Professional Documents
Culture Documents
PERSONNES
TCHES
Ghislain CHAPEAU
installation et
configuration
serveur
RADIUS+Certifica
t
Vincent POIX
Configuration Wifi
Pierre GALLIENNE
Schema Reseau
PHysique et
logique
Louis-alexis MOTA
installation
serveur
RADIUS+ACL
Benot MORAINE
Configuration Wifi
Eddy RATSIMEVEH
Schema Reseau
Physique et
logique
SUJET:
Contexte
Actuellement, tous les salaris possdent un accs aux
diffrents ressources de SAVEOL (fichiers,
impression, internet, bases de donnes,). Mais cet accs nest
possible qu travers une liaison
filaire. La direction souhaite ltendre aux salaris quips dun
terminal Wifi.
SAVEOL a fait lacquisition de plusieurs Switchs compatibles PoE
et des AP Cisco. Vous tes charg
dimplmenter une solution daccs sans fil pour les salaris de
SAVEOL ainsi quaux visiteurs. Ces
derniers nauront accs qu la ressource internet mais dune
faon scurise (obligation lgale).
Elments du cahier des charges concernant les accs Wifi
A chaque tage est dispos un point d'accs 802.11 b/g/n PoE
Il y a un SSID non diffus par VLAN sauf le VLAN visiteurs.
La confidentialit est assure par la norme WPA2-Enterprise
sauf pour le dernier.
I.SERVEUR RADIUS
Autorit de certification et authentification
RADIUS
Objectif :
Afin de permettre au visiteur venant chez Saveol davoir accs internet, nous
avons mis en place une authentification scurise sur le WIFI. Ces derniers
peuvent ainsi se connecter avec des comptes visiteur crs pour chaque visiteur
avec une dure limite dans le temps afin de ne pas avoir plusieurs comptes ne
servant provoquant donc un problme de scurit.
Les employs bnficient eux aussi de cette authentification avec le compte de
lActive Directory.
Configuration :
1) Choisir Autorit de certification dentreprise .
Configuration :
1) Choisir Serveur RADIUS pour les connexions cbles ou sans fil 802.1X puis
cliquer sur Configurer 802.1X .
10
11
9) Pour finir il faut autoriser le serveur RADIUS dans lAD afin quil puisse vrifier
le compte communiqu.
12
(Cette mme procdure a t faite pour les employs. Nous avons juste chang
le groupe (Groupe GR-BUREAU ) et le numro du VLAN (VLAN 200) auquel sont
associs les conditions.).
Tests :
Afin de tester si la solution fonctionne nous avons cr 2 comptes dans lAD. Un
premier (gchapeau) qui est dans le groupe GR-Bureau et un deuxime (invite1)
dans le groupe GR-Visiteur.
Nous nous sommes connect, avec un appareil WIFI, avec les diffrents comptes
et avons vrifi les adresses IP donnes par le DHCP.
Nous avons bien pour le premier compte une adresse IP dans le VLAN 200 et une
adresse IP dans le VLAN 199 avec le compte du groupe visiteur.
13
II.Configuration WIFI
Solution 1: Sans radius
Etape 1: Connexion la console, via un navigateur web, de la
borne cisco:
- Rentrer dans la barre de recherche l'adresse de la borne (attention celle-ci sera
change dans l'tape 2)
Vous arriverez sur la fentre ci-dessous.
14
15
- Puis configurer les deux SSIDs dont nous avons besoin comme indiqu cidessous:
Pour pouvoir accder au Wifi "bureaux", il faut le rentrer la main car le SSID
n'est pas diffus:
SSID: saveol1_bureaux
mdp: sio2r@PPE
- Appuyer sur "Save"
16
17
18
19
III.Les ACL
Il tait ncessaire de bloquer les communications entre les vlans 20 et 199 avec
tous les autres (sauf le vlan gestion : le vlan 30)
Pour cela nous avons commenc par bloquer les vlans celon celui sur lequel nous
tions:
Pour le vlan 20
Access-list
0.0.0.0
Access-list
0.0.0.255
Access-list
0.0.0.255
Access-list
0.0.255.255
20
21
Schema Physique
22
Schema Logique
23
24