Назад | Перейти на главную страницу

Cisco Aironet (модели 802.11n): как установить SSID WEP128 и SSID WPA / WPA2 на одном радиомодуле?

Я использую Cisco AIR-1252AG (IOS 12.4 (10b) JDA3), и я должен предоставить как WEP128 wlan (для совместимости со старыми встраиваемыми устройствами, это будет идти в vlan с брандмауэром), так и WPA2 (WPA1 тоже подойдет ) wlan на том же радио 2,4 ГГц. Оба с предварительными общими ключами.

Хотя я могу установить параметры WPA в SSID, шифрование WEP, похоже, применяется ко всему радиоинтерфейсу. Я создал конфигурацию WEP с помощью мастера «экспресс-безопасности» (смеется), а затем приступил к добавлению WPA. WPA уже работает на радио 5 ГГц (мне там не нужен wep), но мне также нужно поддерживать устройства 2,4 ГГц, и я даже не могу понять, возможно ли это вообще!

Это, вероятно, будет применяться ко многим точкам доступа Cisco AIR- * (но некоторые из них ограничены WPA1 и / или одним радио).

Соответствующая конфигурация на данный момент:

dot11 ssid my_wpa_network
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   authentication open 
!
interface Dot11Radio0
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio1
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]

Я хочу получить SSID WEP с psk на Radio0 (не транслируется) и SSID WPA2 (или WPA + WPA2, или WPA) с psk на Radio0 и Radio1 (транслируется).

Я считаю, что вам нужно использовать VLAN для настройки различных типов аутентификации / шифрования для отдельных SSID на одном и том же радио. Например

dot11 ssid my_wpa_network
   vlan 1
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 2
   authentication open 
!
interface Dot11Radio0
 encryption vlan 1 mode ciphers aes-ccm
 encryption vlan 2 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 2 mode wep mandatory
 ssid my_wep_network
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface Dot11Radio0.2
  encapsulation dot1q 2
  bridge-group 2
!
interface Dot11Radio1
 encryption vlan 1 mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio1.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEthernet0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEternet0.2
  encapsulation dot1q 2
  bridge-group 2

Если вы не используете VLAN на проводной стороне, я обнаружил, что вы можете настроить оператор группы моста для других подинтерфейсов радио, чтобы отразить собственную группу моста 1 и заставить их все подключаться к одной локальной сети уровня 2, но это не поддерживаемая конфигурация Cisco.

У вас может быть несколько SSID на одном радиомодуле, но похоже, что вам не хватает некоторых настроек VLAN. Итак, если вы хотите объединить несколько VLANS, это будет примерно так:

dot11 ssid my_wpa_network
   vlan 111
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 666
   authentication open 
!

interface Dot11Radio0
 no ip address
 no ip route-cache
 encryption vlan 666 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 666 mode wep [..cut..]
 encryption vlan 111 mode ciphers aes-ccm 

interface Dot11Radio0.1
 encapsulation dot1Q 666
 bridge-group 666
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio0.2
 encapsulation dot1Q 111
 bridge-group 111
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface FastEthernet0.1
 encapsulation dot1Q 666
 bridge-group 666
 [... other stuff here ...]
!
interface FastEthernet0.2
 encapsulation dot1Q 111
 bridge-group 111
 [... other stuff here ...]