Здравствуйте.
В компании имеются точки доступа cisco ap1130
Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им выход в интернет.
Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
Но в таком случае я так понимаю давать точкой доступа гостевой vlan (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь сам порт в который воткнута точка так переводить в другой vlan. Но это по понятным причинам не подходит
Подскажите так ли это?как можно решить сей вопрос?
> как можно решить сей вопрос?Обратитесь в интегратор с четким тех заданием.
>> как можно решить сей вопрос?
> Обратитесь в интегратор с четким тех заданием.этот вариант по понятным причинам не приемлим.
> Здравствуйте.
> В компании имеются точки доступа cisco ap1130
> Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им
> выход в интернет.
> Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
> сам порт в который воткнута точка так переводить в другой vlan.
> Но это по понятным причинам не подходит
> Подскажите так ли это?как можно решить сей вопрос?Судя по всему вы плохо поняли работу 802.1x.
вам эта строка конфига ни о чем не говорит?
dot1x guest-vlan 35 !и
dot1x auth-fail vlan 35Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.
>[оверквотинг удален]
>> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
>> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
>> сам порт в который воткнута точка так переводить в другой vlan.
>> Но это по понятным причинам не подходит
>> Подскажите так ли это?как можно решить сей вопрос?
> Судя по всему вы плохо поняли работу 802.1x.
> вам эта строка конфига ни о чем не говорит?
> dot1x guest-vlan 35 !и
> dot1x auth-fail vlan 35
> Guest VLAN — VLAN в который помещаются клиенты не поддерживающие 802.1X.так работает только на коммутаторе!с коммутаторами проблем действительно нет!
Вопрос как заставить точку доступа это делать?
> Здравствуйте.
> В компании имеются точки доступа cisco ap1130
> Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им
> выход в интернет.
> Ранее мне посоветовали на форуме сделать схему с использованием 802.1x
> Но в таком случае я так понимаю давать точкой доступа гостевой vlan
> (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь
> сам порт в который воткнута точка так переводить в другой vlan.
> Но это по понятным причинам не подходит
> Подскажите так ли это?как можно решить сей вопрос?На указанной точке доступа можно сделать несколько сетей с разными SSID в разных VLAN.
МОжно некоторые вообще без шифрования делать.
Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов назначать.
Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее в гостевой влан.
МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
>[оверквотинг удален]
>> Но это по понятным причинам не подходит
>> Подскажите так ли это?как можно решить сей вопрос?
> На указанной точке доступа можно сделать несколько сетей с разными SSID в
> разных VLAN.
> МОжно некоторые вообще без шифрования делать.
> Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов
> назначать.
> Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее
> в гостевой влан.
> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.Спасибо за развернутый ответ!
> На указанной точке доступа можно сделать несколько сетей с разными SSID в
> разных VLAN.Это всмысле примерно вот так?
1. Бью интерфейс Ge 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20
2. Бью интерфейс Radio 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20, и 2 разными SSID.
3. Создаю 2 бриджа, и привязываю Ge 0.1 к Radio 0.1 бриджем 1, Ge 0.1 к Radio 0.2 бриджем 2
4. На коммутаторе перевожу порт от 1141 в режим tagged и включаю его в обе подсети.
> Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов
> назначать.
> Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее
> в гостевой влан.Думал так сделать, но
Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит.
> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.А в таком случае разве можно определять vlan?
В целом по multi SSID - ты все правильно понял.
Еще для управления рекомендуется создать отдельный VLAN - он обязательно на точка нативный.> Думал так сделать, но
> Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся
> на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит.Есть 2 современных и широко используемых метода:
1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой квалификации сотрудтиков поддержки. Периодически возникают проблемы.
2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный вариант, и много лучше PSK. Бес проблемно работает с большинством современных устройств и гаджетов. Машинная аутентификация для доменных компов так же нормально работает на основе учетной записи компьютера.
>> МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.
> А в таком случае разве можно определять vlan?Для автономных точек, на сколько я знаю - нет. А зачем для гостей назначать VLAN? У тебя же и так отдельный SSID в отдельном VLAN?
>Есть 2 современных и широко используемых метода:
>1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в >поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой >квалификации сотрудтиков поддержки. Периодически возникают проблемы.
>2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри >SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный >вариант, и много лучше PSK. Бес проблемно работает с большинством современных устройств >и гаджетов. Машинная аутентификация для доменных компов так же нормально работает на >основе учетной записи компьютера.Тут я так понимаю нужны дополнителоьные манипуляции со стороны клиента, тоесть добавление ему новой сети, неподходит так как необходимо максимально просто все реальзовать. Человек пришел - подключился, без доп. настроек
> Для автономных точек, на сколько я знаю - нет. А зачем
> для гостей назначать VLAN? У тебя же и так отдельный SSID
> в отдельном VLAN?у меня все точки вещают разные ssid но с vlan1 который по умолчанию.
Сейчас пытаюсь сделать чтобы точка вещала 2 ссида с разными vlan но чуствую пустой номер все это.Подскажи пжл каким способом лучше реализовать?
Необходимо чтобы люди с ноутбуками пришедшие в компанию подключались к точке и получали гостевой vlan тоесть другую подсеть отличную от той которую получают юзеры компании!
И все!
Вопрос безопасности не интересует вообще!
Лижбы работало...
Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с WPA-PSK.
Карточки с паролем на ресепшене выдавать.
> Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с
> WPA-PSK.
> Карточки с паролем на ресепшене выдавать.ну опять же все упирается в точку доступа которая должна вещать 2 ssid с разными vlan. у меня пока с этим затруднения, DHCP в них почему то не отдается.
вот конфиг точкиap#sh run
Building configuration...Current configuration : 3146 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
enable secret 5 xxxxxxxxxxxxxxxxxx
!
led display alternate
ip subnet-zero
!
!
no aaa new-model
dot11 mbssid
dot11 vlan-name AIR vlan 1
dot11 vlan-name GUEST vlan 102
!
dot11 ssid AIR
vlan 1
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 xxxxxxxxxxx
!
dot11 ssid GUEST
vlan 102
authentication open
authentication key-management wpa
mbssid guest-mode
wpa-psk ascii 7 xxxxxxxxx
!
power inline negotiation prestandard source
!
!
username admin password 7 xxxxxxxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption vlan 102 mode ciphers tkip
!
encryption vlan 1 mode ciphers tkip
!
ssid AIR
!
ssid GUEST
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
ip address 192.168.1.246 255.255.255.0
no ip unreachables
no ip proxy-arp
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.102
encapsulation dot1Q 102
ip address 192.168.2.100 255.255.255.0
no ip route-cache
no cdp enable
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
speed basic-6.0 9.0 basic-12.0 18.0 basic-24.0 36.0 48.0 54.0
channel dfs
station-role root access-point
world-mode legacy
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
hold-queue 160 in
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0.102
encapsulation dot1Q 102
no ip route-cache
bridge-group 102
bridge-group 102 subscriber-loop-control
bridge-group 102 block-unknown-source
no bridge-group 102 source-learning
no bridge-group 102 unicast-flooding
bridge-group 102 spanning-disabled
!
interface BVI1
ip address 192.168.1.247 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.251
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
!
endvlan 1 b vlan 102 подняты на главном маршрутизаторе. в 102 раздает циска DHCP а в vlan1 - DC.
а вот порт коммутатора просто в транк, так как распилить интерфейс не получается изза отсутсвия адекватной команднеой строки...
Вот правильный конфиг с mbssiddot11 vlan-name Native vlan 1
dot11 vlan-name ODS-Fisch.Access-v648 vlan 648
!
dot11 ssid Interlink
vlan 1
authentication open
authentication key-management wpa version 2
infrastructure-ssid
wpa-psk ascii 7 xxx
no ids mfp client
!
dot11 ssid Interlink-N
vlan 648
authentication open
authentication key-management wpa version 2
mbssid guest-mode dtim-period 1
wpa-psk ascii 7 xxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
encryption vlan 1 mode ciphers aes-ccm
!
encryption vlan 648 mode ciphers aes-ccm
!
ssid Interlink
!
ssid Interlink-N
!
traffic-metrics aggregate-report
mbssid
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
power local 11
packet max-retries 3 0 fail-threshold 100 500 priority 5 drop-packet
packet max-retries 3 0 fail-threshold 100 500 priority 6 drop-packet
packet speed 5.5 11.0 6.0 12.0 24.0 priority 6
channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
station-role root access-point
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio0.648
encapsulation dot1Q 648
no ip route-cache
no cdp enable
bridge-group 255
bridge-group 255 subscriber-loop-control
bridge-group 255 block-unknown-source
no bridge-group 255 source-learning
no bridge-group 255 unicast-flooding
bridge-group 255 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0.1
encapsulation dot1Q 1 native
no ip route-cache
no cdp enable
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface FastEthernet0.648
encapsulation dot1Q 648
no ip route-cache
no cdp enable
bridge-group 255
no bridge-group 255 source-learning
bridge-group 255 spanning-disabled
>[оверквотинг удален]
> no bridge-group 1 source-learning
> bridge-group 1 spanning-disabled
> !
> interface FastEthernet0.648
> encapsulation dot1Q 648
> no ip route-cache
> no cdp enable
> bridge-group 255
> no bridge-group 255 source-learning
> bridge-group 255 spanning-disabledСпасибо! У меня конфиг получился один в один, только раздать DHCP в первый vlan не получилось. Пришлось делать 2, один гостевой а другой под вайфай клиентов в оба раздает адреса cisco 1841. Тема закрыта!
Если быть внимательным то конфиг не один в один - у Вас неправильный вот и не работает DHCP в первом влане :) Если что-то не получается то зайди через веб морду там более расширенная информация :)