Divisez le réseau et assurez la sécurité BYOD avec la solution Omada SDN
Introduction
De nos jours, un nombre croissant d'entreprises autorisent voire encouragent leurs employés à travailler avec des appareils mobiles personnels. La tendance BYOD (Bring Your Own Device) va sans aucun doute redonner de la vitalité au monde des affaires. Cependant, ce n'est pas une tâche facile pour le personnel de profiter pleinement de la commodité BYOD sans compromettre les normes de sécurité. La menace pour la sécurité du réseau augmente à mesure que le personnel déplace ses appareils dans le bureau. C'est particulièrement le cas pour les grandes entreprises avec plusieurs départements. La solution Omada SDN traite ces problèmes en tirant parti des fonctionnalités multi-SSID et des politiques ACL flexibles.
Pour en savoir plus sur la solution SDN Omada, consultez https://www.tp-link.com/omada-sdn/
Scénario d'application
Prenons un exemple pour expliquer cela en détail. Une entreprise a deux départements dans un bâtiment : R&D et Marketing. Chaque service se voit attribuer un sous-réseau et un VLAN individuels. Le département R&D est dans le segment de sous-réseau VLAN 10 et 172.31.10.0/24. Le service marketing se trouve dans le segment de sous-réseau VLAN 20 et 172.31.20.0/24. Dans ce scénario, le personnel peut apporter ses appareils sans fil personnels au travail et se connecter au réseau de son service, mais pas au réseau de l'autre service pour des raisons de sécurité.
Tout un ensemble de produits de la solution Omada SDN (comme le routeur ER605, le switch TL-SG3428MP, et les points d'accès EAP610) peut être utilisé pour construire le réseau. Tous les appareils sont configurés et surveillés sur une plate-forme centrale, le contrôleur Omada OC300. Vous pouvez accéder et gérer l'OC300 à l'aide de son interface utilisateur Web sur votre ordinateur.
Voici les étapes pour diviser le réseau et assurer la sécurité BYOD à l'aide de l'interface utilisateur Web de l'OC300.
Étape 1. Configurer un WAN
Étape 2. Configurer un LAN et des VLAN
Étape 3. Configurer le Wi-Fi
Étape 4. Configurer une liste de contrôle d'accès
Étape 1. Configurer un WAN
Nous allons configurer une connexion WAN pour le routeur, qui est la connexion Internet.
1. Accédez à Paramètres > Réseaux filaires > Internet . Sélectionnez le type de connexion et configurez les paramètres en fonction de votre FAI. Cliquez sur Appliquer pour finaliser les paramètres. Si vous obtenez une adresse IP dynamique de votre FAI, vous devez sélectionner IP dynamique .
Si vous obtenez une adresse IP statique de votre FAI, vous devez sélectionner IP statique et entrer l'adresse IP, le masque de sous-réseau, la passerelle par défaut et le serveur DNS fournis par le FAI.
Étape 2. Configurer un LAN et des VLAN
Tout d'abord, vérifiez les paramètres LAN par défaut.
1. Accédez à Paramètres > Réseaux filaires > LAN . Là, vous pouvez voir les paramètres LAN par défaut.
2. Cliquez sur . Les paramètres du réseau local sont indiqués dans le tableau suivant. Vous pouvez conserver les paramètres par défaut pour le réseau local (VLAN 1).
Paramètre |
Valeur |
Nom |
LAN |
Objectif |
Interface |
Interface |
Tous les ports |
VLAN |
1 |
Passerelle/Sous-réseau |
192.168.0.1/24 |
Serveur DHCP |
Activer |
Plage DHCP |
192.168.0.1 – 192.168.0.254 |
Divisez le réseau local en deux autres VLAN et segments IP pour différents services.
3. Pour créer le VLAN 10, cliquez sur + Créer un nouveau réseau local . Configurez les paramètres dans le tableau suivant. Cliquez sur Enregistrer .
Paramètre |
Valeur |
Nom |
R&D |
Objectif |
Interface |
Interface |
Tous les ports |
VLAN |
10 |
Passerelle/Sous-réseau |
172.31.10.1/24 |
Serveur DHCP |
Activer |
Plage DHCP |
172.31.10.1 - 172.31.10.254 |
3. Pour créer le VLAN 20, cliquez sur + Créer un nouveau réseau local . Configurez les paramètres dans le tableau suivant. Cliquez sur Enregistrer .
Paramètre |
Valeur |
Nom |
Marketing |
Objectif |
Interface |
Interface |
Tous les ports |
VLAN |
20 |
Passerelle/Sous-réseau |
172.31.20.1/24 |
Serveur DHCP |
Activer |
Plage DHCP |
172.31.20.1 - 172.31.20.254 |
Pour que les VLAN prennent effet, vous devez configurer des profils de port sur la configuration VLAN, puis les appliquer aux ports de commutation en conséquence. Les profils de port dont vous avez besoin sont indiqués dans la figure suivante.
4. Accédez à Profil . Le contrôleur a automatiquement créé tous les profils dont vous avez besoin en fonction de votre configuration VLAN, y compris All , LAN , R&D et Marketing .
Vous devez appliquer les profils de port aux ports conformément au tableau suivant.
5. Accédez aux paramètres de commutation . Il y a l'interrupteur sur la liste. Cliquez sur . Par exemple, si vous souhaitez appliquer le profil R&D aux ports 4 et 6 , sélectionnez les deux ports dans la liste des ports et cliquez sur Modifier la sélection . Définissez ensuite R&D comme profil et cliquez sur Appliquer . Avec cette méthode, vous pouvez appliquer les profils à d'autres ports de commutateur.
Étape 3. Configurer le Wi-Fi
Dans cet exemple, vous devez créer plusieurs SSID pour différents services dans différents VLAN, à savoir le personnel de R&D dans le VLAN 10 et le personnel de marketing dans le VLAN 20 . Le Wi-Fi de chaque service est appliqué à tous les PAE et couvre l'ensemble du bureau par défaut. Cependant, vous devez distribuer différents ensembles de SSID et de mots de passe au personnel de chaque service pour vous connecter au VLAN concerné.
1. Pour créer un SSID pour le personnel de R&D dans le VLAN 10 , accédez à Réseaux sans fil et cliquez sur + Créer un nouveau réseau sans fil . Configurez les paramètres dans le tableau suivant. Cliquez sur Enregistrer .
Paramètre |
Valeur |
Nom du réseau (SSID) |
Personnel R&D |
Bande |
2,4 GHz, 5 GHz |
Sécurité |
WPA-Personnel |
Clef de sécurité |
Personnalisez le mot de passe du réseau sans fil. |
transmission SSID |
Activer |
VLAN |
Activez le VLAN et définissez l'ID de VLAN sur 10 . |
2. Pour créer un SSID pour le personnel marketing dans le VLAN 20 , accédez à Réseaux sans fil et cliquez sur + Créer un nouveau réseau sans fil . Configurez les paramètres dans le tableau suivant. Cliquez sur Enregistrer .
Paramètre |
Valeur |
Nom du réseau (SSID) |
Marketing Staff |
Bande |
2,4 GHz, 5 GHz |
Sécurité |
WPA-Personnel |
Clef de sécurité |
Personnalisez le mot de passe du réseau sans fil. |
transmission SSID |
Activer |
VLAN |
Activez le VLAN et définissez l'ID de VLAN sur 20 . |
3. Par défaut, les paramètres Wi-Fi sont appliqués à tous les EAP. Pour vérifier cela, allez dans Périphériques et sélectionnez l'EAP. Allez ensuite dans l' onglet Config et cliquez sur WLAN . Vous pouvez confirmer que les paramètres Wi-Fi sont appliqués à l'EAP.
Étape 4. Configurer une liste de contrôle d'accès
Vous devez créer une règle ACL pour séparer les VLAN (également les services) les uns des autres. Sinon, les clients de différents VLAN pourront toujours se connecter via les interfaces VLAN.
Accédez à Sécurité réseau > Switch ACL et cliquez sur + Créer une nouvelle règle . Configurez les paramètres dans le tableau suivant. Cliquez sur Appliquer .
Paramètre |
Valeur |
Nom |
R&D et Marketing |
Statut |
Activer |
Politique |
Refuser |
Protocoles |
Tous |
Bidirectionnel |
Activer |
Source |
Sélectionnez Réseau comme type et choisissez R&D comme source. |
Destination |
Sélectionnez Réseau comme type et choisissez Marketing comme destination. |
Type de reliure |
Ports |
Ports |
Tous les ports |
Enfin, vous avez terminé la configuration et toutes les exigences réseau sont remplies :
1) Il existe des réseaux filaires et sans fil pour chaque département.
2) Le réseau local est divisé en différents départements (VLAN). Chaque département fonctionne indépendamment l'un de l'autre, mais les deux départements peuvent accéder à Internet.
3) La sécurité BYOD est garantie. Le Wi-Fi de chaque service est appliqué à tous les PAE et couvre l'ensemble du bureau. Cependant, nous distribuerons différents ensembles de SSID et de mots de passe au personnel de chaque service pour se connecter au VLAN correspondant.