WLAN Options

Familiarisez-vous avec les différentes options disponibles sur la page des paramètres du WLAN et configurez des fonctionnalités telles que la sécurité, la bande radio, la géorepérage, l’isolation peer-to-peer, etc.

Accédez à la fenêtre Paramètres du WLAN

Pour obtenir un WLAN dans un modèle WLAN, sélectionnez Organisation > sans fil | Modèles WLAN dans le menu de gauche, puis créez un modèle WLAN ou sélectionnez un modèle existant. Pour ajouter un WLAN à votre modèle, cliquez sur Ajouter un WLAN. Pour modifier un WLAN existant dans la liste des WLAN, cliquez dessus.
Pour une WLAN au niveau du site, sélectionnez Site > sans fil | WLAN dans le menu de gauche, puis cliquez sur Ajouter un WLAN. Pour modifier un WLAN existant sur la page WLAN, cliquez dessus.
Certains changements réinitialiseront la radio. Voir Modifications du WLAN qui réinitialisent la radio pour plus d’informations.

Figure 1 : Paramètres WLAN Settings

du WLAN

Paramètres de configuration du WLAN

Tableau 1 : Paramètres du WLAN
Cadre	Résumé
SSID (en anglais)	C’est le nom que le WLAN diffusion aux clients. Bien que vous puissiez configurer jusqu’à 15 SSID par radio, une bonne règle de base pour les profils d’appareils et les modèles WLAN est de n’utiliser que deux ou trois WLAN par AP. L’idée est de minimiser le surcoût de temps d’antenne encouru par les trames de gestion des balises, qui sont envoyées toutes les 102,4 ms par radio, au débit de base minimum (MBR). En d’autres termes, à moins que vous n’examiniez attentivement les débits de données et les conflits co-canal afin d’obtenir quatre, six ou même huit WLAN actifs sur un AP, nous recommandons deux ou trois WLAN par AP maximum.
Wi-Fi SLE	Cochez la case si vous souhaitez marquer ce WLAN comme « WLAN exclu » pour vos niveaux de service sans fil attendus (SLE). Par exemple, vous pouvez exclure un WLAN de test ou un nouveau WLAN que vous êtes en train de peaufiner. Lorsque vous affichez le tableau de bord des SLE sans fil, vous pouvez masquer ou afficher tous les WLAN exclus. Cette exclusion s’applique à toutes les mesures SLE, à l’exception d’AP Health, qui inclut tous les WLAN sans exception.
État du WLAN	Utilisez cette option pour définir si un AP diffuse le WLAN. Vous pouvez également effectuer les opérations suivantes : Masquer le SSID Diffuser l’AP par son nom Configurez Mist pour désactiver un WLAN lorsque l’AP n’a pas d’adresse IP ou de passerelle par défaut, ou sur les WLAN tunnelisés lorsque le tunnel Mist Edge est en panne. L’objectif est d’éviter que les clients ne se retrouvent dans une impasse lorsque l’AP n’a pas une connectivité réseau complète ou a perdu sa connexion à Mist Edge. Activer le bandmanagement. La technologie Band Steering détecte si un client connecté dispose de capacités bi-bande (2,4 GHz et 5 GHz). De nombreux appareils émettant sur la bande 2.4 dans une zone surpeuplée peuvent provoquer du bruit et des interférences avec votre connectivité sans fil. L’activation de l’orientation de bande atténue ce problème en encourageant le client à rejoindre la bande 5 GHz s’il dispose d’un bon signal.
Bande radio	Choisissez les fréquences radio à diffuser sur le WLAN : 2,4 GHz, 5 GHz ou 6 GHz. Les clients sans fil bénéficient généralement de meilleures performances lorsqu’ils sont connectés à la bande 5 GHz plutôt qu’à la bande 2,4 GHz, car la bande 5 GHz comporte plus de canaux, et donc moins d’interférences dans le même canal. La bande 6 GHz comporte encore plus de canaux, des canaux plus larges, des options de sécurité plus avancées et des débits de données plus élevés. Voir gestion des ressources radio (RRM).
Inactivité des clients	Vous configurez un minuteur d’inactivité sur votre WLAN pour éviter la congestion. L’AP désauthentifie les clients inactifs, tel que défini par l’heure définie ici. La plage du minuteur d’inactivité est comprise entre 60 et 86400 secondes. Le temps par défaut est de 1800 secondes.
Géorepérage	Le géorepérage peut empêcher les clients dont l’indicateur d’intensité du signal reçu (RSSI) est inférieur à un niveau spécifié de rejoindre le réseau. Vous pouvez définir un RSSI client minimum, par bande radio, pour empêcher les clients qui se trouvent au-delà d’une distance ou d’une portée donnée de rejoindre le WLAN. Le géorepérage ne s’applique qu’à l’association initiale. Par conséquent, si un client est déjà associé au réseau, le client ne sera pas dissocié si sa valeur RSSI tombe en dessous du seuil configuré. La valeur par défaut est désactivée pour toutes les bandes radio. Voir Activer le géorepérage.
Débits de données	Définissez des débits de données pour empêcher les clients avec des connexions lentes de dégrader les performances globales du WLAN. La valeur par défaut est Compatible, ce qui autorise toutes les connexions. Les autres options sont les suivantes : Pas d’héritage (2.4G, pas de 11b) : empêche les appareils 802.11b de rejoindre le WLAN (ce qui, en fait, ajoute de la capacité au réseau). Haute densité (désactiver tous les débits inférieurs) : empêche les clients 802.11b et 802.11g de rejoindre le réseau et définit également un niveau de signal minimum pour se connecter. Ce paramètre peut affecter l’itinérance des clients. Elle peut également empêcher les anciens appareils de rejoindre le réseau, ce qui peut être souhaitable du point de vue de la capacité, ou l’inverse, par exemple, si vous avez beaucoup d’anciens appareils qui sont coupés. Tarifs personnalisés : voir Configuration des débits de données Wi-Fi.
Protocoles Wi-Fi	Activer ou désactiver différentes versions du Wi-Fi. Lorsque vous activez une version Wi-Fi, ses fonctionnalités deviennent disponibles sur les points d’accès qui prennent en charge ce protocole.
Limite de débit WLAN	Utilisez les limites de débit du WLAN pour définir les limites de liaison montante et descendante de la bande passante du WLAN. Vous pouvez configurer des limites de débit par AP, par client et par application. Vous pouvez également limiter l’allocation totale de bande passante pour une application donnée. Le champ de limite de débit prend également en charge les variables au niveau du site par WLAN et par client, en tant qu’option pour coder en dur les valeurs (c’est-à-dire les rendre globales). Ceci est particulièrement utile dans les modèles WLAN, où vous souhaitez configurer une configuration de base pour un usage courant, mais aussi la flexibilité des différences spécifiques au site. Vous pouvez ajouter des variables sur la page Organisation > Administrateur > Configuration du site . Remarque : Selon votre cas d'utilisation exact, fixer une limite de débit peut être contre-productif dans les réseaux sans fil, car cela peut augmenter la consommation de temps d'antenne du client. Le temps de communication étant généralement la ressource la plus précieuse des réseaux sans fil, en consommer davantage en limitant le débit de la bande passante relativement abondante finit souvent par dégrader les performances globales de votre réseau.
Limite de débit par client	Définissez le débit de liaison montante et descendante par client. Remarque : Mist applique cette limite de débit à tous les clients sans fil sur le SSID sélectionné. Il n’y a aucun moyen d’ajuster les limites sur la base d’un client individuel. La définition de valeurs dans ces champs a pour effet de limiter chaque client sans fil aux valeurs de liaison montante et descendante que vous définissez.
Limite du débit applicatif	Cette option limite le débit de liaison montante ou descendante par client pour l’application spécifiée. Vous devez identifier les applications par leur nom ou leur nom d’hôte.
Appliquer aux points d’accès	Sélectionnez les AP auxquels vous souhaitez que ce WLAN s’applique : Tous, Spécifique ou selon l’étiquette de l’AP. Par défaut, tous les points d’accès d’un site ou d’un groupe de sites sélectionné recevront la configuration WLAN et balise le SSID. En fonction du cas d’utilisation ou des exigences, vous pouvez appliquer des filtres pour que le WLAN configuré uniquement sur les étiquettes AP ou les points d’accès spécifiques. Remarque : Vous pouvez créer des étiquettes au niveau de l’organisation ou du site. Dans le menu de gauche, sélectionnez Organisation > étiquettes de > sans fil ou sélectionnez Étiquettes de > de site > sans fil. 1. Donnez un nom à votre étiquette. 2. Sélectionnez un type d’étiquette de point d’accès. 3. Sous Valeurs d’étiquette, cliquez sur le signe plus pour Ajouter un point d’accès, puis sélectionnez l’onglet Organisation entière ou l’onglet Site . 4. Cochez la case Nom de l’AP en haut pour sélectionner tous les points d’accès de l’organisation ou du site, ou vous pouvez cocher les cases à côté des points d’accès que vous souhaitez inclure dans cette étiquette. La liste de sélection des AP comprend un filtre de recherche qui vous permet de filtrer les AP par adresse MAC ou nom d’AP. Par exemple, si les points d’accès du site sont nommés dans les chaînes que vous filtrez, vous pouvez ensuite choisir en bloc d’appliquer l’étiquette à tous les points d’accès correspondant à la chaîne filtrée. 5. Appliquez l’étiquette AP sur votre réseau WLAN afin que seuls les points d’accès inclus dans l’étiquette bénéficient de la configuration WLAN nécessaire.
Types de sécurité	Le Wi-Fi 6E (802.11ax) et le Wi-Fi 7 (802.11be) nécessitent des types de sécurité WPA3 ou Enhanced Open (basé sur OWE). Par défaut, les types de sécurité WPA2 ou Open ne sont pas disponibles. Pour les utiliser, sur le modèle ou la page de configuration du WLAN, vous devez désélectionner Wi-Fi 6 et Wi-Fi 7 sous Protocoles Wi-Fi, et désélectionner 6 GHz sous Bande radio. WPA3 avec Enterprise (802.1X) : authentification basée sur RADIUS. Avec ce type de sécurité, vous pouvez également activer des options supplémentaires : Transition WPA3+WPA2 : les modes de transition peuvent faciliter l’adoption de WPA3 et OWE en proposant des types de sécurité existants. Pour plus d’informations, consultez Considérations relatives au sans fil 6 GHz. Chiffrement 192 bits : cette option offre le plus haut niveau de sécurité 802.1X en Wi-Fi en offrant un chiffrement GCMP-256 sans fil et en exigeant des certificats plus sécurisés. WPA3 avec personnel (SAE) : authentification basée sur une phrase de passe. Vous pouvez configurer une ou plusieurs phrases secrètes. Sécurité Wi-Fi 7 : Juniper Mist points d’accès Wi-Fi 7 et Wi-Fi 6E exécutant la version 0.15.34098 ou ultérieure du firmware prennent en charge la sécurité Wi-Fi 7. Vous devez activer cette option pour le Wi-Fi 7. La sécurité du Wi-Fi 7 comprend : GCMP256 chiffrement WPA3-SAE avec hachage dépendant de groupe (GDH) Protection des balises OWE (chiffrement sans fil opportuniste)— Activer la transition OWE : configurez les modes de transition WPA3/OWE sur les SSID multibandes 6 GHz pour faciliter l’adoption des SSID en mode transition. Voir Considérations relatives au sans fil 6 GHz. Activez la sécurité du Wi-Fi 7 - Voir ci-dessus. WPA2 avec Enterprise (802.1X) : authentification basée sur RADIUS. WPA2 avec Personal (PSK) : accès protégé Wi-Fi (WPA) 2 à l’aide d’une clé prépartagée standard (PSK). Vous pouvez configurer une ou plusieurs phrases secrètes. Open Access : non chiffré, généralement utilisé pour les réseaux invités.
Autres options de sécurité	Selon le type de sécurité sélectionné, d’autres options incluent : Authentification d’adresse MAC à l’aide de la recherche RADIUS : une adresse MAC est présentée à un serveur RADIUS pour autoriser l’appareil. Non disponible avec certains types de sécurité. Empêcher l’association des clients interdits : cette option empêche les clients qui ont été bannis sur la page Sécurité réseau de s’associer à cette WLAN. Itinérance rapide : méthode de sécurité basée sur 802.11r pour authentifier les nouveaux clients.
VLAN	Non étiqueté : n'utilise pas de VLAN ; Il s’agit du paramètre par défaut. Balisé : sélectionnez cette option si vous avez des VLAN statiques sur le réseau. Dans le champ qui s’affiche, saisissez l’ID du VLAN. Assurez-vous que le port de commutation connecté au point d’accès (AP) utilise également un VLAN balisé. Pool : sélectionnez cette option pour attribuer aux clients sans fil une adresse IP sélectionnée de manière aléatoire dans l’un des VLAN répertoriés dans le pool. Lorsque vous utilisez cette option pour la segmentation du réseau basée sur les PSK, spécifiez tous les ID de VLAN dont vous aurez besoin pour le champ ID de VLAN de la PSK (Organization > WLAN Templates > Pre-Shared Key> bouton Add Key , puis ID de VLAN). Pour placer les clients dans différents VLAN en fonction de leur site, utilisez une variable de site pour les VLAN de pools et laissez le champ ID de VLAN vide dans la page de configuration PSK. Dynamique : sélectionnez cette option pour connecter les utilisateurs sans fil à un VLAN donné, tel que configuré dans le serveur RADIUS.
Isolement	L’isolation peer-to-peer empêche le trafic homologue de couche 2 sur le même réseau WLAN, AP ou sous-réseau filaire ou sans fil. Cette option est désactivée par défaut. (Pour le filtrage de couche 3, vous pouvez créer des stratégies WxLAN.) L’isolation des sous-réseaux nécessite la version 0.12 ou ultérieure du micrologiciel, et les clients doivent disposer d’une adresse DHCP.
Filtrage (sans fil) ARP Diffusion/Multicast Autoriser le mDNS Autoriser SSDP Autoriser la découverte de voisins IPv6 Ignorer les demandes de sonde SSID de diffusion	Ces filtres réduisent le nombre de trames de gestion envoyées par les AP dans le WLAN. Le filtrage peut améliorer considérablement les performances en libérant du temps d’antenne radio, qui est autrement consommé comme un élément routinier de la charge opérationnelle. ARP : le filtre ARP empêche les requêtes de diffusion ARP (Address Resolution Protocol) vers une interface WLAN donnée. Si cette option n’est pas activée, l’ARP de proxy tente de résoudre toutes les demandes d’adresse Ethernet inconnues en inondant la demande vers toutes les interfaces non filtrées. Nous vous recommandons de laisser le filtre ARP activé. (Par défaut, les AP Mist prennent en charge les ARP proxy, ce qui signifie que l’AP envoie une réponse ARP au nom du client au lieu de transférer le paquet par voie hertzienne.) Diffusion/Multidiffusion : le filtre Diffusion/Multidiffusion empêche l’AP de propager des trames de diffusion et de multicast sur le réseau sans fil. Il filtre les diffusions IPv6, les multicasts et les trames mDNS IPv4/IPv6, bien que celles-ci puissent être exemptées individuellement. Les diffusions DHCP ne sont pas incluses dans ce filtre. Autorisez les trames mDNS en exemptant ce trafic du filtrage lorsque le filtrage de diffusion/multicast est sélectionné. mDNS est nécessaire pour Apple Bonjour pour la découverte du réseau. Autorisez les balises d’annonce SSDP (Simple Service Discovery Protocol) en exemptant ce trafic du filtrage lorsque le filtrage de diffusion/multicast est sélectionné. SSDP est nécessaire Découverte d’équipement UPnP (Universal Plug and Play). Autorisez les trames de découverte de voisins IPv6 en exemptant ce trafic lorsque le filtrage de diffusion/multicast est sélectionné. L’AP peut ignorer les demandes de sonde SSID de diffusion des clients sans fil, c’est-à-dire ne pas envoyer de réponse de sonde (qui annonce son SSID, les débits de données pris en charge et d’autres capacités 802.11).
Transfert personnalisé	Par défaut, le WLAN transfère le trafic client balisé ou non balisé via le port Ethernet principal, Eth0. Vous utilisez le transfert personnalisé conjointement avec Mist Edge, ou par exemple, pour vous assurer que le trafic invité et le trafic de l’entreprise utilisent des réseaux différents. Vous pouvez définir le transfert personnalisé sur : Eth0 + PoE : valeur par défaut. Transférez le trafic vers le port Eth0. Eth1 : transfère le trafic via le deuxième port Ethernet de l’AP. Ce mode nécessite que le VLAN WLAN ne soit pas étiqueté. Vous devez connecter le port Eth1 à une LAN physiquement séparée. L2TPv3 : tunnel standardisé. Si vous utilisez cette option, vous pouvez également configurer Mist pour désactiver le WLAN lorsque le tunnel Mist tombe en panne. Site Mist Edge : définissez un transfert personnalisé vers un site Mist Edge et choisissez un tunnel. Vous pouvez également configurer Mist pour désactiver le WLAN lorsque le tunnel tombe en panne en cochant la case Désactiver le WLAN lorsque le tunnel Mist tombe en panne . Org Mist Edge : si vous utilisez cette option, vous pouvez sélectionner plusieurs tunnels pour diviser le trafic vers plusieurs clusters Mist Edge à l’aide de la séparation VLAN. Cela signifie que vous pouvez configurer le WLAN pour qu’il transfère vers plusieurs tunnels Mist Edge, ainsi que vers un breakout local. Au sein d’un WLAN, vous pouvez décider du comportement de transfert par VLAN. Le contrôle de transfert par VLAN offre une évolutivité extrêmement élevée dans les grands environnements, car l’AP peut transférer vers différents clusters Mist Edge. Une autre utilisation est la consolidation SSID avec un transfert flexible. Vous devez vous assurer qu’un VLAN n’est pas dupliqué sur plusieurs tunnels. Vous pouvez également régler Mist sur : Désactivez le WLAN lorsque le tunnel Mist tombe en panne en cochant la case Désactiver le WLAN lorsque le tunnel Mist tombe en panne . Forcez les clients à se reconnecter lorsque le tunnel Mist Edge des points d’accès bascule vers un Mist Edge dans un autre cluster Mist Edge en cochant la case Reconnecter les clients lorsque le cluster Mist Edge change . Cela sera utile pour déconnecter correctement les clients si le même sous-réseau IP n’est pas utilisé dans les clusters Mist Edge.
Planification SSID	Vous utilisez cette option pour que la WLAN diffusion le SSID uniquement à certains jours et à certaines heures. Lorsqu’il est programmé pour être désactivé, le AP ne diffusion pas le SSID (autrement dit, le SSID ne sera pas visible pour les clients à la recherche de réseaux disponibles). Le changement d’état de la diffusion ne réinitialise pas la radio ou ne désactive pas l’AP. La planification SSID prend en charge plusieurs plages horaires pour chaque jour. Par défaut, ce mode est désactivé.
Redirection Web 802.1X	S’applique aux VLAN de type de sécurité Enterprise (802.1X). Activez la case à cocher Activé pour rediriger un client vers une page Web particulière (par exemple, un portail mis en quarantaine pour les contrôles de conformité) une fois l’authentification 802.1X terminée. Pour que cette fonctionnalité fonctionne, votre version de firmware doit être 0.7 ou plus récente. Pour plus d’informations, consultez Configurer un WLAN 802.1X pour rediriger les clients vers des pages Web spécifiques.
Priorité QoS	Utilisez la qualité de service (QoS) pour hiérarchiser le trafic afin que le trafic le plus important ne soit pas bloqué dans une file d’attente en cas de congestion. Les points d’accès Juniper peuvent donner la priorité au trafic sans fil pour optimiser la radio partagée et maximiser les performances des applications. Wi-Fi Multimedia (WMM) est une spécification de la Wi-Fi Alliance basée sur la norme QoS sans fil IEEE 802.11e pour prendre en charge la hiérarchisation du trafic. Cette spécification utilise les catégories d’accès suivantes pour hiérarchiser la transmission : 0=Arrière-plan (non utilisé par les points d’accès Juniper) 1=Meilleur effort 2=Vidéo 3=Voix
Extensions multimédia	Lorsque plusieurs applications simultanées se disputent les ressources réseau, les points d’accès Juniper peuvent utiliser les MME pour définir et améliorer la qualité et les performances du signal sans fil. Les extensions multimédias (MME) sont des extensions architecturales de processeurs à usage général visant à améliorer les performances des charges de travail multimédia. Le débit n’est pas garanti par WMM.
AirWatch	AirWatch™ est un système de gestion d’appareils mobiles tiers. Lorsque ce paramètre est activé, les points d’accès autorisent le trafic à passer uniquement pour les clients déjà identifiés dans la console AirWatch. Si cette option est activée, vous devez spécifier l’URL de la console AirWatch, la clé API et vos identifiants de connexion pour les appareils gérés.
Bonjour Gateway	La valeur par défaut n’est pas configurée. Configurez ce paramètre par WLAN, à partir de la page de configuration WLAN ou de modèles WLAN. Cette fonctionnalité active automatiquement le filtrage de la diffusion/multicast. En tant que tel, assurez-vous de sélectionner l’option permettant d’autoriser les trames mDNS. Les services suivants sont disponibles, mais doivent être explicitement activés pour être découverts : AirDrop, AirPlay, AirPrint, Apple HomeKit Appareils Amazon, GoogleCast, Roku, Spotify Connect NFS, analyseur, SleepProxy (Wake-On-Network) Voir Ajouter une passerelle Bonjour à un WLAN.
Sécurité	Prend en charge WPA3, WPA2, Legacy, OWE et Open Access avec Enterprise (802.1X) et Personal (SAE), ainsi que des phrases secrètes simples ou multiples, TKIP, etc. Voir : Activer la sécurité WPA2/WPA3 Enterprise (802.1X) sur un WLAN Points d’accès non autorisés, voisins et honeypot Configurer et gérer les clés pré-partagées
Itinérance rapide	Activez l’itinérance rapide pour permettre aux clients connectés au réseau à l’aide de la sécurité WPA2 ou WPA3 de rester connectés lorsqu’ils se déplacent entre les points d’accès. Grâce à l’itinérance rapide, les clients WPA2 et WPA3 n’ont pas besoin de se réauthentifier auprès du serveur d’authentification chaque fois qu’ils changent de point d’accès sur le même réseau. Par défaut : mise en cache PMKID locale uniquement ; il n’y a pas de partage du PMKID entre les points d’accès Mist sur le réseau. Cette fonctionnalité peut convenir à certains cas d’usage, mais n’est pas évolutive. .11r — Méthode normalisée d’itinérance rapide, décrite dans 802.11r.
VLAN	Requis pour chaque WLAN. Spécifiez le type de VLAN que l’AP utilisera pour la connexion du commutateur. Non étiqueté : n'utilise pas de VLAN ; Il s’agit du paramètre par défaut. Balisé : à utiliser avec des VLAN statiques sur le réseau (le port de commutation connecté à l’AP doit également utiliser un VLAN balisé). Pool : permet d’attribuer aux clients sans fil une adresse IP sélectionnée de manière aléatoire dans l’un des VLAN répertoriés dans le pool. Dynamique : permet de connecter les utilisateurs sans fil à un VLAN donné, tel que configuré dans le serveur RADIUS. Pour plus d’informations sur l’utilisation de pools VLAN avec des clés pré-partagées pour la segmentation, consultez Utilisation des rôles dans une PSK (cas d’utilisation).
Portail invité	Vous pouvez activer l’accès invité en créant un portail de connexion dans Juniper Mist, en utilisant votre propre portail externe ou en activant l’authentification unique. Pour plus d’informations, consultez Portail invité WLAN.