Aironet 2x SSID - Filter ?

[Simon_74 10]

Hallo.

 

Dies ist mein erster Beitrag... und dazu gleich (für mich:-) eine schwierige Frage.

 

Wir haben im Produktionsnetz ein paar "AIR-AP1231G-E-K9" im Einsatz.

Dieses WLAN wurde vor 2 Jahren für Handterminals benötigt.

Ich habe dazumal diese Accesspoints per gesetztem Filter auf der WLAN-Seite "sicherer" gemacht. Als erstes ein Block-ALL, dann DHCP, Dns, Nettime, RDP zugelassen fertig.

 

"Leider":D sind die Ciscos so stabil das ich seitdem mich mit den Dingern nicht mehr befasst habe.

 

Mein Ziel:

Gerne würde ich auf 2 Aironets ein zusätzliches WLAN für üblichen Notebookbetrieb öffnen. Natürlich gerne auf selben AP's mit Hilfe zweiter SSID und einem nicht so restrikten Filter (oder wenns den sein muss gar keinem...).

 

Es gibt hier im Forum noch einen Beitrag zu diesem Thema wo es heisst,

"nur per VLAN" möglich :confused:

 

Heisst das ich muss 2 WLAN IP-Netze einrichten ??

 

Danke für hilfreiche Tips, bzw. Links dazu

mfg

[onedread 10]

Hi

 

naja du musst aufjedenfall mal auf deinen Switches ein 2 Vlan einrichten. Dann gehst du auf die APs, und setzt dort die neue SSID auf den neuem VLAN.

 

Für genauere Hilfe müsstest du mal dein Netzwerk genauer beschreiben.

 

mfg

onedread

[Nightwalker_z 10]

Hi - hast du schon mal versucht, ob die bestehende ACL überhaupt funktioniert?

Hast du die ACL incoming auf das dot11radio0 gelegt?

 

Zu deiner Frage:

Es empfiehlt sich immer zwei verschiedene Nutzergruppen bzw. Security Zone auf zwei verschiedene SSIDs zu legen. Zwei SSIDs können nicht auf dasselbe VLAN gemappt werden. Deshalb ein neues VLAN (was auch absolut Sinn macht).

Wenn du den Laptop wie im Kabelgebundenen Netz nutzen willst, wirst du mit ner ACL nicht hinkommen. Ich würde eher schauen, dass ich die WLAN Seite mit 802.1x absichere. Beispielsweise mit WPA2 + 802.1x (EAP-PEAP oder EAP-TLS).

Dafür brauchst du natürlich nen Backend Radius Server (MS IAS, FreeRadius, Cisco ACS).

 

Noch ne Frage nebenbei. Hängen die AP's etwa im ganz normalen Netz? Also auch dort wo die kabelgebundenen PC's und Server hängen? Oder ist eine Firewall dazwischen? Wie ist die Netzwerkgröße?

[Simon_74 10]

Hallo, danke für die antworten.

 

ACL funktioniert, ja.

Normales Netz-> jein, eigenes Sub. Firewall nein, da restr. Filter...

 

Die MS-Radius Variante habe ich mal angeschaut, hier stellt sich für mich aber die Frage müssen beide SSID per Radius authentifizieren oder könnte das gemischt werden ?

 

Schön wäre folgendes Szenario,

SSID1: WPA - Filter only DHCP,DNS,RDP

SSID2: IAS - ohne Filter

 

Jemand so im Einsatz ?

[onedread 10]

HI

 

ja du kannst per SSID verschiedene Verschlüsselungen verwenden. Ist kein Problem macht auch Sinn das dies funktioniert.

 

mfg

onedread

[Nightwalker_z 10]

Hier ist mal ne Beispielkonfig.

SSID1 = VLAN 10 (WPA-PSK mit TKIP)

SSID2 = VLAN 20 (WPA2 + 802.1x)

Alles nur auf dem 2,4GHz Radioteil.

 

! Bridge Group für VLAN 10
interface dot11radio0.10
encapsulation dot1q 10
bridge-group 10
!
interface FastEthernet0.10
encapsulation dot1q 10
bridge-group 10
!

! Bridge Group für VLAN 20
interface dot11radio0.20
encapsulation dot1q 20
bridge-group 20
!
interface FastEthernet0.20
encapsulation dot1q 20
bridge-group 20
!

! WPA-PSK (TKIP) SSID
dot11 ssid SSID1
vlan 10
authentication open
authentication key-management wpa
wpa-psk ascii <pre-shared key>
mbssid guest-mode !SSID Broadcasting
!

! WPA2 ENTERPRISE (802.1x) SSID
dot11 ssid SSID2
vlan 20
authentication open eap EAP_METHOD
authentication network-eap EAP_METHOD
authentication key-management wpa
mbssid guest-mode !SSID Broadcasting
!

! Configure Cipher Suites and enable SSID on Radio interface
interface dot11radio0
encryption vlan 10 mode ciphers tkip
encryption vlan 20 mode ciphers aes-ccm
ssid SSID1
ssid SSID2
!

! Configure AAA (for 802.1x)
aaa new-model
aaa authentication login EAP_METHOD group radius
radius-server host <IP address Radius Server> auth-port <1645|1812> acct-port <1646|1813> key <RADIUS-SHARED-SECRET>