Configurer les Paramètres du SSID d'un Point d'Accès

Dans l'onglet Sans fil, vous pouvez configurer le nom du SSID, spécifier si le réseau est privé ou destiné aux invités, spécifier les radios qui diffusent le SSID, activer la sécurité du SSID, modifier et créer un ticket de QR code du SSID, télécharger le ticket de QR code du SSID et configurer les paramètres réseau.

• Nom du SSID — Saisissez le nom du SSID. Il s'agit du nom du réseau sans fil visible pour les clients.
• Diffuser le SSID — Cochez la case à cocher Diffuser le SSID pour diffuser le nom du SSID auprès des clients sans fil. Décochez cette case si vous souhaitez masquer le nom du SSID.
• Type de SSID
• Privé — Créez un réseau sans fil privé.
• Invité — Créez un réseau invité sans fil fournissant un accès limité de manière à protéger les périphériques et les ressources de votre réseau sans fil privé. Lorsque vous sélectionnez un réseau Invité, l'Isolation des Clients est également activée par défaut. Pour de plus amples informations, consultez la section Isolation des Clients.

Pour appliquer différentes plages d'adresses IP à vos réseaux sans fil, vous pouvez configurer le SSID en mode NAT dans la section Réseau.

• Radio — Sélectionnez les radios du point d'accès (2.4 GHz, 5 GHz ou 2.4 GHz et 5 GHz) qui diffusent ce SSID.
• Sécurité — Sélectionnez le type de sécurité de ce SSID.
• Open — Open (Ouvert) signifie qu'aucun chiffrement de sécurité n'est appliqué. Cette option est généralement utilisée pour les réseaux invités publics.
• OWE — Opportunistic Wireless Encryption (OWE), également connu sous le nom d'Enhanced Open (Ouvert Renforcé), est le protocole ouvert le plus récent et sécurisé destiné aux points d'accès Wi-Fi 6 (802.11ax). Il fournit à chaque utilisateur un chiffrement qui protège l'échange de données entre le client et le réseau sans fil. Vous pouvez ainsi créer un réseau ouvert qui assure la confidentialité des données sans authentification. Les clients ne prenant pas en charge OWE ne peuvent pas se connecter à un SSID configuré avec OWE. Le point d'accès et le client doivent prendre en charge OWE.
• WPA2 Personal (par défaut) — WPA2 est le protocole le plus récent et sécurisé destiné aux points d'accès 802.11a/b/g/n/ac. Vous devez saisir un Mot de Passe que les utilisateurs sans fil devront utiliser pour se connecter à ce SSID.
• WPA3/WPA2 — Un mode mixte des protocoles WPA3 et WPA2. Vous devez saisir un Mot de Passe que les utilisateurs sans fil devront utiliser pour se connecter à ce SSID.
• WPA3 Personal — WPA3 est le protocole le plus récent et sécurisé destiné aux périphériques Wi-Fi 6 (802.11ax). WPA3 active les Trames de Gestion Protégées (802.11w) pour une sécurité accrue. Les clients sans fil doivent également prendre en charge 802.11ax pour utiliser WPA3. Vous devez saisir un Mot de Passe que les utilisateurs sans fil devront utiliser pour se connecter à ce SSID.
• Mot de passe — Si vous avez sélectionné une méthode de sécurité utilisant une clé pré-partagée telle que WPA2 Personal ou WPA3 Personal, saisissez le mot de passe à utiliser. Les utilisateurs sans fil doivent spécifier ce mot de passe pour se connecter au SSID.

Le problème suivant peut être rencontré : les clients sans fil exécutant un système d'exploitation obsolète ne prenant pas en charge WPA3 ne parviennent pas à se connecter à un SSID avec la sécurité mixte WPA3/WPA2. Pour de plus amples informations, consultez la Base de Connaissances WatchGuard.

• WPA2 Enterprise — Le protocole WPA2 avec l'authentification RADIUS Enterprise. Dans le microprogramme du point d'accès v2.1 et les versions ultérieures, vous pouvez personnaliser les attributs Identifiant de la Station Appelée et Identifiant NAS de RADIUS dans les paramètres avancés d'un SSID. Pour de plus amples informations, accédez à Configurer l'Authentification RADIUS d'un Point d'Accès.
• WPA3 Enterprise — Le protocole WPA3 avec l'authentification RADIUS Enterprise. Avec WPA3 Enterprise, vous pouvez également activer le mode 192 bits (WPA3 Enterprise Suite B) de manière à renforcer la sécurité de chiffrement dans les environnements d'entreprise sensibles. Le mode WPA3 Enterprise 192 bits nécessite le microprogramme du point d'accès v2.1 ou une version ultérieure. Dans le microprogramme du point d'accès v2.1 et les versions ultérieures, vous pouvez personnaliser les attributs Identifiant de la Station Appelée et Identifiant NAS de RADIUS dans les paramètres avancés d'un SSID. Pour de plus amples informations, accédez à Configurer l'Authentification RADIUS d'un Point d'Accès.
• Domaine d'Authentification — Si vous avez sélectionné le mode de sécurité WPA2 Enterprise ou WPA3 Enterprise, vous devez sélectionner un domaine d'authentification comprenant vos serveurs RADIUS configurés dans la liste déroulante. Pour plus d'informations, consultez Domaines d'Authentification d'un Point d'Accès. Si aucun Domaine d'Authentification n'a été configuré, vous devez en ajouter un dans Configurer > Configurations Partagées > Domaines d'Authentification.
• Pour plus d'informations, consultez Domaines d'Authentification d'un Point d'Accès.
• Pour de plus amples informations concernant l'utilisation de RADIUS pour authentifier les clients sans fil, consultez la section Configurer l'Authentification RADIUS d'un Point d'Accès.

QR Code SSID

Vous pouvez générer et imprimer un QR code qui permet aux utilisateurs sans fil de se connecter facilement au SSID d'un point d'accès. Pour de plus amples informations, accédez à Configurer le QR Code du SSID du Point d'Accès.

Réseau

• Activer un VLAN — Pour mapper le SSID de votre réseau sans fil à un VLAN de votre réseau, sélectionnez la case à cocher Activer un VLAN. Par exemple, vous configurez des VLAN pour séparer le trafic entre votre SSID tels que les SSID privés et invités. Vous pouvez attribuer un Identifiant de VLAN compris entre 1 à 4094 à chaque SSID. Pour de plus amples informations concernant les VLAN et vos réseaux sans fil, consultez la section Points d'Accès et VLAN.
• Ponté (par défaut) — Utilisez un réseau ponté lorsque le point d'accès et les clients qui s'y associent appartiennent au même sous-réseau.
• NAT — Utilisez NAT (Network Address Translation) si vous souhaitez placer les clients et le point d'accès dans un sous-réseau distinct. Les clients sans fil utilisent un pool d'adresses IP privées assigné par le point d'accès. Vous devez utiliser NAT pour utiliser ce SSID avec un VPN de point d'accès. Pour plus d'informations, consultez Configurer un VPN de Point d'Accès. L'Itinérance Rapide est désactivée si vous utilisez le NAT.
  
  Vous devez configurer les paramètres suivants lorsque vous activez le NAT :
• Adresse IP Locale (Passerelle) — Une adresse IP du réseau sélectionné n'appartenant pas au pool d'adresses DHCP. Cette adresse est utilisée en tant qu'adresse de passerelle pour les clients du réseau sans fil.
• Masque de Sous-réseau — Le masque réseau du réseau sélectionné.
• Adresse IP de Début du Pool DHCP — Adresse IP de début du pool d'adresses DHCP dans le réseau sélectionné.
• Adresse IP de Fin du Pool DHCP — L'adresse IP de fin du pool d'adresses DHCP dans le réseau sélectionné.
• Durée du Bail — La durée du bail DHCP en heures (de 1 à 24).
• Serveurs DNS Principal et Secondaire — Les serveurs DNS principal et secondaire auxquels les clients sans fil adressent leurs requêtes DNS.

Pour contrôler l'accès de certains clients sans fil en fonction de leur adresse MAC, activez la Liste de Contrôle d'Accès d'Adresses MAC.

• Utilisez la Liste des Adresses MAC Autorisées pour autoriser l'accès uniquement aux adresses MAC des clients que vous spécifiez.
• Utilisez la Liste des Adresses MAC Bloquées pour bloquer les clients sans fil en fonction des adresses MAC que vous spécifiez.

Pour ajouter une nouvelle adresse, cliquez sur Ajouter une Adresse MAC. Une fois terminé, cliquez sur Ajouter pour enregistrer la liste de contrôle d'accès.

Le nombre maximum d'adresses MAC prises en charge dépend de la version du microprogramme du point d'accès.

• Les points d'accès exécutant la version du microprogramme 1.1.24 ou une version ultérieure prennent en charge 256 adresses MAC au maximum.
• Les périphériques dont la version du microprogramme est antérieure à 1.1.24 ne prennent en charge qu'un maximum de 32 adresses MAC. Les listes importées de ces périphériques sont tronquées à 32 adresses.

Importer une Liste d'Adresses MAC

Pour télécharger une liste contenant plusieurs adresses MAC, cliquez sur Importer une Liste d'Adresses MAC.

Vous pouvez faire glisser et déplacer la liste d'adresses MAC sur le champ ou sélectionnez le fichier de liste d'adresses MAC.

Le fichier de la liste d'adresses MAC doit être au format CSV (valeurs séparées par des virgules) avec une adresse MAC et une description facultative.

Par exemple, pour importer des adresses avec une description :

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description

Pour importer des adresses sans description :

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Pour importer des adresses avec ou sans description :

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4

Une fois le fichier importé est analysé, vous pouvez sélectionner les adresses MAC à importer. Cliquez sur Enregistrer pour importer les adresses MAC.

Spécifiez à quel moment l'accès Wi-Fi de ce SSID est activé. Cette fonctionnalité restreint l'accès à ce SSID en fonction des heures que vous configurez. Par exemple, vous pouvez limiter l'accès invité sans fil aux heures de bureau. L'heure est exprimée au format 24 heures avec des intervalles minimaux de 30 minutes.

La valeur par défaut est Toujours Disponible. Vous pouvez également sélectionner un horaire préconfiguré de 8 h à 17 h du Lundi au Vendredi, ou créer un Calendrier Personnalisé.

Les VPN de point d'accès configurés avec ce SSID sont également activés et désactivés par le calendrier SSID configuré. Pour plus d'informations, consultez Configurer un VPN de Point d'Accès.

Vous pouvez activer les contrôles de bande passante qui limitent l'utilisation de la bande passante sur ce SSID. Par exemple, vous pouvez activer des limites sur votre SSID invité de manière à ce que les utilisateurs invités ne consomment pas trop de bande passante et ne nuisent pas aux performances sans fil de votre réseau sans fil privé.

Pour activer le contrôle de bande passante, sélectionnez Contrôle de Bande Passante du SSID.

Spécifiez la Limite de Chargement et la Limite de Téléchargement en Mbps. Vous pouvez sélectionner une valeur comprise entre 1 et 999 Mbps.

Ces limites s'appliquent au trafic sur l'ensemble du SSID.

Pour appliquer ces limites de chargement et téléchargement à chaque utilisateur du SSID, cochez la case à cocher Par Client.

Les options avancées vous permettent de configurer des options supplémentaires de gestion, de sécurité et d'orientation pour ce SSID.

• Trames de Gestion Protégées (802.11w) — À des fins de chiffrement de sécurité WPA2 et WPA3, vous pouvez activer la protection supplémentaire des trames de gestion de manière à bloquer les attaques d'usurpation employant des actions de trames de gestion de désauthentification et de désassociation. Vous pouvez sélectionner Autoriser Tous les Clients afin de protéger uniquement les 802.11w ou sélectionner Autoriser Uniquement les Clients Capables 802.11w. 802.11w est obligatoire et activé automatiquement pour le chiffrement WPA3.
• Identifiant de la Station Appelée/Identifiant NAS — Pour l'authentification WPA2 et WPA3 Enterprise, vous pouvez personnaliser les attributs RADIUS qui identifient le point d'accès et le client auprès du serveur RADIUS lors de l'authentification. Vous pouvez saisir du texte personnalisé [a-z, A-Z, 0-9, -] en combinaison avec les variables prédéfinies. Le texte ne doit pas contenir plus de 84 caractères. Assurez-vous de ne pas dépasser la longueur maximale lorsque vous utilisez des variables.
• %m — Adresse MAC de l'interface Ethernet du point d'accès
• %s — Nom du SSID
• %n — Nom du périphérique

Cette fonctionnalité nécessite le microprogramme du point d'accès v2.1 ou une version ultérieure. Pour de plus amples informations, accédez à Configurer l'Authentification RADIUS d'un Point d'Accès.

• Itinérance Rapide (802.11k/r) — Lorsque vous sélectionnez le chiffrement de sécurité WPA2, vous pouvez activer l'Itinérance Rapide de manière à réduire le temps de réauthentification d'un client sans fil lorsqu'il bascule d'un point d'accès WatchGuard vers un autre point d'accès. Cela permet au client sans fil de faire basculer rapidement ses communications sans fil et améliore les performances et la stabilité des applications exigeantes en diffusion en continu telles que la VoIP et la diffusion de vidéo en continu. Les clients sans fil doivent prendre en charge les normes 802.11k et 802.11r pour utiliser l'Itinérance Rapide. L'Itinérance Rapide est désactivée si le NAT est activé sur le SSID. L'Itinérance Rapide est activée automatiquement avec WPA3.
• Orientation de Bande — L'orientation de bande oriente activement les clients sans fil de la bande 2.4 GHz vers la bande 5 GHz moins encombrée de manière à d'équilibrer les clients associés à un point d'accès entre les radios 2.4 GHz et 5 GHz. L'orientation de bande permet également d'assurer la prise en charge de 802.11v afin d'améliorer le comportement d'itinérance des clients et de leur permettre de trouver de meilleurs points d'accès auxquels s'associer.

Vous pouvez choisir parmi les paramètres suivants :

• Équilibrer les Clients : Répartit la charge des clients sans fil entre les radios 2.4 GHz et 5 GHz. Dans la zone de texte Rapport d'Équilibre, spécifiez le pourcentage de clients pouvant utiliser la radio 5 GHz. Le pourcentage restant doit utiliser la radio 2.4 GHz.
• Préférer 5 GHz (par défaut) : Les clients sont orientés vers la bande 5 GHz si l'intensité du signal du client sur la bande 5 GHz est supérieure au Seuil RSSI configuré (par défaut -75 dBm).
• Forcer 5 GHz : Permet d'utiliser des paquets de gestion supplémentaires pour faire en sorte qu'un client soit toujours déconnecté de la radio 2.4 GHz et orienté vers la radio 5 GHz lorsque le client se reconnecte au point d'accès.
• Isolation des Clients — Évite aux clients sans fil de communiquer directement avec d'autres clients et périphériques sans fil ou filaires connectés au même réseau. L'isolation des clients est utile dans la plupart des déploiements d'accès Wi-Fi invité afin d'empêcher les communications entre les clients invités et d'autres clients et appareils sur le réseau. L'isolation des clients est activée par défaut si le SSID est configuré en tant que SSID Invité.
• Règles d'Accès au Réseau — l'Application des Règles d'Accès au Réseau offre une couche de sécurité supplémentaire lorsqu'un client sans fil se connecte au réseau sans fil de l'entreprise. L'Application des Règles d'Accès au Réseau nécessite qu'un produit WatchGuard Endpoint Security (WatchGuard Advanced EPDR, EPDR, EDR, EDR Core ou EPP) ait été installé sur un périphérique avant que celui-ci puisse se connecter au réseau sans fil. L'Application des Règles d'Accès au Réseau nécessite le microprogramme du point d'accès v2.1 ou une version ultérieure. Pour de plus amples informations, accédez à Application des Règles d'Accès au Réseau des Points d'Accès.