Architecture centralisée

Les concepts

En réponse aux problématiques soulevées par l'agrandissement de ces réseaux, les constructeurs ont élaboré une nouvelle vision de l'organisation des réseaux. Le but principal était de regrouper certaines des fonctions jusqu'alors prises en charge par les point d'accès.

Deux concepts fondamentaux ont émergé :

il faut concentrer l'intelligence en un point central, hors des points d'accès ;
ceux-ci ne doivent plus agir que comme de simples antennes.

Cette vision des choses présente quelques similarités avec les réseaux de téléphonie mobile. Dans l'architecture centralisée, on distingue trois éléments constitutifs :

des points d'accès légers (LAP, Lightweight Access Points) ;
un ou plusieurs contrôleurs (WLC, Wireless Lan Controller) ;
un serveur d'administration des contrôleurs (WCS, Wireless Control System).

Parmi les constructeurs proposant des solutions de ce type, on pourra citer Cisco (qui est présenté dans cet exposé), Aruba Networks ou bien encore Bluesocket. Ces différentes solutions sont théoriquement interopérables, mais chaque constructeur ayant élaboré des protocoles de façon séparée, seules les fonctions basiques sont utilisables avec des matériels hétérogènes. Cela fait l'objet d'un paragraphe dans la partie Protocole d'échange.

Schéma global d'architecture

Fig. 2 – Schéma d'architecture centralisée

L'organisation du réseau diffère par l'introduction des contrôleurs, qui sont reliés aux points d'accès au travers du réseau local (ou étendu), en Ethernet ou IP, et qui s'intercalent entre ceux-ci et le coeur de réseau.

La communication entre contrôleurs et points d'accès se fait au travers d'un tunnel LWAPP. Celui-ci encapsule aussi bien les données clients (le trafic émis/reçu par les stations) que le trafic de contrôle (les messages d'administration du réseau).

Points d'accès légers

Les points d'accès légers Cisco sont en tous points identiques aux points d'accès lourds, et la seule différence réside dans le micrologiciel (firmware) installé. La conversion depuis ou vers un point d'accès léger se fait donc par un simple flashage du micrologiciel. Ils sont nommés ainsi car ils ont été allégés d'une partie des opérations de gestion du réseau sans-fil.

Les fonctions qu'ils assurent sont les suivantes :

émission/réception sur le canal physique (modulation du signal DSSS, OFDM ; MIMO) ;
une partie de la couche liaison de données :

CSMA/CA
balises de signalisation (beacons) ;
chiffrement de niveau 2 (WPA et al.) ;
tampons de transmission/réception ;
files QoS ;
encapsulation/décapsulation LWAPP, fragmentation IP.

Fig. 3 – Quelques modèles de points d'accès

Les fonctions avancées de la couche liaison sont elles déportées sur le contrôleur de rattachement :

associations 802.11 ;
gestion de la sécurité (définition des politiques de sécurité, authenticator EAP).

De manière générale, le point d'accès prend en charge toutes les fonctions dites "temps réel", c'est à dire les opérations qui nécessitent soit une réponse immédiate ou une exécution périodique (gestion des collisions, signalisation par balises), soit qui demandent des calculs intensifs dont la prise en charge serait trop coûteuse si elle était réalisée au centre du réseau. C'est par exemple le cas du chiffrement du trafic transmis en sans-fil, où il est tout à fait logique de distribuer le calcul sur l'ensemble des points d'accès. À cela s'ajoutent bien évidemment les éléments physiques d'extrémité (tampons de transmission/réception, antennes).

Attachement à un contrôleur

Le point d'accès a besoin d'un contrôleur pour fonctionner. Pour le trouver, il suit une démarche en deux étapes :

établissement d'une liste de contrôleurs candidats (obtention de leurs adresses IP) ;
sélection parmi cette liste.

L'établissement de la liste des candidats peut-être réalisé de différentes manières. Celles-ci sont utilisées l'une après l'autre pendant le processus initial de découverte :

découverte par broadcast sur le sous-réseau de rattachement (format de trame spécial que le contrôleur, s'il est localisé sur le même sous-réseau, reconnaîtra, et auquel il va répondre) ;
utilisation d'extensions DHCP spécifiques (champs TLV constructeur) ;
enregistrement DNS ;
configuration statique dans la mémoire du point d'accès.

Un système intégré d'équilibrage de charge permet au point d'accès de choisir le contrôleur le moins chargé lors de la phase d'initialisation.

Contrôleurs

Le contrôleur est l'élément indispensable au fonctionnement d'une solution centralisée : il en constitue le cerveau. Il a en charge le pilotage de tous les points d'accès associés, pour les fonctions de base telles que :

la gestion des versions logicielles (firmwares) et des configurations ;
l'application des profils réseau et des politiques de sécurité ;
la gestion des radiofréquences ;
la QoS.

mais aussi pour les fonctions avancées :

mobilité des clients dans le réseau ;
IPS/IDS ;
cache DHCP/RADIUS.

Il constitue le point de terminaison des tunnels LWAPP, c'est à dire le point de sortie pour le trafic issu des clients.

Fig. 4 – Quelques modèles de contrôleur

Serveur d'administration

Le dernier élément de cette architecture est le serveur d'administration, appelé Wireless Control System. Sa présence facilite grandement l'administration du réseau puisqu'il permet de définir des éléments de configuration (on parle de templates) et de les appliquer à des contrôleurs, lesquels les transmettent ensuite aux points d'accès.

Fig. 5 – Principe de diffusion des messages de reconfiguration

L'administration du serveur est réalisée en utilisant une interface Web, ce qui permet un accès depuis n'importe quel poste de travail équipé d'un navigateur.