« SE2a5 2023/2024 EC2 » : différence entre les versions
(Page créée avec « = Objectifs = A la base il vous est demandé d'implanter à nouveau le point 7.2 de votre sujet de travaux pratiques pour le module "sécurité dans les systèmes et réseaux" mais avec des différences notables. Les différences sont les suivantes : * le point d'accès n'est pas un point d'accès cisco autonome de type 1600 tournant sous un IOS cisco classique mais un point d'accès cisco 2802 intégrant un contrôleur "Mobility Express" ; * le réseau est ré... ») |
Aucun résumé des modifications |
||
(4 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 16 : | Ligne 16 : | ||
* réalisez une mascarade pour permettre aux machines utilisant <code>WiFi1</code> et <code>WiFi2</code> d'accèder à Internet. | * réalisez une mascarade pour permettre aux machines utilisant <code>WiFi1</code> et <code>WiFi2</code> d'accèder à Internet. | ||
Concernant le point d'accès, il est est demandé de configurer deux SSID, un associé avec le VLAN 2 et l'autre avec le VLAN 3 avec une identification par WPA-EAP en pointant vers vos deux instances de <code>freeradius</code>. Il vous est demandé d'effectuer cette configuration en utilisant uniquement les commandes en ligne du contrôleur "Mobility Express". | Concernant le point d'accès, il est est demandé de configurer deux SSID, un associé avec le VLAN 2 et l'autre avec le VLAN 3 avec une identification par WPA-EAP en pointant vers vos deux instances de <code>freeradius</code>. Il vous est demandé d'effectuer cette configuration en utilisant uniquement les commandes en ligne du contrôleur "Mobility Express" sans jamais utiliser l'interface Web. | ||
Il s'agit là d'un cahier des charges initial qui peut être revu en cas d'ambigüité. Il vous est fortement conseillé de produire un travail régulier le plus tôt possible et de faire des rapports réguliers (en particulier au travers de ce Wiki) à votre | Un point d'accès cisco 2802 possède deux modes : le mode point d'accès et le mode contrôleur (Mobility Express). Commencez par remettre le point d'accès en configuration usine puis connectez-vous sur le port série, n'utilisez pas le configurateur initial. Vérifiez avec la commande <code>sh version</code> que le point d'accès est bien en mode contrôleur. | ||
Quelques commandes du mode contrôleur sont données ci-dessous : | |||
(Cisco Controller) config sysname WLC1 | |||
(Cisco Controller) config prompt WLC1 | |||
(WLC1) config interface create vlang1 101 | |||
(WLC1) config interface port vlang1 1 | |||
(WLC1) config interface address dynamic-interface vlang1 10.60.1.10 255.255.255.0 10.60.1.1 | |||
(WLC1) config wlan create 1 "SSID G1" SSID_G1 | |||
(WLC1) config wlan interface 1 vlang1 | |||
(WLC1) show wlan summary | |||
(WLC1) config radius auth add 1 193.48.57.164 1812 ascii <secret_group1> | |||
(WLC1) config wlan radius_server auth add 1 1 | |||
(WLC1) config wlan aaa-override enable 1 | |||
(WLC1) config wlan security wpa enable 1 | |||
(WLC1) config wlan security wpa wpa2 enable 1 | |||
(WLC1) config wlan security wpa wpa1 disable 1 | |||
(WLC1) config wlan security wpa wpa2 ciphers aes enable 1 | |||
(WLC1) config wlan security wpa wpa2 ciphers tkip disable 1 | |||
(WLC1) config wlan security wpa akm 802.1x enable 1 | |||
(WLC1) config wlan broadcast-ssid enable 1 | |||
(WLC1) config wlan enable 1 | |||
(WLC1) save config | |||
Vous pouvez considérer qu'une configuration fonctionne si elle respecte les contraintes ci-dessus et si un téléphone peut se connecter en WiFi sur chaque SSID et sortir sur Internet (e.g. navigation Web). | |||
Il s'agit là d'un cahier des charges initial qui peut être revu en cas d'ambigüité. Vous avez jusqu'au 15 juin pour réaliser le travail demandé. Il vous est fortement conseillé de produire un travail régulier le plus tôt possible et de faire des rapports réguliers (en particulier au travers de ce Wiki) à votre encadrant. S'y prendre à la dernière minute avec un seul retour la veille de la date limite risque fortement de conduire à un échec. | |||
= Matériel nécessaire = | = Matériel nécessaire = | ||
Ligne 25 : | Ligne 52 : | ||
* d'un PC sous Linux pour l'implantation du serveur d'identification ; | * d'un PC sous Linux pour l'implantation du serveur d'identification ; | ||
* d'un adaptateur USB/Ethernet pour connecter le PC au point d'accès sans impacter la connexion du PC à l'Internet, cet adaptateur est fourni par l'encadrant ; | * d'un adaptateur USB/Ethernet pour connecter le PC au point d'accès sans impacter la connexion du PC à l'Internet, cet adaptateur est fourni par l'encadrant ; | ||
* d'un point d'accès | * d'un point d'accès cisco 2802 avec le système Mobility Express, ce point d'accès est fourni par l'encadrant. | ||
= Travail réalisé = | = Travail réalisé = |
Version actuelle datée du 8 mars 2024 à 10:27
Objectifs
A la base il vous est demandé d'implanter à nouveau le point 7.2 de votre sujet de travaux pratiques pour le module "sécurité dans les systèmes et réseaux" mais avec des différences notables.
Les différences sont les suivantes :
- le point d'accès n'est pas un point d'accès cisco autonome de type 1600 tournant sous un IOS cisco classique mais un point d'accès cisco 2802 intégrant un contrôleur "Mobility Express" ;
- le réseau est réduit à un seul PC, de préférence connecté à Internet ;
- vous n'implanterez que 2 SSID sur 2 VLAN pour simuler deux groupes d'élèves, appellons les SSID
WiFi1
etWiFi2
associés aux VLAN 2 et VLAN 3.
Vous êtes libre de choisir les réseaux IPv4 à configurer sur les VLAN 2 et VLAN 3 du moment que vous utilisez des réseau non routés n'étant pas en conflit avec un réseau déjà utilisé par votre PC.
Vous devez installer les services suivants sur le PC :
- créez deux interfaces
vlan2
etvlan3
au dessus de l'interface Ethernet de connexion avec le point d'accès ; - deux serveurs d'identification à base de
freeradius
, faites en sorte que chaque instance utilise un répertoire de configuration différent, une instance doit se lier àvlan2
et la seconde àvlan3
; - deux serveurs DHCP, une instances doit se lier à l'interface code>vlan2 et la seconde à l'interface
vlan3
; - réalisez une mascarade pour permettre aux machines utilisant
WiFi1
etWiFi2
d'accèder à Internet.
Concernant le point d'accès, il est est demandé de configurer deux SSID, un associé avec le VLAN 2 et l'autre avec le VLAN 3 avec une identification par WPA-EAP en pointant vers vos deux instances de freeradius
. Il vous est demandé d'effectuer cette configuration en utilisant uniquement les commandes en ligne du contrôleur "Mobility Express" sans jamais utiliser l'interface Web.
Un point d'accès cisco 2802 possède deux modes : le mode point d'accès et le mode contrôleur (Mobility Express). Commencez par remettre le point d'accès en configuration usine puis connectez-vous sur le port série, n'utilisez pas le configurateur initial. Vérifiez avec la commande sh version
que le point d'accès est bien en mode contrôleur.
Quelques commandes du mode contrôleur sont données ci-dessous :
(Cisco Controller) config sysname WLC1 (Cisco Controller) config prompt WLC1 (WLC1) config interface create vlang1 101 (WLC1) config interface port vlang1 1 (WLC1) config interface address dynamic-interface vlang1 10.60.1.10 255.255.255.0 10.60.1.1 (WLC1) config wlan create 1 "SSID G1" SSID_G1 (WLC1) config wlan interface 1 vlang1 (WLC1) show wlan summary (WLC1) config radius auth add 1 193.48.57.164 1812 ascii <secret_group1> (WLC1) config wlan radius_server auth add 1 1 (WLC1) config wlan aaa-override enable 1 (WLC1) config wlan security wpa enable 1 (WLC1) config wlan security wpa wpa2 enable 1 (WLC1) config wlan security wpa wpa1 disable 1 (WLC1) config wlan security wpa wpa2 ciphers aes enable 1 (WLC1) config wlan security wpa wpa2 ciphers tkip disable 1 (WLC1) config wlan security wpa akm 802.1x enable 1 (WLC1) config wlan broadcast-ssid enable 1 (WLC1) config wlan enable 1 (WLC1) save config
Vous pouvez considérer qu'une configuration fonctionne si elle respecte les contraintes ci-dessus et si un téléphone peut se connecter en WiFi sur chaque SSID et sortir sur Internet (e.g. navigation Web).
Il s'agit là d'un cahier des charges initial qui peut être revu en cas d'ambigüité. Vous avez jusqu'au 15 juin pour réaliser le travail demandé. Il vous est fortement conseillé de produire un travail régulier le plus tôt possible et de faire des rapports réguliers (en particulier au travers de ce Wiki) à votre encadrant. S'y prendre à la dernière minute avec un seul retour la veille de la date limite risque fortement de conduire à un échec.
Matériel nécessaire
Le matériel nécessaire est constitué :
- d'un PC sous Linux pour l'implantation du serveur d'identification ;
- d'un adaptateur USB/Ethernet pour connecter le PC au point d'accès sans impacter la connexion du PC à l'Internet, cet adaptateur est fourni par l'encadrant ;
- d'un point d'accès cisco 2802 avec le système Mobility Express, ce point d'accès est fourni par l'encadrant.
Travail réalisé
Documents Rendus
Interfaces VLAN
Fichier de configuration pour la création des interfaces VLAN sous Linux :
---
Script de lancement
Script de lancement des serveurs d'identification et des serveurs DHCP
----
Fichiers de configuration Radius
----
Fichiers de configuration du serveur DHCP
----
Commandes en ligne pour configurer le point d'accès
----