WLAN Options

Familiarisez-vous avec les différentes options disponibles sur la page des paramètres WLAN et configurez des fonctionnalités telles que la sécurité, la bande radio, le geofence, l’isolation peer-to-peer, etc.

Navigation dans la fenêtre Paramètres du WLAN

Pour un WLAN dans un modèle WLAN, sélectionnez Organisation > sans fil | Modèles WLAN dans le menu de gauche, puis créez un modèle WLAN ou sélectionnez un modèle existant. Pour ajouter un WLAN à votre modèle, cliquez sur Ajouter un WLAN. Pour modifier un WLAN existant dans la liste WLAN, cliquez dessus.
Pour un WLAN au niveau du site, sélectionnez Site > sans fil | WLAN dans le menu de gauche, puis cliquez sur Ajouter un WLAN. Pour modifier un WLAN existant sur la page WLAN, cliquez dessus.
Certaines modifications réinitialiseront la radio. Pour plus d’informations, reportez-vous à la section Modifications apportées au WLAN qui réinitialisent la radio .

Figure 1 : paramètres WLAN Settings

du WLAN

Paramètres de configuration du WLAN

Tableau 1 : paramètres WLAN
Récapitulatif	des paramètres
SSID (SSID)	C’est le nom que le WLAN diffusera pour que les clients puissent le voir. Bien qu’il soit possible de configurer jusqu’à 15 SSID par radio, une bonne règle de base pour les profils d’équipement et les modèles WLAN est de n’utiliser que deux ou trois WLAN par AP. L’idée est de minimiser le temps d’antenne encouru par les trames de gestion des balises, qui sont envoyées toutes les 102,4 ms par radio, au débit de base minimum (MBR). En d’autres termes, à moins que vous ne preniez en compte les débits de données et la contention cocanal afin d’atteindre quatre, six, voire huit WLAN actifs sur un point d’accès, nous recommandons deux ou trois WLAN par point d’accès maximum.
État du WLAN	Utilisez cette option pour définir si un AP diffuse le WLAN. Vous pouvez également effectuer les opérations suivantes : Masquer le SSID Diffusez le point d’accès par son nom Définissez Mist pour désactiver un WLAN lorsque le point d’accès n’a pas d’adresse IP ou de passerelle par défaut, ou sur les WLAN tunnelisés lorsque le tunnel Mist Edge est en panne. L’objectif est d’éviter que les clients ne se retrouvent dans une impasse lorsque le point d’accès ne dispose pas d’une connectivité réseau complète ou a perdu sa connexion à Mist Edge. Activer la direction de bande. La technologie Band Steering détecte si un client connecté dispose de capacités bi-bande (2,4 GHz et 5 GHz). De nombreux appareils émettant sur la bande 2,4 dans une zone surpeuplée peuvent causer du bruit et des interférences avec votre connectivité sans fil. L’activation du Band Steering atténue ce problème en encourageant le client à rejoindre la bande 5 GHz s’il dispose d’un bon signal.
Bande radio	Choisissez les fréquences radio à diffuser sur le WLAN : 2,4 GHz, 5 GHz ou 6 GHz. Les clients sans fil obtiennent généralement de meilleures performances lorsqu’ils sont connectés à la bande 5 GHz plutôt qu’à la bande 2,4 GHz, car la bande 5 GHz comporte plus de canaux, et donc moins de conflits dans le même canal. La bande 6 GHz offre encore plus de canaux, un canal plus large, des options de sécurité plus avancées et des débits de données plus élevés. Reportez-vous à la section Gestion des ressources radio (RRM).
Inactivité des clients	Vous configurez un minuteur d’inactivité sur votre WLAN pour éviter la congestion. Le point d’accès désauthentifie les clients inactifs, tel que défini par l’heure que vous définissez ici. La durée par défaut est de 1800 secondes.
Géorepérage	Le géorepérage peut empêcher les clients dont l’indicateur d’intensité du signal reçu (RSSI) est inférieur à un niveau spécifié de rejoindre le réseau. Vous pouvez définir un RSSI client minimum par bande radio afin d’empêcher les clients se trouvant au-delà d’une certaine distance ou d’une certaine portée de rejoindre le WLAN. Le géorepérage ne s’applique qu’à l’association initiale. Par conséquent, si un client est déjà associé au réseau, il ne sera pas dissocié si sa valeur RSSI tombe en dessous du seuil configuré. La valeur par défaut est désactivée pour toutes les bandes radio. Reportez-vous à la section Activer le géorepérage.
Débits de données	Définissez des débits de données pour éviter que les clients ayant des connexions lentes ne dégradent les performances globales du WLAN. La valeur par défaut est Compatible, ce qui autorise toutes les connexions. Les autres options sont les suivantes : No Legacy (2.4G, no 11b) : empêche les équipements 802.11b de rejoindre le WLAN (ce qui, dans les faits, ajoute de la capacité au réseau). Haute densité (désactive tous les débits inférieurs) : empêche les clients 802.11b et 802.11g de rejoindre le réseau et définit également un niveau de signal minimum pour se connecter. Ce paramètre peut affecter l’itinérance des clients. Elle peut également empêcher les anciens équipements de rejoindre le réseau, ce qui peut être souhaitable du point de vue de la capacité, ou l’inverse, par exemple, si de nombreux équipements hérités sont coupés. Tarifs personnalisés : voir Configuration du débit de données Wi-Fi.
Protocoles Wi-Fi	Activer ou désactiver différentes versions du Wi-Fi. Lorsque vous activez une version Wi-Fi, ses fonctionnalités deviennent disponibles sur les points d’accès qui prennent en charge ce protocole.
Limite de débit WLAN	Utilisez les limites de débit WLAN pour définir des limites de liaison montante et descendante pour la bande passante WLAN. Vous pouvez configurer des limites de débit par AP, par client et par application. Vous pouvez également limiter l’allocation totale de bande passante pour une application donnée. Le champ de limite de débit prend également en charge les variables au niveau du site par WLAN et par client, en tant qu’option pour coder en dur les valeurs (c’est-à-dire les rendre globales). Ceci est particulièrement utile dans les modèles WLAN, où vous souhaitez configurer une configuration centrale pour un usage commun, mais aussi bénéficier de la flexibilité des différences spécifiques au site. Vous pouvez ajouter des variables sur la page Organisation > Administrateur > Configuration du site . Note: En fonction de votre cas d'utilisation, la définition d'une limite de débit peut s'avérer contre-productive sur les réseaux sans fil, car elle peut augmenter la consommation de temps d'antenne du client. Étant donné que le temps d’antenne est généralement la ressource la plus précieuse des réseaux sans fil, en consommer davantage en limitant le débit de la bande passante relativement abondante finit souvent par dégrader les performances globales de votre réseau.
Limite de débit par client	Définissez les débits de liaison montante et descendante de chaque client. Note: Mist applique cette limite de débit à tous les clients sans fil sur le SSID sélectionné. Il n’y a aucun moyen d’ajuster les limites pour chaque client. En définissant des valeurs dans ces champs, vous limitez chaque client sans fil aux valeurs de liaison montante et descendante que vous définissez.
Limite de débit d’application	Cette option limite le débit de liaison montante ou descendante par client pour l’application spécifiée. Vous devez identifier les applications par leur nom ou leur nom d’hôte.
Postuler aux points d’accès	Sélectionnez les points d’accès auxquels vous souhaitez appliquer ce WLAN : Tous, Spécifique ou selon le libellé du point d’accès. Par défaut, tous les points d’accès d’un site ou d’un groupe de sites sélectionné obtiennent la configuration WLAN et balisent le SSID. En fonction du cas d’utilisation ou des exigences, vous pouvez appliquer des filtres pour que le WLAN soit configuré uniquement sur les étiquettes des points d’accès ou sur des points d’accès spécifiques. Note: Vous pouvez créer des étiquettes au niveau de l’organisation ou du site. Dans le menu de gauche, sélectionnez Organisation > Étiquettes de > sans fil ou Site > Étiquettes de > sans fil. 1. Donnez un nom à votre étiquette. 2. Sélectionnez un type d’étiquette de point d’accès. 3. Sous Valeurs d’étiquette, cliquez sur le signe plus pour Ajouter un point d’accès, puis sélectionnez l’onglet Toute l’organisation ou l’onglet Site . 4. Cochez la case Nom du point d’accès en haut pour sélectionner tous les points d’accès de l’organisation ou du site, ou cochez les cases en regard des points d’accès que vous souhaitez inclure dans cette étiquette. La liste de sélection des points d’accès comprend un filtre de recherche qui vous permet de filtrer les points d’accès par adresse MAC ou par nom de point d’accès. Par exemple, si les points d’accès du site sont nommés dans les chaînes que vous filtrez, vous pouvez ensuite effectuer une sélection groupée pour appliquer l’étiquette à tous les points d’accès correspondant à la chaîne filtrée. 5. Appliquez l’étiquette AP sur votre WLAN afin que seuls les AP inclus dans l’étiquette obtiennent la configuration WLAN nécessaire.
Types de sécurité	WPA3 d’entreprise (802.1X) : authentification RADIUS. Avec ce type de sécurité, vous pouvez également activer des options supplémentaires : Transition WPA3+WPA2 : les modes de transition peuvent faciliter l’adoption de WPA3 et OWE en proposant les types de sécurité existants. Pour plus d’informations, reportez-vous à la section Considérations relatives au sans-fil 6 GHz. Chiffrement 192 bits : cette option offre le plus haut niveau de sécurité 802.1X en Wi-Fi en offrant un chiffrement GCMP-256 à distance et en exigeant des certificats plus sécurisés. WPA3 avec personnel (SAE) : authentification basée sur une phrase de passe. Vous pouvez configurer une ou plusieurs phrases secrètes. WPA2 d’entreprise (802.1X) : authentification RADIUS. WPA2 avec personnel (PSK) : Wi-Fi Protected Access (WPA) 2 à l’aide d’une clé prépartagée standard (PSK). Vous pouvez configurer une ou plusieurs phrases secrètes. Chiffrement sans fil opportuniste (OWE) : vous pouvez configurer les modes de transition WPA3/OWE sur des SSID multibandes 6 GHz afin de faciliter leur adoption. Pour plus d’informations, reportez-vous à la section Considérations relatives au sans-fil 6 GHz. Open Access : non chiffré, généralement utilisé pour les réseaux invités.
Autres options de sécurité	Selon le type de sécurité sélectionné, d’autres options incluent : Authentification par adresse MAC à l’aide de la recherche RADIUS : une adresse MAC est présentée à un serveur RADIUS pour autoriser le périphérique. Non disponible avec certains types de sécurité. Empêcher les clients bannis de s’associer : cette option empêche les clients qui ont été bannis sur la page Sécurité du réseau de s’associer à ce WLAN. Itinérance rapide : méthode de sécurité basée sur la norme 802.11r pour authentifier les nouveaux clients.
VLAN (en anglais)	Non étiqueté : n'utilise pas de VLAN ; Il s’agit du paramètre par défaut. Tagged (Balisage) : sélectionnez cette option si vous avez des VLAN statiques sur le réseau. Dans le champ qui s’affiche, saisissez l’ID de VLAN. Assurez-vous que le port de commutateur connecté au point d’accès (AP) utilise également un VLAN balisé. Pool (Pool) : sélectionnez cette option pour attribuer aux clients sans fil une adresse IP sélectionnée de manière aléatoire dans l’un des VLAN répertoriés dans le pool. Lorsque vous utilisez cette option pour la segmentation de réseau basée sur des PSK, spécifiez tous les ID de VLAN dont vous aurez besoin pour le champ ID de VLAN de la PSK (Organization > WLAN Templates > Pre-Shared Key > Add Key button, puis VLAN ID). Pour placer les clients dans différents VLAN en fonction de leur site, vous pouvez également utiliser une variable de site pour les VLAN des pools et laisser le champ ID VLAN vide dans la page de configuration PSK. Dynamique : sélectionnez cette option pour connecter les utilisateurs sans fil à un VLAN donné, tel que configuré dans le serveur RADIUS.
Isolation	L’isolation peer-to-peer empêche le trafic peer de couche 2 sur le même WLAN, AP ou sous-réseau filaire ou sans fil. Cette option est désactivée par défaut. (Pour le filtrage de couche 3, vous pouvez créer des stratégies WxLAN.) L’isolation des sous-réseaux nécessite la version 0.12 ou ultérieure du micrologiciel, et les clients doivent disposer d’une adresse DHCP.
Filtrage (sans fil) ARP Diffusion/Multidiffusion Autoriser le mDNS Autoriser SSDP Autoriser la découverte de voisins IPv6 Ignorer les demandes de sonde SSID de diffusion	Ces filtres réduisent le nombre de trames de gestion envoyées par les points d’accès dans le WLAN. Le filtrage peut améliorer considérablement les performances en libérant du temps d’antenne radio qui est autrement consommé dans le cadre de la routine de l’exploitation opérationnelle. Le filtre ARP empêche les requêtes de diffusion ARP (Address Resolution Protocol) vers une interface WLAN donnée. S’il n’est pas activé, le proxy ARP tentera de résoudre toutes les demandes d’adresse Ethernet inconnues en inondant la demande de toutes les interfaces non filtrées. Nous vous recommandons de laisser le filtre ARP activé. (Par défaut, les points d’accès Mist prennent en charge les ARP proxy, ce qui signifie que le point d’accès envoie une réponse ARP au nom du client au lieu de transférer le paquet à distance.) Le filtre Diffusion/multidiffusion empêche le point d’accès de propager les trames de diffusion et multidiffusion sur le réseau sans fil. Il filtre les diffusions IPv6, la multidiffusion et les trames mDNS IPv4/IPv6, bien que celles-ci puissent être exemptées individuellement. Les diffusions DHCP ne sont pas incluses dans ce filtre. Autorisez les trames mDNS en exemptant ce trafic d’être filtré lorsque le filtrage de diffusion/multidiffusion est sélectionné. mDNS est nécessaire pour Apple Bonjour pour la découverte du réseau. Autorisez les balises publicitaires SSDP (Simple Service Discovery Protocol) en exemptant le filtrage de ce trafic lorsque le filtrage de diffusion/multidiffusion est sélectionné. Le SSDP est nécessaire pour la détection de périphérique UPnP (Universal Plug and Play). Autorisez les trames IPv6 Neighbor Discovery en exemptant ce trafic lorsque le filtrage de diffusion/multidiffusion est sélectionné. Le point d’accès peut ignorer les demandes de sonde SSID de diffusion des clients sans fil, c’est-à-dire ne pas envoyer de réponse de sonde (qui annonce son SSID, les débits de données pris en charge et d’autres capacités 802.11).
Transfert personnalisé	Par défaut, le WLAN transfère le trafic client balisé ou non balisé via le port Ethernet principal, Eth0. Vous utilisez le transfert personnalisé en conjonction avec Mist Edge, ou par exemple, pour vous assurer que le trafic invité et le trafic de l’entreprise utilisent des réseaux différents. Vous pouvez définir le transfert personnalisé sur : Eth0 + PoE : valeur par défaut. Transférez le trafic vers le port Eth0. Eth1 : transfère le trafic via le deuxième port Ethernet du point d’accès. Ce mode nécessite que le VLAN WLAN ne soit pas étiqueté. Vous devez connecter le port Eth1 à un réseau local physiquement séparé. L2TPv3 : tunnel basé sur des normes. Si vous utilisez cette option, vous pouvez également configurer Mist désactiver le WLAN lorsque le tunnel Mist tombe en panne. Site Mist Edge : définissez le transfert personnalisé vers un Mist Edge au niveau du site et choisissez un tunnel. Vous pouvez également définir Mist pour désactiver le WLAN lorsque le tunnel tombe en panne en cochant la case Désactiver le WLAN lorsque Mist tunnel tombe en panne . Org Mist Edge : si vous utilisez cette option, vous pouvez sélectionner plusieurs tunnels pour répartir le trafic vers plusieurs clusters Mist Edge à l’aide de la séparation VLAN. Cela signifie que vous pouvez configurer le WLAN pour qu’il soit transféré vers plusieurs tunnels Mist Edge, ainsi que vers un breakout local. Au sein d’un WLAN, vous pouvez décider du comportement de transfert par VLAN. Le contrôle de transfert par VLAN permet une évolutivité extrêmement élevée dans les environnements de grande taille, car le point d’accès peut effectuer le transfert vers différents clusters Mist Edge. Une autre utilisation est la consolidation des SSID avec un transfert flexible. Vous devez vous assurer qu’un VLAN n’est pas dupliqué sur plusieurs tunnels. Vous pouvez également Mist définir sur : Désactivez le WLAN lorsque le tunnel Mist tombe en panne en cochant la case Désactiver le WLAN lorsque Mist tunnel tombe en panne . Forcez les clients à se reconnecter lorsque le tunnel Mist Edge bascule vers un Mist Edge des points d’accès dans un autre cluster Mist Edge en cochant la case Reconnecter les clients lorsque le cluster Mist Edge change . Cela sera utile pour déconnecter correctement les clients si le même sous-réseau IP n’est pas utilisé sur les clusters Mist Edge.
Planification des SSID	Cette option permet au WLAN de diffuser le SSID uniquement certains jours et certaines heures. Lorsqu’il est programmé pour être désactivé, le point d’accès ne diffuse pas le SSID (c’est-à-dire que le SSID n’est pas visible pour les clients qui recherchent des réseaux disponibles). La modification de l’état de diffusion ne réinitialise pas la radio et ne désactive pas le point d’accès. La planification SSID prend en charge plusieurs plages horaires pour chaque jour. Par défaut, ce mode est désactivé.
Redirection Web 802.1X	S’applique aux VLAN avec le type de sécurité Enterprise (802.1X). Cochez la case Activé pour rediriger un client vers une page Web particulière (par exemple, un portail mis en quarantaine pour les contrôles de conformité) une fois l’authentification 802.1X terminée. Pour que cette fonctionnalité fonctionne, la version de votre micrologiciel doit être la version 0.7 ou une version plus récente. Pour plus d’informations, reportez-vous à la section Configurer un WLAN 802.1X pour rediriger les clients vers des pages Web spécifiques.
Priorité QoS	Utilisez la qualité de service (QoS) pour hiérarchiser le trafic afin que le trafic le plus important ne soit pas bloqué dans une file d’attente en cas d’encombrement. Les points d’accès Juniper peuvent donner la priorité au trafic sans fil afin d’optimiser la radio partagée et d’optimiser les performances de l’application. Wi-Fi Multimedia (WMM) est une spécification de la Wi-Fi Alliance basée sur la norme QoS sans fil IEEE 802.11e pour prendre en charge la hiérarchisation du trafic. Cette spécification utilise les catégories d’accès suivantes pour hiérarchiser la transmission : 0 = Arrière-plan (non utilisé par les points d’accès Juniper) 1 = Meilleur effort 2=Vidéo 3=Voix
Extensions multimédias	Lorsque plusieurs applications simultanées se disputent les ressources réseau, les points d’accès Juniper peuvent utiliser des MME pour définir et améliorer la qualité et les performances du signal sans fil. Les extensions multimédias (MME) sont des extensions architecturales des processeurs à usage général destinées à améliorer les performances des charges de travail multimédias. Le débit n’est pas garanti par WMM.
AirWatch (en anglais seulement)	AirWatch™ est un système de gestion d’appareils mobiles tiers. Lorsque ce paramètre est activé, les points d’accès autorisent le trafic à passer uniquement pour les clients déjà identifiés dans la console AirWatch. Si cette option est activée, vous devez spécifier l’URL de la console AirWatch, la clé API et vos identifiants de connexion pour les appareils gérés.
Bonjour Gateway	La valeur par défaut n’est pas configurée. Configurez ce paramètre par WLAN, à partir de la page de configuration du WLAN ou des modèles WLAN. Cette fonction active automatiquement le filtrage de diffusion/multidiffusion. En tant que tel, assurez-vous de sélectionner l’option permettant d’autoriser les trames mDNS. Les services suivants sont disponibles, mais doivent être explicitement activés pour être détectables : AirDrop, AirPlay, AirPrint, Apple HomeKit Appareils Amazon, GoogleCast, Roku, Spotify Connect NFS, Scanner, SleepProxy (Wake-On-Network) Voir Ajouter une passerelle Bonjour à un WLAN.
Sécurité	Prend en charge WPA3, WPA2, Legacy, OWE et Open Access, avec des fonctionnalités d’entreprise (802.1X) et personnelles (SAE), ainsi qu’une ou plusieurs phrases de passe, TKIP, etc. Voir: Activer la sécurité WPA2/WPA3 d’entreprise (802.1X) sur un WLAN Points d’accès non autorisés, de voisinage et de pot de miel Configurer et gérer les clés pré-partagées
Itinérance rapide	Activez l’itinérance rapide pour permettre aux clients connectés au réseau à l’aide de la sécurité WPA2 ou WPA3 de rester connectés lorsqu’ils sont en itinérance entre les points d’accès. Grâce à l’itinérance rapide, les clients WPA2 et WPA3 n’ont pas besoin de s’authentifier à nouveau auprès du serveur d’authentification à chaque fois qu’ils changent de point d’accès sur le même réseau. Par défaut : mise en cache PMKID locale uniquement ; il n’y a pas de partage du PMKID entre Mist points d’accès sur le réseau. Cela peut convenir à certains cas d’utilisation, mais n’est pas évolutif. .11r : méthode d’itinérance rapide basée sur des normes, décrite dans la norme 802.11r.
VLAN (en anglais)	Requis pour chaque WLAN. Spécifiez le type de VLAN que le point d’accès utilisera pour connecter le commutateur. Non étiqueté : n'utilise pas de VLAN ; Il s’agit du paramètre par défaut. Étiqueté : à utiliser avec des VLAN statiques sur le réseau (le port de commutation connecté au point d’accès doit également utiliser un VLAN balisé). Pool (Pool) : permet d’attribuer aux clients sans fil une adresse IP sélectionnée de manière aléatoire dans l’un des VLAN répertoriés dans le pool. Dynamique : permet de connecter les utilisateurs sans fil à un VLAN donné, tel que configuré dans le serveur RADIUS. Pour plus d’informations sur l’utilisation de pools VLAN avec clés pré-partagées pour la segmentation, consultez Exploitation des rôles dans une PSK (cas d’utilisation).
Portail invité	Vous pouvez activer l’accès invité en créant un portail de connexion dans Juniper Mist, en utilisant votre propre portail externe ou en activant l’authentification unique. Pour plus d’informations, consultez Portail invité WLAN.