Download - Cisco Aironet 1300
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 1/41
ÉÉttuuddee ddee llaa ssoolluuttiioonn ssaannss f f iill
CCiissccoo AAiirroonneett 11330000
UUnn pprroo j jeett ddee
AAuurréélliieenn BBEEAAUUVVOOIISS && TThhééoopphhiillee GGUURRLLIIAATT
PPrrooppoosséé ppaarr
LLaauurreenntt HHUUSSSSEENNEETT
22000077
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 2/41
Aurélien BEAUVOIS | Théophile GURLIAT
2
Avant-propos:
Ces dernières années ont vu apparaître l’utilisation des technologies sans fil
dans le monde du réseau avec l’avènement du « Wifi ».
Ce mode de transmission a su s’imposer dans le domaine grand public comme
dans le monde de l’entreprise. Pour répondre a ce besoin de mobilité, Cisco a
créé une gamme d’équipements dédiés à la communication radio.
La borne Cisco Aironet 1300 est un produit destiné aux professionnels qui
permet d’assurer les fonctions de pont sans fil et de point d’accès.
Ces fonctions permettent d’établir des liaisons sans fil en vue de raccorder à un
même réseau des entités mobiles ou situés sur des sites distants.La bonne compréhension des techniques de sécurité mise en œuvre sur cette
borne nécessite quelques notions qui vont donc vous être expliquées dans un
premier temps. Nous vous présenterons ensuite la borne Cisco Aironet 1300 et
les applications qui peuvent en être faite.
Pour apprendre à utiliser les principales fonctions de la borne, nous vous
proposons pour finir d’effectuer une série de travaux pratiques qui vous
permettront une prise en main optimale et qui vous guideront dans la mise en
place de systèmes sans fils sécurisés.
Abstract:
Last years the use of wireless systems came up into the network world’s with
the increasing of “Wifi”. This communication means is today used for
professional and public application. In order to answer to the mobility need,
Cisco designed a range of dedicated radio communication equipments.
Cisco Aironet 1300 is a product for professional which offer bridging function
and can be set as an access point. These features allow wireless connections
for networking mobiles’ terminals or far areas.
For understanding security used by this device, you need to know some
notions which are going to be explain in a first time.
Then we introduce to you the Cisco Aironet 1300 and its applications. To learn
how to use main functions of this device, we suggest to you some exercices to
put them into practice. They let a quick and optimal handling.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 3/41
Aurélien BEAUVOIS | Théophile GURLIAT
3
Sommaire
I. Les réseaux sans fils
Introduction au Wifi page 4
Chiffrement page 6
Authentification page 10
Intégrité page 12
II. Cisco Aironet 1300
Présentation page 14
Interface web page 16
Fonctionnalités page 17
Méthodes d’authentifications page 19
Types de chiffrements page 21
III. Travaux pratiques
Configuration d’un point d’accès sans fil page 24
Mise en place d’un pont réseau sans fil page 26
Pont réseau sans fil pour LAN Virtuels page 27
Point d’accès sans fil avec LAN Virtuels page 28
Authentification & chiffrement page 30
Conclusion page 35
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 4/41
Aurélien BEAUVOIS | Théophile GURLIAT
4
Introduction au Wifi
Le Wifi est une technologie de réseau sans fil mise en place pour fonctionner en réseau
local. Il est basé sur la norme IEEE 802.11 qui est un standard international (ISO/CEI 8802-11) décrivant les caractéristiques d'un réseau local sans fil (ou WLAN). Le nom Wifi
correspond à la certification délivrée par la WECA (Wireless Ethernet Compatibility Alliance),
l'organisme chargé de maintenir l'interopérabilité entre les matériels répondant à la norme
802.11. Par abus de langage (et pour des raisons de marketing) le nom de la norme se
confond aujourd'hui avec le nom de la certification. Ainsi un réseau Wifi est en réalité un
réseau répondant à la norme 802.11.
Grâce au Wifi, il est possible de créer des réseaux locaux sans fil à haut débit. Dans la
pratique, le Wifi permet de relier des ordinateurs portables, des machines de bureau, desassistants personnels (PDA) ou même des périphériques à une liaison haut débit (de 11
Mbit/s en 802.11b à 54 Mbit/s en 802.11a/g) sur un rayon de plusieurs dizaines de mètres
en intérieur. Dans un environnement ouvert la portée peut atteindre plusieurs centaines de
mètres voire dans des conditions optimales plusieurs dizaines de kilomètres (avec des
antennes directionnelles).
Structure:
La norme 802.11 s'attache à définir les couches basses du modèle OSI pour une liaison sans
fil utilisant des ondes électromagnétiques, c'est-à-dire :
• la couche physique proposant trois types de codage de l'information
• la couche liaison de données, constituée de deux sous-couches :
o le contrôle de la liaison logique (Logical Link Control, ou LLC)
o le contrôle d'accès au support (Media Access Control, ou MAC)
Le Wifi utilise une bande de fréquence étroite (dite ISM) de 2,4 à 2,4835 GHz.
Modes de mise en réseau:
Infrastructure
Le mode Infrastructure est un mode de fonctionnement qui permet de connecter les
ordinateurs équipés d'une carte réseau Wifi entre eux via un ou plusieurs Point d'accès (AP)
qui agissent comme des concentrateurs (Hub/Switch en réseau filaire). Ce mode est
essentiellement utilisé en entreprise. La mise en place d'un tel réseau oblige de poser à
intervalle régulier des bornes (AP) dans la zone qui doit être couverte par le réseau. Les
bornes, ainsi que les machines, doivent être configurées avec le même SSID (nom de réseau)
afin de pouvoir communiquer. L'avantage de ce mode est de garantir un passage obligé par
l'AP. Il est donc possible de vérifier qui entre sur le réseau.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 5/41
Aurélien BEAUVOIS | Théophile GURLIAT
5
Ad-Hoc
Le mode « Ad-Hoc » est un mode de fonctionnement qui permet de connecter directement
les ordinateurs équipés d'une carte réseau Wifi, sans utiliser un matériel tiers tel qu'un. Ce
mode est idéal pour interconnecter rapidement des machines entre elles sans matériel
supplémentaire. L'avantage de ce mode est de s'affranchir de matériels tiers coûteux et est
plus facile à mettre en œuvre.
Les normes:
La norme IEEE 802.11 est en réalité la norme initiale offrant des débits de 1 ou 2 Mbit/s. Des
révisions ont été apportées à la norme originale afin d'optimiser le débit (c'est le cas des
normes 802.11a, 802.11b et 802.11g, appelées normes 802.11 physiques) ou bien préciser
des éléments afin d'assurer une meilleure sécurité ou une meilleure interopérabilité.
Vous trouverez un tableau récapitulatif de ces normes en annexe.
Sécurité:
De part les propriétés des ondes radioélectriques, n’importe qui convenablement équipé du
matériel adéquat peut détecter la présence d’un réseau soit en utilisant le logiciel fournit
par le fabricant de la carte ou encore pour plus d’efficacité en utilisant un scanner.
Sans sécurité, toute personne est potentiellement capable de s’introduire dans votre
réseau. Dans certains cas, un hacker peut même se contenter « d’écouter » le trafic sur le
réseau pour collecter des informations, d’où l’absolue nécessité de sécuriser la
transmission des données. Pour cela un certains nombre de normes ont vues le jour, nous
allons vous présenter les principales de manière chronologiques en justifiant leur utilisation.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 6/41
Aurélien BEAUVOIS | Théophile
WEP
Le WEP (Wired Equivalent Pri
la 1ère norme 802.11 datant
utilisant l’algorithme symétri
principe du WEP consiste à d
Cette clé secrète doit être dé
créer un nombre pseudo-aléa
est combinée à un vecteur d'i
chiffrer un message en clair
Value).
Le message chiffré est alors d
(Où « || » représente l'opérate
Chaque transmission de donn
comme masque grâce à un «
La clé de session partagée pa
un grand nombre de stations
de session. Ainsi la connaissa
De plus, 24 bits de la clé serv
bits de la clé de 64 bits serve
Le vecteur d'initialisation (IV)
niveau décent de sécurité et
chaque paquet afin que le pa
Malheureusement pour la sé
GURLIAT
Chiffrement
acy ) est le protocole de chiffrement par dé
e 1999. Il est chargé du chiffrement des tra
ue RC4 avec des clés d'une longueur de 64
finir dans un premier temps une clé secrète
larée au niveau du point d'accès et des clie
toire d'une longueur égale à la longueur de
nitialisation (Initialisation Vector ou IV ) de 2
et sa somme de contrôle (checksum) – l'IC
éterminé comme ceci :
r de concaténation et « + » l'opérateur Ou Excl
ée est ainsi chiffrée en utilisant le nombre p
OU Exclusif » entre le nombre pseudo aléat
toutes les stations est statique, c'est-à-dire
Wifi, il est nécessaire de les configurer en ut
ce de la clé est suffisante pour déchiffrer le
nt uniquement pour l'initialisation, ce qui si
t réellement à chiffrer et 104 bits pour la cl
est la clé de voûte de la sécurité du WEP, p
viter la fuite d'information l'IV doit être incr
uet suivant soit chiffré avec une clé différe
urité du protocole, l'IV est transmis en clair
6
aut introduit dans
mes 802.11
u 128 bits. Le
de 40 ou 128 bits.
ts. La clé sert à
la trame. Celle-ci
bits afin de
(Integrity Check
sif)
seudo-aléatoire
ire et la trame.
que pour déployer
ilisant la même clé
s communications.
gnifie que seuls 40
de 128 bits.
ur maintenir un
émenté pour
te.
et le standard
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 7/41
Aurélien BEAUVOIS | Théophile GURLIAT
7
802.11 ne rend pas obligatoire l'incrémentation de l'IV laissant cette mesure de sécurité au
bon vouloir de l’équipement sans fil.
Une attaque par brute force peut amener le pirate à trouver la clé de session.
De plus, une faille décelée concernant la génération de la chaîne pseudo-aléatoire rend
possible la découverte de la clé de session en stockant le trafic créé intentionnellement avec
un logiciel approprié. Ainsi une dizaine de minutes suffisent pour capturer assez de trafic, et
il nous aura fallu un peu moins de trois minutes pour casser la clé 128 bits, comme vous
pouvez le voir ci-dessous.
Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données et
ceci pour deux raisons principales :
• L'utilisation d'algorithmes cryptographiques peu développés (RC4) l'a rendu très
vulnérable.
Il suffit de quelques minutes à un éventuel pirate pour casser les clés utilisées et ceci
avec n’importe quel ordinateur grand public.
• L'impossibilité d'authentifier un ordinateur ou un utilisateur qui se connecte au
réseau.
Pour plus d’informations sur le WEP et ses faiblesses :
http://www.hsc.fr/ressources/articles/hakin9_wifi/hakin9_wifi_FR.pdf
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 8/41
Aurélien BEAUVOIS | Théophile GURLIAT
8
WPA : VERS LE 802.11i
En janvier 2001, le groupe de travail ‘i’ fut crée à l'IEEE pour améliorer l'authentification et le
chiffrement des données au sein des réseaux 802.11.
WPA (WiFi protected Access) est une solution intermédiaire de sécurisation de réseau WiFi
proposé afin de combler les lacunes du WEP. Contrairement a celui-ci, le WPA n’est pas
qu’une méthode de chiffrement mais inclus également un service d’authentification.
Le WPA est une préversion du protocole 802.11i, reposant sur des protocoles
d'authentification et un algorithme de cryptage robuste : TKIP (Temporary Key Integrity
Protocol ), qui échange de manière dynamique les clés lors de l'utilisation du système. Ce
protocole, associé au vecteur d'initialisation beaucoup plus grand que dans le WEP,
empêche certaines attaques sur WEP aujourd'hui bien connues.Le protocole TKIP permet la génération aléatoire de clés et offre la possibilité de modifier la
clé de chiffrement plusieurs fois par secondes, pour plus de sécurité (contrairement au
WEP).
Le fonctionnement de WPA repose sur la mise en œuvre d'un serveur d'authentification (la
plupart du temps un serveur RADIUS), permettant d'identifier les utilisateurs sur le réseau et
de définir leurs droits d'accès. Néanmoins, il est possible pour les petits réseaux de mettre
en œuvre une version restreinte du WPA, appelée WPA-PSK, en déployant une même clé de
chiffrement dans l'ensemble des équipements, ce qui évite la mise en place d'un serveurRADIUS. Contrairement au WEP, il n'est pas nécessaire de saisir une clé de longueur
prédéfinie. En effet, le WPA permet de saisir une « passphrase » ( phrase secrète), traduite
en PSK par un algorithme de hachage.
Bien que cette solution de cryptage soit bien plus forte, elle n’est pas exempte de faille et il
existe comme pour le WEP, une possibilité de « casser » cette solution. En effet, une simple
attaque par dictionnaire hors ligne peut s’avérer fatale pour la version PSK dans le cas ou
une clé trop simple aurait été choisit.
Néanmoins dans le cadre d’un usage privé cette solution se montre très acceptable.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 9/41
Aurélien BEAUVOIS | Théophile GURLIAT
9
802.11i (WPA2)
Le 802.11i a été ratifié le 24 juin 2004, afin de fournir une solution de sécurisation poussée
des réseaux WiFi, Ce standard reprend la grande majorité des principes et protocoles
apportés par WPA, avec une différence notoire dans le cas du chiffrement : l'intégration de
l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement
WEP et TKIP sont toujours présents. Deux autres méthodes de chiffrement sont aussi
incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP :
- WRAP (Wireless Robust Authenticated Protocol ) : s'appuyant sur le mode opératoire OCB
(Offset Codebook) d’AES ;
- CCMP (Counter Mode with CBC MAC Protocol ) : s'appuyant sur le mode opératoire CCM
(Counter with CBC-MAC) d’AES ;
Contrairement à WPA, le WPA2 permet de sécuriser aussi bien les réseaux sans fil en mode
infrastructure que les réseaux en mode ad hoc.
Comme pour le WPA, la norme IEEE 802.11i définit deux modes de fonctionnement :
WPA Personnel : le mode personnel permet de mettre en œuvre une infrastructure
sécurisée basée sur le WPA sans mettre en œuvre de serveur d'authentification.
Le WPA personnel repose sur l'utilisation d'une clé partagée, appelées PSK pour Pre-
shared Key , renseignée dans le point d'accès ainsi que dans les postes clients. WPA Entreprise : le mode entreprise impose l'utilisation d'une infrastructure
d'authentification 802.1x basée sur l'utilisation d'un serveur d'authentification,
généralement un serveur RADIUS (Remote Authentication Dial-in User Service) et d'un
contrôleur réseau (le point d'accès).
Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE en juin 2001,
permettant d'authentifier un utilisateur souhaitant accéder à un réseau (filaire ou non)
grâce à un serveur d'authentification.
Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol ), défini par l'IETF,
dont le rôle est de transporter les informations d'identification des utilisateurs.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 10/41
Aurélien BEAUVOIS | Théophile GURLIAT
10
Authentification
802.1x
La plupart des équipements donnent la possibilité de filtrer les adresses MAC ayant le droit
de s'associer avec le point d'accès. Cette technique est la façon la plus simple pour effectuer
une authentification, mais cette liste doit être reproduite sur chaque point d'accès du
réseau sans fil si l'on désire garder toute la mobilité du réseau. De plus, ce seul mécanisme
d'authentification s'avère souvent inefficace. En effet, il est toujours possible pour un
utilisateur mal intentionné de changer son adresse MAC afin d'usurper l'identité d'un client
valide. L'adresse MAC est censée servir d'identifiant unique au niveau de la couche 2,
cependant tous les systèmes d'exploitation actuels permettent à un utilisateur mal
intentionné de modifier cette donnée très facilement.
La norme 802.11 initiale spécifie deux modes d'authentification : ouvert ou partagé (open
ou shared ). L'authentification ouverte signifie l'absence d'authentification et
l'authentification partagée signifie l'utilisation d'un secret partagé, en l'occurrence une clef
WEP dans un mécanisme challenge/réponse. Il est vite apparu que ce mode
d'authentification était très largement insuffisant, induisant même une dégradation du
chiffrement par l'intermédiaire du challenge/réponse donnant de la matière à des attaques
cryptographiques. La solution utilisée par WPA pour fournir une authentification est basée
sur l’utilisation du protocole EAP (Extensible Authentification Protocol ).
EAP
Le fonctionnement du protocole EAP repose sur l'utilisation d'un contrôleur d'accès chargé
d'établir ou non l'accès au réseau pour un utilisateur. Le contrôleur d'accès est un simple
garde-barrière servant d'intermédiaire entre l'utilisateur et un serveur d'authentification, il
ne nécessite que très peu de ressources pour fonctionner. Dans le cas d'un réseau sans fil,
c'est le point d'accès qui joue le rôle de contrôleur d'accès. (Appelé NAS, pour Network
Authentification Service)
Le serveur d'authentification permet de valider l'identité de l'utilisateur transmis par le
contrôleur réseau (fonction d’authentification), et de lui renvoyer les droits associés en
fonction des informations d'identification fournies (fonction d’autorisation). De plus, un tel
serveur permet de stocker et de comptabiliser des informations concernant les utilisateurs
afin, par exemple, de pouvoir les facturer à la durée ou au volume (fonction de
comptabilisation)
La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote
Authentication Dial In User Service), mais tout autre service d'authentification peut êtreutilisé. Le serveur d’authentification est donc la base de toute la sécurité, c’est pourquoi il
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 11/41
Aurélien BEAUVOIS | Théophile GURLIAT
11
est évident que les recommandations de sécurité portent également sur celui-ci qui devra
être à jour en ce qui concerne les vulnérabilités.
Ainsi, le schéma global suivant récapitule le fonctionnement global d'un réseau sécurisé
avec le standard 802.1x :
C’est le contrôleur d’accès qui gère la session et qui relaye les requêtes entre le serveur
d’authentification et le client. Le dialogue entre le NAS et le serveur d’authentification
nécessite l’existence d’un secret partagé que les deux entités possèdent, et qui permet de
chiffrer et de contrôler l’intégrité des messages transmis par le serveur d’authentification.
EAP réalise donc le lien entre le client et le serveur d’authentification. Il assure
l’authentification du client permet aussi la distribution dynamique des clés de chiffrements :son rôle est donc essentiel.
Dans le cadre de l'authentification en environnement sans fil basée sur le protocole 802.1X,
différentes variantes d’EAP sont disponibles aujourd'hui :
Protocole EAP-MD5 (EAP - Message Digest 5)
protocole LEAP (Lightweight EAP) developpé par Cisco ;
protocole EAP-TLS (EAP - Transport Layer Security) crée par Microsoft
protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) developpé par Funk
Software et Certicom ; protocole PEAP (Protected EAP) developpé par Microsoft, Cisco et RSA Security
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 12/41
Aurélien BEAUVOIS | Théophile GURLIAT
12
Certaines de ces variantes se sont révélées trop faible pour prendre en charge une
authentification de qualité satisfaisante. Ainsi EAP-MD5 et LEAP sont peu à peu abandonnés
car ils sont sujet à des attaques par dictionnaire et des attaques de type homme du milieu
(man-in-the-middle).
EAP-TLS offre une bonne sécurité. En effet il utilise deux certificats pour la création d'un
tunnel sécurisé qui permettra ensuite l'identification : un côté serveur et un côté client. Cela
signifie que même si le mot de passe est découvert, il ne sera d'aucune utilité sans le
certificat client. Bien qu’EAP-TLS fournisse une excellente sécurité, l'obligation de disposer
d'un certificat client est peut-être sa faiblesse. En effet lorsque l'on dispose d'un grand parc
de machines, il peut s'avérer difficile et coûteux de gérer un certificat par machine. C'est
pour se passer du certificat client que les protocoles PEAP et EAP-TTLS ont été créés.
PEAP ET EAP-TTLS sont très proches. EAP-TTLS est légèrement plus sure que PEAP car il ne
diffuse pas le nom de l’utilisateur en clair, mais il n’est pas présent par défaut sur les
systèmes Microsoft et Cisco.
D'autres mécanismes EAP peuvent être supportés par les clients et les serveurs 802.1X.
Cette certification est une tentative pour faire interopérer les mécanismes EAP les plus
courants. L'échec de la Wifi Alliance à réaliser cette interopérabilité est actuellement un des
problèmes majeurs empêchant le déploiement de solutions 802.1X au sein de réseaux
hétérogènes. La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE
802.11i).
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 13/41
Aurélien BEAUVOIS | Théophile GURLIAT
13
Intégrité
Le standard IEEE 802.11 définit un mécanisme sommaire d'intégrité des trames basé sur le
CRC (Control Redondancy Check ). Cette valeur est appelée ICV (Integrity Check Value) et estde longueur 4 octets. Les propriétés du CRC sont telles que le niveau de sécurité atteint est
très faible. Il est ainsi possible pour un utilisateur mal intentionné de modifier une trame
tout en mettant à jour le CRC afin de créer une trame modifiée valide.
Le standard WPA introduit un mécanisme d'intégrité beaucoup plus robuste appelé MIC
(Message Integrity Check - aussi appelé Michael dans le cadre du WPA et WPA2). Ce champ
a pour longueur 8 octets et permet de se prémunir contre le rejeu (qui consiste à réémettre
une trame interceptée de telle sorte qu'elle soit valide au sens cryptographique).
Le standard WPA2 ou IEEE 802.11i utilise également ce mécanisme d'intégrité.
L'utilisation de MIC est recommandée afin d'obtenir un niveau de sécurité plus élevé que
l'utilisation d'une simple valeur de type CRC, présentant des propriétés cryptographiques
trop faibles pour assurer l'intégrité des trames dans un réseau sans fil.
Vous possédez maintenant les connaissances nécessaires pour comprendre le
fonctionnement d’un matériel réseau sans fil. Nous allons à l’aide du chapitre suivant vous
présenter le produit Cisco Aironet 1300 et développer ses fonctionnalités.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 14/41
Aurélien BEAUVOIS | Théophile GURLIAT
14
Cisco Aironet
La gamme Cisco Aironet regroupe un ensemble de points
d’accès et ponts destinés à répondre au besoin croissant demobilité. Voici un aperçu de ces solutions.
Cisco Aironet 1000
point d’accès léger double bande (108Mbps), Gestion qualité
de service(QoS), IEEE 802.11a/b/g
Cisco Aironet 1100
point d’accès évolutif : Gestion QoS, IEEE 802.11g, WCS,
Cisco Aironet 1130 AG
point d’accès double bande autonome ou Lightweight Access
Point Protocol (LWAPP) avec gestion QoS, IEEE 802.11a/b/g
et alimentation par Ethernet (POE)
Cisco Aironet 1200
point d’accès simple bande autonome ou LWAPP avecantennes double types pour environnement difficiles
point d’accès QoS, VLAN, 801.1x, POE, IEEE 802.11a/b/g
Cisco Aironet 1230 AG point d’accès double bande de première génération
autonome ou Lightweight Access Point Protocol (LWAPP),
IEEE 802.11a/b/g
Cisco Aironet 1240 AG point d’accès / pont large portée, double bande de seconde
génération, autonome ou Lightweight Access Point Protocol
(LWAPP) avec POE.
Cisco Aironet 1500
point d’accès extérieur idéal pour les couvertures vastes,
spécialisé dans le roaming (WCS)
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 15/41
Aurélien BEAUVOIS | Théophile GURLIAT
15
Cisco Aironet 1300
Les ponts sans fil de la gamme Cisco Aironet 1300 sont conçus
pour créer des liaisons extérieures haut débit de longue portée
entre plusieurs bâtiments et permettent des installations isolées
dans des environnements difficiles.
Les ponts sans fil 802.11g(1)
offrent un haut débit (54Mbps) et des performances optimales
pour les connexions de bâtiments qui échangent d'importants volumes de données (jusqu'à
32km grâce a une puissance 100 mW). Ils relient notamment des sites pour lesquels le
câblage est délicat, des étages non contigus, des agences satellites ou des installations de
campus d'entreprise ou scolaires, des réseaux provisoires et des entrepôts.
Ils peuvent être configurés pour des applications point à point ou point à multipoint et
permettent à plusieurs sites de partager une connexion haut débit à Internet unique. Pour
une plus grande souplesse de fonctionnement, les ponts sans fil
peuvent également être configurés comme des points d'accès.
Le pont sans fil Aironet 1300 est fournit avec un injecteur de
puissance qui supporte la connectique d’alimentation 230V et le
raccordement au réseau Ethernet. Cet injecteur est relié à la borne
via deux câbles coaxiaux, ce qui permet de placer l’injecteur a
l’intérieur et la borne a l’extérieur d’un bâtiment (jusqu'à 91m).
Une gamme complète d’antenne a été crée pour toutes les applications nécessaires.
La borne peut être configurée grâce au port console, via SSH ou Telnet ou alors grâce à
l’interface web offrant une configuration plus intuitive.
Nous nous intéresserons plus particulièrement à celle-ci, car elle sera utilisée dans la partie
pratique pour permettre une compréhension plus aisée et un fonctionnement plus souple.
1 Vous pouvez retrouver les caractéristiques concernant les débits, portées, protocoles et codages en annexe.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 16/41
Aurélien BEAUVOIS | Théophile GURLIAT
16
Interface du serveur web
HOME Résumé des associations, des adresse réseaux et interfaces, et des événements
EXPRESS SET-UP Configuration rapide : nom d’hôte, adressage IP, mode de fonctionnement
EXPRESS SECURITY Création rapide d’un SSID avec sécurité et gestion VLAN
NETWORK MAP Offre une carte du réseau avec les adresses MAC, IP & version de l’IOS
ASSOCIATION Visualisation des clients associés à la borne
NETWORK INTERFACES Gestion des interfaces réseaux
IP Address : permet de configurer l’adresse IP
Fast-Ethernet : gestion de l’interface Ethernet
Radio 802.11G : statistiques, test de détections de porteuses & choix du mode de l’interface (point
d’accès, répéteur, pont,…)
SECURITY Mise en place des techniques de sécurité
Admin Access : permet la gestion des accès à la console de configuration de la borne
Encryption Manager : définit tous les paramètres de sécurité par SSID
SSID Manager : permet de gérer des identifiants de réseaux sans fil (SSID)
Server Manager : désigne les serveurs d’authentification (RADIUS ou TACAS+)
AP Authentification : configuration de l’authentification entre points d’accès
Intrusion Détection : offre la possibilité de détecter des clients non désirables
Local RADIUS Server : créer une base de données locale pour l’authentification des clients
Advanced Security : filtrage par adresse MAC, compteurs d’authentification.
SERVICES Paramétrage des différents outils utilisés par la borne
Telnet / SSH : gestion de la prise en main a distance de la borne
Hot Standby : permet la redondance des informations de routage
CDP : gestion du protocole CDP et configuration des compteurs
DNS : fixe les serveurs de résolution de noms
Filters : filtrage par adresse MAC, IP ou Ethertype sur trames Entrantes/Sortantes
HTTP : gestion du serveur web intégré à la borne
QoS : définition des priorités du trafic selon les applications
STEAM : gestion de la qualité de service
SNMP : permet la gestion administrative de la borne
SNTP : per met de synchroniser la borne à un serveur de temps (NTP)
VLAN : permet la création et la gestion des LAN Virtuels
STP : configure le protocole de détection de boucle
ARP caching : gestion du cache ARP
WIRELESS SECURITY Paramétrage de la sécurité sans fil avancée
SYSTEM SOFTWARE Permet la gestion de la configuration, et de l’IOS
EVENT LOG Permet le suivi des opérations liées à la borne
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 17/41
Aurélien BEAUVOIS | Théophile
1) Modes de fonctionn
Les ponts sans fil Cisco Ai
Point d’accès (Acces poi Spécialisé dans le déploi
1300 peut fonctionner c
Le Cisco Aironet 1300 e
Il est compatible avec n’
Pont (Bridge)
Le pont Cisco Aironet 13
des utilisations mobile,
La borne peut cumuler l
simultanément.
Compatible avec les séri
Pont groupe de travail (
Le mode pont groupe d
Ethernet à un réseau sa
Aironet ou un pont Cisc
En utilisant un switch ou
autre point d’accès ou p
Le choix du mode s’effectue
GURLIAT
Fonctionnalités
ments
ronet 1300 proposent plusieurs modes de f
nt)
ement extérieur de par sa forte puissance, le po
omme un point d’accès. Il peut également être
t certifié point d’accès Wifi.
importe quel client wifi et avec les clients Cisco
00 supporte les connexions point a point et poi
emporaire ou permanente.
es fonctions de point d’accès et de liaison de typ
es Aironet 1300 et les séries pont sans fils 350
WorkGroup Bridge)
travail permet de connecter rapidement un ap
s fil. La borne utilisant ce mode se connecte a u
tel un client ordinaire.
un hub, il devient possible de raccorder jusqu'à
ont via la borne.
ia le menu « NETWORK INTERFACES »
Po
Po
Po
Mo
(vi
Po
17
nctionnement :
nt sans fil Cisco
tilisé en intérieur.
ironet .
t a multipoints pour
e pont
areil utilisant
n point d’accès
255 appareils à un
int d’accès sans fil
nt
nt sans fil + Point d’acces
de d’installation
sualisation avec les LEDs)
nt groupe de travail
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 18/41
Aurélien BEAUVOIS | Théophile
2) Opérations de base Les adresses IP sont égaleme
La configuration du serveur
Service.
Le menu System software pe
d’exploitation.
Par le menu Association et El’activité de votre appareil.
3) Mise en production
Après avoir déterminé et con
communes doivent être prise
Création des identifiants d
Chiffrement des données Désignation du serveur d’a
4) Fonctionnalités ava
La gamme Cisco Aironet 1300
Roaming, qui optimise le pas
qualité de service (QoS), le fil
Il est possible de créer un ser
de l’authentification. Il est égprévenir du piratage.
GURLIAT
t configurables via le menu Network Interf eb, des accès Telnet/SSH et console s’effec
rmet la gestion de la configuration et du sys
ent log vous pourrez surveiller les associati
iguré le mode de fonctionnement, certaine
s en compte dans la plupart des utilisations:
e réseau sans fil via le menu Security > SSID
ia le menu Security > Encryption Manageruthentification via le menu Security > Serv
cées
offre des fonctionnalités avancées telles qu
age d’un utilisateur d’une borne à une autre
rage et le support des réseaux locaux virtue
eur RADIUS intégré à la borne pour une ges
lement possible d’activer un détecteur d’in
18
ces.ue par le menu
ème
ns et retracer
étapes
Manager
r Manager
e Fast Secure
, ou encore la
ls (VLAN).
tion indépendante
rusion pour
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 19/41
Aurélien BEAUVOIS | Théophile GURLIAT
19
Authentification
Comprendre et différencier les différents types d’authentification
menu « Security : SSID Manager »
L’authentification est devenue une étape inévitable de la sécurité actuelle.
Avant de pouvoir communiquer, les différentes entités doivent s’assurer de l’identité de
leur correspondant. Le point d’accès utilise 4 types d’authentifications différentes.
• Authentification Ouverte : « Open Authentification »
L’authentification ouverte autorise n’importe quelle borne à authentifier et à communiquer
avec n’importe quelle autre borne, mais cela s’avère possible seulement si ses clés de
chiffrements des deux bornes sont identiques. Une borne qui n’utilise pas de clé de
chiffrement ne peut tenter de s’authentifier auprès d’une borne qui en utiliserait.
L’authentification ouverte ne nécessite pas l’utilisation d’un serveur d’authentification.
• Authentification Partagée : « Shared Authentification »
Une authentification partagée est disponible pour répondre aux exigences de la norme IEE
802.11b. Cependant, l’usage de cette technique est déconseillé.
En effet au cours du processus d’authentification partagée, la borne « root » envoie un
challenge non chiffré a une autre borne qui souhaite communiquer avec elle.Cette dernière chiffre le challenge et le renvoie à la borne « root ». Si le challenge est
correctement chiffré, la borne « root » valide l’authentification. Ces deux échanges pouvant
être interceptés, la clé WEP peut être calculé en comparant le challenge chiffré et non
chiffré. A cause de cela, l’authentification partagée s’avère moins sécurisé que
l’authentification ouverte.
Comme l’authentification ouverte, l’authentification partagée ne requiert pas de serveur
d’authentification.
• Authentification EAP : « Open Authentification : with EAP » ou « Network EAP »
Ce type d’authentification offre le niveau de sécurité le plus élevé. En utilisant EAP avec un
serveur d’authentification, la borne « root » aide d’autres borne et le serveur
d’authentification à effectuer une authentification mutuelle et a générer une paire de clé
WEP dynamique. Le serveur envoi les clés a la borne « root », qui les utilise pour chiffrer et
déchiffrer tous les échanges avec une borne « non root ». La borne « root » chiffre
également aussi ses clés de broadcast WEP (entrées dans le menu encryption) et les
envoient aux bornes « non root ».
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 20/41
Aurélien BEAUVOIS | Théophile
• Authentification CCKM :
CCKM (Cisco Centralized Key
l’authentification de clients
En utilisant CCKM, une borne
sans aucun délai perceptible
domaine de services sans fil o
clients disponibles sur le sous
borne non root » utilisant CC
domaine de service sans fil tr
de réassociation se résume a
applications a communicatio
Vous trouverez en annexe un
Ape
Note : le mode « Network E
GURLIAT
Management) est un protocole propriétaire
obiles.
« non root » peut naviguer d’une borne « r
e réassociation. Une borne « root » ou un s
u WDS (Wireless Domain Services) et crée u
réseau. Ce cache réduit le temps de réassoc
M navigue entre deux bornes « root ». Car l
nsmet le certificat a la nouvelle borne « ro
un échange de deux paquets, tellement rapi
vocale ne sont pas perturbés.
e comparaison entre CCKM et les standards
rcu du menu « Security : SSID Manager »
P » utilise le protocole LEAP (pour matériel
20
Cisco qui permet
ot » à une autre
itch fournit un
n cache de tous les
iation quand une
e serveur de
t » et la procédure
de que même les
publiques WPA.
isco uniquement)
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 21/41
Aurélien BEAUVOIS | Théophile
Comprendre et différMenu « Security : Encryption
• « None » : réseau ouvert, n’i
• « WEP Encryption » : chiffre
Optionnel ou oblig Option « Message
qui bloque les attaque
Option « Per-Pack
chiffrement, ce qui évi
a TKIP si les clients ne
Si vous utilisez ce mod
définis a cet usage en
les données reçues. C
vous devez la sélectio
• « Cipher » : algorithme de chi
WEP 128/40 bit : c’
TKIP « Temporal Ke
utilise le "key mixing"
messages (MIC) et un
d'autres problèmes d
GURLIAT
Chiffrement
ncier les différents types de chi»
porte quel client peut décoder les données
ent WEP
atoireIntegrity Check » (MIC) : vérification de l’int
s par rejeux de paquets.
t Keying » (PPK) : permet une rotation des c
te l’utilisation d’une clé WEP Statique. Une
supportent pas ce dernier.
e, vous pouvez entrez jusqu'à quatres clés
as de page, toutes ces clés seront utilisées
pendant, seul une clé servira a chiffré les d
ner a l’aide du bouton « transmit key ».
ffrement
est la seule option qui ne nécessite pas WPA
y Integrity Protocol » : suites d’algorithmes
pour chaque paquet, une vérification de l'in
mécanisme de mise à jours de la clé (PPK), é
conception qui affectent WEP.
21
frement
qui y transitent.
grité du message
lés de
onne alternative
EP dans les slots
our déchiffrées
nnées envoyés,
ou CCKM
nglobant WEP, il
égrité des
liminant ainsi
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 22/41
Aurélien BEAUVOIS | Théophile GURLIAT
22
CKIP « Cisco Key Integrity Protocol » : protocole de permutation de clé
propriétaire Cisco
CMIC « Cisco Message Integrity Check » : protocole de vérification d’intégrité
propriétaire Cisco (détecte les attaques par paquets forgés). CKIP+CMIC
TKIP + WEP 128/40 bit : mode de « migration » à activer avec l’option WPA
optionnel
AES CCMP « Counter-Mode/CBC-Mac protocol » : méthode de chiffrement
alternative considérée comme plus sûre que TKIP et reposant sur l’algorithme AES,
définie dans le standard IEEE 802.11i : elle est utilisée par WPA2.
AES CCMP + TKIP : mode « mixte » WPA/WPA2
AES CCMP + TKIP + WEP 128/40 : mode de « migration » permettant l’utilisation
de matériel de génération WEP tout en garantissant une sécurité accrue pour lesutilisateurs disposant d’un matériel compatible WPA/WPA2.
Rappel : Les algorithmes de chiffrements ou « cipher » sont la base de la sécurité : WEP,
TKIP, AES CCMP en sont des exemples. L’authentification est assurée par EAP. Les
algorithmes de chiffrements associés aux mécanismes d’authentification forment des suites
telles que WPA, WPA2 (802.11i) ou CCKM.
WPA & CCKM : LES OPTIONS COMPATIBLES
Authenticated Key Management Types Compatible Cipher Suites
CCKM • wep128
• wep40
• ckip
• cmic
• ckip-cmic
• tkip
• tkip wep128
• tkip wep40
• aes-ccm
WPA • tkip
• tkip wep128
• tkip wep40
• aes-ccm
• aes-ccm wep128
• aes-ccm wep40
• aes-ccm tkip
• aes-ccm tkip wep128
• aes-ccm tkip wep40
Les pages suivantes regroupent une série de Travaux Pratiques qui vous permettront d’apprendre
à mettre en place des configurations spécifiques à la borne Cisco Aironet 1300.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 23/41
Aurélien BEAUVOIS | Théophile GURLIAT
23
Mise en place d’une solution Wifi Cisco Aironet 1300
Objectifs :
• Configurer une borne Wifi en point d’accès
• Mettre en place un pont Wifi
• Installer un pont Wifi pour LAN Virtuels
• Adapter le concept des LAN Virtuels sur un point d’accès
•
Sécuriser une transmission sans fil (Chiffrement & Authentification)• Se connecter à un point d’accès avec un terminal
• Déployer un serveur d’authentification RADIUS
Matériel mis à votre disposition :
• Une station de travail PC Windows 2000 équipée d’une carte wifi et d’un émulateur
VmWare avec un Xp Pro préinstallé. Le logiciel HyperTerminal (Hilgraeve) a été installé sur le
W2000. La station Xp Pro émulée sera utilisée si un changement d’adresse est nécessaire.
• Une borne wifi Cisco Aironet 1300 par binôme
• Un Switch Catalyst 2950
• La documentation de la borne
• L’annexe du TP (chiffrement, authentification)
Dans ce TP, vous devrez vous associer avec un autre binôme proche de vous pour effectuer les
différentes configurations demandées.
La borne dispose d’un serveur web intégré qui permet de configurer celle-ci de manière graphique.
Pour plus d’efficacité nous utiliserons cette interface. Pour accéder à celle-ci, vous utiliserez unnavigateur web, cependant pour cela, vous devrez toujours connaître l’adresse IP de la borne !
Une solution simple pour établir la configuration de départ et déterminer l’adresse de la borne
requière l’utilisation d’un câble console et d’un HyperTerminal.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 24/41
Aurélien BEAUVOIS | Théophile GURLIAT
24
1. Configuration d’un point d’accès sans fil
Pré-requis :
Branchez la borne sur le secteur pour l’alimenter et au port COM de votre pc via un câble console.
Utilisez l’HyperTerminal pour activer le mode privilégié (mot de passe : Cisco) et veuillez réinitialiser
votre borne en effaçant la configuration de démarrage pour éviter qu’une ancienne configuration ne
vienne perturber votre TP, puis relancez celle-ci.
Avec l’HyperTerminal, passez en mode privilégié et vérifiez que votre version de d’IOS qui doit se
terminer par « …123-11.JA »
Fixez l’adresse de la borne sur l’interface BVI 1 à 10.0.0.1/8.
(L’interface Fast-Ethernet n’est pas celle à utiliser !)
Entrez la configuration IP suivante sur votre Windows XP :
o IP : 10.0.0.2
o Masque : 255.0.0.0o Passerelle : Ø
Connectez votre port Ethernet à celui de la borne via un câble droit.
Prise en main de l’interface web
Connectez-vous a la borne a l’aide de votre navigateur.
Le nom d’utilisateur est « Admin » et le mot de passe « Cisco ».
Le menu Express Security permet une mise en place rapide, créez un identifiant de réseau sans fil
(SSID) et diffusez-le (cochez « BroadCast »). Appliquez les changements.
Allez dans le menu Interfaces > Radio0-802.11G > Settings puis activez l’interface .Validez.
Votre borne va agir en point d’accès.
Dans Express Setup, modifiez la valeur « hostname » avec le nom de votre binôme et activez
l’adressage dynamique pour que la borne utilise des adresses attribuées par le serveur DHCP du
réseau de l’IUT.
Remarque : notez que toutes les modifications effectuées a l’aide de l’interface web doivent être
enregistrées systématiquement a l’aide du bouton « Apply ».
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 25/41
Aurélien BEAUVOIS | Théophile GURLIAT
25
Il n’y a plus d’affichage, expliquez les raisons de cette perte de connectivité:
……………………………………………………………………………………………………………………………………………………………
Branchez maintenant la borne sur la prise Ethernet de la table.
Retournez dans l’HyperTerminal. Cherchez l’adresse attribuée à la borne par le serveur DHCP
(interface BVI1) et spécifiez la : ………………………………………………………………………..
Grâce à la précédente création de votre point d’accès, vous allez pouvoir vous connecter au réseau
de l’IUT en Wifi. Vous pouvez donc avoir accès a l’interface web de la borne en utilisant
indifféremment le port Ethernet ou le Wifi. Connectez-vous au réseau sans fil créé précédemment
en utilisant la carte sans fil qui équipe votre Windows 2000.
Vous utiliserez l’utilitaire Aironet Desktop Utility qui est disponible sur le bureau. (Fonction scan puis
activate). Notez l’adresse IP de votre carte sans fil : ……………………………
Comment se comporte la borne dans cette configuration en rapport au service DHCP ?
Essayez de retourner sur l’interface Web de votre borne en utilisant le Wifi et l’adresse notée ci-
dessus. Pouvez-vous configurer votre borne via l’interface Radio ? Cela est il dangereux ?
Essayez d’accéder au réseau IUT via le réseau Wifi de l’autre groupe.
Sécurité du point d’accès
Sauvegardez la configuration actuelle de votre borne en tant que configuration de démarrage.
Un simple redémarrage permettra alors de restaurer l’état actuel de votre borne.
Votre borne est donc accessible et se présente comme point d’accès, cependant elle n’est pas
sécurisée. Nous allons dans un premier temps mettre en place quelques techniques
conventionnelles de sécurité auxquelles vous avez forcément déjà été confronté.
L’activation de sécurité vous déconnectera si vous configurez votre borne via le Wifi.
Pour éviter cela, connectez votre machine au réseau Ethernet de l’IUT et accédez à l’interface de
configuration de votre borne Cisco Aironet 1300.
WEP (Wired Equivalent Privacy ) est le protocole de chiffrement par défaut, de moins en moins utilisé.
Pour mettre en place un chiffrement WEP static, rendez vous dans Security > Encryption puis
cochez « WEP Encryption (mandatory) » puis dans Encryption Keys, entrez 10 caractères
hexadécimaux pour une clé 40 de bits.
WPA-PSK (WiFi protected Access Pre Shared Key) : mode « grand public » de la suite d’authentification
et de chiffrement WPA qui repose sur la connaissance d’une clé par utilisateur.
Security > encryption puis dans «cipher » sélectionnez le mode TKIP + WEP 40 bits puis allez
dans le menu SSID Manager (sélectionnez votre SSID) puis dans la rubrique « Client
Authenticated Key Management » sélectionnez « mandatory », cochez « WPA » et entrez votre clé
en ASCII (8 a 63 caractères).
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 26/41
Aurélien BEAUVOIS | Théophile GURLIAT
26
Remarque :
WPA-PSK = TKIP (pré-version 802.11i)
WPA2-PSK = AES CCMP (802.11i)
Pour plus de détails sur les types de chiffrements disponibles, reportez vous à l’annexe. Notez, par
exemple qu’il est essentiel de savoir différencier chiffrement et authentification !
Testez ces procédés de sécurisation et vérifiez leur bon fonctionnement à l’aide de votre carte WiFi.
Nous reviendrons plus tard sur la sécurité des réseaux sans fil.
2. Configuration d’un pont réseau sans fil
Vous allez collaborer avec un autre binôme.
Nous allons commencer par créer un pont qui reliera uniquement vos deux PC.
Avant toute chose déconnectez la borne du réseau IUT, et réinitialisez le complètement via
l’HyperTerminal.
Définissez le groupe « Root » qui configurera la borne principale et le groupe « Non-Root » qui
configurera la borne secondaire. Définissez ensemble le SSID que vous devrez avoir en commun
et notez-le ici : …………………………………………………
Adressez votre borne comme l’indique le schéma (HyperTerminal) puis pour la relier à votre PC
(Donnez à votre PC une adresse en 10.0.0.x/8). Vous pouvez de nouveau accéder à l’interface de
configuration de la borne via votre navigateur et la nouvelle adresse de celle ci.
Dans Security > SSID Manager créez votre SSID et activez l’interface radio. Validez
En bas de page dans « Set Infrastructure SSID », sélectionner votre SSID. Validez
Dans Network Interfaces > Radio > Settings, sélectionnez « Enable » et
« Root Bridge » ou « Non-Root Bridge » en fonction de votre position. Patientez quelques
secondes.
Dans Association vous devez voir l’autre groupe s’afficher.
Effectuez un Ping depuis votre Pc vers le Pc du groupe distant.
Vous venez d’établir un pont (ou « bridge ») qui permet de relier des sites et distants d’une trentaine
de kilomètres avec l’utilisation d’antenne directive (en champs ouvert).
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 27/41
Aurélien BEAUVOIS | Théophile GURLIAT
27
Nous allons maintenant brancher la borne principale sur le réseau de l’IUT pour créer un pont qui
simulera un raccordement de site distant afin de fournir l’accès internet au groupe Non-Root.
Mettre les bornes en mode DHCP (Utilisez l’interface Web ou l’HyperTerminal a l’aide de la
commande « IP address DHCP » sur l’interface BVI 1 ).
Remettre IP automatique sur vos PC
Branchez la borne Root sur le réseau (câble croisé vers prise de table !)
Grace au serveur DHCP, vos équipements se verront attribués une adresse et le groupe Non-Rootpourra accéder au réseau de l’IUT et a internet via le pont réalisé.
Testez l’accès a internet depuis la station de travail du groupe Non-Root
Vous pouvez sécuriser votre pont avec les mêmes procédés que ceux vu pour le point d’accès.
3. Configuration d’un pont sans fil VLAN
Simulation d’un réseau VLAN :
Pour permettre de créer un environnement VLAN, vous utiliserez un Switch Catalyst 2950.
Port 1 : VLAN 1 : réseau IUT Port 2 : VLAN 1 : réseau IUT
Port 3 : VLAN 10 : 192.168.0.0 / 24
Port 4 : VLAN 20 : 192.168.0.0 / 24
Port 5 : TRUNK
Les ports 1 & 2 vous serviront pour connecter le réseau du département et votre machine.
Pensez à utiliser la commande « spanning-tree portfast » sur les interfaces si vous utilisez le DHCP
pour désactiver la détection de boucles spanning-tree.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 28/41
Aurélien BEAUVOIS | Théophile GURLIAT
28
Connectez vos deux Switch par un lien trunk (pensez à croiser !) et testez l’étanchéité des VLAN en
plaçant vos Pc sur des VLAN identiques puis différents tout en effectuant des Pings.
Configuration de la borne :
La borne AIRONET 1300 peut être utilisé en tant que pont multi vlan (lien « trunk »).
Réinitialisez la borne. Connectez-la sur le port 5 du Switch. Via l’HyperTerminal, appliquez la
commande « ip adress dhcp » sur l’interface bvi 1 de la borne pour obtenir une adresse automatique
que vous déterminerez. Connectez-vous sur l’interface web de celle-ci.
Vous devez d’abord créer chacun des VLAN qui transitera sur le lien.
Allez dans le menu Services > Vlan (Le VLAN 1 est le VLAN natif)
exemple : pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.
Attention: l’activation du mode VLAN peut provoquer un changement d’adresse IP !!
Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez créer un seul SSID qui
correspondra au lien multi-vlan, ce dernier sera associé au vlan natif.
Ce SSID doit être commun aux deux bornes !
Vous devrez cocher le mode radio 802.11G. Notez que par défaut l’identifiant du réseau sans fil
(SSID) ne sera pas diffusé, cela ne présentant aucun intérêt dans le cas d’une liaison point à point !
Valider la configuration.
Remarque: un identifiant diffusé (« broadcasté ») est visible par tous les clients effectuant une
recherche de points de connexion. A l’inverse, si vous ne diffusez pas le SSID, seules les entités
connaissant l’existence du réseau pourront s’y connecter.
Sur la borne Aironet 1300, la diffusion est possible au travers de l’option « guest mode » ou
mode invité.
Dans la partie inférieure de la page, vous trouverez l’option permettant de diffuser le SSID «Set
Single Guest Mode SSID » et le choix du type de mode.
Nous utiliserons le mode infrastructure associé au VLAN natif, qui indique au « non-root bridge »
avec quel SSID il doit s’associer.
Dans le menu Interfaces, sélectionnez l’interface « radio », puis « settings ».
Un groupe se placera en mode « root bridge », l’autre en mode « non root bridge ».
Test de connectivité :
Vous allez vérifier le bon fonctionnement de votre configuration a l’aide d’un autre binôme.
Vérifiez dans le menu Association que vos deux bornes sont bien connectés puis placez votre station
de travail sur le port associé au VLAN 10, et donnez lui une adresse IP statique.
Effectuez un Ping sur la machine de votre binôme voisin.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 29/41
Aurélien BEAUVOIS | Théophile GURLIAT
29
Comme toute liaison WiFi conventionnelle, la liaison multi-vlan peut être sécurisée via différente
méthode d’authentification et de chiffrement. En voici des exemples :
WEP (statique) : allez dans Security > Encryption manager,
selectionnez « WEP encryption : mandatory ». Entrez la clé (10 ou 26 caractères). WPA PSK: rendez vous dans Security > Encryption manager, sélectionnez « cipher mode :
AES CCMP + TKIP ». Puis SSID manager, sélectionnez votre SSID, puis Client Authenticated
Key Management choisissez « mandatory » dans « key management » puis cochez WPA et
entrez une clé entre 8 et 63 caractères commune aux deux binômes.
4. Configuration d’un point d’accès Multi Vlan
La borne Cisco Aironet 1300 permet d’intégrer une architecture VLAN au travers d’identifiants de
réseaux sans fil différents (Service Set Id entifier ou SSID). Nous allons configurer les bornes de façon
à les faire fonctionner dans un environnement VLAN.
Vous utiliserez la configuration VLAN précédemment mise en place.
Configuration de la borne d’accès :
La borne AIRONET 1300 sera configurée en tant que point d’accès multi-VLAN.
Réinitialisez la borne a l’aide du menu System software > System configuration : « Reset to defaults
(except IP) »
Vous devez d’abord créer chaque VLAN. Connectez-vous sur la borne et allez dans le menu
Services > Vlan. Le VLAN 1 sera le VLAN natif vers lequel seront redirigés les trames non taguées.
pour le VLAN10 : VLAN ID = 10, VLAN NAME = VLAN10 puis validez.
Rendez vous maintenant dans le menu Security > SSID Manager ou vous allez créer un SSID pour
chaque VLAN. Aucun chiffrement n’est requis dans un premier temps. Vous devrez cocher le
mode radio 802.11G et penser à diffuser le SSID (cochez « Guest Mode » dans les options propres
au SSID, et non en bas de page comme dans la configuration précédente).
Pour finir, il suffit d’activer le mode « BSSID Multiple » dans la même page en bas et d’activer
l’interface Radio dans Network Interfaces > Radio 802.11g > Settings.
Test de connectivité :
Vous allez vérifier le bon fonctionnement de votre configuration à l’aide d’un autre binôme.
Vous connecterez une machine en WIFI sur le SSID associé au VLAN1 et une autre sur le port 3 du
Switch. Vérifiez que le service DHCP fonctionne et que vous pouvez accéder à l’autre machine.
Chaque SSID peut être sécurisé de manière différente. (Authentification par adresse MAC, EAP,
chiffrement,…).
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 30/41
Aurélien BEAUVOIS | Théophile GURLIAT
30
5. Authentification
Jusqu'à maintenant, vous avez chiffré les données et utilisé un système de clé pré-partagée (WPA-
PSK) mais vous n’avez pas encore mis en place de système d’authentification.La solution d’authentification la plus simple repose sur le contrôle de l’adresse MAC.
Filtrage par adresse MAC : elle permet d’authentifier le client par son adresse physique.
Elle offre une première sécurité dissuasive et simple.
La procédure de mise en place est commune à toutes les configurations :
Security : Advanced security puis ajoutez une adresse mac sous la forme HHHH.HHHH.HHHH
Dans Security : SSID manager choisir « MAC authentification » dans Client Authentication
Settings. (Conserver le mode d’authentification ouvert)
Cependant, cette technique est très facile à détourner.
EAP (Extensible Authentication Protocol) est un mécanisme d'identification universel, fréquemment
utilisé dans les réseaux sans fil et les liaisons Point-A-Point.
En plus de permettre l’authentification, ce procédé offre une gestion dynamique des clés de
chiffrements pour une sécurité optimale (clé unique par client et renouvelable a intervalle régulier).
Pour une sécurité conséquente, les modes « entreprise » des standards WPA et WPA2 ont
officiellement adopté 5 types d’EAP comme mécanismes officiels d’identification :
• EAP-TLS
• EAP-TTLS : MSCHAPv2
• PEAP v0 : EAP-MSCHAPv2
• PEAP v1 : EAP-GTC
• EAP-SIM
Ces solutions reposent sur la mise en place d’un serveur d’authentification (généralement un
serveur RADIUS) qui contrôle l’identité de l’utilisateur et distribue les clés de chiffrement. Plus
aucune clé commune n’est à posséder, un certificat ou un simple couple login/motdepasse suffit à
authentifier le client et à chiffrer la communication. Dans ces configurations, la borne est appelée
« NAS » pour Network Authentification Service et sert uniquement à relayer les messages du client
au serveur.
Pour en savoir plus, reportez vous à l’annexe.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 31/41
Aurélien BEAUVOIS | Théophile GURLIAT
31
1. Serveur Radius Intégré
La borne Cisco Aironet 1300 intègre un serveur radius qui évite le déploiement d’une entité dédiée.
Votre carte Wifi étant un matériel Cisco, dans un premier temps, nous utiliserons le protocole LEAP(propriétaire Cisco) pour mettre en place un service d’authentification.
Supprimez tous les vlan et recréez un nouveau SSID.
LEAP & WEP
Configuration de la borne d’accès :
a) Mise en place de votre serveur RADIUS local :
Security > Local Radius Server > Generals Setup: cochez LEAP. Validez. Entrez l’adresse de votre
borne et un mot de passe. Validez. Créer un utilisateur et un mot de passe associé. Validez
b) Sélection du serveur RADIUS :
Security > Server manager entrez l’adresse IP de votre propre borne et le secret partagé que
vous choisirez avec le port 1812 et 1813. Puis dans « EAP authentification priority »,
sélectionnez le serveur précédemment crée.
c) Choix du chiffrement et du type d’authentification :
Security > Encryption choisir « WEP Encryption : mandatory »
Security > SSID manager dans « Client Authentication Settings » selectionnez « open : with
EAP ». Cochez « Network EAP ».
Test d’authentification :
Utilisez le logiciel Cisco Aironet disponible sous Windows 2000 pour vous connectez a votre borne.
Effectuez un scan, sélectionnez votre SSID et connectez-vous.
Vous utiliserez l’authentification 802.11x associé à LEAP. Dans avancé, vous sélectionnerez
« Manually Prompt for LEAP User name and Password ».
Puis vous decocherez « include Windows Logon Domain with user name ».
LEAP utilisé par WPA
Configuration de la borne d’accès :
Recommencez l’opération en utilisant WPA, pour cela utilisez « TKIP » dans la rubrique cipher dans
Security > Encryption , puis cochez WPA dans Security > SSID manager après avoir sélectionner
votre SSID.
Test d’authentification :
Modifiez votre ancien profil crée précédemment sous Cisco Aironet , utilisez alors WPA et LEAP pour
vous connectez à votre réseau sans fil.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 32/41
Aurélien BEAUVOIS | Théophile GURLIAT
32
LEAP utilisé par WPA2
Vous pourriez configurer votre borne pour utiliser AES CCMP. Mais vous ne pourriez pas l’essayer car
votre carte n’est pas compatible. Cependant, avec un mot de passe suffisamment complexe, cette
combinaison offre une très bonne sécurité.
Application :
Utilisez maintenant votre serveur RADIUS pour mettre en place une authentification LEAP entre
deux bornes dans le cas d’une liaison de type « pont ».
Aide : Une borne sera configurée en « Root bridge» et jouera le rôle de contrôleur d’accès (NAS).Elle
seule dialoguera avec le serveur radius. L’autre borne sera « non-root bridge » et considérée
comme client.
Dans un premier temps, vous laisserez les données circuler sans chiffrement (Security > Encryption :
None) puis vous vérifierez le bon fonctionnement en effectuant des pings via le pont avec les
algorithmes de chiffrement suivants :
• WEP : mandatory avec clé statique (a entrer manuellement !)
• TKIP + WEP 128 bits avec clé statique
• AES CCMP + TKIP + WEP 128 bits avec clé statique
• WPA (rappel : WPA = EAP+TKIP ; pensez à cocher ‘WPA’ dans SSID manager)
• WPA 2 (rappel : WPA = EAP+AES CCMP ; pensez à cocher ‘WPA’ dans SSID manager)
La version entreprise de WPA utilise elle des clés statiques ou dynamiques ? Qui fournit ces clés ?
Quelle est l’avantage de ce type de clé ?
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 33/41
Aurélien BEAUVOIS | Théophile GURLIAT
33
2. Serveur Radius
Nous allons conserver la configuration utilisée dans la partie « LEAP utilisé par WPA » qui utilisait
TKIP comme protocole de chiffrement. (Cependant tous les types de chiffrements pourraient être
utilisés dans cette partie). Vous allez maintenant mettre en place un serveur d’authentification
RADIUS.
Configuration de Free Radius
a) Mise en place de votre serveur RADIUS :
De nombreux serveurs Radius sont disponibles, vous utiliserez FreeRadius qui existe à la fois sous
Windows et sous Unix, et qui est disponibles librement sur http://www.freeradius.net/
Téléchargez et Installez le logiciel sur votre XP PRO virtuel.
Via le menu démarrer / programmes, vous pouvez configurer et lancer le service.
Tout d’abord, éditez le fichier Clients.conf dans lequel vous avez juste à spécifier l’adresse de votre
borne (NAS) ainsi que votre secret partagé sous la forme : secret= votresecretpartagé
Ensuite, dans le fichier Users , vous pouvez spécifiez les utilisateurs et le mot de passe associé sous la
forme : votreUtilisateur User-Password == "MotDePasse"
Votre serveur est configuré ! Remarquez que malgré ses nombreuses options, FreeRadius reste
simple d’utilisation. Lancez le service en mode débogage pour suivre les requêtes.
Configuration de la borne
b) Sélection du serveur RADIUS :
Rendez vous dans le menu Security > server manager et spécifiez l’adresse de votre XP PRO sur
lequel le service Radius est lancé. Entrez le secret partagé et conservez les ports 1812 et 1813.
Validez. Dans la même page, définissez l’adresse IP de votre XP PRO comme serveur prioritaire pour
l’authentification EAP.
c) Choix du chiffrement et du type d’authentification :
Dans le menu Security > SSID manager, sélectionnez votre SSID. Vérifiez que « Open
Authentification : with EAP » et « Network Authentification » sont toujours actif.
Remarque : vous pouvez forcer l’authentification à être renouvelée régulièrement grâce a la fonction
« timers » situé dans le menu Security > Advanced security .
Test d’authentification
Connectez-vous à votre borne en utilisant un profil WPA + LEAP. Surveillez la console de débogage.
Essayez d’autres types d’authentifications à partir de votre client. Des modifications sont elles
nécessaires sur le point d’accès ? Le point d’accès a il un rôle actif ou passif dans l’authentification ?
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 34/41
Aurélien BEAUVOIS | Théophile GURLIAT
34
Les types d’authentification :
Malgré tous les efforts réalisés par Cisco pour imposer son protocole, LEAP est aujourd’hui contesté
et déprécié, tout comme EAP-MD5 qui apparut comme trop vulnérable aux attaques par
dictionnaires. Ces solutions laissent place à d’autres extensions d’EAP telles qu’EAP-TLS, reposant surl’utilisation des certificats.
Les certificats permettent d’assurer une meilleure sécurité mais s’avère parfois complexe à mettre
en place à grande échelle. Les deux solutions optimales actuelles pour authentifier simplement et
surement sont EAP-TTLS et PEAP qui créent un tunnel chiffré TLS pour protéger l’authentification.
Toutes deux très proches, elles imposent un certificat uniquement du coté serveur. Cependant, seul
PEAP est présent nativement sur les matériels Cisco et Microsoft.
Tous ces types d’authentification EAP sont compatibles avec Free Radius, le client peut donc avoir le
choix entre plusieurs types d’authentification sans qu’aucune modification ne soit nécessaire.
Remarque : Si vous utilisez l’interface Wifi d’un client Windows XP, il faudra donc que votre serveur
RADIUS prenne en charge PEAP - MSCHAPV2.
Application :
Vous êtes chargé de mettre en place un système VLAN Wifi avec un seul SSID qui fait office de
« portail »pour l’authentification.
En pratique, tous les types d’utilisateurs se connecteront sur le VLAN natif associé au SSID « IUT » et
devront s’identifier (802.11x) grâce a un serveur RADIUS (FreeRadius).
Celui-ci renverra au point d’accès le VLAN d’appartenance du client authentifié et ce dernier se
trouvera alors automatiquement redirigé sur son VLAN.
• Un seul SSID est donc nécessaire.
• Les groupes de travails seront « étudiants » (VLAN10) et « professeurs » (VLAN20).
• Le VLAN 1 sera le VLAN Natif et vous activerez l’option « Enable secure packet forwarding »
sur celui-ci pour empêcher le partage de données entre client lors de la phase
d’authentification sur le VLAN1.
• Vous utiliserez WPA (EAP + TKIP).
Aide pour la configuration de Free Radius (Users) :
toto User-Password == "titi"
Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802",
Tunnel-Private-Group-Id = "VOTREVLAN", //indique le VLAN client
Remarque : les VLAN étant étanches, vous devrez fixer manuellement les adresse de vos clients car le
serveur DHCP de l’IUT ne sera pas accessible. Utilisez des adresses d’une classe différente de celles
utilisées par les bornes.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 35/41
Aurélien BEAUVOIS | Théophile GURLIAT
35
Conclusion :
Le pont sans fil Cisco Aironet 1300 est donc un matériel haut de gamme idéal pour
réaliser des liaisons de types « pont » longue portée (jusqu'à 32 Km) permettant
d’interconnecter des sites distants ou des unités mobiles en point-a-point ou point-
a-multipoints. Il réalise également un excellent point d’accès a grande portée
extérieure ou intérieur.
L’interface Web intégrée permet une prise en main efficace et une configuration
complète et intuitive. Cet appareil prend en charge de nombreuses fonctionnalités
avancées (qualité de service, Lan Virtuels, roaming) et une sécurité complète
(filtrage, authentification et chiffrement de haut niveau).
La réalisation de cette étude nous a permis de découvrir en détails et de prendre
conscience des sécurités mise en œuvre pour assurer les fonctions de
confidentialité et d’intégrité des données et surtout d’authentification, un aspect
pourtant incontournable de la sécurité que nous avons découvert au travers de la
mise en place d’un serveur RADIUS.
Toute la partie axée autour des LAN Virtuels s’avère confirmer l’importance
croissante de cette technologie au travers de son intégration dans des applications
comme les communications sans fils.
La concrétisation de notre travail en une série de travaux pratiques apporte une
grande satisfaction et nous a permis d’apprendre à synthétiser les connaissances.
Ce fut donc un projet très intéressant et enrichissant puisque vraiment d’actualité
et qui offre des connaissances forcément utile à l’avenir.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 36/41
Aurélien BEAUVOIS | Théophile GURLIAT
36
Sources :
www.cisco.com
www.wifialliance.com
www.microsoft.com
www.wikipedia.org
www.commentcamarche.net
www.hsc.fr
www.tribecaexpress.com
www.certa.ssi.gouv.fr
www.lsr.imag.fr
www.freeradius.net
www.generation-nt.com
www.laboratoire-microsoft.org
www.enterprisenetworkingplanet.com
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 37/41
Aurélien BEAUVOIS | Théophile GURLIAT
37
ANNEXE : LES NORMES WIFI
Norme Nom Description
802.11a Wifi 5
La norme 802.11a (baptisée Wifi 5) permet d'obtenir un haut débit (dans
un rayon de 10mètres: 54 Mbit/s théoriques, 30 Mbit/s réels). La norme
802.11a spécifie 52 canaux de sous-porteuses radio dans la bande de
fréquences des 5 GHz, huit combinaisons, non superposés sont utilisables
pour le canal principal.
802.11b Wifi
La norme 802.11b est la norme la plus répandue en base installée
actuellement. Elle propose un débit théorique de 11 Mbit/s (6 Mbit/s
réels) avec une portée pouvant aller jusqu'à 300 mètres dans un
environnement dégagé. La plage de fréquences utilisée est la bande des
2,4 GHz avec, en France, 13 canaux radio disponibles dont 3 au maximum
non superposés.
802.11c Pontage 802.11 vers
802.1d
La norme 802.11c n'a pas d'intérêt pour le grand public. Il s'agit
uniquement d'une modification de la norme 802.1d afin de pouvoir établir
un pont avec les trames 802.11 (niveau liaison de données).
802.11d Internationalisation
La norme 802.11d est un supplément à la norme 802.11 dont le but est de
permettre une utilisation internationale des réseaux locaux 802.11. Elle
consiste à permettre aux différents équipements d'échanger des
informations sur les plages de fréquences et les puissances autoriséesdans le pays d'origine du matériel.
802.11e Amélioration de la
qualité de service
La norme 802.11e vise à donner des possibilités en matière de qualité de
service au niveau de la couche liaison de données. Ainsi, cette norme a
pour but de définir les besoins des différents paquets en terme de bande
passante et de délai de transmission de manière à permettre, notamment,
une meilleure transmission de la voix et de la vidéo.
802.11f Itinérance (roaming)
La norme 802.11f est une recommandation à l'intention des vendeurs de
points d'accès pour une meilleure interopérabilité des produits.
Elle propose le protocole Inter-Access point roaming protocol permettant
à un utilisateur itinérant de changer de point d'accès de façon
transparente lors d'un déplacement, quelles que soient les marques des
points d'accès présentes dans l'infrastructure réseau. Cette possibilité est
appelée itinérance (ou roaming en anglais)
802.11g
La norme 802.11g est la plus répandue dans le commerce actuellement.
Elle offre un haut débit (54 Mbit/s théoriques, 26 Mbit/s réels) sur la
bande de fréquences des 2,4 GHz. La norme 802.11g a une compatibilité
descendante avec la norme 802.11b, ce qui signifie que des matériels
conformes à la norme 802.11g peuvent fonctionner en 802.11b. Cetteaptitude permet aux nouveaux équipements de proposer le 802.11g tout
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 38/41
Aurélien BEAUVOIS | Théophile GURLIAT
38
en restant compatibles avec les réseaux existants qui sont souvent encore
en 802.11b.
Il est possible d'utiliser, au maximum, 3 canaux non superposés.
802.11h
La norme 802.11h vise à rapprocher la norme 802.11 du standard
Européen (Hiperlan 2, d'où le h de 802.11h) et être en conformité avec la
réglementation européenne en matière de fréquences et d'économie
d'énergie.
802.11i
La norme 802.11i a pour but d'améliorer la sécurité des transmissions
(gestion et distribution des clés, chiffrement et authentification). Cette
norme s'appuie sur l'AES ( Advanced Encryption Standard ) et propose un
chiffrement des communications pour les transmissions utilisant les
technologies 802.11a, 802.11b et 802.11g.
802.11IR La norme 802.11IR a été élaborée de manière à utiliser des signaux infra-
rouges. Cette norme est désormais dépassée techniquement.
802.11j La norme 802.11j est à la réglementation japonaise ce que le 802.11h est à
la réglementation européenne.
802.11n WWiSE (World-WideSpectrum Efficiency) ou
TGn Sync
La norme 802.11n est attendue pour avril 2007. Le débit théorique atteint
les 540 Mbit/s (débit réel de 100 Mbit/s dans un rayon de 90 mètres)
grâce aux technologies MIMO (multiple-input multiple-output) et OFDM
(Orthogonal Frequency Division Multiplexing). En avril 2006, despériphériques à la norme 802.11n commencent à apparaître mais il s'agit
d'un 802.11 N draft (brouillon) ou plutôt provisoire en attendant la norme
définitive.
Le 802.11n utilisera simultanément les fréquences 2,4 et 5GHz. Il saura
combiner jusqu'a 8 canaux non superposés.
802.11s Réseau Mesh
La norme 802.11s est actuellement en cours d'élaboration. Le débit
théorique atteint aujourd'hui 1 à 2 Mbit/s. Elle vise à implémenter la
mobilité sur les réseaux de type adhoc. Tout point qui reçoit le signal est
capable de le retransmettre. Elle constitue ainsi une toile au dessus du
réseau existant. Un des protocoles utilisé pour mettre en œuvre son
routage est OLSR.
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 39/41
Aurélien BEAUVOIS | Théophile GURLIAT
39
ANNEXE : CARACTERISTIQUES CISCO AIRONET 1300
Caractéristique Pont sans fil de la gamme Cisco Aironet 350
Débits supportés 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 et 54 Mbits/s
Bande de fréquences 2.412 à 2.472 GHz (ETSI et TELEC), 2.412 à 2.462 GHz (FCC)
Support sans fil DSSS (Direct Sequence Spread Spectrum), OFDM (Orthogonal
Frequency Division Multiplexing)
Protocole d'accès ausupport
CSMA/CA (Carrier Sense Multiple Access with Collision
Avoidance)
Modulation
DSSS : DBPSK à 1 Mbit/s ; DQPSK à 2 Mbits/s ; CCK à 5,5 et 11
Mbits/s
OFDM : BPSK à 6 et 9 Mbits/s, QPSK à 12 et 18 Mbits/s, 16-
QAM à 24 et 36 Mbits/s, 64-QAM à 48 et 54 Mbits/s
Canaux utilisés Amérique du Nord : 11 ; ETSI : 13 ; Japon : 13
Canaux sans
chevauchement 3
Sensibilité deréception
1 Mbits/s : -94 dBm
2 Mbits/s : -91 dBm
5.5 Mbits/s : -89 dBm
11 Mbits/s : -85 dBm6 Mbits/s : -90 dBm
9 Mbits/s : -89 dBm
12 Mbits/s : -86 dBm
18 Mbits/s : -84 dBm
24 Mbits/s : -81 dBm
36 Mbits/s : -77 dBm
48 Mbits/s : -73 dBm
54 Mbits/s : -72 dBm
Paramètres depuissance enémission disponibles
CCK : 100 mW (20 dBm), 50 mW (17 dBm), 30 mW (15 dBm), 20
mW (13 dBm), 10 mW (10 dBm), 5 mW (7 dBm)OFDM : 30 mW (15 dBm), 20 mW (13 dBm), 10 mW (10 dBm), 5
mW (7 dBm), 1 mW (0 dBm)
La puissance maximale varie en fonction des réglementations en
vigueur dans chaque pays
Portée (typique,fonction de
l'antennesélectionnée)
0.36 km à 54 Mbps
Homologations
Fonctionne sans licence conformément à la recommandation FCC
Part 15 et respecte les spécifications d'équipement de Class B ;
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 40/41
Aurélien BEAUVOIS | Théophile GURLIAT
40
conforme aux réglementations DOC ; conforme aux normes
ETS 300.328, FTZ 2100 et MPT 1349 ; conforme à la norme
UL 2043 (L'utilisation de cet équipement sur un système
fonctionnant partiellement ou totalement en extérieur peut
nécessiter l'obtention d'une licence pour le système, conformément
à la réglementation canadienne.Pour plus de détails, contactez
votre agence commerciale Cisco au Canada.)
Conformité SNMP MIB I et MIB II
Antenne Deux connecteurs RP-TNC (antennes en option non fournies avecl'unité)
Longueur de clé decryptage
128 bits
Sécurité
Cisco Wireless Security Suite, dont:Authentification
802.1X dont LEAP : clés d'encryptions mutuelles et dynamiques
par utilisateur et par session
Encryption
Cisco TKIP; key hashing (per-packet keying) et MIC (Message
Integrity Check)
AES-ready
Témoins d'état
Quatre témoins sur le panneau avant fournissent des indications sur
l'état de l'association, le fonctionnement, les erreurs/avertissements,
les mises à niveau du microcode et l'état de la configuration, duréseau/modem et de la radio
Support de la
configurationautomatique
BOOTP et DHCP
Support de la
configuration àdistance
Telnet, HTTP, FTP, TFTP, SNMP
Configuration locale Port console directement relié (avec câble série fourni)
Protocole de pont Spanning Tree
Dimensions 20.3 cm x 20.57 cm x 7.87 cm
Poids 1,25 kg
Environnement Température : 30 à 55° C
0 à 100 % (sans condensation)
Boîtier Boîtier métallique (pour l'isolation) ; certifié NEMA 4; IP56;
UL2083
5/11/2018 Cisco Aironet 1300 - slidepdf.com
http://slidepdf.com/reader/full/cisco-aironet-1300 41/41
Aurélien BEAUVOIS | Théophile GURLIAT
ANNEXE : CCKM
41