Konfigurasi Wireless Authentication dengan Cisco WLC 2500 dan LAP 3500

Cisco WLC (Wireless Controller) adalah perangkat untuk memanage suatu LAP (Lightwieght Access Point). LAP adalah Access Point  yang memang didesain stand-alone alias membutuhkan controller untuk mengkonfigurasinya. Jadi LAP akan mendownload konfigurasi dari WLC seperti SSID, jenis autentikasinya, VLAN-ID, dll.

Tujuan
Tujuan dari lab kali ini adalah untuk membuat 2 SSID dengan autentikasi yang berbeda, yaitu SSID Karyawan dengan autentikasi WPA2-PSK dan SSID Guest dengan autentikasi Web-Auth.

Perangkat yang diperlukan

• Cisco WLC 2500

• Lightweight Access Point, disini saya menggunakan seri 3500

• Cisco Catalyst L3, disini saya menggunakan seri 3560

• MikroTik Router, disini saya menggunakan RB 951, untuk koneksi ke Modem

• Modem dengan koneksi internet

• Kabel UTP pastinya

• Kabel Console yang telah diconvert ke USB

Skenario

• Konfigurasikan WLC sebelum dimasukkan ke topologi
• Konfigurasi interface VLAN dan IP Addressnya di Switch
• Konfigurasi DHCP di switch
• Konfigurasi default route di Switch
• Konfigurasi OSPF di Switch dan MikroTik Router
• Konfigurasi NAT di Mikrotik Router
• Verifikasi

Konfigurasi WLC

• Nyalakan WLC, hubungkan Laptop dengan WLC di port 2. Tunggu hingga Laptop mendapat ip dari DHCP. By default Laptop akan mendapat ip 192.168.1.100/24 dengan gateway 192.168.1.1.
• Buka ip gateway di web browser, maka akan muncul tampilan seperti ini :

• Buat admin username dan password, lalu klik start
• Lalu akan muncul Setup Controller, setting sesuai keinginan anda, atau ikuti gambar, lalu klik next

• Maka akan muncul tampilan “Create Your Wireless Network”. Konfigurasikan sesuai gambar. Pada Employee Network saya buat security menggunakan WPA2 Personal. Untuk VLAN, kita buat baru.

• Pada VLAN, klik dropdown menu, pilih “new VLAN” lalu konfig seperti pada gambar

• Klik tanda centang pada “Guest Network” konfigurasikan seperti pada gambar, lalu klik next

• Akan muncul tampilan seperti ini, pastikan sama dengan gambar, lalu klik apply. WLC akan menyimpan konfigurasi dan restart.

• Sambil menunggu WLC restart, pidahkan kabel di WLC dari port 2 ke port 1.
• Ubah IP di laptop kita menjadi 10.10.10.10/24. Pastikan bias ping ke 10.10.10.2
• Setelah bisa ping, buka https://10.10.10.2 di web browser. Akan muncul login page. 

• Login menggunakan admin username dan password yang telah kita setting sebelumnya. Maka akan muncul halaman seperti pada gambar :

• Berikutnya buat access-list untuk guest user. Klik wireless network > security > Access Control Lists > Access Control Lists
• Klik New. Pada Name isikan “acl-untuk-guest”. Pada ACL Type pilih ipv4. Klik Apply. Lalu acl yang telah kita buat akan muncul di halaman Access Control List.

• Klik acl yang telah kita buat untuk mengedit rule-nya. Kemudian klik Add New Rule di bagian kanan atas. Setting seperti gambar berikut, lalu apply.

• Add New rule lagi, setting seperti gambar berikut :

• Kemudian kita ubah ip virtual menjadi 1.1.1.1. Klik Controller > Interface > Virtual > Ubah IP menjadi 1.1.1.1. Maka akan jadi seperti ini :

• Disini kita akan membuat agar User yang terkoneksi ke SSID Guest akan terhubung melalui login. Klik WLAN > WLAN-ID Guest (2). Maka akan muncul tab General seperti berikut :

• Klik tab security, pada Layer 2 biarkan default, pada Layer 3 konfigurasikan seperti gambar, lalu apply

• Pastikan pada menu WLAN jadi seperti ini :

• Kemudian buat user untuk login, jumlahnya disesuaikan dengan kebutuhan saja. Klik tab Security > Local Net User > New

• Selesai untuk WLC :)

Network Topologi

Setelah selesai konfigurasi WLC, selanjutnya adalah membuat topologinya, sesuaikan dengan topologi yang telah saya buat berikut :

Konfigurasi: 

• Hubungkan WLC port 1 ke interface mode trunk di switch.

• Untuk interface yang satu segmen dengan WLC, gunakan VLAN60 dengan ip 10.10.10.1/24, assign salah satu interface ke VLAN60 kemudian hubungkan interface tersebut ke Access Point. 

• Tadi di WLC kita telah buat VLAN10 dan VLAN 20. Maka di switch juga buat VLAN10 dan VLAN20. 

• Untuk VLAN10 di switch, akan terhubung ke Karyawan-interface di WLC. Gunakan ip 10.0.0.1/24 sebagai gateway dan DHCP untuk Internal Network.

• Untuk VLAN20 di switch, akan terhubung ke Guest-interface di WLC. Gunakan ip 20.0.0.1/24 sebagai gateway dan DHCP untuk Guest Network.

• Tidak perlu meng-assign interface ke VLAN10 dan VLAN20.

• VLAN1 untuk terhubung ke router, gunakan ip 200.200.200.2/30, kemudian salah satu interface nya dihubungkan ke router.

• Agar semua Network terhubung, gunakan perintah ip routing.

Konfigurasi DHCP di Switch

Di Switch, kita akan membuat 3 DHCP yaitu untuk AP biar bisa register ke WLC, untuk Karyawan-network (VLAN10) dan untuk Guest-network (VLAN20). Untuk Karyawan dan Guest, buat dhcp-excluded address untuk 10 ip pertama di tiap DHCP pool.

ip dhcp excluded-address 10.10.10.1 10.10.10.50

ip dhcp excluded-address 10.0.0.1 10.0.0.10

ip dhcp excluded-address 20.0.0.1 20.0.0.10

!

ip dhcp pool ap

   network 10.10.10.0 255.255.255.0

   default-router 10.10.10.1

   dns-server 10.10.10.2

!

ip dhcp pool vlan10

   network 10.0.0.0 255.255.255.0

   dns-server 8.8.8.8

   default-router 200.200.200.1

!

ip dhcp pool vlan20

   network 20.0.0.0 255.255.255.0

   dns-server 8.8.8.8

   default-router 200.200.200.1

Konfigurasi Routing di switch

Buat static default-route dengan gateway 200.200.200.1. Namun, karena di switch tidak ada NAT, maka kita akan menambahkan OSPF. Fungsinya agar semua network di switch bisa dikenali oleh router dan bisa konek ke internet.

router ospf 1

 network 10.0.0.0 0.0.0.255 area 0

 network 10.10.10.0 0.0.0.255 area 0

 network 20.0.0.0 0.0.0.255 area 0

 network 200.200.200.0 0.0.0.255 area 0

!

ip route 0.0.0.0 0.0.0.0 200.200.200.1

Konfigurasi Routing dan NAT di router MikroTik

Karena Router belum mengenali semua network yang ada di switch, maka perlu dikonfig OSPF juga. Sedangkan NAT berfungsi untuk mentranslasikan ip privat ke ip public sehingga jaringan local bisa terkoneksi dengan internet. Dalam kasus ini, interface wlan adalah interface yang konek ke internet.

#routing

routing ospf

add network 200.200.200.0/24 area=backbone

add network 192.168.2.0/24 area=backbone

#NAT

ip firewall nat add chain=srcnat out-interface=wlan action=masquerade

Verifikasi 

• Pastikan AP sudah teregister di WLC, buka tab Wireless

• Pastikan SSID yang kita buat telah aktif

• Coba konek ke karyawan, pastikan authentikasi hanya menggunakan password

• Lalu coba akses ke internet, pastikan bisa

• Lalu coba konek ke Guest dan coba akses ke yahoo.com

• Pastikan ter-redirect ke login page, lalu login menggunakan user yang telah dibuat

• Jika berhasil akan muncul halamn seperti ini

• Lalu akses ke situs manapun untuk cek koneksi internetnya

• Selesai.