Cisco Aironet 1042 多 SSID 单 VLAN 中继问题

网络工程 思科 局域网 切入点 hp-procurve 空中网
2022-03-05 03:20:19

我继承了一些 Cisco Aironet 1042 胖 AP 和平面单 VLAN (10) 的网络设计。

为了提供多个 SSID,思科坚持为每个 SSID 设置一个 VLAN。

通过将接口放置在网桥组上,当 AP 连接到 Cisco 上的简单端口时,我能够提供跨所有三个 SSID 的网络访问,LAN 配置为:

switchport access vlan 10
switchport mode access

或者在配置为的 HP ProCurve 上

untagged

但是,我有一个 AP(而是一个位置 - 它发生在任何插入的 AP 上),它连接在两个拒绝通过流量的交换机后面 - 除非我前面有一个哑交换机。连接到交换机的所有其他 AP 都没有问题 - 包括连接在另一台交换机后面的 AP。

这让我觉得愚蠢的交换机正在剥离 VLAN 标识?这是否将其默认推送到 VLAN 1?鉴于 AP 在哑开关后面工作得很好,但在开关上却不能正常工作,我看不出它是如何工作的。

我不知道如何让这个 AP 在没有哑开关的情况下工作在两个开关后面。

AP 插入到另一个交换机上的交换机上,并且交换机之间的连接是未标记的上行链路。

这是我的配置。想法?

T-0060#show running-config
Building configuration...

Current configuration : 4101 bytes
!
! Last configuration change at 11:26:47 EDT Sun Aug 14 2016 by newlifeadmin
! NVRAM config last updated at 11:21:11 EDT Sun Aug 14 2016
! NVRAM config last updated at 11:21:11 EDT Sun Aug 14 2016
version 15.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname T-0060
!
!
logging rate-limit console 9
enable secret 5 #SECRET#
!
no aaa new-model
clock timezone EST -5 0
clock summer-time EDT recurring
no ip source-route
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid RN Faculty
   vlan 10
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 #SECRET#
!
dot11 ssid RN Guest
   vlan 30
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 #SECRET#
!
dot11 ssid RN Students
   vlan 20
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 #SECRET#
!
!
!
no ipv6 cef
!
!
username #SECRET# password 7 #SECRET#
username #SECRET# privilege 15 password 7 #SECRET#
username #SECRET# privilege 15 password 7 #SECRET#
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption vlan 10 mode ciphers aes-ccm tkip
 !
 encryption vlan 20 mode ciphers aes-ccm tkip
 !
 encryption vlan 30 mode ciphers aes-ccm tkip
 !
 ssid RN Faculty
 !
 ssid RN Guest
 !
 ssid RN Students
 !
 antenna gain 0
 mbssid
 station-role root
!
interface Dot11Radio0.10
 encapsulation dot1Q 10 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.30
 encapsulation dot1Q 30
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 encryption vlan 20 mode ciphers aes-ccm tkip
 !
 encryption vlan 10 mode ciphers aes-ccm tkip
 !
 encryption vlan 30 mode ciphers aes-ccm tkip
 !
 ssid RN Faculty
 !
 ssid RN Guest
 !
 ssid RN Students
 !
 antenna gain 0
 peakdetect
 dfs band 3 block
 mbssid
 channel dfs
 station-role root
!
interface Dot11Radio1.10
 encapsulation dot1Q 10 native
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.20
 encapsulation dot1Q 20
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.30
 encapsulation dot1Q 30
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
 no ip address
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 mac-address ccef.484c.bab0
 ip address 192.168.1.60 255.255.255.0
!
ip default-gateway 192.168.1.254
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
bridge 1 route ip
!
!
!
line con 0
 login local
line vty 0 4
 login local
 transport input all
!
end

T-0060#
2个回答

如果你想做一个快速而肮脏的黑客攻击,只需在交换机上将 VLAN 环回彼此。只需在 VLAN10 中添加两个未标记/访问端口,一个用于 VLAN20 和 VLAN30,然后将端口修补在一起。

非常丑陋,非常粗略,但只要您没有启用生成树,它就可以工作(即使您在端口上放置 BPDU 过滤,它也可以工作)。但正如其他人已经说过的那样,拥有多个 SSID 的目的是分离流量,如果您将所有内容都输入同一个网络,那么拥有多个 SSID 并没有任何意义。

此 AP 直接连接到 HP 交换机,根本没有 VLAN 设置,而不是未标记。不是最佳解决方案,但无需对 AP/交换机/VLAN 进行任何更改即可实现所有目标。

对我来说,解决方案是删除端口上未标记的 VLAN。

其它你可能感兴趣的问题
上一篇ARP中如何处理网桥? 下一篇网络到子网的转换