TP005 WLC
TP005 WLC
TP005 WLC
D'ACCÈS LÉGERS
TABLE DES MATIÈRES
Préambule..............................................................................................................................................................3
ANNEXES.............................................................................................................................................................. 20
Les points d'accès peuvent être gérés de manière centralisée afin de profiter des
différents services déjà décrits précédemment. Ces points d'accès intègrent alors un IOS
spécifique appelé "client léger". La procédure de restauration des points d'accès en client
léger et surtout la procédure inverse de restauration des points d'accès en client lourd est
délicate. Aussi, afin de ne pas mettre en panne les points d'accès côtoyés pendant toutes les
manipulations précédentes, vous disposez d'un point d'accès supplémentaire, configuré en
client léger et nommé "LAP0x" où x est votre numéro de binôme. Ce point d'accès est
accompagné d'un contrôleur Cisco Wireless Lan Controller 2504 nommé "WLC0x" où x est
toujours votre numéro de binôme.
Dans l’ensemble des commandes et descriptions ci-dessous, le plan d’adressage correspond à celui de la salle
408. Si vous vous trouvez dans une autre salle, telle la salle 405, adaptez les commandes en fonction de
l’adressage prévu pour la salle.
Note : Si vous devez vous connecter sur un AP en console, il vous est rappelé les identifiants/mot-de-passe par
défaut cisco/Cisco.
Dans un premier temps, connectez le poste de travail Client n°1 au port console du
boitier WLC afin d'effectuer la configuration initiale en commande en ligne. Puis connectez
sur le port Ethernet n°2 du boitier WLC le même poste de travail avec un câble réseau droit
afin d'y accéder par l'interface Web (Attention, le numéro du port est spécifique). Le LAP ne
sera connecté qu'ultérieurement sur l'un des ports PoE. Cette étape de branchement de
câbles doit être validée par l'enseignant avant tout branchement d'alimentation du boitier
WLC.
Bien que cette étape puisse s'effectuer par l'interface Web à l'adresse 10.4.108.1 par
défaut, nous privilégions un redémarrage par ligne de commande CLI. Cette étape permet
d'obtenir une configuration vierge et lancer par la suite l'utilitaire d'installation. Afin de
démarrer l'utilitaire d'installation en ligne de commande, il est nécessaire de réinitialiser le
contrôleur en tapant la commande « (Cisco Controller)>reset system ». Dans le cas où vous
n'auriez pas la main sur la console, il faut redémarrer le contrôleur et passer à l'étape
"Recover-Config". Le système redémarre alors à votre demande puis boot sur l'image active.
Au bout d'une vingtaine de secondes, une invitation apparait afin que vous puissiez
renseigner le compte de première connexion "Recover-Config" (en précisant les
majuscules !), ceci afin que le système redémarre à nouveau et présente l'utilitaire de
première configuration. Cette procédure est peut être fastidieuse mais nécessaire pour
partir sur des bases de configuration saines.
Enable Link Aggregation (LAG) [yes][NO]: NO nous ferons une configuration à simple
attachement
Enter Country Code list (enter 'help' for a list of countries) [US]: FR
on fera du 802.11a/b/g
Enable 802.11b Network [YES][no]: no
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: no
le AutoRF permet de choisir automatiquement le canal le mieux adapté
Enable Auto-RF [YES][no]: yes
Configure a NTP server now? [YES][no]: no on verra peut-être à le modifier plus tard...
Configure the system time now? [YES][no]: no
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
Cleaning up DHCP server configuration
Configuration saved!
Resetting system with new configuration...
Une fois le contrôleur en séquence de reboot, vérifiez que poste de travail Client n°1
soit bien connecté sur le port n°2 du contrôleur WLC. Configurez les paramètres IP de la
carte filaire avec l'adresse 10.4.108.123/24) et lancez le navigateur Internet Explorer (et pas
un autre navigateur) à l'adresse du contrôleur WLC via le protocole sécurisé https://. Durant
les différentes étapes de la manipulation, n'oubliez pas de cliquer systématiquement sur
« Save Configuration » en haut à droite après avoir modifier vos configurations.
Une fenêtre d'accueil vous demande par la touche "login" de vous identifier. Renseignez le
compte "admin/P@ssw0rd" préalablement défini. Le panneau principal d'accueil du
contrôleur WLC est alors disponible.
Afin que les LAP découvrent automatiquement leur contrôleur et s’y « accrochent », il y a
plusieurs possibilités détaillées dans le guide d’installation et le fichier lap-registration.pdf.
La plupart des modes de découverte automatique nécessite de paramétrer l’option 43
renvoyée dans le bail DHCP ou renseigner un nom particulier
(CISCO−LWAPP−CONTROLLER.localdomain) correspondant à l’adresse IP du contrôleur dans
le DNS. C’est un de ces modes de fonctionnement qu’il faudra déployer en entreprise. Deux
ou trois options via DHCP Server s’offrent à vous en vous aidant de la documentation dhcp-
option-43.pdf :
… ou se connecter en mode console sur chacun des LAP afin de lui renseigner les
coordonnées de son contrôleur, ce qui devient vite fastidieux. Une dernière solution
possible, que nous allons adopter, est de faire gérer le DHCP servant pour les bornes par le
contrôleur lui-même.
Les LAP doivent récupérer une adresse IP (et options DHCP spécifiques indiquant
l’emplacement du contrôleur par exemple) pour ensuite dialoguer avec ce contrôleur. Dans
la manipulation, le contrôleur lui-même sera serveur DHCP (c’est qui avait été renseigné
dans le wizard précédent) ; il faut donc créer un pool d'adresses dans la définition de ce
serveur pour les LAP dans un premier temps, puis un second pool d'adresses ultérieurement
qui sera utile pour les clients WiFi désirant se connecter aux LAP.
Il existe un seul type de matériel AP1242 mais, selon la version d’IOS chargée au boot, celui-
ci se comporte en mode « Autonomous » ou en mode « LightWeight ».
Seuls les AP de type LightWeight, plus communément appelés LAP, sont pris en charge par
les contrôleurs centralisés.
La commande « show version » vous indiquera l’image système pour déterminer le type
d’AP sur lequel vous êtes connecté :
ATTENTION ATTENTION ATTENTION : les points d'accès Cisco 1242 que vous allez
manipuler proviennent d'achats réalisés dans différents pays. Pour des questions de
régulation, l'éditeur différencie ces points d'accès par la présence d'un code pays dont
l'objectif ests de faire correspondre l'utilisation des canaux à la règlementation en vigueur
dans le pays. Selon la référence stipulée au dos du point d'accès, il est possible de connaitre
sa provenance (http://www.cisco.com/c/en/us/products/collateral/wireless/aironet-
1300series/product_data_sheet0900aecd80537b6a.html# wp9005314). Par exemple, les
références suivantes :
Selon ce code, les LAP peuvent s’accrocher au contrôleur qui sait les gérer. Il faut donc
autoriser tous ces "country code" dans le menu « WIRELESS » et le sous-menu « Country »
comme ceci :
Afin de changer les codes de pays, il faudra tout d’abord désactiver les radios par le menu
« WIRELESS », sous-menu « Access Points - Radios - 802.11a/n/ac - Network » puis décocher
"802.11a Network Status : enabled". Mêmes éléments pour 802.11b/g/n. Il est alors
possible de changer les codes pays puis remettre les radios en recochant les cases sans
oublier de sauvegarder la configuration par le menu « Save configuration » tout en haut à
droite de la fenêtre.
Sans l’activation de ces « country codes », les LAP ne pourront pas se connecter au
contrôleur WLC et présenteront sur leur console un message comme celui-ci :
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: Invalid event 10 & state 5 combination.
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: CAPWAP SM handler: Failed to process message type 10
state 5.
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: Failed to handle capwap control message from controller
*Oct 2 02:30:39.427: %CAPWAP-3-ERRORLOG: Failed to process encrypted capwap packet from
10.4.108.1
Dans le cas de notre manipulation et afin d'éviter des effacement de mémoire flash: pouvant
engendrer la parte de l'IOS léger qui a été installé pour l'occasion, les LAP est les contrôleurs
WLC ont tous été testés par couple, un LAP ayant été accroché par un WLC spécifique. Aussi,
pensez à travailler avec les équipements étiquetés de même numéro et ainsi bien associer
votre LAP0x à votre WLC0x dans la même boite de conditionnement sur la paillasse.
Connectez un LAP sur l'un des deux ports PoE du contrôleur WLC au moyen d'un
câble réseau droit et vérifiez que la led du point d'accès clignote en vert et/ou en rouge.
Branchez le câble conseole du poste de travail n°1 sur le point d'accès afin de vérifier qu'il
démarre bien sa séquence d'amorçage et observer les messages indiquant qu'il a bien trouvé
son contrôleur, téléchargeant éventuellement une mise à jour. Par l'interface graphique du
WLC, visualisez les LAP déjà connectés au contrôleur (menu « WIRELESS », sous-menu
« Access Points - All APs »).
Il y a donc un souci avec la configuration et il faut vérifier que le LAP est bien en mode DHCP
puis le redémarrer de manière matérielle (débrancher et rebrancher l’alimentation) ou
logicielle par un "reload" via le port console.
Dans le cadre d’un déploiement de terrain, il suffirait de relier le port 2 du WLC non pas à un
poste de travail mais à un commutateur de distribution qui propagerait ce VLAN dans tous
les commutateurs d'accès de l’entreprise et sur lesquels seraient connectés les LAP : ce
serait des connexions LWAPP/CAPWAP de niveau 2 car WLC et LAP sont sur le même VLAN.
On peut également déployer une variante de niveau 3 : les commutateurs/routeurs relaient
le trafic DHCP dans les différents VLAN où sont déposés les LAP. Leurs baux indiquent au LAP
l’adresse IP du contrôleur vers lequel les LAP vont être routés et monter leur tunnel
LWAPP/CAPWAP qui va se terminer dans le contrôleur.
Q : Quel est le menu permettant d'afficher tous les points d'accès LAP connectés au
contrôleur ?
Comment sont caractérisés les point d'accès dans cette liste ?
A quoi correspond la liste d'Active Rogue APs dans le panneau principal (même si dans
votre situation de départ, cette liste doit était vide tant qu’aucun AP n’est relié au
contrôleur) ?
Combien en trouve-t-il ?
Que pouvez-vous en déduire concernant l'activité WiFi ambiante ?
Cette manipulation n'est pas conseillée en production, sauf cas particulier, pour des
raisons évidentes de sécurité d'accès. Cependant, afin d'obtenir plus de confort d'accès lors
de la manipulation, il est possible de configurer le contrôleur depuis une connexion sans fil
WiFi. Ceci s'effectue par le menu « MANAGEMENT » et sous-menu « Mgmt Via Wireless ». Il
faut alors cocher « Enable Controller Management to be accessible from Wireless Clients »
et ne pas oublier de valider la configuration en cliquant sur le bouton "Apply" et enregistrer
la configuration.
MISE EN OEUVRE DU PORTAIL CAPTIF
L'objectif de cette manipulation est d'autoriser les postes clients WiFi à se connecter
en mode infrastructure sans authentification, ni chiffrement sur le réseau défini par défaut
dans le contrôleur. Lors de l'installation du contrôleur par l'utilitaire de configuration, un
SSID a été créé de nom "mySSIDx". Configurez ce SSID en mode "authentication open", sans
chiffrement et sans diffusion en clair (no guest-mode) afin que se connecte uniquement les
clients ayant connaissance de ce réseau hertzien. Pour ce faire, sélectionnez le menu
« WLANs » et sous-menu « WLANs » puis sélectionner le SSID et les onglets :
« General »: en radio B/G/A et le trafic wifi sera ponté sur l’interface 2 (management) pour le
moment.
- puis l’onglet « Security » / « Layer 2 » pour « None » dans le champ « Layer 2 Security »,
correspondant à « aucune authentification ».
Les LAP ajoutés sont de facto membres du groupe d’AP nommé default-group. Par défaut,
tous les WLANs IDs/SSIDs sont propagés sur tous les LAP membres de default-group. Il n’y a
donc rien à faire pour propager le SSID sur le groupe de point d’accès par défaut contenant
le point d’accès raccordé précédemment. Utilisez un poste client WiFi afin de s'associer à
unLAP via mySSIDX et connectez-vous avec un navigateur sur le contrôleur en
https://10.4.108.1.
Afin de mettre en place un HotSpot (accès plus ou moins gratuit à Internet en Wifi),
vous devez pouvoir tracer qui s’est connecté sur votre réseau WLAN (surtout si vous laissez
des hackers ou des cybercriminels s’y connecter). Le trafic Wifi va donc sortir par le port n°2
du WLC vers Internet. Il vous faut donc mettre en place un portail captif, qui lorsque
quelqu’un se connectera à votre réseau et tentera de surfer sur Internet, devra d’abord
s’authentifier sur votre page web portail avant de « sortir ».
Cliquez enfin sur « Apply » et vérifiez dans l’écran suivant que le trafic WLAN sera bridgé sur
« l’Interface/Interface Group(G) » de « management ». Dans la réalité, on ferait plutôt sortir
le trafic par le port n°1 ethernet encore disponible afin de ne pas mélanger trafic opératoire
et trafic d’administration. Mais pour simplifier notre manipulation, l’interface de
« management » suffira.
Afin que tout le monde puisse se connecter au portail, il est nécessaire dans le menu «
WLANs » et l'onglet « General », de laisser l’option « Broadcast SSID » cochée. Dans le menu
« WLANs », l'onglet « Security » et le sous-menu « Level 2 », il faut positionner le niveau
« Level 2 security » à « NONE » pour autoriser toute le monde à s’associer.
Pour activer le portail captif, cette configuration se passe dans l’onglet « Security » du menu
« WLANs » et le sous-menu « Level3 » où on demande une authentification web par « Web
Policy ». Enfin pour définir les comptes utilisateurs, sélectionnez le menu « SECURITY » et le
sous-menu « AAA - Local Net Users ». Créez les comptes maintenant bien connus : "potter"
et "bilbon".
Q : Que veut dire l'option "Guest User" pour un compte créé dans cette fenêtre ?
Validez votre configuration par « Apply » et sauvegardez votre configuration. Utilisez des
clients WiFi quelconques afin de tenter de vous connecter à votre réseau HotSpot-PAS-
Unice. Essayez de vous connecter à http://kheops.unice.fr. Si réclamé lors de la connexion,
renseignez le login et mot de passe des comptes précédemment créés. Attention, le
certificat auto-signé du serveur https embarqué dans le WLC pour l’authentification par
portail captif ne sera pas reconnu par votre navigateur !
Q : Décrivez ce qu'il se passe dans les différentes étapes !
Expliquez ce que vous avez mis en place, ce qui fonctionne ou pas selon le client !
L'objectif de cette désinstallation est de remettre les postes de travail et les interfaces dans la
même configuration que celle que vous avez trouvée en début de séance. Pour cela :
Réinitialisez le contrôleur WLC et n'arrêtez électriquement le WLC qu'à la fin du cycle
de boot,
Déclablez tous les matériels et rangez les câbles et connecteurs à leur emplacement
d'origine,
Faites vérifier le rangement par l’enseignant (obligatoire sinon perte des points),
show ap summary
Cela effacera du controleur le LAP dont le nom est ap-name mais cela ne permettra
pas d’effacer l’enregistrement effectué par le LAP lui-même sur le contrôleur
précédent (mémorisé!)
Depuis le LAP :