+---------+ * CISCO * +---------+ +-------------+ * AP350 * +-------------+ Aide rapide =========== Login par défaut : aucun Observations ============ Mise à jour possible du firmware : ? ++ Points forts ------------ Envoi de rapport d'accounting à un serveur RADIUS Routage SNMP 802.1x action possible si perte de la connexion Ethernet -- Points faibles -------------- pas de serveur DHCP configuration complexe 1. Interface HTML ============== Lorsque qu'on se connecte à l'AP, on arrive sur la page "Summary Status". Cette page permet de visualiser des informations telles que les événements récents des fichiers de log, l'état des interfaces, etc. On a aussi des liens pour aller voir plus en détail l'état de l'AP dans les domaines suivants : - les interfaces radio et ethernet, - les associations courantes avec les autres matériels WiFi, - les journaux d'événements. Chaque catégorie et sous-catégories peuvent être atteintes depuis plusieurs liens différents. Un bandeau regroupant les liens pour les principales zones d'administration est présent sur quasiment toutes les pages : - Home : page de départ (Summary Status) - Map : ouvre une fenêtre représentant les pages d'administration sous une forme hiérarchique, une nouvelle fenêtre est créée à chaque fois que l'on veut consulter une page par l'intermédiaire de cette map. - Network : tableau récapitulatif des statistiques et états des interfaces (également accessibles via le lien "Network Ports" de la page d'accueil), lien pour plus de détails pour chaque interface (également accessibles via la page d'accueil par la colonne device). - Associations : tableau montrant tous les appareils connectant avec l'AP, les détails de chaque clients sont visualisables par un lien. - Setup : la page maîtresse qui permet d'accéder à tous ce qui est configurable dans cet AP. - Logs : consultation du fichier de log, possibilité de le télécharger. - Help : lien vers la page d'aide en ligne CISCO (j'en ai télécharger la plupart des pages ici : \\dev\public\Wi-fi\Doc-Tests-2003\Doc-JF\06_Materiels__Antennes\cartes_et_APs\www.cisco.com\warp\public\779\smbiz\prodconfig\help\eag\air\ap3xx Utilisateurs autorisés à l'administration de l'AP ------------------------------------------------- Maintenant que l'on sait comment sont organisées les pages HTML de l'AP, la première chose à faire est d'activer le "User Manager", c-à-d contraindre l'utilisateur à s'identifier avant de pouvoir consulter et/ou modifier la configuration de l'AP. C'est ici : Summary Status > Setup > Services, Security On arrive sur la page Security Setup comportant plusieurs liens : - Login - User Manager - Change Current User Password (sans commentaire), - User Information, qui en plus de pouvoir consulter les comptes en vigueur, permet, comme son nom ne l'indique pas, de créer de nouveau utilisateur. On choisira donc "User Information" pour créer un compte ayant TOUS les droits, ceci afin de ne pas être bloqué et devoir utiliser le port console (dont on a pas le câble d'ailleurs). Ensuite on va dans "User Manager" pour l'activer. On peut également autoriser la consultation en lecture seule de la configuration. On trouve également des liens pour configurer l'authentification à employer (RADIUS ou TACACS), les VLANs et le WEP (si pas de VLANs). Préambule ========= Si on choisit de ne pas activer les VLANs, le SSID (qui est dans ce cas le SSID primaire) se configure dans : Setup > Network Ports, AP Radio, Identification > more... > édition de 'primary' et le WEP se configure dans : Setup > Services, Security > Radio Data Encryption (WEP) ou simplement par le "Setup Express"... Dès que les VLANs sont activés, ces paramètres ne signifient plus rien. Le SSID primaire est le SSID qui est annoncé dans les trames de beacon (si on a autorisé l'AP à le faire) et celui utilisé par les clients qui s'associe sans préciser de SSID (si autoriser). Le VLAN natif est le VLAN par lequel passe le flux d'administration de l'AP, ainsi que le requêtes d'authentification pour le serveur d'authentification (RADIUS/LEAP/EAP) ; bien y faire attention pour la mise en place du serveur d'authentification. Le SSID primiaire n'est pas obligatoirement lié au VLAN natif. On doit pouvoir avoir plusieurs SSIDs même si les VLANs ne sont pas activés. Page AP Radio SSID #x ===================== Configuration d'un SSID Setup > Service Sets > édition d'un SSID Setup > Network Ports, Identification > more... > édition d'un SSID "Maximum Number of Associations" : 0 signifie infini "Accept Authentication Type" : "Shared" n'est possible que pour le SSID infrastructure. "Require EAP" : pour forcer les clients à s'authentifier par EAP avant de "joindre" le réseau. Quelle différence avec "Network-EAP Authentication Type" ? Pour utiliser l'authentification RADIUS : Accept Authentication Type: Network-EAP Attention : si une autre case de la ligne est coché, un client pourra s'associer sans authentification RADIUS. Si on souhaite tout de même utiliser une authentification open/shared avec authentification, il faut cocher les cases correspondantes de la ligne du dessous (Require EAP). Détails de la page maîtresse : Setup ==================================== Express Setup ------------- On nous propose un "Express Setup" dans lequel il y a quelques paramètres importants qu'on ne trouve pas ailleurs : - la désignation de l'AP (System Name), - la configuration IP de l'AP (statique ou non, adresse, masque, passerelle), - le mode de fonctionnement de l'AP : Root Access Point, Repeater Access Point ou Site Survey Client, - le SSID correspond au SSID primaire (celui annoncé dans les trames de beacon) si l'AP est autorisé à le faire, - pré-réglages des paramètres radio pour favoriser le débit ou la portée (Optimize Radio Network), le lien "Custom" étant l'équivalent de Setup > Network Ports, AP Radio, Hardware - compatibilité avec d'autres matériels : il vaut mieux cocher "non-Aironet 802.11". - le nom de la communauté d'administration SNMP. En bonus : - lien vers "Security Setup" (voir ci-dessus), - lien vers "SNMP Setup", Catégorie Associations ---------------------- * Display Defaults rien de crucial... page "Association Table Filters". Elle sert à choisr les champs et types afficher par défaut sur la page "Association Table" (types des stations, noms, adresse IP, ..., choix du tri). * Address Filters Cette page permet de fixer des filtres sur les flux unicast ou multicast. On peut interdire tout le monde sauf X et Y, ou bien autoriser tout le monde sauf X et Y. Le comportement par défaut des filtres des interfaces Ethernet et radios sont déterminés sur les pages de configuration avancées : Setup > Network Ports, Ethernet/AP Radio, advanced N.B. : il n'y a pas d'option "Default Unicast Address Filter" pour la radio (?). "Lookup MAC Address on [...] Server [...]" permet de faire vérifier par l'AP, lorsqu'une station s'authentifie, que son adresse MAC ne figure pas dans une liste l'interdisant sur le serveur d'authentification. "Is MAC ...# : à cocher 'yes' pour activer les authentifications par RADIUS ou EAP. * Protocoles Filters rien de crucial... page "Protocols Filters Setup" Cette page regroupe les liens des pages permettant de : - fixer des filtres pour les protocoles Ethernet et IP, pour les ports IP, - gérer les politiques de groupes (Policy groups), par exemple pour faire de la VoIP dans un VLAN ; gestion de la classification des flux ("DSCP-toCoS Conversion"), - gérer les paramètres de QoS. * Port Assignement rien de crucial... Use the Port Assignments page to assign a specific network port to a non-root bridge or to a repeater access point. These settings apply to both the internal radio ports and the radio module ports. When you assign specific ports, your network topology remains constant. * VLAN page "VLAN Setup" Gestion des VLANs. Un VLAN est associé à un SSID mais le cryptage reste lié au VLAN puisque c'est ici qu'on doit configurer le WEP à appliquer (lorsqu'un client s'associe avec un SSID lié à un VLAN). Voir "Service Sets" pour gérer les SSID et les lier aux VLANs. * Advanced page "Association Table Advanced" rien de crucial... This page controls the total number of devices that can be listed in the Association Table and the amount of time the device continues to track each class when an access point or bridge is inactive. * Service Sets page "AP Radio Service Sets" Configuration générale radio Le premier champ est l'"Infrastructure SSID", c-à-d le SSID que doivent employer des répéteurs ou des ponts pour se connecter à l'AP. Le paramètre suivant indique s'il faut prendre en compte ou non ce "Infrastructure SSID". Sinon, on peut créer des SSID et les éditer, pour les associer à des VLANs par exemple. Catégorie "Event Log" ===================== (pour + tard) Paramétrage des logs et des événements, configuration "avancée" de SNMP. Catégorie "Services" ==================== * Security Configuration des comptes admin, des paramètres pour joindre le serveur d'authentification, configuration WEP (si pas de VLAN activé). Catégorie "Network Ports" ========================= * Ethernet Hardware Configuration de l'action à effectué si perte de la connectivité Ethernet. Choix ("Loss of Backbone Connectivity Action") : - rien, - passage en mode répéteur, - arrêt de la radio, - se restreindre à un SSID (préciser à l'option suivante. * Ethernet Advanced * AP Radio Hardware Puissance d'émission : 1, 5, 20, 30, 50 mW. réglages des différents seuils propres à WiFi (RTS, DTIM, retries...). * AP Radio Advanced