Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les directives de conception et de configuration pour les grands réseaux Wi-Fi publics.
Les guides de conception CX sont rédigés par des spécialistes du centre d'assistance technique (TAC) et des services professionnels (PS) de Cisco, et examinés par des experts Cisco. Ils s'appuient sur les meilleures pratiques de Cisco ainsi que sur les connaissances et l'expérience acquises lors de nombreuses mises en oeuvre par les clients au fil des ans. Les réseaux conçus et configurés conformément aux recommandations de ce document permettent d’éviter les pièges courants et d’améliorer le fonctionnement du réseau.
Ce document fournit des directives de conception et de configuration pour les grands réseaux sans fil publics.
Définition: grands réseaux publics : déploiements sans fil, souvent à haute densité, qui fournissent une connectivité réseau à des milliers de périphériques clients inconnus et/ou non gérés.
Ce document suppose souvent que le réseau cible fournit des services à des événements importants et/ou temporaires. Il s'adapte également aux réseaux statiques permanents pour les lieux qui reçoivent de nombreux invités. Par exemple, un centre commercial ou un aéroport présente des similitudes avec le réseau Wi-Fi d'un stade ou d'une salle de concert, dans le sens où il n'y a aucun contrôle sur les utilisateurs finaux et qu'ils existent dans le réseau généralement pour quelques heures seulement, ou pour la journée tout au plus.
La couverture sans fil pour les grands événements ou les lieux a son propre ensemble d'exigences, qui tend à être différent des réseaux d'entreprise, de fabrication ou même de grande éducation. Les grands réseaux publics peuvent compter des milliers de personnes, concentrées dans un seul ou quelques bâtiments. Ils peuvent avoir une itinérance client très fréquente, en permanence ou pendant les pics d'activité. En outre, le réseau doit être aussi compatible que possible avec tout ce qui concerne les périphériques clients sans fil, sans contrôle sur la configuration ou la sécurité des périphériques clients.
Ce guide présente les concepts RF généraux pour la haute densité ainsi que les détails de mise en oeuvre. La plupart des concepts radio de ce guide s'appliquent à tous les réseaux haute densité, y compris Cisco Meraki. Cependant, les détails de mise en oeuvre et les configurations sont axés sur Catalyst Wireless à l'aide du contrôleur sans fil Catalyst 9800, car il s'agit de la solution la plus répandue actuellement déployée pour les grands réseaux publics.
Ce document utilise les termes contrôleur sans fil et contrôleur de réseau local sans fil (WLC) de manière interchangeable.
Les grands réseaux publics et événementiels sont uniques à bien des égards. Ce document explore et fournit des conseils sur ces domaines clés.
Nom du document |
Source |
Emplacement |
Meilleures pratiques de configuration de la gamme Cisco Catalyst 9800 |
Cisco |
|
Dépannage du processeur du contrôleur LAN sans fil |
Cisco |
|
Guide de validation du débit Wi-Fi : test et surveillance |
Cisco |
|
Guide de déploiement du point d'accès Cisco Catalyst CW9166D1 |
Cisco |
|
Guide de déploiement de l'antenne de stade Catalyst 9104 (C-ANT9104) |
Cisco |
|
Surveillance des indicateurs de performance clés (KPI) du Catalyst 9800 |
Cisco |
|
Dépannage du flux des problèmes de connectivité du client Catalyst 9800 |
Cisco |
|
Guide de configuration du logiciel du contrôleur sans fil Cisco Catalyst 9800 (17.12) |
Cisco |
|
Wi-Fi 6E : le prochain grand chapitre du livre blanc sur le Wi-Fi |
Cisco |
Ce document propose des recommandations basées sur certains scénarios, hypothèses et connaissances acquises lors de nombreux déploiements. Cependant, vous, le lecteur, êtes chargé de déterminer la conception du réseau, l'activité, la conformité aux réglementations, la sécurité, la confidentialité et d'autres exigences, y compris de suivre ou non les conseils ou recommandations fournis dans ce guide.
Ce guide se concentre sur les grands réseaux invités, généralement ouverts au public, et avec un contrôle limité sur les utilisateurs finaux et les types de périphériques clients. Ces types de réseaux peuvent être déployés sur différents sites et peuvent être temporaires ou permanents. Le cas d'utilisation principal est généralement la fourniture d'un accès Internet aux visiteurs, bien que ce soit rarement le seul cas d'utilisation.
Emplacements types :
D'un point de vue RF, chacun de ces types d'emplacement a son propre ensemble de nuances. La plupart de ces exemples sont généralement des installations permanentes, à l'exception des salles de conférence, car elles peuvent être permanentes ou mises en place pour un salon spécifique sur une base temporaire.
Autres sites :
Les aéroports et les paquebots de croisière sont également des exemples de déploiements qui entrent dans la catégorie des grands réseaux publics ; toutefois, ceux-ci comportent des considérations supplémentaires propres à chaque cas et font souvent appel à des points d’accès omnidirectionnels internes.
Les stratégies de couverture dépendent en grande partie du type de site, des antennes utilisées et des emplacements de montage disponibles.
Frais Généraux
La couverture des frais généraux est toujours privilégiée dans la mesure du possible.
Les solutions de surcharge présentent l'avantage évident que tous les périphériques clients disposent généralement d'une ligne de vision directe vers le dessus de l'antenne, même dans les scénarios encombrés. Les solutions de surcharge utilisant des antennes directionnelles offrent une zone de couverture plus contrôlée et mieux définie, ce qui les rend moins compliquées du point de vue du réglage radio, tout en offrant un meilleur équilibrage de charge et des caractéristiques d'itinérance client. Pour plus d'informations, reportez-vous à la section Équilibrage de puissance.
Côté
Les antennes directionnelles montées sur le côté sont un choix populaire et fonctionnent bien dans une variété de scénarios, en particulier lorsque le montage au plafond n'est pas possible en raison de la hauteur ou des restrictions de montage. Lors de l'utilisation d'un montage latéral, il est important de comprendre le type de zone couverte par l'antenne, par exemple s'agit-il d'une zone extérieure ouverte ou d'une zone intérieure dense ? Si la zone de couverture est une zone de forte densité avec beaucoup de personnes, alors l'antenne doit être élevée autant que possible car la propagation du signal à travers une foule humaine est toujours pauvre. Rappelez-vous que la plupart des appareils mobiles sont utilisés plus bas à la taille, pas au-dessus de la tête de l'utilisateur ! La hauteur de l'antenne est moins importante si la zone de couverture est une zone de densité inférieure.
Omnidirectionnel
L'utilisation d'antennes omnidirectionnelles (internes ou externes) doit généralement être évitée dans les scénarios de très haute densité, ceci étant dû à la zone d'impact potentiellement élevée pour les interférences co-canal. Les antennes omnidirectionnelles ne doivent pas être utilisées à une hauteur supérieure à 6 m (ne s'applique pas aux unités extérieures à gain élevé).
Sous le siège
Dans certains stades ou arénas, il peut y avoir des situations où il n'y a pas d'emplacements de montage d'antenne appropriés. La dernière alternative consiste à fournir une couverture par le bas en positionnant les points d'accès sous les sièges où les utilisateurs sont assis. Ce type de solution est plus difficile à déployer correctement et est généralement plus coûteux, nécessitant un nombre bien plus important de points d'accès et de procédures d'installation spécifiques.
Le principal défi que pose le déploiement en sous-effectif est la grande différence de couverture entre un stade complet et un stade vide. Un corps humain est très efficace pour atténuer le signal radio, ce qui signifie que lorsqu'il y a une foule de personnes autour du point d'accès, la couverture qui en résulte est beaucoup plus petite que lorsque ces personnes ne sont pas là. Ce facteur d'atténuation de la foule humaine permet de déployer davantage de points d'accès, ce qui peut augmenter la capacité globale. Cependant, lorsque le stade est vide, il n'y a pas d'atténuation du corps humain et d'interférence significative, ce qui entraîne des complications lorsque le stade est partiellement plein.
Remarque : le déploiement sous le siège est une solution valide mais peu courante, qui doit être évaluée au cas par cas. Le déploiement sous le siège n'est pas traité plus en détail dans ce document.
Dans certains déploiements, la question de l'esthétique entre en jeu. Il peut s'agir de zones présentant des conceptions architecturales spécifiques, une valeur historique, ou des espaces où la publicité et/ou la marque dictent où l'équipement peut (ou non) être monté. Des solutions spécifiques peuvent être nécessaires pour contourner les limites de placement. Certaines de ces solutions de contournement incluent le masquage du point d'accès/de l'antenne, la peinture du point d'accès/de l'antenne, le montage de l'équipement dans un boîtier ou simplement l'utilisation d'un emplacement différent. Peindre l'antenne annule la garantie, si vous choisissez de peindre l'antenne toujours utiliser de la peinture non métallique. Cisco ne vend généralement pas de boîtiers pour antennes, mais bon nombre d'entre eux sont facilement disponibles auprès de divers fournisseurs.
Toutes ces solutions de contournement ont un impact sur les performances du réseau. Les architectes sans fil commencent toujours par proposer des positions de montage optimales pour une meilleure couverture radio, et ces positions initiales offrent généralement les meilleures performances. Toute modification de ces positions entraîne souvent le déplacement des antennes loin de leur emplacement optimal.
Les emplacements où les antennes sont montées sont souvent surélevés. Il peut s'agir de plafonds, de passerelles, de structures de toit, de poutres, de trottoirs et de tout emplacement offrant une certaine élévation au-dessus de la zone de couverture prévue. Ces emplacements sont généralement partagés avec d'autres installations, telles que : l'équipement audio, la climatisation, l'éclairage et divers détecteurs / capteurs. Par exemple, l'équipement audio et d'éclairage doit être installé à des emplacements très spécifiques, mais pourquoi ? Tout simplement parce que l'équipement audio et d'éclairage ne fonctionne pas correctement lorsqu'il est caché dans une boîte ou derrière un mur, et tout le monde le reconnaît.
Il en va de même pour les antennes sans fil. Elles fonctionnent mieux lorsqu'une ligne de visée est établie vers le périphérique client sans fil. Le fait de donner la priorité à l'esthétique peut (et c'est souvent le cas) avoir un effet négatif sur les performances sans fil, diminuant ainsi la valeur de l'investissement dans l'infrastructure.
Les réseaux Wi-Fi non autorisés sont des réseaux sans fil qui partagent un espace RF commun mais qui ne sont pas gérés par le même opérateur. Ils peuvent être temporaires ou permanents et inclure des périphériques d'infrastructure (AP) et des périphériques personnels (tels que des téléphones mobiles partageant un point d'accès Wi-Fi). Les réseaux Wi-Fi non autorisés constituent une source d'interférences et, dans certains cas, un risque pour la sécurité. Il ne faut pas sous-estimer l'impact des périphériques non fiables sur les performances sans fil. Les transmissions Wi-Fi sont limitées à une plage relativement petite de spectre radio qui est partagée entre tous les périphériques Wi-Fi. Tout périphérique qui se comporte mal à proximité peut perturber les performances du réseau pour de nombreux utilisateurs.
Dans le cadre de grands réseaux publics, ceux-ci sont généralement conçus et réglés avec soin à l'aide d'antennes spécialisées. Une bonne conception RF couvre uniquement les zones requises, souvent à l'aide d'antennes directionnelles, et règle les caractéristiques d'envoi et de réception pour une efficacité maximale.
À l'autre extrémité du spectre se trouvent les périphériques grand public ou les périphériques fournis par les fournisseurs de services Internet. Ces derniers disposent d'options limitées pour le réglage fin des radiofréquences ou sont configurés pour une portée maximale et des performances perçues, souvent avec une puissance élevée, des débits de données faibles et des canaux étendus. L'introduction de tels périphériques dans un réseau d'événements de grande taille peut causer des ravages.
Que peut-on faire ?
Dans le cas des hotspots personnels, il y a très peu de choses à faire, car il serait presque impossible de surveiller des dizaines de milliers de personnes entrant dans un lieu. Dans le cas d'une infrastructure, ou de périphériques semi-permanents, il existe plusieurs options. La correction possible commence par une simple éducation, y compris une simple signalisation pour la sensibilisation, par des documents de politique radio signés, se terminant par une application active et une analyse du spectre. Dans tous les cas, une décision commerciale doit être prise sur la protection du spectre radioélectrique dans le lieu donné, ainsi que des mesures concrètes pour faire appliquer cette décision commerciale.
L'aspect sécurité des réseaux non autorisés entre en jeu lorsque des périphériques contrôlés par un tiers annoncent le même SSID que le réseau géré. Cela équivaut à une attaque de type « pot de miel » et peut être utilisé comme méthode pour voler les informations d'identification de l'utilisateur. Il est toujours recommandé de créer une règle non autorisée pour alerter de la détection des SSID d'infrastructure annoncés par des périphériques non gérés. La section relative à la sécurité traite plus en détail des systèmes non fiables.
Dual 5GHz désigne l'utilisation des deux radios 5GHz sur les points d'accès pris en charge. Il existe une différence majeure entre une double fréquence de 5 GHz avec des antennes externes et une double fréquence de 5 GHz avec des antennes internes (micro/macro cellules sur des points d'accès omnidirectionnels). Dans le cas d'antennes externes, la double fréquence de 5 GHz est souvent un mécanisme utile, qui offre une couverture et une capacité supplémentaires tout en réduisant le nombre total de points d'accès.
Micro/Macro/Méso
Les points d'accès internes ont les deux antennes proches l'une de l'autre (à l'intérieur du point d'accès) et il existe des restrictions relatives à la puissance Tx maximale lors de l'utilisation d'un double 5 GHz. La seconde radio est limitée à une faible puissance Tx (ce qui est imposé par le contrôleur sans fil) conduisant à un déséquilibre important de la puissance Tx entre les radios. Cela peut entraîner une sous-utilisation de la radio principale (plus puissante) par de nombreux clients, alors que la radio secondaire (moins puissante) est sous-utilisée. Dans ce cas, la seconde radio ajoute de l'énergie à l'environnement sans apporter d'avantages aux clients. Si ce scénario est observé, il peut être préférable de désactiver la seconde radio et d'ajouter simplement un autre AP (5 GHz) si une capacité supplémentaire est requise.
Différents modèles de points d'accès ont différentes options de configuration, la deuxième radio 5 GHz peut fonctionner à des niveaux de puissance plus élevés dans les nouveaux points d'accès macro/méso comme les modèles 9130 et 9136, et certains points d'accès Wi-Fi 6E internes comme la série 9160 peuvent même fonctionner dans les modèles macro/macro dans certains cas. Vérifiez toujours la capacité de votre modèle AP exact. Le second emplacement 5 GHz est également limité dans son utilisation de canal, lorsqu'un emplacement fonctionne dans une bande UNII, l'autre emplacement est limité à une bande UNII différente, ce qui a un impact sur la planification du canal et par conséquent sur la puissance de transmission disponible. Tenez toujours compte de la différence de puissance Tx entre deux radios de 5 GHz, ce qui est vrai dans tous les cas, y compris les points d'accès internes.
FRA
La technologie FRA (Flexible Radio Assignment) a été introduite pour améliorer la couverture 5 GHz en commutant des radios 2,4 GHz supplémentaires en mode 5 GHz ou des radios 5 GHz potentiellement inutilisées en mode surveillance (pour les points d'accès qui la prennent en charge). Comme ce document couvre de grands réseaux publics, on suppose que les zones de couverture ainsi que la conception radio sont bien définies à l'aide d'antennes directionnelles, par conséquent une configuration déterministe est préférée à une configuration dynamique. L'utilisation de FRA n'est pas recommandée pour les grands réseaux publics.
FRA peut éventuellement être utilisé lorsque le réseau est configuré pour aider à déterminer les radios à convertir en 5 GHz, mais une fois que vous êtes satisfait du résultat, il est conseillé de geler FRA.
Réglementaire
Chaque domaine réglementaire définit les canaux disponibles et leurs niveaux de puissance maximum. Il existe également des restrictions quant aux canaux pouvant être utilisés à l'intérieur et à l'extérieur. Selon le domaine réglementaire, il peut parfois être impossible d'utiliser efficacement une solution double 5 GHz. Par exemple, le domaine ETSI autorise 30 dBm sur les canaux UNII-2e, mais seulement 23 dBm sur UNII1/2. Dans cet exemple, si la conception nécessite l'utilisation de 30 dBm (généralement en raison d'une plus grande distance à l'antenne), l'utilisation d'une seule radio 5 GHz peut être la seule solution possible.
Les grands réseaux publics peuvent utiliser n'importe quel type d'antenne et choisissent généralement l'antenne la mieux adaptée à la tâche. Le mélange d'antennes dans la même zone de couverture rend le processus de conception radio plus difficile et doit être évité si possible. Cependant, les grands réseaux publics ont souvent de grandes zones de couverture avec des options de montage différentes même au sein de la même zone, ce qui rend nécessaire de mélanger les antennes dans certains cas. Les antennes omnidirectionnelles sont bien connues et fonctionnent de la même manière que toute autre antenne. Ce guide traite des antennes directionnelles externes.
Ce tableau répertorie les antennes externes les plus utilisées.
Les principaux facteurs à prendre en compte lors du choix d'une antenne sont la largeur de faisceau et la distance/hauteur de l'antenne. Le tableau présente la largeur de faisceau de 5 GHz pour chacune des antennes, les chiffres entre parenthèses indiquant des valeurs arrondies (et plus faciles à mémoriser).
Les distances suggérées dans le tableau ne sont pas des règles strictes, mais uniquement des directives basées sur l'expérience. Les ondes radio se déplacent à la vitesse de la lumière et ne s'arrêtent pas après avoir atteint une distance arbitraire. Les antennes fonctionnent toutes au-delà de la distance suggérée, mais les performances diminuent à mesure que la distance augmente. La hauteur d'installation est un facteur clé lors de la planification.
Le schéma ci-dessous montre deux hauteurs de montage possibles pour la même antenne à ~33 pieds (10 m) et ~66 pieds (20 m) dans une zone haute densité. Notez que le nombre de clients que l'antenne peut voir (et à partir desquels elle accepte les connexions) augmente avec la distance. Le maintien de cellules de petite taille devient plus difficile avec des distances plus importantes.
La règle générale est que plus la densité d'utilisateurs est élevée, plus il est important d'utiliser l'antenne correcte pour la distance donnée.
L'antenne du stade C9104 est parfaitement adaptée à la couverture de zones à haute densité et à de grandes distances. Pour plus d'informations, reportez-vous au Guide de déploiement de l'antenne du stade Catalyst 9104 (C-ANT9104).
Changements dans le temps
Les modifications de l'environnement physique au fil du temps sont courantes dans presque toutes les installations sans fil (par exemple, le mouvement des murs intérieurs). Des visites régulières sur place et des inspections visuelles ont toujours été recommandées. Pour les réseaux événementiels, la complexité supplémentaire de la gestion des systèmes audio et d'éclairage et, dans de nombreux cas, d'autres systèmes de communication (tels que la 5G). Tous ces systèmes sont souvent installés à des emplacements élevés au-dessus des utilisateurs, ce qui entraîne parfois des conflits pour le même espace. Un bon emplacement pour une antenne de stade sans fil est souvent également un bon emplacement pour une antenne 5G ! De plus, à mesure que ces systèmes sont mis à niveau, ils peuvent être déplacés vers des emplacements où ils gênent et/ou interfèrent activement avec votre système sans fil. Il est important de garder une trace des autres installations et de communiquer avec les équipes qui les installent, afin de s'assurer que tous les systèmes sont installés dans des endroits appropriés sans interférer les uns avec les autres (physiquement ou électromagnétiquement).
Au moment de la rédaction de ce document, il existe une sélection limitée d'antennes externes compatibles 6 GHz. Seul le point d'accès/antenne intégré CW9166D1 fonctionne à 6 GHz. Les spécifications détaillées de l'antenne sont disponibles dans le Guide de déploiement du point d'accès Cisco Catalyst CW9166D1. Le CW9166D1 offre une couverture 6 GHz avec une largeur de faisceau de 60°x60° et peut être utilisé efficacement pour tout déploiement répondant aux conditions de ce type d'antenne. Par exemple, les auditoriums et les entrepôts sont de bons candidats pour le déploiement du CW9166D1, car l'unité intégrée offre une fonctionnalité d'antenne directionnelle pour une utilisation en intérieur.
Dans le cadre de grands réseaux publics, ceux-ci ont souvent des zones diverses et importantes et nécessitent l'utilisation d'une combinaison d'antennes à des hauteurs différentes. Le déploiement d'un grand réseau public de bout en bout à l'aide d'une antenne 60°x60° peut s'avérer difficile en raison des limites de distance. Par conséquent, il peut également être difficile de fournir une couverture de bout en bout à 6 GHz en utilisant uniquement le CW9166D1 pour un grand réseau public.
Une approche possible consiste à utiliser la bande de couverture principale de 5 GHz, tandis que la bande de couverture principale de 6 GHz n'est utilisée que dans des zones spécifiques pour décharger les périphériques clients compatibles vers la bande de 6 GHz plus propre. Ce type d'approche utilise des antennes 5 GHz uniquement dans des zones plus étendues, tout en utilisant les antennes 6 GHz lorsque cela est possible et lorsque de la capacité supplémentaire est requise.
Prenons l’exemple d’une grande salle d’événements lors d’une conférence commerciale. La salle principale utilise des antennes de stade pour fournir une couverture principale à 5 GHz. La hauteur de l’installation impose l’utilisation d’antennes de stade. Dans cet exemple, le CW9166D1 ne peut pas être utilisé dans le hall principal en raison des limites de distance, mais il peut être utilisé dans un hall VIP ou une zone de presse adjacente où une densité supérieure est requise. L'itinérance client entre les bandes 5 GHz et 6 GHz est traitée plus loin dans ce document.
Réglementaire
Comme pour la bande 5 GHz, la puissance disponible et les canaux pour la bande 6 GHz diffèrent considérablement d'un domaine réglementaire à l'autre. Il existe notamment une grande différence dans le spectre disponible entre les domaines FCC et ETSI, ainsi que des directives strictes autour de la puissance Tx disponible pour une utilisation intérieure et extérieure, basse puissance intérieure (LPI) et puissance standard (SP) respectivement. Avec la bande 6 GHz, les restrictions supplémentaires incluent les limites d'alimentation du client, l'utilisation d'antennes externes et l'inclinaison vers le bas de l'antenne, et (uniquement aux États-Unis pour le moment) la nécessité d'une coordination automatique de la fréquence (AFC) pour les déploiements SP.
Pour plus d'informations sur le Wi-Fi 6E, consultez le livre blanc Wi-Fi 6E : le prochain grand chapitre du Wi-Fi.
La gestion des ressources radio (RRM, Radio Resource Management) est un ensemble d'algorithmes responsables du contrôle du fonctionnement radio. Ce guide fait référence à deux algorithmes RRM clés, à savoir Dynamic Channel Assignment (DCA) et Transmit Power Control (TPC). RRM est une alternative à la configuration statique des canaux et de l'alimentation.
Cisco Event Driven RRM (ED-RRM) est une option DCA qui permet de prendre une décision de changement de canal en dehors du planning DCA standard, généralement en réponse à des conditions RF sévères. ED-RRM peut changer un canal immédiatement lorsque des niveaux excessifs d'interférence sont détectés. Dans des environnements bruyants et/ou instables, l'activation de ED-RRM présente un risque de modifications excessives des canaux, ce qui peut avoir un impact négatif sur les périphériques clients.
L'utilisation de RRM est encouragée et généralement préférée à la configuration statique, avec toutefois quelques mises en garde et exceptions.
Dans tous les cas, RRM doit être déployé avec une compréhension du résultat attendu, et réglé pour fonctionner dans les limites qui sont appropriées pour l'environnement RF donné. Les sections suivantes de ce document explorent ces points plus en détail.
En général, plus il y a de canaux, mieux c'est. Dans les déploiements à haute densité, il peut y avoir des points d'accès et des radios plus déployés que les canaux disponibles, ce qui implique un taux de réutilisation des canaux important et, avec cela, des niveaux plus élevés d'interférence entre canaux. Tous les canaux disponibles doivent être utilisés et il est généralement déconseillé de limiter la liste des canaux disponibles.
Il peut arriver qu'un système sans fil spécifique (et distinct) doive coexister dans le même espace physique et que des canaux dédiés lui soient attribués, tout en supprimant le ou les canaux attribués de la liste DCA du système principal. Ces types d'exclusions de canaux doivent être évalués très attentivement et utilisés uniquement lorsque cela est nécessaire. Par exemple, une liaison point à point fonctionnant dans une zone ouverte adjacente au réseau principal ou une zone de presse à l’intérieur d’un stade. Si plus d'un ou deux canaux sont exclus de la liste des ACD, cela peut être un motif de réévaluation de la solution proposée. Dans certains cas, comme dans les stades à très haute densité, l'exclusion même d'un seul canal peut parfois ne pas être une option envisageable.
L'attribution dynamique de canal (DCA) peut être utilisée avec la RRM basée sur WLC ou la RRM améliorée par AI.
L'intervalle DCA par défaut est de 10 minutes, ce qui peut entraîner des changements fréquents de canal dans les environnements RF instables. Le compteur DCA par défaut doit être augmenté par rapport aux 10 minutes par défaut dans tous les cas, l'intervalle DCA spécifique doit être aligné sur les exigences de fonctionnement pour le réseau en question. Un exemple de configuration peut être : DCA interval 4 hours, anchor time 8. Cela limite les changements de canal à une fois toutes les 4 heures, à partir de 8h du matin.
Comme les interférences sont inévitables, s’y adapter à chaque cycle de DCA n’apporte pas nécessairement de valeur, car la plupart de ces interférences sont temporaires. Une bonne technique consiste à utiliser le DCA automatique pendant les premières heures et à geler l'algorithme et le plan de canaux lorsque vous avez quelque chose de stable qui vous satisfait.
Lorsque le WLC est redémarré, DCA fonctionne en mode agressif pendant 100 minutes pour trouver un plan de canal approprié. Il est conseillé de redémarrer le processus manuellement lorsque des modifications importantes sont apportées à la conception RF (par exemple, l'ajout ou la suppression de nombreux points d'accès ou la modification de la largeur de canal). Pour démarrer ce processus manuellement, utilisez cette commande.
ap dot11 [24ghz | 5ghz | 6ghz] rrm dca restart
Remarque : les changements de canal peuvent perturber les périphériques clients.
2,4 GHz
La bande 2,4 GHz a souvent été critiquée. Il n'a que trois canaux sans chevauchement et de nombreuses autres technologies que le Wi-Fi l'utilisent, ce qui crée des interférences indésirables. Certaines organisations insistent pour fournir des services, alors quelle est une conclusion raisonnable ? Il est un fait que la bande 2,4 GHz ne fournit pas une expérience satisfaisante pour les utilisateurs finaux. Pire encore, en essayant de fournir un service sur 2,4 GHz, vous affectez d'autres technologies 2,4 GHz telles que Bluetooth. Dans les grandes salles ou les grands événements, de nombreuses personnes s'attendent toujours à ce que leur casque sans fil fonctionne lorsqu'elles passent un appel ou que leurs appareils portables intelligents continuent à fonctionner comme d'habitude. Si votre Wi-Fi dense fonctionne à 2,4 GHz, vous impactez les périphériques qui n'utilisent même pas votre Wi-Fi 2,4 GHz.
Une chose est sûre, si vous devez réellement fournir un service Wi-Fi 2,4 GHz, il est préférable de le faire sur un SSID distinct (dédiez-le aux périphériques IoT ou appelez-le « hérité »). Cela signifie que les périphériques double bande ne se connectent pas à 2,4 GHz involontairement et que seuls les périphériques monobande 2,4 GHz s'y connectent.
Cisco ne conseille ni ne prend en charge l'utilisation de canaux 40 MHz dans la bande 2,4 GHz.
5 GHz
Déploiement type pour les réseaux sans fil haute densité. Utilisez tous les canaux disponibles lorsque cela est possible.
Le nombre de canaux varie en fonction du domaine réglementaire. Tenir compte de l'impact du radar à l'endroit précis, utiliser les canaux DSF (y compris les canaux TDWR) dans la mesure du possible.
La largeur de canal de 20 MHz est fortement recommandée pour tous les déploiements haute densité.
40MHz peut être utilisé sur la même base que 2.4GHz, c'est seulement quand (et où) absolument nécessaire.
Évaluer les besoins et les avantages réels des canaux 40 MHz dans un environnement spécifique. Les canaux 40 MHz nécessitent un rapport signal/bruit (SNR) plus élevé pour obtenir une amélioration possible du débit. Si un SNR plus élevé n'est pas possible, les canaux 40 MHz ne remplissent pas de fonction utile. Les réseaux haute densité donnent la priorité à un débit moyen pour tous les utilisateurs par rapport à un débit potentiellement plus élevé pour un seul utilisateur. Il est préférable de placer plus de points d'accès sur des canaux de 20 MHz que d'avoir des points d'accès utilisant 40 MHz, car le canal secondaire est utilisé uniquement pour les trames de données et donc utilisé beaucoup moins efficacement que d'avoir deux cellules radio différentes, chacune fonctionnant sur 20 MHz (en termes de capacité totale, pas en termes de débit client unique).
6 GHz
La bande 6 GHz n'est pas encore disponible dans tous les pays. En outre, certains périphériques sont équipés d'une carte Wi-Fi compatible 6 GHz, mais nécessitent une mise à jour du BIOS pour être activés dans le pays dans lequel vous utilisez le périphérique. La façon la plus populaire pour les clients de découvrir les radios 6GHz en ce moment est par l'annonce RNR sur la radio 5GHz. Cela signifie que 6 GHz ne doit pas fonctionner seul sans une radio 5 GHz sur le même point d'accès. 6 GHz est là pour décharger les clients et le trafic de la radio 5 GHz et pour fournir généralement une meilleure expérience pour les clients capables. Les canaux 6 GHz permettent d'utiliser des bandes passantes de canaux plus larges, mais cela dépend fortement du nombre de canaux disponibles dans le domaine réglementaire. Avec 24 canaux de 6 GHz disponibles en Europe, il n'est pas déraisonnable d'opter pour des canaux de 40 MHz pour fournir un meilleur débit maximum par rapport aux 20 MHz que vous utilisez probablement dans 5 GHz. Aux États-Unis, avec près du double du nombre de canaux, l'utilisation de 40 MHz est une évidence et même aller pour 80 MHz n'est pas déraisonnable pour un événement de grande densité. Les bandes passantes plus larges ne doivent pas être utilisées dans les événements ou les lieux à forte densité.
Le débit de données qu’un client négocie avec un point d’accès est en grande partie fonction du rapport signal/bruit (SNR) de cette connexion, et l’inverse est également vrai, c’est-à-dire que des débits de données plus élevés nécessitent un SNR plus élevé. En fait, c'est principalement le SNR qui détermine la vitesse de liaison maximale possible, mais pourquoi est-ce important lors de la configuration des débits de données ? C'est parce que certains débits de données ont une signification particulière.
Les débits de données OFDM (802.11a) classiques peuvent être configurés dans l'un des trois paramètres suivants : Désactivé, Pris en charge ou Obligatoire. Les débits OFDM sont (en Mbits/s) : 6, 9, 12, 18, 24, 36, 48, 54, et le client et le point d'accès doivent tous deux prendre en charge un débit avant de pouvoir l'utiliser.
Pris en charge : le point d'accès utilisera le taux
Obligatoire : le point d'accès utilise le débit et envoie le trafic de gestion en utilisant ce débit
Désactivé : le point d'accès n'utilise pas le débit, ce qui force le client à utiliser un autre débit
Remarque : les taux obligatoires sont également appelés taux de base
La signification du débit obligatoire est que toutes les trames de gestion sont envoyées à l’aide de ce débit, ainsi que les trames de diffusion et de multidiffusion. Si plusieurs débits obligatoires sont configurés, les trames de gestion utilisent le débit obligatoire configuré le plus faible et les débits obligatoire de diffusion et de multidiffusion le plus élevé.
Les trames de gestion incluent des balises qui doivent être entendues par le client pour pouvoir s’associer au point d’accès. L’augmentation du débit obligatoire augmente également le débit minimal requis pour cette transmission, rappelez-vous que des débits de données plus élevés nécessitent un débit minimal plus élevé, ce qui signifie généralement que le client doit être plus proche du point d’accès pour pouvoir décoder la balise et s’associer. Par conséquent, en manipulant le débit de données obligatoire, nous manipulons également la plage d'association effective du point d'accès, forçant les clients à se rapprocher du point d'accès ou vers une décision d'itinérance potentielle. Les clients proches du point d’accès utilisent des débits de données plus élevés et des débits de données plus élevés utilisent moins de temps d’antenne. L’effet recherché est une cellule plus efficace. Il est important de rappeler que l'augmentation du débit de données n'affecte que le débit de transmission de certaines trames, elle n'affecte pas la propagation RF de l'antenne ou la plage d'interférence. De bonnes pratiques de conception RF sont toujours nécessaires pour minimiser les interférences et le bruit dans les mêmes canaux.
À l'inverse, en laissant des débits plus faibles obligatoires, les clients pourront s'associer à distance, ce qui est utile dans les scénarios de faible densité de points d'accès, mais risque de provoquer des dommages liés à l'itinérance dans les scénarios de densité plus élevée. Quiconque a essayé de localiser un point d'accès indésirable qui diffuse un 6 Mbits/s saura que vous pouvez détecter le point d'accès très loin de son emplacement physique !
En ce qui concerne la diffusion et la multidiffusion, dans certains cas, un second débit obligatoire (supérieur) est configuré pour augmenter le débit de transmission du trafic de multidiffusion. Cela réussit rarement, car la multidiffusion n’est jamais reconnue et ne fait jamais l’objet d’une retransmission en cas de perte de trames. Comme une certaine perte est inhérente à tous les systèmes sans fil, il est inévitable que certaines trames de multidiffusion soient perdues, quel que soit le débit configuré. Les techniques de conversion de multidiffusion en monodiffusion qui transmettent la multidiffusion sous la forme d'un flux de monodiffusion offrent une meilleure approche de la transmission multidiffusion fiable, ce qui présente l'avantage de débits de données plus élevés et d'une transmission fiable (avec accusé de réception).
Il est préférable d'utiliser un seul taux obligatoire, de désactiver tous les taux inférieurs au taux obligatoire et de laisser tous les taux supérieurs au taux obligatoire comme pris en charge. Le débit spécifique à utiliser dépend du cas d'utilisation, comme déjà mentionné, les débits inférieurs sont utiles dans les scénarios de densité inférieure et en extérieur où les distances entre les points d'accès sont plus grandes. Pour les réseaux à haute densité et d'événements, les débits faibles doivent être désactivés.
Si vous ne savez pas par où commencer, utilisez un débit obligatoire de 12 Mbits/s pour les déploiements à faible densité et de 24 Mbits/s pour les déploiements à haute densité. De nombreux événements à grande échelle, stades et même déploiements de bureaux d'entreprise haute densité ont prouvé leur fiabilité avec un débit obligatoire de 24 Mbits/s. Des tests appropriés sont recommandés pour des cas d'utilisation spécifiques où des débits inférieurs à 12 Mbits/s ou supérieurs à 24 Mbits/s sont nécessaires.
Remarque : il est préférable de laisser tous les débits 802.11n/ac/ax activés (tous les débits dans la section High Throughput de l'interface graphique du WLC), il est rarement nécessaire de désactiver l'un de ces débits.
Les recommandations de puissance de transmission varient en fonction du type de déploiement. Nous distinguons ici les déploiements en intérieur utilisant des antennes omnidirectionnelles de ceux utilisant des antennes directionnelles. Les deux types d’antennes peuvent exister dans un grand réseau public, bien que celles-ci couvrent généralement différents types de zones.
Pour les déploiements omnidirectionnels, il est courant d'utiliser le contrôle de puissance de transmission (TPC) automatique avec un seuil minimum configuré de manière statique, et dans certains cas également un seuil maximum configuré de manière statique.
Remarque : les seuils TPC font référence à la puissance de transmission radio et excluent le gain d'antenne. Assurez-vous toujours que le gain d'antenne est configuré correctement pour le modèle d'antenne utilisé, ceci est fait automatiquement dans le cas d'antennes internes et d'antennes auto-identifiantes.
Exemple 1
TPC min. : 5 dBm, TPC max. : Maximum (30 dBm)
L'algorithme TPC déterminerait ainsi automatiquement la puissance de transmission, sans jamais descendre en dessous du seuil minimum configuré de 5 dBm.
Exemple 2
TPC min. : 2 dBm, TPC max. : 11 dBm
L'algorithme TPC détermine ainsi automatiquement la puissance de transmission, mais en restant toujours entre 2 dBm et 11 dBm.
Une bonne approche consiste à créer plusieurs profils RF avec différents seuils, par exemple faible puissance (2-5dBm), moyenne puissance (5-11dbM) et haute puissance (11-17dBM), puis à attribuer des points d'accès omnidirectionnels à chaque profil RF en fonction des besoins. Les valeurs de chaque profil RF peuvent être ajustées en fonction du cas d'utilisation prévu et de la zone de couverture. Cela permet aux algorithmes RRM de fonctionner de manière dynamique tout en restant dans des limites prédéfinies.
L'approche pour les antennes directionnelles est très similaire, la seule différence étant le niveau de précision requis. Le positionnement de l'antenne directionnelle doit être conçu et vérifié lors d'une étude RF préalable au déploiement, et les valeurs de configuration radio spécifiques sont généralement le résultat de ce processus.
Par exemple, si une antenne patch montée au plafond est nécessaire pour couvrir une certaine zone à partir d'une hauteur de ~26ft (8m), l'étude RF doit déterminer la puissance Tx minimale requise pour atteindre cette couverture prévue (ce qui détermine la valeur TPC minimale pour le profil RF). De même, à partir de la même étude RF, nous pourrions comprendre le chevauchement possible nécessaire entre cette antenne et la suivante, ou même le point auquel nous voulons que la couverture se termine - cela fournirait la valeur TPC maximale pour le profil RF.
Les profils RF des antennes directionnelles sont généralement configurés avec les mêmes valeurs TPC minimale et maximale ou avec une plage étroite de valeurs possibles (généralement <= 3dBm).
Les profils RF sont préférés pour assurer la cohérence de la configuration, la configuration statique de points d'accès individuels n'est pas recommandée. Il est recommandé de nommer les profils RF en fonction de la zone de couverture, du type d'antenne et du cas d'utilisation, par exemple RF-Auditorium-Patch-Ceiling.
La puissance fiscale correcte est obtenue lorsque la valeur SNR requise est atteinte par le client le plus faible dans la zone de couverture prévue, et pas plus. 30dBm est une excellente valeur cible SNR client dans des conditions réelles (c'est-à-dire dans un lieu plein de gens).
CHD
La détection des trous de couverture (CDP) est un algorithme distinct permettant d'identifier et de corriger les trous de couverture. Le CHD est configuré globalement ainsi que par WLAN. Un effet possible du CHD est l'augmentation de la puissance Tx pour compenser les trous de couverture (zones avec des clients constamment détectés avec un signal faible), cet effet est au niveau radio et affecte tous les WLAN, même lorsqu'il est déclenché par un seul WLAN configuré pour le CHD.
Les grands réseaux publics sont généralement configurés à des niveaux de puissance spécifiques à l'aide de profils RF, certains peuvent se trouver dans des zones ouvertes avec des clients qui se déplacent vers et hors des zones, il n'est pas nécessaire d'utiliser un algorithme pour ajuster dynamiquement la puissance AP Tx en réponse à ces événements client.
La fonction CHD doit être désactivée globalement pour les grands réseaux publics.
La plupart des périphériques clients préfèrent un signal reçu plus élevé lorsqu’ils choisissent le point d’accès auquel s’associer. Les situations où un point d'accès est configuré avec une puissance Tx considérablement plus élevée par rapport aux autres points d'accès environnants doivent être évitées. Les points d'accès fonctionnant à une puissance Tx plus élevée attirent plus de clients, ce qui entraîne une répartition inégale des clients entre les points d'accès (par exemple, un point d'accès/radio unique est surchargé de clients alors que les points d'accès environnants sont sous-utilisés). Cette situation est courante dans les déploiements avec un chevauchement de couverture important à partir de plusieurs antennes, et dans les cas où un point d'accès a plusieurs antennes reliées.
Les antennes de stade telles que le C9104 nécessitent une attention particulière lors de la sélection de la puissance Tx, car les faisceaux d'antenne se chevauchent par conception. Pour plus d'informations, consultez le Guide de déploiement de l'antenne de stade Catalyst 9104 (C-ANT9104).
Dans le schéma ci-dessous, l'antenne centrale est configurée avec une puissance Tx supérieure à celle des antennes environnantes. Cette configuration risque d'entraîner une « collage » des clients à l'antenne centrale.
Le schéma suivant illustre une situation plus compliquée : toutes les antennes ne sont pas à la même hauteur et toutes les antennes n'utilisent pas la même inclinaison/orientation. L'obtention d'une puissance équilibrée est plus compliquée que la simple configuration de toutes les radios avec la même puissance Tx. Dans des scénarios comme celui-ci, une étude de site post-déploiement peut être requise, ce qui fournit une vue de la couverture du point de vue du périphérique client (sur le terrain). Les données de l'enquête peuvent ensuite être utilisées pour équilibrer la configuration afin d'obtenir la meilleure couverture et la meilleure distribution des clients.
La conception d'emplacements de point d'accès uniformes qui évitent des situations compliquées comme celle-ci est la meilleure façon d'éviter des scénarios de réglage RF difficiles (bien que parfois il n'y ait pas d'autre choix !).
Contrairement aux mécanismes tels que la puissance Tx ou les débits de données qui affectent les caractéristiques de la cellule de transmission, RxSOP (Receiver Start of Packet detection) vise à influencer la taille de la cellule de réception. Essentiellement, RxSOP peut être considéré comme un seuil de bruit, en ce qu'il définit le niveau de signal reçu en dessous duquel le point d'accès ne tente pas de décoder les transmissions. Toutes les transmissions arrivant avec un niveau de signal inférieur au seuil RxSOP configuré ne sont pas traitées par le point d'accès et sont effectivement traitées comme du bruit.
La signification de RxSOP
RxSOP a plusieurs utilisations. Il peut être utilisé pour améliorer la capacité des points d'accès à transmettre dans des environnements bruyants, pour contrôler la distribution des clients entre les antennes, ainsi que pour optimiser les clients plus faibles et rémanents.
Dans le cas d’environnements bruyants, rappelez-vous qu’avant de transmettre une trame 802.11, la station émettrice (le point d’accès dans ce cas) doit d’abord évaluer la disponibilité du support, une partie de ce processus consiste à écouter d’abord les transmissions qui ont déjà lieu. Dans les environnements Wi-Fi denses, il est courant que de nombreux points d'accès coexistent dans un espace relativement limité, souvent en utilisant les mêmes canaux. Dans de tels environnements occupés, le point d'accès peut signaler l'utilisation du canal à partir des points d'accès environnants (y compris les réflexions) et retarder sa propre transmission. En définissant le seuil RxSOP approprié, le point d'accès peut ignorer les transmissions plus faibles (réduction de l'utilisation perçue du canal), ce qui conduit à des opportunités de transmission plus fréquentes et à des performances améliorées. Les environnements dans lesquels les points d'accès signalent une utilisation significative du canal (par exemple > 10 %) sans aucune charge client (par exemple un site vide) sont de bons candidats pour le réglage RxSOP.
Pour l'optimisation client à l'aide de RxSOP, considérez ce schéma.
Dans cet exemple, il y a deux points d'accès/antennes avec des zones de couverture bien définies. Le client B passe de la zone de couverture de AP1 à la zone de couverture de AP2. Il y a un point de croisement au niveau duquel AP2 entend mieux le client que AP1, mais le client n'a pas encore accédé à AP2. Ceci est un bon exemple de la façon dont la définition du seuil RxSOP peut appliquer la limite de la zone de couverture. S'assurer que les clients sont toujours connectés au point d'accès le plus proche améliore les performances en éliminant les connexions client distantes et/ou faibles desservies à des débits de données inférieurs. La configuration des seuils RxSOP de cette manière nécessite une compréhension approfondie de l'endroit où la zone de couverture attendue de chaque point d'accès commence et se termine.
Les dangers de RxSOP.
Si vous définissez le seuil RxSOP de manière trop agressive, vous obtenez des trous de couverture, car le point d'accès ne décode pas les transmissions valides à partir des périphériques clients valides. Cela peut avoir des conséquences néfastes pour le client, car le point d'accès ne répond pas ; après tout, si la transmission du client n'a pas été entendue, il n'y a aucune raison de répondre. Le réglage des seuils RxSOP doit être effectué avec soin, en veillant toujours à ce que les valeurs configurées n'excluent pas les clients valides dans la zone de couverture. Notez que certains clients peuvent ne pas répondre bien à être ignoré de cette façon, trop agressif RxSOP paramètres ne donnent pas au client une chance d'itinérance naturelle, forçant effectivement le client à trouver un autre AP. Un client qui peut décoder une balise à partir d'un point d'accès suppose qu'il est capable de transmettre à ce point d'accès. Par conséquent, l'intention du réglage RxSOP est de faire correspondre la taille de la cellule de réception à la plage de balises du point d'accès. Gardez à l'esprit qu'un périphérique client (valide) n'a pas toujours une ligne de vue directe vers le point d'accès, le signal est souvent atténué par les utilisateurs qui sont face à l'antenne ou qui transportent leurs périphériques dans des sacs ou des poches.
Configuration de RxSOP
RxSOP est configuré par profil RF.
Pour chaque bande, des seuils prédéfinis (Faible/Moyen/Élevé) définissent une valeur dBm prédéfinie. La recommandation ici est de toujours utiliser des valeurs personnalisées, même si la valeur prévue est parmi les préréglages disponibles, ce qui rend la configuration plus lisible.
Remarque : les modifications RxSOP ne nécessitent pas de réinitialisation radio et peuvent être effectuées à la volée.
En général, utiliser un périphérique au maximum de ses capacités documentées est une mauvaise idée. Les fiches signalent la vérité, mais les chiffres mentionnés peuvent être dans des conditions d'activité spécifiques. Les contrôleurs sans fil sont testés et certifiés pour prendre en charge un certain nombre de clients et de points d'accès, et un certain débit, mais cela ne suppose pas que les clients sont en itinérance chaque seconde, que vous pouvez avoir configuré des listes de contrôle d'accès uniques extrêmement longues pour chaque client ou activé toutes les fonctionnalités de surveillance disponibles. Il est donc important d'examiner tous les aspects attentivement afin de s'assurer que le réseau évolue pendant les heures de pointe et de conserver une marge de sécurité pour la croissance future.
L'une des premières tâches à effectuer pour déployer un réseau consiste à établir un budget et à commander la quantité d'équipement appropriée. Le facteur variable le plus important est le nombre et le type de points d'accès et d'antennes. Les solutions sans fil doivent toujours être basées sur une conception de radiofréquence, cependant (et malheureusement), il s'agit très souvent de la deuxième étape du cycle de vie du projet. Dans le cas de déploiements d'entreprise en intérieur simples, il existe de nombreuses techniques d'estimation qui peuvent, à un niveau de certitude raisonnable, prédire combien de points d'accès peuvent être nécessaires avant même qu'un architecte sans fil ne se penche sur les plans d'étage. Les modèles prédictifs peuvent également être très utiles dans ce cas.
Pour les installations plus complexes, telles que les réseaux industriels, extérieurs ou publics de grande taille, ou partout où des antennes externes sont nécessaires, les techniques d'estimation simples sont souvent inadéquates. Un certain niveau d'expérience est requis avec des installations similaires précédentes pour estimer adéquatement le type et la quantité d'équipement nécessaire. Une visite sur site par un architecte sans fil est le strict minimum pour comprendre la disposition d'un site ou d'une installation complexe.
Cette section fournit des directives sur la façon de déterminer le nombre minimum de points d'accès et d'antennes pour le déploiement donné. Les quantités finales et les emplacements de montage spécifiques seront toujours déterminés par le biais d'une analyse des besoins et d'un processus de conception radio.
La nomenclature initiale doit être basée sur deux facteurs : le type d'antennes et la quantité d'antennes.
Type d'antennes
Il n'y a pas de raccourci ici. Le type d'antenne est déterminé par la zone à couvrir et par les options de montage disponibles dans cette zone. Il n'est pas possible de déterminer cela sans une compréhension de l'espace physique, ce qui signifie qu'une visite de site est requise par une personne ayant une compréhension des antennes et de leurs modèles de couverture.
Nombre d'antennes
La quantité d’équipement nécessaire peut être déduite d’une compréhension du nombre attendu de connexions client.
Périphériques par personne
Le nombre d'utilisateurs humains peut être déterminé par la capacité d'accueil d'un site, ou le nombre de billets vendus, ou le nombre attendu de visiteurs sur la base de statistiques historiques. Chaque utilisateur humain peut transporter plusieurs périphériques et il est courant de supposer que chaque utilisateur possède plus d'un périphérique, bien que la capacité d'un utilisateur humain à utiliser activement plusieurs périphériques en même temps soit discutable. Le nombre de visiteurs qui se connectent activement au réseau dépend également du type d'événement et/ou de déploiement.
Exemple 1 : il est normal qu'un stade de 80 000 places ne dispose pas de 80 000 appareils connectés, ce pourcentage est généralement beaucoup plus faible. Des taux d'utilisateurs connectés de 20 % ne sont pas rares lors d'événements sportifs, ce qui signifie que pour l'exemple du stade de 80 000 places, le nombre attendu d'appareils connectés peut être de 16 000 (80 000 x 20 % = 16 000). Ce nombre dépend également du mécanisme d'intégration utilisé. Si l'utilisateur doit effectuer une action (par exemple, cliquer sur un portail Web), les chiffres sont inférieurs à ceux qui s'appliquent lorsque l'intégration de l'appareil est automatique. L'intégration automatique peut être aussi simple qu'une clé prépartagée dont on s'est souvenu lors d'un événement précédent, ou quelque chose de plus avancé comme l'utilisation d'OpenRoaming qui intègre des périphériques sans interaction de l'utilisateur. Les réseaux OpenRoaming peuvent entraîner des taux de consommation bien supérieurs à 50 %, ce qui peut avoir un impact significatif sur la planification des capacités.
Exemple 2 : il est raisonnable de s'attendre à ce qu'une conférence technologique ait un taux de connexion utilisateur élevé. Les participants à la conférence passent plus de temps à se connecter au réseau et s'attendent à pouvoir accéder à leur messagerie électronique et effectuer des tâches quotidiennes tout au long de la journée. Il est également plus probable que ce type d'utilisateur connecte plusieurs périphériques au réseau, bien que sa capacité à utiliser plusieurs périphériques simultanément reste douteuse. Pour les conférences technologiques, l'hypothèse est que 100 % des visiteurs se connectent au réseau, ce nombre peut être inférieur en fonction du type de conférence.
Dans les deux exemples, la clé est de comprendre le nombre attendu de périphériques connectés et il n'existe pas de solution unique pour chaque grand réseau public. Dans les deux cas, une antenne est connectée à une radio et ce sont les périphériques clients (et non les utilisateurs humains) qui se connectent à cette radio. Par conséquent, les périphériques clients par radio sont une mesure utilisable.
Périphériques par radio
Les points d'accès Cisco ont un nombre maximal de clients de 200 périphériques connectés par radio pour les points d'accès Wi-Fi 6 et de 400 périphériques par radio pour les points d'accès Wi-Fi 6E. Cependant, il n'est pas recommandé de concevoir un nombre maximal de clients. À des fins de planification, il est recommandé de maintenir le nombre de clients par radio bien en dessous de 50 % de la capacité maximale du point d'accès. En outre, le nombre de radios dépend du type de point d'accès et d'antenne utilisé. La section relative à la fréquence simple ou double 5 GHz l'étudie plus en détail.
À ce stade, il est conseillé de diviser le réseau en zones distinctes, avec le nombre de périphériques prévu par zone. Rappelez-vous que cette section vise à estimer un nombre minimum de points d'accès et d'antennes.
Prenons un exemple de trois zones de couverture distinctes, le nombre de clients prévu est fourni pour chaque zone et une valeur (saine) de 75 clients par radio est utilisée pour estimer le nombre de radios nécessaires.
Ces chiffres initiaux doivent maintenant être combinés avec la compréhension des types de points d'accès et d'antennes qui sont déployés dans chaque zone, et si une ou deux fréquences de 5 GHz sont utilisées. Les calculs 6 GHz suivent la même logique que les calculs 5 GHz. 2,4 GHz n'est pas pris en compte dans cet exemple.
Supposons que chacune des trois zones utilise une combinaison d'antenne de raccordement 2566P et d'antenne de stade 9104, avec une combinaison de 5 GHz simple et double - ce scénario est utilisé à des fins d'illustration.
Chaque zone répertorie le type d'antennes et de points d'accès requis. Notez que dans le cas d'un double 5 GHz, le rapport est de deux antennes pour un point d'accès.
Cette section présente une approche permettant d'estimer le nombre initial d'antennes et de points d'accès nécessaires à un déploiement. L'estimation nécessite une compréhension des zones physiques, des options de montage possibles dans chaque zone, du type d'antennes à utiliser dans chaque zone et du nombre de périphériques clients attendus.
Chaque déploiement est différent et un équipement supplémentaire est souvent nécessaire pour couvrir des domaines spécifiques ou difficiles. Ce type d'estimation ne tient compte que de la capacité du client (et non de la couverture) et sert à décrire l'ampleur de l'investissement nécessaire. L'emplacement final des points d'accès/antennes et le nombre total d'équipements sont toujours soumis à une compréhension approfondie du cas d'utilisation et à une vérification sur site par un professionnel sans fil expérimenté.
Débit attendu
Chaque canal sans fil peut offrir une quantité de capacité disponible qui est généralement traduite en débit. Cette capacité est partagée entre tous les périphériques connectés à la radio, ce qui signifie que les performances de chaque utilisateur diminuent à mesure que de nouvelles connexions utilisateur sont ajoutées à la radio. Cette baisse des performances n'est pas linéaire et dépend également du nombre exact de clients connectés.
Les capacités du client varient selon les périphériques en fonction du chipset client et du nombre de flux spatiaux pris en charge par le client. Les débits de données client maximaux pour chaque nombre de flux spatiaux pris en charge sont répertoriés dans le tableau ci-dessous.
Les débits indiqués sont des débits MCS (Modulation and Coding Scheme) maximaux théoriques dérivés de la norme 802.11 et supposent un rapport signal sur bruit (SNR) > 30dBm. L'objectif principal de la conception de réseaux sans fil performants est d'atteindre ce niveau de SNR pour tous les clients, où qu'ils se trouvent, ce qui est rarement le cas. Les réseaux sans fil sont dynamiques par nature et utilisent des fréquences sans licence. Diverses interférences non contrôlées ont un impact sur le SNR du client, en plus des capacités du client.
Même dans les cas où le niveau requis de SNR est atteint, les débits indiqués précédemment ne tiennent pas compte de la surcharge de protocole. Par conséquent, ils ne correspondent pas directement au débit réel (mesuré par divers outils de test de vitesse). Le monde réel dans son ensemble est toujours inférieur au taux MCS.
Pour tous les réseaux sans fil (y compris les grands réseaux publics), le débit client dépend toujours des éléments suivants :
En raison de la variabilité de ces facteurs, il n'est pas possible de garantir un minimum par client pour l'ensemble des réseaux sans fil, quel que soit le fournisseur d'équipement.
Pour plus d'informations, consultez le Guide de validation du débit Wi-Fi : test et surveillance.
Choisir votre plate-forme WLC peut sembler facile. La première chose à laquelle vous pouvez penser est de regarder le nombre estimé de points d'accès et le nombre de clients que vous souhaitez gérer. La fiche technique de chaque plate-forme WLC contient tous les objets maximum pris en charge sur la plate-forme : ACL, nombre de clients, balises de site, etc. Il s'agit de nombres maximaux littéraux et souvent, il y a une application difficile. Vous ne pouvez pas joindre 6001 AP à un 9800-80 qui ne prend en charge que 6000 AP, par exemple. Mais est-il sage de viser le maximum partout ?
Les contrôleurs sans fil Cisco sont testés pour atteindre ces maximums, mais ils ne peuvent pas nécessairement atteindre tous les maximums documentés dans toutes les conditions en même temps. Prenons l'exemple du débit : un 9800-80 peut atteindre jusqu'à 80 Gbit/s de transfert de données client, mais dans le cas où chaque paquet client est la taille maximale et optimale de 1 500 octets. Avec une combinaison de tailles de paquets, le débit maximal effectif est plus faible. Si vous activez le cryptage DTLS, le débit est encore réduit, de même pour la visibilité des applications. Il est optimiste de s'attendre à plus de 40 Gbit/s sur un 9800-80 dans des conditions réalistes sur un grand réseau doté de nombreuses fonctionnalités. Étant donné que cela varie considérablement en fonction des fonctionnalités utilisées et du type d’activité du réseau, la seule façon d’avoir une idée réelle de la capacité est de mesurer l’utilisation du chemin de données à l’aide de cette commande. Concentrez-vous sur la mesure de charge, qui est un pourcentage du débit maximal que le contrôleur peut transmettre.
WLC#show platform hardware chassis active qfp datapath utilization summary
CPP 0: 5 secs 1 min 5 min 60 min
Input: Total (pps) 9 5 5 8
(bps) 17776 7632 9024 10568
Output: Total (pps) 5 3 3 6
(bps) 11136 11640 11440 41448
Processing: Load (pct) 0 0 0 0
WLC#
De la même manière, le 9800-80 peut parfaitement gérer 6000 points d'accès avec une activité régulière. Cependant, 6 000 points d'accès dans un lieu public tel qu'un stade ou un aéroport ne comptent pas comme activité régulière. Compte tenu de la quantité d'itinérance client et de sondage ambiant, de grands réseaux publics à une échelle maximale peuvent entraîner une utilisation accrue du CPU sur un seul WLC. Si vous ajoutez la surveillance et les déroutements SNMP à envoyer chaque fois que des clients se déplacent, la charge peut rapidement devenir trop importante. L'une des principales caractéristiques d'un grand lieu public ou d'un grand événement est qu'il y a beaucoup plus d'événements d'intégration de clients lorsque les gens se déplacent et s'associent/se dissocient constamment, ce qui entraîne une pression supplémentaire sur le processeur et le plan de contrôle.
De nombreux déploiements ont montré qu'une seule paire de contrôleurs sans fil 9800-80 peut gérer un grand déploiement dans un stade avec plus de 1 000 points d'accès. Il est également courant de distribuer les points d'accès sur deux paires de contrôleurs ou plus pour des événements critiques où le temps de disponibilité et la disponibilité sont des préoccupations principales. Lorsque de grands réseaux sont distribués sur plusieurs WLC, l'itinérance entre contrôleurs devient encore plus complexe. L'itinérance client doit être prise en compte dans des espaces confinés tels qu'un stade.
Voir aussi la section Balise de site dans ce document.
Il est conseillé d'utiliser une paire de commutateurs avec état haute disponibilité (HA SSO), ce qui assure la redondance matérielle mais protège également contre les défaillances logicielles. Avec HA SSO, une panne logicielle sur un périphérique est transparente pour les utilisateurs finaux, car le WLC secondaire prend le relais de manière transparente. Un autre avantage d'une paire d'unités SSO haute disponibilité réside dans les mises à niveau transparentes offertes par la fonctionnalité In-Service Software Upgrade (ISSU).
Si le réseau est assez grand, il est également conseillé d'utiliser un contrôleur supplémentaire (N+1). Il peut servir plusieurs objectifs que l’OSP HA ne peut pas atteindre. Vous pouvez tester une nouvelle version logicielle sur ce WLC avant de mettre à niveau la paire de production (et migrer seulement quelques AP de test vers elle pour tester une section spécifique du réseau). Certaines conditions rares peuvent affecter les deux WLC dans une paire HA (quand le problème est répliqué sur la veille) et ici le N+1 permet d'avoir un WLC sûr dans un scénario actif-actif où vous pourriez progressivement migrer des AP vers et depuis. Il peut également vous servir de contrôleur de mise en service pour configurer de nouveaux points d'accès.
Les 9800-CL sont très évolutifs et puissants. Il est à noter qu'ils ont une capacité de transfert de données beaucoup plus faible (de 2 Gbit/s à 4 Gbit/s pour l'image SR-IOV) ce qui tend à les limiter aux scénarios de commutation locale FlexConnect (et peut-être un petit nombre de points d'accès dans la commutation centrale). Ils peuvent toutefois être utiles en tant que périphériques N+1 lorsque vous avez besoin de contrôleurs supplémentaires pendant une fenêtre de maintenance ou lors du dépannage d'un problème.
Bien que ce document se concentre principalement sur le composant sans fil des grands réseaux événementiels, de nombreux systèmes de prise en charge doivent également être pris en compte au cours de la phase d'évolutivité et de conception. Certains de ces éléments sont traités ici.
Réseau principal
Les grands réseaux sans fil sont généralement déployés en mode de commutation centrale et avec de grands sous-réseaux. Cela implique qu'un très grand nombre d'adresses MAC et d'entrées ARP client sont transmises à l'infrastructure câblée adjacente. Il est essentiel que les systèmes adjacents dédiés aux différentes fonctions L2 et L3 possèdent les ressources adéquates pour gérer cette charge. Dans le cas des commutateurs de couche 2, une configuration courante est le réglage du modèle SDM (Switch Device Manager), qui est responsable de l'allocation des ressources système, l'équilibrage entre les fonctionnalités de couche 2 et de couche 3 dépendant de la fonction du périphérique dans le réseau. Il est important de s'assurer que les périphériques de couche 2 principaux peuvent prendre en charge le nombre d'entrées d'adresses MAC attendu.
NAT de passerelle
L’utilisation la plus courante des réseaux publics consiste à fournir un accès Internet aux visiteurs. Quelque part le long du chemin de données, il doit y avoir un périphérique responsable de la traduction NAT/PAT. Les passerelles Internet doivent disposer des ressources matérielles et de la configuration de pool d'adresses IP nécessaires pour gérer la charge. N'oubliez pas qu'un seul périphérique client sans fil peut être responsable de nombreuses traductions NAT/PAT.
DNS/DHCP
Ces deux systèmes sont essentiels pour garantir une bonne expérience client. Les services DNS et DHCP nécessitent non seulement l’évolutivité appropriée pour gérer la charge, mais également une prise en compte de l’emplacement au sein du réseau. Des systèmes rapides et réactifs, placés au même endroit que le WLC, garantissent la meilleure expérience et évitent de longs délais d'intégration du client.
Portail AAA/Web
Personne n'aime une page Web lente, le choix d'un système approprié et bien adapté pour l'authentification Web externe est important pour une bonne expérience d'intégration du client. De même pour AAA, les serveurs d'authentification RADIUS doivent être capables de faire face aux demandes du système sans fil. Gardez à l'esprit que dans certains cas, la charge peut atteindre un pic pendant des moments clés, par exemple la mi-temps au cours d'un match de football, ce qui peut générer une charge d'authentification élevée en un temps réduit. Il est essentiel de faire évoluer le système pour qu'il soit correctement chargé simultanément. Une attention particulière doit être apportée lors de l'utilisation de fonctionnalités telles que la comptabilité AAA. Évitez à tout prix la comptabilité basée sur le temps et si vous utilisez la comptabilité, essayez de désactiver la comptabilité provisoire. Un autre élément important à prendre en compte est l'utilisation d'équilibreurs de charge, où des mécanismes de ping de session doivent être utilisés pour garantir des flux d'authentification complets. Veillez à conserver le délai d'attente RADIUS à 5 secondes ou plus.
Si vous utilisez un SSID 802.1X avec un grand nombre de clients (par exemple avec OpenRoaming), assurez-vous d'activer 802.11r Fast Transition (FT), sinon les clients peuvent provoquer une tempête d'authentification chaque fois qu'ils se déplacent.
Quelques recommandations pour DHCP :
Il est tentant d'activer de nombreuses options pour bénéficier de toutes les dernières fonctionnalités du Wi-Fi moderne. Cependant, certaines fonctionnalités fonctionnent parfaitement dans les environnements de petite taille, mais ont un impact considérable dans les environnements de grande taille et denses. De même, certaines fonctionnalités peuvent poser des problèmes de compatibilité. Même si les équipements Cisco respectent toutes les normes et offrent une compatibilité avec une grande variété de clients testés, le monde est rempli de périphériques clients uniques qui ont parfois des versions logicielles de pilotes avec des bogues ou une incompatibilité avec certaines fonctionnalités.
Selon le niveau de contrôle que vous exercez sur les clients, vous devez être prudent. Par exemple, si vous déployez le Wi-Fi pour le grand rassemblement annuel de votre entreprise, vous savez que la plupart des clients sont des périphériques de l'entreprise et vous pouvez planifier l'ensemble de fonctionnalités pour l'activer en conséquence. D'un autre côté, si vous utilisez un réseau Wi-Fi dans un aéroport, votre niveau de satisfaction des clients est directement lié à leur capacité à se connecter à votre réseau, et vous n'avez aucun contrôle sur les appareils clients que les gens peuvent utiliser.
La recommandation a toujours été d'utiliser le moins de SSID possible. Ceci est exacerbé dans les réseaux à haute densité car la possibilité d'avoir plusieurs AP sur le même canal est presque garantie. En général, de nombreux déploiements utilisent trop de SSID, reconnaissent qu'ils en ont trop, mais déclarent qu'ils ne peuvent pas en utiliser moins. Vous devez effectuer une étude commerciale et technique pour chaque SSID afin de comprendre les similitudes entre les SSID et les options de regroupement de plusieurs SSID en un seul.
Passons en revue quelques types de sécurité/SSID et leur utilisation.
Un SSID de clé pré-partagée est extrêmement populaire en raison de sa simplicité. Vous pouvez soit imprimer la clé quelque part sur des badges ou sur du papier ou des panneaux, soit la communiquer d'une manière ou d'une autre aux visiteurs. Parfois, un SSID de clé pré-partagée est préférable même pour un SSID invité (à condition que la clé soit bien connue de tous les participants). Il peut aider à empêcher l'épuisement du pool DHCP en raison de la nature délibérée de la connexion. Les périphériques qui passent par ne se connectent pas automatiquement au réseau et ne peuvent donc pas utiliser une adresse IP du pool DHCP.
La clé WPA2 PSK ne garantit pas la confidentialité, car le trafic peut facilement être décrypté, car tout le monde utilise la même clé. Au contraire, WPA3 SAE assure la confidentialité et même si tout le monde possède la clé principale, il n'est pas possible de dériver la clé de chiffrement utilisée par d'autres clients.
WPA3 SAE est le meilleur choix pour la sécurité et de nombreux smartphones, ordinateurs portables et systèmes d'exploitation le prennent en charge. Certains périphériques IoT ou dispositifs portables intelligents peuvent encore avoir une prise en charge limitée et les clients plus anciens en général sont susceptibles de rencontrer des problèmes s'ils ne reçoivent pas les pilotes ou les mises à jour de microprogramme récents.
Il peut être tentant d'envisager un mode de transition WPA2 PSK-WPA3 SAE SSID pour simplifier les choses, mais cela a été montré sur le terrain pour causer des problèmes de compatibilité. Les clients mal programmés n'attendent pas deux types de méthodes de clé partagée sur le même SSID. Si vous souhaitez proposer les options WPA2 et WPA3, il est conseillé de configurer des SSID distincts.
WPA3 Enterprise (utilisant le cryptage AES 128 bits) est techniquement la même méthode de sécurité (au moins telle qu'annoncée dans les balises SSID) que WPA2 Enterprise, ce qui permet une compatibilité maximale.
Pour la norme 802.1X, un SSID de mode de transition est conseillé car aucun problème de compatibilité n'est détecté avec les périphériques récents (des problèmes ont été signalés avec Android 8 ou les anciennes versions d'Apple IOS). IOS XE 17.12 et versions ultérieures permettent d'avoir un seul SSID Transition Enterprise où seul WPA3 est utilisé et annoncé sur 6 GHz tandis que WPA2 est proposé en option sur la bande 5 GHz. Nous vous conseillons d'activer WPA3 sur les SSID d'entreprise dès que possible.
Les SSID d'entreprise WPA peuvent être utilisés pour les utilisateurs clés pour lesquels il existe une base de données de fournisseur d'identité qui permet de renvoyer des paramètres AAA (tels que des VLAN ou des ACL) en fonction de l'identité de l'utilisateur. Ces types de SSID peuvent inclure l'eduroam ou l'OpenRoaming qui combinent les avantages des SSID invités (en permettant aux visiteurs de se connecter facilement sans entrer d'informations d'identification) avec la sécurité d'un SSID d'entreprise. Ils réduisent considérablement la complexité de l'intégration généralement associée à la norme 802.1X, car les clients n'ont rien à faire pour rejoindre l'eudroam ou le SSID OpenRoaming, à condition d'avoir un profil sur leur téléphone (qui peut être facilement fourni via une application événementielle)
Un SSID invité est souvent synonyme d'authentification ouverte. Vous pouvez ajouter un portail Web (ou non) derrière lui (selon la convivialité ou les exigences locales souhaitées) sous ses différentes formes : authentification Web externe, locale ou centrale, mais le concept reste le même. Lors de l'utilisation d'un portail invité, l'évolutivité peut rapidement devenir un problème dans les grands environnements. Consultez la section Configuration pour l'évolutivité pour plus d'informations sur ce sujet.
Les opérations 6 GHz nécessitent que votre SSID invité utilise l'option Enhanced Open plutôt que l'option Open. Cela permet à tout le monde de se connecter, mais fournit la confidentialité (une meilleure confidentialité que WPA2-PSK même !) et le cryptage, le tout sans fournir aucune clé ou informations d'identification lors de la connexion sur le SSID. Les principaux fournisseurs de smartphones et systèmes d'exploitation prennent désormais en charge Enhanced Open, mais cette prise en charge n'est pas encore très répandue dans la base de clients sans fil. Le mode de transition Enhanced Open offre une bonne option de compatibilité dans laquelle les périphériques compatibles se connectent au SSID invité chiffré (à l'aide de l'option Enhanced Open), et les périphériques non compatibles continuent d'utiliser le SSID simplement ouvert comme auparavant. Bien qu'un seul SSID soit remarqué par les utilisateurs finaux, sachez que ce mode de transition diffuse deux SSID dans vos balises (bien qu'un seul soit visible).
Dans les grands événements et les lieux, il est souvent conseillé de configurer un PSK sur le SSID invité plutôt que de le laisser purement ouvert (le mode Enhanced Open Transition serait préférable, mais cela crée deux SSID et la compatibilité client doit encore être largement prouvée). Bien que cela rende l'intégration un peu plus compliquée (vous devez imprimer le PSK sur les badges ou les billets des gens ou l'annoncer d'une manière ou d'une autre), cela évite aux clients occasionnels de se connecter au réseau automatiquement sans que l'utilisateur final n'ait l'intention d'utiliser le réseau. De plus en plus de fournisseurs de systèmes d'exploitation mobiles ne donnent plus la priorité aux réseaux ouverts et affichent un avertissement de sécurité. Dans d'autres situations, vous pouvez vouloir un nombre maximal de passants à se connecter et donc ouvert est le meilleur choix.
Il ne peut pas y avoir de réponse satisfaisante à la question du nombre de SSID que vous devez respecter. L'effet dépend du débit de données minimum configuré, du nombre de SSID et du nombre de points d'accès diffusant sur le même canal. Lors d'un grand événement Cisco, l'infrastructure sans fil utilisait 5 SSID : le PSK WPA2 principal, un SSID SAE WPA 3 pour la sécurité et la couverture 6 GHz, un SSID Eduroam d'entreprise pour la facilité d'accès pour les participants du monde de l'enseignement, un SSID OpenRoaming pour accueillir en toute sécurité toute personne ayant configuré le Wi-Fi à partir de l'application de l'événement et un SSID 802.1X distinct pour l'accès du personnel et du réseau d'administration. C'était déjà presque trop, mais l'effet est resté raisonnable grâce au grand nombre de canaux disponibles, et aux antennes directionnelles utilisées pour réduire au maximum le chevauchement des canaux.
Pendant un certain temps, il a été conseillé de limiter le service 2,4 GHz à un SSID distinct « hérité » annoncé uniquement dans 2,4 GHz. Cela devient de moins en moins populaire car les gens cessent de fournir un service 2,4 GHz. Cependant, l'idée peut et doit persister, mais avec d'autres concepts. Vous voulez déployer WPA3 SAE, mais le mode de transition vous pose des problèmes de compatibilité avec vos clients ? Disposez d'un SSID « hérité » WPA2 et d'un SSID SAE WPA3 principal. En nommant le SSID le moins performant « hérité », il n'attire pas les clients et vous êtes en mesure de voir facilement combien de clients font encore face à des problèmes de compatibilité avec votre SSID principal et ont besoin de cet hérité.
Mais pourquoi s'arrêter là ? Vous avez entendu des rumeurs selon lesquelles la norme 802.11v posait des problèmes avec certains clients plus anciens ou que certains pilotes clients n'aimaient pas que Device Analytics soit activé sur le SSID ? Activez toutes ces fonctionnalités pratiques sur votre SSID principal avancé et laissez-les sur votre SSID hérité/compatibilité. Cela vous permet de tester le déploiement de nouvelles fonctionnalités sur votre SSID principal tout en fournissant un SSID de compatibilité maximale pour les clients vers lesquels revenir. Ce système ne fonctionne que de cette façon. Si vous nommez votre SSID basé sur la compatibilité comme principal et que vous nommez votre SSID avancé avec quelque chose comme « <name>-WPA3 », vous remarquerez que les personnes s'en tiennent à l'ancien SSID auquel elles étaient habituées, et que l'adoption reste faible pendant de nombreuses années sur votre « nouveau » SSID. Le déploiement de nouveaux paramètres ou de nouvelles fonctionnalités entraîne des résultats peu concluants en raison du nombre moins élevé de clients qui s'y connectent.
Les balises de site sont un élément de configuration qui permet de regrouper les points d'accès qui partagent les mêmes paramètres FlexConnect ainsi que les paramètres de profil de jointure AP (tels que les informations d'identification, les détails SSH et le code de pays). Pourquoi les balises de site sont-elles importantes ? Les balises de site définissent également la manière dont les points d'accès sont gérés par le processus WNCD dans le Catalyst 9800. Voici quelques exemples à titre d'illustration :
Pour les déploiements géographiquement étendus comportant de nombreux sites et de nombreuses balises de site, il est recommandé de multiplier le nombre de balises de site par le nombre de processus WNCD sur la plate-forme que vous utilisez.
Cependant, pour les réseaux événementiels qui sont généralement situés sous un même toit ou dans plusieurs bâtiments d'un même site, il est recommandé de faire correspondre le nombre d'étiquettes de site au nombre exact de WNCD sur la plate-forme donnée. L'objectif final est que chaque processus WNCD (et donc chaque coeur de processeur alloué aux tâches sans fil) gère un nombre d'événements d'itinérance client à peu près similaire, de sorte que la charge soit équilibrée sur tous les coeurs de processeur.
Au coeur, ce qui compte vraiment est de regrouper les AP qui sont dans le même voisinage physique dans la même balise de site, de sorte que les événements d'itinérance fréquents du client entre ces AP restent dans le même processus CPU. Cela signifie que même si vous avez un seul grand lieu, il est recommandé de diviser le lieu en plusieurs balises de site (autant que vous avez des processus WNCD qui gèrent le lieu) et de regrouper les points d'accès aussi logiquement que possible en ces groupes pour former des groupes de voisinage RF logiques qui sont également répartis uniformément entre les balises de site.
À partir de IOS XE 17.12, un algorithme d'équilibrage de charge peut être activé de sorte que le WLC regroupe les AP en fonction de leur proximité RF. Cela vous enlève la charge des mains et crée une répartition équilibrée des points d'accès à travers le processus WNCD. Cela peut être utile si vous ne pouvez pas facilement dessiner des groupes de points d'accès voisins à placer dans la quantité correcte de balises de site. Une spécificité de cet algorithme est qu'il attribue des AP au processus WNCD indépendamment de leur attribution de balise de site, ce qui signifie qu'il ne change pas l'attribution de balise de site de l'AP. Vous pouvez ensuite attribuer des balises de site purement basiques sur une logique de configuration et laisser l'algorithme équilibrer les AP entre les CPU de la manière la plus optimale.
La fonction d'équilibrage de charge automatique AP basée sur RF est documentée dans le Guide de configuration du logiciel du contrôleur sans fil de la gamme Cisco Catalyst 9800, Cisco IOS XE Dublin 17.12.x.
L'utilisation CPU des processus WNCD doit être surveillée lors d'événements importants. Si un ou plusieurs processus WNCD présentent une utilisation élevée, il se peut que le WNCD traite trop de points d'accès ou de clients, ou que les points d'accès ou les clients qu'il gère soient plus occupés que la moyenne (si tous sont constamment en itinérance, par exemple dans un aéroport).
Une fois que le réseau est opérationnel, vous devez le surveiller de près pour détecter les problèmes. Dans un environnement de bureau standard, les utilisateurs connaissent le réseau et peuvent soit s'entraider en cas de problème, soit ouvrir un ticket d'assistance interne. Dans un lieu plus grand avec de nombreux visiteurs viennent vous voulez vous concentrer sur les plus grands problèmes plutôt que sur des individus spécifiques qui peuvent juste avoir une mauvaise configuration, donc vous devez avoir la bonne stratégie de surveillance.
Il est possible de surveiller le réseau à partir de l'interface de ligne de commande ou de l'interface graphique du Catalyst 9800, mais ce n'est pas le meilleur outil pour effectuer une surveillance quotidienne. C'est le plus direct lorsque vous avez déjà des soupçons et/ou des données sur le problème et que vous voulez exécuter des commandes spécifiques en temps réel. Les principales options de surveillance sont Cisco Catalyst Center ou éventuellement un tableau de bord télémétrique personnalisé. Il est possible d'utiliser des outils de surveillance tiers, mais lorsque ceux-ci utilisent SNMP comme protocole, les données sont loin d'être en temps réel et les outils de surveillance tiers habituels ne sont pas assez granulaires avec toutes les spécificités des fournisseurs sans fil. Si vous choisissez le protocole SNMP, assurez-vous d'utiliser SNMPv3 car SNMPv2 a une sécurité obsolète.
Cisco Catalyst Center est la meilleure option car elle vous permet de gérer votre réseau en plus de le surveiller. Outre la surveillance, il permet également de dépanner en direct et de résoudre de nombreuses situations.
Un tableau de bord de télémétrie personnalisé peut être utile si vous souhaitez afficher des mesures et des widgets très spécifiques sur un écran de façon permanente pour un centre d'exploitation du réseau ou un centre d'exploitation du réseau. S'il existe des zones très spécifiques de votre réseau que vous souhaitez surveiller, vous pouvez créer des widgets dédiés pour afficher les métriques du réseau dans ces zones de la manière de votre choix.
Pour les réseaux d’événements, il est conseillé de surveiller les statistiques RF à l’échelle du système, en particulier l’utilisation des canaux et le nombre de clients par point d’accès. Cela peut se faire à partir de l'interface de ligne de commande, mais ne fournit qu'un instantané à un moment donné. L'utilisation du canal est en général dynamique et mieux adaptée à la surveillance dans le temps. Pour ce type de surveillance, un tableau de bord personnalisé est généralement une bonne approche. D'autres mesures plus utiles lorsqu'elles sont surveillées au fil du temps peuvent inclure l'utilisation du WNCD, le nombre de clients et leur état, et des mesures spécifiques au site. La surveillance de l'utilisation et/ou de la charge d'une zone ou d'un emplacement spécifique, par exemple la salle X dans le cas d'un centre de conférence, ou la zone d'occupation des sièges Y dans le cas d'un lieu d'événement, est un exemple de mesures spécifiques.
Pour la surveillance personnalisée, les méthodes de télémétrie en continu NETCONF RPC (pull) et NETCONF (push) sont valides, bien que l'utilisation de la télémétrie en continu personnalisée en association avec Catalyst Center nécessite une certaine diligence, car il existe une limite au nombre d'abonnements télémétriques qui peuvent être configurés sur le WLC et Catalyst Center préremplit (et utilise) bon nombre d'entre eux.
Lors de l'utilisation de NETCONF RPC, certains tests sont nécessaires pour s'assurer que le WLC n'est pas surchargé avec des requêtes NETCONF. Il est particulièrement important de garder à l'esprit les taux d'actualisation pour certains points de données et le temps nécessaire pour que les données soient renvoyées. Par exemple, l'utilisation du canal AP est actualisée (d'AP à WLC) toutes les 60 secondes, et la collecte de métriques RF pour 1000 AP (à partir de WLC) peut prendre plusieurs secondes. Dans cet exemple, interroger le WLC toutes les 5 secondes ne serait pas utile, une meilleure approche serait de collecter des métriques RF à l'échelle du système toutes les 3 minutes.
NETCONF est toujours préférable à SNMP.
Enfin, la surveillance des composants du réseau principal ne peut pas être négligée, notamment l’utilisation du pool DHCP, le nombre d’entrées NAT sur les routeurs principaux, etc. Comme la défaillance de l'un de ces éléments peut facilement être la cause d'une panne sans fil.
Il existe quelques scénarios classiques où une surveillance excessive crée des problèmes :
Si vous avez un SSID utilisant l'authentification Web, un problème peut être celui des clients qui se connectent à ce SSID et obtiennent une adresse IP mais ne s'authentifient jamais parce que l'utilisateur final n'essaie pas activement de se connecter (le périphérique connecté automatiquement). Le contrôleur doit intercepter chaque paquet HTTP envoyé par les clients qui sont dans l'état appelé authentification Web en attente et cela utilise des ressources WLC. Une fois que votre réseau est en cours d'exécution, surveillez régulièrement le nombre de clients en attente d'authentification Web à un moment donné afin de comparer leur état à celui des numéros de référence. Même chose pour les clients dans l'état IP Learn. Vous avez toujours des clients dans cet état lorsqu'ils exécutent leur processus DHCP, mais le fait de connaître le bon numéro de fonctionnement de votre réseau permet de définir une ligne de base et d'identifier les moments où ce numéro peut être trop élevé et indiquer un problème plus important.
Pour les grands sites, il n'est pas rare de voir ~10 % des clients dans l'état Web Auth Pending.
Une fois que le réseau est opérationnel, deux types de plaintes se présentent généralement à l'utilisateur final : il ne peut pas se connecter ou a du mal à se connecter (déconnexions), ou le Wi-Fi fonctionne plus lentement que prévu. Ce dernier est très difficile à identifier car il dépend d'abord des attentes de la vitesse ainsi que de la densité en temps réel d'une zone donnée. Citons quelques ressources qui peuvent vous être utiles pour la surveillance quotidienne d'un grand réseau de salles publiques.
Guide de validation du débit Wi-Fi : test et surveillance. Ce document cisco.com explique comment surveiller un réseau pour détecter les problèmes de débit. Elle consiste à déterminer le débit auquel les clients peuvent raisonnablement s'attendre sur votre réseau lorsque les choses sont calmes et à estimer la diminution de ces estimations à mesure que le nombre de clients et la charge augmentent. Il s'agit d'une étape clé pour déterminer si une plainte de l'utilisateur final concernant le débit est légitime d'un point de vue technique ou non, et si vous devez reconcevoir cette zone pour la charge à laquelle elle est potentiellement confrontée.
Lorsque des clients signalent des problèmes de connectivité, après que cela a été isolé et clarifié avec Catalyst Center, jetez un oeil à Dépanner le flux des problèmes de connectivité du client Catalyst 9800.
Enfin, en tant que bonne pratique générale, gardez un oeil sur les mesures clés globales du WLC avec l'aide de surveiller les indicateurs de performance clés (KPI) Catalyst 9800 (Key Performance Indicators).
Évitez de créer des interfaces SVI pour les VLAN clients sur le WLC. Les administrateurs habitués aux anciens WLC AireOS ont tendance à avoir le réflexe de créer une interface de couche 3 pour chaque VLAN client, mais cela est rarement nécessaire. Les interfaces augmentent le vecteur d'attaque du plan de contrôle et peuvent nécessiter davantage de listes de contrôle d'accès avec des entrées plus complexes. Le WLC est accessible, par défaut, sur n'importe laquelle de ses interfaces, plus de travail est nécessaire pour protéger un WLC avec plus d'interfaces. Il complique également le routage, il est donc préférable de l'éviter.
Depuis IOS XE 17.9, les interfaces SVI ne sont plus nécessaires pour la surveillance mDNS ou les scénarios de relais DHCP. Il y a donc très peu de raisons de configurer une interface SVI dans un VLAN client.
Pour les grands réseaux publics, il est conseillé de modifier l'intervalle de sonde agrégée par défaut envoyé par les points d'accès. Par défaut, les AP mettent à jour le WLC toutes les 500 ms sur les sondes envoyées par les clients. Ces informations sont utilisées par les fonctions d'équilibrage de charge, de sélection de bande, d'emplacement et 802.11k. S'il y a beaucoup de clients et de points d'accès, il est conseillé de modifier l'intervalle de mise à jour pour éviter les problèmes de performances du plan de contrôle dans le WLC. Le paramètre recommandé est de 50 réponses de sonde agrégées toutes les 64 secondes. Assurez-vous également que vos points d'accès ne signalent pas les sondes à partir des adresses MAC administrées localement car il n'y a pas de suivi ponctuel de ceux qui considèrent qu'un seul client pourrait utiliser de nombreux MAC administrés localement lors de l'analyse pour éviter le suivi à dessein.
wireless probe limit 50 64000
no wireless probe localy-administered-mac
De nombreux administrateurs réseau refusent toujours l'IPv6. Il n'y a que deux options acceptables avec IPv6 : soit vous le prenez en charge et devez déployer une configuration adéquate partout, soit vous ne le faites pas et vous devez le bloquer. Il n'est pas acceptable de ne pas se soucier d'IPV6 et de le laisser activé à certains endroits sans configuration appropriée. Cela laisserait le monde de l'IP dans lequel votre sécurité réseau serait aveugle.
Si vous activez IPv6, il est obligatoire de configurer une adresse IPv6 virtuelle dans la plage 2001:DB8::/32 (c'est une étape souvent oubliée).
Il est important de noter que, bien qu'IPv6 repose beaucoup sur la multidiffusion pour ses opérations de base, il peut toujours fonctionner si vous désactivez le transfert de multidiffusion sur le WLC. Le transfert multidiffusion fait référence au transfert de données multidiffusion client et non à la découverte de voisins, aux sollicitations de routeur et aux autres protocoles requis pour faire fonctionner IPv6.
Si votre connexion Internet ou votre fournisseur d'accès Internet fournit des adresses IPv6, vous pouvez décider d'autoriser l'IPv6 pour vos clients. C'est une décision différente de l'activation d'IPv6 dans votre infrastructure. Vos points d'accès peuvent continuer à fonctionner en IPv4 uniquement, mais continuent à transporter le trafic de données client IPv6 à l'intérieur de leurs paquets CAPWAP. L'activation d'IPv6 sur votre infrastructure nécessite également que vous réfléchissiez à la protection de l'accès client à vos points d'accès, WLC et sous-réseau de gestion.
Vérifiez la fréquence d'annonce de routeur de vos passerelles client. Le WLC offre une politique de limitation d'annonce de routeur qui limite le nombre d'annonces de routeur transmises aux clients, car celles-ci peuvent parfois être bavardes.
En général, il est préférable de maintenir mDNS complètement désactivé dans un déploiement de grande envergure.
Le pontage mDNS fait référence au concept qui consiste à permettre l’envoi des paquets mDNS sous forme de multidiffusion de couche 2 (donc vers l’ensemble du sous-réseau client). mDNS est devenu populaire dans les environnements domestiques et de petits bureaux où il est très pratique de découvrir des services dans votre sous-réseau. Cependant, dans un grand réseau, cela signifie envoyer le paquet à tous les clients du sous-réseau, ce qui est problématique du point de vue du trafic dans un grand réseau public. D'un autre côté, le pontage ne cause aucune surcharge au point d'accès ou au processeur du WLC car il est considéré comme un trafic de données normal. Le proxy mDNS ou la passerelle mDNS se réfère au concept d'utilisation du WLC comme un répertoire pour tous les services du réseau. Cela permet d'offrir des services mDNS au-delà des limites de la couche 2 de manière efficace et de réduire également le trafic global. Avec la passerelle mDNS, une imprimante, par exemple, envoie son annonce de service périodique via mDNS avec une multidiffusion de couche 2 de même sous-réseau, mais le WLC ne la transfère pas à tous les autres clients sans fil. Au lieu de cela, il prend note du service offert et l'enregistre dans son répertoire de services. Chaque fois qu'un client demande des services d'un type donné disponibles, le WLC répond au nom de l'imprimante avec l'annonce. Cela évite à tous les autres clients sans fil d'entendre parler de demandes et d'offres de services inutiles et d'obtenir une réponse uniquement lorsqu'ils demandent quels services existent. Bien qu'il améliore considérablement l'efficacité du trafic, il provoque une surcharge sur le WLC (ou l'AP, si vous comptez sur AP mDNS dans les scénarios FlexConnect) en raison de la surveillance du trafic mDNS. Si vous utilisez une passerelle mDNS, il est essentiel de garder un oeil sur l'utilisation du processeur.
Le pontage entraîne une tempête de multidiffusion dans votre grand sous-réseau et la surveillance (avec la fonctionnalité de passerelle mDNS) entraîne une utilisation importante du processeur. Désactivez-le globalement ainsi que sur chaque WLAN.
Certains administrateurs activent mDNS parce que certains services en ont besoin à des endroits spécifiques, mais il est important de comprendre la quantité de trafic indésirable que cela ajoute. Les appareils Apple font souvent de la publicité et recherchent constamment des services, ce qui provoque un bruit de fond de requêtes mDNS même lorsque personne n'utilise un service particulier. Si vous devez autoriser mDNS en raison d'une certaine exigence commerciale, activez-le globalement, puis activez-le uniquement sur le WLAN où il est requis et essayez de limiter l'étendue où mDNS est autorisé.
Dans les grands réseaux publics, de nombreuses choses peuvent se produire sans que l’administrateur ne le sache. Les gens demandent des branchements de câble dans des endroits aléatoires, ou branchent un commutateur de qualité domestique dans un endroit pour avoir plus de ports de commutation pour leurs manigances, ... Ils essaient généralement ces choses sans demander d'abord la permission. Cela signifie que, même en l'absence d'un mauvais acteur, la sécurité peut déjà être compromise par des clients et/ou des employés qui le souhaitent. Il devient alors très facile pour un mauvais acteur de se promener et de trouver un câble à brancher et de voir quel accès réseau il obtient à partir de là. La configuration de l'authentification 802.1X sur tous les ports de commutation est presque indispensable pour maintenir une sécurité correcte dans un grand réseau. Catalyst Center peut vous aider à automatiser ce déploiement et des exceptions peuvent être faites pour des périphériques spécifiques qui ne prennent pas en charge l'authentification 802.1X, mais essayez de vous fier le moins possible à l'authentification basée sur MAC, car ce n'est (sincèrement) pas de la vraie sécurité.
Votre stratégie de lutte contre les escrocs dépend de quelques facteurs. De nombreux administrateurs optent instinctivement pour des règles très strictes, mais les principales questions sont les suivantes :
En ce qui concerne l'impact de la détection des systèmes non fiables, les modèles 9120 et 9130 disposent d'une puce CleanAir dédiée qui se charge de l'analyse hors canal (et donc de la détection des systèmes non fiables), ce qui rend l'impact presque nul sur la radio du service client. Les points d'accès de la gamme 9160 avec leur puce CleanAir Pro ont une capacité de balayage sans impact similaire, mais d'autres points d'accès qui n'ont pas la puce CleanAir doivent prendre leur radio de service client hors canal pour rechercher les indésirables ou pour faire le confinement. Le modèle de point d'accès que vous utilisez joue donc un rôle dans la décision d'utiliser des points d'accès en mode surveillance dédiés pour la détection et le confinement des systèmes non fiables ou non.
Remarque : les téléphones mobiles partageant un point d'accès Wi-Fi fonctionnent en mode « infrastructure », tout comme les points d'accès traditionnels, le mode « ad hoc » fait référence à une connexion directe entre les appareils mobiles et est moins courant.
La limitation des systèmes non fiables est souvent interdite par les réglementations. Il est donc essentiel de vérifier auprès de votre autorité locale avant de l'activer. Le fait de contenir un client indésirable ne signifie pas qu'il doit être arrêté à distance, mais qu'il doit envoyer un spam aux clients qui tentent de se connecter au point d'accès indésirable à l'aide de trames de désauthentification afin qu'ils ne se connectent pas. Cela ne peut fonctionner que sur le SSID de sécurité hérité (cela ne fonctionne pas dans WPA3 ou lorsque le PMF est activé dans WPA2) parce que vos points d'accès ne sont pas en mesure de signer correctement les trames de désauthentification. Le confinement a un impact négatif sur les performances RF sur le canal cible, car vos points d'accès remplissent le temps d'antenne avec des trames de désauthentification. Par conséquent, elle doit uniquement être considérée comme une mesure de sécurité visant à empêcher vos propres clients légitimes de s'associer par erreur à un point d'accès non autorisé. Pour toutes les raisons mentionnées, il est recommandé de ne pas effectuer de confinement car cela ne résout pas complètement le problème indésirable et provoque plus de problèmes RF. Si vous devez utiliser le confinement, il est logique de l'activer uniquement pour les pirates qui usurpent l'un de vos SSID gérés, car il s'agit d'une attaque manifeste.
Vous pouvez configurer la contenance automatique avec l'option « Utilisation de nos SSID » :
Vous pouvez également configurer des règles indésirables pour les classer comme points d'accès indésirables malveillants en fonction de vos propres critères. N'oubliez pas d'entrer le nom de vos SSID voisins et approuvés en tant que périphériques indésirables pour les supprimer de votre liste d'alarmes.
Activez l'authentification AP ou PMF pour protéger vos AP contre l'emprunt d'identité.
Un pirate filaire est un point d'accès pirate connecté à votre réseau filaire, ce qui constitue une menace de sécurité accrue. La détection des pirates filaires est plus compliquée, car l'adresse MAC Ethernet d'un pirate informatique diffère généralement de son adresse MAC radio. Cisco Catalyst Center dispose d'algorithmes qui tentent toujours de détecter si un client indésirable est câblé et recherche les adresses MAC client indésirables qui sont à la fois entendues en direct et visibles sur l'infrastructure câblée. La meilleure solution pour empêcher les pirates filaires est de sécuriser tous vos ports de commutation avec l'authentification 802.1X.
Si vous devez agir physiquement sur un point d'accès non autorisé, l'utilisation de Cisco Spaces est essentielle pour avoir une localisation précise du non autorisé. Vous avez probablement encore besoin de rechercher autour une fois sur le site que les gens ont tendance à cacher des points d'accès indésirables parfois, mais la réduction de la zone de recherche à quelques mètres rend une entreprise très faisable. Sans espaces, le voyous est montré sur la carte à côté de l'AP le plus fort qui détecte ce qui rend une zone de recherche assez grande. Il existe de nombreux outils et périphériques sans fil qui vous indiquent le signal du point d'accès non autorisé en temps réel pour vous aider à le localiser physiquement.
Pas exactement lié aux parasites, mais puisque CleanAir vient d'être couvert, il est important de noter que l'activation de CleanAir n'a pas d'impact négatif notable sur les performances, sauf sur la détection de la balise BLE, car cela a un impact sur les performances 2,4 GHz. Vous pouvez configurer votre réseau sans fil pour ignorer les interférences Bluetooth car elles sont omniprésentes dans le monde actuel et vous ne pouvez pas empêcher vos clients d'activer leur Bluetooth.
WiPS couvre des vecteurs d'attaque plus avancés que la simple détection de la présence d'un périphérique non autorisé. En plus de ces attaques, il fournit également parfois un PCAP de l'événement pour l'analyse de la criminalistique.
Bien qu'il s'agisse d'une fonctionnalité de sécurité très utile pour l'entreprise, un réseau public doit faire face à l'éternelle question : que faire contre elle ?
Avec la difficulté de gérer de nombreux clients que vous ne contrôlez pas, il est possible de diviser les alarmes en deux catégories. Les alarmes que vous pouvez décider d'ignorer à partir de Cisco Catalyst Center si vous en voyez trop sont :
Ces alarmes peuvent être causées par un client qui se comporte mal. Il n'est pas possible d'empêcher automatiquement une attaque par déni de service puisque, essentiellement, vous ne pouvez pas empêcher un client défaillant de maintenir le temps d'antenne occupé. Même si l'infrastructure ignore le client, elle serait toujours en mesure d'utiliser le support et le temps d'antenne pour transmettre, ce qui aurait un impact sur les performances des clients qui l'entourent.
Les autres alarmes sont si spécifiques qu'elles dépeignent très probablement une attaque malveillante réelle et peuvent difficilement se produire en raison de mauvais pilotes client. Il est préférable de continuer à surveiller ces alarmes :
L'infrastructure sans fil peut parfois prendre des mesures d'atténuation, telles que le blocage de la liste du périphérique en cause, mais la seule véritable action pour se débarrasser d'une telle attaque est d'y aller physiquement et de retirer le périphérique en cause.
Il est conseillé d'activer toutes les formes d'exclusion des clients pour économiser le temps d'antenne perdu en interagissant avec les clients défaillants.
Il est conseillé d'activer le blocage peer-to-peer sur tous vos WLAN (sauf si vous avez des exigences strictes en matière de communication client-à-client, mais cela doit être soigneusement étudié et peut-être limité). Cette fonctionnalité empêche les clients du même WLAN de se contacter. Ce n'est pas une solution parfaite car les clients sur différents WLAN peuvent toujours se contacter et les clients appartenant à différents WLC dans le groupe de mobilité peuvent également contourner cette restriction. Mais il constitue une première couche de sécurité et d'optimisation simple et efficace. Un autre avantage de cette fonctionnalité de blocage peer-to-peer est qu'elle empêche également le protocole ARP client à client, ce qui empêche les applications de détecter d'autres périphériques sur le réseau local. Sans blocage peer-to-peer, l'installation d'une application simple sur le client peut afficher tous les autres clients connectés au sous-réseau avec éventuellement leur adresse IP et leurs noms d'hôte.
En outre, il est recommandé d'appliquer une liste de contrôle d'accès IPv4 et IPv6 (si vous utilisez IPv6 sur votre réseau) sur vos réseaux locaux sans fil pour empêcher la communication client à client. L'application d'une liste de contrôle d'accès qui bloque la communication client-client au niveau du WLAN fonctionne, que vous ayez ou non des interfaces SVI client.
L'autre étape obligatoire consiste à empêcher l'accès du client sans fil à toute forme de gestion de votre contrôleur sans fil.
Exemple :
ip access-list extended ACL_DENY_CLIENT_VLANS
10 deny ip any 10.131.0.0 0.0.255.255
20 deny ip 10.131.0.0 0.0.255.255 any
30 deny ip any 10.132.0.0 0.0.255.255
40 deny ip 10.132.0.0 0.0.255.255 any
50 deny ip any 10.133.0.0 0.0.255.255
60 deny ip 10.133.0.0 0.0.255.255 any
70 deny ip any 10.134.0.0 0.0.255.255
80 deny ip 10.134.0.0 0.0.255.255 any
90 deny ip any 10.135.0.0 0.0.255.255
100 deny ip 10.135.0.0 0.0.255.255 any
110 deny ip any 10.136.0.0 0.0.255.255
120 deny ip 10.136.0.0 0.0.255.255 any
130 deny ip any 10.137.0.0 0.0.255.255
140 deny ip 10.137.0.0 0.0.255.255 any
150 permit ip any any
Cette liste de contrôle d'accès peut être appliquée à l'interface de gestion SVI :
interface Vlan130
ip access-group ACL_DENY_CLIENT_VLANS in
Ceci est fait sur un WLC avec les VLAN client 131 à 137 créés dans la base de données VLAN de couche 2 mais sans aucune SVI correspondante, et une seule SVI existe pour le VLAN 130 qui est la façon dont le WLC est géré. Cette ACL empêche tous les clients sans fil d'envoyer tout trafic aux plans de gestion et de contrôle WLC complètement. N'oubliez pas que la gestion SSH ou de l'interface utilisateur Web n'est pas la seule chose que vous devez autoriser, car une connexion CAPWAP vers tous les points d'accès doit également être autorisée. C'est pourquoi cette ACL a une autorisation par défaut, mais bloque les plages de clients sans fil, plutôt que de compter sur une action par défaut deny all qui nécessiterait de spécifier toutes les plages de sous-réseaux AP et les plages de gestion autorisées.
De même, vous pouvez créer une autre liste de contrôle d'accès qui spécifie tous les sous-réseaux de gestion possibles :
ip access-list standard ACL_MGMT
10 permit 10.128.0.0 0.0.255.255
20 permit 10.127.0.0 0.0.255.255
30 permit 10.100.0.0 0.0.255.255
40 permit 10.121.0.0 0.0.255.255
50 permit 10.141.0.0 0.0.255.255
Vous pouvez ensuite appliquer cette liste de contrôle d'accès pour l'accès CLI :
line vty 0 50
access-class ACL_MGMT in
exec-timeout 180 0
ipv6 access-class ACL_IPV6_MGMT in
logging synchronous
length 0
transport preferred none
transport input ssh
transport output ssh
La même liste de contrôle d’accès peut également être appliquée pour l’accès administrateur Web.
Les multidiffusions et les diffusions sont plus utilisées par certaines applications que d'autres. Lorsque vous envisagez un réseau uniquement filaire, la seule précaution à prendre consiste souvent à se protéger contre les tempêtes de diffusion. Cependant, une multidiffusion est aussi douloureuse qu'une diffusion lorsqu'elle est envoyée en direct et il est important de comprendre pourquoi. Tout d'abord, imaginez un paquet envoyé (par diffusion ou multidiffusion) à tous vos clients sans fil, qui s'ajoute rapidement à de nombreuses destinations. Chaque point d’accès doit ensuite transmettre cette trame par voie hertzienne de la manière la plus fiable possible (même si elle n’est pas garantie comme fiable) et cela est obtenu en utilisant un débit de données obligatoire (parfois le plus faible, parfois configurable). En termes simples, cela signifie que la trame est envoyée à l’aide d’un débit de données OFDM (802.11a/g), ce qui n’est évidemment pas très pratique.
Dans un grand réseau public, il est déconseillé de se fier à la multidiffusion pour préserver le temps d'antenne. Cependant, dans un réseau d'entreprise de grande taille, vous pouvez avoir besoin de maintenir la multidiffusion activée pour une application spécifique, bien que vous deviez la contrôler autant que possible pour limiter son impact. Il est conseillé de documenter les détails de l'application, l'adresse IP de multidiffusion, et de veiller à bloquer les autres formes de multidiffusion. Comme expliqué précédemment, l'activation du transfert multidiffusion n'est pas une condition requise pour activer IPv6. Il est préférable de désactiver complètement le transfert de diffusion. Les diffusions sont parfois utilisées par les applications pour détecter d’autres périphériques sur le même sous-réseau, ce qui constitue clairement un problème de sécurité dans un grand réseau.
Si vous activez le transfert multidiffusion global, assurez-vous d'utiliser le paramètre CAPWAP de point d'accès multidiffusion-multidiffusion. Lorsque cette option est activée, lorsque le WLC reçoit un paquet de multidiffusion de l'infrastructure filaire, il l'envoie à tous les AP intéressés avec un seul paquet de multidiffusion, ce qui permet d'économiser beaucoup de duplication de paquets. Assurez-vous de définir une adresse IP de multidiffusion CAPWAP différente pour chacun de vos WLC, sinon les AP reçoivent le trafic de multidiffusion d'autres WLC, ce qui n'est pas souhaité.
Si vos points d'accès se trouvent dans d'autres sous-réseaux de votre interface de gestion sans fil du WLC (qui est probablement dans un grand réseau), vous devez activer le routage de multidiffusion sur votre infrastructure filaire. Vous pouvez vérifier que tous vos AP reçoivent correctement le trafic de multidiffusion avec la commande :
show ap multicast mom
Il est également conseillé d'activer la multidiffusion IGMP (pour la multidiffusion IPv4) et MLD (pour IPv6) dans tous les cas si vous devez compter sur la multidiffusion. Ils permettent uniquement aux clients sans fil intéressés (et donc uniquement aux points d'accès qui ont des clients intéressés) de recevoir le trafic de multidiffusion. Le WLC transmet l'enregistrement par proxy au trafic de multidiffusion et s'occupe de maintenir l'enregistrement actif, déchargeant ainsi les clients.
Les grands réseaux publics sont complexes, chacun est unique et présente des exigences et des résultats spécifiques.
Le respect des instructions de ce document constitue un excellent point de départ et vous aide à réussir votre déploiement tout en évitant les problèmes les plus courants. Cependant, les lignes directrices ne sont que des lignes directrices et peuvent devoir être interprétées ou ajustées dans le contexte du lieu spécifique.
Cisco CX dispose d'équipes de professionnels sans fil dédiés aux grands déploiements sans fil, avec une expérience dans de nombreux grands événements, y compris des événements sportifs et des conférences. Contactez l'équipe chargée de votre compte pour obtenir de l'aide.
Révision | Date de publication | Commentaires |
---|---|---|
4.0 |
23-Oct-2024 |
Ajout d'un petit commentaire sur la taille du sous-réseau Flexconnect |
3.0 |
30-Aug-2024 |
Ajout d'une section sur l'impact CPU de la surveillance du WLC. Correction des fautes. Reformulation de certaines parties |
2.0 |
20-Jul-2024 |
Ajout de la section Débits de données |
1.0 |
22-May-2024 |
Première publication |