I- Introduction
Dans un premier temps, connectez le poste de travail Client
n°1 au port console du boitier WLC afin d'effectuer la configuration initiale
en commande en ligne. Puis connectez sur le port Ethernet n°2 du boitier WLC le
même poste de travail avec un câble réseau droit afin d'y accéder par
l'interface Web (Attention, le numéro du port est spécifique). Le LAP ne sera
connecté qu'ultérieurement sur l'un des ports PoE. Cette étape de branchement
de câbles doit être validée par l'enseignant avant tout branchement
d'alimentation du boitier WLC.
Une fenêtre d'accueil vous demande par la touche
"login" de vous identifier. Renseignez le compte
"admin/P@ssw0rd" préalablement défini. Le panneau principal d'accueil
du contrôleur WLC est alors disponible.
Les points d'accès peuvent être gérés de manière centralisée afin de
profiter des différents services déjà décrits précédemment. Ces points d'accès intègrent
alors un IOS spécifique appelé "client léger". La procédure de restauration
des points d'accès en client léger et surtout la procédure inverse de
restauration des points d'accès en client lourd est délicate. Aussi, afin de ne
pas mettre en panne les points d'accès côtoyés pendant toutes les manipulations
précédentes, vous disposez d'un point d'accès supplémentaire, configuré en
client léger. Ce point d'accès est accompagné d'un
contrôleur Cisco Wireless Lan Controller 2504 .
Dans le cas d'un déploiement, le ou les contrôleurs sont interconnectés à
un commutateur de distribution (encore appelé cœur), qui interconnecte un ou
plusieurs commutateurs de niveau 2 ou 3 (commutateurs d'accès), sur lesquelles
sont connectés les points d'accès légers (Lightweight Access-Point ou LAP). Les
commutateurs d'accès permettent généralement de fournir une alimentation Poe
aux point d'accès.
Pour des raisons évidentes de simplification de manipulation, vous
connecterez directement le LAP0x sur un port du WLC0x qui rempliront la
fonction PoE (les deux ports n°3 et n°4 sur les quatre sont en effet
spécifiques PoE). Les principes étudiés n'en demeurent pas moins identiques.
Note : Si vous devez vous connecter sur un AP en
console, il vous est rappelé les identifiants/mot-de-passe par défaut cisco/Cisco.
Bien que cette étape puisse
s'effectuer par l'interface Web à l'adresse 10.4.108.1 par défaut, nous
privilégions un redémarrage par ligne de commande CLI. Cette étape permet
d'obtenir une configuration vierge et lancer par la suite l'utilitaire
d'installation. Afin de démarrer l'utilitaire d'installation en ligne de
commande, il est nécessaire de réinitialiser le contrôleur en tapant la
commande « (Cisco Controller)>reset system
». Dans le cas où vous n'auriez pas la main sur la console, il faut redémarrer
le contrôleur et passer à l'étape "Recover-Config". Le système
redémarre alors à votre demande puis boot sur l'image active.
Au bout d'une vingtaine de secondes,
une invitation apparait afin que vous puissiez renseigner le compte de première
connexion "Recover-Config"
(en précisant les majuscules !), ceci afin que le système redémarre à nouveau
et présente l'utilitaire de première configuration. Cette procédure est peut
être fastidieuse mais nécessaire pour partir sur des bases de configuration
saines.
A l’aide de la session Putty existante, rester connecté sur le contrôleur WLC. Attention, l’IOS léger est limité, vous ne retrouverez pas toutes les commandes habituelles. Dans un premier temps, il faudra obligatoirement répondre aux questions de
l'utilitaire d’installation. Lors du dernier redémarrage suite au « Recover-Config », le contrôleur WLC vous accueille avec le Cisco Wizard Configuration Tool.
On donnera obligatoirement admin/P@ssw0rd comme login/mot de passe (attention : c’est un zéro et non la lettre 0 majuscule). Les valeurs proposées par défaut sont écrites entre crochet en MAJUSCULES. A une question [yes][NO], la réponse par défaut est "NO" si l’on appuie directement sur la touche « entrée ».
Donnez les réponses comme indiquée dans les captures d'écran ci-après.
Welcome to the Cisco Wizard Configuration
Tool
Use the '-' character to backup
Would you like to terminate autoinstall? [yes]: yes
System Name [Cisco_a8:3e:40] (31 characters max):MyWLCXè où X est votre numéro de paillasse
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): ***** è P@ssw0rd
Re-enter Administrative Password : ***** è P@ssw0rd
Enable Link Aggregation (LAG) [yes][NO]: NO ènous ferons une configuration à simple attachement
Management Interface IP Address: 10.4.108.1
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.4.108.254
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 4]: 2 è important de le faire sur le port 2 !!!
Management Interface DHCP Server IP Address: 10.4.108.1 è on verra peut-être à le modifier plus tard...
Virtual Gateway IP Address: 1.1.1.1
Multicast IP Address: 239.1.1.1è on verra peut-être à le modifier plus tard...
Mobility/RF Group Name: MobGrpNameXè où X est votre numéro de paillasse
Network Name (SSID): mySSIDX è où X est votre numéro de paillasse
Configure DHCP Bridging Mode [YES][NO]:
Allow Static IP Addresses [YES][NO]:
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security
policy requires a RADIUS server.
Please see documentation for more
details.
Enter Country Code list (enter 'help' for a list of countries) [US]: FR
è on fera du 802.11a/b/g
Enable 802.11b Network [YES][no]: no
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: no
è le AutoRF permet de choisir automatiquement le canal le mieux adapté
Enable Auto-RF [YES][no]: yes
Configure a NTP server now? [YES][no]: noè on verra peut-être à le modifier plus tard...
Configure the system time now? [YES][no]: no
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
Cleaning up DHCP server
configuration
Configuration saved!
Resetting system with new configuration...
La configuration initiale terminée, le contrôleur redémarre une dernière fois.
Une fois le contrôleur en séquence de reboot, vérifiez que poste
de travail Client n°1 soit bien connecté sur le port n°2 du contrôleur WLC.
Configurez les paramètres IP de la carte filaire avec l'adresse 10.4.108.123/24)
et lancez le navigateur Internet Explorer (et pas un autre navigateur) à
l'adresse du contrôleur WLC via le protocole sécurisé https://. Durant les différentes étapes
de la manipulation, n'oubliez pas de cliquer systématiquement sur « Save Configuration » en haut à droite après avoir modifier vos configurations.
Une fenêtre d'accueil vous demande par la touche
"login" de vous identifier. Renseignez le compte
"admin/P@ssw0rd" préalablement défini. Le panneau principal d'accueil
du contrôleur WLC est alors disponible.
Afin que les LAP découvrent automatiquement leur contrôleur et s’y « accrochent », il y a plusieurs possibilités détaillées dans le guide d’installation et le fichier lap-registration.pdf. La plupart des modes de découverte automatique nécessite de paramétrer l’option 43 renvoyée dans le bail DHCP ou renseigner un nom particulier (CISCO−LWAPP−CONTROLLER.localdomain) correspondant à l’adresse IP du contrôleur dans le DNS. C’est un de ces modes de fonctionnement qu’il faudra déployer en entreprise. Deux ou trois options via DHCP Server s’offrent à vous :
- Créer un serveur DHCP sur un routeur
- Créer un serveur DHCP sur une machine Windows2003 Server
- Créer un serveur DHCP sur une machine Linux
… ou se connecter en mode console sur chacun des LAP afin de lui renseigner les coordonnées de son contrôleur, ce qui devient vite fastidieux. Une dernière solution possible, que nous allons adopter, est de faire gérer le DHCP servant pour les bornes par le contrôleur lui-même.
Les LAP doivent récupérer une adresse IP (et options DHCP spécifiques indiquant l’emplacement du contrôleur par exemple) pour ensuite dialoguer avec ce contrôleur. Dans la manipulation, le contrôleur lui-même sera serveur DHCP (c’est qui avait été renseigné dans le wizard précédent) ; il faut donc créer un pool d'adresses dans la définition de ce serveur pour les LAP dans un premier temps, puis un second pool d'adresses ultérieurement
qui sera utile pour les clients WiFi désirant se connecter aux LAP.
Définissez le pool d'adresses IP de .100 à .110 en sélectionnant le menu CONTROLLER
et le sous-menu "Internal DHCP Server / DHCP Scope" puis en cliquant
sur le bouton "New..."
N'oubliez
pas validez votre configuration en cliquant sur le bouton "Apply"
(enregistrement dans la RAM du contrôleur) puis "Save Configuration"
(enregistrement dans la NVRAM). Dans le menu CONTROLLER et le sous-menu
"Interfaces", vérifiez pour l'interface « Management » que son
adresse IP est bien 10.4.108.1 (configurée initialement) dans le chapitre
"DHCP Information".
Il existe un seul type de matériel
AP1242 mais, selon la version d’IOS chargée au boot, celui-ci se comporte en
mode « Autonomous » ou en mode « LightWeight ».
Seuls les AP de type LightWeight,
plus communément appelés LAP, sont pris en charge par les contrôleurs
centralisés.
La commande « show
version » vous indiquera l’image système pour déterminer le type d’AP sur
lequel vous êtes connecté :
System image file is
"flash:/c1240-rcvk9w8-mx.124-25e.JAP/c1240-rcvk9w8-mx.124-25e.JA"
- w7è indique un AP en mode
Autonomous (non géré par le WMC)
- w8 è indique un AP en mode LightWeight (à connecter à
un WLC)
ATTENTION ATTENTION ATTENTION : les points d'accès
Cisco 1242 que vous allez manipuler proviennent d'achats réalisés dans
différents pays. Pour des questions de régulation, l'éditeur différencie ces
points d'accès par la présence d'un code pays dont l'objectif ests de faire
correspondre l'utilisation des canaux à la règlementation en vigueur dans le
pays. Selon la référence stipulée au dos du point d'accès, il est possible de
connaitre sa provenance (http://www.cisco.com/c/en/us/products/collateral/wireless/aironet-1300series/product_data_sheet0900aecd80537b6a.html#
wp9005314). Par exemple, les références suivantes :
- AIR-LAP1242AG-E-K9 de France mais aussi la Finlande, l'Allemagne, le
Kennya, ...
- AIR-LAP1242AG-N-K9 de Nouvelle-Zélande mais aussi, l'Inde, Hong Kong, ...
Selon ce code, les LAP peuvent s’accrocher au contrôleur qui sait les gérer. Il faut donc autoriser tous ces "country code" dans le menu « WIRELESS » et le sous-menu
« Country » comme ceci :
Afin de changer les codes de pays, il faudra tout d’abord désactiver les radios par le menu « WIRELESS »,
sous-menu « Access Points - Radios - 802.11a/n/ac - Network » puis décocher "802.11a Network Status : enabled". Mêmes
éléments pour 802.11b/g/n. Il est alors possible de changer les codes pays puis remettre les radios en recochant les cases sans oublier de sauvegarder la configuration par le menu « Save configuration » tout en haut à droite de la fenêtre.
Sans l’activation de ces « country codes », les LAP ne pourront pas se connecter au contrôleur WLC et présenteront sur leur console un message comme celui-ci :
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: Invalid event 10 & state 5 combination.
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: CAPWAP SM handler: Failed to process message type 10 state 5.
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: Failed to handle capwap control message from controller
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: Failed to process encrypted capwap packet from 10.4.108.1
ATTENTION ATTENTION
ATTENTION :
lorsqu'un point d'accès a déjà été accroché à un contrôleur WLC, il essaiera à chaque redémarrage de le retrouver car il
en garde une trace "indélébile" quelque part dans sa NVRAM. Ainsi, il
essayera systématiquement de trouver l'ancien contrôleur au mépris d'en
rechercher un nouveau. Cette situation est pénible pour une nouvelle
configuration et une alternative, non documentée mais à garder dans son
cookbook, permet d'effacer toute la configuration d'un LAP :
test capwap erase
clear capwap private-config
delete flash:private-config
delete flash:private-multiple-fs
reload
Dans le cas de notre manipulation et
afin d'éviter des effacement de mémoire flash: pouvant engendrer la parte de
l'IOS léger qui a été installé pour l'occasion, les LAP est les contrôleurs WLC
ont tous été testés par couple, un LAP ayant été accroché par un WLC
spécifique. Aussi, pensez à travailler avec les équipements étiquetés de même
numéro et ainsi bien associer votre LAP0x à votre WLC0x dans la même boite de conditionnement
sur la paillasse.
Connectez
un LAP sur l'un des deux ports PoE du contrôleur WLC au moyen d'un câble réseau
droit et vérifiez que la led du point d'accès clignote en vert et/ou en rouge.
Branchez le câble conseole du poste de travail n°1 sur le point d'accès afin de
vérifier qu'il démarre bien sa séquence d'amorçage et observer les messages
indiquant qu'il a bien trouvé son contrôleur, téléchargeant éventuellement une
mise à jour. Par l'interface graphique du WLC, visualisez les LAP déjà
connectés au contrôleur (menu « WIRELESS », sous-menu « Access Points - All
APs »).
Si le point d'accès connecté n’apparait pas dans la liste des LAP, regardez via son port console s’il récupère bien une adresse IP et se connecte au contrôleur pour ultérieurement le repérer dans les points d'accès rattachés au contrôleur. Si le message d'erreur suivant s'affiche :
*Mar 1 00:03:09.270: %CAPWAP-5-DHCP_RENEW: Could not discover WLC using DHCP IP. Renewing DHCP IP.
*Mar 1 00:03:19.274: %CAPWAP-3-ERRORLOG: Not sending discovery request AP does not have an Ip !!
Il y a donc
un souci avec la configuration et il faut
vérifier que le LAP est bien en mode DHCP puis le redémarrer de
manière matérielle (débrancher et rebrancher l’alimentation) ou logicielle par un "reload" via le
port console.
Dans le cadre d’un déploiement de terrain, il suffirait de relier le port 2 du WLC non pas à un poste de travail mais à un commutateur de distribution qui propagerait ce VLAN dans tous les
commutateurs d'accès de l’entreprise et sur lesquels seraient connectés les LAP : ce serait des connexions LWAPP/CAPWAP de niveau 2 car WLC et LAP sont sur le même VLAN. On peut également déployer une variante de niveau 3 : les commutateurs/routeurs relaient le trafic DHCP dans les différents VLAN où sont déposés les LAP. Leurs baux indiquent au LAP l’adresse IP du contrôleur vers lequel les LAP vont être routés et monter leur tunnel LWAPP/CAPWAP qui va se terminer dans le contrôleur.
Cette
manipulation n'est pas conseillée en production, sauf cas particulier, pour des
raisons évidentes de sécurité d'accès. Cependant, afin d'obtenir plus de
confort d'accès lors de la manipulation, il est possible de configurer le
contrôleur depuis une connexion sans fil WiFi. Ceci s'effectue par le menu « MANAGEMENT » et
sous-menu « Mgmt Via Wireless ».
Il faut alors cocher « Enable Controller Management to be accessible from Wireless Clients » et ne pas oublier de valider
la configuration en cliquant sur le bouton "Apply" et enregistrer la
configuration.
Mise en oeuvre du portail captif
L'objectif de cette
manipulation est d'autoriser les postes clients WiFi à se connecter en mode
infrastructure sans authentification, ni chiffrement sur le réseau défini par
défaut dans le contrôleur. Lors de l'installation du contrôleur par
l'utilitaire de configuration, un SSID a été créé de nom "mySSIDx".
Configurez ce SSID en mode "authentication open", sans chiffrement et
sans diffusion en clair (no guest-mode) afin que se connecte uniquement les
clients ayant connaissance de ce réseau hertzien. Pour ce faire, sélectionnez
le menu « WLANs » et sous-menu « WLANs » puis sélectionner le SSID et les onglets :
« General »: en radio B/G/A et le trafic wifi sera ponté sur l’interface 2 (management) pour le moment.
- puis l’onglet « Security » / « Layer 2 » pour « None » dans le champ « Layer 2 Security », correspondant à « aucune
authentification ».
Les LAP ajoutés sont de facto membres du groupe d’AP nommé default-group. Par défaut, tous les WLANs IDs/SSIDs sont propagés sur tous les LAP membres de default-group. Il n’y a donc rien à faire pour propager le SSID sur le groupe de point d’accès par défaut contenant le point d’accès raccordé précédemment. Utilisez un poste client WiFi afin de s'associer à unLAP via mySSIDX et connectez-vous avec un navigateur sur le contrôleur en
https://10.4.108.1.
Afin de mettre en place un HotSpot (accès plus ou moins gratuit à Internet en Wifi), vous devez pouvoir tracer qui s’est connecté sur votre réseau WLAN (surtout si vous laissez des hackers ou des
cybercriminels s’y connecter). Le trafic Wifi va donc sortir par le port n°2 du WLC vers Internet. Il vous faut donc mettre en place un portail captif, qui lorsque quelqu’un se connectera à votre réseau et tentera de surfer sur Internet, devra d’abord s’authentifier sur votre page web portail avant de « sortir ».
Faites en sorte de connecter le port n°2 du contrôleur sur le réseau
de la salle donnant accès à Internet et cela sans entrer en conflit avec
l'adresse IP d'un autre équipement ! D'autre part, il ne faut pas oublier que
ce port n°2 doit toujours être joignable pour la configuration du contrôleur
par son port Ethernet.
Afin de créer ce portail, il faut déclarer un nouveau WLAN ID avec pour SSID HotSpot-PAS-Unice associé à un WLAN pour lequel vous aller mettre en place l’option de portail captif en lui associant le niveau de sécurité approprié. Puis vous définirez les utilisateurs par leurs identifiants et mots de passe respectifs.
Créez le WLAN ID en passant par le menu « WLAN » et
sous-menu « Create New » puis le bouton « Go ».
Cliquez enfin sur « Apply » et vérifiez dans l’écran suivant que le trafic WLAN sera bridgé sur « l’Interface/Interface Group(G) » de « management ». Dans la
réalité, on
ferait plutôt sortir le
trafic par le port n°1 ethernet encore disponible afin de ne pas mélanger trafic opératoire et trafic d’administration. Mais pour simplifier notre manipulation, l’interface de « management » suffira.
Afin que tout le monde puisse se connecter au portail, il est nécessaire dans le menu « WLANs » et l'onglet « General », de laisser l’option « Broadcast SSID » cochée. Dans le menu « WLANs », l'onglet « Security »
et le sous-menu « Level 2 », il faut positionner le niveau « Level 2 security » à « NONE » pour autoriser toute le monde à s’associer.
Pour activer le portail captif, cette configuration se passe dans l’onglet « Security » du menu
« WLANs » et le sous-menu « Level3 » où on demande une authentification web par « Web Policy ». Enfin pour définir les
comptes utilisateurs, sélectionnez le menu « SECURITY » et le
sous-menu « AAA - Local Net Users ». Créez les comptes maintenant bien connus :
"potter" et "bilbon".
Il est maintenat nécessaire de créer un profil
d'authentification et pour cela sélectionner le menu « SECURITY » et le sous-menu « Local EAP - Profiles » pour créer un nouveau profil appelé « EAP_for_HotSpot-PAS-Unice » dans lequel il faudra
sélectionner le mode "EAP-FAST".
Revenons dans le troisième sous-onglet « AAA » de l’onglet « Security » du menu
« WLANs » car il faut activer le « Local EAP authentication ». Nous n’allons pas utiliser un serveur RADIUS externe, comme il faudrait le faire dans un cas réel, mais plutôt le serveur interne au contrôleur WLC qui peut contenir 2048 utilisateurs tout de même, dans différents profils.
Sélectionnez le profil précédemment créé pour « EAP Profile
Name ».
Validez votre configuration par « Apply » et
sauvegardez votre configuration. Utilisez des clients WiFi quelconques afin de
tenter de vous connecter à votre réseau HotSpot-PAS-Unice. Essayez de vous
connecter à http://kheops.unice.fr. Si réclamé
lors de la connexion, renseignez le login et mot de passe des comptes précédemment
créés. Attention, le certificat auto-signé du serveur https embarqué dans le WLC pour l’authentification par portail captif ne sera pas reconnu par votre navigateur !
