| L´école a séparé son réseau sans fil du reste du réseau par l´intermédiaire de la passerelle spécialisée du constructeur Bluesocket, qui gère des tunnels VPN entre les clients Wi-Fi et le réseau filaire. Cela lui évite d´activer le chiffrement WEP ou WPA entre les points d´accès et les postes mobiles.
"Nous souhaitions offrir aux étudiants et au personnel administratif la possibilité de se connecter via Wi-Fi, avec leur propre matériel ou des PC portables que nous prêtons au personnel", explique Christophe Rouvrais (photo), responsable de la filière Télécom et Réseaux de L´École centrale d´électronique (ECE). Le réseau sans fil récemment déployé est actuellement utilisé par environ 200 utilisateurs, mais en desservira à terme 1 200. Il couvre l´ensemble des locaux de l´école, soit 2000 mètres carrés sur cinq étages, et ce, de manière sécurisée. "Les ondes hertziennes ne s´arrêtent pas aux portes de l´école, qui est située en plein Paris", souligne le responsable.
La passerelle sans fil héberge un serveur VPN Pour couvrir l´ensemble des locaux, l´ECE a déployé neuf points d´accès Wi-Fi Cisco fournissant un accès à la norme IEEE 802.11b (débit théorique de 11 Mbit/s) ou IEEE 802.11g (54 Mbit/s). Ces matériels n´ont pas été reliés au réseau filaire directement, mais par l´intermédiaire d´une passerelle spécialisée, le modèle WG-2100 du constructeur Bluesocket. Cette dernière comporte un serveur VPN (Virtual Private Network pour réseau privé virtuel), qui communique avec les clients sans fil via des tunnels L2TP chiffrés par le protocole IPSec - ce qui implique la présence d´un logiciel client VPN sur les postes. En amont de la passerelle, les flux rejoignent le réseau filaire en clair. Il n´est donc pas nécessaire de paramétrer les postes mobiles et points d´accès pour activer un chiffrement de type WEP ou autre au niveau des communications hertziennes, puisque ce segment fait partie de celui protégé par le VPN.
Un réseau local virtuel Précaution supplémentaire, les points d´accès sont isolés du reste du réseau en étant affectés à un réseau local virtuel VLAN (Virtual Local Area Network) qui leur est propre. Ce type d´isolation logique leur permet de ne pas être "vus" par des éléments du réseau ne faisant pas partie de leur VLAN. Des VLANs sont également utilisés au niveau du réseau filaire pour séparer le personnel administratif et les étudiants, qui partagent l´infrastructure physique, mais ont droit d´accéder à des ressources différentes. Les postes sans fil ne sont, en revanche, pas directement assimilés à ces VLAN. "Il aurait fallu pour cela associer à chaque VLAN un identifiant de réseau sans fil, ou SSID, ce qui aurait compliqué les choses. Nous n´utilisons donc qu´un SSID", explique Christophe Kern, responsable réseau de l´ECE.C´est la passerelle qui, après avoir identifié les utilisateurs sans fil, par exemple par le biais d´un annuaire compatible LDAP (Lightweight Directory Access Protocol), les affecte au bon VLAN en amont. L´ECE a par ailleurs prévu un accès limité à Internet pour les visiteurs. La passerelle identifie ces derniers par un login et un mot de passe spécifiques. Les visiteurs se connectent donc sans chiffrement, "ce qui leur évite l´étape contraignante de configuration d´une connexion VPN", précise le responsable réseau.
|