Rubriques Connexes
Déploiement de Périphérique AP avec VLAN (réseaux locaux virtuels) et Réseau Invité
Si votre environnement de réseau est complexe et possède des conditions de sécurité et de stratégie pour les utilisateurs sans fil, vous pouvez activer des réseaux locaux virtuels (VLAN) sur les SSID pour votre réseau sans fil. Les VLAN vous permettent d'appliquer des stratégies de sécurité sans fil à chaque SSID sur le Firebox, et de répartir le trafic du réseau vers chaque SSID sur un VLAN dédié.
Avec ce scénario de déploiement, il existe deux méthodes principales pour connecter physiquement votre périphérique WatchGuard AP au réseau :
- Connectez le périphérique AP directement au Firebox sur un réseau Approuvé, Facultatif ou Personnalisé configuré comme interface VLAN. Vous créez des VLAN sur le Firebox pour la gestion du périphérique AP et pour chaque SSID sans fil.
- Connectez le périphérique AP à un commutateur de réseau géré et configuré avec les informations VLAN pour les SSID concernés. Vous pouvez également configurer les mêmes VLAN sur le Firebox, afin de pouvoir les utiliser dans les stratégies de pare-feu de chaque SSID.
Déploiement AP et Stratégies Firebox
Les utilisateurs sans fil qui se connectent au SSID d'un réseau local virtuel (VLAN) spécifique peuvent avoir accès aux autres ressources situées sur le même VLAN mais n'ont pas automatiquement accès aux ressources connectées à d'autres interfaces ou VLAN de la même zone de sécurité (Approuvé, Facultatif ou Personnalisé). Vous devez créer des stratégies Firebox supplémentaires si vous voulez autoriser le trafic vers les autres interfaces et VLAN.
Interface Personnalisée et Sécurité sans fil des Invités
Nous vous recommandons d'utiliser la zone de sécurité d'interface Personnalisée pour l'interface sans fil invité. Par défaut, les interfaces Personnalisées ne sont pas comprises dans les stratégies de pare-feu. Il s'agit donc d'un point de départ sécurisé, qui autorise les connexions sans fil des utilisateurs invités aux ressources réseau d'un réseau Approuvé ou Facultatif. Vous devez créer des stratégies spécifiques pour les accès de la zone de sécurité Personnalisée, y compris pour l'accès sortant et l'accès aux autres réseaux et interfaces.
Types de VLAN requis
Pour activer le marquage VLAN dans les SSID de votre périphérique AP, deux types de VLAN doivent être créés :
- VLAN Marqués pour les SSID — Le périphérique AP utilise des VLAN marqués pour répartir le trafic sans fil de chaque SSID. Vous devez créer un VLAN marqué pour chaque SSID configuré dans votre réseau sans fil.
- VLAN Non Marqués pour la gestion du périphérique AP — Le Contrôleur de Passerelle Sans Fil sur le Firebox trouve et gère tous les périphériques WatchGuard AP par une connexion de gestion spéciale. Vous devez créer un VLAN non marqué et distinct à utiliser avec les connexions de gestion à vos périphériques AP. L'adresse IP de gestion du périphérique AP ne peut pas être une adresse IP sur un VLAN marqué.
Si vous activez le marquage VLAN des communications de gestion dans la configuration de votre périphérique AP, le Firebox peut utiliser un VLAN marqué pour les communications de gestion destinées aux périphérique AP. Un VLAN non marqué est toujours nécessaire pour la connexion initiale à un périphérique AP non couplé.
Vous pouvez choisir parmi deux méthodes différentes pour configurer des VLAN selon le lieu de connexion du périphérique AP sur votre réseau :
- Connectez le périphérique AP directement à un Firebox — Pour connecter votre appareil AP directement à votre Firebox, vous devez configurer des VLAN sur l'interface Firebox auquel le périphérique AP se connecte.
- Créez un VLAN pour la gestion du périphérique AP et des VLAN pour tous les SSID sans fil sur votre Firebox.
- Configurez l'interface du Firebox pour envoyer et recevoir le trafic marqué pour les VLAN de chacun de vos SSID, et pour envoyer et recevoir le trafic non marqué destiné au VLAN de communication du périphérique AP.
- Connexion du périphérique AP à un commutateur géré — Pour connecter votre périphérique AP à un commutateur géré, configurez les VLAN sur les interfaces du commutateur géré et sur l'interface du Firebox auquel le commutateur est connecté.
- Créez un VLAN pour la gestion du périphérique AP et des VLAN pour tous les SSID sans fil sur votre Firebox.
- Configurez l'interface du Firebox pour envoyer et recevoir le trafic marqué pour les VLAN de chacun de vos SSID, et pour envoyer et recevoir le trafic non marqué destiné au VLAN de communication du périphérique AP.
- Sur le commutateur, configurez les interfaces qui se connectent au Firebox et au périphérique AP pour envoyer et recevoir le trafic marqué pour les VLAN de chacun de vos SSID. Configurez ces interfaces sur le commutateur de manière à envoyer et recevoir le trafic non marqué destiné au VLAN des communications de gestion du périphérique AP.
Pour plus d'informations sur les conditions et la manière de configurer des VLAN à utiliser avec les périphériques WatchGuard AP, voir Configurer des VLAN pour les périphériques WatchGuard AP.
Pour plus d'informations pour activer les VLAN marqués et non marqués sur les interfaces de commutateur, voir la documentation de votre commutateur.
Créer des VLAN sur votre Firebox
Dans cet exemple de configuration, nous créons trois VLAN :
VLAN pour l'accès sans fil approuvé
- Description — Utilisé pour le réseau principal approuvé sans fil.
- ID de VLAN — 10
- Type d'interface — Approuvé
- Adresse IP — 10.0.10.1/24
- Plage DHCP — 10.0.10.2 - 10.0.10.20
VLAN pour l'accès invité sans fil
- Description — Utilisé pour le réseau sans fil invité.
- ID de VLAN — 20
- Type d'interface — Personnalisée
- Adresse IP — 10.0.20.1/24
- Plage DHCP — 10.0.20.2 - 10.0.20.20
Nous recommandons la zone de securité d'interface Personnalisée pour l'interface sans fil Invité car, par défaut, l'interface Personnalisée n'a pas de stratégies d'accès et constitue un point de départ sécurisé pour empêcher les utilisateurs sans fil invités d'accéder à un réseau Approuvé ou Facultatif.
VLAN Non Marqué pour la Gestion du Périphérique AP
- Description — Utilisée pour la recherche et la gestion du périphérique AP par le Contrôleur de Passerelle Sans Fil.
- ID de VLAN — 30
- Type d'interface — Approuvé
- Adresse IP— 10.0.30.1/24
- Plage DHCP — 10.0.30.2 - 10.0.30.20
Créer un VLAN pour le SSID Sans Fil Approuvé
- Sélectionnez Réseau > VLAN.
- Cliquez sur Ajouter.
- Dans la zone de texte Nom, saisissez le nom du VLAN.
Dans cet exemple, saisissez VLAN10. - Dans la zone de texte Description, décrivez ce VLAN.
Pour cet exemple, saisissez VLAN pour le réseau sans fil approuvé. - Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
Dans cet exemple, saisissez 10. - Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
Pour cet exemple, sélectionnez l'interface sans fil VLAN approuvée, Approuvé. - Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
Pour ce VLAN, saisissez 10.0.10.1 /24. - Sur l'onglet Réseau, ajoutez un serveur DHCP.
- Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
Pour ce VLAN, saisissez 10.0.10.2 et 10.0.10.20. - Sélectionnez des paramètres de marquage VLAN pour votre interface VLAN. Dans cet exemple, nous marquons le trafic VLAN sans fil approuvé.
- Cliquez sur Enregistrer pour enregistrer la configuration VLAN.
- Sélectionnez Réseau > Configuration.
- Cliquez sur l'onglet VLAN.
- Cliquez sur Ajouter.
- Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.
Dans cet exemple, saisissez VLAN10. - Dans la zone de texte Description, décrivez ce VLAN.
Pour cet exemple, saisissez VLAN pour le réseau sans fil approuvé. - Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
Dans cet exemple, saisissez 10. - Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
Pour cet exemple, sélectionnez l'interface sans fil VLAN approuvée, Approuvé. - Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
Pour ce VLAN, saisissez 10.0.10.1 /24. - Sélectionnez Utiliser le serveur DHCP et cliquez sur Ajouter.
- Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
Pour ce VLAN, saisissez 10.0.10.2 et 10.0.10.20. - Cliquez sur OK pour enregistrer la configuration VLAN.
Créer un VLAN pour le SSID Invité Sans Fil
- Sélectionnez Réseau > VLAN.
- Cliquez sur Ajouter.
- Dans la zone de texte Nom, saisissez le nom du VLAN.
Dans cet exemple, saisissez VLAN20. - Dans la zone de texte Description, décrivez ce VLAN.
Dans cet exemple, saisissez VLAN pour le réseau invité sans fil. - Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
Dans cet exemple, saisissez 20. - Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
Dans cet exemple, sélectionnez l'interface VLAN invité sans fil, Personnalisée. - Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
Pour ce VLAN, saisissez 10.0.20.1/24. - Sur l'onglet Réseau, ajoutez un serveur DHCP.
- Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
Pour ce VLAN, saisissez 10.0.20.2 et 10.0.20.20. - Sélectionnez des paramètres de marquage VLAN pour votre interface VLAN. Dans cet exemple, nous marquons le trafic VLAN sans fil invité.
- Cliquez sur Enregistrer pour enregistrer la configuration VLAN.
- Sélectionnez Réseau > Configuration.
- Cliquez sur l'onglet VLAN.
- Cliquez sur Ajouter.
- Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.
Dans cet exemple, saisissez VLAN20. - Dans la zone de texte Description, décrivez ce VLAN.
Dans cet exemple, saisissez VLAN pour le réseau invité sans fil. - Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
Dans cet exemple, saisissez 20. - Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
Pour cet exemple, sélectionnez Personnaliser. Nous recommandons la zone Personnaliser car le trafic d'une interface personnalisée n'est pas autorisé à passer par le Firebox sauf si vous configurez spécifiquement des stratégies de sorte à l'autoriser. Ceci est important pour la sécurité du réseau invité sans fil, pour vous assurer que les utilisateurs invités ne peuvent pas accéder à un réseau approuvé ou facultatif.
Lorsque vous utilisez la zone de sécurité Personnaliser, vous devez ajouter spécifiquement votre réseau invité sans fil à votre stratégie Sortant pour donner un accès sortant à vos utilisateurs sans fil invités.
- Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
Dans cet exemple, saisissez 10.0.20.1/24. - Sélectionnez Utiliser le serveur DHCP et cliquez sur Ajouter.
- Dans les zones de texte IP de Début et IP de Fin, saisissez les adresses IP de la plage DHCP.
Dans cet exemple, saisissez 10.0.20.2 et 10.0.20.20. - Cliquez sur OK pour enregistrer la configuration VLAN.
Créer un VLAN pour la gestion de Périphérique AP
- Sélectionnez Réseau > VLAN.
- Cliquez sur Ajouter.
- Dans la zone de texte Nom, saisissez le nom du VLAN.
Pour cet exemple, saisissez VLAN30. - Dans la zone de texte Description, décrivez ce VLAN.
Pour cet exemple, saisissez VLAN pour les connexions de gestion des AP. - Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
Pour cet exemple, saisissez 30. - Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
Dans cet exemple, sélectionnez l'interface VLAN de communication du périphérique AP, Approuvée. - Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
Pour ce VLAN, saisissez 10.0.30.1/24. - Sur l'onglet Réseau, ajoutez un serveur DHCP.
- Dans les zones de texte IP de début et IP de fin, saisissez les adresses IP de la plage DHCP.
Pour ce VLAN, saisissez 10.0.30.2 et 10.0.30.20. - Sélectionnez des paramètres de marquage VLAN pour votre interface VLAN. Dans cet exemple, nous ne marquons pas le trafic VLAN de communication du périphérique AP.
- Cliquez sur Enregistrer pour enregistrer la configuration VLAN.
Lorsque vous avez terminé, les paramètres de l'exemple VLAN ressemble à ceci :
- Sélectionnez Réseau > Configuration.
- Cliquez sur l'onglet VLAN.
- Cliquez sur Ajouter.
- Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.
Dans cet exemple, saisissez VLAN30. - Dans la zone de texte Description, décrivez ce VLAN.
Dans cet exemple, saisissez VLAN pour les connexions de gestion de AP. - Dans la zone de texte ID de VLAN, saisissez un numéro d'identification VLAN.
Dans cet exemple, saisissez 30. - Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité pour ce VLAN et ce SSID.
Dans cet exemple, sélectionnez l'interface VLAN de communication du périphérique AP, Approuvée. - Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface VLAN dans la notation de barre oblique.
Dans cet exemple, saisissez 10.0.30.1/24. - Sélectionnez Utiliser le serveur DHCP et cliquez sur Ajouter.
- Dans les zones de texte IP de Début et IP de Fin, saisissez les adresses IP de la plage DHCP.
Dans cet exemple, saisissez 10.0.30.2 et 10.0.30.20. - Cliquez sur OK pour enregistrer la configuration VLAN.
Lorsque vous avez terminé, les paramètres de l'exemple VLAN ressemble à ceci :
Ajouter des VLAN à une Interface Réseau (Policy Manager)
Si vous utilisez Policy Manager, vous devez ajouter ces VLAN à une interface réseau et sélectionner vos options de marquage.
- Sélectionnez Réseau > Configuration.
- Sélectionnez l'onglet Interfaces.
- Sélectionnez l'interface réseau à utiliser pour les VLAN et cliquez sur Configurer.
La boîte de dialogue Paramètres de l'interface apparaît pour l'interface sélectionnée.
- Dans la zone de texte Nom de l'Interface, saisissez le nom de cette interface VLAN.
- Dans la zone de texte Description de l'interface, décrivez cette interface VLAN.
- Dans la liste déroulante Type d'interface, sélectionnez Réseau local virtuel (VLAN).
- Pour recevoir les données VLAN marquées sur l'interface réseau, cochez la case Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés.
- Cochez la case Membre pour chaque VLAN marqué à inclure sur cette interface.
Dans cet exemple, sélectionnez VLAN10 et VLAN20.
Seuls les VLAN de SSID sont marqués. Le VLAN de communication du périphérique AP ne doit pas être marqué. - Pour configurer l'interface afin qu'elle reçoive des données non marquées, cochez la case Envoyer et recevoir du trafic non marqué pour les VLAN sélectionnés.
Afin d'envoyer et de recevoir les données non marquées destinées au VLAN de communication du périphérique AP, cette option doit être sélectionnée. - Dans la liste déroulante, sélectionnez le VLAN de communication du périphérique AP, VLAN30, comme VLAN non marqué.
- Cliquez sur OK.
- Enregistrez le fichier de configuration dans votre Firebox.
Ajouter les SSID au contrôleur de passerelle sans fil
- Sélectionnez Réseau > Contrôleur de Passerelle Sans Fil.
- Cochez la case Activer le contrôleur de passerelle sans fil.
- Sous l'onglet SSID, cliquez sur Ajouter.
- Dans la zone de texte Nom du réseau (SSID), saisissez Approuvé.
- Cochez la case Activer le marquage VLAN.
Ceci est requis car le VLAN du SSID doit être marqué. - Dans la zone de texte ID de VLAN, saisissez ou sélectionnez 10.
- Dans l'onglet Points d'accès, sélectionnez les périphériques AP qui utiliseront ce SSID.
- Sélectionnez l'onglet Sécurité.
- Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
- Cliquez sur Enregistrer pour enregistrer la configuration SSID.
- Sous l'onglet SSID, cliquez sur Ajouter.
La boîte de dialogue Ajouter un SSID apparaît avec l'onglet Paramètres sélectionné.
- Dans la zone de texte Nom du réseau (SSID), saisissez Invité.
- Cochez la case Activer le marquage VLAN.
Ceci est requis car ce VLAN de ce SSID doit être marqué. - Dans la zone de texte ID du VLAN, saisissez ou sélectionnez 20.
- Dans l'onglet Points d'accès, sélectionnez les périphériques AP qui utiliseront ce SSID.
- Sélectionnez l'onglet Sécurité.
- Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
- Cliquez sur Enregistrer pour enregistrer la configuration SSID.
- Sélectionnez Réseau > Contrôleur de Passerelle Sans Fil.
La boîte de dialogue Contrôleur de passerelle sans fil s'affiche avec l'onglet SSID sélectionné. - Cochez la case Activer le contrôleur de passerelle sans fil.
- Sous l'onglet SSID, cliquez sur Ajouter.
La boîte de dialogue Ajouter un SSID apparaît avec l'onglet Paramètres sélectionné.
- Dans la zone de texte Nom du réseau (SSID), saisissez Approuvé.
- Cochez la case Activer le marquage VLAN.
Ceci est requis car le VLAN du SSID doit être marqué. - Dans la zone de texte ID de VLAN, saisissez ou sélectionnez 10.
- Dans l'onglet Points d'Accès, déplacez les périphériques AP pour lesquels vous désirez utiliser ce SSID de la liste Disponible vers la liste Membre.
- Sélectionnez l'onglet Sécurité.
- Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
- Cliquez sur OK pour enregistrer la configuration SSID.
La boîte de dialogue Contrôleur de Passerelle Sans Fil s'affiche avec le SSID approuvé dans la liste SSID. - Sous l'onglet SSID, cliquez sur Ajouter.
La boîte de dialogue Ajouter un SSID apparaît avec l'onglet Paramètres sélectionné.
- Dans la zone de texte Nom du réseau (SSID), saisissez Invité.
- Cochez la case Activer le marquage VLAN.
Ceci est requis car le VLAN du SSID doit être marqué. - Dans la zone de texte ID du VLAN, saisissez ou sélectionnez 20.
- Dans l'onglet Points d'Accès, déplacez les périphériques AP pour lesquels vous désirez utiliser ce SSID de la liste Disponible vers la liste Membre.
- Sélectionnez l'onglet Sécurité.
- Configurez vos paramètres de sécurité de chiffrement sans fil pour cet SSID.
- Cliquez sur OK.
La boîte de dialogue Contrôleur de passerelle sans fil s'affiche avec les SSID approuvé et invité dans la liste SSID.
- Cliquez sur OK pour enregistrer la configuration du contrôleur de passerelle sans fil.
- Enregistrez le fichier de configuration dans votre Firebox.
Après avoir configuré les SSID, vous pouvez coupler d'autres périphériques AP avec le Firebox, et attribuer ces SSID aux radios de chaque périphérique AP.
Voir aussi
À propos de la Configuration du Périphérique AP
Configurer les Périphériques AP avec le Contrôleur de Passerelle Sans Fil