WLAN – Wireless Local Area Network

Réseau local sans fil. Il existe plusieurs technologies et normes. Le partage et les échanges d’informations se font via la voie des airs, sans être physiquement connecté par un fil. Pour les réseaux sans fil, les normes les plus usités sont les normes 802.11b, 802.11a et 802.11g (en attente de normalisation).
Le WLAN 802.11 et les couches OSI :
La spécification WLAN IEEE 802.11 et l’ensemble de ses déclinaisons (802.11a, 802.11b, 802.11g) ne porte que les deux premières couches ISO. Le gros du travail concerne surtout la couche physique (la couche 1), et seule la première moitié de la couche 2 est concernée. En effet, la partie LLC 802.2 de la couche 2 est conservée.

Les trois couches physiques définies à l’origine par 802.11 incluaient deux techniques radios à étalement de spectre et une spécification d’infrarouge diffus. Les standards radios fonctionnent sur la bande ISM des 2,4 GHz. Ces fréquences sont reconnues par les organismes réglementaires internationaux tels que la FCC (Etats-Unis), l’ETSI (Europe) et le MKK (Japon) pour utilisation sans licence. Seule la technique DSSS a été retenue en 802.11HR, puisque le saut de fréquence ne peut pas à la fois supporter les hauts débits et se conformer aux réglementations actuelles de la FCC. En conséquence, les systèmes 802.11HR seront interopérables avec les systèmes DSSS 802.11 à 1 et 2 Mbps, mais ils ne
fonctionneront pas avec les systèmes FHSS 802.11 à 1 et 2 Mbps. Le standard 802.11 DSSS original spécifie un shipping sur 11 bits (baptisé séquence Barker) pour le codage des données. Chaque séquence de 11 chips représente un seul bit de données (1 ou 0) et est converti en forme d’onde (ou symbole) émissible. Ces symboles sont transmis à la vitesse de 1 MSps (1 million de symboles par seconde) par la technique BPSK (Binary Phase Shift Keying). Dans le cas d’un débit de 2 Mbps, une technique plus sophistiquée, baptisée QPSK (Quadrature Phase Shift Keying), permet de doubler le débit de BPSK par l’optimisation de l’utilisation de la bande radio.
Pour augmenter le débit dans le cadre du standard 802.11HR, des techniques de codage évoluées sont mises en oeuvre. Plutôt que de se cantonner aux deux séquences Barker sur 11 bits, la norme définit la technique CCK (Complementary Code Keying), qui consiste en un ensemble de 64 mots de 8 bits chacun. Les propriétés mathématiques spécifiques d’un tel ensemble de mots permettent de les distinguer correctement les uns des autres par le récepteur, même en présence de bruit et d’interférences (p. ex. les interférences causées par la réception de multiples réflexions radio dans un bâtiment). Le débit de 5,5 Mbps utilise la technique CCK pour coder 4 bits par porteuse, tandis que le mode 11 Mbps encode 8 bits par porteuse. Les deux modes font appel à la technique de modulation QPSK et signalent à 1,375 MSps. C’est de cette manière qu’il est possible d’atteindre ces débits supérieurs. Le tableau suivant illustre les différences entre les deux technologies.

Pour supporter les environnements plus bruyants et étendre la portée des équipements, les WLAN 802.11HR utilisent la variation dynamique du débit (dynamic rate shifting), qui permet d’ajuster les taux de transmission automatiquement pour compenser les variations du canal radio. Dans une situation idéale, les utilisateurs se connectent à un taux de 11 Mbps plein. Cependant, lorsque les équipements sont déplacés au delà de leur portée optimale pour un débit de 11 Mbps, ou en cas d’interférences conséquentes, les équipements 802.11HR transmettent à des vitesses inférieures, redescendant en 5,5, puis 2 et enfin 1 Mbps. De la même façon, si le périphérique revient dans un rayon compatible avec des transmissions plus rapides, la vitesse de la connexion s’accélère automatiquement. La variation dynamique du débit est un mécanisme de couche physique transparent à la fois pour l’utilisateur et pour les couches supérieures de la pile de protocoles.

La couche de liaison de données de 802.11 se compose de deux sous-couches :

• Le contrôle de la liaison logique (Logical Link Control, ou LLC),
• Le contrôle d’accès au support (Media Access Control, ou MAC).

Le standard 802.11 utilise la LLC 802.2 et l’adressage sur 48 bits, tout comme les autres LAN 802, simplifiant ainsi le pontage entre les réseaux sans fil et filaires. Le contrôle d’accès au support est en revanche propre aux WLAN.
Le 802.11 MAC est très proche de 802.3 dans sa conception : il est conçu pour supporter de multiples utilisateurs sur un support partagé en faisant détecter le support par l’expéditeur avant d’y accéder. La couche MAC définit deux  méthodes d’accès différentes, la Distributed Coordination Function et la Point Coordination Function. Dans un WLAN 802.11, la détection des collisions est impossible du fait de ce qu’on appelle le problème “near/far”. Pour détecter une collision, une station doit être capable de transmettre et d’écouter en même temps. Or, dans les systèmes radio, il ne peut y avoir transmission et écoute simultanées (sauf à en augmenter le coût de façon exponentiel).
Pour prendre en compte cette différence, le standard 802.11 fait appel à un protocole légèrement modifié, baptisé CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance), ou à la fonction DCF (Distributed Coordination Function).

Autre spécificité de la couche MAC du sans fil : celui du “noeud caché”, où deux stations situées de chaque côté d’un point d’accès peuvent entendre toutes les deux une activité du point d’accès, mais pas de l’autre station, problème généralement lié aux distances ou à la présence d’un obstacle. Pour résoudre ce problème, le standard 802.11 définit sur la couche MAC un protocole optionnel de type RTS/CTS (Request to Send/Clear to Send). Lorsque cette fonction est utilisée, une station émettrice transmet un RTS et attend que le point d’accès réponde par un CTS. Toutes les stations du réseau peuvent entendre le point d’accès, aussi le CTS leur permet-il de retarder toute transmission prévue, la station émettrice pouvant alors transmettre et recevoir son accusé de réception sans aucun risque de collision. Du fait que le protocole RTS/CTS ajoute à la charge du réseau en réservant temporairement le support, il est généralement réservé
aux plus gros paquets, dont la retransmission s’avérerait lourde du point de vue de la bande passante. Enfin, la couche MAC 802.11 offre deux autres caractéristiques de robustesse : les sommes de contrôle CRC et la fragmentation des paquets. Pour chaque paquet, une somme de contrôle est calculée et rattachée afin d’assurer que les données n’ont pas été corrompues durant leur transit. La fragmentation des paquets permet de casser les gros paquets en unités de plus petite taille lorsqu’ils sont transmis par radio, ce qui s’avère particulièrement utile dans les environnements très congestionnés ou lorsque les interférences posent problème, puisque les gros paquets courent plus de risque d’être  corrompus.

Les principaux types de trames :

• Les trames de données, utilisées pour la transmission des données,
• Les trames de contrôle, utilisées pour contrôler l’accès au support (eg. RTS, CTS, ACK),
• Les trames de gestion, transmises de la même façon que les trames de données pour l’échange d’informations de gestion, mais qui ne sont pas transmises aux couches supérieures.

Chacun de ces trois types est subdivisé en différents sous-types, selon leurs fonctions spécifiques.

L’itinérance :
L’itinérance (roaming) est le processus de mouvement d’une cellule vers une autre sans fermer la connexion. Cette fonction est similaire au « handover » des téléphones portables, avec deux différences majeures :

• Sur un LAN, qui est basé sur des paquets, la transition d’une cellule à une autre doit être faite entre deux transmissions de paquets, contrairement à la téléphonie où la transition peut subvenir au cours d’une conversation. Ceci rend le roaming plus facile dans les LAN, mais…

• Dans un système vocal, une déconnexion temporaire peut ne pas affecter la conversation, alors que dans un environnement de paquets, les performances seront considérablement réduites à cause de la retransmission qui sera exécutée par les protocoles des couches supérieures.

Le standard 802.11 ne définit pas comment le roaming est fait, mais en définit cependant les règles de base. Celles-ci comprennent l’écoute active ou passive, le processus de réassociation, où une station qui passe d’un Point d’Accès à un autre sera associée au nouveau Point d’Accès Si le standard 802.11HR définit la manière dont une station s’associe aux points d’accès, il ne définit pas la manière dont les points d’accès suivent l’utilisateur dans ses déplacements, soit sur la couche 2 entre deux points d’accès d’un même sous-réseau, soit sur la couche 3 lorsque l’utilisateur change de sous-réseau et de routeur.
Le premier problème est pris en charge par des protocoles de communication inter-points d’accès propriétaires, dont les performances sont très variables. Si le protocole n’est pas efficace, il existera un risque de perte de paquets lorsque l’utilisateur passera d’un point d’accès à un autre. A terme, la WECA et l’IEEE définiront probablement des standards en ce domaine.
Le deuxième problème est géré par les mécanismes d’itinérance de niveau 3. Le plus fréquent d’entre eux est Mobile IP, baptisé RFC 2002 par l’IETF (Internet Engineering Task Force). Mobile IP fonctionne en définissant un point d’accès comme « agent domestique » pour chaque utilisateur.

Lorsqu’une station sans fil sort de sa zone d’origine et passe dans une nouvelle zone, le nouveau point d’accès demande à la station quelle est sa zone d’origine. Une fois celle-ci localisée, un paquet est transmis automatiquement entre les deux points d’accès pour garantir que l’adresse IP de l’utilisateur est préservée et qu’il est en mesure de recevoir de manière transparente ses données. Mobile IP n’est pas finalisé, aussi les fournisseurs peuvent-ils encore proposer des protocoles propriétaires, basés sur des techniques similaires, pour assurer que le trafic IP suivra un utilisateur entre des portions du réseau séparées par un routeur (p.ex. entre d’un bâtiment à un autre).
Une alternative incomplète mais pratique au problème de l’itinérance de niveau 3 consiste à utiliser le protocole DHCP (Dynamic Host Configuration Protocol) sur le réseau. DHCP permet à tout utilisateur qui éteint ou met en veille son ordinateur portable avant de passer sur un nouveau réseau d’obtenir automatiquement une nouvelle adresse IP lors du rallumage de la machine. Une telle réassociation se produit en général lorsque la station s’est éloignée du point d’accès original, entraînant par conséquent un affaiblissement du signal. Elle peut aussi intervenir du fait d’un changement
dans les caractéristiques radios du bâtiment, ou de l’augmentation du trafic réseau sur le point d’accès original. Dans ce dernier cas, la fonction sert à l’équilibrage des charges, puisqu’elle distribue la charge totale du WLAN plus efficacement sur l’infrastructure sans fil disponible.

Ce processus d’association/réassociation dynamique aux points d’accès permet à l’administrateur du réseau de créer une couverture très étendue en faisant se chevaucher de multiples cellules 802.11HR sur l’ensemble du bâtiment ou du campus. Pour ce faire, le responsable informatique utilisera la fonction de “réutilisation des canaux,” en prenant soin de configurer chaque point d’accès sur des canaux DSSS 802.11 différents de ceux utilisés par les points d’accès contigus. Alors qu’il existe 14 canaux à recouvrement partiel pour les DSSS 802.11, seuls trois d’entre eux sont totalement isolés. Ces trois canaux sont les mieux adaptés à une couverture multicellulaire.

Lorsque les rayons d’action de deux points d’accès se chevauchent alors qu’ils sont configurés sur un même canal ou sur des canaux se recouvrant partiellement, des interférences sont susceptibles de se produire entre les deux, avec pour conséquence un rétrécissement de la bande passante utilisable sur la zone de chevauchement.

Point sur la réglementation Française :
Le cadre réglementaire français de l’utilisation des solutions de réseaux sans fil est établi par l’Autorité de Régulation des Télécoms (ART).

Pour la bande des 2.4GHZ :
Le cadre général autorise l’utilisation à l’intérieur, sur la bande 2400-2446,5MHz avec une puissance maximale de 10mW et sur la bande de 2446.5MHz-2483.5MHz avec une puissance de 100mW. A l’extérieur, sur la bande 2446,5-2483,5 MHz avec une puissance limitée à 100mW avec accord. Dans tous les départements (les limitations départementales ont été annulées au cours de l’été 2003 – site Internet de l’ART), les RLANs sont autorisés à l’intérieur des bâtiments avec une puissance maximale de 100mW sur toute la bande 2400MHz-2483,5MHz. à l’extérieur des bâtiments avec une puissance maximale de 100mW sur la partie 2400-2454MHz et avec une puissance maximale de 10mW sur la partie 2454- 2483MHz.

Pour la bande des 5GHZ :
L’ART autorise l’utilisation d’une partie de la bande de fréquences des 5GHz pour les RLANs intégrant des solutions 802.11a supportant les fonctions DFS (Dynamic Frequency Selection) et TPC (Transmit Power Control). Seule la bande 5150-5350MHz est autorisée en France pour une utilisation intérieure avec une puissance limitée à 200mW en mode Infrastructure.

La sécurité :
La sécurité devrait être le premier souci de ceux qui déploient les réseaux locaux sans fil. Le comité 802.11 a apporté une première solution en élaborant un processus appelé WEP (Wired Equivalent Privacy).
Le principal, pour les utilisateurs, est d’être sûr qu’un intrus ne pourra pas :

• Accéder aux ressources du réseau en utilisant le même équipement sans fil,
• Capturer le trafic du réseau sans fil (écoute clandestine).
• Prévenir l’accès aux ressources du réseau. Ceci est obtenu en utilisant un mécanisme d’authentification où une station est obligée de prouver sa connaissance d’une clef, ce qui est similaire à la sécurité sur réseaux câblés, dans le sens où l’intrus doit entrer dans les lieux (en utilisant une clef physique) pour connecter son poste au réseau câblé.
• Ecoute clandestine. L’écoute clandestine est bloquée par l’utilisation de l’algorithme WEP qui est un générateur de nombres pseudo aléatoires initialisé par une clef secrète partagée.

Installer un réseau sans fil sans le sécuriser, c’est permettre à des personnes non autorisées d’écouter et d’accéder aux informations circulant sur le réseau. Voici les mesures minimales à prendre pour la sécurité des bornes d’accès :

• Supprimer la configuration par défaut du point d’accès en modifiant l’identifiant réseau (SSID) et la clé Wep par défaut.

• Protéger les services d’administration disponibles sur l’interface sans fil en changeant le mot de passe.
• Mettre en place le filtrage des adresses MAC ayant le droit de communiquer avec le point.
• Gérer la puissance d’émission des points d’accès, s’ils le permettent, pour éviter de diffuser les informations dans des zones non désirées.

Mais ces mesures ne sont pas toujours suffisantes et de nouveaux protocoles de sécurité apparaissent :
Au niveau de l’authentification, le protocole 802.lx utilise EAP. Au niveau encryptage, vous pouvez distribuer des certificats automatiquement et changer les clés d’encryptage. De plus, le protocole TKIP peut également être implémenté avec pour points forts : des clés WEP dynamiques différentes à chaque session, des vecteurs d’initialisation sur 48 bits, le contrôle d’intégrité des données et des en têtes. Au niveau global, quelques règles de mise en oeuvre « type » pour sécuriser une extension d’un réseau local vers du sans-fil :

• Toujours isoler les réseaux filaires des réseaux sans-fils par un FireWall (les points d’accès ne devraient pas être connectés directement au réseau filaire) et sécuriser les points d’accès comme précédemment expliqué.
• Implémenter des tunnels RPV en IPSEC sur les liaisons radio.
• Contrôler la zone d’émission et limiter la portée des ondes au seul bâtiment. A cet effet, des compétences sur la transmission radio peuvent être utiles.
• Masquer le nom du réseau sans fil, pour en faire un réseau « fantôme », alors invisible pour tout utilisateur non autorisé.
• Mettre en oeuvre une politique d’authentification des utilisateurs utilisant des processus cryptés (Radius en Chap par exemple, ou authentification forte avec Cryptage type SecurID et durée de vie très courte de la fenêtre d’authentification).

Rester synchronisé :
Les stations doivent rester synchronisées. Ceci est nécessaire pour garder la synchronisation au cours des sauts, ou pour d’autres fonctions comme l’économie d’énergie. Sur une même cellule, ceci est obtenu car toutes les stations synchronisent leur horloge avec l’horloge du Point d’Accès en utilisant le mécanisme suivant :
Le Point d’Accès transmet périodiquement des trames appelées « trames balise « . Ces trames contiennent la valeur de l’horloge du Point d’accès au moment de la transmission (notons que c’est le moment où la transmission à réellement lieu, et non quand la transmission est mise à la suite des transmissions à faire.
Puisque la trame balise est transmise selon les règles du CSMA, la transmission pourrait être différée significativement).
Les stations réceptrices vérifient la valeur de leur horloge au moment de la réception, et la corrige pour rester synchronisées avec l’horloge du Point d’Accès. Ceci évite des dérives d’horloge qui pourraient causer la perte de la synchronisation au bout de quelques heures de fonctionnement.

L’installation d’un réseau :
Avant d’installer un réseau sans fil, il faut retenir certains points :
On peut installer 3 types de réseau :
En architecture Ad-Hoc (les clients communiquent les uns avec les autres directement), En architecture Infrastructure (les communications des clients passent par un point d’accès), En mode point à point ou point à multipoint (le point d’accès sert de pont entre plusieurs réseaux). Un point d’accès peut supporter au maximum une trentaine de clients
Les distances dépendent de l’environnement. S’il n’y a pas d’obstacle, la distance est plus grande, mais le taux de transfert est inversement proportionnel à la distance. La présence de parties métalliques accentue ces phénomènes.
La présence d’autres éléments utilisant les ondes radios sur la même bande de fréquences (micro-onde, …) peuvent perturber les communications.
Un point d’accès suffit pour quelques postes équipés de cartes sans fil. Si le signal est faible, il est possible de rajouter une antenne omnidirectionnelle (en 802.11b). Si le nombre de clients augmente, il faut rajouter un ou plusieurs points d’accès. Attention : si les zones de couvertures des points d’accès se chevauchent, il est préférable de ne pas leur attribuer le même canal.
Pour relier 2 réseaux distants de plusieurs mètres, il suffit d’installer un point d’accès configuré en mode pont sur chacun des réseaux. Si les réseaux sont de type sans fil, il faut rajouter un point d’accès sur chaque réseau local pour permettre la communication des clients sans fil. Si la distance entre les deux réseaux est importante, il est possible de rajouter une antenne sur chacun des ponts. Les antennes doivent être identiques pour une performance optimale.
Pour augmenter la portée d’un point d’accès, il est possible d’utiliser le mode répéteur des points d’accès pour relier plusieurs points d’accès sans utiliser de câble Ethernet et ainsi augmenter la portée du réseau sans fil.

Les avantages des WLAN comprennent :
Une mobilité génératrice de gains de productivité, avec un accès en temps réel aux informations, quel que soit le lieu où se situe l’utilisateur, pour une prise de décision plus rapide et plus efficace, Une installation plus économique du  réseau dans les endroits difficiles à câbler, bâtiments anciens et structures en béton armé, Un coût d’appartenance inférieur (particulièrement dans les environnements dynamiques nécessitant des transformations fréquentes) grâce au coût minime du câblage et de l’installation par poste et par utilisateur, Les WLAN libèrent l’utilisateur de sa dépendance à l’égard des accès câblés au backbone, lui offrant un accès permanent et omniprésent. Cette liberté de mouvement offre de nombreux avantages dans de nombreux types d’environnements de travail tels que :
Accès immédiat entre le lit d’hôpital et les informations concernant le patient pour les médecins et le personnel hospitalier, Un accès réseau simple et en temps réel pour les consultants et les auditeurs sur site, Un accès étendu aux bases de données pour les chefs de service nomades, directeurs de chaîne de fabrication, contrôleurs de gestion ou ingénieurs du bâtiment, Une configuration simplifiée du réseau avec un recours minime au personnel informatique pour les installation temporaires telles que stands de foire, d’exposition ou salles de conférence, Un accès plus rapide aux informations client pour les fournisseurs de services et détaillants, résultant en un meilleur service et une  satisfaction supérieure, Un accès omniprésent au réseau pour les administrateurs, pour le support et le dépannage sur site, Un accès en temps réel pour les réunions des groupes d’étude et des liens de recherche pour les étudiants.