03 - Configuration
1) Topologie réseau Wi-Fi
L'infrastructure Wi-Fi est isolée du réseau de production via le VLAN 40. Le tableau suivant récapitule l'adressage réseau utilisé :
|
Élément |
VLAN |
Adresse IP |
Masque |
|
WAP150 (gestion) |
VLAN 40 |
192.168.10.198 |
/27 |
|
Réseau VLAN 40 |
VLAN 40 |
192.168.10.192 |
/27 |
|
Passerelle VLAN 40 |
VLAN 40 |
192.168.10.194 |
/27 |
|
Plage DHCP visiteurs |
VLAN 40 |
192.168.10.196 – .222 |
/27 |
|
Port switch |
Fa0/23 (trunk) |
— |
— |
Le port Fa0/23 du switch Cisco est configuré en mode trunk et autorise le VLAN 40 ainsi que le VLAN natif. Le DHCP snooping est activé sur ce port en mode trusted pour autoriser les réponses DHCP provenant du serveur.
2) TopologieConfiguration du réseau Wi-Fisans fil (SSID)
|
Paramètre |
Valeur configurée |
|
Nom du réseau (SSID) |
Visiteurs-IRS |
|
Diffusion du SSID |
Activée |
|
VLAN associé |
VLAN 40 |
|
Bande de fréquence |
2,4 GHz |
|
Standard |
802.11b/g/n |
|
Canal |
Auto (sélection automatique) |
|
Puissance d'émission |
100 % (pleine puissance) |
|
Isolation clients |
Activée (clients isolés entre eux) |
|
Chiffrement |
WPA2 Personal |
Le SSID Visiteurs-IRS est dédié aux accès des visiteurs et invités. L'isolation des clients est activée afin d'empêcher toute communication directe entre les postes connectés au Wi-Fi. Seul l'accès à travers le portail captif NoDogSplash est autorisé.
Affectation VLAN sur l'interface réseau
L'interface Ethernet du WAP150 est configurée en mode trunk pour transporter à la fois le VLAN de gestion (VLAN 99) et le VLAN visiteurs (VLAN 40).
Configuration trunk côté switch (port Fa0/23)
Switch(config)# interface FastEthernet0/23
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 40,99
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# spanning-tree portfastConfiguration VLAN côté WAP150
Dans l'interface web du WAP150, les paramètres VLAN sont accessibles via le menu Advanced > VLAN & Radio Settings. Le SSID Visiteurs-IRS est associé au VLAN 40.
Intégration du portail captif NoDogSplash
Le portail captif NoDogSplash est déployé sur une machine virtuelle Debian 12 hébergée sur Proxmox. Cette VM joue le rôle de passerelle pour le VLAN 40 et intercepte les requêtes HTTP des clients Wi-Fi pour les rediriger vers une page d'authentification.
|
Élément |
Détail |
|
OS de la VM |
Debian 12 (Bookworm) |
|
Interface LAN (VLAN 99) |
ens18 — accès gestion / supervision |
|
Interface Wi-Fi (VLAN 40) |
ens19 — 192.168.10.194/27 |
|
Logiciel portail captif |
NoDogSplash (sources GitHub) |
|
Port d'écoute |
TCP 2050 |
|
Démarrage |
Service systemd (nodogsplash.service) |
Le flux d'un client visiteur se déroule comme suit : le poste obtient une adresse IP du DHCP du VLAN 40, puis toutes ses requêtes HTTP sont interceptées par NoDogSplash et redirigées vers le portail de connexion. Après validation sur la page d'accueil, l'accès au réseau est autorisé.