Cisco Aironet(802.11n 型号):如何将 WEP128 ssid 和 WPA/WPA2 ssid 放在同一个无线电上?

tag-icon tag-icon cisco wifi ios access-point wpa
Cisco Aironet(802.11n 型号):如何将 WEP128 ssid 和 WPA/WPA2 ssid 放在同一个无线电上?

我使用的是 Cisco AIR-1252AG(IOS 12.4(10b)JDA3),并且必须在同一个 2.4GHz 无线电上提供 WEP128 WLAN(为了与较旧的嵌入式设备兼容,这将转到防火墙 VLAN)和 WPA2(WPA1 也可以)WLAN。两者都带有预共享密钥。

虽然我可以在 SSID 中设置 WPA 选项,但 WEP 加密似乎适用于整个无线电接口。我使用“快速安全”(lol)向导构建了 WEP 配置,然后继续添加 WPA。WPA 已经在 5GHz 无线电上运行(我不需要 wep),但我还需要支持 2.4GHz 设备,我甚至不明白这是否可能!

这可能适用于许多 Cisco AIR-* 接入点(但其中一些仅限于 WPA1 和/或单个无线电)。

目前相关配置:

dot11 ssid my_wpa_network
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   authentication open 
!
interface Dot11Radio0
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio1
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]

我想要获取 Radio0(未广播)上带有 psk 的 WEP ssid 以及 Radio0 和 Radio1(广播)上带有 psk 的 WPA2(或 WPA+WPA2 或 WPA)ssid。

答案1

我认为您必须使用 VLAN 为同一无线电上的不同 SSID 配置不同类型的身份验证/加密。例如

dot11 ssid my_wpa_network
   vlan 1
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 2
   authentication open 
!
interface Dot11Radio0
 encryption vlan 1 mode ciphers aes-ccm
 encryption vlan 2 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 2 mode wep mandatory
 ssid my_wep_network
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface Dot11Radio0.2
  encapsulation dot1q 2
  bridge-group 2
!
interface Dot11Radio1
 encryption vlan 1 mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio1.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEthernet0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEternet0.2
  encapsulation dot1q 2
  bridge-group 2

如果您在有线端没有使用 VLAN,我发现您可以调整其他无线子接口的桥接组声明以反映本机桥接组 1,并让它们全部连接到单个第 2 层 LAN,但这不是思科支持的配置。

答案2

您可以在单个无线电上设置多个 SSID,但您似乎缺少一些 VLAN 设置。因此,假设您想要中继多个 VLAN,它将类似于:

dot11 ssid my_wpa_network
   vlan 111
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 666
   authentication open 
!

interface Dot11Radio0
 no ip address
 no ip route-cache
 encryption vlan 666 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 666 mode wep [..cut..]
 encryption vlan 111 mode ciphers aes-ccm 

interface Dot11Radio0.1
 encapsulation dot1Q 666
 bridge-group 666
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio0.2
 encapsulation dot1Q 111
 bridge-group 111
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface FastEthernet0.1
 encapsulation dot1Q 666
 bridge-group 666
 [... other stuff here ...]
!
interface FastEthernet0.2
 encapsulation dot1Q 111
 bridge-group 111
 [... other stuff here ...]

相关内容