Configuration minimale d'une borne Cisco Aironet 1200 Series

J'ai récemment mis la main sur quelques bornes Cisco Aironet 1220B-E-K9, j'ai donc décidé d'en faire profiter quelques amis.

Les réseaux locaux personnels étant la plupart du temps différents des réseaux d'entreprise (tout le monde ne fait pas du 802.1X avec plusieurs VLAN à la maison), j'ai décidé de faire un petit tutoriel pour mettre en place une configuration minimale pour rendre lesdites bornes fonctionnelles chez tout un chacun.

Les postulats de départ avant de commencer :

  • votre borne est raccordée dans un réseau avec un serveur DHCP et vous êtes capables de récupérer l'IP assignée à votre borne ;
  • vous n'avez pas de câble série Cisco ;
  • vous avez une version d'IOS récente sur votre borne (pour les bornes que j'ai donné c'est le cas : c1200-k9w7-mx.123-8.JED1) ;
  • vous avez un minimum de notions en réseau (vous savez ce qu'est une IP, un réseau, un masque de sous-réseau, une passerelle par défaut, une clef WPA, un SSID, etc.) ;
  • la borne est dans une configuration d'usine.

Tout d'abord, on va se connecter à la borne en telnet (ouais c'est vieux, c'est moche et c'est pas sûr, mais c'est la configuration initiale, il y a pas le choix), on va activer les commandes privilégiées et on va passer en mode configuration. L'identifiant et le mot de passe par défaut est Cisco.

telnet 192.168.42.154

Trying 192.168.42.154...
Connected to 192.168.42.154.
Escape character is '^]'.

User Access Verification

Username: Cisco
Password: Cisco
ap>enable
Password: Cisco
ap#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

On va maintenant la nommer et lui dire dans quel domaine elle est (faites le, c'est obligatoire pour la suite).

ap(config)#hostname sushi-ap
sushi-ap(config)#ip domain name ois.tf

On active les nouvelles commandes et fonctions de contrôle d'accès, puis on fait passer les nouvelles connexions directement en mode d'exécution (privilégié). Ensuite on créé un nouvel utilisateur (ici bcollet avec le mot de passe givemesushi), on supprime l'utilisateur par défaut (Cisco) et on enlève le mot de passe pour passer en mode d'exécution (qui n'est plus nécessaire maintenant).

sushi-ap(config)#aaa new-model
sushi-ap(config)#aaa authorization exec default local
sushi-ap(config)#username bcollet privilege 15 password givemesushi
sushi-ap(config)#no username Cisco
sushi-ap(config)#no enable secret

On va maintenant générer une clef RSA, nécessaire pour se connecter en SSH et en HTTPS (si vous laissez l'interface web activée).

sushi-ap(config)#crypto key generate rsa
The name for the keys will be: sushi-ap.ois.tf
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]

On va maintenant n'autoriser les connexions console que en SSH et non plus en telnet.

sushi-ap(config)#line vty 0 15
sushi-ap(config-line)#transport input ssh
sushi-ap(config-line)#exit

On va rentrer maintenant dans le vif du sujet, à savoir fournir un accès sans-fil. Nous configurons ici un SSID sushi avec la clef ilovesushi.

sushi-ap(config)#dot11 ssid sushi
sushi-ap(config-ssid)#authentication open
sushi-ap(config-ssid)#authentication key-management wpa
sushi-ap(config-ssid)#wpa-psk ascii ilovesushi
sushi-ap(config-ssid)#exit

Nous allons maintenant configurer l'interface radio 0 pour lui dire d'annoncer le SSID sushi avec CCMP comme chiffrement. Si vous avez encore des antiques Windows XP, rajoutez le mot clef tkip après aes-ccm (mais c'est mal©).

sushi-ap(config)#interface dot11Radio 0
sushi-ap(config-if)#encryption mode ciphers aes-ccm
sushi-ap(config-if)#ssid sushi
sushi-ap(config-if)#no shutdown
sushi-ap(config-if)#exit

Les interfaces BVI sont des ponts entre plusieurs interfaces. Ici par défaut un pont est configuré entre l'interface radio et l'interface Ethernet. À savoir que l'IP du point d'accès doit être configurée sur le pont et non sur l'interface Ethernet, ce que nous allons faire maintenant, au lieu d'avoir un adressage via DHCP. Attention, votre connexion va être interrompue, vous devrez vous reconnecter (en SSH cette fois ci).

sushi-ap(config)#interface BVI 1
sushi-ap(config-if)#ip address 192.168.42.154 255.255.255.224
sushi-ap(config-if)#exit

On finalise la configuration réseau de la borne en lui donnant l'adresse de la passerelle par défaut et du serveur de nom.

sushi-ap(config)#ip default-gateway 192.168.42.129
sushi-ap(config)#ip name-server 8.8.8.8

Enfin, on désactive l'interface web. La première ligne sert à désactiver l'interface HTTP, la seconde l'interface HTTPS. Si vous souhaitez conserver un accès à l'interface web, gardez de préférence celui en HTTPS.

sushi-ap(config)#no ip http server
sushi-ap(config)#no ip http secure-server

Et voilà, c'est terminé, il ne nous reste plus qu'à sortir du mode de configuration et d'enregistrer les changements.

sushi-ap(config)#end
sushi-ap#write
Building configuration...
[OK]
  • blog/configuration_minimale_d_une_borne_cisco_aironet_1200_series.txt
  • Last modified: 2015/05/18 17:22
  • by Benjamin Collet