Contents

Rubriques Connexes

À propos de l'Isolation du Périphérique AP

Lorsque vous configurez un SSID pour votre périphérique AP, vous avez la possibilité d'activer d'isoler les clients. Le paramètre d'isolation des clients vous permet de spécifier si les clients sans fil peuvent communiquer directement entre eux via un périphérique AP. L'isolation des clients empêche tout trafic direct entre les clients sans fil connectés au même SSID d'une même radio.

Vous pouvez également utiliser l'isolation des clients pour empêcher tout trafic entre les clients sans fil utilisant le même SSID sur différents périphériques AP. Cette opération nécessite néanmoins une configuration supplémentaire des VLAN décrite dans les sections suivantes.

Nous vous recommandons d'activer l'isolation des clients pour les SSID des périphériques AP fournissant un réseau sans fil invité pour les clients sans fil qui ne s'approuvent pas mutuellement.

Isolation des Clients d'un Seul Périphérique AP

Pour activer l'isolation des clients sur un périphérique AP, cochez la case Activer l'isolation des clients dans les paramètres du SSID.

Pour plus d'informations, voir Configurer les SSID du périphérique WatchGuard AP.

Isolation des Clients de Plusieurs Périphériques AP

Lorsque l'isolation des clients est activée sur un seul périphérique AP utilisant un SSID identique à celui d'un autre périphérique AP, le trafic peut continuer de transiter entre les clients sans fil connectés aux autres périphériques AP. Pour une mise en œuvre efficace de l'isolation des clients pour un SSID utilisé par plusieurs périphériques AP, vous devez également vous assurer que l'ensemble du trafic entre vos périphériques AP passe par le Firebox. Le Firebox peut alors utiliser des VLAN pour appliquer au trafic des stratégies prenant en charge vos paramètres d'isolation des clients.

Vous pouvez utiliser un VLAN avec une isolation des clients pour refuser tout trafic direct entre les clients sans fil qui utilisent le même SSID et sont connectés à différents périphériques AP.

Pour mettre en œuvre l'isolation des clients sur plusieurs périphériques AP, vous devez :

  1. Ajouter un VLAN et le configurer pour appliquer des stratégies de pare-feu au trafic intra-VLAN.

Configurer un VLAN pour vous assurer que le même pool d'adresses IP est utilisé pour les clients sans fil qui se connectent au SSID sur n'importe quel périphérique AP. Tous les SSID doivent être sur le même réseau pour que l'itinérance sans fil fonctionne correctement. Lorsque vous configurez le VLAN pour appliquer des stratégies au trafic intra-VLAN, le Firebox applique les stratégies de pare-feu au trafic VLAN à partir d'une interface avec la destination du même VLAN sur une autre interface.

  1. Pour chaque périphérique AP, configurez une interface VLAN pour gérer le trafic VLAN non marqué.
    Vous pouvez également activer le marquage du VLAN de communication dans la configuration du périphérique AP et sélectionner un ID de VLAN à utiliser pour les communications de gestion.
  1. Configurez les paramètres du SSID pour activer l'isolation des clients.

Il n'est pas nécessaire d'activer le marquage VLAN dans les paramètres du SSID si les interfaces VLAN sont configurées pour gérer le trafic non marqué.

  1. Connectez chaque périphérique AP directement à une interface VLAN du Firebox.

Cela garantit que tout trafic entre périphériques AP passe par le Firebox.

Les stratégies de pare-feu par défaut refusent automatiquement tout trafic entre les périphériques AP de deux interfaces différentes. Par conséquent, il n'est pas nécessaire de créer une stratégie visant à refuser explicitement ce trafic. Par exemple, si vous configurez un VLAN dans la zone de sécurité Facultative, le Firebox refuse automatiquement les paquets entre les deux interfaces et les considère comme paquets non gérés, car ils ne correspondent pas à l'une des stratégies de pare-feu configurées. Pour empêcher tout trafic entre les périphériques AP, assurez-vous de ne pas ajouter de stratégie autorisant le trafic de zone Facultative à Facultative.

Vous pouvez également activer le marquage VLAN dans le SSID et configurer les interfaces VLAN de manière à gérer le trafic marqué. Le marquage VLAN n'est toutefois pas nécessaire à l'isolation des clients. Si vous activez le marquage VLAN, vous devez configurer deux VLAN : l'un destiné au trafic marqué du SSID et l'autre pour le trafic non marqué des communications de gestion. Vous pouvez également activer un VLAN et configurer le périphérique AP de manière à activer le marquage VLAN des communications de gestion pour ce VLAN dans la configuration du périphérique AP.
Pour plus d'informations, voir Configurer des VLAN pour les périphériques WatchGuard AP.

Exemple — Isolation et Itinérance des Clients

Cet exemple illustre la mise en place de l'isolation des clients pour un réseau sans fil invité comprenant deux périphériques AP100 partageant le même SSID.

Étape 1 — Configurer le VLAN

Configurez d'abord les interfaces VLAN et les VLAN pour vos périphériques AP.

Pour configurer les VLAN à partir de Fireware Web UI.Closed
  1. Configurez les deux interfaces Firebox comme interfaces VLAN.
    À titre d'exemple, les deux interfaces VLAN peuvent avoir ces paramètres :
    • Noms d'Interface — AP100-1 et AP100-2
    • Type d'Interface — VLAN
  2. Créez un VLAN à utiliser pour le trafic à destination d'un SSID.
    À titre d'exemple, le VLAN pourrait avoir ces paramètres :
    • Nom — AP100-Invité
    • ID de VLAN — 20
    • Zone de Sécurité — Facultatif
    • Adresse IP — 10.0.20.1/24
    • Paramètre de marquage VLAN — Trafic non marqué pour les interfaces VLAN AP100-1 et AP100-2
    • Appliquer des stratégies de pare-feu au trafic intra-VLAN — Activé
    • Réseau — Pool d'Adresses du Serveur DHCP : 10.0.20.10 à 10.0.20.100
Pour configurer les VLAN à partir de Policy Manager.Closed
  1. Créez un VLAN pour appliquer le marquage VLAN à du trafic à destination d'un SSID.
    À titre d'exemple, le VLAN pourrait avoir ces propriétés :
    • Nom (Alias) — AP100-Guest
    • ID de VLAN — 20
    • Zone de Sécurité — Facultatif
    • Adresse IP — 10.0.20.1/24
    • Pool d'Adresses du Serveur DHCP — 10.0.20.10 à 10.0.20.100
    • Appliquer des stratégies de pare-feu au trafic intra-VLAN — Activé
  1. Configurez une interface VLAN sur le périphérique AP.
    À titre d'exemple, la première interface VLAN pourrait avoir ces propriétés :
    • Nom d'Interface — AP100-1
    • Type d'Interface — VLAN
    • Trafic non marqué reçu et envoyé pour le VLAN AP100-Guest (10.0.20.1/24)
  1. Configurez une interface VLAN sur le deuxième périphérique AP.
    À titre d'exemple, la deuxième interface VLAN pourrait avoir ces propriétés :
    • Nom d'Interface — AP100-2
    • Type d'Interface — VLAN
    • Trafic non marqué reçu et envoyé pour le VLAN AP100-Guest (10.0.20.1/24)

Pour plus d'informations sur la façon de configurer un VLAN, voir Définir un Nouveau VLAN.

Étape 2 — Configurer le SSID

Activez ensuite l'isolation des clients dans les paramètres du SSID.

Pour activer l'isolation des clients dans Fireware Web UI :Closed
  1. Ajoutez ou modifiez un SSID pour vos réseau invité sans fil.
  2. Cochez la case Activer l'isolation des clients.

Le VLAN AP-Invité dans cet exemple est un VLAN non marqué. Par conséquent, vous n'avez pas à activer le marquage VLAN dans les paramètres du SSID.

Pour activer l'isolation des clients dans Policy Manager :Closed
  1. Ajoutez ou modifiez un SSID pour vos réseau invité sans fil.
  2. Cochez la case Activer l'isolation des clients.

Le VLAN AP-Invité dans cet exemple est un VLAN non marqué. Par conséquent, vous n'avez pas à activer le marquage VLAN dans les paramètres du SSID.

Pour plus d'informations sur la configuration d'un SSID, voir Configurer les SSID du périphérique WatchGuard AP.

Étape 3 — Connecter les Périphériques AP aux Interfaces VLAN

Après avoir configuré les interfaces VLAN et les paramètres du SSID :

  1. Connectez les périphériques AP aux interfaces VLAN.
  2. Découvrez et couplez chaque périphérique AP.
  3. Configurez les deux périphériques AP pour utiliser le SSID que vous avez configuré.

Pour plus d'informations sur la découverte et le couplage, voir Découverte et appairage du périphérique WatchGuard AP.

À Propos de cet Exemple

Cet exemple de configuration empêche tout trafic sans fil direct entre les clients sans fil qui se connectent au SSID AP100-Invité. Deux composants principaux de cette configuration :

  • Isolation des clients — Le paramètre d'isolation des clients du SSID fait en sorte que les clients sans fil qui se connectent à la même radio ne puissent pas directement se connecter entre eux.
  • VLAN — La configuration du pare-feu et du VLAN veille à ce que le trafic ne puisse pas passer entre les clients sans fil qui se connectent au AP100-Invité à partir de périphériques AP différents.

Cet exemple illustre la configuration de l'isolation des clients pour deux périphériques AP. Pour ajouter un troisième périphérique AP, configurez une autre interface VLAN pour gérer le trafic VLAN non marqué pour le VLAN défini. Connectez ensuite le périphérique AP à cette interface de VLAN et configurez-le pour utiliser le SSID défini.

Voir aussi

Configurer les SSID du périphérique WatchGuard AP

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.