Déploiement de Périphériques AP avec VLAN et Réseau Invité

Si votre environnement de réseau est complexe et possède des conditions de sécurité et de stratégie pour les utilisateurs sans fil, vous pouvez activer des réseaux locaux virtuels (VLAN) sur les SSID pour votre réseau sans fil. Les VLAN vous permettent d'appliquer des stratégies de sécurité sans fil à chaque SSID sur le Firebox, et de répartir le trafic du réseau vers chaque SSID sur un VLAN dédié.

Dans ce scénario de déploiement, il existe deux méthodes principales pour connecter physiquement vos AP WatchGuard au réseau :

  • Connectez le périphérique AP directement au Firebox sur un réseau Approuvé, Facultatif ou Personnalisé configuré comme interface VLAN. Vous créez des VLAN sur le Firebox pour la gestion du périphérique AP et pour chaque SSID sans fil.

Diagramme réseau de deux périphériques AP connectés à deux interfaces Firebox

  • Connectez le périphérique AP à un commutateur réseau géré et configuré avec les informations VLAN des SSID concernés. Vous pouvez également configurer les mêmes VLAN sur le Firebox, afin de pouvoir les utiliser dans les stratégies de pare-feu de chaque SSID.

Diagramme réseau de deux périphériques AP connectés à un commutateur, lui-même connecté à un Firebox

Déploiement AP et Stratégies Firebox

Les utilisateurs sans fil qui se connectent au SSID d'un réseau local virtuel (VLAN) spécifique peuvent avoir accès aux autres ressources situées sur le même VLAN mais n'ont pas automatiquement accès aux ressources connectées à d'autres interfaces ou VLAN de la même zone de sécurité (Approuvé, Facultatif ou Personnalisé). Vous devez créer des stratégies Firebox supplémentaires si vous voulez autoriser le trafic vers les autres interfaces et VLAN.

Interface Personnalisée et Sécurité sans fil des Invités

Nous vous recommandons d'utiliser la zone de sécurité d'interface Personnalisée pour l'interface sans fil invité. Par défaut, les interfaces Personnalisées ne sont pas comprises dans les stratégies de pare-feu. Il s'agit donc d'un point de départ sécurisé, qui autorise les connexions sans fil des utilisateurs invités aux ressources réseau d'un réseau Approuvé ou Facultatif. Vous devez créer des stratégies spécifiques pour les accès de la zone de sécurité Personnalisée, y compris pour l'accès sortant et l'accès aux autres réseaux et interfaces.

Types de VLAN requis

Pour activer le marquage VLAN dans les SSID du périphérique AP, deux types de VLAN doivent être créés :

  • VLAN Marqués pour les SSID — Le périphérique AP utilise des VLAN marqués pour répartir le trafic sans fil de chaque SSID. Vous devez créer un VLAN marqué pour chaque SSID configuré dans votre réseau sans fil.
  • VLAN Non Marqués pour la gestion du périphérique AP — Le Gateway Wireless Controller du Firebox trouve et gère tous les AP WatchGuard via une connexion de gestion spéciale. Vous devez créer un VLAN non marqué et distinct à utiliser pour les connexions de gestion aux périphériques AP. L'adresse IP de gestion du périphérique AP ne peut pas être une adresse IP d'un VLAN marqué.

Si vous activez le marquage VLAN des communications de gestion dans la configuration du périphérique AP, le Firebox peut utiliser un VLAN marqué pour les communications de gestion destinées aux périphériques AP. Un VLAN non marqué est toujours nécessaire à la connexion initiale d'un périphérique AP non couplé.

Vous pouvez sélectionner l'une des deux méthodes de manière à configurer les VLAN en fonction de l'emplacement de connexion du périphérique AP sur le réseau :

  • Connexion du périphérique AP directement à un Firebox — Pour connecter votre périphérique AP directement au Firebox, vous devez configurer des VLAN sur l'interface Firebox à laquelle le périphérique AP se connecte.
    1. Créez un VLAN pour la gestion du périphérique AP et des VLAN pour tous les SSID sans fil sur le Firebox.
    2. Configurez l'interface du Firebox de manière à envoyer et recevoir le trafic marqué des VLAN de chaque SSID et à envoyer et recevoir le trafic non marqué destiné au VLAN de communication du périphérique AP.
  • Connexion du périphérique AP à un commutateur géré — Pour connecter le périphérique AP à un commutateur géré, configurez les VLAN sur les interfaces du commutateur géré et sur l'interface du Firebox auquel le commutateur est connecté.
    1. Créez un VLAN pour la gestion du périphérique AP et des VLAN pour tous les SSID sans fil sur le Firebox.
    2. Configurez l'interface du Firebox de manière à envoyer et recevoir le trafic marqué des VLAN de chaque SSID et à envoyer et recevoir le trafic non marqué destiné au VLAN de communication du périphérique AP.
    3. Sur le commutateur, configurez les interfaces connectées au Firebox et au périphérique AP de manière à envoyer et recevoir le trafic marqué des VLAN de chaque SSID. Configurez ces interfaces sur le commutateur de manière à envoyer et recevoir le trafic non marqué destiné au VLAN des communications de gestion du périphérique AP.

Pour savoir quand et comment configurer les VLAN à utiliser avec les AP WatchGuard, consultez Configurer les VLAN des AP WatchGuard.

Pour plus d'informations pour activer les VLAN marqués et non marqués sur les interfaces de commutateur, voir la documentation de votre commutateur.

Créer des VLAN sur votre Firebox

Dans cet exemple de configuration, nous créons trois VLAN :

VLAN pour l'accès sans fil approuvé

  • Description — Utilisé pour le réseau principal approuvé sans fil.
  • ID de VLAN — 10
  • Type d'interface — Approuvé
  • Adresse IP — 10.0.10.1/24
  • Plage DHCP — 10.0.10.2 - 10.0.10.20

VLAN pour l'accès invité sans fil

  • Description — Utilisé pour le réseau sans fil invité.
  • Identifiant du VLAN — 20
  • Type d'interface — Personnalisée
  • Adresse IP — 10.0.20.1/24
  • Plage DHCP — 10.0.20.2 - 10.0.20.20

Nous recommandons la zone de sécurité d'interface Personnalisée pour l'interface sans fil Invité car, par défaut, l'interface Personnalisée n'a pas de stratégies d'accès et constitue un point de départ sécurisé pour empêcher les utilisateurs sans fil invités d'accéder à un réseau Approuvé ou Facultatif.

VLAN Non Marqué pour la Gestion du Périphérique AP

  • Description — Utilisée pour la détection et la gestion des périphériques AP par le Gateway Wireless Controller.
  • ID de VLAN — 30
  • Type d'interface — Approuvé
  • Adresse IP— 10.0.30.1/24
  • Plage DHCP — 10.0.30.2 - 10.0.30.20

Créer un VLAN pour le SSID Sans Fil Approuvé

  1. Sélectionnez Réseau > VLAN.
  2. Cliquez sur Ajouter.

Capture d'écran de la page Configuration de VLAN pour VLAN10

  1. Dans la zone de texte Nom, saisissez le nom du VLAN.

    Dans cet exemple, saisissez VLAN10.
  2. Dans la zone de texte Description, décrivez ce VLAN.

    Pour cet exemple, saisissez VLAN pour le réseau sans fil approuvé.
  3. Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.

    Dans cet exemple, saisissez 10.
  4. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.

    Pour cet exemple, sélectionnez l'interface sans fil VLAN approuvée, Approuvé.
  5. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.

    Pour ce VLAN, saisissez 10.0.10.1 /24.
  6. Sur l'onglet Réseau, ajoutez un serveur DHCP.
  7. Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
    Pour ce VLAN, saisissez 10.0.10.2 et 10.0.10.20.
  8. Sélectionnez des paramètres de marquage VLAN pour votre interface VLAN. Dans cet exemple, nous marquons le trafic VLAN sans fil approuvé.
  9. Cliquez sur Enregistrer pour enregistrer la configuration VLAN.
  1. Sélectionnez Réseau > Configuration.
  2. Cliquez sur l'onglet VLAN.
  3. Cliquez sur Ajouter.

Capture d'écran de la boîte de dialogue Configuration d'un Nouveau VLAN pour VLAN10

  1. Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.

    Dans cet exemple, saisissez VLAN10.
  2. Dans la zone de texte Description, décrivez ce VLAN.

    Pour cet exemple, saisissez VLAN pour le réseau sans fil approuvé.
  3. Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.

    Dans cet exemple, saisissez 10.
  4. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.

    Pour cet exemple, sélectionnez l'interface sans fil VLAN approuvée, Approuvé.
  5. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.

    Pour ce VLAN, saisissez 10.0.10.1 /24.
  6. Sélectionnez Utiliser le serveur DHCP et cliquez sur Ajouter.
  7. Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.

    Pour ce VLAN, saisissez 10.0.10.2 et 10.0.10.20.
  8. Cliquez sur OK pour enregistrer la configuration VLAN.

Créer un VLAN pour le SSID Invité Sans Fil

  1. Sélectionnez Réseau > VLAN.
  2. Cliquez sur Ajouter.

Capture d'écran de la page Configuration de VLAN pour VLAN20

  1. Dans la zone de texte Nom, saisissez le nom du VLAN.

    Dans cet exemple, saisissez VLAN20.
  2. Dans la zone de texte Description, décrivez ce VLAN.
    Dans cet exemple, saisissez VLAN pour le réseau invité sans fil.
  3. Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.

    Dans cet exemple, saisissez 20.
  4. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
    Dans cet exemple, sélectionnez l'interface VLAN invité sans fil, Personnalisée.
  5. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
    Pour ce VLAN, saisissez 10.0.20.1/24.
  6. Sur l'onglet Réseau, ajoutez un serveur DHCP.
  7. Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
    Pour ce VLAN, saisissez 10.0.20.2 et 10.0.20.20.
  8. Sélectionnez des paramètres de marquage VLAN pour votre interface VLAN. Dans cet exemple, nous marquons le trafic VLAN sans fil invité.
  9. Cliquez sur Enregistrer pour enregistrer la configuration VLAN.
  1. Sélectionnez Réseau > Configuration.
  2. Cliquez sur l'onglet VLAN.
  3. Cliquez sur Ajouter.

Capture d'écran de la boîte de dialogue Configuration d'un nouveau VLAN pour VLAN20

  1. Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.

    Dans cet exemple, saisissez VLAN20.
  2. Dans la zone de texte Description, décrivez ce VLAN.

    Dans cet exemple, saisissez VLAN pour le réseau invité sans fil.
  3. Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.

    Dans cet exemple, saisissez 20.
  4. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.

Pour cet exemple, sélectionnez Personnaliser. Nous recommandons la zone Personnaliser car le trafic d'une interface personnalisée n'est pas autorisé à passer par le Firebox sauf si vous configurez spécifiquement des stratégies de sorte à l'autoriser. Ceci est important pour la sécurité du réseau invité sans fil, pour vous assurer que les utilisateurs invités ne peuvent pas accéder à un réseau approuvé ou facultatif.

Lorsque vous utilisez la zone de sécurité Personnaliser, vous devez ajouter spécifiquement votre réseau invité sans fil à votre stratégie Sortant pour donner un accès sortant à vos utilisateurs sans fil invités.

  1. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.

    Dans cet exemple, saisissez 10.0.20.1/24.
  2. Sélectionnez Utiliser le serveur DHCP et cliquez sur Ajouter.
  3. Dans les zones de texte IP de Début et IP de Fin, saisissez les adresses IP de la plage DHCP.

    Dans cet exemple, saisissez 10.0.20.2 et 10.0.20.20.
  4. Cliquez sur OK pour enregistrer la configuration VLAN.

Créer un VLAN pour la Gestion des Périphériques AP

  1. Sélectionnez Réseau > VLAN.
  2. Cliquez sur Ajouter.

Capture d'écran de la page Configuration de VLAN pour VLAN30

  1. Dans la zone de texte Nom, saisissez le nom du VLAN.
    Pour cet exemple, saisissez VLAN30.
  2. Dans la zone de texte Description, décrivez ce VLAN.
    Pour cet exemple, saisissez VLAN pour les connexions de gestion des périphériques AP.
  3. Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
    Pour cet exemple, saisissez 30.
  4. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
    Dans cet exemple, sélectionnez l'interface VLAN de communication du périphérique AP (Approuvée).
  5. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
    Pour ce VLAN, saisissez 10.0.30.1/24.
  6. Sur l'onglet Réseau, ajoutez un serveur DHCP.
  7. Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
    Pour ce VLAN, saisissez 10.0.30.2 et 10.0.30.20.
  8. Sélectionnez des paramètres de marquage VLAN pour votre interface VLAN. Dans cet exemple, nous ne marquons pas le trafic VLAN de communication du périphérique AP.
  9. Cliquez sur Enregistrer pour enregistrer la configuration VLAN.

Lorsque vous avez terminé, les paramètres de l'exemple VLAN ressemble à ceci :

Screen shot of the Network > VLAN tab with three VLANs configured

  1. Sélectionnez Réseau > Configuration.
  2. Cliquez sur l'onglet VLAN.
  3. Cliquez sur Ajouter.

Capture d'écran de la boîte de dialogue Configuration de VLAN pour VLAN30.

  1. Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.

    Dans cet exemple, saisissez VLAN30.
  2. Dans la zone de texte Description, décrivez ce VLAN.

    Pour cet exemple, saisissez VLAN pour les connexions de gestion des périphériques AP.
  3. Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.

    Dans cet exemple, saisissez 30.
  4. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
    Dans cet exemple, sélectionnez l'interface VLAN de communication du périphérique AP (Approuvée).
  5. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.

    Dans cet exemple, saisissez 10.0.30.1/24.
  6. Sélectionnez Utiliser le serveur DHCP et cliquez sur Ajouter.
  7. Dans les zones de texte IP de Début et IP de Fin, saisissez les adresses IP de la plage DHCP.

    Dans cet exemple, saisissez 10.0.30.2 et 10.0.30.20.
  8. Cliquez sur OK pour enregistrer la configuration VLAN.

Lorsque vous avez terminé, les paramètres de l'exemple VLAN ressemble à ceci :

Screen shot of the Network Configuration > VLAN tab with three VLANs configured

Ajouter des VLAN à une Interface Réseau (Policy Manager)

Si vous utilisez Policy Manager, vous devez ajouter ces VLAN à une interface réseau et sélectionner vos options de marquage.

  1. Sélectionnez Réseau > Configuration.
  2. Sélectionnez l'onglet Interfaces.
  3. Sélectionnez l'interface réseau à utiliser pour les VLAN et cliquez sur Configurer.
    La boite de dialogue Paramètres d'Interface de l'interface sélectionnée s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de l'interface pour l'interface VLAN

  1. Dans la zone de texte Nom de l'Interface, saisissez le nom de cette interface VLAN.
  2. Dans la zone de texte Description de l'interface, décrivez cette interface VLAN.
  3. Dans la liste déroulante Type d'interface, sélectionnez Réseau local virtuel (VLAN).
  4. Pour recevoir des données VLAN marquées sur cette interface réseau, cochez la case Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés.
  5. Cochez la case Membre pour chaque VLAN marqué à inclure sur cette interface.
    Dans cet exemple, sélectionnez VLAN10 et VLAN20.
    Seuls les VLAN du SSID sont marqués. Le VLAN de communication du périphérique AP ne doit pas être marqué.
  6. Pour configurer l'interface afin qu'elle reçoive des données non marquées, cochez la case Envoyer et recevoir du trafic non marqué pour les VLAN sélectionnés.
    Pour envoyer et recevoir des données non marquées pour le VLAN de communication du périphérique AP, cette option doit être sélectionnée.
  7. Dans la liste déroulante, sélectionnez le VLAN de communication du périphérique AP (VLAN30) en tant que VLAN non marqué.
  8. Cliquez sur OK.
  9. Enregistrez le fichier de configuration dans votre Firebox.

Ajouter les SSID au Gateway Wireless Controller

  1. Sélectionnez Réseau > Gateway Wireless Controller.
  2. Cochez la case à cocher Activer le Gateway Wireless Controller.

  3. Sous l'onglet SSID, cliquez sur Ajouter.

Capture d'écran de la page Ajouter SSID pour le SSID Approuvé

  1. Dans la zone de texte Nom du réseau (SSID), saisissez Approuvé.
  2. Cochez la case Activer le marquage VLAN.

    Ceci est nécessaire car ce VLAN du SSID doit être marqué.
  3. Dans la zone de texte ID de VLAN, saisissez ou sélectionnez 10.
  4. Dans l'onglet Points d'Accès, sélectionnez les périphériques AP qui utiliseront ce SSID.
  5. Sélectionnez l'onglet Sécurité.
  6. Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
  7. Cliquez sur Enregistrer pour enregistrer la configuration SSID.
  8. Sous l'onglet SSID, cliquez sur Ajouter.

    La boîte de dialogue Ajouter un SSID apparaît avec l'onglet Paramètres sélectionné.

Capture d'écran de la page Ajouter SSID pour le SSID Invité

  1. Dans la zone de texte Nom du réseau (SSID), saisissez Invité.
  2. Cochez la case Activer le marquage VLAN.
    Ceci est nécessaire car le VLAN du SSID doit être marqué.
  3. Dans la zone de texte ID de VLAN, saisissez ou sélectionnez 20.
  4. Dans l'onglet Points d'Accès, sélectionnez les périphériques AP qui utiliseront ce SSID.
  5. Sélectionnez l'onglet Sécurité.
  6. Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
  7. Cliquez sur Enregistrer pour enregistrer la configuration SSID.
  1. Sélectionnez Réseau > Gateway Wireless Controller.

    La boîte de dialogue Gateway Wireless Controller s'affiche avec l'onglet SSID sélectionné.
  2. Cochez la case à cocher Activer le Gateway Wireless Controller.

  3. Sous l'onglet SSID, cliquez sur Ajouter.

    La boîte de dialogue Ajouter un SSID apparaît avec l'onglet Paramètres sélectionné.

Capture d'écran de la boîte de dialogue Ajouter SSID pour SSID approuvé.

  1. Dans la zone de texte Nom du réseau (SSID), saisissez Approuvé.
  2. Cochez la case Activer le marquage VLAN.

    Ceci est nécessaire car ce VLAN du SSID doit être marqué.
  3. Dans la zone de texte ID de VLAN, saisissez ou sélectionnez 10.
  4. Dans l'onglet Points d'Accès, déplacez les périphériques AP sur lesquels vous désirez utiliser ce SSID de la liste Disponible vers la liste Membre.
  5. Sélectionnez l'onglet Sécurité.
  6. Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
  7. Cliquez sur OK pour enregistrer la configuration SSID.
    La boîte de dialogue Gateway Wireless Controller s'affiche avec le SSID approuvé dans la liste SSID.
  8. Sous l'onglet SSID, cliquez sur Ajouter.

    La boîte de dialogue Ajouter un SSID apparaît avec l'onglet Paramètres sélectionné.

Capture d'écran de la boîte de dialogue Ajouter SSID pour le SSID invité.

  1. Dans la zone de texte Nom du réseau (SSID), saisissez Invité.
  2. Cochez la case Activer le marquage VLAN.

    Ceci est nécessaire car le VLAN du SSID doit être marqué.
  3. Dans la zone de texte ID de VLAN, saisissez ou sélectionnez 20.
  4. Dans l'onglet Points d'Accès, déplacez les périphériques AP sur lesquels vous désirez utiliser ce SSID de la liste Disponible vers la liste Membre.
  5. Sélectionnez l'onglet Sécurité.
  6. Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
  7. Cliquez sur OK.

    La boite de dialogue Gateway Wireless Controller s'affiche avec les SSID Approuvé et Invité dans la liste des SSID.

Capture d'écran de l'onglet SSID avec deux SSID configurés sur deux VLAN

  1. Cliquez sur OK pour enregistrer la configuration du Gateway Wireless Controller.
  2. Enregistrez le fichier de configuration dans votre Firebox.

Après avoir configuré le SSID, vous pouvez coupler d'autres périphériques AP au Firebox puis assigner ce SSID aux radios de chaque périphérique AP.

Voir Également

À propos de la Configuration des Périphériques AP

Configurer les Périphériques AP sur le Gateway Wireless Controller