Cisco Small Business 500 Series Wireless Access Points Manuel utilisateur

GUIDE
D'ADMINISTRATION
Point d'accès Cisco WAP571 bibande sans fil AC/N Premium
avec PoE
Point d'accès extérieur bibande sans fil AC/N Premium
Cisco WAP571/E
Cisco et le logo Cisco sont des marques commerciales ou des marques commerciales déposées de Cisco Systems Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays. Pour
consulter la liste des marques commerciales Cisco, accédez à l'adresse : www.cisco.com/go/trademarks. Les autres marques commerciales mentionnées sont la propriété de leurs
détenteurs respectifs. L'utilisation du terme « partenaire » n'implique pas une relation de partenariat entre Cisco et une autre entreprise. (1110R)
© 2018 Cisco Systems, Inc. Tous droits réservés.
© 2015 Cisco Systems, Inc. Tous droits réservés.
OL-31792-01
© 2015 Cisco Systems, Inc. Tous droits réservés.
OL-31792-01
Sommaire
Chapitre 1 : Prise en main
Démarrage de l'utilitaire de configuration Web
9
9
Utilisation de l'assistant d'installation de point d'accès
10
Prise en main
14
Navigation dans les fenêtres
15
Chapitre 2 : Statut et statistiques
17
Récapitulatif du système
18
Interfaces réseau
19
Statistiques sur le trafic
22
Statistiques de transfert de multidiffusion sans fil
23
Transmission/Réception de pont de groupe de travail
25
Clients associés
26
Associations de client TSPEC
28
Statut et statistiques TSPEC
30
Statistiques de point d'accès TSPEC
32
Statistiques sur la radio
32
Statut des alertes par e-mail
34
Journal
35
Chapitre 3 : Administration
37
Paramètres système
38
Comptes d'utilisateur
38
Paramètres d'heure
41
Paramètres des journaux
43
Alerte par e-mail
45
Affichage DEL
49
Service HTTP/HTTPS
50
Contrôle d'accès de gestion
52
Gestion du micrologiciel
53
Guide d'administration du Cisco WAP571/E
5
Sommaire
Télécharger/sauvegarder le fichier de configuration
55
Propriétés des fichiers de configuration
58
Copier/enregistrer la configuration
59
Redémarrer
60
Détection - Bonjour
60
Capture des paquets
61
Informations relatives au support
69
Paramètres de STP
70
Chapitre 4 : LAN
71
Paramètres des ports
71
Configuration du VLAN
73
Paramètres IPv4
74
Paramètres IPv6
76
Tunnel IPv6
78
LLDP
79
Chapitre 5 : Technologie sans fil
81
Radio
81
Détection de point d'accès non autorisé
91
Réseaux
96
Transfert de multidiffusion sans fil
110
Planificateur
111
Association au planificateur
114
Filtrage MAC
115
Pont
116
QoS
122
Chapitre 6 : Analyseur de spectre
127
Analyseur de spectre
127
Guide d'administration du Cisco WAP571/E
6
Sommaire
Configuration de l'analyseur de spectre
Chapitre 7 : Sécurité du système
127
129
Serveur RADIUS
129
Demandeur 802.1X
131
Complexité des mots de passe
133
Complexité WPA-PSK
134
Chapitre 8 : QoS des clients
137
Paramètres globaux
137
Mappage de classe
138
Mappage de stratégie
146
Association de la QoS des clients
148
Statut de la QoS des clients
149
Chapitre 9 : ACL
151
Règle ACL151
Association d'ACL
162
Statut ACL
163
Chapitre 10 : SNMP
165
Général
165
Vues
168
Groupes
169
Utilisateurs
171
Cibles
173
Chapitre 11 : Portail captif
175
Configuration globale
176
Groupes/Utilisateurs locaux
177
Configuration d'instance
180
Guide d'administration du Cisco WAP571/E
7
Sommaire
Association d'instance
184
Personnalisation du portail Web
185
Clients authentifiés
190
Chapitre 12 : Configuration par point unique
193
Présentation de la configuration de point unique
193
Points d'accès
198
Sessions
202
Gestion des canaux
203
Voisinage sans fil
207
Mise à niveau du microprogramme de la grappe
209
Chapitre 13 : Umbrella
213
Présentation de Cisco Umbrella
213
Configuration d'Umbrella
213
Annexe A : Codes des motifs des messages de désauthentification
Tableau des codes des motifs de désauthentification
Annexe B : Pour en savoir plus
Guide d'administration du Cisco WAP571/E
215
215
217
8
1
Prise en main
Cette section offre une introduction à l'utilitaire de configuration Web des
périphériques WAP (Wireless Access Point) et inclut les rubriques suivantes :
•
Démarrage de l'utilitaire de configuration Web
•
Utilisation de l'assistant d'installation de point d'accès
•
Prise en main
•
Navigation dans les fenêtres
Démarrage de l'utilitaire de configuration Web
Cette section décrit la configuration système requise ainsi que la manière de se
déplacer dans l'utilitaire de configuration Web.
Navigateurs pris en charge
•
Internet Explorer 7.0 ou version ultérieure
•
Chrome 5.0 ou version ultérieure
•
Firefox 3.0 ou version ultérieure
•
Safari 3.0 ou version ultérieure
Restrictions s'appliquant aux navigateurs
•
Si vous utilisez Internet Explorer 6, vous ne pouvez pas utiliser directement
une adresse IPv6 pour accéder au point d'accès. Vous pouvez néanmoins
utiliser le serveur DNS (Domain Name System, système de noms de
domaine) pour créer un nom de domaine contenant l'adresse IPv6, puis
utiliser ce nom de domaine dans la barre d'adresse à la place de
l'adresse IPv6.
Guide d'administration du Cisco WAP571/E
9
Prise en main
Utilisation de l'assistant d'installation de point d'accès
1
•
Si vous utilisez Internet Explorer 8, vous pouvez configurer les paramètres
de sécurité à partir d'Internet Explorer. Sélectionnez Outils > Options
Internet, puis sélectionnez l'onglet Sécurité. Sélectionnez Intranet local,
puis Sites. Sélectionnez Avancé, puis Ajouter. Ajoutez l'adresse Intranet du
point d'accès (http://<adresse-ip>) dans la zone Intranet locale.
L'adresse IP peut également être spécifiée en tant qu'adresse IP du sousréseau, afin que toutes les adresses du sous-réseau soient ajoutées à la
zone Intranet locale.
•
Si vous disposez de plusieurs interfaces IPv6 sur votre station de gestion,
utilisez l'adresse globale IPv6 au lieu de l'adresse locale IPv6 pour accéder
au point d'accès depuis votre navigateur.
Déconnexion
Par défaut, l'utilitaire de configuration Web se déconnecte au bout de 10 minutes
d'inactivité. Consultez la section Service HTTP/HTTPS pour obtenir des
instructions sur la modification du délai d'expiration par défaut.
Pour vous déconnecter, cliquez sur Déconnexion en haut à droite de l'utilitaire de
configuration Web.
Utilisation de l'assistant d'installation de point d'accès
La première fois que vous vous connectez au point d'accès (ou après avoir rétabli
les paramètres d'usine par défaut), l'assistant d'installation de point d'accès
apparaît afin de vous aider à effectuer les configurations initiales. Procédez
comme suit pour exécuter l'assistant :
Utilisation de l'assistant d'installation de point d'accès
REMARQUE Si vous cliquez sur Annuler pour ignorer l'assistant, la page Modifier le mot de
passe apparaît. Vous pouvez alors modifier le mot de passe de connexion par
défaut. Pour l'ensemble des autres paramètres, les configurations d'usine par
défaut s'appliquent.
Vous devrez vous reconnecter après avoir modifié votre mot de passe.
ÉTAPE 1 Cliquez sur Suivant dans la page d'accueil de l'assistant. La fenêtre Configurer le
périphérique – Mettre à niveau le microprogramme apparaît.
ÉTAPE 2 Cliquez sur le bouton Parcourir et recherchez le fichier image du microprogramme
sur votre réseau.
Guide d'administration du Cisco WAP571/E
10
Prise en main
Utilisation de l'assistant d'installation de point d'accès
1
REMARQUE Le fichier de mise à niveau du microprogramme fourni doit être un
fichier tar. Pour la mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des
fichiers ayant un autre format ; ces types de fichiers ne fonctionnent pas.
ÉTAPE 3 Cliquez sur Mettre à niveau pour appliquer la nouvelle image du microprogramme.
Sinon, cliquez sur Ignorer pour afficher la fenêtre Configurer le périphérique –
Restaurer la configuration.
REMARQUE Le téléchargement du nouveau microprogramme peut prendre quelques
minutes. N'actualisez pas la page et n'ouvrez pas d'autre page pendant le chargement
du nouveau micrologiciel, sous peine d'interrompre celui-ci. Une fois le processus
terminé, le point d'accès redémarre et reprend son fonctionnement normal.
ÉTAPE 4 Cliquez sur le bouton Parcourir et recherchez le fichier de configuration sur votre réseau.
REMARQUE Le fichier de configuration doit être au format XML et contenir toutes
les informations relatives aux paramètres du périphérique WAP.
ÉTAPE 5 Cliquez sur Mettre à niveau pour appliquer le fichier de configuration sélectionné.
Sinon, cliquez sur Ignorer pour afficher la fenêtre Configurer le périphérique Adresse IP.
REMARQUE : La restauration du fichier de configuration peut prendre plusieurs minutes.
N'actualisez pas la page et n'ouvrez pas d'autre page pendant la restauration du fichier de
configuration, car cela mettrait fin à l'opération de restauration. Une fois le processus
terminé, le point d'accès redémarre et reprend son fonctionnement normal.
ÉTAPE 6 Cliquez sur Adresse IP dynamique (DHCP) si vous voulez que le périphérique
WAP reçoive une adresse IP d'un serveur DHCP. Sinon, sélectionnez Adresse IP
statique pour configurer manuellement l'adresse IP. Pour obtenir une description
de ces champs, reportez-vous à Paramètres IPv4.
ÉTAPE 7 Cliquez sur Suivant. La fenêtre Configuration de point unique - Définissez une
grappe apparaît. Pour obtenir une description de la configuration de point unique,
reportez-vous à Présentation de la configuration de point unique.
ÉTAPE 8 Pour créer une nouvelle configuration de point unique de périphériques WAP,
sélectionnez Créer une grappe et spécifiez un Nom de la nouvelle grappe. Si
vous configurez vos périphériques avec le même nom de cluster et que vous
activez le mode de configuration de point unique sur d'autres périphériques WAP,
ils rejoignent automatiquement le groupe.
Guide d'administration du Cisco WAP571/E
11
Prise en main
Utilisation de l'assistant d'installation de point d'accès
1
Si votre réseau possède déjà un cluster, vous pouvez lui ajouter ce périphérique
en cliquant sur Se connecter à une grappe existante, puis en saisissant le nom du
cluster existant dans le champ Nom de la grappe existante.
Si vous ne voulez pas que ce périphérique participe à la configuration de point
unique pour le moment, cliquez sur Ne pas activer la configuration de point
unique.
(Facultatif) Vous pouvez entrer du texte dans le champ Emplacement du point
d'accès pour noter l'emplacement physique du périphérique WAP.
ÉTAPE 9 Cliquez sur Suivant. La fenêtre Configurer l'appareil - Définissez la date et l'heure
du système apparaît.
ÉTAPE 10 Sélectionnez votre fuseau horaire, puis réglez l'heure système manuellement ou
configurez le périphérique WAP de telle sorte qu'il obtienne l'heure à partir d'un
serveur NTP. Pour obtenir une description de ces options, reportez-vous à
Paramètres d'heure.
REMARQUE : La flèche à côté d'Heure système vous permet de configurer l'heure
de l'ordinateur actuel si vous voulez utiliser l'heure et la date de votre ordinateur.
ÉTAPE 11 Cliquez sur Suivant. La fenêtre Activer la sécurité – Définissez le mot de passe
apparaît.
ÉTAPE 12 Saisissez un Nouveau mot de passe et saisissez-le à nouveau dans le champ
Confirmer le mot de passe. Vous pouvez modifier le nom d'utilisateur dans le
champ Nom d'utilisateur. Pour obtenir plus d'informations sur les mots de passe,
reportez-vous à Comptes d'utilisateur.
REMARQUE : Vous pouvez décocher la case Complexité du mot de passe si vous
souhaitez désactiver les règles de sécurité de mot de passe. Nous vous recommandons
toutefois fortement de conserver les règles de sécurité de mot de passe activées.
ÉTAPE 13 Cliquez sur Suivant. La fenêtre Activer la sécurité - Attribuez un nom à votre
réseau sans fil apparaît pour l'interface Radio 1.
REMARQUE : Pour cette fenêtre et les deux fenêtres suivantes (Sécurité sans fil et
ID VLAN), vous configurez ces paramètres pour l'interface Radio 1 en premier lieu.
Puis, les fenêtres apparaissent à nouveau afin de vous permettre de configurer ces
paramètres pour l'interface Radio 2.
ÉTAPE 14 Saisissez un Nom de réseau. Ce nom fait office de SSID pour le réseau sans fil
par défaut.
ÉTAPE 15 Cliquez sur Suivant. La fenêtre Activer la sécurité - Sécurisez votre réseau sans fil
apparaît.
Guide d'administration du Cisco WAP571/E
12
Prise en main
Utilisation de l'assistant d'installation de point d'accès
1
ÉTAPE 16 Choisissez un type de cryptage de sécurité et entrez une clé de sécurité. Pour
obtenir une description de ces options, reportez-vous à Sécurité du système.
ÉTAPE 17 Cliquez sur Suivant. L'assistant affiche la fenêtre Activer la sécurité - Attribuez l'ID
de VLAN à votre réseau sans fil.
ÉTAPE 18 Entrez un ID de VLAN pour le trafic reçu sur le réseau sans fil.
Nous vous recommandons d'affecter un ID de VLAN différent de celui par défaut
(1) au trafic sans fil, afin de le séparer du trafic de gestion sur le VLAN 1.
ÉTAPE 19 Cliquez sur Suivant.
ÉTAPE 20 Dans le cas du périphérique WAP571/E, les pages Nom du réseau, Sécurité sans
fil et ID de VLAN s'affichent en vue de permettre la configuration de Radio 2. Une
fois la configuration de Radio 2 terminée, cliquez sur Suivant.
L'assistant affiche la fenêtre Activer le portail captif - Créez votre réseau invité.
ÉTAPE 21 Sélectionnez si vous voulez configurer ou non une méthode d'authentification pour
les invités sur votre réseau, puis cliquez sur Suivant.
Si vous cliquez sur Non, passez à l'ÉTAPE 29.
Si vous cliquez sur Oui, l'assistant affiche la fenêtre Activer le portail captif Attribuez au nom à votre réseau invité.
ÉTAPE 22 Spécifiez le Nom du réseau invité pour Radio 1. Dans le cas du
périphérique WAP571/E, précisez si le réseau invité utilise Radio 1 ou Radio 2.
ÉTAPE 23 Cliquez sur Suivant. L'assistant affiche la fenêtre Activer le portail captif -
Sécurisez votre réseau invité.
ÉTAPE 24 Choisissez un type de cryptage de sécurité pour le réseau invité et entrez une clé
de sécurité. Pour obtenir une description de ces options, reportez-vous à Sécurité
du système.
ÉTAPE 25 Cliquez sur Suivant. L'assistant affiche la fenêtre Activer le portail captif - Attribuez
l'ID de VLAN.
ÉTAPE 26 Spécifiez un ID de VLAN pour le réseau invité. L'ID de VLAN du réseau invité doit
être différent de l'ID de VLAN de gestion.
ÉTAPE 27 Cliquez sur Suivant. L'assistant affiche la fenêtre Activer le portail captif - Activez
l'URL de redirection.
ÉTAPE 28 Sélectionnez Activer l'URL de redirection et spécifiez un nom de domaine
complet ou une adresse IP dans le champ URL de redirection (y compris http://).
Guide d'administration du Cisco WAP571/E
13
1
Prise en main
Prise en main
S'ils sont spécifiés, les utilisateurs du réseau invité sont redirigés vers l'URL
spécifiée après leur authentification.
ÉTAPE 29 Cliquez sur Suivant. L'assistant affiche la fenêtre Récapitulatif - Confirmez vos
paramètres.
ÉTAPE 30 Vérifiez les paramètres que vous configurez. Cliquez sur Retour pour reconfigurer
un ou plusieurs paramètres. Si vous cliquez sur Annuler, tous les paramètres sont
rétablis aux valeurs précédentes ou par défaut.
ÉTAPE 31 S'ils sont corrects, cliquez sur Soumettre. Vos paramètres de configuration WAP
sont enregistrés et une fenêtre de confirmation apparaît.
ÉTAPE 32 Cliquez sur Terminer. La fenêtre de connexion au point d'accès à l'aide du mot de
passe modifié apparaît.
Prise en main
Afin de simplifier la configuration du périphérique grâce à une navigation rapide, la
page Getting Started offre des liens permettant d'effectuer des tâches courantes.
La page Prise en main est la fenêtre par défaut qui apparaît à chaque fois que vous
vous connectez à l'utilitaire de configuration Web du point d'accès.
Catégorie
Nom du lien (sur la page)
Page correspondante
Configuration
initiale
Exécuter l'assistant d'installation
Utilisation de
l'assistant
d'installation de point
d'accès
Configurer les paramètres de radio
Radio
Configurer les paramètres de réseau
sans fil
Réseaux
Configurer les paramètres LAN
LAN
Configurer un point unique
Présentation de la
configuration de point
unique
Récapitulatif du système
Récapitulatif du
système
Statut du réseau sans fil
Interfaces réseau
Statut du
périphérique
Guide d'administration du Cisco WAP571/E
14
1
Prise en main
Navigation dans les fenêtres
Catégorie
Nom du lien (sur la page)
Page correspondante
Accès rapide
Modifier le mot de passe du compte
Comptes d'utilisateur
Mettre à niveau le micrologiciel du
périphérique
Gestion du
micrologiciel
Sauvegarder/Restaurer la
configuration
Télécharger/
sauvegarder le fichier
de configuration
Navigation dans les fenêtres
Servez-vous de la navigation pour parcourir l'utilitaire Web.
En-tête de l'utilitaire de configuration
L'en-tête de l'utilitaire de configuration contient des informations standard et
apparaît en haut de chaque page. L'en-tête comporte les boutons suivants :
Volet de navigation / Menu principal
Nom du bouton
Description
(Utilisateur)
Nom du compte (Administrateur ou Invité) de l'utilisateur
connecté au point d'accès. Le nom d'utilisateur par défaut
est cisco.
Déconnexion
Sélectionnez cette option pour vous déconnecter de
l'utilitaire de configuration Web du point d'accès.
Langue
Passez le pointeur de la souris sur le bouton et
sélectionnez votre langue.
À propos de
Cliquez sur ce bouton pour afficher le type du point
d'accès ainsi que son numéro de version.
Aide
Cliquez sur ce bouton pour afficher l'aide en ligne. L'aide en
ligne est conçue pour être affichée à l'aide de navigateurs
utilisant le codage UTF-8. Si l'aide en ligne affiche des
caractères errants, vérifiez que les paramètres de codage
de votre navigateur sont définis à UTF-8.
Guide d'administration du Cisco WAP571/E
15
1
Prise en main
Navigation dans les fenêtres
Un volet de navigation, ou menu principal, est présent sur le côté gauche de
chaque page. Le volet de navigation contient la liste des fonctionnalités de niveau
supérieur des périphériques WAP. Si un élément du menu principal est précédé
d'une flèche, choisissez de développer et d'afficher le sous-menu de chaque
groupe. Vous pouvez ensuite sélectionner l'élément de sous-menu souhaité pour
ouvrir la page associée.
Boutons de gestion
Le tableau décrit les boutons couramment utilisés qui s'affichent sur différentes
pages du système.
Nom du bouton
Description
Ajouter
Ajoute une nouvelle entrée à la table ou à la base de
données.
Annuler
Annule les modifications apportées à la page.
Effacer tout
Efface toutes les entrées dans la table du journal.
À propos de
Cliquez sur ce bouton pour afficher le type du point
d'accès ainsi que son numéro de version.
Supprimer
Supprime une entrée dans une table. Sélectionnez tout
d'abord une entrée.
Modifier
Édite ou modifie une entrée existante. Sélectionnez tout
d'abord une entrée.
Actualiser
Affiche à nouveau la page en cours avec les dernières
données.
Enregistrer
Enregistre les paramètres ou la configuration.
Mettre à jour
Met à jour la configuration initiale avec les nouvelles
informations.
Guide d'administration du Cisco WAP571/E
16
2
Statut et statistiques
Cette section explique comment afficher le statut et les statistiques, et elle
contient les rubriques suivantes :
•
Récapitulatif du système
•
Interfaces réseau
•
Statistiques sur le trafic
•
Statistiques de transfert de multidiffusion sans fil
•
Transmission/Réception de pont de groupe de travail
•
Clients associés
•
Associations de client TSPEC
•
Statut et statistiques TSPEC
•
Statistiques de point d'accès TSPEC
•
Statistiques sur la radio
•
Statut des alertes par e-mail
•
Journal
Guide d'administration du Cisco WAP571/E
17
2
Statut et statistiques
Récapitulatif du système
Récapitulatif du système
La page Récapitulatif du système affiche des informations de base, telles que la
description du modèle du matériel, la version du logiciel et le temps qui s'est
écoulé depuis le dernier redémarrage.
Pour afficher les informations se rapportant au système, cliquez sur Statut et
statistiques > Récapitulatif du système. Ou bien, sélectionnez Récapitulatif du
système sous État de l'appareil à la page Mise en route.
La page Récapitulatif du système affiche les informations suivantes :
•
PID VID : modèle et version du matériel WAP.
•
Numéro de série : numéro de série du périphérique Cisco WAP.
•
Adresse MAC de base : adresse MAC WAP.
•
Version du micrologiciel (image active) : numéro de version du
microprogramme de l'image active.
•
Somme de contrôle MD5 du micrologiciel (image active) : somme de
contrôle de l'image active.
•
Version du micrologiciel (non active) : numéro de version du
microprogramme de l'image de sauvegarde.
•
Somme de contrôle MD5 du micrologiciel (non active) : somme de
contrôle de l'image de sauvegarde.
•
Nom d'hôte : nom affecté au périphérique.
•
Temps utilisation système : temps qui s'est écoulé depuis le dernier
redémarrage.
•
Heure système : heure système actuelle.
•
Source d'alimentation : le système bénéficie d'une alimentation PoE
(Power over Ethernet) via un appareil PSE (Power Source Equipment) PoE.
Le tableau des services TCP/UDP affiche des informations de base sur les
protocoles et les services fonctionnant sur le périphérique WAP.
•
Service : nom du service, si ce dernier est disponible.
•
Protocole : protocole de transport sous-jacent utilisé par le service (TCP ou
UDP).
Guide d'administration du Cisco WAP571/E
18
2
Statut et statistiques
Interfaces réseau
•
Adresse IP locale : adresse IP, le cas échéant, d'un périphérique distant
connecté à ce service sur le périphérique WAP. La valeur Tout indique que
toutes les adresses IP sur le périphérique peuvent utiliser ce service.
•
Port local : numéro de port du service.
•
Adresse IP distante : adresse IP d'un hôte distant, le cas échéant, qui
utilise ce service. La valeur Tout indique que le service est disponible pour
l'ensemble des hôtes distants qui accèdent au système.
•
Port distant : numéro de port de tout périphérique distant qui communique
avec ce service.
•
État de la connexion : état du service. Pour les services UDP, seules les
connexions dont l'état est Active ou Établie apparaissent dans la table. Les
états TCP suivants sont disponibles :
-
Écoute : le service est à l'écoute des demandes de connexion.
-
Actif : une connexion est établie et les paquets sont transmis et reçus.
-
Établie : une session de connexion est établie entre le périphérique
WAP et un serveur ou un client, selon le rôle de chaque périphérique par
rapport à ce protocole.
-
Attente : la séquence de fermeture a été initiée et le périphérique WAP
attend l'expiration d'un délai défini par le système (généralement
60 secondes) avant de fermer la connexion.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Interfaces réseau
La page Interfaces réseau affiche les informations de configuration et d'état
concernant les interfaces filaires et sans fil. Pour afficher des informations sur les
interfaces réseau, sélectionnez Statut et statistiques > Interfaces réseau.
Les informations suivantes sont indiquées :
•
Statut du réseau local : affiche des informations concernant l'interface
LAN, notamment :
-
Adresse MAC : adresse MAC du périphérique WAP.
-
Adresse IP : adresse IP du périphérique WAP.
Guide d'administration du Cisco WAP571/E
19
2
Statut et statistiques
Interfaces réseau
-
Masque de sous-réseau : masque de sous-réseau du périphérique
WAP.
-
Passerelle par défaut : passerelle par défaut du périphérique WAP.
-
Serveur de noms de domaine-1 : adresse IP du serveur de noms de
domaine1 utilisé par le périphérique WAP.
-
Serveur de noms de domaine-2 : adresse IP du serveur de noms de
domaine 2 utilisé par le périphérique WAP.
-
Adresse IPv6 : adresse IPv6 du périphérique WAP.
-
Adresse globale IPv6 configurée automatiquement : adresse IPv6
globale configurée automatiquement.
-
Adresse IPv6 de liaison locale : adresse IPv6 de liaison locale du
périphérique WAP.
-
Passerelle IPv6 par défaut : passerelle IPv6 par défaut du
périphérique WAP.
-
IPv6-DNS-1 : adresse IPv6 du serveur DNS IPv6 1 utilisé par le
périphérique WAP.
-
IPv6-DNS-2 : adresse IPv6 du serveur DNS IPv6 2 utilisé par le
périphérique WAP.
Ces paramètres s'appliquent à l'interface interne. Pour modifier l'un de ces
paramètres, cliquez sur le lien Modifier. Vous êtes redirigé sur la page Paramètres
IPv4.
•
Statut des ports : affiche le statut des interfaces LAN.
•
Interfaces : numéro de l'interface Ethernet.
-
Statut de la liaison : état de l'interface Ethernet.
-
Débit du port : débit de l'interface Ethernet.
-
Mode duplex : mode duplex de l'interface Ethernet.
-
Statut Green Ethernet : l'état de l'interface Ethernet.
Guide d'administration du Cisco WAP571/E
20
2
Statut et statistiques
Interfaces réseau
Pour modifier l'un de ces paramètres, cliquez sur le lien Modifier. Vous êtes
redirigé sur la page Paramètres des ports.
•
État de VLAN : affiche des informations concernant les VLAN existants,
notamment :
-
ID de VLAN : identifiant du VLAN.
-
Description : description du VLAN.
-
Eth : l'interface est un membre balisé ou non balisé du VLAN.
Pour modifier l'un de ces paramètres, cliquez sur le lien Modifier. Vous êtes
redirigé sur la page Configuration du VLAN.
•
Statut de la radio : affiche des informations concernant les interfaces radio
sans fil, notamment :
-
Radio sans fil : le mode radio sans fil est activé ou désactivé pour
l'interface radio.
-
Adresse MAC : adresse MAC associée à l'interface radio.
-
Mode : le mode 802.11 (a/b/g/n/ac) utilisé par l'interface radio.
-
Canal : canal utilisé par l'interface radio.
-
Bande passante opérationnelle : bande passante opérationnelle
utilisée par l'interface radio.
Pour modifier l'un de ces paramètres, cliquez sur le lien Modifier. Vous êtes
redirigé sur la page Radio.
•
Statut de l'interface : affiche les informations d'état de chaque point
d'accès virtuel (VAP, Virtual Access Point) et de chaque interface de
système de distribution sans fil (WDS, Wireless Distribution System),
notamment :
•
Interface : interface sans fil du périphérique WAP.
•
Nom (SSID) : nom de l'interface sans fil.
•
Statut : état administratif (opérationnel ou non opérationnel) du point
d'accès virtuel.
•
Adresse MAC : adresse MAC de l'interface radio.
•
ID de VLAN : ID de VLAN de l'interface radio.
Guide d'administration du Cisco WAP571/E
21
2
Statut et statistiques
Statistiques sur le trafic
•
Profil : nom de tout profil de planificateur associé.
•
État : état actuel (actif ou inactif). L'état indique si le point d'accès virtuel
échange des données avec un client.
Cliquez sur Actualiser pour actualiser l'écran et afficher les informations les plus
récentes.
Statistiques sur le trafic
La page Statistiques sur le trafic permet d'afficher des informations de base sur le
périphérique WAP. Elle offre également un affichage en temps réel des
statistiques de transmission et de réception de l'interface Ethernet, des points
d'accès virtuels et de toute interface WDS. Toutes les statistiques de transmission
et de réception reflètent les totaux obtenus depuis le dernier démarrage du
périphérique WAP. Si vous avez redémarré le périphérique WAP, ces données
chiffrées indiquent les totaux de transmission et de réception depuis le
redémarrage.
Pour afficher la page Statistiques sur le trafic, sélectionnez Statut et
statistiques > Statistiques sur le trafic.
La page Statistiques sur le trafic affiche des données récapitulatives et des
statistiques sur le trafic dans chaque direction.
•
Interface réseau : nom de l'interface Ethernet et de chaque interface de
point d'accès virtuel et WDS.
WLAN0 et WLAN1 précèdent le nom de l'interface de point d'accès virtuel
afin d'indiquer l'interface radio (WLAN0 représente la radio 1 et WLAN1
représente la radio 2).
•
Nombre total de paquets : nombre total de paquets envoyés (dans la table
Transmis) ou reçus (dans la table Reçus) par ce périphérique WAP.
•
Nombre total d'octets : nombre total d'octets envoyés (dans la table
Transmis) ou reçus (dans la table Reçus) par ce périphérique WAP.
•
Nombre total de paquets abandonnés : nombre total de paquets
abandonnés envoyés (dans la table Transmis) ou reçus (dans la table Reçus)
par ce périphérique WAP.
Guide d'administration du Cisco WAP571/E
22
Statut et statistiques
Statistiques de transfert de multidiffusion sans fil
2
•
Nombre total d'octets abandonnés : nombre total d'octets abandonnés
envoyés (dans la table Transmis) ou reçus (dans la table Reçus) par ce
périphérique WAP.
•
Erreurs : nombre total d'erreurs relatives à l'envoi et à la réception de
données sur ce périphérique WAP.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Statistiques de transfert de multidiffusion sans fil
La page Statistiques de transfert de multidiffusion sans fil fournit des
informations basiques sur le point d'accès actuel et affiche des statistiques en
temps réel de transmission et de réception concernant l'interface Trafic
multidestination sans fil du point d'accès et concernant les points d'accès virtuels
sur les deux interfaces radio. Toutes les statistiques de transmission et de
réception affichées reflètent les totaux obtenus depuis le dernier démarrage du
point d'accès. Si vous avez redémarré le point d'accès, ces données chiffrées
indiquent les totaux de transmission et de réception depuis le redémarrage.
Pour afficher la page Statistiques de transfert de multidiffusion sans fil,
sélectionnez Statut et statistiques > Statistiques de transfert de multidiffusion
sans fil dans le volet de navigation.
Statistiques de transmission et de réception
•
Interface réseau : nom de l'interface Ethernet et de chaque interface de
point d'accès virtuel et WDS.
WLAN0 et WLAN1 précèdent le nom de l'interface de point d'accès virtuel
afin d'indiquer l'interface radio (WLAN0 représente la radio 1 et WLAN1
représente la radio 2).
•
Données de multidiffusion-Trames : affiche les trames de données
multidestination reçues.
•
Données de multidiffusion-Transférées : affiche les trames de données
multidestination réacheminées.
•
Données de multidiffusion-Inondées : affiche les trames de données
multidestination inondées.
•
Données de multidiffusion-Envoyées : affiche les trames de données
multidestination envoyées.
Guide d'administration du Cisco WAP571/E
23
Statut et statistiques
Statistiques de transfert de multidiffusion sans fil
2
•
Données de multidiffusion-Abandonnées : affiche les trames de données
multidestination abandonnées.
•
Cache MFDB-Correspondances : affiche les correspondances du
cache MFDB.
•
Cache MFDB-Échecs : affiche les échecs du cache MFDB.
Statistiques IGMP
•
Interface réseau : nom de l'interface Ethernet et de chaque interface de
point d'accès virtuel et WDS.
WLAN0 et WLAN1 précèdent le nom de l'interface de point d'accès virtuel
afin d'indiquer l'interface radio (WLAN0 représente la radio 1 et WLAN1
représente la radio 2).
•
Trames IGMP : affiche les trames IGMP reçues.
•
Trames IGMP-Transférées : affiche les requêtes d'appartenance IGMP
reçues.
•
Trames IGMP-Envoyées : affiche les rapports d'appartenance IGMP
consultés.
•
Cache MFDB-Correspondances : affiche les correspondances du
cache MFDB.
•
Cache MFDB-Échecs : affiche les échecs du cache MFDB.
Groupe de multidiffusion
•
Interface réseau : nom de l'interface Ethernet et de chaque interface de
point d'accès virtuel et WDS.
WLAN0 et WLAN1 précèdent le nom de l'interface de point d'accès virtuel
afin d'indiquer l'interface radio (WLAN0 représente la radio 1 et WLAN1
représente la radio 2).
•
Groupe de multidiffusion : affiche l'adresse IP du groupe de
multidestination.
•
Stations : affiche l'adresse MAC de la station du groupe de multidestination.
•
Paquets : affiche les paquets reçus des stations du groupe de
multidestination.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration du Cisco WAP571/E
24
Statut et statistiques
Transmission/Réception de pont de groupe de travail
2
Transmission/Réception de pont de groupe de travail
La page Transmission/Réception de pont de groupe de travail affiche le nombre
de paquets et d'octets du trafic entre postes sur un pont de groupe de travail. Pour
obtenir des informations sur la configuration des ponts de groupe de travail,
reportez-vous à la section Pont de groupe de travail.
Pour afficher la page Transmission/Réception de pont de groupe de travail,
sélectionnez Statut et statistiques > Pont de groupe de travail dans le volet de
navigation.
Chaque interface réseau configurée en tant qu'interface de pont de groupe de
travail affiche les champs suivants :
•
Interface réseau : nom de l'interface Ethernet ou de point d'accès virtuel.
WLAN0 représente la radio 1 et WLAN1 représente la radio 2.
•
Statut et statistiques : indique si l'interface est déconnectée ou si son état
administratif est démarré ou arrêté.
•
ID de VLAN : ID de réseau local virtuel (VLAN). Vous pouvez utiliser des
VLAN pour créer plusieurs réseaux internes et invités sur le même
périphérique WAP. L'ID de VLAN est défini dans l'onglet VAP.
•
Nom (SSID) : nom du réseau sans fil. Également appelée SSID, cette clé
alphanumérique identifie de manière unique un réseau local sans fil. Le
SSID est défini dans l'onglet VAP.
Des informations supplémentaires s'affichent pour les directions de transmission
et de réception pour chaque interface de pont de groupe de travail :
•
Nombre total de paquets : nombre total de paquets pontés entre les
clients filaires dans le pont de groupe de travail et le réseau sans fil.
•
Nombre total d'octets : nombre total d'octets pontés entre les clients
filaires dans le pont de groupe de travail et le réseau sans fil.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration du Cisco WAP571/E
25
2
Statut et statistiques
Clients associés
Clients associés
Vous pouvez utiliser la page Clients associés pour afficher les postes client
associés à un point d'accès particulier.
Pour afficher la page Clients associés, sélectionnez Statut et statistiques >
Clients associés.
Les postes associés sont affichés avec des informations relatives au trafic des
paquets transmis et reçus pour chaque poste.
•
Nombre total de clients associés : le nombre total de clients actuellement
associés au point d'accès.
•
Interface réseau : point d'accès virtuel auquel le client est associé. WLAN0
et WLAN1 précèdent le nom de l'interface de point d'accès virtuel afin
d'indiquer l'interface radio (WLAN0 représente la radio 1 et WLAN1
représente la radio 2).
•
Station : adresse MAC du client sans fil associé.
•
Statut : l'état authentifié et associé affiche l'état d'authentification et
d'association IEEE 802.11 sous-jacent, qui est présent quel que soit le type
de sécurité utilisé par le client pour se connecter au périphérique WAP. Cet
état n'affiche pas l'état d'authentification ou d'association IEEE 802.1X.
Quelques points importants sont à garder à l'esprit en ce qui concerne ce
champ :
-
Si le mode de sécurité du périphérique WAP est Aucun ou WEP statique,
l'état d'authentification et d'association des clients apparaît comme
prévu, ce qui signifie que si un client s'affiche comme étant authentifié
sur le périphérique WAP, il est capable de transmettre et de recevoir des
données. (C'est la raison pour laquelle le mode WEP statique utilise
uniquement l'authentification IEEE 802.11.)
-
Si le périphérique WAP utilise la sécurité IEEE 802.1X ou WPA, il se peut
qu'une association de client apparaisse comme étant authentifiée (par le
biais de la sécurité IEEE 802.11), bien qu'elle ne soit pas réellement
authentifiée par la deuxième couche de sécurité.
Guide d'administration du Cisco WAP571/E
26
2
Statut et statistiques
Clients associés
•
•
De la station/À la station : dans le cas de l'option De la station, les
compteurs indiquent les paquets ou octets transmis par le client sans fil.
Dans le cas de l'option À la station, les compteurs indiquent le nombre de
paquets et d'octets transmis à partir du périphérique WAP vers le client
sans fil.
-
Paquets : nombre de paquets reçus (transmis) à partir du client sans fil.
-
Octets : nombre d'octets reçus (transmis) à partir du client sans fil.
-
Paquets abandonnés : nombre de paquets abandonnés après leur
réception (transmission).
-
Octets abandonnés : nombre d'octets abandonnés après leur réception
(transmission).
-
Paquets excédant le flux de trafic (De la station) : nombre de paquets
envoyés à partir d'un poste client vers le périphérique WAP au-delà de
sa bande passante de liaison montante active de flux de trafic (TS,
Traffic Stream) ou pour une catégorie d'accès nécessitant un contrôle
d'admission auquel le poste client n'a pas été admis.
-
Paquets excédant le flux de trafic (À la station) : nombre de paquets
envoyés à partir du périphérique WAP vers un poste client au-delà de sa
bande passante de liaison descendante active de flux de trafic ou pour
une catégorie d'accès nécessitant un contrôle d'admission auquel le
poste client n'a pas été admis.
Temps de disponibilité : temps pendant lequel le client a été associé au
périphérique WAP.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration du Cisco WAP571/E
27
2
Statut et statistiques
Associations de client TSPEC
Associations de client TSPEC
La page Associations de client TSPEC fournit des informations en temps réel sur
les données de client TSPEC transmises et reçues par ce point d'accès. Les
tableaux de la page Associations de client TSPEC affichent les paquets voix et
vidéo transmis et reçus depuis le démarrage de l'association, ainsi que des
informations d'état.
Un TSPEC est une spécification de trafic envoyée à partir d'un client sans fil
compatible QoS vers un périphérique WAP et nécessitant un certain niveau
d'accès réseau pour le flux de trafic qu'il représente. Un flux de trafic est un
ensemble de paquets de données identifiés par le client sans fil comme
appartenant à une priorité d'utilisateur spécifique. Exemple de flux de trafic voix :
combiné téléphonique CERTIFIÉ Wi-Fi marquant ses paquets de données générés
par codec en tant que trafic de priorité voix. Exemple de flux de trafic vidéo :
application de lecteur vidéo sur un ordinateur portable sans fil donnant la priorité à
un flux de vidéoconférence à partir d'un serveur d'entreprise.
Pour afficher les statistiques des associations de client TSPEC, sélectionnez
Statut et statistiques > Associations de client TSPEC dans le volet de
navigation.
La page Associations de client TSPEC affiche les informations suivantes :
État et statistiques :
•
Interface réseau : interface radio utilisée par le client. WLAN0 représente
la radio 1 et WLAN1 représente la radio 2.
•
SSID : identificateur d'ensemble de services associé à ce client de flux de
trafic.
•
Station : adresse MAC du poste client.
•
Identificateur de session de trafic : identificateur de session de trafic
TSPEC (plage de valeurs de 0 à 7).
•
Catégorie d'accès : catégorie d'accès au flux de trafic (voix ou vidéo).
•
Direction : direction du trafic pour ce flux de trafic. Les options possibles
pour la direction sont les suivantes :
-
liaison ascendante : du client vers le périphérique (liaison montante).
-
liaison descendante : du périphérique vers le client (liaison descendante).
-
bidirectionnel : dans les deux sens.
Guide d'administration du Cisco WAP571/E
28
2
Statut et statistiques
Associations de client TSPEC
•
Priorité d'utilisateur : priorité d'utilisateur (UP, User Priority) de ce flux de
trafic. La priorité d'utilisateur est envoyée avec chaque paquet dans la
partie correspondante de l'en-tête IP. Les valeurs typiques sont les
suivantes :
-
6 ou 7 pour la voix
-
4 ou 5 pour la vidéo
La valeur peut varier en fonction des autres sessions de trafic de priorité.
•
Temps support : temps pendant lequel le flux de trafic occupe le support
de transmission.
•
Événements d'utilisation excédentaire : nombre de fois que le client a
dépassé le temps moyen établi pour son TSPEC. Les violations mineures et
peu fréquentes sont ignorées.
•
Adresse MAC VAP : adresse MAC de point d'accès virtuel.
Statistiques :
•
Interface réseau : interface radio utilisée par le client.
•
Station : adresse MAC du poste client.
•
Identificateur de session de trafic : identificateur de session de trafic
TSPEC (plage de valeurs de 0 à 7).
•
Catégorie d'accès : catégorie d'accès au flux de trafic (voix ou vidéo).
•
Direction : direction du trafic pour ce flux de trafic. Les options possibles
pour la direction sont les suivantes :
•
-
liaison ascendante : du client vers le périphérique (liaison montante).
-
liaison descendante : du périphérique vers le client (liaison
descendante).
-
bidirectionnel : dans les deux sens.
De la station : affiche le nombre de paquets et d'octets reçus à partir du
client sans fil.
-
Paquets : nombre de paquets excédentaires par rapport à un TSPEC
admis.
-
Octets : nombre d'octets pour lesquels aucun TSPEC n'a été établi et
avec une admission requise par le périphérique WAP.
Guide d'administration du Cisco WAP571/E
29
2
Statut et statistiques
Statut et statistiques TSPEC
•
À la station : nombre de paquets et d'octets transmis à partir du
périphérique WAP vers le client sans fil.
-
Paquets : nombre de paquets excédentaires par rapport à un TSPEC
admis.
-
Octets : nombre d'octets pour lesquels aucun TSPEC n'a été établi et
avec une admission requise par le périphérique WAP.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Statut et statistiques TSPEC
La page Statut et statistiques TSPEC fournit les informations suivantes :
•
Informations récapitulatives à propos des sessions TSPEC par radio
•
Informations récapitulatives à propos des sessions TSPEC par point
d'accès virtuel
•
Statistiques en temps réel de transmission et de réception pour l'interface
radio et la ou les interfaces réseau
Toutes les statistiques de transmission et de réception reflètent les totaux obtenus
depuis le dernier démarrage du périphérique WAP. Si vous avez redémarré le
périphérique WAP, ces données chiffrées indiquent les totaux de transmission et
de réception depuis le redémarrage.
Pour afficher l'état et les statistiques TSPEC, sélectionnez Statut et statistiques >
Statut et statistiques TSPEC dans le volet de navigation.
La page Statut et statistiques TSPEC fournit les informations d'état suivantes
relatives aux interfaces WLAN (Radio) et de point d'accès virtuel :
•
Interface réseau : nom de l'interface radio ou de point d'accès virtuel.
WLAN0 représente la radio 1 et WLAN1 représente la radio 2.
•
Catégorie d'accès : catégorie d'accès actuelle associée à ce flux de trafic
(voix ou vidéo).
•
Statut : indique si la session TSPEC est activée (démarrée) ou désactivée
(arrêtée) pour la catégorie d'accès correspondante.
REMARQUE : L'état est un état de configuration, qui ne représente pas
nécessairement l'activité de la session en cours.
Guide d'administration du Cisco WAP571/E
30
2
Statut et statistiques
Statut et statistiques TSPEC
•
Flux de trafic actif : nombre de flux de trafic TSPEC actuellement actifs
pour cette radio et cette catégorie d'accès.
•
Clients du flux de trafic : nombre de clients de flux de trafic associés à
cette radio et à cette catégorie d'accès.
•
Temps support alloué : temps alloué à cette catégorie d'accès pour
transporter des données sur le support de transmission. Cette valeur doit
être inférieure ou égale à celle de la bande passante maximale autorisée
sur le support pour ce flux de trafic.
•
Temps support non alloué : temps de bande passante non utilisée pour
cette catégorie d'accès.
Ces statistiques apparaissent séparément pour les chemins de transmission et de
réception sur l'interface radio sans fil :
•
Catégorie d'accès : catégorie d'accès associée à ce flux de trafic (voix ou
vidéo).
•
Nombre total de paquets : nombre total de paquets de flux de trafic
envoyés (dans la table Transmis) ou reçus (dans la table Reçus) par cette
radio pour la catégorie d'accès spécifiée.
•
Nombre total d'octets : nombre total d'octets reçus dans la catégorie
d'accès spécifiée.
Ces statistiques apparaissent séparément pour les chemins de transmission et de
réception sur les interfaces réseau (points d'accès virtuels) :
•
Nombre total de paquets voix : nombre total de paquets voix de flux de
trafic envoyés (dans la table Transmis) ou reçus (dans la table Reçus) par ce
périphérique WAP pour ce point d'accès virtuel.
•
Nombre total d'octets voix : nombre total d'octets voix de flux de trafic
envoyés (dans la table Transmis) ou reçus (dans la table Reçus) par ce
périphérique WAP pour ce point d'accès virtuel.
•
Nombre total de paquets vidéo : nombre total de paquets vidéo de flux de
trafic envoyés (dans la table Transmis) ou reçus (dans la table Reçus) par ce
périphérique WAP pour ce point d'accès virtuel.
•
Nombre total d'octets vidéo : nombre total d'octets vidéo de flux de trafic
envoyés (dans la table Transmis) ou reçus (dans la table Reçus) par ce
périphérique WAP pour ce point d'accès virtuel.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration du Cisco WAP571/E
31
Statut et statistiques
Statistiques de point d'accès TSPEC
2
Statistiques de point d'accès TSPEC
La page Statistiques de point d'accès TSPEC fournit des informations sur les flux
de trafic voix et vidéo acceptés et rejetés par le périphérique WAP. Pour afficher la
page Statistiques de point d'accès TSPEC, sélectionnez Statut et statistiques >
Statistiques de point d'accès TSPEC dans le volet de navigation.
•
Statistiques TSPEC pour ACM voix : nombre total de flux de trafic voix
acceptés et nombre total de flux de trafic voix rejetés.
•
Statistiques TSPEC pour ACM vidéo : nombre total de flux de trafic vidéo
acceptés et nombre total de flux de trafic vidéo rejetés.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Statistiques sur la radio
Utilisez la page Statistiques sur la radio pour afficher des statistiques au niveau
des paquets et des octets pour chaque interface radio sans fil. Pour afficher la
page Statistiques sur la radio, sélectionnez Statut et statistiques > Statistiques
sur la radio dans le volet de navigation.
Dans le cas du périphérique WAP571/E, sélectionnez la radio dont vous souhaitez
afficher les statistiques.
•
Paquets reçus : nombre total de paquets reçus par le périphérique WAP.
•
Paquets transmis : nombre total de paquets transmis par le périphérique
WAP.
•
Octets reçus : nombre total d'octets reçus par le périphérique WAP.
•
Octest transmis : nombre total d'octets transmis par le périphérique WAP.
•
Paquets reçus abandonnés : nombre de paquets reçus par le périphérique
WAP et abandonnés.
•
Paquets transmis abandonnés : nombre de paquets transmis par le
périphérique WAP et abandonnés.
•
Octets reçus abandonnés : nombre d'octets reçus par le périphérique
WAP et abandonnés.
Guide d'administration du Cisco WAP571/E
32
2
Statut et statistiques
Statistiques sur la radio
•
Octets transmis abandonnés : nombre d'octets transmis par le
périphérique WAP et abandonnés.
•
Fragments reçus : nombre de trames fragmentées reçues par le
périphérique WAP.
•
Fragments transmis : nombre de trames fragmentées envoyées par le
périphérique WAP.
•
Trames de multidiffusion reçues : nombre de trames MSDU reçues avec
le bit de multidiffusion défini dans l'adresse MAC de destination.
•
Trames de multidiffusion transmises : nombre de trames MSDU
transmises avec succès et pour lesquelles le bit de multidiffusion était
défini dans l'adresse MAC de destination.
•
Nombre de trames dupliquées : nombre de fois qu'une trame a été reçue
et que le champ Sequence Control indique qu'il s'agit d'un doublon.
•
Nombre de transmissions ayant échoué : nombre de fois qu'une trame
MSDU n'a pas été transmise avec succès, car le nombre de tentatives de
transmission dépassait la limite de tentatives trames courtes ou la limite de
tentatives trames longues.
•
Nombre d'erreurs FCS : nombre d'erreurs FCS détectées dans une trame
MPDU reçue.
•
Nombre de nouvelles tentatives de transmission : nombre de fois qu'une
trame MSDU a été transmise avec succès après une ou plusieurs tentatives.
•
Nombre d'échecs ACK : nombre de trames ACK non reçues au moment où
elles étaient attendues.
•
Nombre de trames RTS non reçues : nombre de trames CTS non reçues
en réponse à une trame RTS.
•
Trames indéchiffrables via WEP : nombre de trames abandonnées, car ne
pouvant pas être décryptées par la radio. Les trames peuvent être
abandonnées parce qu'elles n'ont pas été décryptées ou parce qu'elles ont
été décryptées avec une option de confidentialité non prise en charge par
le périphérique WAP.
•
Nombre de trames RTS reçues : nombre de trames CTS reçues en
réponse à une trame RTS.
Guide d'administration du Cisco WAP571/E
33
2
Statut et statistiques
Statut des alertes par e-mail
•
Nombre de nouvelles tentatives multiples : nombre de fois qu'une trame
MSDU a été transmise avec succès après plus d'une tentative.
•
Nombre de trames transmises : nombre de trames MSDU transmises avec
succès.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Statut des alertes par e-mail
La page Statut des alertes par e-mail fournit des informations sur les alertes par email envoyées sur la base des messages syslog générés par le périphérique WAP.
Pour afficher la page Statut des alertes par e-mail, sélectionnez Statut et
statistiques > Statut des alertes par e-mail dans le volet de navigation.
•
Statut des alertes par e-mail : état configuré des alertes par e-mail. L'état
est soit Activée soit Désactivée. La valeur par défaut est Désactivée.
•
Nombre d'e-mails envoyés : nombre total de messages électroniques
envoyés. La valeur est un entier de 32 bits, non affecté d'un signe. La valeur
par défaut est 0.
•
Nombre d'e-mails non envoyés : nombre total de messages électroniques
ayant échoué. La valeur est un entier de 32 bits, non affecté d'un signe. La
valeur par défaut est 0.
•
Heure d'envoi du dernier e-mail : jour, date et heure d'envoi du dernier
message électronique.
Vous pouvez cliquer sur Actualiser pour afficher les informations les plus
récentes.
Guide d'administration du Cisco WAP571/E
34
2
Statut et statistiques
Journal
Journal
La page Journal répertorie les événements système qui ont généré une entrée de
journal, comme les tentatives de connexion et les modifications de configuration.
Le contenu du journal est effacé lors d'un redémarrage et il peut également l'être
par un administrateur. Le journal peut afficher un maximum de 512 événements.
Lorsque cela s'avère nécessaire, les entrées les plus anciennes sont supprimées
de la liste, afin de créer de la place pour les nouveaux événements.
Pour afficher la page Journal, sélectionnez Statut et statistiques > Journal dans
le volet de navigation.
•
Horodatage : heure système de l'occurrence de l'événement.
•
Gravité : indique si l'événement est dû à une erreur (err) ou est fourni à titre
indicatif (info).
•
Service : composant logiciel associé à l'événement.
•
Description : description de l'événement.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Cliquez sur Effacer tout pour effacer toutes les entrées du journal.
Guide d'administration du Cisco WAP571/E
35
Statut et statistiques
Journal
Guide d'administration du Cisco WAP571/E
2
36
3
Administration
Cette section explique comment configurer les paramètres système globaux et
effectuer des diagnostics.
Elle contient les sections suivantes :
•
Paramètres système
•
Comptes d'utilisateur
•
Paramètres d'heure
•
Paramètres des journaux
•
Alerte par e-mail
•
Affichage DEL
•
Service HTTP/HTTPS
•
Contrôle d'accès de gestion
•
Gestion du micrologiciel
•
Télécharger/sauvegarder le fichier de configuration
•
Propriétés des fichiers de configuration
•
Copier/enregistrer la configuration
•
Redémarrer
•
Détection - Bonjour
•
Capture des paquets
•
Informations relatives au support
•
Paramètres de STP
Guide d'administration du Cisco WAP571/E
37
3
Administration
Paramètres système
Paramètres système
La page Paramètres système vous permet de configurer les informations qui
identifient le périphérique WAP sur le réseau.
Configuration des paramètres système
Pour définir les paramètres système :
ÉTAPE 1 Cliquez sur Administration > Paramètres système.
ÉTAPE 2 Configurez les paramètres suivants :
•
Nom d'hôte : nom attribué de façon administrative au périphérique WAP. Par
convention, il s'agit du nom de domaine complet du nœud. Le nom d'hôte par
défaut est wap concaténé avec les 6 derniers chiffres hexadécimaux de
l'adresse MAC du périphérique WAP. Les noms d'hôte ne peuvent comporter
que des lettres, des chiffres et des tirets. Les noms d'hôte ne peuvent pas
être précédés ni suivis d'un tiret. Les autres symboles, les signes de
ponctuation et les espaces ne sont pas autorisés. Le nom d'hôte peut
comporter de 1 à 63 caractères.
•
Contact système : personne à contacter pour le périphérique WAP. Le
contact système peut comporter de 0 à 255 caractères et peut inclure des
espaces et des caractères spéciaux.
•
Emplacement du système : description de l'emplacement physique du
périphérique WAP. L'emplacement système peut comporter de 0 à
255 caractères et peut inclure des espaces et des caractères spéciaux.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Comptes d'utilisateur
Par défaut, un utilisateur de gestion est configuré sur le périphérique WAP :
•
Nom d'utilisateur : cisco
•
Mot de passe : cisco
Guide d'administration du Cisco WAP571/E
38
3
Administration
Comptes d'utilisateur
Vous pouvez utiliser la page Comptes d'utilisateur pour configurer un maximum de
quatre utilisateurs supplémentaires et modifier le mot de passe d'un utilisateur.
Ajout d'un utilisateur
Pour ajouter un nouvel utilisateur :
ÉTAPE 1 Sélectionnez Administration > Comptes d'utilisateur dans le volet de navigation.
La table des comptes d'utilisateur affiche les utilisateurs actuellement configurés.
L'utilisateur cisco est préconfiguré dans le système pour avoir les privilèges de
lecture/écriture.
Tous les autres utilisateurs peuvent disposer de l'accès en lecture seule, mais pas
de l'accès en lecture/écriture.
ÉTAPE 2 Cliquez sur Ajouter. Une nouvelle ligne de zones de texte s'affiche.
ÉTAPE 3 Cochez la case correspondant au nouvel utilisateur, puis sélectionnez Modifier.
ÉTAPE 4 Dans Nom d'utilisateur, saisissez un nom d'utilisateur constitué de 1 à
32 caractères alphanumériques. Les noms d'utilisateur ne peuvent comporter que
les chiffres 0 à 9 et les lettres a à z (en majuscules ou minuscules).
ÉTAPE 5 Saisissez un nouveau mot de passe constitué de 1 à 64 caractères, puis saisissez
le même mot de passe dans la zone de texte Confirmer le nouveau mot de
passe.
Une fois que vous avez saisi un mot de passe, le nombre et la couleur des barres
verticales changent pour indiquer la sécurité du mot de passe, comme suit :
•
Rouge : le mot de passe ne répond pas aux exigences minimales en termes
de complexité.
•
Orange : le mot de passe répond aux exigences minimales en termes de
complexité, mais offre une faible sécurité.
•
Vert : le mot de passe offre une sécurité élevée.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer un utilisateur, cochez la case en regard de son nom, puis
sélectionnez Supprimer. Pour enregistrer définitivement votre suppression,
sélectionnez Enregistrer lorsque vous avez terminé.
Guide d'administration du Cisco WAP571/E
39
3
Administration
Comptes d'utilisateur
Modification d'un mot de passe utilisateur
Pour modifier un mot de passe utilisateur :
ÉTAPE 1 Sélectionnez Administration > Comptes d'utilisateur dans le volet de navigation.
La table des comptes d'utilisateur affiche les utilisateurs actuellement configurés.
L'utilisateur cisco est préconfiguré dans le système pour avoir les privilèges de
lecture/écriture. Le mot de passe de l'utilisateur cisco peut être modifié.
ÉTAPE 2 Sélectionnez l'utilisateur à configurer et cliquez sur Modifier.
ÉTAPE 3 Saisissez un nouveau mot de passe constitué de 1 à 64 caractères, puis saisissez
le même mot de passe dans la zone de texte Confirmer le nouveau mot de
passe.
Une fois que vous avez saisi un mot de passe, le nombre et la couleur des barres
verticales changent pour indiquer la sécurité du mot de passe, comme suit :
•
Rouge : le mot de passe ne répond pas aux exigences minimales en termes
de complexité.
•
Orange : le mot de passe répond aux exigences minimales en termes de
complexité, mais offre une faible sécurité.
•
Vert : le mot de passe offre une sécurité élevée.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Si vous modifiez votre mot de passe, vous devez vous reconnecter au système.
Guide d'administration du Cisco WAP571/E
40
3
Administration
Paramètres d'heure
Paramètres d'heure
Une horloge système fournit un service d'horodatage synchronisé sur le réseau
pour les événements logiciels, tels que les journaux de messages. Vous pouvez
configurer l'horloge système manuellement ou configurer le périphérique WAP en
tant que client NTP (Network Time Protocol) qui obtient les données d'horloge d'un
serveur.
Utilisez la page Paramètres d'heure pour définir l'heure système manuellement ou
pour configurer le système afin qu'il récupère ses paramètres d'heure d'un
serveur NTP préconfiguré. Par défaut, le point d'accès est configuré de manière à
obtenir l'heure depuis une liste prédéfinie de serveurs NTP.
L'heure système actuelle apparaît en haut de la page avec l'option Source
d'horloge système.
Pour utiliser NTP afin que le périphérique WAP acquière automatiquement ses
paramètres d'heure :
Acquisition automatique des paramètres d'heure via NTP
Acquisition automatique des paramètres d'heure via NTP :
ÉTAPE 1 Pour le champ Source d'horloge système, sélectionnez NTP (Network Time
Protocol).
ÉTAPE 2 Définissez les paramètres suivants :
•
Nom/Adresse IPv4/IPv6 du serveur NTP : spécifiez l'adresse IPv4,
l'adresse IPv6 ou le nom d'hôte d'un serveur NTP. Un serveur NTP par défaut
est répertorié.
Un nom d'hôte peut se composer d'une ou plusieurs étiquettes, elles-mêmes
constituées d'un maximum de 63 caractères alphanumériques. Si un nom
d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série
entière d'étiquettes et de points peut comporter jusqu'à 253 caractères.
•
Fuseau horaire : sélectionnez le fuseau horaire où vous vous trouvez.
ÉTAPE 3 Sélectionnez Prendre en compte l'heure d'été si l'heure d'été s'applique à votre
fuseau horaire. Si vous sélectionnez cette option, configurez les champs suivants :
•
Début de l'heure d'été : sélectionnez l'heure, le jour, la semaine et le mois du
passage à l'heure d'été.
•
Fin de l'heure d'été : sélectionnez l'heure, le jour, la semaine et le mois du
passage à l'heure d'hiver.
Guide d'administration du Cisco WAP571/E
41
3
Administration
Paramètres d'heure
•
Décalage dû à l'heure d'été : indiquez de combien de minutes vous devez
avancer l'horloge lors du passage à l'heure d'été et de combien vous devez
la reculer lors du passage à l'heure d'hiver.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Configuration manuelle des paramètres d'heure
Pour configurer manuellement les paramètres d'heure, procédez comme suit :
ÉTAPE 1 Pour le champ Source d'horloge système, sélectionnez Manuellement.
ÉTAPE 2 Définissez les paramètres suivants :
•
Date du système : sélectionnez le jour, le mois et l'année actuels dans les
listes déroulantes.
•
Heure système : sélectionnez l'heure et les minutes actuelles au format
24 heures, tel que 22:00:00.
REMARQUE : La flèche à côté d'Heure système vous permet de configurer l'heure
de l'ordinateur actuel si vous voulez utiliser l'heure et la date de votre ordinateur.
•
Fuseau horaire : sélectionnez le fuseau horaire où vous vous trouvez.
ÉTAPE 3 Sélectionnez Prendre en compte l'heure d'été si l'heure d'été s'applique à votre
fuseau horaire. Si vous sélectionnez cette option, configurez les champs suivants :
•
Début de l'heure d'été : sélectionnez l'heure, le jour, la semaine et le mois du
passage à l'heure d'été.
•
Fin de l'heure d'été : sélectionnez l'heure, le jour, la semaine et le mois du
passage à l'heure d'hiver.
•
Décalage dû à l'heure d'été : indiquez de combien de minutes vous devez
avancer l'horloge lors du passage à l'heure d'été et de combien vous devez
la reculer lors du passage à l'heure d'hiver.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
42
3
Administration
Paramètres des journaux
Paramètres des journaux
Vous pouvez utiliser la page Paramètres des journaux pour permettre
l'enregistrement des messages de journal dans la mémoire permanente. Vous
pouvez également envoyer des journaux à un hôte distant.
Configuration du journal persistant
Si le système redémarre de manière inattendue, les messages de journal peuvent
être utiles pour diagnostiquer la cause. Toutefois, les messages de journal sont
effacés au redémarrage du système sauf si vous activez la journalisation
persistante.
!
AVERTISSEMENT L'activation de la journalisation persistante peut épuiser la mémoire flash (non
volatile) et dégrader les performances réseau. Activez uniquement la journalisation
persistante pour déboguer un problème. Veillez à désactiver la journalisation
persistante une fois que vous avez débogué le problème.
Configuration de la journalisation persistante
Pour configurer la journalisation persistante :
ÉTAPE 1 Sélectionnez Administration > Paramètres des journaux dans le volet de
navigation.
ÉTAPE 2 Configurez les paramètres suivants :
•
Persistance : cliquez sur Activer pour enregistrer les journaux système
dans la mémoire non volatile, afin de permettre la conservation des journaux
au redémarrage du périphérique WAP. Vous pouvez enregistrer jusqu'à
128 messages de journal dans la mémoire non volatile. Lorsque la limite de
128 est atteinte, le message le plus ancien du journal est remplacé par le
nouveau message. Effacez le contenu de ce champ si vous souhaitez
enregistrer les journaux système dans la mémoire volatile. Les journaux
présents dans la mémoire volatile sont supprimés au redémarrage du
système.
•
Gravité : gravité minimale qu'un événement doit avoir pour être écrit dans le
journal de la mémoire non volatile. Par exemple, si vous spécifiez 2 (critique),
alors les événements de niveau critique, alerte et urgence sont journalisés
dans la mémoire non volatile. Les messages d'erreur ayant un niveau de
gravité 3 à 7 sont écrits dans la mémoire volatile.
Guide d'administration du Cisco WAP571/E
43
3
Administration
Paramètres des journaux
•
Profondeur : nombre maximal de messages (jusqu'à 512) pouvant être
stockés dans la mémoire volatile. Lorsque le nombre défini dans ce champ
est atteint, l'événement le plus ancien du journal est remplacé par le nouvel
événement. Veuillez noter que le nombre maximal de messages de journal
pouvant être stockés dans la mémoire non volatile (le journal persistant)
est 128, celui-ci n'étant pas configurable.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Serveur de journalisation distant
Le journal du noyau est une liste complète d'événements système (présentée dans
le Journal système) et de messages du noyau, tels que des conditions d'erreur.
Vous pouvez ensuite configurer l'appareil WAP pour vous connecter au serveur de
journalisation distant. L'appareil WAP prend en charge jusqu'à deux serveurs de
journalisation distants.
La collecte du serveur de journalisation distant pour les messages syslog du
périphérique WAP offre les fonctions suivantes :
•
Permet l'agrégation des messages syslog depuis plusieurs points d'accès
•
Stocke un historique des messages plus long que celui conservé sur un
seul périphérique WAP
•
Déclenche des opérations de gestion scriptées et des alertes
Spécification d'un hôte en tant que serveur de journalisation distant
Pour spécifier un hôte de votre réseau en tant que serveur de journalisation
distant :
ÉTAPE 1 Sélectionnez Administration > Paramètres des journaux dans le volet de
navigation.
ÉTAPE
2 Dans la Table de serveurs de journalisation distants, configurez les paramètres
suivants:
•
Serveur de journalisation distant: saisissez l'adresse IPv4 ou IPv6, ou le
nom d'hôte du serveur de journalisation distant.
Guide d'administration du Cisco WAP571/E
44
3
Administration
Alerte par e-mail
Un nom d'hôte peut être constitué d'un ou de plusieurs libellés, qui sont des
ensembles pouvant contenir jusqu'à 63 caractères alphanumériques. Si un
nom d'hôte inclut plusieurs libellés, ceux-ci sont séparés par un point (.). La
série complète de libellés et de points peut contenir jusqu'à 253 caractères.
•
Activer: cochez cette case pour activer ce serveur de journalisation distant,
puis définissez le niveau de gravité des journaux et le port UDP.
•
Gravité des journaux: définissez le niveau de gravité d'un événement pour
que celui-ci soit envoyé au serveur de journalisation distant.
•
Port UDP : numéro de port logique pour le processus syslog sur l'hôte
distant. La plage est comprise entre 1 et 65 535. Le port par défaut est 514.
Il est recommandé d'utiliser le port par défaut. Si vous choisissez de
reconfigurer le port du journal, vérifiez que le numéro de port que vous
attribuez à syslog est disponible.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Si vous avez activé un hôte Journal distant et que vous cliquez sur Enregistrer, vous
activez alors la journalisation distante. Le périphérique WAP envoie ses messages
du noyau en temps réel afin qu'ils soient affichés sur le moniteur du serveur de
journalisation distant, un fichier journal du noyau spécifié ou un autre système de
stockage, selon vos configurations.
Si vous avez désactivé un hôte Journal distant et que vous cliquez sur Enregistrer,
vous désactivez alors la journalisation distante.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Alerte par e-mail
Utilisez la fonction d'alerte par e-mail pour envoyer des messages aux adresses
e-mail configurées lorsque des événements système spécifiques se produisent.
Guide d'administration du Cisco WAP571/E
45
3
Administration
Alerte par e-mail
Cette fonction prend en charge la configuration du serveur de messagerie, la
configuration de la gravité des messages et la configuration de trois adresses
e-mail maximum pour l'envoi par e-mail des alertes urgentes et non urgentes.
CONSEIL N'utilisez pas votre adresse e-mail personnelle, car les identifiants de connexion à
votre messagerie personnelle seraient dévoilés inutilement. Utilisez plutôt un
compte de messagerie distinct. Notez également que de nombreux comptes de
messagerie conservent par défaut une copie de tous les messages envoyés.
Toutes les personnes ayant accès à ce compte de messagerie ont accès aux
messages envoyés. Vérifiez les paramètres de votre messagerie afin de vous
assurer qu'ils sont conformes à la politique de confidentialité de votre entreprise.
Configuration du point d'accès pour l'envoi d'alertes par e-mail
Pour configurer le point d'accès afin qu'il envoie des alertes par e-mail :
ÉTAPE 1 Sélectionnez Administration > Alerte par e-mail dans le volet de navigation.
ÉTAPE 2 Dans la zone Global Configuration, définissez les paramètres suivants :
•
Mode d'administration : choisissez d'activer la fonction d'alerte par e-mail
globalement.
•
Adresse e-mail de l'expéditeur : entrez l'adresse à afficher en tant
qu'expéditeur de l'e-mail. L'adresse est une chaîne de 255 caractères
uniquement imprimables. Aucune adresse n'est configurée par défaut.
•
Durée du journal : choisissez la fréquence à laquelle les messages planifiés
sont envoyés. La plage valide va de 30 à 1440 minutes. La valeur par défaut
est 30 minutes.
•
Gravité des messages planifiés : les messages de journal de ce niveau de
gravité ou d'un niveau plus élevé sont regroupés et envoyés à l'adresse email de configuration, à la fréquence définie dans Durée du journal.
Sélectionnez l'une des valeurs suivantes : Aucun, Urgence, Alerte, Critique,
Erreur, Avertissement, Notification, Info et Débogage. Si vous sélectionnez
Aucun, aucun message de gravité planifié n'est envoyé. La gravité par défaut
est Avertissement.
•
Urgent Message Severity : les messages de journal de ce niveau de gravité
ou d'un niveau plus élevé sont immédiatement envoyés à l'adresse e-mail
configurée. Sélectionnez l'une des valeurs suivantes : Aucun, Urgence,
Alerte, Critique, Erreur, Avertissement, Notification, Info et Débogage. Si vous
sélectionnez Aucun, aucun message de gravité urgente n'est envoyé. La
valeur par défaut est Alerte.
Guide d'administration du Cisco WAP571/E
46
3
Administration
Alerte par e-mail
ÉTAPE 3 Dans la zone Configuration du serveur de messagerie, définissez les paramètres
suivants :
•
Nom/adresse IPv4/IPv6 du serveur : saisissez l'adresse IP ou le nom
d'hôte du serveur SMTP sortant. (Vous pouvez demander à votre fournisseur
de messagerie de vous indiquer le nom d'hôte.) L'adresse du serveur doit
être une adresse IPv4 ou un nom d'hôte valide. La forme de l'adresse IPv4
doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10).
Un nom d'hôte peut se composer d'une ou plusieurs étiquettes, elles-mêmes
constituées d'un maximum de 63 caractères alphanumériques. Si un nom
d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.). La série
entière d'étiquettes et de points peut comporter jusqu'à 253 caractères.
•
Chiffrement de données : saisissez le mode de sécurité de l'alerte par email sortante. L'alerte peut être envoyée via le protocole TLS sécurisé ou le
protocole Open par défaut. L'utilisation du protocole TLSv1 sécurisé
empêche l'espionnage électronique et la falsification lors des
communications via le réseau public.
•
Port : saisissez le numéro de port SMTP à utiliser pour les e-mails sortants.
Le numéro de port doit être compris entre 0 et 65535. Le port par défaut est
465. Le port dépend généralement du mode utilisé par le fournisseur de
messagerie.
•
Nom d'utilisateur : saisissez le nom d'utilisateur du compte de messagerie
qui sera utilisé pour envoyer ces e-mails. Généralement (pas
systématiquement), le nom d'utilisateur correspond à l'adresse e-mail
complète incluant le domaine (par exemple, Nom@exemple.com). Le compte
spécifié sera utilisé en tant qu'adresse e-mail de l'expéditeur. Le nom
d'utilisateur peut être constitué de 1 à 64 caractères alphanumériques.
•
Mot de passe : saisissez le mot de passe du compte de messagerie qui sera
utilisé pour l'envoi de ces e-mails. Le mot de passe peut être constitué de 1
à 64 caractères.
ÉTAPE 4 Configurez les adresses e-mail et la ligne d'objet.
•
Adresse e-mail du destinataire 1/2/3 : saisissez au maximum trois
adresses de réception des alertes par e-mail. Chaque adresse e-mail doit
être valide.
•
Objet du courrier électronique : saisissez le texte qui s'affichera dans la
ligne d'objet de l'e-mail. Il peut s'agir d'une chaîne alphanumérique de
255 caractères maximum.
Guide d'administration du Cisco WAP571/E
47
3
Administration
Alerte par e-mail
ÉTAPE 5 Cliquez sur Message de test pour envoyer un e-mail de test afin de valider le
compte de messagerie configuré.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Exemples d'alertes par e-mail
L'exemple suivant indique comment renseigner les paramètres de la zone
Configuration du serveur de messagerie :
Gmail
Nom/adresse IPv4/IPv6 du serveur = smtp.gmail.com
Chiffrement de données = TLSv1
Port = 465
Nom d'utilisateur = votre adresse e-mail complète qui vous permet de vous
connecter à votre compte de messagerie associé au serveur ci-dessus
Mot de passe = xxxxxxxx est un mot de passe valide de votre compte de
messagerie valide.
Adresse e-mail du destinataire 1 = mon_email@gmail.com
Windows Live Hotmail
Windows Live Hotmail recommande les paramètres suivants :
Chiffrement de données = TLSv1
Serveur SMTP = smtp.live.com
Port SMTP = 587
Nom d'utilisateur : votre adresse e-mail complète, telle que
monNom@hotmail.com ou monNom@monDomaine.com
Mot de passe : votre mot de passe de compte Windows Live
Yahoo! Mail
Pour pouvoir profiter de ce type de service, Yahoo impose l'utilisation d'un
compte payant. Yahoo recommande les paramètres suivants :
Chiffrement de données = TLSv1
Serveur SMTP = plus.smtp.mail.yahoo.com
Port SMTP = 465 ou 587
Nom d'utilisateur : votre adresse e-mail sans le nom du domaine, telle que
monNom (sans @yahoo.com)
Mot de passe : votre mot de passe de compte Yahoo
L'exemple suivant présente la mise en forme d'un e-mail de journal général :
De : AP-192.168.2.10@mailserver.com
Envoyé Wednesday, September 09, 2009 11:16 AM
À : administrator@mailserver.com
Objet : log message from AP
TIME
PriorityProcess Id
Message
Sep 8 03:48:25 info
login[1457]
root login on ttyp0
Sep 8 03:48:26 info
mini_http-ssl[1175] Max concurrent connections of 20
reached
Guide d'administration du Cisco WAP571/E
48
3
Administration
Affichage DEL
Affichage DEL
Le périphérique WAP possède 1 voyant. La page Affichage des voyants vous
permet d'activer ou de désactiver le voyant et de l'associer avec un profil de
planificateur configuré.
L'affichage des voyants est activé par défaut. Lorsque l'affichage des voyants est
désactivé, le voyant est éteint. Lorsque la valeur de l'affichage des voyants est
définie sur Associer un planificateur, une liste déroulante s'affiche pour vous
permettre de sélectionner un profil de planificateur. Lorsqu'il est activé, il indique
l'état et l'activité correspondants du périphérique WAP.
Modification de l'affichage des voyants
Pour modifier l'affichage LED :
ÉTAPE 1 Sélectionnez Administration > Affichage DEL dans le volet de navigation.
ÉTAPE 2 Sélectionnez Activer/Désactiver/Associer un planificateur dans la liste
déroulante.
ÉTAPE 3 Sélectionnez le nom du profil dans la liste déroulante pour associer un
planificateur. Par défaut, aucun profil n'est associé aux voyants. La sélection
indiquera les noms des profils de planificateurs comme sur la page Technologie
sans fil > Planificateur.
Lorsque le voyant est associé à un profil de planificateur, cette colonne affiche
l'état selon la présence ou l'absence d'une règle de profil active à cet instant de la
journée.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
49
3
Administration
Service HTTP/HTTPS
Service HTTP/HTTPS
Utilisez la page Service HTTP/HTTPS pour activer et configurer des connexions
de gestion Web. Si HTTPS est utilisé pour sécuriser les sessions de gestion, vous
pouvez aussi utiliser la page Service HTTP/HTTPS pour gérer les certificats SSL
requis.
Configuration des services HTTP et HTTPS
Pour configurer les services HTTP et HTTPS :
ÉTAPE 1 Sélectionnez Administration > Service HTTP/HTTPS dans le volet de navigation.
ÉTAPE 2 Configurez les paramètres globaux suivants :
•
Nombre maximal de sessions : nombre de sessions web, y compris HTTP
et HTTPS, pouvant être utilisées simultanément.
Lorsqu'un utilisateur se connecte à l'utilitaire de configuration de
périphérique WAP, une session est créée. Cette session reste active jusqu'à
ce que l'utilisateur se déconnecte ou jusqu'à la fin du délai d'expiration de la
session. La plage est comprise entre 1 et 10 sessions. La valeur par défaut
est 5. Si le nombre maximal de sessions est atteint, le prochain utilisateur qui
tente de se connecter à l'utilitaire de configuration reçoit un message
d'erreur relatif à la limite de session.
•
Délai d'expiration de la session : durée maximale en minutes pendant
laquelle un utilisateur inactif peut rester connecté à l'utilitaire de
configuration de périphérique WAP. Lorsque le délai d'expiration est atteint,
l'utilisateur est automatiquement déconnecté. La plage valide va de 1 à
60 minutes. La valeur par défaut est 10 minutes.
ÉTAPE 3 Configurez les services HTTP et HTTPS :
•
Serveur HTTP : active l'accès par HTTP. L'accès HTTP est activé par défaut.
Si vous le désactivez, toutes les connexions actives qui utilisent ce protocole
sont déconnectées.
•
Port HTTP : numéro de port logique à utiliser pour les connexions HTTP, de
1 025 à 65 535. Le numéro de port par défaut pour les connexions HTTP est
le numéro de port bien connu IANA 80.
•
Serveur HTTPS : active l'accès par HTTP sécurisé. L'accès HTTPS est
activé par défaut. Si vous le désactivez, toutes les connexions actives qui
utilisent ce protocole sont déconnectées.
Guide d'administration du Cisco WAP571/E
50
3
Administration
Service HTTP/HTTPS
•
Port HTTPS : numéro de port logique à utiliser pour les connexions HTTP,
de 1 025 à 65 535. Le numéro de port par défaut pour les connexions HTTP
est le numéro de port bien connu IANA 443.
•
Rediriger HTTP vers HTTPS : redirige les tentatives d'accès HTTP de
gestion sur le port HTTP vers le port HTTPS. Ce champ est uniquement
disponible lorsque l'accès HTTP est désactivé.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Gestion des certificats SSL
Pour utiliser les services HTTPS, le périphérique WAP doit avoir un certificat SSL
valide. Le périphérique WAP peut générer un certificat ou vous pouvez le
télécharger depuis votre réseau ou un serveur TFTP.
Pour générer le certificat avec le périphérique WAP, cliquez sur Générer le
certificat SSL. L'opération est effectuée une fois que le point d'accès a obtenu
une adresse IP, afin de garantir que le nom commun du certificat correspond à
l'adresse IP du point d'accès. La génération d'un nouveau certificat SSL entraîne le
redémarrage du serveur Web sécurisé. La connexion sécurisée ne fonctionne pas
tant que le nouveau certificat n'est pas accepté par le navigateur.
Dans la zone Statut du fichier de certificats, vous pouvez voir s'il existe déjà un
certificat sur le périphérique WAP et obtenir les informations suivantes sur celui-ci :
•
Fichier de certificat présent
•
Date d'expiration du certificat
•
Nom de l'émetteur du certificat
S'il existe un certificat SSL (avec une extension .pem) sur le périphérique WAP,
vous pouvez le télécharger vers votre ordinateur en tant que sauvegarde. Dans la
zone Télécharger le certificat SSL (sur l'ordinateur à partir de l'appareil),
sélectionnez la méthode de téléchargement HTTP ou TFTP dans Méthode de
téléchargement, puis cliquez sur Télécharger.
•
Si vous sélectionnez HTTP, vous devez confirmer le téléchargement, puis
accéder à l'emplacement d'enregistrement du fichier sur votre réseau.
•
Si vous sélectionnez TFTP, d'autres champs apparaissent pour vous
permettre de saisir le nom de fichier à attribuer au fichier téléchargé. Vous
devez ensuite saisir l'adresse du serveur TFTP où le fichier sera téléchargé.
Guide d'administration du Cisco WAP571/E
51
3
Administration
Contrôle d'accès de gestion
Vous pouvez également télécharger un fichier de certificat (portant une
extension .pem) depuis votre ordinateur vers le périphérique WAP. Dans la zone
Télécharger le certificat SSL (sur l'appareil à partir de l'ordinateur), sélectionnez la
méthode de téléchargement HTTP ou TFTP dans Méthode de chargement.
•
Pour HTTP, accédez à l'emplacement réseau, sélectionnez le fichier, puis
cliquez sur Charger.
•
Pour TFTP, renseignez Nom de fichier puisqu'il existe sur le serveur TFTP
et Adresse IPv4 du serveur TFTP, puis cliquez sur Charger. Le nom de
fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : , (, ),
&, ; , #, ? , *, ainsi que deux points successifs ou plus.
Un message de confirmation s'affiche lorsque le téléchargement a été
correctement effectué.
Contrôle d'accès de gestion
Vous pouvez créer une liste de contrôle d'accès (ACL) contenant jusqu'à cinq
hôtes IPv4 et cinq hôtes IPv6 autorisés à accéder à l'utilitaire de configuration de
périphérique WAP. Si cette fonction est désactivée, tout le monde peut accéder à
l'utilitaire de configuration depuis n'importe quel client réseau en fournissant le
nom d'utilisateur et le mot de passe corrects du périphérique WAP.
Si la liste de contrôle d'accès de gestion est activée, l'accès via le Web et SNMP
est limité aux hôtes IP spécifiés.
!
AVERTISSEMENT Vérifiez chaque adresse IP que vous saisissez. Si vous saisissez une adresse IP qui
ne correspond pas à votre ordinateur d'administration, vous n'aurez plus accès à
l'interface de configuration. Il est fortement recommandé d'attribuer une adresse IP
statique à l'ordinateur d'administration, afin que cette adresse reste toujours la
même.
Création d'une liste d'accès
Pour créer une liste d'accès :
ÉTAPE 1 Sélectionnez Administration > Contrôle d'accès de gestion dans le volet de
navigation.
ÉTAPE 2 Sélectionnez Activer pour Mode de l'ACL de gestion.
Guide d'administration du Cisco WAP571/E
52
3
Administration
Gestion du micrologiciel
ÉTAPE 3 Saisissez un maximum de cinq adresses IPv4 et cinq adresses IPv6 auxquelles
vous donnez accès.
ÉTAPE 4 Vérifiez que les adresses IP sont correctes.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Gestion du micrologiciel
Le périphérique WAP gère deux images de micrologiciel. Une image est active et
l'autre est inactive. Si l'image active ne parvient pas à se charger au démarrage,
l'image inactive est chargée et devient l'image active. Vous pouvez également
permuter l'image active et l'image inactive.
Lorsque de nouvelles versions du microprogramme du point d'accès sont
disponibles, vous pouvez le mettre à niveau sur vos périphériques afin de
bénéficier des nouvelles fonctionnalités et améliorations. Le point d'accès utilise
un client TFTP ou HTTP pour les mises à niveau du microprogramme.
Une fois que vous avez chargé le nouveau micrologiciel et que le système
redémarre, le micrologiciel nouvellement ajouté devient l'image principale. Si la
mise à niveau échoue, le micrologiciel d'origine reste l'image principale.
REMARQUE : Lorsque vous mettez à niveau le microprogramme, le point d'accès conserve les
informations de configuration existantes.
Pour permuter l'image du microprogramme exécuté sur le point d'accès :
ÉTAPE 1 Sélectionnez Administration > Gestion du micrologiciel dans le volet de
navigation.
ÉTAPE 2 Cliquez sur Permuter l'image active.
La boîte de dialogue qui s'affiche confirme la permutation de l'image du
micrologiciel et le redémarrage qui suit.
Guide d'administration du Cisco WAP571/E
53
3
Administration
Gestion du micrologiciel
ÉTAPE 3 Cliquez sur OK pour effectuer l'opération.
Le processus peut prendre plusieurs minutes pendant lesquelles le point d'accès
est indisponible. Ne mettez pas le point d'accès hors tension pendant le
basculement de l'image. Une fois le basculement de l'image terminé, le point
d'accès redémarre. Le point d'accès reprend son fonctionnement normal avec les
paramètres de configuration qu'il utilisait avant la mise à niveau.
Mise à niveau TFTP
Pour mettre à niveau le microprogramme sur un point d'accès via TFTP :
ÉTAPE 1 Sélectionnez Administration > Gestion du micrologiciel dans le volet de
navigation.
L'ID de produit (PID VID) ainsi que les versions du microprogramme active et
inactive apparaissent.
ÉTAPE 2 Sélectionnez Méthode de transfert TFTP.
ÉTAPE 3 Saisissez un nom (de 1 à 128 caractères) pour le fichier image dans le champ
Nom du fichier source, en incluant le chemin d'accès au répertoire qui contient
l'image à télécharger.
Par exemple, pour télécharger l'image ap_upgrade.tar située dans le répertoire
/share/builds/ap, saisissez : /share/builds/ap/ap_upgrade.tar
Le fichier de mise à niveau du micrologiciel fourni doit être un fichier tar. Pour la
mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un
autre format ; ces types de fichiers ne fonctionnent pas.
Le nom de fichier ne peut pas contenir les éléments suivants : espaces, <, >, |, \, :
, (, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 4 Renseignez Adresse IPv4 du serveur TFTP, puis cliquez sur Mettre à niveau.
Le téléchargement du nouveau logiciel peut prendre quelques minutes.
N'actualisez pas la page et n'ouvrez pas d'autre page pendant le téléchargement
du nouveau logiciel, sous peine d'interrompre celui-ci. Une fois le processus
terminé, le point d'accès redémarre et reprend son fonctionnement normal.
ÉTAPE 5 Pour vous assurer que la mise à niveau du microprogramme s'est correctement
effectuée, connectez-vous à l'interface utilisateur, affichez la page Mise à niveau
du micrologiciel, puis vérifiez la version active du microprogramme.
Guide d'administration du Cisco WAP571/E
54
Administration
Télécharger/sauvegarder le fichier de configuration
3
Mise à niveau HTTP
Pour effectuer une mise à niveau via HTTP :
ÉTAPE 1 Sélectionnez Méthode de transfert HTTP.
ÉTAPE 2 Si vous connaissez le nom du nouveau fichier et le chemin d'accès à celui-ci,
saisissez-les dans le champ Nom du fichier source. Sinon, cliquez sur le bouton
Parcourir et recherchez le fichier image du microprogramme sur votre réseau.
Le fichier de mise à niveau du micrologiciel fourni doit être un fichier tar. Pour la
mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un
autre format ; ces types de fichiers ne fonctionnent pas.
ÉTAPE 3 Cliquez sur Mettre à niveau pour appliquer la nouvelle image du micrologiciel.
Le téléchargement du nouveau logiciel peut prendre quelques minutes.
N'actualisez pas la page et n'ouvrez pas d'autre page pendant le téléchargement
du nouveau logiciel, sous peine d'interrompre celui-ci. Une fois le processus
terminé, le point d'accès redémarre et reprend son fonctionnement normal.
ÉTAPE 4 Pour vous assurer que la mise à niveau du microprogramme s'est correctement
effectuée, connectez-vous à l'interface utilisateur, affichez la page Mise à niveau
du micrologiciel, puis vérifiez la version active du microprogramme.
Télécharger/sauvegarder le fichier de configuration
Les fichiers de configuration du point d'accès sont au format XML et contiennent
toutes les informations relatives aux paramètres du périphérique WAP. Vous
pouvez sauvegarder (télécharger) les fichiers de configuration sur un hôte réseau
ou un serveur TFTP, afin de modifier manuellement le contenu ou de créer des
sauvegardes. Une fois que vous avez modifié un fichier de configuration
sauvegardé, vous pouvez le télécharger vers le point d'accès afin de modifier la
configuration.
Le point d'accès prend en charge les fichiers de configuration suivants :
•
Configuration de démarrage : fichier de configuration enregistré dans la
mémoire flash.
•
Configuration de sauvegarde : fichier de configuration supplémentaire
enregistré sur le périphérique WAP à des fins de sauvegarde.
•
Configuration miroir : si la configuration de démarrage n'est pas modifiée
pendant au moins 24 heures, elle est automatiquement enregistrée dans un
Guide d'administration du Cisco WAP571/E
55
Administration
Télécharger/sauvegarder le fichier de configuration
3
fichier de configuration miroir. Le fichier de configuration miroir est un
instantané d'une configuration de démarrage antérieure. La configuration
miroir est conservée malgré les restaurations des paramètres d'usine. Elle
peut donc être utilisée pour récupérer une configuration système après une
restauration des paramètres d'usine en copiant la configuration miroir vers
la configuration de démarrage.
REMARQUE : En plus du téléchargement et du transfert de ces fichiers vers un autre système,
vous pouvez les copier vers différents types de fichier sur le périphérique WAP.
Reportez-vous à la section Copier/enregistrer la configuration.
Sauvegarde d'un fichier de configuration
Pour sauvegarder (télécharger) le fichier de configuration vers un hôte réseau ou
le serveur TFTP :
ÉTAPE 1 Sélectionnez Administration > Télécharger/sauvegarder le fichier de
configuration dans le volet de navigation.
ÉTAPE 2 Sélectionnez la méthode de transfert Via TFTP ou Via HTTP/HTTPS dans
Méthode de transfert.
ÉTAPE 3 Sélectionnez l'action d'enregistrement Sauvegarder (Point d'accès vers
ordinateur) dans Mode d'enregistrement.
ÉTAPE 4 Pour une sauvegarde TFTP uniquement, renseignez Nom du fichier de
destination avec une extension .xml. Incluez également le chemin d'accès à
l'emplacement de stockage du fichier sur le serveur, puis renseignez
Adresse IPv4 du serveur TFTP.
Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : ,
(, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 5 Pour une sauvegarde TFTP uniquement, renseignez Adresse IPv4 du
serveur TFTP.
ÉTAPE 6 Sélectionnez le fichier de configuration que vous souhaitez sauvegarder :
•
Configuration de démarrage : type de fichier de configuration utilisé lors du
dernier démarrage du périphérique WAP. Ce fichier n'inclut pas les
modifications de configuration appliquées mais non encore enregistrées sur
le périphérique WAP.
•
Configuration de sauvegarde : type de fichier de configuration de
sauvegarde enregistré sur le périphérique WAP.
Guide d'administration du Cisco WAP571/E
56
Administration
Télécharger/sauvegarder le fichier de configuration
•
3
Configuration miroir : si la configuration de démarrage n'est pas modifiée
pendant au moins 24 heures, elle est automatiquement enregistrée dans un
fichier de configuration miroir. Le fichier de configuration miroir est un
instantané d'une configuration de démarrage antérieure. La configuration
miroir est conservée malgré les restaurations des paramètres d'usine. Elle
peut donc être utilisée pour récupérer une configuration système après une
restauration des paramètres d'usine en copiant la configuration miroir vers la
configuration de démarrage.
ÉTAPE 7 Cliquez sur Enregistrer pour commencer la sauvegarde. Pour les
sauvegardes HTTP, une fenêtre s'affiche afin de vous permettre d'accéder à
l'emplacement souhaité pour l'enregistrement du fichier.
Vous pouvez télécharger un fichier vers le point d'accès pour mettre à jour la
configuration ou restaurer le point d'accès à une configuration précédemment
sauvegardée.
Téléchargement d'un fichier de configuration
Pour télécharger un fichier de configuration vers le périphérique WAP :
ÉTAPE 1 Sélectionnez Administration > Télécharger/sauvegarder le fichier de
configuration dans le volet de navigation.
ÉTAPE 2 Sélectionnez la méthode de transfert Via TFTP ou Via HTTP/HTTPS dans
Méthode de transfert.
ÉTAPE 3 Sélectionnez l'action d'enregistrement Télécharger Ordinateur vers point
d'accès dans Mode d'enregistrement.
ÉTAPE 4 Pour un téléchargement TFTP uniquement, renseignez Nom du fichier source
avec une extension .xml. Incluez le chemin d'accès à l'emplacement du fichier sur
le serveur, puis renseignez Adresse IPv4 du serveur TFTP.
Le nom de fichier ne peut pas contenir les caractères suivants : espaces, <, >, |, \, : ,
(, ), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 5 Sélectionnez le fichier de configuration sur le point d'accès que vous souhaitez
remplacer par le fichier téléchargé : la configuration de démarrage ou la
configuration de sauvegarde.
Guide d'administration du Cisco WAP571/E
57
Administration
Propriétés des fichiers de configuration
3
Si le fichier téléchargé écrase le fichier de configuration de démarrage et que le
fichier réussit un contrôle de validité, la configuration téléchargée prendra effet au
prochain redémarrage du point d'accès.
ÉTAPE 6 Cliquez sur Enregistrer pour commencer la mise à niveau ou la sauvegarde. Pour
les téléchargements HTTP, une fenêtre s'affiche afin de vous permettre de
sélectionner le fichier à télécharger. Une fois le téléchargement terminé, une
fenêtre vous confirme le succès de l'opération.
!
AVERTISSEMENT Veillez à ce que le point d'accès soit en permanence alimenté lors du
téléchargement du fichier de configuration. En cas de panne de courant lors du
téléchargement du fichier de configuration, ce dernier est perdu et le processus
doit être redémarré.
Propriétés des fichiers de configuration
La page Propriétés des fichiers de configuration vous permet d'effacer le fichier
de configuration de démarrage ou de sauvegarde. Si vous effacez le fichier de
configuration de démarrage, le fichier de configuration de sauvegarde s'activera
lors du prochain redémarrage du point d'accès.
Lorsque le point d'accès est activé, il tente d'appliquer la configuration de
démarrage. En cas de problème quelconque lié à la configuration de démarrage,
le point d'accès tente d'appliquer la configuration miroir. Si la configuration miroir
ne peut pas être appliquée, pour une raison quelconque, le point d'accès tente
alors d'appliquer la configuration de sauvegarde.
Suppression du fichier de configuration de démarrage ou de configuration de
sauvegarde
Pour supprimer le fichier de configuration de démarrage ou de configuration de
sauvegarde :
ÉTAPE 1 Sélectionnez Administration > Propriétés des fichiers de configuration dans le
volet de navigation.
ÉTAPE 2 Sélectionnez le type de fichier Configuration de démarrage ou Configuration de
sauvegarde.
Guide d'administration du Cisco WAP571/E
58
3
Administration
Copier/enregistrer la configuration
ÉTAPE 3 Cliquez sur Effacer les fichiers.
Copier/enregistrer la configuration
La page Copier/Enregistrer la configuration vous permet de copier des fichiers
dans le système de fichiers du point d'accès. Vous pouvez par exemple copier le
fichier de configuration de sauvegarde dans le type de fichier de configuration de
démarrage, afin qu'il soit utilisé lors du prochain démarrage du périphérique WAP.
Copie d'un fichier vers un autre type de fichier
Pour copier un fichier vers un autre type de fichier :
ÉTAPE 1 Sélectionnez Administration > Copier/enregistrer la configuration dans le volet
de navigation.
ÉTAPE 2 Sélectionnez le nom du fichier source :
•
Configuration de démarrage : type de fichier de configuration utilisé lors du
dernier démarrage du périphérique WAP. Ce fichier n'inclut pas les
modifications de configuration appliquées mais non encore enregistrées sur
le périphérique WAP.
•
Configuration de sauvegarde : type de fichier de configuration de
sauvegarde enregistré sur le périphérique WAP.
•
Configuration miroir : si la configuration de démarrage n'est pas modifiée
pendant au moins 24 heures, elle est automatiquement enregistrée dans un
fichier de configuration miroir. Le fichier de configuration miroir est un
instantané d'une configuration de démarrage antérieure. La configuration
miroir est conservée malgré les restaurations des paramètres d'usine. Elle
peut donc être utilisée pour récupérer une configuration système après une
restauration des paramètres d'usine en copiant la configuration miroir vers la
configuration de démarrage.
ÉTAPE 3 Pour Nom du fichier de destination, sélectionnez le type de fichier à remplacer
par le fichier que vous copiez.
ÉTAPE 4 Cliquez sur Enregistrer pour commencer la copie.
Guide d'administration du Cisco WAP571/E
59
3
Administration
Redémarrer
Une fois l'opération terminée, une fenêtre affiche le message Opération de copie
réussie.
Redémarrer
Redémarrage du point d'accès
Vous pouvez utiliser la page Redémarrage pour redémarrer le point d'accès.
ÉTAPE 1 Pour redémarrer le WAP, sélectionnez Administration > Redémarrer dans le volet
de navigation.
ÉTAPE 2 Sélectionnez l'une des options suivantes :
•
Redémarrer : redémarre le WAP en utilisant la configuration de démarrage.
•
Redémarrer avec les paramètres d'usine par défaut : redémarre le WAP
en utilisant le fichier de configuration par défaut d'origine. Tous les
paramètres personnalisés sont perdus.
Une fenêtre s'affiche pour vous permettre de confirmer ou d'annuler le
redémarrage. Il est possible que la session de gestion en cours soit arrêtée.
ÉTAPE 3 Cliquez sur OK pour redémarrer.
Détection - Bonjour
Bonjour permet au point d'accès et à ses services d'être détectés via le protocole
mDNS (Multicast DNS). Bonjour annonce ses services au réseau et répond aux
questions concernant les types de service pris en charge, ce qui simplifie la
configuration du réseau dans les petites entreprises.
Le point d'accès notifie les types de services suivants :
•
Description d'appareils spécifiques à Cisco (csco-sb) : ce service permet
aux clients de détecter les périphériques WAP Cisco et d'autres produits
déployés sur des réseaux d'entreprise.
Guide d'administration du Cisco WAP571/E
60
3
Administration
Capture des paquets
•
Interfaces utilisateur de gestion : ce service identifie les interfaces de
gestion disponibles sur le périphérique WAP (HTTP, HTTPS et SNMP).
Lorsqu'un périphérique WAP compatible avec Bonjour est connecté à un réseau,
tout client Bonjour peut détecter l'utilitaire de configuration et y accéder sans
configuration préalable.
Un administrateur système peut utiliser un module d'extension Internet Explorer
installé pour détecter le périphérique WAP. L'utilitaire de configuration web
apparaît sous forme d'onglet dans le navigateur.
Bonjour fonctionne sur les réseaux IPv4 et IPv6.
Bonjour est activé par défaut.
Modification de l'état administratif
Pour modifier l'état administratif :
ÉTAPE 1 Sélectionnez Administration > Détection - Bonjour dans le volet de navigation.
ÉTAPE 2 Cochez Activer pour activer Bonjour ou décochez Activer pour désactiver
Bonjour.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Capture des paquets
La fonction de capture de paquets sans fil permet de capturer et stocker les
paquets reçus et transmis par le périphérique WAP. Les paquets capturés peuvent
ensuite être analysés par un analyseur de protocole réseau pour des opérations
de dépannage ou d'optimisation des performances. Les deux méthodes de
capture de paquets sont les suivantes :
•
Méthode de capture locale : les paquets capturés sont stockés dans un
fichier sur le périphérique WAP. Le périphérique WAP peut transférer le
fichier vers un serveur TFTP ou le télécharger par HTTP(S) vers un
ordinateur. Le fichier est mis au format pcap et peut être examiné à l'aide
d'outils comme Wireshark et OmniPeek.
•
Méthode de capture distante : les paquets capturés sont redirigés en
temps réel vers un ordinateur externe qui exécute l'outil Wireshark.Capture
Guide d'administration du Cisco WAP571/E
61
3
Administration
Capture des paquets
à distance : les paquets capturés sont redirigés en temps réel vers un
ordinateur externe qui exécute l'outil Wireshark.
•
Capture CloudShark : les paquets capturés sont téléchargés en temps réel
vers l'appliance CloudShark. L'appliance CloudShark organise la capture
afin que tous les paquets puissent être nommés, identifiés et recherchés.
REMARQUE CloudShark est un outil d'analyse réseau Web accessible depuis
n'importe quel navigateur Web sans utilitaire, plug-in ni téléchargement requis.
L'appareil WAP peut capturer les types de paquets suivants :
•
Les paquets 802.11 reçus et transmis sur les interfaces radio. Les paquets
capturés sur les interfaces radio incluent l'en-tête 802.11.
•
Les paquets 802.3 reçus et transmis sur l'interface Ethernet.
•
Les paquets 802.3 reçus et transmis sur les interfaces logiques internes,
telles que les interfaces VAP et WDS.
Sélectionnez Administration > Capture de paquets pour afficher la page Capture
de paquets. Depuis la page Capture de paquets, vous pouvez :
•
Définir les paramètres de capture de paquets.
•
Démarrer une capture de paquets locale ou distante.
•
Afficher l'état de la capture de paquets en cours.
•
Télécharger un fichier de capture de paquets.
La zone Configuration de la capture de paquets vous permet de définir les
paramètres d'une capture de paquets et de lancer cette dernière.
Configuration de la capture de paquets
Pour définir les paramètres de capture de paquets :
ÉTAPE 1 Définissez les paramètres suivants :
•
Capturer les balises : active ou désactive la capture des balises 802.11
détectées ou transmises par radio.
•
Capture de proximité : active ou désactive le mode de proximité lorsque la
capture est active.
En mode de proximité, la radio reçoit tout le trafic sur le canal, y compris le trafic
qui n'est pas destiné à ce périphérique WAP. Lorsque la radio fonctionne en
mode de proximité, elle continue à servir les clients associés. Les paquets qui
ne sont pas destinés au périphérique WAP ne sont pas transférés.
Guide d'administration du Cisco WAP571/E
62
3
Administration
Capture des paquets
Lorsque la capture est terminée, la radio repasse en mode de non-proximité.
•
Filtre client radio : active ou désactive le filtre de client WLAN de façon à
capturer uniquement les trames transmises à un client WLAN ayant une
adresse MAC spécifiée ou reçues de celui-ci.
•
Adresse MAC du filtre client : spécifie l'adresse MAC pour le filtrage de
client WLAN.
REMARQUE Le filtre MAC est uniquement actif lorsqu'une capture est réalisée sur
une interface 802.11.
•
Méthode de capture des paquets : sélectionnez l'une des options suivantes :
-
Fichier local : les paquets capturés sont stockés dans un fichier sur le
périphérique WAP.
-
À distance : les paquets capturés sont redirigés en temps réel vers un
ordinateur externe qui exécute l'outil Wireshark.
-
CloudShark : les paquets capturés sont téléchargés en temps réel vers
l'appliance CloudShark.
ÉTAPE 2 En fonction de la méthode sélectionnée, suivez les étapes de la section Capture
de paquets locale/CloudShark ou Capture de paquets distante pour continuer.
•
Les modifications apportées aux paramètres de configuration de la capture
de paquets prendront effet une fois la capture de paquets redémarrée. La
modification des paramètres alors que la capture de paquets est en cours
d'exécution n'a aucune incidence sur la session de capture de paquets
active. Pour commencer à utiliser les nouvelles valeurs des paramètres,
vous devez arrêter puis redémarrer une session de capture de paquets
existante.
REMARQUE : Les modifications apportées aux paramètres de configuration de la capture de
paquets prendront effet une fois la capture de paquets redémarrée. La modification
des paramètres alors que la capture de paquets est en cours d'exécution n'a
aucune incidence sur la session de capture de paquets active. Pour commencer à
utiliser les nouvelles valeurs des paramètres, vous devez arrêter puis redémarrer
une session de capture de paquets existante.
Capture de paquets locale
Pour démarrer une capture de paquets locale :
Guide d'administration du Cisco WAP571/E
63
3
Administration
Capture des paquets
ÉTAPE 1 Assurez-vous que l'option Fichier local est sélectionnée pour Méthode de
capture de paquets.
ÉTAPE 2 Définissez les paramètres suivants :
•
Interface de capture : saisissez un type d'interface de capture pour la
capture de paquets :
-
radio1 : trafic 802.11 sur l'interface radio Radio 1.
-
radio2 : trafic 802.11 sur Radio 2.
-
eth0 : trafic 802.3 sur le port Ethernet.
-
wlan0 : trafic VAP0 sur Radio 1.
-
wlan1 : trafic VAP0 sur Radio 2.
-
wlan0vap1 à wlan0vap7 : trafic sur le point d'accès virtuel spécifié sur
Radio 1.
-
wlan1vap1 à wlan1vap 7 : trafic sur le point d'accès virtuel spécifié sur
Radio 2.
-
wlan0wds0 à wlan0wds3 : trafic sur l'interface WDS spécifiée.
-
brtrunk : interface bridge Linux dans le périphérique WAP.
•
Durée de capture : saisissez la durée en secondes de la capture. La plage
est comprise entre 10 et 3600. La valeur par défaut est 60. Définissez la
valeur sur 0 seconde pour la méthode de capture de paquets illimitée via
CloudShark.
•
Taille maximale des fichiers de capture : saisissez la taille maximale
autorisée pour le fichier de capture en Ko. La plage est comprise entre 64 et
4096. La valeur par défaut est 1024. Cette option n'est pas activée pour la
méthode de capture de paquets via CloudShark.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
ÉTAPE 4 Cliquez sur Démarrer la capture.
En mode Capture de fichiers de paquets, le périphérique WAP stocke les paquets
capturés dans le système de fichiers RAM. Une fois l'activation terminée, la
capture de paquets s'effectue jusqu'à ce qu'un des événements suivants se
produise :
•
La durée de capture atteint la durée configurée.
Guide d'administration du Cisco WAP571/E
64
3
Administration
Capture des paquets
•
Le fichier de capture atteint sa taille maximale.
•
L'administrateur arrête la capture.
La zone Statut de la capture de paquets de la page indique l'état d'une capture de
paquets si celle-ci est active sur le périphérique WAP.
•
Statut de capture actuel : indique si la capture de paquets est en cours
d'exécution ou arrêtée.
•
Durée de capture de paquets : durée de capture écoulée.
•
Taille du fichier de capture de paquets : taille actuelle du fichier de capture.
Cette valeur est généralement supérieure à la taille du fichier de capture
dans CloudShark si vous utilisez un compte CloudShark avec une taille de
capture limitée.
•
Statut du chargement du fichier de capture CloudShark : affiche un lien
hypertexte si la capture de paquets CloudShark est chargée avec succès.
Vous pouvez cliquer sur le lien hypertexte Afficher la capture dans
CloudShark pour afficher les paquets capturés dans l'appliance CloudShark
dans une nouvelle fenêtre de navigateur.
REMARQUE Un message d'erreur s'affiche lorsque le chargement échoue.
•
Cliquez sur Actualiser pour afficher les dernières données issues du
périphérique WAP.
REMARQUE : Pour arrêter la capture d'un fichier de paquets, cliquez sur Arrêter la capture.
Capture de paquets distante
La fonction Capture de paquets distante vous permet de spécifier un port distant
comme destination des captures de paquets. Cette fonction opère
conjointement avec l'outil d'analyse réseau Wireshark pour Windows. Un serveur
de capture de paquets est exécuté sur le périphérique WAP et envoie les
paquets capturés via une connexion TCP vers l'outil Wireshark. Wireshark est un
outil open source disponible gratuitement ; vous pouvez le télécharger à
l'adresse http://www.wireshark.org.
Un ordinateur Microsoft Windows exécutant l'outil Wireshark vous permet
d'afficher, de journaliser et d'analyser le trafic capturé. La fonction de capture de
paquets distante est une fonction standard de l'outil Wireshark pour Windows. La
version Linux ne fonctionne pas avec le périphérique WAP.
Lorsque le mode de capture distante est utilisé, le périphérique WAP ne stocke
pas les données capturées localement dans son système de fichiers.
Guide d'administration du Cisco WAP571/E
65
3
Administration
Capture des paquets
Si un pare-feu est installé entre l'ordinateur Wireshark et le périphérique WAP, le
trafic de ces ports doit être autorisé à traverser le pare-feu. Le pare-feu doit aussi
être configuré pour autoriser l'ordinateur Wireshark à initier une connexion TCP
vers le périphérique WAP.
Lancement d'une capture distante sur un périphérique WAP
Pour initier une capture distante sur un périphérique WAP :
ÉTAPE 1 Sélectionnez Administration > Capture de paquets.
ÉTAPE 2 Activez Capture de proximité.
ÉTAPE 3 Pour Méthode de capture de paquets, sélectionnez Distant.
ÉTAPE 4 Pour Port de capture distante, utilisez le port par défaut (2002) ou si vous utilisez
un autre port que celui par défaut, saisissez le numéro de port souhaité pour la
connexion de Wireshark au périphérique WAP. La plage de ports est comprise
entre 1025 et 65530.
ÉTAPE 5 Si vous souhaitez enregistrer les paramètres en vue d'une utilisation ultérieure,
cliquez sur Enregistrer.
ÉTAPE 6 Cliquez sur Démarrer la capture.
Démarrage de l'outil d'analyse du réseau
Pour lancer l'outil d'analyse réseau Wireshark pour Microsoft Windows :
ÉTAPE 1 Sur le même ordinateur, lancez l'outil Wireshark.
ÉTAPE 2 Dans le menu, sélectionnez Capture > Options. Une fenêtre contextuelle s'affiche.
ÉTAPE 3 Pour Interface, sélectionnez Distant. Une fenêtre contextuelle s'affiche.
ÉTAPE 4 Pour Hôte, saisissez l'adresse IP du périphérique WAP.
ÉTAPE 5 Pour Port, saisissez le numéro de port du WAP. Par exemple, saisissez 2002 si
vous avez utilisé le port par défaut ou saisissez le numéro de port si vous avez
utilisé un autre port que le port par défaut.
ÉTAPE 6 Cliquez sur OK.
ÉTAPE 7 Sélectionnez l'interface à partir de laquelle vous devez capturer les paquets. Dans
la fenêtre contextuelle Wireshark, en regard de l'adresse IP, une liste déroulante
vous permet de sélectionner les interfaces. L'interface peut être l'une des
suivantes :
Guide d'administration du Cisco WAP571/E
66
3
Administration
Capture des paquets
Interface bridge Linux dans le périphérique WAP
--rpcap://[192.168.1.220]:2002/brtrunk
Interface LAN filaire
-- rpcap://[192.168.1.220]:2002/eth0
Trafic VAP0 sur radio 1
-- rpcap://[192.168.1.220]:2002/wlan0
Trafic 802.11
-- rpcap://[192.168.1.220]:2002/radio1
Sur WAP371/E, trafic VAP1 ~ VAP7 pour radio 1
-- rpcap://[192.168.1.220]:2002/wlan0vap1 ~ wlan0vap7
Sur WAP371/E, trafic VAP1 ~ VAP7 pour radio 2
-- rpcap://[192.168.1.220]:2002/wlan1vap1 ~ wlan1vap7
Vous pouvez effectuer le suivi simultané de quatre interfaces maximum sur le
périphérique WAP. Toutefois, vous devez démarrer une session Wireshark
distincte pour chaque interface. Pour initier des sessions de capture distante
supplémentaires, répétez les étapes de configuration Wireshark ; aucune
configuration n'est requise sur le périphérique WAP.
REMARQUE : Le système utilise quatre numéros de port consécutifs, en commençant par le port
configuré pour les sessions de capture de paquets distante. Vérifiez que vous
disposez de quatre numéros de port consécutifs. Si vous n'utilisez pas le port par
défaut, nous vous recommandons d'utiliser un numéro de port supérieur à 1024.
Lorsque vous capturez le trafic sur l'interface radio, vous pouvez désactiver la
capture des balises, mais les autres trames de contrôle 802.11 sont toujours
envoyées à Wireshark. Vous pouvez configurer un filtre d'affichage de façon à
afficher uniquement :
•
Les trames de données dans le suivi
•
Le trafic sur des BSSID (Basic Service Set ID) spécifiques
•
Le trafic entre deux clients
Voici quelques exemples de filtres d'affichage utiles :
•
Exclure les balises et les trames ACK/RTS/CTS :
!(wlan.fc.type_subtype == 8 | | wlan.fc.type == 1)
•
Les trames de données uniquement :
wlan.fc.type == 2
•
Le trafic sur un BSSID spécifique :
wlan.bssid == 00:02:bc:00:17:d0
•
Tout le trafic de et vers un client spécifique :
Guide d'administration du Cisco WAP571/E
67
3
Administration
Capture des paquets
wlan.addr == 00:00:e8:4e:5f:8e
En mode de capture distante, le trafic est envoyé vers l'ordinateur qui exécute
Wireshark via l'une des interfaces réseau. Selon l'emplacement de l'outil
Wireshark, le trafic peut être envoyé sur une interface Ethernet ou l'une des radios.
Pour éviter un flux de trafic causé par le suivi des paquets, le périphérique WAP
installe automatiquement un filtre de capture afin d'éliminer tous les paquets
destinés à l'application Wireshark. Par exemple, si le port IP Wireshark est
configuré sur 58000, alors le filtre de capture suivant est automatiquement installé
sur le périphérique WAP :
not portrange 58000-58004
Pour éviter les problèmes de performances et de sécurité, le mode de capture de
paquets n'est pas enregistré dans la NVRAM du périphérique WAP ; si le
périphérique WAP est réinitialisé, le mode de capture est désactivé et vous devez
le réactiver pour rétablir la capture du trafic. Les paramètres de capture de
paquets (autres que le mode) sont enregistrés dans la NVRAM.
L'activation de la fonction de capture de paquets peut engendrer un problème de
sécurité : des clients non autorisés sont susceptibles de pouvoir se connecter au
périphérique WAP et d'effectuer un suivi des données utilisateur. En outre, les
performances du périphérique WAP sont dégradées pendant la capture de
paquets et cet impact négatif continue à être détecté dans une moindre mesure
même lorsqu'il n'y a pas de session Wireshark active. Pour réduire cet impact sur
les performances du périphérique WAP pendant la capture du trafic, installez des
filtres de capture afin de contrôler le trafic envoyé vers l'outil Wireshark. Pendant la
capture du trafic 802.11, les trames capturées sont pour une grande partie des
balises (généralement envoyées toutes les 100 ms par tous les points d'accès).
Même si Wireshark prend en charge un filtre d'affichage pour les trames de balise,
il ne prend pas en charge un filtre de capture empêchant le périphérique WAP de
réacheminer les paquets de balise capturés vers l'outil Wireshark. Pour réduire
l'impact de la capture des balises 802.11 sur les performances, désactivez le
mode de capture des balises.
Guide d'administration du Cisco WAP571/E
68
Administration
Informations relatives au support
3
Vous pouvez télécharger un fichier de capture par TFTP vers un serveur TFTP
configuré, ou par HTTP(S) vers un ordinateur. Le fichier de capture étant stocké
dans le système de fichiers RAM, il disparaît si le périphérique WAP est réinitialisé.
Téléchargement d'un fichier de capture de paquets via TFTP
Pour télécharger un fichier de capture de paquets via TFTP :
ÉTAPE 1 Sélectionnez Utiliser TFTP pour télécharger le fichier de capture.
ÉTAPE 2 Dans Nom de fichier du serveur TFTP, saisissez le nom de fichier du serveur
TFTP à télécharger s'il diffère du nom par défaut. Par défaut, les paquets capturés
sont stockés dans le fichier de dossiers /tmp/apcapture.pcap sur le
périphérique WAP.
ÉTAPE 3 Renseignez Adresse IPv4 du serveur TFTP dans le champ prévu à cet effet.
ÉTAPE 4 Cliquez sur Télécharger.
Téléchargement d'un fichier de capture de paquets via HTTP
Pour télécharger un fichier de capture de paquets via HTTP :
ÉTAPE 1 Décochez Utiliser TFTP pour télécharger le fichier de capture.
ÉTAPE 2 Cliquez sur Télécharger. Une fenêtre de confirmation s'affiche.
ÉTAPE 3 Cliquez sur OK. Une boîte de dialogue apparaît. Celle-ci vous permet de choisir
l'emplacement d'enregistrement du fichier sur le réseau.
Informations relatives au support
La page Support Information vous permet de télécharger un fichier texte qui
contient des informations de configuration détaillées sur le point d'accès. Le
fichier inclut les informations de version matérielle et logicielle, les adresses MAC
et IP, l'état d'administration et opérationnel des fonctions, les paramètres définis
par l'utilisateur, les statistiques de trafic, etc. Vous pouvez fournir ce fichier texte
aux membres de l'assistance technique pour les aider à résoudre les différents
problèmes.
Guide d'administration du Cisco WAP571/E
69
3
Administration
Paramètres de STP
Pour afficher la page des informations d'assistance, sélectionnez Administration >
Informations relatives au support.
Cliquez sur Télécharger pour générer le fichier à partir des paramètres système
actuels. Après un bref instant, une fenêtre s'affiche pour vous permettre
d'enregistrer le fichier sur votre ordinateur.
Paramètres de STP
Utilisez la page Paramètres de STP pour définir les paramètres STP sur l'appareil
Cisco WAP571/E.
Configuration des paramètres STP sur l'appareil Cisco WAP571
Pour configurer les paramètres STP sur l'appareil Cisco WAP571 :
ÉTAPE 1 Sélectionnez Administration > Paramètres de STP.
ÉTAPE 2 Configurez le paramètre :
Statut STP : active ou désactive STP sur l'ensemble de l'appareil Cisco WAP571/
E. STP est activé par défaut.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
70
4
LAN
Cette section explique comment configurer les paramètres pour le port, le VLAN
et l'adressage IPv4 et IPv6 du périphérique WAP.
Elle contient les rubriques suivantes :
•
Paramètres des ports
•
Configuration du VLAN
•
Paramètres IPv4
•
Paramètres IPv6
•
Tunnel IPv6
•
LLDP
Paramètres des ports
Utilisez la page Paramètres des ports pour afficher et configurer les paramètres
du port qui connecte physiquement le périphérique WAP à un réseau local.
Pour configurer les paramètres de port :
ÉTAPE 1 Sélectionnez LAN > Paramètres des ports.
La Table des paramètres de port répertorie les configurations et les états suivants
pour les 2 interfaces (Eth0 et Eth1) :
•
Statut de la liaison : affiche l'état actuel de la liaison du port.
•
Débit du port : en mode vérification, affiche la vitesse actuelle du port. En
mode d'édition, si la négociation automatique est désactivée, sélectionnez
une vitesse de port, comme 100 Mbit/s ou 10 Mbit/s. La vitesse 1000 Mbit/
s n'est prise en charge que si la négociation automatique est activée.
Guide d'administration du Cisco WAP571/E
71
4
LAN
Paramètres des ports
•
Mode duplex : en mode de vérification, affiche le mode duplex actuel du
port. En mode d'édition, si la négociation automatique est désactivée,
sélectionnez Semi-duplex ou Duplex intégral.
Négociation automatique : lorsque cette option est activée, le port négocie avec
son partenaire de liaison afin de définir la vitesse de liaison la plus rapide et le
mode duplex disponible. Si cette option est désactivée, vous pouvez configurer
manuellement la vitesse du port et le mode duplex.
Green Ethernet : le mode Green Ethernet prend en charge le mode basse
puissance automatique et le mode EEE (Energy Efficient Ethernet, IEEE 802.3az). Le
mode Green Ethernet fonctionne uniquement lorsque la négociation automatique
de port est activée. Le mode basse puissance automatique permet de diminuer la
consommation des puces en cas d'absence de signal émanant d'un partenaire de
liaison. Le périphérique WAP passe automatiquement en mode basse puissance
en cas de perte d'énergie sur la ligne et il reprend un fonctionnement normal
lorsqu'il détecte de l'énergie. Le mode EEE accepte des périodes silencieuses en
cas de faible utilisation de la liaison, ce qui permet aux deux extrémités d'une
liaison de désactiver des parties de chaque circuit de la couche physique afin
d'économiser de l'énergie.
•
Statut Green Ethernet : affiche l'état EEE actuel.
ÉTAPE 2 Sélectionnez les interfaces à modifier, puis cliquez sur le bouton Modifier pour
passer en mode d'édition. Entrez ensuite vos paramètres.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Les deux interfaces Eth0 et Eth1 de l'appareil WAP571/E peuvent être utilisés en
mode d'agrégation de liaisons. Le partenaire de liaison doit également prendre en
charge l'agrégation de liaisons. Eth1 suivra toujours les configurations Eth0.
Guide d'administration du Cisco WAP571/E
72
4
LAN
Configuration du VLAN
Configuration du VLAN
Utilisez la page Configuration du VLAN pour consulter et configurer les
paramètres VLAN.
Pour configurer les paramètres d'un VLAN :
ÉTAPE 1 Sélectionnez LAN > Configuration du VLAN.
ÉTAPE 2 Dans la Table des paramètres du VLAN, chaque enregistrement VLAN comporte
les champs suivants :
•
ID de VLAN : identifiant du VLAN. Chaque ID de VLAN est compris entre 1 et
4 094 et doit être différent des autres ID de VLAN.
•
Description : description du réseau VLAN associé. Elle ne doit pas
comporter plus de 64 caractères (A-Z, a-z, 0-9, _).
ÉTAPE 3 VLAN de gestion : sélectionnez le VLAN de gestion utilisé pour accéder au
périphérique WAP via l'interface utilisateur graphique (GUI) Web. Il ne doit exister
qu'un seul et unique VLAN de gestion. Si aucune interface (filaire ou sans fil)
n'appartient au VLAN de gestion, l'utilisateur ne dispose d'aucune interface pour
accéder à l'utilitaire de configuration.
•
Eth0 - Eth1 : chaque port ne doit avoir qu'un seul VLAN non balisé. Les
options sont les suivantes :
-
Non balisé : le port est un membre du VLAN. Un paquet du VLAN émis à
partir du port sera non balisé. Un paquet non balisé reçu par le port sera
classifié comme appartenant au VLAN (balisé).
-
Balisé : le port est un membre du VLAN. Un paquet du VLAN émis à partir
du port sera balisé avec l'en-tête du VLAN.
-
Exclu : le port n'appartient pas au VLAN.
REMARQUE : Il est impossible de supprimer l'ID de VLAN 1. Si un port (filaire ou sans fil) associé
au VLAN a été supprimé, le périphérique WAP définira automatiquement son ID
VLAN à 1.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Guide d'administration du Cisco WAP571/E
73
4
LAN
Paramètres IPv4
Paramètres IPv4
Utilisez la page Paramètres IPv4 pour configurer l'affectation d'adresses IPv4
statiques ou dynamiques.
Pour configurer les paramètres d'adresses IPv4 :
ÉTAPE 1 Sélectionnez LAN > Paramètres IPv4.
ÉTAPE 2 Configurez les paramètres IPv4 suivants :
•
Type de connexion : par défaut, le client DHCP sur le périphérique WAP diffuse
automatiquement les demandes d'informations de réseau. Si vous voulez utiliser
une adresse IP statique, vous devez désactiver le client DHCP et configurer
manuellement l'adresse IP ainsi que les autres informations de réseau.
Sélectionnez l'une des options suivantes :
ÉTAPE
-
DHCP : le périphérique WAP acquiert son adresse IP d'un serveur DHCP
sur le réseau local.
-
Adresse IP statique : configurez manuellement l'adresse IPv4. La forme
de l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx
(192.0.2.10).
•
Adresse IP statique, Masque de sous-réseau et Passerelle par défaut : si
vous avez choisi d'affecter une adresse IP statique, saisissez les
informations IP dans ces champs.
•
Serveurs de noms de domaine : sélectionnez l'une des options suivantes :
-
Dynamique : le périphérique WAP acquiert les adresses de serveur DNS
d'un serveur DHCP sur le réseau local.
-
Manuel : configurez manuellement une ou plusieurs adresses de serveur
DNS. Entrez jusqu'à deux adresses IP dans les champs fournis.
3 Définissez les paramètres de configuration automatique DCHP IPv4 suivants :
•
Options de configuration automatique DHCP : par défaut, les « Options de
configuration automatique DHCP » sont activées. Lorsque le point d'accès
est livré avec les paramètres d'usine, il se configure automatiquement
à l'aide des options DHCP.
Lors de la configuration automatique :
Guide d'administration du Cisco WAP571/E
74
4
LAN
Paramètres IPv4
-
Le point d'accès démarre. Seule l'interface Ethernet est activée ; les
interfaces WLAN sont inactives.
-
Aucun service n'est disponible à l'utilisateur (hormis les interfaces
utilisateur).
-
Les « Options de configuration automatique DHCP » sont automatiquement
désactivées après l'« Intervalle d'attente » ou le chargement TFTP du
fichier de configuration, l'échéance la plus proche étant retenue.
-
La désactivation du client DHCP (notamment la configuration via une
adresse IP statique) ou la désactivation des « Options de configuration
automatique DHCP » annule immédiatement la configuration
automatique.
Le client DHCP sur l'appareil WAP diffuse automatiquement les demandes
d'options DHCP 66 et 67. Si les options « DHCP » et « Options de
configuration automatique DHCP » sont activées, le point d'accès est
configuré automatiquement lors du prochain démarrage en tenant compte
des informations concernant les demandes DHCP reçues du serveur DHCP.
REMARQUE L'opération de chargement de la configuration de la part de l'utilisateur/
l'administrateur remplace la configuration automatique de façon à ce que le fichier
de configuration choisi soit privilégié. Dans tous les autres cas de redémarrage du
point d'accès (mise à jour du micrologiciel/opérations de redémarrage, etc.), le
paramètre de configuration automatique actuel est activé.
•
Adresse IPv4/nom d'hôte du serveur TFTP de secours: si vous
configurez l'adresse du serveur TFTP, celle-ci est utilisée en cas d'échec de
récupération du fichier auprès des autres serveurs TFTP spécifiés par le
serveur DHCP lors de la configuration automatique. Saisissez l'adresse IPv4
ou le nom d'hôte. Si le format sélectionné est le nom d'hôte, le serveur DNS
doit être disponible pour traduire le nom d'hôte en adresse IP.
Cette valeur est utilisée lors de la procédure de configuration automatique
au prochain démarrage.
•
Nom du fichier de configuration: si vous spécifiez le nom du fichier de
configuration, celui-ci est récupéré auprès du serveur TFTP lors de la
configuration automatique du point d'accès, dans le cas où le nom du fichier
de démarrage n'est pas reçu du serveur DHCP. L'absence de cette valeur
indique le fichier « config.xml » à utiliser. Ce fichier doit posséder une
extension .xml, le cas échéant.
Cette valeur est utilisée lors de la procédure de configuration automatique
au prochain démarrage.
Guide d'administration du Cisco WAP571/E
75
4
LAN
Paramètres IPv6
•
Intervalle d'attente: si ce paramètre est configuré, le point d'accès adopte
la configuration locale et permet à l'utilisateur d'utiliser les services activés
après l'intervalle d'attente défini. Le point d'accès abandonne la
configuration automatique si la transaction TFTP n'est pas lancée dans
l'intervalle spécifié.
Cette valeur est utilisée lors de la procédure de configuration automatique
au prochain démarrage.
•
Journal d'état: ce champ indique la raison de l'exécution ou de l'abandon
de la configuration automatique.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Paramètres IPv6
Utilisez la page Paramètres IPv6 pour configurer le périphérique WAP afin qu'il
utilise une adresse IPv6.
Pour configurer les paramètres d'adresse IPv6 :
ÉTAPE 1 Sélectionnez LAN > Paramètres IPv6.
ÉTAPE 2 Définissez les paramètres suivants :
•
Type de connexion IPv6 : choisissez la façon dont le périphérique WAP
obtient une adresse IPv6 :
-
DHCPv6 : l'adresse IPv6 est affectée par un serveur DHCPv6.
-
IPv6 statique : configurez manuellement les adresses IPv6. La forme de
l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
Guide d'administration du Cisco WAP571/E
76
4
LAN
Paramètres IPv6
REMARQUE : Lorsqu'une adresse IPv6 statique est configurée, DHCPv6 est à l'arrêt. Lorsque
DHCPv6 est configuré, une adresse IPv6 statique peut être opérationnelle si la
configuration existe.
•
Mode d'administration IPv6 : active ou désactive l'accès de gestion IPv6.
•
Mode d'administration de la configuration automatique des
adresses IPv6 : active ou désactive la configuration automatique des
adresses IPv6 sur le périphérique WAP.
Lorsque cette option est activée, le périphérique WAP apprend ses
adresses et sa passerelle IPv6 en traitant les messages de notification de
routeur reçus sur le port LAN. Le périphérique WAP peut posséder plusieurs
adresses IPv6 configurées automatiquement.
•
Adresse IPv6 statique : adresse IPv6 statique. Le périphérique WAP peut
posséder une adresse IPv6 statique, même si des adresses ont déjà été
configurées automatiquement.
•
Longueur du préfixe de l'adresse IPv6 statique : longueur de préfixe de
l'adresse statique, à savoir un entier compris entre 0 et 128. La valeur par
défaut est 0.
•
Statut de l'adresse IPv6 statique : sélectionnez l'une des options
suivantes :
-
Opérationnelle : l'adresse IP a été vérifiée comme étant unique sur le
réseau local et elle est utilisable sur l'interface.
-
Tentative : le périphérique WAP initie automatiquement un processus de
détection des adresses en double (DAD, Duplicate Address Detection)
lors de l'affectation d'une adresse IP statique. Une adresse IPv6 reste à
l'état provisoire pendant que le système vérifie qu'elle est unique sur le
réseau. Lorsqu'elle se trouve dans cet état, l'adresse IPv6 ne peut pas
être utilisée pour transmettre ou recevoir le trafic normal.
-
Vide (aucune valeur) : aucune adresse IP n'est affectée ou l'adresse
affectée n'est pas opérationnelle.
•
Adresses globales IPv6 configurées automatiquement : si une ou
plusieurs adresses IPv6 ont été affectées automatiquement au
périphérique WAP, ces adresses sont répertoriées ici.
•
Adresse IPv6 de liaison locale : adresse IPv6 utilisée par la liaison
physique locale. L'adresse locale de liaison n'est pas configurable et elle est
affectée à l'aide du processus de détection de voisinage IPv6.
Guide d'administration du Cisco WAP571/E
77
4
LAN
Tunnel IPv6
•
Passerelle IPv6 par défaut : passerelle IPv6 par défaut configurée de
manière statique.
•
Serveurs de noms de domaine IPv6 : sélectionnez l'une des options
suivantes :
-
Dynamique : les serveurs de noms DNS sont appris dynamiquement par
le biais de DHCPv6.
-
Manuel : spécifiez manuellement jusqu'à deux serveurs de noms DNS
IPv6 dans les champs prévus à cet effet.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Tunnel IPv6
Le périphérique WAP571/E prend en charge le protocole ISATAP (Intra-Site
Automatic Tunnel Addressing Protocol). Le protocole ISATAP permet au
périphérique WAP de transmettre des paquets IPv6 encapsulés dans des
paquets IPv4 sur le réseau local. Grâce à ce protocole, le périphérique WAP peut
communiquer avec des hôtes compatibles IPv6 distants, même si le réseau local
qui les connecte ne prend pas en charge IPv6.
Le périphérique WAP agit en tant que client ISATAP. Un hôte ou un routeur prenant
en charge le protocole ISATAP doit résider sur le réseau local. L'adresse IP ou le
nom d'hôte du routeur est configuré sur le périphérique WAP (par défaut, il s'agit
d'isatap). S'il est configuré en tant que nom d'hôte, le périphérique WAP
communique avec un serveur DNS pour résoudre le nom en une ou plusieurs
adresses de routeur ISATAP. Le périphérique WAP envoie ensuite des messages
de sollicitation au(x) routeur(s). Lorsqu'un routeur prenant en charge le protocole
ISATAP répond par le biais d'un message d'annonce, le périphérique WAP et le
routeur établissent le tunnel. Une adresse lien-local et une adresse IPv6 globale
sont affectées à l'interface de tunnel et font office d'interfaces IPv6 virtuelles sur le
réseau IPv4.
Guide d'administration du Cisco WAP571/E
78
4
LAN
LLDP
Lorsque des hôtes IPv6 initient une communication avec le périphérique WAP
connecté par l'intermédiaire du routeur ISATAP, les paquets IPv6 sont encapsulés
dans des paquets IPv4 par le routeur ISATAP.
Pour configurer un tunnel IPv6 à l'aide du protocole ISATAP :
ÉTAPE 1 Sélectionnez LAN > Tunnel IPv6 dans le volet de navigation.
ÉTAPE 2 Configurez les paramètres suivants :
•
Statut ISATAP : active ou désactive le mode d'administration du protocole
ISATAP sur le périphérique WAP.
•
Hôte compatible ISATAP : adresse IP ou nom DNS du routeur ISATAP. La
valeur par défaut est isatap.
•
Intervalle des requêtes ISATAP : spécifie à quelle fréquence le point
d'accès doit envoyer des requêtes au serveur DNS pour tenter de résoudre
le nom d'hôte ISATAP en une adresse IP. Le périphérique WAP n'envoie des
requêtes DNS que lorsque l'adresse IP du routeur ISATAP est inconnue. La
plage valide va de 120 à 3600 secondes. La valeur par défaut est
120 secondes.
•
Intervalle de sollicitation ISATAP : spécifie à quelle fréquence le
périphérique WAP doit envoyer des messages de sollicitation de routeur au
routeur ISATAP dont il obtient des informations par le biais de messages de
consultation DNS. Le périphérique WAP n'envoie des messages de
sollicitation de routeur que lorsqu'il n'y a pas de routeur ISATAP actif. La
plage valide va de 120 à 3600 secondes. La valeur par défaut est
120 secondes.
ÉTAPE 3 Cliquez sur Enregistrer. Les paramètres sont enregistrés dans la configuration
initiale.
Lorsque le tunnel a été établi, les valeurs Adresse IPv6 de liaison locale ISATAP
et Adresse IPv6 globale ISATAP s'affichent sur la page. Il s'agit des adresses des
interfaces IPv6 virtuelles avec le réseau IPv4.
LLDP
Le protocole LLDP (Link Layer Discovery Protocol) est défini par la
norme IEEE 802.1AB et permet au UAP de fournir des informations le concernant,
comme le nom système, les fonctions système et les exigences en termes
d'alimentation. Ces informations peuvent vous aider à identifier la topologie du
Guide d'administration du Cisco WAP571/E
79
4
LAN
LLDP
système et à détecter des configurations incorrectes sur le LAN. Le point d'accès
prend également en charge le protocole LLDP-MED (Link Layer Discovery
Protocol for Media Endpoint Devices), qui standardise des éléments d'informations
supplémentaires que les périphériques peuvent se transmettre en vue d'améliorer
la gestion du réseau.
Pour configurer les paramètres LLDP :
ÉTAPE 1 Sélectionnez LAN > LLDP dans le volet de navigation.
ÉTAPE 2 Configurez les paramètres suivants :
•
Mode LLDP : le mode d'administration du protocole LLDP sur le point d'accès.
Lorsque le protocole LLDP est activé, le point d'accès transmet les unités de données
du protocole LLDP aux périphériques voisins.
•
Intervalle de transmission : le nombre de secondes entre les transmissions des
messages LLDP. La plage valide va de 5 à 32768 secondes. La valeur par
défaut est 30 secondes.
•
Priorité PoE : niveau de priorité transmis par le point d'accès dans l'élément
d'information d'alimentation étendue. Le niveau de priorité PoE permet à un
appareil PSE (Power Sourcing Equipment), par exemple un commutateur, de
déterminer à quels périphériques alimentés il doit donner la priorité en
matière d'affectation de puissance lorsque le PSE n'est pas capable
d'alimenter l'ensemble des périphériques connectés. La priorité PoE peut
prendre l'une des valeurs suivantes :
-
Critique
-
Élevé
-
Faible
-
Inconnu
ÉTAPE 3 Cliquez sur Enregistrer. Les paramètres sont enregistrés dans le système.
Guide d'administration du Cisco WAP571/E
80
5
Technologie sans fil
Cette section décrit comment configurer les propriétés de fonctionnement de la
radio sans fil.
Elle contient les rubriques suivantes :
•
Radio
•
Détection de point d'accès non autorisé
•
Réseaux
•
Transfert de multidiffusion sans fil
•
Planificateur
•
Association au planificateur
•
Filtrage MAC
•
Pont
•
QoS
Radio
Les paramètres radio contrôlent directement le comportement de la radio dans le
périphérique WAP et son interaction avec le support physique, à savoir le type de
signal émis par le périphérique WAP et la façon dont il procède.
Configuration des paramètres de radio
Pour définir les paramètres radio :
ÉTAPE 1 Sélectionnez Technologie sans fil > Radio dans le volet de navigation.
ÉTAPE 2 Dans la zone Paramètres globaux, configurez l'option Intervalle de
violation TSPEC, qui correspond à la durée en secondes pendant laquelle le
Guide d'administration du Cisco WAP571/E
81
5
Technologie sans fil
Radio
périphérique WAP doit consigner les clients associés qui ne respectent pas les
procédures de contrôle d'admission obligatoires. La consignation s'effectue via le
journal système et les déroutements SNMP. Entrez une durée comprise entre 0 et
900 secondes. La valeur par défaut est 300 secondes.
ÉTAPE 3 Sélectionnez l'interface Radio à configurer (Radio 1 ou Radio 2).
ÉTAPE 4 Dans la zone Paramètres de base, configurez les paramètres suivants :
REMARQUE : Les réglementations locales peuvent interdire l'utilisation de certains
modes radio. Les modes ne sont pas tous disponibles dans la totalité des pays.
•
Radio : active ou désactive l'interface radio. Par défaut, la radio est activée.
REMARQUE : Si vous activez la radio 5 GHz avec une bande passante de 80 MHz
et si la radio transporte un trafic très intense, le périphérique WAP aura besoin de
plus d'énergie que ce que fournit la norme PoE IEEE 802.3af (12,95 W). Lors de
l'utilisation du canal 80 MHz, il est vivement recommandé d'alimenter le
périphérique WAP à l'aide d'un appareil PSE (Power Source Equipment) 802.3at. Si
l'énergie requise par le périphérique WAP est supérieure à la valeur maximale
fournie par l'appareil PSE, il se peut que le périphérique WAP redémarre.
•
Adresse MAC : adresse Media Access Control (MAC) de l'interface.
L'adresse MAC est attribuée par le fabricant et ne peut pas être modifiée.
•
Mode : norme IEEE 802.11 et fréquence utilisées par la radio. La valeur par
défaut de Mode est 802.11a/n/ac pour Radio 1 et 802.11b/g/n pour Radio 2.
Pour chaque radio, sélectionnez l'un des modes disponibles.
Radio 1 prend en charge les modes radio suivants :
-
802.11a : seuls les clients 802.11a peuvent se connecter au
périphérique WAP.
-
802.11a/n/ac : les clients 802.11a, 802.11n et 802.11ac fonctionnant dans
la fréquence 5-GHz peuvent se connecter au périphérique WAP.
-
802.11n/ac : les clients 802.11n et 802.11ac fonctionnant dans la
fréquence 5-GHz peuvent se connecter au périphérique WAP.
Radio 2 prend en charge les modes radio suivants :
-
802.11b/g : les clients 802.11b et 802.11g peuvent se connecter au
périphérique WAP.
-
802.11b/g/n (par défaut) : les clients 802.11b, 802.11g et 802.11n
fonctionnant dans la fréquence 2,4 GHz peuvent se connecter au
périphérique WAP.
Guide d'administration du Cisco WAP571/E
82
5
Technologie sans fil
Radio
•
802.11n 2,4 GHz : seuls les clients 802.11n fonctionnant dans la
fréquence 2,4 GHz peuvent se connecter au périphérique WAP.
Bande passante de canal (modes 802.11n et 802.11ac uniquement) : la
spécification 802.11n autorise un canal de 40 MHz en plus du canal de
20 MHz hérité qui est disponible avec les autres modes. Le canal de 40 MHz
offre des débits de données plus élevés, mais laisse moins de canaux à la
disposition des autres périphériques de 2,4 GHz et 5 GHz.
La spécification 802.11ac autorise la présence d'un canal d'une largeur de
80 MHz en plus des canaux de 20 et 40 MHz.
Définissez le champ à 20 MHz afin de restreindre l'utilisation de la bande
passante du canal à un canal de 20 MHz. En ce qui concerne le
mode 802.11ac, définissez le champ à 40 MHz afin d'empêcher la radio
d'utiliser la bande passante du canal de 80 MHz.
•
Canal principal (modes 802.11n avec une bande passante de 20/40 MHz
seulement) : on peut considérer qu'un canal de 40 MHz se compose de
deux canaux de 20 MHz contigus dans le domaine de fréquence. Ces
deux canaux de 20 MHz sont souvent appelés canal principal et canal
secondaire. Le canal principal est utilisé pour les clients 802.11n qui
prennent uniquement en charge une bande passante de canal de 20 MHz
ainsi que pour les clients hérités.
Sélectionnez l'une des options suivantes :
•
-
Supérieur : définit le canal principal en tant que canal de 20 MHz
supérieur dans la bande de 40 MHz.
-
Plus faible : définit le canal principal en tant que canal de 20 MHz
inférieur dans la bande de 40 MHz. Lower est la sélection par défaut.
Canal : partie du spectre radio utilisée par la radio pour la transmission et la
réception.
La plage des canaux disponibles est déterminée par le mode de l'interface
radio et le paramètre de code de pays. Si vous sélectionnez Automatique
pour le paramètre de canal, le périphérique WAP recherche les canaux
disponibles et sélectionne le canal ayant le moins de trafic.
Chaque mode offre plusieurs canaux en fonction du spectre attribué sous
licence par les autorités nationales et internationales, telles que la Federal
Communications Commission (FCC) ou la International Telecommunication
Union (ITU-R).
Guide d'administration du Cisco WAP571/E
83
5
Technologie sans fil
Radio
•
Mode d'analyse de spectre: état du mode d'analyse de spectre. Le mode
d'analyse de spectre peut être défini sur Désactiver, Analyseur de spectre
dédié ou Analyseur de spectre hybride. La valeur par défaut est Désactiver..
ÉTAPE 5 Dans la zone Paramètres avancés, définissez les paramètres suivants :
•
Air Time Fairness: ce paramètre permet d'activer ou de désactiver la
fonction ATF. Cette fonction résout le problème lié aux transferts de données
lents qui ralentissent les transferts rapides.
•
Prise en charge DFS : ce champ est disponible uniquement si le mode radio
sélectionné fonctionne dans la fréquence de 5 GHz.
En ce qui concerne les radios situées dans la bande de 5 GHz, lorsque la
prise en charge DFS est active et que le domaine de réglementation
nécessite une détection radar sur le canal, les fonctionnalités DFS (Dynamic
Frequency Selection) et TPC (Transmit Power Control) de 802.11h sont
activées.
DFS est une fonctionnalité qui demande aux périphériques sans fil de
partager leur spectre et d'éviter le fonctionnement associé des canaux avec
les systèmes radar dans la bande de 5 GHz. Les exigences de la
fonctionnalité DFS varient en fonction du domaine de réglementation, qui est
déterminé par le paramètre de code de pays du point d'accès.
Lorsque vous utilisez le mode sans fil 802.11h, il y a plusieurs éléments clés
que vous devez connaître à propos de la norme IEEE 802.11h :
-
Le mode 802.11h ne fonctionne que pour la bande de 5 GHz. Il n'est pas
requis pour la bande de 2,4 GHz.
-
Si vous opérez dans un domaine 802.11h, le point d'accès tente d'utiliser
le canal que vous attribuez. Si le canal a été bloqué par une détection de
radar précédente ou si le point d'accès détecte un radar sur le canal,
alors le point d'accès sélectionne automatiquement un autre canal.
-
Si 802.11h est activée, le point d'accès ne sera pas opérationnel dans la
bande 5 GHz pendant au moins 60 secondes en raison de la recherche
de radar.
-
La configuration des liaisons WDS peut s'avérer difficile lorsque la norme
802.11h est opérationnelle. Ceci est dû au fait que les canaux de
fonctionnement des deux points d'accès sur la liaison WDS peuvent
changer constamment en fonction de l'utilisation du canal et des
interférences radar. WDS fonctionnera uniquement si les deux points
d'accès se trouvent sur le même canal. Pour plus d'informations sur WDS,
reportez-vous à la section Pont.
Guide d'administration du Cisco WAP571/E
84
5
Technologie sans fil
Radio
•
Intervalle de garde court pris en charge : ce champ est uniquement
disponible si le mode radio sélectionné inclut 802.11n.
L'intervalle de sûreté est le temps mort, en nanosecondes, entre les
symboles OFDM. L'intervalle de sûreté empêche les interférences ISI (InterSymbol Interference) et ICI (Inter-Carrier Interference). Le mode 802.11n
permet dans cet intervalle de sûreté de diminuer la définition a et g de
800 nanosecondes à 400 nanosecondes. La diminution de l'intervalle de
sûreté peut entraîner une amélioration de 10 pour cent du débit de données.
Le client avec lequel le périphérique WAP communique doit aussi prendre
en charge l'intervalle de sûreté court.
Sélectionnez l'une des options suivantes :
•
-
Oui : le périphérique WAP transmet les données avec un intervalle de
sûreté de 400 nanosecondes lorsqu'il communique avec des clients qui
prennent aussi en charge l'intervalle de sûreté court. Oui est la sélection
par défaut.
-
Non : le périphérique WAP transmet les données avec un intervalle de
sûreté de 800 nanosecondes.
Protection : la fonction de protection contient les règles garantissant que les
transmissions 802.11 ne créent pas d'interférences avec les stations ou
applications héritées. Par défaut, la protection est activée (Automatique).
Lorsque la protection est activée, celle-ci est appelée si des périphériques
hérités se trouvent à portée du périphérique WAP.
Vous pouvez désactiver la protection (Désactivée) ; cependant, les clients
hérités ou les périphériques WAP à portée peuvent être affectés par les
transmissions 802.11n. La protection est également disponible lorsque le
mode est 802.11b/g. Si la protection est activée dans ce mode, elle protège
les clients 802.11b et les périphériques WAP contre les
transmissions 802.11g.
REMARQUE : Ce paramètre n'empêche pas le client de s'associer au
périphérique WAP.
•
Intervalle de balise : intervalle entre la transmission des trames de balise.
Le périphérique WAP les transmet à intervalles réguliers pour annoncer
l'existence du réseau sans fil. Le comportement par défaut consiste à
envoyer une trame de balise toutes les 100 millisecondes (ou 10 par
seconde).
Entrez un entier compris entre 20 et 2 000 millisecondes. La valeur par
défaut est 100 millisecondes.
Guide d'administration du Cisco WAP571/E
85
5
Technologie sans fil
Radio
•
Période DTIM : période DTIM (Delivery Traffic Information Map). Entrez un
entier compris entre 1 et 255 balises. La valeur par défaut est 2 balises.
Le message DTIM est un élément inclus dans certaines trames de balise. Il
indique les stations clientes actuellement en mode basse puissance qui ont
des données mises en mémoire tampon sur le périphérique WAP en attente
de sélection.
La période DTIM que vous spécifiez indique la fréquence à laquelle les
clients servis par ce périphérique WAP doivent rechercher les données
mises en mémoire tampon qui se trouvent encore sur le périphérique WAP
en attente de sélection.
La mesure s'effectue en balises. Par exemple, si vous définissez ce champ
à 1, les clients recherchent les données mises en mémoire tampon sur le
périphérique WAP à chaque balise. Si vous définissez ce champ à 10, les
clients effectuent leur recherche toutes les 10 balises.
•
Seuil de fragmentation : seuil de la taille de trame en octets. L'entier valide
doit être pair et se trouver dans la plage comprise entre 256 et 2 346. La
valeur par défaut est 2 346.
Le seuil de fragmentation est un moyen de limiter la taille des paquets
(trames) transmis sur le réseau. Si un paquet dépasse le seuil de
fragmentation que vous avez défini, la fonction de fragmentation est activée
et le paquet est envoyé sous forme de plusieurs trames 802.11.
Si le paquet transmis est égal ou inférieur au seuil, la fragmentation n'est pas
utilisée. La définition du seuil à une valeur la plus élevée (2 346 octets, qui est
la valeur par défaut) désactive effectivement la fragmentation.
La fragmentation implique une charge de traitement supérieure, en raison du
travail supplémentaire nécessaire à la division et au réassemblage des
trames, mais aussi parce qu'elle augmente le trafic des messages sur le
réseau. Toutefois, la fragmentation améliore la performance et la fiabilité du
réseau si elle est correctement configurée.
L'envoi de trames plus petites (par l'intermédiaire d'un seuil de fragmentation
plus bas) peut aider à résoudre les problèmes d'interférences, par exemple
avec les fours à micro-ondes.
Les trames agrégées 802.11n ou 802.11ac (AMPDU) ne peuvent pas être
fragmentées. La fragmentation n'est possible que pour les modes radio
hérités 802.11a et 802.11b/g.
Guide d'administration du Cisco WAP571/E
86
5
Technologie sans fil
Radio
Par défaut, la fragmentation est désactivée. Nous vous conseillons de ne pas
utiliser la fragmentation à moins que vous ne suspectiez des interférences
radio. Les en-têtes supplémentaires appliqués à chaque fragment
augmentent la charge de traitement sur le réseau et peuvent réduire
significativement le débit.
•
Seuil RTS : valeur de seuil RTS (Request to Send). La plage de nombres
entiers valides est comprise entre 0 et 65 535. La valeur par défaut est
65 535 octets.
Le seuil RTS indique le nombre d'octets dans un MPDU au-dessous duquel
aucune liaison RTS/CTS n'est établie.
La modification du seuil RTS peut aider à contrôler le flux de trafic dans le
périphérique WAP, notamment lorsqu'il comporte un grand nombre de
clients. Si vous spécifiez une faible valeur de seuil, les paquets RTS sont
envoyés plus fréquemment, ce qui consomme davantage de bande
passante et réduit le débit du paquet. Cependant, l'envoi d'un plus grand
nombre de paquets RTS peut permettre le rétablissement du réseau suite à
des interférences ou des collisions susceptibles de se produire sur un
réseau chargé ou sur un réseau rencontrant des interférences
électromagnétiques.
Le seuil RTS est utilisé uniquement pour les trames de données 802.11
héritées (c'est-à-dire pas pour 802.11n ou 802.11ac). Dans le cas des modes
802.11n et 802.11ac, les transmissions AMPDU sont protégées par un
échange RTS/CTS, indépendamment de la longueur des trames.
•
Utilisation de la bande passante : indique le volume de bande passante
radio pouvant être consommé avant que le périphérique WAP ne cesse
d'autoriser de nouvelles associations de clients. La plage de nombres
entiers valide est comprise entre 0 et 100 pour cent. Si elle est définie
à 0, toutes les nouvelles associations sont autorisées quel que soit le
taux d'utilisation. La valeur par défaut est 0.
•
Nombre maximal de clients associés : nombre maximal de stations
autorisées à accéder à chaque radio de ce périphérique WAP à tout
moment. Vous pouvez entrer un entier compris entre 0 et 200. La valeur par
défaut est 200 stations. Le périphérique bibande WAP571/E peut prendre
en charge un maximum de 400 clients.
•
Puissance de transmission : valeur de pourcentage du niveau de puissance
de transmission pour ce périphérique WAP.
Guide d'administration du Cisco WAP571/E
87
5
Technologie sans fil
Radio
La valeur par défaut de 100 pour cent peut être plus économique qu'un
pourcentage inférieur, car elle donne au périphérique WAP une plage de
diffusion maximale et réduit le nombre de points d'accès requis.
Pour accroître la capacité du réseau, rapprochez les périphériques WAP les
uns des autres et diminuez la valeur de puissance de transmission. Vous
réduisez ainsi le chevauchement et les interférences entre les points
d'accès. Une puissance de transmission plus basse permet également de
sécuriser davantage votre réseau, car des signaux sans fil plus faibles sont
moins susceptibles de se propager à l'extérieur de l'emplacement physique
de votre réseau.
Certaines combinaisons de plages de canaux et de code de pays ont une
puissance de transmission maximale relativement basse. Si vous essayez
de définir la puissance de transmission sur des plages plus basses (par
exemple, 25 % ou 12 %), la baisse de puissance attendue est susceptible de
ne pas se produire, car certains amplificateurs de puissance doivent
respecter une puissance de transmission minimale.
•
Prise en charge des rafales de trames : d'une manière générale,
l'activation de la prise en charge des rafales de trames permet
d'améliorer les performances radio en aval.
•
Taux de multidiffusion fixe : vitesse de transmission en Mbit/s pour les
paquets de diffusion et de multidiffusion. Ce paramètre peut être utile dans
un environnement offrant une lecture vidéo à multidiffusion sans fil, pourvu
que les clients sans fil prennent en charge le débit configuré.
Lorsque Automatique est sélectionné, le périphérique WAP choisit le
meilleur débit pour les clients associés. La plage de valeurs valides est
déterminée par le mode radio configuré.
•
Ensembles de débits existants : les débits sont exprimés en mégabits par
seconde.
Les débits pris en charge par le périphérique WAP sont indiqués dans
Ensembles de débits pris en charge. Vous pouvez sélectionner plusieurs
débits (cochez une case pour sélectionner un débit ou décochez-la pour le
désélectionner). Le périphérique WAP choisit automatiquement le débit le
plus efficace en fonction de facteurs comme les taux d'erreur et la distance
à laquelle les stations clientes se trouvent du périphérique WAP.
Guide d'administration du Cisco WAP571/E
88
5
Technologie sans fil
Radio
Ensembles de débits de base indique les débits annoncés au réseau par le
périphérique WAP, de façon à établir la communication avec les autres
points d'accès et stations clientes du réseau. Il est généralement plus
efficace d'avoir un périphérique WAP qui diffuse un sous-ensemble de ses
ensembles de débits pris en charge.
•
Limites de débit de diffusion/multidiffusion : la limite du débit de diffusion
et multidiffusion peut augmenter la performance globale du réseau en
limitant le nombre de paquets transmis sur le réseau.
Par défaut, l'option Limites de débit de diffusion/multidiffusion est
désactivée. Tant que vous n'activez pas l'option Limites de débit de diffusion/
multidiffusion, les champs suivants sont désactivés :
•
•
-
Limite de débit : limite de débit pour le trafic de diffusion et
multidiffusion. La limite doit être supérieure à 1, mais inférieure à
50 paquets par seconde. Tout le trafic inférieur à cette limite de débit est
conforme et est toujours transmis vers la destination appropriée. Le
paramètre de limite de débit par défaut et maximale est de 50 paquets
par seconde.
-
Rafale de limite de débit : volume de trafic, mesuré en octets, autorisé à
transiter sous forme de rafale temporaire même s'il dépasse le débit
maximal défini. Le paramètre de rafale de limite de débit par défaut et
maximale est de 75 paquets par seconde.
Mode TSPEC : régule le mode TSPEC global sur le périphérique WAP. Par
défaut, le mode TSPEC est désactivé. Les options sont les suivantes :
-
Activé : le périphérique WAP traite les demandes TSPEC en fonction des
paramètres TSPEC définis sur la page Radio. Utilisez ce paramètre si le
périphérique WAP gère le trafic provenant de périphériques QoS, tels
qu'un téléphone certifié Wi-Fi.
-
Désactivé : le périphérique WAP ignore les demandes TSPEC des
stations clientes. Utilisez ce paramètre si vous ne souhaitez pas utiliser
TSPEC pour donner la priorité aux périphériques QoS en cas de trafic
urgent.
Mode ACM voix TSPEC : régule le contrôle d'admission obligatoire (ACM)
pour la catégorie d'accès vocal. Par défaut, le mode ACM voix TSPEC est
désactivé. Les options sont les suivantes :
-
Activé : une station doit envoyer une demande TSPEC de bande
passante au périphérique WAP avant d'envoyer ou de recevoir un flux de
trafic vocal. Le périphérique WAP répond avec le résultat de la demande,
qui inclut le temps moyen alloué si la TSPEC a été autorisée.
Guide d'administration du Cisco WAP571/E
89
5
Technologie sans fil
Radio
-
Désactivé : une station peut envoyer et recevoir le trafic de priorité
vocale sans nécessiter de TSPEC autorisée ; le périphérique WAP ignore
les demandes TSPEC vocales des stations clientes.
•
Limite ACM voix TSPEC : limite supérieure du volume de trafic que le
périphérique WAP tente de transmettre sur le support sans fil via un contrôle
d'autorisation vocal pour obtenir l'accès. La limite par défaut est de 20 pour
cent du trafic total.
•
Mode ACM vidéo TSPEC : régule le contrôle d'admission obligatoire pour la
catégorie d'accès vidéo. Par défaut, le mode ACM vidéo TSPEC est
désactivé. Les options sont les suivantes :
-
Activé : une station doit envoyer une demande TSPEC de bande
passante au périphérique WAP avant d'envoyer ou de recevoir un flux de
trafic vidéo. Le périphérique WAP répond avec le résultat de la demande,
qui inclut le temps moyen alloué si la TSPEC a été autorisée.
-
Désactivé : une station peut envoyer et recevoir le trafic de priorité vidéo
sans nécessiter de TSPEC autorisée ; le périphérique WAP ignore les
demandes TSPEC vidéo des stations clientes.
•
Limite ACM vidéo TSPEC : limite supérieure du volume de trafic que le
périphérique WAP tente de transmettre sur le support sans fil via un contrôle
d'autorisation vidéo pour obtenir l'accès. La limite par défaut est de 15 pour
cent du trafic total.
•
Délai d'inactivité du point d'accès TSPEC : durée nécessaire à un
périphérique WAP pour détecter une spécification inactive de trafic
descendant avant de la supprimer. La plage de nombres entiers valides est
comprise entre 0 et 120 secondes. La valeur par défaut est 30 secondes.
•
Délai d'inactivité de la station TSPEC : durée nécessaire à un
périphérique WAP pour détecter une spécification inactive de trafic montant
avant de la supprimer. La plage de nombres entiers valides est comprise
entre 0 et 120 secondes. La valeur par défaut est 30 secondes.
•
Mode de mappage de files d'attente WMM TSPEC : active ou désactive
l'interaction du trafic hérité dans les files d'attente fonctionnant comme ACM.
Par défaut, ce mode est désactivé.
•
TurboQAM : cette fonctionnalité a pour but d'activer/de désactiver les
extensions spécifiques à Broadcom dans VHT pour les liaisons Broadcomvers-Broadcom. La fonction VHT prend en charge les débits VHT 256QAM
non spécifiés par le projet de norme 802.11ac. Les débits sont les suivants :
Guide d'administration du Cisco WAP571/E
90
Technologie sans fil
Détection de point d'accès non autorisé
5
mode LDPC VHT global, MCS 9 Nss 1 20 MHz, MCS 9 Nss 2 20 MHz,
MCS 6 Nss 3 80 MHz. La fonction VHT est prise en charge pour la couche
physique 802.11ac.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Détection de point d'accès non autorisé
Un point d'accès non autorisé est un point d'accès qui a été installé sur un réseau
sécurisé sans l'autorisation explicite d'un administrateur système. Les points
d'accès non autorisés constituent une menace en matière de sécurité car toute
personne ayant accès aux locaux peut, par ignorance ou par malveillance, installer
un point d'accès sans fil bon marché pouvant potentiellement permettre à des
personnes non autorisées d'accéder au réseau.
Le point d'accès effectue une analyse RF sur tous les canaux de chaque radio afin
de détecter tous les points d'accès à proximité du réseau. Si des points d'accès
non autorisés sont détectés, ils apparaissent sur la page Détection de point
d'accès non autorisé. Si un point d'accès identifié comme non autorisé est en
réalité légitime, vous pouvez l'ajouter à la Liste des points d'accès connus.
REMARQUE : La Liste des points d'accès non autorisés détectés et la Liste des points d'accès
approuvés fournissent les informations vous permettant de prendre les mesures
adéquates. Le point d'accès n'a aucun contrôle sur les points d'accès non autorisés
qui sont indiqués dans les listes et ne peut pas appliquer de stratégies de sécurité
aux points d'accès détectés via l'analyse RF.
Pour obtenir des informations supplémentaires sur les points d'accès non
autorisés, sélectionnez Technologie sans fil > Détection de point d'accès non
autorisé dans le volet de navigation principal.
Guide d'administration du Cisco WAP571/E
91
Technologie sans fil
Détection de point d'accès non autorisé
5
Pour obtenir des informations supplémentaires sur les points d'accès non
autorisés, sélectionnez Technologie sans fil > Détection de point d'accès non
autorisé.
Lorsque la détection de point d'accès est activée, la radio bascule régulièrement
de son canal de fonctionnement pour analyser les autres canaux de la même
bande.
Affichage de la liste des points d'accès non autorisés
La détection de point d'accès non autorisé peut être activée et désactivée. Pour
que la radio puisse collecter des informations sur les points d'accès non autorisés,
cliquez sur Activer en regard de Détection du point d'accès pour Radio 1 ou
Radio 2, puis cliquez sur Enregistrer.
La détection des points d'accès non autorisés ne possède aucune méthode
d'actualisation et le SSID est conservé dans la base de données une fois détecté.
Les informations relatives aux points d'accès non autorisés détectés et approuvés
s'affichent. Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher
les informations les plus à jour :
•
Action : si le point d'accès se trouve dans la Liste des points d'accès non
autorisés détectés, vous pouvez cliquer sur Approuvé pour le déplacer
vers la Liste des points d'accès approuvés.
Si le point d'accès se trouve dans la Liste des points d'accès approuvés,
vous pouvez cliquer sur Non approuvé pour le déplacer vers la Liste des
points d'accès non autorisés détectés.
REMARQUE : La Liste des points d'accès non autorisés détectés et la Liste des
points d'accès approuvés fournissent des informations. Le point d'accès n'a aucun
contrôle sur les points d'accès figurant dans la liste et ne peut pas appliquer de
stratégies de sécurité aux points d'accès détectés via l'analyse RF.
•
Adresse MAC : adresse MAC du point d'accès non autorisé.
•
Radio : indique si le point d'accès non autorisé a été détecté sur la Radio 1
(wlan0) ou la Radio 2 (wlan1).
•
Intervalle de balise : intervalle de balise utilisé par le point d'accès non
autorisé.
Les trames de balise sont transmises par un point d'accès à intervalles
réguliers pour annoncer l'existence du réseau sans fil. Le comportement par
défaut consiste à envoyer une trame de balise toutes les 100 millisecondes
(ou 10 par seconde).
Guide d'administration du Cisco WAP571/E
92
Technologie sans fil
Détection de point d'accès non autorisé
5
REMARQUE : Vous pouvez définir l'intervalle de balise sur la page Radio.
•
•
Type : type de périphérique :
-
Point d'accès indique que le périphérique non autorisé est un point
d'accès qui prend en charge la structure de réseau sans fil IEEE 802.11
en mode Infrastructure.
-
Ad hoc indique une station non autorisée fonctionnant en mode Ad hoc.
Les stations définies en mode Ad hoc communiquent directement entre
elles, sans utiliser de point d'accès classique. Le mode Ad hoc est une
structure de réseau sans fil IEEE 802.11, également appelée mode peerto-peer, ou un ensemble de services de base indépendants (IBSS).
SSID : SSID (Service Set Identifier) du périphérique WAP.
Le SSID est une chaîne alphanumérique de 32 caractères maximum qui
identifie de manière unique un réseau local sans fil. On l'appelle également
Nom du réseau.
•
Confidentialité : indique si un processus de sécurité est appliqué au
périphérique non autorisé :
-
L'option Désactivé indique que le mode de Sécurité sur le périphérique
non autorisé est défini sur Aucun (aucune sécurité).
-
L'option Activé indique que le périphérique non autorisé intègre un
processus de sécurité.
REMARQUE : Vous pouvez utiliser la page Réseaux pour configurer la sécurité sur
le point d'accès.
•
WPA : spécifie si la sécurité WPA est activée ou désactivée pour le point
d'accès non autorisé.
•
Bande : mode IEEE 802.11 utilisé sur le point d'accès non autorisé. (Par
exemple, IEEE 802.11a, IEEE 802.11b, IEEE 802.11g.)
Le numéro affiché indique le mode :
•
-
2,4 indique le mode IEEE 802.11b, 802.11g ou 802.11n (ou une
combinaison des modes).
-
5 indique le mode IEEE 802.11a, 802.11n ou 802.11ac (ou une
combinaison des modes).
Canal : canal sur lequel le point d'accès non autorisé diffuse actuellement.
Guide d'administration du Cisco WAP571/E
93
Technologie sans fil
Détection de point d'accès non autorisé
5
Le canal définit la partie du spectre radio utilisée par la radio pour la
transmission et la réception.
REMARQUE : La page Radio vous permet de définir le canal.
REMARQUE : Lorsque le point d'accès fonctionne dans le canal DFS, l'analyse est
interdite. Par conséquent, aucun point d'accès non autorisé ne sera détecté.
•
Débit : débit, en mégabits par seconde, auquel le point d'accès non autorisé
transmet actuellement.
Le débit actuel est toujours l'un des débits spécifiés dans Débits pris en
charge.
La vitesse signalée est la vitesse du dernier paquet transmis au client à
partir du point d'accès. Cette valeur peut varier dans la gamme des
vitesses annoncées sur la base de la qualité du signal entre le point d'accès
et le client, et de la vitesse à laquelle les trames de diffusion ou de
multidiffusion sont envoyées. Lorsque le point d'accès envoie une trame de
diffusion à une station en utilisant les vitesses par défaut, le champ indique
1 Mbit/s pour les radios 2,4 GHz et 6 Mbit/s pour les radios 5 GHz. Les
clients non actifs sont les plus susceptibles de signaler des vitesses par
défaut faibles.
•
Signal : puissance du signal radio qui émet depuis le point d'accès non
autorisé. Si vous passez le pointeur de la souris sur les barres, un nombre
représentant la puissance en décibels (dB) apparaît.
•
Balises : nombre total de balises reçues du point d'accès non autorisé
depuis sa première détection.
•
Dernière balise : date et heure de la dernière balise reçue du point d'accès
non autorisé.
•
Débits : ensembles de débits de base (annoncés) et pris en charge pour le
point d'accès non autorisé. Les débits sont affichés en mégabits par
seconde (Mbit/s).
Tous les débits pris en charge sont répertoriés ; les débits de base
apparaissent en gras. Vous pouvez configurer les ensembles de débits sur
la page Radio.
Guide d'administration du Cisco WAP571/E
94
Technologie sans fil
Détection de point d'accès non autorisé
5
Création et enregistrement d'une Liste des points d'accès approuvés
Pour créer une Liste des points d'accès approuvés et l'enregistrer dans un fichier :
ÉTAPE 1 Dans la Liste des points d'accès non autorisés détectés, cliquez sur Confiance
pour les points d'accès que vous connaissez. Les points d'accès approuvés sont
déplacés vers la Liste des points d'accès approuvés.
ÉTAPE 2 Dans la zone Télécharger/sauvegarder la liste des points d'accès approuvés,
sélectionnez Sauvegarder (Point d'accès vers ordinateur).
ÉTAPE 3 Cliquez sur Enregistrer.
La liste contient les adresses MAC de tous les points d'accès qui ont été ajoutés à
la Liste des points d'accès connus. Par défaut, le nom du fichier est Rogue2.cfg.
Vous pouvez utiliser un éditeur de texte ou un navigateur Web pour ouvrir le fichier
et afficher son contenu.
Importation d'une Liste des points d'accès approuvés
Vous pouvez importer une liste de points d'accès connus à partir d'une liste
enregistrée. Vous pouvez obtenir la liste depuis un autre point d'accès ou la créer à
partir d'un fichier texte. Si l'adresse MAC d'un point d'accès apparaît dans la Liste
des points d'accès approuvés, elle ne sera plus détectée comme non autorisée.
Pour importer une liste de points d'accès à partir d'un fichier, procédez comme
suit :
ÉTAPE 1 Dans la zone Télécharger/sauvegarder la liste des points d'accès approuvés,
sélectionnez Télécharger (Ordinateur vers point d'accès).
ÉTAPE 2 Cliquez sur Parcourir et choisissez le fichier à importer.
Le fichier que vous importez doit être un fichier texte brut portant une extension
.txt ou .cfg. Les entrées du fichier sont des adresses MAC au format hexadécimal,
dont chaque octet est séparé par le signe deux points (par exemple,
00:11:22:33:44:55). Vous devez séparer les entrées par un espace. Pour que le
point d'accès accepte le fichier, il doit uniquement contenir des adresses MAC.
Guide d'administration du Cisco WAP571/E
95
5
Technologie sans fil
Réseaux
ÉTAPE 3 Indiquez si vous souhaitez remplacer la Liste des points d'accès approuvés
existante ou ajouter les entrées du fichier importé à la Liste des points d'accès
approuvés.
a. Sélectionnez Remplacer pour importer la liste et remplacer le contenu de la
Liste des points d'accès connus.
b. Sélectionnez Fusionner pour importer la liste et ajouter les points d'accès du
fichier importé aux points d'accès qui sont déjà présents dans la Liste des
points d'accès connus.
ÉTAPE 4 Cliquez sur Enregistrer.
Une fois l'importation terminée, l'écran s'actualise et les adresses MAC des points
d'accès du fichier importé apparaissent dans la Liste des points d'accès connus.
Réseaux
Les points d'accès virtuels (VAP) segmentent le réseau local sans fil en plusieurs
domaines de diffusion qui constituent l'équivalent sans fil des VLAN Ethernet. Les
VAP simulent plusieurs points d'accès dans un seul périphérique WAP physique.
Le point d'accès prend en charge jusqu'à 16 points d'accès virtuels. Chaque VAP
peut être activé ou désactivé indépendamment, à l'exception du VAP0. Le VAP0
est l'interface radio physique et reste activé tant que la radio est activée. Pour
désactiver le VAP0, la radio elle-même doit être désactivée.
Chaque VAP est identifié par un SSID (Service Set Identifier) configuré par
l'utilisateur. Plusieurs VAP ne peuvent pas avoir le même nom SSID. Les
diffusions SSID peuvent être activées ou désactivées indépendamment sur
chaque VAP. La diffusion SSID est activée par défaut.
Conventions d'affectation de noms SSID
Le SSID par défaut de VAP0 est ciscosb. Chaque VAP supplémentaire créé a un
nom SSID vierge. Les SSID de tous les VAP peuvent être définis sur d'autres
valeurs.
Le SSID peut être n'importe quelle entrée alphanumérique sensible à la casse
constituée de 2 à 32 caractères. Les caractères imprimables plus l'espace (ASCII
0x20) sont autorisés.
Les caractères autorisés sont les suivants :
Guide d'administration du Cisco WAP571/E
96
5
Technologie sans fil
Réseaux
ASCII 0x20 à 0x7E.
Les espaces au début et à la fin (ASCII 0x20) ne sont pas autorisés.
REMARQUE : Cela signifie que les espaces sont autorisés dans le SSID, mais pas comme
premier ou dernier caractère. Le point « . » (ASCII 0x2E) est aussi autorisé.
ID de VLAN
Chaque VAP est associé à un VLAN, qui est identifié par un ID de VLAN (VID). Un
VID peut avoir n'importe quelle valeur comprise entre 1 et 4 094 inclus. Le
périphérique WAP571/E prend en charge 33 VLAN actifs (32 pour le réseau local
sans fil, plus un VLAN de gestion).
Par défaut, le VID attribué à l'utilitaire de configuration pour le périphérique WAP
est 1, qui est aussi le VID non balisé par défaut. Si le VID de gestion est le même
que le VID attribué à un VAP, les clients WLAN associés à ce VAP spécifique
peuvent administrer le périphérique WAP. Si nécessaire, une liste de contrôle
d'accès (ACL) peut être créée pour désactiver l'administration depuis les clients
WLAN.
Configuration des VAP
Pour configurer les VAP :
ÉTAPE 1 Sélectionnez Technologie sans fil > Réseaux dans le volet de navigation.
ÉTAPE 2 Sélectionnez l'interface Radio sur laquelle vous voulez configurer les VAP (Radio 1
ou Radio 2).
ÉTAPE 3 Activez la case à cocher Activé correspondant au VAP que vous voulez configurer.
—Ou—
Si VAP0 est le seul VAP configuré sur le système et que vous souhaitez ajouter un
VAP, cliquez sur Ajouter. Sélectionnez ensuite le VAP, puis cliquez sur Modifier.
ÉTAPE 4 Configurez les paramètres suivants :
•
ID de VLAN : VID du VLAN à associer au VAP.
!
AVERTISSEMENT Veillez à saisir un ID de VLAN correctement configuré sur le réseau. Des problèmes
réseau peuvent survenir si le VAP associe des clients sans fil dont le VLAN est
incorrectement configuré.
Si un client sans fil se connecte au périphérique WAP par l'intermédiaire de ce VAP,
le périphérique WAP balise tout le trafic à partir du client sans fil avec l'ID de VLAN
Guide d'administration du Cisco WAP571/E
97
5
Technologie sans fil
Réseaux
que vous saisissez dans ce champ, sauf si vous saisissez l'ID de VLAN du port ou
que vous utilisez un serveur RADIUS pour attribuer un client sans fil à un VLAN. La
plage de l'ID de VLAN est comprise entre 1 et 4094.
REMARQUE : Si vous définissez l'ID de VLAN sur un autre ID que l'ID de VLAN de
gestion actuel, les clients WLAN associés à ce VAP spécifique ne pourront pas
administrer le périphérique. Vérifiez la configuration des ID de VLAN non balisés et
de gestion sur la page du réseau local (LAN). Pour obtenir plus d'informations,
reportez-vous à la section Configuration du VLAN.
•
Nom SSID : nom du réseau sans fil. Le SSID est une chaîne alphanumérique
constituée de 32 caractères maximum. Choisissez un SSID unique pour
chaque VAP.
REMARQUE : Si vous êtes connecté en tant que client sans fil au périphérique WAP
que vous administrez, la réinitialisation du SSID entraînera une perte de connexion
au périphérique WAP. Vous devrez vous reconnecter au nouveau SSID une fois
cette nouvelle configuration enregistrée.
•
Diffusion SSID : active et désactive la diffusion du SSID.
Indiquez si vous souhaitez autoriser le périphérique WAP à diffuser le SSID
dans ses trames de balise. Le paramètre Diffusion SSID est activé par
défaut. Lorsque le VAP ne diffuse pas son SSID, le nom réseau n'apparaît pas
dans la liste des réseaux disponibles sur une station cliente. Vous devez
donc saisir manuellement le nom réseau exact dans l'utilitaire de connexion
sans fil sur le client, afin de permettre l'établissement de la connexion.
La désactivation du SSID de diffusion est suffisante pour empêcher les
clients de se connecter accidentellement à votre réseau, mais celle-ci
n'empêche aucunement la plus simple des tentatives d'un pirate
informatique de se connecter ou de surveiller le trafic déchiffré. La
suppression de la diffusion SSID offre un niveau de protection très bas sur
un réseau autrement exposé (comme un réseau d'invité) où la priorité est de
permettre aux clients d'obtenir une connexion et où aucune information
sensible n'est disponible.
•
Sécurité : type d'authentification requis pour l'accès au VAP :
-
Aucune
-
WEP statique
-
WEP dynamique
-
WPA personnel
Guide d'administration du Cisco WAP571/E
98
5
Technologie sans fil
Réseaux
-
WPA entreprise
Si vous sélectionnez un autre mode de sécurité que Aucune, des champs
supplémentaires s'affichent. Nous vous conseillons d'utiliser WPA personnel
ou WPA entreprise comme type d'authentification, car ils offrent une sécurité
plus élevée. Utilisez WEP statique ou WEP dynamique uniquement pour les
périphériques ou ordinateurs sans fil hérités qui ne prennent pas en charge
WPA personnel/entreprise. Si vous devez définir la sécurité sur WEP
statique ou WEP dynamique, configurez Radio sur le mode 802.11a ou
802.11b/g (voir Radio). Le mode 802.11n restreint l'utilisation de WEP
statique ou WEP dynamique en tant que mode de sécurité.
•
Filtrage MAC : indique si les stations qui peuvent accéder à ce VAP sont
limitées à une liste globale configurée d'adresses MAC (voir Filtrage MAC).
Vous pouvez sélectionner l'un de ces types de filtrage MAC :
-
Désactivé : vous n'utilisez pas le filtrage MAC.
-
Local : vous utilisez la liste d'authentification MAC que vous configurez
sur la page Filtrage MAC.
-
RADIUS : vous utilisez la liste d'authentification MAC sur un serveur
RADIUS externe.
•
Isolation des canaux : active et désactive l'isolation des stations.
•
Lorsque ce paramètre est désactivé, les clients sans fil peuvent
communiquer entre eux normalement en envoyant le trafic via le
périphérique WAP.
-
Lorsque ce paramètre est activé, le périphérique WAP bloque les
communications entre les clients sans fil situés sur le même VAP. Le
périphérique WAP autorise toujours le trafic de données entre ses clients
sans fil et les périphériques filaires du réseau, via une liaison WDS, et
avec les autres clients sans fil associés à un autre VAP, mais pas au sein
même des clients sans fil.
REMARQUE : L'isolation des canaux peut être appliquée aux clients connectés au même VAP d'un
point d'accès donné, mais pas à l'ensemble des clients connectés au même VAP de
différents points d'accès. Ainsi, les clients connectés au même VAP d'un point
d'accès donné ne peuvent pas s'envoyer de requêtes ping, contrairement aux
clients connectés au même VAP de différents points d'accès.
Guide d'administration du Cisco WAP571/E
99
5
Technologie sans fil
Réseaux
•
Guidage de bandes : active le guidage de bande lorsque les deux radios
sont actives. La bande passante d'ordre n de la radio n'est pas prise en
considération pour le guidage de bande. Même si la radio 5 GHz utilise la
bande passante de 20 MHz, le point d'accès tente de guider les clients vers
cette radio après configuration du guidage de bande.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
REMARQUE : Pour supprimer un VAP, sélectionnez-le, puis cliquez sur Supprimer. Pour
enregistrer définitivement votre suppression, cliquez sur Enregistrer lorsque vous
avez terminé.
Configuration des paramètres de sécurité
Ces sections décrivent les paramètres de sécurité que vous définissez, en
fonction de votre sélection dans la liste Sécurité de la page Réseaux.
Aucun
Si vous sélectionnez Aucun comme mode de sécurité, aucun paramètre de
sécurité supplémentaire ne peut être défini sur le point d'accès. Ce mode signifie
que toutes les données transférées de et vers le point d'accès ne sont pas
chiffrées. Ce mode de sécurité peut être utile lors de la configuration initiale du
réseau pour la résolution des problèmes, mais il n'est pas recommandé pour une
utilisation régulière sur le réseau interne, car il n'offre pas la sécurité nécessaire.
WEP statique
Wired Equivalent Privacy (WEP) est un protocole de chiffrement de données
destiné aux réseaux sans fil 802.11. Tous les points d'accès et stations sans fil du
réseau sont configurés avec une clé partagée statique 64 bits (clé secrète
40 bits + vecteur d'initialisation 24 bits (IV)) ou 128 bits (clé secrète 104 bits + clé
partagée 24 bits (IV) pour le chiffrement des données.
Guide d'administration du Cisco WAP571/E
100
5
Technologie sans fil
Réseaux
WEP statique n'est pas le mode offrant le plus de sécurité, mais il fournit
davantage de protection que le mode Aucun, puisqu'il empêche un utilisateur
externe de facilement détecter le trafic sans fil non chiffré.
WEP chiffre les données transmises sur le réseau sans fil à partir d'une clé
statique. (L'algorithme de chiffrement est un chiffrement de flux appelé RC4.)
Les paramètres suivants vous permettent de configurer le mode WEP statique :
•
Index de clé de transfert : liste des index de clé. Les index de clé 1 à 4 sont
disponibles. La valeur par défaut est 1.
Index de clé de transfert indique la clé WEP utilisée par le périphérique
WAP pour chiffrer les données qu'il transmet.
•
•
•
Longueur de clé : longueur de la clé. Sélectionnez-en un :
-
64 bits
-
128 bits
Type de clé : type de clé. Sélectionnez-en un :
-
ASCII
-
Hex
Clés WEP : vous pouvez spécifier un maximum de quatre clés WEP. Dans
chaque zone de texte, saisissez une chaîne de caractères pour chaque clé.
Les clés que vous saisissez dépendent du type de clé sélectionné :
-
ASCII : inclut les lettres alphabétiques majuscules et minuscules, les
chiffres numériques et les symboles spéciaux comme @ et #.
-
Hex : inclut les chiffres 0 à 9 et les lettres A à F.
Utilisez le même nombre de caractères pour chaque clé, comme spécifié
dans le champ Caractères requis. Il s'agit des clés RC4 WEP partagées
avec les stations par l'intermédiaire du périphérique WAP.
Chaque station cliente doit être configurée pour utiliser l'une de ces
mêmes clés WEP, dans le même logement que celui spécifié sur le
périphérique WAP.
•
Caractères requis : le nombre de caractères que vous saisissez dans les
champs Clé WEP est déterminé par la longueur de clé et le type de clé que
vous sélectionnez. Par exemple, si vous utilisez des clés ASCII 128 bits,
vous devez saisir 26 caractères dans le champ Clé WEP. Le nombre de
Guide d'administration du Cisco WAP571/E
101
5
Technologie sans fil
Réseaux
caractères requis est automatiquement mis à jour en fonction de votre
sélection de la longueur de clé et du type de clé.
•
Authentification 802.1X : l'algorithme d'authentification définit la méthode
utilisée pour déterminer si une station cliente est autorisée à s'associer à un
périphérique WAP lorsque le mode de sécurité WEP statique est
sélectionné.
Spécifiez l'algorithme d'authentification que vous souhaitez utiliser en
choisissant l'une des options suivantes :
-
L'authentification Système ouvert permet à n'importe quelle station
cliente de s'associer au périphérique WAP, peu importe si cette station
cliente dispose de la clé WEP correcte. Cet algorithme est aussi utilisé
en mode plaintext (texte en clair), IEEE 802.1X et WPA. Lorsque
l'algorithme d'authentification est défini sur Système ouvert, tout client
peut s'associer au périphérique WAP.
REMARQUE : Le fait qu'une station cliente soit autorisée à s'associer ne signifie
pas qu'elle pourra systématiquement échanger des données avec un
périphérique WAP. Une station doit disposer de la clé WEP correcte pour
pouvoir accéder au périphérique WAP et déchiffrer ses données, mais aussi
pour transmettre des données lisibles à celui-ci.
-
L'authentification Clé partagée nécessite que la station cliente dispose
de la clé WEP correcte pour s'associer au périphérique WAP. Lorsque
l'algorithme d'authentification est défini sur Clé partagée, une station
ayant une clé WEP incorrecte ne peut pas s'associer au
périphérique WAP.
-
Système ouvert et Clé partagée. Si vous sélectionnez les deux
algorithmes d'authentification, les stations clientes configurées pour
utiliser le WEP en mode de clé partagée doivent disposer d'une clé WEP
valide pour s'associer au périphérique WAP. En outre, les stations
clientes configurées pour utiliser le WEP en mode Système ouvert (Clé
partagée désactivée) peuvent s'associer au périphérique WAP même si
elles ne disposent pas de la clé WEP correcte.
Règles du mode WEP statique
Si vous utilisez WEP statique, les règles suivantes s'appliquent :
•
Toutes les stations clientes doivent avoir la sécurité du LAN sans fil (WLAN)
définie sur WEP, et tous les clients doivent disposer de l'une des clés WEP
spécifiées sur le périphérique WAP pour pouvoir décoder les transmissions
de données du point d'accès vers la station.
Guide d'administration du Cisco WAP571/E
102
5
Technologie sans fil
Réseaux
•
Le périphérique WAP doit avoir toutes les clés utilisées par les clients pour
les transmissions de la station vers le point d'accès, afin de pouvoir
décoder les transmissions de la station.
•
La même clé doit occuper le même logement sur tous les nœuds (point
d'accès et clients). Par exemple, si le périphérique WAP définit la clé abc123
comme clé WEP 3, alors les stations clientes doivent définir cette même
chaîne comme clé WEP 3.
•
Les stations clientes peuvent utiliser différentes clés pour transmettre des
données au point d'accès. (Elles peuvent aussi toutes utiliser la même clé,
mais cela s'avère moins sûr car cela signifie qu'une station peut déchiffrer
les données envoyées par une autre.)
•
Sur certains logiciels de clients sans fil, vous pouvez configurer plusieurs
clés WEP et définir un index de clé de transfert de station cliente, puis
définir les stations afin de chiffrer les données qu'elles transmettent par
l'intermédiaire de différentes clés. Cela permet de s'assurer que les points
d'accès situés à proximité ne pourront pas décoder les transmissions des
autres points d'accès.
•
Vous ne pouvez pas placer à la fois des clés WEP 64 bits et 128 bits entre
le point d'accès et ses stations clientes.
WEP dynamique
WEP dynamique se réfère à la combinaison de la technologie 802.1x et du
protocole EAP (Extensible Authentication Protocol). Avec la sécurité WEP
dynamique, les clés WEP sont changées dynamiquement.
Les messages EAP sont envoyés via un réseau sans fil IEEE 802.11 par
l'intermédiaire d'un protocole appelé EAP Encapsulation Over LANs (EAPOL). IEEE
802.1X fournit des clés générées dynamiquement qui sont régulièrement
actualisées. Un chiffrement de flux RC4 est utilisé pour déchiffrer le corps de
trame et le contrôle de redondance cyclique (CRC) de chaque trame 802.11.
Ce mode nécessite l'utilisation d'un serveur RADIUS externe pour l'authentification
des utilisateurs. Le périphérique WAP requiert un serveur RADIUS prenant en
charge EAP, tel que le serveur d'authentification Internet Microsoft. Pour
fonctionner avec les clients Microsoft Windows, le serveur d'authentification doit
prendre en charge Protected EAP (PEAP) et MSCHAP V2.
Vous pouvez recourir à un large choix de méthodes d'authentification prises en
charge par le mode IEEE 802.1X, notamment les certificats, Kerberos et
l'authentification par clé publique. Vous devez configurer les stations clientes afin
qu'elles utilisent la même méthode d'authentification que le périphérique WAP.
Guide d'administration du Cisco WAP571/E
103
5
Technologie sans fil
Réseaux
Les paramètres suivants vous permettent de configurer le mode WEP dynamique :
•
Utiliser les paramètres globaux des serveurs RADIUS : par défaut,
chaque VAP utilise les paramètres RADIUS globaux que vous définissez
pour le périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez
configurer chaque VAP de façon à ce qu'il utilise un autre groupe de
serveurs RADIUS.
Pour utiliser les paramètres de serveur RADIUS globaux, veillez à cocher la
case.
Pour utiliser un serveur RADIUS distinct pour le VAP, décochez la case et
saisissez l'adresse IP du serveur RADIUS, puis renseignez les champs cidessous :
•
Type d'adresse IP du serveur : version IP utilisée par le serveur RADIUS.
Vous pouvez basculer entre les différents types d'adresse afin de définir les
paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le
périphérique WAP ne contactera que le ou les serveurs RADIUS répondant
au type d'adresse que vous sélectionnez dans ce champ.
•
Adresse IP du serveur 1 ou Adresse IPv6 du serveur-1 : adresse du
serveur RADIUS principal pour ce VAP.
Lorsque le premier client sans fil tente de s'authentifier auprès du
périphérique WAP, le périphérique WAP envoie une demande
d'authentification au serveur principal. Si le serveur principal répond à la
demande d'authentification, le périphérique WAP continue à utiliser ce
serveur RADIUS comme serveur principal et les demandes
d'authentification sont envoyées à l'adresse spécifiée.
La forme de l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx
(192.0.2.10). La forme de l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
•
Adresse IP du serveur 2 à 4 ou Adresse IPv6 du serveur-2 à 4 : jusqu'à
trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde.
Si l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
•
Clé : clé secrète partagée que le périphérique WAP utilise pour
s'authentifier sur le serveur RADIUS principal.
Guide d'administration du Cisco WAP571/E
104
5
Technologie sans fil
Réseaux
Vous pouvez utiliser jusqu'à 63 caractères alphanumériques standard et
caractères spéciaux. La clé est sensible à la casse et doit correspondre à la
clé configurée sur le serveur RADIUS. Le texte que vous saisissez s'affiche
sous forme d'astérisques.
•
Clé 2 à Clé 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde
configurés. Le serveur spécifié dans le champ Adresse IP (IPv6) du serveur
2 utilise Clé 2 ; le serveur spécifié dans le champ Adresse IP (IPv6) du
serveur 3 utilise Clé 3, etc.
•
Activer la gestion de comptes RADIUS : active le suivi et la mesure des
ressources consommées par un utilisateur donné (heure système, volume
de données transmises et reçues, etc.).
Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est
activée à la fois pour le serveur RADIUS principal et pour l'ensemble des
serveurs de sauvegarde.
•
Serveur actif : permet de sélectionner administrativement le serveur
RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans
l'ordre chaque serveur configuré et de choisir le premier serveur actif.
•
Taux d'actualisation de la clé de diffusion : intervalle auquel la clé (groupe)
de diffusion est actualisée pour les clients associés à ce VAP.
La valeur par défaut est 300. La plage valide est comprise entre 0 et 86400
secondes. La valeur 0 indique que la clé de diffusion n'est pas actualisée.
•
Taux d'actualisation de la clé de session : intervalle auquel le
périphérique WAP actualise les clés de session (monodiffusion) pour
chaque client associé au VAP.
La plage valide est comprise entre 30 et 86 400 secondes. La valeur 0
indique que la clé de session n'est pas actualisée.
WPA personnel
WPA personnel est une norme IEEE 802.11i Wi-Fi Alliance qui inclut le chiffrement
AES-CCMP et TKIP. La version Personnel de WPA utilise une clé prépartagée
(PSK) au lieu de IEEE 802.1X et EAP comme dans le mode de sécurité WPA
entreprise. Le PSK est uniquement utilisé pour le contrôle initial des informations
d'identification. WPA personnel est également appelé WPA-PSK.
Ce mode de sécurité est rétrocompatible pour les clients sans fil qui prennent en
charge le WPA d'origine.
Les paramètres ci-après permettent de configurer WPA Personal :
Guide d'administration du Cisco WAP571/E
105
5
Technologie sans fil
Réseaux
•
Versions WPA : types de stations clientes à prendre en charge :
-
WPA-TKIP : le réseau intègre des stations clientes qui prennent en
charge uniquement le WPA d'origine ainsi que le protocole de sécurité
TKIP. Notez que le fait de sélectionner uniquement WPA-TKIP pour le
point d'accès n'est pas autorisé, conformément aux dernières exigences
de la WiFi Alliance.
-
WPA2-AES : toutes les stations clientes du réseau prennent en charge
la version WPA2 ainsi que le protocole de chiffrement et de sécurité
AES-CCMP. Cette version de WPA fournit une sécurité optimale avec la
norme IEEE 802.11i. Conformément aux dernières exigences de la WiFi
Alliance, le point d'accès doit prendre en charge ce mode en
permanence.
Si le réseau intègre un mélange de clients, certains prenant en charge le
WPA2 et d'autres prenant uniquement en charge le WPA d'origine, cochez
les deux cases. Les stations clientes WPA et WPA2 peuvent ainsi s'associer
et s'authentifier, mais peuvent aussi utiliser le WPA2 (plus robuste) pour les
clients qui le prennent en charge. Cette configuration WPA offre davantage
d'interopérabilité et un peu moins de sécurité.
Les clients WPA doivent avoir l'une des clés ci-dessous pour pouvoir
s'associer au périphérique WAP :
-
Une clé TKIP valide
-
Une clé AES-CCMP valide
•
Clé : clé secrète partagée pour la sécurité WPA personnel. Saisissez une
chaîne de 8 caractères minimum et de 63 caractères maximum. Les
caractères acceptés sont les lettres alphabétiques majuscules et minuscules,
les chiffres numériques et les symboles spéciaux comme @ et #.
•
Mesure de la fiabilité de la clé : le périphérique WAP contrôle la clé sur la
base de critères de complexité comme le nombre de types de caractères
différents utilisés (lettres alphabétiques majuscules et minuscules, nombres
et caractères spéciaux), mais vérifie également la longueur de la clé.
Lorsque la fonction de contrôle de la complexité WPA-PSK est activée, la
clé n'est pas acceptée si elle ne respecte pas les critères minimaux. Pour
obtenir des informations sur la configuration du contrôle de la complexité,
reportez-vous à la section Complexité WPA-PSK.
•
Taux d'actualisation de la clé de diffusion : intervalle auquel la clé (groupe)
de diffusion est actualisée pour les clients associés à ce VAP.
Guide d'administration du Cisco WAP571/E
106
5
Technologie sans fil
Réseaux
La valeur par défaut est 300 secondes. La plage valide est comprise entre
0 et 86 400 secondes. La valeur 0 indique que la clé de diffusion n'est pas
actualisée.
WPA entreprise
WPA entreprise avec RADIUS est une implémentation de la norme IEEE 802.11i
Wi-Fi Alliance, qui inclut le chiffrement CCMP (AES) et TKIP. Le mode Entreprise
nécessite l'utilisation d'un serveur RADIUS pour l'authentification des utilisateurs.
Ce mode de sécurité est rétrocompatible pour les clients sans fil qui prennent en
charge le WPA d'origine.
Les paramètres ci-après permettent de configurer WPA entreprise :
•
•
•
Versions WPA : types de stations clientes à prendre en charge :
-
WPA-TKIP : le réseau intègre des stations clientes qui prennent en
charge uniquement le WPA d'origine ainsi que le protocole de sécurité
TKIP. Notez que le fait de sélectionner uniquement WPA-TKIP pour le
point d'accès n'est pas autorisé, conformément aux dernières exigences
de la WiFi Alliance.
-
WPA2-AES : toutes les stations clientes du réseau prennent en charge la
version WPA2 ainsi que le protocole de chiffrement et de sécurité AESCCMP. Cette version de WPA fournit une sécurité optimale avec la norme
IEEE 802.11i. Conformément aux dernières exigences de la WiFi Alliance,
le point d'accès doit prendre en charge ce mode en permanence.
MFP : assure la sécurité des trames de gestion 802.11 non protégées et
non cryptées. Ce champ ne s'affiche que lorsque les champs CCMP et de
sécurité WPA2 sont activés. Vous pouvez configurer les valeurs des
trois cases à cocher suivantes. La valeur par défaut est Compatible.
-
Non requis
-
Compatible
-
Obligatoire
Activer la pré-authentification : si pour WPA Versions, vous sélectionnez
uniquement WPA2, ou à la fois WPA et WPA2, vous pouvez activer la préauthentification pour les clients WPA2.
Guide d'administration du Cisco WAP571/E
107
5
Technologie sans fil
Réseaux
Cliquez sur Activer la pré-authentification si vous souhaitez que les clients
sans fil WPA2 puissent envoyer des paquets de pré-authentification. Les
informations de pré-authentification sont relayées du périphérique WAP
que le client utilise actuellement vers le périphérique WAP cible. L'activation
de cette fonction permet d'accélérer l'authentification pour les clients en
itinérance qui se connectent à plusieurs points d'accès.
Cette option ne s'applique pas si vous avez sélectionné WPA pour Versions
WPA, car le WPA d'origine ne prend pas en charge cette fonction.
Les stations clientes configurées pour utiliser WPA avec RADIUS doivent
posséder l'une des adresses et clés suivantes :
•
-
Une adresse IP RADIUS TKIP et une clé RADIUS valides
-
Une adresse IP CCMP (AES) et une clé RADIUS valides
Utiliser les paramètres globaux des serveurs RADIUS : par défaut,
chaque VAP utilise les paramètres RADIUS globaux que vous définissez
pour le périphérique WAP (voir Serveur RADIUS). Toutefois, vous pouvez
configurer chaque VAP de façon à ce qu'il utilise un autre groupe de
serveurs RADIUS.
Pour utiliser les paramètres de serveur RADIUS globaux, veillez à cocher la
case.
Pour utiliser un serveur RADIUS distinct pour le VAP, décochez la case et
saisissez l'adresse IP du serveur RADIUS, puis renseignez les champs cidessous :
•
Type d'adresse IP du serveur : version IP utilisée par le serveur RADIUS.
Vous pouvez basculer entre les différents types d'adresse afin de définir les
paramètres d'adresse RADIUS globaux IPv4 et IPv6, mais le
périphérique WAP ne contactera que le ou les serveurs RADIUS répondant
au type d'adresse que vous sélectionnez dans ce champ.
•
Adresse IP du serveur 1 ou Adresse IPv6 du serveur 1 : adresse du
serveur RADIUS principal pour ce VAP.
Si IPv4 est sélectionné en tant que Type d'adresse IP du serveur,
saisissez l'adresse IP du serveur RADIUS que tous les VAP utilisent par
défaut (par exemple, 192.168.10.23). Si IPv6 est sélectionné, saisissez
l'adresse IPv6 du serveur RADIUS global principal (par exemple,
2001:DB8:1234::abcd).
Guide d'administration du Cisco WAP571/E
108
5
Technologie sans fil
Réseaux
•
Adresse IP du serveur 2 à 4 ou Adresse IPv6 du serveur 2 à 4 : jusqu'à
trois adresses IPv4 et/ou IPv6 à utiliser comme serveurs RADIUS de
sauvegarde pour ce VAP.
Si l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
•
Clé 1 : clé secrète partagée pour le serveur RADIUS global. Vous pouvez
utiliser jusqu'à 63 caractères alphanumériques standard et caractères
spéciaux. La clé est sensible à la casse. Vous devez en outre configurer la
même clé sur le périphérique WAP et sur votre serveur RADIUS. Le texte
que vous entrez s'affiche sous forme d'astérisques pour empêcher d'autres
personnes de voir la clé RADIUS pendant que vous la saisissez.
•
Clé 2 à Clé 4 : clé RADIUS associée aux serveurs RADIUS de sauvegarde
configurés. Le serveur spécifié dans le champ Adresse IP (IPv6) du
serveur 2 utilise Clé 2 ; le serveur spécifié dans le champ Adresse IP
(IPv6) du serveur 3 utilise Clé 3, etc.
•
Activer la gestion de comptes RADIUS : effectue le suivi et la mesure des
ressources qui ont été consommées par un utilisateur donné (heure
système, volume de données transmises et reçues, etc.).
Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est
activée à la fois pour le serveur RADIUS principal et pour l'ensemble des
serveurs de sauvegarde.
•
Serveur actif : permet de sélectionner administrativement le serveur
RADIUS actif, ce qui évite au périphérique WAP de devoir contacter dans
l'ordre chaque serveur configuré et de choisir le premier serveur actif.
•
Taux d'actualisation de la clé de diffusion : intervalle auquel la clé (groupe)
de diffusion est actualisée pour les clients associés à ce VAP.
La valeur par défaut est 300 secondes. La plage valide est comprise entre
0 et 86 400 secondes. La valeur 0 indique que la clé de diffusion n'est pas
actualisée.
•
Taux d'actualisation de la clé de session : intervalle auquel le
périphérique WAP actualise les clés de session (monodiffusion) pour
chaque client associé au VAP.
La plage valide est comprise entre 30 et 86 400 secondes. La valeur 0
indique que la clé de session n'est pas actualisée.
Guide d'administration du Cisco WAP571/E
109
5
Technologie sans fil
Transfert de multidiffusion sans fil
Transfert de multidiffusion sans fil
L'acheminement multidestination sans fil permet de réacheminer efficacement le
trafic multidestination sur un support sans fil et de résoudre les problèmes de
transmission multidestination sur le réseau local sans fil grâce à la destination
unique répétée de trames multidestination.
Cette fonction se sert de trames IGMP pour suivre la participation des membres
d'un groupe et transmet des paquets multidestination uniquement aux membres
intéressés après la conversion d'adresses MAC de destination unique.
Grâce à cette fonction, le transfert des données gagne en fiabilité, car les trames
sont envoyées vers une destination unique. De plus, la transmission est plus
robuste parce que les débits peuvent être contrôlés dynamiquement sur chaque
station en fonction des erreurs de liaison et du bruit.
Une station peut être membre d'un groupe de multidestination. La diffusion entre
les stations sera également prise en charge. Le serveur de diffusion
multidestination peut être connecté à n'importe quel port LAN.
Configuration des paramètres d'acheminement multidestination sans fil
Pour configurer les paramètres d'acheminement multidestination sans fil :
ÉTAPE 1 Sélectionnez Technologie sans fil > Transfert de multidiffusion sans fil dans
le volet de navigation.
ÉTAPE 2 Configurez le paramètre suivant :
•
Transfert de multidiffusion sans fil : active ou désactive globalement
l'acheminement multidestination sans fil sur l'appareil Cisco WAP571/E.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Guide d'administration du Cisco WAP571/E
110
5
Technologie sans fil
Planificateur
Planificateur
Le planificateur de radio et VAP vous permet de configurer une règle avec un
intervalle de temps spécifique pour que les VAP ou radios soient opérationnels, ce
qui automatise l'activation ou la désactivation des VAP et de la radio.
L'une des manières d'utiliser cette fonction est de planifier la radio pour qu'elle ne
fonctionne que pendant les heures de bureau, afin de bénéficier de la sécurité
adéquate et de diminuer la consommation électrique. Vous pouvez aussi utiliser le
planificateur pour autoriser les clients sans fil à accéder aux VAP uniquement à
certaines heures de la journée.
Le point d'accès prend en charge jusqu'à 16 profils. Seules les règles valides sont
ajoutées au profil. Vous pouvez regrouper 16 règles maximum pour former un
profil de planification. Les entrées de période appartenant au même profil ne
peuvent pas se chevaucher.
Vous pouvez créer jusqu'à 16 noms de profil de planificateur. Par défaut, aucun
profil n'est créé.
Ajout de profils de planificateur
Pour afficher l'état du planificateur et ajouter un profil de planificateur :
ÉTAPE 1 Sélectionnez Technologie sans fil > Planificateur dans le volet de navigation.
ÉTAPE 2 Assurez-vous que Mode d'administration est activé. Il est désactivé par défaut.
La zone Statut opérationnel du planificateur indique l'état de fonctionnement en
cours du planificateur :
•
Statut : état opérationnel du planificateur. L'état est soit Activé soit
Désactivé. La valeur par défaut est Désactivé.
•
Motif : raison de l'état opérationnel du planificateur. Les valeurs possibles
sont les suivantes :
-
Est activé : le planificateur est activé sur le plan administratif.
-
Le mode d'administration est désactivé : l'état opérationnel est inactif,
car la configuration globale est désactivée.
-
L'heure du système est obsolète : l'heure système n'est plus
synchronisée.
Guide d'administration du Cisco WAP571/E
111
5
Technologie sans fil
Planificateur
ÉTAPE 3 Pour ajouter un profil, saisissez un nom de profil dans la zone de texte
Configuration du profil du planificateur, puis cliquez sur Ajouter. Le nom de profil
peut comporter jusqu'à 32 caractères alphanumériques.
Configuration des règles de planificateur
Vous pouvez configurer un maximum de 16 règles par profil. Chaque règle
spécifie l'heure de début, l'heure de fin ainsi que le ou les jours de la semaine
pendant lesquels la radio ou le VAP peut fonctionner. Les règles sont périodiques
et se répètent chaque semaine. Une règle valide doit contenir tous les paramètres
(jours de la semaine, heure et minute) relatifs à l'heure de début et à l'heure de fin. Il
ne doit y avoir aucun conflit de règles. Par exemple, vous pouvez configurer une
règle commençant chaque jour ouvrable de la semaine et une autre commençant
chaque jour du week-end, mais vous ne pouvez pas configurer une règle
commençant quotidiennement et une autre commençant le week-end.
Configuration d'une règle pour un profil
Pour configurer une règle pour un profil :
ÉTAPE 1 Sélectionnez le profil dans la liste Sélectionner un nom de profil.
ÉTAPE 2 Cliquez sur Ajouter une règle.
La nouvelle règle s'affiche dans la table des règles.
ÉTAPE 3 Cochez la case en regard du Nom du profil, puis cliquez sur Modifier.
ÉTAPE 4 Dans le menu Jour de la semaine, sélectionnez le planning récurrent de la règle.
Vous pouvez configurer la règle pour qu'elle s'exécute quotidiennement, chaque
jour ouvrable de la semaine, chaque jour du week-end (samedi et dimanche) ou
n'importe quel jour de la semaine.
ÉTAPE 5 Définissez les heures de début et de fin :
•
Heure de début : heure à laquelle la radio ou le VAP est
opérationnellement activé(e). L'heure est au format 24 heures HH:MM. La
plage est <00-23>:<00-59>. La valeur par défaut est 00:00.
•
Heure de fin : heure à laquelle la radio ou le VAP est opérationnellement
désactivé(e). L'heure est au format 24 heures HH:MM. La plage est
<00-23>:<00-59>. La valeur par défaut est 00:00.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
112
5
Technologie sans fil
Planificateur
REMARQUE : Pour être mis en œuvre, un profil de planificateur doit être associé à une interface
radio ou une interface VAP. Reportez-vous à la page Association au planificateur.
REMARQUE : Pour supprimer une règle, sélectionnez le profil dans la colonne Nom du profil, puis
cliquez sur Supprimer.
Portée des règles de planificateur
La portée des règles de planificateur est décrite ci-dessous.
•
Une règle qui affecte uniquement un jour spécifique n'affecte pas les autres
jours.
•
Une règle qui utilise des groupes tels que « Tous les jours », « Jour de
semaine » ou « Weekend » affecte plusieurs jours.
•
Une règle définie pour « Weekend » n'affecte que le samedi et le dimanche,
et pas les autres jours de la semaine. Le comportement par défaut du
planificateur consiste à activer la radio lorsqu'aucune règle explicite ne
contrôle l'activation de la radio pour ce jour précis.
•
La fonction du planificateur est conçue de telle manière que chaque règle
définit une limite indiquant à quel moment une radio ou un VAP est activé.
•
L'entrée « Jour de la semaine » crée la portée des règles. La règle influe
UNIQUEMENT la portée définie. « Weekend » signifie uniquement le samedi
et le dimanche. « Tous les jours » signifie chaque jour de la semaine, etc.
Lors de la définition des règles, l'entrée « Jour de la semaine » de l'interface
graphique utilisateur définit la portée de la règle : Weekend, Tous les jours,
Jour de la semaine, Dimanche, Lundi, etc.
•
Cela permet des règles détaillées. Aucune règle « tout refuser » implicite
n'est créée lorsque la portée d'une règle n'inclut pas tous les jours de la
semaine. Créez une règle « refuser » ou « désactiver » en définissant la
portée appropriée avec une activation pendant uniquement 1 minute. Pour
désactiver la radio ou le VAP en permanence SAUF à des heures
explicitement autorisées, vous devez créer une règle « Tous les jours »
active uniquement pendant 1 minute de minuit à 00:01, ce qui signifie que la
radio est active uniquement pendant 1 minute chaque jour. Il est ensuite
possible d'ajouter des exceptions correspondant à chaque période
pendant laquelle vous voulez que la radio soit active.
Exemple classique :
•
Activer la radio de 09:00 à 17:00 du lundi au vendredi
Guide d'administration du Cisco WAP571/E
113
5
Technologie sans fil
Association au planificateur
•
Aucune radio activée durant le weekend
Créez un profil utilisant deux règles :
Jours de la semaine : Heure de début : 09:00:00 Heure de fin : 17:00
Weekends : Heure de début : 00:00 Heure de fin : 00:01
Association au planificateur
Pour être mis en œuvre, les profils de planificateur doivent être associés à
l'interface WLAN ou à une interface VAP. Par défaut, aucun profil de planificateur
n'est créé et aucun profil n'est associé à une radio ou un VAP.
Un seul profil de planificateur peut être associé à l'interface WLAN ou à chaque
VAP. Un seul profil peut être associé à plusieurs VAP. En cas de suppression du
profil de planificateur associé à un VAP ou à l'interface WLAN, l'association est
supprimée.
Association d'un profil de planificateur à l'interface WLAN ou à un VAP :
Pour associer un profil de planificateur à l'interface WLAN ou un VAP :
ÉTAPE 1 Sélectionnez Technologie sans fil > Association au planificateur dans le volet de
navigation. Sélectionnez l'interface Radio à laquelle vous voulez associer un profil
de planificateur (Radio 1 ou Radio 2).
ÉTAPE 2 Pour l'interface WLAN ou un VAP, sélectionnez le profil dans la liste Nom du profil.
La colonne Statut opérationnel de l'interface indique si l'interface est
actuellement activée ou désactivée.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
114
5
Technologie sans fil
Filtrage MAC
Filtrage MAC
Le filtrage Media Access Control (MAC) peut être utilisé pour interdire ou autoriser
uniquement l'authentification des stations clientes répertoriées sur le point
d'accès. L'authentification MAC doit être activée ou désactivée pour chaque VAP
sur la page Réseaux. Selon la configuration du VAP, le périphérique WAP peut se
référer à une liste de filtrage MAC stockée sur un serveur RADlUS externe ou
stockée localement sur le périphérique WAP.
Configuration d'une liste de filtrage MAC stockée localement sur le
périphérique WAP
Le périphérique WAP ne prend en charge qu'une seule liste de filtrage MAC locale.
Ainsi, la même liste s'applique à tous les VAP autorisés à utiliser la liste locale. Le
filtre peut être configuré pour accorder l'accès uniquement aux adresses MAC
spécifiées dans la liste, ou pour interdire l'accès uniquement aux adresses
spécifiées dans la liste.
Vous pouvez ajouter un maximum de 512 adresses MAC dans la liste de filtrage.
Configuration du filtrage MAC
Pour configurer le filtrage MAC :
ÉTAPE 1 Sélectionnez Technologie sans fil > Filtrage MAC dans le volet de navigation.
ÉTAPE 2 Sélectionnez la façon dont le périphérique WAP utilise la liste de filtrage :
•
Autoriser uniquement les stations répertoriées : toute station qui
n'apparaît pas dans la Liste des stations se voit interdire l'accès au réseau via
le périphérique WAP.
•
Bloquer toutes les stations répertoriées : seules les stations qui figurent
dans la liste se voient interdire l'accès au réseau via le périphérique WAP.
L'accès est autorisé pour toutes les autres stations.
REMARQUE : Le paramètre de filtre s'applique également à la liste de filtrage MAC
stockée sur le serveur RADIUS, s'il en existe une.
ÉTAPE 3 Dans le champ Adresse MAC, saisissez l'adresse MAC à autoriser ou bloquer,
puis cliquez sur Ajouter.
L'adresse MAC s'affiche dans la Liste des stations.
ÉTAPE 4 Continuez à saisir des adresses MAC jusqu'à ce que la liste soit terminée, puis
cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
115
5
Technologie sans fil
Pont
REMARQUE : Pour supprimer une adresse MAC de la Liste des stations, sélectionnez-la, puis
cliquez sur Retirer.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Configuration de l'authentification MAC sur le serveur RADIUS
Si un ou plusieurs VAP sont configurés pour utiliser un filtre MAC stocké sur un
serveur d'authentification RADIUS, vous devez configurer la liste des stations sur
le serveur RADIUS. Le format de la liste est décrit dans le tableau ci-dessous :
Attribut du
serveur RADIUS
Description
Valeur
Nom-d'utilisateur (1)
Adresse MAC de la station cliente.
Adresse MAC
Ethernet valide.
Mot de passe
utilisateur (2)
Mot de passe global fixe utilisé
pour rechercher une entrée MAC
de client.
NOPASSWORD
Pont
Cette section décrit les deux types de ponts. Elle contient les rubriques suivantes :
Pont WDS
Le Système de distribution sans fil (WDS) vous permet de connecter plusieurs
périphériques WAP571/E. Avec WDS, les points d'accès peuvent communiquer
entre eux sans câbles. Cette fonctionnalité est essentielle à la satisfaction des
clients en itinérance et à la gestion de plusieurs réseaux sans fil. Elle simplifie
également l'infrastructure réseau en réduisant la quantité de câbles nécessaire.
Vous pouvez configurer le périphérique WAP en mode point à point ou point à
multipoint en fonction du nombre de liaisons à connecter.
Guide d'administration du Cisco WAP571/E
116
5
Technologie sans fil
Pont
En mode point à point, le périphérique WAP accepte les associations de clients et
communique avec les clients sans fil et autres répéteurs. Le périphérique WAP
transfère tout le trafic destiné à l'autre réseau via le tunnel établi entre les points
d'accès. Le pont n'est pas ajouté au nombre de sauts. Il fonctionne comme simple
périphérique réseau OSI Layer 2.
En mode pont point à point, un périphérique WAP fonctionne en tant que liaison
commune entre plusieurs points d'accès. Dans ce mode, le périphérique WAP
central accepte les associations de clients et communique avec les clients et
autres répéteurs. Tous les autres points d'accès s'associent uniquement au
périphérique WAP central qui transfère les paquets au pont sans fil approprié à
des fins de routage.
Le point d'accès peut également fonctionner en tant que répéteur. Dans ce mode,
le point d'accès sert de connexion entre deux périphériques WAP qui sont trop
éloignés pour être à portée cellulaire. Lorsqu'il fonctionne en tant que répéteur, le
point d'accès n'a aucune connexion filaire au réseau local (LAN) et répète les
signaux par l'intermédiaire de la connexion sans fil. Aucune configuration spéciale
n'est requise pour permettre au point d'accès de fonctionner en tant que répéteur
et il n'existe pas de paramètres de mode répéteur. Les clients sans fil peuvent
toujours se connecter à un périphérique WAP qui fonctionne en tant que répéteur.
Avant de configurer WDS sur le périphérique WAP, veuillez noter les informations
ci-après :
•
Dans le cas d'un mode de pontage pur ne permettant pas les associations
de clients, nous recommandons d'utiliser une clé WPA complexe pour VAP0
ou de désactiver la diffusion SSID.
•
Tous les périphériques WAP Cisco participant à une liaison WDS doivent
avoir les paramètres identiques suivants :
-
Radio
-
IEEE 802.11 Mode
-
Bande passante de canal
-
Canal (l'option Automatique n'est pas recommandée)
REMARQUE : Si vous effectuez un pontage dans la bande 802.11n 2,4 GHz,
définissez Bande passante de canal sur 20 MHz au lieu du paramètre 20/40 MHz
par défaut. Dans la bande 2,4 GHz 20/40 MHz, la bande passante de
fonctionnement peut passer de 40 MHz à 20 MHz si des périphériques WAP
20 MHz sont détectés dans la zone. Une bande passante de canal incohérente peut
entraîner la déconnexion de la liaison.
Guide d'administration du Cisco WAP571/E
117
5
Technologie sans fil
Pont
Reportez-vous à la section Radio (paramètres de base) pour obtenir des
informations sur la définition de ces paramètres.
•
Lorsque vous utilisez WDS, veillez à le configurer sur les deux
périphériques WAP intégrés à la liaison WDS.
•
Vous ne pouvez avoir qu'une seule liaison WDS entre n'importe quelle paire
de périphériques WAP. Ainsi, une adresse MAC distante ne peut apparaître
qu'une seule fois sur la page WDS pour un périphérique WAP donné.
Pour configurer un pont WDS :
ÉTAPE 1 Sélectionnez Technologie sans fil > Pont dans le volet de navigation.
ÉTAPE 2 Sélectionnez le pont WDS dans le menu déroulant.
ÉTAPE 3 Cochez Activer en regard de l'interface WDS à configurer.
ÉTAPE 4 Définissez les paramètres restants :
•
Adresse MAC distante : spécifie l'adresse MAC du périphérique WAP de
destination, à savoir le périphérique WAP situé à l'autre extrémité de la
liaison WDS et auquel les données sont envoyées ou transmises et à partir
duquel les données sont reçues.
CONSEIL L'adresse MAC est indiquée sur la page Statut et statistiques >
Interface réseau.
•
Chiffrement : type de chiffrement à utiliser sur la liaison WDS ; il ne doit pas
obligatoirement correspondre au VAP pour lequel vous effectuez un
pontage. Les paramètres de chiffrement WDS sont propres au pont WDS.
Les options disponibles sont Aucun, WEP et WPA personnel. WPA2-PSK est
une option relative au chiffrement des liaisons WDS et à la sécurité des VAP.
L'administrateur doit sélectionner ces options pour qu'elles soient mises en
œuvre.
Si vous ne souhaitez pas sécuriser la liaison WDS, vous pouvez choisir de ne
définir aucun type de chiffrement. De même, si vous souhaitez sécuriser la
liaison, vous pouvez choisir entre WEP statique et WPA personnel. En mode
WPA personnel, le périphérique WAP utilise le chiffrement WPA2-PSK avec
CCMP (AES) sur la liaison WDS. Pour plus d'informations sur les options de
chiffrement, reportez-vous à la section WEP sur les liaisons WDS ou WPA/
PSK sur les liaisons WDS après cette procédure.
REMARQUE : Le mode WEP statique est applicable uniquement lorsque la radio fonctionne en
mode hérité : 802.11a pour une radio 5 GHz et 802.11b/g pour une radio 2,4 GHz.
Guide d'administration du Cisco WAP571/E
118
5
Technologie sans fil
Pont
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
ÉTAPE 6 Répliquez cette procédure sur le ou les autres périphériques connectés au pont.
CONSEIL Vous pouvez vérifier si la liaison de pont est active en vous rendant sur
la page Statut et statistiques > Interface réseau. Dans le tableau Statut
de l'interface, l'état Actif doit être spécifié pour WLAN0:WDS(x).
REMARQUE : Un point d'accès WDS partenaire situé dans le réseau distant retient son adresse
IP de gestion acquise à partir d'un serveur DHCP connecté au point d'accès WDS
situé dans le réseau principal, même si la liaison WDS est rompue. L'adresse IP est
libérée lorsque l'interface WDS est désactivée sur le plan administratif.
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
WEP sur les liaisons WDS
Ces champs supplémentaires apparaissent lorsque vous sélectionnez le type de
chiffrement WEP.
•
Longueur de clé : si le WEP est activé, spécifiez si la clé WEP doit avoir une
longueur de 64 bits ou 128 bits.
•
Type de clé : si le WEP est activé, spécifiez le type de clé WEP : ASCII ou
Hex.
•
Clé WEP : si vous avez sélectionné ASCII, saisissez toute combinaison de 0
à 9, a à z, et A à Z. Si vous avez sélectionné Hex, saisissez des chiffres
hexadécimaux (toute combinaison de 0 à 9, a à f, ou A à F). Il s'agit des clés
de chiffrement RC4 partagées avec les stations par l'intermédiaire du
périphérique WAP.
Veuillez noter que le nombre de caractères requis est indiqué à droite du
champ et change en fonction de vos sélections dans les champs Type de
clé et Longueur de clé.
WPA/PSK sur les liaisons WDS
Ces champs supplémentaires apparaissent lorsque vous sélectionnez le type de
chiffrement WPA/PSK.
Guide d'administration du Cisco WAP571/E
119
5
Technologie sans fil
Pont
•
ID WDS : saisissez un nom approprié pour la nouvelle liaison WDS que vous
avez créée. Il est important que le même ID WDS soit aussi entré à l'autre
extrémité de la liaison WDS. Si cet ID WDS n'est pas identique pour les
deux périphériques WAP sur la liaison WDS, ils ne pourront pas
communiquer et échanger des données.
L'ID WDS peut être n'importe quelle combinaison alphanumérique.
•
Clé : saisissez une clé partagée unique pour le pont WDS. Cette clé
partagée unique doit aussi être saisie pour le périphérique WAP situé à
l'autre extrémité de la liaison WDS. Si cette clé n'est pas identique pour les
deux WAP, ceux-ci ne pourront pas communiquer et échanger des données.
La clé WPA-PSK est une chaîne de 8 caractères minimum et de
63 caractères maximum. Les caractères acceptés sont les lettres
alphabétiques majuscules et minuscules, les chiffres numériques et les
symboles spéciaux comme @ et #.
Pont de groupe de travail
La fonction Pont de groupe de travail du point d'accès permet au
périphérique WAP d'étendre l'accessibilité d'un réseau distant. En mode Pont de
groupe de travail, le point d'accès fonctionne comme une station sans fil (STA) sur
le réseau local (LAN) sans fil. Il peut acheminer le trafic entre un réseau filaire
distant et le réseau local (LAN) sans fil qui est connecté via le mode Pont de
groupe de travail.
Cette fonction assure la prise en charge du mode STA. Le périphérique WAP peut
fonctionner dans un seul BSS (Basic Service Set) en tant que périphérique STA.
Lorsque le mode Pont de groupe de travail est activé, le point d'accès ne prend en
charge qu'un seul BSS auquel il est associé en tant que client sans fil.
Il est recommandé d'utiliser le mode Pont de groupe de travail uniquement lorsque
la fonction Pont WDS ne peut pas fonctionner avec un point d'accès homologue.
WDS est une meilleure solution et doit être préférée à la solution Pont de groupe
de travail. Utilisez WDS si vous effectuez un pontage des périphériques
Cisco WAP571/E. Si ce n'est pas le cas, optez pour Pont de groupe de travail.
Lorsque la fonction Pont de groupe de travail est activée, les configurations VAP
ne sont pas appliquées ; seule la configuration Pont de groupe de travail est
appliquée.
REMARQUE : La fonction WDS ne fonctionne pas lorsque le mode Pont de groupe de travail est
activé sur le point d'accès.
Guide d'administration du Cisco WAP571/E
120
5
Technologie sans fil
Pont
En mode Pont de groupe de travail, le BSS géré par l'autre périphérique WAP
(c'est-à-dire celui auquel le périphérique WAP s'associe en tant que STA) est
appelé l'interface cliente d'infrastructure, et l'autre périphérique WAP est appelé le
point d'accès en amont.
Les périphériques connectés à l'interface filaire du périphérique WAP peuvent
accéder au réseau connecté par l'interface cliente d'infrastructure.
Avant de configurer Pont de groupe de travail sur le périphérique WAP, veuillez
noter les informations ci-après :
•
Tous les périphériques WAP intégrés à Pont de groupe de travail doivent
avoir les paramètres identiques suivants :
-
Radio
-
IEEE 802.11 Mode
-
Bande passante de canal
-
Canal (l'option Automatique n'est pas recommandée)
Reportez-vous à la section Radio (paramètres de base) pour obtenir des
informations sur la définition de ces paramètres.
•
Le mode Pont de groupe de travail prend actuellement en charge le trafic
IPv4 uniquement.
•
Le mode Pont de groupe de travail n'est pas pris en charge via une
configuration de point unique.
Pour configurer le mode Pont de groupe de travail :
ÉTAPE 1 Sélectionnez Technologie sans fil > Pont dans le volet de navigation.
ÉTAPE 2 Sélectionnez le mode Pont de groupe de travail dans le menu déroulant.
ÉTAPE 3 Sélectionnez Activer pour Mode du pont de groupe de travail.
ÉTAPE 4 Sélectionnez l'interface radio sur laquelle vous souhaitez définir le mode Pont de
groupe de travail (Radio 1 ou Radio 2).
ÉTAPE 5 Configurez les paramètres suivants pour l'interface cliente d'infrastructure
(montante) :
•
SSID : SSID du BSS.
Guide d'administration du Cisco WAP571/E
121
5
Technologie sans fil
QoS
REMARQUE : Une flèche est présente à côté du SSID pour l'analyse SSID (SSID
Scanning) ; cette fonction est désactivée par défaut et est uniquement activée si la
détection de point d'accès est activée dans la détection de point d'accès non
autorisé (qui est également désactivée par défaut).
•
•
Sécurité : type de sécurité à utiliser pour l'authentification en tant que station
cliente sur le périphérique WAP montant. Les choix possibles sont :
-
Aucune
-
WEP statique
-
WPA personnel
-
WPA entreprise
ID de VLAN : VLAN associé au BSS.
REMARQUE : L'interface cliente d'infrastructure sera associée au
périphérique WAP montant avec les informations d'identification configurées. Le
périphérique WAP peut obtenir son adresse IP d'un serveur DHCP sur la liaison
montante. Vous pouvez également attribuer une adresse IP statique. Le champ
Statut de la connexion indique si le WAP est connecté au périphérique WAP
montant. Vous pouvez cliquer sur le bouton Actualiser pour afficher l'état le plus
récent de la connexion.
Le point d'accès WGB (celui qui joue le rôle de client pour le point d'accès en
amont) conserve l'adresse IP de gestion acquise auprès d'un serveur DHCP en
amont, même s'il est dissocié du point d'accès en amont.
REMARQUE : Le mode WEP statique est applicable uniquement lorsque la radio fonctionne en
mode hérité : 802.11a pour une radio 5 GHz et 802.11b/g pour une radio 2,4 GHz.
QoS
Les paramètres de qualité de service (QoS) vous permettent de configurer des
files d'attente de transmission pour bénéficier d'un meilleur débit et de meilleures
performances si vous administrez un trafic sans fil différencié, comme la voix sur IP
(VoIP), d'autres types de lecture audio, vidéo et multimédia en continu, ainsi que
des données IP classiques.
Guide d'administration du Cisco WAP571/E
122
5
Technologie sans fil
QoS
Pour configurer la qualité de service (QoS) sur le point d'accès, définissez les
paramètres sur les files d'attente de transmission pour les différents types de
trafic sans fil et spécifiez les temps d'attente minimum et maximum (via les
fenêtres de contention) pour la transmission.
Les paramètres EDCA (Enhanced Distributed Channel Access) du WAP affectent
le trafic transmis du périphérique WAP vers la station cliente.
Les paramètres EDCA de la station affectent le trafic transmis de la station cliente
vers le périphérique WAP.
En utilisation normale, les valeurs EDCA par défaut du périphérique WAP et de la
station ne requièrent aucune modification. La modification de ces valeurs affecte
la qualité de service (QoS) fournie.
Configuration des paramètres EDCA du périphérique WAP et de la station
Pour définir les paramètres EDCA du périphérique WAP et de la station :
ÉTAPE 1 Sélectionnez Technologie sans fil > QoS dans le volet de navigation. Sélectionnez
l'interface radio sur laquelle vous souhaitez définir les paramètres de qualité de
service (QoS) (Radio 1 ou Radio 2).
ÉTAPE 2 Sélectionnez une option dans la liste Modèle EDCA :
•
Paramètres WFA par défaut : renseigne les paramètres EDCA du
périphérique WAP et de la station avec les valeurs WiFi Alliance par défaut,
qui sont optimales pour un trafic mixte général.
•
Optimisé pour la voix : renseigne les paramètres EDCA du
périphérique WAP et de la station avec les valeurs les plus adaptées au
trafic vocal.
•
Personnalisés : vous permet de choisir des paramètres EDCA
personnalisés.
Ces quatre files d'attente sont définies pour les différents types de données
transmises du WAP vers la station. Si vous choisissez un modèle personnalisé, les
paramètres qui définissent les files d'attente sont configurables ; sinon, ils ont des
valeurs prédéfinies appropriées à votre sélection. Les quatre files d'attente sont :
•
Données 0 (voix) : file d'attente de haute priorité, délai minimal. Les données
devant être transmises rapidement, comme le VoIP et la lecture multimédia
en continu, sont automatiquement envoyées vers cette file d'attente.
•
Données 1 (vidéo) : file d'attente de haute priorité, délai minimal. Les
données vidéo devant être transmises rapidement sont automatiquement
envoyées vers cette file d'attente.
Guide d'administration du Cisco WAP571/E
123
5
Technologie sans fil
QoS
•
Données 2 (en fonction des ressources) : file d'attente de priorité
moyenne, débit et délai moyens. La plupart des données IP classiques sont
envoyées vers cette file d'attente.
•
Données 3 (arrière-plan) : file d'attente de priorité la plus faible, débit élevé.
Les données en bloc nécessitant un débit maximal et dont la rapidité n'est
pas essentielle sont envoyées vers cette file d'attente (les données FTP, par
exemple).
ÉTAPE 3 Définissez les paramètres EDCA de station suivants :
REMARQUE : Ces paramètres ne peuvent être définis que si vous avez sélectionné
Personnalisés à l'étape précédente.
•
Espace intertrame d'arbitrage : temps d'attente pour les trames de
données. Le temps d'attente se mesure en emplacements. Les valeurs
valides pour AIFS sont comprises entre 1 et 255.
•
Fenêtre de contention minimale : entrée dans l'algorithme qui détermine le
temps d'attente d'interruption aléatoire initial (fenêtre) pour une nouvelle
tentative de transmission.
Cette valeur est la limite supérieure (en millisecondes) d'une plage à partir
de laquelle le temps d'attente d'interruption aléatoire initial est déterminé.
Le premier nombre aléatoire généré est un nombre compris entre 0 et le
nombre spécifié ici.
Si le premier temps d'attente d'interruption aléatoire expire avant l'envoi de
la trame de données, un compteur de tentatives est incrémenté et la valeur
d'interruption aléatoire (fenêtre) est doublée. Le doublage continue jusqu'à
ce que la taille de la valeur d'interruption aléatoire atteigne le nombre défini
dans le champ Fenêtre de contention maximale.
Les valeurs valides sont 1, 3, 7, 15, 31, 63, 127, 255, 511 ou 1023. La valeur
spécifiée doit être inférieure à celle du champ Fenêtre de contention
maximale.
•
Fenêtre de contention maximale : limite supérieure (en millisecondes) pour
le doublage de la valeur d'interruption aléatoire. Ce doublage continue
jusqu'à ce que la trame de données soit envoyée ou que la taille Fenêtre de
contention maximale soit atteinte.
Une fois la taille Fenêtre de contention maximale atteinte, les nouvelles
tentatives se poursuivent jusqu'à ce que le nombre maximal autorisé de
tentatives soit atteint.
Guide d'administration du Cisco WAP571/E
124
5
Technologie sans fil
QoS
Les valeurs valides sont 1, 3, 7, 15, 31, 63, 127, 255, 511 ou 1023. La valeur
spécifiée doit être supérieure à celle du champ Fenêtre de contention
minimale.
•
Rafale maximale (WAP uniquement) : paramètre EDCA WAP qui s'applique
uniquement au trafic ente le WAP et la station cliente.
Cette valeur spécifie (en millisecondes) la longueur de rafale maximale
autorisée pour les rafales de paquets sur le réseau sans fil. Une rafale de
paquets est un groupe de plusieurs trames transmises sans informations
d'en-tête. La baisse de la charge de traitement génère un débit plus élevé et
de meilleures performances.
Les valeurs valides sont comprises entre 0,0 et 999.
•
WMM (Wi-Fi Multimedia) : sélectionnez Activer pour activer les extensions
WMM (Wi-Fi Multimedia). Ce champ est activé par défaut. Lorsque WMM est
activé, la définition des priorités de qualité de service (QoS) et la
coordination de l'accès au support sans fil sont activées. Lorsque WMM est
activé, les paramètres de qualité de service (QoS) sur le point d'accès
contrôlent le trafic descendant depuis le périphérique WAP vers la station
cliente (paramètres EDCA du point d'accès) ainsi que le trafic montant
depuis la station vers le point d'accès (paramètres EDCA de la station).
La désactivation de WMM désactive le contrôle de qualité de service (QoS)
des paramètres EDCA de station sur le trafic montant transmis de la station
vers le périphérique WAP. Lorsque WMM est désactivé, vous pouvez
toujours définir certains paramètres sur le trafic descendant transmis du
périphérique WAP vers la station cliente (paramètres EDCA de point
d'accès).
•
Limite TXOP (station uniquement) : la limite TXOP est un paramètre EDCA
de station. Il s'applique uniquement au trafic transmis de la station cliente
vers le périphérique WAP. L'opportunité de transmission (Transmission
Opportunity, TXOP) est l'intervalle en millisecondes pendant lequel une
station cliente WME est autorisée à initier des transmissions sur le support
sans fil (WM) vers le périphérique WAP. La valeur maximale du paramètre
Limite TXOP est 65 535.
ÉTAPE 4 Définissez les paramètres supplémentaires suivants :
•
Aucune validation : sélectionnez Activer pour spécifier que le
périphérique WAP ne doit pas accepter les trames ayant la valeur de classe
de service QosNoAck.
Guide d'administration du Cisco WAP571/E
125
5
Technologie sans fil
QoS
•
Économie d'énergie automatique non programmée : sélectionnez Activer
pour activer APSD, qui est une méthode de gestion de l'alimentation. APSD
est recommandée si les téléphones VoIP accèdent au réseau via le
périphérique WAP.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
!
AVERTISSEMENT Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Guide d'administration du Cisco WAP571/E
126
6
Analyseur de spectre
Cette section décrit la fonction d'analyseur de spectre du point d'accès.
Analyseur de spectre
Configuration de l'analyseur de spectre
Analyseur de spectre
Cette fonction assure une surveillance complète de l'environnement de
radiofréquence (RF) pour une gestion en temps réel du réseau sans fil. Grâce à
elle, l'administrateur du réseau sans fil peut consulter des informations en temps
réel et l'historique des données relatives à l'environnement RF.
L'analyseur de spectre analyse l'ensemble des canaux IEEE 802.11 dans les
bandes de fréquences 2,4 et 5 GHz à la recherche d'interférences non-Wi-Fi. Il
classe ensuite les interférences et les consigne dans des journaux d'événements
locaux à la périphérie du réseau.
REMARQUE : L'analyseur de spectre enregistre les interférences suivantes : téléphone sans fil
analogique, caméra sans fil, four à micro-ondes, détecteur de mouvement à
bande S, brouilleur à bande étroite et à large bande, et brouilleur inconnu.
La page Analyseur de spectre indique l'état de cette fonction et propose un lien
permettant d'afficher les données du spectre.
Configuration de l'analyseur de spectre
Pour configurer l'analyseur de spectre :
Guide d'administration du Cisco WAP571/E
127
Analyseur de spectre
Configuration de l'analyseur de spectre
6
ÉTAPE
1 Sélectionnez Analyseur de spectre dans le panneau de navigation.
ÉTAPE
2 L'état du mode d'analyse de spectre. Cet état est défini sur Analyseur de spectre
dédié, Analyseur de spectre hybride ou Désactiver. La valeur par défaut est
Désactiver. L'analyseur de spectre prend en charge une seule radio en même
temps.
REMARQUE En mode dédié, la radio est utilisée pour l'analyse de spectre pendant plus de 10%
du temps et les connexions client peuvent fonctionner, sans toutefois aucune
garantie. En mode hybride, les connexions client sont garanties, mais cela risque de
ralentir le débit.
ÉTAPE
3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
ÉTAPE 4 Appuyez sur le bouton Afficher les données de spectre pour lancer le visualiseur
de spectre lorsque le mode d'analyse est défini sur Analyseur de spectre dédié ou
sur Analyseur de spectre hybride.
REMARQUE : Vous ne pouvez y accéder que via une adresse IPv4.
Guide d'administration du Cisco WAP571/E
128
7
Sécurité du système
Cette section explique comment configurer les paramètres de sécurité sur le point
d'accès.
Elle contient les sections suivantes :
•
Serveur RADIUS
•
Demandeur 802.1X
•
Complexité des mots de passe
•
Complexité WPA-PSK
Serveur RADIUS
Plusieurs fonctionnalités nécessitent une communication avec un serveur
d'authentification RADIUS. Par exemple, lorsque vous configurez des points
d'accès virtuels (VAP) sur le point d'accès, vous pouvez définir les méthodes de
sécurité qui contrôlent l'accès des clients sans fil (voir la page Radio). Les
méthodes de sécurité WEP dynamique et WPA Entreprise utilisent un serveur
RADIUS externe pour authentifier les clients. La fonctionnalité de filtrage des
adresses MAC, dans laquelle l'accès des clients est limité à une liste, peut
également être configurée afin d'utiliser un serveur RADIUS pour le contrôle des
accès. La fonctionnalité de portail captif utilise également un serveur RADIUS
pour l'authentification des clients.
Vous pouvez utiliser la page Serveur Radius pour configurer les serveurs RADIUS
qui seront utilisés par ces fonctionnalités. Vous pouvez configurer jusqu'à quatre
serveurs RADIUS IPv4 ou IPv6 disponibles globalement. Toutefois, vous devez
indiquer si le client RADIUS fonctionne en mode IPv4 ou IPv6 par rapport aux
serveurs globaux. Un des serveurs joue toujours le rôle de serveur principal,
tandis que les autres font office de serveurs de sauvegarde.
Guide d'administration du Cisco WAP571/E
129
7
Sécurité du système
Serveur RADIUS
REMARQUE : En plus d'utiliser les serveurs RADIUS globaux, vous pouvez aussi configurer
chaque point d'accès virtuel (VAP) de telle sorte qu'il utilise un ensemble spécifique
de serveurs RADIUS. Reportez-vous à la page Réseaux.
Pour configurer des serveurs RADIUS globaux :
ÉTAPE 1 Sélectionnez Sécurité du système > Serveur Radius dans le volet de navigation.
ÉTAPE 2 Configurez les paramètres suivants :
•
Type d'adresse IP du serveur : version IP utilisée par le serveur RADIUS.
Vous pouvez basculer entre les types d'adresses pour configurer les
paramètres d'adresse RADIUS globale IPv4 et IPv6, mais notez que le
périphérique WAP ne contacte que le ou les serveurs RADIUS
correspondant au type d'adresse sélectionné dans ce champ.
•
Adresse IP du serveur 1 ou Adresse IPv6 du serveur 1 : adresses du
serveur RADIUS global principal.
Lorsque le premier client sans fil tente de s'authentifier à l'aide du
périphérique WAP, le périphérique envoie une demande d'authentification au
serveur principal. Si le serveur principal répond à la demande
d'authentification, le périphérique WAP continue à utiliser ce serveur
RADIUS en guise de serveur principal et les demandes d'authentification
sont envoyées à l'adresse spécifiée.
•
Adresse IP du serveur (2 à 4) ou Adresse IPv6 du serveur (2 à 4) : jusqu'à
trois adresses de serveur RADIUS IPv4 ou IPv6 de sauvegarde.
Si l'authentification auprès du serveur principal échoue, une tentative est
effectuée sur chaque serveur de secours configuré.
•
Clé 1 : clé secrète partagée utilisée par le périphérique WAP pour
s'authentifier au serveur RADIUS principal.
Vous pouvez utiliser de 1 à 64 caractères alphanumériques standard et
caractères spéciaux. La clé est sensible à la casse et doit correspondre à la
clé configurée sur le serveur RADIUS. Le texte que vous entrez apparaît sous
la forme d'astérisques.
•
Clé (2 à 4) : clé RADIUS associée aux serveurs RADIUS de sauvegarde
configurés. Le serveur spécifié dans le champ Adresse IP (IPv6) du
serveur 2 utilise Clé 2 ; le serveur spécifié dans le champ Adresse IP (IPv6)
du serveur 3 utilise Clé 3, etc.
Guide d'administration du Cisco WAP571/E
130
7
Sécurité du système
Demandeur 802.1X
•
Activer la gestion de comptes RADIUS : active le suivi et la mesure des
ressources consommées par un utilisateur donné (heure système, volume
de données transmises et reçues, etc.).
Si vous activez la gestion des comptes RADIUS, cette fonctionnalité est
activée à la fois pour le serveur RADIUS principal et pour l'ensemble des
serveurs de sauvegarde.
ÉTAPE 3 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Demandeur 802.1X
L'authentification IEEE 802.1X permet au point d'accès d'atteindre un réseau filaire
sécurisé. Vous pouvez activer le point d'accès en tant que demandeur (client)
802.1X sur le réseau filaire. Il est possible de configurer un nom d'utilisateur et un
mot de passe cryptés à l'aide de l'algorithme MD5 afin d'autoriser le point d'accès
à effectuer une authentification à l'aide de la technologie 802.1X.
Sur les réseaux qui utilisent le contrôle d'accès réseau basé sur les ports IEEE
802.1X, un demandeur ne peut pas accéder au réseau tant que l'authentificateur
802.1X ne lui en a pas donné l'autorisation. Si votre réseau utilise la technologie
802.1X, vous devez configurer les informations d'authentification 802.1X sur le
périphérique WAP, de telle sorte qu'il puisse les transmettre à l'authentificateur.
La page Demandeur 802.1X est divisée en trois zones : Configuration du
demandeur, Statut du fichier de certificats et Chargement du fichier de certificats.
La zone Configuration du demandeur permet de configurer l'état opérationnel et
les paramètres de base de 802.1X.
Pour configurer le demandeur 802.1X :
ÉTAPE 1 Sélectionnez Sécurité du système > Demandeur 802.1X dans le volet de
navigation.
ÉTAPE 2 Cliquez sur Actualiser pour mettre à jour l'état du fichier de certificat.
ÉTAPE 3 Configurez les paramètres suivants :
•
Mode d'administration : active la fonctionnalité de demandeur 802.1X.
Guide d'administration du Cisco WAP571/E
131
7
Sécurité du système
Demandeur 802.1X
•
Méthode EAP : algorithme à utiliser pour le cryptage des noms d'utilisateur
et des mots de passe utilisés lors de l'authentification.
-
MD5 : fonction de hachage définie dans la norme RFC 3748 et offrant une
sécurité de base.
-
PEAP : protocole (Protected Extensible Authentication Protocol) offrant
un niveau de sécurité supérieur à celui de la technologie MD5, grâce à
l'encapsulation de celle-ci à l'intérieur d'un tunnel TLS.
-
TLS : sécurité de la couche transport, telle que définie dans la norme
RFC 5216, à savoir une norme ouverte offrant un haut niveau de sécurité.
•
Nom d'utilisateur : le périphérique WAP utilise ce nom d'utilisateur lorsqu'il
répond à des demandes émanant d'un authentificateur 802.1X. Le nom
d'utilisateur peut comporter de 1 à 64 caractères. Les caractères
imprimables ASCII sont autorisés, ce qui inclut les lettres majuscules et
minuscules, les chiffres et tous les caractères spéciaux à l'exception des
guillemets.
•
Mot de passe : le périphérique WAP utilise ce mot de passe MD5 lorsqu'il
répond à des demandes émanant d'un authentificateur 802.1X. La longueur
du mot de passe peut être de 1 à 64 caractères. Les caractères imprimables
ASCII sont autorisés, ce qui inclut les lettres majuscules et minuscules, les
chiffres et tous les caractères spéciaux à l'exception des guillemets.
REMARQUE : En mode EAP-TLS, le périphérique WAP utilise cette identité lorsqu'il
répond à des demandes émanant d'un authentificateur 802.1X. Le
périphérique WAP prend en charge les fichiers de certificats au format PEM. Le
fichier de certificat doit englober une clé privée et des certificats racines. Le
périphérique WAP s'attend à ce que ce fichier de certificat soit protégé par un mot
de passe. Le périphérique WAP utilise le mot de passe de la clé privée pour
déverrouiller ce fichier de certificat.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus
correspondants peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se
peut que le périphérique WAP perde sa connectivité. Nous vous recommandons
de modifier les paramètres du périphérique WAP lorsqu'une perte de connectivité
peut affecter vos clients sans fil.
Guide d'administration du Cisco WAP571/E
132
7
Sécurité du système
Complexité des mots de passe
La zone Statut du fichier de certificats indique s'il existe un certificat actuel :
•
Fichier de certificat présent : indique si le fichier de certificat SSL HTTP
est présent. Ce champ contient la valeur Oui si ce fichier est présent. La
valeur par défaut est Non.
•
Date d'expiration du certificat : indique la date d'expiration du fichier de
certificat SSL HTTP. La plage est une date valide.
La zone Chargement du fichier de certificats permet de charger un fichier de
certificat sur le point d'accès :
ÉTAPE 1 Sélectionnez HTTP ou TFTP en guise de Méthode de transfert).
ÉTAPE 2 Si vous avez sélectionné HTTP, cliquer sur Parcourir pour sélectionner le fichier.
REMARQUE : Pour configurer les paramètres des serveurs HTTP et HTTPS,
reportez-vous à Service HTTP/HTTPS.
Si vous avez sélectionné TFTP, complétez les champs Nom de fichier et
Adresse IPv4 du serveur TFTP. Le nom de fichier ne peut pas contenir les
caractères suivants : espaces, <, >, |, \, : , (, ), &, ; , #, ? , *, ainsi que deux points
successifs ou plus.
ÉTAPE 3 Cliquer sur Charger.
Une fenêtre de confirmation apparaît, suivie d'une barre de progression indiquant
l'état du téléchargement.
Complexité des mots de passe
Vous pouvez configurer les exigences de complexité des mots de passe utilisés
pour accéder à l'utilitaire de configuration du périphérique WAP. Des mots de
passe complexes augmentent la sécurité.
Pour configurer les exigences de complexité des mots de passe :
ÉTAPE 1 Sélectionnez Sécurité du système > Complexité des mots de passe dans le
volet de navigation.
ÉTAPE 2 Pour le paramètre Complexité des mots de passe, sélectionnez Activer.
Guide d'administration du Cisco WAP571/E
133
7
Sécurité du système
Complexité WPA-PSK
ÉTAPE 3 Configurez les paramètres suivants :
•
Nombre minimal de classes de caractères dans le mot de passe : nombre
minimal de classes de caractères devant être représentées dans la chaîne
de mot de passe. Les quatre classes de caractères possibles sont les lettres
majuscules, les lettres minuscules, les chiffres et les caractères spéciaux
disponibles sur un clavier standard.
•
Mot de passe différent du mot de passe actuel : sélectionnez cette option
afin de permettre aux utilisateurs d'entrer un autre mot de passe lorsque leur
mot de passe actuel arrive à expiration. Si vous ne sélectionnez pas cette
option, les utilisateurs peuvent entrer à nouveau le même mot de passe une
fois celui-ci arrivé à expiration.
•
Longueur maximale du mot de passe : la longueur maximale du mot de
passe est comprise entre 64 et 80 caractères. La valeur par défaut est 64.
•
Longueur minimale du mot de passe : la longueur minimale du mot de
passe est comprise entre 0 et 32 caractères. La valeur par défaut est 8.
•
Prise en charge de la durée de vie du mot de passe : sélectionnez cette
option pour que les mots de passe expirent après une période déterminée
que vous configurez.
•
Délai d'expiration du mot de passe : nombre de jours avant qu'un nouveau
mot de passe n'expire. Cette valeur est comprise entre 1 et 365. La valeur
par défaut est de 180 jours.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Complexité WPA-PSK
Lorsque vous configurez des points d'accès virtuels (VAP) sur le périphérique
WAP, vous pouvez sélectionner une méthode d'authentification sécurisée des
clients. Si vous sélectionnez le protocole WPA personnel (également connu sous
le nom de clé prépartagée WPA ou WPA-PSK) en guise de méthode de sécurité
pour tous les points d'accès virtuels (VAP), vous pouvez également utiliser la page
Complexité WPA-PSK pour configurer les exigences de complexité de la clé
utilisée dans le processus d'authentification. Des clés plus complexes offrent une
sécurité accrue.
Guide d'administration du Cisco WAP571/E
134
7
Sécurité du système
Complexité WPA-PSK
Pour configurer la complexité WPA-PSK :
ÉTAPE 1 Sélectionnez Sécurité du système > Complexité WPA-PSK dans le volet de
navigation.
ÉTAPE 2 Cliquez sur Activer pour le paramètre Complexité WPA-PSK afin de permettre au
périphérique WAP de contrôler les clés WPA-PSK en fonction des critères que
vous configurez. Si vous désactivez cette case à cocher, aucun de ces paramètres
ne sera utilisé. La complexité WPA-PSK est désactivée par défaut.
ÉTAPE 3 Configurez les paramètres suivants :
•
Nombre minimal de classes de caractères WPA-PSK : nombre minimal de
classes de caractères devant être représentées dans la chaîne de clé. Les
quatre classes de caractères possibles sont les lettres majuscules, les
lettres minuscules, les chiffres et les caractères spéciaux disponibles sur un
clavier standard. La valeur par défaut est trois.
•
Clé WPA-PSK différente de la clé actuelle : sélectionnez l'une des options
suivantes :
-
Activer : les utilisateurs doivent configurer une autre clé lorsque leur clé
actuelle arrive à expiration.
-
Désactiver : les utilisateurs peuvent continuer à utiliser leur ancienne clé
ou leur clé précédente lorsque leur clé actuelle arrive à expiration.
•
Longueur WPA-PSK maximale : la longueur maximale de la clé est
comprise entre 32 et 63 caractères. La valeur par défaut est 63.
•
Minimum WPA-PSK Length : la longueur minimale de la clé est comprise
entre 8 et 16 caractères. La valeur par défaut est 8. Activez cette case à
cocher pour rendre le champ modifiable et activer cette condition.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
135
Sécurité du système
Complexité WPA-PSK
Guide d'administration du Cisco WAP571/E
7
136
8
QoS des clients
Cette section offre un aperçu de la qualité de service (QoS) de client et explique
les fonctionnalités QoS disponibles depuis le menu QoS des clients. Elle contient
les sections suivantes :
•
Paramètres globaux
•
Mappage de classe
•
Mappage de stratégie
•
Association de la QoS des clients
•
Statut de la QoS des clients
Paramètres globaux
Utilisez la page Paramètres globaux de la QoS des clients pour activer ou
désactiver la fonctionnalité de qualité de service sur le périphérique WAP.
Si vous désactivez le mode QoS client, les limitations de débit et les
configurations DiffServ seront désactivées de manière globale.
Si vous activez ce mode, vous pouvez également activer ou désactiver le mode
QoS de client sur des points d'accès virtuels spécifiques ou Ethernet. Reportezvous au paramètre Mode QoS des clients à la page Association de la QoS des
clients.
Guide d'administration du Cisco WAP571/E
137
8
QoS des clients
Mappage de classe
Mappage de classe
La fonctionnalité QoS inclut la prise en charge de services différenciés (DiffServ)
permettant la classification du trafic en flux et offrant un traitement QoS
correspondant à des comportements par saut définis.
Les réseaux IP standard sont conçus pour offrir un service de livraison des
données de type « au mieux ». Le service « au mieux » implique que le réseau livre
les données dans des délais corrects, mais sans garantie totale de livraison. En
cas d'encombrement du réseau, il se peut que des paquets soient retardés,
envoyés de manière sporadique, voire abandonnés. En ce qui concerne les
applications Internet typiques, comme le courrier électronique et le transfert de
fichiers, une légère dégradation du service est acceptable et dans de nombreux
cas indétectable. Toutefois, dans le cas des applications présentant des
exigences strictes en matière de délais d'exécution, comme la voix ou le
multimédia, toute dégradation du service a des effets indésirables.
Une configuration DiffServ débute par la définition de mappages de classe, ce qui
permet de classifier le trafic en fonction du protocole IP et d'autres critères.
Chaque mappage de classe peut ensuite être associé à un mappage de stratégie,
qui définit le mode de traitement de la classe de trafic. Les classes contenant du
trafic devant être transmis rapidement peuvent être affectées à des mappages de
stratégie accordant la priorité par rapport aux autres types de trafic.
Utilisez la page Mappage de classe pour définir des classes de trafic. Utilisez la
page Mappage de stratégie pour définir des stratégies et leur associer des
mappages de classe.
Configuration des mappages de classe IPv4
Pour ajouter et configurer un mappage de classe IPv4 :
ÉTAPE 1 Sélectionnez QoS des clients > Mappage de classe.
ÉTAPE 2 Dans le champ Nom du mappage de classe, saisissez le nom du nouveau
mappage de classe. Le nom peut comporter de 1 à 31 caractères
alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Choisissez IPv4 comme type de mappage de classe dans la liste Type de
mappage de classe. Le mappage de classe IPv4 s'applique uniquement au trafic
IPv4 sur le périphérique WAP.
ÉTAPE 4 Dans la zone Configuration des critères de correspondance, configurez ces
paramètres pour faire correspondre les paquets à une classe :
Guide d'administration du Cisco WAP571/E
138
8
QoS des clients
Mappage de classe
•
Nom du mappage de classe : choisissez le mappage de classe IPv4 dans la
liste.
•
Correspondre à tous les paquets : la condition de correspondance est
vraie pour l'ensemble des paramètres dans un paquet de couche 3. Si vous
activez cette option, tous les paquets de couche 3 répondront à la condition.
•
Protocole : utilise une condition de correspondance de protocole de
couche 3 ou 4 sur la base de la valeur du champ Protocole IP dans les
paquets IPv4 ou du champ En-tête suivant dans les paquets IPv6.
Choisissez le protocole à mettre en correspondance par mot clé ou entrez
un ID de protocole :
•
-
Sélectionner dans la liste : met en correspondance le protocole
sélectionné : IP, ICMP, IGMP, TCP, UDP.
-
Valeur correspondante : met en correspondance un protocole dont le
nom ne figure pas dans la liste. Entrez l'ID de protocole. L'ID de protocole
est une valeur standard affectée par l'IANA. La valeur est un nombre
compris entre 0 et 255.
IP source : nécessite que l'adresse IPv4 source d'un paquet corresponde à
l'adresse IPv4 définie dans les champs appropriés.
-
Adresse IP source : entrez l'adresse IPv4 pour appliquer ce critère.
-
Masque IP source : entrez le masque de l'adresse IPv4 source. Le
masque de DiffServ est un masque de bits de type réseau au format
décimal IP séparé par des points, indiquant la ou les parties de
l'adresse IP de destination à utiliser pour effectuer la correspondance
avec le contenu des paquets.
Un masque DiffServ égal à 255.255.255.255 indique que tous les bits sont
importants, tandis qu'un masque égal à 0.0.0.0 indique qu'aucun bit n'est important.
Le contraire est vrai avec un masque générique d'ACL. Par exemple, pour que les
critères correspondent à une adresse hôte unique, utilisez un masque égal à
255.255.255.255. Pour faire correspondre les critères à un sous-réseau 24 bits
(par exemple, 192.168.10.0/24), utilisez un masque égal à 255.255.255.0.
•
Port source : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Sélectionner dans la liste : met en correspondance un mot clé associé
au port source : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun
de ces mots clés est traduit en son numéro de port équivalent.
Guide d'administration du Cisco WAP571/E
139
8
QoS des clients
Mappage de classe
-
Port correspondant : met en correspondance le numéro de port source
figurant dans l'en-tête de datagramme avec un numéro de port IANA que
vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
•
•
Masque : masque du port. Le masque détermine quels bits sont utilisés
et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF) est
autorisé. 1 signifie que le bit est significatif et 0 indique qu'il peut être
ignoré.
IP de destination : nécessite que l'adresse IPv4 destination d'un paquet
corresponde à l'adresse IPv4 définie dans les champs appropriés.
-
Adresse IP de destination : entrez l'adresse IPv4 pour appliquer ce
critère.
-
Masque IP de destination : entrez le masque d'adresse IP de
destination.
Port de destination : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Sélectionner dans la liste : met en correspondance le port de
destination figurant dans l'en-tête de datagramme avec le mot clé
sélectionné : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun
de ces mots clés est traduit en son numéro de port équivalent.
-
Port correspondant : met en correspondance le port de destination
figurant dans l'en-tête de datagramme avec un numéro de port IANA que
vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
Guide d'administration du Cisco WAP571/E
140
8
QoS des clients
Mappage de classe
-
•
Masque : masque du port. Le masque détermine quels bits sont utilisés
et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF) est
autorisé. 1 signifie que le bit est significatif et 0 indique qu'il peut être
ignoré.
Type de service : spécifie le type de service à utiliser lors de la mise en
correspondance des paquets avec les critères de classe.
-
Sélectionner la valeur IP DSCP dans la liste : choisissez une valeur
DSCP à utiliser en guise de critère de correspondance.
-
Valeur correspondante IP DSCP : entrez une valeur DSCP
personnalisée, comprise entre 0 et 63.
-
Priorité IP : met en correspondance la valeur Priorité IP du paquet avec
la valeur Priorité IP définie dans ce champ. La plage des valeurs
Priorité IP va de 0 à 7.
-
Bits du type de service IP : utilise les bits du type de service (ToS) du
paquet dans l'en-tête IP en guise de critères de correspondance. Cette
valeur est comprise entre 00 et FF. Les trois bits d'ordre haut représentent
la valeur Priorité IP. Les six bits d'ordre haut représentent la valeur IP
DSCP.
-
Masque du type de service IP : entrez une valeur Masque du type de
service IP pour identifier les positions de bits dans la valeur Bits du type
de service IP, utilisées pour la comparaison avec le champ Type de
service IP dans un paquet.
La valeur Masque du type de service IP est un nombre hexadécimal à
deux chiffres, compris entre 00 et FF, représentant un masque inversé (à
savoir un masque générique). Les bits égaux à zéro dans le champ
Masque du type de service IP indiquent les positions de bits dans la
valeur Bits du type de service IP qui sont utilisées pour la comparaison
avec le champ Type de service IP d'un paquet. Par exemple, pour
vérifier une valeur Type de service IP possédant les bits 7 et 5 définis et
le bit 1 vide, dans laquelle le bit 7 est le plus significatif, utilisez une
valeur Bits du type de service IP égale à 0 et une valeur Masque du type
de service IP égale à 00.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
141
8
QoS des clients
Mappage de classe
REMARQUE : Pour supprimer un mappage de classe, sélectionnez-le dans la liste Nom du
mappage de classe et cliquez sur Supprimer. Le mappage de classe ne peut pas
être supprimé s'il est déjà lié à une stratégie.
Configuration des mappages de classe IPv6
Pour ajouter et configurer un mappage de classe IPv6 :
ÉTAPE 1 Sélectionnez QoS des clients > Mappage de classe.
ÉTAPE 2 Dans le champ Nom du mappage de classe, saisissez le nom du nouveau
mappage de classe. Le nom peut comporter de 1 à 31 caractères
alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Choisissez IPv6 comme type de mappage de classe dans la liste Type de
mappage de classe. Le mappage de classe IPv6 s'applique uniquement au trafic
IPv6 sur le périphérique WAP.
ÉTAPE 4 Dans la zone Configuration des critères de correspondance, configurez ces
paramètres pour faire correspondre les paquets à une classe :
•
Nom du mappage de classe : choisissez le mappage de classe IPv6 dans la
liste.
•
Correspondre à tous les paquets : la condition de correspondance est
vraie pour l'ensemble des paramètres dans un paquet de couche 3. Si vous
activez cette option, tous les paquets de couche 3 répondront à la condition.
•
Protocole : utilise une condition de correspondance de protocole de
couche 3 ou 4 sur la base de la valeur du champ Protocole IP dans les
paquets IPv4 ou du champ En-tête suivant dans les paquets IPv6. Choisissez
le protocole à mettre en correspondance par mot clé ou entrez un ID de
protocole :
•
-
Sélectionner dans la liste : met en correspondance le protocole
sélectionné : IPv6, ICMPv6, TCP ou UDP.
-
Valeur correspondante : met en correspondance un protocole dont le
nom ne figure pas dans la liste. Entrez l'ID de protocole. L'ID de protocole
est une valeur standard affectée par l'IANA. La valeur est un nombre
compris entre 0 et 255.
IPv6 source : nécessite que l'adresse IPv6 source d'un paquet corresponde
à l'adresse IPv6 définie dans les champs appropriés.
-
Adresse IPv6 source : entrez l'adresse IPv6 pour appliquer ce critère.
Guide d'administration du Cisco WAP571/E
142
8
QoS des clients
Mappage de classe
•
Longueur du préfixe IPv6 source : entrez la longueur de préfixe de
l'adresse IPv6 source.
Port source : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Sélectionner dans la liste : met en correspondance un mot clé associé
au port source : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun
de ces mots clés est traduit en son numéro de port équivalent.
-
Port correspondant : met en correspondance le numéro de port source
figurant dans l'en-tête de datagramme avec un numéro de port IANA que
vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
•
•
Masque : masque du port. Le masque détermine quels bits sont utilisés
et quels bits sont ignorés. Seul un chiffre hexadécimal (0 à 0xFFFF) est
autorisé. 1 signifie que le bit est significatif et 0 indique qu'il peut être
ignoré.
IPv6 de destination : nécessite que l'adresse IPv6 destination d'un paquet
corresponde à l'adresse IPv6 définie dans les champs appropriés.
-
Adresse IPv6 de destination : entrez l'adresse IPv6 pour appliquer ce
critère.
-
Longueur du préfixe IPv6 de destination : entrez la longueur de préfixe
de l'adresse IPv6 de destination.
Port de destination : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Sélectionner dans la liste : met en correspondance le port de
destination figurant dans l'en-tête de datagramme avec le mot clé
sélectionné : ftp, ftpdata, http, smtp, snmp, telnet, tftp ou www. Chacun
de ces mots clés est traduit en son numéro de port équivalent.
-
Port correspondant : met en correspondance le port de destination
figurant dans l'en-tête de datagramme avec un numéro de port IANA que
vous spécifiez. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
Guide d'administration du Cisco WAP571/E
143
8
QoS des clients
Mappage de classe
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
Masque : masque du port. Le masque détermine quels bits sont utilisés
et quels bits sont ignorés. Seul un chiffre hexadécimal (0 à 0xFFFF) est
autorisé. 1 signifie que le bit est significatif et 0 indique qu'il peut être
ignoré.
•
Étiquette du flux IPv6 : entrez un nombre de 20 bits unique pour un paquet
IPv6. Ce nombre est utilisé par les postes finaux pour indiquer la gestion de
la QoS dans les routeurs (plage de 0 à 1048575).
•
IP DSCP : utilise la valeur DSCP comme critère de correspondance.
-
Sélectionner dans la liste : choisissez le type DSCP dans la liste.
-
Valeur correspondante : entrez une valeur DSCP personnalisée,
comprise entre 0 et 63.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer un mappage de classe, sélectionnez-le dans la liste Nom du
mappage de classe et cliquez sur Supprimer. Le mappage de classe ne peut pas
être supprimé s'il est déjà lié à une stratégie.
Configuration des mappages de classe MAC
Pour configurer un mappage de classe MAC :
ÉTAPE 1 Sélectionnez QoS des clients > Mappage de classe.
ÉTAPE 2 Dans le champ Nom du mappage de classe, saisissez le nom du nouveau
mappage de classe. Le nom peut comporter de 1 à 31 caractères
alphanumériques et caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Choisissez MAC comme type de mappage de classe dans la liste Type de
mappage de classe. Le mappage de classe MAC s'applique aux critères de
couche 2.
Guide d'administration du Cisco WAP571/E
144
8
QoS des clients
Mappage de classe
ÉTAPE 4 Dans la zone Configuration des critères de correspondance, configurez ces
paramètres pour faire correspondre les paquets à une classe :
•
Nom du mappage de classe : choisissez le mappage de classe MAC dans
la liste.
•
Correspondre à tous les paquets : si vous activez cette option, tous les
paquets de couche 2 répondront à la condition.
•
Type Ethernet : compare les critères de correspondance avec la valeur
figurant dans l'en-tête d'une trame Ethernet. Choisissez un mot clé Type
Ethernet ou entrez une valeur Type Ethernet pour spécifier les critères de
correspondance :
-
Sélectionner dans la liste : met en correspondance la valeur Type
Ethernet figurant dans l'en-tête de datagramme avec les types de
protocole sélectionnés : appletalk, arp, ipv4, ipv6, ipx, netbios ou pppoe.
-
Valeur correspondante : met en correspondance la valeur Type Ethernet
figurant dans l'en-tête de datagramme avec un identificateur de
protocole personnalisé que vous spécifiez. La valeur est un nombre
hexadécimal à 4 chiffres dans la plage 0600 à FFFF.
•
Classe de service : spécifie la valeur de priorité utilisateur 802.1p de classe
de service à mettre en correspondance pour les paquets. La valeur doit être
comprise entre 0 et 7.
•
MAC source : inclut une adresse MAC source dans la condition de
correspondance de la règle.
-
Adresse MAC source : entrez l'adresse MAC source à comparer à une
trame Ethernet.
-
Masque MAC source : entrez le masque d'adresse MAC source
indiquant quels bits de l'adresse MAC de destination il faut comparer à
une trame Ethernet.
Guide d'administration du Cisco WAP571/E
145
8
QoS des clients
Mappage de stratégie
Pour chaque position de bit dans le masque MAC, une valeur 0 indique que le bit
d'adresse correspondant est significatif et une valeur 1 indique que le bit
d'adresse est ignoré. Par exemple, pour ne vérifier que les quatre premiers octets
d'une adresse MAC, utilisez un masque MAC de 00:00:00:00:ff:ff. Un masque MAC
de 00:00:00:00:00:00 vérifie tous les bits d'adresse et est utilisé pour mettre en
correspondance une seule adresse MAC.
•
•
Adresse MAC de destination : inclut une adresse MAC de destination dans
la condition de correspondance de la règle.
-
Adresse MAC de destination : entrez l'adresse MAC de destination à
comparer à une trame Ethernet.
-
Masque MAC de destination : entrez le masque d'adresse MAC de
destination afin de spécifier quels bits de l'adresse MAC de destination il
faut comparer à une trame Ethernet.
ID de VLAN : ID de VLAN spécifié à mettre en correspondance pour les
paquets. L'ID de VLAN doit être compris entre 0 et 4095.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer un mappage de classe, sélectionnez-le dans la liste Nom du
mappage de classe et cliquez sur Supprimer. Le mappage de classe ne peut pas
être supprimé s'il est déjà lié à une stratégie.
Mappage de stratégie
Les paquets sont classifiés et traités sur la base des critères définis. Les critères
de classification sont définis par l'intermédiaire d'une classe à la page Mappage
de classe. Le traitement est défini par les attributs d'une stratégie à la page
Mappage de stratégie. Les attributs de stratégie peuvent être définis sur la base
d'une instance par classe et ils déterminent le mode de traitement du trafic
correspondant aux critères de classe.
Le périphérique WAP peut prendre en charge un maximum de 50 mappages de
stratégie. Un mappage de stratégie peut contenir jusqu'à 10 mappages de classe.
Guide d'administration du Cisco WAP571/E
146
8
QoS des clients
Mappage de stratégie
Ajout et configuration d'un mappage de stratégie
Pour ajouter et configurer un mappage de stratégie :
ÉTAPE 1 Sélectionnez QoS des clients > Mappage de stratégie.
ÉTAPE 2 Dans le champ Nom du mappage de stratégie, saisissez le nom du mappage de
stratégie. Le nom peut comporter de 1 à 31 caractères alphanumériques et
caractères spéciaux. Les espaces ne sont pas autorisés.
ÉTAPE 3 Cliquez sur Ajouter un mappage de stratégie.
ÉTAPE 4 Dans la zone Définition de la classe de stratégies, configurez ces paramètres pour
le mappage de stratégie :
•
Nom du mappage de stratégie : choisissez le mappage de stratégie à
configurer.
•
Nom du mappage de classe : choisissez le mappage de classe à appliquer
à cette stratégie.
•
Police Simple : établit le style de réglementation du trafic de la classe. La
forme simple du style de réglementation utilise un seul débit de données et
une seule taille de rafale, d'où deux résultats possibles : conforme et non
conforme.
Si vous activez cette fonctionnalité, configurez l'un des champs suivants :
-
Débit engagé : débit garanti, en Kbit/s, auquel le trafic doit se conformer.
Cette valeur est comprise entre 1 et 1 000 000 Kbit/s.
-
Rafale engagée : taille de rafale engagée, en octets, à laquelle le trafic
doit se conformer. Cette valeur est comprise entre 1 et
204 800 000 octets.
•
Envoyer : spécifie que tous les paquets du flux de trafic associé doivent être
transférés si les critères de mappage de classe sont satisfaits.
•
Abandonner : spécifie que tous les paquets du flux de trafic associé doivent
être abandonnés si les critères de mappage de classe sont satisfaits.
•
Marquer la classe de service : marque tous les paquets du flux de trafic
associé avec la valeur de la classe de service spécifiée dans le champ de
priorité de l'en-tête 802.1p. Si le paquet ne contient pas encore cet en-tête,
celui-ci est inséré. La valeur CoS est un entier compris entre 0 et 7.
•
Marquer la valeur IP DSCP : marque tous les paquets du flux de trafic
associé avec la valeur IP DSCP que vous sélectionnez dans la liste.
Guide d'administration du Cisco WAP571/E
147
8
QoS des clients
Association de la QoS des clients
-
Sélectionner dans la liste : liste des types DSCP.
•
Marquer la priorité IP : marque tous les paquets du flux de trafic associé
avec la valeur Priorité IP spécifiée. La valeur Priorité IP est un entier compris
entre 0 et 7.
•
Dissocier le mappage de classe : supprime la classe sélectionnée dans la
liste Nom du mappage de classe de la stratégie sélectionnée dans la liste
Nom du mappage de stratégie.
•
Classes membres : répertorie toutes les classes DiffServ actuellement
définies en tant que membres de la stratégie sélectionnée. Ce champ est
vide si aucune classe n'est associée à la stratégie.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer un mappage de stratégie, sélectionnez-le dans la liste Nom du
mappage de stratégie et cliquez sur Supprimer.
REMARQUE : Vous ne pouvez supprimer un mappage de stratégie que s'il n'est associé à aucun
point d'accès virtuel.
REMARQUE : Les paramètres de marquage de stratégie tels que Marquer la classe de service,
Marquer la valeur IP DSCP et Marquer la priorité IP ne sont pas pris en charge pour
le mappage de classe IPv6.
Association de la QoS des clients
La page Association de la QoS offre un contrôle supplémentaire de certains
aspects de la qualité de service des interfaces sans fil et Ethernet. En outre, elle
permet de contrôler la quantité de bande passante qu'un client individuel est
autorisé à envoyer et à recevoir.
En plus de contrôler les catégories générales de trafic, la QoS vous permet de
configurer le conditionnement par client de divers micro-flux par le biais de
services différenciés (DiffServ, Differentiated Services). Les stratégies DiffServ
sont un outil utile pour l'établissement d'une définition générale des micro-flux et
de caractéristiques de traitement pouvant être appliquées à chaque client sans fil,
entrant et sortant, lors de son authentification sur le réseau.
Guide d'administration du Cisco WAP571/E
148
8
QoS des clients
Statut de la QoS des clients
Configuration des paramètres d'association de la QoS
Pour configurer les paramètres d'association de la QoS :
ÉTAPE 1 Sélectionnez QoS de client > Association de la QoS de client.
ÉTAPE 2 Dans le champ Interface, choisissez l'interface radio ou Ethernet sur laquelle vous
voulez configurer les paramètres QoS.
ÉTAPE 3 Sélectionnez Activée pour l'interface sélectionnée.
ÉTAPE 4 Configurez les paramètres suivants pour l'interface sélectionnée :
•
Limite de bande passante en aval : saisissez la vitesse de transmission
maximale autorisée depuis le périphérique WAP vers le client en bits par
seconde (bit/s). La plage valide va de 0 à 1300 Mbit/s.
•
Limite de bande passante en amont : vitesse de transmission maximale
autorisée depuis le client vers le périphérique WAP en bits par seconde (bit/
s). La plage valide va de 0 à 1300 Mbit/s.
•
Stratégie DiffServ : choisissez une stratégie DiffServ appliquée au trafic
envoyé au périphérique WAP pour l'interface sélectionnée.
ÉTAPE 5 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Statut de la QoS des clients
La page Statut de la QoS des clients indique les détails des mappages de
stratégie et de classe, notamment le mappage de classe présent dans un
mappage de stratégie et les interfaces liées à ce mappage de stratégie.
Les tables IPv4 QoS, IPv6 QoS et MAC QoS indiquent les informations des
mappages de classe définis dans la page Mappage de classe, notamment :
•
Classe membre : nom du mappage de classe.
•
Rechercher tout : indique si ce mappage correspond à tous les paquets.
Champ de la règle : affiche la définition détaillée de ce mappage de classe. Pour
plus d'informations, reportez-vous à la section Mappage de classe.
Guide d'administration du Cisco WAP571/E
149
8
QoS des clients
Statut de la QoS des clients
La table Mappage de stratégie indique les informations des mappages de
stratégie définies dans la page Mappage de stratégie, notamment :
•
Nom du mappage de stratégie : nom du mappage de stratégie.
•
Liaison de l'interface affiche l'interface associée à ce mappage de
stratégie.
•
Nom du mappage de classe : répertorie les mappages de classe contenus
par cette stratégie.
Stratégie : affiche les détails de stratégie de ce mappage de classe. Pour plus
d'informations, reportez-vous à la section Mappage de stratégie.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration du Cisco WAP571/E
150
9
ACL
Cette section explique comment configurer la fonction ACL sur le
périphérique WAP. Elle contient les sections suivantes :
•
Règle ACL
•
Association d'ACL
•
Statut ACL
Règle ACL
Une ACL ou liste de contrôle d'accès est un ensemble de conditions d'autorisation
et de refus, appelées règles, qui offrent une protection en bloquant les utilisateurs
non autorisés et en permettant aux utilisateurs autorisés d'accéder à des
ressources spécifiques. Les ACL peuvent bloquer toutes les tentatives non
fondées d'accès aux ressources réseau.
Le périphérique WAP peut prendre en charge jusqu'à 50 règles ACL IPv4, IPv6 et
MAC.
ACL IPv4 et IPv6
Les ACL IP classent le trafic selon les couches 3 et 4.
Chaque ACL est un ensemble de règles qui s'appliquent au trafic reçu par le
périphérique WAP. Chaque règle spécifie si le contenu d'un champ donné doit être
utilisé pour autoriser ou refuser l'accès au réseau. Les règles peuvent être basées
sur divers critères et elles peuvent s'appliquer à un ou plusieurs champs au sein
d'un paquet, comme l'adresse IP source ou de destination, le port source ou de
destination, ou le protocole transporté dans le paquet.
REMARQUE : Chaque règle créée se termine par une instruction de refus implicite. Afin d'éviter
un refus complet, il est fortement recommandé d'ajouter une règle d'autorisation
dans l'ACL en vue d'autoriser le trafic.
Guide d'administration du Cisco WAP571/E
151
9
ACL
Règle ACL
ACL MAC
Les ACL MAC sont des ACL de couche 2. Vous pouvez configurer les règles de
manière à inspecter les champs d'une trame, comme l'adresse MAC source ou de
destination, l'ID de VLAN ou la classe de service. Lorsqu'une trame entre dans le
port du périphérique WAP, le périphérique WAP l'inspecte et vérifie son contenu
par rapport aux règles ACL. Si l'une des règles correspond à ce contenu, une
action d'autorisation ou de refus est entreprise sur la trame.
Procédure de configuration des ACL
Utilisez la page Règle ACL pour configurer les ACL et leurs règles, puis appliquer
ces dernières à une interface particulière.
Configuration des ACL
Pour configurer des ACL :
ÉTAPE 1 Sélectionnez ACL > Règle ACL.
ÉTAPE 2 Spécifiez le nom de l'ACL.
ÉTAPE 3 Sélectionnez le type d'ACL à ajouter.
ÉTAPE 4 Ajoutez l'ACL.
ÉTAPE 5 Ajoutez de nouvelles règles à l'ACL.
ÉTAPE 6 Configurez les critères de correspondance des règles.
ÉTAPE 7 Utilisez la page Association d'ACL pour appliquer l'ACL à une ou plusieurs
interfaces.
Configuration des ACL IPv4
Pour configurer une ACL IPv4 :
ÉTAPE 1 Sélectionnez ACL > Règle ACL.
ÉTAPE 2 Dans le champ Nom de l'ACL, saisissez le nom identifiant l'ACL. Le nom peut
comporter de 1 à 31 caractères alphanumériques et caractères spéciaux. Les
espaces ne sont pas autorisés.
ÉTAPE 3 Dans la liste Type d'ACL, choisissez IPv4. Les ACL IPv4 et IPv6 contrôlent l'accès
aux ressources réseau sur la base des critères des couches 3 et 4.
ÉTAPE 4 Cliquez sur Ajouter une ACL.
Guide d'administration du Cisco WAP571/E
152
9
ACL
Règle ACL
ÉTAPE 5 Dans la zone Configuration de la règle ACL, définissez les paramètres de règle
ACL suivants :
•
Nom de l'ACL - Type d'ACL : sélectionnez l'ACL à configurer avec la
nouvelle règle.
•
Règle : sélectionnez Nouvelle règle pour configurer une nouvelle règle pour
l'ACL sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont
appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez
ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout
trafic.
•
Action : indiquez si la règle ACL autorise ou refuse une action.
•
Lorsque vous sélectionnez Autoriser, la règle permet à tout le trafic
répondant à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est abandonné.
•
Lorsque vous sélectionnez Refuser, la règle empêche tout le trafic qui ne
répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est transféré, sauf si cette règle est la règle finale.
Étant donné la présence d'une règle implicite de refus de tout trafic à la fin
de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné.
•
Correspondre à tous les paquets : si cette option est activée, la règle, qui
possède une action d'autorisation ou de refus, met en correspondance la
trame ou le paquet, quel que soit son contenu. Si vous sélectionnez cette
fonction, vous ne pouvez configurer aucun critère de correspondance
supplémentaire. Cette option est sélectionnée par défaut pour chaque
nouvelle règle. Vous devez désactiver l'option pour configurer d'autres
champs de correspondance.
•
Protocole : utilise une condition de correspondance de protocole de
couche 3 ou 4 sur la base de la valeur du champ Protocole IP dans les
paquets IPv4 ou du champ En-tête suivant dans les paquets IPv6. Vous
pouvez choisir l'une de ces options ou sélectionner Tout :
-
Sélectionner dans la liste : sélectionnez l'un des protocoles suivants : IP,
ICMP, IGMP, TCP ou UDP.
-
Valeur correspondante : entrez un ID de protocole standard affecté par
l'IANA, compris entre 0 et 255. Choisissez cette méthode pour identifier
un protocole dont le nom ne figure pas dans le champ Sélectionner dans
la liste.
Guide d'administration du Cisco WAP571/E
153
9
ACL
Règle ACL
•
IP source : nécessite que l'adresse IP source d'un paquet corresponde à
l'adresse définie dans les champs appropriés.
-
Adresse IP source : saisissez l'adresse IP pour appliquer ces critères.
-
Masque générique : saisissez le masque générique de l'adresse IP
source. Le masque générique détermine quels bits sont utilisés et quels
bits sont ignorés. Un masque générique égal à 255.255.255.255 indique
qu'aucun bit n'est important. Un masque générique égal à 0.0.0.0 indique
en revanche que tous les bits sont importants. Ce champ est requis lors
de la vérification de l'adresse IP source.
Un masque générique est en fait l'inverse d'un masque de sous-réseau.
Par exemple, pour que les critères correspondent à une adresse hôte
unique, utilisez un masque générique égal à 0.0.0.0. Pour faire
correspondre les critères à un sous-réseau 24 bits (par exemple,
192.168.10.0/24), utilisez un masque générique égal à 0.0.0.255.
•
Port source : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Sélectionner dans la liste : sélectionnez le mot clé associé au port
source à mettre en correspondance : ftp, ftpdata, http, smtp, snmp, telnet,
tftp ou www. Chacun de ces mots clés est traduit en son numéro de port
équivalent.
-
Port correspondant : saisissez le numéro de port IANA à mettre en
correspondance avec le port source identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
Masque : entrez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF)
est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il peut être
ignoré.
Guide d'administration du Cisco WAP571/E
154
9
ACL
Règle ACL
•
IP de destination : nécessite que l'adresse IP de destination d'un paquet
corresponde à l'adresse définie dans les champs appropriés.
-
Adresse IP de destination : saisissez une adresse IP pour appliquer ces
critères.
Masque générique : saisissez le masque générique de l'adresse IP
destination. Le masque générique détermine quels bits sont utilisés et
quels bits sont ignorés. Un masque générique égal à 255.255.255.255
indique qu'aucun bit n'est important. Un masque générique égal à 0.0.0.0
indique en revanche que tous les bits sont importants. Ce champ est
requis lors de la sélection de l'adresse IP source.
Un masque générique est en fait l'inverse d'un masque de sous-réseau.
Par exemple, pour que les critères correspondent à une adresse hôte
unique, utilisez un masque générique égal à 0.0.0.0. Pour faire
correspondre les critères à un sous-réseau 24 bits (par exemple,
192.168.10.0/24), utilisez un masque générique égal à 0.0.0.255.
•
Port de destination : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Sélectionner dans la liste : sélectionnez le mot clé associé au port
destination à mettre en correspondance : ftp, ftpdata, http, smtp, snmp,
telnet, tftp ou www. Chacun de ces mots clés est traduit en son numéro
de port équivalent.
-
Port correspondant : saisissez le numéro de port IANA à mettre en
correspondance avec le port destination identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
Masque : entrez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF)
est autorisé. 0 signifie que le bit est pris en compte, 1 signifie que ce bit
doit être ignoré.
Guide d'administration du Cisco WAP571/E
155
9
ACL
Règle ACL
•
Type de service : met en correspondance les paquets selon un type de
service spécifique.
-
Sélectionner la valeur IP DSCP dans la liste : met en correspondance
les paquets selon les valeurs transfert DSCP (AF), classe de service (CS)
ou acheminement attendu (EF).
-
Valeur correspondante IP DSCP : met en correspondance les paquets
selon une valeur DSCP personnalisée. Si vous sélectionnez cette option,
saisissez une valeur comprise entre 0 et 63 dans ce champ.
-
Priorité IP : met en correspondance les paquets selon leur valeur
Priorité IP. Si vous sélectionnez cette option, entrez une valeur Priorité IP
comprise entre 0 et 7.
-
Bits du type de service IP : spécifie une valeur relative à l'utilisation des
bits du type de service du paquet dans l'en-tête IP en guise de critères
de correspondance.
Le champ Type de service IP dans un paquet est défini comme
l'ensemble des huit bits de l'octet du type de service dans l'en-tête IP. La
valeur Bits du type de service IP est un nombre hexadécimal à deux
chiffres, compris entre 00 et ff. Les trois bits d'ordre haut représentent la
valeur Priorité IP. Les six bits d'ordre haut représentent la valeur DSCP
(Differentiated Services Code Point) IP.
-
Masque du type de service IP : entrez une valeur Masque du type de
service IP pour identifier les positions de bits dans la valeur Bits du type
de service IP, utilisées pour la comparaison avec le champ Type de
service IP dans un paquet.
La valeur Masque du type de service IP est un nombre hexadécimal à deux
chiffres, compris entre 00 et FF, représentant un masque inversé (à savoir un
masque générique). Les bits égaux à zéro dans le champ Masque du type
de service IP indiquent les positions de bits dans la valeur Bits du type de
service IP qui sont utilisées pour la comparaison avec le champ Type de
service IP d'un paquet. Par exemple, pour vérifier une valeur Type de
service IP possédant les bits 7 et 5 définis et le bit 1 vide, dans laquelle le
bit 7 est le plus significatif, utilisez une valeur Bits du type de service IP
égale à 0 et une valeur Masque du type de service IP égale à 00.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste Nom
de l'ACL - Type d'ACL, sélectionnez Supprimer l'ACL et cliquez sur Enregistrer.
Guide d'administration du Cisco WAP571/E
156
9
ACL
Règle ACL
Configuration des ACL IPv6
Pour configurer une ACL IPv6 :
ÉTAPE 1 Sélectionnez ACL > Règle ACL.
ÉTAPE 2 Dans le champ Nom de l'ACL, saisissez le nom identifiant l'ACL.
ÉTAPE 3 Dans la liste Type d'ACL, choisissez IPv6. Les ACL IPv6 contrôlent l'accès aux
ressources réseau sur la base des critères des couches 3 et 4.
ÉTAPE 4 Cliquez sur Ajouter une ACL.
ÉTAPE 5 Dans la zone Configuration de la règle ACL, définissez les paramètres de règle
ACL suivants :
•
Nom de l'ACL - Type d'ACL : sélectionnez l'ACL à configurer avec la
nouvelle règle.
•
Règle : sélectionnez Nouvelle règle pour configurer une nouvelle règle pour
l'ACL sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont
appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez
ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout
trafic.
•
Action : indiquez si la règle ACL autorise ou refuse une action.
•
Lorsque vous sélectionnez Autoriser, la règle permet à tout le trafic
répondant à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est abandonné.
•
Lorsque vous sélectionnez Refuser, la règle empêche tout le trafic qui ne
répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est transféré, sauf si cette règle est la règle finale.
Étant donné la présence d'une règle implicite de refus de tout trafic à la fin
de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné.
•
Correspondre à tous les paquets : si cette option est activée, la règle, qui
possède une action d'autorisation ou de refus, met en correspondance la
trame ou le paquet, quel que soit son contenu. Si vous sélectionnez cette
fonction, vous ne pouvez configurer aucun critère de correspondance
supplémentaire. Cette option est sélectionnée par défaut pour chaque
nouvelle règle. Vous devez désactiver l'option pour configurer d'autres
champs de correspondance.
•
Protocole : sélectionnez le protocole à mettre en correspondance par mot
clé ou ID de protocole.
Guide d'administration du Cisco WAP571/E
157
9
ACL
Règle ACL
•
•
IPv6 source : nécessite que l'adresse IPv6 source d'un paquet
corresponde à l'adresse IPv6 définie dans les champs appropriés.
-
Adresse IPv6 source : entrez l'adresse IPv6 pour appliquer ce critère.
-
Longueur du préfixe IPv6 source : entrez la longueur de préfixe de
l'adresse IPv6 source.
Port source : inclut un port source dans la condition de correspondance de
la règle. Le port source est identifié dans l'en-tête de datagramme.
-
Sélectionner dans la liste : si vous sélectionnez cette option, choisissez
le nom du port dans la liste.
-
Port correspondant : saisissez le numéro de port IANA à mettre en
correspondance avec le port source identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
•
•
Masque : entrez le masque du port. Le masque détermine quels bits sont
utilisés et quels bits sont ignorés. Seul le chiffre hexadécimal (0-0xFFFF)
est autorisé. 0 signifie que le bit est significatif et 1 indique qu'il peut être
ignoré.
IPv6 de destination : nécessite que l'adresse IPv6 destination d'un paquet
corresponde à l'adresse IPv6 définie dans les champs appropriés.
-
Adresse IPv6 de destination : saisissez une adresse IPv6 pour
appliquer ces critères.
-
Longueur du préfixe IPv6 de destination : entrez la longueur de préfixe
de l'adresse IPv6 de destination.
Port de destination : inclut un port de destination dans la condition de
correspondance de la règle. Le port de destination est identifié dans l'entête de datagramme.
-
Sélectionner dans la liste : si vous sélectionnez cette option, choisissez
le nom du port dans la liste.
Guide d'administration du Cisco WAP571/E
158
9
ACL
Règle ACL
-
Port correspondant : saisissez le numéro de port IANA à mettre en
correspondance avec le port source identifié dans l'en-tête de
datagramme. La plage de ports va de 0 à 65535 et inclut trois types de
ports différents :
0 à 1 023 : ports connus
1 024 à 49 151 : ports enregistrés
49 152 à 65 535 : ports dynamiques et/ou privés
-
Masque : entrez le masque du port. Le masque détermine quels bits
sont utilisés et quels bits sont ignorés. Seul le chiffre hexadécimal (00xFFFF) est autorisé. 0 signifie que le bit est pris en compte, 1 signifie
que ce bit doit être ignoré.
•
Étiquette du flux IPv6 : indique un nombre de 20 bits qui est propre à un
paquet IPv6. Ce nombre est utilisé par les postes finaux pour indiquer la
gestion de la QoS dans les routeurs (plage de 0 à 1048575).
•
IPv6 DSCP : met en correspondance les paquets selon leur valeur IP DSCP.
Si vous sélectionnez cette option, choisissez l'une des options suivantes en
tant que critères de correspondance :
-
Sélectionner dans la liste : sélectionnez l'une des valeurs suivantes :
Transfert DSCP (AF), classe de service (CS) ou acheminement attendu
(EF).
-
Valeur correspondante : saisissez une valeur DSCP personnalisée,
comprise entre 0 et 63.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste Nom
de l'ACL-Type d'ACL, sélectionnez Supprimer l'ACL et cliquez sur Enregistrer.
Configuration des ACL MAC
Pour configurer une ACL MAC :
ÉTAPE 1 Sélectionnez ACL > Règle ACL.
ÉTAPE 2 Dans le champ Nom de l'ACL, saisissez le nom identifiant l'ACL.
ÉTAPE 3 Dans la liste Type d'ACL, choisissez MAC. Les ACL MAC contrôlent l'accès aux
ressources réseau sur la base des critères de la couche 2.
Guide d'administration du Cisco WAP571/E
159
9
ACL
Règle ACL
ÉTAPE 4 Cliquez sur Ajouter une ACL.
ÉTAPE 5 Dans la zone Configuration de la règle ACL, définissez les paramètres de règle
ACL suivants :
•
Nom de l'ACL - Type d'ACL : sélectionnez l'ACL à configurer avec la
nouvelle règle.
•
Règle : sélectionnez Nouvelle règle pour configurer une nouvelle règle pour
l'ACL sélectionnée. Lorsqu'une ACL possède plusieurs règles, celles-ci sont
appliquées au paquet ou à la trame dans l'ordre selon lequel vous les avez
ajoutées à l'ACL. La règle finale est une instruction implicite de refus de tout
trafic.
•
Action : indiquez si la règle ACL autorise ou refuse une action.
•
Lorsque vous sélectionnez Autoriser, la règle permet à tout le trafic
répondant à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est abandonné.
•
Lorsque vous sélectionnez Refuser, la règle empêche tout le trafic qui ne
répond pas à ses critères d'entrer dans le périphérique WAP. Le trafic qui ne
satisfait pas aux critères est transféré, sauf si cette règle est la règle finale.
Étant donné la présence d'une règle implicite de refus de tout trafic à la fin
de chaque ACL, le trafic qui n'est pas explicitement autorisé est abandonné.
•
Correspondre à tous les paquets : si cette option est activée, la règle, qui
possède une action d'autorisation ou de refus, met en correspondance la
trame ou le paquet, quel que soit son contenu. Si vous sélectionnez cette
fonction, vous ne pouvez configurer aucun critère de correspondance
supplémentaire. Cette option est sélectionnée par défaut pour chaque
nouvelle règle. Vous devez désactiver l'option pour configurer d'autres
champs de correspondance.
•
Type Ethernet : sélectionnez cette option pour comparer les critères de
correspondance avec la valeur de trame Ethernet figurant dans l'en-tête.
Vous pouvez sélectionner un mot clé Type Ethernet ou entrer une valeur
Type Ethernet pour spécifier les critères de correspondance.
-
Sélectionner dans la liste : sélectionnez l'un des types de protocole
suivants : appletalk, arp, ipv4, ipv6, ipx, netbios ou pppoe.
-
Valeur correspondante : entrez un identificateur de protocole
personnalisé avec lequel les paquets sont mis en correspondance. La
valeur est un nombre hexadécimal à 4 chiffres dans la plage 0600 à FFFF.
Guide d'administration du Cisco WAP571/E
160
9
ACL
Règle ACL
•
Classe de service : entrez une priorité d'utilisateur 802.1p à comparer à une
trame Ethernet. La plage valide va de 0 à 7. Ce champ se trouve dans la
première et seule balise VLAN 802.1Q.
•
MAC source : nécessite que l'adresse MAC source d'un paquet
corresponde à l'adresse définie dans les champs appropriés.
-
Adresse MAC source : entrez l'adresse MAC source à comparer à une
trame Ethernet.
-
Masque MAC source : entrez le masque d'adresse MAC source
indiquant quels bits de l'adresse MAC source il faut comparer à une trame
Ethernet.
Pour chaque position de bit dans le masque MAC, une valeur égale à 0
indique que le bit d'adresse correspondant est significatif et une valeur
égale à 1 indique que le bit d'adresse est ignoré. Par exemple, pour ne
vérifier que les quatre premiers octets d'une adresse MAC, utilisez un
masque MAC de 00:00:00:00:ff:ff. Un masque MAC de 00:00:00:00:00:00
vérifie tous les bits d'adresse et est utilisé pour mettre en
correspondance une seule adresse MAC.
•
•
MAC de destination : nécessite que l'adresse MAC destination d'un paquet
corresponde à l'adresse définie dans les champs appropriés.
-
Adresse MAC de destination : entrez l'adresse MAC de destination à
comparer à une trame Ethernet.
-
Masque MAC de destination : entrez le masque d'adresse MAC de
destination afin de spécifier quels bits de l'adresse MAC de destination il
faut comparer à une trame Ethernet.
ID de VLAN : entrez l'ID de VLAN spécifique à comparer à une trame
Ethernet.
Ce champ se trouve dans la première et seule balise VLAN 802.1Q.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Pour supprimer une ACL, assurez-vous qu'elle est sélectionnée dans la liste Nom
de l'ACL-Type d'ACL, sélectionnez Supprimer l'ACL et cliquez sur Enregistrer.
Guide d'administration du Cisco WAP571/E
161
9
ACL
Association d'ACL
Association d'ACL
La page ACL Association fournit la liste d'ACL liée aux interfaces sans fil et
Ethernet. Vous pouvez configurer des listes de contrôle d'accès (ACL) et les
affecter à une ou plusieurs interfaces afin de contrôler des catégories générales
de trafic, comme le trafic HTTP ou le trafic issu d'un sous-réseau spécifique.
Pour associer une ACL à une interface :
ÉTAPE 1 Sélectionnez ACL > Association d'ACL.
ÉTAPE 2 Dans le champ Interface, cliquez sur l'interface radio ou Ethernet dans laquelle
vous souhaitez configurer les paramètres ACL.
ÉTAPE 3 Configurez les paramètres suivants pour l'interface sélectionnée :
•
•
Type d'ACL : sélectionnez le type d'ACL appliqué au trafic entrant dans le
périphérique WAP, parmi les valeurs ci-dessous :
-
IPv4 : examine les paquets IPv4 qui correspondent aux règles ACL.
-
IPv4 : examine les paquets IPv6 qui correspondent aux règles ACL.
-
MAC : examine les trames de couche 2 qui correspondent aux règles
ACL.
-
Aucun : n'examine pas le trafic entrant dans le périphérique WAP.
Nom de l'ACL : sélectionnez le nom de l'ACL appliquée au trafic entrant
dans le périphérique WAP.
Lors de la réception d'un paquet ou d'une trame par le périphérique WAP,
une correspondance avec les règles ACL est vérifiée. Le paquet ou la trame
est traité s'il est autorisé, ou abandonné s'il est refusé.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Guide d'administration du Cisco WAP571/E
162
9
ACL
Statut ACL
Statut ACL
La page Statut ACL affiche des informations détaillées pour les différents types
de règles ACL.
Pour afficher l'état ACL, sélectionnez ACL > Statut ACL.
Les informations suivantes sont indiquées :
•
Nom de l'ACL : nom de l'ACL.
•
Liaison de l'interface : interface à laquelle l'ACL a été associée.
•
Numéro de la règle : numéro de la règle que l'ACL contient.
•
Action : action à prendre par l'ACL.
•
Rechercher tout : indique si la règle ACL correspond on non à tous les
paquets.
Champ de la règle : affiche les paramètres détaillés de l'ACL. Pour plus
d'informations, reportez-vous à la section Règle ACL.
Vous pouvez cliquer sur Actualiser pour actualiser l'écran et afficher les
informations les plus récentes.
Guide d'administration du Cisco WAP571/E
163
ACL
Statut ACL
Guide d'administration du Cisco WAP571/E
9
164
10
SNMP
Cette section explique comment configurer le protocole SNMP (Protocole de
gestion de réseau simple) en vue d'effectuer des tâches de configuration et de
collecte de statistiques.
Elle contient les sections suivantes :
•
Général
•
Vues
•
Groupes
•
Utilisateurs
•
Cibles
Général
Utilisez la page Général pour activer SNMP et configurer les paramètres de base
de ce protocole.
Pour configurer les paramètres SNMP généraux :
ÉTAPE 1 Sélectionnez SNMP > Général dans le volet de navigation.
ÉTAPE 2 Sélectionnez Activé pour le paramètre SNMP. SNMP est désactivé par défaut.
ÉTAPE 3 Spécifiez un Port UDP pour le trafic SNMP.
Par défaut, un agent SNMP n'écoute que les demandes qui émanent du port 161.
Toutefois, vous pouvez configurer le protocole de telle sorte que l'agent écoute les
demandes issues d'un autre port. La valeur doit être comprise entre 1025 et
65535.
ÉTAPE 4 Configurez les paramètres SNMPv2 :
Guide d'administration du Cisco WAP571/E
165
10
SNMP
Général
•
Communauté en lecture seule : nom de communauté en lecture seule pour
l'accès SNMPv2. La plage valide va de 1 à 256 caractères alphanumériques
et caractères spéciaux.
Le nom de communauté agit en tant que fonctionnalité d'authentification
simple visant à limiter le nombre d'ordinateurs sur le réseau pouvant
demander des données à l'agent SNMP. Ce nom fonctionne comme un mot
de passe et la demande est supposée être authentique si son émetteur
connaît le mot de passe.
•
Communauté en lecture-écriture : nom de communauté en lectureécriture, utilisé pour les demandes de configuration SNMP. La plage valide
va de 1 à 256 caractères alphanumériques et caractères spéciaux.
La définition d'un nom de communauté est similaire à celle d'un mot de
passe. Seules les demandes émanant des ordinateurs qui s'identifient avec
ce nom de communauté sont acceptés.
•
•
Poste de gestion : détermine quelles stations peuvent accéder au
périphérique WAP par le biais du protocole SNMP. Sélectionnez l'une des
options suivantes :
-
Tout : l'ensemble des stations pouvant accéder au périphérique WAP par
le biais du protocole SNMP n'est pas limité.
-
Défini par l'utilisateur : l'ensemble des demandes SNMP autorisées est
limité aux demandes spécifiées.
Nom/adresse IPv4 du système de gestion de réseau : adresse IP IPv4,
nom d'hôte DNS ou sous-réseau du système de gestion de réseau (NMS), ou
ensemble d'ordinateurs pouvant exécuter des demandes d'obtention et de
configuration vers les périphériques gérés.
Un nom d'hôte DNS peut se composer d'une ou plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si
un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.).
La série entière d'étiquettes et de points peut comporter jusqu'à
253 caractères.
Comme dans le cas des noms de communauté, ce paramètre assure un
certain niveau de sécurité sur les paramètres SNMP. L'agent SNMP accepte
uniquement les demandes émanant de l'adresse IP, du nom d'hôte ou du
sous-réseau spécifiés ici.
Pour spécifier un sous-réseau, entrez une ou plusieurs plages d'adresses de
sous-réseau sous la forme adresse/longueur_masque où adresse est une
adresse IP et longueur_masque est le nombre de bits du masque. Les deux
Guide d'administration du Cisco WAP571/E
166
10
SNMP
Général
formats adresse/masque et adresse/longueur_masque sont pris en
charge. Par exemple, si vous entrez la plage 192.168.1.0/24, cela signifie que
l'adresse du sous-réseau est 192.168.1.0 et que le masque du sous-réseau
est 255.255.255.0.
La plage d'adresses est utilisée pour spécifier le sous-réseau du système de
gestion de réseau (NMS) désigné. Seuls les ordinateurs dont les adresses IP
sont incluses dans cette plage sont autorisés à exécuter, obtenir et définir
des demandes sur le périphérique géré. Dans l'exemple ci-dessus, les
ordinateurs dont les adresses sont comprises entre 192.168.1.1 et
192.168.1.254 peuvent exécuter des commandes SNMP sur le périphérique.
(L'adresse identifiée par le suffixe .0 dans une plage de sous-réseau est
toujours réservée à l'adresse de sous-réseau, tandis que l'adresse identifiée
par .255 dans la plage est toujours réservée à l'adresse de diffusion.)
Autre exemple : si vous entrez la plage 10.10.1.128/25, les ordinateurs dont
les adresses IP sont comprises entre 10.10.1.129 et 10.10.1.254 peuvent
exécuter des demandes SNMP sur les périphériques gérés. Dans cet
exemple, 10.10.1.128 est l'adresse réseau et 10.10.1.255 est l'adresse de
diffusion. Un total de 126 adresses seront dans ce cas désignées.
•
Nom/adresse IPv6 du système de gestion de réseau : adresse IP IPv6,
nom d'hôte DNS ou sous-réseau des ordinateurs pouvant exécuter des
demandes d'obtention et de configuration vers les périphériques gérés. La
forme de l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
Un nom d'hôte peut se composer d'une ou plusieurs étiquettes, ellesmêmes constituées d'un maximum de 63 caractères alphanumériques. Si
un nom d'hôte inclut plusieurs étiquettes, elles sont séparées par un point (.).
La série entière d'étiquettes et de points peut comporter jusqu'à
253 caractères.
ÉTAPE 5 Configurez les paramètres de déroutement SNMPv2 suivants :
•
Communauté de filtre : chaîne de communauté globale associée aux
déroutements SNMP. Les déroutements envoyés à partir du périphérique
fournissent cette chaîne en tant que nom de communauté. La plage valide va
de 1 à 60 caractères alphanumériques et caractères spéciaux.
•
Table de destination des filtres : liste de trois adresses IP ou noms d'hôtes
au maximum pouvant recevoir des déroutements SNMP. Activez la case à
cocher et choisissez un Type d'adresse IP hôte (IPv4 ou IPv6) avant
d'ajouter le Nom d'hôte/Adresse IP).
Guide d'administration du Cisco WAP571/E
167
10
SNMP
Vues
Un exemple de nom d'hôte DNS est déroutementssnmp.foo.com. Les
déroutements SNMP étant envoyés de manière aléatoire à partir de l'agent
SNMP, il est logique de spécifier à quel emplacement exact les
déroutements doivent être envoyés. Le nombre maximal de noms d'hôte
DNS est égal à trois. Vérifiez que vous avez activé la case à cocher Activé et
sélectionnez le Type d'adresse IP hôte approprié.
Consultez également la remarque relative aux noms d'hôte dans l'étape
précédente.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
REMARQUE : Une fois les nouveaux paramètres enregistrés, les processus correspondants
peuvent être arrêtés et redémarrés. Toutefois, dans ce cas, il se peut que le
périphérique WAP perde sa connectivité. Nous vous recommandons de modifier
les paramètres du périphérique WAP lorsqu'une perte de connectivité peut
affecter vos clients sans fil.
Vues
Une vue MIB SNMP est une famille de sous-arborescences de vues dans la
hiérarchie MIB. Une sous-arborescence de vues est identifiée par l'association
d'une valeur de sous-arborescence d'ID d'objet (OID) et d'une valeur de masque de
chaîne de bits. Chaque vue MIB est définie par deux ensembles de sousarborescences de vues, inclus dans la vue MIB ou exclus de celle-ci. Vous pouvez
créer des vues MIB dans le but de contrôler la plage d'OID à laquelle les
utilisateurs SNMPv3 peuvent accéder.
Le point d'accès prend en charge un maximum de 16 vues.
Les remarques suivantes résument quelques consignes importantes relatives à la
configuration des vues SNMPv3. Veuillez lire l'ensemble de ces remarques avant
de continuer.
REMARQUE : Une vue MIB appelée « tout » est créée par défaut dans le système. Cette vue
contient l'ensemble des objets de gestion pris en charge par le système.
REMARQUE : Par défaut, les vues SNMPv3 « vue complète » et « aucune vue » sont créées sur le
périphérique WAP. Ces vues ne peuvent pas être supprimées ou modifiées.
Pour ajouter et configurer une vue SNMP :
Guide d'administration du Cisco WAP571/E
168
10
SNMP
Groupes
ÉTAPE 1 Sélectionnez SNMP > Vues dans le volet de navigation.
ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des vues
SNMPv3.
ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier.
•
Nom de la vue : entrez le nom de la vue MIB. Les noms de vue peuvent
comporter jusqu'à 32 caractères alphanumériques.
•
Type : choisissez d'inclure la sous-arborescence de vues ou la famille de
sous-arborescences dans la vue MIB ou de l'en exclure.
•
OID : entrez une chaîne d'OID pour la sous-arborescence à inclure dans la
vue ou à exclure de celle-ci.
Par exemple, la sous-arborescence système est spécifiée par la chaîne
d'OID .3.6.1.2.1.1.
•
Masque : entrez un masque d'OID. La longueur du masque est de
47 caractères. Le format du masque d'OID est xx.xx.xx (.)... ou xx:xx:xx.... (:) et
sa longueur est de 16 octets. Chaque octet se compose de deux caractères
hexadécimaux séparés par un point (.) ou par un caractère deux-points (:).
Seuls les caractères hexadécimaux sont autorisés dans ce champ.
Par exemple, le masque d'OID FA.80 est 11111010.10000000.
Un masque de famille est utilisé pour définir une famille de sousarborescences de vues. Le masque de famille indique quels sousidentificateurs de la chaîne d'OID de la famille associée sont significatifs
pour la définition de la famille. Une famille de sous-arborescences de vues
permet un accès de contrôle efficace à une ligne du tableau.
ÉTAPE 4 Cliquez sur Enregistrer. La vue est ajoutée à la liste des vues SNMPv3 et vos
modifications sont enregistrées dans la configuration initiale.
REMARQUE : Pour supprimer une vue, sélectionnez-la dans la liste et cliquez sur Supprimer.
Groupes
Les groupes SNMPv3 permettent de répartir les utilisateurs en groupes de
privilèges d'autorisation et d'accès différents. Chaque groupe est ainsi associé à
l'un des trois niveaux de sécurité suivants :
Guide d'administration du Cisco WAP571/E
169
10
SNMP
Groupes
•
noAuthNoPriv
•
authNoPriv
•
authPriv
L'accès aux bases d'informations de gestion (MIB) pour chaque groupe est
contrôlé en associant une vue MIB à un groupe pour l'accès en lecture ou en
écriture, et ce, de manière séparée.
Par défaut, le point d'accès possède deux groupes :
•
RO : groupe en lecture seule utilisant l'authentification et le cryptage des
données. Les utilisateurs figurant dans ce groupe utilisent une clé ou un mot
de passe MD5 pour l'authentification et une clé ou un mot de passe DES
pour le cryptage. Les clés ou mots de passe MD5 et DES doivent être
définis. Par défaut, les utilisateurs de ce groupe ont un accès en lecture à la
vue MIB par défaut « tout ».
•
RW : groupe en lecture-écriture utilisant l'authentification et le cryptage des
données. Les utilisateurs figurant dans ce groupe utilisent une clé ou un mot
de passe MD5 pour l'authentification et une clé ou un mot de passe DES
pour le cryptage. Les clés ou mots de passe MD5 et DES doivent être
définis. Par défaut, les utilisateurs de ce groupe ont un accès en lecture et
en écriture à la vue MIB par défaut « tout ».
REMARQUE : Les groupes par défaut RO et RW ne peuvent pas être supprimés.
REMARQUE : Le point d'accès prend en charge un maximum de huit groupes.
Pour ajouter et configurer un groupe SNMP :
ÉTAPE 1 Sélectionnez >Groupes SNMP dans le volet de navigation.
ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des groupes
SNMPv3.
ÉTAPE 3 Activez la case à cocher du nouveau groupe et cliquez sur Modifier.
ÉTAPE 4 Configurez les paramètres suivants :
•
Nom du groupe : nom du groupe. Les noms de groupe par défaut sont RO et
RW.
Les noms de groupe peuvent comporter jusqu'à 32 caractères
alphanumériques.
•
Niveau de sécurité : définit le niveau de sécurité du groupe, qui peut être
l'une des valeurs ci-dessous :
Guide d'administration du Cisco WAP571/E
170
10
SNMP
Utilisateurs
-
Aucune Authentification-Aucune confidentialité : pas d'authentification
et pas de cryptage des données (aucune sécurité).
-
Authentification-Aucune confidentialité : présence d'authentification,
mais pas de cryptage des données. Avec ce niveau de sécurité, les
utilisateurs envoient des messages SNMP utilisant une clé ou un mot de
passe MD5 pour l'authentification, mais n'utilisant pas de clé ou de mot de
passe DES pour le cryptage.
-
Authentification-Confidentialité : présence d'authentification et de
cryptage des données. Avec ce niveau de sécurité, les utilisateurs
envoient une clé ou un mot de passe MD5 pour l'authentification et une
clé ou un mot de passe DES pour le cryptage.
En ce qui concerne les groupes qui nécessitent l'authentification, le
cryptage ou les deux, vous devez définir les clés ou les mots de passe
MD5 et DES à la page Utilisateurs SNMP.
•
•
Vues en écriture : accès en écriture aux MIB pour le groupe, qui peut être
l'une des valeurs ci-dessous :
-
vue complète : le groupe peut créer, modifier et supprimer des MIB.
-
aucune vue : le groupe ne peut pas créer, ni modifier, ni supprimer des
MIB.
Vues en lecture : accès en lecture aux MIB pour le groupe :
-
vue complète : le groupe est autorisé à afficher et à lire l'ensemble des
MIB.
-
aucune vue : le groupe ne peut ni afficher ni lire des MIB.
ÉTAPE 5 Cliquez sur Enregistrer. Le groupe est ajouté à la liste des groupes SNMPv3 et
vos modifications sont enregistrées dans la configuration initiale.
REMARQUE : Pour supprimer un groupe, sélectionnez-le dans la liste et cliquez sur Supprimer.
Utilisateurs
Utilisez la page Utilisateurs SNMP pour définir des utilisateurs, associer un niveau
de sécurité à chaque utilisateur et configurer des clés de sécurité pour chacun
d'entre eux.
Guide d'administration du Cisco WAP571/E
171
10
SNMP
Utilisateurs
Chaque utilisateur est mappé sur un groupe SNMPv3, à partir des groupes
prédéfinis ou des groupes définis par l'utilisateur, et, éventuellement, est configuré
pour l'authentification et le cryptage. Pour l'authentification, seul le type MD5 est
pris en charge. Pour le cryptage, seul le type DES est pris en charge. Il n'y a pas
d'utilisateur SNMPv3 par défaut sur le point d'accès et vous pouvez ajouter jusqu'à
huit utilisateurs.
Pour ajouter des utilisateurs SNMP :
ÉTAPE 1 Sélectionnez SNMP > Utilisateurs dans le volet de navigation.
ÉTAPE 2 Cliquez sur Ajouter pour créer une nouvelle ligne dans le tableau des utilisateurs
SNMPv3.
ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier.
ÉTAPE 4 Configurez les paramètres suivants :
•
Nom d'utilisateur : nom identifiant l'utilisateur SNMPv3. Les noms
d'utilisateur peuvent comporter jusqu'à 32 caractères alphanumériques.
•
Groupe : groupe sur lequel l'utilisateur est mappé. Les groupes par défaut
sont RW et RO. Vous pouvez définir des groupes supplémentaires à la page
Groupes SNMP.
•
Type d'authentification : type d'authentification à utiliser dans le cas des
demandes SNMPv3 émanant de l'utilisateur, pouvant être l'une des options
suivantes :
-
MD5 : requérir l'authentification MD5 dans le cas des demandes SNMP
émanant de l'utilisateur.
-
Aucun : les demandes SNMPv3 émanant de cet utilisateur ne requièrent
pas d'authentification.
•
Phrase secrète d'authentification : (si vous spécifiez MD5 en tant que type
d'authentification) phrase secrète permettant à l'agent SNMP d'authentifier
les demandes envoyées par l'utilisateur. La longueur de la phrase secrète
doit être comprise entre 8 et 32 caractères.
•
Type de chiffrement : type de confidentialité à utiliser dans le cas des
demandes SNMP émanant de l'utilisateur, pouvant être l'une des options
suivantes :
-
DES : utiliser le cryptage DES dans le cas des demandes SNMPv3
émanant de l'utilisateur.
Guide d'administration du Cisco WAP571/E
172
10
SNMP
Cibles
•
Aucun : les demandes SNMPv3 émanant de cet utilisateur ne requièrent
pas de confidentialité.
Phrase secrète de cryptage : (si vous spécifiez DES en tant que type de
confidentialité) phrase secrète utilisée pour le cryptage des demandes
SNMP. La longueur de la phrase secrète doit être comprise entre 8 et
32 caractères.
ÉTAPE 5 Cliquez sur Enregistrer. L'utilisateur est ajouté à la liste des utilisateurs SNMPv3 et
vos modifications sont enregistrées dans la configuration initiale.
REMARQUE : Pour supprimer un utilisateur, sélectionnez-le dans la liste et cliquez sur Supprimer.
Cibles
Les cibles SNMPv3 envoient des notifications SNMP à l'aide de messages
d'information au gestionnaire SNMP. Dans le cas des cibles SNMPv3, seuls des
messages d'information sont envoyés et pas des déroutements. Dans le cas des
versions 1 et 2 du protocole SNMP, des déroutements sont envoyés. Chaque cible
est définie avec une adresse IP cible, un port UDP et un nom d'utilisateur SNMPv3.
REMARQUE : La configuration des utilisateurs SNMPv3 (voir la page Utilisateurs) doit être
terminée avant celle des cibles SNMPv3.
REMARQUE : Le point d'accès prend en charge un maximum de huit cibles.
Pour ajouter des cibles SNMP :
ÉTAPE 1 Sélectionnez Cibles > SNMP dans le volet de navigation.
ÉTAPE 2 Cliquez sur Ajouter. Une nouvelle ligne est créée dans le tableau.
ÉTAPE 3 Activez la case à cocher dans la nouvelle ligne et cliquez sur Modifier.
ÉTAPE 4 Configurez les paramètres suivants :
•
Adresse IP : entrez l'adresse IPv4 du gestionnaire SNMP distant qui doit
recevoir la cible.
•
Port UDP : entrez le port UDP à utiliser pour l'envoi des cibles SNMPv3.
•
Utilisateurs : entrez le nom de l'utilisateur SNMP à associer à la cible. Pour
configurer les utilisateurs SNMP, reportez-vous à la page Utilisateurs.
Guide d'administration du Cisco WAP571/E
173
10
SNMP
Cibles
ÉTAPE 5 Cliquez sur Enregistrer. L'utilisateur est ajouté à la liste des cibles SNMPv3 et vos
modifications sont enregistrées dans la configuration initiale.
REMARQUE : Pour supprimer une cible SNMP, sélectionnez l'utilisateur dans la liste et cliquez sur
Supprimer.
Guide d'administration du Cisco WAP571/E
174
11
Portail captif
Cette section décrit la fonctionnalité de portail captif (CP, Captive Portal), qui
permet de bloquer l'accès au réseau pour les clients sans fil tant que la vérification
de l'utilisateur n'a pas été établie. Vous pouvez configurer la vérification de portail
captif de manière à autoriser l'accès à la fois pour les utilisateurs invités et les
utilisateurs authentifiés.
Les utilisateurs authentifiés doivent être validés à l'aide d'une base de données
des groupes ou des utilisateurs CP autorisés avant de se voir autoriser l'accès.
Cette base de données peut être stockée localement sur le périphérique WAP ou
sur un serveur RADIUS.
Le portail captif se compose de deux instances de CP. Il est possible de
configurer chaque instance de manière indépendante, avec des méthodes de
vérification différentes pour chaque point d'accès virtuel ou SSID. Les
périphériques Cisco WAP571/E fonctionnent simultanément avec certains points
d'accès virtuels configurés pour l'authentification de portail captif et avec d'autres
points d'accès virtuels configurés pour les méthodes normales d'authentification
sans fil, comme WPA ou WPA Entreprise.
Cette section inclut les rubriques suivantes :
•
Configuration globale
•
Groupes/Utilisateurs locaux
•
Configuration d'instance
•
Association d'instance
•
Personnalisation du portail Web
•
Clients authentifiés
Guide d'administration du Cisco WAP571/E
175
11
Portail captif
Configuration globale
Configuration globale
Utilisez la page Global CP Configuration pour contrôler l'état administratif de la
fonctionnalité de portail captif et configurer les paramètres globaux qui affectent
toutes les instances de portail captif configurées sur le périphérique WAP.
Configuration des paramètres globaux du portail captif
Pour configurer les paramètres globaux du portail captif :
ÉTAPE 1 Sélectionnez Portail captif > Configuration globale.
ÉTAPE 2 Définissez les paramètres suivants :
•
Mode du portail captif : active ou désactive le fonctionnement du portail
captif sur le périphérique WAP.
•
Délai d'authentification : pour pouvoir accéder au réseau par l'intermédiaire
d'un portail, le client doit tout d'abord entrer des informations
d'authentification sur une page Web d'authentification. Ce champ spécifie le
temps en secondes pendant lequel le périphérique WAP maintient une
session d'authentification ouverte avec le client sans fil associé. Si le client
n'entre pas ses identifiants d'authentification durant le temps alloué, il se peut
qu'il doive actualiser la page Web d'authentification. Le délai
d'authentification par défaut est de 3600 secondes. La plage valide va de 60
à 3600 secondes.
•
Port HTTP supplémentaire : le trafic HTTP utilise le port de gestion HTTP,
qui est le port 80 par défaut. Vous pouvez configurer un port supplémentaire
pour le trafic HTTP. Entrez un numéro de port compris entre 1025 et 65535,
ou 80. Les ports HTTP et HTTPS ne peuvent pas être identiques.
•
Port HTTP supplémentaire : le trafic HTTP sur SSL (HTTPS) utilise le port
de gestion HTTPS, qui est le port 443 par défaut. Vous pouvez configurer un
port supplémentaire pour le trafic HTTPS. Entrez un numéro de port compris
entre 1025 et 65535, ou 443. Les ports HTTP et HTTPS ne peuvent pas être
identiques.
ÉTAPE 3 La zone Compteurs de configuration du portail captif affiche des informations de
portail captif en lecture seule :
•
Nombre d'instances : nombre d'instances de portail captif actuellement
configurées sur le périphérique WAP. Il est possible de configurer jusqu'à
deux instances.
Guide d'administration du Cisco WAP571/E
176
11
Portail captif
Groupes/Utilisateurs locaux
•
Nombre de groupes : nombre de groupes de portail captif actuellement
configurés sur le périphérique WAP. Il est possible de configurer jusqu'à
deux groupes. Le groupe par défaut existe et ne peut pas être supprimé.
•
Nombre d'utilisateurs : nombre d'utilisateurs de portail captif actuellement
configurés sur le périphérique WAP. Il est possible de configurer jusqu'à
128 utilisateurs.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
Groupes/Utilisateurs locaux
Utilisez la page Groupes/Utilisateurs locaux pour gérer les groupes et les
utilisateurs locaux.
Chaque utilisateur local est affecté à un groupe d'utilisateurs. Chaque groupe est
affecté à une instance de portail captif. Le groupe facilite la gestion de l'affectation
des utilisateurs aux instances de portail captif.
Le groupe d'utilisateurs nommé Par défaut est intégré et ne peut pas être
supprimé. Vous pouvez créer jusqu'à deux groupes d'utilisateurs supplémentaires.
Pour ajouter des groupes d'utilisateurs locaux :
ÉTAPE 1 Sélectionnez Portail captif > Groupes/Utilisateurs locaux.
ÉTAPE 2 Dans la zone Paramètres des groupes locaux, définissez les paramètres suivants :
•
Groupes du portail captif : sélectionnez Créer pour créer un nouveau groupe.
•
Nom du groupe : saisissez le nom du nouveau groupe.
ÉTAPE 3 Cliquez sur Ajouter un groupe. Les modifications sont enregistrées dans la
configuration de démarrage.
Pour supprimer des groupes d'utilisateurs locaux :
ÉTAPE 1 Sélectionnez Portail captif > Groupes/Utilisateurs locaux.
ÉTAPE 2 Dans la zone Paramètres des groupes locaux, sélectionnez le groupe à supprimer.
ÉTAPE 3 Cochez l'option Supprimer un groupe.
Guide d'administration du Cisco WAP571/E
177
11
Portail captif
Groupes/Utilisateurs locaux
ÉTAPE 4 Cliquez sur Supprimer un groupe. Les modifications sont enregistrées dans la
configuration de démarrage.
Vous pouvez configurer une instance de portail captif pour répondre à la fois aux
besoins des utilisateurs invités et des utilisateurs autorisés. Les utilisateurs invités
ne possèdent pas de noms d'utilisateur ni de mots de passe.
Les utilisateurs autorisés fournissent un nom d'utilisateur et un mot de passe
valides qui doivent tout d'abord être validés à partir d'une base de données locale
ou d'un serveur RADIUS. Les utilisateurs autorisés sont généralement affectés à
une instance de portail captif associée à un autre point d'accès virtuel que les
utilisateurs invités.
Vous pouvez configurer jusqu'à 128 utilisateurs autorisés dans la base de données
locale.
Pour ajouter et configurer un utilisateur local :
ÉTAPE 1 Sélectionnez Portail captif > Groupes/Utilisateurs locaux.
ÉTAPE 2 Dans la zone Paramètres des utilisateurs locaux, définissez les paramètres
suivants :
•
Utilisateurs de portail captif : sélectionnez Créer pour créer un nouvel
utilisateur.
•
Nom d'utilisateur : saisissez le nom du nouvel utilisateur.
ÉTAPE 3 Cliquez sur Ajouter un utilisateur.
ÉTAPE 4 La zone Paramètres des utilisateurs locaux s'affiche à nouveau avec des options
supplémentaires. Définissez les paramètres suivants :
•
Mot de passe utilisateur : entrez le mot de passe, composé de 8 à
64 caractères alphanumériques et caractères spéciaux. Un utilisateur doit
entrer son mot de passe pour se connecter au réseau par l'intermédiaire du
portail captif.
•
Afficher le mot de passe en texte clair : lorsque cette option est activée, le
texte que vous tapez est visible. Si cette option est désactivée, le texte n'est
pas masqué lors de sa saisie.
•
Délai d'expiration en cas d'absence : saisissez la période pendant laquelle
un utilisateur reste dans la liste des clients authentifiés de portail captif après
la dissociation du client du périphérique WAP. Si la période spécifiée dans
ce champ expire avant que le client ne tente de se réauthentifier, l'entrée du
Guide d'administration du Cisco WAP571/E
178
11
Portail captif
Groupes/Utilisateurs locaux
client est supprimée de la liste des clients authentifiés. La plage valide va de
0 à 1440 minutes. La valeur par défaut est 60. La valeur d'expiration
configurée ici a priorité sur la valeur configurée pour l'instance de portail
captif, sauf si la valeur utilisateur est définie à 0. Lorsque cette valeur est
définie à 0, la valeur d'expiration configurée pour l'instance de portail captif
est utilisée.
•
Nom du groupe : sélectionnez le groupe d'utilisateurs affecté. Chaque
instance de portail captif est configurée de manière à prendre en charge un
groupe d'utilisateurs particulier.
•
Bande passante amont maximale : saisissez la vitesse maximale de
chargement, en mégabits par seconde, à laquelle un client peut transmettre
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante utilisée pour envoyer des données sur le réseau. La plage valide
va de 0 à 1300 Mbit/s. La valeur par défaut est 0.
•
Bande passante aval maximale : saisissez la vitesse maximale de
téléchargement, en mégabits par seconde, à laquelle un client peut recevoir
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante utilisée pour recevoir des données du réseau. La plage valide va
de 0 à 1300 Mbit/s. La valeur par défaut est 0.
ÉTAPE 5 Cliquez sur Enregistrer l'utilisateur. Les modifications sont enregistrées dans la
configuration de démarrage.
Pour supprimer un utilisateur local :
ÉTAPE 1 Sélectionnez Portail captif > Groupes/Utilisateurs locaux.
ÉTAPE 2 Dans la zone Paramètres des utilisateurs locaux, sélectionnez l'utilisateur à
supprimer.
ÉTAPE 3 Cochez l'option Supprimer un utilisateur.
ÉTAPE 4 Cliquez sur Supprimer un utilisateur. Les modifications sont enregistrées dans la
configuration de démarrage.
Guide d'administration du Cisco WAP571/E
179
11
Portail captif
Configuration d'instance
Configuration d'instance
Vous pouvez créer jusqu'à deux instances de portail captif, chacune d'entre elles
étant un ensemble défini de paramètres d'instance. Les instances peuvent être
associées à un ou plusieurs points d'accès virtuels. Des instances différentes
peuvent être configurées de manière à répondre différemment aux utilisateurs
lorsque ceux-ci tentent d'accéder au point d'accès virtuel associé.
REMARQUE : Commencez par passer en revue les puces suivantes avant de créer une instance :
•
Avez-vous besoin d'ajouter un nouveau point d'accès virtuel ? Si oui,
accédez à la page Réseaux, page 96 pour ajouter un point d'accès virtuel.
Devez-vous ajouter un nouveau groupe ou un nouvel utilisateur ? Si oui, accédez à
la page Groupes/Utilisateurs locaux pour ajouter un groupe ou un utilisateur.
Création d'une instance de portail captif et configuration de ses paramètres
Pour créer une instance de portail captif et configurer ses paramètres :
ÉTAPE 1 Sélectionnez Portail captif > Configuration d'instance.
ÉTAPE 2 Sélectionnez Créer dans la liste Instances de portail captif.
ÉTAPE 3 Dans le champ Nom de l'instance, entrez le nom (1 à 32 caractères
alphanumériques) choisi pour l'instance de portail captif.
ÉTAPE 4 Cliquez sur Enregistrer.
ÉTAPE 5 La zone Paramètres de l'instance de portail captif réapparaît avec des options
supplémentaires. Définissez les paramètres suivants :
•
ID de l'instance : affiche l'ID de l'instance. Ce champ ne peut pas être modifié.
•
Mode d'administration : active et désactive l'instance de portail captif.
•
Protocole : spécifiez HTTP ou HTTPS en guise de protocole utilisé par
l'instance de portail captif durant le processus de vérification.
•
-
HTTP : n'utilise pas le cryptage durant la vérification.
-
HTTPS : utilise le protocole SSL (Secure Sockets Layer), qui nécessite un
certificat pour le cryptage. Le certificat est présenté à l'utilisateur lors de
la connexion.
Vérification : méthode d'authentification utilisée par le portail captif pour la
vérification des clients :
Guide d'administration du Cisco WAP571/E
180
11
Portail captif
Configuration d'instance
•
REMARQUE
-
Invité : les utilisateurs n'ont pas besoin d'être authentifiés par une base
de données.
-
Local : le périphérique WAP utilise une base de données locale pour
authentifier les utilisateurs.
-
RADIUS : le périphérique WAP utilise une base de données située sur un
serveur RADIUS distant pour authentifier les utilisateurs.
-
Serveur Active Directory : le périphérique WAP établit une liaison LDAP
sécurisée via le protocole SSL\TLS à l'aide de la commande starttls
pour authentifier les utilisateurs à partir de leur attribut
sAMAccountName dans Active Directory.
-
Informations d'identification tierces : le périphérique WAP authentifie
les utilisateurs à l'aide de leur compte Facebook ou Google.
Méthode de connexion aux réseaux sociaux : le périphérique WAP authentifie
les utilisateurs à l'aide de leur compte Facebook ou Google via le protocole OAuth.
-
Facebook : active ou désactive la méthode de connexion aux réseaux
sociaux pour authentifier les clients à l'aide de leur compte Facebook.
-
Google : active ou désactive la méthode de connexion aux réseaux
sociaux pour authentifier les clients à l'aide de leur compte Google.
•
Hôte 1 du serveur Active Directory : ajoutez un serveur et saisissez
l'adresse IP du contrôleur de domaine.
•
Hôte 2 du serveur Active Directory : ajoutez un serveur et saisissez
l'adresse IP du contrôleur de domaine.
•
Hôte 3 du serveur Active Directory : ajoutez un serveur et saisissez
l'adresse IP du contrôleur de domaine.
•
Vous pouvez ajouter plusieurs serveurs. Le point d'accès interrogera ces
serveurs dans un ordre séquentiel, de l'hôte1 à l'hôte 3.
•
Plage de « Walled Garden » : spécifiez la liste de domaines auxquels
peuvent accéder les utilisateurs avant d'atteindre la page du portail Web.
Les éléments de la liste doivent être séparés par une virgule, et les domaines
peuvent inclure des astérisques (*) comme caractères de remplacement.
Guide d'administration du Cisco WAP571/E
181
11
Portail captif
Configuration d'instance
REMARQUE
•
Cisco intègre les exigences en matière de protection, de confidentialité et de
sécurité des données dans ses produits et ses méthodologies de développement,
depuis la conception jusqu'au lancement. Pour plus d'informations, visitez
https://www.cisco.com/c/en/us/about/trust-center/gdpr.html
•
Lorsque la connexion via Facebook ou Google est activée, la fonctionnalité
Walled Garden est automatiquement activée et ajoute les domaines
suivants à la liste d'options d'authentification. La liste de domaines peut être
modifiée par Facebook ou Google, et peut ne pas être à jour. Vous avez la
possibilité d'ajouter des domaines manuellement.
-
Facebook: *.facebook.com, *.facebook.net, *.fbcdn.net
-
Google: *.googleapis.com, apis.google.com, accounts.google.com, *.
googleusercontent.com, , ssl.gstatic.com, fonts.gstatic.com
-
Windows 10: ww.msftconnecttest.com
•
Rediriger : lorsque cette option est activée, le portail captif doit rediriger le
client nouvellement authentifié vers l'URL configurée. Si cette option est
désactivée, l'utilisateur voit la page d'accueil correspondant à ses
paramètres régionaux après une vérification réussie.
•
URL de redirection : si le mode Rediriger est activé, saisissez ici l'URL (y
compris le préfixe http://) vers laquelle le client nouvellement authentifié
sera redirigé. La plage valide va de 0 à 256 caractères.
•
Délai d'expiration : saisissez la période pendant laquelle un utilisateur reste
dans la liste des clients authentifiés de portail captif après la dissociation du
client du périphérique WAP. Si la période spécifiée dans ce champ expire
avant que le client ne tente de se réauthentifier, l'entrée du client est
supprimée de la liste des clients authentifiés. La plage valide va de 0 à
1 440 minutes. La valeur par défaut est de 60 minutes.
Un délai d'expiration est également configuré pour chaque utilisateur. Reportezvous à la page Groupes/Utilisateurs locaux. Le délai d'expiration défini à la page
Utilisateurs locaux a priorité sur la valeur configurée ici, sauf si la valeur est définie
à 0 (valeur par défaut). Une valeur égale à 0 indique que la valeur d'expiration de
l'instance est utilisée.
•
Délai d'expiration de la session : saisissez la période de validité restant, en
secondes, de la session de portail captif. Lorsque ce temps atteint la valeur
zéro, le client est désauthentifié. La plage valide va de 0 à 1440 minutes. La
valeur par défaut est 0.
Guide d'administration du Cisco WAP571/E
182
11
Portail captif
Configuration d'instance
•
Bande passante amont maximale : saisissez la vitesse maximale de
chargement, en mégabits par seconde, à laquelle un client peut transmettre
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante à laquelle le client peut envoyer des données sur le réseau. La
plage valide va de 0 à 1300 Mbit/s. La valeur par défaut est 0.
•
Bande passante aval maximale : saisissez la vitesse maximale de
téléchargement, en mégabits par seconde, à laquelle un client peut recevoir
du trafic lorsqu'il utilise le portail captif. Ce paramètre limite la bande
passante à laquelle le client peut recevoir des données du réseau. La plage
valide va de 0 à 1300 Mbit/s. La valeur par défaut est 0.
•
Nom du groupe d'utilisateurs : si le mode de vérification est Local ou
RADIUS, ce paramètre affecte un groupe d'utilisateurs existant à l'instance
de portail captif. Tous les utilisateurs appartenant à ce groupe sont autorisés
à accéder au réseau par l'intermédiaire de ce portail.
•
Réseau IP RADIUS : déterminez si le client WAP RADIUS utilise les
adresses configurées de serveur RADIUS IPv4 ou IPv6.
•
RADIUS global : si le mode de vérification est RADIUS, cochez l'option
Activer de façon à utiliser la liste des serveurs RADIUS globaux par défaut
pour authentifier les clients. (Reportez-vous à Serveur RADIUS pour plus
d'informations sur la configuration des serveurs RADIUS globaux.) Si vous
souhaitez que la fonctionnalité de portail captif utilise un ensemble différent
de serveurs RADIUS, décochez la case et configurez les serveurs dans les
champs correspondants de cette page.
•
Gestion de comptes RADIUS : active le suivi et la mesure des ressources
consommées par un utilisateur donné, comme le temps système ou les
volumes de données transmis et reçus. Si vous activez la gestion des
comptes RADIUS, cette fonctionnalité est active à la fois pour le serveur
RADIUS principal, pour l'ensemble des serveurs de sauvegarde et pour les
serveurs configurés globalement et localement.
•
Adresse IP du serveur-1 ou Adresse IPv6 du serveur-1 : saisissez
l'adresse IPv4 ou IPv6 du serveur RADIUS principal pour ce VAP. La forme de
l'adresse IPv4 doit être similaire à celle-ci : xxx.xxx.xxx.xxx (192.0.2.10). La
forme de l'adresse IPv6 doit être similaire à celle-ci :
xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (2001:DB8::CAD5:7D91).
Guide d'administration du Cisco WAP571/E
183
11
Portail captif
Association d'instance
Lorsque le premier client sans fil tente de s'authentifier à l'aide du VAP, le
périphérique WAP envoie une demande d'authentification au serveur
principal. Si le serveur principal répond à la demande d'authentification, le
périphérique WAP continue à utiliser ce serveur RADIUS en guise de
serveur principal et les demandes d'authentification sont envoyées à
l'adresse spécifiée.
•
Adresse IP du serveur (2 à 4) ou Adresse IPv6 du serveur (2 à 4) :
saisissez jusqu'à trois adresses de serveur RADIUS IPv4 ou IPv6 de
sauvegarde. Si l'authentification auprès du serveur principal échoue, une
tentative est effectuée sur chaque serveur de secours configuré.
•
Clé 1 : entrez la clé secrète partagée utilisée par le périphérique WAP pour
s'authentifier auprès du serveur RADIUS principal. Vous pouvez utiliser jusqu'à
63 caractères alphanumériques standard et caractères spéciaux. La clé est
sensible à la casse et doit correspondre à la clé configurée sur le serveur
RADIUS. Le texte que vous saisissez s'affiche sous forme d'astérisques.
•
Clé 2 à Clé 4 : saisissez la clé RADIUS associée aux serveurs RADIUS de
sauvegarde configurés. Le serveur spécifié dans le champ Adresse IP (IPv6)
du serveur 1 utilise Clé1 ; le serveur spécifié dans le champ Adresse IP
(IPv6) du serveur 2 utilise Clé 2, etc.
•
Nombre de paramètres régionaux : nombre de paramètres régionaux
associés à l'instance. Vous pouvez créer et affecter jusqu'à trois paramètres
régionaux différents à chaque instance de portail captif à partir de la page
Personnalisation Web.
•
Supprimer l'instance : cochez l'option pour supprimer l'instance en cours.
ÉTAPE 6 Cliquez sur Enregistrer. Les modifications que vous avez effectuées sont
enregistrées dans la configuration de démarrage.
Association d'instance
Après avoir créé une instance, utilisez la page Association d'instance pour
associer une instance de portail captif à un point d'accès virtuel. Les paramètres
de l'instance de portail captif associée s'appliquent aux utilisateurs qui tentent de
s'authentifier sur le point d'accès virtuel.
Association d'une instance à un point d'accès virtuel
Pour associer une instance à un point d'accès virtuel :
Guide d'administration du Cisco WAP571/E
184
11
Portail captif
Personnalisation du portail Web
ÉTAPE 1 Sélectionnez Portail captif > Association d'instance.
ÉTAPE 2 Choisissez le mode radio à configurer:
ÉTAPE 3 Sélectionnez le nom d'instance pour chaque point d'accès virtuel auquel vous
voulez associer une instance.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications que vous avez effectuées sont
enregistrées dans la configuration de démarrage.
Personnalisation du portail Web
Une fois l'instance de portail captif associée à un point d'accès virtuel, vous devez
créer des paramètres régionaux (une page Web d'authentification) et les mapper
avec l'instance de portail captif. Lorsqu'un utilisateur accède à un point d'accès
virtuel associé à une instance de portail captif, une page d'authentification
s'affiche.
Utilisez la page Personnalisation du portail Web pour créer des pages uniques
pour les différents paramètres régionaux de votre réseau et personnaliser le texte
et les images sur les pages.
Configuration de la page d'authentification du portail captif
Création et personnalisation de la page d'authentification du portail captif
Pour créer et personnaliser une page d'authentification de portail captif :
ÉTAPE 1 Sélectionnez Portail captif > Personnalisation du portail Web.
ÉTAPE 2 Sélectionnez Créer dans la liste Paramètres régionaux Web du portail captif.
Vous pouvez créer jusqu'à trois pages d'authentification différentes avec différents
paramètres régionaux sur votre réseau.
ÉTAPE 3 Dans la zone Paramètres régionaux Web du portail captif, définissez les
paramètres suivants :
•
Nom des paramètres régionaux Web : saisissez un nom de paramètres
régionaux Web à affecter à la page. Le nom peut être constitué de 1 à
32 caractères alphanumériques.
Guide d'administration du Cisco WAP571/E
185
11
Portail captif
Personnalisation du portail Web
•
Instances de portail captif : sélectionnez l'instance de portail captif à
laquelle ces paramètres régionaux sont associés. Vous pouvez associer
plusieurs paramètres régionaux à une instance. Lorsqu'un utilisateur tente
d'accéder à un point d'accès virtuel spécifique associé à une instance de
portail captif, les paramètres régionaux qui sont associés à cette instance
apparaissent sous la forme de liens sur la page d'authentification. L'utilisateur
peut alors sélectionner un lien pour passer à ces paramètres régionaux.
ÉTAPE 4 Cliquez sur Enregistrer. Les modifications sont enregistrées dans la configuration
de démarrage.
ÉTAPE 5 La zone Paramètres régionaux Web du portail captif s'affiche à nouveau avec des
options supplémentaires permettant de modifier les paramètres régionaux. Les
champs ID de paramètre régional et Nom de l'instance ne peuvent pas être
modifiés. Les champs modifiables sont préremplis avec les valeurs par défaut.
ÉTAPE 6 Définissez les paramètres suivants :
•
Nom de l'image d'arrière-plan : sélectionnez l'image à afficher en tant
qu'arrière-plan de la page. Vous pouvez cliquer sur Charger/supprimer
l'image personnalisée pour charger des images pour les instances de
portail captif. Pour plus d'informations, reportez-vous à la section
Chargement et suppression d'images.
•
Nom de l'image du logo : sélectionnez le fichier image à afficher dans le coin
supérieur gauche de la page. Cette image est utilisée à des fins
commerciales (il s'agit par exemple du logo de l'entreprise). Si vous avez
téléchargé un logo personnalisé vers le périphérique WAP, vous pouvez le
sélectionner dans la liste.
•
Couleur de premier plan : saisissez le code HTML de la couleur de premier
plan au format hexadécimal à 6 chiffres. La plage valide va de 1 à
32 caractères. La valeur par défaut est #999999.
•
Couleur d'arrière-plan : saisissez le code HTML de la couleur d'arrière-plan
au format hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères.
La valeur par défaut est #BFBFBF.
•
Séparateur : saisissez le code HTML de la couleur de l'épaisse ligne
horizontale séparant l'en-tête de page du corps de page, au format
hexadécimal à 6 chiffres. La plage valide va de 1 à 32 caractères. La valeur
par défaut est #BFBFBF.
•
Étiquette des paramètres régionaux : saisissez l'étiquette descriptive des
paramètres régionaux, composée de 1 à 32 caractères. Les paramètres
régionaux par défaut sont l'anglais.
Guide d'administration du Cisco WAP571/E
186
11
Portail captif
Personnalisation du portail Web
•
Paramètres régionaux : saisissez l'abréviation des paramètres régionaux,
composée de 1 à 32 caractères. La valeur par défaut est en.
•
Image du compte : sélectionnez le fichier image à afficher au-dessus du
champ de connexion pour représenter une connexion authentifiée.
•
Étiquette du compte : texte demandant à l'utilisateur d'entrer un nom
d'utilisateur. La plage valide va de 1 à 32 caractères.
•
Étiquette utilisateur : étiquette de la zone de texte du nom d'utilisateur. La
plage valide va de 1 à 32 caractères.
•
Étiquette du mot de passe : étiquette de la zone de texte du mot de passe
d'utilisateur. La plage valide va de 1 à 64 caractères.
•
Étiquette de bouton : étiquette du bouton sur lequel les utilisateurs cliquent
afin de soumettre leur nom d'utilisateur et leur mot de passe pour
authentification. La plage valide va de 2 à 32 caractères. La valeur par défaut
est Connexion.
•
Polices : nom de la police à utiliser pour l'ensemble du texte de la page de
portail captif. Vous pouvez entrer plusieurs noms de police, chaque nom
devant être séparé des autres par une virgule. Si la première police n'est pas
disponible sur le système client, la police suivante est utilisée, etc. Si un nom
de police contient des espaces, mettez le nom complet entre guillemets. La
plage valide va de 1 à 512 caractères. La valeur par défaut est MS UI Gothic,
Arial, sans-serif.
•
Titre du navigateur : texte à afficher dans la barre de titre du navigateur. La
plage valide va de 1 à 128 caractères. La valeur par défaut est Portail captif.
•
Contenu du navigateur : texte qui apparaît dans l'en-tête de page, à droite
du logo. La plage valide va de 1 à 128 caractères. La valeur par défaut est
Bienvenue dans le réseau sans fil.
•
Contenu : texte d'instruction qui s'affiche dans le corps de page en dessous
des zones de texte du nom d'utilisateur et du mot de passe. La plage valide
va de 1 à 256 caractères. La valeur par défaut est Pour commencer à utiliser
ce service; saisissez vos informations d'identification et cliquez sur le bouton
de connexion.
•
Stratégie d'utilisation acceptable : texte qui apparaît dans la zone de texte
Stratégie d'utilisation acceptable. La plage valide va de 1 à 4096 caractères.
La valeur par défaut est Stratégie d'utilisation acceptable.
Guide d'administration du Cisco WAP571/E
187
11
Portail captif
Personnalisation du portail Web
•
Étiquette d'acceptation : texte demandant aux utilisateurs d'activer la case
à cocher relative à la lecture et à l'acceptation de la stratégie d'utilisation. La
plage valide va de 1 à 128 caractères.
•
Texte sans acceptation : texte qui s'affiche dans une fenêtre contextuelle
lorsqu'un utilisateur soumet ses informations d'identification de connexion
sans avoir activé la case à cocher Stratégie d'utilisation acceptable. La plage
valide va de 1 à 128 caractères.
•
Texte lors de l'authentification : texte qui s'affiche durant l'authentification.
La plage valide va de 1 à 128 caractères.
•
Texte en cas d'échec : texte qui s'affiche lors de l'échec de l'authentification
d'un utilisateur. La plage valide va de 1 à 128 caractères.
•
Titre de bienvenue : texte qui s'affiche lorsque le client s'est authentifié sur
le point d'accès virtuel. La plage valide va de 1 à 128 caractères.
•
Contenu de bienvenue : texte qui s'affiche lorsque le client s'est connecté au
réseau. La plage valide va de 1 à 256 caractères.
•
Supprimer les paramètres régionaux : supprime les paramètres régionaux
actuels.
ÉTAPE 7 Cliquez sur Enregistrer. Les modifications que vous avez effectuées sont
enregistrées dans la configuration de démarrage.
ÉTAPE 8 Cliquez sur Aperçu pour afficher la page mise à jour.
REMARQUE : Vous pouvez cliquer sur Aperçu pour afficher le texte et les images qui ont déjà été
enregistrés dans la configuration de démarrage. Si vous apportez des
modifications, cliquez sur Enregistrer avant de cliquer sur Aperçu pour voir vos
modifications.
Chargement et suppression d'images
Lorsque les utilisateurs créent l'accès à un point d'accès virtuel associé à une
instance de portail captif, une page d'authentification apparaît. Vous pouvez
personnaliser la page d'authentification avec votre propre logo ou d'autres images.
Vous pouvez charger jusqu'à 18 images (à savoir six valeurs de paramètres
régionaux, chaque valeur possédant trois images). Les images doivent être au
format GIF ou JPG, et leur taille maximale est de 5 kilo-octets.
Guide d'administration du Cisco WAP571/E
188
11
Portail captif
Personnalisation du portail Web
Les images sont redimensionnées conformément aux dimensions spécifiées. Pour
obtenir des résultats optimaux, les images de votre logo et de votre compte
doivent être de proportions similaires à celles des images par défaut, comme
indiqué ci-dessous :
Type d'image
Utilisation
Largeur x hauteur
par défaut
Arrière-plan
S'affiche en tant qu'arrière-plan de
page.
10 x 800 pixels
Logo
S'affiche en haut à gauche de la page
en vue de fournir des informations
commerciales.
168 x 78 pixels
Compte
S'affiche au-dessus du champ de
connexion pour représenter une
connexion authentifiée.
295 x 55 pixels
Chargement de fichiers graphiques binaires sur le périphérique WAP
Pour charger des fichiers graphiques binaires sur le périphérique WAP :
ÉTAPE 1 Sur la page Personnalisation du portail Web, cliquez sur Charger/supprimer
l'image personnalisée à côté des champs Nom de l'image d'arrière-plan, Nom
de l'image du logo ou Image du compte.
La page Image personnalisée Web du portail apparaît.
ÉTAPE 2 Cliquez sur Parcourir pour sélectionner l'image.
ÉTAPE 3 Cliquer sur Charger.
ÉTAPE 4 Cliquez sur Retour pour revenir à la page Image personnalisée Web du portail.
ÉTAPE 5 Dans la zone Paramètres régionaux Web du portail captif, sélectionnez les
paramètres régionaux Web à configurer pour le portail captif.
ÉTAPE 6 Pour les champs Nom de l'image d'arrière-plan, Nom de l'image du logo ou
Image du compte, sélectionnez l'image nouvellement chargée.
ÉTAPE 7 Cliquez sur Enregistrer.
ÉTAPE 8 Pour supprimer une image, sur la page Image personnalisée Web du portail,
sélectionnez-la dans la liste Supprimer l'image personnalisée Web, puis cliquez
sur Supprimer. Vous ne pouvez pas supprimer les images par défaut.
Guide d'administration du Cisco WAP571/E
189
11
Portail captif
Clients authentifiés
Clients authentifiés
La page Authenticated Clients propose deux tables. La première, Authenticated
Clients, fournit des informations sur les clients qui ont été authentifiés sur une
instance quelconque du portail captif. L'autre, Failed Authenticated Clients, fournit
des informations sur les clients qui ont tenté de s'authentifier sur un portail captif et
qui ont échoué.
Pour afficher la liste des clients authentifiés ou la liste des clients qui n'ont pas
réussi à s'authentifier, sélectionnez Portail captif > Clients authentifiés. Les
informations suivantes sont indiquées :
•
Adresse MAC : adresse MAC du client.
•
Adresse IP : adresse IP du client.
•
Nom d'utilisateur : nom d'utilisateur de portail captif du client.
•
Protocole : protocole employé par l'utilisateur pour établir la connexion
(HTTP ou HTTPS).
•
Vérification : méthode utilisée pour l'authentification de l'utilisateur sur le
portail captif. Les valeurs possibles sont les suivantes :
-
Invité : l'utilisateur n'a pas besoin d'être authentifié par une base de
données.
-
Local : le périphérique WAP utilise une base de données locale pour
authentifier les utilisateurs.
-
RADIUS : le périphérique WAP utilise une base de données située sur
un serveur RADIUS distant pour authentifier les utilisateurs.
-
Facebook : le périphérique WAP utilise des comptes Facebook pour
authentifier les utilisateurs.
-
Google : le périphérique WAP utilise des comptes Google pour
authentifier les utilisateurs.
-
Serveur Active Directory : le périphérique WAP utilise la base de
données du serveur Active Directory pour authentifier les utilisateurs.
•
ID VAP : point d'accès virtuel auquel l'utilisateur est associé.
•
ID de radio : ID de la radio.
•
ID de portail captif : ID de l'instance de portail captif à laquelle l'utilisateur
est associé.
Guide d'administration du Cisco WAP571/E
190
11
Portail captif
Clients authentifiés
•
Délai d'expiration de la session : temps de validité restant, en secondes,
de la session de portail captif. Lorsque ce temps atteint la valeur zéro, le
client est désauthentifié.
•
Délai d'expiration en cas d'absence : temps de validité restant, en
secondes, de l'entrée du client. La minuterie démarre lorsque le client se
dissocie du portail captif. Lorsque la valeur zéro est atteinte, le client est
désauthentifié.
•
Paquets reçus : nombre de paquets IP reçus par le périphérique WAP
depuis la station utilisateur.
•
Paquets émis : nombre de paquets IP transmis depuis le périphérique WAP
vers la station utilisateur.
•
Octets reçus : nombre d'octets reçus par le périphérique WAP depuis la
station utilisateur.
•
Octets transmis : nombre d'octets transmis depuis le périphérique WAP
vers la station utilisateur.
•
Heure de l'échec : heure à laquelle l'échec de l'authentification s'est produit.
Un horodatage est inclus, indiquant l'heure de l'échec.
Vous pouvez cliquer sur Actualiser pour afficher les dernières données en
provenance du périphérique WAP.
Guide d'administration du Cisco WAP571/E
191
Portail captif
Clients authentifiés
Guide d'administration du Cisco WAP571/E
11
192
12
Configuration par point unique
Cette section explique comment paramétrer une configuration de point unique sur
plusieurs périphériques WAP.
Elle contient les rubriques suivantes :
•
Présentation de la configuration de point unique
•
Points d'accès
•
Sessions
•
Gestion des canaux
•
Voisinage sans fil
•
Mise à niveau du microprogramme de la grappe
Présentation de la configuration de point unique
La configuration de point unique est une méthode centralisée permettant
d'administrer et de contrôler les services sans fil sur plusieurs périphériques. La
configuration de point unique sert à créer un groupe ou un cluster unique de
périphériques sans fil. Lorsque les périphériques WAP sont regroupés en un
cluster, vous pouvez afficher, déployer, configurer et sécuriser le réseau sans fil en
tant qu'entité unique. Après la création d'un cluster sans fil, la configuration de
point unique facilite également la planification des canaux sur l'ensemble de vos
services sans fil afin de réduire les interférences radio et d'optimiser la bande
passante du réseau sans fil.
Lors de la première configuration d'un périphérique WAP, vous pouvez paramétrer
la configuration de point unique à l'aide de l'assistant de configuration ou ajouter le
périphérique à une configuration de point unique existante. Si vous ne souhaitez
pas utiliser l'assistant de configuration, vous pouvez vous servir de l'utilitaire de
configuration Web.
Guide d'administration du Cisco WAP571/E
193
12
Configuration par point unique
Présentation de la configuration de point unique
Gestion de la configuration de point unique sur les points d'accès
La configuration de point unique créé, dans le même sous-réseau, un cluster ou un
groupe de périphériques WAP dynamique et sensible à la configuration. Une
grappe prend en charge un groupe de 16 appareils WAP571/E configurés au
maximum, mais aucun modèle non WAP571/E n'est admis.
La configuration de point unique permet la gestion de plusieurs clusters dans un
même sous-réseau ou réseau. Toutefois, les clusters sont gérés en tant qu'entités
indépendantes uniques. Le tableau indique les limites des services sans fil à
configuration de point unique.
Type de groupe/
cluster
Nombre de
périphériques
WAP par
configuration
de point unique
Nombre de
clients actifs par
configuration de
point unique
Nombre maximal
de clients (actifs
et inactifs)
WAP571/E
16
960 pour le
système WAP571
/E bibande
2048 pour le
système WAP571/
E bibande
Un cluster peut propager des informations de configuration, telles que les
paramètres du point d'accès virtuel, de file d'attente QoS et de radio. Lorsque vous
paramétrez une configuration de point unique sur un périphérique, les paramètres
de celui-ci (qu'ils aient été définis manuellement ou par défaut) sont propagés aux
autres périphériques lorsqu'ils rejoignent le cluster.
Configuration requise et conditions pour former une grappe
Pour former un cluster, suivez la procédure suivante :
ÉTAPE 1 Planifiez votre cluster à configuration de point unique. Vérifiez que les
périphériques WAP que vous souhaitez regrouper dans le cluster sont
compatibles entre eux. Par exemple, les appareils Cisco WAP571/E peuvent
uniquement être regroupés dans une grappe contenant des appareils
Cisco WAP571/E.
REMARQUE : Il est fortement recommandé d'utiliser la dernière version du
microprogramme sur tous les périphériques WAP du cluster. Les mises à niveau du
microprogramme ne sont pas propagées sur tous les périphériques WAP d'un
cluster. Vous devez donc mettre à niveau individuellement chaque périphérique.
ÉTAPE 2 Configurez les périphériques WAP qui seront regroupés en cluster sur un même
sous-réseau IP et vérifiez qu'ils sont interconnectés et accessibles sur l'ensemble
du réseau local commuté.
Guide d'administration du Cisco WAP571/E
194
Configuration par point unique
Présentation de la configuration de point unique
12
ÉTAPE 3 Activez la configuration de point unique sur tous les périphériques WAP. Reportez-
vous à la section Points d'accès.
ÉTAPE 4 Vérifiez que tous les périphériques WAP indiquent le même nom de configuration
de point unique. Reportez-vous à la section Points d'accès.
Négociation de la configuration de point unique
Lorsque la configuration de point unique est activée et paramétrée sur un point
d'accès, celui-ci commence à envoyer des annonces toutes les 10 secondes pour
signaler sa présence. Si d'autres périphériques WAP correspondent aux critères
du cluster, un arbitrage a lieu afin de déterminer quel périphérique WAP
distribuera la configuration principale aux autres membres du cluster.
Les règles suivantes s'appliquent à la formation et à l'arbitrage du cluster à
configuration de point unique :
•
Pour les clusters à configuration de point unique existants, dès que
l'administrateur met à jour la configuration de l'un des membres du cluster, la
modification est propagée à tous les membres du cluster et le périphérique
WAP configuré prend le contrôle du cluster.
•
Lorsque deux clusters à configuration de point unique distincts sont
regroupés en un seul cluster, le cluster modifié en dernier remporte
l'arbitrage de la configuration. Il écrase et met alors à jour la configuration
de tous les périphériques WAP du cluster.
•
Si un périphérique WAP d'un cluster ne reçoit pas les annonces d'un autre
périphérique WAP pendant plus de 60 secondes (par exemple si le
périphérique n'est plus connecté aux autres périphériques du cluster), celuici est supprimé du cluster.
•
Si un périphérique WAP en mode de configuration de point unique perd sa
connexion, il n'est pas immédiatement exclu du cluster. S'il se reconnecte et
rejoint le cluster sans être exclu et que des modifications ont été apportées
à la configuration de ce périphérique lorsqu'il était déconnecté, les
modifications sont propagées aux autres membres du cluster lorsque la
connexion est rétablie.
•
Si un périphérique WAP d'un cluster perd sa connexion, est exclu, puis
rejoint à nouveau le cluster et que des modifications ont été apportées à la
configuration du cluster lorsqu'il était déconnecté, les modifications sont
propagées au périphérique lorsqu'il rejoint le cluster. Si des modifications
de configuration sont effectuées à la fois sur le périphérique déconnecté et
sur le cluster, le périphérique ayant subi le plus de modifications, puis, en
deuxième lieu, celui ayant subi la modification la plus récente propagera sa
configuration au cluster. (C'est-à-dire que WAP1 a subi davantage de
Guide d'administration du Cisco WAP571/E
195
12
Configuration par point unique
Présentation de la configuration de point unique
modifications, mais que WAP2 a subi la modification la plus récente, c'est
WAP1 qui propagera sa configuration. S'ils ont tous les deux subi le même
nombre de modifications, mais que WAP2 a subi la modification la plus
récente, alors c'est WAP2 qui propagera sa configuration.)
Fonctionnement d'un périphérique exclu d'une configuration de point unique
Lorsqu'un périphérique WAP qui était auparavant un membre d'un cluster est
déconnecté de celui-ci, les règles suivantes s'appliquent :
•
La perte du contact avec le cluster empêche le périphérique WAP de
recevoir les derniers paramètres de configuration opérationnels. La
déconnexion provoque l'interruption du service sans fil correct sur
l'ensemble du réseau de production.
•
Le périphérique WAP continue de fonctionner selon les paramètres sans fil
qu'il a reçus en dernier du cluster.
•
Les clients sans fil associés au périphérique WAP non inclus dans le cluster
continuent à s'associer au périphérique sans provoquer d'interruption de la
connexion sans fil. En d'autres termes, la perte du contact avec le cluster
n'interrompt pas forcément l'accès aux ressources réseau des clients sans
fil associés au périphérique WAP déconnecté.
•
Si la perte du contact avec le cluster est liée à une déconnexion physique
ou logique de l'infrastructure LAN, elle peut avoir une incidence sur les
services réseau voire sur les clients sans fil, selon la nature de la panne.
Le tableau suivant récapitule les configurations partagées et propagées à
l'ensemble des périphériques WAP du cluster.
Paramètres de configuration propagés et non propagés aux points d'accès à
configuration de point unique
Paramètres de configuration communs propagés en mode de
configuration de point unique
Portail captif
Complexité des mots de
passe
QoS des clients
Comptes d'utilisateur
Alerte par e-mail
QoS
Service HTTP/HTTPS (sauf configuration du
certificat SSL)
Paramètres radio y compris
Paramètres TSpec (sauf
quelques exceptions)
Guide d'administration du Cisco WAP571/E
196
12
Configuration par point unique
Présentation de la configuration de point unique
Paramètres de configuration communs propagés en mode de
configuration de point unique
Paramètres des journaux
Détection de point d'accès
non autorisé
Filtrage MAC
Planificateur
Contrôle d'accès de gestion
SNMP général et SNMPv3
Réseaux
Complexité WPA-PSK
Paramètres d'heure
Acheminement
multidestination sans fil
Affichage des voyants
LLDP (sauf configuration de priorité POE)
Umbrella
Paramètres de configuration radio propagés en mode de configuration de
point unique
Mode
Seuil de fragmentation
Seuil RTS
Ensembles de débits
Canal principal
Protection
Taux de multidiffusion fixe
Limites de débit de diffusion/multidiffusion
Bande passante de canal
Intervalle de garde court pris en charge
Guide d'administration du Cisco WAP571/E
197
12
Configuration par point unique
Points d'accès
Paramètres de configuration radio non propagés en mode de configuration
de point unique
Canal
Intervalle de balise
Période DTIM
Nombre maximal de stations
Puissance de transmission
Autres paramètres de configuration non propagés en mode de
configuration de point unique
Utilisation de la bande passante
Paramètres des ports
Bonjour
VLAN et IPv4
Adresse IPv6
Pont WDS
Tunnel IPv6
Capture des paquets
Pont de groupe de travail
Points d'accès
La page Points d'accès vous permet d'activer et de désactiver la configuration de
point unique sur un périphérique WAP, d'afficher les membres d'un cluster et de
configurer l'emplacement et le nom du cluster sur un membre. Vous pouvez
également cliquer sur l'adresse IP d'un membre pour configurer et afficher les
données de ce périphérique.
Configuration du périphérique WAP pour la configuration de point unique
Pour configurer l'emplacement et le nom d'un membre d'un cluster à configuration
de point unique, procédez comme suit :
Guide d'administration du Cisco WAP571/E
198
Configuration par point unique
Points d'accès
12
ÉTAPE 1 Cliquez sur Configuration de point unique > Points d'accès dans le volet de
navigation.
La configuration de point unique est désactivée par défaut sur le point d'accès.
Lorsque celle-ci est désactivée, le bouton Activer la configuration de point
unique s'affiche. Si la configuration de point unique est activée, le bouton
Désactiver la configuration de point unique s'affiche. Vous ne pouvez modifier
les options de configuration de point unique que si la configuration de point unique
est désactivée.
Des icônes situées sur la droite de la page indiquent si elle est activée et, dans
l'affirmative, elles spécifient également le nombre de périphériques WAP formant
actuellement le cluster.
ÉTAPE 2 Après vous être assuré que la configuration de point unique est désactivée,
configurez les paramètres suivants pour chaque membre du cluster à
configuration de point unique.
•
Emplacement : saisissez une description de l'emplacement physique du
point d'accès, par exemple « Réception ». Ce champ est facultatif.
•
Nom de la grappe : indiquez le nom du cluster auquel le périphérique WAP
doit se joindre, par exemple « Cluster_Réception ».
Le nom du cluster n'est pas envoyé aux autres périphériques WAP. Vous
devez donc configurer le même nom sur chaque périphérique membre d'un
même cluster. Le nom du cluster doit par ailleurs être unique pour chaque
configuration de point unique que vous paramétrez sur le réseau. Le nom
par défaut est « ciscosb-cluster ».
•
Version du protocole IP du regroupement : indiquez la version du
protocole IP que les périphériques WAP du cluster utilisent pour
communiquer avec les autres membres du cluster. La version par défaut est
IPv4.
Si vous choisissez la version IPv6, la configuration de point unique peut
utiliser l'adresse de liaison locale, l'adresse IPv6 globale autoconfigurée et
l'adresse IPv6 globale configurée de manière statique. Dans ce cas,
assurez-vous que tous les périphériques WAP du cluster utilisent soit
uniquement des adresses de liaison locales soit uniquement des adresses
globales.
La configuration de point unique fonctionne uniquement sur des
périphériques utilisant le même type d'adressage IP. Elle ne fonctionne pas
dans les groupes de périphériques WAP dont certains utilisent des
adresses IPv4 et d'autres des adresses IPv6.
Guide d'administration du Cisco WAP571/E
199
Configuration par point unique
Points d'accès
12
ÉTAPE 3 Cliquez sur Activer la configuration de point unique.
Le périphérique WAP commence à rechercher dans le sous-réseau d'autres
périphériques WAP configurés avec le même nom de cluster et la même version
du protocole IP. Les membres éventuels du cluster envoient des annonces toutes
les 10 secondes afin de signaler leur présence.
Pendant la recherche d'autres membres du cluster, l'état indique que la
configuration est en cours d'application. Actualisez la page pour afficher la
nouvelle configuration.
Si un ou plusieurs périphériques WAP sont déjà configurés avec les mêmes
paramètres de cluster, le périphérique WAP rejoint le cluster et les informations sur
chaque membre s'affichent dans un tableau.
ÉTAPE 4 Répétez cette procédure sur les autres périphériques WAP que vous souhaitez
ajouter à la configuration de point unique.
Affichage des informations de la configuration de point unique
Lorsque le mode Configuration de point unique est activé, le point d'accès forme
automatiquement une grappe avec les autres appareils WAP partageant la même
configuration. Sur la page Points d'accès, les périphériques WAP détectés sont
répertoriés dans un tableau et les informations suivantes sont affichées :
•
Emplacement : description de l'emplacement physique du point d'accès.
•
Adresse MAC : adresse MAC (Media Access Control) du point d'accès.
Cette adresse correspond à l'adresse MAC du pont (br0) et à l'adresse du
périphérique WAP connue des autres réseaux.
•
Adresse IP : adresse IP du point d'accès.
Remarque : l'état de la configuration de point unique et le nombre de
périphériques WAP sont indiqués par des graphiques sur la droite de la page.
Ajout d'un point d'accès à une configuration de point unique
Pour ajouter à un cluster à configuration de point unique un nouveau point d'accès
actuellement en mode autonome, procédez comme suit :
ÉTAPE 1 Accédez à l'utilitaire de configuration Web sur le point d'accès autonome.
ÉTAPE 2 Cliquez sur Configuration de point unique > Points d'accès dans le volet de
navigation.
ÉTAPE 3 Dans Nom de la grappe, indiquez le nom de cluster que vous avez configuré sur
les membres du cluster.
Guide d'administration du Cisco WAP571/E
200
Configuration par point unique
Points d'accès
12
ÉTAPE 4 Dans le champ Emplacement, saisissez une description de l'emplacement
physique du point d'accès, par exemple « Réception » (facultatif).
ÉTAPE 5 Cliquez sur Activer la configuration de point unique.
Le point d'accès rejoint automatiquement la configuration de point unique.
Suppression d'un point d'accès d'une configuration de point unique
Pour supprimer un point d'accès d'une grappe à configuration de point unique :
ÉTAPE 1 Dans le tableau affichant les périphériques détectés, cliquez sur l'adresse IP du
périphérique WAP que vous souhaitez supprimer du cluster.
L'utilitaire de configuration Web de ce périphérique s'affiche.
ÉTAPE 2 Cliquez sur Configuration de point unique > Points d'accès dans le volet de
navigation.
ÉTAPE 3 Cliquez sur Désactiver la configuration de point unique.
Le champ d'état Configuration de point unique de ce point d'accès indique alors
Désactivé.
Accès aux informations de configuration d'un appareil spécifique
Tous les périphériques WAP d'une grappe à configuration de point unique
présentent la même configuration (à condition que les éléments configurables
puissent être propagés). Peu importe le périphérique WAP auquel vous vous
connectez pour l'administration, les modifications de la configuration de n'importe
quel périphérique WAP du cluster sont propagées aux autres membres.
Cependant, il peut arriver que vous souhaitiez afficher ou gérer des informations
d'un périphérique WAP spécifique. Par exemple, vous souhaiterez peut-être
consulter des informations relatives à l'état d'un point d'accès, notamment les
associations de clients ou les événements. Dans ce cas, vous pouvez cliquer sur
l'adresse IP figurant dans le tableau de la page Points d'accès pour afficher
l'utilitaire de configuration Web de ce point d'accès.
Accès à un périphérique à l'aide de son adresse IP dans une URL
Vous pouvez également vous connecter à l'utilitaire de configuration Web d'un
périphérique WAP spécifique en saisissant l'adresse IP de ce point d'accès
directement dans la barre d'adresse d'un navigateur Web. Pour cela, utilisez la
forme d'URL suivante :
http://AdresseIPDuPointD'Accès (si vous utilisez le protocole HTTP)
https://AdresseIPDuPointD'Accès (si vous utilisez le protocole HTTPS)
Guide d'administration du Cisco WAP571/E
201
Configuration par point unique
Sessions
12
Sessions
La page Sessions affiche des informations sur les clients WLAN associés aux
périphériques WAP du cluster à configuration de point unique. Chaque client
WLAN est identifié par son adresse MAC et l'emplacement du périphérique
auquel il est actuellement connecté.
REMARQUE : La page Sessions affiche un maximum de 20 clients par radio des périphériques
WAP du cluster. Pour afficher tous les clients WLAN associés à un périphérique
WAP, consultez la page Statut > Clients associés directement sur ce périphérique.
Pour afficher une statistique spécifique d'une session de client WLAN, sélectionnez
un élément de la liste Affichage et cliquez sur OK. Vous pouvez consulter des
informations sur le temps d'inactivité, le débit et la puissance du signal.
Dans ce contexte, une session correspond à la période pendant laquelle un
utilisateur d'un périphérique client (station) doté d'une adresse MAC unique
maintient une connexion au réseau sans fil. La session commence lorsque le client
WLAN se connecte au réseau. Elle se termine lorsque le client WLAN se
déconnecte, intentionnellement ou non.
REMARQUE : Une session diffère d'une association, qui décrit la connexion de clients WLAN à un
point d'accès spécifique. Une association de clients WLAN peut passer d'un point
d'accès du cluster à un autre au cours d'une même session.
Pour afficher les sessions associées à la grappe, cliquez sur Configuration de
point unique > Sessions.
Les données suivantes s'affichent pour chaque session de client WLAN avec une
configuration de point unique.
•
Emplacement du point d'accès : emplacement du point d'accès
L'emplacement est celui spécifié sur la page Administration > Paramètres
système.
•
Adresse MAC utilisateur : adresse MAC du client sans fil.
Une adresse MAC est une adresse matérielle unique qui identifie chaque
nœud d'un réseau.
•
Inactif : temps d'inactivité d'un client WLAN.
Un client WLAN est considéré comme inactif lorsqu'il ne reçoit et ne
transmet aucune donnée.
•
Débit : débit de données négocié. Les débits réels peuvent varier en
fonction de la surcharge.
Guide d'administration du Cisco WAP571/E
202
Configuration par point unique
Gestion des canaux
12
La vitesse de transmission des données est mesurée en mégabits par
seconde (Mbit/s). Cette valeur doit être comprise dans la plage de débit
annoncée pour le mode utilisé sur le point d'accès. Par exemple entre 6 et
54 Mbit/s pour le mode 802.11a.
La vitesse signalée est la vitesse du dernier paquet transmis au client à partir
du point d'accès. Cette valeur peut varier dans la gamme des vitesses
annoncées sur la base de la qualité du signal entre le point d'accès et le
client, et de la vitesse à laquelle les trames de diffusion ou de multidiffusion
sont envoyées. Lorsque le point d'accès envoie une trame de diffusion à une
station en utilisant les vitesses par défaut, le champ indique 1 Mbit/s pour les
radios 2,4 GHz et 6 Mbit/s pour les radios 5 GHz. Les clients non actifs sont
les plus susceptibles de signaler des vitesses par défaut faibles.
•
Signal : puissance du signal de radiofréquence (RF) reçu du point d'accès
par le client WLAN. Cette valeur est appelée RSSI (Received Signal Strength
Indication) et se situe entre 0 et 100.
•
Total reçu : nombre total de paquets reçus par le client WLAN au cours de la
session actuelle.
•
Total transmis : nombre total de paquets transmis au client WLAN au cours
de cette session.
•
Taux d'erreurs : pourcentage d'abandons de trames au cours de la
transmission sur ce point d'accès.
Pour trier les informations affichées dans les tableaux selon un indicateur
spécifique, cliquez sur l'étiquette de la colonne qui déterminera le tri. Par exemple,
si vous souhaitez classer les lignes du tableau en fonction de la puissance du
signal, cliquez sur l'étiquette de colonne Signal.
Gestion des canaux
La page Gestion des canaux affiche les attributions actuelles et prévues des
canaux aux périphériques WAP d'un cluster à configuration de point unique.
Guide d'administration du Cisco WAP571/E
203
Configuration par point unique
Gestion des canaux
12
Lorsque la gestion des canaux est activée, le point d'accès attribue
automatiquement les canaux radio utilisés par les périphériques WAP dans une
grappe à configuration de point unique. L'attribution automatique des canaux
réduit les interférences mutuelles des périphériques du cluster (ou les
interférences avec d'autres périphériques WAP extérieurs au cluster) et optimise
la bande passante Wi-Fi afin d'assurer une communication efficace sur le réseau
sans fil.
La fonction d'attribution automatique des canaux est désactivée par défaut. L'état
de la fonction de gestion des canaux (activé ou désactivé) est propagé aux autres
périphériques du cluster à configuration de point unique.
À un intervalle défini, le gestionnaire des canaux (c'est-à-dire le périphérique ayant
fourni la configuration au cluster) mappe tous les périphériques WAP du cluster
avec différents canaux et mesure les niveaux d'interférence des membres du
cluster. Si des interférences importantes sont détectées entre les canaux, le
gestionnaire de canaux réattribue automatiquement certains ou tous les
périphériques à d'autres canaux à l'aide d'un algorithme d'efficacité (ou d'une
stratégie de canaux automatisée). Si le gestionnaire de canaux détermine qu'un
changement est nécessaire, les informations de réattribution sont envoyées à tous
les membres du cluster. Un message Syslog indiquant également le périphérique
d'émission et les nouvelles et anciennes attributions des canaux est généré.
Configuration et affichage des attributions des canaux pour les membres de la
configuration de point unique
Pour configurer et afficher les attributions de canaux pour les membres de la
configuration de point unique :
ÉTAPE 1 Cliquez sur Configuration de point unique > Gestion des canaux dans le volet de
navigation.
La page Gestion des canaux affiche les attributions de canaux de tous les
périphériques WAP du cluster et vous permet d'interrompre ou de démarrer la
gestion automatique des canaux. Les paramètres avancés vous permettent de
modifier le potentiel de réduction des interférences qui entraîne la réattribution
des canaux, de modifier le calendrier des mises à jour automatiques et de
reconfigurer l'ensemble de canaux utilisé pour l'attribution.
Guide d'administration du Cisco WAP571/E
204
Configuration par point unique
Gestion des canaux
12
ÉTAPE 2 Pour lancer l'attribution automatique des canaux, cliquez sur Démarrer.
La gestion des canaux remplace le comportement par défaut du cluster qui
consiste à synchroniser les canaux radio de tous les périphériques WAP membres
du cluster. Lorsque la gestion des canaux est activée, le canal radio n'est pas
synchronisé entre le cluster et les autres périphériques.
Lorsque l'attribution automatique des canaux est activée, le gestionnaire de
canaux mappe régulièrement les canaux radio utilisés par les périphériques WAP
d'un cluster à configuration de point unique et réattribue les canaux, le cas
échéant, pour réduire les interférences entre les membres du cluster ou avec les
périphériques extérieurs au cluster. La stratégie de canaux radio est définie
automatiquement sur le mode statique et l'option Automatique n'est pas
disponible pour le champ Canal de la page Technologie sans fil > Radio.
Reportez-vous à la section Affichage des attributions de canaux et configuration
des verrouillages pour obtenir des informations sur les attributions de canaux
actuelles et proposées.
ÉTAPE 3 Pour interrompre l'attribution automatique des canaux, cliquez sur Arrêter.
Aucun mappage de l'utilisation des canaux ni aucune réattribution de ceux-ci ne
sont effectués. Seules les mises à jour manuelles affectent l'attribution des
canaux.
Affichage des attributions de canaux et configuration des verrouillages
Lorsque la gestion des canaux est activée, la page affiche le tableau Attributions
actuelles des canaux et le tableau Attributions proposées des canaux.
Tableau Attributions actuelles des canaux
Le tableau Attributions actuelles des canaux affiche la liste de tous les
périphériques WAP du cluster à configuration de point unique par adresse IP.
Il indique les informations suivantes sur les attributions de canaux actuelles.
•
Emplacement : emplacement physique du périphérique.
•
Adresse IP : adresse IP du point d'accès.
•
Radio sans fil : adresse MAC de la radio.
•
Bande : bande de diffusion du point d'accès.
•
Canal : canal radio sur lequel le point d'accès diffuse actuellement.
•
Verrouillé : force le point d'accès à rester sur le canal actuel.
Guide d'administration du Cisco WAP571/E
205
Configuration par point unique
Gestion des canaux
•
12
Statut : état de la radio sans fil du périphérique. (Pour les périphériques
WAP disposant de plusieurs radios sans fil, chaque radio est indiquée sur
une ligne distincte du tableau.) L'état de la radio est soit Active
(opérationnelle), soit Inactive (non opérationnelle).
Lorsqu'elles sont sélectionnées pour un point d'accès, les stratégies de gestion
automatique des canaux ne réattribuent pas les périphériques WAP à un autre
canal dans le cadre de la stratégie d'optimisation. Les périphériques WAP dont les
canaux sont verrouillés sont considérés comme immuables dans la stratégie de
gestion.
Cliquez sur Enregistrer pour mettre à jour le paramètre Verrouillé. Le canal des
périphériques verrouillés est le même dans le tableau Attributions actuelles des
canaux et le tableau Attributions proposées des canaux. Les périphériques
verrouillés conservent leurs canaux actuels.
Tableau Attributions proposées des canaux
Le tableau Attributions proposées des canaux affiche les canaux proposés qui
seront attribués à chaque périphérique WAP lors de la prochaine mise à jour. Les
canaux verrouillés ne sont pas réattribués ; l'optimisation de la distribution des
canaux entre les périphériques tient compte du fait que les périphériques
verrouillés doivent rester sur leurs canaux actuels. Les périphériques WAP non
verrouillés peuvent être attribués à des canaux différents de ceux qu'ils utilisaient
auparavant, selon les résultats de la stratégie.
Pour chaque périphérique WAP de la configuration de point unique, le tableau
Attributions proposées des canaux indique l'emplacement, l'adresse IP et la radio
sans fil, de la même manière que le tableau Attributions actuelles des canaux. Il
affiche également le Canal proposé, c'est-à-dire le canal radio auquel le
périphérique WAP devrait être réattribué lors de l'application de la stratégie.
Configuration des paramètres avancés
La zone Paramètres avancés vous permet de personnaliser et de planifier la
stratégie de canaux de la configuration de point unique.
Par défaut, les canaux sont réattribués automatiquement toutes les heures, à
condition que les interférences puissent être réduites d'au moins 25 pour cent. Les
canaux sont réattribués même si le réseau est occupé. Les paramètres par défaut
sont conçus pour servir la plupart des scénarios qui vous obligeraient à mettre en
œuvre la gestion des canaux.
Vous pouvez modifier les paramètres avancés pour configurer les options
suivantes :
Guide d'administration du Cisco WAP571/E
206
Configuration par point unique
Voisinage sans fil
•
12
Modifier les canaux en cas de réduction des interférences d'au moins :
pourcentage minimal de réduction des interférences qu'une stratégie
proposée doit atteindre pour être appliquée. La valeur par défaut est 75
pour cent. Choisissez le pourcentage souhaité entre 5 et 75 pour cent dans
le menu déroulant. L'utilisation de ce paramètre vous permet de définir un
seuil de gain d'efficacité relatif à la réattribution des canaux pour éviter une
interruption trop fréquente du réseau alors que le gain d'efficacité est
minime.
Par exemple, si les interférences des canaux doivent être réduites de
75 pour cent et que les attributions de canaux proposées permettent de
réduire les interférences de seulement 30 pour cent, alors la réattribution
n'est pas effectuée. Cependant, si vous réglez le gain minimal sur 25 pour
cent et cliquez sur Enregistrer, la stratégie de canaux proposée sera mise
en œuvre et les canaux seront réattribués selon les besoins.
•
Rechercher un meilleur jeu de paramètres de canaux à intervalle de :
calendrier des mises à jour automatiques. Une plage d'intervalles allant de
30 minutes à 6 mois est proposée.
La valeur par défaut est de 1 heure, ce qui signifie que l'utilisation des
canaux est réévaluée et que le plan de canal résultant est appliqué toutes
les heures.
Si vous modifiez ces paramètres, cliquez sur Enregistrer. Les modifications sont
enregistrées dans la configuration active et la configuration initiale.
Voisinage sans fil
La page Voisinage sans fil affiche jusqu'à 20 périphériques par radio dans la plage
de chaque radio sans fil au sein du cluster. (Par exemple, si un périphérique WAP
possède deux radios sans fil, 40 périphériques s'affichent pour ce périphérique.)
La page Voisinage sans fil effectue également une distinction entre les membres
et les non membres du cluster.
La page Voisinage sans fil peut vous aider à effectuer les opérations suivantes :
•
détecter et localiser les périphériques inattendus (ou non autorisés) dans un
domaine sans fil, de telle sorte que vous puissiez entreprendre des actions
visant à limiter les risques associés ;
•
vérifier les attentes en matière de couverture. En évaluant quels
périphériques WAP sont visibles et à quelle puissance de signal à partir des
Guide d'administration du Cisco WAP571/E
207
12
Configuration par point unique
Voisinage sans fil
autres périphériques, vous pouvez vérifier que le déploiement satisfait vos
objectifs de planification ;
•
détecter les défaillances. Les modifications inattendues dans le modèle de
couverture apparaissent de manière évidente grâce au système de
couleurs.
Pour afficher les périphériques voisins, sélectionnez Configuration de point
unique > Voisinage sans fil. Pour afficher l'ensemble des périphériques détectés
au cours d'une même configuration de point unique, accédez à l'interface Web
d'un membre et sélectionnez Technologie sans fil > Détection de point d'accès
non autorisé dans le volet de navigation.
Pour chaque point d'accès voisin, les informations suivantes sont affichées :
•
Afficher les points d'accès voisins : sélectionnez l'une des cases d'option
suivantes pour modifier la vue :
-
Dans la grappe : affiche uniquement les périphériques WAP voisins qui
sont membres du cluster.
-
Pas dans la grappe : affiche uniquement les périphériques WAP voisins
qui ne sont pas membres du cluster.
-
Les deux : affiche tous les périphériques WAP voisins (membres et non
membres du cluster).
REMARQUE : Dans le cas d'un point d'accès détecté qui est également membre
d'une grappe, seuls les SSID du point d'accès virtuel par défaut (VAP0) s'affichent
avec l'option Dans la grappe. Les points d'accès virtuels non définis par défaut sur
le point d'accès s'affichent avec l'option Pas dans la grappe.
•
Cluster : la liste présente en haut du tableau affiche les adresses IP de
l'ensemble des périphériques WAP qui appartiennent au même cluster.
(Cette liste est identique à la liste des membres figurant à la page
Configuration de point unique > Points d'accès.)
S'il n'y a qu'un seul périphérique WAP dans le cluster, une seule colonne
d'adresses IP s'affiche, indiquant que le périphérique WAP est groupé avec
lui-même.
Vous pouvez cliquer sur une adresse IP pour afficher plus de détails sur un
périphérique WAP particulier.
•
Voisins : les périphériques qui sont voisins d'un ou plusieurs périphériques
en cluster sont répertoriés dans la colonne de gauche par SSID (nom de
réseau).
Guide d'administration du Cisco WAP571/E
208
Configuration par point unique
Mise à niveau du microprogramme de la grappe
12
Un périphérique détecté en tant que voisin peut également être lui-même membre
du cluster. Les voisins qui sont aussi des membres de cluster sont toujours
affichés en haut de la liste avec une barre épaisse et un indicateur d'emplacement.
Les barres de couleur situées à droite de chaque périphérique WAP dans la liste
Voisins représentent la puissance du signal de chaque périphérique WAP voisin,
tel que détecté par le membre de cluster dont l'adresse IP est affichée en haut de
la colonne. Si vous passez le pointeur de la souris sur les barres, un nombre
représentant la puissance en décibels (dB) apparaît.
Affichage des détails d'un membre de la configuration de point unique
Pour afficher les détails relatifs à un membre du cluster, cliquez sur l'adresse IP
d'un membre en haut de la page.
Les détails suivants du périphérique apparaissent en dessous de la liste Voisins.
•
SSID : identificateur d'ensemble de services du point d'accès voisin.
•
Adresse MAC : adresse MAC du point d'accès voisin.
•
Canal : canal sur lequel le point d'accès diffuse actuellement.
•
Débit : débit, en mégabits par seconde, auquel ce point d'accès transmet
actuellement. Le débit actuel est toujours l'un des débits spécifiés dans
Débits pris en charge.
•
Signal : puissance du signal radio détecté à partir du point d'accès,
mesurée en décibels (dB).
•
Intervalle de balise : intervalle de balise utilisé par le point d'accès.
•
Ancienneté de la balise : date et heure de la dernière balise reçue de ce
point d'accès.
Mise à niveau du microprogramme de la grappe
La grappe propose une fonctionnalité de mise à niveau centralisée du
microprogramme qui réalise la mise à niveau de tous les points d'accès de la
grappe à partir du point d'accès dominant (contrôleur de grappe). La mise à
niveau du microprogramme de la grappe ne peut être effectuée que depuis le
point d'accès dominant.
Sur la page de mise à niveau du microprogramme de la grappe, les
périphériques WAP détectés sont répertoriés dans un tableau et les informations
suivantes sont affichées :
Guide d'administration du Cisco WAP571/E
209
Configuration par point unique
Mise à niveau du microprogramme de la grappe
12
•
Emplacement : description de l'emplacement physique du point d'accès.
•
Adresse IP : adresse IP du point d'accès.
•
Adresse MAC : adresse MAC (Media Access Control) du point d'accès.
Cette adresse correspond à l'adresse MAC du pont (br0) et à l'adresse du
périphérique WAP connue des autres réseaux.
•
Version actuelle du microprogramme : la version actuelle du
microprogramme exécuté sur le point d'accès.
•
Statut du transfert du microprogramme : indique si le téléchargement et
la validation du microprogramme dans le membre de la grappe est Aucun/
Démarré/Téléchargé/Réussite/Échec/Abandon_admin/Abandon_local/
Dap_annulé.
•
Barre de progression du transfert du microprogramme : affiche la barre
de progression lors du téléchargement du microprogramme.
Sélection d'un membre de la grappe à mettre à niveau
Pour sélectionner un membre de la grappe à mettre à niveau :
ÉTAPE 1 Cliquez sur Configuration de point unique > Mise à niveau du microprogramme
de la grappe dans le volet de navigation.
ÉTAPE 2 Cochez la case du point d'accès à mettre à niveau.
ÉTAPE 3 Cliquez sur Enregistrer.
Pour connaître le statut le plus récent de la mise à niveau du microprogramme de
la grappe :
Cliquez sur Actualiser.
Mise à niveau du microprogramme d'un membre de la grappe via TFTP
Pour mettre à niveau le microprogramme d'un membre de la grappe via TFTP :
ÉTAPE 1 Sélectionnez Méthode de transfert TFTP.
ÉTAPE 2 Saisissez un nom (de 1 à 128 caractères) pour le fichier image dans le champ
Nom du fichier source, en incluant le chemin d'accès au répertoire qui contient
l'image à télécharger.
Par exemple, pour télécharger l'image ap_upgrade.tar située dans le répertoire /
share/builds/ap, saisissez : /share/builds/ap/ap_upgrade.tar
Guide d'administration du Cisco WAP571/E
210
Configuration par point unique
Mise à niveau du microprogramme de la grappe
12
Le fichier de mise à niveau du micrologiciel fourni doit être un fichier tar. Pour la
mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un
autre format ; ces types de fichiers ne fonctionnent pas.
Le nom de fichier ne peut pas contenir les éléments suivants : espaces, <, >, |, \, : , (,
), &, ; , #, ? , *, ainsi que deux points successifs ou plus.
ÉTAPE 3 Saisissez l'Adresse IPv4 du serveur TFTP, puis cliquez sur Démarrer la mise à
niveau.
Mise à niveau via HTTP
Pour effectuer une mise à niveau via HTTP :
ÉTAPE 1 Sélectionnez Méthode de transfert HTTP.
ÉTAPE 2 Si vous connaissez le nom du nouveau fichier et le chemin d'accès à celui-ci,
saisissez-les dans le champ Nouvelle image de microprogramme. Sinon, cliquez
sur le bouton Parcourir et recherchez le fichier image du microprogramme sur
votre réseau.
Le fichier de mise à niveau du micrologiciel fourni doit être un fichier tar. Pour la
mise à niveau, n'essayez pas d'utiliser des fichiers bin ou des fichiers ayant un
autre format ; ces types de fichiers ne fonctionnent pas.
ÉTAPE 3 Cliquez sur Démarrer la mise à niveau pour appliquer la nouvelle image de
microprogramme.
REMARQUE : L'option Statut de la mise à niveau globale présente l'état de la mise à niveau
combinée (Non initialisée/En cours/Terminée/Échec/Abandon_admin/Aucune) de
tous les membres de la grappe.
Pour arrêter la mise à niveau d'un membre de la grappe depuis le point d'accès
dominant :
Cliquez sur Arrêter la mise à niveau.
Guide d'administration du Cisco WAP571/E
211
Configuration par point unique
Mise à niveau du microprogramme de la grappe
Guide d'administration du Cisco WAP571/E
12
212
13
Umbrella
Ce chapitre explique comment configurer la fonctionnalité Umbrella sur les
périphériques WAP.
Il contient les rubriques suivantes :
•
Présentation de Cisco Umbrella
•
Configuration d'Umbrella
Présentation de Cisco Umbrella
Cisco Umbrella est un service de sécurité réseau basé dans le cloud qui fournit
des renseignements précieux visant à protéger en temps réel les périphériques
des programmes malveillants et autres menaces. Il utilise des méthodes avancées
de Big Data et d'exploration des données pour détecter les attaques de manière
proactive et assurer un filtrage par catégorie.
Les serveurs Cisco Umbrella résolvent la requête DNS et appliquent des règles de
filtrage de sécurité préconfigurées en tenant compte des identités. Ils peuvent
ainsi marquer le domaine comme malveillant, et donc bloquer l'accès à la page
pour le client, ou comme sécurisé, et renvoyer une adresse IP résolue au client.
Configuration d'Umbrella
Pour configurer la fonctionnalité Umbrella, procédez comme suit :
ÉTAPE 1 Sélectionnez Umbrella dans le volet de navigation.
ÉTAPE 2 Configurez les paramètres suivants :
•
Activer : active ou désactive la fonctionnalité Umbrella sur le périphérique
WAP.
Guide d'administration du Cisco WAP571/E
213
13
Umbrella
Configuration d'Umbrella
REMARQUE
•
Clé API : pour obtenir votre clé API, accédez à votre tableau de bord
Umbrella : Admin. -> Clés API.
•
Clé API secrète : la clé API secrète s'affiche une fois que vous avez créé
votre clé API dans le tableau de bord Umbrella.
•
Toute modification apportée à la clé API, à la clé API secrète et à la balise de
périphérique génère un processus de ré-enregistrement pour créer un
périphérique réseau.
•
Balise de périphérique (facultatif) : balise au format texte qui décrit le
périphérique ou une propriété d'origine spécifique attribuée au
périphérique. Cette balise doit être unique à votre entreprise.
•
Domaines locaux à ignorer (facultatif) : le point d'accès transfère la
requête DNS si celle-ci apparaît dans la liste. Les éléments de la liste
doivent être séparés par une virgule, et les domaines peuvent inclure des
astérisques (*) comme caractères de remplacement. Par exemple :
*.cisco.com.*.
•
DNSCrypt : indique si la fonctionnalité DNSCrypt est activée.
•
État de l'enregistrement : les valeurs possibles sont Opération effectuée,
Enregistrement en cours ou Échec.
Guide d'administration du Cisco WAP571/E
214
A
Codes des motifs des messages de
désauthentification
Lorsqu'un client se désauthentifie du périphérique WAP, un message est envoyé
au journal système. Ce message contient un code de motif pouvant être utile pour
déterminer pourquoi le client a été désauthentifié. Vous pouvez afficher les
messages du journal en cliquant sur Statut et statistiques > Journal.
•
Tableau des codes des motifs de désauthentification
Tableau des codes des motifs de désauthentification
Le tableau suivant décrit les codes des motifs de désauthentification.
Code de motif
Signification
0
Réservé
1
Motif non spécifié
2
L'authentification précédente n'est plus valide
3
Désauthentification due au fait que la station émettrice quitte
ou a quitté l'ensemble de services de base indépendants
(IBSS, Independent Basic Service Set) ou l'ESS
4
Désassociation due à l'inactivité
5
Désassociation due au fait que le périphérique WAP n'est pas
capable de gérer l'ensemble des stations actuellement
associées
6
Trame de classe 2 reçue d'une station non authentifiée
7
Trame de classe 3 reçue d'une station non associée
Guide d'administration du Cisco WAP571/E
215
Codes des motifs des messages de désauthentification
Tableau des codes des motifs de désauthentification
A
Code de motif
Signification
8
Désassociation due au fait que la station émettrice quitte ou a
quitté l'ensemble de services de base (BSS, Basic Service
Set)
9
La station qui demande l'association ou la réassociation n'est
pas authentifiée avec la station répondante
10
Désassociation due au fait que les informations figurant dans
l'élément de capacité d'alimentation ne sont pas acceptables
11
Désassociation due au fait que les informations figurant dans
l'élément des canaux pris en charge ne sont pas acceptables
12
Désassociation due à la gestion des transitions BSS
13
Élément non valide, par exemple un élément défini dans cette
norme et dont le contenu ne satisfait pas aux spécifications
figurant dans la clause 8
14
Échec du code d'intégrité du message (MIC, Message
Integrity Code)
15
Délai d'expiration de connexion en quatre étapes
16
Délai d'expiration de connexion de clé de groupe
17
Élément de connexion en quatre étapes différent de la trame
Demande/Réponse de la sonde/Balise d'association ou de
réassociation
18
Chiffrement de groupe non valide
19
Chiffrement par paire non valide
20
AKMP non valide
21
Version RSNE non prise en charge
22
Capacités RSNE non valides
23
Échec de l'authentification IEEE 802.1X
24
Suite de chiffrement rejetée en raison de la stratégie de
sécurité
Guide d'administration du Cisco WAP571/E
216
B
Pour en savoir plus
Cisco fournit une gamme étendue de ressources pour vous aider, ainsi que votre
client, à profiter de tous les avantages du Cisco WAP571/E.
Assistance
Communauté
d'assistance Cisco
www.cisco.com/go/smallbizsupport
Numéros de téléphone
du centre d'assistance
Cisco Small Business
(SBSC)
www.cisco.com/go/sbsc
Assistance et ressources
pour entreprises
www.cisco.com/go/smallbizhelp
Informations sur le
service d'assistance
www.cisco.com/go/sbs
Téléchargements de
microprogrammes Cisco
www.cisco.com/go/smallbizfirmware
www.cisco.com/go/software (enregistrement/
ouverture de session requis).
Sélectionnez un lien pour télécharger le
microprogramme d'un produit Cisco. Aucune
connexion n'est requise.
Les téléchargements de logiciels et de
microprogrammes se rapportant à tous les autres
produits Cisco sont disponibles dans la zone de
téléchargement de Cisco.com, à l'adresse
www.cisco.com/go/software (enregistrement/
ouverture de session requis).
Demandes Open Source
Cisco
Guide d'administration du Cisco WAP571/E
www.cisco.com/go/smallbiz_opensource_request
217
B
Pour en savoir plus
Cisco Partner Central
(connexion partenaire
requise)
www.cisco.com/web/partners/sell/smb
Documentation sur les produits
Guide d'administration et
de démarrage rapide du
point d'accès
Cisco WAP571/E
bibande sans fil AC/N
Premium avec PoE
Guide d'administration du Cisco WAP571/E
http://www.cisco.com/go/500_wap_resources
218
">