est un paramètre EDCA de station. Il s'applique uniquement au trafic transmis de la station cliente vers le périphérique WAP. L'opportunité de transmission (Transmission Opportunity, TXOP) est l'intervalle en millisecondes pendant lequel une station cliente WME est autorisée à initier des transmissions sur le support sans fil (Wireless Medium, WM) vers le périphérique WAP. La valeur maximale du paramètre TXOP Limit est 65 535. ÉTAPE 5 Définissez les paramètres supplémentaires suivants : • No Acknowledgement : cochez Enable pour indiquer que le périphérique WAP ne doit pas accepter les trames ayant la valeur de classe de service QosNoAck. • Unscheduled Automatic Power Save Delivery : cochez Enable pour activer APSD, qui est une méthode de gestion de l'alimentation. APSD est recommandée si les téléphones VoIP accèdent au réseau via le périphérique WAP. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. ! AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique WAP perde la connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 120 6 Sécurité du système Ce chapitre explique comment configurer les paramètres de sécurité sur le périphérique WAP. Il contient les sections suivantes : • Serveur RADIUS • Demandeur 802.1X/802.1X • Complexité des mots de passe • Complexité WPA-PSK Serveur RADIUS Plusieurs fonctionnalités nécessitent une communication avec un serveur d'authentification RADIUS. Par exemple, lorsque vous configurez des points d'accès virtuels (VAP) sur le périphérique WAP, vous pouvez configurer des méthodes de sécurité qui contrôlent l'accès des clients sans fil (voir la page Radio). Les méthodes de sécurité WEP dynamique et WPA Entreprise utilisent un serveur RADIUS externe pour authentifier les clients. La fonctionnalité de filtrage des adresses MAC, dans laquelle l'accès des clients est limité à une liste, peut également être configurée afin d'utiliser un serveur RADIUS pour le contrôle des accès. La fonctionnalité de portail captif utilise également un serveur RADIUS pour l'authentification des clients. Utilisez la page Radius Server pour configurer les serveurs RADIUS qui seront utilisés par ces fonctionnalités. Vous pouvez configurer jusqu'à quatre serveurs RADIUS IPv4 ou IPv6 globaux disponibles. Néanmoins, vous devez sélectionner si le client RADIUS opère en mode IPv4 ou IPv6 par rapport aux serveurs globaux. L'un des serveurs agit toujours en tant que serveur principal alors que les autres agissent en tant que serveurs de sauvegarde. REMARQUE En plus d'utiliser les serveurs RADIUS globaux, vous pouvez aussi configurer chaque point d'accès virtuel (VAP) de telle sorte qu'il utilise un ensemble spécifique de serveurs RADIUS. Pour en savoir plus, reportez-vous à la page Réseaux. Guide d'administration pour Cisco WAP131 et WAP351 121 6 Sécurité du système Serveur RADIUS Pour configurer des serveurs RADIUS globaux : ÉTAPE 1 Sélectionnez Security > RADIUS Server. ÉTAPE 2 Définissez les paramètres suivants : • Server IP Address Type : sélectionnez la version IP utilisée par le serveur RADIUS. Vous pouvez basculer entre les différents types d'adresse afin de définir les paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le périphérique WAP ne contactera que le ou les serveurs RADIUS répondant au type d'adresse que vous sélectionnez dans ce champ. • Server IP Address 1 ou Server IPv6 Address 1 : saisissez l'adresse du serveur RADIUS global principal. Lorsque le premier client sans fil tente de s'authentifier auprès du périphérique WAP, le périphérique WAP envoie une demande d'authentification au serveur principal. Si le serveur principal répond à la demande d'authentification, le périphérique WAP continue à utiliser ce serveur RADIUS en guise de serveur principal et les demandes d'authentification sont envoyées à l'adresse spécifiée. • Server IP Address (2 à 4) ou Server IPv6 Address (2 à 4) : saisissez jusqu'à trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si l'authentification auprès du serveur principal échoue, une tentative est effectuée sur chaque serveur de secours configuré. • Key 1 : saisissez la clé secrète partagée utilisée par le périphérique WAP pour s'authentifier auprès du serveur RADIUS principal. Vous pouvez utiliser de 1 à 64 caractères alphanumériques standard et caractères spéciaux. La clé est sensible à la casse et doit correspondre à la clé configurée sur le serveur RADIUS. Le texte que vous saisissez apparaît sous la forme d'astérisques. • Key (2 à 4) : saisissez la clé RADIUS associée aux serveurs RADIUS de sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2 utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address 3 utilise Key 3, etc. • Authentication Port : saisissez le port que le périphérique WAP utilise pour se connecter au serveur RADIUS principal. • Authentication Port (2 à 4) : saisissez le port associé aux serveurs RADIUS de sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2 utilise Authentication Port 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address 3 utilise Authentication Port 3, etc. Guide d'administration pour Cisco WAP131 et WAP351 122 6 Sécurité du système Demandeur 802.1X/802.1X • Enable RADIUS Accounting : active le suivi et la mesure des ressources consommées par un utilisateur donné (heure système, volume de données transmises et reçues, etc.). Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et pour l'ensemble des serveurs de sauvegarde. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Demandeur 802.1X/802.1X Cette section fournit une description de la fonctionnalité 802.1X et comment la configurer. L'authentification IEEE 802.1X permet au périphérique WAP d'atteindre un réseau filaire sécurisé. Vous pouvez activer le périphérique WAP en tant que demandeur (client) 802.1X sur le réseau filaire. Il est possible de configurer un nom d'utilisateur et un mot de passe cryptés à l'aide de l'algorithme MD5 afin d'autoriser le périphérique WAP à effectuer une authentification à l'aide de la technologie 802.1X. Sur les réseaux qui utilisent le contrôle d'accès réseau basé sur les ports IEEE 802.1X, un demandeur ne peut pas accéder au réseau tant que l'authentificateur 802.1X ne lui en a pas donné l'autorisation. Si votre réseau utilise la technologie 802.1X, vous devez configurer les informations d'authentification 802.1X sur le périphérique WAP, de telle sorte qu'il puisse les transmettre à l'authentificateur. Configurer le demandeur 802.1X pour Cisco WAP131 Pour configurer les paramètres de demandeur 802.1X, procédez comme suit : ÉTAPE 1 Cliquez sur System Security > 802.1X Supplicant. La zone Certificate File Status indique s'il existe un certificat actuel : • Certificate File Present : indique si le fichier de certificat SSL HTTP est présent. Ce champ contient la valeur Yes si ce fichier est présent. La valeur par défaut est No. • Certificate Expiration Date : indique la date d'expiration du fichier de certificat SSL HTTP. La plage est une date valide. Guide d'administration pour Cisco WAP131 et WAP351 123 6 Sécurité du système Demandeur 802.1X/802.1X ÉTAPE 2 La zone Supplicant Configuration permet de configurer l'état opérationnel et les paramètres de base de 802.1X : • Administrative Mode : active ou désactive la fonctionnalité de demandeur 802.1X. • EAP Method : choisissez l'algorithme à utiliser pour le cryptage des noms d'utilisateur et des mots de passe utilisés lors de l'authentification. Les options sont les suivantes : - MD5 : fonction de hachage définie dans la norme RFC 3748 et offrant une sécurité de base. - PEAP : protocole (PEAP, Protected Extensible Authentication Protocol) offrant un niveau de sécurité supérieur à celui de la technologie MD5, grâce à l'encapsulation de celle-ci à l'intérieur d'un tunnel TLS. - TLS : sécurité de la couche transport (TLS, Transport Layer Security), telle que définie dans la norme RFC 5216, à savoir une norme ouverte offrant un haut niveau de sécurité. • Username : le périphérique WAP utilise ce nom d'utilisateur lorsqu'il répond à des demandes émanant d'un authentificateur 802.1X. Le nom d'utilisateur peut comporter de 1 à 64 caractères. Les caractères imprimables ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les chiffres et tous les caractères spéciaux à l'exception des guillemets. • Password : le périphérique WAP utilise ce mot de passe MD5 lorsqu'il répond à des demandes émanant d'un authentificateur 802.1X. La longueur du mot de passe peut être de 1 à 64 caractères. Les caractères imprimables ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les chiffres et tous les caractères spéciaux à l'exception des guillemets. ÉTAPE 3 La zone Certificate File Upload permet de télécharger un fichier de certificat vers le périphérique WAP : a. Choisissez HTTP ou TFTP dans Transfer Method. b. Si vous avez sélectionné HTTP, cliquez sur Browse pour sélectionner le fichier. Pour plus d'informations sur la configuration des paramètres du serveur HTTP, voir Service HTTP/HTTPS. c. Si vous avez sélectionné TFTP, complétez les champs Filename et TFTP Server IPv4 Address. Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus. d. Cliquez sur Upload. Une fenêtre de confirmation apparaît, suivie d'une barre de progression indiquant l'état du téléchargement. Guide d'administration pour Cisco WAP131 et WAP351 124 6 Sécurité du système Demandeur 802.1X/802.1X ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Configurer 802.1X pour Cisco WAP351 Pour configurer les paramètres 802.1X, procédez comme suit : ÉTAPE 1 Cliquez sur System Security > 802.1X. Cinq ports sont associés à cinq interfaces LAN que vous pouvez configurer pour l'authentification 802.1X dans Cisco WAP351. ÉTAPE 2 Sélectionnez un port et cliquez sur Edit. ÉTAPE 3 Choisissez d'activer ou de désactiver le demandeur ou l'authentificateur pour le port. • Supplicant : active la fonctionnalité de demandeur 802.1X. • Authenticator : active la fonctionnalité d'authentificateur 802.1X. ÉTAPE 4 Si vous activez le demandeur, cliquez sur Show Details pour configurer ces paramètres de demandeur 802.1X : • EAP Method : choisissez l'algorithme à utiliser pour le cryptage des noms d'utilisateur et des mots de passe utilisés lors de l'authentification. Les options sont les suivantes : - MD5 : fonction de hachage définie dans la norme RFC 3748 et offrant une sécurité de base. - PEAP : protocole (PEAP, Protected Extensible Authentication Protocol) offrant un niveau de sécurité supérieur à celui de la technologie MD5, grâce à l'encapsulation de celle-ci à l'intérieur d'un tunnel TLS. - TLS : sécurité de la couche transport (TLS, Transport Layer Security), telle que définie dans la norme RFC 5216, à savoir une norme ouverte offrant un haut niveau de sécurité. Guide d'administration pour Cisco WAP131 et WAP351 125 6 Sécurité du système Demandeur 802.1X/802.1X • Username : le périphérique WAP utilise ce nom d'utilisateur lorsqu'il répond à des demandes émanant d'un authentificateur 802.1X. Le nom d'utilisateur peut comporter de 1 à 64 caractères. Les caractères imprimables ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les chiffres et tous les caractères spéciaux à l'exception des guillemets. • Password : le périphérique WAP utilise ce mot de passe MD5 lorsqu'il répond à des demandes émanant d'un authentificateur 802.1X. La longueur du mot de passe peut être de 1 à 64 caractères. Les caractères imprimables ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les chiffres et tous les caractères spéciaux à l'exception des guillemets. REMARQUE Il est possible de configurer le nom d'utilisateur et le mot de passe cryptés à l'aide de l'algorithme MD5 afin d'autoriser le périphérique WAP à effectuer une authentification à l'aide de la technologie 802.1X. • • Certificate File Status : indique s'il existe un certificat actuel existe. - Certificate File Present : indique si le fichier de certificat SSL HTTP est présent. Ce champ contient la valeur Yes si ce fichier est présent. La valeur par défaut est No. - Certificate Expiration Date : indique la date d'expiration du fichier de certificat SSL HTTP. La plage est une date valide. Certificate File Upload : permet de télécharger un fichier de certificat vers le périphérique WAP. Vous pouvez : - Choisir HTTP ou TFTP dans Transfer Method. - Si vous avez sélectionné HTTP, cliquer sur Browse pour sélectionner le fichier. Pour plus d'informations sur la configuration des paramètres du serveur HTTP, voir Service HTTP/HTTPS. Si vous avez sélectionné TFTP, complétez les champs Filename et TFTP Server IPv4 Address. Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus. - Cliquer sur Upload. Une fenêtre de confirmation apparaît, suivie d'une barre de progression indiquant l'état du téléchargement. ÉTAPE 5 Si vous activez l'authentification, cliquez sur Show Details pour configurer ces paramètres : • Use Global RADIUS Server Settings : par défaut, chaque port Ethernet utilise les paramètres RADIUS globaux que vous définissez pour le périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez configurer chaque port de façon à ce qu'il utilise un autre groupe de serveurs RADIUS. Guide d'administration pour Cisco WAP131 et WAP351 126 6 Sécurité du système Demandeur 802.1X/802.1X Activez l'option pour utiliser les paramètres de serveur RADIUS globaux ou désactivez-la pour utiliser un serveur RADIUS distinct pour un port et saisissez des valeurs dans les champs Server IP Address ou Server IPv6 Address, Key et Authentication Port. • Server IP Address Type : version IP utilisée par le serveur RADIUS. Vous pouvez basculer entre les différents types d'adresse afin de définir les paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le périphérique WAP ne contactera que le ou les serveurs RADIUS répondant au type d'adresse que vous sélectionnez dans ce champ. - Server IP Address 1 ou Server IPv6 Address 1 : adresse du serveur RADIUS principal pour ce port Ethernet. Lorsque le premier ordinateur se connecte et tente de s'authentifier auprès du périphérique WAP, le périphérique WAP envoie une demande d'authentification au serveur principal. Si le serveur principal répond à la demande d'authentification, le périphérique WAP continue à utiliser ce serveur RADIUS comme serveur principal et les demandes d'authentification sont envoyées à l'adresse spécifiée. La forme de l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10). La forme de l'adresse IPv6 doit être similaire à celle-ci : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91). - Server IP Address 2 to 4 ou Server IPv6 Address 2 to 4 : jusqu'à trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si l'authentification auprès du serveur principal échoue, une tentative est effectuée sur chaque serveur de secours configuré. - Key : clé secrète partagée que le périphérique WAP utilise pour s'authentifier sur le serveur RADIUS principal. Vous pouvez utiliser jusqu'à 63 caractères alphanumériques standard et caractères spéciaux. La clé est sensible à la casse et doit correspondre à la clé configurée sur le serveur RADIUS. Le texte que vous saisissez s'affiche sous forme d'astérisques. - Key 2 à Key 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2 utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address 3 utilise Key 3, etc. - Authentication Port : port que le périphérique WAP utilise pour se connecter au serveur RADIUS principal. Guide d'administration pour Cisco WAP131 et WAP351 127 6 Sécurité du système Complexité des mots de passe - • Authentication Port (2 à 4) : port associé aux serveurs RADIUS de sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2 utilise Authentication Port 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address 3 utilise Authentication Port 3, etc. Enable RADIUS Accounting : active le suivi et la mesure des ressources consommées par un utilisateur donné (heure système, volume de données transmises et reçues, etc.) Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et pour l'ensemble des serveurs de sauvegarde. - Active Server : permet de sélectionner administrativement le serveur RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans l'ordre chaque serveur configuré et de choisir le premier serveur actif. - Periodic Reauthentication : active la réauthentification EAP. - Reauthentication Period : saisissez la période de réauthentification EAP en secondes. La valeur par défaut est 3600. La plage valide est comprise entre 300 et 4294967295 secondes. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Complexité des mots de passe Dans la page Password Complexity, modifiez les exigences de complexité pour les mots de passe utilisés pour accéder à l'utilitaire de configuration. Des mots de passe complexes augmentent la sécurité. Pour configurer les exigences de complexité des mots de passe : ÉTAPE 1 Sélectionnez Security > Password Complexity. ÉTAPE 2 Activez la case Enable en regard du champ Password Complexity. Guide d'administration pour Cisco WAP131 et WAP351 128 6 Sécurité du système Complexité WPA-PSK ÉTAPE 3 Définissez les paramètres suivants : • Password Minimum Character Class : saisissez le nombre minimal de classes de caractères devant être représentées dans la chaîne de mot de passe. Les quatre classes de caractères possibles sont les lettres majuscules, les lettres minuscules, les chiffres et les caractères spéciaux disponibles sur un clavier standard. • Password Different From Current : activez cette option afin de demander aux utilisateurs d'entrer un autre mot de passe lorsque leur mot de passe actuel arrive à expiration. Si vous ne sélectionnez pas cette option, les utilisateurs peuvent entrer à nouveau le même mot de passe une fois celuici arrivé à expiration. • Maximum Password Length : la longueur maximale du mot de passe est comprise entre 64 et 80 caractères. La valeur par défaut est 64. • Minimum Password Length : la longueur minimale du mot de passe est comprise entre 0 et 32 caractères. La valeur par défaut est 8. • Password Aging Support : activez cette option pour que les mots de passe expirent après une période déterminée que vous configurez. • Password Aging Time : saisissez le nombre de jours avant qu'un nouveau mot de passe n'expire. Cette valeur est comprise entre 1 et 365. La valeur par défaut est de 180 jours. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Complexité WPA-PSK Lorsque vous configurez des points d'accès virtuels (VAP) sur le périphérique WAP, vous pouvez sélectionner une méthode d'authentification sécurisée des clients. Si vous sélectionnez le protocole WPA personnel (également connu sous le nom de clé prépartagée WPA ou WPA-PSK) en guise de méthode de sécurité pour tous les points d'accès virtuels (VAP), vous pouvez également utiliser la page WPA-PSK Complexity pour configurer les exigences de complexité de la clé utilisée dans le processus d'authentification. Des clés plus complexes offrent une sécurité accrue. Guide d'administration pour Cisco WAP131 et WAP351 129 6 Sécurité du système Complexité WPA-PSK Pour configurer la complexité WPA-PSK : ÉTAPE 1 Sélectionnez Security > WPA-PSK Complexity. ÉTAPE 2 Activez la case Enable en regard du paramètre WPA-PSK Complexity afin de permettre au périphérique WAP de contrôler les clés WPA-PSK en fonction des critères que vous configurez. Si vous désactivez cette fonctionnalité, aucun de ces paramètres n'est utilisé. La complexité WPA-PSK est désactivée par défaut. ÉTAPE 3 Définissez les paramètres suivants : • WPA-PSK Minimum Character Class : choisissez le nombre minimal de classes de caractères devant être représentées dans la chaîne de clé. Les quatre classes de caractères possibles sont les lettres majuscules, les lettres minuscules, les chiffres et les caractères spéciaux disponibles sur un clavier standard. La valeur par défaut est trois. • WPA-PSK Different From Current : lorsque la fonctionnalité est activée, les utilisateurs doivent configurer une autre clé lorsque leur clé actuelle arrive à expiration. Lorsqu'elle est désactivée, les utilisateurs peuvent continuer à utiliser leur ancienne clé ou leur clé précédente lorsque leur clé actuelle arrive à expiration. • Maximum WPA-PSK Length : la longueur maximale de la clé est comprise entre 32 et 63 caractères. La valeur par défaut est 63. • Minimum WPA-PSK Length : la longueur minimale de la clé est comprise entre 8 et 16 caractères. La valeur par défaut est 8. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 130 7 Qualité de service Ce chapitre explique comment configurer la fonctionnalité de qualité de service (QoS) sur le périphérique WAP. Il contient les sections suivantes : • Paramètres globaux • Mappage de classe • Mappage de stratégie • Association de la QoS • État de la QoS Paramètres globaux Dans la page Global Settings, vous pouvez activer ou désactiver la fonctionnalité QoS sur le périphérique WAP, et configurer le mode de confiance ainsi que d'autres paramètres QoS si vous utilisez un périphérique Cisco WAP351. Configuration des paramètres QoS pour Cisco WAP131 Pour configurer le mode QoS sur votre périphérique WAP : ÉTAPE 1 Sélectionnez Quality of Service > Global Settings. ÉTAPE 2 Dans le champ QoS Mode, activez ou désactivez la fonctionnalité QoS globalement sur le périphérique WAP. ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 131 7 Qualité de service Paramètres globaux Configuration des paramètres QoS pour Cisco WAP351 Si vous utilisez un périphérique Cisco WAP351 et que le mode QoS est activé, vous pouvez configurer le mode de confiance et d'autres paramètres pour le commutateur Ethernet : ÉTAPE 1 Sélectionnez Quality of Service > Global Settings. ÉTAPE 2 Activez le mode QoS sur le périphérique. ÉTAPE 3 Choisissez le mode de confiance du commutateur Ethernet dans la liste Trust Mode. Les options sont les suivantes : • CoS/802.1p : la priorité d'un paquet reçu d'un port Ethernet est basée sur la valeur 802.1p dans ce paquet. Si le paquet entrant n'est pas balisé, la priorité supposée est de 0. Vous pouvez configurer les paramètres de mappage de priorité dans le tableau CoS/802.1p to Output Queue Table. • DSCP : la priorité d'un paquet reçu d'un port Ethernet est basée sur la valeur IP ToS/DSCP dans ce paquet. Si le paquet entrant n'est pas du type IPv4/IPv6, la priorité supposée est de 0. Vous pouvez configurer les paramètres de mappage de priorité dans le tableau DSCP to Output Queue Table. • Port : il s'agit du mode basé sur le port. La priorité d'un paquet reçu à partir d'un port Ethernet est basée sur la valeur CoS associée à ce port. Vous pouvez configurer la valeur CoS de chaque port dans la page Port Settings (voir Paramètres des ports pour plus d'informations). Vous pouvez ensuite configurer les paramètres de mappage de priorité dans le tableau CoS/ 802.1p to Output Queue Table. ÉTAPE 4 Si la priorité d'un paquet est basée sur CoS/802.1p, le paquet sera planifié dans une file d'attente correspondante selon la configuration du tableau CoS/802.1p to Output Queue Table. La méthode de planification des files d'attente peut être définie dans la zone Scheduling Settings. ÉTAPE 5 Si la priorité d'un paquet est basée sur DSCP, le paquet sera planifié dans une file d'attente correspondante selon la configuration du tableau DSCP to Output Queue Table. Quatre files d'attente sont prises en charge. La méthode de planification des files d'attente peut être définie dans la zone Scheduling Settings. Guide d'administration pour Cisco WAP131 et WAP351 132 7 Qualité de service Mappage de classe ÉTAPE 6 Dans la zone Scheduling Settings, vous pouvez définir la planification des méthodes de files d'attente. Lorsqu'elle est de priorité stricte (SP), la priorité est Queue3 > Queue2 > Queue1 > Queue0. En mode WRR, les files d'attente sont planifiées selon une méthode par permutation pondérée selon la pondération du service de chaque file d'attente. Le mode WRR autorisé est uniquement [Q0, Q1], [Q0, Q1, Q2] et [Q0, Q1, Q2, Q3]. La plage de pondération WRR va de 1 à 49. ÉTAPE 7 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Mappage de classe La fonctionnalité QoS inclut la prise en charge de services différenciés (DiffServ) permettant la classification du trafic en flux et offrant un traitement QoS correspondant à des comportements par saut définis. Les réseaux IP standard sont conçus pour offrir un service de livraison des données de type « au mieux ». Le service « au mieux » implique que le réseau livre les données dans des délais corrects, mais sans garantie totale de livraison. En cas d'encombrement du réseau, il se peut que des paquets soient retardés, envoyés de manière sporadique, voire abandonnés. En ce qui concerne les applications Internet typiques, comme le courrier électronique et le transfert de fichiers, une légère dégradation du service est acceptable et dans de nombreux cas indétectable. Toutefois, dans le cas des applications présentant des exigences strictes en matière de délais d'exécution, comme la voix ou le multimédia, toute dégradation du service a des effets indésirables. Une configuration DiffServ débute par la définition de mappages de classe, ce qui permet de classifier le trafic en fonction du protocole IP et d'autres critères. Chaque mappage de classe peut ensuite être associé à un mappage de stratégie, qui définit le mode de traitement de la classe de trafic. Les classes contenant du trafic devant être transmis rapidement peuvent être affectées à des mappages de stratégie accordant la priorité par rapport aux autres types de trafic. Vous pouvez utiliser la page Class Map pour définir les classes de trafic, et la page Mappage de stratégie pour définir les stratégies et leur associer les mappages de classe. Guide d'administration pour Cisco WAP131 et WAP351 133 7 Qualité de service Mappage de classe Configuration des mappages de classe IPv4 Pour ajouter et configurer un mappage de classe IPv4 : ÉTAPE 1 Sélectionnez Quality of Service > Class Map. ÉTAPE 2 Dans le champ Class Map Name, saisissez le nom du nouveau mappage de classe. Le nom peut comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés. ÉTAPE 3 Choisissez IPv4 comme type de mappage de classe dans la liste Class Map Type. Le mappage de classe IPv4 s'applique uniquement au trafic IPv4 sur le périphérique WAP. ÉTAPE 4 Dans la zone Match Criteria Configuration, configurez ces paramètres pour faire correspondre les paquets à une classe : • Class Map Name : choisissez le mappage de classe IPv4 dans la liste. • Match Every Packet : la condition de correspondance est vraie pour l'ensemble des paramètres dans un paquet de couche 3. Si vous activez cette option, tous les paquets de couche 3 répondront à la condition. • Protocol : utilise une condition de correspondance de protocole de couche 3 ou 4 sur la base de la valeur du champ IP Protocol dans les paquets IPv4 ou du champ Next Header dans les paquets IPv6. Choisissez le protocole à mettre en correspondance par mot clé ou saisissez un ID de protocole : • - Select From List : met en correspondance le protocole sélectionné : IP, ICMP, IGMP, TCP, UDP. - Match to Value : met en correspondance un protocole dont le nom ne figure pas dans la liste. Saisissez l'ID de protocole. L'ID de protocole est une valeur standard affectée par l'IANA. La valeur est un nombre compris entre 0 et 255. Source IP : nécessite que l'adresse IPv4 source d'un paquet corresponde à l'adresse IPv4 définie dans les champs appropriés. - Source IP Address : saisissez l'adresse IPv4 pour appliquer ce critère. - Source IP Mask : saisissez le masque de l'adresse IPv4 source. Le masque de DiffServ est un masque de bits de type réseau au format décimal IP séparé par des points, indiquant la ou les parties de l'adresse IP de destination à utiliser pour effectuer la correspondance avec le contenu des paquets. Guide d'administration pour Cisco WAP131 et WAP351 134 7 Qualité de service Mappage de classe Un masque DiffServ égal à 255.255.255.255 indique que tous les bits sont importants, tandis qu'un masque égal à 0.0.0.0 indique qu'aucun bit n'est important. Le contraire est vrai avec un masque générique d'ACL. Par exemple, pour que les critères correspondent à une adresse hôte unique, utilisez un masque égal à 255.255.255.255. Pour faire correspondre les critères à un sous-réseau 24 bits (par exemple, 192.168.10.0/24), utilisez un masque égal à 255.255.255.0. • Source Port : inclut un port source dans la condition de correspondance de la règle. Le port source est identifié dans l'en-tête de datagramme. - Select From List : met en correspondance un mot clé associé au port source : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro de port équivalent. - Match to Port : met en correspondance le numéro de port source figurant dans l'en-tête de datagramme avec un numéro de port IANA que vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - • • Mask : masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF) est autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit être ignoré. Destination IP : nécessite que l'adresse IPv4 destination d'un paquet corresponde à l'adresse IPv4 définie dans les champs appropriés. - Destination IP Address : saisissez l'adresse IPv4 pour appliquer ce critère. - Destination IP Mask : saisissez le masque d'adresse IP de destination. Destination Port : inclut un port de destination dans la condition de correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme. - Select From List : met en correspondance le port de destination figurant dans l'en-tête de datagramme avec le mot clé sélectionné : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro de port équivalent. Guide d'administration pour Cisco WAP131 et WAP351 135 7 Qualité de service Mappage de classe - Match to Port : met en correspondance le port de destination figurant dans l'en-tête de datagramme avec un numéro de port IANA que vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - • Mask : masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF) est autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit être ignoré. Service Type : spécifie le type de service à utiliser lors de la mise en correspondance des paquets avec les critères de classe. - IP DSCP Select From List : choisissez une valeur DSCP à utiliser en guise de critère de correspondance. - IP DSCP Match to Value : saisissez une valeur DSCP personnalisée, comprise entre 0 et 63. - IP Precedence : met en correspondance la valeur IP Precedence du paquet avec la valeur IP Precedence définie dans ce champ. La plage des valeurs IP Precedence va de 0 à 7. - IP ToS Bits : utilise les bits du type de service (ToS) du paquet dans l'entête IP en guise de critères de correspondance. Cette valeur est comprise entre 00 et FF. Les trois bits d'ordre haut représentent la valeur IP Precedence. Les six bits d'ordre haut représentent la valeur IP DSCP. - IP ToS Mask : saisissez une valeur IP ToS Mask pour identifier les positions de bits dans la valeur IP ToS Bits, utilisées pour la comparaison avec le champ IP ToS dans un paquet. La valeur IP ToS Mask est un nombre hexadécimal à deux chiffres, compris entre 00 et FF, représentant un masque inversé (à savoir un masque générique). Les bits égaux à zéro dans le champ IP ToS Mask indiquent les positions de bits dans la valeur IP ToS Bits qui sont utilisées pour la comparaison avec le champ IP ToS d'un paquet. Par exemple, pour vérifier une valeur IP ToS possédant les bits 7 et 5 définis et le bit 1 vide, dans laquelle le bit 7 est le plus significatif, utilisez une valeur IP ToS Bits égale à 0 et une valeur IP ToS Mask égale à 00. Guide d'administration pour Cisco WAP131 et WAP351 136 7 Qualité de service Mappage de classe ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer un mappage de classe, sélectionnez-le dans la liste Class Map Name et cliquez sur Delete. Le mappage de classe ne peut pas être supprimé s'il est déjà lié à une stratégie. Configuration des mappages de classe IPv6 Pour ajouter et configurer un mappage de classe IPv6 : ÉTAPE 1 Sélectionnez Quality of Service > Class Map. ÉTAPE 2 Dans le champ Class Map Name, saisissez le nom du nouveau mappage de classe. Le nom peut comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés. ÉTAPE 3 Choisissez IPv6 comme type de mappage de classe dans la liste Class Map Type. Le mappage de classe IPv6 s'applique uniquement au trafic IPv6 sur le périphérique WAP. ÉTAPE 4 Dans la zone Match Criteria Configuration, configurez ces paramètres pour faire correspondre les paquets à une classe : • Class Map Name : choisissez le mappage de classe IPv6 dans la liste. • Match Every Packet : la condition de correspondance est vraie pour l'ensemble des paramètres dans un paquet de couche 3. Si vous activez cette option, tous les paquets de couche 3 répondront à la condition. • Protocol : utilise une condition de correspondance de protocole de couche 3 ou 4 sur la base de la valeur du champ IP Protocol dans les paquets IPv4 ou du champ Next Header dans les paquets IPv6. Choisissez le protocole à mettre en correspondance par mot clé ou saisissez un ID de protocole : - Select From List : met en correspondance le protocole sélectionné : IPv6, ICMPv6, TCP ou UDP. - Match to Value : met en correspondance un protocole dont le nom ne figure pas dans la liste. Saisissez l'ID de protocole. L'ID de protocole est une valeur standard affectée par l'IANA. La valeur est un nombre compris entre 0 et 255. Guide d'administration pour Cisco WAP131 et WAP351 137 7 Qualité de service Mappage de classe • • Source IPv6 : nécessite que l'adresse IPv6 source d'un paquet corresponde à l'adresse IPv6 définie dans les champs appropriés. - Source IPv6 Address : saisissez l'adresse IPv6 pour appliquer ce critère. - Source IPv6 Prefix Length : saisissez la longueur de préfixe de l'adresse IPv6 source. Source Port : inclut un port source dans la condition de correspondance de la règle. Le port source est identifié dans l'en-tête de datagramme. - Select From List : met en correspondance un mot clé associé au port source : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro de port équivalent. - Match to Port : met en correspondance le numéro de port source figurant dans l'en-tête de datagramme avec un numéro de port IANA que vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - • • Mask : masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul un chiffre hexadécimal (0 à 0xFFFF) est autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit être ignoré. Destination IPv6 : nécessite que l'adresse IPv6 destination d'un paquet corresponde à l'adresse IPv6 définie dans les champs appropriés. - Destination IPv6 Address : saisissez l'adresse IPv6 pour appliquer ce critère. - Destination IPv6 Prefix Length : saisissez la longueur de préfixe de l'adresse IPv6 de destination. Destination Port : inclut un port de destination dans la condition de correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme. - Select From List : met en correspondance le port de destination figurant dans l'en-tête de datagramme avec le mot clé sélectionné : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro de port équivalent. Guide d'administration pour Cisco WAP131 et WAP351 138 7 Qualité de service Mappage de classe - Match to Port : met en correspondance le port de destination figurant dans l'en-tête de datagramme avec un numéro de port IANA que vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - Mask : masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul un chiffre hexadécimal (0 à 0xFFFF) est autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit être ignoré. • IPv6 Flow Label : saisissez un nombre de 20 bits unique pour un paquet IPv6. Ce nombre est utilisé par les postes finaux pour indiquer la gestion de la QoS dans les routeurs (plage de 0 à 1048575). • IP DSCP : utilise la valeur DSCP comme critère de correspondance. - Select from List : choisissez le type DSCP dans la liste. - Match to Value : saisissez une valeur DSCP personnalisée, comprise entre 0 et 63. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer un mappage de classe, choisissez-le dans la liste Class Map Name et cliquez sur Delete. Le mappage de classe ne peut pas être supprimé s'il est déjà lié à une stratégie. Configuration des mappages de classe MAC Pour ajouter et configurer un mappage de classe MAC : ÉTAPE 1 Sélectionnez Quality of Service > Class Map. ÉTAPE 2 Dans le champ Class Map Name, saisissez le nom du nouveau mappage de classe. Le nom peut comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés. ÉTAPE 3 Choisissez MAC comme type de mappage de classe dans la liste Class Map Type. Le mappage de classe MAC s'applique aux critères de couche 2. Guide d'administration pour Cisco WAP131 et WAP351 139 7 Qualité de service Mappage de classe ÉTAPE 4 Dans la zone Match Criteria Configuration, configurez ces paramètres pour faire correspondre les paquets à une classe : • Class Map Name : choisissez le mappage de classe MAC dans la liste. • Match Every Packet : si vous activez cette option, tous les paquets de couche 2 répondront à la condition. • EtherType : compare les critères de correspondance avec la valeur figurant dans l'en-tête d'une trame Ethernet. Choisissez un mot clé EtherType ou saisissez une valeur EtherType pour spécifier les critères de correspondance : - Select from List : met en correspondance la valeur Ethertype figurant dans l'en-tête de datagramme avec les types de protocole sélectionnés : appletalk, arp, ipv4, ipv6, ipx, netbios ou pppoe. - Match to Value : met en correspondance la valeur Ethertype figurant dans l'en-tête de datagramme avec un identificateur de protocole personnalisé que vous spécifiez. La valeur est un nombre hexadécimal à 4 chiffres dans la plage 0600 à FFFF. • Class of Service : spécifie la valeur de priorité utilisateur 802.1p de classe de service à mettre en correspondance pour les paquets. La plage valide va de 0 à 7. • Source MAC : inclut une adresse MAC source dans la condition de correspondance de la règle. - Source MAC Address : saisissez l'adresse MAC source à comparer à une trame Ethernet. - Source MAC Mask : saisissez le masque d'adresse MAC source indiquant quels bits de l'adresse MAC de destination il faut comparer à une trame Ethernet. Pour chaque position de bit dans le masque MAC, une valeur 0 indique que le bit d'adresse correspondant est significatif et une valeur 1 indique que le bit d'adresse est ignoré. Par exemple, pour ne vérifier que les quatre premiers octets d'une adresse MAC, utilisez un masque MAC de 00:00:00:00:ff:ff. Un masque MAC de 00:00:00:00:00:00 vérifie tous les bits d'adresse et est utilisé pour mettre en correspondance une seule adresse MAC. Guide d'administration pour Cisco WAP131 et WAP351 140 7 Qualité de service Mappage de stratégie • • Destination MAC : inclut une adresse MAC de destination dans la condition de correspondance de la règle. - Destination MAC Address : saisissez l'adresse MAC de destination à comparer à une trame Ethernet. - Destination MAC Mask : saisissez le masque d'adresse MAC de destination afin de spécifier quels bits de l'adresse MAC de destination il faut comparer à une trame Ethernet. VLAN ID : ID de VLAN spécifié à mettre en correspondance pour les paquets. L'ID de VLAN doit être compris entre 0 et 4095. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer un mappage de classe, choisissez-le dans la liste Class Map Name et cliquez sur Delete. Le mappage de classe ne peut pas être supprimé s'il est déjà lié à une stratégie. Mappage de stratégie Les paquets sont classifiés et traités sur la base des critères définis. Les critères de classification sont définis par l'intermédiaire d'une classe à la page Class Map. Le traitement est défini par les attributs d'une stratégie à la page Policy Map. Les attributs de stratégie peuvent être définis sur la base d'une instance par classe et ils déterminent le mode de traitement du trafic correspondant aux critères de classe. Le périphérique WAP peut prendre en charge jusqu'à 32 mappages de classe dans tous les mappages de stratégie créés. Pour ajouter et configurer un mappage de stratégie : ÉTAPE 1 Sélectionnez Quality of Service > Policy Map. ÉTAPE 2 Dans le champ Policy Map Name, saisissez le nom du mappage de stratégie.Le nom peut comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés. ÉTAPE 3 Cliquez sur Add Policy Map. Guide d'administration pour Cisco WAP131 et WAP351 141 7 Qualité de service Mappage de stratégie ÉTAPE 4 Dans la zone Policy Class Definition, configurez ces paramètres pour le mappage de stratégie : • Policy Map Name : choisissez le mappage de stratégie à configurer. • Class Map Name : choisissez le mappage de classe à appliquer à cette stratégie. • Police Simple : établit le style de réglementation du trafic de la classe. La forme simple du style de réglementation utilise un seul débit de données et une seule taille de rafale, d'où deux résultats possibles : conforme et non conforme. Si vous activez cette fonctionnalité, configurez l'un des champs suivants : - Committed Rate : débit garanti, en Kbit/s, auquel le trafic doit se conformer. Cette valeur est comprise entre 1 et 1 000 000 Kbit/s. - Committed Burst : taille de rafale engagée, en octets, à laquelle le trafic doit se conformer. Cette valeur est comprise entre 1 et 204 800 000 octets. • Send : spécifie que tous les paquets du flux de trafic associé doivent être transférés si les critères de mappage de classe sont satisfaits. • Drop : spécifie que tous les paquets du flux de trafic associé doivent être abandonnés si les critères de mappage de classe sont satisfaits. • Mark Class of Service : marque tous les paquets du flux de trafic associé avec la valeur de la classe de service spécifiée dans le champ de priorité de l'en-tête 802.1p. Si le paquet ne contient pas encore cet en-tête, celui-ci est inséré. La valeur CoS est un entier compris entre 0 et 7. REMARQUE La remarque CoS n'est appliquée que dans le mode de confiance CoS/802.1p pour les ports Ethernet du périphérique Cisco WAP351. • Mark IP DSCP : marque tous les paquets du flux de trafic associé avec la valeur IP DSCP que vous sélectionnez dans la liste. - Select From List : liste des types DSCP. • Mark IP Precedence : marque tous les paquets du flux de trafic associé avec la valeur IP Precedence spécifiée. La valeur IP Precedence est un entier compris entre 0 et 7. • Disassociate Class Map : supprime la classe sélectionnée dans la liste Class Map Name de la stratégie sélectionnée dans la liste Policy Map Name. Guide d'administration pour Cisco WAP131 et WAP351 142 7 Qualité de service Association de la QoS • Member Classes : répertorie toutes les classes DiffServ actuellement définies en tant que membres de la stratégie sélectionnée. Ce champ est vide si aucune classe n'est associée à la stratégie. ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer un mappage de stratégie, sélectionnez-le dans la liste Policy Map Name et cliquez sur Delete. Association de la QoS La page QoS Association offre un contrôle supplémentaire de certains aspects de la qualité de service des interfaces sans fil et Ethernet. En plus de contrôler les catégories générales de trafic, la QoS vous permet de configurer le conditionnement par client de divers micro-flux par le biais de services différenciés (DiffServ, Differentiated Services). Les stratégies DiffServ sont un outil utile pour l'établissement d'une définition générale des micro-flux et de caractéristiques de traitement pouvant être appliquées à chaque client sans fil, entrant et sortant, lors de son authentification sur le réseau. Pour configurer les paramètres d'association de la QoS : ÉTAPE 1 Sélectionnez Quality of Service > QoS Association. ÉTAPE 2 Dans le champ Interfaces, choisissez l'interface radio ou Ethernet sur laquelle vous voulez configurer les paramètres QoS. ÉTAPE 3 Dans la liste DiffServ Policy, choisissez une stratégie DiffServ appliquée au trafic envoyé au périphérique WAP pour l'interface sélectionnée. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une interface peut être liée par une stratégie DiffServ ou une liste de contrôle d'accès, mais pas les deux. REMARQUE Une stratégie contenant des mappages de classe IPv6 n'est pas prise en charge sur les ports Ethernet du périphérique Cisco WAP351. Guide d'administration pour Cisco WAP131 et WAP351 143 7 Qualité de service État de la QoS État de la QoS La page QoS Status indique les détails des mappages de stratégie et de classe, notamment le mappage de classe présent dans un mappage de stratégie et les interfaces liées à ce mappage de stratégie. Les tables IPv4 QoS, IPv6 QoS et MAC QoS indiquent les informations des mappages de classe définis dans la page Class Map, notamment : • Member Class : nom du mappage de classe. • Match All : indique si ce mappage correspond à tous les paquets. • Rule Field : affiche la définition détaillée de ce mappage de classe. Pour plus d'informations, reportez-vous à la section Mappage de classe. La table Policy Map indique les informations des mappages de stratégie définis dans la page Policy Map, notamment : • Policy Map Name : nom du mappage de stratégie. • Interface Bound : affiche l'interface associée à ce mappage de stratégie. • Class Map Name : répertorie les mappages de classe contenus par cette stratégie. • Policy : affiche les détails de stratégie de ce mappage de classe. Pour plus d'informations, reportez-vous à la section Mappage de stratégie. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. Guide d'administration pour Cisco WAP131 et WAP351 144 8 ACL Ce chapitre explique comment configurer la fonction ACL sur le périphérique WAP. Il contient les sections suivantes : • Règle ACL • Association d'ACL • État ACL Règle ACL Une ACL ou liste de contrôle d'accès est un ensemble de conditions d'autorisation et de refus, appelées règles, qui offrent de la sécurité en bloquant les utilisateurs non autorisés et en permettant aux utilisateurs autorisés d'accéder à des ressources spécifiques. Les ACL peuvent bloquer toutes les tentatives non fondées d'accès aux ressources réseau. Le périphérique WAP peut prendre en charge jusqu'à 32 règles ACL IPv4, IPv6 et MAC. ACL IPv4 et IPv6 Les ACL IP classent le trafic selon les couches 3 et 4. Chaque ACL est un ensemble de règles qui s'appliquent au trafic reçu par le périphérique WAP. Chaque règle spécifie si le contenu d'un champ donné doit être utilisé pour autoriser ou refuser l'accès au réseau. Les règles peuvent être basées sur divers critères et elles peuvent s'appliquer à un ou plusieurs champs au sein d'un paquet, comme l'adresse IP source ou de destination, le port source ou de destination, ou le protocole transporté dans le paquet. REMARQUE Chaque règle créée se termine par une instruction de refus implicite. Afin d'éviter un refus complet, il est fortement recommandé d'ajouter une règle d'autorisation dans l'ACL en vue d'autoriser le trafic. Guide d'administration pour Cisco WAP131 et WAP351 145 8 ACL Règle ACL ACL MAC Les ACL MAC sont des ACL de couche 2. Vous pouvez configurer les règles de manière à inspecter les champs d'une trame, comme l'adresse MAC source ou de destination, l'ID de VLAN ou la classe de service. Lorsqu'une trame entre dans le port du périphérique WAP, le périphérique WAP l'inspecte et vérifie son contenu par rapport aux règles ACL. Si l'une des règles correspond à ce contenu, une action d'autorisation ou de refus est entreprise sur la trame. Flux de travail de configuration des ACL Utilisez la page ACL Rule pour configurer les ACL et leurs règles, puis appliquer ces dernières à une interface particulière. Les étapes suivantes donnent une description générale de la manière de configurer des ACL : ÉTAPE 1 Sélectionnez ACL > ACL Rule. ÉTAPE 2 Spécifiez le nom de l'ACL. ÉTAPE 3 Sélectionnez le type d'ACL à ajouter. ÉTAPE 4 Ajoutez l'ACL. ÉTAPE 5 Ajoutez de nouvelles règles à l'ACL. ÉTAPE 6 Configurez les critères de correspondance des règles. ÉTAPE 7 Utilisez la page Association d'ACL pour appliquer l'ACL à une ou plusieurs interfaces. Configuration des ACL IPv4 Pour configurer une ACL IPv4 : ÉTAPE 1 Sélectionnez ACL > ACL Rule. ÉTAPE 2 Dans le champ ACL Name, saisissez le nom identifiant l'ACL. Le nom peut comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés. ÉTAPE 3 Dans la liste ACL Type, choisissez IPv4 comme type de l'ACL. Les ACL IPv4 contrôlent l'accès aux ressources réseau sur la base des critères des couches 3 et 4. Guide d'administration pour Cisco WAP131 et WAP351 146 8 ACL Règle ACL ÉTAPE 4 Cliquez sur Add ACL. ÉTAPE 5 Dans la zone ACL Rule Configuration, définissez les paramètres de règle ACL suivants : • ACL Name - ACL Type : sélectionnez l'ACL à configurer avec la nouvelle règle. • Rule : sélectionnez New Rule pour configurer une nouvelle règle pour l'ACL sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout trafic. • Action : indiquez si la règle ACL autorise ou refuse une action. Lorsque vous sélectionnez Permit, la règle permet à tout le trafic répondant à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas aux critères est abandonné. Lorsque vous sélectionnez Deny, la règle empêche tout le trafic qui ne répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas aux critères est transféré, sauf si cette règle est la règle finale. Étant donné la présence d'une règle implicite de refus de tout trafic à la fin de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné. • Match Every Packet : si cette option est activée, la règle, qui possède une action d'autorisation ou de refus, met en correspondance la trame ou le paquet, quel que soit son contenu. Si vous sélectionnez cette fonction, vous ne pouvez configurer aucun critère de correspondance supplémentaire. Cette option est sélectionnée par défaut pour chaque nouvelle règle. Vous devez désactiver l'option pour configurer d'autres champs de correspondance. • Protocol : utilise une condition de correspondance de protocole de couche 3 ou 4 sur la base de la valeur du champ IP Protocol dans les paquets IPv4 ou du champ Next Header dans les paquets IPv6. Vous pouvez choisir l'une de ces options ou sélectionner Any : - Select From List : sélectionnez l'un des protocoles suivants : IP, ICMP, IGMP, TCP ou UDP. - Match to Value : saisissez un ID de protocole standard affecté par l'IANA, compris entre 0 et 255. Choisissez cette méthode pour identifier un protocole dont le nom ne figure pas dans le champ Select From List. Guide d'administration pour Cisco WAP131 et WAP351 147 8 ACL Règle ACL • Source IP : nécessite que l'adresse IP source d'un paquet corresponde à l'adresse définie dans les champs appropriés. - Source IP Address : saisissez l'adresse IP pour appliquer ces critères. - Wild Card Mask : saisissez le masque générique de l'adresse IP source. Le masque générique détermine quels bits sont utilisés et quels bits sont ignorés. Un masque générique égal à 255.255.255.255 indique qu'aucun bit n'est important. Un masque générique égal à 0.0.0.0 indique en revanche que tous les bits sont importants. Ce champ est requis lors de la vérification de l'adresse IP source. Un masque générique est en fait l'inverse d'un masque de sous-réseau. Par exemple, pour que les critères correspondent à une adresse hôte unique, utilisez un masque générique égal à 0.0.0.0. Pour faire correspondre les critères à un sous-réseau 24 bits (par exemple, 192.168.10.0/24), utilisez un masque générique égal à 0.0.0.255. • Source Port : inclut un port source dans la condition de correspondance de la règle. Le port source est identifié dans l'en-tête de datagramme. - Select From List : sélectionnez le mot clé associé au port source à mettre en correspondance : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro de port équivalent. - Match to Port : saisissez le numéro de port IANA à mettre en correspondance avec le port source identifié dans l'en-tête de datagramme. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - • Mask : saisissez le masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à 0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il peut être ignoré. Destination IP : nécessite que l'adresse IP destination d'un paquet corresponde à l'adresse définie dans les champs appropriés. - Destination IP Address : saisissez une adresse IP pour appliquer ces critères. Guide d'administration pour Cisco WAP131 et WAP351 148 8 ACL Règle ACL - Wild Card Mask : saisissez le masque générique de l'adresse IP destination. Le masque générique détermine quels bits sont utilisés et quels bits sont ignorés. Un masque générique égal à 255.255.255.255 indique qu'aucun bit n'est important. Un masque générique égal à 0.0.0.0 indique en revanche que tous les bits sont importants. Ce champ est requis lors de la sélection de l'adresse IP source. Un masque générique est en fait l'inverse d'un masque de sous-réseau. Par exemple, pour que les critères correspondent à une adresse hôte unique, utilisez un masque générique égal à 0.0.0.0. Pour faire correspondre les critères à un sous-réseau 24 bits (par exemple, 192.168.10.0/24), utilisez un masque générique égal à 0.0.0.255. • Destination Port : inclut un port de destination dans la condition de correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme. - Select From List : sélectionnez le mot clé associé au port destination à mettre en correspondance : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro de port équivalent. - Match to Port : saisissez le numéro de port IANA à mettre en correspondance avec le port destination identifié dans l'en-tête de datagramme. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - • Mask : saisissez le masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à 0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il peut être ignoré. Service Type : met en correspondance les paquets selon un type de service spécifique. - IP DSCP Select From List : met en correspondance les paquets selon les valeurs transfert DSCP (AF), classe de service (CS) ou acheminement attendu (EF). Guide d'administration pour Cisco WAP131 et WAP351 149 8 ACL Règle ACL - IP DSCP Match to Value : met en correspondance les paquets selon une valeur DSCP personnalisée. Si vous sélectionnez cette option, saisissez une valeur comprise entre 0 et 63 dans ce champ. - IP Precedence : met en correspondance les paquets selon leur valeur IP Precedence. Si vous sélectionnez cette option, saisissez une valeur IP Precedence comprise entre 0 et 7. - IP TOS Bits : spécifie une valeur relative à l'utilisation des bits du type de service du paquet dans l'en-tête IP en guise de critères de correspondance. Le champ IP ToS dans un paquet est défini comme l'ensemble des huit bits de l'octet du type de service dans l'en-tête IP. La valeur IP ToS Bits est un nombre hexadécimal à deux chiffres, compris entre 00 et ff. Les trois bits d'ordre haut représentent la valeur IP Precedence. Les six bits d'ordre haut représentent la valeur DSCP (Differentiated Services Code Point) IP. - IP ToS Mask : saisissez une valeur IP ToS Mask pour identifier les positions de bits dans la valeur IP ToS Bits, utilisées pour la comparaison avec le champ IP ToS dans un paquet. La valeur IP ToS Mask est un nombre hexadécimal à deux chiffres, compris entre 00 et FF, représentant un masque inversé (à savoir un masque générique). Les bits égaux à zéro dans le champ IP ToS Mask indiquent les positions de bits dans la valeur IP ToS Bits qui sont utilisées pour la comparaison avec le champ IP ToS d'un paquet. Par exemple, pour vérifier une valeur IP ToS possédant les bits 7 et 5 définis et le bit 1 vide, dans laquelle le bit 7 est le plus significatif, utilisez une valeur IP ToS Bits égale à 0 et une valeur IP ToS Mask égale à 00. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste ACL Name-ACL Type, sélectionnez Delete ACL et cliquez sur Save. Configuration des ACL IPv6 Pour configurer une ACL IPv6 : ÉTAPE 1 Sélectionnez ACL > ACL Rule. ÉTAPE 2 Dans le champ ACL Name, saisissez le nom identifiant l'ACL. Guide d'administration pour Cisco WAP131 et WAP351 150 8 ACL Règle ACL ÉTAPE 3 Dans la liste ACL Type, choisissez IPv6 comme type de l'ACL. Les ACL IPv6 contrôlent l'accès aux ressources réseau sur la base des critères des couches 3 et 4. ÉTAPE 4 Cliquez sur Add ACL. ÉTAPE 5 Dans la zone ACL Rule Configuration, définissez les paramètres de règle ACL suivants : • ACL Name - ACL Type : sélectionnez l'ACL à configurer avec la nouvelle règle. • Rule : sélectionnez New Rule pour configurer une nouvelle règle pour l'ACL sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout trafic. • Action : indiquez si la règle ACL autorise ou refuse une action. Lorsque vous sélectionnez Permit, la règle permet à tout le trafic répondant à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas aux critères est abandonné. Lorsque vous sélectionnez Deny, la règle empêche tout le trafic qui ne répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas aux critères est transféré, sauf si cette règle est la règle finale. Étant donné la présence d'une règle implicite de refus de tout trafic à la fin de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné. • Match Every Packet : si cette option est activée, la règle, qui possède une action d'autorisation ou de refus, met en correspondance la trame ou le paquet, quel que soit son contenu. Si vous sélectionnez cette fonction, vous ne pouvez configurer aucun critère de correspondance supplémentaire. Cette option est sélectionnée par défaut pour chaque nouvelle règle. Vous devez désactiver l'option pour configurer d'autres champs de correspondance. • Protocol : sélectionnez le protocole à mettre en correspondance par mot clé ou ID de protocole. • Source IPv6 : nécessite que l'adresse IPv6 source d'un paquet corresponde à l'adresse IPv6 définie dans les champs appropriés. - Source IPv6 Address : saisissez l'adresse IPv6 pour appliquer ces critères. - Source IPv6 Prefix Length : saisissez la longueur de préfixe de l'adresse IPv6 source. Guide d'administration pour Cisco WAP131 et WAP351 151 8 ACL Règle ACL • Source Port : inclut un port source dans la condition de correspondance de la règle. Le port source est identifié dans l'en-tête de datagramme. - Select From List : si vous sélectionnez cette option, choisissez le nom du port dans la liste. - Match to Port : saisissez le numéro de port IANA à mettre en correspondance avec le port source identifié dans l'en-tête de datagramme. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés - • • Mask : saisissez le masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à 0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il peut être ignoré. Destination IPv6 : nécessite que l'adresse IPv6 destination d'un paquet corresponde à l'adresse IPv6 définie dans les champs appropriés. - Destination IPv6 Address : saisissez une adresse IPv6 pour appliquer ces critères. - Destination IPv6 Prefix Length : saisissez la longueur de préfixe de l'adresse IPv6 de destination. Destination Port : inclut un port de destination dans la condition de correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme. - Select From List : si vous sélectionnez cette option, choisissez le nom du port dans la liste. - Match to Port : saisissez le numéro de port IANA à mettre en correspondance avec le port source identifié dans l'en-tête de datagramme. La plage de ports va de 0 à 65535 et inclut trois types de ports différents : 0 à 1023 : ports réservés 1024 à 49151 : ports inscrits 49152 à 65535 : ports dynamiques et/ou privés Guide d'administration pour Cisco WAP131 et WAP351 152 8 ACL Règle ACL - Mask : saisissez le masque du port. Le masque détermine quels bits sont utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à 0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il peut être ignoré. • IPv6 Flow Label : indique un nombre de 20 bits qui est propre à un paquet IPv6. Ce nombre est utilisé par les postes finaux pour indiquer la gestion de la QoS dans les routeurs (plage de 0 à 1048575). • IPv6 DSCP : met en correspondance les paquets selon leur valeur IP DSCP. Si vous sélectionnez cette option, choisissez l'une des options suivantes en tant que critères de correspondance : - Select From List : sélectionnez l'une des valeurs suivantes : DSCP Assured Forwarding (AS), Class of Service (CS) ou Expedited Forwarding (EF). - Match to Value : saisissez une valeur DSCP personnalisée, comprise entre 0 et 63. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste ACL Name-ACL Type, cochez la case Delete ACL et cliquez sur Save. Configuration des ACL MAC Pour configurer une ACL MAC : ÉTAPE 1 Sélectionnez ACL > ACL Rule. ÉTAPE 2 Dans le champ ACL Name, saisissez le nom identifiant l'ACL. ÉTAPE 3 Dans la liste ACL Type, choisissez MAC comme type de l'ACL. Les ACL MAC contrôlent l'accès aux ressources réseau sur la base des critères de la couche 2. ÉTAPE 4 Cliquez sur Add ACL. ÉTAPE 5 Dans la zone ACL Rule Configuration, définissez les paramètres de règle ACL suivants : • ACL Name - ACL Type : sélectionnez l'ACL à configurer avec la nouvelle règle. Guide d'administration pour Cisco WAP131 et WAP351 153 8 ACL Règle ACL • Rule : sélectionnez New Rule pour configurer une nouvelle règle pour l'ACL sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout trafic. • Action : indiquez si la règle ACL autorise ou refuse une action. Lorsque vous sélectionnez Permit, la règle permet à tout le trafic répondant à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas aux critères est abandonné. Lorsque vous sélectionnez Deny, la règle empêche tout le trafic qui ne répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas aux critères est transféré, sauf si cette règle est la règle finale. Étant donné la présence d'une règle implicite de refus de tout trafic à la fin de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné. • Match Every Packet : si cette option est activée, la règle, qui possède une action d'autorisation ou de refus, met en correspondance la trame ou le paquet, quel que soit son contenu. Si vous sélectionnez cette fonction, vous ne pouvez configurer aucun critère de correspondance supplémentaire. Cette option est sélectionnée par défaut pour chaque nouvelle règle. Vous devez désactiver l'option pour configurer d'autres champs de correspondance. • EtherType : sélectionnez cette option pour comparer les critères de correspondance avec la valeur de trame Ethernet figurant dans l'en-tête. Vous pouvez sélectionner un mot clé EtherType ou entrer une valeur EtherType pour spécifier les critères de correspondance. - Select from List : sélectionnez l'un des types de protocole suivants : appletalk, arp, ipv4, ipv6, ipx, netbios ou pppoe. - Match to Value : saisissez un identificateur de protocole personnalisé avec lequel les paquets sont mis en correspondance. La valeur est un nombre hexadécimal à 4 chiffres dans la plage 0600 à FFFF. • Class of Service : saisissez une priorité d'utilisateur 802.1p à comparer à une trame Ethernet. La plage valide va de 0 à 7. Ce champ se trouve dans la première et seule balise VLAN 802.1Q. • Source MAC : nécessite que l'adresse MAC source d'un paquet corresponde à l'adresse définie dans les champs appropriés. - Source MAC Address : saisissez l'adresse MAC source à comparer à une trame Ethernet. Guide d'administration pour Cisco WAP131 et WAP351 154 8 ACL Règle ACL - Source MAC Mask : saisissez le masque d'adresse MAC source indiquant quels bits de l'adresse MAC source il faut comparer à une trame Ethernet. Pour chaque position de bit dans le masque MAC, une valeur 0 indique que le bit d'adresse correspondant est significatif et une valeur 1 indique que le bit d'adresse est ignoré. Par exemple, pour ne vérifier que les quatre premiers octets d'une adresse MAC, utilisez un masque MAC de 00:00:00:00:ff:ff. Un masque MAC de 00:00:00:00:00:00 vérifie tous les bits d'adresse et est utilisé pour mettre en correspondance une seule adresse MAC. • • Destination MAC : nécessite que l'adresse MAC destination d'un paquet corresponde à l'adresse définie dans les champs appropriés. - Destination MAC Address : saisissez l'adresse MAC de destination à comparer à une trame Ethernet. - Destination MAC Mask : saisissez le masque d'adresse MAC de destination afin de spécifier quels bits de l'adresse MAC de destination il faut comparer à une trame Ethernet. VLAN ID : saisissez l'ID de VLAN spécifique à comparer à une trame Ethernet. Ce champ se trouve dans la première et seule balise VLAN 802.1Q. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste ACL Name-ACL Type, cochez la case Delete ACL et cliquez sur Save. Guide d'administration pour Cisco WAP131 et WAP351 155 8 ACL Association d'ACL Association d'ACL La page ACL Association fournit la liste d'ACL liée aux interfaces sans fil et Ethernet. En outre, elle permet de contrôler la quantité de bande passante qu'un client individuel est autorisé à envoyer et à recevoir. Vous pouvez configurer des listes de contrôle d'accès (ACL) et les affecter à une ou plusieurs interfaces afin de contrôler des catégories générales de trafic, comme le trafic HTTP ou le trafic issu d'un sous-réseau spécifique. Pour associer une ACL à une interface : ÉTAPE 1 Sélectionnez ACL > ACL Association. ÉTAPE 2 Dans le champ Interface, cliquez sur l'interface radio ou Ethernet dans laquelle vous souhaitez configurer les paramètres ACL. ÉTAPE 3 Configurez les paramètres suivants pour l'interface sélectionnée : • Bandwidth Limit Down : saisissez la vitesse de transmission maximale autorisée depuis le périphérique WAP vers le client en bits par seconde (bit/s). La plage valide va de 0 à 300 Mbit/s. • Bandwidth Limit Up : vitesse de transmission maximale autorisée depuis le client vers le périphérique WAP en bits par seconde (bit/s). La plage valide va de 0 à 300 Mbit/s. • ACL Type : sélectionnez le type d'ACL appliqué au trafic entrant dans le périphérique WAP, parmi les valeurs ci-dessous : • - IPv4 : examine les paquets IPv4 qui correspondent aux règles ACL. - IPv6 : examine les paquets IPv6 qui correspondent aux règles ACL. - MAC : examine les trames de couche 2 qui correspondent aux règles ACL. - None : n'examine pas le trafic entrant dans le périphérique WAP. ACL Name : sélectionnez le nom de l'ACL appliquée au trafic entrant dans le périphérique WAP. Lors de la réception d'un paquet ou d'une trame par le périphérique WAP, une correspondance avec les règles ACL est vérifiée. Le paquet ou la trame est traité s'il est autorisé, ou abandonné s'il est refusé. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 156 8 ACL État ACL REMARQUE Une interface peut être liée par une stratégie DiffServ ou une liste de contrôle d'accès, mais pas les deux. REMARQUE Le type IPv6 n'est pas pris en charge par les ports Ethernet du Cisco WAP351. État ACL La page ACL Status affiche des informations détaillées pour les différents types de règles ACL. Pour afficher l'état ACL, sélectionnez ACL > ACL Status. Les informations suivantes sont indiquées : • ACL Name : nom de l'ACL. • Interface Bound : interface à laquelle l'ACL a été associée. • Rule No. : numéro de la règle que l'ACL contient. • Action : action à prendre par l'ACL. • Match All : indique si la règle ACL correspond on non à tous les paquets. • Rule Field : affiche les paramètres détaillés de l'ACL. Pour plus d'informations, reportez-vous à la section Règle ACL. Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations les plus récentes. Guide d'administration pour Cisco WAP131 et WAP351 157 9 SNMP Ce chapitre explique comment configurer le protocole SNMP (Simple Network Management Protocol, Protocole de gestion de réseau simple) en vue d'effectuer des tâches de configuration et de collecte de statistiques. Il contient les sections suivantes : • Général • Vues • Groupes • Utilisateurs • Cibles Général Utilisez la page General pour activer SNMP et définir les paramètres de base de ce protocole. Pour définir les paramètres SNMP généraux : ÉTAPE 1 Sélectionnez SNMP > General. ÉTAPE 2 Activez ou désactivez le protocole SNMP sur le périphérique WAP. SNMP est désactivé par défaut. ÉTAPE 3 Si vous activez le protocole SNMP, indiquez un port UDP pour le trafic SNMP. Par défaut, un agent SNMP n'écoute que les demandes qui émanent du port 161. Toutefois, vous pouvez le configurer de telle sorte qu'il écoute les demandes issues d'un autre port. La plage valide va de 1025 à 65535. Guide d'administration pour Cisco WAP131 et WAP351 158 9 SNMP Général ÉTAPE 4 Dans la zone SNMPv2c Settings, définissez les paramètres SNMPv2c : • Read-only Community : saisissez un nom de communauté en lecture seule pour l'accès SNMPv2. La plage valide va de 1 à 256 caractères alphanumériques et caractères spéciaux. Le nom de communauté agit en tant que fonctionnalité d'authentification simple visant à limiter le nombre d'ordinateurs sur le réseau pouvant demander des données à l'agent SNMP. Ce nom fonctionne comme un mot de passe et la demande est supposée être authentique si son émetteur connaît le mot de passe. • Read-write Community : saisissez un nom de communauté en lectureécriture à utiliser pour les demandes de configuration SNMP. La plage valide va de 1 à 256 caractères alphanumériques et caractères spéciaux. La définition d'un nom de communauté est similaire à celle d'un mot de passe. Seules les demandes émanant des ordinateurs qui s'identifient avec ce nom de communauté sont acceptées. • Management Station : détermine quelles stations peuvent accéder au périphérique WAP par le biais du protocole SNMP. Sélectionnez l'une des options suivantes : • - All : l'ensemble des stations pouvant accéder au périphérique WAP par le biais du protocole SNMP n'est pas limité. - User Defined : l'ensemble des demandes SNMP autorisées est limité aux demandes spécifiées. NMS, IPv4 Address/Name : saisissez l'adresse IP IPv4, le nom d'hôte DNS ou le sous-réseau du système de gestion de réseau (NMS, Network Management System), ou l'ensemble d'ordinateurs pouvant exécuter, obtenir et définir les demandes sur les périphériques gérés. Un nom d'hôte DNS peut se composer d'une ou de plusieurs étiquettes, elles-mêmes constituées d'un maximum de 63 caractères alphanumériques. Si un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série entière d'étiquettes et de points peut comporter jusqu'à 253 caractères. Comme dans le cas des noms de communauté, ce paramètre assure un certain niveau de sécurité sur les paramètres SNMP. L'agent SNMP accepte uniquement les demandes émanant de l'adresse IP, du nom d'hôte ou du sous-réseau indiqué ici. Guide d'administration pour Cisco WAP131 et WAP351 159 9 SNMP Général Pour spécifier un sous-réseau, saisissez une ou plusieurs plages d'adresses de sous-réseau sous la forme adresse/longueur_masque, où adresse est une adresse IP et longueur_masque est le nombre de bits du masque. Les deux formats adresse/masque et adresse/longueur_masque sont pris en charge. Par exemple, si vous saisissez la plage 192.168.1.0/24, cela signifie que l'adresse du sous-réseau est 192.168.1.0 et que le masque du sousréseau est 255.255.255.0. La plage d'adresses est utilisée pour spécifier le sous-réseau du système de gestion de réseau (NMS) désigné. Seuls les ordinateurs dont les adresses IP sont incluses dans cette plage sont autorisés à exécuter, obtenir et définir des demandes sur le périphérique géré. Dans l'exemple ci-dessus, les ordinateurs dont les adresses sont comprises entre 192.168.1.1 et 192.168.1.254 peuvent exécuter des commandes SNMP sur le périphérique. (L'adresse identifiée par le suffixe .0 dans une plage de sous-réseau est toujours réservée à l'adresse de sous-réseau, tandis que l'adresse identifiée par .255 dans la plage est toujours réservée à l'adresse de diffusion.) Autre exemple : si vous saisissez la plage 10.10.1.128/25, les ordinateurs dont les adresses IP sont comprises entre 10.10.1.129 et 10.10.1.254 peuvent exécuter des demandes SNMP sur les périphériques gérés. Dans cet exemple, 10.10.1.128 est l'adresse réseau et 10.10.1.255 est l'adresse de diffusion. Un total de 126 adresses seront dans ce cas désignées. • NMS IPv6 Address/Name : adresse IPv6, nom d'hôte DNS ou sous-réseau des ordinateurs pouvant exécuter, obtenir et définir des demandes sur les périphériques gérés. La forme de l'adresse IPv6 doit être similaire à celle-ci : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91). REMARQUE Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, elles-mêmes constituées d'un maximum de 63 caractères alphanumériques. Si un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série entière d'étiquettes et de points peut comporter jusqu'à 253 caractères. ÉTAPE 5 Dans la zone SNMPv2c Trap Settings, définissez les paramètres de filtre SNMPv2c : • Trap Community : saisissez une chaîne de communauté globale associée aux interceptions SNMP. Les déroutements envoyés à partir du périphérique fournissent cette chaîne en tant que nom de communauté. La plage valide va de 1 à 60 caractères alphanumériques et caractères spéciaux. • Trap Destination Table : saisissez une liste comprenant jusqu'à trois adresses IP ou noms d'hôte pouvant recevoir des interceptions SNMP. Activez la case à cocher et choisissez un Type d'adresse IP hôte (IPv4 ou IPv6) avant d'ajouter le Nom d'hôte/Adresse IP). Guide d'administration pour Cisco WAP131 et WAP351 160 9 SNMP Vues Un exemple de nom d'hôte DNS est interceptionssnmp.foo.com. Les interceptions SNMP étant envoyées aléatoirement à partir de l'agent SNMP, il est logique d'indiquer à quel emplacement exact envoyer les interceptions. Le nombre maximal de noms d'hôte DNS est de trois. Veillez à cocher la case Enabled et sélectionnez le type d'adresse IP hôte approprié dans Host IP Address Type. Consultez également la remarque relative aux noms d'hôte dans l'étape précédente. ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier les paramètres du périphérique WAP. Vues Une vue MIB SNMP est une famille de sous-arborescences de vues dans la hiérarchie MIB. Une sous-arborescence de vues est identifiée par l'association d'une valeur de sous-arborescence d'ID d'objet (OID) et d'une valeur de masque de chaîne de bits. Chaque vue MIB est définie par deux ensembles de sousarborescences de vues, inclus dans la vue MIB ou exclus de celle-ci. Vous pouvez créer des vues MIB dans le but de contrôler la plage d'OID à laquelle les utilisateurs SNMPv3 peuvent accéder. Le périphérique WAP prend en charge un maximum de 16 vues. Les remarques suivantes résument quelques consignes importantes relatives à la configuration des vues SNMPv3. Veuillez lire l'ensemble de ces remarques avant de continuer. REMARQUE Une vue MIB appelée all est créée par défaut dans le système. Cette vue contient l'ensemble des objets de gestion pris en charge par le système. REMARQUE Par défaut, les vues SNMPv3 « view-all » et « view-none » sont créées sur le périphérique WAP. Ces vues ne peuvent pas être supprimées ou modifiées. Guide d'administration pour Cisco WAP131 et WAP351 161 9 SNMP Vues Pour ajouter et configurer une vue SNMP : ÉTAPE 1 Sélectionnez SNMP > Views. ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des vues SNMPv3. ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier. • View Name : saisissez le nom de la vue MIB. Les noms de vue peuvent comporter jusqu'à 32 caractères alphanumériques. • Type : choisissez d'inclure la sous-arborescence de vues ou la famille de sous-arborescences dans la vue MIB ou de l'en exclure. • OID : saisissez une chaîne d'OID pour la sous-arborescence à inclure dans la vue ou à exclure de celle-ci. Par exemple, la sous-arborescence système est spécifiée par la chaîne d'OID .1.3.6.1.2.1.1. • Mask : saisissez un masque d'OID. La longueur du masque est de 47 caractères. Le format du masque d'OID est xx.xx.xx (.)... ou xx:xx:xx.... (:) et sa longueur est de 16 octets. Chaque octet se compose de deux caractères hexadécimaux séparés par un point (.) ou par un caractère deux-points (:). Seuls les caractères hexadécimaux sont autorisés dans ce champ. Par exemple, le masque d'OID FA.80 est 11111010.10000000. Un masque de famille est utilisé pour définir une famille de sousarborescences de vues. Le masque de famille indique quels sousidentificateurs de la chaîne d'OID de la famille associée sont significatifs pour la définition de la famille. Une famille de sous-arborescences de vues permet un accès de contrôle efficace à une ligne du tableau. ÉTAPE 4 Cliquez sur Save. La vue est ajoutée à la liste des vues SNMPv3 et vos modifications sont enregistrées dans la configuration initiale. REMARQUE Pour supprimer une vue, cochez-la dans la liste et cliquez sur Delete. Guide d'administration pour Cisco WAP131 et WAP351 162 9 SNMP Groupes Groupes Les groupes SNMPv3 permettent de répartir les utilisateurs en groupes de privilèges d'autorisation et d'accès différents. Chaque groupe est ainsi associé à l'un des trois niveaux de sécurité suivants : • noAuthNoPriv • authNoPriv • authPriv L'accès aux bases MIB pour chaque groupe est contrôlé en associant une vue MIB à un groupe pour l'accès en lecture ou en écriture, et ce séparément. Par défaut, le périphérique WAP possède deux groupes : • RO : groupe en lecture seule utilisant l'authentification et le cryptage des données. Les utilisateurs figurant dans ce groupe utilisent une clé ou un mot de passe SHA pour l'authentification et une clé ou un mot de passe DES pour le cryptage. Les clés ou mots de passe SHA et DES doivent être définis. Par défaut, les utilisateurs de ce groupe ont un accès en lecture à la vue MIB par défaut « all ». • RW : groupe en lecture-écriture utilisant l'authentification et le cryptage des données. Les utilisateurs figurant dans ce groupe utilisent une clé ou un mot de passe SHA pour l'authentification et une clé ou un mot de passe DES pour le cryptage. Les clés ou mots de passe SHA et DES doivent être définis. Par défaut, les utilisateurs de ce groupe ont un accès en lecture et en écriture à la vue MIB par défaut « all ». REMARQUE Les groupes par défaut RO et RW ne peuvent pas être supprimés. Le périphérique WAP prend en charge un maximum de huit groupes. Pour ajouter et configurer un groupe SNMP : ÉTAPE 1 Sélectionnez SNMP > Groups. ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des groupes SNMPv3. ÉTAPE 3 Activez la case à cocher du nouveau groupe et cliquez sur Modifier. Guide d'administration pour Cisco WAP131 et WAP351 163 9 SNMP Groupes ÉTAPE 4 Définissez les paramètres suivants : • Group Name : saisissez le nom qui identifie le groupe. Les noms de groupe par défaut sont RO et RW. Les noms de groupe peuvent comporter jusqu'à 32 caractères alphanumériques. • Security Level : définit le niveau de sécurité du groupe, qui peut être l'une des valeurs ci-dessous : • • - noAuthNoPriv : pas d'authentification et pas de cryptage des données (aucune sécurité). - authNoPriv : authentification, mais aucun cryptage des données. Avec ce niveau de sécurité, les utilisateurs envoient des messages SNMP qui utilisent une clé ou un mot de passe SHA pour l'authentification, mais pas de clé ou de mot de passe DES pour le cryptage. - authPriv : authentification et cryptage des données. Avec ce niveau de sécurité, les utilisateurs envoient une clé ou un mot de passe SHA pour l'authentification et une clé ou un mot de passe DES pour le cryptage. Pour les groupes qui nécessitent une authentification, un cryptage ou les deux, vous devez définir les clés ou les mots de passe SHA et DES sur la page SNMP Users. Write Views : sélectionnez l'accès en écriture aux MIB pour le groupe, qui peut correspondre à l'une des options ci-dessous : - view-all : le groupe peut créer, modifier et supprimer des MIB. - view-none : le groupe ne peut pas créer, ni modifier, ni supprimer des MIB. Read Views : sélectionnez l'accès en lecture aux MIB pour le groupe, qui peut correspondre à l'une des options ci-dessous : - view-all : le groupe est autorisé à afficher et à lire l'ensemble des MIB. - view-none : le groupe ne peut ni afficher ni lire des MIB. ÉTAPE 5 Cliquez sur Save. Le groupe est ajouté à la liste des groupes SNMPv3 et vos modifications sont enregistrées dans la configuration initiale. REMARQUE Pour supprimer un groupe, cochez-le dans la liste et cliquez sur Delete. Guide d'administration pour Cisco WAP131 et WAP351 164 9 SNMP Utilisateurs Utilisateurs Utilisez la page SNMP Users pour définir des utilisateurs, associer un niveau de sécurité à chaque utilisateur et configurer les clés de sécurité pour chacun d'eux. Chaque utilisateur est mappé sur un groupe SNMPv3, à partir des groupes prédéfinis ou des groupes définis par l'utilisateur, et, éventuellement, est configuré pour l'authentification et le cryptage. Pour l'authentification, seul le type SHA est pris en charge. Pour le cryptage, seul le type DES est pris en charge. Il n'y a pas d'utilisateur SNMPv3 par défaut sur le périphérique WAP et vous pouvez ajouter jusqu'à huit utilisateurs. Pour ajouter des utilisateurs SNMP : ÉTAPE 1 Sélectionnez SNMP > Users. ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des utilisateurs SNMPv3. ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier. ÉTAPE 4 Définissez les paramètres suivants : • User Name : saisissez le nom qui identifie l'utilisateur SNMPv3. Les noms d'utilisateur peuvent comporter jusqu'à 32 caractères alphanumériques. • Group : saisissez le groupe avec lequel l'utilisateur est mappé. Les groupes par défaut sont RW et RO. Vous pouvez définir des groupes supplémentaires à la page SNMP Groups. • Authentication Type : sélectionnez le type d'authentification à utiliser dans le cas des demandes SNMPv3 émanant de l'utilisateur, qui peut correspondre à l'une des options suivantes : • - SHA : nécessite l'authentification SHA dans le cas des demandes SNMP émanant de l'utilisateur. - None : les demandes SNMPv3 émanant de cet utilisateur ne requièrent pas d'authentification. Authentication Pass Phrase : si vous sélectionnez le type d'authentification SHA, saisissez la phrase secrète permettant à l'agent SNMP d'authentifier les demandes envoyées par l'utilisateur. La longueur de la phrase secrète doit être comprise entre 8 et 32 caractères. Guide d'administration pour Cisco WAP131 et WAP351 165 9 SNMP Cibles • • Encryption Type : sélectionnez le type de confidentialité à utiliser dans le cas des demandes SNMP émanant de l'utilisateur, qui peut correspondre à l'une des options suivantes : - DES : utilise le cryptage DES dans le cas des demandes SNMPv3 émanant de l'utilisateur. - None : les demandes SNMPv3 émanant de cet utilisateur ne requièrent pas de confidentialité. Encryption Pass Phrase : si vous sélectionnez le type de confidentialité DES, saisissez la phrase secrète utilisée pour le cryptage des demandes SNMP. La longueur de la phrase secrète doit être comprise entre 8 et 32 caractères. ÉTAPE 5 Cliquez sur Save. L'utilisateur est ajouté à la liste des utilisateurs SNMPv3 et vos modifications sont enregistrées dans la configuration initiale. REMARQUE Pour supprimer un utilisateur, sélectionnez-le dans la liste et cliquez sur Delete. Cibles Les cibles SNMPv3 envoient des notifications SNMP par le biais de messages d'information au gestionnaire SNMP. Dans le cas des cibles SNMPv3, seuls des messages d'information sont envoyés, et pas des interceptions. Dans le cas des versions 1 et 2 du protocole SNMP, des déroutements sont envoyés. Chaque cible est définie avec une adresse IP cible, un port UDP et un nom d'utilisateur SNMPv3. REMARQUE La configuration des utilisateurs SNMPv3 (voir la page Utilisateurs) doit être terminée avant celle des cibles SNMPv3. REMARQUE Le périphérique WAP prend en charge un maximum de huit cibles. Pour ajouter des cibles SNMP : ÉTAPE 1 Sélectionnez SNMP > Targets. ÉTAPE 2 cliquez sur Add. Une nouvelle ligne est créée dans le tableau. ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier. Guide d'administration pour Cisco WAP131 et WAP351 166 9 SNMP Cibles ÉTAPE 4 Définissez les paramètres suivants : • IP Address : saisissez l'adresse IPv4 ou IPv6 du gestionnaire SNMP distant qui doit recevoir la cible. • UDP Port : saisissez le port UDP à utiliser pour l'envoi des cibles SNMPv3. • Users : saisissez le nom de l'utilisateur SNMP à associer à la cible. Pour configurer les utilisateurs SNMP, reportez-vous à la page Utilisateurs. ÉTAPE 5 Cliquez sur Save. L'utilisateur est ajouté à la liste des cibles SNMPv3 et vos modifications sont enregistrées dans la configuration initiale. REMARQUE Pour supprimer une cible SMMP, sélectionnez l'utilisateur dans la liste et cliquez sur Delete. Guide d'administration pour Cisco WAP131 et WAP351 167 10 Portail captif Ce chapitre décrit la fonctionnalité de portail captif (CP, Captive Portal), qui permet de bloquer l'accès au réseau pour les clients sans fil tant que la vérification de l'utilisateur n'a pas été établie. Vous pouvez configurer la vérification de portail captif de manière à autoriser l'accès à la fois pour les utilisateurs invités et les utilisateurs authentifiés. REMARQUE La fonctionnalité de portail captif est disponible uniquement sur le Cisco WAP351. Le Cisco WAP131 ne prend pas en charge le portail captif. Les utilisateurs authentifiés doivent être validés à l'aide d'une base de données des groupes ou des utilisateurs CP autorisés avant de se voir autoriser l'accès. Cette base de données peut être stockée localement sur le périphérique WAP ou sur un serveur RADIUS. Le portail captif se compose de deux instances de CP. Il est possible de configurer chaque instance de manière indépendante, avec des méthodes de vérification différentes pour chaque point d'accès virtuel ou SSID. Les périphériques Cisco WAP351 fonctionnent simultanément avec certains points d'accès virtuels configurés pour l'authentification de portail captif et d'autres points d'accès virtuels configurés pour les méthodes normales d'authentification sans fil, comme WPA ou WPA Entreprise. Ce chapitre inclut les rubriques suivantes : • Configuration globale • Groupes/Utilisateurs locaux • Configuration d'instance • Association d'instance • Personnalisation du portail Web • Clients authentifiés Guide d'administration pour Cisco WAP131 et WAP351 168 10 Portail captif Configuration globale Configuration globale Utilisez la page Global CP Configuration pour contrôler l'état administratif de la fonctionnalité de portail captif et configurer les paramètres globaux qui affectent toutes les instances de portail captif configurées sur le périphérique WAP. Pour configurer les paramètres globaux du portail captif : ÉTAPE 1 Sélectionnez Captive Portal > Global Configuration. ÉTAPE 2 Définissez les paramètres suivants : • Captive Portal Mode : active ou désactive le fonctionnement du portail captif sur le périphérique WAP. • Authentication Timeout : pour pouvoir accéder au réseau par l'intermédiaire d'un portail, le client doit tout d'abord entrer des informations d'authentification sur une page Web d'authentification. Ce champ spécifie le temps en secondes pendant lequel le périphérique WAP maintient une session d'authentification ouverte avec le client sans fil associé. Si le client n'entre pas ses identifiants d'authentification durant le temps alloué, il se peut qu'il doive actualiser la page Web d'authentification. Le délai d'authentification par défaut est de 300 secondes. La plage valide va de 60 à 600 secondes. • Additional HTTP Port : le trafic HTTP utilise le port de gestion HTTP, qui est le port 80 par défaut. Vous pouvez configurer un port supplémentaire pour le trafic HTTP. Saisissez un numéro de port compris entre 1025 et 65535, ou 80. Les ports HTTP et HTTPS ne peuvent pas être identiques. • Additional HTTPS Port : le trafic HTTP sur SSL (HTTPS) utilise le port de gestion HTTPS, qui est le port 443 par défaut. Vous pouvez configurer un port supplémentaire pour le trafic HTTPS. Saisissez un numéro de port compris entre 1025 et 65535, ou 443. Les ports HTTP et HTTPS ne peuvent pas être identiques. ÉTAPE 3 La zone Captive Portal Configuration Counters affiche des informations de portail captif en lecture seule : • Instance Count : nombre d'instances de portail captif actuellement configurées sur le périphérique WAP. Il est possible de configurer jusqu'à deux instances. • Group Count : nombre de groupes de portail captif actuellement configurés sur le périphérique WAP. Il est possible de configurer jusqu'à deux groupes. Le groupe par défaut existe et ne peut pas être supprimé. Guide d'administration pour Cisco WAP131 et WAP351 169 10 Portail captif Groupes/Utilisateurs locaux • User Count : nombre d'utilisateurs de portail captif actuellement configurés sur le périphérique WAP. Il est possible de configurer jusqu'à 128 utilisateurs. ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. Groupes/Utilisateurs locaux Utilisez la page Local Groups/Users pour gérer les groupes et les utilisateurs locaux. Groupes locaux Chaque utilisateur local est affecté à un groupe d'utilisateurs. Chaque groupe est affecté à une instance de portail captif. Le groupe facilite la gestion de l'affectation des utilisateurs aux instances de portail captif. Le groupe d'utilisateurs nommé Default est intégré et ne peut pas être supprimé. Vous pouvez créer jusqu'à deux groupes d'utilisateurs supplémentaires. Pour ajouter des groupes d'utilisateurs locaux : ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users. ÉTAPE 2 Dans la zone Local Global Settings, définissez les paramètres suivants : • Captive Portal Groups : sélectionnez Create pour créer un nouveau groupe. • Group Name : saisissez le nom du nouveau groupe. ÉTAPE 3 Cliquez sur Add Group. Les modifications sont enregistrées dans la configuration de démarrage. Pour supprimer des groupes d'utilisateurs locaux : ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users. ÉTAPE 2 Dans la zone Local Groups Settings sélectionnez le groupe à supprimer. Guide d'administration pour Cisco WAP131 et WAP351 170 10 Portail captif Groupes/Utilisateurs locaux ÉTAPE 3 Cochez l'option Delete Group. ÉTAPE 4 Cliquez sur Delete Group. Les modifications sont enregistrées dans la configuration de démarrage. Utilisateurs locaux Vous pouvez configurer une instance de portail captif pour répondre à la fois aux besoins des utilisateurs invités et des utilisateurs autorisés. Les utilisateurs invités ne possèdent pas de noms d'utilisateur ni de mots de passe. Les utilisateurs autorisés fournissent un nom d'utilisateur et un mot de passe valides qui doivent tout d'abord être validés à partir d'une base de données locale ou d'un serveur RADIUS. Les utilisateurs autorisés sont généralement affectés à une instance de portail captif associée à un autre point d'accès virtuel que les utilisateurs invités. Vous pouvez configurer jusqu'à 128 utilisateurs autorisés dans la base de données locale. Pour ajouter et configurer un utilisateur local : ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users. ÉTAPE 2 Dans la zone Local Users Settings, définissez les paramètres suivants : • Captive Portal Users : sélectionnez Create pour créer un nouvel utilisateur. • User Name : saisissez le nom du nouvel utilisateur. ÉTAPE 3 Cliquez sur Add User. ÉTAPE 4 La zone Local Users Settings s'affiche à nouveau avec des options supplémentaires. Définissez les paramètres suivants : • User Password : saisissez le mot de passe, composé de 8 à 64 caractères alphanumériques et caractères spéciaux. Un utilisateur doit entrer son mot de passe pour se connecter au réseau par l'intermédiaire du portail captif. • Show Password as Clear Text : lorsque cette option est activée, le texte que vous tapez est visible. Si cette option est désactivée, le texte n'est pas masqué lors de sa saisie. Guide d'administration pour Cisco WAP131 et WAP351 171 10 Portail captif Groupes/Utilisateurs locaux • Away Timeout : saisissez la période pendant laquelle un utilisateur reste dans la liste des clients authentifiés de portail captif après la dissociation du client du périphérique WAP. Si la période spécifiée dans ce champ expire avant que le client ne tente de se réauthentifier, l'entrée du client est supprimée de la liste des clients authentifiés. La plage valide va de 0 à 1440 minutes. La valeur par défaut est 60. La valeur d'expiration configurée ici a priorité sur la valeur configurée pour l'instance de portail captif, sauf si la valeur utilisateur est définie à 0. Lorsque cette valeur est définie à 0, la valeur d'expiration configurée pour l'instance de portail captif est utilisée. • Group Name : sélectionnez le groupe d'utilisateurs affecté. Chaque instance de portail captif est configurée de manière à prendre en charge un groupe d'utilisateurs particulier. • Maximum Bandwidth Upstream : saisissez la vitesse maximale de chargement, en mégabits par seconde, à laquelle un client peut transmettre du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande passante utilisée pour envoyer des données sur le réseau. La plage valide va de 0 à 300 Mbit/s. La valeur par défaut est 0. • Maximum Bandwidth Downstream : saisissez la vitesse maximale de téléchargement, en mégabits par seconde, à laquelle un client peut recevoir du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande passante utilisée pour recevoir des données du réseau. La plage valide va de 0 à 300 Mbit/s. La valeur par défaut est 0. ÉTAPE 5 Cliquez sur Save User. Les modifications sont enregistrées dans la configuration de démarrage. Pour supprimer un utilisateur local : ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users. ÉTAPE 2 Dans la zone Local Users Settings sélectionnez l'utilisateur à supprimer. ÉTAPE 3 Cochez l'option Delete User. ÉTAPE 4 Cliquez sur Delete User. Les modifications sont enregistrées dans la configuration de démarrage. Guide d'administration pour Cisco WAP131 et WAP351 172 10 Portail captif Configuration d'instance Configuration d'instance Vous pouvez créer jusqu'à deux instances de portail captif, chacune d'entre elles étant un ensemble défini de paramètres d'instance. Les instances peuvent être associées à un ou plusieurs points d'accès virtuels. Des instances différentes peuvent être configurées de manière à répondre différemment aux utilisateurs lorsque ceux-ci tentent d'accéder au point d'accès virtuel associé. REMARQUE Commencez par passer en revue les puces suivantes avant de créer une instance : • Avez-vous besoin d'ajouter un nouveau point d'accès virtuel ? Si oui, reportez-vous à Réseaux pour ajouter un point d'accès virtuel. • Avez-vous besoin d'ajouter un nouveau groupe ou un nouvel utilisateur ? Si oui, reportez-vous à Groupes/Utilisateurs locaux pour ajouter un groupe ou un utilisateur. Pour créer une instance de portail captif et configurer ses paramètres : ÉTAPE 1 Sélectionnez Captive Portal > Instance Configuration. ÉTAPE 2 Sélectionnez Create dans la liste Captive Port Instances. ÉTAPE 3 Dans le champ Instance Name, saisissez le nom (1 à 32 caractères alphanumériques) choisi pour l'instance de port captif. ÉTAPE 4 Cliquez sur Save. ÉTAPE 5 La zone Captive Portal Instance Parameters s'affiche à nouveau avec des options supplémentaires. Définissez les paramètres suivants : • Instance ID : affiche l'ID d'instance. Ce champ n'est pas configurable. • Administrative Mode : active et désactive l'instance de portail captif. • Protocol : sélectionnez HTTP ou HTTPS en tant que protocole utilisé par l'instance de portail captif durant le processus de vérification. - HTTP : n'utilise pas le cryptage durant la vérification. - HTTPS : utilise le protocole SSL (Secure Sockets Layer), qui nécessite un certificat pour le cryptage. Le certificat est présenté à l'utilisateur lors de la connexion. Guide d'administration pour Cisco WAP131 et WAP351 173 10 Portail captif Configuration d'instance • Verification : sélectionnez la méthode d'authentification utilisée par le portail captif pour la vérification des clients. Les options sont les suivantes : - Guest : les utilisateurs n'ont pas besoin d'être authentifiés par une base de données. - Local : le périphérique WAP utilise une base de données locale pour authentifier les utilisateurs. - RADIUS : le périphérique WAP utilise une base de données située sur un serveur RADIUS distant pour authentifier les utilisateurs. • Redirect : si l'option est activée, spécifie que le portail captif doit rediriger le client nouvellement authentifié vers l'URL configurée. Si cette option est désactivée, l'utilisateur voit la page d'accueil correspondant à ses paramètres régionaux après une vérification réussie. • Redirect URL : saisissez l'URL (y compris http://) vers laquelle le client nouvellement authentifié est redirigé si le mode de redirection d'URL est activé. La plage valide va de 0 à 256 caractères. • Away Timeout : saisissez la période pendant laquelle un utilisateur reste dans la liste des clients authentifiés de portail captif après la dissociation du client du périphérique WAP. Si la période spécifiée dans ce champ expire avant que le client ne tente de se réauthentifier, l'entrée du client est supprimée de la liste des clients authentifiés. La plage valide va de 0 à 1440 minutes. La valeur par défaut est de 60 minutes. Une valeur Away Timeout est également configurée pour chaque utilisateur (voir la page Groupes/Utilisateurs locaux). La valeur Away Timeout définie à la page Local Groups/Users a priorité sur la valeur configurée ici, sauf si la valeur est définie à 0 (valeur par défaut). Une valeur égale à 0 indique que la valeur d'expiration de l'instance est utilisée. • Session Timeout : saisissez la période de validité restant, en secondes, de la session de portail captif. Lorsque ce temps atteint la valeur zéro, le client est désauthentifié. La plage valide va de 0 à 1440 minutes. La valeur par défaut est 0. • Maximum Bandwidth Upstream : saisissez la vitesse maximale de chargement, en mégabits par seconde, à laquelle un client peut transmettre du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande passante à laquelle le client peut envoyer des données sur le réseau. La plage valide va de 0 à 300 Mbit/s. La valeur par défaut est 0. Guide d'administration pour Cisco WAP131 et WAP351 174 10 Portail captif Configuration d'instance • Maximum Bandwidth Downstream : saisissez la vitesse maximale de téléchargement, en mégabits par seconde, à laquelle un client peut recevoir du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande passante à laquelle le client peut recevoir des données du réseau. La plage valide va de 0 à 300 Mbit/s. La valeur par défaut est 0. • User Group Name : si le mode de vérification est Local ou RADIUS, ce paramètre affecte un groupe d'utilisateurs existant à l'instance de portail captif. Tous les utilisateurs appartenant à ce groupe sont autorisés à accéder au réseau par l'intermédiaire de ce portail. • RADIUS IP Network : déterminez si le client WAP RADIUS utilise les adresses configurées de serveur RADIUS IPv4 ou IPv6. • Global RADIUS : si le mode de vérification est RADIUS, cochez l'option Enable de façon à utiliser la liste des serveurs RADIUS globaux par défaut pour authentifier les clients. (Reportez-vous à Serveur RADIUS pour plus d'informations sur la configuration des serveurs RADIUS globaux.) Si vous souhaitez que la fonctionnalité de portail captif utilise un ensemble différent de serveurs RADIUS, décochez la case et configurez les serveurs dans les champs correspondants de cette page. • RADIUS Accounting : cochez la case Enable pour suivre et mesurer les ressources consommées par un utilisateur donné, comme le temps système ou les quantités de données transmises et reçues. Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est active pour le serveur RADIUS principal, pour l'ensemble des serveurs de sauvegarde et pour les serveurs configurés globalement et localement. • Server IP Address 1 ou Server IPv6 Address 1 : saisissez l'adresse IPv4 ou IPv6 du serveur RADIUS principal pour ce VAP. La forme de l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10). La forme de l'adresse IPv6 doit être similaire à celle-ci : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8:CAD5:7D91). Lorsque le premier client sans fil tente de s'authentifier à l'aide du VAP, le périphérique WAP envoie une demande d'authentification au serveur principal. Si le serveur principal répond à la demande d'authentification, le périphérique WAP continue à utiliser ce serveur RADIUS en guise de serveur principal et les demandes d'authentification sont envoyées à l'adresse spécifiée. Guide d'administration pour Cisco WAP131 et WAP351 175 10 Portail captif Association d'instance • Server IP Address (2 à 4) ou Server IPv6 Address (2 à 4) : saisissez jusqu'à trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si l'authentification auprès du serveur principal échoue, une tentative est effectuée sur chaque serveur de secours configuré. • Key-1 : saisissez la clé secrète partagée utilisée par le périphérique WAP pour s'authentifier auprès du serveur RADIUS principal. Vous pouvez utiliser jusqu'à 63 caractères alphanumériques standard et caractères spéciaux. La clé est sensible à la casse et doit correspondre à la clé configurée sur le serveur RADIUS. Le texte que vous saisissez s'affiche sous forme d'astérisques. • Key-2 à Key-4 : saisissez la clé RADIUS associée aux serveurs RADIUS de sauvegarde configurés. Le serveur associé à Server IP Address-1 utilise Key-1 et Server IP Address-2 utilise Key-2, etc. • Locale Count : affiche le nombre de paramètres régionaux associés à l'instance. Vous pouvez créer et affecter jusqu'à trois paramètres régionaux différents à chaque instance de portail captif à partir de la page Web Customization. • Delete Instance : cochez l'option pour supprimer l'instance en cours. ÉTAPE 6 Cliquez sur Save. Les modifications que vous avez effectuées sont enregistrées dans la configuration de démarrage. Association d'instance Après avoir créé une instance, utilisez la page Instance Association pour associer une instance de portail captif à un point d'accès virtuel. Les paramètres de l'instance de portail captif associée s'appliquent aux utilisateurs qui tentent de s'authentifier sur le point d'accès virtuel. Pour associer une instance à un point d'accès virtuel : ÉTAPE 1 Sélectionnez Captive Portal > Instance Association. ÉTAPE 2 Choisissez le mode radio à configurer: ÉTAPE 3 Sélectionnez le nom d'instance pour chaque point d'accès virtuel auquel vous voulez associer une instance. Guide d'administration pour Cisco WAP131 et WAP351 176 10 Portail captif Personnalisation du portail Web ÉTAPE 4 Cliquez sur Save. Les modifications que vous avez effectuées sont enregistrées dans la configuration de démarrage. Personnalisation du portail Web Une fois l'instance de portail captif associée à un point d'accès virtuel, vous devez créer des paramètres régionaux (une page Web d'authentification) et les mapper avec l'instance de portail captif. Lorsqu'un utilisateur accède à un point d'accès virtuel associé à une instance de portail captif, une page d'authentification s'affiche. Utilisez la page Web Portal Customization pour créer des pages uniques pour les différents paramètres régionaux de votre réseau et personnaliser le texte et les images sur les pages. Configuration de la page d'authentification du portail captif Pour créer et personnaliser une page d'authentification de portail captif : ÉTAPE 1 Sélectionnez Captive Portal > Web Portal Customization. ÉTAPE 2 Sélectionnez Create dans la liste Captive Portal Web Locale. Vous pouvez créer jusqu'à trois pages d'authentification différentes avec différents paramètres régionaux sur votre réseau. ÉTAPE 3 Dans la zone Captive Portal Web Locale Parameters, définissez les paramètres suivants : • Web Locale Name : saisissez un nom de paramètres régionaux Web à affecter à la page. Le nom peut être constitué de 1 à 32 caractères alphanumériques. • Captive Portal Instances : sélectionnez l'instance de portail captif à laquelle ces paramètres régionaux sont associés. Vous pouvez associer plusieurs paramètres régionaux à une instance. Lorsqu'un utilisateur tente d'accéder à un point d'accès virtuel spécifique associé à une instance de portail captif, les paramètres régionaux qui sont associés à cette instance apparaissent sous la forme de liens sur la page d'authentification. L'utilisateur peut alors sélectionner un lien pour passer à ces paramètres régionaux. Guide d'administration pour Cisco WAP131 et WAP351 177 10 Portail captif Personnalisation du portail Web ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de démarrage. ÉTAPE 5 La zone Captive Portal Web Locale Parameters s'affiche à nouveau avec des options supplémentaires permettant de modifier les paramètres régionaux. Les champs Locale ID et Instance Name ne peuvent pas être modifiés. Les champs modifiables sont préremplis avec les valeurs par défaut. Définissez les paramètres suivants : • Background Image Name : sélectionnez l'image à afficher en tant qu'arrièreplan de la page. Vous pouvez cliquer sur Upload/Delete Custom Image pour charger des images pour les instances de portail captif. Pour plus d'informations, reportez-vous à la section Chargement et suppression d'images. • Logo Image Name : sélectionnez le fichier image à afficher dans le coin supérieur gauche de la page. Cette image est utilisée à des fins commerciales (il s'agit par exemple du logo de l'entreprise). Si vous avez téléchargé un logo personnalisé vers le périphérique WAP, vous pouvez le sélectionner dans la liste. • Foreground color : saisissez le code HTML de la couleur de premier plan au format hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La valeur par défaut est #999999. • Background color : saisissez le code HTML de la couleur d'arrière-plan au format hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La valeur par défaut est #BFBFBF. • Separator : saisissez le code HTML de la couleur de l'épaisse ligne horizontale séparant l'en-tête de page du corps de page, au format hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La valeur par défaut est #BFBFBF. • Locale Label : saisissez l'étiquette descriptive des paramètres régionaux, composée de 1 à 32 caractères. La langue par défaut est l'anglais. • Locale : saisissez l'abréviation des paramètres régionaux, composée de 1 à 32 caractères. La valeur par défaut est en. • Account Image : sélectionnez le fichier image à afficher au-dessus du champ de connexion pour représenter une connexion authentifiée. • Account Label : texte demandant à l'utilisateur d'entrer un nom d'utilisateur. La plage valide va de 1 à 32 caractères. Guide d'administration pour Cisco WAP131 et WAP351 178 10 Portail captif Personnalisation du portail Web • User Label : étiquette de la zone de texte du nom d'utilisateur. La plage valide va de 1 à 32 caractères. • Password Label : étiquette de la zone de texte du mot de passe d'utilisateur. La plage valide va de 1 à 64 caractères. • Button Label : étiquette du bouton sur lequel les utilisateurs cliquent afin de soumettre leur nom d'utilisateur et leur mot de passe pour authentification. La plage valide va de 2 à 32 caractères. La valeur par défaut est Connect. • Fonts : nom de la police à utiliser pour l'ensemble du texte de la page de portail captif. Vous pouvez entrer plusieurs noms de police, chaque nom devant être séparé des autres par une virgule. Si la première police n'est pas disponible sur le système client, la police suivante est utilisée, etc. Si un nom de police contient des espaces, mettez le nom complet entre guillemets. La plage valide va de 1 à 512 caractères. La valeur par défaut est MS UI Gothic, Arial, sans-serif. • Browser Title : texte à afficher dans la barre de titre du navigateur. La plage valide va de 1 à 128 caractères. La valeur par défaut est Captive Portal. • Browser Content : texte qui apparaît dans l'en-tête de page, à droite du logo. La plage valide va de 1 à 128 caractères. La valeur par défaut est Welcome to the Wireless Network. • Content : texte d'instruction qui s'affiche dans le corps de page en dessous des zones de texte du nom d'utilisateur et du mot de passe. La plage valide va de 1 à 256 caractères. La valeur par défaut est To start using this service, enter your credentials and click the connect button. • Acceptance Use Policy : texte qui apparaît dans la zone de texte Acceptance Use Policy. La plage valide va de 1 à 4096 caractères. La valeur par défaut est Acceptance Use Policy. • Accept Label : texte demandant aux utilisateurs d'activer la case à cocher relative à la lecture et à l'acceptation de la stratégie d'utilisation. La plage valide va de 1 à 128 caractères. • No Accept Text : texte qui s'affiche dans une fenêtre contextuelle lorsqu'un utilisateur soumet ses informations d'identification de connexion sans avoir activé la case à cocher Acceptance Use Policy. La plage valide va de 1 à 128 caractères. • Work In Progress Text : texte qui s'affiche durant l'authentification. La plage valide va de 1 à 128 caractères. Guide d'administration pour Cisco WAP131 et WAP351 179 10 Portail captif Personnalisation du portail Web • Denied Text : texte qui s'affiche lors de l'échec de l'authentification d'un utilisateur. La plage valide va de 1 à 128 caractères. • Welcome Title : texte qui s'affiche lorsque le client s'est authentifié sur le point d'accès virtuel. La plage valide va de 1 à 128 caractères. • Welcome Content : texte qui s'affiche lorsque le client s'est connecté au réseau. La plage valide va de 1 à 256 caractères. • Delete Locale : supprime les paramètres régionaux actuels. ÉTAPE 6 Cliquez sur Save. Les modifications que vous avez effectuées sont enregistrées dans la configuration de démarrage. ÉTAPE 7 Cliquez sur Preview pour afficher la page mise à jour. REMARQUE Vous pouvez cliquer sur Preview pour afficher le texte et les images qui ont déjà été enregistrés dans la configuration de démarrage. Si vous apportez des modifications, cliquez sur Save avant de cliquer sur Preview pour voir vos modifications. Chargement et suppression d'images Lorsque les utilisateurs créent l'accès à un point d'accès virtuel associé à une instance de portail captif, une page d'authentification apparaît. Vous pouvez personnaliser la page d'authentification avec votre propre logo ou d'autres images. Vous pouvez charger jusqu'à 18 images (à savoir six valeurs de paramètres régionaux, chaque valeur possédant trois images). Les images doivent être au format GIF ou JPG, et leur taille maximale est de 5 kilo-octets. Les images sont redimensionnées conformément aux dimensions spécifiées. Pour obtenir des résultats optimaux, les images de votre logo et de votre compte doivent être de proportions similaires à celles des images par défaut, comme indiqué ci-dessous : Type d'image Utilisation Largeur x hauteur par défaut Arrière-plan S'affiche en tant qu'arrière-plan de page. 10 x 800 pixels Logo S'affiche en haut à gauche de la page en vue de fournir des informations commerciales. 168 x 78 pixels Guide d'administration pour Cisco WAP131 et WAP351 180 10 Portail captif Clients authentifiés Type d'image Utilisation Largeur x hauteur par défaut Compte S'affiche au-dessus du champ de connexion pour représenter une connexion authentifiée. 295 x 55 pixels Pour charger des fichiers graphiques binaires sur le périphérique WAP : ÉTAPE 1 Sur la page Web Portal Customization, cliquez sur Upload/Delete Custom Image à côté des champs Background Image Name, Logo Image Name ou Account Image. La page Web Portal Custom Image apparaît. ÉTAPE 2 Cliquez sur Browse pour sélectionner l'image. ÉTAPE 3 Cliquez sur Upload. ÉTAPE 4 Cliquez sur Back pour revenir à la page Web Portal Custom Image. ÉTAPE 5 Dans la zone Captive Portal Web Locale, sélectionnez les paramètres régionaux Web à configurer pour le portail captif. ÉTAPE 6 Pour les champs Background Image Name, Logo Image Name ou Account Image, sélectionnez l'image nouvellement chargée. ÉTAPE 7 Cliquez sur Save. ÉTAPE 8 Pour supprimer une image, sur la page Web Portal Custom Image, sélectionnez-la dans la liste Delete Web Customization Image, puis cliquez sur Delete. Vous ne pouvez pas supprimer les images par défaut. Clients authentifiés La page Authenticated Clients propose deux tables. La première, Authenticated Clients, fournit des informations sur les clients qui ont été authentifiés sur une instance quelconque du portail captif. L'autre, Failed Authenticated Clients, fournit des informations sur les clients qui ont tenté de s'authentifier sur un portail captif et qui ont échoué. Pour afficher la liste des clients authentifiés ou la liste des clients qui n'ont pas réussi à s'authentifier, sélectionnez Captive Portal > Authenticated Clients. Guide d'administration pour Cisco WAP131 et WAP351 181 10 Portail captif Clients authentifiés Les informations suivantes sont indiquées : • MAC Address : adresse MAC du client. • IP Address : adresse IP du client. • User Name : nom d'utilisateur de portail captif du client. • Protocol : protocole employé par l'utilisateur pour établir la connexion (HTTP ou HTTPS). • Verification : méthode utilisée pour l'authentification de l'utilisateur sur le portail captif. Les valeurs possibles sont les suivantes : - Guest : l'utilisateur n'a pas besoin d'être authentifié par une base de données. - Local : le périphérique WAP utilise une base de données locale pour authentifier les utilisateurs. - RADIUS : le périphérique WAP utilise une base de données située sur un serveur RADIUS distant pour authentifier les utilisateurs. • VAP ID : point d'accès virtuel auquel l'utilisateur est associé. • Radio ID : ID de la radio. • Captive Portal ID : ID de l'instance de portail captif à laquelle l'utilisateur est associé. • Session Timeout : temps de validité restant, en secondes, de la session de portail captif. Lorsque ce temps atteint la valeur zéro, le client est désauthentifié. • Away Timeout : temps de validité restant, en secondes, de l'entrée du client. La minuterie démarre lorsque le client se dissocie du portail captif. Lorsque le temps atteint la valeur zéro, le client est désauthentifié. • Received Packets : nombre de paquets IP reçus par le périphérique WAP depuis la station utilisateur. • Transmitted Packets : nombre de paquets IP transmis depuis le périphérique WAP vers la station utilisateur. • Received Bytes : nombre d'octets reçus par le périphérique WAP depuis la station utilisateur. • Transmitted Bytes : nombre d'octets transmis depuis le périphérique WAP vers la station utilisateur. Guide d'administration pour Cisco WAP131 et WAP351 182 10 Portail captif Clients authentifiés • Failure Time : heure à laquelle l'échec de l'authentification s'est produit. Un horodatage est inclus, indiquant l'heure de l'échec. Vous pouvez cliquer sur Refresh pour afficher les dernières données en provenance du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 183 11 Configuration de point unique Ce chapitre explique comment paramétrer une configuration de point unique sur plusieurs périphériques WAP. Il contient les rubriques suivantes : • Présentation de la configuration de point unique • Points d'accès • Sessions • Gestion des canaux • Voisinage sans fil REMARQUE La fonction de configuration de point unique est seulement disponible sur le périphérique Cisco WAP351. Elle n'est pas prise en charge par le périphérique Cisco WAP131. Présentation de la configuration de point unique La configuration de point unique est une méthode centralisée permettant d'administrer et de contrôler les services sans fil sur plusieurs périphériques. Elle sert à créer un groupe ou un cluster unique de périphériques WAP. Lorsque les périphériques WAP sont regroupés en un cluster, vous pouvez afficher, déployer, configurer et sécuriser le réseau sans fil en tant qu'entité unique. Après la création d'un cluster sans fil, la configuration de point unique facilite également la planification des canaux sur l'ensemble de vos services sans fil afin de réduire les interférences radio et d'optimiser la bande passante du réseau sans fil. Lors de la première configuration d'un périphérique WAP, vous pouvez paramétrer la configuration de point unique à l'aide de l'assistant de configuration ou ajouter le périphérique à une configuration de point unique existante. Si vous préférez ne pas utiliser l'assistant de configuration, vous pouvez vous servir de l'utilitaire Web de configuration. Guide d'administration pour Cisco WAP131 et WAP351 184 11 Configuration de point unique Présentation de la configuration de point unique Gestion de la configuration de point unique sur les points d'accès La configuration de point unique crée, dans le même sous-réseau, un cluster ou un groupe de périphériques WAP dynamique et sensible à la configuration. Un cluster prend uniquement en charge un groupe de périphériques Cisco WAP351 configurés. La configuration de point unique permet de gérer plusieurs clusters dans le même sous-réseau ou réseau. Ils sont toutefois gérés en tant qu'entités indépendantes uniques. Le tableau ci-dessous indique les limites de service sans fil de la configuration de point unique : Type de groupe/ cluster Nombre de périphériques WAP par configuration de point unique Nombre de clients actifs par configuration de point unique Nombre maximal de clients (actifs et inactifs) Cisco WAP351 8 160 256 Un cluster peut propager les informations de configuration, telles que les paramètres de point d'accès virtuel, de file d'attente QoS et de radio. Lorsque vous définissez une configuration de point unique sur un périphérique, les paramètres de ce dernier (qu'ils aient été définis manuellement ou par défaut) sont propagés sur les autres périphériques lorsqu'ils rejoignent le cluster. Pour former un cluster, veillez à respecter les conditions ci-dessous : ÉTAPE 1 Planifiez votre cluster à configuration de point unique. Vérifiez que les périphériques WAP que vous souhaitez regrouper dans le cluster sont du même modèle. Par exemple, les périphériques Cisco WAP351 peuvent uniquement être regroupés dans un cluster contenant d'autres périphériques Cisco WAP351. Nous vous recommandons vivement d'utiliser la dernière version du microprogramme sur tous les périphériques WAP du cluster. REMARQUE Les mises à niveau de microprogramme ne sont pas propagées sur tous les périphériques WAP d'un cluster. Vous devez mettre à niveau chacun des périphériques. Guide d'administration pour Cisco WAP131 et WAP351 185 Configuration de point unique Présentation de la configuration de point unique 11 ÉTAPE 2 Configurez les périphériques WAP qui seront regroupés en cluster sur un même sous-réseau IP et vérifiez qu'ils sont interconnectés et accessibles sur l'ensemble du réseau local commuté. ÉTAPE 3 Activez la configuration de point unique sur tous les périphériques WAP. Pour plus d'informations, reportez-vous à la section Points d'accès. ÉTAPE 4 Vérifiez que tous les périphériques WAP indiquent le même nom de configuration de point unique. Pour plus d'informations, reportez-vous à la section Points d'accès. Négociation de la configuration de point unique Lorsque la configuration de point unique est activée et paramétrée sur un périphérique WAP, celui-ci commence à envoyer des annonces toutes les 10 secondes pour signaler sa présence. Si d'autres périphériques WAP répondent aux critères du cluster, un arbitrage est effectué afin de déterminer quel périphérique WAP distribuera la configuration principale aux autres membres du cluster. Les règles suivantes s'appliquent à la formation et à l'arbitrage du cluster à configuration de point unique : • Pour les clusters à configuration de point unique existants, dès que l'administrateur met à jour la configuration de l'un des membres du cluster, la modification est propagée à tous les membres du cluster et le périphérique WAP configuré prend le contrôle du cluster. • Lorsque deux clusters à configuration de point unique distincts sont regroupés en un seul cluster, le cluster modifié en dernier remporte l'arbitrage de la configuration. Il écrase et met à jour la configuration de tous les périphériques WAP du cluster. • Si un périphérique WAP d'un cluster ne reçoit pas les annonces d'un autre périphérique WAP pendant plus de 60 secondes (par exemple si le périphérique n'est plus connecté aux autres périphériques du cluster), celuici est supprimé du cluster. • Si un périphérique WAP en mode de configuration de point unique perd sa connexion, il n'est pas immédiatement exclu du cluster. S'il se reconnecte et rejoint le cluster sans avoir été exclu et que des modifications ont été apportées à la configuration de ce périphérique lorsqu'il était déconnecté, ces modifications sont propagées sur les autres membres du cluster lorsque la connexion est rétablie. Guide d'administration pour Cisco WAP131 et WAP351 186 Configuration de point unique Présentation de la configuration de point unique • 11 Si un périphérique WAP d'un cluster perd sa connexion, est exclu, puis rejoint à nouveau le cluster et que des modifications ont été apportées à la configuration du cluster durant la période de déconnexion, les modifications sont propagées sur le périphérique lorsqu'il rejoint le cluster. Si des modifications de configuration sont effectuées à la fois sur le périphérique déconnecté et sur le cluster, le périphérique WAP ayant fait l'objet du plus grand nombre de modifications ou, à défaut, celui ayant subi la modification la plus récente, est choisi pour la propagation de sa configuration au cluster. Ainsi, si WAP1 a fait l'objet d'un plus grand nombre de modifications, mais que WAP2 présente la modification la plus récente, c'est WAP1 qui est choisi. S'ils ont tous les deux fait l'objet du même nombre de modifications, mais que WAP2 présente la modification la plus récente, c'est donc WAP2 qui est choisi. Fonctionnement d'un périphérique exclu d'une configuration de point unique Lorsqu'un périphérique WAP qui était auparavant un membre d'un cluster est déconnecté de celui-ci, les règles suivantes s'appliquent : • La perte du contact avec le cluster empêche le périphérique WAP de recevoir les derniers paramètres de configuration opérationnels. La déconnexion provoque l'interruption du service sans fil correct sur l'ensemble du réseau de production. • Le périphérique WAP continue de fonctionner selon les paramètres sans fil qu'il a reçus en dernier du cluster. • Les clients sans fil associés au périphérique WAP non inclus dans le cluster continuent à s'associer au périphérique sans interruption de la connexion sans fil. En d'autres termes, la perte du contact avec le cluster n'empêche pas nécessairement les clients sans fil associés à ce périphérique WAP de continuer à accéder aux ressources réseau. • Si la perte du contact avec le cluster est liée à une déconnexion physique ou logique de l'infrastructure LAN, cela peut avoir une incidence sur les services réseau, voire sur les clients sans fil, selon la nature de la panne. Guide d'administration pour Cisco WAP131 et WAP351 187 11 Configuration de point unique Présentation de la configuration de point unique Paramètres de configuration propagés et non propagés aux points d'accès à configuration de point unique Le tableau ci-dessous récapitule les configurations partagées et propagées sur l'ensemble des périphériques WAP du cluster : Paramètres de configuration communs propagés en mode de configuration de point unique Portail captif Password Complexity Client QoS Comptes d'utilisateur Email Alert QoS Service HTTP/HTTPS (sauf configuration de certificats SSL) Paramètres radio, y compris paramètres TSPEC (quelques exceptions) Log Settings Rogue AP Detection MAC Filtering Scheduler Management Access Control SNMP General et SNMPv3 Networks WPA-PSK Complexity Paramètres d'heure Paramètres de configuration radio propagés en mode de configuration de point unique Mode Seuil de fragmentation Seuil RTS Rate Sets Primary Channel Protection Fixed Multicast Rate Broadcast or Multicast Rate Limiting Channel Bandwidth Guide d'administration pour Cisco WAP131 et WAP351 188 11 Configuration de point unique Points d'accès Short Guard Interval Supported Paramètres de configuration radio non propagés en mode de configuration de point unique Canal Intervalle de balise DTIM Period Maximum Stations Transmit Power Autres paramètres de configuration non propagés en mode de configuration de point unique Bandwidth Utilization Paramètres des ports Bonjour VLAN et IPv4 Adresse IPv6 WDS Bridge Tunnel IPv6 Packet Capture WorkGroup Bridge Points d'accès La page Access Points vous permet d'activer ou de désactiver la fonction de configuration de point unique sur le périphérique WAP, d'afficher les membres d'un cluster et de configurer l'emplacement et le nom de cluster pour un membre. Vous pouvez également cliquer sur l'adresse IP d'un membre pour configurer et afficher les données de ce périphérique. Guide d'administration pour Cisco WAP131 et WAP351 189 11 Configuration de point unique Points d'accès Configuration du périphérique WAP pour la configuration de point unique Pour configurer l'emplacement et le nom d'un membre d'un cluster à configuration de point unique, procédez comme suit : ÉTAPE 1 Sélectionnez Single Point Setup > Access Points. La configuration de point unique est désactivée par défaut sur le périphérique WAP. Lorsque celle-ci est désactivée, le bouton Enable Single Point Setup est visible. Si la configuration de point unique est désactivée, le bouton Disable Single Point Setup est visible. Vous pouvez modifier les paramètres de la configuration de point unique seulement si cette fonction est désactivée. Des icônes situées sur le côté droit de la page indiquent si elle est activée et, si tel est le cas, elles précisent également le nombre de périphériques WAP actuellement regroupés dans le cluster. ÉTAPE 2 Une fois la fonction de configuration de point unique désactivée, définissez les paramètres ci-dessous pour chaque membre d'un cluster à configuration de point unique : • Location : saisissez une description de l'emplacement physique du périphérique WAP, par exemple « Réception ». Ce champ est facultatif. • Cluster Name : indiquez le nom du cluster auquel le périphérique WAP doit se joindre, par exemple « Cluster_Réception ». Le nom du cluster n'est pas envoyé aux autres périphériques WAP. Vous devez donc configurer le même nom sur chaque périphérique membre d'un même cluster. Le nom du cluster doit être unique pour chaque configuration de point unique que vous paramétrez sur le réseau. Le nom par défaut est « ciscosb-cluster ». • Clustering IP Version : indiquez la version du protocole IP que les périphériques WAP du cluster utilisent pour communiquer avec les autres membres du cluster. La version par défaut est IPv4. Si vous choisissez la version IPv6, la configuration de point unique peut utiliser l'adresse de liaison locale, l'adresse IPv6 globale autoconfigurée et l'adresse IPv6 globale configurée de manière statique. Dans ce cas, assurezvous que tous les périphériques WAP du cluster utilisent uniquement des adresses de liaison locales ou uniquement des adresses globales. La configuration de point unique fonctionne uniquement sur des périphériques WAP utilisant le même type d'adressage IP. Elle ne fonctionne pas avec un groupe de périphériques WAP dont certains utilisent des adresses IPv4 et d'autres des adresses IPv6. Guide d'administration pour Cisco WAP131 et WAP351 190 11 Configuration de point unique Points d'accès ÉTAPE 3 Cliquez sur Enable Single Point Setup. Le périphérique WAP commence à rechercher dans le sous-réseau d'autres périphériques WAP configurés avec le même nom de cluster et la même version du protocole IP. Les membres éventuels du cluster envoient des annonces toutes les 10 secondes afin de signaler leur présence. Pendant la recherche d'autres membres du cluster, l'état indique que la configuration est en cours d'application. Actualisez la page pour afficher la nouvelle configuration. Si un ou plusieurs périphériques WAP sont déjà configurés avec les mêmes paramètres de cluster, le périphérique WAP rejoint le cluster et les informations sur chaque membre s'affichent dans un tableau. ÉTAPE 4 Répétez cette procédure sur les autres périphériques WAP que vous souhaitez ajouter à la configuration de point unique. Affichage des informations de la configuration de point unique Lorsque la fonction de configuration de point unique est activée, le périphérique WAP forme automatiquement un cluster avec les autres périphériques WAP dotés de la même configuration. La page Access Points répertorie les périphériques WAP détectés dans un tableau ; les informations suivantes sont affichées : • Location : description de l'emplacement physique du périphérique WAP. • MAC Address : adresse MAC du périphérique WAP. Cette adresse correspond à l'adresse MAC du pont (br0) et à l'adresse du périphérique WAP connue des autres réseaux. • IP Address : adresse IP du périphérique WAP. REMARQUE L'état de la configuration de point unique et le nombre de périphériques WAP sont indiqués sous forme graphique sur le côté droit de la page. Guide d'administration pour Cisco WAP131 et WAP351 191 Configuration de point unique Points d'accès 11 Ajout d'un périphérique WAP à une configuration de point unique Pour ajouter un nouveau périphérique WAP actuellement en mode autonome à un cluster à configuration de point unique : ÉTAPE 1 Accédez à l'utilitaire de configuration du périphérique WAP autonome. ÉTAPE 2 Sélectionnez Single Point Setup > Access Points. ÉTAPE 3 Dans Cluster name, indiquez le nom de cluster que vous avez configuré sur les membres du cluster. ÉTAPE 4 (Facultatif) Dans le champ Location, saisissez une description de l'emplacement physique du périphérique WAP. ÉTAPE 5 Cliquez sur Enable Single Point Setup. Le périphérique WAP rejoint automatiquement la configuration de point unique. Suppression d'un périphérique WAP dans une configuration de point unique Pour supprimer un périphérique WAP dans un cluster à configuration de point unique : ÉTAPE 1 Dans le tableau affichant les périphériques détectés, cliquez sur l'adresse IP du périphérique WAP que vous souhaitez supprimer du cluster. L'utilitaire de configuration de ce périphérique WAP apparaît. ÉTAPE 2 Sélectionnez Single Point Setup > Access Points. ÉTAPE 3 Cliquez sur Disable Single Point Setup. Le champ d'état Single Point Setup de ce périphérique WAP indique alors Disabled. Guide d'administration pour Cisco WAP131 et WAP351 192 Configuration de point unique Sessions 11 Accès aux informations de configuration d'un périphérique spécifique Tous les périphériques WAP d'un cluster à configuration de point unique présentent la même configuration (à condition que la propagation des éléments configurables soit possible). Peu importe le périphérique WAP auquel vous vous connectez pour l'administration, les modifications de la configuration de n'importe quel périphérique WAP du cluster sont propagées aux autres membres. Cependant, il peut arriver que vous souhaitiez afficher ou gérer des informations d'un périphérique WAP spécifique. Par exemple, vous souhaitez peut-être vérifier les informations d'état, telles que les associations de clients ou les événements concernant un périphérique WAP. Dans ce cas, vous pouvez cliquer sur l'adresse IP figurant dans le tableau de la page Access Points pour afficher l'utilitaire de configuration de ce périphérique WAP. Accès à un périphérique à l'aide de son adresse IP dans une URL Vous pouvez également vous connecter à l'utilitaire de configuration d'un périphérique WAP spécifique en saisissant l'adresse IP de ce dernier directement dans la barre d'adresse d'un navigateur Web. Pour cela, utilisez la forme d'URL suivante : http://AdresseIPDuPointD'Accès (si vous utilisez le protocole HTTP) https://AdresseIPDuPointD'Accès (si vous utilisez le protocole HTTPS) Sessions La page Sessions permet d'afficher des informations sur les clients WLAN associés aux périphériques WAP du cluster à configuration de point unique. Chaque client WLAN est identifié par son adresse MAC et l'emplacement du périphérique auquel il est actuellement connecté. REMARQUE Cette page affiche un maximum de 20 clients par radio sur les périphériques WAP du cluster. Pour afficher tous les clients WLAN associés à un périphérique WAP, consultez la page Status > Associated Clients directement sur ce périphérique. Pour afficher des données statistiques spécifiques sur une session de client WLAN, sélectionnez un élément de la liste Display et cliquez sur Go. Vous pouvez consulter des informations sur le temps d'inactivité, le débit et la puissance du signal. Guide d'administration pour Cisco WAP131 et WAP351 193 11 Configuration de point unique Sessions Dans ce contexte, une session correspond à la période pendant laquelle un utilisateur d'un périphérique client (station) doté d'une adresse MAC unique maintient une connexion au réseau sans fil. La session commence lorsque le client WLAN se connecte au réseau. Elle se termine lorsque le client WLAN se déconnecte, intentionnellement ou non. REMARQUE Une session diffère d'une association, qui décrit la connexion de clients WLAN à un périphérique WAP spécifique. Une association de clients WLAN peut passer d'un périphérique WAP du cluster à un autre au cours d'une même session. Pour afficher les sessions associées au cluster, cliquez sur Single Point Setup > Sessions. Les informations suivantes s'affichent pour chaque session de client WLAN avec une configuration de point unique : • AP Location : emplacement du périphérique WAP. L'emplacement est celui spécifié sur la page Administration>System Settings. • User MAC : adresse MAC du périphérique WAP. Une adresse MAC est une adresse matérielle unique qui identifie chaque nœud d'un réseau. • Idle : temps d'inactivité du client WLAN. Un client WLAN est considéré comme inactif lorsqu'il ne reçoit et ne transmet aucune donnée. • Rate : débit de données négocié. Les débits réels peuvent varier en fonction de la surcharge. La vitesse de transmission des données est mesurée en mégabits par seconde (Mbit/s). Cette valeur doit être comprise dans la plage de débits annoncés pour le mode utilisé sur le périphérique WAP. Par exemple entre 6 et 54 Mbit/s pour le mode 802.11a. • Signal : puissance du signal de radiofréquence (RF) reçu du périphérique WAP par le client WLAN. Cette valeur est appelée RSSI (Received Signal Strength Indication) et se situe entre 0 et 100. • Receive Total : nombre total de paquets reçus par le client WLAN au cours de la session actuelle. • Transmit Total : nombre total de paquets transmis au client WLAN au cours de cette session. • Error Rate : pourcentage d'abandons de trames au cours de la transmission sur le périphérique WAP. Pour trier les informations affichées dans les tableaux selon un indicateur spécifique, cliquez sur l'intitulé de la colonne qui déterminera le tri. Par exemple, si vous souhaitez classer les lignes d'un tableau en fonction de la puissance du signal, cliquez sur l'intitulé de colonne Signal. Guide d'administration pour Cisco WAP131 et WAP351 194 Configuration de point unique Gestion des canaux 11 Gestion des canaux La page Channel Management permet d'afficher les attributions actuelles et prévues des canaux aux périphériques WAP d'un cluster à configuration de point unique. Lorsque la gestion des canaux est activée, le périphérique WAP attribue automatiquement les canaux radio utilisés par les périphériques WAP dans un cluster à configuration de point unique. L'attribution automatique des canaux réduit les interférences mutuelles dans le cluster (ou les interférences avec d'autres périphériques WAP extérieurs au cluster) et optimise la bande passante Wi-Fi afin d'assurer une communication efficace sur le réseau sans fil. La fonction d'attribution automatique des canaux est désactivée par défaut. L'état de la fonction de gestion des canaux (activé ou désactivé) est propagé aux autres périphériques du cluster à configuration de point unique. À un intervalle défini, le gestionnaire de canaux (c'est-à-dire le périphérique ayant fourni la configuration au cluster) mappe tous les périphériques WAP du cluster avec différents canaux et mesure les niveaux d'interférence des membres du cluster. Si des interférences importantes sont détectées entre les canaux, le gestionnaire de canaux réattribue automatiquement certains ou l'ensemble des périphériques à de nouveaux canaux à l'aide d'un algorithme d'efficacité (ou d'une stratégie de canaux automatique). Si le gestionnaire de canaux détermine qu'un changement est nécessaire, les informations de réattribution sont envoyées à tous les membres du cluster. Un message SYSLOG indiquant également le périphérique d'émission ainsi que les nouvelles et anciennes attributions de canaux est généré. Configuration et affichage des attributions de canaux Pour configurer et afficher les attributions de canaux pour les membres de la configuration de point unique : ÉTAPE 1 Sélectionnez Single Point Setup > Channel Management. La page Channel Management affiche les attributions de canaux de tous les périphériques WAP du cluster et vous permet d'interrompre ou de démarrer la gestion automatique des canaux. Vous pouvez également utiliser les paramètres avancés pour modifier le potentiel de réduction des interférences qui entraîne la réattribution des canaux, pour modifier le calendrier des mises à jour automatiques et pour reconfigurer l'ensemble de canaux utilisé pour les attributions. Guide d'administration pour Cisco WAP131 et WAP351 195 11 Configuration de point unique Gestion des canaux ÉTAPE 2 Pour lancer l'attribution automatique des canaux, cliquez sur Démarrer. La gestion des canaux remplace le comportement par défaut du cluster qui consiste à synchroniser les canaux radio de tous les périphériques WAP membres du cluster. Lorsque la gestion des canaux est activée, le canal radio n'est pas synchronisé entre le cluster et les autres périphériques. Lorsque l'attribution automatique des canaux est activée, le gestionnaire de canaux mappe régulièrement les canaux radio utilisés par les périphériques WAP d'un cluster à configuration de point unique et, le cas échéant, réattribue les canaux pour réduire les interférences entre les membres du cluster ou avec les périphériques extérieurs au cluster. La stratégie de canaux radio est définie automatiquement sur le mode statique et l'option Auto n'est pas disponible pour le champ Channel de la page Wireless > Radio. Reportez-vous à la section Affichage des attributions de canaux et configuration des verrouillages pour de plus amples informations sur les attributions de canaux actuelles et proposées. ÉTAPE 3 Pour interrompre l'attribution automatique des canaux, cliquez sur Stop. Aucun mappage de l'utilisation des canaux ni aucune réattribution de ceux-ci ne sont effectués. Seules les mises à jour manuelles affectent l'attribution des canaux. Affichage des attributions de canaux et configuration des verrouillages Lorsque la gestion des canaux est activée, la page affiche le tableau Current Channel Assignations et le tableau Proposed Channel Assignments. Tableau Current Channel Assignments Le tableau Current Channel Assignments affiche la liste de tous les périphériques WAP du cluster à configuration de point unique par adresse IP. Il indique les informations suivantes sur les attributions de canaux actuelles : • Location : emplacement physique du périphérique WAP. • IP Address : adresse IP du périphérique WAP. • Wireless Radio : adresse MAC de la radio. • Band : bande de diffusion du périphérique WAP. Guide d'administration pour Cisco WAP131 et WAP351 196 11 Configuration de point unique Gestion des canaux • Channel : canal radio sur lequel le périphérique WAP diffuse actuellement. • Locked : force le périphérique WAP à rester sur le canal actuel. • Status : état de la radio sans fil du périphérique WAP. Pour les périphériques WAP disposant de plusieurs radios sans fil, chaque radio est indiquée sur une ligne distincte du tableau. L'état de la radio est soit Up, soit Down. Lorsqu'elles sont sélectionnées pour un périphérique WAP, les stratégies de gestion automatique des canaux ne réattribuent pas le périphérique WAP à un autre canal dans le cadre de la stratégie d'optimisation. Les périphériques WAP dont les canaux sont verrouillés sont considérés comme immuables dans la stratégie de gestion. Cliquez sur Save pour mettre à jour le paramètre Locked. Le canal des périphériques verrouillés est le même dans le tableau Current Channel Assignments et le tableau Proposed Channel Assignments. Les périphériques verrouillés conservent leurs canaux actuels. Tableau Proposed Channel Assignments Le tableau Proposed Channel Assignments affiche les canaux proposés qui seront attribués à chaque périphérique WAP lors de la prochaine mise à jour. Les canaux verrouillés ne sont pas réattribués ; l'optimisation de la distribution des canaux entre les périphériques tient compte du fait que les périphériques verrouillés doivent rester sur leurs canaux actuels. Les périphériques WAP non verrouillés peuvent être attribués à des canaux différents de ceux qu'ils utilisaient auparavant, selon les résultats de la stratégie. Pour chaque périphérique WAP de la configuration de point unique, le tableau Proposed Channel Assignments indique l'emplacement, l'adresse IP et la radio sans fil, de la même manière que le tableau Current Channel Assignations. Il affiche également le canal proposé, c'est-à-dire le canal radio auquel ce périphérique WAP serait réattribué si la stratégie de canaux était appliquée. Configuration des paramètres avancés La zone Advanced permet de personnaliser et de planifier la stratégie de canaux de la configuration de point unique. Par défaut, les canaux sont réattribués automatiquement toutes les heures, à condition que les interférences puissent être réduites d'au moins 25 pour cent. Les canaux sont réattribués même si le réseau est occupé. Les paramètres par défaut sont conçus pour servir la plupart des scénarios qui vous obligeraient à mettre en œuvre la gestion des canaux. Guide d'administration pour Cisco WAP131 et WAP351 197 11 Configuration de point unique Voisinage sans fil Vous pouvez modifier les paramètres avancés au moyen des options suivantes : • Change channels if interference is reduced by at least : pourcentage minimal de réduction des interférences qu'une stratégie proposée doit atteindre pour être appliquée. La valeur par défaut est 75 pour cent. Choisissez le pourcentage souhaité entre 5 et 75 pour cent. L'utilisation de ce paramètre vous permet de définir un seuil de gain d'efficacité relatif à la réattribution des canaux pour éviter une interruption trop fréquente du réseau alors que le gain d'efficacité est minime. Par exemple, si les interférences entre les canaux doivent être réduites de 75 pour cent et que les attributions de canaux proposées permettent de réduire les interférences de seulement 30 pour cent, aucune réattribution n'est alors effectuée. Cependant, si vous réglez le gain minimal sur 25 pour cent et cliquez sur Save, la stratégie de canaux proposée est mise en œuvre et les canaux sont réattribués selon les besoins. • Determine if there is better set of channels every : calendrier des mises à jour automatiques. Une plage d'intervalles allant de 30 minutes à six mois est proposée. La valeur par défaut est une heure, ce qui signifie que l'utilisation des canaux est réévaluée et que la stratégie de canaux qui en résulte est appliquée toutes les heures. Si vous modifiez ces paramètres, cliquez sur Save. Les modifications sont enregistrées dans la configuration active et la configuration initiale. Voisinage sans fil La page Wireless Neighborhood permet d'afficher jusqu'à 20 périphériques à la portée de chaque radio sans fil au sein du cluster. Par exemple, si un périphérique WAP possède deux radios sans fil, 40 périphériques s'affichent pour ce périphérique. Cette page effectue également une distinction entre les membres et les non-membres du cluster. La page Wireless Neighborhood peut vous aider à effectuer les opérations suivantes : • détecter et localiser les périphériques inattendus (ou non autorisés) dans un domaine sans fil, de manière à pouvoir prendre les mesures nécessaires pour limiter les risques associés ; Guide d'administration pour Cisco WAP131 et WAP351 198 11 Configuration de point unique Voisinage sans fil • vérifier les attentes en matière de couverture. En évaluant quels périphériques WAP sont visibles et à quelle puissance de signal à partir des autres périphériques, vous pouvez vérifier que le déploiement satisfait vos objectifs de planification ; • détecter les défaillances. Les modifications inattendues dans le modèle de couverture apparaissent de manière évidente grâce au système de couleurs. Affichage des périphériques voisins Pour afficher les périphériques voisins, sélectionnez Single Point Setup > Wireless Neighborhood. Pour afficher l'ensemble des périphériques détectés sur une configuration de point unique donnée, accédez à l'interface Web d'un membre et sélectionnez Wireless > Rogue AP Detection. Pour chaque point d'accès voisin, les informations suivantes sont affichées : • • Display Neighboring APs : sélectionnez l'une des cases d'option suivantes pour modifier la vue : - In cluster : affiche uniquement les périphériques WAP voisins qui sont membres du cluster. - Not in cluster : affiche uniquement les périphériques WAP voisins qui ne sont pas membres du cluster. - Both : affiche tous les périphériques WAP voisins, y compris les membres et les non-membres du cluster. Cluster : la liste présente en haut du tableau affiche les adresses IP de l'ensemble des périphériques WAP qui appartiennent au même cluster. Cette liste est identique à la liste des membres figurant sur la page Single Point Setup > Access Points. S'il n'y a qu'un seul périphérique WAP dans le cluster, une seule colonne d'adresses IP s'affiche, indiquant que le périphérique WAP est groupé avec lui-même. Vous pouvez cliquer sur une adresse IP pour afficher plus de détails sur un périphérique WAP particulier. • Neighbors : les périphériques qui sont voisins d'un ou plusieurs périphériques en cluster sont répertoriés dans la colonne de gauche par SSID (nom de réseau). Guide d'administration pour Cisco WAP131 et WAP351 199 11 Configuration de point unique Voisinage sans fil Un périphérique détecté en tant que voisin peut également être lui-même membre du cluster. Les voisins qui sont aussi des membres de cluster sont toujours affichés en haut de la liste avec une barre épaisse et un indicateur d'emplacement. Les barres de couleur situées à droite de chaque périphérique WAP dans la liste Neighbors représentent la puissance du signal de chaque périphérique WAP voisin, tel que détecté par le membre de cluster dont l'adresse IP est affichée en haut de la colonne. La couleur de la barre indique la puissance du signal : • Barre bleu foncé : une barre bleu foncé et un nombre élevé pour la puissance du signal (par exemple 50) indiquent une bonne puissance de signal détectée à partir du voisin, comme le voit le périphérique dont l'adresse IP est affichée en haut de cette colonne. • Barre bleu clair : une barre bleu clair et un nombre peu élevé pour la puissance du signal (par exemple 20 ou moins) indiquent une puissance de signal moyenne ou faible détectée à partir du voisin, comme le voit le périphérique dont l'adresse IP est affichée en haut de cette colonne. • Barre blanche : une barre blanche et le chiffre 0 indiquent qu'un périphérique voisin détecté par l'un des membres du cluster ne peut pas l'être par le périphérique dont l'adresse IP est affichée en haut de cette colonne. • Barre gris clair : une barre gris clair et aucun nombre pour la puissance du signal indiquent qu'aucun signal n'a été détecté à partir du voisin, mais que celui-ci peut avoir été détecté par d'autres membres du cluster. • Barre gris foncé : une barre gris foncé et aucun nombre pour la puissance du signal indiquent le périphérique WAP lui-même, correspondant à l'adresse IP affichée au-dessus de lui. Une puissance de signal égale à zéro est affichée, car la propre puissance de signal du périphérique n'est pas mesurée. Guide d'administration pour Cisco WAP131 et WAP351 200 11 Configuration de point unique Voisinage sans fil Affichage des détails d'un membre de la configuration de point unique Pour afficher les détails relatifs à un membre du cluster, cliquez sur l'adresse IP d'un membre en haut de la page. Les détails suivants du périphérique apparaissent au-dessous de la liste des voisins : • SSID : identificateur d'ensemble de services du point d'accès voisin. • MAC Address : adresse MAC du point d'accès voisin. • Channel : canal sur lequel le point d'accès diffuse actuellement. • Rate : débit, en mégabits par seconde, auquel le point d'accès transmet actuellement. Le débit actuel est toujours l'un des débits spécifiés dans Supported Rates. • Signal : puissance du signal radio détecté à partir du point d'accès, mesurée en décibels (dB). • Beacon Interval : intervalle de balise utilisé par le point d'accès. • Beacon Age : date et heure de la dernière balise reçue du point d'accès. Guide d'administration pour Cisco WAP131 et WAP351 201 A Pour en savoir plus Cisco propose de nombreuses ressources pour vous aider, ainsi que votre client, à tirer pleinement parti des points d'accès bibandes sans fil N Cisco WAP131 et WAP351. Communauté d'assistance Cisco www.cisco.com/go/smallbizsupport Assistance et ressources Cisco www.cisco.com/go/smallbizhelp Coordonnées de l'assistance téléphonique www.cisco.com/en/US/support/ tsd_cisco_small_business _support_center_contacts.html Téléchargements de microprogrammes Cisco www.cisco.com/go/smallbizfirmware Demandes Open Source Cisco www.cisco.com/go/smallbiz_opensource_request Sélectionnez un lien pour télécharger le microprogramme d'un produit Cisco. Aucune connexion n'est requise. Guide d'administration www.cisco.com/go/100_wap_resources pour Cisco WAP131 et www.cisco.com/go/300_wap_resources WAP351 Adaptateurs secteur Cisco www.cisco.com/go/wap_accessories Cisco Partner Central (connexion partenaire requise) www.cisco.com/web/partners/sell/smb Guide d'administration pour Cisco WAP131 et WAP351 202