主页 / server / 问题 / 119242
Accepted
Luke404
Asked: 2010-03-05 08:54:15 +0800 CST

Cisco Aironet(802.11n 型号):如何将 WEP128 ssid 和 WPA/WPA2 ssid 放在同一个无线电上?

  • 772

我正在使用 Cisco AIR-1252AG (IOS 12.4(10b)JDA3),我必须同时提供 WEP128 wlan(为了与旧的嵌入式设备兼容,这将转到防火墙 vlan)和 WPA2(WPA1 也可以) wlan 在同一个 2.4GHz 无线电上。两者都具有预共享密钥。

虽然我可以在 SSID 中设置 WPA 选项,但 WEP 加密似乎适用于整个无线电接口。我已经使用“快速安全”(lol) 向导构建了 WEP 配置,然后继续添加 WPA。WPA 已经在 5GHz 无线电上工作(我不需要在那里哭泣),但我还需要支持 2.4GHz 设备,我什至不明白这是否应该可行!

这可能适用于许多 Cisco AIR-* 接入点(但其中一些仅限于 WPA1 和/或单个无线电)。

到目前为止的相关配置:

dot11 ssid my_wpa_network
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   authentication open 
!
interface Dot11Radio0
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio1
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]

我想在 Radio0(未广播)上获得带有 psk 的 WEP ssid,在 Radio0 和 Radio1(已广播)上获得带有 psk 的 WPA2(或 WPA+WPA2 或 WPA)ssid。

cisco wifi wpa ios access-point

2 个回答

  1. Best Answer

    我相信您必须使用 VLAN 为同一无线电上的单独 SSID 配置不同类型的身份验证/加密。例如

    dot11 ssid my_wpa_network
   vlan 1
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 2
   authentication open 
!
interface Dot11Radio0
 encryption vlan 1 mode ciphers aes-ccm
 encryption vlan 2 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 2 mode wep mandatory
 ssid my_wep_network
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface Dot11Radio0.2
  encapsulation dot1q 2
  bridge-group 2
!
interface Dot11Radio1
 encryption vlan 1 mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio1.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEthernet0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEternet0.2
  encapsulation dot1q 2
  bridge-group 2

    如果您没有在有线端使用 VLAN,我发现您可以调整其他无线电子接口的桥接组语句以反映本机桥接组 1,并使它们全部连接到单个第 2 层 LAN,但这不是Cisco 支持的配置。

    • 1

  2. 您可以在单个无线电上拥有多个 SSID,但您似乎缺少一些 VLAN 设置。因此,假设您要中继多个 VLAN,它将类似于:

    dot11 ssid my_wpa_network
   vlan 111
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 666
   authentication open 
!

interface Dot11Radio0
 no ip address
 no ip route-cache
 encryption vlan 666 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 666 mode wep [..cut..]
 encryption vlan 111 mode ciphers aes-ccm 

interface Dot11Radio0.1
 encapsulation dot1Q 666
 bridge-group 666
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio0.2
 encapsulation dot1Q 111
 bridge-group 111
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface FastEthernet0.1
 encapsulation dot1Q 666
 bridge-group 666
 [... other stuff here ...]
!
interface FastEthernet0.2
 encapsulation dot1Q 111
 bridge-group 111
 [... other stuff here ...]
    • 0

相关问题