2. Les réseaux locaux sans fil (WLAN) sont, depuis longtemps, l’apanage des grandes entreprises soucieuses de responsabiliser leurs effectifs et
de booster leur productivité, en facilitant considérablement l’accès aux outils et à l’information. L’adoption de la technologie mobile continue
de se démocratiser. Les réseaux sans fil sont quasiment omniprésents dans les scénarios étendus — et de plus en plus, dans les environnements
plus restreints.
Aujourd’hui l’avènement des solutions WLAN rentables destinées au marché des PME, permet à des entreprises qui ne disposent pas de plus
de 20 employés dans des locaux de quelques centaines de mètres carrés, de tirer parti de la mobilité des communications sans fil.
Un grand nombre d’hôpitaux et de cliniques tournés vers l’avenir déploient également des solutions sans fil, pour améliorer la qualité des soins
et l’efficacité de leur personnel. Les écoles apprécient les réseaux sans fil, parfaitement adaptés aux besoins des classes mobiles.
Et enfin, le réseau WLAN est souvent recommandé pour les bâtiments plus anciens, dans lesquels l’installation de câblage physique peut
constituer un véritable défi environnemental et faire exploser les budgets.
Et même si les PME peuvent autant tirer parti des WLAN que les grandes entreprises, les besoins de cette catégorie ne sont plus les mêmes
lorsqu’il s’agit de sélectionner et déployer des solutions sans fil. Ce papier aborde les questions de déploiement, de gestion et de sécurité
couramment associées aux réseaux d’entreprise sans fil. Il présente également plusieurs aspects de conception à considérer pour diverses
tailles de déploiements de réseau WLAN.
Étapes de déploiement d’un réseau sans fil type
Les réseaux sans fil doivent se connecter au backbone du réseau filaire, pour pouvoir accéder aux fichiers, applications et communications.
À la lumière de cette exigence, l’une des questions les plus souvent posées à propos du WLAN d’une PME est la suivante : « Mon réseau
actuel peut-il prendre en charge le sans fil ? » Dans la plupart des cas, la réponse est oui—la technologie actuelle 802.11 a été conçue pour
prendre en charge les réseaux Ethernet.
La deuxième question la plus souvent posée est sans doute la suivante : « Combien de points d’accès faut-il prévoir et où ? » Cela dépend de
plusieurs autres questions auxquelles chaque entreprise doit répondre, avant de se lancer dans le déploiement d’un réseau WLAN.
Étape 1 : répondre aux besoins
Déterminer les besoins des utilisateurs et de l’entreprise, ainsi que les fonctions dont devra s’acquitter le WLAN, compte parmi les éléments
importants des préparatifs de déploiement. Les questions suivantes doivent notamment être posées :
• Quelles sont les exigences de couverture ? À quel endroit devrez-vous prévoir cette couverture — dans les salles uniquement ou
également dans des endroits comme les vestibules et escaliers ? L’itinérance ininterrompue est-elle importante ? Ou une brève interruption
est-elle acceptable pour les clients qui se déplacent ?
• Combien d’utilisateurs devront être pris en charge par chaque point d’accès ? La demande imposée au réseau diffère d’une application
à l’autre et a une incidence sur le nombre de points d’accès à prévoir. Quelles applications devrez-vous exécuter sur le réseau WLAN et
quel volume de bande passante consommeront-elles ?
• Quelles zones seront visitées par des utilisateurs occasionnels, ad hoc ? Par exemple, la couverture sans fil doit-elle être prévue dans
la cafétéria, dans un scénario où une réunion de vente mensuelle équivaut à un apport de 100 personnes dont toutes veulent pouvoir
vérifier leur messagerie et surfer sur Internet ?
Étape 2 : analyse de site
Après avoir posé les questions relatives à l’utilisation du réseau, analyse du site doit être réalisée pour évaluer les contraintes liées à -
l’environnement physique. Imaginez-vous un petit bureau type d’environ 140 mètres carrés. Normalement, un seul point d’accès devrait-
couvrir une telle superficie. Pourtant, la couverture diminue proportionnellement à l’éloignement de l’utilisateur par rapport au point d’accès.
D’autre part, une utilisation intense peut diminuer la zone de couverture du point d’accès (Figure 1).
100 m
300 m
2 Figure 1 : plan de situation à point d’accès unique — la couverture diminue proportionnellement à l’éloignement du point d’accès ; une utilisation intense
peut aussi réduire la zone de couverture
3. D’autre part et au-delà de l’aspect superficie, le comportement des ondes radio oblige à tenir compte d’autres facteurs. S’agit-il d’un bureau
open-space ou d’un espace divisé en bureaux cloisonnés ? La qualité du signal peut dépendre des facteurs suivants, entre autres :
• Cloisons en grillage métallique ou en plâtre
• Grandes armoires de classement et étagères métalliques
100 m
• Cloisons pare-feux et portes coupe-feux
• Cloisons internes en béton ou en brique
L’analyse de site facilitera le choix du nombre de points d’accès à prévoir et de leur emplacement. Pour les entreprises les plus petites,
-
l’évaluation peut se borner à une simple inspection visuelle. Pour se faire une idée plus précise, une bonne méthode s’avère efficace dans de
-
nombreux cas. Elle consiste à placer un point d’accès dans un coin de l’espace à équiper et à se promener avec un ordinateur portable pour
vérifier où la couverture est régulière ou irrégulière. Pour les espaces plus importants et un relevé plus précis, les entreprises peuvent recourir à
300 m
un logiciel à installer sur un ordinateur portable pour mesurer la couverture du réseau. Le plan de situation post-déploiement (Figure 2) illustre
la couverture des points d’accès après que l’évaluation ait permis de déterminer le nombre à prévoir et leur emplacement.
100 m m
100
300 m
300 m
Figure 2 : le plan de situation post-déploiement illustre la couverture des points d’accès après que l’évaluation ait permis de déterminer le nombre à prévoir
et leur emplacement.
Étape 3 : configuration des points d’accès
Le fonctionnement des points d’accès dépend du paramétrage de deux points clés : puissance et canal de fréquence radio (RF). En règle
général, les déploiements de réseaux WLAN doivent prévoir une zone de chevauchement de 15 à 20 % entre les zones de couverture
des points d’accès voisins, pour permettre aux utilisateurs se déplaçant de bénéficier d’une couverture ininterrompue . En revanche, si un
100 m
utilisateur se tient debout entre deux points d’accès, que ces points d’accès sont sur le même canal et utilisent la même quantité de puissance,
des problèmes peuvent se manifester en fonction du dispositif client. Effondrement, perte de qualité et chute du signal comptent parmi les
problèmes potentiels d’une telle configuration.
Pour les éviter des outils de réglage de puissance et de canal existent. La cartographie du réseau sans fil (Figure 3) incluse dans de
nombreuses solutions de gestion des réseaux sans fil, montre le chevauchement et facilite ainsi le paramétrage de la puissance. Après le
déploiement, la cartographie sert d’outil efficace de diagnostic du positionnement des points d’accès. Elle donne une perspective visuelle
de la couverture du réseau, des zones mortes et des problèmes d’interférences, par exemple. Le meilleur moyen de garantir l’efficacité de la
300 m
configuration et de la couverture est de se promener dans les locaux avec un ordinateur portable après le déploiement pour déterminer les
zones de couverture irrégulière, ou pour détecter les zones problématiques.
3 Figure 3 : cartographie du réseau sans fil, illustrant le chevauchement de couverture des points d’accès et les zones mortes, dans les coins inférieurs
gauche et droit
4. Considérations liées à la gestion des réseaux WLAN
Selon la taille de l’entreprise, la charge de travail liée à l’administration des points d’accès, les mises à jour de firmware, changements
de configuration, les changements d’environnement, le paramétrage du load balancing… ne sera pas la même. peuvent très rapidement
surcharger un point d’accès sans fil unique. Pour gérer ces changements et faire en sorte que la couverture reste suffisamment puissante
et continue, l’équilibrage de la charge est essentiel. L’équilibrage de la charge requiert des compétences réseau et s’effectue après avoir
acquis une vision d’ensemble du réseau sans fil en place.
Divers outils, dont les suivants, sont proposés pour simplifier la gestion des réseaux WLAN :
• Outils de configuration centralisée servant à configurer simultanément plusieurs points d’accès
• Outils de gestion centralisée dotés de fonctionnalités telles que la gestion de canal, de puissance et l’équilibrage de la charge
• Soutien continu et outils de diagnostic des anomalies
Ces outils se présentent sous la forme d’applications logicielles exécutées sur PC local, de plateformes de gestion associant logiciel et serveur
physique ou de contrôleurs Wireless complets.
Dans un environnement équipé d’un contrôleur sans fil, le contrôleur équilibre la charge dynamiquement entre deux points d’accès, en
permanence. Par exemple, un seuil peut être défini pour que certains utilisateurs soient transférés vers un autre point d’accès, si un point d’accès
client atteint 20 % de la charge. Ou encore, si un point d’accès dessert 20 utilisateurs et un autre deux, le contrôleur équilibre la charge entre ces
deux points d’accès. Par ailleurs, différents canaux peuvent être attribués dynamiquement à des points d’accès voisins — canaux 6 et 11
à la bande 2.4 GHz, par exemple — pour éviter qu’ils se brouillent entre eux et provoquent l’effondrement du signal.
La meilleure pratique consiste à choisir une solution de gestion en adéquation avec la taille de votre environnement, ses caractéristiques et ses
impératifs spécifiques.
Assurer la sécurité d’un réseau WiFi
Les aspects suivants sont à prendre en compte pour assurer la sécurité des réseaux WLAN, toutes Mise à jour du programme de sécurité
tailles confondues : Wi-Fi Alliance® pour Wireless-N
• Politique de sécurité cohérente appliquée sur l’ensemble du réseau, sans points d’accès non Le consortium Wi-Fi Alliance vient d’entériner
sécurisés un plan de suppression de prise en charge des
• Authentification performante des utilisateurs basée sur le protocole Wi-Fi Protected Access® anciens protocoles de sécurité, du banc d’essais
• Accès des invités sur un VLAN spécifique, si nécessaire d’interopérabilité Wi-Fi CERTIFIED et de Wireless-N.
Cette modification confirme son opinion clairement
• Détection des points d’accès pirates exprimée selon laquelle la norme Wi-Fi Protected
Access® (WPA2) avec chiffrement Advanced
La technologie des réseaux locaux sans fil LAN est très sûre, si des étapes de configuration de
Encryption Standard (AES) est l’option de sécurité
sécurité simples sont suivies pour le paramétrage des points d’accès. Une fois la sécurité configurée, recommandée ; elle reflète l’opinion publiquement
un utilisateur qui ne dispose pas des paramètres d’authentification qui conviennent ne peut pas exprimée par les grands consortiums technologiques
s’approcher d’un point d’accès et s’y connecter. La sécurité sans fil doit également être intégrée à la et à laquelle souscrit NETGEAR.
politique de sécurité du réseau filaire existant. L’IEEE a désapprouvé la norme de chiffrement
Wired Equivalent Privacy (WEP) et s’apprête à
Un point d’accès non autorisé au sein de l’environnement réseau est considéré comme un point
désapprouver l’algorithme de chiffrement Temporal
d’accès pirates. En général, il s’agit de points d’accès non sécurisés, susceptibles de compromettre la Key Integrity Protocol (TKIP). La modification
sécurité du réseau. Ils constituent la plus grande menace à la sécurité des réseaux sans fil. La plupart progressive du banc d’essais Wi-Fi CERTIFIED est
du temps, les employés eux-mêmes introduisent un point d’accès acheté en magasin pour résoudre un en cours depuis le deuxième trimestre de 2010
problème d’accès. L’ajout d’un point d’accès autorisé supplémentaire fournit la couverture nécessaire et se déroulera jusqu’à fin 2013. Une approche
progressive a été mise en œuvre pour pouvoir
et élimine le besoin de recourir à un point d’accès pirates. Toutefois dans certains cas, le point
assurer la compatibilité descendante des stocks de
d’accès pirate est installé pour permettre à un intrus d’accéder au réseau WiFi sécurisé. Des solutions produits CERTIFIED, le temps que les fournisseurs
existent, pour localiser l’emplacement des points d’accès pirates. incluent les changements de programme dans leur
portefeuille de produits. La norme WPA2 en mode
Plusieurs bonnes pratiques recommandées permettent d’assurer la sécurité d’un WLAN. Pour un mixte (AES+TKIP) joue un rôle important dans
bureau équipé de plus de deux ou trois points d’accès, envisagez de recourir à des outils de cette transition. Intégrer ce mode mixte permet de
configuration groupée des points d’accès multiples, pour réduire le risque d’erreurs de configuration prendre en charge des équipements plus anciens.
susceptibles de compromettre la sécurité du réseau — vous pourriez ainsi réaliser de grosses Effet pratique : un réseau Wireless-N prenant en
économies de temps et d’effort. Envisagez d’installer des outils de prévention des intrusions, pour charge le mode mixte WPA2 est suffisamment
détecter et vous alerter d’éventuels points d’accès pirates. Et si vos clients, fournisseurs ou autres invités flexible pour connecter les dispositifs plus anciens
visitent fréquemment vos bureaux, envisagez de séparer le trafic des invités et des employés à l’aide avec la norme WPA+TKIP automatiquement,
s’ils prennent en charge la norme WPA2+AES.
d’identifiants SSID différents, étayés par des VLAN séparés.
Toutefois, ces clients TKIP (et les clients WEP
Et pour finir, déployez un mécanisme d’authentification performant pour protéger votre entreprise. également, le cas échéant) ne prendront en charge
que le 54 Mbps dans ce mode ; les débits de
NETGEAR vous recommande le plus performant des protocoles disponibles — soit WPA2 à l’heure
données 11n ne sont plus autorisés avec les normes
actuelle — pour assurer la sécurité de votre réseau sans fil (voir encadré intitulé Mise à jour du TKIP et WEP.
programme de sécurité Wi-Fi Alliance® pour Wireless-N).
4
5. Considérations liées à la taille du réseau
Les réseaux n’ont pas tous les mêmes impératifs. Par exemple, la conception d’un réseau très disponible pour une petite entreprise peut être
radicalement différente de celle d’une entreprise plus importante. La disponibilité et la modularité du réseau sans fil peut dépendre du réseau
filaire. Dans la mesure où la taille et les impératifs des solutions sans fil varient considérablement d’une entreprise à l’autre, il est utile de
réfléchir aux aspects de conception de déploiements de réseau WLAN de tailles différentes, dont les réseaux de 20 nœuds, jusqu’à 75 nœuds
et de 75 à 1 500 nœuds.
Réseaux jusqu’à 20 nœuds
Profil
• Exemple : petite clinique de consultation médicale
• Infrastructure backbone : routeur, commutateur, réseau à structure plate dit « flat network »
Cette entreprise dispose typiquement de deux ou trois points d’accès et peut se passer de l’itinérance entre les étages. La sécurité est
importante, mais les besoins de ce petit réseau WLAN sont relativement élémentaires : veiller à ce qu’un protocole performant de type WPA2,
par exemple, soit activé et à la rigueur, détecter et supprimer un point d’accès pirates sur le bureau d’un occupant.
Typiquement dans les petites entreprises, les opérations IT ne sont pas exécutées par un membre du personnel dédié. Elles confient souvent les
tâches simples à un membre du personnel qui maîtrise bien les ordinateurs. L’entreprise peut décider de faire appel à un revendeur pour les
phases initiales de configuration du réseau. Elle n’a pas réellement besoin d’une gestion centralisée et s’oriente vers des produits informatiques
à la fois économiques et extrêmement faciles à utiliser. L’adoption d’une application logicielle de gestion de réseau WLAN exécutée sur un PC
du bureau, convient à une entreprise de cette taille.
Réseaux jusqu’à 75 nœuds
Profil
• Exemple : petite entreprise
• Infrastructure backbone : niveaux multiples et plusieurs VLAN
Typiquement, les entreprises de cette catégorie ont besoin d’une solution de gestion centralisée et d’équilibrage de la charge — dans un
scénario de complexité et de coûts minimums. La sécurité est une préoccupation prioritaire et peut inclure des réseaux logiques virtuels (VLAN)
grâce auxquels les invités bénéficient d’un réseau ouvert et les employés, d’un réseau fermé. Avec un nombre aussi important de nœuds,
détecter les points d’accès pirates simplement en se promenant dans les bureaux n’est pas une option pratique. L’entreprise a donc besoin de
pouvoir déterminer, automatiquement, la présence d’un point d’accès pirate dans les locaux.
Plus les nœuds sont nombreux, plus la capacité de gérer le réseau de manière centralisée prend de l’importance. Le personnel ne dispose
pas nécessairement des connaissances nécessaires pour traiter les chevauchements de canaux et réglages de puissance ; le parc matériel de
l’entreprise peut être constitué de divers points d’accès achetés à des dates différentes et ces aspects compliquent également leur configuration
et leur gestion. Les entreprises de cette catégorie ont généralement besoin d’un système de gestion centralisée, pour assurer la cohérence des
configurations de sécurité sur l’ensemble des différents points d’accès, le paramétrage automatique des canaux en fonction des fluctuations de
trafic de la journée et l’équilibrage de la charge client sur tous les points d’accès.
Réseaux à partir de 75 noeuds
Profil
• Exemple : un collège
• Infrastructure du backbone : architecture réseau à deux ou trois niveaux ; gestion sans fil assurée par un centre de calcul séparé
S’agissant du sans fil, les moyennes entreprises, hôpitaux et écoles ont les mêmes besoins que les grandes entreprises — elles exigent une
connectivité sans fil fiable pour améliorer leur rentabilité opérationnelle globale, avec itinérance fluide, infrastructure auto-cicatrisante et
performances fiables pendant les pics de demande, sans oublier une sécurité exhaustive et la capacité de détecter automatiquement la
présence et l’implantation des points d’accès pirates. Certaines entreprises exigeront un roaming wireless entre bureaux, voire entre étages.
Cette roaming peut inclure la téléphonie voix sur Wi-Fi (voWi-Fi), par laquelle les utilisateurs obligés de se déplacer entre les points d’accès
peuvent poursuivre leur conversation au téléphone.
Cela étant, les ressources de ces entreprises sont moins importantes que celles des entreprises fortement orientées IT et leurs équipes
informatiques risquent, quel que soit leur niveau d’expérience, d’être submergées par les impératifs de gestion permanente du réseau sans
fil. Les entreprises de cette taille veulent aussi faire des économies, mais sans avoir à consacrer trop de leur emploi du temps informatique à
la gestion du réseau. C’est la raison pour laquelle la gestion centralisée automatisée est essentielle. Leurs exigences incluent la capacité de
configuration de points d’accès en masse, le réglage automatique de puissance et de canal, le roaming et l’équilibrage dynamique de la
charge des points d’accès. La capacité d’expansion modulaire est aussi importante pour les entreprises de cette taille, qui doivent pouvoir
5 adapter rentablement la solution de gestion à leurs impératifs.