https://opennet.ru/openforum/vsluhforumID6/23789.html Здравствуйте.<br>В компании имеются точки доступа cisco ap1130<br>Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им выход в интернет.<br>Ранее мне посоветовали на форуме сделать схему с использованием 802.1x<br>Но в таком случае я так понимаю давать точкой доступа гостевой vlan (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь сам порт в который воткнута точка так переводить в другой vlan. Но это по понятным причинам не подходит<br>Подскажите так ли это?как можно решить сей вопрос?<br> https://opennet.ru/openforum/vsluhforumID6/23789.html#13 Fri, 25 May 2012 07:15:13 GMT Если быть внимательным то конфиг не один в один - у Вас неправильный вот и не работает DHCP в первом влане :) Если что-то не получается то зайди через веб морду там более расширенная информация :) <br> https://opennet.ru/openforum/vsluhforumID6/23789.html#12 Fri, 25 May 2012 06:51:30 GMT &gt;[оверквотинг удален]<br>&gt; no bridge-group 1 source-learning <br>&gt; bridge-group 1 spanning-disabled <br>&gt; !<br>&gt; interface FastEthernet0.648 <br>&gt; encapsulation dot1Q 648 <br>&gt; no ip route-cache <br>&gt; no cdp enable <br>&gt; bridge-group 255 <br>&gt; no bridge-group 255 source-learning <br>&gt; bridge-group 255 spanning-disabled <br><br>Спасибо! У меня конфиг получился один в один, только раздать DHCP в первый vlan не получилось. Пришлось делать 2, один гостевой а другой под вайфай клиентов в оба раздает адреса cisco 1841. Тема закрыта!<br> https://opennet.ru/openforum/vsluhforumID6/23789.html#11 Fri, 25 May 2012 06:23:38 GMT Вот правильный конфиг с mbssid<br><br>dot11 vlan-name Native vlan 1<br>dot11 vlan-name ODS-Fisch.Access-v648 vlan 648<br>!<br>dot11 ssid Interlink<br> vlan 1<br> authentication open <br> authentication key-management wpa version 2<br> infrastructure-ssid<br> wpa-psk ascii 7 xxx<br> no ids mfp client<br>!<br>dot11 ssid Interlink-N<br> vlan 648<br> authentication open <br> authentication key-management wpa version 2<br> mbssid guest-mode dtim-period 1<br> wpa-psk ascii 7 xxx<br>!<br>bridge irb<br>!<br>!<br>interface Dot11Radio0<br> no ip address<br> no ip route-cache<br> !<br> encryption mode ciphers aes-ccm <br> !<br> encryption vlan 1 mode ciphers aes-ccm <br> !<br> encryption vlan 648 mode ciphers aes-ccm <br> !<br> ssid Interlink<br> !<br> ssid Interlink-N<br> !<br> traffic-metrics aggregate-report<br> mbssid<br> speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0<br> power local 11<br> packet max-retries 3 0 fail-threshold 100 500 priority 5 drop-packet<br> packet max-retries 3 0 fail-t https://opennet.ru/openforum/vsluhforumID6/23789.html#10 Mon, 21 May 2012 04:43:38 GMT &gt; Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с <br>&gt; WPA-PSK.<br>&gt; Карточки с паролем на ресепшене выдавать.<br><br>ну опять же все упирается в точку доступа которая должна вещать 2 ssid с разными vlan. у меня пока с этим затруднения, DHCP в них почему то не отдается.<br>вот конфиг точки<br><br>ap#sh run<br>Building configuration...<br><br>Current configuration : 3146 bytes<br>!<br>version 12.3<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname ap<br>!<br>enable secret 5 xxxxxxxxxxxxxxxxxx<br>!<br>led display alternate<br>ip subnet-zero<br>!<br>!<br>no aaa new-model<br>dot11 mbssid<br>dot11 vlan-name AIR vlan 1<br>dot11 vlan-name GUEST vlan 102<br>!<br>dot11 ssid AIR<br> vlan 1<br> authentication open<br> authentication key-management wpa<br> mbssid guest-mode<br> wpa-psk ascii 7 xxxxxxxxxxx<br>!<br>dot11 ssid GUEST<br> vlan 102<br> authentication open<br> authentication key-management wpa<br> mbssid guest-mode<br> wpa-psk ascii 7 xxxxxxxxx<br>!<br>power inline neg https://opennet.ru/openforum/vsluhforumID6/23789.html#9 Fri, 18 May 2012 11:32:28 GMT Да сделай отдельную сеть SSID в отдельном DMZ VLAN для гостей с WPA-PSK. <br>Карточки с паролем на ресепшене выдавать.<br> https://opennet.ru/openforum/vsluhforumID6/23789.html#8 Fri, 18 May 2012 08:38:58 GMT &gt;Есть 2 современных и широко используемых метода:<br>&gt;1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в &gt;поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой &gt;квалификации сотрудтиков поддержки. Периодически возникают проблемы.<br>&gt;2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри &gt;SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный &gt;вариант, и много лучше PSK. Бес проблемно работает с большинством современных устройств &gt;и гаджетов. Машинная аутентификация для доменных компов так же нормально работает на &gt;основе учетной записи компьютера.<br><br>Тут я так понимаю нужны дополнителоьные манипуляции со стороны клиента, тоесть добавление ему новой сети, неподходит так как необходимо максимально просто все реальзовать. Человек пришел - подключился, без доп. настроек<br><br>&gt; Для автономных точек, на сколько я знаю - нет. А зачем <br>&gt; для гостей назначать VLAN? У тебя же и так отдельный SSID https://opennet.ru/openforum/vsluhforumID6/23789.html#7 Fri, 18 May 2012 07:17:07 GMT В целом по multi SSID - ты все правильно понял.<br>Еще для управления рекомендуется создать отдельный VLAN - он обязательно на точка нативный.<br><br>&gt; Думал так сделать, но <br>&gt; Я так понимаю тут нужно будет каждому юзеру ставить сертификат чтобы аутентифицироватся <br>&gt; на радиусе как устройство чтобы получить доступ в сеть?это неочень подходит. <br><br>Есть 2 современных и широко используемых метода:<br>1.) EAP-TLS - аутентификация по сертификатам. Самый безопасный, но очень сложный в поддержке и реализкации, особенно в разнообразном парке устройств, требующий высокой квалификации сотрудтиков поддержки. Периодически возникают проблемы.<br>2.) EAP-MSCHAP-v2 - аутентификация по логину/хешу пароля. Аутентификаци проходит внутри SSL тунеля, постороенного на базе сертификата сервера. По сути тоже весьма безопасный вариант, и много лучше PSK. Бес проблемно работает с большинством современных устройств и гаджетов. Машинная аутентификация для доменных компов так же нормально работает на основе учетной записи компьютера.<br><br><br>&gt;&gt; https://opennet.ru/openforum/vsluhforumID6/23789.html#6 Thu, 17 May 2012 09:38:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Но это по понятным причинам не подходит <br>&gt;&gt; Подскажите так ли это?как можно решить сей вопрос?<br>&gt; На указанной точке доступа можно сделать несколько сетей с разными SSID в <br>&gt; разных VLAN.<br>&gt; МОжно некоторые вообще без шифрования делать.<br>&gt; Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов <br>&gt; назначать.<br>&gt; Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее <br>&gt; в гостевой влан.<br>&gt; МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.<br><br>Спасибо за развернутый ответ!<br>&gt; На указанной точке доступа можно сделать несколько сетей с разными SSID в <br>&gt; разных VLAN.<br><br>Это всмысле примерно вот так?<br>1. Бью интерфейс Ge 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20<br>2. Бью интерфейс Radio 0 на 2 саба с инкапсуляцией dot1q и vlan 10 и 20, и 2 разными SSID.<br>3. Создаю 2 бриджа, и привязываю Ge 0.1 к Radio 0.1 бриджем 1, Ge 0.1 к Radio 0.2 бриджем 2<br>4. На коммутаторе перевожу порт от 1141 в режим tagged https://opennet.ru/openforum/vsluhforumID6/23789.html#5 Thu, 17 May 2012 08:07:18 GMT &gt; Здравствуйте.<br>&gt; В компании имеются точки доступа cisco ap1130 <br>&gt; Постоянно приходят клиенты со своими ноутбуками на несколько часов, необходимо давать им <br>&gt; выход в интернет.<br>&gt; Ранее мне посоветовали на форуме сделать схему с использованием 802.1x <br>&gt; Но в таком случае я так понимаю давать точкой доступа гостевой vlan <br>&gt; (в котором и будут находится клиенты не прошедшие авторизацию) невозможно!можно лишь <br>&gt; сам порт в который воткнута точка так переводить в другой vlan. <br>&gt; Но это по понятным причинам не подходит <br>&gt; Подскажите так ли это?как можно решить сей вопрос?<br><br>На указанной точке доступа можно сделать несколько сетей с разными SSID в разных VLAN.<br><br>МОжно некоторые вообще без шифрования делать.<br><br>Можно при использовании dot1x - вланы юзенрам динамически посредством радиус атрибутов назначать.<br><br>Т.е. при использвании mschap2- сделать общую гостевую учетку - и помещать ее в гостевой влан.<br><br>МОжно для сети без шифрования внешним средством прикрутить веб аутентификацию.<br>