Configurer les SSID d'un AP WatchGuard
Avant d'assigner un SSID à un périphérique AP WatchGuard, vous devez l'ajouter sur le Gateway Wireless Controller.
Chaque radio d'un périphérique AP WatchGuard prend en charge jusqu'à huit SSID.
Vous pouvez également activer le marquage VLAN sur chaque SSID. Si vous activez le marquage VLAN, le SSID utilise l'identifiant de VLAN que vous spécifiez pour connecter un VLAN configuré sur le réseau entre vos périphériques AP et Firebox. Pour savoir quand et comment utiliser le marquage VLAN avec votre périphérique AP, consultez Configurer les VLAN des AP WatchGuard.
Ajouter un SSID
- Sélectionnez Réseau > Gateway Wireless Controller.
- Cliquez sur Ajouter.
Les paramètres de configuration de SSID apparaissent.
- Configurez les paramètres SSID comme indiqué à la section suivante.
- Sélectionnez Réseau > Gateway Wireless Controller.
- Cliquez sur Ajouter.
La boîte de dialogue Ajouter un SSID s'affiche.
- Configurez les paramètres SSID comme indiqué à la section suivante.
Configurer les Paramètres de SSID
Configurez les paramètres SSID dans l'onglet Paramètres :
- Nom de réseau (SSID) — Saisissez le nom de SSID, qui est le nom du réseau sans fil visible pour les clients.
- Diffuser le SSID — Activer la diffusion du nom de SSID par les périphériques AP. Décochez la case Diffuser le SSID pour masquer le nom de SSID.
- Activer l'isolation des clients — Empêche les clients sans fil connectés à ce SSID de s'échanger du trafic via le périphérique AP. Pour plus d'informations, consultez À propos de l'Isolation des Clients du Périphérique AP.
- Limiter le nombre d'associations — (Fireware v12.3 et versions ultérieures) Limite le nombre de clients pouvant s'associer à ce SSID. Sélectionnez le Nombre maximum d'associations dans la liste déroulante. Cette option n'est pas prise en charge par les anciens périphériques AP (AP100, AP102, AP200 et AP300).
- Utiliser la liste de contrôle d'accès MAC définie dans les paramètres du Gateway Wireless Controller — Utiliser une liste d'adresses MAC Refusées ou Autorisées pour contrôler l'accès des clients sans fil. Pour plus d'informations, consultez Configurer le Contrôle d'Accès MAC.
- Activer le marquage VLAN — Utiliser des VLAN marqués pour distinguer le trafic de plusieurs SSID. Si vous activez le marquage VLAN, dans la zone de texte ID de VLAN, saisissez ou sélectionnez l'identifiant du VLAN marqué à utiliser pour ce SSID.
Si vous activez le marquage VLAN et tentez de configurer un SSID pour utiliser un ID de VLAN non configuré sur le Firebox, un message d'avertissement s'affiche précisant que l'ID de VLAN que vous avez configuré dans les paramètres de SSID n'existe pas. Assurez-vous de configurer un VLAN marqué pour ce SSID. Dans la plupart des configurations réseau, vous créez le VLAN marqué pour chaque SSID ainsi qu'un VLAN non marqué destiné aux connexions de gestion au périphérique AP.
- Déployer automatiquement ce SSID sur tous les périphériques AP WatchGuard non couplés — Utiliser ce SSID pour le déploiement automatique afin de le configurer sur les périphériques AP récemment déployés. Pour plus d'informations. consultez À propos du Déploiement Automatique de Périphérique AP.
- Atténuer les failles de réinstallation de clé WPA/WPA2 pour les clients — Atténuer les failles KRACK WPA/WPA2 sur les clients sans fil vulnérables.
Cette option bloque les messages de négociation susceptibles d'exploiter les clients et force ces derniers à se réauthentifier. Cette réauthentification n'exige généralement pas que l'utilisateur saisisse à nouveau ses informations d'identification, mais peut ralentir de quelques secondes le temps de connexion du client. Cette option est désactivée par défaut. Cette logique d'atténuation peut causer d'autres symptômes similaires d'abandon de paquets, notamment des erreurs de trame naturelle lors d'une négociation ou un abandon de paquets lorsqu'un client bascule d'un périphérique AP à un autre ou se rend à un endroit hors de portée de la connexion du périphérique AP actuel. Ces situations peuvent entraîner l'échec et le rétablissement de certaines connexions d'authentification client. WatchGuard vous recommande d'activer la fonctionnalité d'atténuation tant que vous n'avez pas mis à jour l'ensemble des logiciels clients de manière à corriger les vulnérabilités des clients et évaluer leur impact sur l'environnement du client et l'expérience des utilisateurs.
Cette option n'est pas prise en charge par les anciens périphériques AP (AP100, AP102, AP200 et AP300).
- Activer le mode télétravailleur sur ce SSID lorsqu'il est utilisé à distance — (Fireware v12.0.2 et versions antérieures) Autoriser ce SSID à être utilisé en mode télétravailleur lorsqu'il est déployé sur un site distant. L'option de télétravail est uniquement prise en charge par les anciens périphériques AP (AP100, AP102, AP200 et AP300) dans Fireware v12.0.2 et versions antérieures. Pour plus d'informations, consultez À propos du Déploiement VPN Distant des Périphériques AP.
- « RSSI d'Association RSSI d'Association — Configurer l'intensité du signal minimale nécessaire à l'association d'un client avec un périphérique AP.
Le RSSI (Indicateur de Puissance du Signal Reçu) est le seuil permettant de déterminer si les clients peuvent s'associer à un périphérique AP. Sa valeur est exprimée en dBm (décibels milliwatts). Par exemple, la valeur par défaut est -70 dBm. Plus la valeur est proche de 0, plus le signal est fort. Pour plus d'informations sur la force des signaux, consultez Intensité du signal et niveaux sonores Sans Fil,
Vous pouvez configurer le Seuil RSSI d'Orientation dans les paramètres d'un périphérique AP. Pour plus d'informations, consultez Configurer les Paramètres des Périphériques AP.
- Orientation Intelligente — Oriente proactivement les clients vers un périphérique AP dont le signal est plus fort que celui de leur périphérique AP actuel.
Cette mesure évite aux clients de rester connectés à leur périphérique AP actuel lorsque le signal se dégrade lors de l'itinérance du client. Vous devez activer l'option RSSI d'Association Min. avant d'activer Orientation Intelligente. Vous pouvez configurer les paramètres avancés de l'Orientation Intelligente dans les paramètres d'un périphérique AP. Pour plus d'informations, consultez Configurer les Paramètres des Périphériques AP.
- Orientation de Bande — Facilite la répartition des clients sans fil entre les bandes 2,4 GHz et 5 GHz d'un SSID.
Lorsqu'un SSID est configuré avec les bandes 2.4 GHz et 5 GHz, les clients peuvent être orientés vers la bande 5 GHz la moins encombrée de manière à équilibrer la charge du périphérique AP. Les clients sont orientés vers la bande de 5 GHz si l'intensité du signal du client dans cette bande est supérieure au RSSI d'Orientation de Bande (-75 dBm par défaut). Les clients dont l'intensité du signal est faible ne peuvent pas fonctionner efficacement dans la bande des 5 GHz et ne doivent pas être orientés, même s'ils peuvent fonctionner dans cette bande.
L'Orientation de Bande n'est généralement pas nécessaire dans les environnements où la plupart des périphériques sans fil sont récents et configurés par défaut pour utiliser la bande 5 GHz.
Désactivez la fonction Orientation de Bande si les clients rencontrent des problèmes de connexion lorsque la fonction Orientation Intelligente est également activée simultanément. Les clients orientés vers la bande 5 GHz peuvent subir une diminution de leur RSSI susceptible de causer leur déconnexion en raison du seuil RSSI de Transfert Rapide.
- Paramètres Globaux de Lissage du Trafic — Spécifier des limites de bande passante d'émission et de réception pour le lissage du trafic de ce SSID.
À titre d'exemple, vous pouvez utiliser cette fonctionnalité pour restreindre les téléchargements des utilisateurs connectés à votre SSID Invité afin qu'ils ne ralentissent pas le reste du réseau, ou pour appliquer des limites à tous les utilisateurs sur l'ensemble de votre réseau sans fil. Les valeurs que vous définissez dépendent de la bande passante disponible sur votre connexion à Internet, du nombre de clients simultanément connectés, du type et de la quantité du trafic, ainsi que de la nécessité pour vos utilisateurs de recourir à des applications de streaming audio/vidéo ou autres applications exigeantes en bande passante.
Vous pouvez configurer des limites pour l'ensemble du SSID ou par utilisateur.
- Restreindre la bande passante de réception sur le SSID à — Saisissez une limite en Kb/s. Par exemple, pour limiter les téléchargements à 2 Mb/s, saisissez 2000. Saisissez 0 pour illimité.
- Restreindre la bande passante d'émission sur le SSID à — Saisissez une limite en Kb/s. Par exemple, pour limiter les émissions à 1 Mb/s, saisissez 1000. Saisissez 0 pour illimité.
- Restreindre la bande passante de réception des utilisateurs à — Saisissez une limite en Kb/s. Par exemple, pour limiter les téléchargements à 2 Mb/s, saisissez 2000. Saisissez 0 pour illimité.
- Restreindre la bande passante d'émission des utilisateurs à — Saisissez une limite en Kb/s. Par exemple, pour limiter les émissions à 1 Mb/s, saisissez 1000. Saisissez 0 pour illimité.
Les anciens périphériques (AP100, AP102, AP200 et AP300) prennent uniquement en charge les restrictions de réception.
- Activer un planning d'activation — Activer ce SSID pendant une période donnée. Cette fonctionnalité restreint l'accès à ce SSID en fonction des heures que vous configurez. Par exemple, il est possible de restreindre l'accès sans fil des invités aux heures de bureau. Définissez l'Heure de début et l'Heure de fin au format 24 heures (hh:mm).
Les SSID non actifs dans le calendrier ne figurent pas sur les pages de surveillance du Gateway Wireless Controller de Fireware Web UI et Firebox System Manager.
- Activer la détection des points d'accès pirates — Analyser votre réseau à la recherche de points d'accès sans fil qui n'en font pas partie.
Un Rogue Access Point est tout point d'accès situé à portée de votre réseau, mais non reconnu comme point d'accès autorisé. Lorsque vous activez la détection des Rogue Access Point, le Gateway Wireless Controller analyse les canaux sans fil pour identifier les points d'accès sans fil inconnus. Pour plus d'informations, consultez Activer Rogue Access Point Detection avec le Gateway Wireless Controller.
Utilisez la fonctionnalité de Cartes de Déploiement Sans Fil du Gateway Wireless Controller pour afficher les BSSID externes (SSID de Diffusion) et les potentiels points d'accès pirates. Pour plus d'informations, consultez Afficher des Cartes de Déploiement Sans Fil.
Vous pouvez configurer des exceptions dans la liste points d'accès pirates pour éviter que le Firebox n'identifie les points d'accès connus (identifiés par leur adresse MAC) comme points d'accès pirates. Cliquez sur Ajouter pour ajouter une adresse MAC d'un point d'accès connu. Cliquez sur Supprimer pour supprimer un périphérique de la liste.
La fonctionnalité Rogue Access Point Detection du Gateway Wireless Controller et des AP WatchGuard gérés diffère de celle conçue pour les périphériques Firebox sans fil équipés de fonctionnalités sans fil intégrées.
Pour obtenir des informations concernant les différences entre les périphériques Firebox sans fil et les AP WatchGuard, consultez Solutions Sans fil WatchGuard. . Pour obtenir des informations concernant Rogue Access Point Detection pour les périphériques Firebox sans fil, consultez Rogue Access Point Detection.
Ajouter des Radios aux Périphériques AP
Lorsque vous ajoutez un SSID, vous pouvez l'assigner à une ou plusieurs radios de périphérique AP.
Pour assigner un SSID à la radio d'un périphérique AP :
- Sélectionnez l'onglet Points d'accès dans la configuration SSID.
- Dans la liste Points d'Accès avec ce SSID, ajoutez les radios du périphérique AP que vous souhaitez utiliser avec ce SSID.
Vous pouvez également assigner des SSID à une radio de périphérique AP lorsque vous modifiez les paramètres radio du périphérique AP. Pour plus d'informations, consultez Configurer les Paramètres Radio d'un Périphérique AP.
Configurer les paramètres de sécurité
Pour configurer les paramètres de sécurité sans fil pour le SSID :
- Sélectionnez l'onglet Sécurité.
- Dans la liste déroulante Mode de sécurité, sélectionnez le protocole de sécurité pour ce SSID.
- Complétez les paramètres pour configurer le protocole de sécurité sélectionné.