Cisco WAP131 Wireless-N Dual Radio Access Point Manuel utilisateur

GUIDE
D'ADMINISTRATION
Point d'accès Cisco WAP131 bibande sans fil N
avec PoE
Point d'accès Cisco WAP351 bibande sans fil N
avec commutateur 5 ports
Cisco et le logo Cisco sont des marques commerciales ou des marques commerciales déposées de Cisco Systems Inc. et/ou de ses filiales aux États-Unis et
dans d'autres pays. Pour consulter la liste des marques commerciales Cisco, rendez-vous sur : www.cisco.com/go/trademarks. Les autres marques
commerciales mentionnées sont la propriété de leurs détenteurs respectifs. L'utilisation du terme « partenaire » n'implique pas une relation de partenariat entre
Cisco et une autre entreprise. (1110R)
© 2014 Cisco Systems, Inc. Tous droits réservés.
Table des matières
Chapitre 1 : Mise en route
Mise en route du programme de configuration
9
9
Navigateurs pris en charge
9
Restrictions s'appliquant aux navigateurs
9
Lancement de l'utilitaire Web de configuration.
10
Déconnexion
11
Utilisation de l'assistant d'installation de point d'accès
11
Configuration de l'Assistant d'installation de Cisco WAP131
12
Configuration de l'Assistant d'installation de Cisco WAP351
13
Modification du mot de passe par défaut
16
Configuration du démarrage rapide
17
Navigation dans les fenêtres
18
En-tête de l'utilitaire de configuration
18
Volet de navigation / Menu principal
19
Boutons de gestion
19
Chapitre 2 : État et statistiques
21
Récapitulatif du système
21
Interfaces réseau
23
Statistiques sur le trafic
26
Transmission/Réception de pont de groupe de travail
27
Clients associés
28
Statistiques sur la radio
29
État des alertes par e-mail
31
Afficher le journal
32
Associations de client TSPEC
32
État et statistiques TSPEC
34
Statistiques de point d'accès TSPEC
36
Guide d'administration pour Cisco WAP131 et WAP351
3
Table des matières
Chapitre 3 : Administration
37
Paramètres système
38
Comptes d'utilisateur
38
Ajout d'un utilisateur
39
Modification d'un mot de passe utilisateur
40
Paramètres d'heure
40
Acquisition automatique des paramètres d'heure via NTP
41
Configuration manuelle des paramètres d'heure
41
Paramètres du journal
42
Configuration du journal persistant
42
Configuration du serveur de journalisation distant
44
Alerte électronique
45
Configuration des paramètres des alertes électroniques
46
Exemples d'alertes par e-mail
47
Service HTTP/HTTPS
48
Configuration des services HTTP et HTTPS
48
Gestion des certificats SSL
50
Gestion du contrôle des accès
51
Gestion du microprogramme
52
Permutation de l'image du microprogramme
52
Mise à niveau TFTP
53
Mise à niveau via HTTP/HTTPS
53
Gestion du fichier de configuration
54
Fichier de configuration de secours
55
Téléchargement du fichier de configuration
56
Copie/enregistrement de la configuration
57
Propriétés des fichiers de configuration
58
Redémarrage
58
Découverte - Bonjour
59
Capture de paquets
60
Configuration de la capture de paquets
Guide d'administration pour Cisco WAP131 et WAP351
60
4
Table des matières
Capture de paquets locale
61
Capture de paquets distante
63
État de la capture de paquets
66
Téléchargement du fichier de capture de paquets
67
Informations relatives au support
68
Paramètres de STP
68
Chapitre 4 : Réseau local
70
Paramètres des ports
70
Configuration des paramètres de port pour Cisco WAP131
70
Configuration des paramètres de port pour Cisco WAP351
71
Configuration VLAN
73
Configuration des paramètres VLAN pour Cisco WAP131
73
Configuration des paramètres VLAN pour Cisco WAP351
74
Paramètres IPv4
75
Paramètres IPv6
76
Chapitre 5 : Accès sans fil
79
Radio
79
Rogue AP Detection
87
Affichage de la Rogue AP List
87
Enregistrement de la liste des points d'accès approuvés
90
Importation d'une liste de points d'accès approuvés
90
Réseaux
91
Conventions d'affectation de noms SSID
91
ID de VLAN
92
Configuration des VAP
92
Définition des paramètres de sécurité
95
None (Plain-text)
95
Static WEP
96
Règles du mode Static WEP
97
Dynamic WEP
98
Guide d'administration pour Cisco WAP131 et WAP351
5
Table des matières
WPA Personal
100
WPA Enterprise
101
Scheduler
104
Ajout de profils de planificateur
104
Configuration des règles de planificateur
105
Scheduler Association
106
Bandwidth Utilization
107
MAC Filtering
108
Configuration d'une liste de filtrage MAC stockée localement sur le
périphérique WAP
108
Configuration de l'authentification MAC sur le serveur RADIUS
109
WDS Bridge
109
Configuration de STP pour Cisco WAP131
111
Configuration du VLAN non balisé pour Cisco WAP351
111
Configuration d'un pont WDS
112
WEP sur les liaisons WDS
113
WPA/PSK sur les liaisons WDS
113
WorkGroup Bridge
114
Quality of Service
117
Chapitre 6 : Sécurité du système
121
Serveur RADIUS
121
Demandeur 802.1X/802.1X
123
Configurer le demandeur 802.1X pour Cisco WAP131
123
Configurer 802.1X pour Cisco WAP351
125
Complexité des mots de passe
128
Complexité WPA-PSK
129
Chapitre 7 : Qualité de service
Paramètres globaux
131
131
Configuration des paramètres QoS pour Cisco WAP131
131
Configuration des paramètres QoS pour Cisco WAP351
132
Guide d'administration pour Cisco WAP131 et WAP351
6
Table des matières
Mappage de classe
133
Configuration des mappages de classe IPv4
134
Configuration des mappages de classe IPv6
137
Configuration des mappages de classe MAC
139
Mappage de stratégie
141
Association de la QoS
143
État de la QoS
144
Chapitre 8 : ACL
145
Règle ACL
145
ACL IPv4 et IPv6
145
ACL MAC
146
Flux de travail de configuration des ACL
146
Configuration des ACL IPv4
146
Configuration des ACL IPv6
150
Configuration des ACL MAC
153
Association d'ACL
156
État ACL
157
Chapitre 9 : SNMP
158
Général
158
Vues
161
Groupes
163
Utilisateurs
165
Cibles
166
Chapitre 10 : Portail captif
168
Configuration globale
169
Groupes/Utilisateurs locaux
170
Groupes locaux
170
Utilisateurs locaux
171
Configuration d'instance
Guide d'administration pour Cisco WAP131 et WAP351
173
7
Table des matières
Association d'instance
176
Personnalisation du portail Web
177
Configuration de la page d'authentification du portail captif
177
Chargement et suppression d'images
180
Clients authentifiés
Chapitre 11 : Configuration de point unique
Présentation de la configuration de point unique
181
184
184
Gestion de la configuration de point unique sur les points d'accès
185
Négociation de la configuration de point unique
186
Fonctionnement d'un périphérique exclu d'une configuration de point unique
187
Paramètres de configuration propagés et non propagés aux points d'accès à
configuration de point unique
188
Points d'accès
189
Configuration du périphérique WAP pour la configuration de point unique190
Affichage des informations de la configuration de point unique
191
Ajout d'un périphérique WAP à une configuration de point unique
192
Suppression d'un périphérique WAP dans une configuration de point unique
192
Accès aux informations de configuration d'un périphérique spécifique
193
Accès à un périphérique à l'aide de son adresse IP dans une URL
193
Sessions
193
Gestion des canaux
195
Configuration et affichage des attributions de canaux
195
Affichage des attributions de canaux et configuration des verrouillages
196
Configuration des paramètres avancés
197
Voisinage sans fil
198
Affichage des périphériques voisins
199
Affichage des détails d'un membre de la configuration de point unique
201
Annexe A : Pour en savoir plus
Guide d'administration pour Cisco WAP131 et WAP351
202
8
1
Mise en route
Ce chapitre présente l'utilitaire Web de configuration des points d'accès Cisco
WAP131 et WAP351 bibande sans fil. Il contient les rubriques suivantes :
•
Mise en route du programme de configuration
•
Utilisation de l'assistant d'installation de point d'accès
•
Modification du mot de passe par défaut
•
Configuration du démarrage rapide
•
Navigation dans les fenêtres
Mise en route du programme de configuration
Cette section décrit la configuration système requise et explique comment
accéder à l'utilitaire Web de configuration.
Navigateurs pris en charge
Avant d'utiliser l'utilitaire de configuration, assurez-vous de disposer d'un
ordinateur doté d'Internet Explorer 7.0 ou version ultérieure, Firefox 3.0 ou version
ultérieure, Chrome 5.0 ou version ultérieure ou Safari 3.0 ou version ultérieure.
Restrictions s'appliquant aux navigateurs
•
Si vous utilisez Internet Explorer 6, vous ne pouvez pas utiliser directement
une adresse IPv6 pour accéder au périphérique WAP. Vous pouvez
néanmoins utiliser le serveur DNS (Domain Name System, système de
noms de domaine) pour créer un nom de domaine contenant l'adresse IPv6,
puis utiliser ce nom de domaine dans la barre d'adresse à la place de
l'adresse IPv6.
Guide d'administration pour Cisco WAP131 et WAP351
9
Mise en route
Mise en route du programme de configuration
•
•
1
Si vous utilisez Internet Explorer 8, vous pouvez configurer les paramètres
de sécurité à partir d'Internet Explorer.
-
Sélectionnez Outils > Options Internet, puis sélectionnez l'onglet
Sécurité.
-
Sélectionnez Intranet local, puis Sites.
-
Sélectionnez Avancé, puis Ajouter. Ajoutez l'adresse Intranet du
périphérique WAP (http://<adresse-ip>) dans la zone Intranet local.
L'adresse IP peut également être spécifiée en tant qu'adresse IP du
sous-réseau, afin que toutes les adresses du sous-réseau soient
ajoutées à la zone Intranet local.
Si vous disposez de plusieurs interfaces IPv6 sur votre station de gestion,
utilisez l'adresse globale IPv6 au lieu de l'adresse locale IPv6 pour accéder
au périphérique WAP depuis votre navigateur.
Lancement de l'utilitaire Web de configuration.
Suivez ces étapes pour accéder à l'utilitaire de configuration depuis votre
ordinateur afin de configurer le périphérique WAP :
ÉTAPE 1 Connectez le périphérique WAPau réseau (sous-réseau IP) auquel votre
ordinateur est relié. Le paramètre par défaut pour la configuration de l'adresseIP
du périphérique WAP est DHCP. Assurez-vous que votre serveur DHCP fonctionne
et est accessible.
ÉTAPE 2 Localisez l'adresse IP du périphérique WAP.
a. Il est possible d'accéder au périphérique WAP et de le gérer à l'aide des outils et
services réseauCisco, comme l'utilitaire Cisco FindIT Network Discovery Utility,
qui vous permet de découvrir automatiquement tous les périphériques Cisco
pris en charge dans le même segment de réseau local que votre ordinateur. Vous
pouvez obtenir une vue instantanée de chaque périphérique ou lancer l'utilitaire
de configuration du produit pour afficher et configurer les paramètres. Pour en
savoir plus, consultez la page http://www.cisco.com/go/findit.
b. Le périphérique WAP est équipé de la fonction Bonjour. Il émet
automatiquement ses services et écoute les services publiés par d'autres
appareils dotés de la fonction Bonjour. Si vous disposez d'un navigateur
compatible avec la fonction Bonjour, tel que Microsoft Internet Explorer avec un
plug-in Bonjour ou le navigateur Apple Mac Safari, vous trouverez le
périphérique WAP sur votre réseau local sans avoir à fournir son adresse IP.
Guide d'administration pour Cisco WAP131 et WAP351
10
Mise en route
Utilisation de l'assistant d'installation de point d'accès
1
Vous pouvez télécharger la version complète de Bonjour pour Internet Explorer
à partir du site Web d'Apple : http://www.apple.com/bonjour/.
c. Identifiez l'adresse IP attribuée par votre serveur DHCP en accédant à votre
routeur ou au serveur DHCP. Pour plus d'informations, consultez les instructions
relatives à votre serveur DHCP.
ÉTAPE 3 Lancez un navigateur Web (par exemple, Internet Explorer).
ÉTAPE 4 Saisissez l'adresse par défaut du serveur DHCP dans la barre d'adresse, puis
appuyez sur la touche Entrée.
ÉTAPE 5 Dans les champs Username et Password, saisissez le nom d'utilisateur par défaut
cisco et le mot de passe cisco.
ÉTAPE 6 Cliquez sur Log In. L'Assistant Installation du point d'accès sans fil apparaît.
Pour terminer l'installation de l'appareil WAP, suivez les instructions de l'Assistant
Installation. Nous vous recommandons fortement d'utiliser cet assistant lors de la
première installation. Pour plus d'informations, reportez-vous à Utilisation de
l'assistant d'installation de point d'accès.
Déconnexion
Par défaut, l'utilitaire de configuration se déconnecte au bout de 10 minutes
d'inactivité. Consultez la section Service HTTP/HTTPS pour obtenir des
instructions sur la modification du délai d'expiration par défaut.
Pour vous déconnecter, cliquez sur Logout en haut à droite de l'utilitaire de
connexion.
Utilisation de l'assistant d'installation de point d'accès
La première fois que vous vous connectez au périphérique WAP (ou après une
réinitialisation aux paramètres d'usine par défaut), l'assistant d'installation de point
d'accès apparaît afin de vous aider à effectuer les configurations initiales.
REMARQUE Si vous cliquez sur Cancel pour ignorer l'assistant, la page Change Password
apparaît. Vous pouvez ensuite modifier le mot de passe par défaut pour vous
connecter (pour plus d'informations, reportez-vous à Modification du mot de
passe par défaut). Les configurations d'usine par défaut s'appliquent à tous les
autres paramètres.
Guide d'administration pour Cisco WAP131 et WAP351
11
Mise en route
Utilisation de l'assistant d'installation de point d'accès
1
Configuration de l'Assistant d'installation de Cisco WAP131
Suivez ces étapes jusqu'à la fin de l'assistant (vous devrez vous reconnecter après
avoir modifié votre mot de passe) :
ÉTAPE 1 Cliquez sur Next dans la page d'accueil de l'assistant. La fenêtre Configure
Device - IP Address apparaît.
ÉTAPE 2 Cliquez sur Dynamic IP Address (DHCP) pour qu'une adresse IP soit
automatiquement attribuée par un serveur DHCP au périphérique WAP, ou sur
Static IP Address pour configurer l'adresse IP manuellement. Pour obtenir une
description de ces champs, reportez-vous à Paramètres IPv4.
ÉTAPE 3 Cliquez sur Next. La fenêtre Configure Device - Set System Date and Time
apparaît.
ÉTAPE 4 Sélectionnez votre fuseau horaire, puis réglez l'heure système manuellement ou
configurez le périphérique WAP de telle sorte qu'il obtienne l'heure à partir d'un
serveur NTP. Pour obtenir une description de ces options, reportez-vous à
Paramètres d'heure.
ÉTAPE 5 Cliquez sur Next. La fenêtre Configure Device - Set Password apparaît.
ÉTAPE 6 Saisissez un nouveau mot de passe dans le champ New Password et saisissez-le
une nouvelle fois dans le champ Confirm Password.
REMARQUE Décochez la case Password Complexity si vous souhaitez désactiver
les règles de sécurité des mots de passe. Nous vous recommandons toutefois
fortement de conserver les règles de sécurité de mot de passe activées. Pour
obtenir plus d'informations sur les mots de passe, reportez-vous à Complexité des
mots de passe.
ÉTAPE 7 Cliquez sur Next. La fenêtre Configure Radio 1 - Name Your Wireless Network
apparaît.
ÉTAPE 8 Saisissez un nom de réseau dans le champ Network Name. Ce nom fait office de
SSID pour le réseau sans fil par défaut.
ÉTAPE 9 Cliquez sur Next. La fenêtre Configure Radio 1 - Secure Your Wireless Network
apparaît.
ÉTAPE 10 Choisissez un type de cryptage de sécurité et saisissez une clé de sécurité. Pour
obtenir une description de ces options, reportez-vous à Définition des
paramètres de sécurité.
ÉTAPE 11 Cliquez sur Next. La fenêtre Configure Radio 1 - Assign The VLAN ID For Your
Wireless Network apparaît.
Guide d'administration pour Cisco WAP131 et WAP351
12
Mise en route
Utilisation de l'assistant d'installation de point d'accès
1
ÉTAPE 12 Saisissez une valeur dans le champ VLAN ID pour le trafic reçu sur le réseau sans
fil.
Nous vous recommandons d'affecter un ID de VLAN différent de celui par défaut
(1) au trafic sans fil, afin de le séparer du trafic de gestion sur le VLAN 1.
ÉTAPE 13 Cliquez sur Next. Répétez les étapes 7 à 12 pour configurer les paramètres de
l'interface Radio 2.
ÉTAPE 14 Cliquez sur Next. La fenêtre Summary - Confirm Your Settings apparaît.
ÉTAPE 15 Vérifiez les paramètres que vous avez configurés. Cliquez sur Back pour
reconfigurer un ou plusieurs paramètres. Si vous cliquez sur Cancel, tous les
paramètres sont rétablis aux valeurs précédentes ou par défaut.
ÉTAPE 16 S'ils sont corrects, cliquez sur Submit. Vos paramètres de configuration WAP sont
enregistrés et une fenêtre de confirmation apparaît.
ÉTAPE 17 Cliquez sur Finish.
La configuration du périphérique WAP est terminée. Vous devez vous reconnecter
avec le nouveau mot de passe.
Configuration de l'Assistant d'installation de Cisco WAP351
Suivez ces étapes jusqu'à la fin de l'assistant (vous devrez vous reconnecter après
avoir modifié votre mot de passe) :
ÉTAPE 1 Cliquez sur Next dans la page d'accueil de l'assistant. La fenêtre Configure
Device - IP Address apparaît.
ÉTAPE 2 Cliquez sur Dynamic IP Address (DHCP) pour qu'une adresse IP soit
automatiquement attribuée par un serveur DHCP au périphérique WAP, ou sur
Static IP Address pour configurer l'adresse IP manuellement. Pour obtenir une
description de ces champs, reportez-vous à Paramètres IPv4.
ÉTAPE 3 Cliquez sur Next. La fenêtre Single Point Setup - Set a Cluster apparaît. Pour
obtenir une description de la configuration de point unique, reportez-vous à
Configuration de point unique.
ÉTAPE 4 Pour créer une nouvelle configuration de point unique du périphérique WAP,
sélectionnez Create a New Cluster et saisissez un nom dans le champ New
Cluster Name. Si vous configurez vos périphériques avec le même nom de cluster
et que vous activez le mode de configuration de point unique sur d'autres
périphériques WAP, ils rejoignent automatiquement le groupe.
Guide d'administration pour Cisco WAP131 et WAP351
13
Mise en route
Utilisation de l'assistant d'installation de point d'accès
1
Si votre réseau possède déjà un cluster, vous pouvez lui ajouter ce périphérique
en cliquant sur Join an Existing Cluster, puis en saisissant le nom du cluster
existant dans le champ Existing Cluster Name.
Si vous ne voulez pas que ce périphérique participe à la configuration de point
unique pour le moment, cliquez sur Do not Enable Single Point Setup.
(Facultatif) Vous pouvez entrer l'emplacement dans le champ AP Location pour
noter l'emplacement physique du périphérique WAP.
ÉTAPE 5 Cliquez sur Next. La fenêtre Configure Device - Set System Date and Time
apparaît.
ÉTAPE 6 Sélectionnez votre fuseau horaire, puis réglez l'heure système manuellement ou
configurez le périphérique WAP de telle sorte qu'il obtienne l'heure à partir d'un
serveur NTP. Pour obtenir une description de ces options, reportez-vous à
Paramètres d'heure.
ÉTAPE 7 Cliquez sur Next. La fenêtre Configure Device - Set Password apparaît.
ÉTAPE 8 Saisissez un mot de passe dans le champ New Password et confirmez-le dans le
champ Confirm Password.
REMARQUE Décochez la case Password Complexity pour désactiver les règles
de sécurité des mots de passe. Nous vous recommandons toutefois fortement de
conserver les règles de sécurité de mot de passe activées. Pour obtenir plus
d'informations sur les mots de passe, reportez-vous à Complexité des mots de
passe.
ÉTAPE 9 Cliquez sur Next. La fenêtre Configure Radio 1 - Name Your Wireless Network
apparaît.
ÉTAPE 10 Saisissez un nom de réseau dans le champ Network Name. Ce nom fait office de
SSID pour le réseau sans fil par défaut.
ÉTAPE 11 Cliquez sur Next. La fenêtre Configure Radio 1 - Secure Your Wireless Network
apparaît.
ÉTAPE 12 Choisissez un type de cryptage de sécurité et saisissez une clé de sécurité. Pour
obtenir une description de ces options, reportez-vous à Définition des
paramètres de sécurité.
ÉTAPE 13 Cliquez sur Next. La fenêtre Configure Radio 1 - Assign The VLAN ID For Your
Wireless Network apparaît.
ÉTAPE 14 Choisissez une valeur dans le champ VLAN ID pour le trafic reçu sur le réseau
sans fil.
Guide d'administration pour Cisco WAP131 et WAP351
14
Mise en route
Utilisation de l'assistant d'installation de point d'accès
1
Nous vous recommandons d'affecter un ID de VLAN différent de celui par défaut
(1) au trafic sans fil, afin de le séparer du trafic de gestion sur le VLAN 1.
ÉTAPE 15 Cliquez sur Next. Répétez les étapes 9 à 14 pour configurer les paramètres de
l'interface Radio 2.
ÉTAPE 16 Cliquez sur Next. La fenêtre Enable Captive Portal - Create Your Guest Network
apparaît.
ÉTAPE 17 Sélectionnez si vous voulez configurer ou non une méthode d'authentification pour
les invités sur votre réseau, puis cliquez sur Next.
Si vous cliquez sur No, passez à l'Étape 25.
Si vous cliquez sur Yes, la fenêtre Enable Captive Portal - Name Your Guest
Network apparaît.
ÉTAPE 18 Saisissez un nom dans le champ Guest Network Name.
ÉTAPE 19 Cliquez sur Next. La fenêtre Enable Captive Portal - Secure Your Guest Network
apparaît.
ÉTAPE 20 Choisissez un type de cryptage de sécurité pour le réseau invité et saisissez une
clé de sécurité. Pour obtenir une description de ces options, reportez-vous à
Définition des paramètres de sécurité.
ÉTAPE 21 Cliquez sur Next. La fenêtre Enable Captive Portal - Assign the VLAN ID apparaît.
ÉTAPE 22 Spécifiez un ID de VLAN pour le réseau invité. L'ID de VLAN du réseau invité doit
être différent de l'ID de VLAN de gestion.
ÉTAPE 23 Cliquez sur Next. La fenêtre Enable Captive Portal - Enable Redirect URL apparaît.
ÉTAPE 24 Sélectionnez Enable Redirect URL et spécifiez un nom de domaine complet ou
une adresse IP dans le champ Redirect URL (y compris http://). Si l'option est
activée, les utilisateurs du réseau invité sont redirigés vers l'URL spécifiée après
leur authentification.
ÉTAPE 25 Cliquez sur Next. La fenêtre Summary - Confirm Your Settings apparaît.
ÉTAPE 26 Vérifiez les paramètres que vous avez définis. Cliquez sur Back pour reconfigurer
un ou plusieurs paramètres. Si vous cliquez sur Cancel, tous les paramètres sont
rétablis aux valeurs précédentes ou par défaut.
ÉTAPE 27 S'ils sont corrects, cliquez sur Submit. Vos paramètres de configuration sont
enregistrés et une fenêtre de confirmation apparaît.
ÉTAPE 28 Cliquez sur Finish.
Guide d'administration pour Cisco WAP131 et WAP351
15
Mise en route
Modification du mot de passe par défaut
1
La configuration du périphérique WAP est terminée. Vous devez vous reconnecter
avec le nouveau mot de passe.
Modification du mot de passe par défaut
Pour des raisons de sécurité, vous êtes invité à changer le mot de passe
d'administration par défaut dès votre première connexion. Si vous cliquez sur
Cancel pour ignorer l'assistant, la page Change Password apparaît. Vous pouvez
ensuite changer le mot de passe à utiliser pour la connexion.
La complexité des mots de passe est activée par défaut. Les exigences en termes
de complexité minimale du mot de passe sont affichées sur la page Change
Password. Le nouveau mot de passe doit respecter les règles de complexité par
défaut. Il peut également être temporairement désactivé en désélectionnant
l'option Password Complexity. Pour plus d'informations, reportez-vous à
Complexité des mots de passe.
Pour modifier le mot de passe d'administration par défaut :
ÉTAPE 1 Renseignez les champs suivants pour définir un nouveau mot de passe :
•
Old Password : saisissez le mot de passe actuel (par défaut cisco).
•
New Password : saisissez un nouveau mot de passe.
•
Confirm Password : saisissez à nouveau le mot de passe pour le confirmer.
•
Password Strength Meter : affiche le niveau de sécurité du nouveau mot de
passe.
•
Password Complexity : cette option, activée par défaut, vous oblige à
respecter les paramètres par défaut suivants :
-
Le mot de passe doit être différent du nom d'utilisateur actuel.
-
Le mot de passe doit être différent du mot de passe actuel.
-
Le mot de passe doit contenir au moins huit caractères.
-
Le mot de passe doit contenir des caractères appartenant au moins à
trois classes de caractères (caractères majuscules, minuscules,
numériques et spéciaux disponibles sur un clavier standard).
Guide d'administration pour Cisco WAP131 et WAP351
16
1
Mise en route
Configuration du démarrage rapide
REMARQUE Cochez la case Disable en regard de l'option Password Complexity
pour désactiver les règles de complexité de mot de passe. Nous vous
recommandons toutefois fortement de conserver les règles de sécurité de mot de
passe activées.
ÉTAPE 2 Cliquez sur Save.
La fenêtre Getting Started apparaît. Vous pouvez désormais configurer le
périphérique WAP.
Configuration du démarrage rapide
Afin de simplifier la configuration du périphérique grâce à une navigation rapide, la
page Getting Started offre des liens permettant d'effectuer des tâches courantes.
La page Getting Started est la fenêtre par défaut qui apparaît chaque fois que
vous vous connectez à l'utilitaire de configuration.
Catégorie
Nom du lien (sur la page)
Page correspondante
Configuration
initiale
Exécuter l'assistant
d'installation
Utilisation de l'assistant
d'installation de point
d'accès
Configurer les paramètres de
radio
Radio
Configurer les paramètres de
réseau sans fil
Réseaux
Configurer les paramètres
LAN
Réseau local
Configurer les paramètres de
port
Paramètres des ports
Configurer un point unique
(pour WAP351 uniquement)
Configuration de point
unique
Guide d'administration pour Cisco WAP131 et WAP351
17
1
Mise en route
Navigation dans les fenêtres
Catégorie
Nom du lien (sur la page)
Page correspondante
Accès rapide
Modifier le mot de passe du
compte
Comptes d'utilisateur
Mettre à niveau le
micrologiciel du périphérique
Gestion du
microprogramme
Sauvegarder/Restaurer la
configuration
Gestion du fichier de
configuration
Récapitulatif du système
Récapitulatif du système
État du réseau sans fil
Interfaces réseau
État du
périphérique
La page Getting Started comporte trois liens qui vous redirigent vers des pages
Web spécifiques sur lesquelles vous trouverez des informations supplémentaires.
Vous pouvez :
•
Cliquer sur le lien Support pour accéder à la page du support produit.
•
Cliquer sur le lien Forums pour accéder au site de la communauté
d'assistance Cisco.
•
Cliquer sur le lien Wireless Planning Tool pour accéder à la page
AirMagnet Planner.
Navigation dans les fenêtres
Cette section décrit les fonctionnalités de l'utilitaire de configuration.
En-tête de l'utilitaire de configuration
L'en-tête de l'utilitaire de configuration contient des informations standard et
apparaît en haut de chaque page. Il comporte les boutons suivants :
Nom du bouton
Description
(Utilisateur)
Nom du compte (Administrateur ou Invité) de
l'utilisateur connecté au périphérique WAP. Le nom
d'utilisateur par défaut est cisco.
Log Out
Cliquez sur ce bouton pour vous déconnecter de
l'utilitaire de configuration.
Guide d'administration pour Cisco WAP131 et WAP351
18
1
Mise en route
Navigation dans les fenêtres
Nom du bouton
Description
About
Cliquez sur ce bouton pour afficher le type du
périphérique WAP ainsi que son numéro de version.
Help
Cliquez sur ce bouton pour afficher l'aide en ligne.
L'aide en ligne est conçue pour être affichée à l'aide de
navigateurs utilisant le codage UTF-8. Si l'aide en ligne
affiche des caractères errants, vérifiez que les
paramètres de codage de votre navigateur sont définis
à UTF-8.
Volet de navigation / Menu principal
Un volet de navigation, ou menu principal, est présent sur le côté gauche de
chaque page. Le volet de navigation contient la liste des fonctionnalités de niveau
supérieur du périphérique WAP. Si un élément du menu principal est précédé
d'une flèche, choisissez de développer et d'afficher le sous-menu de chaque
groupe. Vous pouvez ensuite sélectionner l'élément de sous-menu souhaité pour
ouvrir la page associée.
Boutons de gestion
Le tableau suivant décrit les boutons couramment utilisés qui s'affichent sur
différentes pages du système.
Nom du bouton
Description
Add
Ajoute une nouvelle entrée à la table ou à la base de données.
Cancel
Annule les modifications apportées à la page.
Clear All
Efface toutes les entrées dans la table du journal.
Delete
Supprime une entrée dans une table. Sélectionnez tout
d'abord une entrée.
Edit
Édite ou modifie une entrée existante. Sélectionnez tout
d'abord une entrée.
Refresh
Affiche à nouveau la page en cours avec les dernières
données.
Guide d'administration pour Cisco WAP131 et WAP351
19
1
Mise en route
Navigation dans les fenêtres
Nom du bouton
Description
Save
Enregistre les paramètres ou la configuration.
Update
Met à jour la configuration initiale avec les nouvelles
informations.
Guide d'administration pour Cisco WAP131 et WAP351
20
2
État et statistiques
Ce chapitre explique comment afficher l'état et les statistiques du périphérique
WAP. Il contient les sections suivantes :
•
Récapitulatif du système
•
Interfaces réseau
•
Statistiques sur le trafic
•
Transmission/Réception de pont de groupe de travail
•
Clients associés
•
Statistiques sur la radio
•
État des alertes par e-mail
•
Afficher le journal
•
Associations de client TSPEC
•
État et statistiques TSPEC
•
Statistiques de point d'accès TSPEC
Récapitulatif du système
La page System Summary affiche des informations de base, telles que la
description du modèle du matériel, la version du logiciel et le temps qui s'est
écoulé depuis le dernier redémarrage.
Pour afficher les informations système, sélectionnez Status and Statistics >
System Summary, ou cliquez sur System Summary sous Device Status sur la
page Getting Started.
Guide d'administration pour Cisco WAP131 et WAP351
21
2
État et statistiques
Récapitulatif du système
Les informations suivantes sont indiquées :
•
PID VID : modèle et version du périphérique WAP.
•
Serial Number : numéro de série du périphérique WAP.
•
Base MAC Address : adresse MAC du périphérique WAP.
•
Host Name : nom affecté au périphérique WAP.
•
Power Source : le système peut être alimenté par un adaptateur secteur, ou
par la technologie PoE (Power-over-Ethernet) à partir d'un appareil PSE
(Power Sourcing Equipment).
•
PSE Status (WAP351 uniquement)
-
Overload : indique qu'un appareil alimenté (PD, Powered Device)
connecté nécessite plus de puissance de la part du périphérique WAP
que l'allocation configurée ne le permet à un moment quelconque au
cours de la connexion.
-
Down : absence de connecteur d'appareil alimenté ou présence d'un
dysfonctionnement.
-
Up : indique que le PSE fonctionne normalement en mode 802.3af.
•
PSE Power Consumption (WAP351 uniquement) : puissance allouée à
l'appareil alimenté connecté.
•
Firmware Version (Active Image) : numéro de version du microprogramme
de l'image active.
•
Firmware MD5 Checksum (Active Image) : somme de contrôle de l'image
active.
•
Firmware Version (Non active) : numéro de version du microprogramme de
l'image de sauvegarde.
•
Firmware MD5 Checksum (Non active) : somme de contrôle de l'image de
sauvegarde.
•
System Uptime : temps qui s'est écoulé depuis le dernier redémarrage.
•
System Time : heure système actuelle.
Le tableau des services TCP/UDP affiche des informations de base sur les
protocoles et les services fonctionnant sur le périphérique WAP, notamment :
•
Service : nom du service, si ce dernier est disponible.
Guide d'administration pour Cisco WAP131 et WAP351
22
2
État et statistiques
Interfaces réseau
•
Protocol : protocole de transport sous-jacent utilisé par le service (TCP ou
UDP).
•
Local IP Address : adresse IP, le cas échéant, d'un périphérique distant
connecté à ce service sur le périphérique WAP. La valeur All indique que
toutes les adresses IP sur le périphérique peuvent utiliser ce service.
•
Local Port : numéro de port du service.
•
Remote IP Address : adresse IP d'un hôte distant, le cas échéant, qui utilise
ce service. La valeur All indique que le service est disponible pour
l'ensemble des hôtes distants qui accèdent au système.
•
Remote Port : numéro de port de tout périphérique distant qui communique
avec ce service.
•
Connection State : état du service. Pour les services UDP, seules les
connexions actives s'affichent dans la table. Lorsque l'état d'une connexion
est défini sur Actif, une connexion est établie entre le périphérique WAP et
un client ou un serveur. Les états TCP suivants sont disponibles :
-
Listening : le service est à l'écoute des demandes de connexion.
-
Active : une session de connexion est établie et les paquets sont
transmis et reçus.
-
Established : une session de connexion est établie entre le périphérique
WAP et un serveur ou un client, selon le rôle de chaque périphérique par
rapport à ce protocole.
-
Time Wait : la séquence de fermeture a été initiée et le périphérique
WAP attend l'expiration d'un délai défini par le système (généralement
60 secondes) avant de fermer la connexion.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Interfaces réseau
La page Network Interfaces affiche les informations de configuration et d'état
concernant les interfaces filaires et sans fil.
Pour afficher les informations sur les interfaces réseau, sélectionnez Status and
Statistics > Network Interfaces.
Guide d'administration pour Cisco WAP131 et WAP351
23
2
État et statistiques
Interfaces réseau
Les informations suivantes sont indiquées :
•
LAN Status : affiche des informations concernant l'interface LAN,
notamment :
-
MAC Address : adresse MAC du périphérique WAP.
-
Adresse IP : adresse IP du périphérique WAP.
-
Subnet Mask : masque de sous-réseau du périphérique WAP.
-
Default Gateway : passerelle par défaut du périphérique WAP.
-
Domain Name Server-1 : adresse IP du serveur de noms de domaine1
utilisé par le périphérique WAP.
-
Domain Name Server-2 : adresse IP du serveur de noms de domaine 2
utilisé par le périphérique WAP.
-
IPv6 Address : adresse IPv6 du périphérique WAP.
-
IPv6 Autoconfigured Global Address : adresse IPv6 globale
configurée automatiquement.
-
IPv6 Link Local Address : adresse IPv6 de liaison locale du
périphérique WAP.
-
Default IPv6 Gateway : passerelle IPv6 par défaut du périphérique
WAP.
-
IPv6-DNS-1 : adresse IPv6 du serveur DNS IPv6 1 utilisé par le
périphérique WAP.
-
IPv6-DNS-2 : adresse IPv6 du serveur DNS IPv6 2 utilisé par le
périphérique WAP.
-
Green Ethernet Mode (WAP131 uniquement) : le mode Green Ethernet
est activé ou désactivé sur le périphérique WAP.
-
VLAN ID (WAP131 uniquement) : ID de VLAN du périphérique WAP.
Ces paramètres s'appliquent à l'interface interne. Pour modifier l'un de ces
paramètres, cliquez sur le lien Edit. Vous êtes redirigé sur la page
Paramètres IPv4.
•
Port Status (WAP351 uniquement) : affiche l'état des cinq interfaces (LAN1
à LAN5).
-
Interface : numéro de l'interface Ethernet.
-
Port Status : état de l'interface Ethernet.
Guide d'administration pour Cisco WAP131 et WAP351
24
2
État et statistiques
Interfaces réseau
-
Port Speed : débit de l'interface Ethernet.
-
Duplex Mode : mode duplex de l'interface Ethernet.
Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes
redirigé sur la page Paramètres des ports.
•
VLAN Status (WAP351 uniquement) : affiche des informations sur tous les
VLAN existants, notamment :
-
VLAN ID : identifiant du VLAN.
-
Description : description du VLAN.
-
LAN1-LAN5 : état des interfaces Ethernet du VLAN.
Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes
redirigé sur la page Configuration VLAN.
•
Radio Status : affiche des informations concernant les interfaces radio sans
fil, notamment :
-
Wireless Radio : le mode radio sans fil est activé ou désactivé pour
l'interface radio.
-
MAC Address : adresse MAC associée à l'interface radio.
-
Mode : mode 802.11 (a/b/g/n) utilisé par l'interface radio.
-
Channel : canal utilisé par l'interface radio.
-
Operational bandwidth : bande passante opérationnelle utilisée par
l'interface radio.
Pour modifier l'un de ces paramètres, cliquez sur le lien Edit. Vous êtes
redirigé sur la page Radio.
•
Interface Status : affiche les informations d'état de chaque point d'accès
virtuel (VAP, Virtual Access Point) et de chaque interface de système de
distribution sans fil (WDS, Wireless Distribution System), notamment :
-
Interface : interface sans fil du périphérique WAP.
-
Name (SSID) : nom de l'interface sans fil.
-
Status : état administratif (opérationnel ou non opérationnel) du point
d'accès virtuel.
-
MAC Address : adresse MAC de l'interface radio.
-
VLAN ID : ID de VLAN de l'interface radio.
Guide d'administration pour Cisco WAP131 et WAP351
25
2
État et statistiques
Statistiques sur le trafic
-
Profile : nom de tout profil de planificateur associé.
-
State : état actuel (actif ou inactif). L'état indique si le point d'accès virtuel
échange des données avec un client.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Statistiques sur le trafic
La page Traffic Statistics affiche les statistiques de transmission et de réception
en temps réel pour l'interface Ethernet, les points d'accès virtuels et toutes les
interfaces WDS. Toutes les statistiques de transmission et de réception reflètent
les totaux obtenus depuis le dernier démarrage du périphérique WAP. Si vous avez
redémarré le périphérique WAP, ces données chiffrées indiquent les totaux de
transmission et de réception depuis le redémarrage.
Pour afficher les statistiques de trafic, sélectionnez Status and Statistics > Traffic
Statistics.
Les informations suivantes sont indiquées :
•
Interface : nom de l'interface Ethernet, de chaque interface VAP et de
chaque interface WDS. Le nom de chaque interface VAP est suivi de son
SSID entre parenthèses.
•
Total Packets : nombre total de paquets envoyés (dans la table Transmit) ou
reçus (dans la table Received) par le périphérique WAP.
•
Total Bytes : nombre total d'octets envoyés (dans la table Transmit) ou
reçus (dans la table Received) par le périphérique WAP.
•
Total Dropped Packets : nombre total de paquets abandonnés envoyés
(dans la table Transmit) ou reçus (dans la table Received) par le
périphérique WAP.
•
Total Dropped Bytes : nombre total d'octets abandonnés envoyés (dans la
table Transmit) ou reçus (dans la table Received) par le périphérique WAP.
•
Errors : nombre total d'erreurs liées à l'envoi et à la réception de données
sur le périphérique WAP.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration pour Cisco WAP131 et WAP351
26
État et statistiques
Transmission/Réception de pont de groupe de travail
2
Transmission/Réception de pont de groupe de travail
La page WorkGroup Bridge Transmit/Receive affiche le nombre de paquets et
d'octets du trafic entre postes sur un pont de groupe de travail. Reportez-vous à la
section WorkGroup Bridge pour en savoir plus sur la configuration des ponts de
groupe de travail.
Pour afficher la page WorkGroup Bridge Transmit/Receive, sélectionnez Status
and Statistics > WorkGroup Bridge Transmit/Receive.
Le tableau Traffic Statistics affiche des informations sur chaque interface réseau
configurée en tant qu'interface de pont de groupe de travail, notamment :
•
Interface : nom de l'interface Ethernet ou VAP.
•
Status and Statistics : indique si l'interface est déconnectée ou si son état
administratif est démarré ou arrêté.
•
VLAN ID : ID de réseau local virtuel (VLAN). Vous pouvez utiliser des VLAN
pour créer plusieurs réseaux internes et invités sur le même périphérique
WAP.
•
Name (SSID) : nom du réseau sans fil, également appelé SSID. Cette clé
alphanumérique identifie de façon unique un réseau local sans fil.
Les tables Transmit et Receive affichent des informations concernant les
directions de transmission et de réception de chaque pont de groupe de travail,
notamment :
•
Total Packets : nombre total de paquets pontés entre les clients filaires
dans le pont de groupe de travail et le réseau sans fil.
•
Total Bytes : nombre total d'octets pontés entre les clients filaires dans le
pont de groupe de travail et le réseau sans fil.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration pour Cisco WAP131 et WAP351
27
2
État et statistiques
Clients associés
Clients associés
La page Associated Clients affiche les stations clientes associées à un point
d'accès donné.
Pour afficher des informations sur tous les clients associés, sélectionnez Status
and Statistics > Associated Clients.
Les stations associées sont affichées avec des informations concernant le trafic
des paquets transmis et reçus pour chaque station, notamment :
•
Total Number of Associated Clients : nombre total de clients actuellement
associés au périphérique WAP.
•
Network Interface : point d'accès virtuel auquel le client est associé.
•
Station : adresse MAC du client sans fil associé.
•
Status : état d'association et d'authentification IEEE 802.11 sous-jacent qui
est présent quel que soit le type de sécurité utilisé par le client pour se
connecter au périphérique WAP. Cet état n'affiche pas l'état
d'authentification ou d'association IEEE 802.1X.
Quelques points importants sont à garder à l'esprit en ce qui concerne ce
champ :
•
-
Si le mode de sécurité du périphérique WAP est None ou Static WEP,
l'état d'authentification et d'association des clients apparaît comme
prévu, ce qui signifie que si un client s'affiche comme étant authentifié
sur le périphérique WAP, il est capable de transmettre et de recevoir des
données. (La raison en est que le mode Static WEP utilise uniquement
l'authentification IEEE 802.11.)
-
Si le périphérique WAP utilise la sécurité IEEE 802.1X ou WPA, il se peut
qu'une association de client apparaisse comme étant authentifiée (par le
biais de la sécurité IEEE 802.11), bien qu'elle ne soit pas réellement
authentifiée par la deuxième couche de sécurité.
From Station/To Station : les compteurs figurant dans la colonne From
Station indiquent les paquets ou octets reçus par le client sans fil. Les
compteurs de la colonne To Station indiquent le nombre de paquets et
d'octets transmis du périphérique WAP vers le client sans fil.
-
Packets : nombre de paquets reçus (transmis) à partir du client sans fil.
-
Bytes : nombre d'octets reçus (transmis) à partir du client sans fil.
Guide d'administration pour Cisco WAP131 et WAP351
28
2
État et statistiques
Statistiques sur la radio
•
-
Drop Packets : nombre de paquets abandonnés après leur réception
(transmission).
-
Drop Bytes : nombre d'octets abandonnés après leur réception
(transmission).
-
TS Violate Packets (From Station) : nombre de paquets envoyés à
partir d'une station cliente vers le périphérique WAP au-delà de sa
bande passante de liaison montante active de flux de trafic ou pour une
catégorie d'accès nécessitant un contrôle d'admission auquel la station
cliente n'a pas été admise.
-
TS Violate Packets (To Station) : nombre de paquets envoyés à partir
du périphérique WAP vers une station cliente au-delà de sa bande
passante de liaison descendante active de flux de trafic ou pour une
catégorie d'accès nécessitant un contrôle d'admission auquel la station
cliente n'a pas été admise.
Up Time (DD:HH:MM) : laps de temps pendant lequel le client a été
associé au périphérique WAP.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Statistiques sur la radio
La page Radio Statistics affiche les statistiques au niveau des paquets et des
octets pour l'interface radio sans fil.
Pour afficher les statistiques radio, sélectionnez Status and Statistics > Radio
Statistics.
Les informations suivantes sont indiquées :
•
Packets Received : nombre total de paquets reçus par l'interface radio
sélectionnée.
•
Packets Transmitted : nombre total de paquets transmis par l'interface
radio sélectionnée.
•
Bytes Received : nombre total d'octets reçus par l'interface radio
sélectionnée.
•
Bytes Transmitted : nombre total d'octets transmis par l'interface radio
sélectionnée.
Guide d'administration pour Cisco WAP131 et WAP351
29
2
État et statistiques
Statistiques sur la radio
•
Packets Receive Dropped : nombre de paquets reçus par l'interface radio
sélectionnée qui ont été abandonnés.
•
Packets Transmit Dropped : nombre de paquets transmis par l'interface
radio sélectionnée qui ont été abandonnés.
•
Bytes Receive Dropped : nombre d'octets reçus par l'interface radio
sélectionnée qui ont été abandonnés.
•
Bytes Transmit Dropped : nombre d'octets transmis par l'interface radio
sélectionnée qui ont été abandonnés.
•
Fragments Received : nombre de trames fragmentées reçues par
l'interface radio sélectionnée.
•
Fragments Transmitted : nombre de trames fragmentées envoyées par
l'interface radio sélectionnée.
•
Multicast Frames Received : nombre de trames MSDU reçues avec le bit
de multidiffusion défini dans l'adresse MAC de destination.
•
Multicast Frames Transmitted : nombre de trames MSDU transmises avec
succès pour lesquelles le bit de multidiffusion était défini dans l'adresse
MAC de destination.
•
Duplicate Frame Count : nombre de fois qu'une trame a été reçue et que le
champ Sequence Control indique qu'il s'agit d'un doublon.
•
Failed Transmit Count : nombre de fois qu'une trame MSDU n'a pas été
transmise avec succès, car le nombre de tentatives de transmission
dépassait la limite de tentatives trames courtes ou la limite de tentatives
trames longues.
•
FCS Error Count : nombre d'erreurs FCS détectées dans une trame MPDU
reçue.
•
Transmit Retry Count : nombre de fois qu'une trame MSDU a été transmise
avec succès après une ou plusieurs tentatives.
•
ACK Failure Count : nombre de trames ACK non reçues au moment où elles
étaient attendues.
•
RTS Failure Count : nombre de trames CTS non reçues en réponse à une
trame RTS.
Guide d'administration pour Cisco WAP131 et WAP351
30
2
État et statistiques
État des alertes par e-mail
•
WEP Undecryptable Count : nombre de trames abandonnées, car elles ne
peuvent pas être décryptées par la radio. Les trames peuvent être
abandonnées parce qu'elles n'ont pas été décryptées ou parce qu'elles ont
été décryptées avec une option de confidentialité non prise en charge par
le périphérique WAP.
•
RTS Success Count : nombre de trames CTS reçues en réponse à une
trame RTS.
•
Multiple Retry Count : nombre de fois qu'une trame MSDU a été transmise
avec succès après plus d'une tentative.
•
Frames Transmitted Count : nombre de trames MSDU transmises avec
succès.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
État des alertes par e-mail
La page Email Alert Status fournit des informations sur les alertes envoyées par
e-mail sur la base des messages SYSLOG générés sur le périphérique WAP.
Pour afficher l'état des alertes par e-mail, sélectionnez Status and Statistics >
Email Alert Status.
Les informations suivantes sont indiquées :
•
Email Alert Status : indique si la fonction d'alerte par e-mail est activée ou
désactivée sur le périphérique WAP. La valeur par défaut est Disabled.
•
Number of Emails Sent : nombre total de messages électroniques
envoyés. La valeur est un entier de 32 bits, non affecté d'un signe. La valeur
par défaut est 0.
•
Number of Emails Failed : nombre total de messages électroniques ayant
échoué. La valeur est un entier de 32 bits, non affecté d'un signe. La valeur
par défaut est 0.
•
Time Last Email Sent : jour, date et heure d'envoi du dernier message
électronique.
Guide d'administration pour Cisco WAP131 et WAP351
31
2
État et statistiques
Afficher le journal
Afficher le journal
La page View Log répertorie les événements système ayant généré des entrées
de journal, comme les tentatives de connexion et les modifications apportées à la
configuration. Le contenu du journal est effacé lors d'un redémarrage et il peut
également l'être par un administrateur. Le journal peut afficher un maximum de 1000
événements. Lorsque cela s'avère nécessaire, les entrées les plus anciennes sont
supprimées de la liste, afin de créer de la place pour les nouveaux événements.
Pour consulter les journaux, sélectionnez Status and Statistics > View Log.
Les informations suivantes sont indiquées :
•
Time Stamp : heure système de l'occurrence de l'événement.
•
Severity : niveau de gravité de l'événement.
•
Service : application associée à l'événement.
•
Description : description de l'événement.
Vous pouvez filtrer le journal actuel par niveau de gravité et au moyen de mots clés.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
Cliquez sur Clear All pour effacer toutes les entrées du journal.
Associations de client TSPEC
La page TSPEC Client Associations affiche des informations en temps réel sur les
données de client TSPEC transmises et reçues par le périphérique WAP. Les tableaux
de la page TSPEC Client Associations indiquent les paquets voix et vidéo transmis et
reçus depuis le démarrage de l'association, ainsi que des informations d'état.
TSPEC est une spécification de trafic envoyée à partir d'un client sans fil
compatible QoS vers un périphérique WAP nécessitant un certain niveau d'accès
réseau pour le flux de trafic qu'il représente. Un flux de trafic est un ensemble de
paquets de données identifiés par le client sans fil comme appartenant à une
priorité d'utilisateur spécifique. Exemple de flux de trafic voix : combiné
téléphonique CERTIFIÉ Wi-Fi marquant ses paquets de données générés par
codec en tant que trafic de priorité voix. Exemple de flux de trafic vidéo :
application de lecteur vidéo sur un ordinateur portable sans fil donnant la priorité à
un flux de vidéoconférence à partir d'un serveur d'entreprise.
Guide d'administration pour Cisco WAP131 et WAP351
32
2
État et statistiques
Associations de client TSPEC
Pour afficher les statistiques des associations de clients TSPEC, sélectionnez
Status and Statistics > TSPEC Client Associations.
Le tableau Status and Statistics contient les informations suivantes :
•
Network Interface : interface radio utilisée par le client.
•
SSID : identificateur SSID associé à ce client de flux de trafic.
•
Station : adresse MAC de station du client.
•
TS Identifier : identificateur de session de trafic TSPEC (plage de 0 à 7).
•
Access Category : catégorie d'accès au flux de trafic (voix ou vidéo).
•
Direction : direction du trafic pour ce flux de trafic. Les options possibles
pour la direction sont les suivantes :
•
-
uplink : du client vers le périphérique (liaison montante).
-
downlink : du périphérique vers le client (liaison descendante).
-
bidirectional : dans les deux sens (liaison bidirectionnelle).
User Priority : priorité d'utilisateur (UP, User Priority) pour ce flux de trafic.
La priorité d'utilisateur est envoyée avec chaque paquet dans la partie
correspondante de l'en-tête IP. Les valeurs typiques sont les suivantes :
-
6 ou 7 pour la voix
-
4 ou 5 pour la vidéo
La valeur peut varier en fonction des autres sessions de trafic de priorité.
•
Medium Time : temps pendant lequel le flux de trafic occupe le support de
transmission.
•
Excess Usage Events : nombre de fois que le client a dépassé le temps
moyen établi pour son TSPEC. Les violations mineures et peu fréquentes
sont ignorées.
•
VAP MAC Address : adresse MAC du point d'accès virtuel.
Le tableau Statistics contient les informations suivantes :
•
Network Interface : interface radio utilisée par le client.
•
Station : adresse MAC de station du client.
•
TS Identifier : identificateur de session de trafic TSPEC (plage de 0 à 7).
Guide d'administration pour Cisco WAP131 et WAP351
33
2
État et statistiques
État et statistiques TSPEC
•
Access Category : catégorie d'accès au flux de trafic (voix ou vidéo).
•
Direction : direction du trafic pour ce flux de trafic. Les options possibles
pour la direction sont les suivantes :
•
•
-
uplink : du client vers le périphérique (liaison montante).
-
downlink : du périphérique vers le client (liaison descendante).
-
bidirectional : dans les deux sens (liaison bidirectionnelle).
From Station : affiche le nombre de paquets et d'octets reçus du client sans
fil ainsi que le nombre de paquets et d'octets abandonnés après leur
réception.
-
Packets : nombre de paquets excédentaires par rapport à un TSPEC
admis.
-
Bytes : nombre d'octets pour lesquels aucun TSPEC n'a été établi et
avec une admission requise par le périphérique WAP.
To Station : affiche le nombre de paquets et d'octets transmis à partir du
périphérique WAP vers le client sans fil ainsi que le nombre de paquets et
d'octets abandonnés durant leur transmission.
-
Packets : nombre de paquets excédentaires par rapport à un TSPEC
admis.
-
Bytes : nombre d'octets pour lesquels aucun TSPEC n'a été établi et
avec une admission requise par le périphérique WAP.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
État et statistiques TSPEC
La page TSPEC Status and Statistics affiche des informations récapitulatives sur
les sessions TSPEC par radio, sur les sessions TSPEC par VAP, ainsi que les
statistiques de transmission et de réception en temps réel concernant l'interface
radio et les interfaces réseau.
Toutes les statistiques de transmission et de réception affichées sur cette page
reflètent les totaux obtenus depuis le dernier démarrage du périphérique WAP. Si
vous avez redémarré le périphérique WAP, ces données chiffrées indiquent les
totaux de transmission et de réception depuis le redémarrage.
Guide d'administration pour Cisco WAP131 et WAP351
34
2
État et statistiques
État et statistiques TSPEC
Pour afficher l'état et les statistiques TSPEC, sélectionnez Status and Statistics >
TSPEC Status and Statistics.
Les informations suivantes sur les interfaces (radio) WLAN et VAP sont affichées :
•
Interface : nom de l'interface radio ou VAP.
•
Access Category : catégorie d'accès actuelle associée à ce flux de trafic
(voix ou vidéo).
•
Status : indique si la session TSPEC est activée (démarrée) ou désactivée
(arrêtée) pour la catégorie d'accès correspondante.
REMARQUE Il s'agit d'un état de configuration qui ne représente pas
nécessairement l'activité de la session en cours.
•
Active Traffic Stream : nombre de flux de trafic TSPEC actuellement actifs
pour cette radio et cette catégorie d'accès.
•
Traffic Stream Clients : nombre de clients de flux de trafic associés à cette
radio et à cette catégorie d'accès.
•
Medium Time Admitted : temps alloué à cette catégorie d'accès pour le
transport des données sur le support de transmission. Cette valeur doit être
inférieure ou égale à celle de la bande passante maximale autorisée sur le
support pour ce flux de trafic.
•
Medium Time Unallocated : temps de bande passante non utilisée pour
cette catégorie d'accès.
Les statistiques suivantes apparaissent séparément pour les chemins de
transmission et de réception sur l'interface radio sans fil :
•
Wireless Radio : nom de l'interface radio.
•
Access Category : catégorie d'accès associée à ce flux de trafic (voix ou
vidéo).
•
Total Packets : nombre total de paquets de flux de trafic envoyés (dans la
table Transmit) ou reçus (dans la table Received) par cette radio pour la
catégorie d'accès spécifiée.
•
Total Bytes : nombre total d'octets reçus dans la catégorie d'accès
spécifiée.
Les informations suivantes apparaissent séparément pour les chemins de
transmission et de réception sur les interfaces réseau (points d'accès virtuels) :
•
Interface : nom de l'interface VAP.
Guide d'administration pour Cisco WAP131 et WAP351
35
État et statistiques
Statistiques de point d'accès TSPEC
2
•
Total Voice Packets : nombre total de paquets voix de flux de trafic
envoyés (dans la table Transmit) ou reçus (dans la table Received) par ce
périphérique WAP pour ce point d'accès virtuel.
•
Total Voice Bytes : nombre total d'octets voix de flux de trafic envoyés
(dans la table Transmit) ou reçus (dans la table Received) par ce
périphérique WAP pour ce point d'accès virtuel.
•
Total Video Packets : nombre total de paquets vidéo de flux de trafic
envoyés (dans la table Transmit) ou reçus (dans la table Received) par ce
périphérique WAP pour ce point d'accès virtuel.
•
Total Video Bytes : nombre total d'octets vidéo de flux de trafic envoyés
(dans la table Transmit) ou reçus (dans la table Received) par ce
périphérique WAP pour ce point d'accès virtuel.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
Statistiques de point d'accès TSPEC
La page TSPEC AP Statistics affiche des informations sur les flux de trafic voix et
vidéo acceptés et rejetés par le périphérique WAP.
Pour afficher les statistiques de point d'accès TSPEC, sélectionnez Status and
Statistics > TSPEC AP Statistics.
Les informations suivantes sont indiquées :
•
TSPEC Statistics Summary for Voice ACM : nombre total de flux de trafic
voix acceptés et nombre total de flux de trafic voix rejetés.
•
TSPEC Statistics Summary for Video ACM : nombre total de flux de trafic
vidéo acceptés et nombre total de flux de trafic vidéo rejetés.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
Guide d'administration pour Cisco WAP131 et WAP351
36
3
Administration
Ce chapitre explique comment configurer les paramètres système globaux et
effectuer des diagnostics. Il contient les sections suivantes :
•
Paramètres système
•
Comptes d'utilisateur
•
Paramètres d'heure
•
Paramètres du journal
•
Alerte électronique
•
Service HTTP/HTTPS
•
Gestion du contrôle des accès
•
Gestion du microprogramme
•
Gestion du fichier de configuration
•
Redémarrage
•
Découverte - Bonjour
•
Capture de paquets
•
Informations relatives au support
•
Paramètres de STP
Guide d'administration pour Cisco WAP131 et WAP351
37
3
Administration
Paramètres système
Paramètres système
La page System Settings vous permet de configurer les informations qui
identifient le périphérique WAP sur le réseau.
Pour définir les paramètres système :
ÉTAPE 1 Cliquez sur Administration > System Settings.
ÉTAPE 2 Définissez les paramètres suivants :
•
Host Name : nom d'hôte attribué au périphérique WAP. Par défaut, il s'agit du
nom de domaine complet du nœud. Le nom d'hôte par défaut est wap
concaténé avec les 6 derniers chiffres hexadécimaux de l'adresse MAC du
périphérique WAP. Le nom d'hôte ne peut comporter que des lettres, des
chiffres et des tirets. Il ne peut pas être précédé ou suivi d'un tiret. Les autres
symboles, les signes de ponctuation et les espaces ne sont pas autorisés.
Le nom d'hôte peut comporter de 1 à 63caractères.
•
System Contact : personne à contacter pour le périphérique WAP. Le
contact système peut comporter de 0 à 255caractères et peut inclure des
espaces et des caractères spéciaux.
•
System Location : emplacement physique du périphérique WAP.
L'emplacement système peut comporter de 0 à 255 caractères et peut
inclure des espaces et des caractères spéciaux.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Comptes d'utilisateur
Par défaut, un utilisateur de gestion est configuré sur le périphérique WAP :
•
User Name : cisco
•
Password : cisco
Utilisez la page User Accounts pour configurer un maximum de quatre utilisateurs
supplémentaires et modifier le mot de passe d'un utilisateur.
Guide d'administration pour Cisco WAP131 et WAP351
38
3
Administration
Comptes d'utilisateur
Ajout d'un utilisateur
Pour ajouter un nouvel utilisateur :
ÉTAPE 1 Cliquez sur Administration > User Accounts.
La table des comptes d'utilisateur affiche les utilisateurs actuellement configurés.
L'utilisateur cisco est préconfiguré dans le système et détient des privilèges de
lecture/écriture.
Tous les autres utilisateurs peuvent disposer d'un accès en lecture seule, mais pas
d'un accès en lecture/écriture.
ÉTAPE 2 Cliquez sur Add. Une nouvelle ligne de zones de texte s'affiche.
ÉTAPE 3 Activez la case à cocher du nouvel utilisateur, puis cliquez sur Edit.
ÉTAPE 4 Dans User Name, saisissez un nom d'utilisateur constitué de 1 à 32 caractères
alphanumériques. Les noms d'utilisateur ne peuvent comporter que les chiffres 0
à 9 et les lettres a à z (en majuscules ou minuscules).
ÉTAPE 5 Dans New Password, saisissez un mot de passe comportant de 1
à 64 caractères, puis saisissez ce même mot de passe dans le champ Confirm
New Password.
Le champ Password Strength Meter indique la sécurité du mot de passe ainsi :
•
Rouge : le mot de passe ne répond pas aux exigences minimales en termes
de complexité.
•
Orange : le mot de passe répond aux exigences minimales en termes de
complexité, mais offre une faible sécurité.
•
Vert : le mot de passe offre une sécurité élevée.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer un utilisateur, cochez la case en regard de son nom, puis
sélectionnez Delete. Pour enregistrer définitivement votre suppression, cliquez sur
Save lorsque vous avez terminé.
Guide d'administration pour Cisco WAP131 et WAP351
39
3
Administration
Paramètres d'heure
Modification d'un mot de passe utilisateur
Pour modifier un mot de passe utilisateur :
ÉTAPE 1 Cliquez sur Administration > User Accounts.
ÉTAPE 2 Sélectionnez l'utilisateur à configurer et cliquez sur Edit.
ÉTAPE 3 Dans New Password, saisissez un mot de passe comportant de 1
à 64 caractères, puis saisissez ce même mot de passe dans le champ Confirm
New Password.
Le champ Password Strength Meter indique la sécurité du mot de passe ainsi :
•
Rouge : le mot de passe ne répond pas aux exigences minimales en termes
de complexité.
•
Orange : le mot de passe répond aux exigences minimales en termes de
complexité, mais offre une faible sécurité.
•
Vert : le mot de passe offre une sécurité élevée.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Si vous modifiez votre mot de passe, vous devez vous reconnecter au système.
Paramètres d'heure
Une horloge système fournit un service d'horodatage synchronisé sur le réseau
pour les événements logiciels, tels que les journaux de messages. Vous pouvez
configurer l'horloge système manuellement ou configurer le périphérique WAP en
tant que client Network Time Protocol (NTP) qui obtient les données d'horloge d'un
serveur.
Utilisez la page Time Settings pour définir l'heure système manuellement ou pour
configurer le système afin qu'il récupère ses paramètres d'heure d'un serveur NTP
préconfiguré. Par défaut, le périphérique WAP est configuré de manière à obtenir
l'heure depuis une liste prédéfinie de serveurs NTP.
L'heure système actuelle apparaît en haut de la page avec l'option System Clock
Source.
Guide d'administration pour Cisco WAP131 et WAP351
40
3
Administration
Paramètres d'heure
Acquisition automatique des paramètres d'heure via NTP
Pour acquérir automatiquement les paramètres d'heure depuis un serveur NTP :
ÉTAPE 1 Sélectionnez Administration > Time Settings.
ÉTAPE 2 Dans la zone System Clock Source, sélectionnez Network Time Protocol (NTP).
ÉTAPE 3 Définissez les paramètres suivants :
•
NTP Server/IPv4/IPv6 Address/Name : spécifiez l'adresse IPv4, l'adresse
IPv6 ou le nom d'hôte d'un serveur NTP. Un serveur NTP par défaut est
répertorié.
Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si un
nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La
série entière d'étiquettes et de points peut comporter jusqu'à 253
caractères.
•
Time Zone : sélectionnez le fuseau horaire où vous vous trouvez.
•
Adjust Time for Daylight Savings : si l'heure d'été s'applique à votre fuseau
horaire, activez cette option et configurez les champs suivants :
-
Daylight Savings Start : sélectionnez l'heure, le jour, la semaine et le mois
du passage à l'heure d'été.
-
Daylight Savings End : sélectionnez l'heure, le jour, la semaine et le mois
du passage à l'heure d'hiver.
-
Daylight Savings Offset : indiquez de combien de minutes vous devez
avancer l'horloge lors du passage à l'heure d'été et de combien vous
devez la reculer lors du passage à l'heure d'hiver.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Configuration manuelle des paramètres d'heure
Pour configurer manuellement les paramètres d'heure :
ÉTAPE 1 Sélectionnez Administration > Time Settings.
ÉTAPE 2 Dans la zone System Clock Source, sélectionnez Manually.
Guide d'administration pour Cisco WAP131 et WAP351
41
3
Administration
Paramètres du journal
ÉTAPE 3 Cliquez sur Cloning à côté du champ Clone PC Time pour cloner les paramètres
de l'heure système de votre PC local.
ÉTAPE 4 Vous pouvez également configurer les éléments suivants :
•
System Date : sélectionnez le jour, le mois et l'année actuels dans les listes
déroulantes.
•
System Time : sélectionnez l'heure et les minutes actuelles au format 24
heures.
•
Time Zone : sélectionnez le fuseau horaire où vous vous trouvez.
•
Adjust Time for Daylight Savings : si l'heure d'été s'applique à votre fuseau
horaire, activez cette option et configurez les champs suivants :
-
Daylight Savings Start : sélectionnez l'heure, le jour, la semaine et le mois
du passage à l'heure d'été.
-
Daylight Savings End : sélectionnez l'heure, le jour, la semaine et le mois
du passage à l'heure d'hiver.
-
Daylight Savings Offset : indiquez de combien de minutes vous devez
avancer l'horloge lors du passage à l'heure d'été et de combien vous
devez la reculer lors du passage à l'heure d'hiver.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Paramètres du journal
Utilisez Log Settings pour enregistrer des messages de journal dans la mémoire
permanente. Vous pouvez également envoyer des journaux à un hôte distant.
Configuration du journal persistant
Si le système redémarre de manière inattendue, les messages de journal peuvent
être utiles pour diagnostiquer la cause. Toutefois, les messages de journal sont
effacés au redémarrage du système sauf si vous activez la journalisation
persistante.
Guide d'administration pour Cisco WAP131 et WAP351
42
3
Administration
Paramètres du journal
!
AVERTISSEMENT L'activation de la journalisation persistante peut épuiser la mémoire flash (non
volatile) et dégrader les performances réseau. Activez uniquement la journalisation
persistante pour déboguer un problème. Veillez à désactiver la journalisation
persistante une fois que vous avez débogué le problème.
Pour configurer la journalisation persistante :
ÉTAPE 1 Sélectionnez Administration > Log Settings.
ÉTAPE 2 Définissez les paramètres suivants :
•
Persistence : cochez la case Enable pour enregistrer les journaux système
dans la mémoire non volatile, afin de permettre la conservation des journaux
au redémarrage du périphérique WAP. Vous pouvez enregistrer jusqu'à 1000
messages de journal dans la mémoire non volatile. Lorsque la limite de 1000
est atteinte, le message le plus ancien du journal est remplacé par le
nouveau message. Effacez le contenu de ce champ si vous souhaitez
enregistrer les journaux système dans la mémoire volatile. Les journaux
présents dans la mémoire volatile sont supprimés au redémarrage du
système.
•
Severity : sélectionnez le degré de sévérité qu'un événement doit avoir pour
être écrit dans le journal de la mémoire non volatile. Les événements de
moindre importance sont écrits dans la mémoire volatile.
•
Depth : nombre maximal de messages (jusqu'à 1000) pouvant être stockés
dans la mémoire volatile. Lorsque le nombre défini dans ce champ est
atteint, l'événement le plus ancien du journal est remplacé par le nouvel
événement. Veuillez noter que le nombre maximal de messages de journal
pouvant être stockés dans la mémoire non volatile (le journal persistant) est
1000, celui-ci n'étant pas configurable.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
43
3
Administration
Paramètres du journal
Configuration du serveur de journalisation distant
Le journal du noyau est une liste complète d'événements système et de messages
du noyau, tels que des conditions d'erreur.
Vous ne pouvez pas consulter les messages de journal du noyau directement à
partir de l'utilitaire de configuration. Vous devez d'abord configurer un serveur de
journalisation distant qui recevra et capturera les journaux. Vous pouvez ensuite
configurer le périphérique WAP à journaliser sur le serveur de journalisation
distant. Le périphérique WAP prend en charge jusqu'à deux serveurs de
journalisation distants.
La collecte du serveur de journalisation distant pour les messages syslog offre les
fonctions suivantes :
•
Permet l'agrégation des messages syslog depuis plusieurs points d'accès.
•
Stocke un historique des messages plus long que celui conservé sur un
seul périphérique WAP.
•
Déclenche des opérations de gestion scriptées et des alertes.
Pour spécifier un hôte de votre réseau en tant que serveur de journalisation distant :
ÉTAPE 1 Sélectionnez Administration > Log Settings.
ÉTAPE 2 Dans le champ Remote Log Server Table, définissez ces paramètres :
•
Remote Log Server : saisissez l'adresse IPv4 ou IPv6 ou le nom d'hôte du
serveur de journalisation distant.
Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si un
nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La
série entière d'étiquettes et de points peut comporter jusqu'à 253
caractères.
•
Enable : cochez cette option pour activer le serveur de journalisation distant,
puis définissez la sévérité du journal et le port UDP.
•
Log Severity : cochez les sévérités qu'un événement doit avoir pour être
envoyé vers le serveur de journalisation distant.
•
UDP Port : saisissez le numéro de port logique pour le processus syslog
sur l'hôte distant. La plage est comprise entre 1 et 65 535. Le port par
défaut est 514.
Guide d'administration pour Cisco WAP131 et WAP351
44
3
Administration
Alerte électronique
Il est recommandé d'utiliser le port par défaut. Si vous reconfigurez le port
du journal, vérifiez que le numéro de port que vous attribuez à syslog est
disponible.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Si vous activez un hôte de journalisation distant, le fait de cliquer sur Save active la
journalisation distante. Le périphérique WAP envoie ses messages du noyau en
temps réel afin qu'ils soient affichés sur le moniteur du serveur de journalisation
distant, un fichier journal du noyau spécifié ou un autre système de stockage,
selon votre configuration.
Si vous avez désactivé un hôte de journalisation distant, le fait de cliquer sur Save
désactive la journalisation distante.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Le périphérique WAP risque de perdre la
connexion. Nous vous recommandons de choisir un moment où une perte de
connectivité aura le moins d'impact sur vos clients sans fil pour modifier les
paramètres du périphérique WAP.
Alerte électronique
Utilisez la page Email Alert pour envoyer des messages aux adresses e-mail
configurées lorsque des événements système spécifiques se produisent.
Cette fonction prend en charge la configuration du serveur de messagerie, la
configuration de la sévérité des messages et la configuration de trois adresses
e-mail maximum pour l'envoi par e-mail des alertes urgentes et non urgentes.
CONSEIL N'utilisez pas votre adresse e-mail personnelle, car les identifiants de connexion à
votre messagerie personnelle seraient dévoilés inutilement. Utilisez plutôt un
compte de messagerie distinct. Notez également que de nombreux comptes de
messagerie conservent par défaut une copie de tous les messages envoyés.
Toutes les personnes ayant accès à ce compte de messagerie ont accès aux
messages envoyés. Vérifiez les paramètres de votre messagerie afin de vous
assurer qu'ils sont conformes à la politique de confidentialité de votre entreprise.
Guide d'administration pour Cisco WAP131 et WAP351
45
3
Administration
Alerte électronique
Configuration des paramètres des alertes électroniques
Pour configurer le périphérique WAP afin qu'il envoie des alertes par e-mail :
ÉTAPE 1 Sélectionnez Administration > Email Alert.
ÉTAPE 2 Dans la zone Global Configuration, définissez les paramètres suivants :
•
Administrative Mode : activez ou désactivez globalement la fonction
d'alerte par e-mail.
•
From Email Address : saisissez l'adresse à afficher en tant qu'expéditeur de
l'e-mail. L'adresse est une chaîne de 255 caractères uniquement
imprimables. Aucune adresse n'est configurée par défaut.
•
Log Duration : choisissez la fréquence à laquelle les messages planifiés
sont envoyés. La plage valide va de 30 à 1440 minutes. La valeur par défaut
est 30 minutes.
•
Scheduled Message Severity : indiquez la sévérité qu'un événement doit
avoir pour être envoyé à l'adresse e-mail configurée et à la fréquence
indiquée par le paramètre Log Duration. La sévérité par défaut est
Emergency, Alert, Critical, Error et Warning.
•
Urgent Message Severity : indiquez la sévérité qu'un événement doit avoir
pour être envoyé immédiatement à l'adresse e-mail configurée. La valeur par
défaut est Emergency et Alert.
ÉTAPE 3 Dans la zone Mail Server Configuration, définissez les paramètres suivants :
•
Server IPv4 Address/Name : saisissez l'adresse IP ou le nom d'hôte du
serveur SMTP sortant. Vous pouvez demander le nom d'hôte à votre
fournisseur de messagerie. L'adresse du serveur doit être une adresse IPv4
ou un nom d'hôte valide. La forme de l'adresse IPv4 doit être similaire à celleci : xxx.xxx.xxx.xxx (192.0.2.10).
Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si un
nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La
série entière d'étiquettes et de points peut comporter jusqu'à 253
caractères.
•
Data Encryption : choisissez le mode de sécurité de l'alerte par e-mail
sortante. L'alerte peut être envoyée via le protocole TLS sécurisé ou le
protocole Open par défaut. L'utilisation du protocole TLSv1 sécurisé
empêche l'espionnage électronique et la falsification lors des
communications via le réseau public.
Guide d'administration pour Cisco WAP131 et WAP351
46
3
Administration
Alerte électronique
•
Port : saisissez le numéro de port SMTP à utiliser pour les e-mails sortants.
Le numéro de port doit être compris entre 0 et 65535. Le port par défaut est
465. Le port dépend généralement du mode utilisé par le fournisseur de
messagerie.
•
Username : saisissez le nom d'utilisateur du compte de messagerie qui sera
utilisé pour envoyer ces e-mails. Généralement (pas systématiquement), le
nom d'utilisateur correspond à l'adresse e-mail complète incluant le domaine
(par exemple, [email protected]). Le compte spécifié sera utilisé en tant
qu'adresse e-mail de l'expéditeur. Le nom d'utilisateur peut être constitué de
1 à 64 caractères alphanumériques.
•
Password : saisissez le mot de passe du compte de messagerie qui sera
utilisé pour l'envoi de ces e-mails. Le mot de passe peut être constitué de 1
à 64 caractères.
ÉTAPE 4 Dans la zone Message Configuration, définissez l'adresse e-mail et la ligne
d'objet :
•
To Email Address 1/2/3 : saisissez au maximum trois adresses de réception
des alertes par e-mail. Chaque adresse e-mail doit être valide.
•
Email Subject : saisissez le texte qui s'affichera dans la ligne d'objet de l'e-mail.
Il peut s'agir d'une chaîne alphanumérique de 255 caractères maximum.
ÉTAPE 5 Cliquez sur Test Mail pour envoyer un e-mail de test afin de valider le compte de
messagerie configuré.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Exemples d'alertes par e-mail
L'exemple suivant explique comment renseigner les paramètres de la zone Mail
Server Configuration :
Gmail
Server IPv4 Address/Name = smtp.gmail.com
Data Encryption = TLSv1
Port = 465
Username = adresse e-mail complète que vous pouvez utiliser pour vous
connecter à votre compte de messagerie
associé au serveur ci-dessus
Password = xxxxxxxx est un mot de passe valide de votre compte de messagerie
valide.
To Email Address 1 = [email protected]
Guide d'administration pour Cisco WAP131 et WAP351
47
3
Administration
Service HTTP/HTTPS
Windows Live Hotmail
Windows Live Hotmail recommande les paramètres suivants :
Data Encryption = TLSv1
SMTP Server = smtp.live.com
SMTP Port = 587
Username = votre adresse e-mail complète, telle que [email protected] ou
[email protected]
Password : votre mot de passe de compte Windows Live
Yahoo! Mail
Pour pouvoir profiter de ce type de service, Yahoo impose l'utilisation d'un
compte payant. Yahoo
recommande les paramètres suivants :
Data Encryption = TLSv1
SMTP Server = plus.smtp.mail.yahoo.com
SMTP Port = 465 ou 587
Username = votre adresse e-mail sans le nom du domaine, telle que monNom (sans
@yahoo.com)
Password : votre mot de passe de compte Yahoo
L'exemple suivant présente la mise en forme d'un e-mail de journal général.
De : [email protected]
Envoyé Wednesday, September 09, 2009 11:16 AM
À : [email protected]
Objet : log message from AP
TIME
PriorityProcess Id
Message
Sep 8 03:48:25 info
login[1457]
root login on ttyp0
Sep 8 03:48:26 info
mini_http-ssl[1175] Max concurrent connections of 20
reached
Service HTTP/HTTPS
Utilisez la page HTTP/HTTPS Service pour activer et configurer des connexions
de gestion Web. Si HTTPS est utilisé pour sécuriser les sessions de gestion, vous
pouvez aussi utiliser cette page pour gérer les certificats SSL requis.
Configuration des services HTTP et HTTPS
Pour configurer les services HTTP et HTTPS :
ÉTAPE 1 Sélectionnez Administration > HTTP/HTTPS Service.
ÉTAPE 2 Dans la zone Global Settings, définissez les paramètres suivants :
•
Maximum Sessions : saisissez le nombre de sessions Web, y compris HTTP
et HTTPS, pouvant être utilisées simultanément.
Guide d'administration pour Cisco WAP131 et WAP351
48
3
Administration
Service HTTP/HTTPS
Lorsqu'un utilisateur se connecte à l'utilitaire de configuration du
périphérique WAP, une session est créée. Cette session reste active jusqu'à
ce que l'utilisateur se déconnecte ou jusqu'à la fin du délai d'expiration de la
session. La plage est comprise entre 1 et 10 sessions. La valeur par défaut
est 5. Si le nombre maximal de sessions est atteint, le prochain utilisateur qui
tente de se connecter à l'utilitaire de configuration reçoit un message
d'erreur relatif à la limite de session.
•
Session Timeout : saisissez la durée maximale en minutes pendant laquelle
un utilisateur inactif peut rester connecté à l'utilitaire de configuration de
périphérique WAP. Lorsque le délai d'expiration est atteint, l'utilisateur est
automatiquement déconnecté. La plage valide va de 1 à 60 minutes. La
valeur par défaut est 10 minutes.
ÉTAPE 3 Configurez les services HTTP et HTTPS :
•
HTTP Server : activez ou désactivez l'accès par HTTP. L'accès HTTP est
activé par défaut. Si vous le désactivez, toutes les connexions actives qui
utilisent ce protocole sont déconnectées.
•
HTTP Port : saisissez le numéro de port logique à utiliser pour les
connexions HTTP, de 1025 à 65535. Le numéro de port par défaut pour les
connexions HTTP est le numéro de port bien connu IANA 80.
•
HTTP Server : activez ou désactivez l'accès par HTTPS (HTTP sécurisé).
L'accès HTTPS est activé par défaut. Si vous le désactivez, toutes les
connexions actives qui utilisent ce protocole sont déconnectées.
•
HTTP Port : saisissez le numéro de port logique à utiliser pour les
connexions HTTPS, de 1025 à 65535. Le numéro de port par défaut pour les
connexions HTTPS est le numéro de port bien connu IANA 443.
•
Redirect HTTP to HTTPS : redirige les tentatives d'accès HTTP de gestion
sur le port HTTP vers le port HTTPS. Ce champ est uniquement disponible
lorsque l'accès HTTP est désactivé.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
49
3
Administration
Service HTTP/HTTPS
Gestion des certificats SSL
Pour utiliser les services HTTPS, le périphérique WAP doit avoir un certificat SSL
valide. Le périphérique WAP peut générer un certificat ou vous pouvez le
télécharger depuis votre réseau ou un serveur TFTP.
Dans la zone Generate SSL Certificate, cliquez sur Generate pour générer le
certificat à utiliser avec le périphérique WAP. L'opération est effectuée une fois que
le périphérique WAP a obtenu une adresse IP, afin de garantir que le nom commun
du certificat correspond à l'adresse IP du périphérique WAP. La génération d'un
nouveau certificat SSL entraîne le redémarrage du serveur Web sécurisé. La
connexion sécurisée ne fonctionne pas tant que le nouveau certificat n'est pas
accepté par le navigateur.
Dans la zone SSL Certificate File Status, vous pouvez voir s'il existe déjà un
certificat sur le périphérique WAP et obtenir les informations suivantes sur celui-ci :
•
Certificate File Present
•
Certificate Expiration Date
•
Certificate Issuer Common Name
S'il existe un certificat SSL (avec une extension .pem) sur le périphérique WAP,
vous pouvez le télécharger vers votre ordinateur en tant que sauvegarde. Dans la
zone Download SSL Certificate (From Device to PC), sélectionnez la méthode
de téléchargement HTTP/HTTPS ou TFTPdans Download Method, puis cliquez
sur Download.
•
Si vous sélectionnez HTTP/HTTPS, vous devez confirmer le
téléchargement, puis accéder à l'emplacement d'enregistrement du fichier
sur votre réseau.
•
Si vous sélectionnez TFTP, d'autres champs apparaissent pour vous
permettre de saisir le nom de fichier à attribuer au fichier téléchargé. Vous
devez ensuite saisir l'adresse du serveur TFTP où le fichier sera téléchargé.
Vous pouvez également télécharger un fichier de certificat (portant une
extension .pem) depuis votre ordinateur vers le périphérique WAP. Dans la zone
Upload SSL Certificate (From PC to Device), sélectionnez la méthode de
téléchargement HTTP/HTTPS ou TFTP dans Upload Method.
•
Pour HTTP/HTTPS, accédez à l'emplacement réseau, sélectionnez le
fichier, puis cliquez sur Upload.
Guide d'administration pour Cisco WAP131 et WAP351
50
3
Administration
Gestion du contrôle des accès
•
Pour TFTP, renseignez File Name puisqu'il existe sur le serveur TFTP et
TFTP Server IPv4 Address, puis cliquez sur Upload. Le nom de fichier ne
peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *,
ainsi que deux points successifs ou plus.
Un message de confirmation s'affiche lorsque le téléchargement a été
correctement effectué.
Gestion du contrôle des accès
Vous pouvez créer une liste de contrôle d'accès (ACL) contenant jusqu'à cinq
hôtes IPv4 et cinq hôtes IPv6 autorisés à accéder à l'utilitaire de configuration du
périphérique WAP. Si cette fonction est désactivée, tout le monde peut accéder à
l'utilitaire de configuration depuis n'importe quel client réseau en fournissant le
nom d'utilisateur et le mot de passe corrects du périphérique WAP.
Si la liste de contrôle d'accès de gestion est activée, l'accès via le Web et SNMP
est limité aux hôtes IP spécifiés.
!
AVERTISSEMENT Vérifiez chaque adresse IP que vous saisissez. Si vous saisissez une adresse IP qui
ne correspond pas à votre ordinateur d'administration, vous n'aurez plus accès à
l'interface de configuration. Il est fortement recommandé d'attribuer une adresse IP
statique à l'ordinateur d'administration, afin que cette adresse reste toujours la
même.
Pour créer une liste d'accès :
ÉTAPE 1 Sélectionnez Administration > Management Access Control.
ÉTAPE 2 Sélectionnez Enable pour Management ACL Mode.
ÉTAPE 3 Saisissez un maximum de cinq adresses IPv4 et cinq adresses IPv6 auxquelles
vous donnez accès.
ÉTAPE 4 Vérifiez que les adresses IP sont correctes.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
51
Administration
Gestion du microprogramme
3
Gestion du microprogramme
Le périphérique WAP gère deux images de microprogramme. Une image est
active et l'autre est inactive. Si l'image active ne parvient pas à se charger au
démarrage, l'image inactive est chargée et devient l'image active. Vous pouvez
également permuter l'image active et l'image inactive.
Lorsque de nouvelles versions du microprogramme deviennent disponibles, vous
pouvez le mettre à niveau sur votre périphérique WAP afin de bénéficier des
nouvelles fonctionnalités et améliorations. Le périphérique WAP utilise un client
TFTP ou HTTP/HTTPS pour les mises à niveau du microprogramme.
Une fois que vous avez chargé le nouveau microprogramme et que le système
redémarre, le microprogramme nouvellement ajouté devient l'image principale. Si
la mise à niveau échoue, le microprogramme d'origine reste l'image principale.
REMARQUE Lorsque vous mettez à niveau le microprogramme, le périphérique WAP conserve
les informations de configuration existantes.
Permutation de l'image du microprogramme
Pour permuter l'image du microprogramme exécuté sur le périphérique WAP :
ÉTAPE 1 Sélectionnez Administration > Manage Firmware.
L'ID de produit (PID VID) ainsi que les versions active et inactive du
microprogramme apparaissent.
ÉTAPE 2 Cliquez sur Swap Active Image.
La boîte de dialogue qui s'affiche confirme la permutation de l'image du
microprogramme et le redémarrage qui suit.
ÉTAPE 3 Cliquez sur OK pour effectuer l'opération.
Le processus peut prendre plusieurs minutes pendant lesquelles le périphérique
WAP est indisponible. Ne mettez pas le périphérique WAP hors tension pendant la
permutation de l'image. Une fois la permutation de l'image terminée, le
périphérique WAP redémarre. Le périphérique WAP reprend son fonctionnement
normal avec les paramètres de configuration qu'il utilisait avant la mise à niveau.
Guide d'administration pour Cisco WAP131 et WAP351
52
Administration
Gestion du microprogramme
3
Mise à niveau TFTP
Pour mettre à niveau le microprogramme sur le périphérique WAP via TFTP :
ÉTAPE 1 Sélectionnez TFTP comme méthode de transfert.
ÉTAPE 2 Saisissez un nom (de 1 à 256 caractères) pour le fichier image dans le champ
Source File Name, en incluant le chemin d'accès au répertoire qui contient l'image
à télécharger.
Par exemple, pour télécharger l'image ap_upgrade.tar située dans le répertoire
/share/builds/ap, saisissez : /share/builds/ap/ap_upgrade.tar
Le fichier de mise à niveau du microprogramme fourni doit être un fichier tar. Pour
la mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un
autre format ; ces types de fichiers ne fonctionnent pas.
Le nom de fichier ne peut pas contenir les éléments suivants : espaces, <, >, |, \, : ,
(, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 3 Renseignez TFTP Server IPv4 Address, puis cliquez sur Upgrade.
Le téléchargement du nouveau microprogramme peut prendre quelques minutes.
N'actualisez pas la page et n'ouvrez pas d'autre page pendant le téléchargement
du nouveau microprogramme, sous peine d'interrompre celui-ci. Une fois le
processus terminé, le périphérique WAP redémarre et reprend son
fonctionnement normal.
ÉTAPE 4 Pour vous assurer que la mise à niveau du microprogramme s'est correctement
effectuée, connectez-vous à l'utilitaire de configuration, affichez la page Upgrade
Firmware, puis vérifiez la version active du microprogramme.
Mise à niveau via HTTP/HTTPS
Pour effectuer une mise à niveau via HTTP/HTTPS :
ÉTAPE 1 Sélectionnez HTTP/HTTPS comme méthode de transfert.
ÉTAPE 2 Si vous connaissez le nom du nouveau fichier et le chemin d'accès à celui-ci,
saisissez-les dans le champ Source File Name. Sinon, cliquez sur le bouton
Browse et recherchez le fichier image du microprogramme sur votre réseau.
Le fichier de mise à niveau du microprogramme fourni doit être un fichier tar. Pour
la mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un
autre format ; ces types de fichiers ne fonctionnent pas.
Guide d'administration pour Cisco WAP131 et WAP351
53
3
Administration
Gestion du fichier de configuration
ÉTAPE 3 Cliquez sur Upgrade pour appliquer la nouvelle image du microprogramme.
Le téléchargement du nouveau microprogramme peut prendre quelques minutes.
N'actualisez pas la page et n'ouvrez pas d'autre page pendant le téléchargement
du nouveau microprogramme, sous peine d'interrompre celui-ci. Une fois le
processus terminé, le périphérique WAP redémarre et reprend son
fonctionnement normal.
ÉTAPE 4 Pour vous assurer que la mise à niveau du microprogramme s'est correctement
effectuée, connectez-vous à l'utilitaire de configuration en ligne, affichez la page
Upgrade Firmware, puis vérifiez la version active du microprogramme.
Gestion du fichier de configuration
Les fichiers de configuration du périphérique WAP sont au format XML et
contiennent toutes les informations relatives aux paramètres du périphérique WAP.
Vous pouvez sauvegarder (télécharger) les fichiers de configuration sur un hôte
réseau ou un serveur TFTP, afin de modifier manuellement le contenu ou de créer
des sauvegardes. Une fois que vous avez modifié un fichier de configuration
sauvegardé, vous pouvez le télécharger vers le périphérique WAP afin de modifier
la configuration.
Le périphérique WAP prend en charge les fichiers de configuration suivants :
•
Startup Configuration : fichier de configuration enregistré dans la mémoire
flash.
•
Backup Configuration : fichier de configuration supplémentaire enregistré
sur le périphérique WAP à des fins de sauvegarde.
•
Mirror Configuration : si la configuration de démarrage n'est pas modifiée
pendant au moins 24 heures, elle est automatiquement enregistrée dans un
fichier de configuration miroir. Le fichier de configuration miroir est un
instantané d'une configuration de démarrage antérieure. La configuration
miroir est conservée malgré les restaurations des paramètres d'usine. Elle
peut donc être utilisée pour récupérer une configuration système après une
restauration des paramètres d'usine en copiant la configuration miroir vers
la configuration de démarrage.
REMARQUE En plus du téléchargement et du transfert de ces fichiers vers un autre système,
vous pouvez les copier vers différents types de fichier sur le périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
54
3
Administration
Gestion du fichier de configuration
Fichier de configuration de secours
Pour sauvegarder (télécharger) le fichier de configuration vers un hôte réseau ou
le serveur TFTP :
ÉTAPE 1 Sélectionnez Administration > Manage Configuration File.
ÉTAPE 2 Sélectionnez la méthode de transfert Via TFTP ou Via HTTP/HTTPS dans
Transfer Method.
ÉTAPE 3 Sélectionnez l'action d'enregistrement Backup (AP to PC) dans Save Action.
ÉTAPE 4 Pour une sauvegarde TFTP uniquement, renseignez Destination File Name avec
une extension .xml. Incluez également le chemin d'accès à l'emplacement de
stockage du fichier sur le serveur, puis renseignez TFTP Server IPv4 Address.
Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : ,
(, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 5 Pour une sauvegarde TFTP uniquement, renseignez TFTP Server IPv4 Address.
ÉTAPE 6 Sélectionnez le fichier de configuration à sauvegarder :
•
Startup Configuration : type de fichier de configuration utilisé lors du
dernier démarrage du périphérique WAP. Ce fichier n'inclut pas les
modifications de configuration appliquées mais non encore enregistrées sur
le périphérique WAP.
•
Backup Configuration : type de fichier de configuration de sauvegarde
enregistré sur le périphérique WAP.
•
Mirror Configuration : si la configuration de démarrage n'est pas modifiée
pendant au moins 24 heures, elle est automatiquement enregistrée dans un
fichier de configuration miroir. Le fichier de configuration miroir est un
instantané d'une configuration de démarrage antérieure. La configuration
miroir est conservée malgré les restaurations des paramètres d'usine. Elle
peut donc être utilisée pour récupérer une configuration système après une
restauration des paramètres d'usine en copiant la configuration miroir vers la
configuration de démarrage.
ÉTAPE 7 Cliquez sur Save pour commencer la sauvegarde. Pour les sauvegardes HTTP/
HTTPS, une fenêtre s'affiche afin de vous permettre d'accéder à l'emplacement
souhaité pour l'enregistrement du fichier.
Guide d'administration pour Cisco WAP131 et WAP351
55
Administration
Gestion du fichier de configuration
3
Téléchargement du fichier de configuration
Vous pouvez télécharger un fichier vers le périphérique WAP pour mettre à jour la
configuration ou restaurer le périphérique WAP à une configuration
précédemment sauvegardée.
Pour télécharger un fichier de configuration vers le périphérique WAP :
ÉTAPE 1 Sélectionnez Administration > Manage Configuration File.
ÉTAPE 2 Sélectionnez la méthode de transfert Via TFTP ou Via HTTP/HTTPS dans
Transfer Method.
ÉTAPE 3 Sélectionnez l'action d'enregistrement Download (PC to AP) dans Save Action.
ÉTAPE 4 Pour un téléchargement TFTP uniquement, renseignez Source File Name avec
une extension .xml. Incluez le chemin d'accès à l'emplacement du fichier sur le
serveur, puis renseignez TFTP Server IPv4 Address.
Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : ,
(, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 5 Sélectionnez le fichier de configuration sur le périphérique WAP que vous
souhaitez remplacer par le fichier téléchargé : la configuration de démarrage ou
la configuration de sauvegarde.
Si le fichier téléchargé écrase le fichier de configuration de démarrage et que le
fichier réussit un contrôle de validité, la configuration téléchargée prendra effet au
prochain redémarrage du périphérique WAP.
ÉTAPE 6 Cliquez sur Save pour commencer la mise à niveau ou la sauvegarde. Pour les
téléchargements HTTP/HTTPS, une fenêtre s'affiche afin de vous permettre de
sélectionner le fichier à télécharger.
!
AVERTISSEMENT Veillez à ce que le périphérique WAP soit en permanence alimenté lors du
téléchargement du fichier de configuration. En cas de panne de courant lors du
téléchargement du fichier de configuration, ce dernier est perdu et le processus
doit être redémarré.
Guide d'administration pour Cisco WAP131 et WAP351
56
3
Administration
Gestion du fichier de configuration
Copie/enregistrement de la configuration
Vous pouvez copier des fichiers au sein du système de fichiers du périphérique
WAP. Vous pouvez par exemple copier le fichier de configuration de sauvegarde
dans le type de fichier de configuration de démarrage, afin qu'il soit utilisé lors du
prochain démarrage du périphérique WAP.
Pour copier un fichier vers un autre type de fichier :
ÉTAPE 1 Sélectionnez Administration > Manage Configuration File.
ÉTAPE 2 Dans le champ Source File Name, sélectionnez l'un des types de fichiers source
suivants que vous souhaitez copier :
•
Startup Configuration : type de fichier de configuration utilisé lors du
dernier démarrage du périphérique WAP. Ce fichier n'inclut pas les
modifications de configuration appliquées mais non encore enregistrées sur
le périphérique WAP.
•
Backup Configuration : type de fichier de configuration de sauvegarde
enregistré sur le périphérique WAP.
•
Mirror Configuration : si la configuration de démarrage n'est pas modifiée
pendant au moins 24 heures, elle est automatiquement enregistrée dans un
fichier de configuration miroir. Le fichier de configuration miroir est un
instantané d'une configuration de démarrage antérieure. La configuration
miroir est conservée malgré les restaurations des paramètres d'usine. Elle
peut donc être utilisée pour récupérer une configuration système après une
restauration des paramètres d'usine en copiant la configuration miroir vers la
configuration de démarrage.
ÉTAPE 3 Dans le champ Destination File Name, sélectionnez le type de fichier à remplacer
par le fichier que vous copiez.
ÉTAPE 4 Cliquez sur Save pour commencer la copie.
Guide d'administration pour Cisco WAP131 et WAP351
57
3
Administration
Redémarrage
Propriétés des fichiers de configuration
Vous pouvez supprimer le fichier de configuration de démarrage ou de
configuration de sauvegarde. Si vous effacez le fichier de configuration de
démarrage, le fichier de configuration de sauvegarde deviendra actif lors du
prochain redémarrage du périphérique WAP.
Pour supprimer le fichier de configuration de démarrage ou de configuration de
sauvegarde :
ÉTAPE 1 Sélectionnez Administration > Manage Configuration File.
ÉTAPE 2 Sélectionnez le type de fichier Startup Configuration ou Backup Configuration.
ÉTAPE 3 Cliquez sur Clear Files.
Redémarrage
Utilisez la page Reboot pour redémarrer le périphérique WAP ou restaurer les
valeurs d'usine par défaut.
Pour redémarrer ou réinitialiser le périphérique WAP :
ÉTAPE 1 Sélectionnez Administration > Reboot.
ÉTAPE 2 Pour redémarrer le périphérique WAP à l'aide de la configuration de démarrage,
cliquez sur Reboot.
ÉTAPE 3 Pour redémarrer le périphérique WAP à l'aide du fichier de configuration usine par
défaut, cliquez sur Reboot To Factory Default. Tous les paramètres personnalisés
sont perdus.
REMARQUE Une fenêtre s'affiche pour vous permettre de confirmer ou d'annuler le
redémarrage. Il est possible que la session de gestion en cours soit arrêtée.
ÉTAPE 4 Cliquez sur OK pour redémarrer.
Guide d'administration pour Cisco WAP131 et WAP351
58
3
Administration
Découverte - Bonjour
Découverte - Bonjour
Bonjour permet au périphérique WAP et à ses services d'être découverts à l'aide
de mDNS (DNS à multidiffusion). Bonjour annonce ses services au réseau et
répond aux questions concernant les types de service pris en charge, ce qui
simplifie la configuration du réseau dans vos environnements.
Le périphérique WAP annonce les types de service suivants :
•
Description d'appareils spécifiques à Cisco (csco-sb) : ce service permet
aux clients de détecter les périphériques WAP Cisco et d'autres produits
déployés sur vos réseaux.
•
Interfaces utilisateur de gestion : ce service identifie les interfaces de
gestion disponibles sur le périphérique WAP (HTTP, HTTPS et SNMP).
Lorsqu'un périphérique WAP compatible avec Bonjour est connecté à un réseau,
tout client Bonjour peut détecter l'utilitaire de configuration et y accéder sans
configuration préalable.
Un administrateur système peut utiliser un module d'extension Internet Explorer
installé pour détecter le périphérique WAP. L'utilitaire de configuration Web
apparaît sous forme d'onglet dans le navigateur.
Bonjour fonctionne sur les réseaux IPv4 et IPv6.
Pour activer la détection du périphérique WAP via Bonjour :
ÉTAPE 1 Sélectionnez Administration > Discovery - Bonjour.
ÉTAPE 2 Active ou désactive Bonjour sur le périphérique WAP.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
59
3
Administration
Capture de paquets
Capture de paquets
La fonction de capture de paquets sans fil permet de capturer et de stocker les
paquets reçus et transmis par le périphérique WAP. Les paquets capturés peuvent
ensuite être analysés par un analyseur de protocole réseau pour des opérations
de dépannage ou d'optimisation des performances.
Les deux méthodes de capture de paquets sont les suivantes :
•
Méthode de capture locale : les paquets capturés sont stockés dans un
fichier sur le périphérique WAP. Le périphérique WAP peut transférer le
fichier vers un serveur TFTP. Le fichier est mis au format pcap et peut être
examiné à l'aide d'outils comme Wireshark et OmniPeek.
•
Méthode de capture distante : les paquets capturés sont redirigés en
temps réel vers un ordinateur externe qui exécute l'outil Wireshark.
Le périphérique WAP peut capturer les types de paquets suivants :
•
Les paquets 802.11 reçus et transmis sur les interfaces radio. Les paquets
capturés sur les interfaces radio incluent l'en-tête 802.11.
•
Les paquets 802.3 reçus et transmis sur l'interface Ethernet.
•
Les paquets 802.3 reçus et transmis sur les interfaces logiques internes,
telles que les interfaces VAP et WDS.
Utilisez la page Packet Capture pour configurer les paramètres de capture de
paquets, démarrer une capture de paquets locale ou distante, afficher l'état actuel
de la capture de paquets et télécharger un fichier de capture de paquets.
Configuration de la capture de paquets
Pour définir les paramètres d'une capture de paquets :
ÉTAPE 1 Sélectionnez Administration > Packet Capture.
ÉTAPE 2 Dans la zone Packet Capture Configuration, définissez les paramètres suivants :
•
Capture Beacons : active ou désactive la capture des balises 802.11
détectées ou transmises par radio.
•
Promiscuous Capture : active ou désactive le mode de proximité lorsque la
capture est active.
Guide d'administration pour Cisco WAP131 et WAP351
60
3
Administration
Capture de paquets
En mode de proximité, la radio reçoit tout le trafic sur le canal, y compris le
trafic qui n'est pas destiné à ce périphérique WAP. Lorsque la radio
fonctionne en mode de proximité, elle continue à servir les clients associés.
Les paquets qui ne sont pas destinés au périphérique WAP ne sont pas
transférés.
Lorsque la capture est terminée, la radio repasse en mode de non-proximité.
•
Radio Client Filter : active ou désactive le filtre de client WLAN de façon à
capturer uniquement les trames transmises à un client WLAN ayant une
adresse MAC spécifiée ou reçues de celui-ci.
•
Client Filter MAC Address : spécifie l'adresse MAC pour le filtrage de
client WLAN. Le filtre MAC est uniquement actif lorsqu'une capture est
réalisée sur une interface 802.11.
•
Packet Capture Method : sélectionnez l'une des options suivantes :
-
Local File : les paquets capturés sont stockés dans un fichier sur le
périphérique WAP.
-
Remote : les paquets capturés sont redirigés en temps réel vers un
ordinateur externe qui exécute l'outil Wireshark.
ÉTAPE 3 Selon la méthode choisie, reportez-vous aux étapes décrites dans la section
Capture de paquets locale ou Capture de paquets distante pour poursuivre.
REMARQUE Les modifications apportées aux paramètres de configuration de la capture de
paquets prendront effet une fois la capture de paquets redémarrée. La modification
des paramètres alors que la capture de paquets est en cours d'exécution n'a
aucune incidence sur la session de capture de paquets active. Pour commencer à
utiliser les nouvelles valeurs des paramètres, vous devez arrêter puis redémarrer
une session de capture de paquets existante.
Capture de paquets locale
Pour démarrer une capture de paquets locale :
ÉTAPE 1 Sélectionnez Administration > Packet Capture.
ÉTAPE 2 Assurez-vous que l'option Local File est sélectionnée pour Packet Capture
Method.
Guide d'administration pour Cisco WAP131 et WAP351
61
3
Administration
Capture de paquets
ÉTAPE 3 Définissez les paramètres suivants :
•
•
Capture Interface (pour WAP131 uniquement) : saisissez un type
d'interface de capture pour la capture de paquets :
-
Radio 1/Radio 2 : trafic 802.11 sur l'interface radio.
-
Ethernet : trafic 802.3 sur le port Ethernet.
-
Radio 1 - VAP0/Radio 2 - VAP0 : trafic VAP0.
-
Radio 1 - VAP1 to Radio 1 - VAP3 (si configuré) : trafic sur le VAP spécifié.
-
Radio 2 - VAP1 to Radio 2 - VAP3 (si configuré) : trafic sur le VAP spécifié.
-
Radio 1 - WDS0 to Radio 1 - WDS3 (si configuré) : trafic sur le WDS
spécifié.
-
Radio 2 - WDS0 to Radio 2 - WDS3 (si configuré) : trafic sur le WDS
spécifié.
-
Brtrunk : interface bridge Linux dans le périphérique WAP.
Capture Interface (pour WAP351 uniquement) : saisissez un type
d'interface de capture pour la capture de paquets :
-
Radio 1/Radio 2 : trafic 802.11 sur l'interface radio.
-
LAN1 à LAN5 : trafic 802.3 sur le port Ethernet.
-
Radio 1 - VAP0/Radio 2 - VAP0 : trafic VAP0.
-
Radio 1 - VAP1 to Radio 1 - VAP7 (si configuré) : trafic sur le VAP spécifié.
-
Radio 2 - VAP1 to Radio 2 - VAP7 (si configuré) : trafic sur le VAP spécifié.
-
Radio 1 - WDS0 to Radio 1 - WDS3 (si configuré) : trafic sur le WDS
spécifié.
-
Radio 2 - WDS0 to Radio 2 - WDS3 (si configuré) : trafic sur le WDS
spécifié.
-
Brtrunk : interface bridge Linux dans le périphérique WAP.
•
Capture Duration : saisissez la durée en secondes de la capture. La plage
est comprise entre 10 et 3 600. La valeur par défaut est 60.
•
Max Capture File Size : saisissez la taille maximale autorisée pour le fichier
de capture en kilo-octets (Ko). La plage est comprise entre 64 et 4096. La
valeur par défaut est 1024.
Guide d'administration pour Cisco WAP131 et WAP351
62
3
Administration
Capture de paquets
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
ÉTAPE 5 Cliquez sur Start Capture.
En mode Packet File Capture, le périphérique WAP stocke les paquets capturés
dans le système de fichiers RAM. Une fois l'activation terminée, la capture de
paquets s'effectue jusqu'à ce qu'un des événements suivants se produise :
•
La durée de capture atteint la durée configurée.
•
Le fichier de capture atteint sa taille maximale.
•
L'administrateur arrête la capture.
Capture de paquets distante
La fonction Remote Packet Capture vous permet de spécifier un port distant
comme destination des captures de paquets. Cette fonction opère
conjointement avec l'outil d'analyse réseau Wireshark pour Windows. Un serveur
de capture de paquets est exécuté sur le périphérique WAP et envoie les
paquets capturés via une connexion TCP vers l'outil Wireshark. Wireshark est un
outil open source disponible gratuitement ; vous pouvez le télécharger à
l'adresse http://www.wireshark.org.
Un ordinateur Microsoft Windows exécutant l'outil Wireshark vous permet
d'afficher, de journaliser et d'analyser le trafic capturé. La fonction de capture de
paquets distante est une fonction standard de l'outil Wireshark pour Windows. La
version Linux ne fonctionne pas avec le périphérique WAP.
Lorsque le mode de capture distante est utilisé, le périphérique WAP ne stocke
pas les données capturées localement dans son système de fichiers.
Si un pare-feu est installé entre l'ordinateur Wireshark et le périphérique WAP, le
trafic de ces ports doit être autorisé à traverser le pare-feu. Le pare-feu doit aussi
être configuré pour autoriser l'ordinateur Wireshark à initier une connexion TCP
vers le périphérique WAP.
Pour initier une capture distante sur un périphérique WAP :
ÉTAPE 1 Sélectionnez Administration > Packet Capture.
ÉTAPE 2 Activez Promiscuous Capture.
ÉTAPE 3 Pour Packet Capture Method, sélectionnez Remote.
Guide d'administration pour Cisco WAP131 et WAP351
63
3
Administration
Capture de paquets
ÉTAPE 4 Dans le champ Remote Capture Port, utilisez le port par défaut (2002) ou si vous
utilisez un autre port que celui par défaut, saisissez le numéro de port souhaité
pour la connexion de Wireshark au périphérique WAP. La plage de ports est
comprise entre 1025 et 65530.
ÉTAPE 5 Si vous souhaitez enregistrer les paramètres en vue d'une utilisation ultérieure,
cliquez sur Save. Cependant, la sélection de Remote comme Packet Capture
Method n'est pas enregistrée.
ÉTAPE 6 Cliquez sur Start Capture.
Pour lancer l'outil d'analyse réseau Wireshark pour Microsoft Windows :
ÉTAPE 1 Sur le même ordinateur, lancez l'outil Wireshark.
ÉTAPE 2 Dans le menu, sélectionnez Capture> Options. Une fenêtre contextuelle s'affiche.
ÉTAPE 3 Dans le champ Interface, sélectionnez Remote. Une fenêtre contextuelle s'affiche.
ÉTAPE 4 Dans le champ Host, saisissez l'adresse IP du périphérique WAP.
ÉTAPE 5 Dans le champ Port, saisissez le numéro de port du périphérique WAP. Par
exemple, saisissez 2002 si vous avez utilisé le port par défaut ou saisissez le
numéro de port si vous avez utilisé un autre port que le port par défaut.
ÉTAPE 6 Cliquez sur OK.
ÉTAPE 7 Sélectionnez l'interface à partir de laquelle vous devez capturer les paquets. Dans
la fenêtre contextuelle Wireshark, en regard de l'adresse IP, une liste déroulante
vous permet de sélectionner les interfaces. L'interface peut être l'une des
suivantes :
Interface bridge Linux dans le périphérique WAP
--rpcap://[192.168.1.220]:2002/brtrunk
Interface LAN filaire
-- rpcap://[192.168.1.220]:2002/eth0
Trafic VAP0 sur radio 1
-- rpcap://[192.168.1.220]:2002/wlan0
Trafic 802.11
-- rpcap://[192.168.1.220]:2002/radio1
Sur le WAP351, trafic VAP1 ~ VAP7
-- rpcap://[ 192.168.1.220]:2002/wlan0vap1 ~ wlan0vap7
Sur le WAP131, trafic VAP1 ~ VAP3
-- rpcap://[ 192.168.1.220]:2002/wlan0vap1 ~ wlan0vap3
Guide d'administration pour Cisco WAP131 et WAP351
64
3
Administration
Capture de paquets
Vous pouvez effectuer le suivi simultané de quatre interfaces maximum sur le
périphérique WAP. Toutefois, vous devez démarrer une session Wireshark
distincte pour chaque interface. Pour démarrer des sessions de capture distante
supplémentaires, répétez les étapes de configuration Wireshark. Aucune
configuration n'est requise sur le périphérique WAP.
REMARQUE Le système utilise quatre numéros de port consécutifs, en commençant par le port
configuré pour les sessions de capture de paquets distante. Vérifiez que vous
disposez de quatre numéros de port consécutifs. Si vous n'utilisez pas le port par
défaut, nous vous recommandons d'utiliser un numéro de port supérieur à 1024.
Lorsque vous capturez le trafic sur l'interface radio, vous pouvez désactiver la
capture des balises, mais les autres trames de contrôle 802.11 sont toujours
envoyées à Wireshark. Vous pouvez configurer un filtre d'affichage de façon à
afficher uniquement :
•
Les trames de données dans le suivi
•
Le trafic sur des BSSID (Basic Service Set ID) spécifiques
•
Le trafic entre deux clients
Voici quelques exemples de filtres d'affichage utiles :
•
Exclure les balises et les trames ACK/RTS/CTS :
!(wlan.fc.type_subtype == 8 | | wlan.fc.type == 1)
•
Les trames de données uniquement :
wlan.fc.type == 2
•
Le trafic sur un BSSID spécifique :
wlan.bssid == 00:02:bc:00:17:d0
•
Tout le trafic de et vers un client spécifique :
wlan.addr == 00:00:e8:4e:5f:8e
En mode de capture distante, le trafic est envoyé vers l'ordinateur qui exécute
Wireshark via l'une des interfaces réseau. Selon l'emplacement de l'outil
Wireshark, le trafic peut être envoyé sur une interface Ethernet ou l'une des radios.
Pour éviter un flux de trafic causé par le suivi des paquets, le périphérique WAP
installe automatiquement un filtre de capture afin d'éliminer tous les paquets
destinés à l'application Wireshark. Par exemple, si le port IP Wireshark est
configuré sur 58000, alors le filtre de capture suivant est automatiquement installé
sur le périphérique WAP :
not port range 58000-58004
Guide d'administration pour Cisco WAP131 et WAP351
65
3
Administration
Capture de paquets
Pour des raisons de performance et de sécurité, le mode de capture de paquets
n'est pas enregistré dans la NVRAM sur le périphérique WAP. Si le périphérique
WAP est réinitialisé, le mode de capture est désactivé et vous devez le réactiver
pour rétablir la capture du trafic. Les paramètres de capture de paquets (autres
que le mode) sont enregistrés dans la NVRAM.
L'activation de la fonction de capture de paquets peut engendrer un problème de
sécurité : des clients non autorisés sont susceptibles de pouvoir se connecter au
périphérique WAP et d'effectuer un suivi des données utilisateur. En outre, les
performances du périphérique WAP sont dégradées pendant la capture de
paquets et cet impact négatif continue à être détecté dans une moindre mesure
même lorsqu'il n'y a pas de session Wireshark active. Pour réduire cet impact sur
les performances du périphérique WAP pendant la capture du trafic, installez des
filtres de capture afin de contrôler le trafic envoyé vers l'outil Wireshark. Pendant la
capture du trafic 802.11, les trames capturées sont pour une grande partie des
balises (généralement envoyées toutes les 100 ms par tous les points d'accès).
Même si Wireshark prend en charge un filtre d'affichage pour les trames de balise,
il ne prend pas en charge un filtre de capture empêchant le périphérique WAP de
réacheminer les paquets de balise capturés vers l'outil Wireshark. Pour réduire
l'impact de la capture des balises 802.11 sur les performances, désactivez le
mode de capture des balises.
État de la capture de paquets
La zone Packet Capture Status indique l'état d'une capture de paquets,
lorsqu'une capture est active sur le périphérique WAP.
•
Current Capture Status : indique si la capture de paquets est en cours
d'exécution ou arrêtée.
•
Packet Capture Time : durée de capture écoulée.
•
Packet Capture File Size : taille du fichier de capture locale (impossible
d'enregistrer la taille du fichier de capture distante).
Cliquez sur Refresh pour afficher les dernières données issues du périphérique
WAP, ou sur Stop Capture pour arrêter la capture d'un fichier de paquets.
Guide d'administration pour Cisco WAP131 et WAP351
66
3
Administration
Capture de paquets
Téléchargement du fichier de capture de paquets
Vous pouvez télécharger un fichier de capture par TFTP vers un serveur TFTP
configuré, ou par HTTP/HTTPS vers un ordinateur. Une capture est
automatiquement arrêtée dès le déclenchement de la commande de
téléchargement du fichier de capture.
Puisque le fichier de capture est stocké dans le système de fichiers RAM, il
disparaît si le périphérique WAP est réinitialisé.
Pour télécharger un fichier de capture de paquets via TFTP :
ÉTAPE 1 Sélectionnez Administration > Packet Capture.
ÉTAPE 2 Cochez la case Use TFTP to download the capture file.
ÉTAPE 3 Dans TFTP Server Filename, saisissez le nom de fichier du serveur TFTP à
télécharger s'il diffère du nom par défaut. Par défaut, les paquets capturés sont
stockés dans le fichier de dossiers /tmp/apcapture.pcap sur le périphérique WAP.
ÉTAPE 4 Renseignez TFTP Server IPv4 Address dans le champ prévu à cet effet.
ÉTAPE 5 Cliquez sur Download.
Pour télécharger un fichier de capture de paquets via HTTP/HTTPS :
ÉTAPE 1 Sélectionnez Administration > Packet Capture.
ÉTAPE 2 Décochez la case Use TFTP to download the captured file.
ÉTAPE 3 Cliquez sur Download. Une fenêtre de confirmation s'affiche.
ÉTAPE 4 Cliquez sur OK. Une boîte de dialogue apparaît. Celle-ci vous permet de choisir
l'emplacement d'enregistrement du fichier sur le réseau.
Guide d'administration pour Cisco WAP131 et WAP351
67
3
Administration
Informations relatives au support
Informations relatives au support
Utilisez la page Support Information pour télécharger un fichier texte qui contient
des informations de configuration détaillées sur le périphérique WAP. Le fichier
inclut les informations de version matérielle et logicielle, les adresses MAC et IP,
l'état d'administration et opérationnel des fonctions, les paramètres définis par
l'utilisateur, les statistiques de trafic, etc. Vous pouvez fournir ce fichier texte aux
membres de l'assistance technique pour les aider à résoudre les différents
problèmes.
Pour télécharger les informations de support :
ÉTAPE 1 Sélectionnez Administration > Support Information.
ÉTAPE 2 Cliquez sur Download pour générer le fichier à partir des paramètres système
actuels. Après un bref instant, une fenêtre s'affiche pour vous permettre
d'enregistrer le fichier sur votre ordinateur.
Paramètres de STP
Utilisez la page Spanning Tree Settings pour définir les paramètres STP sur le
Cisco WAP351. Il est possible d'effectuer une configuration par port ou pour
l'ensemble du périphérique.
REMARQUE Vous pouvez aussi accéder à la page WDS Bridge pour définir les paramètres STP
pour le Cisco WAP131.
Pour configurer les paramètres STP sur le Cisco WAP351 :
ÉTAPE 1 Sélectionnez Administration > Spanning Tree Settings.
ÉTAPE 2 Définissez les paramètres suivants :
•
STP Status : active ou désactive STP sur l'ensemble du Cisco WAP351. Par
défaut, STP est activé.
•
Flood BPDU if STP is disabled on port(s) : activez l'option pour transmettre
les paquets BPDU reçus du ou des ports dont l'état STP est désactivé, ou
désactivez-la pour abandonner les paquets BPDU reçus du ou des ports
dont l'état STP est désactivé.
Guide d'administration pour Cisco WAP131 et WAP351
68
3
Administration
Paramètres de STP
•
Per Port STP Status Setting : cochez l'option pour activer STP sur un port
ou décochez-la pour désactiver STP sur un port.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
69
4
Réseau local
Ce chapitre explique comment configurer les paramètres pour le port, le VLAN et
l'adressage IPv4 et IPv6 du périphérique WAP. Il contient les rubriques suivantes :
•
Paramètres des ports
•
Configuration VLAN
•
Paramètres IPv4
•
Paramètres IPv6
Paramètres des ports
Utilisez la page Port Settings pour afficher et configurer les paramètres du port
qui connecte physiquement le périphérique WAP à un réseau local.
Configuration des paramètres de port pour Cisco WAP131
Pour configurer les paramètres de port :
ÉTAPE 1 Sélectionnez LAN > Port Settings.
La zone Operational Status indique le type de port utilisé pour le port de réseau
local ainsi que les caractéristiques de liaison, tels qu'ils sont configurés dans la
zone Administrative Settings. En cas de modification des paramètres lors de la
configuration ou de la négociation automatique, cliquez sur Refresh pour afficher
les derniers paramètres.
ÉTAPE 2 Activez ou désactivez l'option Auto Negotiation.
•
Lorsque cette option est activée, le port négocie avec son partenaire de
liaison afin de définir la vitesse de liaison la plus rapide et le mode duplex
disponible.
Guide d'administration pour Cisco WAP131 et WAP351
70
4
Réseau local
Paramètres des ports
•
Si cette option est désactivée, vous pouvez configurer manuellement la
vitesse du port et le mode duplex.
ÉTAPE 3 Si l'option Auto Negotiation est désactivée, sélectionnez la vitesse dans le champ
Port Speed (10/100 Mbit/s) et le mode duplex (Half-duplex ou Full-duplex).
ÉTAPE 4 Activez ou désactivez l'option Green Ethernet Mode.
•
Le mode Green Ethernet prend en charge le mode basse puissance
automatique et le mode EEE (Energy Efficient Ethernet, IEEE 802.3az). Le
mode Green Ethernet fonctionne uniquement lorsque la négociation
automatique de port est activée.
•
Le mode basse puissance automatique permet de diminuer la
consommation énergétique des puces en cas d'absence de signal émanant
d'un partenaire de liaison. Le périphérique WAP passe automatiquement en
mode basse puissance en cas de perte d'énergie sur la ligne et il reprend un
fonctionnement normal lorsqu'il détecte de l'énergie.
•
Le mode EEE supporte des périodes silencieuses en cas de faible utilisation
de la liaison, ce qui permet aux deux extrémités d'une liaison de désactiver
des parties de chaque circuit de la couche physique afin d'économiser de
l'énergie.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Configuration des paramètres de port pour Cisco WAP351
Pour configurer les paramètres de port :
ÉTAPE 1 Sélectionnez LAN > Port Settings.
La table Port Settings répertorie les configurations et les états suivants pour les
5 interfaces (LAN1 à LAN5) :
•
Port Status : affiche l'état de la liaison du port.
•
Port Speed : en mode vérification, affiche la vitesse actuelle du port. En
mode d'édition, si la négociation automatique est désactivée, sélectionnez
une vitesse de port, comme 100 Mbit/s ou 10 Mbit/s. La vitesse 1000 Mbit/s
n'est prise en charge que si la négociation automatique est activée.
Guide d'administration pour Cisco WAP131 et WAP351
71
4
Réseau local
Paramètres des ports
•
Duplex Mode : en mode vérification, affiche le mode duplex actuel du port.
En mode d'édition, si la négociation automatique est désactivée,
sélectionnez Half-Duplex ou Full-Duplex.
•
Auto Negotiation : lorsque cette option est activée, le port négocie avec son
partenaire de liaison afin de définir la vitesse de liaison la plus rapide et le
mode duplex disponible. Si cette option est désactivée, vous pouvez
configurer manuellement la vitesse du port (Port Speed) et le mode duplex
(Duplex Mode).
•
Green Ethernet : le mode Green Ethernet prend en charge le mode basse
puissance automatique et le mode EEE (Energy Efficient Ethernet, IEEE
802.3az). Le mode Green Ethernet fonctionne uniquement lorsque la
négociation automatique de port est activée. Le mode basse puissance
automatique permet de diminuer la consommation énergétique des puces
en cas d'absence de signal émanant d'un partenaire de liaison. Le
périphérique WAP passe automatiquement en mode basse puissance en
cas de perte d'énergie sur la ligne et il reprend un fonctionnement normal
lorsqu'il détecte de l'énergie. Le mode EEE supporte des périodes
silencieuses en cas de faible utilisation de la liaison, ce qui permet aux deux
extrémités d'une liaison de désactiver des parties de chaque circuit de la
couche physique afin d'économiser de l'énergie.
•
Jumbo Frames : lorsque cette option est activée, le port accepte des
paquets d'une longueur pouvant atteindre 9 720 octets. Dans le cas
contraire, la longueur des paquets est limitée à 2 000 octets. Vous ne pouvez
activer l'option Jumbo Frame que lorsque la vitesse de liaison est en mode
1000 Mbit/s. Dans la mesure où l'interface sans fil ne prend pas en charge
les trames Jumbo, elle ne peut transférer des paquets qu'entre des ports
Ethernet (LAN1 à LAN5). Il est donc préférable de désactiver cette option.
•
CoS (port VLAN priority, 802.1p Class of Service) : affecte la classe de
service 802.1p lorsque le port reçoit un paquet non balisé.
ÉTAPE 2 Cochez les interfaces à modifier, puis cliquez sur le bouton Edit pour passer en
mode d'édition. Saisissez ensuite vos paramètres.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
72
4
Réseau local
Configuration VLAN
Configuration VLAN
Utilisez la page VLAN Configuration pour consulter et configurer les paramètres
VLAN.
Configuration des paramètres VLAN pour Cisco WAP131
ÉTAPE 1 Sélectionnez LAN > VLAN Configuration.
ÉTAPE 2 Définissez les paramètres suivants :
•
Untagged VLAN : active ou désactive le balisage de VLAN. Lorsque cette
option est activée (paramètre par défaut), tout le trafic est balisé avec un ID
de VLAN.
Par défaut, la totalité du trafic sur le périphérique WAP utilise le VLAN1, à
savoir le VLAN non balisé par défaut. Cela signifie que l'ensemble du trafic
est non balisé jusqu'à la désactivation du VLAN non balisé, la modification de
l'ID de VLAN du trafic non balisé ou la modification de l'ID de VLAN d'un point
d'accès virtuel (VAP) ou d'un client utilisant un serveur RADIUS.
•
Untagged VLAN ID : indique un nombre compris entre 1 et 4094 pour l'ID de
VLAN non balisé. La valeur par défaut est 1. Le trafic sur le VLAN que vous
spécifiez dans ce champ n'est pas balisé avec un ID de VLAN lors de son
transfert sur le réseau.
VLAN 1 est à la fois le VLAN non balisé par défaut et le VLAN de gestion par
défaut. Si vous souhaitez séparer le trafic de gestion du trafic du VLAN non
balisé, configurez le nouvel ID de VLAN au niveau de votre routeur, puis
utilisez ce nouvel ID de VLAN sur votre périphérique WAP.
•
Management VLAN ID : VLAN associé à l'adresse IP que vous utilisez pour
accéder au périphérique WAP. Saisissez un nombre compris entre 1 et 4094
pour l'ID de VLAN de gestion. La valeur par défaut est 1.
Ce VLAN est également le VLAN non balisé par défaut. Si vous possédez
déjà un VLAN de gestion configuré sur votre réseau avec un ID de VLAN
différent, vous devez modifier l'ID de VLAN du VLAN de gestion sur le
périphérique WAP.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
73
4
Réseau local
Configuration VLAN
Configuration des paramètres VLAN pour Cisco WAP351
Pour configurer les paramètres d'un VLAN :
ÉTAPE 1 Sélectionnez LAN > VLAN Configuration.
ÉTAPE 2 Dans la table VLAN Setting, chaque enregistrement VLAN comporte les champs
suivants :
•
VLAN ID : Identifiant du réseau VLAN. Chaque ID VLAN est compris entre 1
et 4094 et doit être différent des autres ID VLAN.
•
Description : description du réseau VLAN associé. La description ne doit
pas comporter plus de 64 caractères (A-Z, a-z, 0-9, _).
•
VLAN de gestion : sélectionnez le VLAN de gestion utilisé pour accéder au
périphérique WAP via Telnet ou l'interface utilisateur graphique (GUI) Web. Il
ne doit exister qu'un seul et unique VLAN de gestion. Si aucune interface
(filaire ou sans fil) n'appartient au VLAN de gestion, l'utilisateur ne dispose
d'aucune interface pour accéder à l'utilitaire de configuration.
•
LAN1 - LAN5 : chaque port ne doit avoir qu'un seul VLAN non balisé. Les
options sont les suivantes :
-
Non balisé : le port est un membre du VLAN. Un paquet du VLAN émis à
partir du port sera non balisé. Un paquet non balisé reçu par le port sera
classifié comme appartenant au VLAN (balisé).
-
Balisé : le port est un membre du VLAN. Un paquet du VLAN émis à partir
du port sera balisé avec l'en-tête du VLAN.
-
Excluded : le port n'appartient pas au VLAN.
REMARQUE Il est impossible de supprimer l'ID VLAN 1. Si un port (filaire ou sans fil) associé au
VLAN a été supprimé, le périphérique WAP définira automatiquement son ID VLAN
à 1.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il se peut que le périphérique
WAP perde sa connectivité. Nous vous recommandons de choisir un moment où
une perte de connectivité aura le moins d'impact sur vos clients sans fil pour
modifier les paramètres du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
74
4
Réseau local
Paramètres IPv4
Paramètres IPv4
Utilisez la page IPv4 Settings pour configurer l'affectation d'adresses IPv4
statiques ou dynamiques.
Pour configurer les paramètres d'adresses IPv4 :
ÉTAPE 1 Select LAN > IPv4 Setting.
ÉTAPE 2 Configurez les paramètres IPv4 suivants :
•
Connection Type : par défaut, le client DHCP sur le périphérique WAP
diffuse automatiquement les demandes d'informations de réseau. Si vous
voulez utiliser une adresse IP statique, vous devez désactiver le client DHCP
et configurer manuellement l'adresse IP ainsi que les autres informations de
réseau.
Sélectionnez l'une des options suivantes :
-
DHCP : le périphérique WAP acquiert son adresse IP d'un serveur DHCP
sur le réseau local.
-
Static IP : configurez manuellement l'adresse IPv4. La forme de l'adresse
IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10).
•
Static IP Address, Subnet Mask et Default Gateway : si vous avez choisi
d'affecter une adresse IP statique, saisissez ici les informations IP
correspondantes.
•
Domain Name Servers : sélectionnez l'une des options suivantes :
-
Dynamic : le périphérique WAP acquiert les adresses de serveur DNS
d'un serveur DHCP sur le réseau local.
-
Manual : configurez manuellement une ou plusieurs adresses de serveur
DNS. Saisissez jusqu'à deux adresses IP dans les champs fournis.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il se peut que le périphérique
WAP perde sa connectivité. Nous vous recommandons de choisir un moment où
une perte de connectivité aura le moins d'impact sur vos clients sans fil pour
modifier les paramètres du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
75
4
Réseau local
Paramètres IPv6
Paramètres IPv6
Utilisez la page IPv6 Setting pour configurer le périphérique WAP afin qu'il utilise
une adresse IPv6 et un tunnel IPv6.
Pour configurer les paramètres d'adresse IPv6 :
ÉTAPE 1 Select LAN > IPv6 Setting.
ÉTAPE 2 Définissez les paramètres suivants :
•
IPv6 Connection Type : choisissez la façon dont le périphérique WAP
obtient une adresse IPv6 :
-
DHCPv6 : l'adresse IPv6 est affectée par un serveur DHCPv6.
-
Static IPv6 : configurez manuellement les adresses IPv6. La forme de
l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
•
IPv6 Administration Mode : active ou désactive l'accès de gestion IPv6.
•
IPv6 Auto Configuration Administration Mode : active ou désactive la
configuration automatique des adresses IPv6 sur le périphérique WAP.
Lorsque cette option est activée, le périphérique WAP apprend ses
adresses et sa passerelle IPv6 en traitant les messages de notification de
routeur reçus sur le port LAN. Le périphérique WAP peut posséder plusieurs
adresses IPv6 configurées automatiquement.
•
Static IPv6 Address : adresse IPv6 statique. Le périphérique WAP peut
posséder une adresse IPv6 statique, même si des adresses ont déjà été
configurées automatiquement.
•
Static IPv6 Address Prefix Length : longueur de préfixe de l'adresse
statique, à savoir un entier compris entre 0 et 128. La valeur par défaut est 0.
•
Static IPv6 Address Status : sélectionnez l'une des options suivantes :
-
Operational : l'adresse IP a été vérifiée comme étant unique sur le réseau
local et elle est utilisable sur l'interface.
-
Tentative : le périphérique WAP initie automatiquement un processus de
détection des adresses en double (DAD, Duplicate Address Detection)
lors de l'affectation d'une adresse IP statique. Une adresse IPv6 reste à
l'état provisoire pendant que le système vérifie qu'elle est unique sur le
réseau. Lorsqu'elle se trouve dans cet état, l'adresse IPv6 ne peut pas
être utilisée pour transmettre ou recevoir le trafic normal.
Guide d'administration pour Cisco WAP131 et WAP351
76
4
Réseau local
Paramètres IPv6
-
Vide (aucune valeur) : aucune adresse IP n'est affectée ou l'adresse
affectée n'est pas opérationnelle.
•
IPv6 Autoconfigured Global Addresses : si une ou plusieurs adresses IPv6
ont été affectées automatiquement au périphérique WAP, ces adresses sont
répertoriées ici.
•
IPv6 Link Local Address : adresse IPv6 utilisée par la liaison physique
locale. L'adresse locale de liaison n'est pas configurable et elle est affectée
à l'aide du processus de détection de voisinage IPv6.
•
Default IPv6 Gateway : passerelle IPv6 par défaut configurée de manière
statique.
•
IPv6 Domain Name Servers : sélectionnez l'une des options suivantes :
-
Dynamic : les serveurs de noms DNS sont appris dynamiquement par le
biais de DHCPv6.
-
Manual : spécifiez manuellement jusqu'à deux serveurs de noms DNS
IPv6 dans les champs prévus à cet effet.
ÉTAPE 3 Configurez un tunnel IPv6 à l'aide du protocole ISATAP.
Le périphérique WAP prend en charge le protocole ISATAP (Intra-Site Automatic
Tunnel Addressing Protocol). Le protocole ISATAP permet au périphérique WAP
de transmettre des paquets IPv6 encapsulés dans des paquets IPv4 sur le réseau
local. Grâce à ce protocole, le périphérique WAP peut communiquer avec des
hôtes compatibles IPv6 distants, même si le réseau local qui les connecte ne
prend pas en charge IPv6.
Le périphérique WAP agit en tant que client ISATAP. Un hôte ou un routeur prenant
en charge le protocole ISATAP doit résider sur le réseau local. L'adresse IP ou le
nom d'hôte du routeur est configuré sur le périphérique WAP (par défaut, il s'agit
d'isatap). S'il est configuré en tant que nom d'hôte, le périphérique WAP
communique avec un serveur DNS pour résoudre le nom en une ou plusieurs
adresses de routeur ISATAP. Le périphérique WAP envoie ensuite des messages
de sollicitation aux routeurs. Lorsqu'un routeur prenant en charge le protocole
ISATAP répond par le biais d'un message d'annonce, le périphérique WAP et le
routeur établissent le tunnel. Une adresse lien-local et une adresse IPv6 globale
sont affectées à l'interface de tunnel et font office d'interfaces IPv6 virtuelles sur le
réseau IPv4.
Guide d'administration pour Cisco WAP131 et WAP351
77
4
Réseau local
Paramètres IPv6
Lorsque des hôtes IPv6 initient une communication avec le périphérique WAP
connecté par l'intermédiaire du routeur ISATAP, les paquets IPv6 sont encapsulés
dans des paquets IPv4 par le routeur ISATAP.
•
ISATAP Status : active ou désactive le mode d'administration du protocole
ISATAP sur le périphérique WAP.
•
ISATAP Capable Host : adresse IP ou nom DNS du routeur ISATAP. La valeur
par défaut est isatap.
•
ISATAP Query Interval : spécifie à quelle fréquence le périphérique WAP
doit envoyer des requêtes au serveur DNS pour tenter de résoudre le nom
d'hôte ISATAP en une adresse IP. Le périphérique WAP n'envoie des requêtes
DNS que lorsque l'adresse IP du routeur ISATAP est inconnue. La plage
valide va de 120 à 3600 secondes. La valeur par défaut est 120 secondes.
•
ISATAP Solicitation Interval : spécifie à quelle fréquence le périphérique
WAP doit envoyer des messages de sollicitation de routeur aux routeurs
ISATAP dont il obtient des informations par le biais de messages de
requêtes DNS. Le périphérique WAP n'envoie des messages de sollicitation
de routeur que lorsqu'il n'y a pas de routeur ISATAP actif. La plage valide va
de 120 à 3600 secondes. La valeur par défaut est 120 secondes.
REMARQUE Lorsque le tunnel a été établi, les champs ISATAP IPv6 Link
Local Address et ISATAP IPv6 Global Address s'affichent sur la page. Il
s'agit des adresses des interfaces IPv6 virtuelles avec le réseau IPv4.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il se peut que le périphérique
WAP perde sa connectivité. Nous vous recommandons de choisir un moment où
une perte de connectivité aura le moins d'impact sur vos clients sans fil pour
modifier les paramètres du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
78
5
Accès sans fil
Ce chapitre décrit la procédure de configuration des propriétés de la connexion
radio sans fil. Il contient les rubriques suivantes :
•
Radio
•
Rogue AP Detection
•
Réseaux
•
Scheduler
•
Scheduler Association
•
Bandwidth Utilization
•
MAC Filtering
•
WDS Bridge
•
WorkGroup Bridge
•
Quality of Service
Radio
Les paramètres radio contrôlent directement le comportement de la radio dans le
périphérique WAP et son interaction avec le support physique, à savoir le type de
signal émis par le périphérique WAP et la façon dont il procède.
Pour définir les paramètres de la radio sans fil :
ÉTAPE 1 Sélectionnez Wireless > Radio.
ÉTAPE 2 Dans le champ TSPEC Violation Interval, indiquez l'intervalle de temps en
secondes pendant lequel le périphérique WAP doit signaler les clients associés
qui ne respectent pas les procédures de contrôle d'admission obligatoires. La
consignation s'effectue via le journal système et les déroutements SNMP.
Guide d'administration pour Cisco WAP131 et WAP351
79
5
Accès sans fil
Radio
Saisissez une durée comprise entre 0 et 900 secondes. La valeur par défaut est
300 secondes.
ÉTAPE 3 Dans la zone Radio Setting Per Interface, sélectionnez l'interface radio à laquelle
appliquer les paramètres de configuration.
ÉTAPE 4 Dans la zone Basic Settings, définissez les paramètres ci-dessous pour l'interface
radio sélectionnée :
REMARQUE Les réglementations locales peuvent interdire l'utilisation de certains modes radio.
Les modes ne sont pas tous disponibles dans la totalité des pays.
•
Radio : active ou désactive l'interface radio. Par défaut, la radio est
désactivée.
•
MAC Address : affiche l'adresse Media Access Control (MAC) de l'interface.
L'adresse MAC est attribuée par le fabricant et ne peut pas être modifiée.
•
Mode : sélectionnez la norme IEEE 802.11 et la fréquence utilisées par la
radio. Les modes disponibles sont les suivants :
•
-
802.11a : seuls les clients 802.11a peuvent se connecter au périphérique
WAP.
-
802.11b/g : les clients 802.11b et 802.11g peuvent se connecter au
périphérique WAP.
-
802.11a/n : les clients 802.11a et 802.11n fonctionnant dans la fréquence
5 GHz peuvent se connecter au périphérique WAP.
-
802.11b/g/n (par défaut) : les clients 802.11b, 802.11g et 802.11n
fonctionnant dans la fréquence 2,4 GHz peuvent se connecter au
périphérique WAP.
-
5 GHz 802.11n : seuls les clients 802.11n fonctionnant dans la fréquence
5 GHz peuvent se connecter au périphérique WAP.
-
2.4 GHz 802.11n : seuls les clients 802.11n fonctionnant dans la
fréquence 2,4 GHz peuvent se connecter au périphérique WAP.
Channel Bandwidth : la spécification 802.11n autorise un canal de 20/
40 MHz en plus du canal de 20 MHz hérité disponible avec les autres modes.
Le canal de 20/40 MHz offre des débits de données plus élevés, mais laisse
moins de canaux à la disposition des autres périphériques de 2,4 GHz et
5 GHz.
Par défaut, lorsque le mode radio inclut 802.11n, la bande passante du canal
est définie sur 20 MHz pour 2,4 GHz et 20/40 MHz pour 5 GHz.
Guide d'administration pour Cisco WAP131 et WAP351
80
5
Accès sans fil
Radio
•
Primary Channel (modes 802.11n avec une bande passante de 20/40 MHz
seulement) : on peut considérer qu'un canal de 40 MHz se compose de deux
canaux de 20 MHz qui sont contigus dans le domaine de fréquence. Ces
deux canaux de 20 MHz sont souvent appelés canal principal et canal
secondaire. Le canal principal est utilisé pour les clients 802.11n qui
prennent uniquement en charge une bande passante de canal de 20 MHz,
ainsi que pour les clients hérités.
Sélectionnez l'une des options suivantes :
•
-
Upper : définit le canal principal en tant que canal de 20 MHz supérieur
dans la bande de 40 MHz.
-
Lower : définit le canal principal en tant que canal de 20 MHz inférieur
dans la bande de 40 MHz. Lower est la sélection par défaut.
Channel : partie du spectre radio utilisée par la radio pour la transmission et
la réception.
La plage des canaux disponibles est déterminée par le mode de l'interface
radio et le paramètre de code de pays. Si vous sélectionnez Auto pour le
paramètre de canal, le périphérique WAP recherche les canaux disponibles
et sélectionne le canal enregistrant le moins de trafic.
Chaque mode offre plusieurs canaux en fonction du spectre attribué sous
licence par les autorités nationales et internationales, telles que la Federal
Communications Commission (FCC) ou la International Telecommunication
Union (ITU-R).
ÉTAPE 5 Dans la zone Advanced Settings, définissez les paramètres suivants :
•
Short Guard Interval Supported : ce champ est uniquement disponible si le
mode radio sélectionné inclut 802.11n. L'intervalle de sûreté est le temps
mort, en nanosecondes, entre les symboles OFDM. L'intervalle de sûreté
empêche les interférences ISI (Inter-Symbol Interference) et ICI (Inter-Carrier
Interference). Le mode 802.11n permet la réduction, dans cet intervalle de
sûreté, des définitions a et g de 800 nanosecondes à 400 nanosecondes. La
diminution de l'intervalle de sûreté peut entraîner une amélioration de 10
pour cent du débit de données. Le client avec lequel le périphérique WAP
communique doit aussi prendre en charge l'intervalle de sûreté court.
Sélectionnez l'une des options suivantes :
-
Yes : le périphérique WAP transmet les données avec un intervalle de
sûreté de 400 nanosecondes lorsqu'il communique avec des clients
prenant aussi en charge l'intervalle de sûreté court. Il s'agit de la valeur
sélectionnée par défaut.
Guide d'administration pour Cisco WAP131 et WAP351
81
5
Accès sans fil
Radio
•
No : le périphérique WAP transmet les données avec un intervalle de
sûreté de 800 nanosecondes.
Protection : la fonction de protection contient les règles garantissant que les
transmissions 802.11 ne créent pas d'interférences avec les stations ou
applications héritées. Par défaut, la protection est activée (Auto). Lorsque la
protection est activée, celle-ci est appelée si des périphériques hérités se
trouvent à portée du périphérique WAP.
Vous pouvez désactiver la protection (Off) ; cependant, les clients hérités ou
les périphériques WAP à portée peuvent être affectés par les transmissions
802.11n. La protection est également disponible lorsque le mode est
802.11b/g. Si la protection est activée dans ce mode, elle protège les clients
802.11b et les périphériques WAP contre les transmissions 802.11g.
REMARQUE Ce paramètre n'empêche pas le client de s'associer au
périphérique WAP.
•
Beacon Interval : intervalle entre la transmission des trames de balise. Le
périphérique WAP les transmet à intervalles réguliers pour annoncer
l'existence du réseau sans fil. Le comportement par défaut consiste à
envoyer une trame de balise toutes les 100 millisecondes (ou 10 par
seconde). Saisissez un entier compris entre 20 et 2 000 millisecondes. La
valeur par défaut est 100 millisecondes.
•
DTIM Period : période DTIM (Delivery Traffic Information Map). Saisissez un
entier compris entre 1 et 255 balises. La valeur par défaut est 2 balises.
Le message DTIM est un élément inclus dans certaines trames de balise. Il
indique les stations clientes actuellement en mode basse puissance qui ont
des données mises en mémoire tampon sur le périphérique WAP en attente
de sélection.
La période DTIM que vous spécifiez indique la fréquence à laquelle les
clients servis par ce périphérique WAP doivent rechercher les données
mises en mémoire tampon qui se trouvent encore sur le périphérique WAP
en attente de sélection.
La mesure s'effectue en balises. Par exemple, si vous définissez cette valeur
sur 1, les clients recherchent les données mises en mémoire tampon sur le
périphérique WAP à chaque balise. Si vous définissez cette valeur sur 10, les
clients effectuent leur recherche toutes les 10 balises.
•
Fragmentation Threshold : seuil de la taille de trame en octets. L'entier
valide doit être pair et se trouver dans la plage comprise entre 256 et 2 346.
La valeur par défaut est 2 346.
Guide d'administration pour Cisco WAP131 et WAP351
82
5
Accès sans fil
Radio
Le seuil de fragmentation est un moyen de limiter la taille des paquets
(trames) transmis sur le réseau. Si un paquet dépasse le seuil de
fragmentation défini, la fonction de fragmentation est activée et le paquet est
envoyé sous la forme de plusieurs trames 802.11.
Si le paquet transmis est égal ou inférieur au seuil, la fragmentation n'est pas
utilisée. La définition du seuil sur la valeur la plus élevée (2 346 octets, qui est
la valeur par défaut) désactive effectivement la fragmentation.
La fragmentation implique une charge de traitement supérieure, en raison du
travail supplémentaire nécessaire à la division et au réassemblage des
trames, mais aussi parce qu'elle augmente le trafic de messages sur le
réseau. Toutefois, la fragmentation peut contribuer à améliorer la
performance et la fiabilité du réseau si elle est correctement configurée.
L'envoi de trames plus petites (par l'intermédiaire d'un seuil de fragmentation
plus bas) peut aider à résoudre les problèmes d'interférences, par exemple
avec les fours à micro-ondes.
Par défaut, la fragmentation est désactivée. Nous vous conseillons de ne pas
utiliser la fragmentation à moins que vous ne suspectiez des interférences
radio. Les en-têtes supplémentaires appliqués à chaque fragment
augmentent la charge de traitement sur le réseau et peuvent réduire
significativement le débit.
•
RTS Threshold : valeur de seuil Request to Send (RTS). La plage de
nombres entiers valides est comprise entre 0 et 2 347. La valeur par défaut
est 2 347.
Le seuil RTS indique le nombre d'octets dans un MPDU au-dessous duquel
aucune liaison RTS/CTS n'est établie.
La modification du seuil RTS peut aider à contrôler le flux de trafic via le
périphérique WAP, notamment lorsqu'il comporte un grand nombre de
clients. Si vous indiquez une valeur de seuil faible, les paquets RTS sont
envoyés plus fréquemment, ce qui consomme davantage de bande
passante et réduit le débit du paquet. Cependant, l'envoi d'un plus grand
nombre de paquets RTS peut permettre le rétablissement du réseau suite à
des interférences ou des collisions susceptibles de se produire sur un
réseau chargé ou sur un réseau rencontrant des interférences
électromagnétiques.
•
Maximum Associated Clients : nombre maximal de stations autorisées à
accéder au périphérique WAP à un moment donné. Vous pouvez entrer un
entier compris entre 0 et 200. La valeur par défaut est 200 stations.
Guide d'administration pour Cisco WAP131 et WAP351
83
5
Accès sans fil
Radio
•
Transmit Power : valeur en pourcentage du niveau de puissance de
transmission pour le périphérique WAP.
La valeur par défaut de 100 pour cent peut être plus économique qu'un
pourcentage inférieur, car elle donne au périphérique WAP une plage de
diffusion maximale et réduit le nombre de points d'accès requis.
Pour accroître la capacité du réseau, rapprochez les périphériques WAP les
uns des autres et réduisez la valeur de la puissance de transmission. Ce
paramètre permet ainsi de limiter le chevauchement et les interférences
entre les points d'accès. Une puissance de transmission plus basse permet
également de sécuriser davantage votre réseau, car des signaux sans fil
plus faibles sont moins susceptibles de se propager en dehors de
l'emplacement physique de votre réseau.
Certaines combinaisons de plages de canaux et de code de pays ont une
puissance de transmission maximale relativement basse. Si vous essayez
de définir la puissance de transmission sur des plages plus basses (par
exemple, 25 % ou 12 %), la baisse de puissance attendue est susceptible de
ne pas se produire, car certains amplificateurs de puissance doivent
respecter une puissance de transmission minimale.
•
Fixed Multicast Rate : vitesse de transmission en Mbit/s pour les paquets
de diffusion et de multidiffusion. Ce paramètre peut être utile dans un
environnement présentant un flux vidéo continu multidestination sans fil, à
condition que les clients sans fil prennent en charge le débit configuré.
Lorsque Auto est sélectionné, le périphérique WAP choisit le meilleur débit
pour les clients associés. La plage de valeurs valides est déterminée par le
mode radio configuré.
•
Legacy Rate Sets : les débits sont exprimés en mégabits par seconde.
Le paramètre Supported Rate Sets indique les débits pris en charge par le
périphérique WAP. Vous pouvez sélectionner plusieurs débits (cochez une
case pour sélectionner un débit ou décochez-la pour le désélectionner). Le
périphérique WAP choisit automatiquement le débit le plus efficace en
fonction de facteurs tels que les taux d'erreur et la distance entre les stations
clientes et le périphérique WAP.
Le paramètre Basic Rate Sets indique les débits annoncés au réseau par le
périphérique WAP, de façon à établir la communication avec les autres
points d'accès et stations clientes du réseau. Il est généralement plus
efficace d'avoir un périphérique WAP qui diffuse un sous-ensemble de ses
ensembles de débits pris en charge.
Guide d'administration pour Cisco WAP131 et WAP351
84
5
Accès sans fil
Radio
•
Broadcast/Multicast Rate Limiting : la limite du débit de diffusion et
multidiffusion peut augmenter la performance globale du réseau en limitant
le nombre de paquets transmis sur le réseau.
Par défaut, cette fonction est désactivée. Tant que vous ne l'activez pas, les
champs ci-dessous sont désactivés :
•
•
•
-
Rate Limit : limite de débit pour le trafic de diffusion et multidiffusion. La
limite doit être supérieure à 1, mais inférieure à 50 paquets par seconde.
Tout le trafic inférieur à cette limite de débit est conforme et est toujours
transmis vers la destination appropriée. Le paramètre de limite de débit
par défaut et maximale est de 50 paquets par seconde.
-
Rate Limit Burst : volume de trafic, mesuré en octets, autorisé à transiter
sous forme de rafale temporaire même s'il dépasse le débit maximal
défini. Le paramètre de rafale de limite de débit par défaut et maximale
est de 75 paquets par seconde.
TSPEC Mode : régule le mode TSPEC global sur le périphérique WAP. Par
défaut, le mode TSPEC est désactivé. Les options sont les suivantes :
-
On : le périphérique WAP traite les demandes TSPEC en fonction des
paramètres TSPEC définis sur la page Radio. Utilisez ce paramètre si le
périphérique WAP gère le trafic provenant de périphériques QoS, tels
qu'un téléphone CERTIFIÉ Wi-Fi.
-
Off : le périphérique WAP ignore les demandes TSPEC des stations
clientes. Utilisez ce paramètre si vous ne souhaitez pas utiliser TSPEC
pour donner la priorité aux périphériques QoS en cas de trafic urgent.
TSPEC Voice ACM Mode : régule le contrôle d'admission obligatoire (ACM)
pour la catégorie d'accès vocal. Par défaut, le mode TSPEC Voice ACM est
désactivé. Les options sont les suivantes :
-
On : une station doit envoyer une demande TSPEC de bande passante au
périphérique WAP avant d'envoyer ou de recevoir un flux de trafic vocal.
Le périphérique WAP répond avec le résultat de la demande, qui inclut le
temps moyen alloué si la TSPEC a été autorisée.
-
Off : une station peut envoyer et recevoir le trafic de priorité voix sans
nécessiter de demande TSPEC admise. Le périphérique WAP ignore les
demandes TSPEC voix émanant des stations clientes.
TSPEC Voice ACM Limit : limite supérieure du volume de trafic que le
périphérique WAP tente de transmettre sur le support sans fil via un contrôle
d'admission voix pour obtenir l'accès. La limite par défaut est de 20 pour
cent du trafic total.
Guide d'administration pour Cisco WAP131 et WAP351
85
5
Accès sans fil
Radio
•
TSPEC Video ACM Mode : régule le contrôle d'admission obligatoire pour la
catégorie d'accès vidéo. Par défaut, le mode TSPEC Video ACM est
désactivé. Les options sont les suivantes :
-
On : une station doit envoyer une demande TSPEC de bande passante au
périphérique WAP avant d'envoyer ou de recevoir un flux de trafic vidéo.
Le périphérique WAP répond avec le résultat de la demande, qui inclut le
temps moyen alloué si la TSPEC a été autorisée.
-
Off : une station peut envoyer et recevoir le trafic de priorité vidéo sans
nécessiter de TSPEC autorisée ; le périphérique WAP ignore les
demandes TSPEC vidéo des stations clientes.
•
TSPEC Video ACM Limit : limite supérieure du volume de trafic que le
périphérique WAP tente de transmettre sur le support sans fil via un contrôle
d'autorisation vidéo pour obtenir l'accès. La limite par défaut est de 15 pour
cent du trafic total.
•
TSPEC AP Inactivity Timeout : durée nécessaire à un périphérique WAP
pour détecter une spécification inactive de trafic descendant avant de la
supprimer. La plage de nombres entiers valides est comprise entre 0 et
120 secondes. La valeur par défaut est 30 secondes.
•
TSPEC Station Inactivity Timeout : durée nécessaire à un
périphérique WAP pour détecter une spécification inactive de trafic montant
avant de la supprimer. La plage de nombres entiers valides est comprise
entre 0 et 120 secondes. La valeur par défaut est 30 secondes.
•
TSPEC Legacy WMM Queue Map Mode : active ou désactive l'interaction
du trafic hérité dans les files d'attente fonctionnant comme ACM. Par défaut,
ce mode est désactivé.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique
WAP perde la connectivité. Nous vous recommandons de choisir un moment où une
perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier
les paramètres du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
86
5
Accès sans fil
Rogue AP Detection
Rogue AP Detection
Le périphérique Cisco WAP351 prend en charge la fonction de détection des
points d'accès non autorisés. Un point d'accès non autorisé est un point d'accès
qui a été installé sur un réseau sécurisé sans l'autorisation explicite d'un
administrateur système. Les points d'accès non autorisés constituent une menace
sur le plan de la sécurité, car toute personne ayant accès aux locaux peut, par
ignorance ou par malveillance, installer un périphérique WAP sans fil bon marché
pouvant potentiellement permettre à des personnes non autorisées d'accéder au
réseau.
REMARQUE La fonction de détection des points d'accès non autorisés est seulement disponible
sur les périphériques Cisco WAP351. Le modèle Cisco WAP131 ne prend pas cette
fonction en charge.
Le périphérique WAP effectue une analyse RF sur tous les canaux afin de détecter
tous les points d'accès à proximité du réseau. Si des points d'accès non autorisés
sont détectés, ils apparaissent sur la page Rogue AP Detection. Si un point
d'accès identifié comme non autorisé est en réalité légitime, vous pouvez l'ajouter
à la Known AP List.
REMARQUE La Detected Rogue AP List et la Trusted AP List fournissent les informations vous
permettant de prendre les mesures adéquates. Le point d'accès n'a aucun contrôle
sur les points d'accès non autorisés qui sont indiqués dans les listes et ne peut pas
appliquer de stratégies de sécurité aux points d'accès détectés via l'analyse RF.
Lorsque la fonction de détection des points d'accès non autorisés est activée, la
radio quitte régulièrement son canal de fonctionnement pour analyser les autres
canaux de la même bande.
Affichage de la Rogue AP List
La détection des points d'accès non autorisés ne fonctionne pas tant que la radio
sans fil n'est pas activée. Vous devez donc activer l'interface radio avant d'activer
la fonction de détection des points d'accès non autorisés pour cette dernière.
Pour que la radio puisse recueillir des informations sur les points d'accès non
autorisés, procédez comme suit :
ÉTAPE 1 Sélectionnez Wireless > Rogue AP Detection.
ÉTAPE 2 Cochez Enable en regard des champs AP Detection for Radio 1 et AP Detection
for Radio 2.
Guide d'administration pour Cisco WAP131 et WAP351
87
5
Accès sans fil
Rogue AP Detection
ÉTAPE 3 Cliquez sur Save.
Le tableau Detected Rogue AP List affiche des informations sur tous les points
d'accès non autorisés détectés, tandis que le tableau Trusted AP List affiche des
informations sur tous les points d'accès approuvés.
•
MAC Address : adresse MAC du point d'accès non autorisé.
•
Beacon Interval : intervalle de balise utilisé par le point d'accès non autorisé.
Les trames de balise sont transmises par un point d'accès à intervalles
réguliers pour annoncer l'existence du réseau sans fil. Le comportement par
défaut consiste à envoyer une trame de balise toutes les 100 millisecondes
(ou 10 par seconde). Vous pouvez définir l'intervalle de balise sur la page
Radio.
•
Type : type du périphérique. Les options sont les suivantes :
-
AP : indique que le périphérique non autorisé est un point d'accès qui
prend en charge la structure IEEE 802.11 Wireless Networking
Framework en mode infrastructure.
-
Ad hoc : indique que la station non autorisée fonctionne en mode Ad hoc.
Les stations définies en mode Ad hoc communiquent directement entre
elles, sans utiliser de point d'accès classique. Le mode Ad hoc est une
structure IEEE 802.11 Wireless Networking Framework, également
appelée mode d'égal à égal, ou ensemble de services de base
indépendants (IBSS, Independent Basic Service Set).
•
SSID : SSID (Service Set Identifier) du périphérique WAP. Le SSID est une
chaîne alphanumérique de 32 caractères maximum qui identifie de manière
unique un réseau local sans fil. Il porte également le nom de Network Name
(nom du réseau).
•
Privacy : indique si le périphérique non autorisé intègre un dispositif de
sécurité. Les options sont les suivantes :
•
-
Off : indique que le mode de sécurité sur le périphérique non autorisé est
défini sur None (aucune sécurité).
-
On : indique que le périphérique non autorisé intègre un dispositif de
sécurité. Vous pouvez utiliser la page Réseaux pour définir les
paramètres de sécurité sur le périphérique WAP.
WPA : indique si la sécurité WPA est activée ou désactivée pour le point
d'accès non autorisé.
Guide d'administration pour Cisco WAP131 et WAP351
88
5
Accès sans fil
Rogue AP Detection
•
Band : mode IEEE 802.11 utilisé sur le point d'accès non autorisé, par
exemple IEEE 802.11a, IEEE 802.11b, IEEE 802.11g.
Le numéro affiché indique le mode :
-
2,4 indique le mode IEEE 802.11b, 802.11g ou 802.11n (ou une
combinaison des modes).
-
5 indique le mode IEEE 802.11a ou 802.11n (ou les deux modes).
•
Channel : canal sur lequel le point d'accès non autorisé diffuse actuellement.
Le canal définit la partie du spectre radio utilisée par la radio pour la
transmission et la réception. La page Radio vous permet de définir le canal.
•
Rate : débit, en mégabits par seconde, auquel le point d'accès non autorisé
transmet actuellement. Le débit actuel est toujours l'un des débits affichés
dans le champ Supported Rates.
•
Signal : puissance du signal radio qui émet depuis le point d'accès non
autorisé. Si vous passez le pointeur de la souris sur les barres, un nombre
représentant la puissance en décibels (dB) apparaît.
•
Beacons : nombre total de balises reçues du point d'accès non autorisé
depuis sa première détection.
•
Last Beacon : date et heure de la dernière balise reçue du point d'accès non
autorisé.
•
Rates : ensembles de débits de base (annoncés) et pris en charge pour le
point d'accès non autorisé. Les débits sont affichés en mégabits par
seconde (Mbit/s). Tous les débits pris en charge sont répertoriés ; les débits
de base apparaissent en gras. Vous pouvez configurer les ensembles de
débits sur la page Radio.
ÉTAPE 4 Si le point d'accès se trouve dans la liste des points d'accès non autorisés
détectés, cliquez sur Trust pour le déplacer vers la liste des points d'accès
approuvés. Si le point d'accès se trouve dans la liste des points d'accès
approuvés, cliquez sur Untrust pour le déplacer vers la liste des points d'accès
non autorisés détectés.
ÉTAPE 5 Cliquez sur Refresh pour actualiser l'écran et afficher les informations les plus
récentes.
Guide d'administration pour Cisco WAP131 et WAP351
89
5
Accès sans fil
Rogue AP Detection
Enregistrement de la liste des points d'accès approuvés
Pour créer une Trusted AP List et l'enregistrer dans un fichier :
ÉTAPE 1 Sélectionnez Wireless > Rogue AP Detection.
ÉTAPE 2 Dans Detected Rogue AP List, cliquez sur Trust pour les points d'accès que vous
connaissez. Les points d'accès approuvés sont déplacés vers le tableau Trusted
AP List.
ÉTAPE 3 Dans la zone Download/Backup Trusted AP List, cliquez sur Backup (AP to PC).
ÉTAPE 4 Cliquez sur Save.
La liste contient les adresses MAC de tous les points d'accès qui ont été ajoutés à
la Known AP List. Par défaut, le nom du fichier est Rogue2.cfg. Vous pouvez utiliser
un éditeur de texte ou un navigateur Web pour ouvrir le fichier et afficher son
contenu.
Importation d'une liste de points d'accès approuvés
Vous pouvez importer une liste de points d'accès connus à partir d'une liste
enregistrée. Vous pouvez obtenir la liste à partir d'un autre point d'accès ou la
créer à partir d'un fichier texte. Si l'adresse MAC d'un point d'accès apparaît dans
la Trusted AP List, elle ne sera plus détectée comme non autorisée.
Pour importer une liste de points d'accès à partir d'un fichier :
ÉTAPE 1 Sélectionnez Wireless > Rogue AP Detection.
ÉTAPE 2 Dans la zone Download/Backup Trusted AP List, cliquez sur Download (PC to
AP).
ÉTAPE 3 Dans le champ Source File Name, cliquez sur Browse pour sélectionner le fichier
à importer.
Le fichier que vous importez doit être un fichier texte brut portant une extension
.txt ou .cfg. Les entrées du fichier sont des adresses MAC au format hexadécimal,
dont chaque octet est séparé par le signe deux-points (par exemple,
00:11:22:33:44:55). Vous devez séparer les entrées par un caractère espace
simple. Pour que le point d'accès accepte le fichier, il doit uniquement contenir des
adresses MAC.
Guide d'administration pour Cisco WAP131 et WAP351
90
5
Accès sans fil
Réseaux
ÉTAPE 4 Dans le champ File Management Destination, indiquez si vous souhaitez
remplacer la liste des points d'accès approuvés existante ou ajouter les entrées
du fichier importé à cette liste. Les options sont les suivantes :
•
Replace : permet d'importer la liste et de remplacer le contenu de la liste des
points d'accès connus.
•
Merge : permet d'importer la liste et d'ajouter les points d'accès du fichier
importé aux points d'accès actuellement présents dans la liste des points
d'accès connus.
ÉTAPE 5 Cliquez sur Save.
Une fois l'importation terminée, l'écran s'actualise et les adresses MAC des points
d'accès du fichier importé apparaissent dans la Known AP List.
Réseaux
Les points d'accès virtuels (VAP) segmentent le réseau local sans fil en plusieurs
domaines de diffusion qui constituent l'équivalent sans fil des VLAN Ethernet. Les
VAP simulent plusieurs points d'accès dans un seul périphérique WAP physique.
Quatre VAP au maximum sont pris en charge sur le périphérique Cisco WAP131 et
huit VAP au maximum sont pris en charge sur le périphérique Cisco WAP351.
Chaque VAP peut être activé ou désactivé indépendamment, à l'exception du
VAP0. Le VAP0 est l'interface radio physique et reste activé tant que la radio est
activée. Pour désactiver le VAP0, la radio elle-même doit être désactivée.
Chaque VAP est identifié par un SSID (Service Set Identifier) configuré par
l'utilisateur. Plusieurs VAP ne peuvent pas avoir le même nom SSID. Les
diffusions SSID peuvent être activées ou désactivées indépendamment sur
chaque VAP. La diffusion SSID est activée par défaut.
Conventions d'affectation de noms SSID
Le SSID par défaut de VAP0 est ciscosb. Chaque VAP supplémentaire créé a un nom
SSID vierge. Les SSID de tous les VAP peuvent être définis sur d'autres valeurs.
Le SSID peut être n'importe quelle entrée alphanumérique sensible à la casse
constituée de 2 à 32 caractères. Les caractères imprimables plus l'espace (ASCII
0x20) sont autorisés, mais les six caractères suivants ne le sont pas :
?, ", $, [, \, ] et +.
Guide d'administration pour Cisco WAP131 et WAP351
91
5
Accès sans fil
Réseaux
Les caractères autorisés sont les suivants :
ASCII 0x20, 0x21, 0x23, 0x25 à 0x2A, 0x2C à 0x3E, 0x40 à 0x5A, 0x5E à
0x7E.
En outre, les trois caractères suivants ne peuvent pas être le premier caractère :
!, # et ; (respectivement ASCII 0x21, 0x23 et 0x3B).
Les espaces au début et à la fin (ASCII 0x20) ne sont pas autorisés.
REMARQUE Cela signifie que les caractères espaces sont autorisés dans le SSID, mais pas
comme premier ou dernier caractère. Le point « . » (ASCII 0x2E) est aussi autorisé.
ID de VLAN
Chaque VAP est associé à un VLAN, qui est identifié par un ID de VLAN (VID). Un
VID peut avoir n'importe quelle valeur comprise entre 1 et 4 094 inclus. Le
périphérique Cisco WAP131 prend en charge cinq VLAN actifs (quatre pour le
WLAN plus un VLAN de gestion). Le périphérique Cisco WAP351 prend en charge
17 VLAN actifs (16 pour le WLAN plus un VLAN de gestion).
Par défaut, le VID attribué à l'utilitaire de configuration pour le périphérique WAP
est 1, qui est aussi le VID non balisé par défaut. Si le VID de gestion est le même
que le VID attribué à un VAP, les clients WLAN associés à ce VAP spécifique
peuvent administrer le périphérique WAP. Si nécessaire, une liste de contrôle
d'accès (ACL) peut être créée pour désactiver l'administration depuis les clients
WLAN.
Configuration des VAP
Pour configurer les VAP :
ÉTAPE 1 Sélectionnez Wireless > Networks.
ÉTAPE 2 Dans le champ Radio, cliquez sur l'interface radio à laquelle appliquer les
paramètres de configuration VAP.
ÉTAPE 3 Si VAP0 est le seul VAP configuré sur le système et que vous souhaitez ajouter un
VAP, cliquez sur Add. Cochez ensuite le VAP, puis cliquez sur Edit.
ÉTAPE 4 Cochez Enable en regard du VAP à configurer.
Guide d'administration pour Cisco WAP131 et WAP351
92
5
Accès sans fil
Réseaux
ÉTAPE 5 Définissez les paramètres suivants :
•
VLAN ID : indiquez le VID du VLAN à associer au VAP.
Veillez à saisir un ID de VLAN correctement configuré sur le réseau. Des
problèmes réseau peuvent survenir si le VAP associe les clients sans fil à un
VLAN mal configuré.
Si un client sans fil se connecte au périphérique WAP par l'intermédiaire de
ce VAP, le périphérique WAP balise tout le trafic provenant du client sans fil
avec l'ID de VLAN saisi dans ce champ, sauf si vous saisissez l'ID de VLAN
du port ou si vous utilisez un serveur RADIUS pour attribuer un client sans fil
à un VLAN. La plage de l'ID de VLAN est comprise entre 1 et 4094.
Si vous définissez l'ID de VLAN sur une valeur autre que l'ID de VLAN de
gestion actuel, les clients WLAN associés à ce VAP spécifique ne peuvent
pas administrer le périphérique. Vous pouvez vérifier la configuration des ID
de VLAN non balisés et de gestion sur la page du réseau local (LAN). Pour
plus d'informations, reportez-vous à la section Configuration VLAN.
•
SSID Name : saisissez le nom du réseau sans fil. Le SSID est une chaîne
alphanumérique constituée de 32 caractères maximum. Choisissez un SSID
unique pour chaque VAP.
Si vous êtes connecté en tant que client sans fil au périphérique WAP que
vous administrez, la réinitialisation du SSID entraînera une perte de
connexion au périphérique WAP. Vous devrez vous reconnecter au nouveau
SSID une fois cette nouvelle configuration enregistrée.
•
SSID Broadcast : active et désactive la diffusion du SSID.
Indiquez si vous souhaitez autoriser le périphérique WAP à diffuser le SSID
dans ses trames de balise. Le paramètre Broadcast SSID est activé par
défaut. Lorsque le VAP ne diffuse pas son SSID, le nom réseau n'apparaît pas
dans la liste des réseaux disponibles sur une station cliente. Vous devez
donc saisir manuellement le nom réseau exact dans l'utilitaire de connexion
sans fil sur le client, afin de permettre l'établissement de la connexion.
La désactivation du SSID de diffusion est suffisante pour empêcher les
clients de se connecter accidentellement à votre réseau, mais celle-ci
n'empêche aucunement la plus simple des tentatives d'un pirate
informatique de se connecter ou de surveiller le trafic déchiffré. La
suppression de la diffusion SSID offre un niveau de protection très bas sur
un réseau autrement exposé (comme un réseau d'invité) où la priorité est de
permettre aux clients d'obtenir une connexion et où aucune information
sensible n'est disponible.
Guide d'administration pour Cisco WAP131 et WAP351
93
5
Accès sans fil
Réseaux
•
Security : sélectionnez le type d'authentification requis pour l'accès au VAP.
Les options sont les suivantes :
-
None
-
Static WEP
-
Dynamic WEP
-
WPA Personal
-
WPA Enterprise
Si vous sélectionnez un mode de sécurité autre que None (Aucun), des
champs supplémentaires s'affichent. Pour de plus amples informations sur la
définition des paramètres de sécurité sans fil, reportez-vous à la section
Définition des paramètres de sécurité.
Nous vous conseillons d'utiliser WPA Personal ou WPA Enterprise comme
type d'authentification, car ils offrent une sécurité plus élevée. Utilisez Static
WEP ou Dynamic WEP uniquement pour les périphériques ou ordinateurs
sans fil hérités qui ne prennent pas en charge WPA Personal et WPA
Enterprise. Si vous devez définir la sécurité sur Static WEP ou Dynamic WEP,
configurez la radio sur le mode 802.11a ou 802.11b/g (voir Radio). Le mode
802.11n restreint l'utilisation de Static WEP ou Dynamic WEP en tant que
mode de sécurité.
•
•
MAC Filter : indique si les stations pouvant accéder à ce VAP sont limitées à
une liste globale configurée d'adresses MAC. Vous pouvez sélectionner l'un
de ces types de filtrage MAC :
-
Disabled : le filtrage MAC n'est pas utilisé.
-
Local : utilise la liste d'authentification MAC que vous configurez sur la
page MAC Filtering.
-
RADIUS : utilise la liste d'authentification MAC sur un serveur RADIUS
externe.
Channel Isolation : active et désactive l'isolation des stations.
Lorsque ce paramètre est désactivé, les clients sans fil peuvent
communiquer entre eux normalement en envoyant le trafic via le
périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
94
5
Accès sans fil
Réseaux
Lorsque ce paramètre est activé, le périphérique WAP bloque les
communications entre les clients sans fil situés sur le même VAP. Le
périphérique WAP autorise toujours le trafic de données entre ses clients
sans fil et les périphériques filaires du réseau, via une liaison WDS, et avec
les autres clients sans fil associés à un autre VAP, mais pas entre les clients
sans fil eux-mêmes.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique
WAP perde la connectivité. Nous vous recommandons de choisir un moment où une
perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier
les paramètres du périphérique WAP.
REMARQUE Pour supprimer un VAP, cochez-le, puis cliquez sur Delete. Pour enregistrer
définitivement votre suppression, cliquez sur Save lorsque vous avez terminé.
Définition des paramètres de sécurité
Ces sections décrivent les paramètres de sécurité que vous définissez, en
fonction de votre sélection dans la liste Security de la page Networks.
None (Plain-text)
Si vous sélectionnez None (Aucun) comme mode de sécurité, aucun paramètre de
sécurité supplémentaire ne peut être défini sur le périphérique WAP. Ce mode
implique que toutes les données transférées depuis et vers le périphérique WAP
ne sont pas cryptées. Ce mode de sécurité peut être utile lors de la configuration
initiale du réseau pour la résolution des problèmes, mais il n'est pas recommandé
pour une utilisation régulière sur le réseau interne, car il n'offre pas la sécurité
nécessaire.
Guide d'administration pour Cisco WAP131 et WAP351
95
5
Accès sans fil
Réseaux
Static WEP
Wired Equivalent Privacy (WEP) est un protocole de chiffrement de données
destiné aux réseaux sans fil 802.11. Tous les points d'accès et stations sans fil du
réseau sont configurés avec une clé partagée statique 64 bits (clé secrète 40 bits +
vecteur d'initialisation 24 bits) ou 128 bits (clé secrète 104 bits + vecteur
d'initialisation 24 bits) pour le cryptage des données.
Static WEP n'est pas le mode offrant le plus de sécurité, mais il fournit davantage
de protection que le mode None (Plain-text), puisqu'il empêche un utilisateur
externe de facilement détecter le trafic sans fil non chiffré.
WEP chiffre les données transmises sur le réseau sans fil à partir d'une clé
statique. (L'algorithme de chiffrement est un chiffrement de flux appelé RC4.)
Les paramètres suivants vous permettent de configurer le mode Static WEP :
•
Transfer Key Index : saisissez une liste des index de clé. Les index de clé 1
à 4 sont disponibles. La valeur par défaut est 1. Le paramètre Transfer Key
Index indique la clé WEP utilisée par le périphérique WAP pour crypter les
données qu'il transmet.
•
Key Length : sélectionnez une longueur de clé de 64 bits ou 128 bits.
•
Key Type : sélectionnez le type de clé ASCII ou Hex.
•
WEP Keys : vous pouvez spécifier un maximum de quatre clés WEP. Dans
chaque zone de texte, saisissez une chaîne de caractères pour chaque clé.
Les clés que vous saisissez dépendent du type de clé sélectionné :
-
ASCII : inclut les lettres alphabétiques majuscules et minuscules, les
chiffres et les symboles spéciaux tels que @ et #.
-
Hex : inclut les chiffres 0 à 9 et les lettres A à F.
Utilisez le même nombre de caractères pour chaque clé, comme spécifié
dans le champ Characters Required. Il s'agit des clés RC4 WEP partagées
avec les stations par l'intermédiaire du périphérique WAP.
Chaque station cliente doit être configurée pour utiliser l'une de ces mêmes
clés WEP, dans le même logement que celui spécifié sur le périphérique WAP.
•
Characters Required : le nombre de caractères que vous saisissez dans
les champs WEP Key est déterminé par la longueur de clé et le type de clé
que vous sélectionnez. Par exemple, si vous utilisez des clés ASCII 128 bits,
vous devez saisir 26 caractères dans le champ WEP key. Le nombre de
caractères requis est automatiquement mis à jour en fonction des valeurs
définies pour la longueur de clé et le type de clé.
Guide d'administration pour Cisco WAP131 et WAP351
96
5
Accès sans fil
Réseaux
•
802.1X Authentication : l'algorithme d'authentification définit la méthode
utilisée pour déterminer si une station cliente est autorisée à s'associer au
périphérique WAP lorsque le mode de sécurité Static WEP est sélectionné.
Indiquez l'algorithme d'authentification que vous souhaitez utiliser en
sélectionnant l'une des options suivantes :
-
L'authentification Open System permet à n'importe quelle station cliente
de s'associer au périphérique WAP, peu importe si cette station cliente
dispose de la clé WEP correcte. Cet algorithme est aussi utilisé dans les
modes texte en clair, IEEE802.1X et WPA. Lorsque l'algorithme
d'authentification est défini sur Open System, tout client peut s'associer
au périphérique WAP.
REMARQUE Le fait qu'une station cliente soit autorisée à s'associer ne
signifie pas qu'elle pourra systématiquement échanger des
données avec un périphérique WAP. Une station doit disposer
de la clé WEP correcte pour pouvoir accéder au
périphérique WAP et déchiffrer ses données, mais aussi pour
transmettre des données lisibles à celui-ci.
-
L'authentification Shared Key nécessite que la station cliente dispose
de la clé WEP correcte pour s'associer au périphérique WAP. Lorsque
l'algorithme d'authentification est défini sur Shared Key, une station ayant
une clé WEP incorrecte ne peut pas s'associer au périphérique WAP.
-
Open System et Shared Key : si vous sélectionnez les deux algorithmes
d'authentification, les stations clientes configurées pour utiliser WEP en
mode de clé partagée doivent disposer d'une clé WEP valide pour
s'associer au périphérique WAP. En outre, les stations clientes
configurées pour utiliser WEP en tant que système ouvert (mode de clé
partagée désactivé) peuvent s'associer au périphérique WAP même si
elles ne disposent pas de la clé WEP correcte.
Règles du mode Static WEP
Si vous utilisez Static WEP, les règles suivantes s'appliquent :
•
Toutes les stations clientes doivent avoir la sécurité Wireless LAN (WLAN)
définie sur WEP, et tous les clients doivent disposer de l'une des clés WEP
spécifiées sur le périphérique WAP pour pouvoir décoder les transmissions
de données du point d'accès vers la station.
•
Le périphérique WAP doit avoir toutes les clés utilisées par les clients pour
les transmissions de la station vers le point d'accès, afin de pouvoir
décoder les transmissions de la station.
Guide d'administration pour Cisco WAP131 et WAP351
97
5
Accès sans fil
Réseaux
•
La même clé doit occuper le même logement sur tous les nœuds (point
d'accès et clients). Par exemple, si le périphérique WAP définit la clé abc123
comme clé WEP 3, alors les stations clientes doivent définir cette même
chaîne comme clé WEP 3.
•
Les stations clientes peuvent utiliser différentes clés pour transmettre des
données au point d'accès. (Elles peuvent aussi toutes utiliser la même clé,
mais cela s'avère moins sûr car cela signifie qu'une station peut déchiffrer
les données envoyées par une autre.)
•
Sur certains logiciels de clients sans fil, vous pouvez configurer plusieurs
clés WEP et définir un index de clé de transfert de station cliente, puis
configurer les stations de manière à crypter les données qu'elles
transmettent par l'intermédiaire de différentes clés. Cela permet de
s'assurer que les points d'accès situés à proximité ne pourront pas décoder
les transmissions des autres points d'accès.
•
Vous ne pouvez pas placer à la fois des clés WEP 64 bits et 128 bits entre
le point d'accès et ses stations clientes.
Dynamic WEP
Dynamic WEP se réfère à la combinaison de la technologie 802.1x et du
protocole EAP (Extensible Authentication Protocol). Avec la sécurité Dynamic WEP,
les clés WEP sont changées dynamiquement.
Les messages EAP sont envoyés via un réseau sans fil IEEE 802.11 par
l'intermédiaire d'un protocole appelé EAP Encapsulation Over LANs (EAPOL). IEEE
802.1X fournit des clés générées dynamiquement qui sont régulièrement
actualisées. Un chiffrement de flux RC4 est utilisé pour déchiffrer le corps de
trame et le contrôle de redondance cyclique (CRC) de chaque trame 802.11.
Ce mode nécessite l'utilisation d'un serveur RADIUS externe pour l'authentification
des utilisateurs. Le périphérique WAP requiert un serveur RADIUS prenant en
charge EAP, tel que le Microsoft Internet Authentication Server. Pour fonctionner
avec les clients Microsoft Windows, le serveur d'authentification doit prendre en
charge Protected EAP (PEAP) et MSCHAP V2.
Vous pouvez recourir à un large choix de méthodes d'authentification prises en
charge par le mode IEEE 802.1X, notamment les certificats, Kerberos et
l'authentification par clé publique. Vous devez configurer les stations clientes afin
qu'elles utilisent la même méthode d'authentification que le périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
98
5
Accès sans fil
Réseaux
Les paramètres suivants vous permettent de configurer le mode Dynamic WEP :
•
Use Global RADIUS Server Settings : par défaut, chaque VAP utilise les
paramètres RADIUS globaux que vous définissez pour le
périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez
configurer chaque VAP de façon à ce qu'il utilise un autre groupe de
serveurs RADIUS.
Pour utiliser les paramètres de serveur RADIUS globaux, veillez à cocher la
case.
Pour utiliser un serveur RADIUS distinct pour le VAP, décochez la case et
saisissez l'adresse IP du serveur RADIUS, puis renseignez les champs cidessous :
•
Server IP Address Type : version IP utilisée par le serveur RADIUS. Vous
pouvez basculer entre les différents types d'adresse afin de définir les
paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le
périphérique WAP ne contactera que le ou les serveurs RADIUS répondant
au type d'adresse que vous sélectionnez dans ce champ.
•
Server IP Address 1 ou Server IPv6 Address 1 : adresse du serveur
RADIUS principal pour ce VAP. Si IPv4 est sélectionné en tant que Server
IP Address Type, saisissez l'adresse IP du serveur RADIUS que tous les
VAP utilisent par défaut (par exemple, 192.168.10.23). Si IPv6 est
sélectionné, saisissez l'adresse IPv6 du serveur RADIUS global principal
(par exemple, 2001:DB8:1234::abcd).
•
Server IP Address 2 à 4 ou Server IPv6 Address 2 à 4 : jusqu'à trois
adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si
l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
•
Key 1 : clé secrète partagée utilisée par le périphérique WAP pour
s'authentifier au serveur RADIUS principal.
•
Key 2 à Key 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde
configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2
utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address
3 utilise Key 3, etc.
•
Enable RADIUS Accounting : active le suivi et la mesure des ressources
consommées par un utilisateur donné (heure système, volume de données
transmises et reçues, etc.) Si vous activez la gestion des comptes RADIUS,
cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et
pour l'ensemble des serveurs de sauvegarde.
Guide d'administration pour Cisco WAP131 et WAP351
99
5
Accès sans fil
Réseaux
•
Active Server : permet de sélectionner administrativement le serveur
RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans
l'ordre chaque serveur configuré et de choisir le premier serveur actif.
Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion
est actualisée pour les clients associés à ce VAP. La valeur par défaut est
300 secondes. La plage valide est comprise entre 0 et 86 400 secondes. La
valeur 0 indique que la clé de diffusion n'est pas actualisée.
•
Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion
est actualisée pour les clients associés à ce VAP.
•
Session Key Refresh Rate : intervalle auquel le périphérique WAP
actualise les clés de session (monodiffusion) pour chaque client associé au
VAP. La plage valide est comprise entre 0 et 86 400 secondes. La valeur 0
indique que la clé de session n'est pas actualisée.
WPA Personal
WPA Personal est une norme IEEE 802.11i Wi-Fi Alliance qui inclut le chiffrement
AES-CCMP et TKIP. La version Personal de WPA utilise une clé prépartagée (PSK)
au lieu de IEEE 802.1X et EAP comme dans le mode de sécurité Enterprise WPA.
Le PSK est uniquement utilisé pour le contrôle initial des informations
d'identification. WPA Personal est également appelé WPA-PSK.
Ce mode de sécurité est rétrocompatible pour les clients sans fil qui prennent en
charge le WPA d'origine.
Les paramètres ci-après permettent de configurer WPA Personal :
•
WPA Versions : sélectionnez les types de stations clientes que vous
souhaitez prendre en charge :
-
WPA-TKIP : le réseau intègre certaines stations clientes qui prennent
uniquement en charge le WPA d'origine ainsi que le protocole de
sécurité TKIP. Notez que le fait de sélectionner uniquement WPA-TKIP
pour le point d'accès n'est pas autorisé selon les dernières exigences de
la WiFi Alliance.
-
WPA2-AES : toutes les stations clientes du réseau prennent en charge
WPA2 ainsi que le protocole de chiffrement et de sécurité AES-CCMP.
Cette version de WPA assure une sécurité optimale conformément à la
norme IEEE 802.11i. Conformément aux dernières exigences de la WiFi
Alliance, le point d'accès doit prendre en charge ce mode en
permanence.
Guide d'administration pour Cisco WAP131 et WAP351
100
5
Accès sans fil
Réseaux
Si le réseau intègre un mélange de clients, certains prenant en charge le
WPA2 et d'autres prenant uniquement en charge le WPA d'origine, cochez
les deux cases. Les stations clientes WPA et WPA2 peuvent ainsi s'associer
et s'authentifier, mais peuvent aussi utiliser le WPA2 (plus robuste) pour les
clients qui le prennent en charge. Cette configuration WPA offre davantage
d'interopérabilité et un peu moins de sécurité.
Les clients WPA doivent avoir l'une des clés ci-dessous pour pouvoir
s'associer au périphérique WAP :
-
Une clé TKIP valide
-
Une clé AES-CCMP valide
•
Key : clé secrète partagée pour la sécurité WPA Personal. Saisissez une
chaîne de 8 caractères minimum et de 63 caractères maximum. Les
caractères acceptés sont les lettres alphabétiques majuscules et
minuscules, les chiffres numériques et les symboles spéciaux comme @ et #.
•
Show Key as Clear Text : lorsque cette option est activée, le texte que vous
saisissez est visible. Si cette option est désactivée, le texte n'est pas
masqué lors de sa saisie.
•
Key Strength Meter : le périphérique WAP contrôle la clé sur la base de
critères de complexité comme le nombre de types de caractères différents
utilisés (lettres alphabétiques majuscules et minuscules, nombres et
caractères spéciaux), mais vérifie également la longueur de la clé. Lorsque
la fonction de contrôle de la complexité WPA-PSK est activée, la clé n'est
pas acceptée si elle ne respecte pas les critères minimaux. Pour obtenir
des informations sur la configuration du contrôle de la complexité, reportezvous à la section Complexité WPA-PSK.
•
Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion
est actualisée pour les clients associés à ce VAP. La valeur par défaut est
300 secondes et la plage valide est comprise entre 0 et 86 400 secondes.
La valeur 0 indique que la clé de diffusion n'est pas actualisée.
WPA Enterprise
WPA Enterprise avec RADIUS est une implémentation de la norme IEEE 802.11i
Wi-Fi Alliance, qui inclut le chiffrement CCMP (AES) et TKIP. Le mode Enterprise
nécessite l'utilisation d'un serveur RADIUS pour l'authentification des utilisateurs.
Ce mode de sécurité est rétrocompatible avec les clients sans fil qui prennent en
charge le WPA d'origine.
Guide d'administration pour Cisco WAP131 et WAP351
101
5
Accès sans fil
Réseaux
Le mode VLAN dynamique est activé par défaut, ce qui permet au serveur
d'authentification RADIUS de déterminer quel VLAN utiliser pour les stations.
Les paramètres ci-après permettent de configurer WPA Enterprise :
•
•
WPA Versions : sélectionnez les types de stations clientes à prendre en
charge. Les options sont les suivantes :
-
WPA-TKIP : le réseau intègre des stations clientes qui prennent en
charge uniquement le WPA d'origine ainsi que le protocole de sécurité
TKIP. Notez que le fait de sélectionner uniquement WPA-TKIP pour le
point d'accès n'est pas autorisé, conformément aux dernières exigences
de la WiFi Alliance.
-
WPA2-AES : toutes les stations clientes du réseau prennent en charge la
version WPA2 ainsi que le protocole de chiffrement et de sécurité AESCCMP. Cette version de WPA fournit une sécurité optimale avec la norme
IEEE 802.11i. Conformément aux dernières exigences de la WiFi Alliance,
le point d'accès doit prendre en charge ce mode en permanence.
Enable pre-authentication : si vous sélectionnez uniquement WPA2 ou à la
fois WPA et WPA2 comme version de WPA, vous pouvez activer la préauthentification pour les clients WPA2.
Activez cette option pour que les clients sans fil WPA2 envoient les paquets
de pré-authentification. Les informations de pré-authentification sont
relayées du périphérique WAP que le client utilise actuellement vers le
périphérique WAP cible. L'activation de cette fonction permet d'accélérer
l'authentification pour les clients en itinérance qui se connectent à plusieurs
points d'accès.
Cette option ne s'applique pas si vous avez sélectionné WPA pour les
versions de WPA, car le WPA d'origine ne prend pas en charge cette
fonction.
Les stations clientes configurées pour utiliser WPA avec RADIUS doivent
posséder l'une des adresses et clés suivantes :
•
-
Une adresse IP RADIUS TKIP et une clé RADIUS valides
-
Une adresse IP CCMP (AES) et une clé RADIUS valides
Use Global RADIUS Server Settings : par défaut, chaque VAP utilise les
paramètres RADIUS globaux que vous définissez pour le
périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez
configurer chaque VAP de façon à ce qu'il utilise un autre groupe de
serveurs RADIUS.
Guide d'administration pour Cisco WAP131 et WAP351
102
5
Accès sans fil
Réseaux
Activez cette option pour utiliser les paramètres de serveurs RADIUS
globaux, ou désactivez-la pour utiliser un serveur RADIUS distinct pour le
VAP et saisissez l'adresse IP et la clé du serveur RADIUS dans les champs
appropriés.
•
Server IP Address Type : version IP utilisée par le serveur RADIUS. Vous
pouvez basculer entre les différents types d'adresses afin de définir les
paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le périphérique
WAP contacte uniquement le ou les serveurs RADIUS correspondant au
type d'adresse sélectionné dans ce champ.
•
Server IP Address 1 ou Server IPv6 Address 1 : adresse du serveur
RADIUS principal pour ce VAP. Si IPv4 est sélectionné en tant que Server
IP Address Type, saisissez l'adresse IP du serveur RADIUS que tous les
VAP utilisent par défaut (par exemple, 192.168.10.23). Si IPv6 est
sélectionné, saisissez l'adresse IPv6 du serveur RADIUS global principal
(par exemple, 2001:DB8:1234:abcd).
•
Server IP Address 2 à 4 ou Server IPv6 Address 2 à 4 : jusqu'à trois
adresses IPv4 et/ou IPv6 à utiliser comme serveurs RADIUS de sauvegarde
pour ce VAP. Si l'authentification auprès du serveur principal échoue, une
tentative est effectuée sur chaque serveur de secours configuré.
•
Key 1 : clé secrète partagée pour le serveur RADIUS global. Vous pouvez
utiliser jusqu'à 63 caractères alphanumériques standard et caractères
spéciaux. La clé est sensible à la casse. Vous devez en outre configurer la
même clé sur le périphérique WAP et sur votre serveur RADIUS. Le texte
que vous saisissez s'affiche sous forme d'astérisques pour empêcher
d'autres personnes de voir la clé RADIUS pendant la saisie.
•
Key 2 à Key 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde
configurés. Le serveur spécifié dans le champ Server IP (IPv6) Address 2
utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6) Address
3 utilise Key 3, etc.
•
Enable RADIUS Accounting : effectue le suivi et la mesure des ressources
qui ont été consommées par un utilisateur donné (heure système, volume
de données transmises et reçues, etc.) Si vous activez la gestion des
comptes RADIUS, cette fonctionnalité est activée à la fois pour le serveur
RADIUS principal et pour l'ensemble des serveurs de sauvegarde.
•
Active Server : permet de sélectionner administrativement le serveur
RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans
l'ordre chaque serveur configuré et de choisir le premier serveur actif.
Guide d'administration pour Cisco WAP131 et WAP351
103
5
Accès sans fil
Scheduler
•
Broadcast Key Refresh Rate : intervalle auquel la clé (groupe) de diffusion
est actualisée pour les clients associés à ce VAP. La valeur par défaut est
300 secondes. La plage valide est comprise entre 0 et 86 400 secondes. La
valeur 0 indique que la clé de diffusion n'est pas actualisée.
•
Session Key Refresh Rate : intervalle auquel le périphérique WAP
actualise les clés de session (monodiffusion) pour chaque client associé au
VAP. La plage valide est comprise entre 0 et 86 400 secondes. La valeur 0
indique que la clé de session n'est pas actualisée.
Scheduler
Le planificateur de radio et VAP vous permet de configurer une règle avec un
intervalle de temps spécifique pour que les VAP ou radios soient opérationnels, ce
qui automatise l'activation ou la désactivation des VAP et de la radio.
L'une des manières d'utiliser cette fonction est de planifier la radio pour qu'elle
fonctionne seulement pendant les heures de bureau, afin de bénéficier de la
sécurité adéquate et de réduire la consommation électrique. Vous pouvez aussi
utiliser le planificateur pour autoriser les clients sans fil à accéder aux VAP
uniquement à certaines heures de la journée.
Le périphérique WAP prend en charge jusqu'à 16 profils. Seules les règles valides
sont ajoutées au profil. Vous pouvez regrouper 16 règles maximum pour former un
profil de planification. Les entrées de période appartenant au même profil ne
peuvent pas se chevaucher.
Ajout de profils de planificateur
Vous pouvez créer jusqu'à 16 noms de profil de planificateur. Par défaut, aucun
profil n'est créé.
Pour afficher l'état du planificateur et ajouter un profil de planificateur :
ÉTAPE 1 Sélectionnez Wireless > Scheduler.
ÉTAPE 2 Assurez-vous que Administrative Mode est activé. Il est désactivé par défaut.
La zone Scheduler Operational Status indique l'état opérationnel actuel du
planificateur :
•
Status : état opérationnel (activé ou désactivé) du planificateur. La valeur par
défaut est Disabled.
Guide d'administration pour Cisco WAP131 et WAP351
104
5
Accès sans fil
Scheduler
•
Reason : raison de l'état opérationnel du planificateur. Les valeurs possibles
sont les suivantes :
-
IsActive : le planificateur est activé sur le plan administratif.
-
Administrative Mode is disabled : le mode administratif du planificateur
est désactivé.
-
System Time is out dated : l'heure système n'est pas à jour.
-
ManagedMode : le planificateur est en mode géré.
ÉTAPE 3 Pour ajouter un profil, saisissez un nom de profil dans la zone de texte Scheduler
Profile Configuration, puis cliquez sur Add. Le nom de profil peut comporter
jusqu'à 32 caractères alphanumériques.
Configuration des règles de planificateur
Vous pouvez configurer un maximum de 16 règles par profil. Chaque règle
spécifie l'heure de début, l'heure de fin ainsi que le ou les jours de la semaine
pendant lesquels la radio ou le VAP peut fonctionner. Les règles sont périodiques
et se répètent chaque semaine. Une règle valide doit contenir tous les paramètres
(jours de la semaine, heure et minute) relatifs à l'heure de début et à l'heure de fin. Il
ne doit y avoir aucun conflit de règles. Par exemple, vous pouvez configurer une
règle commençant chaque jour ouvrable de la semaine et une autre commençant
chaque jour du week-end, mais vous ne pouvez pas configurer une règle
commençant quotidiennement et une autre commençant le week-end.
Pour configurer une règle pour un profil :
ÉTAPE 1 Sélectionnez le profil dans la liste Select a Profile Name.
ÉTAPE 2 Cliquez sur Ajouter une règle.
La nouvelle règle s'affiche dans la table des règles.
ÉTAPE 3 Cochez la case en regard du Profile Name, puis cliquez sur Edit.
ÉTAPE 4 Dans le menu Day of the Week, sélectionnez le planning récurrent de la règle.
Vous pouvez configurer la règle pour qu'elle s'exécute quotidiennement, chaque
jour ouvrable de la semaine, chaque jour du week-end (samedi et dimanche) ou
n'importe quel jour de la semaine.
Guide d'administration pour Cisco WAP131 et WAP351
105
5
Accès sans fil
Scheduler Association
ÉTAPE 5 Définissez les heures de début et de fin :
•
Start Time : heure à laquelle la radio ou le VAP est opérationnellement
activé(e). L'heure est au format 24 heures HH:MM. La plage est <00-23>:<0059>. La valeur par défaut est 00:00.
•
End Time : heure à laquelle la radio ou le VAP est désactivé sur le plan
opérationnel. L'heure est au format 24 heures HH:MM. La plage est <0023>:<00-59>. La valeur par défaut est 00:00.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour être mis en œuvre, un profil de planificateur doit être associé à une interface
radio ou à une interface VAP. Reportez-vous à la page Scheduler Association.
REMARQUE Pour supprimer une règle, sélectionnez le profil dans la colonne Profile Name, puis
cliquez sur Delete.
Scheduler Association
Pour être mis en œuvre, les profils de planificateur doivent être associés à
l'interface WLAN ou à une interface VAP. Par défaut, aucun profil de planificateur
n'est créé et aucun profil n'est associé à une radio ou à un VAP.
Un seul profil de planificateur peut être associé à l'interface WLAN ou à chaque VAP.
Un seul profil peut être associé à plusieurs VAP. En cas de suppression du profil de
planificateur associé à un VAP ou à l'interface WLAN, l'association est supprimée.
Pour associer un profil de planificateur à l'interface WLAN ou à un VAP :
ÉTAPE 1 Sélectionnez Wireless > Scheduler Association.
ÉTAPE 2 Dans la zone Radio, sélectionnez l'interface radio à laquelle appliquer les
paramètres de configuration.
ÉTAPE 3 Pour l'interface WLAN ou un VAP, sélectionnez le profil dans la liste Profile Name.
La colonne Interface Operational Status indique si l'interface est actuellement
activée ou désactivée.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
106
5
Accès sans fil
Bandwidth Utilization
Bandwidth Utilization
La page Bandwidth Utilization vous permet de définir le volume de bande
passante radio pouvant être consommé avant que le périphérique WAP ne cesse
d'autoriser de nouvelles associations de clients. Cette fonction est activée par
défaut.
Pour modifier les paramètres d'utilisation de la bande passante :
ÉTAPE 1 Sélectionnez Wireless > Bandwidth Utilization dans le volet de navigation.
ÉTAPE 2 Cochez Enable pour activer la fonction d'utilisation de la bande passante ou
décochez Enable pour la désactiver.
ÉTAPE 3 Dans le champ Maximum Utilization Threshold, saisissez le pourcentage
d'utilisation de la bande passante réseau autorisé sur la radio avant que le
périphérique WAP ne cesse d'accepter de nouvelles associations de clients.
La plage de nombres entiers valide est comprise entre 0 et 100 pour cent. La
valeur par défaut est 70 pour cent. Si elle est définie à 0, toutes les nouvelles
associations sont autorisées quel que soit le taux d'utilisation.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique
WAP perde la connectivité. Nous vous recommandons de choisir un moment où une
perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier
les paramètres du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
107
5
Accès sans fil
MAC Filtering
MAC Filtering
Le filtrage Media Access Control (MAC) peut être utilisé pour interdire ou autoriser
l'authentification des seules stations clientes répertoriées auprès du point d'accès.
L'authentification MAC doit être activée ou désactivée pour chaque VAP sur la
page Réseaux. Selon la configuration du VAP, le périphérique WAP peut se référer
à une liste de filtrage MAC stockée sur un serveur RADlUS externe ou stockée
localement sur le périphérique WAP.
Configuration d'une liste de filtrage MAC stockée localement
sur le périphérique WAP
Le périphérique WAP ne prend en charge qu'une seule liste de filtrage MAC locale.
Ainsi, la même liste s'applique à tous les VAP autorisés à utiliser la liste locale. Le
filtre peut être configuré pour accorder l'accès uniquement aux adresses MAC
spécifiées dans la liste, ou pour interdire l'accès uniquement aux adresses
spécifiées dans la liste.
Vous pouvez ajouter un maximum de 512 adresses MAC dans la liste de filtrage.
Pour configurer le filtrage MAC :
ÉTAPE 1 Sélectionnez Wireless > MAC Filtering.
ÉTAPE 2 Sélectionnez la façon dont le périphérique WAP utilise la liste de filtrage :
•
Allow only stations in list : toute station qui ne figure pas dans la liste des
stations se voit interdire l'accès au réseau via le périphérique WAP.
•
Block all stations in list : seules les stations qui figurent dans la liste se
voient interdire l'accès au réseau via le périphérique WAP. L'accès est
autorisé pour toutes les autres stations.
REMARQUE Le paramètre de filtre s'applique également à la liste de
filtrage MAC stockée sur le serveur RADIUS, s'il en existe une.
ÉTAPE 3 Dans le champ MAC Address, saisissez l'adresse MAC à autoriser ou bloquer,
puis cliquez sur Add.
L'adresse MAC s'affiche dans la liste des stations.
ÉTAPE 4 Continuez à saisir des adresses MAC jusqu'à ce que la liste soit terminée, puis
cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
108
5
Accès sans fil
WDS Bridge
REMARQUE Pour supprimer une adresse MAC de la Stations List, sélectionnez-la, puis cliquez
sur Remove.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique
WAP perde la connectivité. Nous vous recommandons de choisir un moment où une
perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier
les paramètres du périphérique WAP.
Configuration de l'authentification MAC sur le serveur
RADIUS
Si un ou plusieurs VAP sont configurés pour utiliser un filtre MAC stocké sur un
serveur d'authentification RADIUS, vous devez configurer la liste des stations sur
le serveur RADIUS. Le format de la liste est décrit dans le tableau ci-dessous :
Attribut du
serveur RADIUS
Description
Valeur
User-Name (1)
Adresse MAC de la station cliente.
Adresse MAC
Ethernet valide
User-Password
(2)
Mot de passe global fixe utilisé pour
rechercher une entrée MAC de client.
NOPASSWORD
WDS Bridge
Le système de distribution sans fil (WDS, Wireless Distribution System) vous permet
de connecter plusieurs périphériques WAP. Avec WDS, les périphériques WAP
peuvent communiquer entre eux sans câbles. Cette fonctionnalité est essentielle à
la satisfaction des clients en itinérance et à la gestion de plusieurs réseaux sans fil.
Elle simplifie également l'infrastructure réseau en réduisant la quantité de câbles
nécessaire. Vous pouvez configurer le périphérique WAP en mode point à point ou
point à multipoint en fonction du nombre de liaisons à connecter.
En mode point à point, le périphérique WAP accepte les associations de clients et
communique avec les clients sans fil et autres répéteurs. Le périphérique WAP
transfère tout le trafic destiné à l'autre réseau via le tunnel établi entre les points
d'accès. Le pont n'est pas ajouté au nombre de sauts. Il fonctionne comme simple
périphérique réseau OSI Layer 2.
Guide d'administration pour Cisco WAP131 et WAP351
109
5
Accès sans fil
WDS Bridge
En mode pont point à point, un périphérique WAP fonctionne en tant que liaison
commune entre plusieurs points d'accès. Dans ce mode, le périphérique WAP
central accepte les associations de clients et communique avec les clients et
autres répéteurs. Tous les autres points d'accès s'associent uniquement au
périphérique WAP central qui transfère les paquets au pont sans fil approprié à
des fins de routage.
Le périphérique WAP peut également fonctionner en tant que répéteur. Dans ce
mode, il sert de point de connexion entre deux périphériques WAP susceptibles
d'être trop éloignés pour être à portée cellulaire. Lorsqu'il fonctionne en tant que
répéteur, le périphérique WAP n'a aucune connexion filaire au réseau local (LAN) et
répète les signaux par l'intermédiaire de la connexion sans fil. Aucune configuration
spéciale n'est requise pour lui permettre de fonctionner en tant que répéteur et il
n'existe pas de paramètres de mode répéteur. Les clients sans fil peuvent toujours
se connecter à un périphérique WAP qui fonctionne en tant que répéteur.
Avant de configurer WDS sur le périphérique WAP, veuillez noter les informations
ci-après :
•
WDS fonctionne seulement avec les périphériques Cisco WAP131 et
Cisco WAP351.
•
Tous les périphériques WAP Cisco participant à une liaison WDS doivent
avoir les paramètres identiques suivants :
-
Radio
-
IEEE 802.11 Mode
-
Channel Bandwidth
-
Channel (l'option Auto n'est pas recommandée)
Si vous effectuez un pontage dans la bande 802.11n 2,4 GHz, définissez
Channel Bandwidth sur 20 MHz au lieu du paramètre 20/40 MHz par défaut.
Dans la bande 2,4 GHz, 20/40 MHz, la bande passante de fonctionnement
peut passer de 40 MHz à 20 MHz si des périphériques WAP de 20 MHz
sont détectés dans la zone. Une bande passante de canal incohérente peut
entraîner la déconnexion de la liaison. Reportez-vous à la section Radio
(paramètres de base) pour obtenir des informations sur la définition de ces
paramètres.
•
Lorsque vous utilisez WDS, veillez à le configurer sur les deux
périphériques WAP intégrés à la liaison WDS.
•
Vous ne pouvez avoir qu'une seule liaison WDS entre n'importe quelle paire
de périphériques WAP. Ainsi, une adresse MAC distante ne peut apparaître
qu'une seule fois sur la page WDS pour un périphérique WAP donné.
Guide d'administration pour Cisco WAP131 et WAP351
110
5
Accès sans fil
WDS Bridge
Configuration de STP pour Cisco WAP131
ÉTAPE 1 Sélectionnez Wireless > WDS Bridge.
ÉTAPE 2 Dans le champ Spanning Tree Mode, cochez Enable pour activer le mode STP
sur le périphérique Cisco WAP131.
Une fois l'activation effectuée, STP empêche les boucles de basculement. STP est
recommandé si vous configurez des liaisons WDS.
ÉTAPE 3 Cliquez sur Save.
Configuration du VLAN non balisé pour Cisco WAP351
Pour configurer le VLAN non balisé pour le périphérique Cisco WAP351 :
ÉTAPE 1 Sélectionnez Wireless > WDS Bridge.
ÉTAPE 2 Définissez les paramètres suivants :
•
Untagged VLAN : active ou désactive le balisage de VLAN. Lorsque cette
option est activée (paramètre par défaut), tout le trafic est balisé avec un ID
de VLAN.
L'ensemble du trafic sur le périphérique WAP utilise le VLAN 1 en tant que
VLAN non balisé par défaut. Cela signifie que l'ensemble du trafic est non
balisé jusqu'à la désactivation du VLAN non balisé, la modification de l'ID de
VLAN du trafic non balisé ou la modification de l'ID de VLAN d'un point
d'accès virtuel ou d'un client utilisant un serveur RADIUS.
•
Untagged VLAN ID : sélectionnez un ID de VLAN dans la liste des ID de
VLAN. La valeur par défaut est 1. Le trafic sur le VLAN indiqué dans ce champ
n'est pas balisé avec un ID de VLAN lors de son transfert sur le réseau.
VLAN 1 est à la fois le VLAN non balisé par défaut et le VLAN de gestion par
défaut. Si vous souhaitez séparer le trafic de gestion du trafic du VLAN non
balisé, configurez le nouvel ID de VLAN au niveau de votre routeur, puis
utilisez ce nouvel ID de VLAN sur votre périphérique WAP.
ÉTAPE 3 Cliquez sur Save.
Guide d'administration pour Cisco WAP131 et WAP351
111
5
Accès sans fil
WDS Bridge
Configuration d'un pont WDS
Pour configurer un pont WDS :
ÉTAPE 1 Sélectionnez Wireless > WDS Bridge.
ÉTAPE 2 Cochez Enable en regard de WDS Interface.
ÉTAPE 3 Définissez les paramètres restants :
•
Remote MAC Address : spécifie l'adresse MAC du périphérique WAP de
destination, à savoir le périphérique WAP situé à l'autre extrémité de la
liaison WDS et auquel les données sont envoyées ou transmises et à partir
duquel les données sont reçues. L'adresse MAC est indiquée sur la page
Status and Statistics > Network Interface.
•
Encryption : type de cryptage à utiliser sur la liaison WDS. Il ne doit pas
obligatoirement correspondre au VAP pour lequel vous effectuez un
pontage. Les paramètres de chiffrement WDS sont propres au pont WDS.
Les options disponibles sont none, WEP et WPA Personal.
Si vous ne souhaitez pas sécuriser la liaison WDS, vous pouvez choisir de ne
définir aucun type de cryptage. De même, si vous souhaitez sécuriser la
liaison, vous pouvez choisir entre Static WEP et WPA Personal. En mode
WPA Personal, le périphérique WAP utilise le chiffrement WPA2-PSK avec
CCMP (AES) sur la liaison WDS. Reportez-vous à la section WEP sur les
liaisons WDS ou à la section WPA/PSK sur les liaisons WDS pour en savoir
plus sur les options de cryptage.
ÉTAPE 4 Répétez ces étapes pour un maximum de trois interfaces WDS supplémentaires.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
ÉTAPE 6 Répliquez cette procédure sur le ou les autres périphériques connectés au pont.
CONSEIL Vous pouvez vérifier si la liaison de pont est active en vous rendant sur la page
Status and Statistics > Network Interface. Dans le tableau Interface Status, l'état Up
doit être spécifié pour WLAN0:WDS(x).
Guide d'administration pour Cisco WAP131 et WAP351
112
5
Accès sans fil
WDS Bridge
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique
WAP perde la connectivité. Nous vous recommandons de choisir un moment où une
perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier
les paramètres du périphérique WAP.
WEP sur les liaisons WDS
Ces champs supplémentaires apparaissent lorsque vous sélectionnez le type de
cryptage WEP :
•
Key Length : si le cryptage WEP est activé, indiquez la longueur de la clé
WEP au format 64 bits ou 128 bits.
•
Key Type : si le cryptage WEP est activé, sélectionnez le type de clé WEP
ASCII ou Hex.
•
WEP Key : si vous avez sélectionné ASCII, saisissez toute combinaison de
0 à 9, a à z, et A à Z. Si vous avez sélectionné Hex, saisissez des chiffres
hexadécimaux (toute combinaison de 0 à 9, a à f, ou A à F). Il s'agit des clés
de chiffrement RC4 partagées avec les stations par l'intermédiaire du
périphérique WAP.
Veuillez noter que le nombre de caractères requis est indiqué à droite du
champ et change en fonction de vos sélections dans les champs Key Type
et Key Length.
WPA/PSK sur les liaisons WDS
Ces champs supplémentaires apparaissent lorsque vous sélectionnez le type de
cryptage WPA/PSK :
•
WDS ID : saisissez un nom approprié pour la nouvelle liaison WDS que vous
avez créée. Il est important que le même WDS ID soit aussi entré à l'autre
extrémité de la liaison WDS. Si ce WDS ID n'est pas identique pour les deux
périphériques WAP sur la liaison WDS, ils ne pourront pas communiquer et
échanger des données.
Le WDS ID peut être n'importe quelle combinaison alphanumérique.
Guide d'administration pour Cisco WAP131 et WAP351
113
5
Accès sans fil
WorkGroup Bridge
•
Key : saisissez une clé partagée unique pour le pont WDS. Cette clé
partagée unique doit aussi être saisie pour le périphérique WAP situé à
l'autre extrémité de la liaison WDS. Si cette clé n'est pas identique pour les
deux WAP, ceux-ci ne pourront pas communiquer et échanger des données.
La clé WPA-PSK est une chaîne de 8 caractères minimum et de
63 caractères maximum. Les caractères acceptés sont les lettres
alphabétiques majuscules et minuscules, les chiffres numériques et les
symboles spéciaux comme @ et #.
WorkGroup Bridge
La fonction WorkGroup Bridge du périphérique WAP permet à celui-ci d'étendre
l'accessibilité d'un réseau distant. En mode WorkGroup Bridge, le périphérique WAP
fonctionne comme une station sans fil (STA) sur le réseau local (LAN) sans fil. Il peut
acheminer le trafic entre un réseau filaire distant ou des clients sans fil associés et le
réseau local (LAN) sans fil qui est connecté via le mode WorkGroup Bridge.
La fonction WorkGroup Bridge permet la prise en charge simultanée du mode STA et
du mode AP. Le périphérique WAP peut fonctionner dans un seul BSS (Basic Service
Set) en tant que périphérique STA tout en fonctionnant sur un autre BSS en tant que
périphérique WAP. Lorsque le mode WorkGroup Bridge est activé, le périphérique
WAP prend en charge un seul BSS pour les clients sans fil qui s'associent à celui-ci, et
un autre BSS auquel le périphérique WAP s'associe en tant que client sans fil.
Nous vous recommandons d'utiliser le mode WorkGroup Bridge uniquement
lorsque la fonction WDS Bridge ne peut pas fonctionner avec un périphérique
WAP homologue. WDS est une meilleure solution et doit être préférée à la solution
WorkGroup Bridge. Utilisez WDS si vous effectuez un pontage des périphériques
Cisco WAP131 et Cisco WAP351. Si ce n'est pas le cas, optez pour le mode
WorkGroup Bridge. Lorsque la fonction WorkGroup Bridge est activée, les
configurations VAP ne sont pas appliquées ; seule la configuration WorkGroup
Bridge est appliquée.
REMARQUE La fonction WDS ne fonctionne pas lorsque le mode WorkGroup Bridge est activé
sur le périphérique WAP.
En mode WorkGroup Bridge, le BSS géré par le périphérique WAP fonctionnant en
mode périphérique WAP est appelé l'interface de point d'accès, et les STA
associés sont appelés les STA descendants. Le BSS géré par l'autre
périphérique WAP (c'est-à-dire celui auquel le périphérique WAP s'associe en tant
que STA) est appelé l'interface cliente d'infrastructure, et l'autre périphérique WAP
est appelé le point d'accès montant.
Guide d'administration pour Cisco WAP131 et WAP351
114
5
Accès sans fil
WorkGroup Bridge
Les périphériques connectés à l'interface filaire du périphérique WAP, ainsi que les
stations descendantes associées à l'interface de point d'accès du périphérique,
peuvent accéder au réseau connecté par l'interface cliente d'infrastructure. Pour
autoriser le pontage des paquets, la configuration VLAN de l'interface de point
d'accès et de l'interface filaire doit correspondre à celle de l'interface cliente
d'infrastructure.
Le mode WorkGroup Bridge peut être utilisé comme amplificateur de portée afin
de permettre au BSS de fournir un accès aux réseaux distants ou difficiles
d'accès. Une radio unique peut être configurée pour transférer les paquets des
STA associés vers un autre périphérique WAP du même ESS, sans utiliser de
WDS.
Avant de configurer WorkGroup Bridge sur le périphérique WAP, veuillez noter les
informations ci-après :
•
Tous les périphériques WAP intégrés à WorkGroup Bridge doivent avoir les
paramètres identiques suivants :
-
Radio
-
IEEE 802.11 Mode
-
Channel Bandwidth
-
Channel (l'option Auto n'est pas recommandée)
Reportez-vous à la section Radio (paramètres de base) pour obtenir des
informations sur la définition de ces paramètres.
•
Le mode WorkGroup Bridge prend actuellement en charge le trafic IPv4
uniquement.
•
Le mode WorkGroup Bridge n'est pas pris en charge via une configuration
de point unique.
Pour configurer le mode WorkGroup Bridge :
ÉTAPE 1 Sélectionnez Wireless > WorkGroup Bridge.
ÉTAPE 2 Cochez Enable en regard de WorkGroup Bridge Mode.
ÉTAPE 3 Dans le champ Radio Setting Per Interface, sélectionnez l'interface radio à
laquelle appliquer les paramètres de configuration.
Guide d'administration pour Cisco WAP131 et WAP351
115
5
Accès sans fil
WorkGroup Bridge
ÉTAPE 4 Configurez les paramètres suivants pour l'interface cliente d'infrastructure
(montante) :
•
SSID : SSID du BSS. Il y a une flèche en regard de SSID pour l'analyse SSID.
Cette fonction est désactivée par défaut et est uniquement activée si la
détection des points d'accès est activée dans la détection des points
d'accès non autorisés (qui est également désactivée par défaut).
•
Security : type de sécurité à utiliser pour l'authentification en tant que station
cliente sur le périphérique WAP montant. Les options sont les suivantes :
•
-
None
-
Static WEP
-
WPA Personal
-
WPA Enterprise
VLAN ID : VLAN associé au BSS. L'interface cliente d'infrastructure sera
associée au périphérique WAP montant avec les informations
d'identification configurées. Le périphérique WAP peut obtenir son
adresse IP d'un serveur DHCP sur la liaison montante. Vous pouvez
également attribuer une adresse IP statique. Le champ Connection Status
indique si le WAP est connecté au périphérique WAP montant. Vous pouvez
cliquer sur le bouton Refresh en haut de la page pour afficher l'état actuel de
la connexion.
ÉTAPE 5 Configurez les champs supplémentaires suivants pour l'interface de point d'accès :
•
Status : cochez Enable en regard de l'interface de point d'accès.
•
SSID : le SSID de l'interface de point d'accès ne doit pas être identique au
SSID client d'infrastructure. Toutefois, si vous souhaitez une prise en charge
d'un type de scénario d'itinérance, le SSID et la sécurité doivent être
identiques.
•
SSID Broadcast : cochez la case si vous souhaitez que le SSID descendant
soit diffusé. La diffusion SSID est activée par défaut.
•
Security : type de sécurité à utiliser pour l'authentification. Les options sont
les suivantes :
-
None
-
Static WEP
-
WPA Personal
Guide d'administration pour Cisco WAP131 et WAP351
116
5
Accès sans fil
Quality of Service
•
MAC Filtering : sélectionnez l'une des options ci-dessous :
-
Disabled : le groupe de clients dans le BSS de points d'accès pouvant
accéder au réseau montant n'est pas restreint aux clients spécifiés dans
une liste d'adresses MAC.
-
Local : le groupe de clients dans le BSS de points d'accès pouvant
accéder au réseau montant est restreint aux clients spécifiés dans une
liste d'adresses MAC localement définie.
-
RADIUS : le groupe de clients dans le BSS de points d'accès pouvant
accéder au réseau montant est restreint aux clients spécifiés dans une
liste d'adresses MAC sur un serveur RADIUS.
Si vous sélectionnez Local ou RADIUS, reportez-vous à la section MAC
Filtering pour obtenir des instructions sur la création de la liste de
filtrage MAC.
•
VLAN ID : configurez l'interface de point d'accès avec le même ID de VLAN
que celui annoncé sur l'interface cliente d'infrastructure.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Les clients descendants associés sont désormais connectés au réseau montant.
Quality of Service
Les paramètres de qualité de service (QoS) vous permettent de configurer les
files d'attente de transmission pour bénéficier d'un débit optimal et de meilleures
performances si vous administrez un trafic sans fil différencié, comme la voix sur IP
(VoIP), d'autres types de flux audio, vidéo et multimédia en continu, ainsi que des
données IP classiques.
Pour configurer la qualité de service (QoS) sur le périphérique WAP, définissez les
paramètres sur les files d'attente de transmission pour les différents types de
trafic sans fil et spécifiez les temps d'attente minimum et maximum (via les
fenêtres de contention) pour la transmission.
Les paramètres EDCA (Enhanced Distributed Channel Access) du WAP affectent
le trafic transmis du périphérique WAP à la station cliente. Les paramètres EDCA
de la station affectent le trafic transmis de la station cliente au périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
117
5
Accès sans fil
Quality of Service
En utilisation normale, les valeurs EDCA par défaut du périphérique WAP et de la
station ne nécessitent aucune modification. La modification de ces valeurs affecte
la qualité de service (QoS) fournie.
Pour définir les paramètres EDCA du périphérique WAP et de la station :
ÉTAPE 1 Sélectionnez Wireless > Quality of Service.
ÉTAPE 2 Sélectionnez l'interface radio (Radio1 ou Radio2).
ÉTAPE 3 Sélectionnez l'une de ces options dans la liste EDCA Template :
•
WFA Defaults : renseigne les paramètres EDCA du périphérique WAP et de
la station avec les valeurs WiFi Alliance par défaut, qui sont optimales pour
un trafic mixte général.
•
Optimized for Voice : renseigne les paramètres EDCA du
périphérique WAP et de la station avec les valeurs les plus adaptées au
trafic vocal.
•
Custom : vous permet de choisir des paramètres EDCA personnalisés.
Ces quatre files d'attente sont définies pour les différents types de données
transmises du WAP vers la station. Si vous choisissez un modèle personnalisé, les
paramètres qui définissent les files d'attente sont configurables ; sinon, ils ont des
valeurs prédéfinies appropriées à votre sélection. Les quatre files d'attente sont :
•
Data 0 (Voice) : file de priorité élevée, délai minimal. Les données devant
être transmises rapidement, comme le VoIP et la lecture multimédia en
continu, sont automatiquement envoyées vers cette file d'attente.
•
Data 1 (Video) : file de priorité élevée, délai minimal. Les données vidéo
devant être transmises rapidement sont automatiquement envoyées vers
cette file d'attente.
•
Data 2 (Best Effort) : file de priorité moyenne, débit et délai moyens. La
plupart des données IP classiques sont envoyées vers cette file d'attente.
•
Data 3 (Background) : file de priorité la plus faible, débit élevé. Les données
en bloc nécessitant un débit maximal et dont la rapidité n'est pas essentielle
sont envoyées vers cette file d'attente (les données FTP, par exemple).
Guide d'administration pour Cisco WAP131 et WAP351
118
5
Accès sans fil
Quality of Service
ÉTAPE 4 Définissez les paramètres EDCA de station suivants :
REMARQUE Ces paramètres ne peuvent être définis que si vous avez sélectionné
Custom à l'étape précédente.
•
Arbitration Inter-Frame Space : temps d'attente pour les trames de
données. Le temps d'attente se mesure en emplacements. Les valeurs
valides pour AIFS sont comprises entre 1 et 255.
•
Minimum Contention Window : entrée dans l'algorithme qui détermine le
temps d'attente d'interruption aléatoire initial (fenêtre) pour une nouvelle
tentative de transmission.
Cette valeur est la limite supérieure (en millisecondes) d'une plage à partir
de laquelle le temps d'attente d'interruption aléatoire initial est déterminé. Le
premier nombre aléatoire généré est un nombre compris entre 0 et le
nombre spécifié ici. Si le premier temps d'attente d'interruption aléatoire
expire avant l'envoi de la trame de données, un compteur de tentatives est
incrémenté et la valeur d'interruption aléatoire (fenêtre) est doublée. Le
doublage continue jusqu'à ce que la taille de la valeur d'interruption aléatoire
atteigne le nombre défini dans le champ Maximum Contention Window.
Les valeurs valides sont 1, 3, 7, 15, 31, 63, 127, 255, 511 ou 1024. La valeur
spécifiée doit être inférieure à celle du champ Maximum Contention
Window.
•
Maximum Contention Window : limite supérieure en millisecondes pour le
doublage de la valeur d'interruption aléatoire. Ce doublage continue jusqu'à
ce que la trame de données soit envoyée ou que la taille Maximum
Contention Window soit atteinte.
Une fois la taille Maximum Contention Window atteinte, les nouvelles
tentatives se poursuivent jusqu'à ce que le nombre maximal autorisé de
tentatives soit atteint.
Les valeurs valides sont 1, 3, 7, 15, 31, 63, 127, 255, 511 ou 1024. La valeur
spécifiée doit être supérieure à celle du champ Minimum Contention
Window.
•
Maximum Burst : paramètre EDCA WAP qui s'applique uniquement au trafic
transmis du WAP à la station cliente.
Cette valeur spécifie (en millisecondes) la longueur de rafale maximale
autorisée pour les rafales de paquets sur le réseau sans fil. Une rafale de
paquets est un groupe de plusieurs trames transmises sans informations d'entête. La baisse de la charge de traitement génère un débit plus élevé et de
meilleures performances. Les valeurs valides sont comprises entre 0,0 et 999.
Guide d'administration pour Cisco WAP131 et WAP351
119
5
Accès sans fil
Quality of Service
•
Wi-Fi MultiMedia (WMM) : sélectionnez Enable pour activer les extensions
Wi-Fi MultiMedia (WMM). Ce champ est activé par défaut. Lorsque WMM est
activé, la définition des priorités de qualité de service (QoS) et la
coordination de l'accès au support sans fil sont activées. Lorsque WMM est
activé, les paramètres de qualité de service (QoS) sur le périphérique WAP
contrôlent le trafic descendant transmis du périphérique WAP à la station
cliente (paramètres EDCA de point d'accès), ainsi que le trafic montant
transmis de la station vers le point d'accès (paramètres EDCA de station).
La désactivation de WMM désactive le contrôle de qualité de service (QoS)
des paramètres EDCA de station sur le trafic montant transmis de la station
vers le périphérique WAP. Lorsque WMM est désactivé, vous pouvez toujours
définir certains paramètres sur le trafic descendant transmis du
périphérique WAP vers la station cliente (paramètres EDCA de point d'accès).
•
TXOP Limit (Station only) : la limite TXOP est un paramètre EDCA de station.
Il s'applique uniquement au trafic transmis de la station cliente vers le
périphérique WAP. L'opportunité de transmission (Transmission Opportunity,
TXOP) est l'intervalle en millisecondes pendant lequel une station cliente
WME est autorisée à initier des transmissions sur le support sans fil
(Wireless Medium, WM) vers le périphérique WAP. La valeur maximale du
paramètre TXOP Limit est 65 535.
ÉTAPE 5 Définissez les paramètres supplémentaires suivants :
•
No Acknowledgement : cochez Enable pour indiquer que le
périphérique WAP ne doit pas accepter les trames ayant la valeur de classe
de service QosNoAck.
•
Unscheduled Automatic Power Save Delivery : cochez Enable pour
activer APSD, qui est une méthode de gestion de l'alimentation. APSD est
recommandée si les téléphones VoIP accèdent au réseau via le
périphérique WAP.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Dans ce cas, il est possible que le périphérique
WAP perde la connectivité. Nous vous recommandons de choisir un moment où une
perte de connectivité aura le moins d'impact sur vos clients sans fil pour modifier
les paramètres du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
120
6
Sécurité du système
Ce chapitre explique comment configurer les paramètres de sécurité sur le
périphérique WAP. Il contient les sections suivantes :
•
Serveur RADIUS
•
Demandeur 802.1X/802.1X
•
Complexité des mots de passe
•
Complexité WPA-PSK
Serveur RADIUS
Plusieurs fonctionnalités nécessitent une communication avec un serveur
d'authentification RADIUS. Par exemple, lorsque vous configurez des points
d'accès virtuels (VAP) sur le périphérique WAP, vous pouvez configurer des
méthodes de sécurité qui contrôlent l'accès des clients sans fil (voir la page
Radio). Les méthodes de sécurité WEP dynamique et WPA Entreprise utilisent un
serveur RADIUS externe pour authentifier les clients. La fonctionnalité de filtrage
des adresses MAC, dans laquelle l'accès des clients est limité à une liste, peut
également être configurée afin d'utiliser un serveur RADIUS pour le contrôle des
accès. La fonctionnalité de portail captif utilise également un serveur RADIUS
pour l'authentification des clients.
Utilisez la page Radius Server pour configurer les serveurs RADIUS qui seront
utilisés par ces fonctionnalités. Vous pouvez configurer jusqu'à quatre serveurs
RADIUS IPv4 ou IPv6 globaux disponibles. Néanmoins, vous devez sélectionner si
le client RADIUS opère en mode IPv4 ou IPv6 par rapport aux serveurs globaux.
L'un des serveurs agit toujours en tant que serveur principal alors que les autres
agissent en tant que serveurs de sauvegarde.
REMARQUE En plus d'utiliser les serveurs RADIUS globaux, vous pouvez aussi configurer
chaque point d'accès virtuel (VAP) de telle sorte qu'il utilise un ensemble spécifique
de serveurs RADIUS. Pour en savoir plus, reportez-vous à la page Réseaux.
Guide d'administration pour Cisco WAP131 et WAP351
121
6
Sécurité du système
Serveur RADIUS
Pour configurer des serveurs RADIUS globaux :
ÉTAPE 1 Sélectionnez Security > RADIUS Server.
ÉTAPE 2 Définissez les paramètres suivants :
•
Server IP Address Type : sélectionnez la version IP utilisée par le
serveur RADIUS. Vous pouvez basculer entre les différents types d'adresse
afin de définir les paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais
le périphérique WAP ne contactera que le ou les serveurs RADIUS
répondant au type d'adresse que vous sélectionnez dans ce champ.
•
Server IP Address 1 ou Server IPv6 Address 1 : saisissez l'adresse du
serveur RADIUS global principal. Lorsque le premier client sans fil tente de
s'authentifier auprès du périphérique WAP, le périphérique WAP envoie une
demande d'authentification au serveur principal. Si le serveur principal
répond à la demande d'authentification, le périphérique WAP continue à
utiliser ce serveur RADIUS en guise de serveur principal et les demandes
d'authentification sont envoyées à l'adresse spécifiée.
•
Server IP Address (2 à 4) ou Server IPv6 Address (2 à 4) : saisissez jusqu'à
trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si
l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
•
Key 1 : saisissez la clé secrète partagée utilisée par le périphérique WAP
pour s'authentifier auprès du serveur RADIUS principal. Vous pouvez utiliser
de 1 à 64 caractères alphanumériques standard et caractères spéciaux. La
clé est sensible à la casse et doit correspondre à la clé configurée sur le
serveur RADIUS. Le texte que vous saisissez apparaît sous la forme
d'astérisques.
•
Key (2 à 4) : saisissez la clé RADIUS associée aux serveurs RADIUS de
sauvegarde configurés. Le serveur spécifié dans le champ Server IP (IPv6)
Address 2 utilise Key 2 ; le serveur spécifié dans le champ Server IP (IPv6)
Address 3 utilise Key 3, etc.
•
Authentication Port : saisissez le port que le périphérique WAP utilise pour
se connecter au serveur RADIUS principal.
•
Authentication Port (2 à 4) : saisissez le port associé aux serveurs RADIUS
de sauvegarde configurés. Le serveur spécifié dans le champ Server IP
(IPv6) Address 2 utilise Authentication Port 2 ; le serveur spécifié dans le
champ Server IP (IPv6) Address 3 utilise Authentication Port 3, etc.
Guide d'administration pour Cisco WAP131 et WAP351
122
6
Sécurité du système
Demandeur 802.1X/802.1X
•
Enable RADIUS Accounting : active le suivi et la mesure des ressources
consommées par un utilisateur donné (heure système, volume de données
transmises et reçues, etc.). Si vous activez la gestion des comptes RADIUS,
cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et
pour l'ensemble des serveurs de sauvegarde.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Demandeur 802.1X/802.1X
Cette section fournit une description de la fonctionnalité 802.1X et comment la
configurer.
L'authentification IEEE 802.1X permet au périphérique WAP d'atteindre un réseau
filaire sécurisé. Vous pouvez activer le périphérique WAP en tant que demandeur
(client) 802.1X sur le réseau filaire. Il est possible de configurer un nom d'utilisateur
et un mot de passe cryptés à l'aide de l'algorithme MD5 afin d'autoriser le
périphérique WAP à effectuer une authentification à l'aide de la technologie 802.1X.
Sur les réseaux qui utilisent le contrôle d'accès réseau basé sur les ports IEEE
802.1X, un demandeur ne peut pas accéder au réseau tant que l'authentificateur
802.1X ne lui en a pas donné l'autorisation. Si votre réseau utilise la technologie
802.1X, vous devez configurer les informations d'authentification 802.1X sur le
périphérique WAP, de telle sorte qu'il puisse les transmettre à l'authentificateur.
Configurer le demandeur 802.1X pour Cisco WAP131
Pour configurer les paramètres de demandeur 802.1X, procédez comme suit :
ÉTAPE 1 Cliquez sur System Security > 802.1X Supplicant.
La zone Certificate File Status indique s'il existe un certificat actuel :
•
Certificate File Present : indique si le fichier de certificat SSL HTTP est
présent. Ce champ contient la valeur Yes si ce fichier est présent. La valeur
par défaut est No.
•
Certificate Expiration Date : indique la date d'expiration du fichier de
certificat SSL HTTP. La plage est une date valide.
Guide d'administration pour Cisco WAP131 et WAP351
123
6
Sécurité du système
Demandeur 802.1X/802.1X
ÉTAPE 2 La zone Supplicant Configuration permet de configurer l'état opérationnel et les
paramètres de base de 802.1X :
•
Administrative Mode : active ou désactive la fonctionnalité de demandeur
802.1X.
•
EAP Method : choisissez l'algorithme à utiliser pour le cryptage des noms
d'utilisateur et des mots de passe utilisés lors de l'authentification. Les
options sont les suivantes :
-
MD5 : fonction de hachage définie dans la norme RFC 3748 et offrant une
sécurité de base.
-
PEAP : protocole (PEAP, Protected Extensible Authentication Protocol)
offrant un niveau de sécurité supérieur à celui de la technologie MD5,
grâce à l'encapsulation de celle-ci à l'intérieur d'un tunnel TLS.
-
TLS : sécurité de la couche transport (TLS, Transport Layer Security),
telle que définie dans la norme RFC 5216, à savoir une norme ouverte
offrant un haut niveau de sécurité.
•
Username : le périphérique WAP utilise ce nom d'utilisateur lorsqu'il répond
à des demandes émanant d'un authentificateur 802.1X. Le nom d'utilisateur
peut comporter de 1 à 64 caractères. Les caractères imprimables ASCII
sont autorisés, ce qui inclut les lettres majuscules et minuscules, les chiffres
et tous les caractères spéciaux à l'exception des guillemets.
•
Password : le périphérique WAP utilise ce mot de passe MD5 lorsqu'il
répond à des demandes émanant d'un authentificateur 802.1X. La longueur
du mot de passe peut être de 1 à 64 caractères. Les caractères imprimables
ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les
chiffres et tous les caractères spéciaux à l'exception des guillemets.
ÉTAPE 3 La zone Certificate File Upload permet de télécharger un fichier de certificat vers
le périphérique WAP :
a. Choisissez HTTP ou TFTP dans Transfer Method.
b. Si vous avez sélectionné HTTP, cliquez sur Browse pour sélectionner le fichier.
Pour plus d'informations sur la configuration des paramètres du serveur HTTP,
voir Service HTTP/HTTPS.
c. Si vous avez sélectionné TFTP, complétez les champs Filename et TFTP Server
IPv4 Address. Le nom de fichier ne peut pas contenir les caractères suivants :
espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
d. Cliquez sur Upload. Une fenêtre de confirmation apparaît, suivie d'une barre de
progression indiquant l'état du téléchargement.
Guide d'administration pour Cisco WAP131 et WAP351
124
6
Sécurité du système
Demandeur 802.1X/802.1X
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un
moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil
pour modifier les paramètres du périphérique WAP.
Configurer 802.1X pour Cisco WAP351
Pour configurer les paramètres 802.1X, procédez comme suit :
ÉTAPE 1 Cliquez sur System Security > 802.1X.
Cinq ports sont associés à cinq interfaces LAN que vous pouvez configurer pour
l'authentification 802.1X dans Cisco WAP351.
ÉTAPE 2 Sélectionnez un port et cliquez sur Edit.
ÉTAPE 3 Choisissez d'activer ou de désactiver le demandeur ou l'authentificateur pour le
port.
•
Supplicant : active la fonctionnalité de demandeur 802.1X.
•
Authenticator : active la fonctionnalité d'authentificateur 802.1X.
ÉTAPE 4 Si vous activez le demandeur, cliquez sur Show Details pour configurer ces
paramètres de demandeur 802.1X :
•
EAP Method : choisissez l'algorithme à utiliser pour le cryptage des noms
d'utilisateur et des mots de passe utilisés lors de l'authentification. Les
options sont les suivantes :
-
MD5 : fonction de hachage définie dans la norme RFC 3748 et offrant une
sécurité de base.
-
PEAP : protocole (PEAP, Protected Extensible Authentication Protocol)
offrant un niveau de sécurité supérieur à celui de la technologie MD5,
grâce à l'encapsulation de celle-ci à l'intérieur d'un tunnel TLS.
-
TLS : sécurité de la couche transport (TLS, Transport Layer Security),
telle que définie dans la norme RFC 5216, à savoir une norme ouverte
offrant un haut niveau de sécurité.
Guide d'administration pour Cisco WAP131 et WAP351
125
6
Sécurité du système
Demandeur 802.1X/802.1X
•
Username : le périphérique WAP utilise ce nom d'utilisateur lorsqu'il répond
à des demandes émanant d'un authentificateur 802.1X. Le nom d'utilisateur
peut comporter de 1 à 64 caractères. Les caractères imprimables ASCII
sont autorisés, ce qui inclut les lettres majuscules et minuscules, les chiffres
et tous les caractères spéciaux à l'exception des guillemets.
•
Password : le périphérique WAP utilise ce mot de passe MD5 lorsqu'il
répond à des demandes émanant d'un authentificateur 802.1X. La longueur
du mot de passe peut être de 1 à 64 caractères. Les caractères imprimables
ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les
chiffres et tous les caractères spéciaux à l'exception des guillemets.
REMARQUE Il est possible de configurer le nom d'utilisateur et le mot de
passe cryptés à l'aide de l'algorithme MD5 afin d'autoriser le périphérique
WAP à effectuer une authentification à l'aide de la technologie 802.1X.
•
•
Certificate File Status : indique s'il existe un certificat actuel existe.
-
Certificate File Present : indique si le fichier de certificat SSL HTTP est
présent. Ce champ contient la valeur Yes si ce fichier est présent. La
valeur par défaut est No.
-
Certificate Expiration Date : indique la date d'expiration du fichier de
certificat SSL HTTP. La plage est une date valide.
Certificate File Upload : permet de télécharger un fichier de certificat vers
le périphérique WAP. Vous pouvez :
-
Choisir HTTP ou TFTP dans Transfer Method.
-
Si vous avez sélectionné HTTP, cliquer sur Browse pour sélectionner le
fichier. Pour plus d'informations sur la configuration des paramètres du
serveur HTTP, voir Service HTTP/HTTPS. Si vous avez sélectionné TFTP,
complétez les champs Filename et TFTP Server IPv4 Address. Le nom
de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \,
: , (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
-
Cliquer sur Upload. Une fenêtre de confirmation apparaît, suivie d'une
barre de progression indiquant l'état du téléchargement.
ÉTAPE 5 Si vous activez l'authentification, cliquez sur Show Details pour configurer ces
paramètres :
•
Use Global RADIUS Server Settings : par défaut, chaque port Ethernet
utilise les paramètres RADIUS globaux que vous définissez pour le
périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez configurer
chaque port de façon à ce qu'il utilise un autre groupe de serveurs RADIUS.
Guide d'administration pour Cisco WAP131 et WAP351
126
6
Sécurité du système
Demandeur 802.1X/802.1X
Activez l'option pour utiliser les paramètres de serveur RADIUS globaux ou
désactivez-la pour utiliser un serveur RADIUS distinct pour un port et
saisissez des valeurs dans les champs Server IP Address ou Server IPv6
Address, Key et Authentication Port.
•
Server IP Address Type : version IP utilisée par le serveur RADIUS. Vous
pouvez basculer entre les différents types d'adresse afin de définir les
paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le
périphérique WAP ne contactera que le ou les serveurs RADIUS répondant
au type d'adresse que vous sélectionnez dans ce champ.
-
Server IP Address 1 ou Server IPv6 Address 1 : adresse du serveur
RADIUS principal pour ce port Ethernet.
Lorsque le premier ordinateur se connecte et tente de s'authentifier
auprès du périphérique WAP, le périphérique WAP envoie une demande
d'authentification au serveur principal. Si le serveur principal répond à la
demande d'authentification, le périphérique WAP continue à utiliser ce
serveur RADIUS comme serveur principal et les demandes
d'authentification sont envoyées à l'adresse spécifiée.
La forme de l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx
(192.0.2.10). La forme de l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
-
Server IP Address 2 to 4 ou Server IPv6 Address 2 to 4 : jusqu'à trois
adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si
l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
-
Key : clé secrète partagée que le périphérique WAP utilise pour
s'authentifier sur le serveur RADIUS principal. Vous pouvez utiliser jusqu'à
63 caractères alphanumériques standard et caractères spéciaux. La clé
est sensible à la casse et doit correspondre à la clé configurée sur le
serveur RADIUS. Le texte que vous saisissez s'affiche sous forme
d'astérisques.
-
Key 2 à Key 4 : clé RADIUS associée aux serveurs RADIUS de
sauvegarde configurés. Le serveur spécifié dans le champ Server IP
(IPv6) Address 2 utilise Key 2 ; le serveur spécifié dans le champ Server
IP (IPv6) Address 3 utilise Key 3, etc.
-
Authentication Port : port que le périphérique WAP utilise pour se
connecter au serveur RADIUS principal.
Guide d'administration pour Cisco WAP131 et WAP351
127
6
Sécurité du système
Complexité des mots de passe
-
•
Authentication Port (2 à 4) : port associé aux serveurs RADIUS de
sauvegarde configurés. Le serveur spécifié dans le champ Server IP
(IPv6) Address 2 utilise Authentication Port 2 ; le serveur spécifié dans
le champ Server IP (IPv6) Address 3 utilise Authentication Port 3, etc.
Enable RADIUS Accounting : active le suivi et la mesure des ressources
consommées par un utilisateur donné (heure système, volume de données
transmises et reçues, etc.) Si vous activez la gestion des comptes RADIUS,
cette fonctionnalité est activée à la fois pour le serveur RADIUS principal et
pour l'ensemble des serveurs de sauvegarde.
-
Active Server : permet de sélectionner administrativement le serveur
RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans
l'ordre chaque serveur configuré et de choisir le premier serveur actif.
-
Periodic Reauthentication : active la réauthentification EAP.
-
Reauthentication Period : saisissez la période de réauthentification EAP
en secondes. La valeur par défaut est 3600. La plage valide est comprise
entre 300 et 4294967295 secondes.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un
moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil
pour modifier les paramètres du périphérique WAP.
Complexité des mots de passe
Dans la page Password Complexity, modifiez les exigences de complexité pour
les mots de passe utilisés pour accéder à l'utilitaire de configuration. Des mots de
passe complexes augmentent la sécurité.
Pour configurer les exigences de complexité des mots de passe :
ÉTAPE 1 Sélectionnez Security > Password Complexity.
ÉTAPE 2 Activez la case Enable en regard du champ Password Complexity.
Guide d'administration pour Cisco WAP131 et WAP351
128
6
Sécurité du système
Complexité WPA-PSK
ÉTAPE 3 Définissez les paramètres suivants :
•
Password Minimum Character Class : saisissez le nombre minimal de
classes de caractères devant être représentées dans la chaîne de mot de
passe. Les quatre classes de caractères possibles sont les lettres
majuscules, les lettres minuscules, les chiffres et les caractères spéciaux
disponibles sur un clavier standard.
•
Password Different From Current : activez cette option afin de demander
aux utilisateurs d'entrer un autre mot de passe lorsque leur mot de passe
actuel arrive à expiration. Si vous ne sélectionnez pas cette option, les
utilisateurs peuvent entrer à nouveau le même mot de passe une fois celuici arrivé à expiration.
•
Maximum Password Length : la longueur maximale du mot de passe est
comprise entre 64 et 80 caractères. La valeur par défaut est 64.
•
Minimum Password Length : la longueur minimale du mot de passe est
comprise entre 0 et 32 caractères. La valeur par défaut est 8.
•
Password Aging Support : activez cette option pour que les mots de passe
expirent après une période déterminée que vous configurez.
•
Password Aging Time : saisissez le nombre de jours avant qu'un nouveau
mot de passe n'expire. Cette valeur est comprise entre 1 et 365. La valeur
par défaut est de 180 jours.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Complexité WPA-PSK
Lorsque vous configurez des points d'accès virtuels (VAP) sur le périphérique
WAP, vous pouvez sélectionner une méthode d'authentification sécurisée des
clients. Si vous sélectionnez le protocole WPA personnel (également connu sous
le nom de clé prépartagée WPA ou WPA-PSK) en guise de méthode de sécurité
pour tous les points d'accès virtuels (VAP), vous pouvez également utiliser la page
WPA-PSK Complexity pour configurer les exigences de complexité de la clé
utilisée dans le processus d'authentification. Des clés plus complexes offrent une
sécurité accrue.
Guide d'administration pour Cisco WAP131 et WAP351
129
6
Sécurité du système
Complexité WPA-PSK
Pour configurer la complexité WPA-PSK :
ÉTAPE 1 Sélectionnez Security > WPA-PSK Complexity.
ÉTAPE 2 Activez la case Enable en regard du paramètre WPA-PSK Complexity afin de
permettre au périphérique WAP de contrôler les clés WPA-PSK en fonction des
critères que vous configurez. Si vous désactivez cette fonctionnalité, aucun de ces
paramètres n'est utilisé. La complexité WPA-PSK est désactivée par défaut.
ÉTAPE 3 Définissez les paramètres suivants :
•
WPA-PSK Minimum Character Class : choisissez le nombre minimal de
classes de caractères devant être représentées dans la chaîne de clé. Les
quatre classes de caractères possibles sont les lettres majuscules, les
lettres minuscules, les chiffres et les caractères spéciaux disponibles sur un
clavier standard. La valeur par défaut est trois.
•
WPA-PSK Different From Current : lorsque la fonctionnalité est activée, les
utilisateurs doivent configurer une autre clé lorsque leur clé actuelle arrive à
expiration. Lorsqu'elle est désactivée, les utilisateurs peuvent continuer à
utiliser leur ancienne clé ou leur clé précédente lorsque leur clé actuelle
arrive à expiration.
•
Maximum WPA-PSK Length : la longueur maximale de la clé est comprise
entre 32 et 63 caractères. La valeur par défaut est 63.
•
Minimum WPA-PSK Length : la longueur minimale de la clé est comprise
entre 8 et 16 caractères. La valeur par défaut est 8.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
130
7
Qualité de service
Ce chapitre explique comment configurer la fonctionnalité de qualité de service
(QoS) sur le périphérique WAP. Il contient les sections suivantes :
•
Paramètres globaux
•
Mappage de classe
•
Mappage de stratégie
•
Association de la QoS
•
État de la QoS
Paramètres globaux
Dans la page Global Settings, vous pouvez activer ou désactiver la fonctionnalité
QoS sur le périphérique WAP, et configurer le mode de confiance ainsi que
d'autres paramètres QoS si vous utilisez un périphérique Cisco WAP351.
Configuration des paramètres QoS pour Cisco WAP131
Pour configurer le mode QoS sur votre périphérique WAP :
ÉTAPE 1 Sélectionnez Quality of Service > Global Settings.
ÉTAPE 2 Dans le champ QoS Mode, activez ou désactivez la fonctionnalité QoS
globalement sur le périphérique WAP.
ÉTAPE 3 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
131
7
Qualité de service
Paramètres globaux
Configuration des paramètres QoS pour Cisco WAP351
Si vous utilisez un périphérique Cisco WAP351 et que le mode QoS est activé,
vous pouvez configurer le mode de confiance et d'autres paramètres pour le
commutateur Ethernet :
ÉTAPE 1 Sélectionnez Quality of Service > Global Settings.
ÉTAPE 2 Activez le mode QoS sur le périphérique.
ÉTAPE 3 Choisissez le mode de confiance du commutateur Ethernet dans la liste Trust
Mode. Les options sont les suivantes :
•
CoS/802.1p : la priorité d'un paquet reçu d'un port Ethernet est basée sur la
valeur 802.1p dans ce paquet. Si le paquet entrant n'est pas balisé, la priorité
supposée est de 0. Vous pouvez configurer les paramètres de mappage de
priorité dans le tableau CoS/802.1p to Output Queue Table.
•
DSCP : la priorité d'un paquet reçu d'un port Ethernet est basée sur la
valeur IP ToS/DSCP dans ce paquet. Si le paquet entrant n'est pas du type
IPv4/IPv6, la priorité supposée est de 0. Vous pouvez configurer les
paramètres de mappage de priorité dans le tableau DSCP to Output Queue
Table.
•
Port : il s'agit du mode basé sur le port. La priorité d'un paquet reçu à partir
d'un port Ethernet est basée sur la valeur CoS associée à ce port. Vous
pouvez configurer la valeur CoS de chaque port dans la page Port Settings
(voir Paramètres des ports pour plus d'informations). Vous pouvez ensuite
configurer les paramètres de mappage de priorité dans le tableau CoS/
802.1p to Output Queue Table.
ÉTAPE 4 Si la priorité d'un paquet est basée sur CoS/802.1p, le paquet sera planifié dans
une file d'attente correspondante selon la configuration du tableau CoS/802.1p to
Output Queue Table. La méthode de planification des files d'attente peut être
définie dans la zone Scheduling Settings.
ÉTAPE 5 Si la priorité d'un paquet est basée sur DSCP, le paquet sera planifié dans une file
d'attente correspondante selon la configuration du tableau DSCP to Output
Queue Table. Quatre files d'attente sont prises en charge. La méthode de
planification des files d'attente peut être définie dans la zone Scheduling
Settings.
Guide d'administration pour Cisco WAP131 et WAP351
132
7
Qualité de service
Mappage de classe
ÉTAPE 6 Dans la zone Scheduling Settings, vous pouvez définir la planification des
méthodes de files d'attente. Lorsqu'elle est de priorité stricte (SP), la priorité est
Queue3 > Queue2 > Queue1 > Queue0. En mode WRR, les files d'attente sont
planifiées selon une méthode par permutation pondérée selon la pondération du
service de chaque file d'attente. Le mode WRR autorisé est uniquement [Q0, Q1],
[Q0, Q1, Q2] et [Q0, Q1, Q2, Q3]. La plage de pondération WRR va de 1 à 49.
ÉTAPE 7 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Mappage de classe
La fonctionnalité QoS inclut la prise en charge de services différenciés (DiffServ)
permettant la classification du trafic en flux et offrant un traitement QoS
correspondant à des comportements par saut définis.
Les réseaux IP standard sont conçus pour offrir un service de livraison des
données de type « au mieux ». Le service « au mieux » implique que le réseau livre
les données dans des délais corrects, mais sans garantie totale de livraison. En
cas d'encombrement du réseau, il se peut que des paquets soient retardés,
envoyés de manière sporadique, voire abandonnés. En ce qui concerne les
applications Internet typiques, comme le courrier électronique et le transfert de
fichiers, une légère dégradation du service est acceptable et dans de nombreux
cas indétectable. Toutefois, dans le cas des applications présentant des
exigences strictes en matière de délais d'exécution, comme la voix ou le
multimédia, toute dégradation du service a des effets indésirables.
Une configuration DiffServ débute par la définition de mappages de classe, ce qui
permet de classifier le trafic en fonction du protocole IP et d'autres critères.
Chaque mappage de classe peut ensuite être associé à un mappage de stratégie,
qui définit le mode de traitement de la classe de trafic. Les classes contenant du
trafic devant être transmis rapidement peuvent être affectées à des mappages de
stratégie accordant la priorité par rapport aux autres types de trafic.
Vous pouvez utiliser la page Class Map pour définir les classes de trafic, et la
page Mappage de stratégie pour définir les stratégies et leur associer les
mappages de classe.
Guide d'administration pour Cisco WAP131 et WAP351
133
7
Qualité de service
Mappage de classe
Configuration des mappages de classe IPv4
Pour ajouter et configurer un mappage de classe IPv4 :
ÉTAPE 1 Sélectionnez Quality of Service > Class Map.
ÉTAPE 2 Dans le champ Class Map Name, saisissez le nom du nouveau mappage de
classe. Le nom peut comporter de 1 à 31 caractères alphanumériques et
caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Choisissez IPv4 comme type de mappage de classe dans la liste Class Map
Type. Le mappage de classe IPv4 s'applique uniquement au trafic IPv4 sur le
périphérique WAP.
ÉTAPE 4 Dans la zone Match Criteria Configuration, configurez ces paramètres pour faire
correspondre les paquets à une classe :
•
Class Map Name : choisissez le mappage de classe IPv4 dans la liste.
•
Match Every Packet : la condition de correspondance est vraie pour
l'ensemble des paramètres dans un paquet de couche 3. Si vous activez
cette option, tous les paquets de couche 3 répondront à la condition.
•
Protocol : utilise une condition de correspondance de protocole de couche
3 ou 4 sur la base de la valeur du champ IP Protocol dans les paquets IPv4
ou du champ Next Header dans les paquets IPv6. Choisissez le protocole à
mettre en correspondance par mot clé ou saisissez un ID de protocole :
•
-
Select From List : met en correspondance le protocole sélectionné : IP,
ICMP, IGMP, TCP, UDP.
-
Match to Value : met en correspondance un protocole dont le nom ne
figure pas dans la liste. Saisissez l'ID de protocole. L'ID de protocole est
une valeur standard affectée par l'IANA. La valeur est un nombre compris
entre 0 et 255.
Source IP : nécessite que l'adresse IPv4 source d'un paquet corresponde à
l'adresse IPv4 définie dans les champs appropriés.
-
Source IP Address : saisissez l'adresse IPv4 pour appliquer ce critère.
-
Source IP Mask : saisissez le masque de l'adresse IPv4 source. Le
masque de DiffServ est un masque de bits de type réseau au format
décimal IP séparé par des points, indiquant la ou les parties de l'adresse
IP de destination à utiliser pour effectuer la correspondance avec le
contenu des paquets.
Guide d'administration pour Cisco WAP131 et WAP351
134
7
Qualité de service
Mappage de classe
Un masque DiffServ égal à 255.255.255.255 indique que tous les bits
sont importants, tandis qu'un masque égal à 0.0.0.0 indique qu'aucun bit
n'est important. Le contraire est vrai avec un masque générique d'ACL.
Par exemple, pour que les critères correspondent à une adresse hôte
unique, utilisez un masque égal à 255.255.255.255. Pour faire
correspondre les critères à un sous-réseau 24 bits (par exemple,
192.168.10.0/24), utilisez un masque égal à 255.255.255.0.
•
Source Port : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Select From List : met en correspondance un mot clé associé au port
source : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces
mots clés est traduit en son numéro de port équivalent.
-
Match to Port : met en correspondance le numéro de port source
figurant dans l'en-tête de datagramme avec un numéro de port IANA que
vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
•
•
Mask : masque du port. Le masque détermine quels bits sont utilisés et
quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF) est
autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit
être ignoré.
Destination IP : nécessite que l'adresse IPv4 destination d'un paquet
corresponde à l'adresse IPv4 définie dans les champs appropriés.
-
Destination IP Address : saisissez l'adresse IPv4 pour appliquer ce
critère.
-
Destination IP Mask : saisissez le masque d'adresse IP de destination.
Destination Port : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Select From List : met en correspondance le port de destination figurant
dans l'en-tête de datagramme avec le mot clé sélectionné : ftp, ftpdata,
http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit
en son numéro de port équivalent.
Guide d'administration pour Cisco WAP131 et WAP351
135
7
Qualité de service
Mappage de classe
-
Match to Port : met en correspondance le port de destination figurant
dans l'en-tête de datagramme avec un numéro de port IANA que vous
spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de ports
différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
•
Mask : masque du port. Le masque détermine quels bits sont utilisés et
quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF) est
autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit
être ignoré.
Service Type : spécifie le type de service à utiliser lors de la mise en
correspondance des paquets avec les critères de classe.
-
IP DSCP Select From List : choisissez une valeur DSCP à utiliser en
guise de critère de correspondance.
-
IP DSCP Match to Value : saisissez une valeur DSCP personnalisée,
comprise entre 0 et 63.
-
IP Precedence : met en correspondance la valeur IP Precedence du
paquet avec la valeur IP Precedence définie dans ce champ. La plage
des valeurs IP Precedence va de 0 à 7.
-
IP ToS Bits : utilise les bits du type de service (ToS) du paquet dans l'entête IP en guise de critères de correspondance. Cette valeur est
comprise entre 00 et FF. Les trois bits d'ordre haut représentent la valeur
IP Precedence. Les six bits d'ordre haut représentent la valeur IP DSCP.
-
IP ToS Mask : saisissez une valeur IP ToS Mask pour identifier les
positions de bits dans la valeur IP ToS Bits, utilisées pour la comparaison
avec le champ IP ToS dans un paquet.
La valeur IP ToS Mask est un nombre hexadécimal à deux chiffres,
compris entre 00 et FF, représentant un masque inversé (à savoir un
masque générique). Les bits égaux à zéro dans le champ IP ToS Mask
indiquent les positions de bits dans la valeur IP ToS Bits qui sont utilisées
pour la comparaison avec le champ IP ToS d'un paquet. Par exemple,
pour vérifier une valeur IP ToS possédant les bits 7 et 5 définis et le bit 1
vide, dans laquelle le bit 7 est le plus significatif, utilisez une valeur IP ToS
Bits égale à 0 et une valeur IP ToS Mask égale à 00.
Guide d'administration pour Cisco WAP131 et WAP351
136
7
Qualité de service
Mappage de classe
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer un mappage de classe, sélectionnez-le dans la liste Class Map
Name et cliquez sur Delete. Le mappage de classe ne peut pas être supprimé s'il
est déjà lié à une stratégie.
Configuration des mappages de classe IPv6
Pour ajouter et configurer un mappage de classe IPv6 :
ÉTAPE 1 Sélectionnez Quality of Service > Class Map.
ÉTAPE 2 Dans le champ Class Map Name, saisissez le nom du nouveau mappage de
classe. Le nom peut comporter de 1 à 31 caractères alphanumériques et
caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Choisissez IPv6 comme type de mappage de classe dans la liste Class Map
Type. Le mappage de classe IPv6 s'applique uniquement au trafic IPv6 sur le
périphérique WAP.
ÉTAPE 4 Dans la zone Match Criteria Configuration, configurez ces paramètres pour faire
correspondre les paquets à une classe :
•
Class Map Name : choisissez le mappage de classe IPv6 dans la liste.
•
Match Every Packet : la condition de correspondance est vraie pour
l'ensemble des paramètres dans un paquet de couche 3. Si vous activez
cette option, tous les paquets de couche 3 répondront à la condition.
•
Protocol : utilise une condition de correspondance de protocole de couche
3 ou 4 sur la base de la valeur du champ IP Protocol dans les paquets IPv4
ou du champ Next Header dans les paquets IPv6. Choisissez le protocole à
mettre en correspondance par mot clé ou saisissez un ID de protocole :
-
Select From List : met en correspondance le protocole sélectionné :
IPv6, ICMPv6, TCP ou UDP.
-
Match to Value : met en correspondance un protocole dont le nom ne
figure pas dans la liste. Saisissez l'ID de protocole. L'ID de protocole est
une valeur standard affectée par l'IANA. La valeur est un nombre compris
entre 0 et 255.
Guide d'administration pour Cisco WAP131 et WAP351
137
7
Qualité de service
Mappage de classe
•
•
Source IPv6 : nécessite que l'adresse IPv6 source d'un paquet corresponde
à l'adresse IPv6 définie dans les champs appropriés.
-
Source IPv6 Address : saisissez l'adresse IPv6 pour appliquer ce
critère.
-
Source IPv6 Prefix Length : saisissez la longueur de préfixe de l'adresse
IPv6 source.
Source Port : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Select From List : met en correspondance un mot clé associé au port
source : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun de ces
mots clés est traduit en son numéro de port équivalent.
-
Match to Port : met en correspondance le numéro de port source
figurant dans l'en-tête de datagramme avec un numéro de port IANA que
vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
•
•
Mask : masque du port. Le masque détermine quels bits sont utilisés et
quels bits sont ignorés. Seul un chiffre hexadécimal (0 à 0xFFFF) est
autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit
être ignoré.
Destination IPv6 : nécessite que l'adresse IPv6 destination d'un paquet
corresponde à l'adresse IPv6 définie dans les champs appropriés.
-
Destination IPv6 Address : saisissez l'adresse IPv6 pour appliquer ce
critère.
-
Destination IPv6 Prefix Length : saisissez la longueur de préfixe de
l'adresse IPv6 de destination.
Destination Port : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Select From List : met en correspondance le port de destination figurant
dans l'en-tête de datagramme avec le mot clé sélectionné : ftp, ftpdata,
http, smtp, snmp, telnet, tftp ou www. Chacun de ces mots clés est traduit
en son numéro de port équivalent.
Guide d'administration pour Cisco WAP131 et WAP351
138
7
Qualité de service
Mappage de classe
-
Match to Port : met en correspondance le port de destination figurant
dans l'en-tête de datagramme avec un numéro de port IANA que vous
spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de ports
différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
Mask : masque du port. Le masque détermine quels bits sont utilisés et
quels bits sont ignorés. Seul un chiffre hexadécimal (0 à 0xFFFF) est
autorisé. 1 signifie que le bit est pris en compte, 0 signifie que ce bit doit
être ignoré.
•
IPv6 Flow Label : saisissez un nombre de 20 bits unique pour un paquet
IPv6. Ce nombre est utilisé par les postes finaux pour indiquer la gestion de
la QoS dans les routeurs (plage de 0 à 1048575).
•
IP DSCP : utilise la valeur DSCP comme critère de correspondance.
-
Select from List : choisissez le type DSCP dans la liste.
-
Match to Value : saisissez une valeur DSCP personnalisée, comprise
entre 0 et 63.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer un mappage de classe, choisissez-le dans la liste Class Map Name
et cliquez sur Delete. Le mappage de classe ne peut pas être supprimé s'il est déjà
lié à une stratégie.
Configuration des mappages de classe MAC
Pour ajouter et configurer un mappage de classe MAC :
ÉTAPE 1 Sélectionnez Quality of Service > Class Map.
ÉTAPE 2 Dans le champ Class Map Name, saisissez le nom du nouveau mappage de
classe. Le nom peut comporter de 1 à 31 caractères alphanumériques et
caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Choisissez MAC comme type de mappage de classe dans la liste Class Map
Type. Le mappage de classe MAC s'applique aux critères de couche 2.
Guide d'administration pour Cisco WAP131 et WAP351
139
7
Qualité de service
Mappage de classe
ÉTAPE 4 Dans la zone Match Criteria Configuration, configurez ces paramètres pour faire
correspondre les paquets à une classe :
•
Class Map Name : choisissez le mappage de classe MAC dans la liste.
•
Match Every Packet : si vous activez cette option, tous les paquets de
couche 2 répondront à la condition.
•
EtherType : compare les critères de correspondance avec la valeur figurant
dans l'en-tête d'une trame Ethernet. Choisissez un mot clé EtherType ou
saisissez une valeur EtherType pour spécifier les critères de
correspondance :
-
Select from List : met en correspondance la valeur Ethertype figurant
dans l'en-tête de datagramme avec les types de protocole sélectionnés :
appletalk, arp, ipv4, ipv6, ipx, netbios ou pppoe.
-
Match to Value : met en correspondance la valeur Ethertype figurant
dans l'en-tête de datagramme avec un identificateur de protocole
personnalisé que vous spécifiez. La valeur est un nombre hexadécimal à
4 chiffres dans la plage 0600 à FFFF.
•
Class of Service : spécifie la valeur de priorité utilisateur 802.1p de classe
de service à mettre en correspondance pour les paquets. La plage valide va
de 0 à 7.
•
Source MAC : inclut une adresse MAC source dans la condition de
correspondance de la règle.
-
Source MAC Address : saisissez l'adresse MAC source à comparer à
une trame Ethernet.
-
Source MAC Mask : saisissez le masque d'adresse MAC source
indiquant quels bits de l'adresse MAC de destination il faut comparer à
une trame Ethernet.
Pour chaque position de bit dans le masque MAC, une valeur 0 indique
que le bit d'adresse correspondant est significatif et une valeur 1 indique
que le bit d'adresse est ignoré. Par exemple, pour ne vérifier que les
quatre premiers octets d'une adresse MAC, utilisez un masque MAC de
00:00:00:00:ff:ff. Un masque MAC de 00:00:00:00:00:00 vérifie tous les
bits d'adresse et est utilisé pour mettre en correspondance une seule
adresse MAC.
Guide d'administration pour Cisco WAP131 et WAP351
140
7
Qualité de service
Mappage de stratégie
•
•
Destination MAC : inclut une adresse MAC de destination dans la condition
de correspondance de la règle.
-
Destination MAC Address : saisissez l'adresse MAC de destination à
comparer à une trame Ethernet.
-
Destination MAC Mask : saisissez le masque d'adresse MAC de
destination afin de spécifier quels bits de l'adresse MAC de destination il
faut comparer à une trame Ethernet.
VLAN ID : ID de VLAN spécifié à mettre en correspondance pour les
paquets. L'ID de VLAN doit être compris entre 0 et 4095.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer un mappage de classe, choisissez-le dans la liste Class Map Name
et cliquez sur Delete. Le mappage de classe ne peut pas être supprimé s'il est déjà
lié à une stratégie.
Mappage de stratégie
Les paquets sont classifiés et traités sur la base des critères définis. Les critères
de classification sont définis par l'intermédiaire d'une classe à la page Class Map.
Le traitement est défini par les attributs d'une stratégie à la page Policy Map. Les
attributs de stratégie peuvent être définis sur la base d'une instance par classe et
ils déterminent le mode de traitement du trafic correspondant aux critères de
classe.
Le périphérique WAP peut prendre en charge jusqu'à 32 mappages de classe
dans tous les mappages de stratégie créés.
Pour ajouter et configurer un mappage de stratégie :
ÉTAPE 1 Sélectionnez Quality of Service > Policy Map.
ÉTAPE 2 Dans le champ Policy Map Name, saisissez le nom du mappage de stratégie.Le
nom peut comporter de 1 à 31 caractères alphanumériques et caractères
spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Cliquez sur Add Policy Map.
Guide d'administration pour Cisco WAP131 et WAP351
141
7
Qualité de service
Mappage de stratégie
ÉTAPE 4 Dans la zone Policy Class Definition, configurez ces paramètres pour le mappage
de stratégie :
•
Policy Map Name : choisissez le mappage de stratégie à configurer.
•
Class Map Name : choisissez le mappage de classe à appliquer à cette
stratégie.
•
Police Simple : établit le style de réglementation du trafic de la classe. La
forme simple du style de réglementation utilise un seul débit de données et
une seule taille de rafale, d'où deux résultats possibles : conforme et non
conforme.
Si vous activez cette fonctionnalité, configurez l'un des champs suivants :
-
Committed Rate : débit garanti, en Kbit/s, auquel le trafic doit se
conformer. Cette valeur est comprise entre 1 et 1 000 000 Kbit/s.
-
Committed Burst : taille de rafale engagée, en octets, à laquelle le trafic
doit se conformer. Cette valeur est comprise entre 1 et 204 800 000
octets.
•
Send : spécifie que tous les paquets du flux de trafic associé doivent être
transférés si les critères de mappage de classe sont satisfaits.
•
Drop : spécifie que tous les paquets du flux de trafic associé doivent être
abandonnés si les critères de mappage de classe sont satisfaits.
•
Mark Class of Service : marque tous les paquets du flux de trafic associé
avec la valeur de la classe de service spécifiée dans le champ de priorité de
l'en-tête 802.1p. Si le paquet ne contient pas encore cet en-tête, celui-ci est
inséré. La valeur CoS est un entier compris entre 0 et 7.
REMARQUE La remarque CoS n'est appliquée que dans le mode de
confiance CoS/802.1p pour les ports Ethernet du périphérique Cisco
WAP351.
•
Mark IP DSCP : marque tous les paquets du flux de trafic associé avec la
valeur IP DSCP que vous sélectionnez dans la liste.
-
Select From List : liste des types DSCP.
•
Mark IP Precedence : marque tous les paquets du flux de trafic associé
avec la valeur IP Precedence spécifiée. La valeur IP Precedence est un
entier compris entre 0 et 7.
•
Disassociate Class Map : supprime la classe sélectionnée dans la liste
Class Map Name de la stratégie sélectionnée dans la liste Policy Map
Name.
Guide d'administration pour Cisco WAP131 et WAP351
142
7
Qualité de service
Association de la QoS
•
Member Classes : répertorie toutes les classes DiffServ actuellement
définies en tant que membres de la stratégie sélectionnée. Ce champ est
vide si aucune classe n'est associée à la stratégie.
ÉTAPE 5 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer un mappage de stratégie, sélectionnez-le dans la liste Policy Map
Name et cliquez sur Delete.
Association de la QoS
La page QoS Association offre un contrôle supplémentaire de certains aspects de
la qualité de service des interfaces sans fil et Ethernet.
En plus de contrôler les catégories générales de trafic, la QoS vous permet de
configurer le conditionnement par client de divers micro-flux par le biais de
services différenciés (DiffServ, Differentiated Services). Les stratégies DiffServ
sont un outil utile pour l'établissement d'une définition générale des micro-flux et
de caractéristiques de traitement pouvant être appliquées à chaque client sans fil,
entrant et sortant, lors de son authentification sur le réseau.
Pour configurer les paramètres d'association de la QoS :
ÉTAPE 1 Sélectionnez Quality of Service > QoS Association.
ÉTAPE 2 Dans le champ Interfaces, choisissez l'interface radio ou Ethernet sur laquelle
vous voulez configurer les paramètres QoS.
ÉTAPE 3 Dans la liste DiffServ Policy, choisissez une stratégie DiffServ appliquée au trafic
envoyé au périphérique WAP pour l'interface sélectionnée.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une interface peut être liée par une stratégie DiffServ ou une liste de contrôle
d'accès, mais pas les deux.
REMARQUE Une stratégie contenant des mappages de classe IPv6 n'est pas prise en charge
sur les ports Ethernet du périphérique Cisco WAP351.
Guide d'administration pour Cisco WAP131 et WAP351
143
7
Qualité de service
État de la QoS
État de la QoS
La page QoS Status indique les détails des mappages de stratégie et de classe,
notamment le mappage de classe présent dans un mappage de stratégie et les
interfaces liées à ce mappage de stratégie.
Les tables IPv4 QoS, IPv6 QoS et MAC QoS indiquent les informations des
mappages de classe définis dans la page Class Map, notamment :
•
Member Class : nom du mappage de classe.
•
Match All : indique si ce mappage correspond à tous les paquets.
•
Rule Field : affiche la définition détaillée de ce mappage de classe. Pour
plus d'informations, reportez-vous à la section Mappage de classe.
La table Policy Map indique les informations des mappages de stratégie définis
dans la page Policy Map, notamment :
•
Policy Map Name : nom du mappage de stratégie.
•
Interface Bound : affiche l'interface associée à ce mappage de stratégie.
•
Class Map Name : répertorie les mappages de classe contenus par cette
stratégie.
•
Policy : affiche les détails de stratégie de ce mappage de classe. Pour plus
d'informations, reportez-vous à la section Mappage de stratégie.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
Guide d'administration pour Cisco WAP131 et WAP351
144
8
ACL
Ce chapitre explique comment configurer la fonction ACL sur le périphérique WAP.
Il contient les sections suivantes :
•
Règle ACL
•
Association d'ACL
•
État ACL
Règle ACL
Une ACL ou liste de contrôle d'accès est un ensemble de conditions d'autorisation
et de refus, appelées règles, qui offrent de la sécurité en bloquant les utilisateurs
non autorisés et en permettant aux utilisateurs autorisés d'accéder à des
ressources spécifiques. Les ACL peuvent bloquer toutes les tentatives non
fondées d'accès aux ressources réseau.
Le périphérique WAP peut prendre en charge jusqu'à 32 règles ACL IPv4, IPv6 et
MAC.
ACL IPv4 et IPv6
Les ACL IP classent le trafic selon les couches 3 et 4.
Chaque ACL est un ensemble de règles qui s'appliquent au trafic reçu par le
périphérique WAP. Chaque règle spécifie si le contenu d'un champ donné doit être
utilisé pour autoriser ou refuser l'accès au réseau. Les règles peuvent être basées
sur divers critères et elles peuvent s'appliquer à un ou plusieurs champs au sein
d'un paquet, comme l'adresse IP source ou de destination, le port source ou de
destination, ou le protocole transporté dans le paquet.
REMARQUE Chaque règle créée se termine par une instruction de refus implicite. Afin d'éviter
un refus complet, il est fortement recommandé d'ajouter une règle d'autorisation
dans l'ACL en vue d'autoriser le trafic.
Guide d'administration pour Cisco WAP131 et WAP351
145
8
ACL
Règle ACL
ACL MAC
Les ACL MAC sont des ACL de couche 2. Vous pouvez configurer les règles de
manière à inspecter les champs d'une trame, comme l'adresse MAC source ou de
destination, l'ID de VLAN ou la classe de service. Lorsqu'une trame entre dans le
port du périphérique WAP, le périphérique WAP l'inspecte et vérifie son contenu
par rapport aux règles ACL. Si l'une des règles correspond à ce contenu, une
action d'autorisation ou de refus est entreprise sur la trame.
Flux de travail de configuration des ACL
Utilisez la page ACL Rule pour configurer les ACL et leurs règles, puis appliquer
ces dernières à une interface particulière.
Les étapes suivantes donnent une description générale de la manière de
configurer des ACL :
ÉTAPE 1 Sélectionnez ACL > ACL Rule.
ÉTAPE 2 Spécifiez le nom de l'ACL.
ÉTAPE 3 Sélectionnez le type d'ACL à ajouter.
ÉTAPE 4 Ajoutez l'ACL.
ÉTAPE 5 Ajoutez de nouvelles règles à l'ACL.
ÉTAPE 6 Configurez les critères de correspondance des règles.
ÉTAPE 7 Utilisez la page Association d'ACL pour appliquer l'ACL à une ou plusieurs
interfaces.
Configuration des ACL IPv4
Pour configurer une ACL IPv4 :
ÉTAPE 1 Sélectionnez ACL > ACL Rule.
ÉTAPE 2 Dans le champ ACL Name, saisissez le nom identifiant l'ACL. Le nom peut
comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les
espaces ne sont pas autorisés.
ÉTAPE 3 Dans la liste ACL Type, choisissez IPv4 comme type de l'ACL. Les ACL IPv4
contrôlent l'accès aux ressources réseau sur la base des critères des couches 3 et 4.
Guide d'administration pour Cisco WAP131 et WAP351
146
8
ACL
Règle ACL
ÉTAPE 4 Cliquez sur Add ACL.
ÉTAPE 5 Dans la zone ACL Rule Configuration, définissez les paramètres de règle ACL
suivants :
•
ACL Name - ACL Type : sélectionnez l'ACL à configurer avec la nouvelle
règle.
•
Rule : sélectionnez New Rule pour configurer une nouvelle règle pour l'ACL
sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont
appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez
ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout
trafic.
•
Action : indiquez si la règle ACL autorise ou refuse une action.
Lorsque vous sélectionnez Permit, la règle permet à tout le trafic répondant
à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas
aux critères est abandonné.
Lorsque vous sélectionnez Deny, la règle empêche tout le trafic qui ne
répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est transféré, sauf si cette règle est la règle finale.
Étant donné la présence d'une règle implicite de refus de tout trafic à la fin
de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné.
•
Match Every Packet : si cette option est activée, la règle, qui possède une
action d'autorisation ou de refus, met en correspondance la trame ou le
paquet, quel que soit son contenu. Si vous sélectionnez cette fonction, vous
ne pouvez configurer aucun critère de correspondance supplémentaire.
Cette option est sélectionnée par défaut pour chaque nouvelle règle. Vous
devez désactiver l'option pour configurer d'autres champs de
correspondance.
•
Protocol : utilise une condition de correspondance de protocole de couche
3 ou 4 sur la base de la valeur du champ IP Protocol dans les paquets IPv4
ou du champ Next Header dans les paquets IPv6. Vous pouvez choisir l'une
de ces options ou sélectionner Any :
-
Select From List : sélectionnez l'un des protocoles suivants : IP, ICMP,
IGMP, TCP ou UDP.
-
Match to Value : saisissez un ID de protocole standard affecté par l'IANA,
compris entre 0 et 255. Choisissez cette méthode pour identifier un
protocole dont le nom ne figure pas dans le champ Select From List.
Guide d'administration pour Cisco WAP131 et WAP351
147
8
ACL
Règle ACL
•
Source IP : nécessite que l'adresse IP source d'un paquet corresponde à
l'adresse définie dans les champs appropriés.
-
Source IP Address : saisissez l'adresse IP pour appliquer ces critères.
-
Wild Card Mask : saisissez le masque générique de l'adresse IP source.
Le masque générique détermine quels bits sont utilisés et quels bits sont
ignorés. Un masque générique égal à 255.255.255.255 indique qu'aucun
bit n'est important. Un masque générique égal à 0.0.0.0 indique en
revanche que tous les bits sont importants. Ce champ est requis lors de
la vérification de l'adresse IP source.
Un masque générique est en fait l'inverse d'un masque de sous-réseau.
Par exemple, pour que les critères correspondent à une adresse hôte
unique, utilisez un masque générique égal à 0.0.0.0. Pour faire
correspondre les critères à un sous-réseau 24 bits (par exemple,
192.168.10.0/24), utilisez un masque générique égal à 0.0.0.255.
•
Source Port : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Select From List : sélectionnez le mot clé associé au port source à
mettre en correspondance : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou
www. Chacun de ces mots clés est traduit en son numéro de port
équivalent.
-
Match to Port : saisissez le numéro de port IANA à mettre en
correspondance avec le port source identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
•
Mask : saisissez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à
0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il
peut être ignoré.
Destination IP : nécessite que l'adresse IP destination d'un paquet
corresponde à l'adresse définie dans les champs appropriés.
-
Destination IP Address : saisissez une adresse IP pour appliquer ces
critères.
Guide d'administration pour Cisco WAP131 et WAP351
148
8
ACL
Règle ACL
-
Wild Card Mask : saisissez le masque générique de l'adresse IP
destination. Le masque générique détermine quels bits sont utilisés et
quels bits sont ignorés. Un masque générique égal à 255.255.255.255
indique qu'aucun bit n'est important. Un masque générique égal à 0.0.0.0
indique en revanche que tous les bits sont importants. Ce champ est
requis lors de la sélection de l'adresse IP source.
Un masque générique est en fait l'inverse d'un masque de sous-réseau.
Par exemple, pour que les critères correspondent à une adresse hôte
unique, utilisez un masque générique égal à 0.0.0.0. Pour faire
correspondre les critères à un sous-réseau 24 bits (par exemple,
192.168.10.0/24), utilisez un masque générique égal à 0.0.0.255.
•
Destination Port : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Select From List : sélectionnez le mot clé associé au port destination à
mettre en correspondance : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou
www. Chacun de ces mots clés est traduit en son numéro de port
équivalent.
-
Match to Port : saisissez le numéro de port IANA à mettre en
correspondance avec le port destination identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
•
Mask : saisissez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à
0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il
peut être ignoré.
Service Type : met en correspondance les paquets selon un type de service
spécifique.
-
IP DSCP Select From List : met en correspondance les paquets selon
les valeurs transfert DSCP (AF), classe de service (CS) ou acheminement
attendu (EF).
Guide d'administration pour Cisco WAP131 et WAP351
149
8
ACL
Règle ACL
-
IP DSCP Match to Value : met en correspondance les paquets selon une
valeur DSCP personnalisée. Si vous sélectionnez cette option, saisissez
une valeur comprise entre 0 et 63 dans ce champ.
-
IP Precedence : met en correspondance les paquets selon leur valeur IP
Precedence. Si vous sélectionnez cette option, saisissez une valeur IP
Precedence comprise entre 0 et 7.
-
IP TOS Bits : spécifie une valeur relative à l'utilisation des bits du type de
service du paquet dans l'en-tête IP en guise de critères de
correspondance.
Le champ IP ToS dans un paquet est défini comme l'ensemble des huit
bits de l'octet du type de service dans l'en-tête IP. La valeur IP ToS Bits est
un nombre hexadécimal à deux chiffres, compris entre 00 et ff. Les trois
bits d'ordre haut représentent la valeur IP Precedence. Les six bits d'ordre
haut représentent la valeur DSCP (Differentiated Services Code Point) IP.
-
IP ToS Mask : saisissez une valeur IP ToS Mask pour identifier les
positions de bits dans la valeur IP ToS Bits, utilisées pour la comparaison
avec le champ IP ToS dans un paquet.
La valeur IP ToS Mask est un nombre hexadécimal à deux chiffres,
compris entre 00 et FF, représentant un masque inversé (à savoir un
masque générique). Les bits égaux à zéro dans le champ IP ToS Mask
indiquent les positions de bits dans la valeur IP ToS Bits qui sont utilisées
pour la comparaison avec le champ IP ToS d'un paquet. Par exemple,
pour vérifier une valeur IP ToS possédant les bits 7 et 5 définis et le bit 1
vide, dans laquelle le bit 7 est le plus significatif, utilisez une valeur IP ToS
Bits égale à 0 et une valeur IP ToS Mask égale à 00.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste ACL
Name-ACL Type, sélectionnez Delete ACL et cliquez sur Save.
Configuration des ACL IPv6
Pour configurer une ACL IPv6 :
ÉTAPE 1 Sélectionnez ACL > ACL Rule.
ÉTAPE 2 Dans le champ ACL Name, saisissez le nom identifiant l'ACL.
Guide d'administration pour Cisco WAP131 et WAP351
150
8
ACL
Règle ACL
ÉTAPE 3 Dans la liste ACL Type, choisissez IPv6 comme type de l'ACL. Les ACL IPv6
contrôlent l'accès aux ressources réseau sur la base des critères des couches 3 et 4.
ÉTAPE 4 Cliquez sur Add ACL.
ÉTAPE 5 Dans la zone ACL Rule Configuration, définissez les paramètres de règle ACL
suivants :
•
ACL Name - ACL Type : sélectionnez l'ACL à configurer avec la nouvelle
règle.
•
Rule : sélectionnez New Rule pour configurer une nouvelle règle pour l'ACL
sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont
appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez
ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout
trafic.
•
Action : indiquez si la règle ACL autorise ou refuse une action.
Lorsque vous sélectionnez Permit, la règle permet à tout le trafic répondant
à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas
aux critères est abandonné.
Lorsque vous sélectionnez Deny, la règle empêche tout le trafic qui ne
répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est transféré, sauf si cette règle est la règle finale.
Étant donné la présence d'une règle implicite de refus de tout trafic à la fin
de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné.
•
Match Every Packet : si cette option est activée, la règle, qui possède une
action d'autorisation ou de refus, met en correspondance la trame ou le
paquet, quel que soit son contenu. Si vous sélectionnez cette fonction, vous
ne pouvez configurer aucun critère de correspondance supplémentaire.
Cette option est sélectionnée par défaut pour chaque nouvelle règle. Vous
devez désactiver l'option pour configurer d'autres champs de
correspondance.
•
Protocol : sélectionnez le protocole à mettre en correspondance par mot clé
ou ID de protocole.
•
Source IPv6 : nécessite que l'adresse IPv6 source d'un paquet corresponde
à l'adresse IPv6 définie dans les champs appropriés.
-
Source IPv6 Address : saisissez l'adresse IPv6 pour appliquer ces
critères.
-
Source IPv6 Prefix Length : saisissez la longueur de préfixe de l'adresse
IPv6 source.
Guide d'administration pour Cisco WAP131 et WAP351
151
8
ACL
Règle ACL
•
Source Port : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Select From List : si vous sélectionnez cette option, choisissez le nom du
port dans la liste.
-
Match to Port : saisissez le numéro de port IANA à mettre en
correspondance avec le port source identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
-
•
•
Mask : saisissez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à
0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il
peut être ignoré.
Destination IPv6 : nécessite que l'adresse IPv6 destination d'un paquet
corresponde à l'adresse IPv6 définie dans les champs appropriés.
-
Destination IPv6 Address : saisissez une adresse IPv6 pour appliquer
ces critères.
-
Destination IPv6 Prefix Length : saisissez la longueur de préfixe de
l'adresse IPv6 de destination.
Destination Port : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Select From List : si vous sélectionnez cette option, choisissez le nom du
port dans la liste.
-
Match to Port : saisissez le numéro de port IANA à mettre en
correspondance avec le port source identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1023 : ports réservés
1024 à 49151 : ports inscrits
49152 à 65535 : ports dynamiques et/ou privés
Guide d'administration pour Cisco WAP131 et WAP351
152
8
ACL
Règle ACL
-
Mask : saisissez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul un nombre hexadécimal (0 à
0xFFFF) est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il
peut être ignoré.
•
IPv6 Flow Label : indique un nombre de 20 bits qui est propre à un paquet
IPv6. Ce nombre est utilisé par les postes finaux pour indiquer la gestion de
la QoS dans les routeurs (plage de 0 à 1048575).
•
IPv6 DSCP : met en correspondance les paquets selon leur valeur IP DSCP.
Si vous sélectionnez cette option, choisissez l'une des options suivantes en
tant que critères de correspondance :
-
Select From List : sélectionnez l'une des valeurs suivantes : DSCP
Assured Forwarding (AS), Class of Service (CS) ou Expedited
Forwarding (EF).
-
Match to Value : saisissez une valeur DSCP personnalisée, comprise
entre 0 et 63.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste ACL
Name-ACL Type, cochez la case Delete ACL et cliquez sur Save.
Configuration des ACL MAC
Pour configurer une ACL MAC :
ÉTAPE 1 Sélectionnez ACL > ACL Rule.
ÉTAPE 2 Dans le champ ACL Name, saisissez le nom identifiant l'ACL.
ÉTAPE 3 Dans la liste ACL Type, choisissez MAC comme type de l'ACL. Les ACL MAC
contrôlent l'accès aux ressources réseau sur la base des critères de la couche 2.
ÉTAPE 4 Cliquez sur Add ACL.
ÉTAPE 5 Dans la zone ACL Rule Configuration, définissez les paramètres de règle ACL
suivants :
•
ACL Name - ACL Type : sélectionnez l'ACL à configurer avec la nouvelle
règle.
Guide d'administration pour Cisco WAP131 et WAP351
153
8
ACL
Règle ACL
•
Rule : sélectionnez New Rule pour configurer une nouvelle règle pour l'ACL
sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont
appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez
ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout
trafic.
•
Action : indiquez si la règle ACL autorise ou refuse une action.
Lorsque vous sélectionnez Permit, la règle permet à tout le trafic répondant
à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne satisfait pas
aux critères est abandonné.
Lorsque vous sélectionnez Deny, la règle empêche tout le trafic qui ne
répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est transféré, sauf si cette règle est la règle finale.
Étant donné la présence d'une règle implicite de refus de tout trafic à la fin
de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné.
•
Match Every Packet : si cette option est activée, la règle, qui possède une
action d'autorisation ou de refus, met en correspondance la trame ou le
paquet, quel que soit son contenu. Si vous sélectionnez cette fonction, vous
ne pouvez configurer aucun critère de correspondance supplémentaire.
Cette option est sélectionnée par défaut pour chaque nouvelle règle. Vous
devez désactiver l'option pour configurer d'autres champs de
correspondance.
•
EtherType : sélectionnez cette option pour comparer les critères de
correspondance avec la valeur de trame Ethernet figurant dans l'en-tête.
Vous pouvez sélectionner un mot clé EtherType ou entrer une valeur
EtherType pour spécifier les critères de correspondance.
-
Select from List : sélectionnez l'un des types de protocole suivants :
appletalk, arp, ipv4, ipv6, ipx, netbios ou pppoe.
-
Match to Value : saisissez un identificateur de protocole personnalisé
avec lequel les paquets sont mis en correspondance. La valeur est un
nombre hexadécimal à 4 chiffres dans la plage 0600 à FFFF.
•
Class of Service : saisissez une priorité d'utilisateur 802.1p à comparer à
une trame Ethernet. La plage valide va de 0 à 7. Ce champ se trouve dans la
première et seule balise VLAN 802.1Q.
•
Source MAC : nécessite que l'adresse MAC source d'un paquet
corresponde à l'adresse définie dans les champs appropriés.
-
Source MAC Address : saisissez l'adresse MAC source à comparer à
une trame Ethernet.
Guide d'administration pour Cisco WAP131 et WAP351
154
8
ACL
Règle ACL
-
Source MAC Mask : saisissez le masque d'adresse MAC source
indiquant quels bits de l'adresse MAC source il faut comparer à une trame
Ethernet.
Pour chaque position de bit dans le masque MAC, une valeur 0 indique
que le bit d'adresse correspondant est significatif et une valeur 1 indique
que le bit d'adresse est ignoré. Par exemple, pour ne vérifier que les
quatre premiers octets d'une adresse MAC, utilisez un masque MAC de
00:00:00:00:ff:ff. Un masque MAC de 00:00:00:00:00:00 vérifie tous les
bits d'adresse et est utilisé pour mettre en correspondance une seule
adresse MAC.
•
•
Destination MAC : nécessite que l'adresse MAC destination d'un paquet
corresponde à l'adresse définie dans les champs appropriés.
-
Destination MAC Address : saisissez l'adresse MAC de destination à
comparer à une trame Ethernet.
-
Destination MAC Mask : saisissez le masque d'adresse MAC de
destination afin de spécifier quels bits de l'adresse MAC de destination il
faut comparer à une trame Ethernet.
VLAN ID : saisissez l'ID de VLAN spécifique à comparer à une trame
Ethernet. Ce champ se trouve dans la première et seule balise VLAN 802.1Q.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste ACL
Name-ACL Type, cochez la case Delete ACL et cliquez sur Save.
Guide d'administration pour Cisco WAP131 et WAP351
155
8
ACL
Association d'ACL
Association d'ACL
La page ACL Association fournit la liste d'ACL liée aux interfaces sans fil et
Ethernet. En outre, elle permet de contrôler la quantité de bande passante qu'un
client individuel est autorisé à envoyer et à recevoir. Vous pouvez configurer des
listes de contrôle d'accès (ACL) et les affecter à une ou plusieurs interfaces afin de
contrôler des catégories générales de trafic, comme le trafic HTTP ou le trafic issu
d'un sous-réseau spécifique.
Pour associer une ACL à une interface :
ÉTAPE 1 Sélectionnez ACL > ACL Association.
ÉTAPE 2 Dans le champ Interface, cliquez sur l'interface radio ou Ethernet dans laquelle
vous souhaitez configurer les paramètres ACL.
ÉTAPE 3 Configurez les paramètres suivants pour l'interface sélectionnée :
•
Bandwidth Limit Down : saisissez la vitesse de transmission maximale
autorisée depuis le périphérique WAP vers le client en bits par seconde
(bit/s). La plage valide va de 0 à 300 Mbit/s.
•
Bandwidth Limit Up : vitesse de transmission maximale autorisée depuis le
client vers le périphérique WAP en bits par seconde (bit/s). La plage valide
va de 0 à 300 Mbit/s.
•
ACL Type : sélectionnez le type d'ACL appliqué au trafic entrant dans le
périphérique WAP, parmi les valeurs ci-dessous :
•
-
IPv4 : examine les paquets IPv4 qui correspondent aux règles ACL.
-
IPv6 : examine les paquets IPv6 qui correspondent aux règles ACL.
-
MAC : examine les trames de couche 2 qui correspondent aux règles
ACL.
-
None : n'examine pas le trafic entrant dans le périphérique WAP.
ACL Name : sélectionnez le nom de l'ACL appliquée au trafic entrant dans le
périphérique WAP.
Lors de la réception d'un paquet ou d'une trame par le périphérique WAP, une
correspondance avec les règles ACL est vérifiée. Le paquet ou la trame est
traité s'il est autorisé, ou abandonné s'il est refusé.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
156
8
ACL
État ACL
REMARQUE Une interface peut être liée par une stratégie DiffServ ou une liste de contrôle
d'accès, mais pas les deux.
REMARQUE Le type IPv6 n'est pas pris en charge par les ports Ethernet du Cisco WAP351.
État ACL
La page ACL Status affiche des informations détaillées pour les différents types
de règles ACL.
Pour afficher l'état ACL, sélectionnez ACL > ACL Status.
Les informations suivantes sont indiquées :
•
ACL Name : nom de l'ACL.
•
Interface Bound : interface à laquelle l'ACL a été associée.
•
Rule No. : numéro de la règle que l'ACL contient.
•
Action : action à prendre par l'ACL.
•
Match All : indique si la règle ACL correspond on non à tous les paquets.
•
Rule Field : affiche les paramètres détaillés de l'ACL. Pour plus
d'informations, reportez-vous à la section Règle ACL.
Vous pouvez cliquer sur Refresh pour actualiser l'écran et afficher les informations
les plus récentes.
Guide d'administration pour Cisco WAP131 et WAP351
157
9
SNMP
Ce chapitre explique comment configurer le protocole SNMP (Simple Network
Management Protocol, Protocole de gestion de réseau simple) en vue d'effectuer
des tâches de configuration et de collecte de statistiques. Il contient les sections
suivantes :
•
Général
•
Vues
•
Groupes
•
Utilisateurs
•
Cibles
Général
Utilisez la page General pour activer SNMP et définir les paramètres de base de
ce protocole.
Pour définir les paramètres SNMP généraux :
ÉTAPE 1 Sélectionnez SNMP > General.
ÉTAPE 2 Activez ou désactivez le protocole SNMP sur le périphérique WAP. SNMP est
désactivé par défaut.
ÉTAPE 3 Si vous activez le protocole SNMP, indiquez un port UDP pour le trafic SNMP.
Par défaut, un agent SNMP n'écoute que les demandes qui émanent du port 161.
Toutefois, vous pouvez le configurer de telle sorte qu'il écoute les demandes
issues d'un autre port. La plage valide va de 1025 à 65535.
Guide d'administration pour Cisco WAP131 et WAP351
158
9
SNMP
Général
ÉTAPE 4 Dans la zone SNMPv2c Settings, définissez les paramètres SNMPv2c :
•
Read-only Community : saisissez un nom de communauté en lecture seule
pour l'accès SNMPv2. La plage valide va de 1 à 256 caractères
alphanumériques et caractères spéciaux.
Le nom de communauté agit en tant que fonctionnalité d'authentification
simple visant à limiter le nombre d'ordinateurs sur le réseau pouvant
demander des données à l'agent SNMP. Ce nom fonctionne comme un mot
de passe et la demande est supposée être authentique si son émetteur
connaît le mot de passe.
•
Read-write Community : saisissez un nom de communauté en lectureécriture à utiliser pour les demandes de configuration SNMP. La plage valide
va de 1 à 256 caractères alphanumériques et caractères spéciaux. La
définition d'un nom de communauté est similaire à celle d'un mot de passe.
Seules les demandes émanant des ordinateurs qui s'identifient avec ce nom
de communauté sont acceptées.
•
Management Station : détermine quelles stations peuvent accéder au
périphérique WAP par le biais du protocole SNMP. Sélectionnez l'une des
options suivantes :
•
-
All : l'ensemble des stations pouvant accéder au périphérique WAP par
le biais du protocole SNMP n'est pas limité.
-
User Defined : l'ensemble des demandes SNMP autorisées est limité aux
demandes spécifiées.
NMS, IPv4 Address/Name : saisissez l'adresse IP IPv4, le nom d'hôte DNS
ou le sous-réseau du système de gestion de réseau (NMS, Network
Management System), ou l'ensemble d'ordinateurs pouvant exécuter, obtenir
et définir les demandes sur les périphériques gérés.
Un nom d'hôte DNS peut se composer d'une ou de plusieurs étiquettes,
elles-mêmes constituées d'un maximum de 63 caractères alphanumériques.
Si un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un
point (.). La série entière d'étiquettes et de points peut comporter jusqu'à
253 caractères.
Comme dans le cas des noms de communauté, ce paramètre assure un
certain niveau de sécurité sur les paramètres SNMP. L'agent SNMP accepte
uniquement les demandes émanant de l'adresse IP, du nom d'hôte ou du
sous-réseau indiqué ici.
Guide d'administration pour Cisco WAP131 et WAP351
159
9
SNMP
Général
Pour spécifier un sous-réseau, saisissez une ou plusieurs plages d'adresses
de sous-réseau sous la forme adresse/longueur_masque, où adresse est
une adresse IP et longueur_masque est le nombre de bits du masque. Les
deux formats adresse/masque et adresse/longueur_masque sont pris en
charge. Par exemple, si vous saisissez la plage 192.168.1.0/24, cela signifie
que l'adresse du sous-réseau est 192.168.1.0 et que le masque du sousréseau est 255.255.255.0.
La plage d'adresses est utilisée pour spécifier le sous-réseau du système de
gestion de réseau (NMS) désigné. Seuls les ordinateurs dont les adresses IP
sont incluses dans cette plage sont autorisés à exécuter, obtenir et définir
des demandes sur le périphérique géré. Dans l'exemple ci-dessus, les
ordinateurs dont les adresses sont comprises entre 192.168.1.1 et
192.168.1.254 peuvent exécuter des commandes SNMP sur le périphérique.
(L'adresse identifiée par le suffixe .0 dans une plage de sous-réseau est
toujours réservée à l'adresse de sous-réseau, tandis que l'adresse identifiée
par .255 dans la plage est toujours réservée à l'adresse de diffusion.)
Autre exemple : si vous saisissez la plage 10.10.1.128/25, les ordinateurs
dont les adresses IP sont comprises entre 10.10.1.129 et 10.10.1.254
peuvent exécuter des demandes SNMP sur les périphériques gérés. Dans
cet exemple, 10.10.1.128 est l'adresse réseau et 10.10.1.255 est l'adresse de
diffusion. Un total de 126 adresses seront dans ce cas désignées.
•
NMS IPv6 Address/Name : adresse IPv6, nom d'hôte DNS ou sous-réseau
des ordinateurs pouvant exécuter, obtenir et définir des demandes sur les
périphériques gérés. La forme de l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
REMARQUE Un nom d'hôte peut se composer d'une ou de plusieurs étiquettes,
elles-mêmes constituées d'un maximum de 63 caractères alphanumériques. Si un
nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série
entière d'étiquettes et de points peut comporter jusqu'à 253 caractères.
ÉTAPE 5 Dans la zone SNMPv2c Trap Settings, définissez les paramètres de filtre
SNMPv2c :
•
Trap Community : saisissez une chaîne de communauté globale associée
aux interceptions SNMP. Les déroutements envoyés à partir du périphérique
fournissent cette chaîne en tant que nom de communauté. La plage valide va
de 1 à 60 caractères alphanumériques et caractères spéciaux.
•
Trap Destination Table : saisissez une liste comprenant jusqu'à trois
adresses IP ou noms d'hôte pouvant recevoir des interceptions SNMP.
Activez la case à cocher et choisissez un Type d'adresse IP hôte (IPv4 ou
IPv6) avant d'ajouter le Nom d'hôte/Adresse IP).
Guide d'administration pour Cisco WAP131 et WAP351
160
9
SNMP
Vues
Un exemple de nom d'hôte DNS est interceptionssnmp.foo.com. Les
interceptions SNMP étant envoyées aléatoirement à partir de l'agent SNMP,
il est logique d'indiquer à quel emplacement exact envoyer les interceptions.
Le nombre maximal de noms d'hôte DNS est de trois. Veillez à cocher la case
Enabled et sélectionnez le type d'adresse IP hôte approprié dans Host IP
Address Type.
Consultez également la remarque relative aux noms d'hôte dans l'étape
précédente.
ÉTAPE 6 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
REMARQUE Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de choisir un
moment où une perte de connectivité aura le moins d'impact sur vos clients sans fil
pour modifier les paramètres du périphérique WAP.
Vues
Une vue MIB SNMP est une famille de sous-arborescences de vues dans la
hiérarchie MIB. Une sous-arborescence de vues est identifiée par l'association
d'une valeur de sous-arborescence d'ID d'objet (OID) et d'une valeur de masque de
chaîne de bits. Chaque vue MIB est définie par deux ensembles de sousarborescences de vues, inclus dans la vue MIB ou exclus de celle-ci. Vous pouvez
créer des vues MIB dans le but de contrôler la plage d'OID à laquelle les
utilisateurs SNMPv3 peuvent accéder.
Le périphérique WAP prend en charge un maximum de 16 vues.
Les remarques suivantes résument quelques consignes importantes relatives à la
configuration des vues SNMPv3. Veuillez lire l'ensemble de ces remarques avant
de continuer.
REMARQUE Une vue MIB appelée all est créée par défaut dans le système. Cette vue contient
l'ensemble des objets de gestion pris en charge par le système.
REMARQUE Par défaut, les vues SNMPv3 « view-all » et « view-none » sont créées sur le
périphérique WAP. Ces vues ne peuvent pas être supprimées ou modifiées.
Guide d'administration pour Cisco WAP131 et WAP351
161
9
SNMP
Vues
Pour ajouter et configurer une vue SNMP :
ÉTAPE 1 Sélectionnez SNMP > Views.
ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des vues
SNMPv3.
ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier.
•
View Name : saisissez le nom de la vue MIB. Les noms de vue peuvent
comporter jusqu'à 32 caractères alphanumériques.
•
Type : choisissez d'inclure la sous-arborescence de vues ou la famille de
sous-arborescences dans la vue MIB ou de l'en exclure.
•
OID : saisissez une chaîne d'OID pour la sous-arborescence à inclure dans la
vue ou à exclure de celle-ci. Par exemple, la sous-arborescence système est
spécifiée par la chaîne d'OID .1.3.6.1.2.1.1.
•
Mask : saisissez un masque d'OID. La longueur du masque est de 47
caractères. Le format du masque d'OID est xx.xx.xx (.)... ou xx:xx:xx.... (:) et sa
longueur est de 16 octets. Chaque octet se compose de deux caractères
hexadécimaux séparés par un point (.) ou par un caractère deux-points (:).
Seuls les caractères hexadécimaux sont autorisés dans ce champ. Par
exemple, le masque d'OID FA.80 est 11111010.10000000.
Un masque de famille est utilisé pour définir une famille de sousarborescences de vues. Le masque de famille indique quels sousidentificateurs de la chaîne d'OID de la famille associée sont significatifs
pour la définition de la famille. Une famille de sous-arborescences de vues
permet un accès de contrôle efficace à une ligne du tableau.
ÉTAPE 4 Cliquez sur Save. La vue est ajoutée à la liste des vues SNMPv3 et vos
modifications sont enregistrées dans la configuration initiale.
REMARQUE Pour supprimer une vue, cochez-la dans la liste et cliquez sur Delete.
Guide d'administration pour Cisco WAP131 et WAP351
162
9
SNMP
Groupes
Groupes
Les groupes SNMPv3 permettent de répartir les utilisateurs en groupes de
privilèges d'autorisation et d'accès différents. Chaque groupe est ainsi associé à
l'un des trois niveaux de sécurité suivants :
•
noAuthNoPriv
•
authNoPriv
•
authPriv
L'accès aux bases MIB pour chaque groupe est contrôlé en associant une vue MIB
à un groupe pour l'accès en lecture ou en écriture, et ce séparément.
Par défaut, le périphérique WAP possède deux groupes :
•
RO : groupe en lecture seule utilisant l'authentification et le cryptage des
données. Les utilisateurs figurant dans ce groupe utilisent une clé ou un mot
de passe SHA pour l'authentification et une clé ou un mot de passe DES
pour le cryptage. Les clés ou mots de passe SHA et DES doivent être
définis. Par défaut, les utilisateurs de ce groupe ont un accès en lecture à la
vue MIB par défaut « all ».
•
RW : groupe en lecture-écriture utilisant l'authentification et le cryptage des
données. Les utilisateurs figurant dans ce groupe utilisent une clé ou un mot
de passe SHA pour l'authentification et une clé ou un mot de passe DES
pour le cryptage. Les clés ou mots de passe SHA et DES doivent être
définis. Par défaut, les utilisateurs de ce groupe ont un accès en lecture et
en écriture à la vue MIB par défaut « all ».
REMARQUE Les groupes par défaut RO et RW ne peuvent pas être supprimés. Le périphérique
WAP prend en charge un maximum de huit groupes.
Pour ajouter et configurer un groupe SNMP :
ÉTAPE 1 Sélectionnez SNMP > Groups.
ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des groupes
SNMPv3.
ÉTAPE 3 Activez la case à cocher du nouveau groupe et cliquez sur Modifier.
Guide d'administration pour Cisco WAP131 et WAP351
163
9
SNMP
Groupes
ÉTAPE 4 Définissez les paramètres suivants :
•
Group Name : saisissez le nom qui identifie le groupe. Les noms de groupe
par défaut sont RO et RW. Les noms de groupe peuvent comporter jusqu'à
32 caractères alphanumériques.
•
Security Level : définit le niveau de sécurité du groupe, qui peut être l'une
des valeurs ci-dessous :
•
•
-
noAuthNoPriv : pas d'authentification et pas de cryptage des données
(aucune sécurité).
-
authNoPriv : authentification, mais aucun cryptage des données. Avec
ce niveau de sécurité, les utilisateurs envoient des messages SNMP qui
utilisent une clé ou un mot de passe SHA pour l'authentification, mais pas
de clé ou de mot de passe DES pour le cryptage.
-
authPriv : authentification et cryptage des données. Avec ce niveau de
sécurité, les utilisateurs envoient une clé ou un mot de passe SHA pour
l'authentification et une clé ou un mot de passe DES pour le cryptage.
Pour les groupes qui nécessitent une authentification, un cryptage ou les
deux, vous devez définir les clés ou les mots de passe SHA et DES sur la
page SNMP Users.
Write Views : sélectionnez l'accès en écriture aux MIB pour le groupe, qui
peut correspondre à l'une des options ci-dessous :
-
view-all : le groupe peut créer, modifier et supprimer des MIB.
-
view-none : le groupe ne peut pas créer, ni modifier, ni supprimer des
MIB.
Read Views : sélectionnez l'accès en lecture aux MIB pour le groupe, qui
peut correspondre à l'une des options ci-dessous :
-
view-all : le groupe est autorisé à afficher et à lire l'ensemble des MIB.
-
view-none : le groupe ne peut ni afficher ni lire des MIB.
ÉTAPE 5 Cliquez sur Save. Le groupe est ajouté à la liste des groupes SNMPv3 et vos
modifications sont enregistrées dans la configuration initiale.
REMARQUE Pour supprimer un groupe, cochez-le dans la liste et cliquez sur Delete.
Guide d'administration pour Cisco WAP131 et WAP351
164
9
SNMP
Utilisateurs
Utilisateurs
Utilisez la page SNMP Users pour définir des utilisateurs, associer un niveau de
sécurité à chaque utilisateur et configurer les clés de sécurité pour chacun d'eux.
Chaque utilisateur est mappé sur un groupe SNMPv3, à partir des groupes
prédéfinis ou des groupes définis par l'utilisateur, et, éventuellement, est configuré
pour l'authentification et le cryptage. Pour l'authentification, seul le type SHA est
pris en charge. Pour le cryptage, seul le type DES est pris en charge. Il n'y a pas
d'utilisateur SNMPv3 par défaut sur le périphérique WAP et vous pouvez ajouter
jusqu'à huit utilisateurs.
Pour ajouter des utilisateurs SNMP :
ÉTAPE 1 Sélectionnez SNMP > Users.
ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des utilisateurs
SNMPv3.
ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier.
ÉTAPE 4 Définissez les paramètres suivants :
•
User Name : saisissez le nom qui identifie l'utilisateur SNMPv3. Les noms
d'utilisateur peuvent comporter jusqu'à 32 caractères alphanumériques.
•
Group : saisissez le groupe avec lequel l'utilisateur est mappé. Les groupes
par défaut sont RW et RO. Vous pouvez définir des groupes supplémentaires
à la page SNMP Groups.
•
Authentication Type : sélectionnez le type d'authentification à utiliser dans
le cas des demandes SNMPv3 émanant de l'utilisateur, qui peut
correspondre à l'une des options suivantes :
•
-
SHA : nécessite l'authentification SHA dans le cas des demandes SNMP
émanant de l'utilisateur.
-
None : les demandes SNMPv3 émanant de cet utilisateur ne requièrent
pas d'authentification.
Authentication Pass Phrase : si vous sélectionnez le type d'authentification
SHA, saisissez la phrase secrète permettant à l'agent SNMP d'authentifier
les demandes envoyées par l'utilisateur. La longueur de la phrase secrète
doit être comprise entre 8 et 32 caractères.
Guide d'administration pour Cisco WAP131 et WAP351
165
9
SNMP
Cibles
•
•
Encryption Type : sélectionnez le type de confidentialité à utiliser dans le
cas des demandes SNMP émanant de l'utilisateur, qui peut correspondre à
l'une des options suivantes :
-
DES : utilise le cryptage DES dans le cas des demandes SNMPv3
émanant de l'utilisateur.
-
None : les demandes SNMPv3 émanant de cet utilisateur ne requièrent
pas de confidentialité.
Encryption Pass Phrase : si vous sélectionnez le type de confidentialité
DES, saisissez la phrase secrète utilisée pour le cryptage des demandes
SNMP. La longueur de la phrase secrète doit être comprise entre 8 et 32
caractères.
ÉTAPE 5 Cliquez sur Save. L'utilisateur est ajouté à la liste des utilisateurs SNMPv3 et vos
modifications sont enregistrées dans la configuration initiale.
REMARQUE Pour supprimer un utilisateur, sélectionnez-le dans la liste et cliquez sur Delete.
Cibles
Les cibles SNMPv3 envoient des notifications SNMP par le biais de messages
d'information au gestionnaire SNMP. Dans le cas des cibles SNMPv3, seuls des
messages d'information sont envoyés, et pas des interceptions. Dans le cas des
versions 1 et 2 du protocole SNMP, des déroutements sont envoyés. Chaque cible
est définie avec une adresse IP cible, un port UDP et un nom d'utilisateur SNMPv3.
REMARQUE La configuration des utilisateurs SNMPv3 (voir la page Utilisateurs) doit être
terminée avant celle des cibles SNMPv3.
REMARQUE Le périphérique WAP prend en charge un maximum de huit cibles.
Pour ajouter des cibles SNMP :
ÉTAPE 1 Sélectionnez SNMP > Targets.
ÉTAPE 2 cliquez sur Add. Une nouvelle ligne est créée dans le tableau.
ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier.
Guide d'administration pour Cisco WAP131 et WAP351
166
9
SNMP
Cibles
ÉTAPE 4 Définissez les paramètres suivants :
•
IP Address : saisissez l'adresse IPv4 ou IPv6 du gestionnaire SNMP distant
qui doit recevoir la cible.
•
UDP Port : saisissez le port UDP à utiliser pour l'envoi des cibles SNMPv3.
•
Users : saisissez le nom de l'utilisateur SNMP à associer à la cible. Pour
configurer les utilisateurs SNMP, reportez-vous à la page Utilisateurs.
ÉTAPE 5 Cliquez sur Save. L'utilisateur est ajouté à la liste des cibles SNMPv3 et vos
modifications sont enregistrées dans la configuration initiale.
REMARQUE Pour supprimer une cible SMMP, sélectionnez l'utilisateur dans la liste et cliquez sur
Delete.
Guide d'administration pour Cisco WAP131 et WAP351
167
10
Portail captif
Ce chapitre décrit la fonctionnalité de portail captif (CP, Captive Portal), qui permet
de bloquer l'accès au réseau pour les clients sans fil tant que la vérification de
l'utilisateur n'a pas été établie. Vous pouvez configurer la vérification de portail
captif de manière à autoriser l'accès à la fois pour les utilisateurs invités et les
utilisateurs authentifiés.
REMARQUE La fonctionnalité de portail captif est disponible uniquement sur le Cisco WAP351.
Le Cisco WAP131 ne prend pas en charge le portail captif.
Les utilisateurs authentifiés doivent être validés à l'aide d'une base de données
des groupes ou des utilisateurs CP autorisés avant de se voir autoriser l'accès.
Cette base de données peut être stockée localement sur le périphérique WAP ou
sur un serveur RADIUS.
Le portail captif se compose de deux instances de CP. Il est possible de
configurer chaque instance de manière indépendante, avec des méthodes de
vérification différentes pour chaque point d'accès virtuel ou SSID. Les
périphériques Cisco WAP351 fonctionnent simultanément avec certains points
d'accès virtuels configurés pour l'authentification de portail captif et d'autres
points d'accès virtuels configurés pour les méthodes normales d'authentification
sans fil, comme WPA ou WPA Entreprise.
Ce chapitre inclut les rubriques suivantes :
•
Configuration globale
•
Groupes/Utilisateurs locaux
•
Configuration d'instance
•
Association d'instance
•
Personnalisation du portail Web
•
Clients authentifiés
Guide d'administration pour Cisco WAP131 et WAP351
168
10
Portail captif
Configuration globale
Configuration globale
Utilisez la page Global CP Configuration pour contrôler l'état administratif de la
fonctionnalité de portail captif et configurer les paramètres globaux qui affectent
toutes les instances de portail captif configurées sur le périphérique WAP.
Pour configurer les paramètres globaux du portail captif :
ÉTAPE 1 Sélectionnez Captive Portal > Global Configuration.
ÉTAPE 2 Définissez les paramètres suivants :
•
Captive Portal Mode : active ou désactive le fonctionnement du portail
captif sur le périphérique WAP.
•
Authentication Timeout : pour pouvoir accéder au réseau par
l'intermédiaire d'un portail, le client doit tout d'abord entrer des informations
d'authentification sur une page Web d'authentification. Ce champ spécifie le
temps en secondes pendant lequel le périphérique WAP maintient une
session d'authentification ouverte avec le client sans fil associé. Si le client
n'entre pas ses identifiants d'authentification durant le temps alloué, il se peut
qu'il doive actualiser la page Web d'authentification. Le délai
d'authentification par défaut est de 300 secondes. La plage valide va de 60
à 600 secondes.
•
Additional HTTP Port : le trafic HTTP utilise le port de gestion HTTP, qui est
le port 80 par défaut. Vous pouvez configurer un port supplémentaire pour
le trafic HTTP. Saisissez un numéro de port compris entre 1025 et 65535, ou
80. Les ports HTTP et HTTPS ne peuvent pas être identiques.
•
Additional HTTPS Port : le trafic HTTP sur SSL (HTTPS) utilise le port de
gestion HTTPS, qui est le port 443 par défaut. Vous pouvez configurer un
port supplémentaire pour le trafic HTTPS. Saisissez un numéro de port
compris entre 1025 et 65535, ou 443. Les ports HTTP et HTTPS ne peuvent
pas être identiques.
ÉTAPE 3 La zone Captive Portal Configuration Counters affiche des informations de
portail captif en lecture seule :
•
Instance Count : nombre d'instances de portail captif actuellement
configurées sur le périphérique WAP. Il est possible de configurer jusqu'à
deux instances.
•
Group Count : nombre de groupes de portail captif actuellement configurés
sur le périphérique WAP. Il est possible de configurer jusqu'à deux groupes.
Le groupe par défaut existe et ne peut pas être supprimé.
Guide d'administration pour Cisco WAP131 et WAP351
169
10
Portail captif
Groupes/Utilisateurs locaux
•
User Count : nombre d'utilisateurs de portail captif actuellement configurés
sur le périphérique WAP. Il est possible de configurer jusqu'à 128 utilisateurs.
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
Groupes/Utilisateurs locaux
Utilisez la page Local Groups/Users pour gérer les groupes et les utilisateurs
locaux.
Groupes locaux
Chaque utilisateur local est affecté à un groupe d'utilisateurs. Chaque groupe est
affecté à une instance de portail captif. Le groupe facilite la gestion de l'affectation
des utilisateurs aux instances de portail captif.
Le groupe d'utilisateurs nommé Default est intégré et ne peut pas être supprimé.
Vous pouvez créer jusqu'à deux groupes d'utilisateurs supplémentaires.
Pour ajouter des groupes d'utilisateurs locaux :
ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users.
ÉTAPE 2 Dans la zone Local Global Settings, définissez les paramètres suivants :
•
Captive Portal Groups : sélectionnez Create pour créer un nouveau groupe.
•
Group Name : saisissez le nom du nouveau groupe.
ÉTAPE 3 Cliquez sur Add Group. Les modifications sont enregistrées dans la configuration
de démarrage.
Pour supprimer des groupes d'utilisateurs locaux :
ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users.
ÉTAPE 2 Dans la zone Local Groups Settings sélectionnez le groupe à supprimer.
Guide d'administration pour Cisco WAP131 et WAP351
170
10
Portail captif
Groupes/Utilisateurs locaux
ÉTAPE 3 Cochez l'option Delete Group.
ÉTAPE 4 Cliquez sur Delete Group. Les modifications sont enregistrées dans la
configuration de démarrage.
Utilisateurs locaux
Vous pouvez configurer une instance de portail captif pour répondre à la fois aux
besoins des utilisateurs invités et des utilisateurs autorisés. Les utilisateurs invités
ne possèdent pas de noms d'utilisateur ni de mots de passe.
Les utilisateurs autorisés fournissent un nom d'utilisateur et un mot de passe
valides qui doivent tout d'abord être validés à partir d'une base de données locale
ou d'un serveur RADIUS. Les utilisateurs autorisés sont généralement affectés à
une instance de portail captif associée à un autre point d'accès virtuel que les
utilisateurs invités.
Vous pouvez configurer jusqu'à 128 utilisateurs autorisés dans la base de données
locale.
Pour ajouter et configurer un utilisateur local :
ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users.
ÉTAPE 2 Dans la zone Local Users Settings, définissez les paramètres suivants :
•
Captive Portal Users : sélectionnez Create pour créer un nouvel utilisateur.
•
User Name : saisissez le nom du nouvel utilisateur.
ÉTAPE 3 Cliquez sur Add User.
ÉTAPE 4 La zone Local Users Settings s'affiche à nouveau avec des options
supplémentaires. Définissez les paramètres suivants :
•
User Password : saisissez le mot de passe, composé de 8 à 64 caractères
alphanumériques et caractères spéciaux. Un utilisateur doit entrer son mot
de passe pour se connecter au réseau par l'intermédiaire du portail captif.
•
Show Password as Clear Text : lorsque cette option est activée, le texte
que vous tapez est visible. Si cette option est désactivée, le texte n'est pas
masqué lors de sa saisie.
Guide d'administration pour Cisco WAP131 et WAP351
171
10
Portail captif
Groupes/Utilisateurs locaux
•
Away Timeout : saisissez la période pendant laquelle un utilisateur reste
dans la liste des clients authentifiés de portail captif après la dissociation du
client du périphérique WAP. Si la période spécifiée dans ce champ expire
avant que le client ne tente de se réauthentifier, l'entrée du client est
supprimée de la liste des clients authentifiés. La plage valide va de 0 à
1440 minutes. La valeur par défaut est 60. La valeur d'expiration configurée
ici a priorité sur la valeur configurée pour l'instance de portail captif, sauf si
la valeur utilisateur est définie à 0. Lorsque cette valeur est définie à 0, la
valeur d'expiration configurée pour l'instance de portail captif est utilisée.
•
Group Name : sélectionnez le groupe d'utilisateurs affecté. Chaque instance
de portail captif est configurée de manière à prendre en charge un groupe
d'utilisateurs particulier.
•
Maximum Bandwidth Upstream : saisissez la vitesse maximale de
chargement, en mégabits par seconde, à laquelle un client peut transmettre
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante utilisée pour envoyer des données sur le réseau. La plage valide
va de 0 à 300 Mbit/s. La valeur par défaut est 0.
•
Maximum Bandwidth Downstream : saisissez la vitesse maximale de
téléchargement, en mégabits par seconde, à laquelle un client peut recevoir
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante utilisée pour recevoir des données du réseau. La plage valide va
de 0 à 300 Mbit/s. La valeur par défaut est 0.
ÉTAPE 5 Cliquez sur Save User. Les modifications sont enregistrées dans la configuration
de démarrage.
Pour supprimer un utilisateur local :
ÉTAPE 1 Sélectionnez Captive Portal > Local Groups/Users.
ÉTAPE 2 Dans la zone Local Users Settings sélectionnez l'utilisateur à supprimer.
ÉTAPE 3 Cochez l'option Delete User.
ÉTAPE 4 Cliquez sur Delete User. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration pour Cisco WAP131 et WAP351
172
10
Portail captif
Configuration d'instance
Configuration d'instance
Vous pouvez créer jusqu'à deux instances de portail captif, chacune d'entre elles
étant un ensemble défini de paramètres d'instance. Les instances peuvent être
associées à un ou plusieurs points d'accès virtuels. Des instances différentes
peuvent être configurées de manière à répondre différemment aux utilisateurs
lorsque ceux-ci tentent d'accéder au point d'accès virtuel associé.
REMARQUE Commencez par passer en revue les puces suivantes avant de créer une instance :
•
Avez-vous besoin d'ajouter un nouveau point d'accès virtuel ? Si oui,
reportez-vous à Réseaux pour ajouter un point d'accès virtuel.
•
Avez-vous besoin d'ajouter un nouveau groupe ou un nouvel utilisateur ? Si
oui, reportez-vous à Groupes/Utilisateurs locaux pour ajouter un groupe
ou un utilisateur.
Pour créer une instance de portail captif et configurer ses paramètres :
ÉTAPE 1 Sélectionnez Captive Portal > Instance Configuration.
ÉTAPE 2 Sélectionnez Create dans la liste Captive Port Instances.
ÉTAPE 3 Dans le champ Instance Name, saisissez le nom (1 à 32 caractères
alphanumériques) choisi pour l'instance de port captif.
ÉTAPE 4 Cliquez sur Save.
ÉTAPE 5 La zone Captive Portal Instance Parameters s'affiche à nouveau avec des
options supplémentaires. Définissez les paramètres suivants :
•
Instance ID : affiche l'ID d'instance. Ce champ n'est pas configurable.
•
Administrative Mode : active et désactive l'instance de portail captif.
•
Protocol : sélectionnez HTTP ou HTTPS en tant que protocole utilisé par
l'instance de portail captif durant le processus de vérification.
-
HTTP : n'utilise pas le cryptage durant la vérification.
-
HTTPS : utilise le protocole SSL (Secure Sockets Layer), qui nécessite un
certificat pour le cryptage. Le certificat est présenté à l'utilisateur lors de
la connexion.
Guide d'administration pour Cisco WAP131 et WAP351
173
10
Portail captif
Configuration d'instance
•
Verification : sélectionnez la méthode d'authentification utilisée par le portail
captif pour la vérification des clients. Les options sont les suivantes :
-
Guest : les utilisateurs n'ont pas besoin d'être authentifiés par une base
de données.
-
Local : le périphérique WAP utilise une base de données locale pour
authentifier les utilisateurs.
-
RADIUS : le périphérique WAP utilise une base de données située sur un
serveur RADIUS distant pour authentifier les utilisateurs.
•
Redirect : si l'option est activée, spécifie que le portail captif doit rediriger le
client nouvellement authentifié vers l'URL configurée. Si cette option est
désactivée, l'utilisateur voit la page d'accueil correspondant à ses
paramètres régionaux après une vérification réussie.
•
Redirect URL : saisissez l'URL (y compris http://) vers laquelle le client
nouvellement authentifié est redirigé si le mode de redirection d'URL est
activé. La plage valide va de 0 à 256 caractères.
•
Away Timeout : saisissez la période pendant laquelle un utilisateur reste
dans la liste des clients authentifiés de portail captif après la dissociation du
client du périphérique WAP. Si la période spécifiée dans ce champ expire
avant que le client ne tente de se réauthentifier, l'entrée du client est
supprimée de la liste des clients authentifiés. La plage valide va de 0 à
1440 minutes. La valeur par défaut est de 60 minutes.
Une valeur Away Timeout est également configurée pour chaque utilisateur
(voir la page Groupes/Utilisateurs locaux). La valeur Away Timeout définie
à la page Local Groups/Users a priorité sur la valeur configurée ici, sauf si la
valeur est définie à 0 (valeur par défaut). Une valeur égale à 0 indique que la
valeur d'expiration de l'instance est utilisée.
•
Session Timeout : saisissez la période de validité restant, en secondes, de
la session de portail captif. Lorsque ce temps atteint la valeur zéro, le client
est désauthentifié. La plage valide va de 0 à 1440 minutes. La valeur par
défaut est 0.
•
Maximum Bandwidth Upstream : saisissez la vitesse maximale de
chargement, en mégabits par seconde, à laquelle un client peut transmettre
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante à laquelle le client peut envoyer des données sur le réseau. La
plage valide va de 0 à 300 Mbit/s. La valeur par défaut est 0.
Guide d'administration pour Cisco WAP131 et WAP351
174
10
Portail captif
Configuration d'instance
•
Maximum Bandwidth Downstream : saisissez la vitesse maximale de
téléchargement, en mégabits par seconde, à laquelle un client peut recevoir
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante à laquelle le client peut recevoir des données du réseau. La plage
valide va de 0 à 300 Mbit/s. La valeur par défaut est 0.
•
User Group Name : si le mode de vérification est Local ou RADIUS, ce
paramètre affecte un groupe d'utilisateurs existant à l'instance de portail
captif. Tous les utilisateurs appartenant à ce groupe sont autorisés à accéder
au réseau par l'intermédiaire de ce portail.
•
RADIUS IP Network : déterminez si le client WAP RADIUS utilise les
adresses configurées de serveur RADIUS IPv4 ou IPv6.
•
Global RADIUS : si le mode de vérification est RADIUS, cochez l'option
Enable de façon à utiliser la liste des serveurs RADIUS globaux par défaut
pour authentifier les clients. (Reportez-vous à Serveur RADIUS pour plus
d'informations sur la configuration des serveurs RADIUS globaux.) Si vous
souhaitez que la fonctionnalité de portail captif utilise un ensemble différent
de serveurs RADIUS, décochez la case et configurez les serveurs dans les
champs correspondants de cette page.
•
RADIUS Accounting : cochez la case Enable pour suivre et mesurer les
ressources consommées par un utilisateur donné, comme le temps système
ou les quantités de données transmises et reçues.
Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est
active pour le serveur RADIUS principal, pour l'ensemble des serveurs de
sauvegarde et pour les serveurs configurés globalement et localement.
•
Server IP Address 1 ou Server IPv6 Address 1 : saisissez l'adresse IPv4 ou
IPv6 du serveur RADIUS principal pour ce VAP. La forme de l'adresse IPv4
doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10). La forme de
l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8:CAD5:7D91).
Lorsque le premier client sans fil tente de s'authentifier à l'aide du VAP, le
périphérique WAP envoie une demande d'authentification au serveur
principal. Si le serveur principal répond à la demande d'authentification, le
périphérique WAP continue à utiliser ce serveur RADIUS en guise de
serveur principal et les demandes d'authentification sont envoyées à
l'adresse spécifiée.
Guide d'administration pour Cisco WAP131 et WAP351
175
10
Portail captif
Association d'instance
•
Server IP Address (2 à 4) ou Server IPv6 Address (2 à 4) : saisissez jusqu'à
trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde. Si
l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
•
Key-1 : saisissez la clé secrète partagée utilisée par le périphérique WAP
pour s'authentifier auprès du serveur RADIUS principal. Vous pouvez utiliser
jusqu'à 63 caractères alphanumériques standard et caractères spéciaux. La
clé est sensible à la casse et doit correspondre à la clé configurée sur le
serveur RADIUS. Le texte que vous saisissez s'affiche sous forme
d'astérisques.
•
Key-2 à Key-4 : saisissez la clé RADIUS associée aux serveurs RADIUS de
sauvegarde configurés. Le serveur associé à Server IP Address-1 utilise
Key-1 et Server IP Address-2 utilise Key-2, etc.
•
Locale Count : affiche le nombre de paramètres régionaux associés à
l'instance. Vous pouvez créer et affecter jusqu'à trois paramètres régionaux
différents à chaque instance de portail captif à partir de la page Web
Customization.
•
Delete Instance : cochez l'option pour supprimer l'instance en cours.
ÉTAPE 6 Cliquez sur Save. Les modifications que vous avez effectuées sont enregistrées
dans la configuration de démarrage.
Association d'instance
Après avoir créé une instance, utilisez la page Instance Association pour associer
une instance de portail captif à un point d'accès virtuel. Les paramètres de
l'instance de portail captif associée s'appliquent aux utilisateurs qui tentent de
s'authentifier sur le point d'accès virtuel.
Pour associer une instance à un point d'accès virtuel :
ÉTAPE 1 Sélectionnez Captive Portal > Instance Association.
ÉTAPE 2 Choisissez le mode radio à configurer:
ÉTAPE 3 Sélectionnez le nom d'instance pour chaque point d'accès virtuel auquel vous
voulez associer une instance.
Guide d'administration pour Cisco WAP131 et WAP351
176
10
Portail captif
Personnalisation du portail Web
ÉTAPE 4 Cliquez sur Save. Les modifications que vous avez effectuées sont enregistrées
dans la configuration de démarrage.
Personnalisation du portail Web
Une fois l'instance de portail captif associée à un point d'accès virtuel, vous devez
créer des paramètres régionaux (une page Web d'authentification) et les mapper
avec l'instance de portail captif. Lorsqu'un utilisateur accède à un point d'accès
virtuel associé à une instance de portail captif, une page d'authentification
s'affiche.
Utilisez la page Web Portal Customization pour créer des pages uniques pour les
différents paramètres régionaux de votre réseau et personnaliser le texte et les
images sur les pages.
Configuration de la page d'authentification du portail captif
Pour créer et personnaliser une page d'authentification de portail captif :
ÉTAPE 1 Sélectionnez Captive Portal > Web Portal Customization.
ÉTAPE 2 Sélectionnez Create dans la liste Captive Portal Web Locale.
Vous pouvez créer jusqu'à trois pages d'authentification différentes avec différents
paramètres régionaux sur votre réseau.
ÉTAPE 3 Dans la zone Captive Portal Web Locale Parameters, définissez les paramètres
suivants :
•
Web Locale Name : saisissez un nom de paramètres régionaux Web à
affecter à la page. Le nom peut être constitué de 1 à 32 caractères
alphanumériques.
•
Captive Portal Instances : sélectionnez l'instance de portail captif à laquelle
ces paramètres régionaux sont associés. Vous pouvez associer plusieurs
paramètres régionaux à une instance. Lorsqu'un utilisateur tente d'accéder à
un point d'accès virtuel spécifique associé à une instance de portail captif,
les paramètres régionaux qui sont associés à cette instance apparaissent
sous la forme de liens sur la page d'authentification. L'utilisateur peut alors
sélectionner un lien pour passer à ces paramètres régionaux.
Guide d'administration pour Cisco WAP131 et WAP351
177
10
Portail captif
Personnalisation du portail Web
ÉTAPE 4 Cliquez sur Save. Les modifications sont enregistrées dans la configuration de
démarrage.
ÉTAPE 5 La zone Captive Portal Web Locale Parameters s'affiche à nouveau avec des
options supplémentaires permettant de modifier les paramètres régionaux. Les
champs Locale ID et Instance Name ne peuvent pas être modifiés. Les champs
modifiables sont préremplis avec les valeurs par défaut. Définissez les
paramètres suivants :
•
Background Image Name : sélectionnez l'image à afficher en tant qu'arrièreplan de la page. Vous pouvez cliquer sur Upload/Delete Custom Image
pour charger des images pour les instances de portail captif. Pour plus
d'informations, reportez-vous à la section Chargement et suppression
d'images.
•
Logo Image Name : sélectionnez le fichier image à afficher dans le coin
supérieur gauche de la page. Cette image est utilisée à des fins
commerciales (il s'agit par exemple du logo de l'entreprise). Si vous avez
téléchargé un logo personnalisé vers le périphérique WAP, vous pouvez le
sélectionner dans la liste.
•
Foreground color : saisissez le code HTML de la couleur de premier plan au
format hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La
valeur par défaut est #999999.
•
Background color : saisissez le code HTML de la couleur d'arrière-plan au
format hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La
valeur par défaut est #BFBFBF.
•
Separator : saisissez le code HTML de la couleur de l'épaisse ligne
horizontale séparant l'en-tête de page du corps de page, au format
hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La valeur
par défaut est #BFBFBF.
•
Locale Label : saisissez l'étiquette descriptive des paramètres régionaux,
composée de 1 à 32 caractères. La langue par défaut est l'anglais.
•
Locale : saisissez l'abréviation des paramètres régionaux, composée de 1 à
32 caractères. La valeur par défaut est en.
•
Account Image : sélectionnez le fichier image à afficher au-dessus du
champ de connexion pour représenter une connexion authentifiée.
•
Account Label : texte demandant à l'utilisateur d'entrer un nom d'utilisateur.
La plage valide va de 1 à 32 caractères.
Guide d'administration pour Cisco WAP131 et WAP351
178
10
Portail captif
Personnalisation du portail Web
•
User Label : étiquette de la zone de texte du nom d'utilisateur. La plage
valide va de 1 à 32 caractères.
•
Password Label : étiquette de la zone de texte du mot de passe d'utilisateur.
La plage valide va de 1 à 64 caractères.
•
Button Label : étiquette du bouton sur lequel les utilisateurs cliquent afin de
soumettre leur nom d'utilisateur et leur mot de passe pour authentification.
La plage valide va de 2 à 32 caractères. La valeur par défaut est Connect.
•
Fonts : nom de la police à utiliser pour l'ensemble du texte de la page de
portail captif. Vous pouvez entrer plusieurs noms de police, chaque nom
devant être séparé des autres par une virgule. Si la première police n'est pas
disponible sur le système client, la police suivante est utilisée, etc. Si un nom
de police contient des espaces, mettez le nom complet entre guillemets. La
plage valide va de 1 à 512 caractères. La valeur par défaut est MS UI Gothic,
Arial, sans-serif.
•
Browser Title : texte à afficher dans la barre de titre du navigateur. La plage
valide va de 1 à 128 caractères. La valeur par défaut est Captive Portal.
•
Browser Content : texte qui apparaît dans l'en-tête de page, à droite du logo.
La plage valide va de 1 à 128 caractères. La valeur par défaut est Welcome
to the Wireless Network.
•
Content : texte d'instruction qui s'affiche dans le corps de page en dessous
des zones de texte du nom d'utilisateur et du mot de passe. La plage valide
va de 1 à 256 caractères. La valeur par défaut est To start using this service,
enter your credentials and click the connect button.
•
Acceptance Use Policy : texte qui apparaît dans la zone de texte
Acceptance Use Policy. La plage valide va de 1 à 4096 caractères. La valeur
par défaut est Acceptance Use Policy.
•
Accept Label : texte demandant aux utilisateurs d'activer la case à cocher
relative à la lecture et à l'acceptation de la stratégie d'utilisation. La plage
valide va de 1 à 128 caractères.
•
No Accept Text : texte qui s'affiche dans une fenêtre contextuelle lorsqu'un
utilisateur soumet ses informations d'identification de connexion sans avoir
activé la case à cocher Acceptance Use Policy. La plage valide va de 1 à 128
caractères.
•
Work In Progress Text : texte qui s'affiche durant l'authentification. La plage
valide va de 1 à 128 caractères.
Guide d'administration pour Cisco WAP131 et WAP351
179
10
Portail captif
Personnalisation du portail Web
•
Denied Text : texte qui s'affiche lors de l'échec de l'authentification d'un
utilisateur. La plage valide va de 1 à 128 caractères.
•
Welcome Title : texte qui s'affiche lorsque le client s'est authentifié sur le
point d'accès virtuel. La plage valide va de 1 à 128 caractères.
•
Welcome Content : texte qui s'affiche lorsque le client s'est connecté au
réseau. La plage valide va de 1 à 256 caractères.
•
Delete Locale : supprime les paramètres régionaux actuels.
ÉTAPE 6 Cliquez sur Save. Les modifications que vous avez effectuées sont enregistrées
dans la configuration de démarrage.
ÉTAPE 7 Cliquez sur Preview pour afficher la page mise à jour.
REMARQUE Vous pouvez cliquer sur Preview pour afficher le texte et les images qui ont déjà
été enregistrés dans la configuration de démarrage. Si vous apportez des
modifications, cliquez sur Save avant de cliquer sur Preview pour voir vos
modifications.
Chargement et suppression d'images
Lorsque les utilisateurs créent l'accès à un point d'accès virtuel associé à une
instance de portail captif, une page d'authentification apparaît. Vous pouvez
personnaliser la page d'authentification avec votre propre logo ou d'autres images.
Vous pouvez charger jusqu'à 18 images (à savoir six valeurs de paramètres
régionaux, chaque valeur possédant trois images). Les images doivent être au
format GIF ou JPG, et leur taille maximale est de 5 kilo-octets.
Les images sont redimensionnées conformément aux dimensions spécifiées. Pour
obtenir des résultats optimaux, les images de votre logo et de votre compte
doivent être de proportions similaires à celles des images par défaut, comme
indiqué ci-dessous :
Type
d'image
Utilisation
Largeur x hauteur
par défaut
Arrière-plan
S'affiche en tant qu'arrière-plan de
page.
10 x 800 pixels
Logo
S'affiche en haut à gauche de la page
en vue de fournir des informations
commerciales.
168 x 78 pixels
Guide d'administration pour Cisco WAP131 et WAP351
180
10
Portail captif
Clients authentifiés
Type
d'image
Utilisation
Largeur x hauteur
par défaut
Compte
S'affiche au-dessus du champ de
connexion pour représenter une
connexion authentifiée.
295 x 55 pixels
Pour charger des fichiers graphiques binaires sur le périphérique WAP :
ÉTAPE 1 Sur la page Web Portal Customization, cliquez sur Upload/Delete Custom Image
à côté des champs Background Image Name, Logo Image Name ou Account
Image.
La page Web Portal Custom Image apparaît.
ÉTAPE 2 Cliquez sur Browse pour sélectionner l'image.
ÉTAPE 3 Cliquez sur Upload.
ÉTAPE 4 Cliquez sur Back pour revenir à la page Web Portal Custom Image.
ÉTAPE 5 Dans la zone Captive Portal Web Locale, sélectionnez les paramètres régionaux
Web à configurer pour le portail captif.
ÉTAPE 6 Pour les champs Background Image Name, Logo Image Name ou Account
Image, sélectionnez l'image nouvellement chargée.
ÉTAPE 7 Cliquez sur Save.
ÉTAPE 8 Pour supprimer une image, sur la page Web Portal Custom Image, sélectionnez-la
dans la liste Delete Web Customization Image, puis cliquez sur Delete. Vous ne
pouvez pas supprimer les images par défaut.
Clients authentifiés
La page Authenticated Clients propose deux tables. La première, Authenticated
Clients, fournit des informations sur les clients qui ont été authentifiés sur une
instance quelconque du portail captif. L'autre, Failed Authenticated Clients, fournit
des informations sur les clients qui ont tenté de s'authentifier sur un portail captif et
qui ont échoué.
Pour afficher la liste des clients authentifiés ou la liste des clients qui n'ont pas
réussi à s'authentifier, sélectionnez Captive Portal > Authenticated Clients.
Guide d'administration pour Cisco WAP131 et WAP351
181
10
Portail captif
Clients authentifiés
Les informations suivantes sont indiquées :
•
MAC Address : adresse MAC du client.
•
IP Address : adresse IP du client.
•
User Name : nom d'utilisateur de portail captif du client.
•
Protocol : protocole employé par l'utilisateur pour établir la connexion
(HTTP ou HTTPS).
•
Verification : méthode utilisée pour l'authentification de l'utilisateur sur le
portail captif. Les valeurs possibles sont les suivantes :
-
Guest : l'utilisateur n'a pas besoin d'être authentifié par une base de
données.
-
Local : le périphérique WAP utilise une base de données locale pour
authentifier les utilisateurs.
-
RADIUS : le périphérique WAP utilise une base de données située sur
un serveur RADIUS distant pour authentifier les utilisateurs.
•
VAP ID : point d'accès virtuel auquel l'utilisateur est associé.
•
Radio ID : ID de la radio.
•
Captive Portal ID : ID de l'instance de portail captif à laquelle l'utilisateur est
associé.
•
Session Timeout : temps de validité restant, en secondes, de la session de
portail captif. Lorsque ce temps atteint la valeur zéro, le client est
désauthentifié.
•
Away Timeout : temps de validité restant, en secondes, de l'entrée du
client. La minuterie démarre lorsque le client se dissocie du portail captif.
Lorsque le temps atteint la valeur zéro, le client est désauthentifié.
•
Received Packets : nombre de paquets IP reçus par le périphérique WAP
depuis la station utilisateur.
•
Transmitted Packets : nombre de paquets IP transmis depuis le
périphérique WAP vers la station utilisateur.
•
Received Bytes : nombre d'octets reçus par le périphérique WAP depuis la
station utilisateur.
•
Transmitted Bytes : nombre d'octets transmis depuis le périphérique WAP
vers la station utilisateur.
Guide d'administration pour Cisco WAP131 et WAP351
182
10
Portail captif
Clients authentifiés
•
Failure Time : heure à laquelle l'échec de l'authentification s'est produit. Un
horodatage est inclus, indiquant l'heure de l'échec.
Vous pouvez cliquer sur Refresh pour afficher les dernières données en
provenance du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
183
11
Configuration de point unique
Ce chapitre explique comment paramétrer une configuration de point unique sur
plusieurs périphériques WAP. Il contient les rubriques suivantes :
•
Présentation de la configuration de point unique
•
Points d'accès
•
Sessions
•
Gestion des canaux
•
Voisinage sans fil
REMARQUE La fonction de configuration de point unique est seulement disponible sur le
périphérique Cisco WAP351. Elle n'est pas prise en charge par le périphérique
Cisco WAP131.
Présentation de la configuration de point unique
La configuration de point unique est une méthode centralisée permettant
d'administrer et de contrôler les services sans fil sur plusieurs périphériques. Elle
sert à créer un groupe ou un cluster unique de périphériques WAP. Lorsque les
périphériques WAP sont regroupés en un cluster, vous pouvez afficher, déployer,
configurer et sécuriser le réseau sans fil en tant qu'entité unique. Après la création
d'un cluster sans fil, la configuration de point unique facilite également la
planification des canaux sur l'ensemble de vos services sans fil afin de réduire les
interférences radio et d'optimiser la bande passante du réseau sans fil.
Lors de la première configuration d'un périphérique WAP, vous pouvez paramétrer
la configuration de point unique à l'aide de l'assistant de configuration ou ajouter le
périphérique à une configuration de point unique existante. Si vous préférez ne
pas utiliser l'assistant de configuration, vous pouvez vous servir de l'utilitaire Web
de configuration.
Guide d'administration pour Cisco WAP131 et WAP351
184
11
Configuration de point unique
Présentation de la configuration de point unique
Gestion de la configuration de point unique sur les points
d'accès
La configuration de point unique crée, dans le même sous-réseau, un cluster ou un
groupe de périphériques WAP dynamique et sensible à la configuration. Un cluster
prend uniquement en charge un groupe de périphériques Cisco WAP351
configurés.
La configuration de point unique permet de gérer plusieurs clusters dans le même
sous-réseau ou réseau. Ils sont toutefois gérés en tant qu'entités indépendantes
uniques. Le tableau ci-dessous indique les limites de service sans fil de la
configuration de point unique :
Type de
groupe/
cluster
Nombre de
périphériques
WAP par
configuration
de point unique
Nombre de clients actifs
par configuration de point
unique
Nombre maximal
de clients (actifs
et inactifs)
Cisco
WAP351
8
160
256
Un cluster peut propager les informations de configuration, telles que les
paramètres de point d'accès virtuel, de file d'attente QoS et de radio. Lorsque vous
définissez une configuration de point unique sur un périphérique, les paramètres
de ce dernier (qu'ils aient été définis manuellement ou par défaut) sont propagés
sur les autres périphériques lorsqu'ils rejoignent le cluster.
Pour former un cluster, veillez à respecter les conditions ci-dessous :
ÉTAPE 1 Planifiez votre cluster à configuration de point unique. Vérifiez que les
périphériques WAP que vous souhaitez regrouper dans le cluster sont du même
modèle. Par exemple, les périphériques Cisco WAP351 peuvent uniquement être
regroupés dans un cluster contenant d'autres périphériques Cisco WAP351.
Nous vous recommandons vivement d'utiliser la dernière version du
microprogramme sur tous les périphériques WAP du cluster.
REMARQUE Les mises à niveau de microprogramme ne sont pas propagées sur tous les
périphériques WAP d'un cluster. Vous devez mettre à niveau chacun des
périphériques.
Guide d'administration pour Cisco WAP131 et WAP351
185
Configuration de point unique
Présentation de la configuration de point unique
11
ÉTAPE 2 Configurez les périphériques WAP qui seront regroupés en cluster sur un même
sous-réseau IP et vérifiez qu'ils sont interconnectés et accessibles sur l'ensemble
du réseau local commuté.
ÉTAPE 3 Activez la configuration de point unique sur tous les périphériques WAP. Pour plus
d'informations, reportez-vous à la section Points d'accès.
ÉTAPE 4 Vérifiez que tous les périphériques WAP indiquent le même nom de configuration
de point unique. Pour plus d'informations, reportez-vous à la section Points
d'accès.
Négociation de la configuration de point unique
Lorsque la configuration de point unique est activée et paramétrée sur un
périphérique WAP, celui-ci commence à envoyer des annonces toutes les 10
secondes pour signaler sa présence. Si d'autres périphériques WAP répondent
aux critères du cluster, un arbitrage est effectué afin de déterminer quel
périphérique WAP distribuera la configuration principale aux autres membres du
cluster.
Les règles suivantes s'appliquent à la formation et à l'arbitrage du cluster à
configuration de point unique :
•
Pour les clusters à configuration de point unique existants, dès que
l'administrateur met à jour la configuration de l'un des membres du cluster, la
modification est propagée à tous les membres du cluster et le périphérique
WAP configuré prend le contrôle du cluster.
•
Lorsque deux clusters à configuration de point unique distincts sont
regroupés en un seul cluster, le cluster modifié en dernier remporte
l'arbitrage de la configuration. Il écrase et met à jour la configuration de tous
les périphériques WAP du cluster.
•
Si un périphérique WAP d'un cluster ne reçoit pas les annonces d'un autre
périphérique WAP pendant plus de 60 secondes (par exemple si le
périphérique n'est plus connecté aux autres périphériques du cluster), celuici est supprimé du cluster.
•
Si un périphérique WAP en mode de configuration de point unique perd sa
connexion, il n'est pas immédiatement exclu du cluster. S'il se reconnecte et
rejoint le cluster sans avoir été exclu et que des modifications ont été
apportées à la configuration de ce périphérique lorsqu'il était déconnecté,
ces modifications sont propagées sur les autres membres du cluster
lorsque la connexion est rétablie.
Guide d'administration pour Cisco WAP131 et WAP351
186
Configuration de point unique
Présentation de la configuration de point unique
•
11
Si un périphérique WAP d'un cluster perd sa connexion, est exclu, puis
rejoint à nouveau le cluster et que des modifications ont été apportées à la
configuration du cluster durant la période de déconnexion, les
modifications sont propagées sur le périphérique lorsqu'il rejoint le cluster.
Si des modifications de configuration sont effectuées à la fois sur le
périphérique déconnecté et sur le cluster, le périphérique WAP ayant fait
l'objet du plus grand nombre de modifications ou, à défaut, celui ayant subi
la modification la plus récente, est choisi pour la propagation de sa
configuration au cluster. Ainsi, si WAP1 a fait l'objet d'un plus grand nombre
de modifications, mais que WAP2 présente la modification la plus récente,
c'est WAP1 qui est choisi. S'ils ont tous les deux fait l'objet du même nombre
de modifications, mais que WAP2 présente la modification la plus récente,
c'est donc WAP2 qui est choisi.
Fonctionnement d'un périphérique exclu d'une configuration
de point unique
Lorsqu'un périphérique WAP qui était auparavant un membre d'un cluster est
déconnecté de celui-ci, les règles suivantes s'appliquent :
•
La perte du contact avec le cluster empêche le périphérique WAP de
recevoir les derniers paramètres de configuration opérationnels. La
déconnexion provoque l'interruption du service sans fil correct sur
l'ensemble du réseau de production.
•
Le périphérique WAP continue de fonctionner selon les paramètres sans fil
qu'il a reçus en dernier du cluster.
•
Les clients sans fil associés au périphérique WAP non inclus dans le cluster
continuent à s'associer au périphérique sans interruption de la connexion
sans fil. En d'autres termes, la perte du contact avec le cluster n'empêche
pas nécessairement les clients sans fil associés à ce périphérique WAP de
continuer à accéder aux ressources réseau.
•
Si la perte du contact avec le cluster est liée à une déconnexion physique
ou logique de l'infrastructure LAN, cela peut avoir une incidence sur les
services réseau, voire sur les clients sans fil, selon la nature de la panne.
Guide d'administration pour Cisco WAP131 et WAP351
187
11
Configuration de point unique
Présentation de la configuration de point unique
Paramètres de configuration propagés et non propagés aux
points d'accès à configuration de point unique
Le tableau ci-dessous récapitule les configurations partagées et propagées sur
l'ensemble des périphériques WAP du cluster :
Paramètres de configuration communs propagés en mode de configuration
de point unique
Portail captif
Password Complexity
Client QoS
Comptes d'utilisateur
Email Alert
QoS
Service HTTP/HTTPS (sauf
configuration de certificats SSL)
Paramètres radio, y compris paramètres
TSPEC (quelques exceptions)
Log Settings
Rogue AP Detection
MAC Filtering
Scheduler
Management Access Control
SNMP General et SNMPv3
Networks
WPA-PSK Complexity
Paramètres d'heure
Paramètres de configuration radio propagés en mode de configuration de
point unique
Mode
Seuil de fragmentation
Seuil RTS
Rate Sets
Primary Channel
Protection
Fixed Multicast Rate
Broadcast or Multicast Rate Limiting
Channel Bandwidth
Guide d'administration pour Cisco WAP131 et WAP351
188
11
Configuration de point unique
Points d'accès
Short Guard Interval Supported
Paramètres de configuration radio non propagés en mode de configuration
de point unique
Canal
Intervalle de balise
DTIM Period
Maximum Stations
Transmit Power
Autres paramètres de configuration non propagés en mode de configuration
de point unique
Bandwidth Utilization
Paramètres des ports
Bonjour
VLAN et IPv4
Adresse IPv6
WDS Bridge
Tunnel IPv6
Packet Capture
WorkGroup Bridge
Points d'accès
La page Access Points vous permet d'activer ou de désactiver la fonction de
configuration de point unique sur le périphérique WAP, d'afficher les membres d'un
cluster et de configurer l'emplacement et le nom de cluster pour un membre. Vous
pouvez également cliquer sur l'adresse IP d'un membre pour configurer et afficher
les données de ce périphérique.
Guide d'administration pour Cisco WAP131 et WAP351
189
11
Configuration de point unique
Points d'accès
Configuration du périphérique WAP pour la configuration de
point unique
Pour configurer l'emplacement et le nom d'un membre d'un cluster à configuration
de point unique, procédez comme suit :
ÉTAPE 1 Sélectionnez Single Point Setup > Access Points.
La configuration de point unique est désactivée par défaut sur le périphérique
WAP. Lorsque celle-ci est désactivée, le bouton Enable Single Point Setup est
visible. Si la configuration de point unique est désactivée, le bouton Disable
Single Point Setup est visible. Vous pouvez modifier les paramètres de la
configuration de point unique seulement si cette fonction est désactivée.
Des icônes situées sur le côté droit de la page indiquent si elle est activée et, si tel
est le cas, elles précisent également le nombre de périphériques WAP
actuellement regroupés dans le cluster.
ÉTAPE 2 Une fois la fonction de configuration de point unique désactivée, définissez les
paramètres ci-dessous pour chaque membre d'un cluster à configuration de point
unique :
•
Location : saisissez une description de l'emplacement physique du
périphérique WAP, par exemple « Réception ». Ce champ est facultatif.
•
Cluster Name : indiquez le nom du cluster auquel le périphérique WAP doit
se joindre, par exemple « Cluster_Réception ». Le nom du cluster n'est pas
envoyé aux autres périphériques WAP. Vous devez donc configurer le même
nom sur chaque périphérique membre d'un même cluster. Le nom du cluster
doit être unique pour chaque configuration de point unique que vous
paramétrez sur le réseau. Le nom par défaut est « ciscosb-cluster ».
•
Clustering IP Version : indiquez la version du protocole IP que les
périphériques WAP du cluster utilisent pour communiquer avec les autres
membres du cluster. La version par défaut est IPv4.
Si vous choisissez la version IPv6, la configuration de point unique peut
utiliser l'adresse de liaison locale, l'adresse IPv6 globale autoconfigurée et
l'adresse IPv6 globale configurée de manière statique. Dans ce cas, assurezvous que tous les périphériques WAP du cluster utilisent uniquement des
adresses de liaison locales ou uniquement des adresses globales.
La configuration de point unique fonctionne uniquement sur des
périphériques WAP utilisant le même type d'adressage IP. Elle ne fonctionne
pas avec un groupe de périphériques WAP dont certains utilisent des
adresses IPv4 et d'autres des adresses IPv6.
Guide d'administration pour Cisco WAP131 et WAP351
190
11
Configuration de point unique
Points d'accès
ÉTAPE 3 Cliquez sur Enable Single Point Setup.
Le périphérique WAP commence à rechercher dans le sous-réseau d'autres
périphériques WAP configurés avec le même nom de cluster et la même version
du protocole IP. Les membres éventuels du cluster envoient des annonces toutes
les 10 secondes afin de signaler leur présence.
Pendant la recherche d'autres membres du cluster, l'état indique que la
configuration est en cours d'application. Actualisez la page pour afficher la
nouvelle configuration.
Si un ou plusieurs périphériques WAP sont déjà configurés avec les mêmes
paramètres de cluster, le périphérique WAP rejoint le cluster et les informations sur
chaque membre s'affichent dans un tableau.
ÉTAPE 4 Répétez cette procédure sur les autres périphériques WAP que vous souhaitez
ajouter à la configuration de point unique.
Affichage des informations de la configuration de point
unique
Lorsque la fonction de configuration de point unique est activée, le périphérique
WAP forme automatiquement un cluster avec les autres périphériques WAP dotés
de la même configuration. La page Access Points répertorie les périphériques
WAP détectés dans un tableau ; les informations suivantes sont affichées :
•
Location : description de l'emplacement physique du périphérique WAP.
•
MAC Address : adresse MAC du périphérique WAP. Cette adresse
correspond à l'adresse MAC du pont (br0) et à l'adresse du périphérique
WAP connue des autres réseaux.
•
IP Address : adresse IP du périphérique WAP.
REMARQUE L'état de la configuration de point unique et le nombre de périphériques WAP sont
indiqués sous forme graphique sur le côté droit de la page.
Guide d'administration pour Cisco WAP131 et WAP351
191
Configuration de point unique
Points d'accès
11
Ajout d'un périphérique WAP à une configuration de point
unique
Pour ajouter un nouveau périphérique WAP actuellement en mode autonome à un
cluster à configuration de point unique :
ÉTAPE 1 Accédez à l'utilitaire de configuration du périphérique WAP autonome.
ÉTAPE 2 Sélectionnez Single Point Setup > Access Points.
ÉTAPE 3 Dans Cluster name, indiquez le nom de cluster que vous avez configuré sur les
membres du cluster.
ÉTAPE 4 (Facultatif) Dans le champ Location, saisissez une description de l'emplacement
physique du périphérique WAP.
ÉTAPE 5 Cliquez sur Enable Single Point Setup.
Le périphérique WAP rejoint automatiquement la configuration de point unique.
Suppression d'un périphérique WAP dans une configuration
de point unique
Pour supprimer un périphérique WAP dans un cluster à configuration de point
unique :
ÉTAPE 1 Dans le tableau affichant les périphériques détectés, cliquez sur l'adresse IP du
périphérique WAP que vous souhaitez supprimer du cluster.
L'utilitaire de configuration de ce périphérique WAP apparaît.
ÉTAPE 2 Sélectionnez Single Point Setup > Access Points.
ÉTAPE 3 Cliquez sur Disable Single Point Setup.
Le champ d'état Single Point Setup de ce périphérique WAP indique alors
Disabled.
Guide d'administration pour Cisco WAP131 et WAP351
192
Configuration de point unique
Sessions
11
Accès aux informations de configuration d'un périphérique
spécifique
Tous les périphériques WAP d'un cluster à configuration de point unique
présentent la même configuration (à condition que la propagation des éléments
configurables soit possible). Peu importe le périphérique WAP auquel vous vous
connectez pour l'administration, les modifications de la configuration de n'importe
quel périphérique WAP du cluster sont propagées aux autres membres.
Cependant, il peut arriver que vous souhaitiez afficher ou gérer des informations
d'un périphérique WAP spécifique. Par exemple, vous souhaitez peut-être vérifier
les informations d'état, telles que les associations de clients ou les événements
concernant un périphérique WAP. Dans ce cas, vous pouvez cliquer sur l'adresse
IP figurant dans le tableau de la page Access Points pour afficher l'utilitaire de
configuration de ce périphérique WAP.
Accès à un périphérique à l'aide de son adresse IP dans une
URL
Vous pouvez également vous connecter à l'utilitaire de configuration d'un
périphérique WAP spécifique en saisissant l'adresse IP de ce dernier directement
dans la barre d'adresse d'un navigateur Web. Pour cela, utilisez la forme d'URL
suivante :
http://AdresseIPDuPointD'Accès (si vous utilisez le protocole HTTP)
https://AdresseIPDuPointD'Accès (si vous utilisez le protocole HTTPS)
Sessions
La page Sessions permet d'afficher des informations sur les clients WLAN
associés aux périphériques WAP du cluster à configuration de point unique.
Chaque client WLAN est identifié par son adresse MAC et l'emplacement du
périphérique auquel il est actuellement connecté.
REMARQUE Cette page affiche un maximum de 20 clients par radio sur les périphériques WAP
du cluster. Pour afficher tous les clients WLAN associés à un périphérique WAP,
consultez la page Status > Associated Clients directement sur ce périphérique.
Pour afficher des données statistiques spécifiques sur une session de client
WLAN, sélectionnez un élément de la liste Display et cliquez sur Go. Vous pouvez
consulter des informations sur le temps d'inactivité, le débit et la puissance du
signal.
Guide d'administration pour Cisco WAP131 et WAP351
193
11
Configuration de point unique
Sessions
Dans ce contexte, une session correspond à la période pendant laquelle un
utilisateur d'un périphérique client (station) doté d'une adresse MAC unique
maintient une connexion au réseau sans fil. La session commence lorsque le client
WLAN se connecte au réseau. Elle se termine lorsque le client WLAN se
déconnecte, intentionnellement ou non.
REMARQUE Une session diffère d'une association, qui décrit la connexion de clients WLAN à un
périphérique WAP spécifique. Une association de clients WLAN peut passer d'un
périphérique WAP du cluster à un autre au cours d'une même session.
Pour afficher les sessions associées au cluster, cliquez sur Single Point Setup >
Sessions.
Les informations suivantes s'affichent pour chaque session de client WLAN avec
une configuration de point unique :
•
AP Location : emplacement du périphérique WAP. L'emplacement est celui
spécifié sur la page Administration>System Settings.
•
User MAC : adresse MAC du périphérique WAP. Une adresse MAC est une
adresse matérielle unique qui identifie chaque nœud d'un réseau.
•
Idle : temps d'inactivité du client WLAN. Un client WLAN est considéré
comme inactif lorsqu'il ne reçoit et ne transmet aucune donnée.
•
Rate : débit de données négocié. Les débits réels peuvent varier en
fonction de la surcharge. La vitesse de transmission des données est
mesurée en mégabits par seconde (Mbit/s). Cette valeur doit être comprise
dans la plage de débits annoncés pour le mode utilisé sur le périphérique
WAP. Par exemple entre 6 et 54 Mbit/s pour le mode 802.11a.
•
Signal : puissance du signal de radiofréquence (RF) reçu du périphérique
WAP par le client WLAN. Cette valeur est appelée RSSI (Received Signal
Strength Indication) et se situe entre 0 et 100.
•
Receive Total : nombre total de paquets reçus par le client WLAN au cours
de la session actuelle.
•
Transmit Total : nombre total de paquets transmis au client WLAN au cours
de cette session.
•
Error Rate : pourcentage d'abandons de trames au cours de la transmission
sur le périphérique WAP.
Pour trier les informations affichées dans les tableaux selon un indicateur
spécifique, cliquez sur l'intitulé de la colonne qui déterminera le tri. Par exemple, si
vous souhaitez classer les lignes d'un tableau en fonction de la puissance du
signal, cliquez sur l'intitulé de colonne Signal.
Guide d'administration pour Cisco WAP131 et WAP351
194
Configuration de point unique
Gestion des canaux
11
Gestion des canaux
La page Channel Management permet d'afficher les attributions actuelles et
prévues des canaux aux périphériques WAP d'un cluster à configuration de point
unique.
Lorsque la gestion des canaux est activée, le périphérique WAP attribue
automatiquement les canaux radio utilisés par les périphériques WAP dans un
cluster à configuration de point unique. L'attribution automatique des canaux réduit
les interférences mutuelles dans le cluster (ou les interférences avec d'autres
périphériques WAP extérieurs au cluster) et optimise la bande passante Wi-Fi afin
d'assurer une communication efficace sur le réseau sans fil.
La fonction d'attribution automatique des canaux est désactivée par défaut. L'état
de la fonction de gestion des canaux (activé ou désactivé) est propagé aux autres
périphériques du cluster à configuration de point unique.
À un intervalle défini, le gestionnaire de canaux (c'est-à-dire le périphérique ayant
fourni la configuration au cluster) mappe tous les périphériques WAP du cluster
avec différents canaux et mesure les niveaux d'interférence des membres du
cluster. Si des interférences importantes sont détectées entre les canaux, le
gestionnaire de canaux réattribue automatiquement certains ou l'ensemble des
périphériques à de nouveaux canaux à l'aide d'un algorithme d'efficacité (ou d'une
stratégie de canaux automatique). Si le gestionnaire de canaux détermine qu'un
changement est nécessaire, les informations de réattribution sont envoyées à tous
les membres du cluster. Un message SYSLOG indiquant également le
périphérique d'émission ainsi que les nouvelles et anciennes attributions de
canaux est généré.
Configuration et affichage des attributions de canaux
Pour configurer et afficher les attributions de canaux pour les membres de la
configuration de point unique :
ÉTAPE 1 Sélectionnez Single Point Setup > Channel Management.
La page Channel Management affiche les attributions de canaux de tous les
périphériques WAP du cluster et vous permet d'interrompre ou de démarrer la
gestion automatique des canaux. Vous pouvez également utiliser les paramètres
avancés pour modifier le potentiel de réduction des interférences qui entraîne la
réattribution des canaux, pour modifier le calendrier des mises à jour
automatiques et pour reconfigurer l'ensemble de canaux utilisé pour les
attributions.
Guide d'administration pour Cisco WAP131 et WAP351
195
11
Configuration de point unique
Gestion des canaux
ÉTAPE 2 Pour lancer l'attribution automatique des canaux, cliquez sur Démarrer.
La gestion des canaux remplace le comportement par défaut du cluster qui
consiste à synchroniser les canaux radio de tous les périphériques WAP membres
du cluster. Lorsque la gestion des canaux est activée, le canal radio n'est pas
synchronisé entre le cluster et les autres périphériques.
Lorsque l'attribution automatique des canaux est activée, le gestionnaire de
canaux mappe régulièrement les canaux radio utilisés par les périphériques WAP
d'un cluster à configuration de point unique et, le cas échéant, réattribue les
canaux pour réduire les interférences entre les membres du cluster ou avec les
périphériques extérieurs au cluster. La stratégie de canaux radio est définie
automatiquement sur le mode statique et l'option Auto n'est pas disponible pour le
champ Channel de la page Wireless > Radio.
Reportez-vous à la section Affichage des attributions de canaux et
configuration des verrouillages pour de plus amples informations sur les
attributions de canaux actuelles et proposées.
ÉTAPE 3 Pour interrompre l'attribution automatique des canaux, cliquez sur Stop.
Aucun mappage de l'utilisation des canaux ni aucune réattribution de ceux-ci ne
sont effectués. Seules les mises à jour manuelles affectent l'attribution des
canaux.
Affichage des attributions de canaux et configuration des
verrouillages
Lorsque la gestion des canaux est activée, la page affiche le tableau Current
Channel Assignations et le tableau Proposed Channel Assignments.
Tableau Current Channel Assignments
Le tableau Current Channel Assignments affiche la liste de tous les périphériques
WAP du cluster à configuration de point unique par adresse IP.
Il indique les informations suivantes sur les attributions de canaux actuelles :
•
Location : emplacement physique du périphérique WAP.
•
IP Address : adresse IP du périphérique WAP.
•
Wireless Radio : adresse MAC de la radio.
•
Band : bande de diffusion du périphérique WAP.
Guide d'administration pour Cisco WAP131 et WAP351
196
11
Configuration de point unique
Gestion des canaux
•
Channel : canal radio sur lequel le périphérique WAP diffuse actuellement.
•
Locked : force le périphérique WAP à rester sur le canal actuel.
•
Status : état de la radio sans fil du périphérique WAP. Pour les
périphériques WAP disposant de plusieurs radios sans fil, chaque radio est
indiquée sur une ligne distincte du tableau. L'état de la radio est soit Up, soit
Down.
Lorsqu'elles sont sélectionnées pour un périphérique WAP, les stratégies de
gestion automatique des canaux ne réattribuent pas le périphérique WAP à un
autre canal dans le cadre de la stratégie d'optimisation. Les périphériques WAP
dont les canaux sont verrouillés sont considérés comme immuables dans la
stratégie de gestion.
Cliquez sur Save pour mettre à jour le paramètre Locked. Le canal des
périphériques verrouillés est le même dans le tableau Current Channel
Assignments et le tableau Proposed Channel Assignments. Les périphériques
verrouillés conservent leurs canaux actuels.
Tableau Proposed Channel Assignments
Le tableau Proposed Channel Assignments affiche les canaux proposés qui
seront attribués à chaque périphérique WAP lors de la prochaine mise à jour. Les
canaux verrouillés ne sont pas réattribués ; l'optimisation de la distribution des
canaux entre les périphériques tient compte du fait que les périphériques
verrouillés doivent rester sur leurs canaux actuels. Les périphériques WAP non
verrouillés peuvent être attribués à des canaux différents de ceux qu'ils utilisaient
auparavant, selon les résultats de la stratégie.
Pour chaque périphérique WAP de la configuration de point unique, le tableau
Proposed Channel Assignments indique l'emplacement, l'adresse IP et la radio
sans fil, de la même manière que le tableau Current Channel Assignations. Il
affiche également le canal proposé, c'est-à-dire le canal radio auquel ce
périphérique WAP serait réattribué si la stratégie de canaux était appliquée.
Configuration des paramètres avancés
La zone Advanced permet de personnaliser et de planifier la stratégie de canaux
de la configuration de point unique.
Par défaut, les canaux sont réattribués automatiquement toutes les heures, à
condition que les interférences puissent être réduites d'au moins 25 pour cent. Les
canaux sont réattribués même si le réseau est occupé. Les paramètres par défaut
sont conçus pour servir la plupart des scénarios qui vous obligeraient à mettre en
œuvre la gestion des canaux.
Guide d'administration pour Cisco WAP131 et WAP351
197
11
Configuration de point unique
Voisinage sans fil
Vous pouvez modifier les paramètres avancés au moyen des options suivantes :
•
Change channels if interference is reduced by at least : pourcentage
minimal de réduction des interférences qu'une stratégie proposée doit
atteindre pour être appliquée. La valeur par défaut est 75 pour cent.
Choisissez le pourcentage souhaité entre 5 et 75 pour cent. L'utilisation de
ce paramètre vous permet de définir un seuil de gain d'efficacité relatif à la
réattribution des canaux pour éviter une interruption trop fréquente du
réseau alors que le gain d'efficacité est minime.
Par exemple, si les interférences entre les canaux doivent être réduites de
75 pour cent et que les attributions de canaux proposées permettent de
réduire les interférences de seulement 30 pour cent, aucune réattribution
n'est alors effectuée. Cependant, si vous réglez le gain minimal sur 25 pour
cent et cliquez sur Save, la stratégie de canaux proposée est mise en
œuvre et les canaux sont réattribués selon les besoins.
•
Determine if there is better set of channels every : calendrier des mises à
jour automatiques. Une plage d'intervalles allant de 30 minutes à six mois
est proposée. La valeur par défaut est une heure, ce qui signifie que
l'utilisation des canaux est réévaluée et que la stratégie de canaux qui en
résulte est appliquée toutes les heures.
Si vous modifiez ces paramètres, cliquez sur Save. Les modifications sont
enregistrées dans la configuration active et la configuration initiale.
Voisinage sans fil
La page Wireless Neighborhood permet d'afficher jusqu'à 20 périphériques à la
portée de chaque radio sans fil au sein du cluster. Par exemple, si un périphérique
WAP possède deux radios sans fil, 40 périphériques s'affichent pour ce
périphérique. Cette page effectue également une distinction entre les membres et
les non-membres du cluster.
La page Wireless Neighborhood peut vous aider à effectuer les opérations
suivantes :
•
détecter et localiser les périphériques inattendus (ou non autorisés) dans un
domaine sans fil, de manière à pouvoir prendre les mesures nécessaires
pour limiter les risques associés ;
Guide d'administration pour Cisco WAP131 et WAP351
198
11
Configuration de point unique
Voisinage sans fil
•
vérifier les attentes en matière de couverture. En évaluant quels
périphériques WAP sont visibles et à quelle puissance de signal à partir des
autres périphériques, vous pouvez vérifier que le déploiement satisfait vos
objectifs de planification ;
•
détecter les défaillances. Les modifications inattendues dans le modèle de
couverture apparaissent de manière évidente grâce au système de
couleurs.
Affichage des périphériques voisins
Pour afficher les périphériques voisins, sélectionnez Single Point Setup >
Wireless Neighborhood.
Pour afficher l'ensemble des périphériques détectés sur une configuration de
point unique donnée, accédez à l'interface Web d'un membre et sélectionnez
Wireless > Rogue AP Detection.
Pour chaque point d'accès voisin, les informations suivantes sont affichées :
•
•
Display Neighboring APs : sélectionnez l'une des cases d'option suivantes
pour modifier la vue :
-
In cluster : affiche uniquement les périphériques WAP voisins qui sont
membres du cluster.
-
Not in cluster : affiche uniquement les périphériques WAP voisins qui ne
sont pas membres du cluster.
-
Both : affiche tous les périphériques WAP voisins, y compris les
membres et les non-membres du cluster.
Cluster : la liste présente en haut du tableau affiche les adresses IP de
l'ensemble des périphériques WAP qui appartiennent au même cluster.
Cette liste est identique à la liste des membres figurant sur la page Single
Point Setup > Access Points.
S'il n'y a qu'un seul périphérique WAP dans le cluster, une seule colonne
d'adresses IP s'affiche, indiquant que le périphérique WAP est groupé avec
lui-même.
Vous pouvez cliquer sur une adresse IP pour afficher plus de détails sur un
périphérique WAP particulier.
•
Neighbors : les périphériques qui sont voisins d'un ou plusieurs
périphériques en cluster sont répertoriés dans la colonne de gauche par
SSID (nom de réseau).
Guide d'administration pour Cisco WAP131 et WAP351
199
11
Configuration de point unique
Voisinage sans fil
Un périphérique détecté en tant que voisin peut également être lui-même membre
du cluster. Les voisins qui sont aussi des membres de cluster sont toujours
affichés en haut de la liste avec une barre épaisse et un indicateur d'emplacement.
Les barres de couleur situées à droite de chaque périphérique WAP dans la liste
Neighbors représentent la puissance du signal de chaque périphérique WAP
voisin, tel que détecté par le membre de cluster dont l'adresse IP est affichée en
haut de la colonne.
La couleur de la barre indique la puissance du signal :
•
Barre bleu foncé : une barre bleu foncé et un nombre élevé pour la
puissance du signal (par exemple 50) indiquent une bonne puissance de
signal détectée à partir du voisin, comme le voit le périphérique dont
l'adresse IP est affichée en haut de cette colonne.
•
Barre bleu clair : une barre bleu clair et un nombre peu élevé pour la
puissance du signal (par exemple 20 ou moins) indiquent une puissance de
signal moyenne ou faible détectée à partir du voisin, comme le voit le
périphérique dont l'adresse IP est affichée en haut de cette colonne.
•
Barre blanche : une barre blanche et le chiffre 0 indiquent qu'un
périphérique voisin détecté par l'un des membres du cluster ne peut pas
l'être par le périphérique dont l'adresse IP est affichée en haut de cette
colonne.
•
Barre gris clair : une barre gris clair et aucun nombre pour la puissance du
signal indiquent qu'aucun signal n'a été détecté à partir du voisin, mais que
celui-ci peut avoir été détecté par d'autres membres du cluster.
•
Barre gris foncé : une barre gris foncé et aucun nombre pour la puissance
du signal indiquent le périphérique WAP lui-même, correspondant à
l'adresse IP affichée au-dessus de lui. Une puissance de signal égale à zéro
est affichée, car la propre puissance de signal du périphérique n'est pas
mesurée.
Guide d'administration pour Cisco WAP131 et WAP351
200
11
Configuration de point unique
Voisinage sans fil
Affichage des détails d'un membre de la configuration de
point unique
Pour afficher les détails relatifs à un membre du cluster, cliquez sur l'adresse IP
d'un membre en haut de la page.
Les détails suivants du périphérique apparaissent au-dessous de la liste des
voisins :
•
SSID : identificateur d'ensemble de services du point d'accès voisin.
•
MAC Address : adresse MAC du point d'accès voisin.
•
Channel : canal sur lequel le point d'accès diffuse actuellement.
•
Rate : débit, en mégabits par seconde, auquel le point d'accès transmet
actuellement. Le débit actuel est toujours l'un des débits spécifiés dans
Supported Rates.
•
Signal : puissance du signal radio détecté à partir du point d'accès,
mesurée en décibels (dB).
•
Beacon Interval : intervalle de balise utilisé par le point d'accès.
•
Beacon Age : date et heure de la dernière balise reçue du point d'accès.
Guide d'administration pour Cisco WAP131 et WAP351
201
A
Pour en savoir plus
Cisco propose de nombreuses ressources pour vous aider, ainsi que votre client, à
tirer pleinement parti des points d'accès bibandes sans fil N Cisco WAP131 et
WAP351.
Communauté
d'assistance Cisco
www.cisco.com/go/smallbizsupport
Assistance et
ressources Cisco
www.cisco.com/go/smallbizhelp
Coordonnées de
l'assistance
téléphonique
www.cisco.com/en/US/support/
tsd_cisco_small_business
_support_center_contacts.html
Téléchargements de
microprogrammes
Cisco
www.cisco.com/go/smallbizfirmware
Demandes Open
Source Cisco
www.cisco.com/go/smallbiz_opensource_request
Sélectionnez un lien pour télécharger le
microprogramme d'un produit Cisco. Aucune connexion
n'est requise.
Guide d'administration www.cisco.com/go/100_wap_resources
pour Cisco WAP131 et www.cisco.com/go/300_wap_resources
WAP351
Adaptateurs secteur
Cisco
www.cisco.com/go/wap_accessories
Cisco Partner Central
(connexion partenaire
requise)
www.cisco.com/web/partners/sell/smb
Guide d'administration pour Cisco WAP131 et WAP351
202
">