mardi 15 mars 2016

Gestion centralisée de points d'accès cisco -Cisco Wireless LAN controller 2504

I- Introduction
Les points d'accès peuvent être gérés de manière centralisée afin de profiter des différents services déjà décrits précédemment. Ces points d'accès intègrent alors un IOS spécifique appelé "client léger". La procédure de restauration des points d'accès en client léger et surtout la procédure inverse de restauration des points d'accès en client lourd est délicate. Aussi, afin de ne pas mettre en panne les points d'accès côtoyés pendant toutes les manipulations précédentes, vous disposez d'un point d'accès supplémentaire, configuré en client léger. Ce point d'accès est accompagné d'un contrôleur Cisco Wireless Lan Controller 2504 .Les points d'accès peuvent être gérés de manière centralisée afin de profiter des différents services déjà décrits précédemment. Ces points d'accès intègrent alors un IOS spécifique appelé "client léger". La procédure de restauration des points d'accès en client léger et surtout la procédure inverse de restauration des points d'accès en client lourd est délicate. Aussi, afin de ne pas mettre en panne les points d'accès côtoyés pendant toutes les manipulations précédentes, vous disposez d'un point d'accès supplémentaire, configuré en client léger et nommé "LAP0x". Ce point d'accès est accompagné d'un contrôleur Cisco Wireless Lan Controller 2504 
Dans le cas d'un déploiement, le ou les contrôleurs sont interconnectés à un commutateur de distribution (encore appelé cœur), qui interconnecte un ou plusieurs commutateurs de niveau 2 ou 3 (commutateurs d'accès), sur lesquelles sont connectés les points d'accès légers (Lightweight Access-Point ou LAP). Les commutateurs d'accès permettent généralement de fournir une alimentation Poe aux point d'accès.

Pour des raisons évidentes de simplification de manipulation, vous connecterez directement le LAP0x sur un port du WLC0x qui rempliront la fonction PoE (les deux ports n°3 et n°4 sur les quatre sont en effet spécifiques PoE). Les principes étudiés n'en demeurent pas moins identiques.

Note : Si vous devez vous connecter sur un AP en console, il vous est rappelé les identifiants/mot-de-passe par défaut cisco/Cisco.


Dans un premier temps, connectez le poste de travail Client n°1 au port console du boitier WLC afin d'effectuer la configuration initiale en commande en ligne. Puis connectez sur le port Ethernet n°2 du boitier WLC le même poste de travail avec un câble réseau droit afin d'y accéder par l'interface Web (Attention, le numéro du port est spécifique). Le LAP ne sera connecté qu'ultérieurement sur l'un des ports PoE. Cette étape de branchement de câbles doit être validée par l'enseignant avant tout branchement d'alimentation du boitier WLC.


Bien que cette étape puisse s'effectuer par l'interface Web à l'adresse 10.4.108.1 par défaut, nous privilégions un redémarrage par ligne de commande CLI. Cette étape permet d'obtenir une configuration vierge et lancer par la suite l'utilitaire d'installation. Afin de démarrer l'utilitaire d'installation en ligne de commande, il est nécessaire de réinitialiser le contrôleur en tapant la commande « (Cisco Controller)>reset system ». Dans le cas où vous n'auriez pas la main sur la console, il faut redémarrer le contrôleur et passer à l'étape "Recover-Config". Le système redémarre alors à votre demande puis boot sur l'image active.
Au bout d'une vingtaine de secondes, une invitation apparait afin que vous puissiez renseigner le compte de première connexion "Recover-Config" (en précisant les majuscules !), ceci afin que le système redémarre à nouveau et présente l'utilitaire de première configuration. Cette procédure est peut être fastidieuse mais nécessaire pour partir sur des bases de configuration saines.

A laide de la session Putty existante, rester connecté sur le contrôleur WLC. Attention, lIOS léger est limité, vous ne retrouverez pas toutes les commandes habituelles. Dans un premier temps, il faudra obligatoirement répondre aux questions de l'utilitaire dinstallation. Lors du dernier redémarrage suite au « Recover-Config », le contrôleur WLC vous accueille avec le Cisco Wizard Configuration Tool.
On donnera obligatoirement admin/P@ssw0rd comme login/mot de passe (attention : cest un zéro et non la lettre 0 majuscule). Les valeurs proposées par défaut sont écrites entre crochet en MAJUSCULES. A une question [yes][NO], la réponse par défaut est "NO" si lon appuie directement sur la touche « entrée ». Donnez les réponses comme indiquée dans les captures d'écran ci-après.

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
Would you like to terminate autoinstall? [yes]: yes

System Name [Cisco_a8:3e:40] (31 characters max):MyWLCXè X est votre numéro de paillasse
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): ***** è P@ssw0rd
Re-enter Administrative Password                 : ***** è P@ssw0rd

Enable Link Aggregation (LAG) [yes][NO]: NO ènous ferons une configuration à simple attachement

Management Interface IP Address: 10.4.108.1
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.4.108.254
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 2 è important de le faire sur le port 2 !!!
Management Interface DHCP Server IP Address: 10.4.108.1 è on verra peut-être à le modifier plus tard...

Virtual Gateway IP Address: 1.1.1.1
Multicast IP Address: 239.1.1.1è on verra peut-être à le modifier plus tard...
Mobility/RF Group Name: MobGrpNameXè X est votre numéro de paillasse

Network Name (SSID): mySSIDX è X est votre numéro de paillasse

Configure DHCP Bridging Mode [YES][NO]:
Allow Static IP Addresses [YES][NO]:

Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.

Enter Country Code list (enter 'help' for a list of countries) [US]: FR

è on fera du 802.11a/b/g
Enable 802.11b Network [YES][no]: no
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: no
è le AutoRF permet de choisir automatiquement le canal le mieux adapté
Enable Auto-RF [YES][no]: yes

Configure a NTP server now? [YES][no]: noè on verra peut-être à le modifier plus tard...
Configure the system time now? [YES][no]: no
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
Cleaning up DHCP server configuration
Configuration saved!
Resetting system with new configuration...

 

La configuration initiale terminée, le contrôleur redémarre une dernière fois.


            Une fois le contrôleur en séquence de reboot, vérifiez que poste de travail Client n°1 soit bien connecté sur le port n°2 du contrôleur WLC. Configurez les paramètres IP de la carte filaire avec l'adresse 10.4.108.123/24) et lancez le navigateur Internet Explorer (et pas un autre navigateur) à l'adresse du contrôleur WLC via le protocole sécurisé https://. Durant les différentes étapes de la manipulation,  n'oubliez pas de cliquer systématiquement sur « Save Configuration » en haut à droite après avoir modifier vos configurations.
Une fenêtre d'accueil vous demande par la touche "login" de vous identifier. Renseignez le compte "admin/P@ssw0rd" préalablement défini. Le panneau principal d'accueil du contrôleur WLC est alors disponible.




Afin que les LAP découvrent automatiquement leur contrôleur et sy « accrochent », il y a plusieurs possibilités détaillées dans le guide dinstallation et le fichier lap-registration.pdf. La plupart des modes de découverte automatique nécessite de paramétrer loption 43 renvoyée dans le bail DHCP ou renseigner un nom particulier (CISCO−LWAPP−CONTROLLER.localdomain) correspondant à ladresse IP du contrôleur dans le DNS. Cest un de ces modes de fonctionnement quil faudra déployer en entreprise. Deux ou trois options via DHCP Server soffrent à vous :
-   Créer un serveur DHCP sur un routeur
-   Créer un serveur DHCP sur une machine Windows2003 Server
-   Créer un serveur DHCP sur une machine Linux
ou se connecter en mode console sur chacun des LAP afin de lui renseigner les coordonnées de son contrôleur, ce qui devient vite fastidieux. Une dernière solution possible, que nous allons adopter, est de faire gérer le DHCP servant pour les bornes par le contrôleur lui-même.
Les LAP doivent récupérer une adresse IP (et options DHCP spécifiques indiquant lemplacement du contrôleur par exemple) pour ensuite dialoguer avec ce contrôleur. Dans la manipulation, le contrôleur lui-même sera serveur DHCP (cest qui avait été renseigné dans le wizard précédent) ; il faut donc créer un pool d'adresses dans la définition de ce serveur pour les LAP dans un premier temps, puis un second pool d'adresses ultérieurement qui sera utile pour les clients WiFi désirant se connecter aux LAP. 
Définissez le pool d'adresses IP de .100 à .110 en sélectionnant le menu CONTROLLER et le sous-menu "Internal DHCP Server / DHCP Scope" puis en cliquant sur le bouton "New..."
N'oubliez pas validez votre configuration en cliquant sur le bouton "Apply" (enregistrement dans la RAM du contrôleur) puis "Save Configuration" (enregistrement dans la NVRAM). Dans le menu CONTROLLER et le sous-menu "Interfaces", vérifiez pour l'interface « Management » que son adresse IP est bien 10.4.108.1 (configurée initialement) dans le chapitre "DHCP Information".

Il existe un seul type de matériel AP1242 mais, selon la version d’IOS chargée au boot, celui-ci se comporte en mode « Autonomous » ou en mode « LightWeight ».
Seuls les AP de type LightWeight, plus communément appelés LAP, sont pris en charge par les contrôleurs centralisés.
La commande « show version » vous indiquera l’image système pour déterminer le type d’AP sur lequel vous êtes connecté :
System image file is "flash:/c1240-rcvk9w8-mx.124-25e.JAP/c1240-rcvk9w8-mx.124-25e.JA"
  • w7è indique un AP en mode Autonomous (non géré par le WMC)
  • w8 è indique un AP en mode LightWeight (à connecter à un WLC)
            ATTENTION ATTENTION ATTENTION : les points d'accès Cisco 1242 que vous allez manipuler proviennent d'achats réalisés dans différents pays. Pour des questions de régulation, l'éditeur différencie ces points d'accès par la présence d'un code pays dont l'objectif ests de faire correspondre l'utilisation des canaux à la règlementation en vigueur dans le pays. Selon la référence stipulée au dos du point d'accès, il est possible de connaitre sa provenance (http://www.cisco.com/c/en/us/products/collateral/wireless/aironet-1300series/product_data_sheet0900aecd80537b6a.html# wp9005314). Par exemple, les références suivantes :
- AIR-LAP1242AG-E-K9  de France mais aussi la Finlande, l'Allemagne, le Kennya, ...
- AIR-LAP1242AG-N-K9  de Nouvelle-Zélande mais aussi, l'Inde, Hong Kong, ...
Selon ce code, les LAP peuvent saccrocher au contrôleur qui sait les gérer. Il faut donc autoriser tous ces "country code" dans le menu « WIRELESS » et le sous-menu « Country » comme ceci :

Afin de changer les codes de pays, il faudra tout dabord désactiver les radios par le menu « WIRELESS », sous-menu « Access Points - Radios - 802.11a/n/ac - Network » puis décocher "802.11a Network Status : enabled". Mêmes éléments pour 802.11b/g/n. Il est alors possible de changer les codes pays puis remettre les radios en recochant les cases sans oublier de sauvegarder la configuration par le menu « Save configuration » tout en haut à droite de la fenêtre.
Sans lactivation de ces « country codes », les LAP ne pourront pas se connecter au contrôleur WLC et présenteront sur leur console un message comme celui-ci :
*Oct  2 02:30:39.427: %CAPWAP-3-ERRORLOG: Invalid event 10 & state 5 combination.
*Oct  2 02:30:39.427: %CAPWAP-3-ERRORLOG: CAPWAP SM handler: Failed to process message type 10 state 5.
*Oct  2 02:30:39.427: %CAPWAP-3-ERRORLOG: Failed to handle capwap control message from controller
*Oct  2 02:30:39.427: %CAPWAP-3-ERRORLOG: Failed to process encrypted capwap packet from 10.4.108.1
ATTENTION ATTENTION ATTENTION : lorsqu'un point d'accès a déjà été accroché à un contrôleur WLC, il essaiera à chaque redémarrage de le retrouver car il en garde une trace "indélébile" quelque part dans sa NVRAM. Ainsi, il essayera systématiquement de trouver l'ancien contrôleur au mépris d'en rechercher un nouveau. Cette situation est pénible pour une nouvelle configuration et une alternative, non documentée mais à garder dans son cookbook, permet d'effacer toute la configuration d'un LAP :
test capwap erase
clear capwap private-config
delete flash:private-config
delete flash:private-multiple-fs
reload

Dans le cas de notre manipulation et afin d'éviter des effacement de mémoire flash: pouvant engendrer la parte de l'IOS léger qui a été installé pour l'occasion, les LAP est les contrôleurs WLC ont tous été testés par couple, un LAP ayant été accroché par un WLC spécifique. Aussi, pensez à travailler avec les équipements étiquetés de même numéro et ainsi bien associer votre LAP0x à votre WLC0x dans la même boite de conditionnement sur la paillasse.

            Connectez un LAP sur l'un des deux ports PoE du contrôleur WLC au moyen d'un câble réseau droit et vérifiez que la led du point d'accès clignote en vert et/ou en rouge. Branchez le câble conseole du poste de travail n°1 sur le point d'accès afin de vérifier qu'il démarre bien sa séquence d'amorçage et observer les messages indiquant qu'il a bien trouvé son contrôleur, téléchargeant éventuellement une mise à jour. Par l'interface graphique du WLC, visualisez les LAP déjà connectés au contrôleur (menu « WIRELESS », sous-menu « Access Points - All APs »).

Si le point d'accès connecté napparait pas dans la liste des LAP, regardez via son port console sil récupère bien une adresse IP et se connecte au contrôleur pour ultérieurement le repérer dans les points d'accès rattachés au contrôleur. Si le message d'erreur suivant s'affiche :
*Mar  1 00:03:09.270: %CAPWAP-5-DHCP_RENEW: Could not discover WLC using DHCP IP. Renewing DHCP IP.
*Mar  1 00:03:19.274: %CAPWAP-3-ERRORLOG: Not sending discovery request AP does not have an Ip !!
Il y a donc un souci avec la configuration et il faut vérifier que le LAP est bien en mode DHCP puis le redémarrer de manière matérielle (débrancher et rebrancher lalimentation) ou logicielle par un "reload" via le port console.

Dans le cadre dun déploiement de terrain, il suffirait de relier le port 2 du WLC non pas à un poste de travail mais à un commutateur de distribution qui propagerait ce VLAN dans tous les commutateurs d'accès de lentreprise et sur lesquels seraient connectés les LAP : ce serait des connexions LWAPP/CAPWAP de niveau 2 car WLC et LAP sont sur le même VLAN. On peut également déployer une variante de niveau 3 : les commutateurs/routeurs relaient le trafic DHCP dans les différents VLAN sont déposés les LAP. Leurs baux indiquent au LAP ladresse IP du contrôleur vers lequel les LAP vont être routés et monter leur tunnel LWAPP/CAPWAP qui va se terminer dans le contrôleur.



            Cette manipulation n'est pas conseillée en production, sauf cas particulier, pour des raisons évidentes de sécurité d'accès. Cependant, afin d'obtenir plus de confort d'accès lors de la manipulation, il est possible de configurer le contrôleur depuis une connexion sans fil WiFi. Ceci s'effectue par le menu « MANAGEMENT » et sous-menu « Mgmt Via Wireless ». Il faut alors cocher « Enable Controller Management to be accessible from Wireless Clients » et ne pas oublier de valider la configuration en cliquant sur le bouton "Apply" et enregistrer la configuration.

Mise en oeuvre du portail captif

L'objectif de cette manipulation est d'autoriser les postes clients WiFi à se connecter en mode infrastructure sans authentification, ni chiffrement sur le réseau défini par défaut dans le contrôleur. Lors de l'installation du contrôleur par l'utilitaire de configuration, un SSID a été créé de nom "mySSIDx". Configurez ce SSID en mode "authentication open", sans chiffrement et sans diffusion en clair (no guest-mode) afin que se connecte uniquement les clients ayant connaissance de ce réseau hertzien. Pour ce faire, sélectionnez le menu « WLANs » et sous-menu « WLANs » puis sélectionner le SSID et les onglets :
« General »: en radio B/G/A et le trafic wifi sera ponté sur linterface 2 (management) pour le moment.

- puis  longlet « Security » / « Layer 2 » pour « None » dans le champ « Layer 2 Security », correspondant à « aucune authentification ».


Les LAP ajoutés sont de facto membres du groupe dAP nommé default-group. Par défaut, tous les WLANs IDs/SSIDs sont propagés sur tous les LAP membres de default-group. Il ny a donc rien à faire pour propager le SSID sur le groupe de point daccès par défaut contenant le point daccès raccordé précédemment. Utilisez un poste client WiFi afin de s'associer à unLAP via mySSIDX et connectez-vous avec un navigateur sur le contrôleur en  https://10.4.108.1.

Afin de mettre en place un HotSpot (accès plus ou moins gratuit à Internet en Wifi), vous devez pouvoir tracer qui sest connecté sur votre réseau WLAN (surtout si vous laissez des hackers ou des cybercriminels sy connecter). Le trafic Wifi va donc sortir par le port2 du WLC vers Internet. Il vous faut donc mettre en place un portail captif, qui lorsque quelquun se connectera à votre réseau et tentera de surfer sur Internet, devra dabord sauthentifier sur votre page web portail avant de « sortir ».
Faites en sorte de connecter le port n°2 du contrôleur sur le réseau de la salle donnant accès à Internet et cela sans entrer en conflit avec l'adresse IP d'un autre équipement ! D'autre part, il ne faut pas oublier que ce port n°2 doit toujours être joignable pour la configuration du contrôleur par son port Ethernet.
Afin de créer ce portail, il faut déclarer un nouveau WLAN ID avec pour SSID HotSpot-PAS-Unice associé à un WLAN pour lequel vous aller mettre en place loption de portail captif en lui associant le niveau de sécurité approprié. Puis vous définirez les utilisateurs par leurs identifiants et mots de passe respectifs. Créez le WLAN ID en passant par le menu « WLAN » et sous-menu « Create New » puis le bouton « Go ».

Cliquez enfin sur « Apply » et vérifiez dans lécran suivant que le trafic WLAN sera bridgé sur « lInterface/Interface Group(G) » de « management ». Dans la réalité, on ferait plutôt sortir le trafic par le port1 ethernet encore disponible afin de ne pas mélanger trafic opératoire et trafic dadministration. Mais pour simplifier notre manipulation, linterface de « management » suffira.
Afin que tout le monde puisse se connecter au portail, il est nécessaire dans le menu « WLANs » et l'onglet « General », de laisser loption « Broadcast SSID » cochée. Dans le menu « WLANs », l'onglet « Security » et le sous-menu « Level 2 », il faut positionner le niveau « Level 2 security » à « NONE » pour autoriser toute le monde à sassocier.


Pour activer le portail captif, cette configuration se passe dans longlet « Security » du menu « WLANs » et le sous-menu « Level3 » on demande une authentification web par « Web Policy ». Enfin pour définir les comptes utilisateurs, sélectionnez le menu « SECURITY » et le sous-menu « AAA - Local Net Users ». Créez les comptes maintenant bien connus : "potter" et "bilbon".


Il est maintenat nécessaire de créer un profil d'authentification et pour cela sélectionner le menu « SECURITY » et le sous-menu « Local EAP - Profiles » pour créer un nouveau profil appelé « EAP_for_HotSpot-PAS-Unice » dans lequel il faudra sélectionner le mode "EAP-FAST".

Revenons dans le troisième sous-onglet « AAA » de longlet « Security » du menu « WLANs » car il faut activer le « Local EAP authentication ». Nous nallons pas utiliser un serveur RADIUS externe, comme il faudrait le faire dans un cas réel, mais plutôt le serveur interne au contrôleur WLC qui peut contenir 2048 utilisateurs tout de même, dans différents profils.


Sélectionnez le profil précédemment créé pour « EAP Profile Name ».
Validez votre configuration par « Apply » et sauvegardez votre configuration. Utilisez des clients WiFi quelconques afin de tenter de vous connecter à votre réseau HotSpot-PAS-Unice. Essayez de vous connecter à http://kheops.unice.fr. Si réclamé lors de la connexion, renseignez le login et mot de passe des comptes précédemment créés. Attention, le certificat auto-signé du serveur https embarqué dans le WLC pour lauthentification par portail captif ne sera pas reconnu par votre navigateur !



Aucun commentaire:

Enregistrer un commentaire