Два SSID для одного VLAN - проблемы?

9

Я хочу проверить 802.1x на тестовом SSID. Не был уверен, что создание тестового SSID, связанного с VLAN, с которой уже связан другой SSID, вызовет проблему с клиентом, сталкивающимся с SSID.

Ex. SSID 1 = VLAN 1 SSID 2 = VLAN 1 - имеет определенные конфигурации 802.1x

cisco Алабама
источник
2
на каких производителях и версиях прошивки вы это примеряете? что вы используете для аутентификации сервера?
Майк Пеннингтон
Поставщики - точки доступа Cisco 1142 (автономные) - для проверки подлинности - планируют использовать Windows DC с IAS!
AL
Какое значение имеет тест 802.1X с тем же SSID?
generalnetworkerror

Ответы:

9

Cisco не позволит использовать более одного SSID на VLAN на интерфейс с использованием автономных точек доступа. Не могу ответить за WLC, но я бы предположил то же самое.

Если у вас есть одна точка доступа к радиосвязи, я рекомендую иметь тестовую VLAN, чтобы пойти с тестовым SSID, а затем иметь маршрут маршрутизатора между VLAN.

Сообщение AP при попытке:

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#dot11 ssid Example
(config-ssid)#vlan 21
Warning: Vlan 21 already mapped to SSID Guest. SSIDs with same vlan association cannot be attached to the same interface.

(config-ssid)#

Первоначально я принял это как один к одному, но когда я попробовал это на AP двойного радио, я был в состоянии заменить Гостевой SSID на радио 5 ГГц:

(config-ssid)#int D1
(config-if)#no ssid Guest
(config-if)#ssid Example
(config-if)#exit
(config)#exit

#sh dot11 bssid
Interface      BSSID         Guest  SSID
Dot11Radio0   0026.0bXX.XXXX  Yes  Guest
Dot11Radio1   0007.7dXX.XXXX  No   Example

#

РЕДАКТИРОВАТЬ: Исправил себя, он работает на двойной радио AP, но не один радио

some_guy_long_gone
источник
3
К вашему сведению, на WLC вы можете назначить несколько SSID одной VLAN. Тем не менее, на WLC - вы на самом деле не назначаете SSID для VLAN, а вместо этого назначаете его группе интерфейсов, которая затем присваивает себя соответствующему vlan с помощью тегов или native .... вы также можете указать резервные порты!
knotseh
Спасибо за информацию hestonk! У меня еще не было возможности использовать WLC. Надеюсь скоро! Опыт был бы хорошим дополнением.
some_guy_long_gone
так что я на самом деле только что столкнулся с этой проблемой на двухдиапазонной точке доступа - вы можете иметь 2 разных SSID, работающих на одном VLAN HOWEVER, потому что они работают на разных радиостанциях. У меня все еще та же проблема, что и у OP, когда вы не можете запускать разные SSID в одних и тех же VLAN .... раздражает!
knotseh
3

Не уверен, что это лучший метод, но у нас много SSID в одной VLAN ... Некоторые используют один и тот же пул DHCP, другие используют отдельный. (Мы используем несколько идентификаторов SSID для реализации различий политики и настроек аутентификации.) Это на WLC серии 5500.

Уилл Деннис
источник
1

Мой опыт показывает, что на автономной точке доступа невозможно использовать более одного SSID в VLAN, каждый из которых имеет свой тип шифрования (12.4 (x)). Мы делаем это все время на управляемых WLC легких AP. Например, один SSID с WPA2-Enterprise с шифрованием 802.1x PEAP-MSCHAPv2 и AES, второй SSID с предварительным общим ключом WPA с шифрованием TKIP и третий SSID с WEP-128.

Теперь вы можете поставить под сомнение правильность выполнения этого на одной VLAN, но это работает. Одним из оправданий является то, что вы должны использовать некоторые старые устройства вместе с современными устройствами. Сконфигурируйте старые устройства с более старыми методами аутентификации и шифрования и настройте современные устройства с использованием новейших методов. Как только вы избавитесь от старых устройств, вы можете удалить старые SSID, и ваши современные устройства не должны меняться. Лучше, чем использовать WEP-128 в качестве наименьшего общего знаменателя для всех с самого начала.

Мэтт Вудлинг
источник
На автономной точке доступа даже возврат идентификатора VLAN, назначенного RADIUS, который уже принадлежит другому SSID, приведет к сбою соединения.
Монстер