Workshop

Contrle daccs

Workshop contrle daccs

LAB 11 : Wireless Dynamic VLAN Assignment

Version 2.0 du 23 Mars 2010




Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 1 of 13
 Workshop Contrle daccs



Introduction.................................................................................................................3
Cration dun VLAN Partenaire ......................................................................................3
Modification du WLAN ...................................................................................................4
Cration des rgles dans le RADIUS................................................................................5
Test de connectivit .......................................................................................................8

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 2 of 13
 Workshop Contrle daccs

Introduction

Ce lab consiste utiliser les proprits avances de lauthentification 802.1x/EAP pour
faire de laffectation dynamique de VLAN WiFi en fonction du groupe dutilisateur (par
exemple).

Le principe est donc dannoncer un seul est mme rseau radio (SSID) mais de mettre
les utilisateurs dans le bon VLAN Ethernet la sortie du contrleur WiFi :

Cration dun VLAN Partenaire

Dans un premier temps nous crons un VLAN partenaire au niveau du Wireless LAN
Controller. Pour cela on se connecte sur le WCS du POD (https://10.150.1.20X).
On va dans Configure -> Contollers -> System -> Interfaces et lon ajoute une
nouvelle interface dynamique :

On renseigne alors les informations en faisant attention au nom de linterface (du VLAN)
car il sera utilis ensuite dans les rgles de lACS :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 3 of 13
 Workshop Contrle daccs

Note :
Configurez le Secondary Port Number la valeur : 2
Ladresse IP du Primary DHCP Server est la mme que la Gateway soit
10.11X.2.1

Modification du WLAN

Pour que le WLC accepte des informations dynamique venant du RADIUS il faut le
prciser dans la configuration du WLAN. On dite donc le rseau radio depuis WCS et
lon accepte le AAA Override :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 4 of 13
 Workshop Contrle daccs

Cration des rgles dans le RADIUS

La suite de la configuration se passe au niveau du serveur RADIUS. On va complter la
configuration prcdente avec des conditions spcifiques pour affecter les utilisateurs
dynamiquement dans les bons VLANs.

On se connecte sur le RADIUS (https://10.100.100.10X), et dans la partie Policy
Elements on va crer des profiles dautorisation incluant les informations de VLAN
pour les clients WiFi :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 5 of 13
 Workshop Contrle daccs

On donne un nom :

Et lon indique comme nom de VLAN celui utilis dans linterface du WLC :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 6 of 13
 Workshop Contrle daccs

On duplique alors cette rgle pour en faire une similaire pour les partenaires :

On reprend alors les rgles daccs associes notre politique dauthentification Acces
WiFi , car celles-ci ne font pour le moment quune simple autorisation daccs :

On modifie les rgles pour affecter les VLAN :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 7 of 13
 Workshop Contrle daccs

On procde de la mme manire pour les partners . Et lon doit obtenir :

Test de connectivit

On va maintenant vrifier que nos profils dauthentification sont bien oprationnels.

Pour cela on se connecte sur le SSID POD-X avec un utilisateur employee : userX01,
puis avec un utilisateur partner : userX02.

Connexion avec un utilisateur Employee (userX01/cisco) :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 8 of 13
 Workshop Contrle daccs

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 9 of 13
 Workshop Contrle daccs

Dans la fiche client de WCS on voit :

Dans lACS on voit dans le menu Monitoring and Reports -> Reporst/Favorites ->
Authentication Today :

Si lon clique sur la petite loupe, on a alors le dtail :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 10 of 13
 Workshop Contrle daccs

On se dconnecte alors du SSID POD-X et lon se reconnecte avec lutilisateur du groupe
partner (userX02 / cisco) :

On monitor alors le client pour voir comment il sest accroch :

Sur le CSSC :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 11 of 13
 Workshop Contrle daccs


Sur le WCS :

On constate bien que le client user102 sest bien accroch sur le mme SSID, mais
quil a t affect dynamiquement au VLAN 3X2 wifi-partners .

Sur lACS :

Et le dtail :

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 12 of 13
 Workshop Contrle daccs

Tous les contenus sont protgs par copyright 2010, Cisco. Tous droits rservs.
Avertissements importants et dclaration de confidentialit. Page 13 of 13