Zwei SSIDs für dasselbe VLAN - Probleme?

9

Ich möchte 802.1x auf einer Test-SSID testen. Es war nicht sicher, ob das Erstellen einer Test-SSID, die einem VLAN zugeordnet ist, dem bereits eine andere SSID zugeordnet ist, ein Problem mit der SSID des Kunden verursachen würde.

Ex. SSID 1 = VLAN 1 SSID 2 = VLAN 1 - hat 802.1x-spezifische Konfigurationen

cisco AL
quelle
2
Auf welchen Anbietern und Firmware-Versionen probieren Sie es aus? Was verwenden Sie für den Authentifizierungsserver?
Mike Pennington
Anbieter - Cisco 1142-APs (autonom) - zur Authentifizierung - planen die Verwendung eines Windows-Domänencontrollers unter IAS!
AL
Welchen Wert hat der 802.1X-Test mit derselben SSID?
Generalnetworkerror

Antworten:

9

Cisco lässt nicht mehr als eine SSID pro VLAN und Schnittstelle mit autonomen APs zu. Ich kann nicht für WLCs antworten, aber ich würde dasselbe annehmen.

Wenn Sie einen einzelnen Funk-AP haben, empfehle ich, ein Test-VLAN zu haben, das zur Test-SSID passt, und dann Ihre Router-Route zwischen den VLANs zu haben.

AP-Nachricht beim Versuch:

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#dot11 ssid Example
(config-ssid)#vlan 21
Warning: Vlan 21 already mapped to SSID Guest. SSIDs with same vlan association cannot be attached to the same interface.

(config-ssid)#

Ursprünglich habe ich dies eins zu eins genommen, aber als ich es auf einem Dual-Radio-AP ausprobierte, konnte ich die Gast-SSID des 5-GHz-Radios ersetzen:

(config-ssid)#int D1
(config-if)#no ssid Guest
(config-if)#ssid Example
(config-if)#exit
(config)#exit

#sh dot11 bssid
Interface      BSSID         Guest  SSID
Dot11Radio0   0026.0bXX.XXXX  Yes  Guest
Dot11Radio1   0007.7dXX.XXXX  No   Example

#

EDIT: Ich habe es korrigiert, es funktioniert auf einem Dual-Radio-AP, aber nicht auf einem Single-Radio

some_guy_long_gone
quelle
3
Zu Ihrer Information: Auf einem WLC können Sie einem einzelnen VLAN mehrere SSIDs zuweisen. Auf einem WLC weisen Sie die SSID jedoch nicht wirklich dem VLAN zu, sondern einer Schnittstellengruppe, die sich dann über Tagging oder native dem entsprechenden VLAN zuweist. Sie können auch Backup-Ports angeben!
Knoten
Danke für die Info hestonk! Ich hatte noch keine Gelegenheit, einen WLC zu verwenden. Hoffentlich bald! Die Erfahrung wäre eine schöne Ergänzung.
some_guy_long_gone
Ich bin also gerade auf ein genaues Problem bei einem Dualband-AP gestoßen. Sie können jedoch zwei verschiedene SSIDs auf demselben VLAN ausführen, da sie auf verschiedenen Funkgeräten ausgeführt werden. Ich habe immer noch das gleiche Problem wie das OP, bei dem Sie nicht verschiedene SSIDs in denselben VLANs ausführen können ... ärgerlich!
Knoten
3

Ich bin mir nicht sicher, ob es sich um eine bewährte Methode handelt, aber wir haben viele SSIDs in einem einzelnen VLAN ... Einige verwenden denselben DHCP-Pool, andere einen separaten. (Wir verwenden mehrere SSIDs, um Richtlinienunterschiede und Authentifizierungseinstellungen zu implementieren.) Dies ist bei einer WLC 5500-Serie der Fall.

Will Dennis
quelle
1

Ich habe die Erfahrung gemacht, dass mehr als eine SSID in einem VLAN mit jeweils unterschiedlicher Verschlüsselung auf einem autonomen AP nicht möglich ist (12.4 (x)). Wir machen das die ganze Zeit auf WLC-gesteuerten leichten APs. Zum Beispiel eine SSID mit WPA2-Enterprise mit 802.1x PEAP-MSCHAPv2- und AES-Verschlüsselung, eine zweite SSID mit WPA-Pre-Shared Key mit TKIP-Verschlüsselung und eine dritte SSID mit WEP-128.

Jetzt können Sie die Richtigkeit dieser Vorgehensweise in einem VLAN in Frage stellen, aber es funktioniert. Eine Rechtfertigung ist, dass Sie einige alte Geräte zusammen mit modernen Geräten verwenden müssen. Konfigurieren Sie die alten Geräte mit den älteren Authentifizierungs- und Verschlüsselungsmethoden und konfigurieren Sie die modernen Geräte mit den neuesten Methoden. Sobald Sie die älteren Geräte entfernt haben, können Sie die alten SSIDs löschen und Ihre modernen Geräte müssen sich nicht ändern. Besser als WEP-128 von Anfang an als kleinsten gemeinsamen Nenner für alle zu verwenden.

Matt Woodling
quelle
Auf einem autonomen AP führt die Rückgabe einer RADIUS-zugewiesenen VLAN-ID, die bereits zu einer anderen SSID gehört, dazu, dass die Verbindung fehlschlägt.
Monstieur