Vous êtes sur la page 1sur 25

Nom:

Prnom:

LP IRM Nice Sophia-Antipolis

TP #009.1
Central management of Lightweigh Access Point
using Cisco Wireless Lan Controller WLC 2106

Table des matires


Prparation au dmarrage du contrleur Wif.........................................................2
Remise zro du WLC en dbut (et en fn) dexercice...........................................2
Confguration initiale en mode console sur le point daccs...................................5
Confguration par linterface Web...........................................................................8
Redmarrage et connexion scurise sur la nouvelle interface de gestion............9
Enregistrement du LAP sur le contrleur : tout est dans le DHCP ................10
Cration dun Serveur DHCP interne au controller...............................................10
Interconnexion dun premier LightWeight AP.......................................................12
Confguration du NTP Server et Log server..........................................................14
Autoriser les clients Wif se connecter en open authentication sans encryption
............................................................................................................................. 15
Connexion au contrleur en SSH..........................................................................15
Nouvelle interface sur vlan10............................................................................... 15
Fonctionalit Portail Captif : hotspot.....................................................................17
Fonctionnalit IDS : dtection dintrusion.............................................................17
Fonctionnalit de contention : contenir un Rogue AP et des ses clients..............17
Annexes................................................................................................................ 18
Troubleshooting DHCP....................................................................................... 18
Remise zro du controller par interface Web..................................................18
Remise zro des LAP...................................................................................... 18
Wizard de premire confguration en Web........................................................19
Utilisation et confguration de SDNS plus..........................................................25

Prparation au dmarrage du contrleur Wif


Votre premier PC en 192.168.0.100/24 connect :
-

au port eth1 du WLC (attention, a ne marchera pas sinon !...)

au port console du WLC

Note : Il est prfrable dutiliser Internet Explorer et de dsactiver le proxy.


Les AP ne seront connects quultrieurement connects sur les ports PoE (qui
sont le port7 ou le port 8)

Faire un schma de connexion.

Remise zro du WLC en dbut (et en fn)


dexercice
Cette opration se fait en CLI Extrait Confguration Guide p4-2
Elle permet de partir de redmarrer le boitier pour ensuite dmarrer dune
confguration vierge et lancer le wizzard dinstallation.
Note : en fn de sance vous devrez rinitialiser le controller pour les
prochains groupes de TP : narrter lectriquement le controleur qu la
fn du cycle de boot.
Si lon veut redmarrer le Wizard dinstallation en ligne de commande, il faut
dabord rinitialiser le controller avec la commande suivante :
(Cisco Controller) >reset system

Note : si vous navez pas la main sur la console, rebootez-la (hard-reset) et


passez ltape Recover-Confg

Le systme redmarre votre demande

Et boot sur limage active

Puis utiliser le compte spcial de premire connexion Recover-Config


(avec majuscule !...) afin que le systme redmarre nouveau et vous prsente le wizzard de premire
configuration.

Confguration initiale en mode console sur le


point daccs
A laide de votre session Putty ou Hyperterminal existante, rester connect sur le
point daccs.
Note : Mot de passe par dfaut : Cisco
Note : Attention, lIOS est limit et vous ne retrouverez pas toutes vos
commandes habituelles.
Au dernier redmarrage suite au Recover-Confg , le controller vous accueille
avec le Wizard Confguration Tool.

Donner MyWLC comme system name.


Donner admin/admin comme administrator/password.
Donner les rponses comme indiques dans les captures dcran suivantes.
(Cisco Controller)
Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
Would you like to terminate autoinstall? [yes]: yes
System Name [Cisco_a8:3e:40] (31 characters max):
AUTO-INSTALL: process terminated -- no configuration loaded

Enter Administrative User Name (24 characters max): admin


Enter Administrative Password (24 characters max): ***** admin
Re-enter Administrative Password
: ***** admin
Management Interface IP Address: 192.168.1.1
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 192.168.1.254
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 8]: 1 important de le faire sur le port
1 !!!
Management Interface DHCP Server IP Address: 192.168.1.5 bien-sr, vous
aurez reconnu votre tftp32 !...
AP Manager Interface IP Address: 192.168.1.2
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (192.168.0.5):
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: MobGrpName
Network Name (SSID): mySSIDX o X est votre numro de paillasse
Configure DHCP Bridging Mode [yes][NO]:
Allow Static IP Addresses [YES][no]:
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code list (enter 'help' for a list of countries) [US]: FR
Enable
Enable
Enable
Enable

802.11b Network [YES][no]: no on ne fait que du 802.11a


802.11a Network [YES][no]:
802.11g Network [YES][no]: no on ne fait que du 802.11a
Auto-RF [YES][no]:

Configure a NTP server now? [YES][no]: YES


Enter the NTP server's IP address: 192.168.1.5 bien-sr, vous aurez reconnu
votre tftp32 !...
Enter a polling interval between 3600 and 604800 secs: 3600
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

Configuration saved!
Resetting system with new configuration...

La confguration initiale termine, le controller rebootera ce moment-l.


NB : actuellement, le DHCP Server est indiqu en 192.168.1.5 il sera chang
ultrieurement.
A lire pour comprendre : Dfnition des interfaces selon Confguration Guide
p3-5
An interface is a logical entity on the controller. An interface has multiple parameters associated with
it, including an IP address, default-gateway (for the IP subnet), primary physical port, secondary
physical port, VLAN identifier, and DHCP server.
These five types of interfaces are available on the controller. Four of these are static and are configured
at setup time:
Management interface (Static and configured at setup time; mandatory)
AP-manager interface (When using Layer 3 LWAPP, static and configured at setup time;
mandatory)
Virtual interface (Static and configured at setup time; mandatory)
Service-port interface (Static and configured at setup time; optional)
Dynamic interface (User-defined)
Each interface is mapped to at least one primary port, and some interfaces (management and
dynamic)can be mapped to an optional secondary (or backup) port. If the primary port for an interface
fails, the interface automatically moves to the backup port. In addition, multiple interfaces can be
mapped to asingle controller port.

Confguration par linterface Web


Une fois le controller en squence de reboot, connecter le PC (192.168.1.123)
quip dInternet Explorer (et pas un autre navigateur) sur le port Ethernet 1
du boitier controller 2601 (cable droit).
Se connecter sur https:// 192.168.1.1 avec le compte admin/admin

Note : Ne pas oublier de cliquer sur Save Confguration en haut droite aprs
avoir modifer vos confgurations.

Note : Le couple compte/mot-de-passe par dfaut est admin/admin telque cr


en CLI via le Wizard.
Si ce nest pas le cas, raliser nouveau le chapitre Remise zro du WLC en
dbut ou en fn dexercice

Redmarrage et connexion scurise sur la


nouvelle interface de gestion
A laide dInternet Explorer, connectez-vous sur le WLC en http scuris
https://192.168.1.1

Enregistrement du LAP sur le contrleur : tout


est dans le DHCP
Pour que les AP dcouvrent automatiquement leurs contrleurs, il y a plusieurs
possibilits dtailles dans le guide dinstallation et le fchier lap-registration.pdf.
La plupart des modes de dcouverte automatique ncessite de paramtrer
loption 43 renvoye dans le bail DHCP, ou renseigner un nom particulier
(CISCOLWAPPCONTROLLER.localdomain) correspondant ladresse IP du
contrleur dans le DNS.
Cest un de ces modes de fonctionnement quil faudra dployer en entreprise.
Deux ou trois options via DHCP Server soffrent vous en vous aidant de la
documentation dhcp-option-43.pdf:

Crer un serveur DHCP sur un routeur

Crer un serveur DHCP sur une machine Windows2003 Server

Crer un serveur DHCP sur une machine Linux

ou se connecter en mode console sur le LAP et lui renseigner les coordonnes


de son contrleur.
Une dernire solution possible, que nous allons adopter, est de faire grer le
DHCP pour les bornes par le controller lui-m-mme.

Cration dun Serveur DHCP interne au controller


Les LAP doivent rcuprer une adresse IP (et des options DHCP spcifques
indiquant lemplacement du controller par exemple) pour ensuite dialoguer avec
le controller.
Pour des raisons de simplifcation, cest le controller lui-mme qui sera serveur
DHCP (ce ne sera plus le 192.168.1.5 comme renseign dans le wizard)
Il faut donc crer un scope DHCP pour les LAP dans un premier temps.
Ultrieurement, un second scope sera utile pour les clients Wif se connectant
aux LAP.

Dfnir le scope tel que reprsent ci-dessous: pour dlivrer des IP de .100 .110

Attention : ne pas oublier le Save confguration pour la prise en compte !...

Dans le panneau Interface, pour linterface ap-manager, changer ladresse initiale


du DHCP Server (192.168.1.5) en 192.168.1.100 donne en console durant le
wizard par la propre adresse du controller.

Attention : ne pas oublier le Save confguration pour la prise en compte !...

En regardant les panneaux de confguration, dterminer le nombre max


dAP supports par ce boitier ?

Interconnexion dun premier LightWeight AP


Vrifer que les LED du premier AP connect sur le port 8 clignotent en vert et/ou
rouge.
Par interface graphique, visualiser les AP dj connects au contrleur Extrait
Confguration Guide p7-3

Connecter le premier AP et regarder (via son port console) sil se rcupre bien
une adresse IP et se connecte au controller pour ultrieurement le lister dans les
bornes rattaches au controller.
Si :
*Mar 1 00:03:09.270: %CAPWAP-5-DHCP_RENEW: Could not discover WLC using DHCP IP.
Renewing DHCP IP.
*Mar 1 00:03:19.274: %CAPWAP-3-ERRORLOG: Not sending discovery request AP does
not have an Ip !!

Alors : soucis avec la confguration et il va falloir passer les paramtres


manuellement
Pour cel reload de lAP par le port console

Puis se logger (Cisco/Cisco), enable (Cisco) (pas trs secure)


Et tapper entirement la commande non documente :
Ap# debug capwap console cli
Note: si votre borne nest pas flashe en CAPWAP, remplacer le mot-cl capwap
par lwapp
Il faut entrer manuellement une adresse IP pour lAP:
Ap# confgure terminal
Ap(conf)# interface fastethernet 0
Ap(interface)# ip address 192.168.1.105 255.255.255.0
Ap(interface)# exit
Il faut entrer manuellement ladresse IP du WLC qui controle les AP:
Ap# capwap ap controller ip address 192.168.1.2

Fin Si:
Connecter toutes les autres bornes aux ports 7 et 8 du controller et observer les
squences de boot sur leur port console.
Afficher toutes les bornes connectes au controller : Menu Wireless/Access Points

Confguration du NTP Server et Log server


Utiliser Tftp32 sur ladresse 192.168.0.5

Autoriser les clients Wif se connecter en open


authentication sans encryption
Passer le SSID mySSID en mode open pour que quiconque puisse sy connecter.
Propager SSID sur le groupe de point daccs par dfaut contenant les deux
points daccs raccords prcdemment.
Utiliser un client pour se connecter une borne via mySSID et dmontrer le suivi
sur les diffrents quipements (dhcp, log, debug)

Connexion au contrleur en SSH


Utilisez putty pour vous connecter en SSH.

Testez la commande : show wlan summary


A quoi sert-elle ?

Nouvelle interface sur vlan10


Crer un une interface appele vlan10 sortant sur le port ethernet3 et qui
pointe ses requtes DHCP vers .123

Attention : contrairement la capture dcran, affecter le Vlan Identifer 0 et


non 10.
Crer un SSID appel myVLAN10X en WEP et lassocier cette interface.
Positionner un serveur DHCP (tftp 32 en 10.0.0.123 branch sur interface 3) (et
non en 192.168.1.123 comme affich sur lcran)
Dans longlet Advanced du WLAN, slectionner Overide DHCP Server et indiquer
le 10.0.0.123.
Connecter un troisime client sur cet SSID et voir sil peut rcuprer une adresse
IP par DHCP ou sil faut faire des modifcations.
Crer un groupe dAP : myGroup
Faite appartenir les deux bornes (prcdemment dans le groupe par dfaut) ce
groupe :

que se passe-t-il pour elles (vrifer via la console) ?

que se passe-t-il pour les SSID (et donc WLAN) quelles propageaient ?
Faire le ncessaire pour reprogager le SSID mySSID

Fonctionalit Portail Captif : hotspot


Crer un SSID HotSpot-PAS-Unice associ un WLAN pour lequel vous mettrez
en place loption de portail captif.
Dcrire les tapes ncessaires la confguration.

Fonctionnalit IDS : dtection dintrusion


Dans le menu Security>Wireless Protection Policies, consulter les standard
signatures.
Dterminer comment dtecter les active scans de NetStumbler et le dmontrer.

Fonctionnalit de contention : contenir un Rogue


AP et des ses clients
Crer un SSID HotSpot-PAS-Unice associ un WLAN sur un autre point
daccs (non gr par le WLC).
Utiliser un client pour sassocier ce point daccs.
Utiliser le WLC dans sa partie contention pour empcher les associations ce
point daccs.
Utiliser Wireshark pour dmontrer quels moyens met en uvre le WLC pour
empcher lassociation.

Annexes
Troubleshooting DHCP
Parcourir le document dhcp-option-43.pdf
Utiliser Wireshark et ce quil faut pour analyser les options DHCP des requtes
(option 43, 60, 82, ) faites par les clients et relayes par les points daccs au
serveur DHCP.

Remise zro du controller par interface Web


Par interface graphique Extrait Confguration Guide p4-2
Step 5 Browse to the Commands > Reset to Factory Defaults page.
Step 6 Click Reset. At the prompt, confirm the reset.
Step 7 Reboot the unit and do not save changes.

Remise zro des LAP

Arrter ici. Ne pas procder sans


linstructeur.
Ce nest pas faire dans le TP sauf si
linstructeur vous le suggre.

Depuis le Controller , en CLI:


showapsummary
clearapconfig<apname>

mais cela ne permettra pas deffacer lenregistrement sur le contrleur


prcdent (mmoris)

Depuis les LAP :


o

si les LAP ne sont pas enregistrs sur le contrleur :

Se connecter en console et passer la commande suivante pour effacer la


mmoire du dernier contrleur connu par le LAP.
Note : si votre point daccs est flash en CAPWAP, remplacer le mot cl
lwapp par capwap
showlwappipconfig
lwappaphostnameLPRTlap1
lwappapipaddress192.168.1.10255.255.255.0
lwappapcontrolleripaddress192.168.1.1
clearlwappprivateconfig

en utilisant le bouton reset : power up en maintenant le bouton


reset jusqu ce que la led orange, relacher et se connecter en
console pour afficher la confguration lwapp

Parcourir le document reset-lwappconfg-lap.pdf

Wizard de premire configuration en Web


Au lieu de faire le wizard de premire confguration en CLI, il peut aussi se faire
dans un navigateur.

Le mode LWAPP utilisera la couche 3 du modle OSI pour les communications


avec notre WLC (le trafc LWAPP pourra tre rout).

Confguration initiale dun premier WLAN : Radio B/G uniquement, admin status
activ et DHCP server pointant vers votre DHCP Server.

On passe la partie Radius Server Authentication

Pour prise en compte de votre confguration, il faut procder une sauvegarde et


un reboot .

Utilisation et configuration de SDNS plus


Crer une Zone appele neticien.tp
Crer dans cette zone les entres suivantes avec leurs reverses entries:
-

pc1.neticien.tp : 192.168.0.100

pc2.neticien.tp : 192.168.0.101

MyWLC.neticien.tp : 192.168.0.1 pour le controleur sans-fl, interface de


gestion (Management Interface)

CISCO-LWAPP-CONTROLLER.neticien.tp : 192.168.0.2 pour le controleur


sans-fl, interface de gestion (AP Managemer Interface) trs important
davoir la bonne synthaxe