MultiSSID на CISCO точках доступа с разносом по разным VLAN
Все современные точки доступа от компании Cisco поддерживают работу в режиме MultiSSID. Но так как мне частенько говорят, что пробовали и не завелось, то я решил опять-таки опубликовать небольшую заметку с шаблоном настройки точек доступа Cisco, для экспериментов возьму довольно дешёвую точку доступа AIR AP1041N-E-K9. Как видно из названия — это одно диапазонная точка доступа работающая в режиме IEEE 802.11n (WiFi 4).
Для того, чтобы понять всю суть работы точек доступа от Cisco надо понимать, что есть радиоинтерфейсы и проводные интерфейсы. Между собой их можно объединять транковыми интерфейсами BVI. О том как работать с BVI написана масса статей в интернете, а так же эта функция обязательна к изучению для работы в сложных сетях. Если мне не будет лень, то я могу затронуть и этот вопрос. Для начала надо определиться со схемой подключения. Она будет классической для мелких офисов. Мы создадим две виртуальные сети на базе одной аппаратной точки доступа. Допустим — это будут сети: MYCOMPANY и MYGUEST.
Так как мы работаем с одной физической точкой, то вся физика у этих виртуальных точек будет одинаковая: частота (номер канала), ширина полосы, скорость пропускания и усиление антенн.
Следующий камень преткновения. У нас создано несколько точек доступа, а дырка в сеть — одна. Прямо как в том анекдоте про блондинок: «но как ездить на машинке если ножки две, а педальки — три». И тут на помощь приходит технология VLAN. Свитч к которому будет подключаться наша точка доступа должна уметь работать с VLAN. Так же не забывайте настроить порт свитча в режим транк и разрешить проброс выбранных вами VLAN. Задача сродни пробросу VLAN на Raspberry и настройка порта — это три строчки конфигурации. Нам никто не мешает выпустить обе виртуальные точки в одну сеть, но тогда теряется весь смысл двух виртуальных точек.
Теперь перейдём к логической части. Вируальная точка доступа с именем MYCOMPANY будет объединена с VLAN номер 1 (нативный тэгированный VLAN) через BVI номер 1. Вторая виртуальная точка с именем MYGUEST будет объединена с VLAN номер 32 через BVI с номером 32.
Список команд которые следует выполнить на точке доступа вот такие (комментарии в тексте):
interface Dot11Radio0 !обозначили, что данное устройство выступает в качестве точки доступа station-role root access-point !включили на данном интерфейсе поддержку нескольких SSID mbssid !включили для vlan 1 шифрование WPA AES CCMP никаких старых TKIP encryption vlan 1 mode ciphers aes-ccm !включили для vlan 32 шифрование WPA AES CCMP никаких старых TKIP encryption vlan 32 mode ciphers aes-ccm ssid MYCOMPANY vlan 1 authentication open authentication key-management wpa version 2 wpa-psk ascii Password-1 exit ssid MYGUEST vlan 32 authentication open authentication key-management wpa version 2 wpa-psk ascii Password-2 exit !Выход из interface Dot11Radio0 exit ! Первый VLAN interface Dot11Radio0.1 description LOCAL-NETWORK encapsulation dot1Q 1 native exit ! 32 VLAN interface Dot11Radio0.32 description GUESTS-NETWORK encapsulation dot1Q 32 bridge-group 32 bridge-group 32 subscriber-loop-control bridge-group 32 block-unknown-source no bridge-group 32 source-learning no bridge-group 32 unicast-flooding bridge-group 32 spanning-disabled exit ! Первый VLAN interface GigabitEthernet0.1 encapsulation dot1Q 1 native exit ! 32 VLAN interface GigabitEthernet0.32 encapsulation dot1Q 32 bridge-group 32 no bridge-group 32 source-learning bridge-group 32 spanning-disabled exit ! настроим скорость для G и N диапазона interface Dot11Radio0 speed basic-11.0 6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0 m0-7 m8-15 no shutdown exit ! Трансляция SSID dot11 ssid MYCOMPANY mbssid guest-mode exit ! Трансляция SSID dot11 ssid MYGUEST mbssid guest-mode exit dot11 vlan-name NETWORK-LAN vlan 1 dot11 vlan-name NETWORK-GUEST vlan 32 ! Для управления точкой прописываем получение адреса interface BVI1 ip dhcp client client-id ascii WIFI.AP ! отключаем работу с IPv6 т.к. в РФ его мало кто использует no ipv6 enable no ipv6 address dhcp no ipv6 address autoconfig exit bridge 32 route ip
Если возникнут вопросы, то можно их задавать в комментариях, у меня есть еще несколько подобных точек доступа и они настраиваются однотипно. Разве, что радиоинтерфейсы могут иметь разные номера, например, Dot11Radio0 — это 2.4 ГГц, а Dot11Radio1 — это 5 ГГц. Можно разносить точки доступа по частотам (если они двухдиапазонные), либо по виртуальным SSID используя MultiSSID. А можно на каждом диапазоне создать по две виртуальные точки доступа получив в итоге аж 4 SSID в вашем эфире.
Отредактировано:2021-10-14 13:18:53