Cisco’s Access Points frati@nyx.unice.fr
Prix du Cisco 1100 AP à ~460 euros http://www.comparer-les-prix-online.com/pro_86050_cisco-aironet-1100.html
Prix du Cisco 350 AP à ~900 euros Ancêtre du 1100 802.11b only http://www.comparer-les-prix-online.com/pro_81331_cisco-aironet-350-wireless-bridge.html Mais pourquoi est-il plus cher que le 1100 ?
Prise en main du Cisco AP 1120 B Que pouvez-vous déduire des caractéristiques de l’AP sans l’avoir mis en marche ? En regardant la documentation, déterminer : l’adresse IP par défaut ? le password par défaut ? le SSID par défaut ? si vous pouvez le connecter à l’aide d’un cable croisé directement sur un PC ? comment peut-on l’alimenter ?
Comment configurer le point d'accès ? Le point d'accès se comporte comme un pont ethernet. Il a deux interfaces : une filaire (ethernet 100baseTX), l'autre radio (802.11bg). On peut le configurer via: le port série (et un émulateur de terminal) une interface web Nous utiliserons de préférence cette dernière option, plus souple et facile d'abord, mais il ne faut pas sous-estimer la CLI (command line interface)
Avant de commencer réinitialiser le point d'accès pour qu'il retrouve sa configuration par défaut, voir annexe de ce sujet (ou la doc) Le point d'accès Aironet possède un serveur web embarqué qui écoute sur le port 80. Pour y accéder, il faut : attribuer une adresse IP au point d'accès par DHCP Le laisser utiliser l’adresse IP par défaut en cas de non réponse (voir doc) Par défaut, le point d'accès effectue sa configuration IP via DHCP. L'adresse MAC du point d'accès est imprimée sur l'étiquette collée au dos. Il vous faudra l'utiliser dans la configuration de votre serveur DHCP.
Lorsqu'on branche le point d'accès (AP) Il effectue quelques tests (une à 2 minutes) puis lance une requête DHCP. Dans le cas où l’option DHCP est sélectionnée, vérifier dans les logs du serveur DHCP que la bonne adresse IP lui a été attribuée. Vérifier que l'AP répond au ping. Se connecter au serveur web de l'AP à l'aide d'un navigateur web Se familiariser avec l'interface d'administration.
Le paneau EXPRESS SET-UP
Express Set-Up Connectez-vous sur http://10.0.0.1 avec IE ou lynx puis commentez Quel est le SSID affecté par défaut ? La configuration de base permet-elle à quiconque de se connecter ? Quelles sont les informations nécessaires pour connecter une station sans fil ? Un inconnu de passage peut-il les obtenir facilement ? Est-ce d'après vous légal de le faire ?
Express Security Set-Up Ce panneau permet-il de changer le nom du réseau (SSID) ? Que sont les “Aironet extensions” ? Sont-ce des caractéristiques WiFi que l’on retrouvera obligatoirement chez d’autres constructeurs ? Cet AP peut-il annoncer plusieurs SSID ? Dans ce cas, y a-t-il une restriction sur les trames balises “beacons” ? Peut-on empêcher la diffusion du SSID ? Dans la positive, est-ce optionnel pour un matériel portant le label “WiFi” ? Peut-on associer un réseau virtuel (VLAN) à chaque SSID ? A quoi cela peut-il servir d’un point de vue sécurité ? Dans quels modes sécuritaire l’AP peut-il effectuer une authentification centralisée sur un serveur externe ? Peut-on avoir un mode d’authentification différent pour chaque VLAN ? Donner la listes des trames ethernet échangés entre le serveur et le portable lorsqu'on active ce dernier (échanges vus par ethereal préalablement lancé). On listera toutes les trames observées, et on donnera leur signification. Comment voit-on que le client s'est associé au point d'accès ? Dans quels logs du PC routeur trouve-t-on trace de cette association ? Comment le portable aurait-il pu éviter de générer ces traces ? Depuis le serveur interne, peut-on "pinger" le portable ? Rappelez la signification du temps affiché par ping et donner les valeurs observées A quel débit nominal se connecte votre portable lorsqu'il est posé à côté de l'AP ? (indiquez comment vous obtenez cette information). Promenez vous (avec précautions) dans la salle puis dans le couloir adjacent, et notez l'évolution du débit nominal avec la distance. Le temps affiché par ping est-il affecté ?
Network Interfaces: IP Address Comment peut-on paramétrer l’adresse IP du point d’accès ? Pourquoi une seule adresse IP globale pour l’AP alors qu’il a deux interfaces (ethernet et wifi) et l’on pourrait s’attendre à deux adresses IP ?
L'AP CISCO propose un mécanisme simple et standard pour notifier l'administrateur réseau des différents événements. Quel est ce mécanisme ? Quel est le protocole standard utilisé par CISCO pour faire de l'"accounting" ?
Network Interfaces: FastEthernet Settings A quoi correspondent les deux options “Current Status” ? Une interface ethernet peut-elle être “Enabled” et “Down” ? Que faut-il savoir lorsque l’on change la vitesse ou le mode duplex quand on est en PoE ? Pour quelle raison voudrait-on désactiver l’interface ethernet ?
Network Interfaces: Radio0-802.11B Settings Quels sont les rôles disponibles sur ce type d’AP ? Expliquez le mode “Fallback” Peut-on empêcher un client trop lent de ralentir tout le monde ? Quels sont les canaux disponibles ? Quelles restrictions doivent s’appliquer en fonction du pays où se fera l’installation ? A combien de mW correspondra l’option “Max” Transmission Power : en France, indoor, canal 7 ? en France, outoor, canal 13 ? Si l’on peut raccorder une antenne extérieur à l’AP, pourquoi doit-on en spécifier le gain ? Quel est l’intervalle entre deux trames “balises” ? Comment l’AP choisit-il son “Default Radio Channel “ ?
Network Interfaces: Radio0-802.11B Carrier Busy Test A quoi sert le “Carrier Busy Test” ? Quels sont les canaux actuellement occupés dans les locaux ? Utilisez un logiciel de scanning réseau tel Aire (http://www-iutinfo.unice.fr/~frati/802.11/Software/) afin de détecter les canaux occupés. Les inventorier afin de démarrer votre site survey et de donner vos recommandations à la fin de celui-ci.
Procédez à un “Site Survey” 1= 2= 3= 4= 5= 6= 7= 9= 9== 5 étage supérieur = 10== 5 étage supérieur = 8 7 6 3 5 4 1 Niveau émission borne = Toutes mesures en dBm 2
CLI – le “Bonus” Comment peut-on empêcher une connection d’administration HTTP ? A l’aide d’une connexion Hyperterminal (voir Annexes), récupérez le config.txt et le comparer au résultat d’une session telnet Y a-t-il télécharger la configuration complète de l’AP par un protocole/système particulier depuis un serveur centralisé ?
Commentez ce fichier de configuration version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname ap username Cisco password 7 123A0C041104 username wifi privilege 15 password 7 062A3F0C65673B2A23 ip subnet-zero ip domain name wifi.org ip name-server 192.168.20.1 bridge irb line con 0 line vty 5 15 interface Dot11Radio0 no ip address no ip route-cache ! interface FastEthernet0 duplex auto speed auto bridge-group 1 no bridge-group 1 source-learning bridge-group 1 spanning-disabled interface BVI1 ip address 192.168.20.2 255.255.255.0
Commentez ce fichier de configuration ! encryption key 1 size 40bit 7 5BD89397A729 transmit-key encryption mode wep mandatory ssid ssid1 authentication open … ssid ssid9 ssid tsunami authentication network-eap eap_methods accounting acct_methods guest-mode speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 rts threshold 2312 station-role root no cdp enable dot1x reauth-period server bridge-group 1
Commentez ce fichier de configuration aaa new-model ! aaa group server radius rad_eap server 192.168.20.1 auth-port 1645 acct-port 1646 aaa group server radius rad_mac aaa group server radius rad_acct … ip default-gateway 192.168.20.1 ip http server ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100 ip http authentication aaa ip radius source-interface BVI1 radius-server local nas 192.168.20.1 key 7 0723116167202B3631 radius-server host 192.168.20.1 auth-port 1645 acct-port 1646 key 7 1329273F222536190D radius-server retransmit 3 radius-server attribute 32 include-in-access-req format %h radius-server authorization permit missing Service-Type radius-server vsa send accounting bridge 1 route ip end