Les réseaux sans-fil se répandent et évoluent de plus en plus chaque jour, c’est pourquoi il est nécessaire de simplifier la configuration et la maintenance de tels réseaux. Par exemple, si un site est couvert par trente access points, il est inconcevable de devoir modifier la configuration des trente appareils pour changer le mot de passe administrateur...
C’est dans ce type de situation que l’utilisation d’un contrôleur de réseaux sans-fil prend tout son sens. En effet, il est possible de contrôler tous les access points d’un site à partir d’un seul et même périphérique : le contrôleur de réseaux sans-fil (WLAN controller).
Dans ce cas, les access points connectés au contrôleur – appelés access point légers, font tourner une version simplifiée d’IOS dans laquelle il n’est pas possible d’accéder au mode de configuration.
Le Protocole LWAPP
Le protocole LWAPP (LightWeight Access Point Protocol) est un protocole ouvert destiné à l’administration d’access points. LWAPP est utilisé pour les communications entre les access points légers et le contrôleur.
Les messages de contrôle UDP sont cryptés avec un PKI utilisant AES-CCMP. Le trafic classique (les données) n’est pas chiffré dans LWAPP et est commuté au niveau du contrôleur. Ces deux types de trafic sont encapsulés. Le port source UDP est le port 1024 dans les deux cas. Le port destination 12222 est utilisé pour les données et le port destination 12223 est utilisé pour le contrôle.
LWAPP peut-être utilisé à plusieurs niveaux du modèle OSI :
Layer 2 LWAPP : couche liaison (2) ;
Layer 3 LWAPP : couche réseau (3).
Lorsque le protocole LWAPP est utilisé au niveau de la couche liaison, il est encapsulé dans une trame Ethernet. Ceci implique que l’access point et le contrôleur soient dans le même VLAN ou sous-réseau. Dans ce cas, c’est l’adresse MAC qui est utilisée pour communiquer. Un access point qui souhaite s’associer à un contrôleur commence par envoyer un message LWAPP Discovery Request via broadcast et attend un Discovery Response de la part d’un contrôleur. Si plusieurs réponses sont reçues, l’access point choisit le contrôleur qui compte le moins d’access points connectés.
Si le protocole LWAPP est utilisé au niveau de la couche réseau, il est encapsulé dans datagramme UDP puis dans un paquet IP. L’access point et le contrôleur peuvent alors
d’association est sensiblement le même : l’access point envoie un LWAPP Discovery Request et attend un Discovery Reponse en retour, qui contiendra alors l’adresse IP du contrôleur en tant qu’adresse IP source.
Un access point essaie toujours d’utiliser LWAPP à la couche 2 en priorité et ensuite LWAPP à la couche 3. Pour la couche 3, l’access point doit d’abord effectuer une requête DHCP.
Cisco 2106 Wireless LAN Controller
J’ai utilisé dans ce lab un Cisco 2106 WLAN Controller. Ce contrôleur peut supporter jusqu’à six access points. Il dispose de huit ports Ethernet, donc deux fournissant Power over Ethernet.
Figure 8-1 : Cisco 2106 WLAN Controller
Configuration de Base
Le Cisco 2106 n’utilise pas l’IOS comme la plupart du matériel Cisco. Ceci est un peu déroutant lorsque on est habitué à une interface particulière. Il m’a donc fallu quelques temps pour me familiariser un peu avec ce nouveau CLI.
Quand on allume le contrôleur pour la première fois, un assistant de configuration nous pose quelques questions afin de construire la base du système :
Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup
System Name [Cisco_50:6d:80]: rogue_wlc
Enter Administrative User Name (24 characters max): fred Enter Administrative Password (24 characters max): ********
Management Interface IP Address: 172.19.13.252 Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 172.19.13.254 Management Interface VLAN Identifier (0 = untagged): 0 Management Interface Port Num [1 to 8]: 1
Management Interface DHCP Server IP Address: 172.19.13.254 AP Manager Interface IP Address: 172.19.13.251
AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (172.19.13.254):
Virtual Gateway IP Address: 10.10.10.254 Mobility/RF Group Name: rogue-rf
Network Name (SSID): rogue-cme
Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]: BE Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: no Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]:
Configuration saved!
Resetting system with new configuration...
Deux interfaces sont configurées :
Management Interface : c’est l’interface que l’on a l’habitude de configurer ; c’est cette interface qui sera « pingable » ;
AP Manager Interface : c’est l’interface qui est utilisée lors de l’utilisation de LWAPP à la couche 3. L’adresse IP de cette interface est alors la source du tunnel LWAPP. Cette interface peut être déclarée dans le même réseau que l’interface de management.
Notons également que cet assistant crée pour nous un réseau sans-fil avec le SSID que nous lui indiquons.
Nous pouvons ensuite nous connecter en utilisant le login et le mot de passe que nous avons saisi lors de l’assistant. La commande suivante permet d’afficher la configuration du contrôleur. Attention au paramètre commands ; sans celui-ci, la configuration est fournie dans un format assez particulier...
>show run-config commands
On peut également ajouter un utilisateur de management (login : fred – pass : blah) :
Finalement, configurons le contrôleur sans-fil pour qu’il se synchronise sur le serveur NTP du 2801. Le timezone 14 correspond à GMT+1.
>config time timezone location 14
>config time ntp server 1 172.19.13.254
Mise à Jour de l’Image
J’ai du mettre à jour l’image du contrôleur sans-fil car l’ancienne version ne possédait pas certaines commandes que je trouvais très utiles – show run-config commands par exemple. La procédure de mise à jour est en fait très simple : on spécifie les différents paramètres nécessaires au téléchargement de l’image et on lance la mise à jour avec la commande transfer download start. Le contrôleur s’occupe du reste :
>transfer download mode tftp
>transfer download datatype code
>transfer download serverip 172.19.13.254
>transfer download path
>transfer download filename AIR-WLC2100-K9-5-2-178-0.aes
>transfer download start
Mode... TFTP Data Type... Code
TFTP Server IP... 172.19.13.254 TFTP Packet Timeout... 6
TFTP Max Retries... 10 TFTP Path...
TFTP Filename... AIR-WLC2100-K9-5-2-178-0.aes
This may take some time.
Are you sure you want to start? (y/N) y TFTP Code transfer starting.
TFTP receive complete... extracting components.
Executing init script.
Writing new Code to flash disk.
Executing install_code script.
Writing new APIB to flash disk.
[00680266.58 <1242124708.626649>] Routine system resource notification.
[00680266.75 <1242124708.794665>] Routine system resource notification.
[00680271.04 <1242124713.083912>] Routine system resource notification.
Executing install_apib script.
TFTP File transfer is successful.
Reboot the switch for update to complete.
Mise en Place de EAP-TLS
Tout comme avec l’access point autonome, la configuration concernant EAP-TLS est relativement simple et réduite. Un SSID a déjà été créé avec l’assistant de configuration, néanmoins il peut être intéressant de connaître la commande à utiliser pour en créer un nouveau :
>config wlan create 1 rogue-cme rogue-cme
Le premier paramètre est l’index qui identifie le réseau sans-fil ; c’est cet index que nous utiliserons lorsque nous devrons configurer les paramètres du réseau. L’index 1 est utilisé par le réseau qui est créé automatiquement avec l’assistant. Le deuxième paramètre est le nom du profil créé. Finalement, le dernier paramètre représente le SSID du réseau.
Commençons donc par configurer le serveur RADIUS :
>config radius auth add 1 172.19.13.250 1656 ascii acsKey
Cette commande ajoute la définition d’un serveur RADIUS. Le premier paramètre est l’index du serveur. Ensuite viennent l’adresse IP et le port du serveur. Le dernier paramètre, fourni au format ASCII, est le secret partagé.
>config radius auth network 1 enable
>config radius auth management 1 disable
>config radius auth enable 1
La commande radius auth network 1 enable configure le serveur RADIUS en tant que serveur par défaut pour les utilisateurs réseau. La commande suivante le désactive pour les administrateurs. Finalement on active le serveur RADIUS que nous venons de définir avec la commande radius auth enable 1. L’index fourni à la fin de chaque commande est l’index du serveur RADIUS que nous configurons.
Il faut ensuite activer WPA. Pour ce faire, il faut d’abord désactiver le réseau sans-fil afin de pouvoir y faire des modifications :
>config wlan 1 disable
>config wlan security wpa enable 1
>config wlan security wpa wpa2 ciphers aes enable 1
>config wlan security wpa wpa2 enable 1
Les trois dernières commandes activent WPA2 et spécifient l’algorithme à utiliser – AES. L’index fourni à la fin de chaque commande est l’index du réseau sans-fil que nous configurons.
Nous devons aussi activer le support de 802.1X pour WPA :
>config wlan security wpa akm 802.1x enable 1
La première commande qui suit associe notre serveur RADIUS au réseau sans-fil. Le premier index est celui du réseau sans-fil ; le deuxième est celui du serveur RADIUS. La commande suivante active le serveur pour ce réseau – normalement, il est actif par défaut :
>config wlan radius_server auth add 1 1
>config wlan radius_server auth enable 1
Finalement, nous réactivons le réseau sans-fil :
>config wlan 1 enable