AEROHIVE NETWORKS - ES France
Transcript of AEROHIVE NETWORKS - ES France
AEROHIVE NETWORKS
JANVIER 2018
- 2 -
Copyright © 2017, Aerohive Networks, Inc.
SOMMAIRE
Introduction 8
Préliminaire 8
Les avantages de la solution Aerohive Networks 9
SynthĂšse de la solution 11
Présentation générale de Aerohive 12
PrĂ©sentation de la sociĂ©tĂ© et contacts 12 Historique de la sociĂ©tĂ© Aerohive et rĂ©compenses 12 Quelques rĂ©fĂ©rences clients Français 12 Quelques rĂ©fĂ©rences dans la grande distribution en France 13 Quelques rĂ©fĂ©rences dans la santĂ© en France 13 Quelques rĂ©fĂ©rences dans lâenseignement 13 Effectifs et contacts en France 14
Lâapproche technologique dâAerohive 15
Des points dâaccĂšs autonomes aux solutions centralisĂ©es (contrĂŽleurs) 15 Les nouveaux besoins des rĂ©seaux sans fil et la solution Aerohive 16 Lâarchitecture Ă contrĂŽle coopĂ©ratif 17 La solution globale Aerohive 22
Concepts et terminologie Aerohive 24
ContrÎle coopératif 26
Les protocoles de contrÎle coopératif 26
Auto-découverte et auto-organisation des HiveAP 27
ContrÎle coopératif des radios fréquences 28
La mobilitĂ© dans un rĂ©seau sans fil 29 Les problĂšmes de mobilitĂ© avec les points dâaccĂšs autonome 29 La solution de mobilitĂ© Aerohive rapide et transparente (layer 2 roaming) 30 La solution de mobilitĂ© Aerohive rapide et sĂ©curisĂ©e de niveau 3 (layer 3 roaming) 31 Ăquilibrage de la charge du tunnel dans des environnements Ă forte mobilitĂ© de niveau 3 32
Equilibrage de la charge des clients sans fil 33
Application de la politique Ă lâentrĂ©e du rĂ©seau 34
Des politiques basées sur les profils utilisateurs et le contexte 34
Application de la politique de QualitĂ© de Service au plus proche de lâutilisateur 36 Le standard 802.11e/WMM et ses limites 36 La solution de QoS implĂ©mentĂ©e par Aerohive et Ă©tendant les principes de 802.11e/WMM 37
Application de la politique de sĂ©curitĂ© au plus proche de lâutilisateur 39
Portail Web captif intégré 39
CrĂ©ation dynamique de tunnels pour lâaccĂšs distant des utilisateurs 41
Politique de contrĂŽle des accĂšs invitĂ©s Ă lâentrĂ©e du rĂ©seau 42
- 3 -
Copyright © 2017, Aerohive Networks, Inc.
Optimisation du réseau Wi-Fi et des performances avec Dynamic Airtime Scheduling 44
La problématique des environnements de clients mixtes 44
Mélange de clients dans un réseau Wi-Fi traditionnel 45
Le moteur de QualitĂ© de Service dâAerohive 48
Concepts et exemples dâutilisation de Dynamic Airtime Scheduling 49 Protocole unique (802.11a) et clients Ă taux de transmission diffĂ©rents 50 Cas dâun environnement 802.11n 50
Dynamic Airtime Scheduling, une technologie particuliÚrement puissante 51 Trafic montant et Dynamic Airtime Scheduling 52 Transport de la voix sur un réseau Wi-Fi avec Dynamic Airtime Scheduling 52 Définir des priorités avec Dynamic Airtime Scheduling 54 Calculs en temps réel versus ratios 54
Optimisation des clients Wi-Fi 55
Garantie de niveau de service sur le réseau Wi-Fi avec Performance Sentinel 56
La problématique des réseaux Wi-Fi non prédictibles 56
Le Wi-Fi haute-fidĂ©litĂ© 56 LâĂ©volution historique des rĂ©seaux Wi-Fi 57 Vue globale du rĂ©seau 58
Le respect des accords de niveau de service - Comment ça marche ? 59 Performance Sentinel 59 Airtime Boost 60
Utilisation et configuration 61 Exemple dâutilisation 61 Configurer Airtime Boost 62
Concevoir un réseau Wi-Fi déterministe 63
SĂ©curiser et simplifier lâaccĂšs Wi-Fi avec Private PreShared Key 64
Un nouveau concept 64 Le paradigme des clĂ©s partagĂ©es (PSK) 64 Le standard 802.1X 64 La solution Private PSK dâAerohive 64 SimplicitĂ©, souplesse, sĂ©curitĂ© et rĂ©duction des coĂ»ts 65
Les mĂ©thodes traditionnelles dâaccĂšs au rĂ©seau Wi-Fi 66 RĂ©seau ouvert 67 ClĂ© partagĂ©e (PSK) 67 Authentification 802.1X 67
LâaccĂšs au rĂ©seau Wi-Fi avec la technologie Private PSK dâAerohive 68
DĂ©ploiement de clĂ©s Private PSK avec lâoutil Aerohive HiveManager 70 Gestion des clĂ©s par lâadministrateur 70 Gestion des clĂ©s par les utilisateurs 71
Le meilleur compromis entre sĂ©curitĂ© et facilitĂ© dâutilisation 71
Routage du trafic par le meilleur chemin disponible 72
- 4 -
Copyright © 2017, Aerohive Networks, Inc.
Réseau maillé sans fil (mesh) 72
Routage dynamique de niveau 2 et sélection du meilleur chemin 73
La sĂ©curitĂ© dans lâacheminement du trafic 75
LâĂ©volutivitĂ© du systĂšme de routage 75
Haute-disponibilité 76
Aucun point de faiblesse sur le réseau sans fil 76
Reconfiguration automatique du routage pour contourner un équipement défaillant 76
Bascule dynamique sur le rĂ©seau maillĂ© â Convertissement dâune radio du mode accĂšs au mode maillĂ© en cas de panne sur le lien Ethernet 77
Serveur RADIUS embarqué dans les HiveAP 78
Maintien en mĂ©moire de lâidentitĂ© des utilisateurs 78
Multiples solutions dâauthentification des utilisateurs 79
Administration centralisée par HiveManager 80
Administration simplifiĂ©e et Ă©volutive Ă lâaide du HiveManager 80
Composants du HiveManager et communication avec les HiveAP 81
Profils dâadministration 81
Administration simplifiée des configurations 82
ZĂ©ro-configuration pour le dĂ©ploiement des points dâaccĂšs sans fil HiveAP 83
Simplification de la supervision, la production de rapports et du dépannage 84 Outils de supervision 84 Outils de dépannage 86
DĂ©tection de points dâaccĂšs illicites 87
Lâoffre dâadministration SaaS par HiveManager Online 90
Simpli-Fi-er 90 Les réseaux Wi-Fi administrés simplement et à moindres coûts 90 A propos des contrÎleur$ 92 Et plus encore ! 92
Facilité et économies 93
Le plaisir de la simplicitĂ© 94 La tĂȘte dans les nuages 94 Rationaliser le support 94
Testez vous-mĂȘme ! 95
Et la sécurité ? 96
La meilleure solution, au meilleur prix 97
Conclusion 100
LISTE DES FIGURES
Figure 1 : ĂlĂ©ments de base de lâarchitecture Ă contrĂŽle coopĂ©ratif dâAerohive 17
- 5 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 2 : La plate-forme dâadministration centralisĂ©e HiveManager et ses diffĂ©rentes dĂ©clinaisons 20
Figure 3 : Solution globale Aerohive 23
Figure 4 : RĂŽles des points dâaccĂšs HiveAP et terminologie Aerohive 24
Figure 5 : Exemple de problématique de gestion des canaux en radio 802.11 28
Figure 6 : MobilitĂ© et points dâaccĂšs autonomes 29
Figure 7 : Mobilité entre plusieurs HiveAP 30
Figure 8 : Contenu du cache relatif aux informations de mobilité des utilisateurs 31
Figure 9 : Processus de mobilité entre sous-réseaux IP de niveau 3 (layer 3 roaming) 32
Figure 10 : - Gestion de la bande passante entre les utilisateurs, les appareils et les applications 33
Figure 11 : AccÚs au réseau en fonction du contexte 34
Figure 12 : Exemple de rÚgles de classification basées sur le contexte 35
Figure 13 : Application de la politique de QoS au plus proche de lâutilisateur 37
Figure 14 : Choix des sections du portail captif 40
Figure 15 : Exemple de portail captif personnalisé 40
Figure 16: Droits dâaccĂšs quel que soit lâemplacement 41
Figure 17 : Exemple dâutilisation des tunnels invitĂ©s vers une DMZ dâun firewall dâaccĂšs Internet 42
Figure 18 : DurĂ©e dâĂ©mission dâun mĂȘme volume de donnĂ©es par un client lent et un client rapide sur un rĂ©seau Wi-Fi standard 45
Figure 19 : DurĂ©e dâĂ©mission en affectant des tranches de temps dâantenne Ă©gales Ă tous les clients 46
Figure 20 : Simulation de transfert de fichier depuis un client Wi-Fi connecté à 54 Mbps et un client à 6 Mbps 46
Figure 21 : Comparaison de 2 transmissions simultanées de 10 000 trames de 1 500 octets chacune par 2 clients Wi-Fi de vitesse différente 47
Figure 22 : Comparaison de 2 transmissions simultanĂ©es de 10 000 trames de 1 500 octets chacune par 2 clients Wi-Fi de vitesse diffĂ©rente avec la technologie Dynamic Airtime Scheduling dâAerohive 47
Figure 23 : Simulation de 3 clients de type identique émettant à des vitesses différentes 50
Figure 24 : Dynamic Airtime Scheduling dans un environnement 802.11n 51
Figure 25 : Huit clients à taux de transmission différents et téléchargeant un fichier en parallÚle de vingt clients émettant des appels téléphoniques (voir figure 9) 53
Figure 26 : Exemple de 20 appels téléphoniques SIP en parallÚle de 8 transferts de fichier 53
Figure 27 : Définition de préférences pour des employés versus invités 54
Figure 28 : Mécanismes de QoS traditionnels reposant sur la nature du client (802.11a/b/g/n) versus Dynamic Airtime Scheduling reposant sur la vitesse réelle du client, quelque soit sa nature 55
Figure 29 : Dâun rĂ©seau de commoditĂ© Ă un rĂ©seau Ă haute fidĂ©litĂ© 58
Figure 30 : VisibilitĂ© rĂ©seau (clients et points dâaccĂšs) â Exemple de tableau de bord 59
Figure 31 : Application dâAirtime Boost 60
- 6 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 32 : Airtime Boost utilise la technologie Dynamic Airtume Scheduling 60
Figure 33 : Statistiques détaillées par session client 61
Figure 34 : Exemple de deux groupes de clients Wi-Fi sans Airtime Boost 62
Figure 35 : Exemple de deux groupes de clients Wi-Fi avec Airtime Boost 62
Figure 36 : ParamĂštres dâactivation et de configuration dâAirtime Boost 63
Figure 37 : PSK traditionnelle et PSK privée de Aerohive 65
Figure 38 : SSID avec clé partagée PSK traditionnelle versus SSID avec technologie Aerohive Private PSK 69
Figure 39 : Génération et distribution des clés Private PSK par le HiveManager 70
Figure 40 : HiveAP au sein dâun rĂ©seau maillĂ© sans fil 73
Figure 41 : Acheminement centralisé des données versus distribué 74
Figure 42 : Haute-disponibilité, itinérance transparente et réacheminement automatique en cas de panes 77
Figure 43 : Bascule dynamique sur le réseau maillé 77
Figure 44 : Modes dâauthentification supportĂ©s 79
Figure 45 : Différentes vues de la topologie dans le HiveManager 80
Figure 46 : Composants du HiveManager et communication avec les HiveAP 81
Figure 47 : CrĂ©ation dâun compte administrateur 82
Figure 48 : Gestion des profils de configuration 83
Figure 49: Liste des stations en temps réel sur le HiveManager 84
Figure 50: Liste des utilisateurs en temps réel sur le HiveManager 85
Figure 51 : Exemple de vues détaillées sur les équipements, les stations et les applications 85
Figure 52 : DĂ©tails dâun problĂšme de connexion identifiĂ© 86
Figure 53: Liste des points d'accÚs et stations pirates en temps réel sur le HiveManager 87
Figure 54 : HiveManager Online (HMOL) est la solution dâadministration des rĂ©seaux Wi-Fi la plus simple, la plus performante et la moins coĂ»teuse 90
Figure 55 : HiveManager NG 93
Figure 56 : Entreprise distribuée administrée par HiveManager Online (HMOL) 95
Figure 57 : Protocole CAPWAP sécurisé par DTLS 96
Figure 58 : Permissions et dĂ©lĂ©gation des droits dâadministration par groupe ou individu 97
Figure 59 : Les contrÎleurs introduisent un modÚle de coût non linéaire, en escalier 98
Figure 60 : LâĂ©quation la plus simple avec HMOL 99
- 7 -
Copyright © 2017, Aerohive Networks, Inc.
LISTE DES TABLEAUX
Tableau 1 : Gamme de points dâaccĂšs 802.11ac dâAerohive 18
Tableau 2: Gamme de commutateurs d'accĂšs Aerohive 19
Tableau 3 : Comparaison des diffĂ©rentes solutions dâauthentification 69
Tableau 4 : Comparaison synthétique Aerohive versus solutions contrÎleur$ 99
- 8 -
Copyright © 2017, Aerohive Networks, Inc.
INTRODUCTION
Préliminaire
Compte-tenu de lâarchitecture unique et innovante que nous proposons, il nous semble opportun dâinsister sur le changement technologique majeur que nous apportons au travers de la solution WLAN dâAerohive Networks, Ă savoir une gamme complĂšte de points dâaccĂšs Wi-Fi Ă contrĂŽle distribuĂ© (points dâaccĂšs intelligents, intĂ©rieurs, industriels, extĂ©rieurs, norme 802.11a/b/g/n/ac, mesh) particuliĂšrement adaptĂ©s aux environnements distribuĂ©s gĂ©ographiquement (multi-sites, sans personnel technique local, avec administration distante), aux infrastructures critiques Ă fortes contraintes de disponibilitĂ©, aux problĂ©matiques de densitĂ©, Ă la convergence, et favorables aux dĂ©ploiements dâapplications sensibles Ă la qualitĂ© de service, notamment la voix et la vidĂ©o, de plus en plus transportĂ©es sur les rĂ©seaux sans fil. Aerohive Networks a Ă©tĂ© honorĂ© par des cabinets dâĂ©tudes AmĂ©ricains comme lâune des 10 sociĂ©tĂ©s les plus innovantes dans son secteur. Les analystes du Gartner ont placĂ© Aerohive Networks dans le top 10 des vendeurs dâĂ©quipements rĂ©seaux les plus prometteurs (« Cool vendors in Enterprise networking ») et comme le plus visionnaire de son quadrant magique.
- 9 -
Copyright © 2017, Aerohive Networks, Inc.
Les avantages de la solution Aerohive Networks
La solution Aerohive Networks présente de nombreux avantages et offre une plus grande souplesse et flexibilité que les solutions traditionnelles du marché :
- Absence de contrĂŽleurs physiques (ou virtuels) centralisĂ©s. - DĂ©ploiement identique Ă une infrastructure de commutateurs filaires (switches). - Solution double bande (2.4 GHz, 5 GHz), avec points dâaccĂšs 802.11n et 802.11ac double radio
(permettant dâutiliser lâespace des 5 GHz, moins encombrĂ© et disposant de plus de canaux que la bande 2.4 GHz), certifiĂ©s Wi-Fi Alliance.
o HiveAP122 : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA68664
o HiveAP122X : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA74823
o HiveAP130 : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA59169
o HiveAP150W : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA73170
o HiveAP230 : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA53693
o HiveAP250 : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA64545
o HiveAP245X : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA65582
o HiveAP550 : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA67246
o HiveAP1130 : http://certifications.prod.wi-fi.org/pdf/certificate/public/download?cid=WFA56684
- 10 -
Copyright © 2017, Aerohive Networks, Inc.
- IntĂ©gration directe dans un rĂ©seau de niveau 2, notamment pour le support et la gestion des VLANs, de lâisolation des invitĂ©s, âŠ
- Intégration native aux annuaires de gestions des utilisateurs (domaines Active Directory, annuaires LDAP) avec ou sans serveur RADIUS intermédiaire.
- IntĂ©gration directe avec les solutions classiques de gestion dâinvitĂ©s, internes (Aerohive ID Manager) ou externes (Cloud4Wi, Ucopia, Netinary, Wifidog, Packetfence, Nomadix, etc.).
- IntĂ©gration directe et native avec les solutions de suivi client (Cloud4Wi, Euclid) ou rĂ©cupĂ©ration des informations dâanalyse au travers dâAPIs.
- Fourniture de la haute-disponibilitĂ© et de la rĂ©silience par simple redondance des points dâaccĂšs sur une zone radio donnĂ©e. On sâaffranchit ainsi de la complexitĂ© de mise en haute-disponibilitĂ© des infrastructures multi-sites Ă base de contrĂŽleurs.
- Aucune option sur les points dâaccĂšs. Toutes les fonctionnalitĂ©s sont fournies de base dans les bornes : firewall (niveau 2, 3, 4 et 7), authentification (Radius, 802.1X, base locale, Active Directory, LDAP), portail Web Captif, mesh, adaptation automatique des canaux et de la puissance, Private PSK1, VPN IPsec, dĂ©tection dâintrusions, etc. et bien dâautres encore.
- Outils dâanalyse de dysfonctionnement (analyseur spectrale intĂ©grĂ© aux points dâaccĂšs, calcul dâun score de santĂ© des clients, outils de test de connectivitĂ© avec les serveurs, moteur dâanalyse et dâhistorisation des problĂšmes de connexions, âŠ)
- Administration centralisĂ©e Ă distance, via un rĂ©seau WAN et/ou Internet par le HiveManager. Lâensemble de ces points spĂ©cifiques Ă la solution Aerohive Networks sont dĂ©taillĂ©s dans la suite de ce document.
1 Private PSK : fonction unique dâAerohive qui permet sur un mĂȘme SSID, dâattribuer des clĂ©s partagĂ©es (PSK) diffĂ©rentes Ă chaque utilisateur, avec une durĂ©e de vie et des paramĂštres particuliers (VLAN, âŠ) et la possibilitĂ© de rĂ©voquer ensuite les clĂ©s partagĂ©es.
- 11 -
Copyright © 2017, Aerohive Networks, Inc.
SynthĂšse de la solution
Le schéma ci-aprÚs présente la solution proposée. Voici quelques détails techniques :
- Points dâaccĂšs Wi-Fi : o Si lâon omet lâaspect radio (Wi-Fi), les points dâaccĂšs HiveAP dâAerohive proposĂ©s se
dĂ©ploient Ă lâidentique dâune infrastructure de commutation filaire, puisquâil nây pas de contrĂŽleur. La souplesse de dĂ©ploiement permet de mettre en Ćuvre lâinfrastructure initiale puis de lâĂ©tende ou la modifier Ă moindre effort.
o Les points dâaccĂšs peuvent ĂȘtre dĂ©ployĂ©s au fur et Ă mesure des besoins de couverture ou de fourniture de service (tels des commutateurs filaires), et de maniĂšre distribuĂ©e dans diffĂ©rents bĂątiments ou zones gĂ©ographiques.
o Les points dâaccĂšs sont connectĂ©s aux commutateurs et alimentĂ©s en PoE (PoE standard 802.3af pour les points dâaccĂšs indoor/industriels).
o Sur le port de connexion des points dâaccĂšs, lâensemble des VLANs utilisĂ©s sont configurĂ©s dans un trunk 802.1q.
o Les points dâaccĂšs Aerohive gĂ©rant eux-mĂȘmes le routage niveau 2, il est inutile dâactiver le Spanning Tree sur les ports des commutateurs.
o Les autres ressources du rĂ©seau (serveurs dâauthentification, annuaires dâentreprise, serveurs syslog/snmp de supervision, portail captif externe, âŠ) sont rĂ©utilisĂ©es directement par les points dâaccĂšs.
Administration/supervision : via lâoutil HiveManager NG disposĂ© dans le rĂ©seau dâadministration/supervision ou via Internet par HiveManager Online2.
2 Pour plus de dĂ©tails sur HiveManager Online, voir le chapitre « Lâoffre dâadministration SaaS par HiveManager Online », page 82.
- 12 -
Copyright © 2017, Aerohive Networks, Inc.
PRESENTATION GENERALE DE AEROHIVE
Présentation de la société et contacts
Historique de la société Aerohive et récompenses
La sociĂ©tĂ© Aerohive Networks â http://www.aerohive.com â est une sociĂ©tĂ© californienne crĂ©Ă©e en 2006 Ă Santa Clara par dâanciens collaborateurs de NetScreen/Juniper, Cisco, Nortel, 3Com notamment.
En 2015, Aerohive Network a Ă©tĂ© reconnu par le Gartner comme lâun des trois principaux fournisseurs de solutions Wi-Fi dans son rapport sur les « fonctionnalitĂ©s critiques pour les accĂšs filaires et sans fil en entreprise » (Critical Capabilities for Wired and Wireless LAN Access Infrastructure) :
- Aerohive a le score le plus Ă©levĂ© dans les fournisseurs indĂ©pendants de solutions Wi-Fi dâentreprise.
- Le Gartner classe Aerohive Networks "parmi les trois meilleurs fournisseurs pour des cas d'utilisation WLAN critiques", aux cÎtés de HP (Aruba) et Cisco. La différence avec ces deux concurrents de plusieurs milliards de dollars est de quelques dixiÚmes de point.
- Tout cela complÚte la position de Aerohive Networks en tant que « visionnaire » dans le Magic Quadrant.
La sociĂ©tĂ© Aerohive Networks a Ă©galement Ă©tĂ© introduite en bourse, sur le marchĂ© du New York Stock Exchange (NYSE) en mars 2013, sous lâindice « HIVE ».
Quelques références clients Français
Aerohive dispose de clients dans tous les secteurs dâactivitĂ© et aide les entreprises Ă dĂ©ployer des solutions WLAN pour de nouvelles applications (voix, gĂ©o-localisation, applications mĂ©tiers, gestion de stocks, gestion des invitĂ©s, âŠ).
- 13 -
Copyright © 2017, Aerohive Networks, Inc.
Quelques références dans la grande distribution en France
Dans le monde de la grande distribution et en particulier en France, Aerohive Networks dispose de clients ayant déployés des infrastructures sans-fil. Citons notamment :
- Franprix /Leader price - Mercialys - Grand Frais - DĂ©cathlon - Kiabi - La Poste - Frans Bonhomme - Petit Bateau
Quelques références dans la santé en France
Dans le monde hospitalier et en particulier en France, Aerohive Networks dispose de clients ayant déployés des infrastructures sans-fil pour divers besoins :
- Centre Hospitalier de Colmar. - Centre Hospitalier des Quatre Villes (92 St Cloud). - Centre Hospitalier de Grasse. - Clinique Sainte Marguerite à HyÚres. - Clinique Claude Bernard à Alby. - Clinique de l'Estrée à Stains.
Ces clients utilisent le réseau WLAN pour véhiculer les applications métiers spécifiques aux cliniques et environnements hospitaliers :
- Dossiers patients, suivi du médicament. - AccÚs patients. - Téléphonie sur IP. - Evolution vers la géolocalisation (matériel et personnes).
Dâautre part, citons pour information le centre hospitalier rĂ©gional universitaire dâAnvers en Belgique qui a dĂ©ployĂ© 500 points dâaccĂšs Aerohive dans le cadre de la mise en Ćuvre dâun rĂ©seau sans fil global sur lâensemble du campus
Quelques rĂ©fĂ©rences dans lâenseignement
Dans le monde de lâenseignement, et en particulier en France, Aerohive Networks dispose de clients ayant dĂ©ployĂ©s des infrastructures sans-fil pour lâaccĂšs rĂ©seau du personnel, des Ă©tudiants ainsi que des visiteurs :
- Groupe Epita/Epitech. - ENAC. - Groupe ECE. - Université de Nice.
- 14 -
Copyright © 2017, Aerohive Networks, Inc.
Effectifs et contacts en France
Aerohive emploie actuellement plus de 600 personnes dans le monde et dispose dâune prĂ©sence globale avec des Ă©quipes technique (recherche et dĂ©veloppement) en Californie et une reprĂ©sentation commerciale sur lâensemble des rĂ©gions : AmĂ©rique du Nord, Asie, Europe/Moyen Orient, et notamment la France oĂč Aerohive sâappuie sur un rĂ©seau de distribution et de revendeurs certifiĂ©s. Contacts Aerohive France :
Benoit Mangin Directeur Commercial Europe du Sud [email protected] TĂ©l : 06.77.17.06.08
Quentin Habert Responsable Commercial France 1 [email protected] TĂ©l : 06.13.88.70.15
SĂ©bastien Texier Responsable Commercial France 2 [email protected] TĂ©l : 06.85.79.16.74
Thomas Munzer Ingénieur Avant-Vente [email protected] Tél. : 06.22.46.08.78
Nicolas Dusch Ingénieur Avant-Vente [email protected] Tél : 06.08.10.10.72
- 15 -
Copyright © 2017, Aerohive Networks, Inc.
LâAPPROCHE TECHNOLOGIQUE DâAEROHIVE
Des points dâaccĂšs autonomes aux solutions centralisĂ©es (contrĂŽleurs)
DĂ©butons avec un rappel historique. La premiĂšre vague de rĂ©seaux sans fil3 Ă©tait composĂ©e de points dâaccĂšs dits « autonomes4 », relativement simples Ă dĂ©ployer mais prĂ©sentant de nombreuses lacunes en matiĂšre dâadministration centralisĂ©e, de mobilitĂ©5 et de sĂ©curitĂ© â la plupart ne supportant que le protocole WEP. Faisaient donc dĂ©faut de nombreuses fonctionnalitĂ©s habituellement requises pour les rĂ©seaux dâentreprises, et ce mĂȘme pour des accĂšs de convenance (ex. : salles de rĂ©union). Sont alors apparues les architectures centralisĂ©es Ă base de contrĂŽleurs visant Ă combler ces lacunes en fournissant : lâadministration centralisĂ©e, la mobilitĂ©, la gestion coordonnĂ©e des radios-frĂ©quences (RF) et la sĂ©curitĂ©. Malheureusement, ces architectures centrales, nĂ©cessitant la mise en Ćuvre de commutateurs de contrĂŽle, ont introduit une complexitĂ© supplĂ©mentaire par :
- La superposition opaque de rĂ©seaux : le chemin de communication entre les points dâaccĂšs et les contrĂŽleurs est encapsulĂ© dans un tunnel et le trafic quâil vĂ©hicule est alors impossible Ă inspecter par les Ă©quipements de sĂ©curitĂ© intermĂ©diaires.
- Des goulets dâĂ©tranglement : les contrĂŽleurs, dont les capacitĂ©s sont par nature limitĂ©es,
doivent ĂȘtre multipliĂ©s ou remplacĂ©s lorsque le volume total de trafic ou le nombre de points dâaccĂšs augmente.
- Des points uniques de défaillance : le contrÎleur est un élément critique qui doit en
permanence ĂȘtre disponible sans quoi le service est, au mieux, largement dĂ©gradĂ©, au pire, totalement indisponible.
- Lâaugmentation de la latence : les Ă©changes entre les points dâaccĂšs et les contrĂŽleurs
induisent gigue et latence sur des trafics parfois extrĂȘmement sensibles Ă ces critĂšres, tels que la voix et la vidĂ©o.
- Et des coĂ»ts nettement plus Ă©levĂ©s pour des rĂ©seaux dâentreprises : les contrĂŽleurs sont des
équipements onéreux dont le nombre, la disposition sur le réseau, la capacité, la redondance et le support sont impactent fortement le budget des entreprises.
3 Wireless LAN ou WLAN. 4 autonomous AP, ou encore fat AP en opposition aux thin AP des solutions contrĂŽleurs. 5 On parle de roaming ou itinĂ©rance pour le passage dâun point dâaccĂšs Ă lâautre sans perte de connexion.
- 16 -
Copyright © 2017, Aerohive Networks, Inc.
Les nouveaux besoins des réseaux sans fil et la solution Aerohive
Les rĂ©seaux sans fil devenant de plus en plus critiques au sein des entreprises â avec notamment la migration dâapplications mĂ©tier sur ces rĂ©seaux et le transport de la voix 6 â et les performances augmentant avec lâarrivĂ©e de la norme IEEE 802.11n 7 , les limites des architectures Ă base de contrĂŽleurs sont atteintes, forçant ainsi lâindustrie Ă rĂ©examiner la validitĂ© du modĂšle dâarchitecture centralisĂ©e. Dans ce domaine, Aerohive Networks fait Ćuvre de pionnier en proposant une nouvelle approche des rĂ©seaux sans fil appelĂ©e architecture Ă contrĂŽle coopĂ©ratif. Il sâagit dâune architecture sans contrĂŽleur qui Ă©limine ainsi les inconvĂ©nients des contrĂŽleurs centralisĂ©s, tout en continuant de fournir un niveau dâadministration, de mobilitĂ© et de sĂ©curitĂ© maximum pour les infrastructures de rĂ©seaux sans fil des entreprises.
6 Voice over WLAN (VoWLAN). 7 IEEE 802.11n : cette norme Ă©ditĂ©e par lâorganisme IEEE responsable de la standardisation permet une forte augmentation des dĂ©bits disponibles sur les rĂ©seaux sans fil â Voir http://www.ieee802.org/11/
- 17 -
Copyright © 2017, Aerohive Networks, Inc.
Lâarchitecture Ă contrĂŽle coopĂ©ratif
Aerohive Networks a mis au point une nouvelle classe de points dâaccĂšs intelligents pour les rĂ©seaux dâentreprises de nouvelles gĂ©nĂ©rations. Ces points dâaccĂšs Wi-Fi, dĂ©nommĂ©s HiveAP, combinent une borne multi-radios, une suite de protocoles et des fonctions habituellement mises en Ćuvre sur des contrĂŽleurs, mais sans requĂ©rir lesdits contrĂŽleurs et sans avoir Ă faire face aux problĂšmes associĂ©s Ă cette approche centralisĂ©e. Les points dâaccĂšs HiveAP implĂ©mentent des protocoles de contrĂŽle coopĂ©ratif permettant Ă de multiples HiveAP de sâorganiser en groupes que lâon dĂ©nomme ruches (hives) et de partager les informations de contrĂŽle entre chaque HiveAP exĂ©cutant les fonctions de mobilitĂ©8, de coordination des canaux radios et de gestion de la puissance, de sĂ©curitĂ©, de qualitĂ© de service (QoS) et de rĂ©seau maillĂ© (mesh). Cette capacitĂ© de coordination distribuĂ©e permet la mise en Ćuvre dâune nouvelle gĂ©nĂ©ration dâinfrastructure de rĂ©seaux sans fil, dĂ©nommĂ©e architecture WLAN Ă contrĂŽle coopĂ©ratif, et fournit tous les bĂ©nĂ©fices dâune solution Ă base de contrĂŽleur, tout en Ă©tant beaucoup plus simple Ă dĂ©ployer et Ă faire Ă©voluer, plus fiable, plus extensible, plus performante, plus adaptĂ©e Ă la voix et prĂ©sentant des coĂ»ts moindres par rapport aux architectures reposant sur des contrĂŽleurs. La figure de droite dĂ©crit les Ă©lĂ©ments constitutifs de lâarchitecture Ă contrĂŽle coopĂ©ratif.
8 La mobilitĂ© transparente au sein dâun rĂ©seau sans fil est habituellement identifiĂ©e sous le terme roaming.
Figure 1 : ĂlĂ©ments de base de lâarchitecture Ă
contrĂŽle coopĂ©ratif dâAerohive
- 18 -
Copyright © 2017, Aerohive Networks, Inc.
Cette architecture repose sur deux types de produits :
a) Les équipements réseau, répartis en trois familles
- Les points dâaccĂšs Ă contrĂŽle coopĂ©ratif, appelĂ©s HiveAP : double-radio supportant simultanĂ©ment lâutilisation de IEEE 802.11b/g, IEEE 802.11a, IEEE 802.11n et IEEE 802.11ac pour les accĂšs sans fil et/ou le maillage sans fil (mesh) permettant Ă plusieurs points dâaccĂšs de sâĂ©changer des informations via la radio; implĂ©mentation de sĂ©curitĂ© robuste via le support de IEEE 802.1X, des derniers standards IEEE 802.11i, de rĂšgles de firewall stateful (niveaux 2, 3/4 et 7), et de prĂ©vention de dĂ©ni de service (DoS â niveau 2 Ă 4); qualitĂ© de service Ă©tendant 802.11e et WMM (Wireless Multimedia) ; VPN IPSec ;⊠et bien dâautres fonctionnalitĂ©s embarquĂ©es.
Tableau 1 : Gamme de points dâaccĂšs 802.11ac dâAerohive
- 19 -
Copyright © 2017, Aerohive Networks, Inc.
- Les commutateurs dâaccĂšs, permettant dâavoir une interface de configuration unifiĂ©e pour les accĂšs sans fil et les accĂšs filaires. Cette gamme de commutateurs Ethernet dâaccĂšs intĂ©grent les diffĂ©rentes fonctionnalitĂ©s dâauthentification, de QoS, mais Ă©galement du Spanning Tree et Rapid Spannig Tree, de lâIGMP Snooping, du LLDP, et des fonctions de routage L3.
Tableau 2: Gamme de commutateurs d'accĂšs Aerohive
- 20 -
Copyright © 2017, Aerohive Networks, Inc.
b) Une plateforme dâadministration centralisĂ©e, appelĂ©e HiveManager : fournit un point dâadministration central pour la gestion des politiques dâutilisation et de sĂ©curitĂ©, la configuration simplifiĂ©e des Ă©quipements Aerohive, les mises Ă jour, la supervision et les diagnostics en cas dâincident, le suivi des clients connectĂ©s (ex. localisation),âŠ. Selon la taille du rĂ©seau WLAN, plusieurs solutions dâadministration sont proposĂ©es par Aerohive. La figure ci-dessous prĂ©sente les 2 dĂ©clinaisons possibles.
Figure 2 : La plate-forme dâadministration centralisĂ©e HiveManager et ses diffĂ©rentes dĂ©clinaisons
Cette souplesse dans le choix de la solution dâadministration retenue (et donc du coĂ»t associĂ©) permet de sâadapter Ă tous les types de dĂ©ploiements, de tailles dâentreprises, de budgets et de complexitĂ©. En outre, il est possible dâĂ©voluer de lâun Ă lâautre au fur et Ă mesure du dĂ©ploiement de son rĂ©seau WLAN ou de nouvelles fonctionnalitĂ©s.
- 21 -
Copyright © 2017, Aerohive Networks, Inc.
Lâarchitecture Aerohive sâappuie Ă©galement sur trois Ă©lĂ©ments essentiels, distincts, mais technologiquement Ă©troitement liĂ©s :
- Le contrÎle coopératif : une série de protocoles qui fournissent du routage dynamique de niveau 2 (couche MAC), de la gestion automatique des canaux radios et de la puissance associée, le roaming transparent ; tout ceci sans requérir de contrÎleurs centralisés.
- Lâapplication de la politique au plus prĂšs de lâutilisateur : la possibilitĂ© dâappliquer des
politiques granulaires de qualitĂ© de service, de sĂ©curitĂ© et dâaccĂšs au plus prĂšs de lâutilisateur, et en fonction du contexte, dĂ©finir par :
o LâidentitĂ© de lâutilisateur o Le type dâĂ©quipements (ordinateur, Smartphone, tablette, etcâŠ) o Les heures de connexion o Le site de connexion
- Le routage par le meilleur chemin : la capacité de tirer le meilleur parti des éléments
prĂ©cĂ©dents (contrĂŽle coopĂ©ratif, protocoles de routage et de maillage Ă©volutif, mise en Ćuvre des diffĂ©rentes politiques au plus proche des utilisateurs) pour permettre de transfĂ©rer le trafic via le chemin le plus performant et le plus disponible Ă un instant donnĂ© au sein du rĂ©seau maillĂ©, garantissant ainsi les meilleures performances et une haute disponibilitĂ©.
- 22 -
Copyright © 2017, Aerohive Networks, Inc.
La solution globale Aerohive
Aerohive propose une approche globale pour la mise en Ćuvre des architectures WLAN dâentreprises, en particulier pour les environnements distribuĂ©s (multi-sites). Cette solution globale repose sur :
- Les points dâaccĂšs HiveAP et les commutateurs prĂ©sentĂ©s prĂ©cĂ©demment.
- La solution dâadministration centralisĂ©e HiveManager prĂ©sentĂ©e prĂ©cĂ©demment.
- Des éléments complémentaires pour la fourniture de services avances : o « Guest Access » pour la gestion simplifiée des invités, intégré au HiveManager et
disponible en version Cloud ou Locale. o Solutions dĂ©diĂ©es aux commerçants grĂące aux solutions Cloud4Wi et Euclid, ainsi quâĂ
lâintĂ©gration de solution iBeacon. o Authentification et contrĂŽle dâaccĂšs en partenariat avec Microsoft, Cisco, Juniper. o Gestion des Ă©quipements mobiles avec AirWatch, JamF. o GĂ©olocalisation de personnes et dâĂ©quipements Ă base de tags RFID/Wi-Fi en
partenariat avec les solutions Aeroscout ou Ekahau. o Etude de couverture avec les solutions Airmagnet et Ekahau. o DĂ©tection dâintrusions sur le rĂ©seau Wi-Fi en partenariat avec Airtight. o Lecteurs de code barre, tĂ©lĂ©phones sans fil de particuliers ou dâentreprises. o La mise en place dâAPI permettant lâinteraction des solutions externes avec la solution
Aerohive.
- Des certifications dâorganismes de rĂ©fĂ©rence (Wi-Fi Alliance, PCI, CWNP,âŠ).
- 23 -
Copyright © 2017, Aerohive Networks, Inc.
Le schĂ©ma ci-aprĂšs prĂ©sente lâarchitecture WLAN globale et distribuĂ©e proposĂ©e par Aerohive. Elle permet le dĂ©ploiement gĂ©nĂ©ralisĂ© dâune solution unique de WLAN quel que soit le type de sites au sein de lâentreprise : site central, petite agence distante, entrepĂŽt, campus dâuniversitĂ©, hĂŽpitalâŠ
Figure 3 : Solution globale Aerohive
- 24 -
Copyright © 2017, Aerohive Networks, Inc.
CONCEPTS ET TERMINOLOGIE AEROHIVE Le diagramme ci-aprĂšs prĂ©sente les diffĂ©rents rĂŽles qui peuvent ĂȘtre dynamiquement attribuĂ©s aux points dâaccĂšs HiveAP selon leur mode de connexion avec le rĂ©seau.
Figure 4 : RĂŽles des points dâaccĂšs HiveAP et terminologie Aerohive
Lâarchitecture Ă contrĂŽle coopĂ©ratif dâAerohive repose sur les Ă©lĂ©ments et technologies suivantes :
- HiveAPTM : la marque du point dâaccĂšs sans fil Aerohive implĂ©mentant lâarchitecture CC-AP Ă contrĂŽle coopĂ©ratif (Cooperative Control Access Point). Les HiveAP se coordonnent mutuellement en utilisant les protocoles de contrĂŽle coopĂ©ratif permettant ainsi la mise en Ćuvre de fonctions avancĂ©es telles que la mobilitĂ©, lâitinĂ©rance, la gestion automatique des radios-frĂ©quences et le routage des donnĂ©es par le meilleur chemin.
- HiveOSTM : le systĂšme dâexploitation dĂ©veloppĂ© par Aerohive et embarquĂ© dans les HiveAP.
- HiveManagerTM NMS : une solution dâadministration centralisĂ©e des Ă©quipements Aerohive
permettant la configuration et la supervision des fonctions avancĂ©es telles que la configuration rĂ©seau et radio des HiveAP, la mise Ă jour simultanĂ©e de multiples Ă©quipements, la gestion des politiques dâaccĂšs et de sĂ©curitĂ© Ă base de profils utilisateurs, la dĂ©finition et lâapplication des rĂšgles dâauthentification et de firewall, âŠ
- Ruche (hive) : une ruche est un groupe de HiveAP partageant un nom de ruche et une clé
secrĂšte pour permettre lâĂ©change sĂ©curisĂ© des informations de contrĂŽle coopĂ©ratif via les diffĂ©rents protocoles de lâarchitecture Aerohive. Ainsi, au sein dâune ruche, les clients peuvent errer dâun HiveAP Ă un autre de maniĂšre transparente et tout en prĂ©servant leurs profils et paramĂštres de sĂ©curitĂ©, de qualitĂ© de service, de rĂ©seau et les connexions de donnĂ©es (sans perte de session).
- 25 -
Copyright © 2017, Aerohive Networks, Inc.
- Lien montant cĂąblĂ© : connexion Ethernet depuis un HiveAP vers le rĂ©seau cĂąble, typiquement dĂ©nommĂ©e systĂšme de distribution (distribution system â DS) dans les standards relatifs au mode sans fil, et utilisĂ©e pour ponter le trafic vers et depuis les rĂ©seaux LAN sans fil et cĂąblĂ©s.
- Lien montant sans fil (maillé) : connexions sans fil entre différents HiveAP utilisés pour créer
un réseau maillé sans fil et fournir des connexions sans fil pour transporter le trafic de contrÎle et les données.
- Lien dâaccĂšs sans fil : la connexion sans fil entre un client sans fil (ex. : PC portable, tĂ©lĂ©phone
IP, imprimante Wi-Fi, âŠ) et un HiveAP.
- Portail : un HiveAP qui dispose de connexions Ă la fois avec le rĂ©seau sans fil et le rĂ©seau filaire et fournit aux points maillĂ©s (voir aprĂšs) des routes par dĂ©faut au sein de la ruche. Ce rĂŽle est attribuĂ© de maniĂšre dynamique : si le cĂąble vient Ă ĂȘtre dĂ©branchĂ©, alors le HiveAP se transforme dynamiquement de portail en point maillĂ©.
- Point maillé (mesh point) : un HiveAP qui est connecté à la ruche via un lien montant sans fil
et qui nâutilise pas de connexion cĂąblĂ©e. Ce rĂŽle est attribuĂ© de maniĂšre dynamique : si un cĂąble vient Ă ĂȘtre branchĂ©, alors le HiveAP se transforme dynamiquement de point maillĂ© en portail.
- Signalisation de contrÎle coopératif : la communication entre les HiveAP utilisant les
protocoles de contrÎle coopératif.
- 26 -
Copyright © 2017, Aerohive Networks, Inc.
CONTROLE COOPERATIF GrĂące Ă lâutilisation du contrĂŽle coopĂ©ratif â une technologie clĂ© de lâarchitecture Aerohive â les HiveAP sont capable de fournir, en coopĂ©rant avec leurs voisins, des fonctions avancĂ©es de contrĂŽle telles que la gestion dynamique des radios frĂ©quences, la mobilitĂ© niveau 2/niveau 3, le partage de la charge des clients, le maillage par la radio⊠éliminant ainsi tout besoin dâĂ©quipement central prenant lâensemble des dĂ©cisions et contrĂŽlant lâinfrastructure.
Les protocoles de contrÎle coopératif
Le contrÎle coopératif, auto-organisé, repose sur les protocoles suivants :
- AMRP (Aerohive Mobility Routing Protocol) : AMRP fournit aux HiveAP la capacitĂ© de dĂ©couvrir automatiquement leurs voisins, le routage du trafic par le meilleur chemin (niveau 2 MAC) au travers dâun rĂ©seau maillĂ© avec ou sans fil et en transmettant localement le trafic en cas de panne, la distribution proactive et prĂ©dictive des informations dâidentitĂ© et des clĂ©s Ă lâensemble des HiveAP voisins permettant aux clients une mobilitĂ© rapide, transparente et sĂ©curisĂ©e entre HiveAP et tout en conservant leur Ă©tat (authentification, clĂ©s de chiffrement, sessions firewall) et en maintenant lâapplication de leurs paramĂštres de qualitĂ© de service.
- ACSP (Automatic Channel Selection Protocol) : ACSP est utilisé par les HiveAP pour analyser
les ondes radios et travailler conjointement pour dĂ©terminer les meilleurs paramĂštres pour lâorganisation des canaux radios et de la puissance pour les accĂšs clients et le maillage sans fil. ACSP permet de minimiser automatiquement les interfĂ©rences provenant dâun mĂȘme canal radio ou de canaux adjacents optimisant ainsi les performances du rĂ©seau sans fil.
- DNXP (Dynamic Network eXtension Protocol) : DNXP permet de créer dynamiquement des
tunnels entre HiveAP et entre diffĂ©rents sous-rĂ©seaux IP, assurant ainsi aux clients mobiles lâerrance transparente entre ces diffĂ©rents sous-rĂ©seaux et tout en conservant leurs paramĂštres IP dâorigine, leur identitĂ©/authentification, leurs clĂ©s de chiffrement, leurs sessions et leur profil de qualitĂ© de service et de sĂ©curitĂ©. On parle de roaming de niveau 3.
- INXP (Identity-based Network eXtension Protocol) : INXP permet de renvoyer automatiquement le trafic des clients Wi-Fi dans un tunnel GRE pour le vĂ©hiculer vers dâautres points dâaccĂšs HiveAP. Ceci est particuliĂšrement utilisĂ© dans le cas dâaccĂšs invitĂ©s et sur un rĂ©seau ne disposant pas dâun VLAN invitĂ©s pour isoler les flux rĂ©seau.
Ces protocoles de contrĂŽle coopĂ©ratif permettent aux points dâaccĂšs HiveAP de travailler ensembles tel un seul systĂšme fournissant mobilitĂ©, sĂ©curitĂ©, contrĂŽle de lâespace radio et des frĂ©quences, Ă©volutivitĂ© et rĂ©silience : des fonctions essentielles pour les rĂ©seaux sans fil dâentreprises.
- 27 -
Copyright © 2017, Aerohive Networks, Inc.
Auto-découverte et auto-organisation des HiveAP
Lâarchitecture Ă contrĂŽle coopĂ©ratif simplifie les dĂ©ploiements en sĂ©rie de HiveAP en permettant aux points dâaccĂšs de se dĂ©couvrir mutuellement et automatiquement et en synchronisant pro-activement leur Ă©tat rĂ©seau. Les HiveAP peuvent ainsi se dĂ©couvrir mutuellement selon quâils sont connectĂ©s entre eux via le rĂ©seau cĂąblĂ© (en filaire) ou via le rĂ©seau sans fil (en radio). Lorsque lâon allume un HiveAP, il commence Ă sonder son voisinage rĂ©seau (filaire et radio) Ă la recherche de voisins. Si ces voisins partagent la mĂȘme ruche (hive) et le mĂȘme secret, alors une connexion sĂ©curisĂ©e est Ă©tablie entre ce HiveAP et chacun de ses voisins en utilisant lâalgorithme de chiffrement AES si la communication est effectuĂ©e via le lien montant filaire, ou WPA2 et AES-CCMP si la communication est rĂ©alisĂ©e via le lien montant radio. Une fois les connexions Ă©tablies entre voisins membres dâune mĂȘme ruche, les messages des protocoles de contrĂŽle coopĂ©ratif sont Ă©changĂ©s permettant la mise en Ćuvre des diffĂ©rentes fonctions avancĂ©es Ă©voquĂ©es prĂ©cĂ©demment. Si un HiveAP dĂ©couvre dans son voisinage radio un autre HiveAP, membre de la mĂȘme ruche et partageant le mĂȘme secret, mais dans un sous-rĂ©seau diffĂ©rent, alors ils Ă©changeront mutuellement leurs informations et Ă©tabliront des communications IP via le rĂ©seau routĂ© (niveau 3) de maniĂšre dynamique et uniquement lorsque nĂ©cessaire. Les fonctions de contrĂŽle coopĂ©ratif sont ainsi implĂ©mentĂ©es mĂȘme au niveau de la couche 3. LâintĂ©rĂȘt majeur des protocoles de contrĂŽle coopĂ©ratif rĂ©side dans le fait quâils nâont pas besoin dâĂȘtre configurĂ©s au prĂ©alable mais sâexĂ©cutent automatiquement et sans intervention dâun administrateur rĂ©seau, permettant ainsi une diminution importante des coĂ»ts opĂ©rationnels et des efforts nĂ©cessaires au dĂ©ploiement dâune solution de rĂ©seau sans fil moderne et Ă©volutive.
- 28 -
Copyright © 2017, Aerohive Networks, Inc.
ContrÎle coopératif des radios fréquences
Dans le but dâĂ©liminer les interfĂ©rences provenant dâun mĂȘme canal radio ou de canaux adjacents, et afin de pouvoir rĂ©agir aux changements dans lâenvironnement radio, les points dâaccĂšs HiveAP utilisent le protocole ACSP (Automatic Channel Selection Protocol) pour coopĂ©rer entre eux et sĂ©lectionner automatiquement les meilleurs canaux radios que chacun utilisera. ACSP assure une utilisation optimale de lâespace radio et des canaux pour une plus grande performance du rĂ©seau sans fil.
Figure 5 : Exemple de problématique de gestion des canaux en radio 802.11
Les HiveAP utilisent ACSP afin de scanner les canaux radios et construire des tables listant les Ă©quipements sans fil dĂ©couverts dans lâespace radio. Ces tables sont ensuite utilisĂ©es pour identifier et classifier les interfĂ©rences. Les HiveAP sâĂ©changent alors mutuellement les informations relatives Ă ACSP et utilisent les donnĂ©es collectĂ©es pour sâassigner un canal et un niveau de puissance dâĂ©mission fonction de la topologie et de la configuration du rĂ©seau sans fil. Si les 2 radios (a/n/ac et b/g/n) dâun mĂȘme point dâaccĂšs HiveAP sont utilisĂ©es pour lâaccĂšs des clients sans fil, alors ACSP dĂ©termine les canaux optimaux utilisĂ©s par les radios du HiveAP afin de minimiser les interfĂ©rences avec ses voisins. Ceci sâeffectue en garantissant que chaque HiveAP utilise un canal diffĂ©rent de ses voisins immĂ©diats et en ajustant la puissance dâĂ©mission pour minimiser les interfĂ©rences avec les HiveAP plus distants mais utilisant le mĂȘme canal. Si un point dâaccĂšs HiveAP utilise lâune de ses deux radios comme lien montant vers le rĂ©seau (connexion maillĂ©e backhaul), alors ACSP va dĂ©terminer le canal utilisĂ© par les HiveAP pour pouvoir communiquer ensemble via ce lien montant radio, tout en continuant de minimiser les interfĂ©rences pour lâaccĂšs des clients sans fil sur lâautre radio. Afin dâobtenir des performances optimales sur le rĂ©seau sans fil, ACSP peut ĂȘtre programmĂ© pour redĂ©finir quotidiennement, Ă une heure configurable et quand les clients ne sont pas connectĂ©s, la rĂ©partition des canaux radios. Ceci permet de sâassurer que les canaux radios ne sont pas modifiĂ©s lorsquâils sont utilisĂ©s par des clients sans fil, Ă©vitant ainsi toute interruption de service.
- 29 -
Copyright © 2017, Aerohive Networks, Inc.
La mobilité dans un réseau sans fil
Les problĂšmes de mobilitĂ© avec les points dâaccĂšs autonome
La mobilitĂ© rapide â i.e. le passage dâun point dâaccĂšs Wi-Fi Ă un autre que lâon appelle souvent roaming ou handover â est gĂ©nĂ©ralement dĂ©finie comme intervenant en quelques dizaines de millisecondes afin de ne pas ĂȘtre perceptible par lâutilisateur humain. Ceci est particuliĂšrement important lorsque lâon exĂ©cute des applications temps-rĂ©el telles que la voix oĂč une interruption dans la connexion peut engendrer des blancs dans la conversation, du bruit de fond, voire mĂȘme des pertes dâappel.
Avec les points dâaccĂšs autonomes traditionnels, indĂ©pendants les uns des autres, la mobilitĂ© rapide et transparente sur le rĂ©seau sans fil sĂ©curisĂ©, utilisant la norme IEEE 802.1X et EAP pour lâauthentification, nâest tout simplement pas possible. Ceci sâexplique par le fait que, durant lâauthentification, le serveur Radius, le client sans fil et le point dâaccĂšs Ă©changent des informations et gĂ©nĂšrent des clĂ©s de chiffrement utilisĂ©es ensuite pour communiquer de maniĂšre sĂ©curisĂ©e entre eux. Si le client sans fil erre et se connecte sur un autre point dâaccĂšs, celui-ci ne disposant pas des
clĂ©s crĂ©Ă©es lors de la connexion initiale avec le prĂ©cĂ©dent point dâaccĂšs, le client sans fil doit alors rĂ©pĂ©ter complĂštement le processus dâauthentification auprĂšs du serveur Radius, et gĂ©nĂ©rer des clĂ©s de chiffrement avec le nouveau point dâaccĂšs. Au cours de ce processus, les sessions existantes, particuliĂšrement sensibles Ă la latence ou Ă la gigue, sont alors perdues. Câest notamment valable pour les communications voix et mĂȘme les simples transferts de fichiers qui sont alors interrompus et doivent ĂȘtre rĂ©initialisĂ©s.
Figure 6 : MobilitĂ© et points dâaccĂšs autonomes
- 30 -
Copyright © 2017, Aerohive Networks, Inc.
La solution de mobilité Aerohive rapide et transparente (layer 2 roaming)
Aerohive a rĂ©solu ce problĂšme critique des points dâaccĂšs autonomes par lâutilisation du protocole de routage AMRP prĂ©sentĂ© prĂ©cĂ©demment. GrĂące Ă AMRP, et quâils soient connectĂ©s en filaire ou en radio les uns aux autres, les points dâaccĂšs HiveAP voisins coopĂšrent entre eux afin de sâĂ©changer de maniĂšre prĂ©dictive lâĂ©tat dâauthentification des clients, les informations dâidentitĂ© et les clĂ©s de chiffrement. Ceci permet aux clients de « roamer » entre diffĂ©rents points dâaccĂšs HiveAP dâun mĂȘme voisinage de maniĂšre rapide, transparente et sĂ©curisĂ©e. Le diagramme ci-aprĂšs liste les diffĂ©rentes Ă©tapes du processus dâitinĂ©rance rapide entre plusieurs HiveAP.
Ătape 1 : une fois le client sans fil authentifiĂ© par le serveur Radius via 802.1X EAP, lâinformation Ă©changĂ©e entre le serveur Radius et le client est utilisĂ©e pour dĂ©river une clĂ© appelĂ©e PMK (pairwise master key). Cette clĂ© PMK est partagĂ©e par le client sans fil et le serveur Radius. Ătape 2 : le serveur Radius transfĂšre la clĂ© PMK au point dâaccĂšs HiveAP pour que le client et le HiveAP puisse Ă©tablir une connexion chiffrĂ©e sĂ©curisĂ©e entre eux. Ătape 3 : le point dâaccĂšs HiveAP distribue alors la clĂ© et les informations dâidentitĂ© de lâutilisateur Ă tous les HiveAP voisins pour sâassurer que si le client erre sur un HiveAP voisin, le processus dâauthentification et dâĂ©change des clĂ©s nâaura pas
besoin dâĂȘtre rĂ©pĂ©tĂ©, permettant ainsi un temps dâitinĂ©rance trĂšs court. Note : pour des considĂ©rations de sĂ©curitĂ©, les informations dâidentitĂ© et la clĂ© distribuĂ©es entre les HiveAP sont chiffrĂ©es via lâalgorithme AES et sont stockĂ©es en mĂ©moire sur chacun des HiveAP. De cette maniĂšre, toutes les clĂ©s sont effacĂ©es du systĂšme, ainsi que lâidentitĂ© de tous les utilisateurs, lorsquâun HiveAP est Ă©teint. En outre, aucun administrateur, quels que soient ses droits, ne peut avoir accĂšs Ă ces informations, et en particulier aux clĂ©s de chiffrement. Ces mesures de sĂ©curitĂ© Ă©vitent que les clĂ©s ne soient obtenues de maniĂšre frauduleuse dans le cas oĂč un individu malveillant viendrait Ă Ă©couter le trafic sur le rĂ©seau (filaire ou sans fil) ou bien si le HiveAP lui-mĂȘme venait Ă ĂȘtre compromis. ParallĂšlement Ă la distribution des clĂ©s entre les HiveAP voisins, AMRP distribue Ă©galement les informations dâidentitĂ© des utilisateurs afin de permettre lâapplication continue des rĂšgles de firewall et des paramĂštres de qualitĂ© de service (QoS) qui sont propres Ă chaque profil dâutilisateurs. Ainsi, tout au long de lâitinĂ©raire de lâutilisateur mobile, la sĂ©curitĂ© et la qualitĂ© de service sont maintenues. Pour finir, et pour optimiser les fonctions de roaming avec des clients rĂ©cents, Aerohive certifie ses points dâaccĂšs avec la certification Voice Enterprise de la Wi-Fi Alliance. Cette certification intĂšgre les amendements 802.11k, 802.11v et 802.11r permettant dâoptimiser les phases de roaming, la gestion des ressources radio et la dĂ©couverte des points dâaccĂšs par les clients Wi-Fi.
Figure 7 : Mobilité entre plusieurs HiveAP
- 31 -
Copyright © 2017, Aerohive Networks, Inc.
La solution de mobilité Aerohive rapide et sécurisée de niveau 3 (layer 3 roaming)
La mobilitĂ© dans les rĂ©seaux IP traditionnels est un vĂ©ritable challenge du fait que lorsque les utilisateurs errent dâun sous-rĂ©seau Ă un autre sous-rĂ©seau, leurs paramĂštres IP changent, entrainant des coupures et des terminaisons pour les applications qui reposent sur des sessions IP. Pour permettre aux utilisateurs de maintenir leurs paramĂštres IP et leurs connections rĂ©seaux au cours de leur processus dâitinĂ©rance sur le rĂ©seau sans fil, Aerohive a dĂ©veloppĂ© le protocole DNXP (Dynamic Network eXtension Protocol). Au moment oĂč un utilisateur mobile erre dâun HiveAP Ă un autre HiveAP connectĂ© Ă un sous-rĂ©seau IP diffĂ©rent, DNXP est utilisĂ© pour Ă©tablir dynamiquement un tunnel9 initiĂ© depuis le nouveau HiveAP vers lâancien HiveAP dâoĂč est originaire lâutilisateur. Le trafic de lâutilisateur est alors totalement envoyĂ© dans ce tunnel directement vers son sous-rĂ©seau IP initial, permettant ainsi au client de conserver ses paramĂštres IP dâorigine (en particulier son adresse IP), ses informations dâauthentification et dâidentitĂ©, ses clĂ©s de chiffrement, ses paramĂštres de sĂ©curitĂ© rĂ©seau (firewall) et de qualitĂ© de service (QoS),⊠et ce bien que lâutilisateur soit maintenant connectĂ© Ă un HiveAP dâun sous-rĂ©seau totalement distinct. Cette technique est particuliĂšrement apprĂ©ciable lorsque les clients mobiles utilisent des applications de voix sur le rĂ©seau sans fil (VoWLAN). Lorsque lâitinĂ©rance de niveau 3 est active, les HiveAP prennent connaissance de leurs voisins de niveau 3 (dans un sous-rĂ©seau distinct) soit par configuration de lâadministrateur rĂ©seau (sur le HiveManager), soit par dĂ©couverte automatique en sondant les canaux radios. Alors, les points dâaccĂšs HiveAP construisent des relations de voisinage entre eux. Lorsque des voisins de niveau 3 sont dĂ©couverts, les HiveAP de sous-rĂ©seaux diffĂ©rents Ă©changent leurs listes de portails HiveAP disponibles ainsi que la liste des clients connectĂ©s et le contenu de leur cache dâitinĂ©rance (roaming cache contenant la clĂ© PMK, lâidentifiant PMKID, les adresses MAC du client et du HiveAP initial, la durĂ©e de vie de la clĂ©, etc.). Ceci sâeffectue uniquement entre voisins. De cette maniĂšre, si un client erre vers un nouveau sous-rĂ©seau, le HiveAP de ce nouveau rĂ©seau connait de maniĂšre proactive le client et peut dynamiquement construire le tunnel qui lui permet de renvoyer le trafic du client vers son HiveAP initial dans son sous-rĂ©seau dâorigine, permettant ainsi un processus de mobilitĂ© rapide, sĂ©curisĂ©e, transparente pour lâutilisateur et ses applications.
9 Ce tunnel est un tunnel GRE (Generic Routine Encapsulation), de niveau 2, normalisĂ© par lâIETF (RFC 2784).
Figure 8 : Contenu du cache relatif aux informations de
mobilité des utilisateurs
- 32 -
Copyright © 2017, Aerohive Networks, Inc.
Le diagramme ci-aprĂšs prĂ©sente les diffĂ©rentes Ă©tapes rĂ©alisĂ©es par les HiveAP au cours du processus dâerrance dâun client mobile entre diffĂ©rent sous-rĂ©seaux IP.
Ătape 1 : le client mobile effectue une itinĂ©rance de niveau 2, transparente, au sein du sous-rĂ©seau A entre le HiveAP 1 et le HiveAP 2. Ătape 2 : aprĂšs avoir effectuĂ© avec succĂšs lâitinĂ©rance vers le HiveAP 2, ce dernier envoie, au travers du rĂ©seau Ethernet et Ă lâensemble des HiveAP appartenant Ă des sous-rĂ©seaux voisins, un paquet chiffrĂ© contenant les informations de contrĂŽle. Ce paquet contient les informations de cache dâitinĂ©rance relatif au client mobile connectĂ© et Ă son sous-rĂ©seau
dâorigine. Ătape 3 : lorsque le client se dĂ©place vers le HiveAP 3 connectĂ© au sous-rĂ©seau B, ses informations dâidentitĂ© et ses clĂ©s sont dĂ©jĂ connues du nouveau point dâaccĂšs, qui sait Ă©galement que le client provient du sous-rĂ©seau A. Le client maintien ainsi son adresse IP dans le sous-rĂ©seau A et tout le trafic est envoyĂ© dans un tunnel GRE via le LAN et vers le HiveAP 2 dâoĂč provient le client. De mĂȘme, de maniĂšre prĂ©dictive et itĂ©rative, le HiveAP 3 renvoie les informations relatives au client mobile au HiveAP 4, en anticipant une Ă©ventuelle mobilitĂ© du client au sein du sous-rĂ©seau B. Les tunnels sont Ă©tablis et maintenus uniquement en fonction du besoin et sont automatiquement terminĂ©s sâils ne sont pas utilisĂ©s par le client (par exemple, lorsque le client nâa plus aucune session ouverte). De plus, un mĂȘme tunnel peut ĂȘtre utilisĂ© par de multiples clients, ce qui permet dâoptimiser les Ă©changes entre HiveAP et dâaugmenter les performances du rĂ©seau. En rĂ©sumĂ©, grĂące aux HiveAP et au contrĂŽle coopĂ©ratif, les clients sans fil ont la possibilitĂ© dâerrer de maniĂšre rapide et sĂ©curisĂ©e au sein de lâinfrastructure rĂ©seau sans fil reposant sur les points dâaccĂšs HiveAP, au sein dâun mĂȘme sous-rĂ©seau IP ou entre diffĂ©rents sous-rĂ©seaux, et ce sans impacter les applications du client et les connexions voix.
Ăquilibrage de la charge du tunnel dans des environnements Ă forte mobilitĂ© de niveau 3
Le procĂ©dĂ© de mobilitĂ© transparente de niveau 3 proposĂ© par Aerohive permet une facilitĂ© dans la gestion du chemin parcouru par des clients sans fil au sein du rĂ©seau et une importante Ă©volutivitĂ© grĂące Ă lâutilisation de lâĂ©quilibrage de la charge des tunnels, permettant ainsi de distribuer lesdits tunnels entre diffĂ©rents portails HiveAP dâun mĂȘme sous-rĂ©seau. Ce procĂ©dĂ© Ă©tend le principe plus gĂ©nĂ©ral de distribution de la capacitĂ© de traitement entre diffĂ©rents HiveAP afin de supporter plusieurs milliers de tunnels pour lâitinĂ©rance de niveau 3 et un dĂ©bit cumulĂ© de plusieurs gigabits entre diffĂ©rents sous-rĂ©seaux. Lorsquâun HiveAP dâun sous-rĂ©seau distant tente dâĂ©tablir un tunnel avec un autre HiveAP du sous-rĂ©seau dâorigine, si ledit HiveAP connectĂ© au sous-rĂ©seau initial a un niveau de charge Ă©levĂ©, alors il en informe le HiveAP du sous-rĂ©seau distant et lui demande dâĂ©tablir le tunnel avec un autre portail
Figure 9 : Processus de mobilité entre sous-réseaux IP de
niveau 3 (layer 3 roaming)
- 33 -
Copyright © 2017, Aerohive Networks, Inc.
HiveAP de son sous-rĂ©seau. Ceci Ă©vite dâutiliser Ă outrance un unique HiveAP pour terminer les tunnels GRE.
Equilibrage de la charge des clients sans fil
TrĂšs souvent dans un rĂ©seau sans fil, les utilisateurs dâune mĂȘme zone gĂ©ographique sont, Ă leur insu, tous connectĂ©s au mĂȘme point dâaccĂšs qui est alors surchargĂ©, quand bien mĂȘme dâautres points dâaccĂšs aux alentours sont sous-utilisĂ©s. Ceci peut avoir un impact significatif sur les performances des connexions des clients et peut entrainer des dĂ©sagrĂ©ments dâutilisation. En consĂ©quence, il est logique dâencourager les clients Ă se connecter sur les points dâaccĂšs les moins sollicitĂ©s, et de les rĂ©partir sur les deux bandes de frĂ©quences. Afin de distribuer les clients entre plusieurs HiveAP dâune mĂȘme infrastructure de contrĂŽle coopĂ©ratif, Aerohive a implĂ©mentĂ© un procĂ©dĂ© dâĂ©quilibrage de la charge sur ses HiveAP. Dans le cas oĂč un HiveAP devient dĂ©mesurĂ©ment utilisĂ©, et en fonction de la charge totale du systĂšme, de la quantitĂ© de connexions voix, du nombre total de clients attachĂ©s au HiveAP et de la qualitĂ© du signal desdits clients, le HiveAP peut dĂ©cider de transfĂ©rer une partie de sa charge provenant des clients vers un autre HiveAP plus appropriĂ© car moins sollicitĂ©, tout en contrĂŽlant lâadmission des clients afin de prĂ©venir toute surexploitation du procĂ©dĂ©. Ce dernier point est trĂšs important puisquâil permet de sâassurer que la charge sur un HiveAP est suffisamment contrĂŽlĂ©e et capĂ©e afin de permettre Ă des clients potentiellement itinĂ©rants de se connecter en cas de mobilitĂ©. Ce procĂ©dĂ© est particuliĂšrement utile pour la voix sur le rĂ©seau sans fil car il permet de sâassurer que le HiveAP dispose dâassez de capacitĂ© libre pour accueillir des clients voix mobiles et quâil y a suffisamment de temps dâantenne disponible pour garantir la qualitĂ© de la communication voix.
Figure 10 : - Gestion de la bande passante entre les utilisateurs, les appareils et les applications
De mĂȘme, la majoritĂ© des stations peuvent avoir tendance Ă se connecter sur la bande des 2.4GHz quand bien mĂȘme elles sont compatibles avec la bande des 5GHz. Dans le cas oĂč les HiveAP dĂ©tectent quâune station est compatible avec la bande des 5GHz, ils peuvent choisir de la basculer sur cette bande de frĂ©quence pour rĂ©partir intelligemment les stations sur lâensemble des canaux disponibles.
- 34 -
Copyright © 2017, Aerohive Networks, Inc.
APPLICATION DE LA POLITIQUE A LâENTREE DU RESEAU En permettant lâapplication de la politique au plus proche de lâutilisateur, Ă lâentrĂ©e du rĂ©seau, les points dâaccĂšs HiveAP peuvent appliquer des politiques de sĂ©curitĂ©, de contrĂŽle dâaccĂšs et de qualitĂ© de service puissantes et flexibles, fonction de lâidentitĂ© de lâutilisateur et du contexte., permettant ainsi de ne laisser entrer sur le rĂ©seau de lâentreprise que le trafic dument autorisĂ©. Câest un Ă©lĂ©ment essentiel de la technologie de contrĂŽle coopĂ©ratif et de lâarchitecture distribuĂ©e de la solution Aerohive : appliquer des politiques de contrĂŽle au trafic local au niveau du point dâaccĂšs permet au moteur de firewall et de protection contre les dĂ©nis de service de valider le trafic au point dâentrĂ©e et ce avant mĂȘme quâil soit transmis au rĂ©seau au travers du HiveAP. De mĂȘme, il permet au moteur de qualitĂ© de service de rĂ©pondre instantanĂ©ment et en temps rĂ©el aux variations de dĂ©bit inhĂ©rentes Ă tout environnement radio dynamique. Appliquer la politique en pĂ©riphĂ©rie du rĂ©seau fournit un contrĂŽle substantiellement meilleur que toute autre solution appliquant le mĂȘme contrĂŽle bien plus loin dans le rĂ©seau, par exemple au niveau dâun contrĂŽleur centralisĂ©.
Des politiques basées sur les profils utilisateurs et le contexte
La solution Aerohive dĂ©finit diffĂ©rents groupes de politiques dâaccĂšs correspondant Ă diffĂ©rentes classes dâutilisateurs et ce au travers de la crĂ©ation de profil dâutilisateurs. Chaque profil dâutilisateurs permet de dĂ©finir :
- Un VLAN. - Une politique de qualité de service (QoS). - Une politique de firewall (MAC, TCP/IP et
applicatif). - Une politique de mobilitĂ© de niveau 3. - Une politique dâhoraires de connexion.
Chaque utilisateur est alors associĂ© Ă un profil lorsquâil se connecte au rĂ©seau sans fil. Si un utilisateur sâauthentifie avec le HiveAP en utilisant une authentification 802.1X/EAP, le serveur Radius peut retourner lâattribut de profil utilisateur correspondant au HiveAP qui va alors associer lâutilisateur au profil dĂ©fini. En outre, lâattribut de profil utilisateur retournĂ© par le serveur Radius peut ĂȘtre dĂ©fini en fonction de lâappartenance de lâutilisateur Ă un groupe Active Directory, LDAP ou Ă un domaine Radius (realm). Si la phase dâauthentification ne permet pas dâidentifier lâutilisateur (par exemple, une connexion par clĂ© WPA partagĂ©e), alors le profil utilisateur peut ĂȘtre assignĂ© en fonction du SSID sur lequel lâutilisateur est connectĂ©.
Figure 11 : AccÚs au réseau en fonction du
contexte
- 35 -
Copyright © 2017, Aerohive Networks, Inc.
En plus de lâidentitĂ© de lâutilisateur, le profil peut ĂȘtre assignĂ© en fonction dâautres informations liĂ©es au contexte, telles que le type dâĂ©quipement utilisĂ© pour se connecter (ordinateur, smartphone, IoT, âŠ), lâheure de connexion, ou le lieu de connexion. Le profil utilisateur assignĂ© Ă un client demeure liĂ© Ă celui-ci et ce mĂȘme sâil erre entre diffĂ©rents points dâaccĂšs HiveAP au sein du rĂ©seau. En outre, la granularitĂ© de configuration des HiveAP permet aux administrateurs de configurer des politiques identiques quel que soit la localisation du client, ou bien dâadapter la politique en fonction du lieu oĂč se connecte le client, par exemple en modifiant le numĂ©ro de VLAN utilisĂ© tout en conservant les autres paramĂštres (ex. rĂšgles de firewall et de QoS). Autre exemple de granularitĂ© : les HiveAP dâun bĂątiment peuvent spĂ©cifier dans le profil utilisateur une politique de QoS ne limitant pas lâutilisation de la bande passante ; cependant, dans un autre bĂątiment oĂč la bande passante sera plus restreinte et coĂ»teuse, les HiveAP peuvent spĂ©cifier une rĂšgle de limitation plus stricte du volume de trafic. Et lorsque lâutilisateur errera entre les diffĂ©rents bĂątiments, il conservera le mĂȘme attribut de profil utilisateur, mais la politique correspondante sera automatiquement modifiĂ©e en fonction de la localisation du HiveAP sur lequel est connectĂ© le client. Le diagramme ci-aprĂšs montre un exemple dâutilisation du profil utilisateur.
Figure 12 : Exemple de rÚgles de classification basées sur le contexte
Dans cet exemple, lorsquâun utilisateur sâauthentifie et se connecte au SSID Corp_Wi-Fi, le serveur Radius retourne un numĂ©ro dâattribut de profil utilisateur pour cet utilisateur spĂ©cifique et le HiveAP utilise cette valeur ainsi que les autres informations du contexte pour lier lâutilisateur au profil correspondant, garantissant ainsi que les politiques adĂ©quates lui sont appliquĂ©es. Cette mise en correspondance de numĂ©ro dâattributs et de profils utilisateurs peut ĂȘtre diffĂ©rente dans diffĂ©rentes zones du rĂ©seau, permettant lâapplication dâune politique globale ou diffĂ©renciĂ©e en fonction de la localisation du client. Toujours dans cet exemple et dans les diffĂ©rentes localisations de lâutilisateur, un numĂ©ro de VLAN distinct et des politiques de QoS diffĂ©renciĂ©es, mais les mĂȘmes rĂšgles de firewall et de mobilitĂ©, sont
- 36 -
Copyright © 2017, Aerohive Networks, Inc.
appliquĂ©es Ă lâutilisateur. De mĂȘme, dâautres utilisateurs mobiles peuvent errer dans les mĂȘmes zones du rĂ©seau et se verront attribuer des numĂ©ros de VLAN et des politiques diffĂ©rentes. Ceci permet aux administrateurs de crĂ©er des politiques dâaccĂšs basĂ©es Ă la fois sur lâidentitĂ© de lâutilisateur et sa localisation.
Application de la politique de QualitĂ© de Service au plus proche de lâutilisateur
A chaque fois que des donnĂ©es sont transmises depuis un rĂ©seau Ă haut dĂ©bit, tel quâun rĂ©seau Ethernet filaire, vers un rĂ©seau Ă plus bas dĂ©bit, tel quâun rĂ©seau sans fil, il existe un risque important de perte de paquets et de dĂ©gradation des performances. Lâanalogie la plus Ă©vidente est une autoroute Ă 4 voies qui se rĂ©trĂ©cirait en 2 voies et sur laquelle un vĂ©hicule de secours, par exemple une ambulance, doit progresser le plus rapidement possible un jour de congestion. Lorsque le trafic est envoyĂ© depuis un rĂ©seau filaire vers un rĂ©seau sans fil, et afin dâassurer des performances optimales pour les applications critiques telles que la voix ou la vidĂ©o, sans porter prĂ©judice aux performances des applications Ă plus faible prioritĂ© telles que le courrier Ă©lectronique et le Web, des techniques de qualitĂ© de services (QoS) avancĂ©es sont nĂ©cessaires. Pour rĂ©pondre Ă ce besoin, Aerohive a dĂ©veloppĂ© un moteur de QoS embarquĂ© dans chaque HiveAP afin dâassurer des performances optimales pour chaque type de trafic (haute ou basse prioritĂ©). En outre, la puissance nĂ©cessaire pour traiter correctement la qualitĂ© de service est distribuĂ©e au sein de chaque HiveAP, ce qui permet un traitement rĂ©parti du trafic global sur le rĂ©seau sans fil au lieu dâun traitement central sur un seul contrĂŽleur qui doit alors traiter lâensemble du trafic. Cette approche permet une Ă©volutivitĂ© linĂ©aire lorsque de nouveaux HiveAP sont ajoutĂ©s, et ce sans congestion ni goulet dâĂ©tranglement.
Le standard 802.11e/WMM et ses limites
Lâune des technologies de qualitĂ© de service pour les rĂ©seaux sans fil implĂ©mentĂ©es dans les points dâaccĂšs modernes est la norme IEEE 802.11e10/WMM (Wireless Multi-Media). Avec WMM, le trafic provenant dâun HiveAP peut ĂȘtre priorisĂ© avant transmission sur le rĂ©seau sans fil. Le trafic est alors classifiĂ© en 4 catĂ©gories, qui sont ensuite mises en file dâattente et hiĂ©rarchisĂ©es en fonction du temps et de la sensibilitĂ© des donnĂ©es. Les catĂ©gories les plus prioritaires peuvent utiliser un plus petit dĂ©lai inter-trame et une plus petite fenĂȘtre de dĂ©gagement pour permettre une transmission sur le rĂ©seau sans fil avec moins de dĂ©lai et de retard. Bien que WMM assure un traitement adĂ©quat pour la transmission du trafic prioritaire sur le rĂ©seau sans fil, il nâen est pas de mĂȘme pour les files dâattente Ă moindre prioritĂ©. Ainsi, puisque WMM utilise des files dâattente Ă prioritĂ© stricte, si un trafic voix ou vidĂ©o est en cours de transmission sur le rĂ©seau sans fil, il est fort probable que les files dâattente de prioritĂ© infĂ©rieure se retrouvent rapidement encombrĂ©es et congestionnĂ©es du fait de lâimpossibilitĂ© de transmettre leurs donnĂ©es sur le rĂ©seau.
10 IEEE 802.11e : voir pour plus de détails http://fr.wikipedia.org/wiki/IEEE_802.11e.
- 37 -
Copyright © 2017, Aerohive Networks, Inc.
Et lorsquâune file dâattente est pleine, mĂȘme momentanĂ©ment, les paquets sont systĂ©matiquement rejetĂ©s. Ceci ne semble pas constituer un problĂšme essentiel, puisque si les paquets sont rejetĂ©s, et surtout si le protocole utilisĂ© est TCP, alors ils seront retransmis. Et pourtant, il nâen est rien. Il sâagit bien lĂ dâun problĂšme majeur. En effet, puisque TCP utilise un algorithme intĂ©grĂ© dâĂ©vitement de congestion qui divise la fenĂȘtre de contention par deux lorsquâun paquet est rejetĂ©, les performances TCP peuvent gravement affectĂ©es. Bien que les applications classifiĂ©es en prioritĂ© Ă©levĂ©e ne sont pas affectĂ©es, les applications Ă prioritĂ© basse, telles que le Web et le courrier Ă©lectronique, peuvent en subir les consĂ©quences. En utilisant des techniques avancĂ©es de QoS pour augmenter les capacitĂ©s de WMM, il est possible de dâattĂ©nuer les pertes de paquets et assurer des performances bien meilleures pour ces applications Ă basse prioritĂ©.
La solution de QoS implémentée par Aerohive et étendant les principes de 802.11e/WMM
Dans le but dâassurer une transmission trĂšs efficace de la voix et de la vidĂ©o, mais Ă©galement de minimiser les consĂ©quences liĂ©es Ă dâĂ©ventuelles pertes de paquets dues Ă une congestion momentanĂ©e des files dâattente WMM, Aerohive Ă©tend les fonctions de WMM en implĂ©mentant un procĂ©dĂ© de classification avancĂ©e, des politiques de traitement spĂ©cifique (limitation du dĂ©bit), une mise en file dâattente et un mĂ©canisme spĂ©cifique dâordonnancement des paquets au sein de chaque HiveAP. Le diagramme ci-aprĂšs prĂ©sente un exemple simple de la sĂ©rie de traitements appliquĂ©s au trafic par le moteur de qualitĂ© de service embarquĂ© dans un HiveAP.
Figure 13 : Application de la politique de QoS au plus proche de lâutilisateur
Le traitement appliquĂ© par le HiveAP au trafic en provenance du rĂ©seau, afin dâassurer une qualitĂ© de service optimale, repose sur 6 Ă©tapes essentielles :
- 38 -
Copyright © 2017, Aerohive Networks, Inc.
- Ătape 1 : le trafic est envoyĂ© depuis le rĂ©seau filaire vers le HiveAP.
- Ătape 2 : lorsque des paquets arrivent du lien montant Ethernet, du lien radio maillĂ© ou dâune
connexion dâaccĂšs, le trafic est assignĂ© au profil utilisateur adĂ©quat, permettant de dĂ©finir la politique de QoS Ă appliquer.
- Ătape 3 : lâordonnanceur de paquets catĂ©gorise le trafic en 8 files dâattente par utilisateur, en
fonction des politiques de classification de la qualitĂ© de service. Ces politiques peuvent ĂȘtre configurĂ©es pour assigner le trafic aux diffĂ©rentes files dâattente en fonction de lâadresse MAC du client (MAC Organization Unique Identifier), du service rĂ©seau (TCP ou UDP), de lâapplication (moteur de DPI) du SSID et de lâinterface, ou des marques de prioritĂ© des paquets entrants et utilisant les marquages IEEE 802.1p ou DiffServ.
- Ătape 4 : le moteur de QualitĂ© de Service peut alors appliquer la politique de QoS en limitant
le dĂ©bit et marquant les paquets. Le dĂ©bit peut ĂȘtre limitĂ© par profil utilisateur, par utilisateur et par file dâattente. Le trafic peut ĂȘtre marquĂ© en 802.11e ou Diffserv afin dâĂȘtre ensuite priorisĂ© sur le rĂ©seau sans fil. De mĂȘme, le trafic sortant par lâinterface Ethernet peut ĂȘtre marquĂ© en 802.11e ou DiffServ.
- Ătape 5 : le moteur dâordonnancement de la QoS des paquets utilise deux techniques de
priorisation â prioritĂ© stricte ou circulaire pondĂ©rĂ©e (weighted round robin) â afin de planifier de maniĂšre granulaire le traitement du trafic provenant des huit files dâattentes logiques et envoyĂ© aux quatre files dâattentes matĂ©rielles WMM. Lâordonnanceur prend en compte le poids du profil assignĂ© Ă lâutilisateur et le poids de chacune des huit files dâattente de lâutilisateur. Puisque le moteur dâordonnancement de la QoS des paquets est embarquĂ© au sein des HiveAP, il peut superviser localement la disponibilitĂ© des files dâattente matĂ©rielles WMM et rĂ©agir instantanĂ©ment Ă tout changement des conditions rĂ©seau. Le moteur dâordonnancement ne transmet les paquets aux files dâattentes WMM que lorsque celles-ci sont disponibles et ne sont pas congestionnĂ©es, tout en conservant lesdits paquets dans les huit files dâattente propres Ă chaque utilisateur en attendant la libĂ©ration des queues WMM. Ceci Ă©vite la perte de paquets et la gigue, qui nuisent aux applications sensibles Ă la durĂ©e, telles que la voix, et Ă©vite la dĂ©gradation des performances des flux TCP due aux algorithmes utilisĂ©s pour le calcul de la fenĂȘtre de contention.
- Ătape 6 : finalement, WMM transmet les paquets contenus et catĂ©gorisĂ©s dans les quatre files
dâattente vers le mĂ©dium sans fil. Les paquets de la classe la plus prioritaire sont transmis avec le plus petit dĂ©lai inter-trame et la plus petite fenĂȘtre de dĂ©gagement afin de permettre la transmission au medium sans fil la plus rapide possible.
En rĂ©sumĂ©, le moteur de QoS de Aerohive, embarquĂ© dans les HiveAP, permet de transmettre les paquets avec une priorisation granulaire et dĂ©terministe vers les files dâattente WMM. En outre, lâordonnanceur de paquets supervise constamment la disponibilitĂ© et la congestion des queues WMM et nâautorise la transmission de paquets vers ces queues que lorsquâelles sont disponibles. Ce mĂ©canisme Ă©vite que des paquets soient rejetĂ©s inutilement lorsque les queues WMM sont pleines et permet dâobtenir une meilleure qualitĂ© pour les trafics sensibles tels que la voix et la vidĂ©o, tout en prĂ©servant les performances des trafics Ă prioritĂ© plus faible tels que le Web et le courrier Ă©lectronique. Lorsque les paquets ont atteint les queues WMM, ils sont transmis au medium sans fil en fonction de leur catĂ©gorie, niveau de prioritĂ© et du standard WMM.
- 39 -
Copyright © 2017, Aerohive Networks, Inc.
Ces prĂ©cieuses amĂ©liorations de la QoS des rĂ©seaux sans fil sont rendues possibles par lâimplĂ©mentation du moteur de QoS directement au sein des points dâaccĂšs HiveAP, le seul endroit du rĂ©seau oĂč il est possible de rĂ©agir instantanĂ©ment aux changements dynamiques des conditions rĂ©seaux et radio et offrir en rĂ©ponse une qualitĂ© de service adaptĂ©e.
Application de la politique de sĂ©curitĂ© au plus proche de lâutilisateur
GrĂące Ă lâarchitecture distribuĂ©e de contrĂŽle coopĂ©ratif, la politique de sĂ©curitĂ© est dĂ©finie par les administrateurs de maniĂšre centralisĂ©e sur le HiveManager, mais elle est appliquĂ©e Ă lâentrĂ©e du rĂ©seau, directement sur les points dâaccĂšs HiveAP. Ceci est rendu possible par le fait que chaque HiveAP est responsable du chiffrement/dĂ©chiffrement des trames des communications sans fil, disposant ainsi de la possibilitĂ© dâinspecter le contenu des paquets, dâappliquer les contrĂŽles de sĂ©curitĂ© et de chiffrer Ă nouveau le trafic avant de le renvoyer vers le rĂ©seau. Ceci permet aux HiveAP dâappliquer des politiques de sĂ©curitĂ© avancĂ©es, localement au niveau du point dâentrĂ©e sur le rĂ©seau et ce avant que le trafic ne soit envoyĂ© vers le rĂ©seau filaire, vers une autre connexion sans fil maillĂ©e ou vers un autre client sans fil. Les politiques de sĂ©curitĂ© sont appliquĂ©es par les HiveAP de maniĂšre diffĂ©renciĂ©e et personnalisĂ©e en fonction de lâutilisateur ou du SSID. Ces politiques de sĂ©curitĂ© permettent de filtrer les adresses MAC des clients, les communications Ethernet niveau 2, les communications IP/TCP-UDP niveaux 3 et 4 et des applications (niveau 7). Sâajoute Ă cela un moteur de protection contre les tentatives de dĂ©ni de service (DoS). En outre, puisque chaque HiveAP est responsable de lâapplication de la politique de sĂ©curitĂ© sur son propre trafic, on dispose des avantages et de la puissance du traitement distribuĂ© de la sĂ©curitĂ© entre tous les HiveAP du rĂ©seau sans fil, plutĂŽt que dâĂȘtre restreint et soumis aux capacitĂ©s limitĂ©es dâun contrĂŽleur centralisĂ©. Enfin, puisque chaque HiveAP dĂ©chiffre le trafic Ă lâentrĂ©e du rĂ©seau et ce avant mĂȘme de lâenvoyer vers le rĂ©seau filaire, il est tout Ă fait possible de rĂ©utiliser les systĂšmes et infrastructures de sĂ©curitĂ© dĂ©jĂ dĂ©ployĂ©es sur le rĂ©seau dâentreprise pour appliquer un deuxiĂšme contrĂŽle sur le trafic provenant du rĂ©seau sans fil. Il peut sâagir de firewalls, de sondes de dĂ©tection/prĂ©vention dâintrusions, dâantivirus rĂ©seau, de solutions de contrĂŽle de lâadmission (NAC/NAP),⊠Dans une architecture centralisĂ©e Ă base de contrĂŽleur, il nâest pas rare que ces solutions de sĂ©curitĂ© existantes soient rendues totalement inopĂ©rantes.
Portail Web captif intégré
Une autre maniĂšre dâapplication la politique au niveau du point dâentrĂ©e sur le rĂ©seau consiste Ă utilise la fonction de portail web captif intĂ©grĂ© sur chaque HiveAP, similaire Ă la fonction de hot-spot Wi-Fi que lâon utilise habituellement dans les aĂ©roports et les hĂŽtels. Lorsquâun utilisateur se connecte Ă un SSID sur lequel le portail web captif est activĂ©, son navigateur est automatiquement redirigĂ© vers une page Web dâenregistrement personnalisable (contenu, couleurs, logo, etc.).
- 40 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 14 : Choix des sections du portail captif
Plusieurs sections peuvent ĂȘtre activĂ©es ou non sur le portail captif, en fonction des besoins, permettant une authentification par utilisateur et mot de passe, par auto-enregistrement, Deux sections sont disponibles dans cette page Web : la premiĂšre permet lâauthentification de lâutilisateur par un serveur Radius ; la seconde demande Ă lâutilisateur de remplir des champs dâenregistrement et dâaccepter la politique dâutilisation avant de pouvoir se connecter.
Figure 15 : Exemple de portail captif personnalisé
Les administrateurs rĂ©seau peuvent donc personnaliser le portail web captif en y crĂ©ant leurs propres pages Web, en spĂ©cifiant la mĂ©thode dâenregistrement ou dâauthentification des utilisateurs pour lâaccĂšs au rĂ©seau. Une fois que lâutilisateur a effectuĂ© ce processus dâenregistrement ou dâauthentification, il est associĂ© Ă un profil utilisateur assignĂ© au SSID et le trafic est alors contrĂŽlĂ© par le HiveAP en fonction de la politique correspondante. Un HiveAP permet de mettre en Ćuvre un portail Web captif diffĂ©rent par SSID. Chaque portail Web captif peut utiliser le protocole http ou https et, dans ce cas, le certificat et la paire de clĂ©s (publique, privĂ©e) sont partagĂ©s par lâensemble des HiveAP diffusant le SSID correspondant, de sorte que lâutilisateur ne voit quâun seul certificat quel que soit le nombre de HiveAP. Note : les points dâaccĂšs HiveAP supportent Ă©galement tout type de portail web captif externe.
- 41 -
Copyright © 2017, Aerohive Networks, Inc.
CrĂ©ation dynamique de tunnels pour lâaccĂšs distant des utilisateurs
La mĂȘme technologie qui permet aux HiveAP de supporter la mobilitĂ© de niveau 3 de maniĂšre transparente pour les clients sans fil peut Ă©galement ĂȘtre utilisĂ©e afin de crĂ©er dynamiquement des tunnels entre HiveAP connectĂ©s Ă diffĂ©rents rĂ©seaux et renvoyer le trafic des utilisateurs dans ces tunnels en fonction de leur identitĂ©. Cette fonctionnalitĂ© est particuliĂšrement intĂ©ressante dans les environnements oĂč de nombreux invitĂ©s (guests) sont autorisĂ©s Ă se connecter au rĂ©seau. Deux solutions sont classiquement envisageables :
- Soit le rĂ©seau de lâentreprise dispose de commutateurs gĂ©rant les VLANs et un numĂ©ro de VLAN spĂ©cifique est dĂ©diĂ© aux invitĂ©s. Dans ce cas, en fonction du profil de lâutilisateur, si celui-ci est identifiĂ© comme invitĂ© par le HiveAP au moment de la connexion, il sera automatiquement associĂ© audit VLAN.
- Soit le rĂ©seau de lâentreprise ne dispose pas de VLANs sur ses commutateurs ou ne diffuse pas
un VLAN invitĂ©s spĂ©cifique sur son rĂ©seau. Dans ce cas, la crĂ©ation de tunnels entre HiveAP pour router le trafic des utilisateurs invitĂ©s au travers du rĂ©seau et jusquâĂ , par exemple, une zone de sĂ©curitĂ© (DMZ) spĂ©cifique est une solution alternative intĂ©ressante que propose Aerohive.
Parmi les diffĂ©rents paramĂštres contenus dans un profil utilisateur sur un HiveAP, il est possible de configurer, dans la politique de mobilitĂ©, lâutilisation de tunnels dynamiques basĂ©s sur lâidentitĂ© de lâutilisateur. Lorsquâun utilisateur sâassocie Ă un SSID sur un HiveAP, sâauthentifie, et se voit assigner un profil utilisateur, la politique de sĂ©curitĂ© (firewall) et la politique de qualitĂ© de service (QoS) pour ledit utilisateur sont appliquĂ©es localement par le HiveAP, puis lâintĂ©gralitĂ© du trafic de lâutilisateur est injectĂ© dans un tunnel GRE vers un HiveAP (ou un groupe de HiveAP) spĂ©cifique connectĂ© Ă un rĂ©seau distant (par exemple, une DMZ dâun firewall dâaccĂšs Internet).
De cette maniĂšre, une fois authentifiĂ©, lâutilisateur reçoit ses paramĂštres IP depuis un serveur DHCP du rĂ©seau distant, comme sâil Ă©tait connectĂ© physiquement localement Ă celui-ci. Lâutilisateur devient alors vĂ©ritablement un membre Ă©tendu du rĂ©seau distant. Exemples dâutilisation 1) Une Ă©quipe de consultants, dâintervenants externes, de sous-traitants ou dâauditeurs doit disposer momentanĂ©ment dâun accĂšs distant au site central de lâentreprise, tout en Ă©tant connectĂ© physiquement depuis une filiale ou une agence. En utilisant le principe de tunnels basĂ©s sur lâidentitĂ© de lâutilisateur, ces clients temporaires peuvent sâassocier Ă un SSID diffusĂ© sur lâensemble des HiveAP
Figure 16: Droits dâaccĂšs quel que soit lâemplacement
- 42 -
Copyright © 2017, Aerohive Networks, Inc.
du rĂ©seau et voir leur trafic automatiquement et directement renvoyĂ© dans un tunnel vers un groupe de HiveAP disposĂ©s au niveau du site distant auquel ils souhaitent se connecter. Ils sont alors perçus, dâun point de vue rĂ©seau IP, comme des utilisateurs locaux Ă ce rĂ©seau distant. 2) lâaccĂšs distants, couplĂ© avec un portail web captif, est dĂ©taillĂ© dans le diagramme ci-aprĂšs.
Figure 17 : Exemple dâutilisation des tunnels invitĂ©s vers une DMZ dâun firewall dâaccĂšs Internet
Un SSID InvitĂ© configurĂ© et diffusĂ© sur lâensemble des HiveAP du rĂ©seau interne est utilisĂ© par les personnes externes qui visitent lâentreprise. Lorsquâun invitĂ© sâassocie Ă ce SSID, un portail web captif est utilisĂ© pour authentifiĂ© lâutilisateur sur la base dâun serveur Radius. Une fois lâauthentification effectuĂ©e, les politiques de QoS et de sĂ©curitĂ© sont appliquĂ©es Ă lâutilisateur et le trafic du client est directement renvoyĂ© dans le tunnel vers un HiveAP disposĂ© en DMZ du firewall dâaccĂšs Internet. A aucun moment, lâutilisateur invitĂ© ne peut accĂ©der Ă une ressource du rĂ©seau interne. Seul lâaccĂšs Ă la DMZ lui est possible. Dâailleurs, son adresse IP appartient au sous-rĂ©seau de la DMZ et non Ă celui du rĂ©seau sur lequel le HiveAP auquel il est associĂ© est connectĂ©. Le trafic du client ne peut donc en aucun cas ĂȘtre routĂ© localement.
Politique de contrĂŽle des accĂšs invitĂ©s Ă lâentrĂ©e du rĂ©seau
En plus des capacitĂ©s de portail web captive disponibles sur les HiveAP, Aerohive propose dâautres fonctionnalitĂ©s qui peuvent ĂȘtre utilisĂ©es pour fournir une solution dâaccĂšs invitĂ© globale, robuste, sĂ©curisĂ©e et Ă©volutive. Citons notamment :
1. Isolation/Segmentation des invitĂ©s : une fois quâun utilisateur est authentifiĂ© ou enregistrĂ© sur un HiveAP, il peut ĂȘtre automatiquement assignĂ© Ă un numĂ©ro de VLAN et son trafic est alors marquĂ© de ce numĂ©ro, permettant ainsi dâisoler au niveau 2 le trafic Ethernet et limitant lâaccĂšs aux ressources rĂ©seau de lâentreprise. Sâil sâagit dâun VLAN invitĂ©s ou dâun VLAN dâaccĂšs Internet, on peut imaginer que seul lâaccĂšs Ă lâintranet ou respectivement au proxy Web de lâentreprise sera alors possible pour lâutilisateur. Si la segmentation par VLAN nâest pas possible du fait de lâarchitecture rĂ©seau de lâentreprise au niveau de la couche dâaccĂšs, le trafic de lâutilisateur invitĂ© peut ĂȘtre mis en tunnel en utilisant la technologie prĂ©sentĂ©e prĂ©cĂ©demment et dirigeant ainsi lâensemble de ce trafic vers un groupe de HiveAP disposĂ©s dans une zone sĂ©curisĂ©e et limitant lâaccĂšs Ă Internet.
- 43 -
Copyright © 2017, Aerohive Networks, Inc.
2. ParamĂštres/attributs Radius par SSID : il est possible de configurer un SSID invitĂ© utilisant un serveur Radius (ou 802.1X ou un annuaire LDAP/Active Directory) spĂ©cifiquement dĂ©diĂ© Ă lâauthentification et Ă lâaccĂšs des invitĂ©s. Ceci est particuliĂšrement important car les entreprises dĂ©ploient souvent des solutions dâauthentification Radius pour des besoins autres que lâaccĂšs sans fil ; ces solutions peuvent alors ĂȘtre rĂ©utilisĂ©es de maniĂšre souple par les points dâaccĂšs Aerohive. Par exemple, sur un mĂȘme HiveAP, il est possible de dĂ©finir un SSID « employĂ©s » qui utilise un serveur 802.1X connectĂ© Ă lâannuaire Active Directory de lâentreprise et un autre SSID « invitĂ©s » qui utilise un autre serveur 802.1X dĂ©diĂ© Ă lâaccĂšs des intervenants externes, ne polluant pas ainsi lâannuaire dâentreprise par des comptes utilisateurs temporaires.
3. Interface de gestion des comptes invités : Aerohive propose des fonctionnalités de gestion
des comptes invitĂ©s intĂ©grĂ©es Ă HiveManager NG. Cette interface permet de crĂ©er des comptes pour le portail captif, ainsi que des clĂ©s PPSK, et est spĂ©cifiquement dĂ©diĂ© Ă un usage non technique pour les secrĂ©taires et les personnes responsables de lâaccueil des invitĂ©s. Cette solution fournit une interface graphique Web trĂšs simple dâutilisation et permet aux hĂŽtesses dâaccueil, aux secrĂ©taires, Ă toute personne non technique en charge de lâaccueil des hĂŽtes dâenregistrer et crĂ©er des comptes pour lâutilisation de lâaccĂšs rĂ©seau sans fil. Les comptes peuvent ĂȘtre crĂ©Ă©s individuellement, ou par groupe, pour une durĂ©e dĂ©terminĂ©e, avec des paramĂštres spĂ©cifiques, un mot de passe gĂ©nĂ©rer automatiquement, ⊠et toutes ces informations peuvent ĂȘtre imprimĂ©es facilement sur un badge dĂ©livrĂ© ensuite Ă la personne invitĂ©e. Au-delĂ de lâinterface mise en place par Aerohive, des APIs sont disponibles pour gĂ©rer des comptes Ă partir de solutions externes. Des exemples dâutilisation de ces APIs sont disponibles avec les App iOS « Aerohive IDManager » et « Aerohive Kiosk ».
4. Politique de firewall basĂ©e sur lâidentitĂ© de lâutilisateur : ceci permet de mettre en Ćuvre
une politique de contrĂŽle et de filtrage (firewall niveau 2/MAC, niveau 3-4/IP-TCP-UDP ou niveau Applicatif, basĂ© sur une liste de signatures) du trafic rĂ©seau des utilisateurs invitĂ©s afin de leur limiter lâaccĂšs aux ressources de lâentreprise.
5. Protection contre les attaques DoS par SSID : le moteur de protection contre les dénis de
service peut ĂȘtre configurĂ© par SSID et permettre de contrĂŽler et filtrer les Ă©ventuelles attaques visant Ă rendre indisponible le service ou monopolisant lâenvironnement radio. En outre, lâapproche distribuĂ©e de Aerohive rend beaucoup plus difficile la rĂ©alisation dâune attaque par saturation des points dâaccĂšs HiveAP puisquâaucun Ă©quipement central vulnĂ©rable (de type contrĂŽleur) nâest mis en Ćuvre dans cette solution.
Cette solution complĂšte dâaccĂšs invitĂ© proposĂ©e par Aerohive permet une totale flexibilitĂ© grĂące Ă lâintĂ©gration des fonctionnalitĂ©s directement au niveau des points dâaccĂšs HiveAP et Ă lâinteropĂ©rabilitĂ© avec les solutions tierces de gestion des invitĂ©s.
- 44 -
Copyright © 2017, Aerohive Networks, Inc.
OPTIMISATION DU RESEAU WI-FI ET DES PERFORMANCES AVEC
DYNAMIC AIRTIME SCHEDULING
La problématique des environnements de clients mixtes
Une chose est certaine avec les rĂ©seaux Wi-Fi, les performances rĂ©elles sont rarement celles attendues. La radio est un mĂ©dia partagĂ©, ce qui signifie que tous les clients et les points dâaccĂšs dâun mĂȘme voisinage radio entrent en concurrence pour lâutilisation du temps dâantenne et de la bande passante. De plus, la vitesse dâĂ©mission et de rĂ©ception de chaque client dĂ©pend intrinsĂšquement du standard quâil supporte (802.11a/b/g/n), de la puissance du signal radio, de la quantitĂ© dâinterfĂ©rences et de bruit qui lâentoure. Les clients Wi-Fi les plus anciens utilisant des protocoles plus lents, les interfĂ©rences souvent mal dĂ©tectĂ©es et mal gĂ©rĂ©es, les zones de couverture inconsistantes, ⊠sont autant dâobstacles au dĂ©veloppement de rĂ©seaux Wi-Fi Ă haut dĂ©bit. En outre, un client lent consomme plus de temps dâantenne pour Ă©mettre une quantitĂ© de donnĂ©es, ce qui laisse fatalement moins de temps disponible aux autres clients, plus rapides, diminuant ainsi drastiquement la capacitĂ© du rĂ©seau et dĂ©gradant considĂ©rablement les performances de lâensemble des clients Wi-Fi connectĂ©s. Ce document passe en revue les Ă©lĂ©ments clĂ©s qui affectent les performances dâun rĂ©seau Wi-Fi et dĂ©montre comment la nouvelle technologie brevetĂ©e dâAerohive en matiĂšre de qualitĂ© de service (QoS) â Dynamic Airtime Scheduling â permet de rĂ©soudre ces problĂšmes. Les clients Wi-Fi en premier lieu, mais Ă©galement les administrateurs du rĂ©seau bĂ©nĂ©ficient des avantages de la technologie Dynamic Airtime Scheduling. En effet, Dynamic Airtime Scheduling permet aux clients rapides, connectĂ©s au rĂ©seau Ă des dĂ©bits Ă©levĂ©s et dans un environnement radio mixte composĂ© de clients Ă diffĂ©rents taux de transmission, dâatteindre jusquâĂ 10 fois le dĂ©bit quâils obtiendraient dans un rĂ©seau Wi-Fi traditionnel nâimplĂ©mentant pas Dynamic Airtime Scheduling, et ce sans pĂ©naliser les clients les plus lents. LâexpĂ©rience utilisateur en est considĂ©rablement amĂ©liorĂ©e : temps de transfert de fichiers bien plus rapides, amĂ©lioration des performances des applications (voix, vidĂ©o, mĂ©tiers). Dynamic Airtime Scheduling permet Ă©galement de sâassurer que les utilisateurs les plus lents ne vont pas restreindre les performances des autres clients du rĂ©seau, anĂ©antissant ainsi les investissements rĂ©alisĂ©s pour la mise en Ćuvre dâun rĂ©seau haut dĂ©bit nouvelle gĂ©nĂ©ration. Dynamic Airtime Scheduling permet donc aux architectes et administrateurs du rĂ©seau de migrer leur infrastructure Wi-Fi vers la norme 802.11n en profitant immĂ©diatement des avantages de ce nouveau standard, notamment en termes de dĂ©bit et de performances, et ce mĂȘme si le parc de clients Wi-Fi se met Ă niveau bien plus lentement. Et puisquâun utilisateur connectĂ© Ă la lisiĂšre du rĂ©seau Wi-Fi ne peut plus monopoliser le temps dâantenne, lâimpact sur le rĂ©seau dâun client lent ou dâune couverture radio faible diminue considĂ©rablement, permettant aux administrateurs rĂ©seau de rĂ©duire les investissements dâinfrastructure et dâaccroĂźtre la satisfaction des utilisateurs. Dynamic Airtime Scheduling, couplĂ© Ă la possibilitĂ© dâappliquer des politiques de contrĂŽle discrĂštes sur les utilisateurs et les applications, transforme ainsi le rĂ©seau Wi-Fi traditionnel partagĂ© en une infrastructure multiservices sur laquelle les utilisateurs et les applications filaires peuvent ĂȘtre maintenant migrĂ©s.
- 45 -
Copyright © 2017, Aerohive Networks, Inc.
Mélange de clients dans un réseau Wi-Fi traditionnel
Les diffĂ©rents standards 802.11 permettent Ă tous les clients Wi-Fi dâune mĂȘme zone de couverture radio et utilisant le mĂȘme canal de se concurrencer pour lâaccĂšs au mĂ©dium, nâautorisant quâun seul point dâaccĂšs ou client Wi-Fi Ă communiquer Ă un instant donnĂ©. Une fois quâun point dâaccĂšs ou un client Wi-Fi a commencĂ© Ă transmettre une trame, tous les autres Ă©quipements Wi-Fi utilisant le mĂȘme canal doivent atteindre la fin de la transmission avant que lâun dâeux puisse Ă©mettre Ă son tour. Une fois la trame Ă©mise avec succĂšs et le rĂ©cepteur ayant envoyĂ© un accusĂ© de rĂ©ception sur le rĂ©seau sans fil (message ACK), tous les Ă©quipements Wi-Fi, y compris ceux ayant participĂ© Ă la transmission prĂ©cĂ©dente, disposent dâune chance Ă©quivalente de pouvoir de nouveau utiliser le canal pour transmettre. Si un dispositif transmet sur le mĂ©dium, le temps que devra attendre un autre client avant de pouvoir Ă©mettre est dĂ©terminĂ© par la taille de la trame en cours dâĂ©mission et le dĂ©bit dâĂ©mission/rĂ©ception entre le client et son point dâaccĂšs Wi-Fi. Par exemple, une trame transmise depuis ou vers un client connectĂ© Ă faible dĂ©bit peut consommer 10 millisecondes de temps dâantenne, alors quâun client connectĂ© Ă un dĂ©bit rapide nâutilisera que 100 millisecondes pour la mĂȘme trame. Et bien que ce client rapide aurait pu Ă©mettre 100 trames durant la pĂ©riode de temps au cours de laquelle le client lent nâa pu en envoyer quâune, ce client rapide est traitĂ© par le rĂ©seau Wi-Fi de maniĂšre Ă©quivalente au client lent â lâaccĂšs au rĂ©seau est fair-play â de sorte que le client rapide passe le plus clair de son temps Ă attendre que le client lent finisse dâĂ©mettre et quâil puisse Ă son tour utiliser le medium. Et cette compĂ©tition pour lâaccĂšs au medium a lieu pour chaque trame Ă Ă©mettre. Ceci signifie donc quâun client lent peut ralentir lâensemble des autres clients du rĂ©seau Wi-Fi. Ceci est particuliĂšrement connu dans le cas de prĂ©sence dâun client 802.11b sur le rĂ©seau. La figure ci-aprĂšs dĂ©montre clairement cet aspect des rĂ©seaux Wi-Fi. Deux clients, lâun lent et lâautre rapide, doivent Ă©mettre 8 trames de mĂȘme taille et de maniĂšre simultanĂ©e. On constate aisĂ©ment que bien que le temps nĂ©cessaire Ă un client rapide pour Ă©mettre la mĂȘme quantitĂ© de donnĂ©es quâun client lent est Ă©videmment beaucoup plus court, la rĂ©alitĂ© veut que le client lent monopolise le temps dâantenne et empĂȘche le client rapide dâĂ©mettre ses donnĂ©es. Au final, pour le mĂȘme volume de donnĂ©es Ă Ă©mettre, le temps dâĂ©mission du client lent et du client rapide sont quasiment identiques.
Figure 18 : DurĂ©e dâĂ©mission dâun mĂȘme volume de donnĂ©es par un client lent et un client rapide sur un rĂ©seau
Wi-Fi standard
Au final, le client lent et le client rapide terminent leur Ă©mission approximativement au mĂȘme instant, et ont un dĂ©bit rĂ©el Ă©quivalent. Ceci signifie que lâusage du temps dâantenne nâest absolument pas Ă©gal : le trafic Ă©mis par le client lent consomme bien plus de temps et pĂ©nalise directement le client rapide, lâempĂȘchant dâĂ©mettre Ă sa vitesse. Si, au lieu de donner un accĂšs Ă©gal au mĂ©dium Ă tous les clients, on affecte un temps de transmission Ă©gal Ă chacun des clients, quel que soit leur dĂ©bit, alors on amĂ©liore considĂ©rablement le temps de transmission du client rapide, en impactant peu ou pas le client lent. La figure ci-aprĂšs dĂ©montre quâen
- 46 -
Copyright © 2017, Aerohive Networks, Inc.
allouant des tranches de temps Ă©gales aux deux clients, le client rapide peut alors Ă©videmment transmettre beaucoup plus de trames que le client lent sur une mĂȘme tranche de temps. Dans lâexemple utilisĂ©, le client rapide Ă©met quatre trames lorsque le client lent, pour une mĂȘme pĂ©riode dâĂ©mission, nâen transmet quâune (il est donc quatre fois plus lent).
Figure 19 : DurĂ©e dâĂ©mission en affectant des tranches de temps dâantenne Ă©gales Ă tous les clients
Au fil du temps, si les deux clients tĂ©lĂ©chargent le mĂȘme fichier, ce qui correspond Ă lâexemple illustrĂ© prĂ©cĂ©demment, le client rapide finira toujours plus tĂŽt que le client lent, libĂ©rant ainsi lâantenne plus rapidement. Le client lent nâest quasiment pas impactĂ©, il nâest pas accĂ©lĂ©rĂ©, mais quasiment pas ralentit non plus ; il peut mĂȘme ĂȘtre susceptible de terminer plus rapidement. En effet, plus il y a de conflits sur le rĂ©seau, plus la probabilitĂ© de collisions, de ralentissements alĂ©atoires et de retransmissions augmente, diminuant ainsi les performances pour tous les clients du rĂ©seau Wi-Fi. Ainsi, la capacitĂ© pour un client rapide de libĂ©rer le rĂ©seau de maniĂšre anticipĂ©e permet de minimiser les conflits et augmenter les performances globales. Ceci est dĂ©montrĂ© dans le diagramme ci-dessous prĂ©sentant les rĂ©sultats de tests conduits par lâoutil VeriWaveTM WLAN dĂ©roulant un test WiMix. Dans ce premier test, lâoutil VeriWave simule un seul client Wi-Fi connectĂ© transfĂ©rant un fichier via le protocole http (TCP) depuis un serveur connectĂ© au rĂ©seau Ethernet ; le fichier est tĂ©lĂ©chargĂ© en 10 000 trames de 1 500 octets chacune. Dans le premier test (graphe de gauche), le client Wi-Fi 802.11a est connectĂ© Ă 54 Mbps alors que dans le second (graphe de droite), ce mĂȘme client est connectĂ© Ă 6 Mbps.
Figure 20 : Simulation de transfert de fichier depuis un client Wi-Fi connecté à 54 Mbps et un client à 6 Mbps
La transmission des 10 000 trames http au client connectĂ© Ă 54 Mbps sâeffectue approximativement en 12 secondes, alors que le mĂȘme transfert vers le client Ă 6 Mbps prend environ 50 secondes. Le test suivant (figure 4) prĂ©sente les rĂ©sultats des deux clients prĂ©cĂ©dents transfĂ©rant le mĂȘme fichier, mais de maniĂšre simultanĂ©e. Le test est rĂ©alisĂ© sans congestion sur le rĂ©seau Wi-Fi entre les deux clients.
- 47 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 21 : Comparaison de 2 transmissions simultanées de 10 000 trames de 1 500 octets chacune par 2 clients
Wi-Fi de vitesse différente
Tel que lâon peut s'y attendre, le temps total nĂ©cessaire aux deux tĂ©lĂ©chargements simultanĂ©s est d'environ 62 secondes, soit la somme des 12 et 50 secondes nĂ©cessaires au tĂ©lĂ©chargement individuel du mĂȘme fichier. Plus surprenant, on constate que les deux clients, quel que soit leur vitesse, prĂ©sentent des performances quasiment identiques : leur dĂ©bit rĂ©el est dâenviron 4000 Kbps (4 Mbps) et les deux clients effectuent le tĂ©lĂ©chargement en 62 secondes. Ceci prouve que le client le plus lent monopolise le temps dâantenne et ralentit en consĂ©quence le client rapide qui montre alors des performances trĂšs dĂ©cevantes. Ce problĂšme particuliĂšrement bien connu dans le monde des rĂ©seaux Wi-Fi peut ĂȘtre rĂ©solu en accordant Ă chaque client, quel que soit leur taux de transmission, non pas une chance Ă©gale dâĂ©mettre un paquet, mais un temps Ă©gal dâantenne. Cela minimise les possibilitĂ©s pour les clients lents de rĂ©duire les performances des clients rapides, tout en offrant aux clients Ă faible vitesse une part Ă©gale de temps d'antenne. La technologie brevetĂ©e Dynamic Airtime Scheduling dâAerohive assure un ordonnancement du temps dâantenne basĂ© sur des critĂšres de prioritĂ©s dĂ©finis par lâadministrateur du rĂ©seau Wi-Fi et amĂ©liore ainsi considĂ©rablement les performances de chacun des clients et du rĂ©seau Wi-Fi tout entier. Le graphique ci-dessous montre de nouveau les 2 clients Wi-Fi prĂ©cĂ©dents mais dans un rĂ©seau dans lequel la technologie Dynamic Airtime Scheduling dâAerohive est implĂ©mentĂ©e.
Figure 22 : Comparaison de 2 transmissions simultanées de 10 000 trames de 1 500 octets chacune par 2 clients
Wi-Fi de vitesse diffĂ©rente avec la technologie Dynamic Airtime Scheduling dâAerohive
- 48 -
Copyright © 2017, Aerohive Networks, Inc.
Ce test dĂ©montre clairement que lâordonnancement du temps dâantenne permet au client le plus rapide de terminer le tĂ©lĂ©chargement du fichier 4 fois plus vite que prĂ©cĂ©demment â soit 300% dâaugmentation des performances â alors que le client lent termine approximativement dans le mĂȘme dĂ©lai. Les performances des clients les plus rapides, et plus gĂ©nĂ©ralement du rĂ©seau sans fil, sont donc amĂ©liorĂ©es de maniĂšre significative sans pĂ©naliser les clients les plus lents.
Le moteur de QualitĂ© de Service dâAerohive
Dynamic Airtime Scheduling repose sur le moteur de qualitĂ© de service (QoS) flexible et puissant incorporĂ© dans tous les points dâaccĂšs HiveAP dâAerohive. Ce moteur de QoS offre une priorisation granulaire et une transmission dĂ©terministe des paquets sur le rĂ©seau Ethernet filaire et sans fil. Avec Dynamic Airtime Scheduling, les techniques de QoS sont utilisĂ©es non seulement pour amĂ©liorer les performances, mais Ă©galement pour sâassurer que les applications critiques, telles que la voix, sont traitĂ©es de maniĂšre opportune. Le moteur de QoS dâAerohive se compose de 5 Ă©lĂ©ments essentiels :
1. « Classifier and Marker » : catĂ©gorise et rĂ©parti le trafic rĂ©seau dans 8 files dâattente par utilisateur en fonction de politiques de classification et de marquage dĂ©finies par les administrateurs rĂ©seau. Ces politiques peuvent ĂȘtre configurĂ©es afin de faire correspondre le trafic et les files dâattente en fonction du :
a. Du service rĂ©seau (protocole) ; b. De lâapplication (DPI) ; c. Des OUI (Organisation Unique Identifier) MAC. d. Du SSID ou de lâinterface rĂ©seau (ex. : Eth0 Wi-Fi0) e. Des marquages 802.1p, 802.11e ou DiffServ des paquets entrants.
Les trames quittant une interface Ethernet peuvent Ă©galement ĂȘtre marquĂ©es au format 802.11p ou DiffServ.
2. « Policer » : limite la bande passante par utilisateur, par file dâattente, ou par groupe dâutilisateurs afin dâĂ©viter que lâun de ceux-ci ne viennent Ă consommer une part trop importante des ressources du rĂ©seau.
3. « User Queues » : alloue 8 files dâattente par utilisateur pour permettre la priorisation granulaire du trafic, et l'accĂšs pondĂ©rĂ© des clients (chaque client se voyant attribuĂ© un poids spĂ©cifique).
4. « Scheduler » : utilise les techniques de prioritĂ© stricte ou pondĂ©rĂ©e (weighted round robin) pour planifier de maniĂšre granulaire lâenvoi du trafic contenu dans chacune des 8 files dâattente propres Ă chaque utilisateur vers les 4 mĂ©moires matĂ©rielles WMM (Wireless Multi Media) du point dâaccĂšs HiveAP. Ceci sâeffectue en tenant compte du poids assignĂ© au profil associĂ© Ă l'utilisateur, et du poids de chacune des 8 files dâattente. Puisque le moteur de QoS est embarquĂ© directement dans les points dâaccĂšs HiveAP â et non sur un contrĂŽleur distant â il est possible de suivre en temps rĂ©el la disponibilitĂ© des mĂ©moires WMM et rĂ©agir instantanĂ©ment Ă lâĂ©volution des conditions du rĂ©seau. Ainsi, le moteur de QoS ne transmet des paquets aux mĂ©moires WMM que si celles-ci sont disponibles et non saturĂ©es. Cela Ă©vite que les mĂ©moires WMM ne rejettent des paquets lorsquâelles sont pleines, ce qui augmenterait dramatiquement la gigue et affecteraient les applications sensibles telles que la voix. En effet, sur un rĂ©seau Ethernet, lorsque des paquets TCP sont refusĂ©s, on augmente la fenĂȘtre de congestion puis on remet les mĂȘmes paquets, ce qui dĂ©grade considĂ©rablement
- 49 -
Copyright © 2017, Aerohive Networks, Inc.
les performances. En contrĂŽlant lâĂ©tat des mĂ©moires WMM, le moteur de QoS dâAerohive Ă©vite le rejet et la rĂ©Ă©mission de paquets TCP.
5. « Wireless Multi Media Queues » : transmet les paquets des mĂ©moires matĂ©rielles vers le mĂ©dia radio en suivant un mĂ©canisme standardisĂ© de prioritĂ©s reposant sur 4 catĂ©gories : voix (prioritĂ© la plus Ă©levĂ©e), vidĂ©o, Best effort, Background (prioritĂ© la plus basse). Ainsi, les paquets provenant dâune mĂ©moire WMM de plus grande prioritĂ© sont transmis avec le plus faible dĂ©lai inter-trames et une fenĂȘtre alĂ©atoire pour une Ă©mission plus rapide. Ces mĂ©canismes de QoS standards ont Ă©tĂ© conçus pour ajouter de lâintelligence et du contrĂŽle au rĂ©seau Wi-Fi partagĂ© afin de le transformer en infrastructure multiservices capable de supporter une large gamme dâutilisateurs et dâapplications. Ils permettent lâallocation de la bande passante Ă diffĂ©rents utilisateurs ou groupes dâutilisateurs, par exemple en sâassurant que les invitĂ©s ne disposent que de 1/10Ăšme de la bande passante et les employĂ©s 9/10Ăšme lors de pĂ©riodes de congestion, et plus de bande passante lors des pĂ©riodes normales. Ils sâassurent Ă©galement que les trafics particuliĂšrement sensibles Ă la gigue et Ă la latence, tels que la voix et la vidĂ©o, sont prioritaires par rapport aux autres types de trafics, par ex. les transferts de fichiers et la messagerie Ă©lectronique ; ainsi, un client Wi-Fi tĂ©lĂ©chargeant un fichier volumineux nâimpactera pas un appel Ă©mis depuis un tĂ©lĂ©phone sans fil IP (VoWLAN) ou une vidĂ©oconfĂ©rence en cours sur le rĂ©seau. Ces mĂ©canismes de QoS, basĂ©s sur la capacitĂ© de bande passante, sont particuliĂšrement efficaces lorsque des clients Wi-Fi sont connectĂ©s Ă des dĂ©bits identiques, ou lorsque le temps dâantenne nâest pas le goulot dâĂ©tranglement. Cependant, nous avons vu prĂ©cĂ©demment que des clients connectĂ©s Ă des vitesses diffĂ©rentes peuvent monopoliser le temps dâantenne et rĂ©duire considĂ©rablement les performances des clients plus rapides, et plus gĂ©nĂ©ralement du rĂ©seau global et donc des applications quâil vĂ©hicule. De tels mĂ©canismes ne sont donc pas suffisants. Le temps dâantenne doit ĂȘtre gĂ©rĂ© et son usage planifiĂ© afin de fournir un rĂ©seau fiable, multiservices et Ă hautes performances. Câest le principe de la technologie Dynamic Airtime Scheduling, qui offre une amĂ©lioration consĂ©quente aux moteurs de QoS traditionnels et permettant aux points dâaccĂšs HiveAP de rĂ©agir en fonction de la consommation du temps dâantenne plutĂŽt que de la bande passante.
Le moteur de QoS dâAerohive et ses 5 Ă©lĂ©ments permet dâutiliser Dynamic Airtime Scheduling en parallĂšle des autres mĂ©canismes de QoS afin de sâassurer que, par exemple, le transport critique de la voix sur le rĂ©seau peut ĂȘtre traitĂ© avec une prioritĂ© stricte et transfĂ©rer de maniĂšre prioritaire aux autres types de trafic, et ce mĂȘme si un client voix utilise plus de temps dâantenne que ce quâil devrait. CombinĂ© Ă un moteur de dĂ©finition des politiques de QoS particuliĂšrement simple et flexible, il devient possible aux administrateurs rĂ©seau, mais Ă©galement aux gestionnaires dâapplications, de dĂ©finir et dâimplĂ©menter des politiques de gestion de la bande passante et du temps dâantenne par utilisateur, groupe, type dâĂ©quipement ou application.
Concepts et exemples dâutilisation de Dynamic Airtime Scheduling
Lorsque lâon utilise les mĂ©canismes de QoS standard reposant sur la capacitĂ© de bande passante, voire mĂȘme lorsquâaucun mĂ©canisme de QoS nâest implĂ©mentĂ©, ou bien si des clients sont connectĂ©s Ă des taux de transmission diffĂ©rents, alors le dĂ©bit des clients thĂ©oriquement les plus rapides est considĂ©rablement diminuĂ© par les clients les plus lents. Ceci intervient lorsque les clients sont de diffĂ©rents types (802.11a/b/g/n) mais Ă©galement lorsque les clients sont du mĂȘme type.
- 50 -
Copyright © 2017, Aerohive Networks, Inc.
Pour démontrer cela, nous allons de nouveau étudier plusieurs scénarios de tests de simulation et observer les résultats obtenus dans un réseau Wi-Fi à technologie traditionnelle et dans un réseau utilisant la technologie Aerohive Dynamic Airtime Scheduling.
Protocole unique (802.11a) et clients à taux de transmission différents
Dans la figure ci-dessous, nous considĂ©rons 3 clients Wi-Fi de mĂȘme protocole (802.11a) mais connectĂ©s Ă diffĂ©rents taux de transmission : 54 Mbps, 12 Mbps et 6 Mbps. Pour obtenir cela, nous simulons ces 3 clients connectĂ©s au mĂȘme point dâaccĂšs mais Ă des distances et des niveaux dâinterfĂ©rence distincts, ce qui engendre des vitesses diffĂ©rentes. Nous simulons la transmission par chacun des clients de 10 000 paquets http de 1500 octets chacun et analysons les dĂ©bits obtenus (dĂ©bit des paquets ayant atteint leur destination intacts). Le diagramme de gauche dĂ©montre que bien que les 3 clients Ă©mettent Ă des vitesses diffĂ©rentes, leur dĂ©bit est identique et Ă©gal au plus lent des 3 clients. Il faut environ 88 secondes aux 3 clients pour finir la transmission des 10 000 paquets http. Le diagramme de droite prĂ©sente le mĂȘme test effectuĂ© en activant la technologie Dynamic Airtime Scheduling. On constate alors aisĂ©ment que le client le plus rapide (54 Mbps) achĂšve la transmission des donnĂ©es en 22 secondes, soit 4 fois plus vite. Une fois quâil a fini son transfert, il peut libĂ©rer du temps dâantenne supplĂ©mentaire pour les 2 clients restants. Le client Ă 12 Mbps peut alors transmettre plus frĂ©quemment, ce qui lui permet de terminer en 59 secondes, soit une amĂ©lioration des deux-tiers. Le client lent, Ă 6 Mbps, peut alors terminer son transfert sans risque de congestion sur le rĂ©seau Wi-Fi puisquâil est le seul Ă Ă©mettre ; il finit exactement au mĂȘme moment que prĂ©cĂ©demment et nâest donc pas ralenti.
Figure 23 : Simulation de 3 clients de type identique émettant à des vitesses différentes
Note : le test est rĂ©alisĂ© dans un environnement clos, et les clients attendent leur tour sans congestion. Dans un cas rĂ©el, la congestion du rĂ©seau entrainerait un temps de transfert plus important, mais le rĂ©sultat de lâactivation de la technologie Dynamic Airtime Scheduling serait le mĂȘme.
Cas dâun environnement 802.11n
Le test suivant (figure ci-aprĂšs) consiste Ă ajouter des clients 802.11n afin de simuler un rĂ©seau Wi-Fi classique transitant vers la nouvelle norme 802.11n ; ainsi les points dâaccĂšs communiquent avec un mix de clients. Ces tests dĂ©montrent comment Dynamic Airtime Scheduling garantit quâun rĂ©seau Wi-Fi de nouvelle gĂ©nĂ©ration 802.11n dispose des performances optimisĂ©es et que les clients rapides
- 51 -
Copyright © 2017, Aerohive Networks, Inc.
802.11n ne sont pas entravĂ©s par la prĂ©sence de clients lents dâancienne gĂ©nĂ©ration, voire mĂȘme par des clients 802.11n lents. En effet, en fonction de lâorientation des antennes, de la distance au point dâaccĂšs, des interfĂ©rences, le dĂ©bit de transmission des clients 802.11n peut varier de 13.5 Ă 270 Mbps ; des clients 802.11n peuvent donc ĂȘtre plus lents que dâautres de mĂȘme type, ou que dâanciens clients 802.11a/b/g. Afin de simuler un environnement mixte 802.11a/n, nous connectons 3 clients 802.11n Ă 3 diffĂ©rentes vitesses de transmission sur la radio 5 GHz du point dâaccĂšs. SimultanĂ©ment, nous connectons 3 clients 802.11a Ă 54 Mbps, 12 Mbps et 6 Mbps (tel que prĂ©cĂ©demment). Nous simulons ainsi 6 clients Wi-Fi mixtes connectĂ©s au mĂȘme point dâaccĂšs mais Ă des distances diffĂ©rentes ou des niveaux dâinterfĂ©rences distincts, ce qui modifie les dĂ©bits de transmission. De nouveau, nous analysons les performances lors du transfert de 10 000 paquets http de 1 500 octets chacun. Le diagramme de gauche prĂ©sente les rĂ©sultats obtenus lorsque Dynamic Airtime Scheduling nâest pas activĂ©. Comme nous lâavons vu dans le test prĂ©cĂ©dent, chacun des clients, bien quâil soit connectĂ© Ă une vitesse diffĂ©rente, dispose dâun dĂ©bit rĂ©el de transmission Ă©gal au plus lent des clients, soit ici 6 Mbps. Le temps nĂ©cessaire aux 6 clients pour achever le transfert se situe entre 90 et 110 secondes.
Figure 24 : Dynamic Airtime Scheduling dans un environnement 802.11n
Le diagramme de droite prĂ©sente les rĂ©sultats obtenus lorsque Dynamic Airtime Scheduling est activĂ©. Le client connectĂ© Ă 270 Mbps ne met alors que 10 secondes â soit 10 fois plus vite â pour transmettre les 10 000 paquets. De mĂȘme, le temps de transfert pour tous les autres clients sâamĂ©liore de maniĂšre trĂšs sensible. Ainsi : le transfert du client .11n (108 Mbps) est 6 fois plus rapide, 3 fois plus rapide pour celui du client .11n (54 Mbps), 2.5 fois pour le client .11a (54 Mbps), 30% pour le client .11a (12 Mbps) et quelques 10% pour le client le plus lent (.11a Ă 6 Mbps). On conclut ainsi que Dynamic Airtime Scheduling permet une nette amĂ©lioration des performances globales du rĂ©seau, quel que soit les types de clients connectĂ©s. Les clients les plus rapides obtiennent des rĂ©sultats consĂ©quents et les clients les plus lents ne sont quasiment pas impactĂ©s. Dans un environnement radio rĂ©el, ces rĂ©sultats seraient encore plus probants car lorsque les clients rapides terminent leur transmission, ils libĂšrent lâantenne et diminuent ainsi les risques de congestion et de rĂ©Ă©mission, augmentant par la mĂȘme les performances des clients lents Ă©mettant toujours.
Dynamic Airtime Scheduling, une technologie particuliĂšrement puissante
Maintenant que nous avons vu de quoi est capable la technologie Dynamic Airtime Scheduling, parcourons plus en détails les différents concepts associés.
- 52 -
Copyright © 2017, Aerohive Networks, Inc.
Dans les mĂ©canismes traditionnels de QoS Ă base de bande passante, le point dâaccĂšs calcule la bande passante utilisĂ©e par chaque client en fonction de la taille et du nombre de trames transmises depuis/vers ledit client. Ces mĂ©canismes ne prennent pas en compte le temps nĂ©cessaire Ă la transmission des trames dans lâenvironnement radio. Ainsi, tel que nous lâavons vu dans les sections prĂ©cĂ©dentes, les clients connectĂ©s Ă diffĂ©rents taux de transmission utilisent diffĂ©rentes durĂ©es dâantenne pour transmettre le mĂȘme volume de donnĂ©es. En activant Dynamic Airtime Scheduling, lâordonnanceur alloue du temps dâantenne plutĂŽt que de la bande passante Ă chaque utilisateur et files dâattente, avec possibilitĂ© de pondĂ©ration. Lorsque le trafic est transmis par/vers un client, le point dâaccĂšs HiveAP dâAerohive calcule le temps dâantenne en fonction de sa connaissance approfondie des clients connectĂ©s, de lâĂ©tat des files dâattente, des taux de transmission pour chaque paquet, de la politique de QoS dĂ©finie par lâadministrateur rĂ©seau, et sâassure ainsi quâun temps dâantenne convenable est allouĂ© aux diffĂ©rents clients. Cette approche nâest possible que parce lâarchitecture Aerohive repose sur des points dâaccĂšs intelligents, sans contrĂŽleur, et que ce sont directement ces points dâaccĂšs HiveAP qui sont responsables du traitement des trames. Ainsi, lâensemble des informations nĂ©cessaires sont fournies en temps rĂ©el au moteur de QoS embarquĂ© dans les points dâaccĂšs qui peut instantanĂ©ment modifier les conditions dâutilisation du temps dâantenne pour un client donnĂ©, par exemple lorsque celui-ci bouge.
Trafic montant et Dynamic Airtime Scheduling
Bien que le standard Wi-Fi nâautorise pas un point dâaccĂšs Ă forcer un client Ă ne pas transmettre, Dynamic Airtime Scheduling est toujours en mesure de planifier et de contrĂŽler le trafic montant. Il mesure le temps dâantenne total du client en agrĂ©geant le trafic Ă©mis et reçu et sâassure ainsi que le trafic global dâun client Wi-Fi (montant et descendant) nâexcĂšde pas le temps dâantenne allouĂ©. Ainsi, si un client envoie un fichier de taille importante et tente de consommer plus que le temps dâantenne qui lui est allouĂ©, alors lâordonnanceur va mettre en file dâattente le trafic descendant de ce client, ce qui aura pour consĂ©quence un plus grand dĂ©lai dans la rĂ©ception des paquets de confirmation (ACK) et ralentira la transmission dudit client. Le niveau de prĂ©cision sur le trafic descendant est certes moins prĂ©cis que pour le trafic montant, mais le rĂ©sultat est quâil est possible de planifier et contrĂŽler les flux montants sans avoir Ă recourir Ă des approches non-standard et qui pourraient entrainer des problĂšmes dâinteropĂ©rabilitĂ© avec les clients Wi-Fi et des interfĂ©rences avec les rĂ©seaux sans fil voisins.
Transport de la voix sur un réseau Wi-Fi avec Dynamic Airtime Scheduling
Lorsque le rĂ©seau Wi-Fi doit transporter des flux voix, Dynamic Airtime Scheduling est une excellente technologie pour diminuer les congestions dues Ă des clients Ă vitesse de transmission diffĂ©rente, sans impacter directement le trafic voix. En effet, les points dâaccĂšs HiveAP dâAerohive classent le trafic voix dans des files dâattente Ă prioritĂ© stricte au lieu des files pondĂ©rĂ©es utilisĂ©es pour les autres types de trafic. Le temps dâantenne pour le trafic Ă prioritĂ© stricte est mesurĂ© par lâordonnanceur afin quâil puisse en dĂ©duire le temps d'antenne appropriĂ© pour les clients voix correspondants, mais il ne planifie pas la transmission des paquets :
- 53 -
Copyright © 2017, Aerohive Networks, Inc.
ceux-ci sont envoyĂ©s immĂ©diatement, sans dĂ©lai, vers la mĂ©moire WMM voix correspondante pour transmission instantanĂ©e. Puisque le trafic voix utilise des paquets de petite taille et nĂ©cessite peu de bande passante (ex. 64 Kbps), il consomme peu de temps d'antenne. Puisquâil est sensible Ă la latence et Ă la gigue, il doit ĂȘtre transmis impĂ©rativement avec une prioritĂ© stricte. Afin de dĂ©montrer comment les appels vocaux sont traitĂ©s par Dynamic Airtime Scheduling dans un environnement de clients mixtes (donnĂ©es et voix), nous simulons dans ce nouveau test 20 appels de voix sur IP (VoIP) bidirectionnels utilisant le protocole SIP (Session Initiation Protocol) mĂȘlĂ©s Ă 6 clients 802.11n et 2 clients 802.11a transfĂ©rant des donnĂ©es http Ă diffĂ©rentes vitesses. La figure ci-aprĂšs montre ainsi 8 clients tĂ©lĂ©chargeant 20 000 paquets http avec 2 clients connectĂ©s Ă 270 Mbps, 2 autres Ă 108 Mbps et les 4 derniers Ă 54 Mbps. Comme vu prĂ©cĂ©demment, Dynamic Airtime Scheduling garantit que les clients rapides finissent au plus tĂŽt, libĂ©rant lâair pour les clients transmettant Ă des vitesses infĂ©rieures.
Figure 25 : Huit clients à taux de transmission différents et téléchargeant un fichier en parallÚle de vingt clients
émettant des appels téléphoniques (voir figure 9)
Simultanément, nous simulons 20 appels téléphoniques bidirectionnels SIP depuis des téléphones sans fil connectés à 54 Mbps, La figure ci-aprÚs montre que chaque client maintient un débit uniforme de 88 Kbps requis pour une qualité vocale exemplaire (score MOS : 4.2 ; R-Values : 85.5).
Figure 26 : Exemple de 20 appels téléphoniques SIP en parallÚle de 8 transferts de fichier
- 54 -
Copyright © 2017, Aerohive Networks, Inc.
Définir des priorités avec Dynamic Airtime Scheduling
Lâusage de Dynamic Airtime Scheduling ne se limite pas Ă garantir que les clients disposent dâun temps dâantenne Ă©quivalent. Dynamic Airtime Scheduling peut Ă©galement ĂȘtre utilisĂ© pour dĂ©finir des prĂ©fĂ©rences et appliquer des prioritĂ©s aux utilisateurs, types dâutilisateurs, SSID, type dâĂ©quipements connectĂ©s et applications rĂ©seau. Par exemple, ceci peut ĂȘtre utilisĂ© pour privilĂ©gier des employĂ©s par rapport Ă des invitĂ©s en cas de congestion sur le rĂ©seau sans fil. Imaginons que sont diffusĂ©s 2 SSID distincts, lâun pour les employĂ©s, lâautre pour les invitĂ©s. Il est possible de dĂ©finir un poids associĂ© Ă chacun des SSID, le poids de celui des employĂ©s Ă©tant supĂ©rieur Ă celui des invitĂ©s. Si des employĂ©s et des invitĂ©s utilisent le rĂ©seau Wi-Fi au mĂȘme moment alors les employĂ©s bĂ©nĂ©ficieront dâun plus grand temps dâantenne, quel que soit leur vitesse. La figure ci-aprĂšs montre les rĂ©sultats obtenus dans un test simulant le mĂȘme tĂ©lĂ©chargement de fichier par 9 employĂ©s et 9 invitĂ©s, Ă des vitesses diffĂ©rentes et en ayant dĂ©fini au prĂ©alable une prioritĂ© plus Ă©levĂ©e pour les employĂ©s.
Figure 27 : Définition de préférences pour des employés versus invités
En affectant aux employĂ©s une prioritĂ© plus Ă©levĂ©e, on constate que les employĂ©s disposent dâun temps dâantenne plus important. Mais, au sein de chaque groupe, on retrouve les caractĂ©ristiques des tests prĂ©cĂ©dents dans lesquels les clients les plus rapides ont leur taux de transmission optimisĂ© par Dynamic Airtime Scheduling et terminent donc plus vite.
Calculs en temps réel versus ratios
Avec Dynamic Airtime Scheduling, le temps dâantenne consommĂ© par chaque trame est mesurĂ© en microsecondes afin que lâordonnanceur puisse prendre des dĂ©cisions basĂ©es sur lâutilisation rĂ©elle de la radio. Quel que soit le protocole utilisĂ© (802.11a/b/g/n), ou le taux de transmission des clients, chaque utilisateur se voit attribuer une portion appropriĂ©e de lâantenne en fonction de son utilisation rĂ©elle. Cette approche est nettement plus prĂ©cise que celle utilisĂ©e par les ordonnanceurs Ă base de protocole (802.11a/b/g/n) qui considĂšrent que tous les clients dâun mĂȘme protocole Ă©voluent avec le mĂȘme taux de transmission, et priorise le trafic en fonction dâun ratio fixe entre les diffĂ©rents types de clients (ex : 80% de clients 802.11g, 20% de clients 802.11n). Ces systĂšmes utilisant lâapproche simpliste de la nature du client considĂšrent systĂ©matiquement quâun client 802.11g est plus rapide quâun client 802.11b, ou priorisent simplement tout client 802.11n par rapport Ă un client 802.11g, et ne prennent pas en compte le dĂ©bit rĂ©el des clients connectĂ©s, Les performances du rĂ©seau en sont alors particuliĂšrement affectĂ©es. Dans le pire scĂ©nario, ces systĂšmes reposant sur le protocole des clients peuvent aboutir Ă une situation pire que si la fonction de QoS
- 55 -
Copyright © 2017, Aerohive Networks, Inc.
nâĂ©tait pas activĂ©e. En outre, ces systĂšmes ne savent pas traiter le cas dâun client 802.11n plus lent quâun autre client 802.11n. La figure ci-aprĂšs prĂ©sente un de ces systĂšmes de QoS reposant sur la nature du client et dĂ©montre quâil est totalement incapable de rĂ©soudre la problĂ©matique de clients connectĂ©s Ă diffĂ©rentes vitesses. Le graphe de gauche montre que deux clients, lâun 802.11a rapide et lâautre 802.11n lent, tĂ©lĂ©chargeant le mĂȘme fichier, sont traitĂ©s de maniĂšre totalement illogique : le client rapide (802.11a) est considĂ©rablement pĂ©nalisĂ© parce quâil utilise un protocole sensĂ© ĂȘtre plus lent que le vĂ©ritable client lent (802.11n) qui lui est censĂ© ĂȘtre rapide. On voit que, comme dans tous les tests prĂ©cĂ©dents, Dynamic Airtime Scheduling sait rĂ©soudre ce problĂšme.
Figure 28 : MĂ©canismes de QoS traditionnels reposant sur la nature du client (802.11a/b/g/n) versus Dynamic
Airtime Scheduling reposant sur la vitesse réelle du client, quel que soit sa nature
Dynamic Airtime Scheduling optimise systĂ©matiquement lâutilisation de lâenvironnement radio en fonction de lâĂ©tat rĂ©el des clients et du rĂ©seau sans fil, alors que les systĂšmes classiques reposent sur des hypothĂšses grossiĂšres et parfois erronĂ©es â par exemple un client 802.11n est toujours plus rapide quâun client 802.11a â qui ne permettent pas dâamĂ©liorer les performances.
Optimisation des clients Wi-Fi
La technologie Dynamic Airtime Scheduling dâAerohive est particuliĂšrement novatrice en ce sens quâelle permet de garantir la qualitĂ© de service en fonction du temps dâantenne disponible, et non de la bande passante. GĂ©rer le temps dâantenne est particuliĂšrement critique car son utilisation affecte directement tous les clients du rĂ©seau sans fil. Le temps dâantenne doit ĂȘtre gĂ©rĂ© de maniĂšre dynamique car il varie constamment en fonction des clients connectĂ©s au rĂ©seau, et pas seulement parce que ces clients sont de protocoles diffĂ©rents (802.11a/b/g/n), mais surtout en raison de la proximitĂ© avec le point dâaccĂšs, de la force du signal, des interfĂ©rences et du taux dâerreur sur le rĂ©seau Wi-Fi. Avec Dynamic Airtime Scheduling, lâutilisation du temps dâantenne peut ĂȘtre ordonnancĂ©e, planifiĂ©e, afin dâoptimiser les performances des clients et du rĂ©seau et allouer les ressources en fonction de la politique dĂ©finie par lâadministrateur rĂ©seau. Dynamic Airtime Scheduling augmente les performances des rĂ©seaux sans fil et transforme un rĂ©seau WLAN traditionnel en vĂ©ritable infrastructure rĂ©seau multiservices.
- 56 -
Copyright © 2017, Aerohive Networks, Inc.
GARANTIE DE NIVEAU DE SERVICE SUR LE RESEAU WI-FI AVEC
PERFORMANCE SENTINEL
La problématique des réseaux Wi-Fi non prédictibles
Les rĂ©seaux sont des Ă©lĂ©ments vivants, sans cesse grandissant, sans cesse changeant, et les rĂ©seaux Wi-Fi changent encore plus rapidement et de diffĂ©rentes maniĂšres que les rĂ©seaux filaires. De nouveaux points dâaccĂšs sont dĂ©ployĂ©s, des rĂ©seaux apparaissent soudainement dans le voisinage radio, les clients errent, les dĂ©bits changent, des zones de concentration apparaissent en certaines points du rĂ©seau. Les utilisateurs adorent la libertĂ© et la mobilitĂ© quâoffrent les rĂ©seaux Wi-Fi, mais attendent aussi de la part des Ă©quipes informatiques quâelles leurs dĂ©livrent des performances prĂ©dictibles. Les rĂ©seaux Wi-Fi deviennent de plus en plus rapides et intelligents. Cela aide. Mais les administrateurs rĂ©seaux souffrent toujours du manque de visibilitĂ© et de leur incapacitĂ© Ă mesurer sâils dĂ©livrent effectivement ce que les utilisateurs attendent du rĂ©seau sans fil. Ils nâont pas de visibilitĂ© sur le niveau de performances rĂ©elles de leurs clients Wi-Fi et leur infrastructure rĂ©seau ne dispose que de peu de moyens pour ajuster dynamiquement le comportement du rĂ©seau aux attentes des clients. A lâheure actuelle, les administrateurs rĂ©seaux peuvent seulement espĂ©rer que leurs clients obtiennent effectivement le niveau de performances planifiĂ© initialement, et ceci nâest Ă©videmment pas suffisant. Avant les analyseurs de protocoles Wi-Fi, les administrateurs et consultants Ă©taient juste capables de diagnostiques les problĂšmes du rĂ©seau en vĂ©rifiant continuellement lâarchitecture et le fonctionnement des clients connectĂ©s. Obtenir des statistiques pertinentes sur les performances et effectuer des analyses radio en temps rĂ©el pour amĂ©liorer ou rĂ©parer le rĂ©seau Ă©tait trĂšs difficile voire impossible. Avec lâintroduction des analyseurs de protocole Wi-Fi, câest comme si lâon Ă©quipait ces mĂȘmes professionnels de lunettes RF pour mieux voir lâenvironnement radio frĂ©quence : ils peuvent maintenant dĂ©couvrir ce qui se passe rĂ©ellement sur le mĂ©dia radio et rĂ©agir en consĂ©quence. Bien Ă©videmment, le problĂšme majeur de cette approche est quâelle est uniquement rĂ©active et quâelle ne fournit pas de moyens de diagnostic des performances et dâactions en temps rĂ©el. Sur la base de cette observation, Aerohive a dĂ©veloppĂ© une solution inĂ©dite de visibilitĂ© du rĂ©seau et de rĂ©ponse adaptive. Le systĂšme Aerohive de suivi des performances et de rĂ©ponse, dĂ©nommĂ© SLA Compliance, permet dâaugmenter la granularitĂ© dans lâanalyse du rĂ©seau et de mettre en Ćuvre rapidement des actions correctrices, bien au-delĂ de ce quâun administrateur rĂ©seau peut accomplir manuellement. Cette solution permet dorĂ©navant de dĂ©finir et suivre des niveaux de service rĂ©els sur le rĂ©seau Wi-Fi et, in-fine, de les garantir.
Le Wi-Fi haute-fidélité
Certains lâappellent le service Wi-Fi universel. Dâautres le dĂ©terminisme rĂ©seau. Chez Aerohive, nous appelons cela le Wi-Fi haute-fidĂ©litĂ©. Lâobjectif de lâIEEE pour le standard 802.11 a toujours Ă©tĂ© dâimplĂ©menter des protocoles de communication entre les points dâaccĂšs afin de dĂ©porter les fonctions dans le rĂ©seau, dâallĂ©ger les clients, dâadministrer le spectre des frĂ©quences, et bien plus. Aerohive a totalement alignĂ© sa maniĂšre de penser et ses mĂ©thodologies sur cette approche de lâIEEE en dĂ©veloppant ses propres protocoles haute-performance de contrĂŽle coopĂ©ratif entre les points dâaccĂšs HiveAP. Puis lâalliance Wi-Fi lança son slogan « Le standard pour les rĂ©seaux Wireless Fidelity ». Encore une fois, Aerohive rĂ©pondit en implĂ©mentant tous les Ă©lĂ©ments nĂ©cessaires Ă un rĂ©seau sans fil de confiance : adhĂ©sion, fiabilitĂ©, intĂ©gritĂ©, prĂ©cision et suretĂ©.
- 57 -
Copyright © 2017, Aerohive Networks, Inc.
Chez Aerohive, nous pensons fermement quâil est nĂ©cessaire de fournir des donnĂ©es de performances fiables et mĂȘme des accords de niveau de service dĂ©finis et garantis. Chaque technologie rĂ©seau doit dĂ©marrer de quelque part puis aller de lâavant. Au tout dĂ©but, Ethernet fut dĂ©veloppĂ© dans les centres de donnĂ©es, puis installĂ© par la suite dans les couches de distribution et enfin dâaccĂšs du rĂ©seau. Ensuite, une variĂ©tĂ© de technologies Internet telles que les accĂšs tĂ©lĂ©phoniques commutĂ©s et lâADSL furent introduits. Maintenant, câest au tour du Wi-Fi. La plupart de ces technologies de connexion sont maintenant matures, et il doit en ĂȘtre de mĂȘme pour le Wi-Fi. Il existe plusieurs paramĂštres pour considĂ©rer un rĂ©seau prĂ©dictible. Votre rĂ©seau fonctionne-t-il Ă chaque fois que vous en avez besoin ? Si vous ne lâavez pas bricolĂ© depuis longtemps, va-t-il continuer Ă vous fournir un service fiable ? Malheureusement, la rĂ©ponse est souvent non. Le challenge consiste donc Ă construire une machine rĂ©seau simple. Nous savons par exemple quâun levier, une poulie, un plan inclinĂ© sont des objets simples qui fonctionnent tout le temps. Câest dans leur nature. Câest ce dont nous avons besoin ici aussi. Mais hĂ©las, nous devons faire avec un standard 802.11 contenant plus de 2 600 pages de spĂ©cifications (avec amendements), ce qui complique passablement la tĂąche. Pour en faire une machine simple, le rĂ©seau Wi-Fi doit garantir 3 critĂšres : la fiabilitĂ©, la disponibilitĂ© et la prĂ©dictibilitĂ©. Dans un rĂ©seau critique, les mots tels que « partiellement », « quasiment », « presque » nâont pas lieu dâĂȘtre. La premiĂšre rĂšgle dans la conception dâun systĂšme fiable consiste Ă en retirer toutes les parties non nĂ©cessaires. Câest de lĂ que les machines simples tirent leur nom. Prenons un exemple de minimisation du systĂšme Wi-Fi : la suppression des contrĂŽleurs et leur remplacement par des protocoles inter points dâaccĂšs. Et pourquoi ? Simplement parce que, contrairement Ă un contrĂŽleur, les protocoles ne peuvent ĂȘtre que dans deux Ă©tats : actifs ou inactifs. Contrairement aux contrĂŽleurs, les protocoles ne sâusent pas, ne se dĂ©tĂ©riorent pas, nâutilisent pas dâĂ©lectricitĂ©, ne nĂ©cessitent pas de licences ou de garantie, ne finissent pas leur vie dans une dĂ©charge. Comprenez bien que le seul avenir pour les contrĂŽleurs Wi-Fi est de disparaĂźtre.
LâĂ©volution historique des rĂ©seaux Wi-Fi
Les premiĂšres implĂ©mentations de Wi-Fi concernaient des rĂ©seaux de commoditĂ© dans lesquels les performances Ă©taient le dernier critĂšre considĂ©rĂ©. Mais avec la transition du Wi-Fi vers les entreprises et le transport dâapplications critiques, les fabricants ont progressivement ajoutĂ© des fonctions dâamĂ©lioration des performances, principalement basĂ©es sur la priorisation et lâoptimisation. Vous avez dĂ©jĂ probablement entendu parlĂ© de : QoS WMM, gestion de bande passante, optimisation du temps dâair, etc. Certaines de ces fonctions sont meilleures que dâautres, et toutes sont un pas dans la bonne direction, mais elles ne sont que des morceaux dâun puzzle. A lâheure actuelle, les solutions Wi-Fi dâentreprises tendent Ă optimiser les performances des clients Wi-Fi et dĂ©livrer un comportement prĂ©dictible. Cependant, elles sont incapables de produire des indicateurs permettant de vĂ©rifier que ces performances sont bien dĂ©livrĂ©es et ne disposent pas de mĂ©canismes de rĂ©ponse automatique en cas de non dĂ©livrance du niveau de performance souhaitĂ©. Câest dans ce domaine quâAerohive innove en introduisant deux nouvelles fonctionnalitĂ©s : Performance Sentinel et Airtime Boost. Ces deux solutions combinĂ©es fournissent aux administrateurs une visibilitĂ© et un dĂ©terminisme de leur rĂ©seau Wi-Fi jusque-lĂ inĂ©galĂ©s en surveillant les dĂ©bits des clients et en les comparant Ă un niveau de service (Service Level Agreement â SLA) prĂ©cĂ©demment dĂ©fini. Du temps dâair additionnel est alors automatiquement allouĂ© aux clients qui nâatteignent pas leur niveau prĂ©dĂ©fini afin quâils puissent retrouver des performances compatibles avec lâaccord de service. Câest deux fonctionnalitĂ©s sont uniques dans lâindustrie du Wi-Fi.
- 58 -
Copyright © 2017, Aerohive Networks, Inc.
Vue globale du réseau
Pour obtenir un rĂ©seau Wi-Fi de qualitĂ© filaire, une approche holistique des accords de niveau de service, considĂ©rĂ©s comme un tout, est nĂ©cessaire. La figure ci-aprĂšs illustre les Ă©tapes progressives de lâindustrie pour la surveillance et les actions sur les niveaux de service.
- DĂ©finition et suivi des accords de niveau de service : permet Ă lâadministrateur rĂ©seau de spĂ©cifier un seuil de dĂ©bit minimal acceptable.
- Analyse des problĂšmes : isole les problĂšmes jusquâau niveau du client Wi-Fi ou du point dâaccĂšs concernĂ© par la violation du niveau de service.
- Actions sur les niveaux de service : allocation dynamique de ressources pour revenir au niveau de service acceptable.
Ces capacitĂ©s de visibilitĂ© des niveaux de service, dâanalyse approfondie et dâactions de recouvrement doivent permettre Ă lâadministrateur rĂ©seau dâavoir une vue globale de lâĂ©tat du rĂ©seau tandis que lâensemble de lâinfrastructure Wi-Fi assure le bon fonctionnement et la dĂ©livrance du service tel que souhaitĂ©.
Figure 29 : Dâun rĂ©seau de commoditĂ© Ă un rĂ©seau Ă haute fidĂ©litĂ©
Est-ce que Mme Martin, responsable de la paie, s'intĂ©resse Ă la priorisation du trafic par WMM ou Ă l'allocation du temps d'air ? Absolument pas. Ce qu'elle veut, comme tout autre utilisateur Wi-Fi, c'est que sa connexion rĂ©seau lui fournisse ce dont elle a besoin pour travailler, oĂč qu'elle soit dans l'entreprise. Elle veut une garantie de service. C'est aussi simple que cela. Mr. Dupont, l'administrateur rĂ©seau, souhaite la mĂȘme chose, mais dans une perspective diffĂ©rente. Mr. Dupont veut pouvoir s'assurer que Mme Martin dispose des conditions rĂ©seaux convenues, et si ce n'est pas le cas, il veut s'avoir quand, pourquoi et quelle action correctrice a Ă©tĂ© prise, et si cette action a permis de rĂ©parer ou non le problĂšme. Il faut donc, au prĂ©alable, dĂ©finir, appliquer et superviser des accords de niveau de service.
- 59 -
Copyright © 2017, Aerohive Networks, Inc.
Le respect des accords de niveau de service - Comment ça marche ?
Aerohive propose deux nouvelles fonctionnalités uniques offrant déterminisme et visibilité sur le réseau Wi-Fi. Pour la premiÚre fois dans l'industrie des réseaux sans fil, une solution permet aux administrateurs réseaux d'établir, de surveiller et d'offrir des garanties de débit pour leurs clients Wi-Fi.
Performance Sentinel
Afin de surveiller le rĂ©seau, Aerohive a crĂ©Ă© Performance Sentinel, un moteur de supervision des niveaux de service et de dĂ©bit des clients. Performance Sentinel offre une vision globale du rĂ©seau Wi-Fi sous l'angle des performances et publie les indicateurs de suivi sur un tableau de bord unique. Par exemple : 98% de nos clients ont atteint 3 Mbps de dĂ©bit ou plus au cours des 3 derniers mois. La figure ci-aprĂšs prĂ©sente un exemple de rapport publiĂ© dans le HiveManager montrant 3 clients Wi-Fi d'un mĂȘme point d'accĂšs n'ayant pas atteint leur accord de niveau de service (en rouge). Lorsque la fonction Airtime Boost (voir paragraphe suivant) est activĂ©e, le rapport indique alors que tous les clients et tous les points d'accĂšs sont en accords avec les niveaux de service dĂ©finis, les 3 clients prĂ©cĂ©dents disposant maintenant de leur dĂ©bit garanti (en jaune).
Figure 30 : VisibilitĂ© rĂ©seau (clients et points dâaccĂšs) â Exemple de tableau de bord
Performance Sentinel permet de comparer le débit réel, ou le besoin en débit, d'un client Wi-Fi avec son niveau de service prédéfini, accordé. Et ceci en utilisant :
- Les données statistiques du client afin de déterminer son débit réel.
- Les statistiques de mémoire tampon dans le moteur de QoS du point d'accÚs pour déterminer si le client va utiliser encore plus de bande passante (par exemple, parce qu'il souhaite télécharger un gros fichier ou une vidéo).
En plus de fournir une visibilitĂ© cĂŽtĂ© clients, les points d'accĂšs peuvent Ă©galement ĂȘtre surveillĂ©s afin de repĂ©rer ceux disposant de clients en violations des accords de niveau de service, pouvant ĂȘtre dus par exemple Ă des interfĂ©rences radio ou des problĂšmes de capacitĂ©.
- 60 -
Copyright © 2017, Aerohive Networks, Inc.
Airtime Boost
CouplĂ© Ă Performance Sentinel, et dans le but de fournir des moyens de correction automatique des clients Wi-Fi n'atteignant pas leurs niveaux de service, Airtime Boost repose sur le moteur d'allocation dynamique de temps d'antenne additionnel â Dynamic Airtime Scheduling â embarquĂ© dans les points d'accĂšs HiveAP d'Aerohive. Cette solution unique et particuliĂšrement innovante constitue le premier niveau d'action dans le but de recouvrer le niveau de service admissible pour un client donnĂ©.
Figure 31 : Application dâAirtime Boost
Dynamic Airtime Scheduling est une autre fonctionnalitĂ© unique d'Aerohive qui permet de s'assurer que, techniquement, les clients Wi-Fi rapides disposent d'un dĂ©bit Ă©levĂ© et les clients Wi-Fi plus lents n'impactent pas les autres en monopolisant le temps d'antenne. Airtime Boost s'applique directement au niveau des profils des utilisateurs, permettant ainsi d'aider automatiquement les clients Wi-Fi Ă atteindre leur niveau de service normal lorsqu'un problĂšme est remontĂ© par Performance Sentinel. Les administrateurs rĂ©seau peuvent ainsi crĂ©er diffĂ©rentes catĂ©gories de clients â les profils utilisateurs â et leur attribuer diffĂ©rents accords de niveau de service et laisser le systĂšme agir automatiquement si ces derniers ne sont pas atteints. Quelques exemples :
- Un systĂšme dâimagerie mĂ©dicale a besoin dâun minimum de 6 Mbps pour fonctionner correctement.
- Lâoutil de visioconfĂ©rence utilisĂ© par les employĂ©s nĂ©cessite un dĂ©bit de 3 Mbps.
- Les invités ont un niveau de service à 1 Mbps mais aucune action correctrice ne leur est appliquée.
Figure 32 : Airtime Boost utilise la technologie Dynamic Airtume Scheduling
- 61 -
Copyright © 2017, Aerohive Networks, Inc.
Les administrateurs disposent ainsi dâun moteur dâanalyse des performances des clients Wi-Fi Ă la fois simple et puissant permettant :
- Dâisoler et corriger les problĂšmes au niveau des clients ou des points dâaccĂšs Wi-Fi, lorsquâun seuil de niveau de service est atteint (en descente), et ce avant que le client ne sâen rende compte.
- Dâobtenir des informations Ă diffĂ©rents niveaux de dĂ©tail : identitĂ©, donnĂ©es reçues/Ă©mises, dĂ©bits, indications de puissance du signal reçu (RSSI), performances, erreurs, interfĂ©rence, charge, utilisation du temps dâantenne, etc.
La liste des clients nâatteignant pas leur seuil de niveau de service le plus souvent est publiĂ©e dans le rapport de conformitĂ©.
Figure 33 : Statistiques détaillées par session client
Utilisation et configuration
Exemple dâutilisation
Voyons plus en dĂ©tail un exemple de la puissance apportĂ©e par les diffĂ©rents outils Aerohive. Dans la figure ci-aprĂšs, le groupe Group1 dispose dâun accord de niveau de service Ă 6 Mbps, tandis que le groupe Group2 dispose dâun accord de niveau de service Ă 2 Mbps. Mais aucun ne dispose dâaction correctrice. Pour cette raison, les 6 clients connectĂ©s disposent dâun dĂ©bit similaire bien que ceux appartenant au groupe Group1 sont en totale violation de leur accord de service (dĂ©bit Ă 4.5 Mbps).
- 62 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 34 : Exemple de deux groupes de clients Wi-Fi sans Airtime Boost
Activons alors Airtime Boost. Les clients du groupe Group1 se voient alors automatiquement attribuĂ©s une plus grande quantitĂ© de temps dâantenne afin dâatteindre leur seuil minimum, ce qui diminue sensiblement le dĂ©bit des clients du groupe Group2 mais leur permet toujours de disposer dâun dĂ©bit supĂ©rieur Ă leur accord de service. Ainsi, Airtime Boost permet dans ce scĂ©nario dâavoir les deux groupes dâutilisateurs atteignant leur niveau de service.
Figure 35 : Exemple de deux groupes de clients Wi-Fi avec Airtime Boost
Configurer Airtime Boost
Configurer et activer Airtime Boost au travers du HiveManager est particuliĂšrement simple. Tout sâeffectue au niveau du profil utilisateur (« User Profile »). Airtime Boost sâactive simplement par une case Ă cocher et quelques paramĂštres Ă dĂ©finir :
- DĂ©bit (en Kbps). - Action : aucune, log, boost, log & boost.
- 63 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 36 : ParamĂštres dâactivation et de configuration dâAirtime Boost
Concevoir un réseau Wi-Fi déterministe
Aerohive poursuit son travail dâinnovation en apportant Ă ses clients une solution unique de dĂ©terminisme sur le rĂ©seau Wi-Fi au travers de garanties de performances, de simplification de lâarchitecture rĂ©seau, de performances Ă©levĂ©es Ă un coĂ»t rĂ©duit. La capacitĂ© de dĂ©finir des accords de niveau de service par groupe dâutilisateurs, de superviser les dĂ©bits en temps rĂ©els et de prendre des mesures correctrices lorsque nĂ©cessaire constituent une solution complĂšte et unique dans lâindustrie du Wi-Fi. Et tout ceci est inclus de base dans les produits Aerohive, sans coĂ»t additionnel ou licence supplĂ©mentaire. Lâobjectif de concevoir un rĂ©seau Wi-Fi Ă haute-fidĂ©litĂ©, capable de supporter les applications critiques jusque-lĂ restreintes au rĂ©seau filaire, est atteint au travers de la solution Aerohive. Le rĂ©seau sans fil peut maintenant ĂȘtre envisagĂ© comme moyen de connexion primaire au rĂ©seau, la couche dâaccĂšs primaire.
- 64 -
Copyright © 2017, Aerohive Networks, Inc.
SECURISER ET SIMPLIFIER LâACCES WI-FI AVEC PRIVATE
PRESHARED KEY
Un nouveau concept
Les rĂ©seaux sans fil ont connu de nombreuses Ă©volutions afin dâatteindre â voire dĂ©passer dans certains cas â le niveau de sĂ©curitĂ© des rĂ©seaux filaires.
Le paradigme des clés partagées (PSK)
La premiĂšre Ă©tape fut le dĂ©veloppement des clĂ©s partagĂ©es, ou PreShared Key (PSK). Chaque Ă©quipement dâun rĂ©seau sans fil utilise une clĂ© PSK afin de chiffrer le trafic, combattant ainsi toute tentative dâĂ©coute du mĂ©dia radio. Le problĂšme majeur dans lâutilisation de clĂ©s PSK est lâimpossibilitĂ© de rĂ©voquer une clĂ© lorsque, par exemple, un employĂ© quitte lâentreprise. Or tous les employĂ©s utilisent la mĂȘme clĂ© PSK. En outre, lâusage dâune clĂ© identique Ă longue durĂ©e de vie fournit le temps nĂ©cessaire Ă une personne malveillante pour tenter de casser la clĂ© cryptographique â ce qui est maintenant particuliĂšrement simple dans le cas de clĂ©s WEP et beaucoup plus laborieux, mais nĂ©anmoins possible, pour WPA. De mĂȘme, il nâest alors pas possible dâidentifier lâutilisateur ou lâĂ©quipement en fonction de son identitĂ©. Toutes les stations sont alors placĂ©es dans le mĂȘme profil utilisateur, et obtiennent alors les mĂȘmes droits dâaccĂšs au rĂ©seau.
Le standard 802.1X
Pour y remĂ©dier, le standard 802.1X a Ă©tĂ© dĂ©fini afin de permettre aux entreprises dâĂ©lever le niveau de sĂ©curitĂ© de leurs rĂ©seaux sans fil. Câest la deuxiĂšme Ă©tape. Cependant, la migration dâun rĂ©seau utilisant une clĂ© PSK vers la norme 802.1X ne se fait pas sans douleur. En effet, il nâest pas rare de voir des clients Wi-Fi anciens ne supportant pas ou nâĂ©tant pas compatibles avec ce standard ; et pour la plupart des autres clients Wi-Fi, en particulier lorsquâil sâagit de systĂšmes dâexploitation Microsoft, leur configuration en mode 802.1X est loin dâĂȘtre triviale. En outre, 802.1X pose un vĂ©ritable problĂšme lorsquâil sâagit dâautoriser lâaccĂšs au rĂ©seau Ă des personnes externes Ă lâentreprise et utilisant des clients Wi-Fi non maĂźtrisĂ©s, par exemple des invitĂ©s, des Ă©tudiants, des consultants, des Ă©quipements personnels (BYOD), ⊠Puisque 802.1X nĂ©cessite une configuration particuliĂšre, voire mĂȘme lâinstallation dâun client logiciel spĂ©cifique (supplicant), il est parfois impossible de le dĂ©ployer sur un rĂ©seau auquel se connectent des Ă©quipements non-gĂ©rĂ©s.
La solution Private PSK dâAerohive
La solution brevetĂ©e Private PSK dâAerohive combine la simplicitĂ© et la souplesse dâutilisation dâune clĂ© PSK avec les avantages et le niveau de sĂ©curitĂ© associĂ©s Ă la technologie 802.1X. Un administrateur rĂ©seau, tout comme une hĂŽtesse dâaccueil, peuvent ainsi crĂ©er et attribuer Ă chaque utilisateur du rĂ©seau sans fil une clĂ© PSK unique, non connue des autres utilisateurs, rompant ainsi avec le paradigme du partage de clĂ© PSK dans les rĂ©seaux classiques, et permettant alors dâidentifier chaque utilisateur individuellement et dâen contrĂŽler lâaccĂšs au rĂ©seau. On retrouve ici les
- 65 -
Copyright © 2017, Aerohive Networks, Inc.
caractĂ©ristiques, en termes de niveau de sĂ©curitĂ©, du standard 802.1X, tout en sâaffranchissant des contraintes de configuration et de dĂ©ploiement sur le poste client puisquâil sâagit dâune simple clĂ© PSK. Alors que lâusage dâune clĂ© PSK classique ne permet pas la rĂ©vocation dâun des utilisateurs puisque tous partagent la mĂȘme clĂ©, la technologie Private PSK dâAerohive lie chaque client Ă une clĂ© unique, qui peut donc ĂȘtre facilement rĂ©voquĂ©e sans impacter les autres utilisateurs du rĂ©seau sans fil.
Figure 37 : PSK traditionnelle et PSK privée de Aerohive
En outre, puisquâune clĂ© Private PSK est propre Ă chaque utilisateur et permet, tout comme dans le standard 802.1X, dâidentifier celui-ci lorsquâil se connecte Ă un SSID, il devient alors possible dâassocier Ă lâutilisateur un profil rĂ©seau contenant des paramĂštres personnalisĂ©s â par exemple le numĂ©ro de VLAN, les rĂšgles de firewall, la politique de qualitĂ© de service, ⊠DiffĂ©rents utilisateurs peuvent ainsi se connecter au mĂȘme rĂ©seau sans fil, mais disposer de niveaux de services distincts, par exemple en fonction de leur rĂŽle au sein de lâentreprise.
Simplicité, souplesse, sécurité et réduction des coûts
Les bĂ©nĂ©fices de la solution Private PSK dâAerohive sont nombreux :
- La facilitĂ© de crĂ©ation des clĂ©s PSK, de leur distribution et de leur rĂ©vocation rĂ©duit considĂ©rablement la complexitĂ© et les coĂ»ts liĂ©s Ă lâusage dâune clĂ© unique PSK ou dâune technologie complexe telle que 802.1X.
- Les utilisateurs invitĂ©s peuvent se voir attribuer des clĂ©s uniques par une hĂŽtesse dâaccueil, simple dâutilisation sur tout type de clients Wi-Fi. Par exemple, la solution Private PSK dâAerohive permet de sâaffranchir de lâusage dâun portail Web captif et donc de la contrainte de devoir ouvrir un navigateur pour accĂ©der aux pages Web demandant lâauthentification par nom dâutilisateur / mot de passe. On supprime ainsi des problĂ©matiques liĂ©es Ă la nature ou la configuration du poste de lâinvitĂ© :
o De plus en plus dâinvitĂ©s veulent connecter leurs tĂ©lĂ©phones multifonctions au rĂ©seau sans fil. Or il est peu aisĂ© dâaccĂ©der Ă un portail captif au travers dâun navigateur sur un tĂ©lĂ©phone mobile ou sur un assistant Ă©lectronique personnel.
o Les navigateurs des invitĂ©s peuvent ĂȘtre configurĂ©s avec des paramĂštres de leur entreprise â par exemple un proxy â qui rendent ardus lâaccĂšs au portail captif et nĂ©cessitent une assistance technique.
- 66 -
Copyright © 2017, Aerohive Networks, Inc.
o LâimplĂ©mentation du protocole HSTS sur les navigateurs Web rĂ©cents peut rendre lâinterception et la redirection vers un portail captif difficile lorsque le navigateur est configurĂ© avec une page dâaccueil en HTTPS.
- Si un employĂ© vient Ă quitter lâentreprise, la clĂ© partagĂ©e PSK traditionnelle impose un
changement sur lâensemble des postes de lâentreprise et des points dâaccĂšs Wi-Fi, ce qui peut devenir rapidement fastidieux. Avec la solution Private PSK, il suffit de rĂ©voquer la clĂ© personnelle dudit employĂ©, sans aucune action nĂ©cessaire sur les autres postes de travail.
- De nombreux clients ne supportent toujours pas 802.1X, le standard WPA2 et les options avancĂ©es â notamment pour lâitinĂ©rance (roaming) entre points dâaccĂšs Wi-Fi. GrĂące Ă la solution Prive PSK, et puisquâil sâagit in-fine dâune clĂ© PSK standard mais propre Ă chaque utilisateur, les fonctions classiquement disponibles sur les clients Wi-Fi, mĂȘme les moins rĂ©cents, restent opĂ©rationnelles. Câest le cas en particulier pour lâitinĂ©rance transparente au sein de lâinfrastructure Wi-Fi.
- Globalement, tous les clients supportant WPA-PSK peuvent bénéficier, avec la solution Private PSK, du niveau de sécurité de 802.1X sans ajouter de logiciel ou mettre à jour le poste de travail et sans avoir à implémenter une configuration complexe.
Les mĂ©thodes traditionnelles dâaccĂšs au rĂ©seau Wi-Fi
Lorsquâelles dĂ©ploient un rĂ©seau Wi-Fi, les entreprises disposent de diverses options de sĂ©curitĂ© afin de contrĂŽler lâaccĂšs au rĂ©seau en fonction de lâidentitĂ© de lâutilisateur. Le choix entre ces diffĂ©rentes options rĂ©sulte souvent dâun compromis entre sĂ©curitĂ© et complexitĂ©. Les trois mĂ©thodes classiques sont :
- RĂ©seau ouvert â Pas de sĂ©curitĂ©. o Tout le trafic est Ă©mis en clair, non chiffrĂ©, sur le mĂ©dia radio. o Un portail Web captif est habituellement utilisĂ© pour lâauto-enregistrement ou
lâauthentification des utilisateurs. o Le trafic est parfois segmentĂ© sur des VLANs distincts sur le rĂ©seau Ethernet.
- ClĂ© partagĂ©e (PSK) â Standard IEEE 802.11i WPA ou WPA2 Personnel.
o Utilisation dâun secret unique partagĂ© entre tous les clients dâun mĂȘme SSID. o Le secret â ou clĂ© partagĂ©e (PSK) â est utilisĂ© pour chiffrer le trafic vĂ©hiculĂ© par la radio
entre les clients et les points dâaccĂšs Wi-Fi Ă lâaide des algorithmes TKIP ou AES-CCMP.
- IEEE 802.1X (EAPOL) â Standard 802.11i WPA ou WPA2 Entreprise. o Les utilisateurs sont authentifiĂ©s Ă lâaide dâun couple nom dâutilisateur / mot de passe. o Optionnellement, lâĂ©quipement de lâutilisateur peut ĂȘtre authentifiĂ© Ă lâaide dâun
certificat machine, o Les clĂ©s cryptographiques utilisĂ©es par le client et le point dâaccĂšs Wi-Fi sont
nĂ©gociĂ©es de maniĂšre dynamique et sĂ©curisĂ©e avec le serveur RADIUS Ă lâaide du protocole 802.1X (EAPOL).
o Le client et le point dâaccĂšs utilisent les clĂ©s pour gĂ©nĂ©rer dâautres clĂ©s temporaires pour chaque session RADIUS.
o Le trafic est chiffrĂ© Ă lâaide des algorithmes TKIP ou CCMP-AES.
- 67 -
Copyright © 2017, Aerohive Networks, Inc.
RĂ©seau ouvert
Les SSID Ă rĂ©seau ouvert sont les plus simples Ă configurer, Ă dĂ©ployer et Ă utiliser. Câest pourquoi la grande majoritĂ© des rĂ©seaux invitĂ©s utilisent cette mĂ©thode. Cependant, de nombreux problĂšmes interviennent, notamment en termes de sĂ©curitĂ©. LâintĂ©gralitĂ© du trafic Ă©changĂ© entre un client et un point dâaccĂšs Wi-Fi au travers dâun rĂ©seau ouvert circule en clair et est donc Ă©coutable ou modifiable (ex : Man in The Middle) sur la radio. En outre, il nây a aucune authentification ni aucun contrĂŽle possible du client, de sorte que nâimporte qui peut sâassocier au SSID. Dâailleurs, il nâest pas rare de voir des cartes Wi-Fi se connecter automatiquement Ă de tels SSID ouverts, sans mĂȘme en avertir lâutilisateur. Le rĂ©seau ouvert est donc particuliĂšrement vulnĂ©rable aux attaques, et nĂ©cessite la mise en Ćuvre de moyens de sĂ©curitĂ© additionnels sur lâinfrastructure rĂ©seau.
Clé partagée (PSK)
Par rapport aux rĂ©seaux ouverts, les rĂ©seaux implĂ©mentant une clĂ© partagĂ©e â ou PreShared Key (PSK) â apportent un niveau substantiel de sĂ©curitĂ©. En plus dâĂȘtre plus sĂ»re, la technologie PSK est supportĂ©e par la quasi-totalitĂ© des clients Wi-Fi actuellement dĂ©ployĂ©s, et est particuliĂšrement simple Ă mettre en Ćuvre puisquâelle ne nĂ©cessite pas dâauthentification serveur, de certificat ou de configuration particuliĂšre sur le poste client (mis Ă part le renseignement de la clĂ©). Cependant, il existe plusieurs problĂšmes inhĂ©rents au fait dâutiliser une clĂ© identique pour tous les utilisateurs :
- Si un utilisateur quitte lâentreprise ou se fait dĂ©rober son ordinateur portable, il est nĂ©cessaire de modifier la clĂ© partagĂ©e par tous les utilisateurs sur lâensemble des postes clients et des points dâaccĂšs Wi-Fi.
- Les utilisateurs disposant de la mĂȘme clĂ© partagĂ©e, il est impossible de les diffĂ©rencier. De sorte que tous disposent alors du mĂȘme profil rĂ©seau : mĂȘme numĂ©ro de VLAN, mĂȘme rĂšgles de firewall et de qualitĂ© de service, ⊠Il est donc impossible dâappliquer des politiques discrĂštes de sĂ©curitĂ© ou de priorisation de trafic, de limitation de bande passante, âŠ
- Dans le cas des accĂšs invitĂ©s, il est nĂ©cessaire de communiquer, au prĂ©alable, la clĂ© partagĂ©e aux utilisateurs. Elle peut alors facilement ĂȘtre dĂ©voilĂ©e.
Authentification 802.1X
Les rĂ©seaux Wi-Fi utilisant lâauthentification 802.1X rĂ©solvent la plupart des problĂšmes liĂ©s Ă lâusage dâune clĂ© partagĂ©e commune en assignant une clĂ© individuelle Ă chaque utilisateur. Une fois lâutilisateur authentifiĂ© par un serveur RADIUS, le serveur renvoi au client et au point dâaccĂšs Wi-Fi une clĂ© PMK (Pairwise Master Key) quâils utilisent pour dĂ©river une clĂ© temporaire PTK (Pairwise Transient Key) servant Ă chiffrer le trafic de la session courante.
- 68 -
Copyright © 2017, Aerohive Networks, Inc.
Le serveur RADIUS peut Ă©galement renvoyer des attributs spĂ©cifiques afin de dĂ©finir diffĂ©rents profils dâutilisateurs. GrĂące Ă cette technique, la norme 802.1X permet de mettre en Ćuvre, sur un mĂȘme SSID, des profils dâaccĂšs au rĂ©seau et de qualitĂ© de service propres Ă chaque utilisateur, en fonction de leur identitĂ© ou de leur appartenance Ă un groupe fonctionnel. Ceci fournit Ă©galement la capacitĂ© de bloquer lâaccĂšs au rĂ©seau Ă un utilisateur ou Ă une machine si, par exemple, un employĂ© vient Ă quitter lâentreprise ou un ordinateur portable est dĂ©robĂ© ou compromis. Cependant, pour fournir ces services avancĂ©s, le standard 802.1X requiĂšre une configuration particuliĂšre des clients Wi-Fi et nĂ©cessite, au niveau de lâinfrastructure, un serveur RADIUS, des certificats serveurs, une base de donnĂ©es pour les utilisateurs â qui peut ĂȘtre locale au serveur RADIUS ou externe sur un annuaire Active Directory ou LDAP. Enfin les clients Wi-Fi 802.1X, Ă©galement dĂ©nommĂ©s supplicants RADIUS, doivent ĂȘtre prĂ©configurĂ©s.
LâaccĂšs au rĂ©seau Wi-Fi avec la technologie Private PSK dâAerohive
Bien que le standard 802.1X constitue en soi lâapproche la plus sĂ©curisĂ©e pour lâauthentification Wi-Fi, cette mĂ©thode, de par sa complexitĂ© dâimplĂ©mentation, nâest quasiment dĂ©ployĂ©e que sur les postes administrĂ©s par les Ă©quipes informatiques de lâentreprise qui disposent du contrĂŽle sur lâinfrastructure rĂ©seau, les comptes utilisateurs et les clients sans fil utilisĂ©s. Pour les utilisateurs occasionnels, tels que les consultants, les stagiaires ou les invitĂ©s, les Ă©quipes informatiques ne disposent alors pas nĂ©cessairement de lâaccĂšs au poste client, des connaissances pour configurer le logiciel 802.1X (supplicant) et la myriade de cartes Wi-Fi potentielles, voire mĂȘme du temps et des ressources nĂ©cessaires pour effectuer de telles tĂąches, et en assurer le support. Cela devient carrĂ©ment impossible lorsque les clients Wi-Fi, et il en existe toujours une quantitĂ© non nĂ©gligeable, ne supportent pas 802.1X ou le dernier standard WPA2 et ses options associĂ©es. Dâailleurs, dans ce cas, la seule solution consiste Ă recourir Ă une clĂ© partagĂ©e PSK, mais on perd alors tous les avantages du 802.1X. Afin de tirer parti des bĂ©nĂ©fices de chacune des deux solutions et sans en hĂ©riter les contraintes, Aerohive a dĂ©veloppĂ© une nouvelle approche pour lâauthentification sur les rĂ©seaux sans fil WLAN : la technologie Private PSK. Les clĂ©s privĂ©es Private PSK sont des clĂ©s PSK uniques et individuelles, permettant lâaccĂšs Ă un mĂȘme SSID par diffĂ©rents utilisateurs auxquels les clĂ©s ont Ă©tĂ© attribuĂ©es au prĂ©alable. Private PSK offre lâunicitĂ© des clĂ©s et la flexibilitĂ© du contrĂŽle dâaccĂšs du standard 802.1X tout en conservant la simplicitĂ© de configuration des clĂ©s partagĂ©es PSK. Le diagramme ci-aprĂšs est une illustration comparative dâun rĂ©seau WLAN traditionnel Ă clĂ©s partagĂ©es PSK et de lâĂ©quivalent utilisant la technologie Aerohive Private PSK.
- 69 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 38 : SSID avec clé partagée PSK traditionnelle versus SSID avec technologie Aerohive Private PSK
Dans le premier cas, tous les utilisateurs, quel que soit leur client Wi-Fi ou leur rĂŽle dans lâentreprise, partagent la mĂȘme clĂ© et le mĂȘme profil dâutilisation du rĂ©seau puisquâils ne sont pas diffĂ©rentiables. Dans le cas de la solution Aerohive, avec la technologie Private PSK, chaque utilisateur se voit assigner une clĂ© partagĂ©e PSK unique et individuelle, dâoĂč la notion de clĂ© partagĂ©e privĂ©e. Cette clĂ© peut ĂȘtre gĂ©nĂ©rĂ©e manuellement ou automatiquement par lâoutil dâadministration centralisĂ©e HiveManager dâAerohive puis ensuite communiquĂ©e Ă lâutilisateur correspondant par e-mail, badge imprimĂ©, ou mĂȘme message SMS. Chaque clĂ© Private PSK Ă©tant attribuĂ©e Ă un unique utilisateur, un profil dâutilisation et dâaccĂšs au rĂ©seau particulier peut ĂȘtre mis en Ćuvre : durĂ©e de validitĂ© de la clĂ©, horaires de connexion autorisĂ©s, numĂ©ro de VLAN, rĂšgles de firewall et de qualitĂ© de service, ⊠Puisque les clĂ©s Private PSK sont uniques, il est impossible de dĂ©duire ou dĂ©river la clĂ© dâun utilisateur depuis celle dâun autre utilisateur. En outre, une clĂ© Private PSK peut ĂȘtre rĂ©voquĂ©e Ă tout instant empĂȘchant immĂ©diatement lâaccĂšs de lâutilisateur au rĂ©seau Wi-Fi. Enfin, vis-Ă -vis du client, la configuration pour lâaccĂšs au rĂ©seau Wi-Fi est strictement la mĂȘme que dans le cas dâune clĂ© partagĂ©e. Câest donc particuliĂšrement simple.
Besoins et fonctionnalitĂ©s dâun rĂ©seau sans fil WLAN
Clé partagée PSK WPA/WPA2 Personnel
Aerohive Private PSK WPA/WPA2 Personnel
IEEE 802.1X WPA/WPA2 Entreprise
Pas de configuration complexe sur les postes clients â â
ClĂ© unique par utilisateur pour un SSID â â
PossibilitĂ© de rĂ©voquer individuellement un utilisateur â â
Profils dâutilisation diffĂ©renciĂ©e (VLAN, Firewall, QoS, horaires de connexion,âŠ) â â
CompatibilitĂ© avec les clients ne supportant pas les fonctions avancĂ©es dâitinĂ©rance (roaming)
â â
Pas de certificat Ă installer sur les postes clients â â DĂ©pend du client
Utilisation des mĂ©canismes standards 802.11i pour la sĂ©curisation du SSID â â â
CrĂ©ation dynamique et rotation des clĂ©s de chiffrement â
Support de lâauthentification machine â
Si un utilisateur est compromis, les autres utilisateurs ne sont pas atteints â â
Tableau 3 : Comparaison des diffĂ©rentes solutions dâauthentification
- 70 -
Copyright © 2017, Aerohive Networks, Inc.
DĂ©ploiement de clĂ©s Private PSK avec lâoutil Aerohive HiveManager
Lâadministration centralisĂ©e des points dâaccĂšs HiveAP dâAerohive sâeffectue au travers de lâoutil HiveManager. Câest Ă©galement cet outil qui permet de crĂ©er, distribuer et administrer les clĂ©s Private PSK. Le HiveManager est utilisĂ© pour configurer la politique globale WLAN qui sera dĂ©ployĂ©e sur chacun des points dâaccĂšs HiveAP. Cette politique contient notamment les diffĂ©rents SSID diffusĂ©s sur les points dâaccĂšs Wi-Fi.
Figure 39 : Génération et distribution des clés Private PSK par le HiveManager
La figure ci-dessus prĂ©sente une politique WLAN dans laquelle un SSID utilisant des clĂ©s Private PSK est configurĂ© sur les diffĂ©rents points dâaccĂšs HiveAP. Dans ce scĂ©nario, le HiveManager est utilisĂ© pour gĂ©nĂ©rer des clĂ©s Private PSK qui seront ensuite assignĂ©es Ă des clients Wi-Fi non gĂ©rĂ©s par lâentreprise tels que des tĂ©lĂ©phones portables multifonctions, et des utilisateurs invitĂ©s. Chaque utilisateur dispose alors de sa propre clĂ© PSK et est associĂ© un groupe auquel correspond une politique de contrĂŽle dâaccĂšs et de qualitĂ© de service.
Gestion des clĂ©s par lâadministrateur
La 1Ăšre Ă©tape consiste, pour lâadministrateur, Ă configurer le SSID utilisant des clĂ©s Private PSK et Ă crĂ©er la base des utilisateurs correspondant qui sera ensuite tĂ©lĂ©chargĂ©e sur les points dâaccĂšs HiveAP et sauvegardĂ©e sur le HiveManager. Ces comptes peuvent ĂȘtre configurĂ©s manuellement, gĂ©nĂ©rĂ©s automatiquement ou bien chargĂ© dans le HiveManager depuis un fichier .csv, par exemple depuis un export de lâannuaire Active Directory ou LDAP de lâentreprise. Dans un deuxiĂšme temps, lâadministrateur peut, au travers du HiveManager, sĂ©lectionner les utilisateurs et leur envoyer leur clĂ© privĂ©e Private PSK par e-mail ou par SMS. Une fois la clĂ© communiquĂ©e Ă chacun des utilisateurs, ceux-ci peuvent, dans un troisiĂšme temps, se connecter au rĂ©seau et se voir assigner les droits adĂ©quats en fonction de leur profil. Enfin, dans une quatriĂšme Ă©tape, si un utilisateur vient Ă quitter lâentreprise ou se voir interdire lâaccĂšs au rĂ©seau Wi-Fi, lâadministrateur le rĂ©voque simplement de la liste.
- 71 -
Copyright © 2017, Aerohive Networks, Inc.
Gestion des clés par les utilisateurs
La 1Ăšre Ă©tape est identique au scĂ©nario prĂ©cĂ©dent. Cependant, la deuxiĂšme Ă©tape, permet de laisser lâutilisateur gĂ©nĂ©rer sa propose clĂ© Private PSK. La procĂ©dure permettant Ă lâemployĂ© ou au visiteur de se crĂ©er sa propre clĂ© PPSK peut sâeffectuer selon diffĂ©rentes procĂ©dures :
- Utilisation dâune application de gestion de clĂ©s disponible sur OS mobile. - Utilisation dâune interface de dĂ©lĂ©gation traduite. - Utilisation dâAPIs pour intĂ©grer lâinterface de de gestion de clĂ©s PPSK dans un systĂšme tiers.
Cette mĂ©thode permet de fournir un accĂšs rĂ©seau sĂ©curisĂ©, tout en rĂ©duisant la charge imputĂ©e au service informatique pour la gestion et la distribution des identifiants de connexion. LâaccĂšs aux diffĂ©rentes mĂ©thodes de crĂ©ation de clĂ©s PPSK peut ĂȘtre couplĂ©e Ă une authentification des employĂ©s sâappuyant sur les comptes Active Directory ou LDAP.
Le meilleur compromis entre sĂ©curitĂ© et facilitĂ© dâutilisation
A lâheure actuelle, 802.1X est considĂ©rĂ© par les analystes, les administrateurs rĂ©seau et les constructeurs et Ă©diteurs de logiciels comme le standard de-facto pour la sĂ©curitĂ© et lâauthentification sur un rĂ©seau Wi-Fi dâentreprise. Malheureusement, le processus de migration vers la norme 802.1X est considĂ©rablement ralentit par la complexitĂ© de configuration et de dĂ©ploiement, le coĂ»t de mise Ă jour du parc existant et lâinadaptation aux besoins des accĂšs invitĂ©s. La solution Aerohive Private PSK permet de rĂ©soudre ces problĂšmes en supportant lâensemble du parc de clients Wi-Fi existant et dĂ©jĂ dĂ©ployĂ©, en permettant lâaccĂšs au rĂ©seau sans fil Ă de nouveaux types de clients â notamment les tĂ©lĂ©phones Wi-Fi â et aux utilisateurs invitĂ©s avec un niveau de simplicitĂ© Ă©quivalent Ă une clĂ© partagĂ©e PSK traditionnelle. LâintĂ©gration dâune solution de gestion des comptes « InvitĂ©s » et « BYOD » au sein de HiveManager simplifie drastiquement la gestion des utilisateurs et en diminue le coĂ»t opĂ©rationnel, Cette solution est un complĂ©ment parfait au standard 802.1X : elle permet aux administrateurs rĂ©seaux dâutiliser 802.1X sur leurs Ă©quipements maĂźtrisĂ©s et pour leurs employĂ©s, tout en offrant une alternative de mĂȘme niveau de sĂ©curitĂ© pour les autres utilisateurs.
- 72 -
Copyright © 2017, Aerohive Networks, Inc.
ROUTAGE DU TRAFIC PAR LE MEILLEUR CHEMIN DISPONIBLE Lâune des prĂ©occupations majeures dans les rĂ©seaux sans fil concerne lâendroit oĂč la sĂ©curitĂ© et la qualitĂ© de service sont appliquĂ©es. Dans la plupart des cas, les administrateurs rĂ©seau sâappuient sur des contrĂŽleurs pour effectuer ces tĂąches, non pas parce quâils apprĂ©cient cette architecture centralisĂ©e, mais parce que cela a longtemps Ă©tĂ© la seule solution disponible pour offrir un niveau de service adĂ©quat. Lâapproche distribuĂ©e dâAerohive permettant lâapplication de ces politiques directement au niveau des HiveAP fournit de bien plus grandes possibilitĂ©s de routage local du trafic, incluant notamment la notion de meilleur chemin (best path). Dans un rĂ©seau, le meilleur chemin pour accĂ©der Ă une ressource rĂ©seau est le chemin le plus court, avec la plus faible latence. Avec la technologie Aerohive dâacheminement du trafic par le meilleur chemin, chaque HiveAP coopĂšre avec ses voisins pour calculer les diffĂ©rents chemins entre eux-mĂȘmes, les clients et le rĂ©seau filaire et finalement choisir le plus optimal (de maniĂšre dynamique). Parce que chaque HiveAP dĂ©cide de lâacheminement des paquets et du routage en fonction des informations quâil reçoit et apprend de ses voisins, il dispose de la possibilitĂ© de transfĂ©rer localement le trafic des clients via le rĂ©seau filaire ou lâune de ses radios. Contrairement Ă certaines solutions qui permettent Ă certains types de trafic dâĂȘtre traitĂ©s localement par le point dâaccĂšs, le reste du trafic Ă©tant gĂ©rĂ© au niveau central par un contrĂŽleur, la solution 100% distribuĂ©e dâAerohive nâimpose aucun compromis en matiĂšre de sĂ©curitĂ©, de supervision et de performance. Le trafic est systĂ©matiquement et intĂ©gralement traitĂ© localement par le HiveAP, quel que soit la localisation de celui-ci (en central ou sur un site distant) et quel que soit le type de trafic.
Réseau maillé sans fil (mesh)
En utilisant les protocoles de contrĂŽle coopĂ©ratif sâexĂ©cutant sur des connexions radios ou filaires, les HiveAP voisins et membre dâune mĂȘme ruche (hive) peuvent Ă©tablir entre eux des connexions et construire ainsi un rĂ©seau maillĂ© sans fil (mesh network). Puisque les points dâaccĂšs HiveAP sont Ă©quipĂ©s de deux radios, lâune supportant le standard IEEE 802.11b/g/n et lâautre IEEE 802.11a/n/ac, il est possible dâutiliser lâune de ses deux radios pour lâaccĂšs des clients sans fil (mode access) et lâautre radio pour les communications entre les HiveAP et la mise en Ćuvre de ce rĂ©seau maillĂ© (mode backhaul). Le maillage sans fil est une solution particuliĂšrement intĂ©ressante dans les environnements oĂč il est difficile dâinstaller des cĂąbles pour des questions dâhygiĂšne (ex. : hĂŽpitaux), de coĂ»ts ou de faisabilitĂ©. Câest aussi une solution facile Ă mettre en Ćuvre rĂ©pondant aux besoins de rapiditĂ© de dĂ©ploiement pour des environnements type confĂ©rences ou en secours dans le cas dâun sinistre informatique et rĂ©seau. Cette capacitĂ© de maillage par la radio fournit Ă©galement un niveau de rĂ©silience Ă©levĂ© aux HiveAP et une solution de connectivitĂ© de secours en cas dâincident sur le rĂ©seau filaire. Un HiveAP peut alors
- 73 -
Copyright © 2017, Aerohive Networks, Inc.
automatiquement basculer ses routes vers la radio et le rĂ©seau maillĂ© pour Ă©viter une panne survenue sur le rĂ©seau Ethernet filaire (ex. : dĂ©faillance dâun commutateur dâaccĂšs, cĂąble dĂ©connectĂ©). La seule contrainte dans la mise en Ćuvre de ce rĂ©seau maillĂ© est lâalimentation Ă©lectrique du HiveAP. Il y en gĂ©nĂ©ral deux scĂ©narios possibles :
1. Le HiveAP est alimentĂ© en Ă©lectricitĂ© via le port Ethernet cĂąblĂ© (Power Other Ethernet). Dans ce cas, il nâutilise pas la radio comme route prĂ©fĂ©rĂ©e puisquâil est directement connectĂ© au rĂ©seau par un cĂąble Ethernet. La radio peut cependant ĂȘtre utilisĂ©e pour communiquer avec des HiveAP qui ne disposent pas dâaccĂšs filaire.
2. Le HiveAP est alimentĂ© en Ă©lectricitĂ© par un cĂąble Ă©lectrique standard. Dans ce cas, lâinterface
Ethernet filaire (si elle est connectĂ©e) et la radio peuvent ĂȘtre utilisĂ©s pour Ă©tablir le maillage et assurer le routage du trafic vers le rĂ©seau via dâautres HiveAP ou des commutateurs filaires.
Lorsque des HiveAP sont disposĂ©s dans une mĂȘme ruche, ils construisent automatiquement entre eux le rĂ©seau maillĂ© via des connexions filaires et radios afin de fournir une couverture maximale et qui peut aller au-delĂ de la capacitĂ© dâun cĂąble Ethernet standard (100m pour une paire torsadĂ©e).
Sur le rĂ©seau maillĂ© sans fil, les protocoles de contrĂŽle coopĂ©ratif Aerohive sont utilisĂ©s pour dĂ©terminer le meilleur chemin, assurer la mobilitĂ© des clients de maniĂšre sĂ©curisĂ©e et transparente, la sĂ©lection optimale des canaux et frĂ©quences radios pour les connexions sans fil et la haute-disponibilitĂ© par re-routage/rĂ©acheminement dynamique du trafic en cas dâincident. Puisque ces protocoles ont Ă©tĂ© conçus pour permettre lâextension de lâinfrastructure et supporter un grand nombre de rĂ©seaux maillĂ©s sans fil, ils limitent le volume et la taille des messages diffusĂ©s sur le rĂ©seau â messages de contrĂŽle, tables de routage, distribution du
contenu du cache pour les utilisateurs mobiles â et Ă©vitent ainsi la surcharge dudit rĂ©seau. Ceci, en association avec les rĂšgles de QoS, la prĂ©vention des dĂ©nis de service, la politique de firewall, appliquĂ©es au niveau des HiveAP, Ă©vite de charger le rĂ©seau local (sans fil et filaire) inutilement et augmente les performances. Ce nâest pas le cas dans une approche centralisĂ©e Ă base de contrĂŽleur oĂč il arrive frĂ©quemment (voire systĂ©matiquement dans certains cas) que lâensemble du trafic soit renvoyĂ© vers le contrĂŽleur, chargeant considĂ©rablement le rĂ©seau, surtout avec lâaugmentation des dĂ©bits de la norme 802.11.
Routage dynamique de niveau 2 et sélection du meilleur chemin
Afin dâassurer la sĂ©lection du meilleur chemin pour le routage du trafic, les HiveAP utilisent le protocole AMRP (Aerohive Mobility Routing Protocol). GrĂące Ă AMRP, les HiveAP coopĂšrent conjointement pour dĂ©terminer le meilleur chemin au travers du rĂ©seau maillĂ© sans fil et ont la possibilitĂ© de transfĂ©rer localement le trafic en utilisant ce chemin optimal. Il sâagit lĂ dâune amĂ©lioration significative par rapport aux architectures WLAN centralisĂ©es Ă
Figure 40 : HiveAP au sein dâun rĂ©seau maillĂ© sans
fil
- 74 -
Copyright © 2017, Aerohive Networks, Inc.
base de contrĂŽleurs, qui rĂ©alisent la plupart du temps les fonctions de contrĂŽle et de transmission des donnĂ©es au niveau du dispositif central. Afin de dĂ©terminer le meilleur chemin au travers du rĂ©seau, les HiveAP exĂ©cutent le protocole AMRP Ă la fois sur leurs connexions maillĂ©es filaires et sans fil. Ceci permet aux algorithmes de routage de dĂ©terminer le meilleur chemin en se basant sur plusieurs mĂ©triques incluant : le coĂ»t, la bande passante, le nombre de sauts et le niveau des interfĂ©rences. Si une liaison montante filaire ou sans fil connait un problĂšme, ou des interfĂ©rences affectent les performances radios, une meilleure route est alors choisie, annoncĂ©e et propagĂ©e au travers du rĂ©seau sans fil. Ceci permet aux HiveAP de dynamiquement sĂ©lectionner le meilleur chemin Ă un instant donnĂ© pour rĂ©acheminer de maniĂšre transparente le trafic des utilisateurs via la route la plus performante sur le rĂ©seau. Enfin, et ce afin de permettre le dĂ©ploiement et le support de rĂ©seaux sans fil Ă grande Ă©chelle, tels que des installations de grandes entreprises ou de campus hospitaliers ou universitaires, AMRP a Ă©tĂ© conçu pour limiter les messages de contrĂŽle et les informations de routage au sein de blocs. Ceci permet de limiter la taille des tables de routage Ă©changĂ©es par les HiveAP et maintenues localement sur chacun dâentre eux. Cela permet Ă©galement de limiter le trafic de contrĂŽle diffusĂ© sur le rĂ©seau maillĂ© sans fil. Le diagramme ci-aprĂšs prĂ©sente les diffĂ©rences majeures entre lâapproche centralisĂ©e mise en Ćuvre par la plupart des solutions Ă base de contrĂŽleurs et lâarchitecture Ă contrĂŽle coopĂ©ratif proposĂ©e par Aerohive et optimisant le routage du trafic sur le rĂ©seau.
Figure 41 : Acheminement centralisé des données versus distribué
Avec lâarchitecture de contrĂŽle et de routage centralisĂ©, tout le trafic provenant du rĂ©seau sans fil est dirigĂ© vers un contrĂŽleur central dĂ©diĂ©, qui peut se situer Ă plusieurs sauts Ă lâintĂ©rieur du rĂ©seau voire mĂȘme Ă un emplacement gĂ©ographique diffĂ©rent. Lâutilisation dâun chemin indirect et les allers-retours entre les points dâaccĂšs et les contrĂŽleurs introduisent une latence additionnelle (le dĂ©lai de transit du trafic) et de la gigue (la variation de dĂ©lai de transit du trafic), avec une incidence nĂ©faste sur les performances du rĂ©seau sans fil et la qualitĂ©
- 75 -
Copyright © 2017, Aerohive Networks, Inc.
de la voix. Ceci est particuliĂšrement vrai si le chemin menant au contrĂŽleur ou si le contrĂŽleur lui-mĂȘme est surchargĂ©. A contrario, lâarchitecture Ă base de contrĂŽle coopĂ©ratif dâAerohive reposant sur le protocole AMRP permet le routage par le meilleur chemin entre les diffĂ©rents Ă©quipements sur le rĂ©seau filaire ou sur le rĂ©seau maillĂ© sans fil, Ă©vitant toute latence ou gigue additionnelle lorsque le trafic est acheminĂ© entre les Ă©quipements rĂ©seau. Ceci est essentiel pour atteindre un niveau de performance et de qualitĂ© sur le trafic voix notamment.
La sĂ©curitĂ© dans lâacheminement du trafic
Lâarchitecture distribuĂ©e Aerohive permet lâapplication de la sĂ©curitĂ© au niveau du point dâaccĂšs HiveAP. Quâil sâagisse dâauthentification, de chiffrement, de protection contre les tentatives de dĂ©ni de service, de contrĂŽle dâaccĂšs, ⊠la sĂ©curitĂ© est mise en Ćuvre avant mĂȘme que la dĂ©cision de routage du trafic ne soit appliquĂ©e et que celui-ci soit envoyĂ© sur le rĂ©seau. Une fois le trafic envoyĂ© sur le rĂ©seau filaire, les solutions existantes de sĂ©curitĂ© peuvent inspecter et sĂ©curiser ledit trafic comme sâil sâagissait dâun trafic rĂ©seau filaire classique : firewall, antivirus rĂ©seau, sonde de dĂ©tection dâintrusion, solution de contrĂŽle dâadmission, etc. Lâapproche Aerohive permet donc une rĂ©utilisation maximale de lâinfrastructure rĂ©seau existante. Les solutions Ă base de contrĂŽleurs sont en totale opposition avec la solution Aerohive : lâutilisation dâun contrĂŽleur central nĂ©cessite le renvoi de tout ou partie du trafic des points dâaccĂšs vers le contrĂŽleur dans un tunnel chiffrĂ© opaque, impossible Ă inspecter par les Ă©quipements rĂ©seau existant. Ces solutions entrainent souvent la mise en Ćuvre de solutions additionnelles de sĂ©curitĂ©, ou la redirection du trafic sortant du contrĂŽleur vers les Ă©quipements de sĂ©curitĂ© existants, ce qui complique alors encore plus lâarchitecture rĂ©seau. Ce nâest donc pas une approche viable en termes dâĂ©volutivitĂ© et de rĂ©utilisation de lâinfrastructure existante.
LâĂ©volutivitĂ© du systĂšme de routage
Les performances Ă©voluent de maniĂšre linĂ©aire avec lâaugmentation du nombre de HiveAP. Chaque HiveAP prenant lui-mĂȘme les dĂ©cisions de routage le concernant et transmettant les donnĂ©es par le meilleur chemin disponible, lâextension du rĂ©seau sans fil distribuer se fait sans remise en cause de lâexistant. En lâabsence de contrĂŽleur central prenant les dĂ©cisions de routage et constituant un goulet dâĂ©tranglement, lâarchitecture Aerohive permet de tirer le meilleur parti de lâinfrastructure rĂ©seau filaire existante et de lâĂ©tendre au sans fil. Ceci est dâautant plus important que lâarrivĂ©e de la norme IEEE 802.11ac a augmentĂ© les performances des rĂ©seaux sans fil par un facteur 100.
- 76 -
Copyright © 2017, Aerohive Networks, Inc.
HAUTE-DISPONIBILITE Lâarchitecture Ă contrĂŽle coopĂ©ratif est la solution idĂ©ale pour le dĂ©ploiement de rĂ©seaux sans fil dans les entreprises et organisations qui exigent un niveau de fiabilitĂ© Ă©levĂ© pour les applications critiques, sans entrainer une phase lourde dâingĂ©nierie et sans engendrer de surcoĂ»ts prohibitifs. La solution de haute-disponibilitĂ© dâAerohive est incluse en standard dans les HiveAP et fournit plusieurs niveaux de rĂ©silience et de redondance.
Aucun point de faiblesse sur le réseau sans fil
Puisque les HiveAP nâutilisent pas de contrĂŽleur, lâarchitecture sans fil dâAerohive ne dispose pas de point unique de faiblesse. Si un HiveAP connait un problĂšme, les clients connectĂ©s sont automatiquement transfĂ©rĂ©s sur lâun des HiveAP voisins, comme sâils erraient dâune borne Ă lâautre, de maniĂšre transparente et sans perdre leur identitĂ©, leur profil utilisateur, leur niveau de sĂ©curitĂ©, leurs paramĂštres de qualitĂ© de service et enfin sans coupure des connexions voix ou donnĂ©es dĂ©jĂ Ă©tablies. De mĂȘme, lorsquâun HiveAP dâune ruche connait un problĂšme, lâinformation relative Ă lâincident est propagĂ©e au sein des Ă©lĂ©ments de la ruche qui recalculent alors automatiquement leurs routes pour ne plus inclure le point dâaccĂšs en panne.
Reconfiguration automatique du routage pour contourner un équipement défaillant
Le diagramme ci-aprĂšs dĂ©taille lâinfrastructure Aerohive fonctionnant en mode normal sur un rĂ©seau sain, puis la mĂȘme infrastructure Ă©voluant dynamiquement pour prendre en compte diffĂ©rentes pannes survenues sur le rĂ©seau et tout en continuant de fournir un service de qualitĂ© aux utilisateurs. La rĂ©silience mise en Ćuvre directement au niveau des HiveAP et reposant sur les diffĂ©rents protocoles de contrĂŽle coopĂ©ratif permet au rĂ©seau de continuer de fonctionner malgrĂ© de multiples pannes. Puisquâil nây a pas de contrĂŽleur central, il nâexiste pas dâĂ©lĂ©ment critique dans lâinfrastructure et dont la dĂ©faillance entrainerait un dysfonctionnement total de lâensemble du rĂ©seau sans fil.
- 77 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 42 : Haute-disponibilité, itinérance transparente et réacheminement automatique en cas de panes
Bascule dynamique sur le rĂ©seau maillĂ© â Convertissement dâune radio du mode accĂšs au mode maillĂ© en cas de panne sur le lien Ethernet
Dans les environnements nĂ©cessitant la mise en Ćuvre dâun rĂ©seau maillĂ© sans fil pour des questions de haute-disponibilitĂ©, mais dĂ©sirant conserver la possibilitĂ© dâutiliser les deux radios 802.11a et 802.11b/g pour lâaccĂšs des clients sans fil, Aerohive a dĂ©veloppĂ© une solution unique. En effet, un administrateur peut dorĂ©navant prĂ©configurer, sur des HiveAP au sein dâune mĂȘme ruche, la radio 802.11a ou 802.11b/g comme un candidat pour assurer dynamiquement la connexion au rĂ©seau maillĂ© sans fil en cas dâincident sur le lien Ethernet.
De cette maniÚre, si le cùble réseau est déconnecté ou si le commutateur filaire subit une défaillance, le HiveAP dissocie les clients sans fil de la radio choisie, typiquement la radio 802.11a/n/ac, et utilise alors cette radio pour établir une connexion sécurisée dynamique avec un autre HiveAP. Le HiveAP peut ainsi dynamiquement réacheminer le trafic des clients connectés à sa radio 802.11b/g/n en passant par la connexion maillée radio avec un autre HiveAP et en évitant ainsi la panne survenue sur le réseau.
Figure 43 : Bascule dynamique sur le réseau maillé
- 78 -
Copyright © 2017, Aerohive Networks, Inc.
A lâinverse, lorsque le problĂšme est rĂ©solu, le lien radio maillĂ© est supprimĂ© entre les HiveAP et la radio correspondante redevient accessible aux clients sans fil sur chaque HiveAP. Les clients prĂ©cĂ©demment dissociĂ©s de la radio peuvent alors se reconnecter.
Serveur RADIUS embarqué dans les HiveAP
GrĂące au serveur Radius embarquĂ© dans les HiveAP, les administrateurs rĂ©seau disposent de la possibilitĂ© dâimplĂ©menter un rĂ©seau sans fil sĂ©curisĂ© par authentification IEEE 802.1X EAP des clients sans fil, sans avoir besoin de configurer ou modifier quoique ce soit sur leurs serveurs Radius dâentreprise. Les HiveAP sur lesquels est activĂ© le serveur Radius peuvent effectuer localement les Ă©changes dâauthentification 802.1X EAP, soit avec la base locale dâutilisateurs dĂ©finie dans le serveur Radius embarquĂ©, soit avec un domaine externe dâun annuaire LDAP, LDAPS ou Active Directory. Et puisque le processus de gĂ©nĂ©ration et dâĂ©change des clĂ©s au cours de lâauthentification 802.1X sâeffectue entre les HiveAP et les clients, les serveurs Radius de lâentreprise ne sont pas surchargĂ©s et peuvent ainsi prĂ©server leur niveau de performances. De plus, avec la possibilitĂ© dâutiliser nâimporte quel HiveAP comme serveur Radius, les administrateurs rĂ©seau peuvent implĂ©menter une infrastructure dâauthentification flexible et la dĂ©ployer Ă nâimporte quel endroit du rĂ©seau oĂč sont installĂ©s les HiveAP, notamment sur les sites distants ou les agences. Dans ce dernier cas, la solution permet Ă©galement une amĂ©lioration des performances, Ă©vitant aux messages dâauthentification de traverser le rĂ©seau WAN pour atteindre le serveur Radius central de lâentreprise.
Maintien en mĂ©moire de lâidentitĂ© des utilisateurs
Le serveur Radius embarquĂ© dans les HiveAP peut ĂȘtre utilisĂ© pour mĂ©moriser en cache (DRAM) les informations dâidentitĂ© des utilisateurs : nom dâutilisateur, hash du mot de passe. De sorte que si ceux-ci sâauthentifient au prĂ©alable sur la base dâun annuaire LDAP ou Active Directory dâentreprise, et si ce dernier venait Ă ne plus ĂȘtre accessible, lâinformation dâidentitĂ© des utilisateurs du rĂ©seau sans fil demeurant stockĂ©e en mĂ©moire dans les HiveAP, lesdits utilisateurs peuvent continuer de se connecter au rĂ©seau sans fil tout en sâauthentifiant pendant une certaine pĂ©riode paramĂ©trable par lâadministrateur rĂ©seau. Par exemple : les utilisateurs authentifiĂ©s au cours des derniĂšres 48 heures peuvent continuer de sâauthentifier et utiliser le rĂ©seau sans fil, mais tout nouvel utilisateur ne pourra pas se connecter ne disposant pas dâentrĂ©e dans la mĂ©moire du HiveAP. Cependant, pour ces utilisateurs, il peut ĂȘtre envisageable de crĂ©er momentanĂ©ment un compte dans la base locale au HiveAP leur autorisant lâaccĂšs sĂ©curisĂ© au rĂ©seau sans fil pendant toute la durĂ©e dâindisponibilitĂ© de lâaccĂšs Ă lâannuaire dâentreprise. LĂ encore, cette fonctionnalitĂ© est extrĂȘmement intĂ©ressante pour les sites distants et les agences ne disposant pas dâun serveur dâauthentification local ou dâune copie de lâannuaire dâentreprise.
- 79 -
Copyright © 2017, Aerohive Networks, Inc.
Multiples solutions dâauthentification des utilisateurs
Les points dâaccĂšs HiveAP dâAerohive supportent plusieurs modes dâauthentification des utilisateurs, ce qui offre une trĂšs grande souplesse dans le cadre de la mise en Ćuvre dâun rĂ©seau WLAN dâentreprise destinĂ© Ă plusieurs typologies dâutilisateurs (employĂ©, consultants, VIP, invitĂ©s, âŠ). Le diagramme ci-aprĂšs prĂ©sente diffĂ©rents modes dâauthentification (configurable par SSID).
Figure 44 : Modes dâauthentification supportĂ©s
- 80 -
Copyright © 2017, Aerohive Networks, Inc.
ADMINISTRATION CENTRALISEE PAR HIVEMANAGER La gestion centralisĂ©e des configurations, la supervision et la production de rapports sont fournis dans la solution Aerohive par un outil dĂ©nommĂ© HiveManager. Fourni sous forme de serveur prĂ©installĂ© (image VMWare) ou en version Cloud, ce HiveManager peut se situer nâimporte oĂč sur le rĂ©seau de lâentreprise, a priori au niveau de la zone regroupant lâensemble des outils dâadministration et de supervision rĂ©seau, et nâest pas vitale aux HiveAP qui nâont nullement besoin du HiveManager pour fonctionner.
Administration simplifiĂ©e et Ă©volutive Ă lâaide du HiveManager
GrĂące Ă son interface Web, le HiveManager permet de prĂ©parer simplement les configurations de plusieurs dizaines, centaines ou milliers de points dâaccĂšs HiveAP, de superviser les HiveAP dĂ©ployĂ©s sur le rĂ©seau, voire mĂȘme de mettre Ă jour les versions logicielles de plusieurs HiveAP en quelques clics. Les HiveAP organisĂ©s au sein dâune ruche et fonctionnant de maniĂšre coopĂ©rative, le HiveManager nâest lĂ que pour faciliter la crĂ©ation des configurations et la supervision de lâĂ©tat des Ă©quipements et des connexions des clients. En aucun cas il ne saurait ĂȘtre lâĂ©quivalent dâun contrĂŽleur. Aucun trafic utilisateur ne circule au niveau du HiveManager ou ne lui est envoyĂ© par les HiveAP. A lâextrĂȘme, mĂȘme si le HiveManager est Ă©teint ou retirĂ© du rĂ©seau, cela nâimpacte en rien le bon fonctionnement des HiveAP.
Figure 45 : Différentes vues de la topologie dans le HiveManager
Chaque HiveAP peut ĂȘtre individuellement configurĂ© en commande en ligne via une connexion sĂ©curisĂ©e (SSH) ou en port console. Cependant, le HiveManager fournit une interface Web graphique simple dâutilisation et permet de configurer un groupe de HiveAP en une seule fois, ce qui simplifie
- 81 -
Copyright © 2017, Aerohive Networks, Inc.
considĂ©rablement les tĂąches dâadministration. En outre, HiveManager permet lâutilisation de cartes, de topologies et de plans pour resituer physiquement les HiveAP dĂ©ployĂ©s sur le rĂ©seau. Il permet aussi de configurer les paramĂštres des profils utilisateurs, des mĂ©thodes dâauthentification, des rĂšgles de firewalls, etc. et de les dĂ©ployer ensuite en un clic sur des dizaines de HiveAP.
Composants du HiveManager et communication avec les HiveAP
Le HiveManager est dĂ©livrĂ© sous forme de service Cloud ou de serveur prĂ©configurĂ© (systĂšme dâexploitation, base de donnĂ©es, etc.) et peut ĂȘtre installĂ© directement sur le rĂ©seau IP, Ă tout endroit lui permettant de communiquer avec les HiveAP (par le rĂ©seau filaire ou par la radio).
Figure 46 : Composants du HiveManager et communication avec les HiveAP
Lâinterface graphique dâadministration du HiveManager est accessible par un simple navigateur Web. Ceci permet aux administrateurs de configurer lâensemble de la solution Aerohive depuis nâimporte quel ordinateur, tablette ou smartphone. Pour des questions Ă©videntes de sĂ©curitĂ©, lâensemble des informations est stockĂ© sur le HiveManager et aucun Ă©lĂ©ment nâest conservĂ© au niveau du poste de lâadministrateur. Les HiveAP et le HiveManager communiquent entre eux en utilisant le protocole CAPWAP (Control and Provisioning of Wireless Access Points) normalisĂ© par lâIETF, ainsi quâune sĂ©rie de protocoles dâadministration et de supervision rĂ©seau classiques tels que SSHv2, SCP et SNMP. GrĂące Ă ces protocoles, le HiveManager peut, de maniĂšre sĂ©curisĂ©e et efficace, administrer les configurations, superviser les logs et les Ă©vĂšnements, mettre Ă jour les versions des HiveAP, et bien plus.
Profils dâadministration
Il existe 5 profils dâadministration par dĂ©faut dans le HiveManager :
- Administrateur : il a tous les droits sur lâensemble de lâinfrastructure Aerohive.
- Administrateur dĂ©lĂ©guĂ© : il peut crĂ©er, modifier, supprimer des configurations, mais ne peut pas crĂ©er dâautres administrateurs.
- 82 -
Copyright © 2017, Aerohive Networks, Inc.
- Lecture seule : ce type dâadministrateur a accĂšs Ă lâensemble des informations, mais ne peut rien modifier.
- Support technique : il a accĂšs Ă lâensemble des outils dâaide au diagnostic fournis par le HiveManager, tel que le « Client Monitor » permettant dâafficher lâhistorique des problĂšmes de connexion des stations.
- Gestion des invitĂ©s : il peut gĂ©rer les comptes invitĂ©s de type « portail captif » ou « PPSK ». Il est Ă©galement possible de limiter un compte dâadministration Ă un groupe dâĂ©quipements dĂ©ployĂ©s sur un site en particulier, permettant de dĂ©lĂ©guer une partie de lâadministration aux administrateurs locaux des diffĂ©rents sites, ou de dĂ©finir dâautres profils dâadministration avec des droits personnalisĂ©s
Figure 47 : CrĂ©ation dâun compte administrateur
Administration simplifiée des configurations
Lâinterface Web du HiveManager a Ă©tĂ© conçue pour permettre lâadministration de plusieurs milliers de points dâaccĂšs HiveAP de maniĂšre souple et efficace. Des profils de configuration sont ainsi utilisĂ©s pour permettre la crĂ©ation en amont des paramĂštres, puis leur application Ă un ensemble de HiveAP. Ces profils de configuration regroupent les paramĂštres de : ruche, SSID, authentification, qualitĂ© de service (QoS), sĂ©curitĂ© (firewall), rĂ©seau (VLAN), services dâadministration, ⊠les profils utilisateurs et les profils radio. Ainsi, une fois tous ces Ă©lĂ©ments configurĂ©s, ils peuvent ĂȘtre assignĂ©s Ă un groupe de HiveAP. Ces profils de configuration sont extrĂȘmement flexibles et permettre dâappliquer des paramĂštres diffĂ©renciĂ©s Ă un trĂšs grand nombre de HiveAP, par exemple en fonction de leur localisation gĂ©ographique, ou de leur rĂŽle dans le rĂ©seau.
- 83 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 48 : Gestion des profils de configuration
En liant SSIDs, profils utilisateurs et numĂ©ros de VLAN au sein dâun profil HiveAP, les paramĂštres rĂ©seau sont alors indĂ©pendants des politiques de qualitĂ© de service et de firewall, permettant au mĂȘme profil utilisateur dâĂȘtre utilisĂ© partout au sein de lâorganisation, et ce indĂ©pendamment des diffĂ©rences de topologie du rĂ©seau et du rĂŽle du HiveAP (portail ou point maillĂ© sans fil). En outre, si diffĂ©rentes politiques de QoS ou de sĂ©curitĂ© doivent ĂȘtre appliquĂ©es en diffĂ©rentes zones du rĂ©seau, de nouveaux profiles HiveAP peuvent ĂȘtre crĂ©Ă©s, qui rĂ©utilisent les SSIDs existants tout en modifiant les paramĂštres des utilisateurs associĂ©s pour les adapter aux zones concernĂ©es du rĂ©seau. Les profils utilisateurs peuvent ĂȘtre configurĂ©s via le HiveManager pour mettre en Ćuvre des rĂšgles de QoS ou de firewall, diffĂ©renciĂ©s, en fonction des besoins gĂ©ographiques ou des capacitĂ©s du rĂ©seau. Tout ceci permet de configurer des paramĂštres associĂ©s aux utilisateurs et qui Ă©voluent dynamiquement en fonction de la mobilitĂ© des clients au sein du rĂ©seau de lâentreprise. Le HiveManager fournit donc une grande souplesse dans la maniĂšre dâadministrer ces profils dâutilisation.
ZĂ©ro-configuration pour le dĂ©ploiement des points dâaccĂšs sans fil HiveAP
Le dĂ©ploiement des HiveAP au sein du rĂ©seau de lâentreprise peut se faire de maniĂšre extrĂȘmement simple et sans aucune configuration initiale. Lorsquâun HiveAP est dĂ©marrĂ© et connectĂ© au rĂ©seau (que ce soit en filaire ou en radio), il rĂ©cupĂšre lâensemble de ses paramĂštres via DHCP et DNS et peut ainsi contacter le serveur dâadministration HiveManager. Pour cela, le HiveAP utilise le protocole CAPWAP pour communiquer avec le HiveManager et sâidentifier mutuellement. Une fois cette phase initiale opĂ©rĂ©e, le HiveManager affiche une liste de HiveAP nouvellement dĂ©couverts. Lâadministrateur nâa plus quâĂ assigner aux HiveAP lâensemble des paramĂštres nĂ©cessaires et dĂ©jĂ configurĂ©s dans le HiveManager (ex. : ruche, topologie, profil de HiveAP, etc.), puis pousser cette configuration sur les HiveAP ou programmer la mise Ă jour Ă un moment ultĂ©rieur ; ceci sâeffectuant en quelques clics. De mĂȘme, sâil est nĂ©cessaire de mettre Ă jour le systĂšme dâexploitation des HiveAP, lâadministrateur peut sĂ©lectionner un groupe de HiveAP et les mettre Ă jour immĂ©diatement ou programmer la mise Ă jour Ă un moment ultĂ©rieur.
- 84 -
Copyright © 2017, Aerohive Networks, Inc.
Simplification de la supervision, la production de rapports et du dépannage
Outils de supervision
En plus de simplifier la configuration et la gestion des mises Ă jour des HiveAP, le HiveManager facilite la supervision et le dĂ©pannage, le diagnostic des HiveAP au sein d'une infrastructure de rĂ©seau sans fil distribuĂ©e. L'utilisation de topologies et de vues hiĂ©rarchiques, c'est Ă dire lâusage de cartes configurables fournissant une vue gĂ©ographique du rĂ©seau dĂ©ployĂ© et des plans des bĂątiments, permet dâorganiser les HiveAP en fonction de leur localisation. En plus de ces cartes, des icĂŽnes peuvent ĂȘtre associĂ©es aux zones gĂ©ographiques, aux bĂątiments, aux Ă©tages, ⊠et in-fine aux HiveAP eux-mĂȘmes. La couleur de ces icones peut changer dynamiquement en fonction dâalarmes gĂ©nĂ©rĂ©es par les HiveAP. Depuis ces cartes de topologies ou depuis la liste filtrĂ©e des HiveAP, les administrateurs peuvent aisĂ©ment sĂ©lectionner un groupe de HiveAP et ĂȘtre informĂ©s en temps rĂ©el de lâĂ©tat des points dâaccĂšs : clients sans fil associĂ©s et paramĂštres de connexion, logs et alarmes, information de mobilitĂ©, configuration dĂ©taillĂ©e, statistiques, canaux radios utilisĂ©s, liste des HiveAP voisins dans le rĂ©seau maillĂ©, ⊠Ils peuvent Ă©galement directement utiliser des outils dâadministration ou de supervision tels que ping, traceroute, ou mĂȘme dĂ©marrer une connexion SSH.
Figure 49: Liste des stations en temps réel sur le HiveManager
Autre fonctionnalitĂ© essentielle du HiveManager : il est possible dâobtenir la liste complĂšte des clients ou des utilisateurs, quâils soient connectĂ©s ou quâils aient Ă©tĂ© connectĂ©s, et dâobtenir les paramĂštres dĂ©taillĂ©s de connexion tels que adresses IP, adresses MAC, noms de machines, noms dâutilisateurs (si 802.1X est utilisĂ©), SSIDs, dĂ©but des sessions, valeurs de puissance du signal, HiveAP associĂ©, applications utilisĂ©esâŠ
- 85 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 50: Liste des utilisateurs en temps réel sur le HiveManager
Dans le mĂȘme ordre dâidĂ©es, dâautres informations utiles Ă la production de rapport et Ă la surveillance de lâĂ©tat du rĂ©seau sans fil peuvent ĂȘtre collectĂ©es et exportĂ©es par le HiveManager. Il est ainsi possible de disposer dâun inventaire de tous les HiveAP avec leurs paramĂštres de configuration, les points dâaccĂšs pirates Ă©ventuellement dĂ©tectĂ©s sur le rĂ©seau, etc.
Figure 51 : Exemple de vues détaillées sur les équipements, les stations et les applications
Pour ĂȘtre plus proactif et automatiser la production dâinformations, il est possible de configurer lâenvoi de notifications par courriers Ă©lectroniques.
- 86 -
Copyright © 2017, Aerohive Networks, Inc.
Outils de dépannage
Aerohive Networks propose un outil innovant pour lâanalyse, le diagnostic et la rĂ©solution des problĂšmes de connexions. Cet outil, « Client Monitor », est composĂ© dâun moteur de dĂ©tection de problĂšme de connexion intĂ©grĂ© aux HiveAP, et dâune interface pour lâaffichage et le traitement de ces problĂšmes.
Figure 52 : DĂ©tails dâun problĂšme de connexion identifiĂ©
Les problĂšmes de connexions peuvent ainsi ĂȘtre automatiquement dĂ©tectĂ©s par les points dâaccĂšs, et loguĂ©s sur le HiveManager pour analyse. Le HiveManager propose fournis Ă©galement, en plus des donnĂ©es brutes, une explication du problĂšme identifiĂ©, ainsi que des pistes de rĂ©solution. Les problĂšmes identifiĂ©s peuvent ĂȘtre liĂ©es aux Ă©changes 802.11, aux diffĂ©rentes phases dâauthentification, ou aux accĂšs rĂ©seau. Cet outil permet donc aux administrateurs dâavoir une trace des problĂšmes que les utilisateurs peuvent rencontrer lors de la connexion sur les Ă©quipements Aerohive. Il est Ă©galement possible de lancer manuellement une capture sur une station en particulier pour obtenir les dĂ©tails des diffĂ©rents Ă©changes entre la station et les points dâaccĂšs.
- 87 -
Copyright © 2017, Aerohive Networks, Inc.
DĂ©tection de points dâaccĂšs illicites
EmbarquĂ© dans chaque HiveAP, une fonction dâanalyse de lâenvironnement radio permet de balayer les frĂ©quences et les canaux Ă la recherche des points dâaccĂšs et de clients non autorisĂ©s Ă©mettant ou communicant sans autorisation. Au travers du HiveManager, les administrateurs rĂ©seau peuvent configurer des politiques de dĂ©tection de points dâaccĂšs pirates ne disposant pas de paramĂštres valides tels que : BSSID, SSID, paramĂštres dâauthentification et de sĂ©curitĂ©, ⊠De plus, les HiveAP peuvent dĂ©tecter si les points dâaccĂšs illicites sont connectĂ©s au mĂȘme sous-rĂ©seau et en consĂ©quence sâils ont accĂšs aux ressources de lâentreprise. Pour minimiser lâimpact sur les performances du HiveAP, lâanalyse de lâenvironnement radio pour la dĂ©couverte de points dâaccĂšs illicites peut ĂȘtre configurĂ©e pour ne sâeffectuer que lorsquâil nây a, par exemple, aucun trafic dans la file dâattente dĂ©diĂ© au trafic voix.
Figure 53: Liste des points d'accÚs et stations pirates en temps réel sur le HiveManager
- 88 -
Copyright © 2017, Aerohive Networks, Inc.
PLATEFORME OUVERTE POUR DES APPLICATIONS PERSONNALISEES
La plateforme de Services Cloud Aerohive
Lâinterface dâadministration HiveManager NG est basĂ©e sur le Service Cloud Aerohive (ou Aerohive Cloud Service, « ACS »). Cette plateforme de nouvelle gĂ©nĂ©ration permet Ă Aerohive de fournir un environnement flexible, pouvant sâadapter aux besoins des diffĂ©rents, quel que soit le secteur dâactivitĂ©.
Figure 54: Structure du Service Cloud Aerohive
Cette plateforme de nouvelle gĂ©nĂ©ration sâappuie sur une infrastructure Ă©lastique et rĂ©siliente, mettant en Ćuvre les principes du Big Data, et permettant de communiquer avec les Ă©quipements Aerohive, mais Ă©galement avec les Ă©quipements des partenaires technologiques Aerohive. Cette plateforme met Ă disposition de nombreuses Interfaces de programmation (Application Programming Interface, « APIs ») permettant dâintĂ©grer les donnĂ©es et les fonctionnalitĂ©s dâACS Ă des solutions externes. Ces APIs, au moment de la rĂ©daction de ce document (fĂ©vrier 2016) permettent de par exemple de :
- Récupérer différentes informations de supervision sur les équipements administrés ainsi que sur les stations connectées.
- RĂ©cupĂ©rer les informations dâanalyse de prĂ©sence, soit en donnĂ©es brutes (informations sur les stations connectĂ©es ou non Ă proximitĂ© des points dâaccĂšs Aerohive), soit en donnĂ©es traitĂ©es (informations de gĂ©olocalisation, information sur le nombre de nouvelles stations dĂ©couvertes, durĂ©e de prĂ©senceâŠ).
- RĂ©cupĂ©rer ou dĂ©ployer de nouveaux comptes de connexion. Aerohive prĂ©voit de faire Ă©voluer la liste des APIs disponibles, que ce soit des APIs en lecture, en Ă©criture, ou des APIs permettant de rĂ©cupĂ©rer les informations traitĂ©es. En outre, lâinterface dâadministration HiveManager NG se base sur ce systĂšme dâAPI. De ce fait, HiveManager NG est une Application se basant sur lâACS. Dâautres Applications, proposĂ©es par Aerohive ou par diffĂ©rents partenaires, se basent Ă©galement sur ces APIs pour communiquer avec le HiveManager.
- 89 -
Copyright © 2017, Aerohive Networks, Inc.
Programme DĂ©veloppeurs
Pour accompagner ces nouvelles possibilités, Aerohive a mis en place un programme Développeur, permettant de créer une communauté de Développeurs autours de APIs ACS.
Figure 55: Programme DĂ©veloppeurs ACS
Ce programme permet dâavoir accĂšs Ă lâensemble des informations nĂ©cessaire pour crĂ©er des applications autour des APIs ACS, ainsi que diffĂ©rents exemples dâutilisation des APIs. Elle permet Ă©galement de rentrer en contact avec les Ă©quipes Aerohive pour obtenir de lâaide ou un accompagnement lors de la rĂ©alisation de nouvelles Applications.
Exemple dâutilisation des APIs ACS
DiffĂ©rentes Applications basĂ©es sur les APIs ACS sont dâores et dĂ©jĂ disponibles. LâApplication principale Ă©tant bien entendu le HiveManager NG. En effet, cette plateforme dâadministration se base sur les APIs ACS pour communiquer avec les points dâaccĂšs, les superviser, les configurer, ou les mettre Ă jour. En plus de cela, Aerohive a crĂ©er des Applications de rĂ©fĂ©rences, permettant de dĂ©montrer la puissance de ce systĂšme. Ces applications rĂ©pondent Ă des besoins particuliers remontĂ©s par les clients Aerohive, tels que :
- La possibilitĂ© dâactiver/de dĂ©sactiver les interfaces radio des points dâaccĂšs : cette application de rĂ©fĂ©rence a Ă©tĂ© dĂ©veloppĂ©e spĂ©cifiquement pour rĂ©pondre aux demandes des lois Françaises dans lâĂ©ducation, demandant de nâactiver le Wi-Fi que lorsque son utilisation est nĂ©cessaire.
- 90 -
Copyright © 2017, Aerohive Networks, Inc.
LâOFFRE DâADMINISTRATION SAAS PAR HIVEMANAGER ONLINE
Simpli-Fi-er
Les réseaux Wi-Fi administrés simplement et à moindres coûts
Le standard actuel des infrastructures Wi-Fi Ă base de contrĂŽleur$ est particuliĂšrement complexe, couteux et peu fiable Ă dĂ©ployer et Ă gĂ©rer. Ainsi, il nâest pas rare de voir des petites et moyennes entreprises et des opĂ©rateurs de service contraints Ă un compromis entre les coĂ»ts, la complexitĂ©, les fonctionnalitĂ©s et la fiabilitĂ© des rĂ©seaux Wi-Fi quâils mettent en Ćuvre. Les solutions grand public leurs offrent une interface dâadministration et de configuration particuliĂšrement simple et conviviale, mais les fonctionnalitĂ©s font souvent dĂ©faut et la fiabilitĂ© est rarement au rendez-vous. Les produits de classe entreprise proposent quant Ă eux des fonctionnalitĂ©s bien plus riches, mais Ă un niveau de coĂ»t et de complexitĂ© dâimplĂ©mentation bien supĂ©rieur. Le choix est souvent cornĂ©lien : simplicitĂ© versus fonctionnalitĂ©s, coĂ»ts versus fiabilitĂ©. Avec lâoffre HiveManager Online (HMOL) dâAerohive, plus besoin de choisir entre facilitĂ© dâutilisation, fonctionnalitĂ©s, fiabilitĂ© et prix abordables. HMOL est un systĂšme dâadministration des rĂ©seaux sans fil11 hĂ©bergĂ© au sein dâune infrastructure distribuĂ©e et hautement redondante 12 , mise en Ćuvre dans plusieurs centres informatiques 13 garantissant la disponibilitĂ© du matĂ©riel utilisĂ© et des donnĂ©es. Il sâagit dâune offre typique de SaaS14 : vous ne payez que ce que vous utilisez et vous nâavez pas besoin dâhĂ©berger dâĂ©quipements dans votre rĂ©seau.
Figure 56 : HiveManager Online (HMOL) est la solution dâadministration des rĂ©seaux Wi-Fi la plus simple, la
plus performante et la moins coûteuse
Dans le monde actuel ultra-connectĂ©, ĂȘtre capable dâaccĂ©der, de contrĂŽler et de dĂ©panner son infrastructure Wi-Fi Ă tout instant et depuis nâimporte quel endroit de la planĂšte est devenu non
11 WNMS : Wireless Network Management System. 12 On parle de « cloud computing ». 13 On parle de « datacenters .». 14 SaaS : Software as a Service.
- 91 -
Copyright © 2017, Aerohive Networks, Inc.
seulement essentiel, mais parfois vital pour le bon fonctionnement de lâentreprise. Gestion des stocks par lectures de code-barres dans un dĂ©pĂŽt, accĂšs au dossier patient dans un hĂŽpital, cours multimĂ©dia dans une universitĂ©, tĂ©lĂ©phonie sur IP sans fil dans une compagnie dâassurance, etc. sont autant dâapplications critiques reposant sur la fiabilitĂ© et la disponibilitĂ© du rĂ©seau Wi-Fi. Avant HMOL, il nâexistait aucune vĂ©ritable solution dâadministration peu couteuse, Ă©volutive et simple dâutilisation pour les entreprises de taille moyenne ou celles fortement distribuĂ©es (rĂ©seaux dâagences, filiales, etc. Ă forte dispersion gĂ©ographique). HMOL rĂ©pond directement Ă ce manque. HMOL peut hĂ©berger un nombre infini dâinstances dâadministration de rĂ©seaux Wi-Fi dâentreprises, faisant dâailleurs de la solution Wi-Fi dâAerohive la plus Ă©cologique du marchĂ© car elle supprime tous les composants non-indispensables, notamment les contrĂŽleur$ â quâils soient de cĆur, de distribution, dâaccĂšs, dâagence ou autre â et les diffĂ©rentes sources de consommation dâĂ©nergie et leurs coĂ»ts associĂ©s : les alimentations Ă©lectriques, la climatisation et le refroidissement, les robots de sauvegarde des configurations, lâespace occupĂ© dans les racks des centres serveurs, les liens rĂ©seaux gonflĂ©s pour Ă©viter les goulets dâĂ©tranglement, la mise en Ćuvre de contrĂŽleur$ en grappe15 pour assurer la haute-disponibilitĂ©,⊠Aerohive supprime Ă©galement toute licence sur les points dâaccĂšs, permettant de disposer immĂ©diatement de lâintĂ©gralitĂ© des fonctionnalitĂ©s, sans coĂ»ts additionnels cachĂ©s. Seuls les points dâaccĂšs HiveAP dâAerohive sont ainsi dĂ©ployĂ©s sur les rĂ©seaux des clients ;
- Moins de composants Ă acquĂ©rir : coĂ»ts linĂ©aires et budgĂ©tisation simplifiĂ©e en fonction de lâĂ©volution des besoins.
- Moins de composants à installer et à configurer : gain de temps et de ressources. - Moins de composants potentiellement défaillants : moins de risques de pannes sur le réseau. - Moins de composants à remplacer une fois amortis : moins de recyclage. - Simplification du déploiement : moins cher, plus complet.
Et puisque HMOL est mis en Ćuvre dans une infrastructure distribuĂ©e, il est accessible en permanence, depuis nâimporte quelle connexion Internet. Et lâinterface dâadministration Ă©tant particuliĂšrement simple et conviviale, nâimporte quel administrateur rĂ©seau peut devenir rapidement un expert de son infrastructure Wi-Fi. Il est Ă©galement important de comprendre ce que HMOL nâest pas :
- HMOL nâest pas un contrĂŽleur : il nây a pas de contrĂŽleur$ dans la solution Aerohive. - HMOL ne reçoit aucun trafic utilisateur : le trafic reste local au rĂ©seau de lâentreprise. - HMOL nâest pas indispensable au bon fonctionnement de lâinfrastructure Wi-Fi : les points
dâaccĂšs HiveAP dâAerohive opĂšrent indĂ©pendamment de HMOL. HMOL est une plate-forme dâadministration et de supervision. Rien de plus, rien de moins. Ceci est extrĂȘmement important : dans lâinfrastructure WLAN16 dâAerohive, le trafic de contrĂŽle et de gestion donnĂ©es des utilisateurs est pris en charge exclusivement par les points dâaccĂšs HiveAP, permettant ainsi une Ă©volutivitĂ© 17 infinie â en nombre de points dâaccĂšs dĂ©ployĂ©s â ainsi que lâĂ©limination des goulets dâĂ©tranglement, des coĂ»teux contrĂŽleur$, de la latence et de la gigue induits par les solutions centralisĂ©es,âŠLes points dâaccĂšs HiveAP gĂšrent Ă©galement directement tous les
15 On parle souvent de « cluster ». 16 WLAN : Wireless LAN â rĂ©seau local sans fil. 17 On parle de « scalability ».
- 92 -
Copyright © 2017, Aerohive Networks, Inc.
aspects liĂ©s Ă lâauthentification, lâassociation des clients Wi-Fi, lâitinĂ©rance rapide18, la gestion des canaux et de la puissance des radios, la dĂ©tection des bornes pirates19, la sĂ©curitĂ© des connexions,⊠Si lâaccĂšs Internet ou plus gĂ©nĂ©ralement le lien avec le HMOL vient Ă tomber, alors lâinfrastructure Wi-Fi continue de fonctionner normalement et les services fournis par le rĂ©seau sans fil sont toujours disponibles.
A propos des contrĂŽleur$
Les vendeurs de solution Ă base de contrĂŽleur$ aiment Ă masquer les coĂ»ts liĂ©s Ă lâadministration de lâinfrastructure Wi-Fi en prĂ©tendant que la plate-forme de gestion et de supervision est le contrĂŽleur lui-mĂȘme. Si ceci Ă©tait effectivement le cas, alors ils nâauraient pas Ă leur catalogue des solutions spĂ©cifiques dâadministration et de supervision, voire des architectures de contrĂŽleur$ Ă plusieurs niveau (distribution, fĂ©dĂ©ration). En effet, le contrĂŽleur ne sert dâoutil dâadministration que pour les rĂ©seaux de taille restreinte, mais en aucun cas pour les grands rĂ©seaux dâentreprise dans lesquels plusieurs contrĂŽleur$ sont souvent dĂ©ployĂ©s, soit Ă diffĂ©rents niveaux, soit en redondance. Initialement, les solutions dâadministration ont Ă©tĂ© crĂ©Ă©es pour permettre la gestion et la supervision des points dâaccĂšs autonomes, par exemple les produits Cisco Aironet Ă base IOS. De tels points dâaccĂšs autonomes sont gĂ©rĂ©s de la mĂȘme maniĂšre quâun routeur ou un commutateur de rĂ©seau. Puis vinrent les contrĂŽleur$. Les fabricants utilisĂšrent alors les outils dâadministration non plus pour gĂ©rer directement les points dâaccĂšs, devenus au passage « lĂ©gers20 » ou « idiots21 », mais pour configurer lâensemble des contrĂŽleur$ dĂ©ployĂ©s sur le rĂ©seau. Pourtant, ces mĂȘmes vendeurs de contrĂŽleurs continuent, parfois de maniĂšre dĂ©tournĂ©e, de facturer leur solution dâadministration sur la base du nombre de points dâaccĂšs Wi-Fi dĂ©ployĂ©s. HĂ©las pour les clients, les contrĂŽleur$ sont Ă©galement facturĂ©s sur la base du nombre de points dâaccĂšs dĂ©ployĂ©s â voire supportĂ©s â ce qui signifie que bien souvent, lesdits clients paient deux fois leur solution dâadministration du rĂ©seau Wi-Fi lorsquâils achĂštent des contrĂŽleur$. Pourquoi deux fois ? Dâabord parce que le coĂ»t du contrĂŽleur inclut lâinterface dâadministration quâil embarque. Ensuite parce que vient sâajouter la solution WNMS dâadministration des contrĂŽleurs. La logique voudrait que la plate-forme WNMS soit fournie gratuitement avec les contrĂŽleur$, puisque le coĂ»t y est inclut. Mais ceci nâest pas le modĂšle Ă©conomique choisit par ses vendeurs.
Et plus encore !
ConsidĂ©rons un instant que les fabricants de solutions Ă base contrĂŽleur$ proposent effectivement leur gamme de produits â points dâaccĂšs, contrĂŽleur$, plate-forme dâadministration (WNMS) â Ă des prix compĂ©titifs, alors comment la solution Aerohive â sans contrĂŽleur et sans les coĂ»ts associĂ©es â pourrait-elle ne pas ĂȘtre significativement moins chĂšre ?
18 On parle de « roaming ». 19 On parle de « rogue ». 20 On parle de « thin AP » versus « fat AP » en rĂ©fĂ©rence aux points dâaccĂšs autonomes. 21 On parle parfois de « dumb » AP.
- 93 -
Copyright © 2017, Aerohive Networks, Inc.
Facilité et économies
La plupart des rĂ©seaux Wi-Fi se dĂ©ploiement de maniĂšre progressive : quelques points dâaccĂšs pour dĂ©buter, puis le rĂ©seau sâĂ©tend au fur et Ă mesure des besoins de couverture et de service pour les applications mobiles. HiveManager Online prend en compte cet aspect et propose une structure de coĂ»ts linĂ©aire basĂ©e sur la quantitĂ© de points dâaccĂšs effectivement dĂ©ployĂ©s.
Figure 57 : HiveManager NG
Alors que les solutions dâadministration traditionnellement dĂ©ployĂ©es directement sur les rĂ©seaux des clients impliquent un investissement financier initial Ă©levĂ© (CAPEX), HMOL propose un modĂšle financier de type « payez en fonction de vos besoins »22 (OPEX). Ce modĂšle prĂ©sente clairement le plus faible coĂ»t de dĂ©marrage de toutes les solutions dâadministration de rĂ©seaux Wi-Fi du marchĂ©. En Ă©liminant la plate-forme dâadministration de lâinfrastructure du client et en lâhĂ©bergeant directement sur Internet dans un nuage23, il nây a plus aucune machine Ă installer en dehors des points dâaccĂšs Wi-Fi, ce qui signifie un gain significatif en termes :
- Dâespace dans les racks, - De consommation Ă©lectrique, - Dâair conditionnĂ© pour le refroidissement, - De main dâĆuvre pour lâinstallation physique, - DâingĂ©nierie pour la configuration et la mise en Ćuvre des solutions de
sauvegarde/restauration, haute-disponibilitĂ©, accĂšs sĂ©curisĂ©, âŠ
22 On fait référence ici aux célÚbres expressions « pay as you go » ou « pay as you grow ». 23 Le fameux « cloud ».
- 94 -
Copyright © 2017, Aerohive Networks, Inc.
Le plaisir de la simplicité
La tĂȘte dans les nuages
HMOL vit dans le nuage. Et toute la quincaillerie habituellement nĂ©cessaire pour sĂ©curiser les accĂšs distants des administrateurs rĂ©seaux â passerelles VPN, licences, complexitĂ© de dĂ©ploiement et de configuration sur le poste client, ⊠et le support associĂ© â nâa plus besoin dâĂȘtre mise en Ćuvre par les clients dâAerohive. HMOL est en effet accessible de partout, Ă tout instant et de maniĂšre sĂ©curisĂ©e. Ceci est particuliĂšrement apprĂ©ciable pour les entreprises fortement distribuĂ©es, avec des sites gĂ©ographiquement rĂ©partis dans plusieurs pays, Ă©ventuellement avec un dĂ©calage horaire. Le rĂ©seau Wi-Fi de chacun des sites peut ainsi ĂȘtre configurĂ©, administrĂ© et supervisĂ© par de multiples administrateurs dispersĂ©s, avec dĂ©lĂ©gation des droits dâaccĂšs : chaque administrateur disposant des permissions appropriĂ©es Ă son rayon dâaction.
Rationaliser le support
La disponibilitĂ© permanente de HMOL dans le nuage simplifie et rationalise le support de lâinfrastructure Wi-Fi dĂ©ployĂ©e et des clients qui lâutilisent. Quel que soit le besoin, par exemple une mise Ă jour de version des points dâaccĂšs de lâensemble dâune rĂ©gion ou une modification de configuration sur un site particulier, la plate-forme HMOL est lĂ pour fournir immĂ©diatement les outils nĂ©cessaires Ă lâopĂ©ration. Pas besoin de chercher dĂ©sespĂ©rĂ©ment son mot de passe pour accĂ©der au portail du vendeur, puis fouiller dans lâensemble des menus du support pour retrouver la derniĂšre bonne version du code, tĂ©lĂ©charger ensuite le fichier puis le pousser sur chacun des points dâaccĂšs ; ou bien retrouver dans la base de connaissance la derniĂšre astuce pour configurer lâoption que vous souhaitez activer, voire mĂȘme dĂ©couvrir que vous devez payer une licence pour ladite option et que votre vendeur sâĂ©tait bien cachĂ© de vous en informer⊠Avec HMOL et les points dâaccĂšs HiveAP dâAerohive, rien de tout cela. Les points dâaccĂšs sont fournis de base avec lâensemble des fonctionnalitĂ©s disponibles, sans aucune licence nĂ©cessaire. HMOL sâappuie sur lâexpĂ©rience des ingĂ©nieurs dâAerohive et de lâensemble des clients qui lâutilisent quotidiennement. Les outils sont donc immĂ©diatement disponibles, les derniĂšres versions logicielles dĂ©jĂ chargĂ©es, prĂȘtes Ă lâemploi. Les communications avec les points dâaccĂšs sont sĂ©curisĂ©es de base. Besoin de mettre un jour le parc de points dâaccĂšs ? Rien de plus simple : choisissez directement dans la liste des versions disponibles lâimage que vous souhaitez installer, puis cochez les points dâaccĂšs Ă mettre Ă jour â par exemple ceux de toute une rĂ©gion, tout un bĂątiment â et cliquez sur un simple bouton. HMOL sâoccupe de tout ! Nâavez-vous jamais eu besoin de devoir faire intervenir une Ă©quipe de support pour vous assister dans la configuration ou le diagnostic de votre rĂ©seau ? Et de passer ainsi des heures Ă mettre en Ćuvre un accĂšs distant sĂ©curisĂ© pour que le personnel dâassistance technique puisse se connecter Ă votre rĂ©seau et effectuer son travail ? Ouvrir un port sur votre firewall, rediriger un trafic, installer un logiciel de connexion sur le poste client, partager une session, ⊠Que de tracas ! Tous les ingĂ©nieurs rĂ©seau que nous sommes avons connu cela Ă un moment donnĂ© ou Ă un autre.
- 95 -
Copyright © 2017, Aerohive Networks, Inc.
Alors pourquoi ne pas envisager beaucoup plus simple : imaginez quâen quelques secondes vous puissiez donner la permission au support dâAerohive de se connecter Ă votre environnement sur HMOL et vous assister dans le diagnostic dâun problĂšme ou lâaide Ă la configuration ? Vous nâauriez plus Ă vous tordre le cerveau. Et bien, tout ceci est possible grĂące Ă HMOL.
Testez vous-mĂȘme !
Quel que soit la taille du rĂ©seau Ă administrer â grande entreprise, entreprise multi-sites ou distribuĂ©es gĂ©ographiquement, PME/PMI â HiveManager OnLine est la solution adĂ©quate. Il suffit dâune simple connexion Ă Internet pour assurer lâadministration et la supervision distante des points dâaccĂšs HiveAP via HMOL Enterprise.
Figure 58 : Entreprise distribuée administrée par HiveManager Online (HMOL)
Les vendeurs de solutions traditionnelles ont eu beau essayer toutes les approches possibles pour prendre en compte les besoins des entreprises distribuĂ©es, lâobligation du contrĂŽleur nâa jamais permis dâatteindre le niveau de fonctionnalitĂ©s et la simplicitĂ© dâadministration et de dĂ©ploiement que peut fournir Aerohive, Ă un coĂ»t raisonnable. Voici quelques exemples de ce quâil ne faut absolument pas faire :
- Points dâaccĂšs autonomes : pas de possibilitĂ© dâitinĂ©rance transparente sauf Ă utiliser une clĂ© partagĂ©e PSK. Ce serait une solution envisageable pour des sites ne nĂ©cessitant quâun seul point dâaccĂšs Wi-Fi, si tentĂ© que dâautres fonctionnalitĂ©s importantes nâĂ©taient pas absentes de ces points dâaccĂšs autonomes : pas de VPN IPsec intĂ©grĂ©, pas dâauthentification locale (portail Web captif + 802.1X/EAP), pas de dĂ©tection de bornes pirates (rogue), et bien dâautres fonctions manquantes.
- ContrĂŽleur$ centraux avec points dâaccĂšs distants24 : fonctionnalitĂ©s trĂšs limitĂ©es ou alors
particuliĂšrement complexes Ă configurer, nĂ©cessitent souvent un systĂšme local pour lâauthentification des utilisateurs, et lorsque lâaccĂšs au WAN nâest plus disponible, alors il en est de mĂȘme de la plupart, voire tous, les services fournis par les points dâaccĂšs. Dâailleurs, les fabricants de contrĂŽleur$ ont rapidement constatĂ© lâĂ©chec de cette solution et Ă©voluĂ© vers la 3Ăšme solution ci-aprĂšs.
24 Généralement dénommés « Remote AP ».
- 96 -
Copyright © 2017, Aerohive Networks, Inc.
- ContrĂŽleur$ dâagence : câest la toute derniĂšre solution proposĂ©e par les fabricants de contrĂŽleurs. Ils nâenvisagent rien de moins que de dĂ©ployer sur chaque site un contrĂŽleur supportant 1 Ă 3 points dâaccĂšs. Faites-vous-mĂȘme le calcul : pour plusieurs dizaines ou plusieurs centaines dâagences, cela devient totalement dĂ©lirant et Ă lâencontre des tentatives actuelles de diminuer les Ă©quipements dĂ©ployĂ©s et la complexitĂ© sur les sites distants.
Les protocoles de contrĂŽle coopĂ©ratif utilisĂ©s par les points dâaccĂšs HiveAP dâAerohive pour communiquer entre eux associent la simplicitĂ© de dĂ©ploiement des solutions Ă points dâaccĂšs autonomes tout en fournissant les fonctionnalitĂ©s avancĂ©es des contrĂŽleur$, sans les dĂ©savantages de chacune de ces deux approches. DĂ©ployer un point dâaccĂšs HiveAP dans un site dâagence revient Ă mettre en Ćuvre un contrĂŽleur dâagence, mais sans le coĂ»t associĂ© ni la complexitĂ© de dĂ©ploiement/configuration dudit contrĂŽleur. Vous souhaitez voir comment fonctionne HMOL et vĂ©rifier tout ceci ? Rien de plus simple ! Deux possibilitĂ©s sâoffrent Ă vous :
- DĂ©mo HiveManager OnLine : le portail Internet de HMOL vous permet de crĂ©er simplement votre propre instance dâadministration dans le nuage. Testez, jouez, apprenez et dĂ©couvrez toutes les possibilitĂ©s du produit. Encore plus fort : il est mĂȘme possible de simuler des points dâaccĂšs Aerohive au sein de HMOL. Vous pouvez ainsi modĂ©liser un grand nombre de points dâaccĂšs, locaux ou distants afin dâentrevoir Ă quoi pourrait ressembler votre dĂ©ploiement futur. Et si vous dĂ©cidez que ce que vous avez simulĂ© vous convient, alors vous pouvez trĂšs facilement dĂ©placer votre environnement de test vers le systĂšme en production et y ajouter des points dâaccĂšs rĂ©els.
- Une Ă©valuation du produit ou un pilote : Aerohive dispose de plusieurs programmes pilotes oĂč il est possible de recevoir des points dâaccĂšs HiveAP de test et de les administrer via HMOL. Vous pouvez alors mettre lâensemble de la solution Ă lâĂ©preuve. Vous serez probablement surpris de la simplicitĂ©, la puissance et le coĂ»t de cette solution.
Et la sécurité ?
Ce qui se passe dans le nuage reste dans le nuage. Nous voulons dire par lĂ que la confidentialitĂ© des informations et leur protection est assurĂ©e par HMOL. La connexion des administrateurs Ă HMOL sâeffectue de maniĂšre sĂ©curisĂ©e via le protocole https et avec un identifiant/mot de passe propre Ă chaque administrateur. Les points dâaccĂšs HiveAP se connectent Ă leur instance HMOL en utilisant DTLS25 pour protĂ©ger le trafic UDP du protocole CAPWAP.
Figure 59 : Protocole CAPWAP sécurisé par DTLS
25 DTLS : Datagram Transport Layer Security â RFC 4347.
- 97 -
Copyright © 2017, Aerohive Networks, Inc.
Ceci garantie que les donnĂ©es Ă©changĂ©es avec le systĂšme HMOL demeurent confidentielles et ne peuvent ĂȘtre Ă©coutĂ©es. Classiquement, la plupart des entreprises souhaitent pouvoir dĂ©lĂ©guer lâaccĂšs aux systĂšmes dâadministration en fonction du profil des administrateurs : lâadministrateur rĂ©seau peut effectuer des modifications de configurations, lâauditeur nâa quâun accĂšs en lecture, ⊠Avec HMOL, il est possible dâassigner Ă chaque utilisateur â ou groupe â un profil dâadministration et des droits sur le systĂšme. Le niveau de granularitĂ© dans la dĂ©finition des droits peut dâailleurs ĂȘtre trĂšs Ă©levĂ©.
Figure 60 : Permissions et dĂ©lĂ©gation des droits dâadministration par groupe ou individu
En outre, les points dâaccĂšs Aerohive supportent lâensemble des standards actuels de sĂ©curitĂ© pour ce qui concerne la protection du rĂ©seau sans fil, ainsi que des fonctions embarquĂ©es de firewall stateful, VPN IPsec, dĂ©tection dâintrusions, ⊠entre autres. Enfin, Aerohive est la seule solution dont toute la sĂ©curitĂ© est implĂ©mentĂ©e directement dans les points dâaccĂšs, Ă lâentrĂ©e du rĂ©seau et au plus proche des utilisateurs, pour une sĂ©curitĂ© maximale.
La meilleure solution, au meilleur prix
Les entreprises paient trop souvent pour des ressources quâelles nâutilisent que rarement en totalitĂ©, voire quâelles nâutiliseront mĂȘme jamais. Les contrĂŽleur$ introduisent un modĂšle de coĂ»t en escalier dans lequel le client doit non seulement payer pour le contrĂŽleur, mais Ă©galement pour les packs de points dâaccĂšs et parfois mĂȘme pour les licences activant certaines fonctionnalitĂ©s.
- 98 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 61 : Les contrÎleurs introduisent un modÚle de coût non linéaire, en escalier
Raisonnons sur lâexemple suivant : imaginez un vendeur de contrĂŽleur$ proposant 2 modĂšles : un contrĂŽleur dâentrĂ©e de gamme avec une licence pour 6 points dâaccĂšs, et un contrĂŽleur plus gros supportant des packs de licences de 12, 25, 50 et 100 points dâaccĂšs. DĂšs lors que le rĂ©seau Wi-Fi de lâentreprise nĂ©cessite des simples fonctions â par exemple la gestion automatique des radiofrĂ©quences, lâitinĂ©rance rapide, ⊠â un contrĂŽleur doit ĂȘtre installĂ©. Regardons plus en dĂ©tail le problĂšme que cela pose :
- Cas n°1 : lorsque le client nĂ©cessite 3 points dâaccĂšs, il doit acquĂ©rir le contrĂŽleur avec ses licences pour 6 points dâaccĂšs. Et bien quâil ait dĂ©pensĂ© plus que ce dont il avait besoin, il arrive souvent quâil doive encore sortir le chĂ©quier pour acheter les licences liĂ©es Ă certaines fonctionnalitĂ©s mises en Ćuvre sur les points dâaccĂšs.
- Cas n°2 : le client souhaite maintenant 7 points dâaccĂšs. Il doit alors se tourner vers un
contrĂŽleur bien plus gros que celui dâentrĂ©e de gamme, et ce seulement pour une diffĂ©rence dâun point dâaccĂšs ! Il va alors devoir acheter un contrĂŽleur Ă 12 points dâaccĂšs (dont 5 des licences ne seront pas utilisĂ©es) en plus des 7 points dâaccĂšs dĂ©sirĂ©s.
Evidemment, cet exemple ne traite que dâun tout petit nombre de points dâaccĂšs dĂ©ployĂ©s sur un seul site. Mais imaginez la complexitĂ© introduite par les limites de capacitĂ© et de licences des contrĂŽleurs dans le cas dâune plus grande entreprise, distribuĂ©e et avec plusieurs sites gĂ©ographiquement dispersĂ©s. Il ne sâagit plus alors de payer pour 5 points dâaccĂšs non utilisĂ©s, mais pour des centaines. La solution Ă base contrĂŽleur est alors totalement dĂ©lirante en termes de modĂšle de coĂ»ts, et absolument pas prĂ©dictive pour les Ă©volutions Ă venir. Avec HMOL, le modĂšle est extrĂȘmement simple : un prix unique, fixe, par point dâaccĂšs, pour 1 an. Pas de surcoĂ»t initial. Pas de modĂšle de coĂ»t en escalier. Le modĂšle est linĂ©aire, facile Ă budgĂ©ter pour les annĂ©es Ă venir. Pas de licences pour activer certaines fonctionnalitĂ©s, tout est compris de base. Inscrivez-vous sur HMOL, achetez les points dâaccĂšs HiveAP appropriĂ©s Ă vos besoins, et câest terminĂ© ! Simple, rapide, efficace.
- 99 -
Copyright © 2017, Aerohive Networks, Inc.
Figure 62 : LâĂ©quation la plus simple avec HMOL
Le modĂšle de coĂ»t HMOL linĂ©aire â « payez en fonction de vos besoins » â est lâexact opposĂ© du modĂšle contrĂŽleur$ traditionnel -â « payez plus dĂšs maintenant » â puis « encore plus par la suite ». RĂ©capitulons les points clĂ©s de la solution Aerohive.
Tableau 4 : Comparaison synthétique Aerohive versus solutions contrÎleur$
Un projet Wi-Fi dâentreprise est souvent complexe et composĂ© de plusieurs Ă©lĂ©ments techniques. Afin dâapprĂ©hender le coĂ»t exact de la solution, et permettre de comparer entre diffĂ©rents vendeurs, une bonne approche consiste Ă considĂ©rer le coĂ»t total de dĂ©ploiement et Ă diviser par le nombre de points dâaccĂšs. Ceci donne au final un prix unitaire, par point dâaccĂšs, comprenant lâensemble des fonctionnalitĂ©s et permet ainsi de comparer facilement les vendeurs dont les solutions techniques et les modĂšles de coĂ»ts sont souvent totalement diffĂ©rents. Finie lâintoxication marketing ou la confusion sur les prix. La comparaison devient simple et pertinente. Essayez ! Comparez la solution Aerohive avec dâautres vendeurs !
- 100 -
Copyright © 2017, Aerohive Networks, Inc.
Conclusion
Aerohive propose une approche globale pour la mise en Ćuvre des architectures WLAN dâentreprises, en particulier pour les environnements distribuĂ©s (multi-sites). Cette solution globale repose sur :
- Les points dâaccĂšs Wi-Fi - La solution dâadministration centralisĂ©e HiveManager NG - Des fonctionnalitĂ©s dâentreprise pour la fourniture de services avancĂ©s : - Des certifications dâorganismes de rĂ©fĂ©rence (Wi-Fi Alliance, PCI, CWNP, etc.).
De par ses spĂ©cificitĂ©s, lâarchitecture Aerohive Ă contrĂŽle coopĂ©ratif constitue une rĂ©ponse pertinente pour rĂ©pondre aux divers besoins des entreprises. Cette solution unique sur le marchĂ© permet de dĂ©ployer les mĂȘmes Ă©quipements et les mĂȘmes fonctionnalitĂ©s quels que soit la taille du site, le nombre de points dâaccĂšs ou dâĂ©quipements Ă connectĂ©s, mais Ă©galement quelles que soit les fonctionnalitĂ©s nĂ©cessaires. Si vous le souhaitez, vous pouvez dâores et dĂ©jĂ vous crĂ©er un compte HiveManager NG Cloud dâĂ©valuation Ă lâadresse https://cloud.aerohive.com.
- 101 -
Copyright © 2017, Aerohive Networks, Inc.
Ă propos d'Aerohive Aerohive (NYSE : HIVE) permet Ă ses clients d'accĂ©der facilement et en toute sĂ©curitĂ© aux informations et aux applications dont ils ont besoin pour ĂȘtre performants. Notre plateforme simple, Ă©volutive et sĂ©curisĂ©e offre une mobilitĂ© illimitĂ©e. Pour nos dizaines de milliers de clients dans le monde, chaque point d'accĂšs est un point de dĂ©part. La sociĂ©tĂ© Aerohive a Ă©tĂ© crĂ©Ă©e en 2006. Son siĂšge se trouve Ă Milpitas, en Californie. Aerohive est une marque dĂ©posĂ©e d'Aerohive Networks, Inc. Tous les noms de produits et d'entreprises citĂ©s dans le prĂ©sent document sont des marques ou des marques dĂ©posĂ©es de leurs dĂ©tenteurs respectifs. Tous droits rĂ©servĂ©s.
Pour en savoir plus, vous pouvez consulter notre site www.aerohive.com, nous appeler au +1408-510-6100, nous suivre sur LinkedâIn ou sur Twitter @Aerohive, vous inscrire Ă notre blog, rejoindre notre communautĂ© ou devenir fan sur notre page Facebook