COMPTE-RENDU PPE 3.

PERSONNES

TCHES

Ghislain CHAPEAU

installation et
configuration
serveur
RADIUS+Certifica
t

Vincent POIX

Configuration Wifi

Pierre GALLIENNE

Schema Reseau
PHysique et
logique

Louis-alexis MOTA

installation
serveur
RADIUS+ACL

Benot MORAINE

Configuration Wifi

Eddy RATSIMEVEH

Schema Reseau
Physique et
logique

COMPTE-RENDU PPE 3.4

SUJET:
Contexte
Actuellement, tous les salaris possdent un accs aux
diffrents ressources de SAVEOL (fichiers,
impression, internet, bases de donnes,). Mais cet accs nest
possible qu travers une liaison
filaire. La direction souhaite ltendre aux salaris quips dun
terminal Wifi.
SAVEOL a fait lacquisition de plusieurs Switchs compatibles PoE
et des AP Cisco. Vous tes charg
dimplmenter une solution daccs sans fil pour les salaris de
SAVEOL ainsi quaux visiteurs. Ces
derniers nauront accs qu la ressource internet mais dune
faon scurise (obligation lgale).
Elments du cahier des charges concernant les accs Wifi
A chaque tage est dispos un point d'accs 802.11 b/g/n PoE
Il y a un SSID non diffus par VLAN sauf le VLAN visiteurs.
La confidentialit est assure par la norme WPA2-Enterprise
sauf pour le dernier.

COMPTE-RENDU PPE 3.4

Table des matires

Objectifs :
I.Serveur RADIUS
II.Configuration WIFI
III.ACL
IV.Schemas Reseau

I.SERVEUR RADIUS
Autorit de certification et authentification
RADIUS
Objectif :
Afin de permettre au visiteur venant chez Saveol davoir accs internet, nous
avons mis en place une authentification scurise sur le WIFI. Ces derniers
peuvent ainsi se connecter avec des comptes visiteur crs pour chaque visiteur
avec une dure limite dans le temps afin de ne pas avoir plusieurs comptes ne
servant provoquant donc un problme de scurit.
Les employs bnficient eux aussi de cette authentification avec le compte de
lActive Directory.

COMPTE-RENDU PPE 3.4

Cration et configuration de lautorit de certification :

Ajout du rle :

Configuration :
1) Choisir Autorit de certification dentreprise .

2) Choisir Autorit de certification racine .

COMPTE-RENDU PPE 3.4

3) Choisir Crer une cl prive .

4) Laisser les paramtres proposs.

COMPTE-RENDU PPE 3.4

Cration et configuration du serveur Radius.

Ajout du rle :

Au moment de choisir les services, laisse le choix propos.

Configuration :
1) Choisir Serveur RADIUS pour les connexions cbles ou sans fil 802.1X puis
cliquer sur Configurer 802.1X .

COMPTE-RENDU PPE 3.4

2) Cliquer sur Connexions sans fil scurises et donner un nom cette

connexion.

COMPTE-RENDU PPE 3.4

3) Ajouter un client RADIUS. a correspond dans notre cas la borne WIFI.

4) Donner un nom ce client et indiquer son adresse IP. Le secret partag va

servir tablir une connexion scurise entre la borne WIFI et le serveur RADIUS.

COMPTE-RENDU PPE 3.4

5) Slectionner Microsoft : PEAP (Protocol EAP) et cliquer sur Configurer .

COMPTE-RENDU PPE 3.4

6) Bien sassurer du certificat utilis et de la mthode dauthentification.

7) Ajouter le groupe dutilisateur de lannuaire LDAP qui

pourra se connecter avec ce paramtrage.

10

COMPTE-RENDU PPE 3.4

(Dans ce cas prcis cest la

configuration pour les visiteurs.)
8) Configuration du paramtrage rseau sur RADIUS -> Association au VLAN,
Type de connexion, et le type de tunnel.

11

COMPTE-RENDU PPE 3.4

(Ici on spcifie le numro du VLAN

dans Tunnel-Pvt-Group-ID )

9) Pour finir il faut autoriser le serveur RADIUS dans lAD afin quil puisse vrifier
le compte communiqu.

12

COMPTE-RENDU PPE 3.4

(Cette mme procdure a t faite pour les employs. Nous avons juste chang
le groupe (Groupe GR-BUREAU ) et le numro du VLAN (VLAN 200) auquel sont
associs les conditions.).

Tests :
Afin de tester si la solution fonctionne nous avons cr 2 comptes dans lAD. Un
premier (gchapeau) qui est dans le groupe GR-Bureau et un deuxime (invite1)
dans le groupe GR-Visiteur.
Nous nous sommes connect, avec un appareil WIFI, avec les diffrents comptes
et avons vrifi les adresses IP donnes par le DHCP.
Nous avons bien pour le premier compte une adresse IP dans le VLAN 200 et une
adresse IP dans le VLAN 199 avec le compte du groupe visiteur.

13

COMPTE-RENDU PPE 3.4

II.Configuration WIFI
Solution 1: Sans radius
Etape 1: Connexion la console, via un navigateur web, de la
borne cisco:
- Rentrer dans la barre de recherche l'adresse de la borne (attention celle-ci sera
change dans l'tape 2)
Vous arriverez sur la fentre ci-dessous.

- Utiliser les identifiants de connexion suivant:

Username: cisco
Password: sio2r@PPE ( mot de passe par default : cisco )
- Vous tes maintenant connect.

14

COMPTE-RENDU PPE 3.4

Etape 2: Paramtrage de l'IP statique

- Aller dans le menu "VLAN and IPv4 Address" prsent dans l'onglet "LAN"
- Puis rentrer les mmes informations que sur la configuration ci-dessous

- La borne est maintenant en IP statique.

Etape 3: Configuration des SSIDs

15

COMPTE-RENDU PPE 3.4

- Aller dans le menu "Network" prsent dans l'onglet "Wireless"

- Puis configurer les deux SSIDs dont nous avons besoin comme indiqu cidessous:

Pour pouvoir accder au Wifi "bureaux", il faut le rentrer la main car le SSID
n'est pas diffus:
SSID: saveol1_bureaux
mdp: sio2r@PPE
- Appuyer sur "Save"

16

COMPTE-RENDU PPE 3.4

Solution 2 : Avec radius

Etape 1 : Connexion la console Cisco (voir l'tape 1 de la

solution 1)
Etape 2 : Paramtrage du Radius sur la borne
- Aller dans l'onglet "System Security" puis dans "RADIUS Server" (Key-1:
P0seidon)
- Ensuite rentrer les infos suivantes:

- Appuyer sur "Save"

Etape 3 : Configuration du SSID

17

COMPTE-RENDU PPE 3.4

- Aller dans "Wireless" puis dans "Networks"

- Configurer ensuite le SSID avec la configuration du radius comme ci-dessous
(mettre "Server IP Address-1" dans "Active Server")

- Appuyer sur "Save"

Solution 2 : Avec radius

Etape 1 : Connexion la console Cisco (voir l'tape 1 de la

solution 1)
Etape 2 : Paramtrage du Radius sur la borne
- Aller dans l'onglet "System Security" puis dans "RADIUS Server" (Key-1:
P0seidon)

18

COMPTE-RENDU PPE 3.4

- Ensuite rentrer les infos suivantes:

- Appuyer sur "Save"

Etape 3 : Configuration du SSID

- Aller dans "Wireless" puis dans "Networks"
- Configurer ensuite le SSID avec la configuration du radius comme ci-dessous
(mettre "Server IP Address-1" dans "Active Server")

19

COMPTE-RENDU PPE 3.4

- Appuyer sur "Save"

III.Les ACL
Il tait ncessaire de bloquer les communications entre les vlans 20 et 199 avec
tous les autres (sauf le vlan gestion : le vlan 30)
Pour cela nous avons commenc par bloquer les vlans celon celui sur lequel nous
tions:
Pour le vlan 20
Access-list
0.0.0.0
Access-list
0.0.0.255
Access-list
0.0.0.255
Access-list
0.0.255.255
20

104 PERMIT IP 10.17.20.0 0.0.0.255 10.17.20.254

104 PERMIT IP 10.17.20.0 0.0.0.255 10.17.99.0
104 PERMIT IP 10.17.20.0 0.0.0.255 10.17.30.0
104 DENY IP 10.17.20.0 0.0.0.255 10.17.0.0

COMPTE-RENDU PPE 3.4

Pour le vlan 199

Access-list 105 PERMIT IP 10.17.199.0 0.0.0.255 10.17.199.254
0.0.0.0
Access-list 105 PERMIT IP 10.17.199.0 0.0.0.255 10.17.99.0
0.0.0.255
Access-list 105 DENY IP 10.17.199.0 0.0.0.255 10.17.0.0
0.0.255.255
// Car nous souhaitons quil n'ait accs a aucun vlan du rseau , prsents ou
futurs , sauf le vlan 99 (et le 30 pour le vlan 20) pour avoir accs au routeur, et a
sa passerelle pour accder au relai DHCP et obtenir une adresse ip.
Puis, comme nous voulions quils aient accs a internet, nous avons rajout une
ligne dans chaque access-list :
Pour le vlan 20
Access-list 104 PERMIT IP 10.17.20.0 0.0.0.255 ANY
Pour le vlan 199
Access-list 105 PERMIT IP 10.17.199.0 0.0.0.255 ANY
Ansi, aucune communication avec les autres vlans (sauf le 30) nest autorise, et
laccs internet est assur.
Pour finir les 2 access-lists ont t appliques aux interfaces vlans
correspondantes
pour le vlan 20
sw # (conf)interface vlan 20
sw # (conf-if)ip access-group 103 in
pour le vlan 199
sw # (conf)interface vlan 199
sw # (conf-if)ip access-group 105 in

IV.Schemas Reseau Physique et Logique

21

COMPTE-RENDU PPE 3.4

Schema Physique

22

COMPTE-RENDU PPE 3.4

Schema Logique

23

COMPTE-RENDU PPE 3.4

24