Dos SSID para la misma VLAN: ¿problemas?

9

Quiero probar 802.1x en un SSID de prueba. No estaba seguro de si hacer un SSID de prueba asociado a una VLAN que ya tiene otro SSID asociado causaría un problema con el cliente que enfrenta SSID.

Ex. SSID 1 = VLAN 1 SSID 2 = VLAN 1 - tiene configuraciones específicas 802.1x

cisco Alabama
fuente
2
¿Qué proveedores y versiones de firmware estás probando? ¿Qué estás usando para el servidor de autenticación?
Mike Pennington
Proveedores - Cisco 1142 AP's (autónomos) - para autenticación - ¡planeen usar un Windows DC, ejecutando IAS!
AL
¿Qué valor tiene la prueba 802.1X con el mismo SSID?
generalnetworkerror

Respuestas:

9

Cisco no permitirá más de un SSID por VLAN por interfaz utilizando AP autónomos. No puedo responder por WLC, pero supongo que es lo mismo.

Si tiene un solo AP de radio, le recomiendo tener una VLAN de prueba para que coincida con el SSID de prueba y luego tener la ruta de su enrutador entre las VLAN.

Mensaje AP al intentar:

#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
(config)#dot11 ssid Example
(config-ssid)#vlan 21
Warning: Vlan 21 already mapped to SSID Guest. SSIDs with same vlan association cannot be attached to the same interface.

(config-ssid)#

Originalmente tomé esto como uno a uno, pero cuando lo probé en un AP de radio dual pude reemplazar el SSID de invitado en la radio de 5Ghz:

(config-ssid)#int D1
(config-if)#no ssid Guest
(config-if)#ssid Example
(config-if)#exit
(config)#exit

#sh dot11 bssid
Interface      BSSID         Guest  SSID
Dot11Radio0   0026.0bXX.XXXX  Yes  Guest
Dot11Radio1   0007.7dXX.XXXX  No   Example

#

EDITAR: me corrigió, funciona en un AP de radio dual, pero no en un solo radio

some_guy_long_gone
fuente
3
Para su información en un WLC, puede asignar múltiples SSID a una sola VLAN. Sin embargo, en un WLC: en realidad no está asignando el SSID a la VLAN, sino que lo está asignando a un grupo de interfaz que luego se asigna al vlan apropiado mediante etiquetado o nativo ... ¡también puede especificar puertos de respaldo también!
knotseh
Gracias por la información hestonk! Todavía no he tenido la oportunidad de usar un WLC. ¡Espero que pronto! La experiencia sería una buena adición.
some_guy_long_gone
así que en realidad acabo de encontrar este problema exacto en un AP de doble banda: puede tener 2 SSID diferentes ejecutándose en el mismo vlan SIN EMBARGO, eso es porque se ejecutan en diferentes radios. Todavía tengo el mismo problema que el OP, donde no puedes ejecutar diferentes SSID en las mismas VLAN ... ¡molesto!
knotseh
3

No estoy seguro de si es una buena práctica, pero tenemos muchos SSID en una sola VLAN ... Algunos usan el mismo grupo de DHCP, otros usan uno separado. (Utilizamos múltiples SSID para implementar diferencias de políticas y configuraciones de autenticación). Esto se encuentra en una serie WLC 5500.

Will Dennis
fuente
1

Mi experiencia ha sido que más de un SSID en una VLAN, cada uno con un tipo diferente de cifrado, no es posible en un AP autónomo (12.4 (x)). Lo hacemos todo el tiempo en AP ligeros controlados por WLC. Por ejemplo, un SSID con WPA2-Enterprise con cifrado 802.1x PEAP-MSCHAPv2 y AES, un segundo SSID con clave precompartida WPA con cifrado TKIP y un tercer SSID con WEP-128.

Ahora, puede cuestionar la conveniencia de hacer esto en una VLAN, pero funciona. Una justificación es que debe usar algunos dispositivos antiguos junto con dispositivos modernos. Configure los dispositivos antiguos con los métodos de autenticación y cifrado más antiguos y configure los dispositivos modernos con los métodos más nuevos. Una vez que elimine los dispositivos más antiguos, puede eliminar los SSID antiguos y sus dispositivos modernos no tienen que cambiar. Mejor que usar WEP-128 como el mínimo común denominador para todos desde el principio.

Matt Woodling
fuente
En un AP autónomo, incluso devolver una ID de VLAN asignada por RADIUS que ya pertenece a un SSID diferente hará que falle la conexión.
Monstieur el