Dwa identyfikatory SSID dla tej samej sieci VLAN - problemy?

9

Chcę przetestować 802.1x na testowym SSID. Nie byłem pewien, czy utworzenie testowego identyfikatora SSID powiązanego z siecią VLAN, z którą już jest powiązany inny identyfikator SSID, spowodowałby problem z identyfikatorem SSID klienta.

Dawny. SSID 1 = VLAN 1 SSID 2 = VLAN 1 - ma specyficzne konfiguracje 802.1x

cisco glin
źródło
2
jakich dostawców i wersji oprogramowania układowego próbujesz? Czego używasz do serwera uwierzytelniania?
Mike Pennington
Dostawcy - punkty AP Cisco 1142 (autonomiczne) - do uwierzytelniania - planują używać systemu Windows DC z uruchomioną usługą IAS!
AL
Jaką wartość ma test 802.1X z tym samym identyfikatorem SSID?
generalnetworkerror

Odpowiedzi:

9

Cisco nie zezwoli na więcej niż jeden identyfikator SSID na sieć VLAN na interfejs przy użyciu autonomicznych punktów dostępowych. Nie mogę odpowiedzieć za WLC, ale przyjąłbym to samo.

Jeśli masz pojedynczy radiowy AP, zalecam testową sieć VLAN, aby przejść z testowym identyfikatorem SSID, a następnie wyznaczyć trasę routera między sieciami VLAN.

Komunikat AP podczas próby:

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#dot11 ssid Example
(config-ssid)#vlan 21
Warning: Vlan 21 already mapped to SSID Guest. SSIDs with same vlan association cannot be attached to the same interface.

(config-ssid)#

Pierwotnie wziąłem to jako jeden do jednego, ale kiedy wypróbowałem to na podwójnym radiu AP, byłem w stanie zastąpić identyfikator SSID gościa w radiu 5 GHz:

(config-ssid)#int D1
(config-if)#no ssid Guest
(config-if)#ssid Example
(config-if)#exit
(config)#exit

#sh dot11 bssid
Interface      BSSID         Guest  SSID
Dot11Radio0   0026.0bXX.XXXX  Yes  Guest
Dot11Radio1   0007.7dXX.XXXX  No   Example

#

EDYCJA: Poprawiłem się, działa na podwójnym radiu AP, ale nie na pojedynczym radiu

some_guy_long_gone
źródło
3
FYI na WLC można przypisać wiele identyfikatorów SSID do jednej sieci VLAN. Jednak na WLC - tak naprawdę nie przypisujesz SSID do VLAN, ale zamiast tego przypisujesz go do grupy interfejsów, która następnie przypisuje się do odpowiedniego vlan poprzez tagowanie lub natywną .... możesz również określić porty zapasowe!
knotseh
Dzięki za informacje hestonk! Nie miałem jeszcze okazji korzystać z WLC. Miejmy nadzieję, że wkrótce! To byłoby miłym dodatkiem.
some_guy_long_gone
więc właśnie natknąłem się na ten dokładnie problem na dwuzakresowym punkcie dostępowym - możesz mieć 2 różne identyfikatory SSID działające na tym samym VLANIE, ponieważ działają one na różnych radiotelefonach. Nadal mam ten sam problem co OP, w którym nie można uruchamiać różnych identyfikatorów SSID na tych samych sieciach VLAN .... denerwujące!
knotseh
3

Nie jestem pewien, czy jest to najlepsza praktyka, ale mamy wiele identyfikatorów SSID na jednej sieci VLAN ... Niektórzy korzystają z tej samej puli DHCP, inni używają osobnej. (Używamy wielu identyfikatorów SSID do implementacji różnic zasad i ustawień autoryzacji.) To dotyczy serii WLC 5500.

Will Dennis
źródło
1

Z mojego doświadczenia wynika, że ​​więcej niż jeden SSID w sieci VLAN, każdy z innym rodzajem szyfrowania, nie jest możliwy na autonomicznym punkcie dostępowym (12.4 (x)). Robimy to cały czas na lekkich AP kontrolowanych przez WLC. Na przykład jeden identyfikator SSID z WPA2-Enterprise z szyfrowaniem 802.1x PEAP-MSCHAPv2 i AES, drugi identyfikator SSID z kluczem wstępnym WPA z szyfrowaniem TKIP, a trzeci SSID z WEP-128.

Teraz możesz zakwestionować zasadność robienia tego na jednej sieci VLAN, ale to działa. Jednym z uzasadnień jest to, że musisz używać starych urządzeń wraz z nowoczesnymi urządzeniami. Skonfiguruj stare urządzenia za pomocą starszych metod uwierzytelniania i szyfrowania oraz skonfiguruj nowoczesne urządzenia za pomocą najnowszych metod. Po pozbyciu się starszych urządzeń możesz usunąć stare identyfikatory SSID, a nowoczesne urządzenia nie muszą się zmieniać. Lepsze niż używanie WEP-128 jako najniższego wspólnego mianownika dla wszystkich od samego początku.

Matt Woodling
źródło
Na autonomicznym punkcie dostępowym nawet zwrócenie identyfikatora VLAN przypisanego do RADIUS, który już należy do innego identyfikatora SSID, spowoduje przerwanie połączenia.
Monstieur,