Dois SSIDs para a mesma VLAN - problemas?

9

Quero testar o 802.1x em um SSID de teste. Não tinha certeza se fazer um SSID de teste associado a uma VLAN que já possui outro SSID associado causaria um problema ao cliente que enfrentasse o SSID.

Ex. SSID 1 = VLAN 1 SSID 2 = VLAN 1 - possui configurações específicas do 802.1x

cisco AL
fonte
2
em quais fornecedores e versões de firmware você está testando? o que você está usando para o servidor de autenticação?
precisa
Os fornecedores - os Cisco 1142 AP (autônomos) - para autenticação - planejam usar um Windows DC, executando o IAS!
AL
Qual o valor do teste 802.1X com o mesmo SSID?
generalnetworkerror

Respostas:

9

A Cisco não permitirá mais de um SSID por VLAN por interface usando APs autônomos. Não posso responder por WLCs, mas eu assumiria a mesma coisa.

Se você tiver um único AP de rádio, recomendo ter uma VLAN de teste para acompanhar o SSID de teste e, em seguida, ter sua rota de roteador entre as VLANs.

Mensagem do AP ao tentar:

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#dot11 ssid Example
(config-ssid)#vlan 21
Warning: Vlan 21 already mapped to SSID Guest. SSIDs with same vlan association cannot be attached to the same interface.

(config-ssid)#

Originalmente, eu peguei isso como um para um, mas quando tentei em um AP de rádio duplo, fui capaz de substituir o SSID Convidado no rádio de 5Ghz:

(config-ssid)#int D1
(config-if)#no ssid Guest
(config-if)#ssid Example
(config-if)#exit
(config)#exit

#sh dot11 bssid
Interface      BSSID         Guest  SSID
Dot11Radio0   0026.0bXX.XXXX  Yes  Guest
Dot11Radio1   0007.7dXX.XXXX  No   Example

#

EDIT: Corrigido, ele funciona em um rádio duplo AP, mas não em rádio único

some_guy_long_gone
fonte
3
FYI em um WLC, você pode atribuir vários SSIDs a uma única VLAN. No entanto, em um WLC - você não está realmente atribuindo o SSID à VLAN, mas atribuindo-o a um grupo de interfaces que, em seguida, se atribui à vlan apropriada por meio de marcação ou nativa .... você também pode especificar portas de backup!
knotseh
Obrigado pela informação hestonk! Ainda não tive a oportunidade de usar um WLC. Espero que em breve! A experiência seria uma boa adição.
some_guy_long_gone
então, na verdade, acabei de me deparar com esse problema exato em um AP de banda dupla - você pode ter 2 SSIDs diferentes rodando na mesma vlan NO ENTANTO, porque eles estão rodando em rádios diferentes. Eu ainda tenho o mesmo problema do OP, onde você não pode executar SSIDs diferentes nas mesmas VLANs ... irritante!
knotseh
3

Não temos certeza se é uma prática recomendada, mas temos muitos SSIDs em uma única VLAN ... Alguns usam o mesmo pool DHCP, outros usam outro. (Nós usamos vários SSIDs para implementar diferenças de política e configurações de autenticação.) Isto está em uma série WLC 5500.

Will Dennis
fonte
1

Minha experiência foi que mais de um SSID em uma VLAN, cada um com um tipo diferente de criptografia, não é possível em um AP autônomo (12.4 (x)). Fazemos isso o tempo todo em APs leves controlados por WLC. Por exemplo, um SSID com WPA2-Enterprise com criptografia 802.1x PEAP-MSCHAPv2 e AES, um segundo SSID com chave pré-compartilhada WPA com criptografia TKIP e um terceiro SSID com WEP-128.

Agora, você pode questionar a propriedade de fazer isso em uma VLAN, mas funciona. Uma justificativa é que você deve usar alguns dispositivos antigos junto com dispositivos modernos. Configure os dispositivos antigos com os métodos de autenticação e criptografia mais antigos e configure os dispositivos modernos com os métodos mais recentes. Depois de se livrar dos dispositivos mais antigos, você pode excluir os SSIDs antigos e seus dispositivos modernos não precisam ser alterados. Melhor do que usar o WEP-128 como o menor denominador comum para todos, desde o início.

Matt Woodling
fonte
Em um AP autônomo, até o retorno de um ID de VLAN atribuído ao RADIUS que já pertence a um SSID diferente fará com que a conexão falhe.
Monstieur