Deux SSID pour le même VLAN - des problèmes?

9

Je veux tester 802.1x sur un SSID de test. Je n'étais pas sûr que la création d'un SSID de test associé à un VLAN auquel un autre SSID est déjà associé causerait un problème avec le client confronté au SSID.

Ex. SSID 1 = VLAN 1 SSID 2 = VLAN 1 - a des configurations spécifiques 802.1x

cisco AL
la source
2
sur quels fournisseurs et versions de firmware essayez-vous? qu'utilisez-vous pour le serveur d'authentification?
Mike Pennington
Fournisseurs - Cisco 1142 AP (autonomes) - pour l'authentification - envisagez d'utiliser un Windows DC, exécutant IAS!
AL
Quelle est la valeur du test 802.1X avec le même SSID?
generalnetworkerror

Réponses:

9

Cisco n'autorisera pas plus d'un SSID par VLAN par interface utilisant des points d'accès autonomes. Je ne peux pas répondre pour les WLC, mais je suppose la même chose.

Si vous avez un seul point d'accès radio, je recommande d'avoir un VLAN de test pour aller avec le SSID de test, puis d'avoir votre route de routeur entre les VLAN.

Message AP lors d'une tentative:

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#dot11 ssid Example
(config-ssid)#vlan 21
Warning: Vlan 21 already mapped to SSID Guest. SSIDs with same vlan association cannot be attached to the same interface.

(config-ssid)#

À l'origine, je prenais cela comme un à un, mais quand je l'ai essayé sur un AP à double radio, j'ai pu remplacer le SSID invité sur la radio 5 GHz:

(config-ssid)#int D1
(config-if)#no ssid Guest
(config-if)#ssid Example
(config-if)#exit
(config)#exit

#sh dot11 bssid
Interface      BSSID         Guest  SSID
Dot11Radio0   0026.0bXX.XXXX  Yes  Guest
Dot11Radio1   0007.7dXX.XXXX  No   Example

#

EDIT: Corrigé moi-même, cela fonctionne sur un double AP radio, mais pas sur une seule radio

some_guy_long_gone
la source
3
Pour info sur un WLC, vous pouvez attribuer plusieurs SSID à un seul VLAN. Cependant, sur un WLC - vous n'affectez pas vraiment le SSID au VLAN, mais vous l'affectez plutôt à un groupe d'interface qui, ensuite, s'assigne au vlan approprié via le marquage ou le natif .... vous pouvez également spécifier des ports de sauvegarde aussi!
knotseh
Merci pour l'info hestonk! Je n'ai pas encore eu l'occasion d'utiliser un WLC. Bientôt je l'espère! L'expérience serait un bel ajout.
some_guy_long_gone
donc je viens en fait de rencontrer ce problème exact sur un AP double bande - Vous pouvez avoir 2 SSID différents fonctionnant sur le même vlan CEPENDANT, car ils s'exécutent sur des radios différentes. J'ai toujours le même problème que l'OP où vous ne pouvez pas exécuter différents SSID sur les mêmes VLAN .... ennuyeux!
knotseh
3

Je ne sais pas si c'est une meilleure pratique, mais nous avons de nombreux SSID sur un seul VLAN ... Certains utilisent le même pool DHCP, d'autres en utilisent un autre. (Nous utilisons plusieurs SSID pour implémenter les différences de politique et les paramètres d'authentification.) C'est sur une série WLC 5500.

Will Dennis
la source
1

Mon expérience a été que plus d'un SSID sur un VLAN, chacun avec un type de cryptage différent, n'est pas possible sur un AP autonome (12.4 (x)). Nous le faisons tout le temps sur les points d'accès légers contrôlés par WLC. Par exemple, un SSID avec WPA2-Enterprise avec cryptage 802.1x PEAP-MSCHAPv2 et AES, un deuxième SSID avec clé pré-partagée WPA avec cryptage TKIP et un troisième SSID avec WEP-128.

Maintenant, vous pouvez remettre en question l'opportunité de le faire sur un VLAN, mais cela fonctionne. Une justification est que vous devez utiliser certains appareils anciens avec des appareils modernes. Configurez les anciens appareils avec les anciennes méthodes d'authentification et de cryptage et configurez les appareils modernes avec les méthodes les plus récentes. Une fois que vous vous êtes débarrassé des anciens appareils, vous pouvez supprimer les anciens SSID et vos appareils modernes n'ont pas à changer. Mieux que d'utiliser WEP-128 comme dénominateur commun le plus bas pour tout le monde dès le départ.

Matt Woodling
la source
Sur un point d'accès autonome, même le retour d'un ID de VLAN attribué par RADIUS qui appartient déjà à un SSID différent entraînera l'échec de la connexion.
Monstieur