Exemple de topologie :


Installer votre borne de maniere à ce qu'elle soit le moins accessible possible
Assurez vous que la personne chargee de sa configuration soit la seule à connaitre le mot de passe Admin

Configurations:

a) Au niveau des Routeurs :


Vérifier les ACL Routeurs et Config Routeurs

b) Au niveau du Switch :

# conf t
(config-t)# interface fastethernet 0/x
(config-t)# switchport trunk native y
(config-t)# switchport trunk allowed vlan x,y,...
(config-t)# switchport mode trunk
(config-t)# exit

c) Au niveau de la borne :


Note:
Nous avons opté pour les bornes WiFi HP WL420 pour les raisons suivantes :
Lors de la 1ere installation l'adresse IP de la Borne est 192.168.1.1.
Pour des raisons evidentes de securite cette adresse devra etre change.
Donc dans un premier temps placez vous dans le meme reseau que la borne.
Si vous attaquez la borne directement par le port ethernet pensez à vous munir d'un cable "croise".
Si vous vous connectez toujours en ethernet par le biais d'un hub ou switch un cable "droit" sera necessaire.

En tout premier il faut selectionner le pays ou se trouve la borne car les normes de securites au niveau de la diffusion de l'onde ne sont pas les meme partout. Donc pour activer le WIFI nous sommes oblige de le definir

c.I) CONFIGURATION CLI


Dans un Terminal:
#ssh @IP_BORNE
HP ProCurve Access Point 420#country fr
NB: Cette manipulation ne peut être faite que lors de la premiere configuration et est necessaire pour activer le wifi

c.II) CONFIGURATION WEB

  1. Si vous ne voyez pas les onglets, Telecharger Java Runtime Environnement
  2. Entrer l'url dans un navigateur (de base 192.168.1.1)
  3. Saisir login et le mot de passe (de base login:'admin' et password:'')
    Page d'Accueil
  4. Une fois logue vous trouverez une page contenant 7 onglets

-- Onglet ADMINISTRATION --

User

  1. changer l'utilisateur
  2. Selectionner ses droits ( CLI, CLI + WEB, WEB)

Software Upgrade

telecharger les mise à jour sur le site d'HP: Firmware

System Servers

Entrer un nom qui désignera le matériel dans le réseau

Accounting Servers

C'est dans cette fenêtre que nous allons saisir l'adresse et le n° de port du serveur accounting

Management

  1. Désactiver telnet et mettre ssh
  2. Gestion des VLANs (statique, dynamique, Disable) vérifier la config du switch en amont
  3. Management VLan ID spécifie le vlan d'administration de la borne.
    càd le vlan d'accès à la borne
  4. Management VLAN Tagging indique si l'on veut que le n° de VLAN soit inscrit dans la trame
  5. Si votre borne est dans un lieu facile d'accès retirer le "reset button" ainsi que le serial


-- Onglet CONFIGURATION --


System Information

Entrer un nom qui désignera le matériel dans le réseau

Port/Radio Settings

  1. "Port speed duplex" = Auto
  2. "Broadcast limiting"
  3. "Radio Setting" = b & g mixed mode
  4. "Radio channel" vous pouvez mettre la canal en auto
  5. Décocher "Shutdown" pour activer la diffusion de l'onde de la borne
  6. Limiter le nombre d'utilisateur à 100 dans "Maximum Associations"

IP Configuration

Mettre l'adresse en "Static"
  1. "IP Address" mettre 192.168.x.x
  2. "Subnet Mask" mettre 255.255.255.0 pour /24
  3. "Gateway" en général 192.168.x.254
  4. "Primary DNS Address" 147.173.1.26

Filter Control

à laisser par defaut

SNMP

  1. "Location" salle de conférence
  2. "contact" CRIC-x7954
  3. "Community Name" public
  4. "Private" xxx, "Private" doit avoir un mot de passe digne de ce nom car le SNMP donne le controle au matériel réseau donc au bon fonctionnement

SNMP TRAP

-- Onglet "WIRELESS INTERFACES" --


Wireless Interfaces - ADD

  1. Ajouter un nouveau SSID
  2. "index" est le n° de l'SSID, le dernier créé ayant le plus grand nombre
  3. "SSID Name" est le nom que les utilisateurs détecteront
    SDCONF invite
    SDCONF chillispot
    NB: La borne ne diffuse qu'un SSID à la fois, le primary
  4. "SSID description" à titre informatif
  5. "VLAN ID" est le VLAN sur lequel les utilisateurs seront basculer nativement les utilisateur
    SDCONF invite, VLAN = 21
    SDCONF chillispot, vlan = 621
  6. "VLAN TAGGING" indique dans la trame le n° du VLAN natif si TAGGED est coché
en appuyant sur add vous tomberez sur la page ci-dessous

Wireless Interfaces - MODIFY

SSID Settings

Comme nous l'avons vu c'est sur cette page que nous entrerons les informations relatives a l'SSID et au VLAN qui lui est attribué nativement.

Security Suite

Choix de la sécurité pour l'SSID, no security, WEP, dynamic WEP, WPA, WPA-PSK, Avec des encryptages 802.1x: AES, TKIP

Bien évidement l'encryptage WEP est maintenant fortement déconseillé et à l'heure actuelle il voudra mieux utiliser l'encryptage WPA2/AES

WPA-PSK (VLAN invite)
no security (VLAN chillispot)

Authentification Servers

  1. Saisir l'address ip du RADIUS:
    147.173.1.26
    147.173.1.26

  2. Le port par défaut 1812
  3. "secret key"
    xxx
    xxx
    Secret partagé avec le RADIUS dans client.conf

  4. "vlan id format" ASCII

MAC authentication

Il n'y a pas d'authentification par adresse MAC puisque l'usurpation de ces adresses se fait aujourd'hui très facilement

Advanced Settings

Tout par défaut sauf "PMKSA life time" à 60 minutes, l'utilisateur devra resaisir la clée WPA2

Les bonnes questions :

Qu'elles sont les besoins des utilisateurs ?
Quel est le contexte de l'entreprise ? Politique de sécurité ?
Quels sont les matériels mis en place et quels encryptages acceptent t'ils ? 
        ex: le WPA2 n'est pas encore géré par les cartes WIFI d'avant 2004
Se tenir au courant des dernières normes de sécurité et rester vigilant !!!!