GUIDE POUR LA MISE EN ŒUVRE DE BASE D`UNE BORNE CISCO

GUIDE POUR LA MISE EN ŒUVRE DE BASE
D'UNE BORNE CISCO
JL Damoiseaux
-1-
I. Travail préparatoire
Avant toute chose, vous devez réinitialiser la borne wifi. Pour cela, en même temps que vous
la mettez sous tension, vous appuyez sur le bouton situé à l'arrière de la borne. Dès que le
voyant devient orange, relâcher le bouton et laisser la borne démarrer.
Pendant ce temps, relier la borne au PC par un câble croisé entre les interfaces fastEthernet, et bien
entendu par le câble console entre le port série et le port console.
Ouvrez l'application Teraterm et un navigateur1.
Vous allez maintenant configurer l'interface virtuelle chapeautant les interfaces fastEthernet et radio
de la borne. Attention, il ne faudra jamais attribuer une adresse IP à l'interface
fastEthernet ou l'interface radio. Seule la bvi doit en avoir une. Pour cela, en mode
console, tapez les commandes suivantes :
AP>enable
password : Cisco
AP#configure terminal
AP(config)interface bvi1
AP(config-if)ip address 10.0.0.100 255.0.0.0
AP(config-if)no shutdown
AP(config-if)^Z
AP#
Dans la barre d'adresse de votre navigateur, saisissez http://10.0.0.100 . Vous devriez arriver, après
avoir entré l'utilisateur Cisco et son mot de passe Cisco, sur la page d'accueil suivante :
1
Le code HTML généré par ces bornes n'étant pas très standard, il ne faudra pas toujours faire confiance à ce que vous
verrez sur l'interface graphique. De plus, sauf à ne pas en avoir une version récente, je vous recommande d'utiliser IE
plutôt que Mozilla. Enfin, dans tous les cas désactiver le chargement des images.
JL Damoiseaux
-2-
II. Configuration graphique de la borne
Les principaux menus pour la configuration de la borne sont :
• Le menu SECURTY
•
dans lequel vous pourrez principalement définir le SSID, la méthode d'authentification et
le mode d'encryption ;
le menu NETWORK INTERFACES
•
dans lequel vous définirez les caractéristiques de la transmission radio, et vous activerez
les interfaces2 ;
Le menu ASSOCIATION
dans lequel vous vérifierez si les clients ont bien été associés à la borne.
2
Enfin quand cela fonctionnera, parce que pour l'interface radio, ce n'est pas gagné d'avance.
JL Damoiseaux
-3-
III. Configuration minimale en ligne de commande de la borne
Nous allons finir de configurer à minima la borne pour
• qu'elle diffuse un SSID nommé TEST_POD1 ;
• que l'authentification soit la plus simple possible ;
• et qu'il n'y ait pas d'encryption lors de l'échange des données.
Les commandes sont donc les suivantes :
AP#configure terminal
AP(config)dot11 ssid TEST_POD1
AP(config-ssid)authentication open
AP(config-ssid)guest-mode
AP(config-ssid)exit
AP(config)interface dot11radio 0
AP(config-if)ssid TEST_POD1
IV. Quelques petits trucs bien utiles
L'interface radio ne fonctionne pas
Comme vous pourrez le constatez à l'usage, l'interface graphique joue des tours. Notamment, il n'est
pas rare que l'interface radio soit down malgré tous vos efforts pour l'activer. Commencer par
vérifier que le statut de l'interface ne serait pas par le plus grand des hasards up :
AP#show ip interfaces brief
Si l'interface dot11radio 0 n'était pas up, pour corriger le problème, entrer les commandes
suivantes :
AP#configure terminal
AP(config)interface dot11radio 0
AP(config-if)no shutdown
AP(config-if)^Z
AP#
Je n'arrive pas à me connecter
On va supposer qu'il n'y a pas d'encryption, que le SSID de votre borne est TEST_POD1, et que
vous n'avez pas oublié d'affecter une adresse IP à votre PC Client. Si tout cela est écarté, alors c'est
que vous avez oublier de préciser votre mode d'authentification.
Deux solutions à ce problème :
• En mode graphique, dans le menu SECURITY->SSID MANAGER, sélectionnez comme
méthode d'authentification le mode Open pour votre SSID. N'oubliez pas de faire
Apply en bas de la page.
JL Damoiseaux
-4-
•
En mode console, rentrer les commandes suivantes
AP#configure terminal
AP(config)dot11 ssid TEST_POD1
AP(config-ssid)authentication open
AP(config-ssid)exit
Mon SSID n'est pas diffusé (et cela m'ennuie en TP)
Nous allons supposer que le SSID de votre borne est TEST_POD1.
Deux solutions à ce problème :
• En mode graphique, dans le menu SECURITY->SSID MANAGER, sélectionnez tout en
bas de la page web le mode Guest pour votre SSID. N'oublez pas de faire Apply
•
En mode console, rentrer les commandes suivantes
AP(config)dot11 ssid TEST_POD1
AP(config-ssid)guest-mode
Mon prof me demande de réduire la puissance (et cela m'ennuie en TP)
Mais comme il y tient, je vais lui faire plaisir en allant dans le menu ci-dessous
JL Damoiseaux
-5-
V. Configuration du client
Pour tous nos travaux pratiques, nous n'utiliserons pas le client window XP qui est un peu
"juste".
Lancer le client associé à la carte en cliquant sur l'icône
en principe présente sur le bureau.
Une fenêtre ressemblant à celle ci-dessous apparaîtra, vous cliquerez alors sur l'onglet Profile
Management, puis sur le bouton Modify..
L'onglet General vous permettra de donner un nom à votre profil utilisateur et de définir le SSID
sur lequel vous voudrez vous connecter
L'onglet Security vous permettra de définir le mode d'authentification et d'encryption.
JL Damoiseaux
-6-
L'onglet Advanced vous permettra de notamment définir le mode de fonctionnement (addoc ou
infrastructure).
VI. Sécurisation minimale
Mise en place de l'accès SSH
Pour réaliser cela, il faut allez dans le menu SERVICES puis sélectionner l'onglet Telnet/SSH.
Désactiver le Telnet et activer SSH en modifiant éventuellement le nom de domaine et le nom du
système.
JL Damoiseaux
-7-
Mise en place d'une encryption
En l'occurence il s'agit de définir une encryption WEP3. Pour cela, dans l'onglet
Encryption Manager
du
meny
SECURITY,
régler
votre
clef
WEP.
Noubliez pas de régler aussi le client.
Mise en place d'une authentification OPEN + MAC
Pour cela, dans l'onglet SSID Manager du menu SECURITY, choisisser l'option with MAC
Authentication
Ensuite, dans l'onglet Advanced Sécurity du menu SECURITY, entrer la liste local des
adresses MAC qui seront autorisées à se connecter
3
J'ai bien écrit que c'était minimal
JL Damoiseaux
-8-
Mise en place d'un nouvel administrateur
Dans l'onglet Admin Access du menu SECURITY, que vous autorisez seulement les utilisateurs
défnis localement à se connecter, puis entrer la liste des utilisateurs avec leur password (en
n'oubliant de cocher Read-Write dans les Capability Settings.
Vous pouvez aussi détruire l'utilisateur Cisco
JL Damoiseaux
-9-