思科无线 AP(胖)多 SSID、Radius 认证的配置命令


一、前言

上一篇文章介绍了思科胖 AP 的基本配置命令,这次来介绍下一些高级点的安全特性。

本文将介绍思科胖 AP 多 SSID 和 Radius 认证的配置命令。这些都是企业网中常用的无线安全功能。


二、网络拓扑图及说明

如图,某小型企业有三个网段,分别是服务器网段(VLAN 1)、员工网段(VLAN 100)和访客网段(VLAN 200)。其中,服务器网段(VLAN 1)的流量在交换机的 Trunk 链路上传输时不携带 VLAN 标记。

现在需要使用一个双频 AP 同时为公司员工及访客提供 Wi-Fi 接入服务。

公司员工(VLAN 100)使用的 SSID 为 Work,使用 Radius 服务器进行接入认证,认证完成后对数据进行 WPA2 AES 加密。

访客(VLAN 200)使用的 SSID 为 Guest,不进行接入认证及数据加密。

AP 只在服务器网段(VLAN 1)中配置地址,地址为 192.168.1.250/24,同时将默认网关设为交换机 VLAN 1 的 SVI 接口地址 192.168.1.1

Radius 服务器的地址为 192.168.1.254,端口为 1812,与 AP 连接的密码为 123

下面只介绍 AP 的配置。AP 的软件版本为 c1140-k9w7-mx.153-3.JD13


三、AP 的配置

3.1 配置 IP 地址和默认网关

ap(config)#interface BVI 1
ap(config-if)#ip address 192.168.1.250 255.255.255.0
ap(config-if)#exit

ap(config)#ip default-gateway 192.168.1.1

3.2 配置 Radius 服务器

ap(config)#aaa new-model  % 全局开启 AAA 功能

ap(config)#radius server SERVER_254  % 创建一个名为 SERVER_254 的 Radius 服务器
ap(config-radius-server)#address ipv4 192.168.1.254 auth-port 1812  % 配置 Radius 服务器的地址及端口
ap(config-radius-server)#key 123  % 配置 Radius 服务器的密码
ap(config-radius-server)#exit

ap(config)#aaa group server radius AAA_GROUP  % 创建一个名为 AAA_GROUP 的 AAA Radius 服务器组
ap(config-sg-radius)#server name SERVER_254  % 把刚才配置的服务器加入到组中
ap(config-sg-radius)#exit

ap(config)#aaa authentication login AUTH_LIST group AAA_GROUP  % 创建一个名为 AUTH_LIST 的 AAA 登录认证列表,使用名为 AAA_GROUP 的服务器组进行认证

3.3 配置 VLAN 及相关接口

ap(config)#dot11 vlan-name Work vlan 100  % 创建员工网段 VLAN,VLAN 名为 Work,VLAN 号为 100

ap(config)#interface gigabitEthernet 0.100  % 创建员工网段有线子接口
ap(config-subif)#encapsulation dot1Q 100  % 绑定到 VLAN 100
ap(config-subif)#bridge-group 100  % 绑定到桥接组 100
ap(config-subif)#exit

ap(config)#interface dot11Radio 0.100  % 创建员工网段 2.4G Wi-Fi 子接口
ap(config-subif)#encapsulation dot1Q 100  % 绑定到 VLAN 100
ap(config-subif)#bridge-group 100  % 绑定到桥接组 100
ap(config-subif)#exit

ap(config)#interface dot11Radio 1.100  % 创建员工网段 5G Wi-Fi 子接口
ap(config-subif)#encapsulation dot1Q 100  % 绑定到 VLAN 100
ap(config-subif)#bridge-group 100  % 绑定到桥接组 100
ap(config-subif)#exit

ap(config)#dot11 vlan-name Guest vlan 200  % 创建访客网段 VLAN,VLAN 名为 Guest,VLAN 号为 200

ap(config)#interface gigabitEthernet 0.200  % 创建访客网段有线子接口
ap(config-subif)#encapsulation dot1Q 200  % 绑定到 VLAN 200
ap(config-subif)#bridge-group 200  % 绑定到桥接组 200
ap(config-subif)#exit

ap(config)#interface dot11Radio 0.200  % 创建访客网段 2.4G Wi-Fi 子接口
ap(config-subif)#encapsulation dot1Q 200  % 绑定到 VLAN 200
ap(config-subif)#bridge-group 200  % 绑定到桥接组 200
ap(config-subif)#exit

ap(config)#interface dot11Radio 1.200  % 创建访客网段 5G Wi-Fi 子接口
ap(config-subif)#encapsulation dot1Q 200  % 绑定到 VLAN 200
ap(config-subif)#bridge-group 200  % 绑定到桥接组 200
ap(config-subif)#exit

说明
• 桥接组号可与 VLAN 号不同。
• 桥接组号的取值范围为 1-255。

3.4 配置 SSID

ap(config)#dot11 ssid Work  % 创建员工 SSID
ap(config-ssid)#vlan 100  % 绑定到 VLAN 100
ap(config-ssid)#mbssid guest-mode  % 广播 SSID,并声明该 SSID 可用在多 SSID 模式的 Wi-Fi 接口上
ap(config-ssid)#authentication open eap AUTH_LIST  % 使用名为 AUTH_LIST 的 AAA 登录认证列表对用户进行认证
ap(config-ssid)#authentication key-management wpa version 2  % 使用 WPA2 进行密钥管理
ap(config-ssid)#exit

ap(config)#dot11 ssid Guest  % 创建访客 SSID
ap(config-ssid)#vlan 200  % 绑定到 VLAN 200
ap(config-ssid)#mbssid guest-mode % 广播 SSID,并声明该 SSID 可用在多 SSID 模式的 Wi-Fi 接口上
ap(config-ssid)#authentication open  % 不进行用户认证
ap(config-ssid)#exit

说明
• SSID 名可与 VLAN 名不同。

3.5 配置 Wi-Fi 接口

ap(config)#interface dot11Radio 0  % 2.4G Wi-Fi 接口
ap(config-if)#encryption vlan 100 mode ciphers aes-ccm  % 在员工 SSID 上使用 CCMP 加密算法
ap(config-if)#mbssid  % 启用多 SSID 模式
ap(config-if)#ssid Work  % 绑定员工 SSID
ap(config-if)#ssid Guest  % 绑定访客 SSID
ap(config-if)#no shutdown
ap(config-if)#exit

ap(config)#interface dot11Radio 1  % 5G Wi-Fi 接口
ap(config-if)#encryption vlan 100 mode ciphers aes-ccm  % 在员工 SSID 上使用 CCMP 加密算法
ap(config-if)#mbssid  % 启用多 SSID 模式
ap(config-if)#ssid Work  % 绑定员工 SSID
ap(config-if)#ssid Guest  % 绑定访客 SSID
ap(config-if)#no shutdown
ap(config-if)#exit
分享到:

发表评论

电子邮件地址不会被公开。