WLC et architectures Wi-Fi centralisées
Définition
Un WLC (Wireless LAN Controller) est un équipement qui gère de manière centralisée un ensemble de points d'accès (AP). Au lieu de configurer chaque AP individuellement, l'administrateur configure les politiques Wi-Fi sur le WLC, qui les déploie automatiquement sur tous les AP associés.
Contexte
La certification CCST couvre les architectures Wi-Fi centralisées car elles sont le standard en entreprise. L'approche centralisée simplifie la gestion, le roaming et l'application uniforme des politiques de sécurité sur des dizaines ou centaines d'AP.
Détails techniques
Architectures Wi-Fi
| Architecture | Description | Usage |
|---|---|---|
| Autonome | Chaque AP est configuré individuellement, traite les données localement | Très petits réseaux (<5 AP) |
| Centralisée (Split-MAC) | Les AP sont « légers » (LAP), le WLC gère la configuration et la sécurité | Entreprise (10–6000 AP) |
| FlexConnect | AP centralisé pour la gestion, commute les données localement | Sites distants |
| Cloud-managed | Gestion via une plateforme cloud (Cisco Meraki, Aruba Central) | Multi-sites, SD-Branch |
Architecture Split-MAC (centralisée)
Le traitement Wi-Fi est réparti entre l'AP et le WLC :
| Fonction | Traitée par l'AP | Traitée par le WLC |
|---|---|---|
| Transmission/réception radio | ✅ | — |
| Beacon, probe response | ✅ | — |
| Chiffrement/déchiffrement en temps réel | ✅ | — |
| Authentification 802.1X | — | ✅ |
| Gestion des SSID et VLANs | — | ✅ |
| Politiques QoS | — | ✅ |
| Gestion de la puissance TX et des canaux (RRM) | — | ✅ |
| Roaming entre AP | — | ✅ |
CAPWAP (Control and Provisioning of Wireless Access Points)
Le protocole CAPWAP (RFC 5415) crée un tunnel entre chaque AP et le WLC :
| Tunnel | Port UDP | Usage |
|---|---|---|
| Control Tunnel | 5246 | Configuration, gestion, supervision |
| Data Tunnel | 5247 | Trafic des clients Wi-Fi |
[Client Wi-Fi] ~~radio~~ [AP léger] ==CAPWAP== [WLC] --- [Réseau]
Processus d'association AP → WLC
- L'AP obtient une adresse IP (DHCP, option 43 ou DNS
cisco-capwap-controller) - L'AP envoie un Discovery Request au WLC
- Le WLC répond avec un Discovery Response
- L'AP sélectionne un WLC (primaire, secondaire, tertiaire)
- L'AP établit un tunnel DTLS (sécurité) puis télécharge sa configuration
- L'AP est opérationnel et diffuse les SSID configurés
Fonctionnalités du WLC
| Fonctionnalité | Description |
|---|---|
| RRM (Radio Resource Management) | Ajuste automatiquement la puissance et les canaux |
| CleanAir | Détecte les interférences non Wi-Fi (Bluetooth, micro-ondes) |
| wIPS | Détecte les AP rogues et les attaques Wi-Fi |
| Roaming centralisé | Gère les clés PMK pour un fast roaming transparent |
| Guest Access | Portail captif et accès invités |
Exemples de WLC Cisco
| Modèle | AP supportés | Usage |
|---|---|---|
| Catalyst 9800-L | Jusqu'à 150 AP | PME |
| Catalyst 9800-40 | Jusqu'à 2000 AP | Entreprise |
| Catalyst 9800-80 | Jusqu'à 6000 AP | Campus / data center |
| Catalyst 9800-CL | Variable (VM) | Cloud / environnement virtuel |
Exemple concret
Un campus universitaire déploie 200 AP Cisco Catalyst 9120 gérés par un WLC Catalyst 9800-40. L'administrateur configure 3 SSID (Étudiants, Personnel, Invités) sur le WLC. Les 200 AP téléchargent cette configuration via CAPWAP en quelques minutes. Le RRM optimise automatiquement les canaux 5 GHz pour éviter les interférences entre AP voisins. Un AP défectueux est remplacé : le nouveau AP se connecte au WLC et reçoit sa configuration automatiquement.