En mode infrastructure, un client Wifi ne pourra s'associer qu'avec un seul point d'accès (AP) dans un seul SSID. Par contre, un point d'accès pourra fournir ses services sous la bannière de plusieurs SSIDs. Ces services dénommés par le SSID auront leur particularité en termes de domaine de broadcast (adressage IP), d'authentification et d'encryption. En fait, cette option est disponible sur nos APs grâce à la possiblité d'associer un Vlan à un SSID. Utilisant des Vlans, on va donc créer des segments de broadcast différents sur un même domaine. Cette segmentation sera soit fonctionnelle (par groupe d'utilisateur, avec certains droits), soit opérationnelle (par type de périphériques, WEP, WPA, etc.). Dans un mode infrastructure, on imaginera aisément plusieurs APs connectés en "trunk" sur un switch supportant l'encapsulation Vlan et du routage filtré - matière maîtrisée par le CCNA. Voici le laboratoire type.
A. Configuration du point d'accès
1. Association de chaque SSID avec un Vlan
Au Préalable, on aura pris soin de supprimer le SSID par défaut "tsunami". Pour configurer le SSID "Guest1", on procédera comme suit :
AP1(config)#interface dot11radio 0Pour configurer le SSID "Enterprise1" :
AP1(config-if)#ssid Guest1
AP1(config-if-ssid)#vlan 3
AP1(config-if-ssid)#authentication open
Ap1(config-if-ssid)#guest-mode
AP1(config-if-ssid)#exit
AP1(config)#interface dot11radio 0
AP1(config-if)#ssid Enterprise1
AP1(config-if-ssid)#vlan 2
AP1(config-if-ssid)#authentication shared
AP1(config-if-ssid)#exit
On notera qu'il est inutie de créer un SSID propre au Vlan de management. Avec bon sens, on s'accorde sur le fait qu'il sera uniquement accessible par routage de machines autorisées.
2. Configuration de l'encryption WEP sur l'un des Vlans
AP1(config)#interface dot11radio 0
AP1(config-if)#encryption vlan 2 key 1 size 128 01234567890123456789123456 transmit-key
AP1(config-if)#encryption vlan 2 mode wep mandatory
AP1(config-if)#exit
3. Configuration des Vlans et du bridging sur les interfaces radio et ethernet
On va créer autant de sous-interfaces radio et ethernet qu'il y a de Vlans. Le point d'accès étant un matériel de couche "liaison de donnée", autrement dit un pont entre deux segments (de nature différente), il faudra malgré tout configurer le bridging sur les Vlans supplémentaires (2 et 3) grâce à la commande bridge-group sur chacune des sous-interfaces.
AP1(config)#interface dot11radio 0.1
AP1(config-subif)#encapsulation dot1q 1 native
AP1(config-subif)#exit
AP1(config)#interface Fastethernet 0.1
AP1(config-subif)#encapsulation dot1q 1 native
AP1(config-subif)#exit
AP1(config)#interface dot11radio 0.2
AP1(config-subif)#encapsulation dot1q 2
AP1(config-subif)#bridge-group 2
AP1(config-subif)#exit
AP1(config)#interface Fastethernet 0.2
AP1(config-subif)#encapsulation dot1q 2
AP1(config-subif)#bridge-group 2
AP1(config-subif)#exit
AP1(config)#interface dot11radio 0.3
AP1(config-subif)#encapsulation dot1q 3
AP1(config-subif)#bridge-group 3
AP1(config-subif)#exit
AP1(config)#interface Fastethernet 0.3
AP1(config-subif)#encapsulation dot1q 3
AP1(config-subif)#bridge-group 3
AP1(config-subif)#exit
4. Configuration de l'adresse IP du point d'accès.
L'interface BVI 1 est l'interface virtuelle (de couche 3) qui rassemble les deux domaines de collisions Ethernet et radio. Elle est sensée donner à l'AP une adresse IP correspondant à la plage du Vlan 1 de gestion.
AP1(config)#interface BVI 1
AP1(config-if)#ip address 192.168.1.11 255.255.255.0
B. Configuration du Switch
1. Entrée des Vlans
A noter que le Vlan 1 existe déjà et qu'on ne peut le modifier.
SW1#vlan database
SW1(vlan)#vlan 2 name Enterprise1
VLAN 2 added:
Name: Enterprise1
SW1(vlan)#vlan 3 name Guest1
VLAN 3 added:
Name: Guest1
SW1(vlan)#exit
2. Configuration des troncs et des autres autres ports
SW1(config)#interface Fastethernet 0/1
SW1(config-if)#switchport mode trunk
SW1(config-if)#exit
SW1(config)#interface Fastethernet 0/12
SW1(config-if)#switchport mode trunk
SW1(config-if)#exit
SW1(config)#interface Fastethernet 0/2
SW1(config-if)#switchport mode access
SW1(config-if)#spannig-tree portfast
SW1(config-if)#exit
3. Configuration de l'adresse IP du switch
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.1.12 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
C. Configuration du routeur
R1(config)#interface Fastethernet 0
R1(config-if)#no shutdown
R1(config-if)#no ip address
R1(config-if)#exit
R1(config)#interface Fastethernet 0.1
R1(config-subif)#encapsulation dot1q 1 native
R1(config-subif)#ip address 192.168.1.254 255.255.255.0
R1(config-subif)#exit
R1(config)#interface Fastethernet 0.2
R1(config-subif)#encapsulation dot1q 2
R1(config-subif)#ip address 192.168.2.254 255.255.255.0
R1(config-subif)#exit
R1(config)#interface Fastethernet 0.3
R1(config-subif)#encapsulation dot1q 3
R1(config-subif)#ip address 192.168.3.254 255.255.255.0
R1(config-subif)#exit
