Я использую Cisco AIR-1252AG (IOS 12.4 (10b) JDA3), и я должен предоставить как WEP128 wlan (для совместимости со старыми встраиваемыми устройствами, это будет идти в vlan с брандмауэром), так и WPA2 (WPA1 тоже подойдет ) wlan на том же радио 2,4 ГГц. Оба с предварительными общими ключами.
Хотя я могу установить параметры WPA в SSID, шифрование WEP, похоже, применяется ко всему радиоинтерфейсу. Я создал конфигурацию WEP с помощью мастера «экспресс-безопасности» (смеется), а затем приступил к добавлению WPA. WPA уже работает на радио 5 ГГц (мне там не нужен wep), но мне также нужно поддерживать устройства 2,4 ГГц, и я даже не могу понять, возможно ли это вообще!
Это, вероятно, будет применяться ко многим точкам доступа Cisco AIR- * (но некоторые из них ограничены WPA1 и / или одним радио).
Соответствующая конфигурация на данный момент:
dot11 ssid my_wpa_network
authentication open
authentication key-management wpa version 2
guest-mode
infrastructure-ssid optional
wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
authentication open
!
interface Dot11Radio0
encryption key 1 size 128bit 7 [...cut...] transmit-key
encryption mode wep mandatory
ssid my_wep_network
[... other stuff here ...]
!
interface Dot11Radio1
encryption mode ciphers aes-ccm
ssid my_wpa_network
[... other stuff here ...]
Я хочу получить SSID WEP с psk на Radio0 (не транслируется) и SSID WPA2 (или WPA + WPA2, или WPA) с psk на Radio0 и Radio1 (транслируется).
Я считаю, что вам нужно использовать VLAN для настройки различных типов аутентификации / шифрования для отдельных SSID на одном и том же радио. Например
dot11 ssid my_wpa_network
vlan 1
authentication open
authentication key-management wpa version 2
guest-mode
infrastructure-ssid optional
wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
vlan 2
authentication open
!
interface Dot11Radio0
encryption vlan 1 mode ciphers aes-ccm
encryption vlan 2 key 1 size 128bit 7 [...cut...] transmit-key
encryption vlan 2 mode wep mandatory
ssid my_wep_network
ssid my_wpa_network
[... other stuff here ...]
!
interface Dot11Radio0.1
encapsulation dot1q 1 native
bridge-group 1
!
interface Dot11Radio0.2
encapsulation dot1q 2
bridge-group 2
!
interface Dot11Radio1
encryption vlan 1 mode ciphers aes-ccm
ssid my_wpa_network
[... other stuff here ...]
!
interface Dot11Radio1.1
encapsulation dot1q 1 native
bridge-group 1
!
interface FastEthernet0.1
encapsulation dot1q 1 native
bridge-group 1
!
interface FastEternet0.2
encapsulation dot1q 2
bridge-group 2
Если вы не используете VLAN на проводной стороне, я обнаружил, что вы можете настроить оператор группы моста для других подинтерфейсов радио, чтобы отразить собственную группу моста 1 и заставить их все подключаться к одной локальной сети уровня 2, но это не поддерживаемая конфигурация Cisco.
У вас может быть несколько SSID на одном радиомодуле, но похоже, что вам не хватает некоторых настроек VLAN. Итак, если вы хотите объединить несколько VLANS, это будет примерно так:
dot11 ssid my_wpa_network
vlan 111
authentication open
authentication key-management wpa version 2
guest-mode
infrastructure-ssid optional
wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
vlan 666
authentication open
!
interface Dot11Radio0
no ip address
no ip route-cache
encryption vlan 666 key 1 size 128bit 7 [...cut...] transmit-key
encryption vlan 666 mode wep [..cut..]
encryption vlan 111 mode ciphers aes-ccm
interface Dot11Radio0.1
encapsulation dot1Q 666
bridge-group 666
encryption key 1 size 128bit 7 [...cut...] transmit-key
encryption mode wep mandatory
ssid my_wep_network
[... other stuff here ...]
!
interface Dot11Radio0.2
encapsulation dot1Q 111
bridge-group 111
encryption mode ciphers aes-ccm
ssid my_wpa_network
[... other stuff here ...]
!
interface FastEthernet0.1
encapsulation dot1Q 666
bridge-group 666
[... other stuff here ...]
!
interface FastEthernet0.2
encapsulation dot1Q 111
bridge-group 111
[... other stuff here ...]