Cisco AP1240多SSID配置简解

Cisco AP1240多SSID配置简解

AP1#show run

Building configuration...

Current configuration : 4658 bytes

version 12.4

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

hostname AP1

enable secret 5 $1$I255$De1oXJXRwxJ5a0eXnfiTP1

aaa new-model

aaa group server radius rad_eap

 server 10.10.102.12 auth-port 1645 acct-port 1646  \ 配置 radius 的服务器认证方式

aaa group server radius rad_mac

aaa group server radius rad_acct

 server 10.10.102.12 auth-port 1645 acct-port 1646  \ 要求 radius 的服务器的记账

aaa group server radius rad_admin

 server 10.10.102.12 auth-port 1645 acct-port 1646  \ 这个忘记什么意思了，可选配置。

aaa group server tacacs+ tac_admin

aaa group server radius rad_pmip

aaa group server radius dummy

aaa authentication login eap_methods group rad_eap

aaa authentication login mac_methods local

aaa authorization exec default local

aaa accounting network acct_methods start-stop group rad_acct

aaa session-id common

dot11 syslog

dot11 ssid cisco   \ 启用 SSID  为 cisco

   vlan 105        \VLAN 105 和 ssid 绑定

   authentication open eap eap_methods   

   authentication network-eap eap_methods 客户端的接入使用 EAP 推送， wep 的认证

   mbssid guest-mode     启用多 SSID 模式

dot11 ssid cisco-guest  \ 创建 SSID  为 cisco-guest

   vlan 106           \ 和 VLAN 106 进行绑定

   authentication open  \ 开放式

   authentication key-management wpa version 2   \ 认证方式为 wpa2

   mbssid guest-mode  \ 启用多 SSID 模式

   wpa-psk ascii 7 121808151D1C0B112F383008323721425545 \ 加密类型 wpa-psk

username Cisco password 7 01300F175804

class-map match-all guest_limit  \ 定义类

 match access-group 100       \ 匹配感兴趣的流量

policy-map guest_limit          \ 创建策略

 class guest_limit              \ 匹配类

   police cir 16000000         \ 执行动作，限制速率为 16000000bit/S

     conform-action transmit    \ 在以上速率内则允许通过，超过则丢弃

     exceed-action drop    以上的配置，在调用后，却不起作用，不知道是 AP 本身对 QOS 功能支持不够，还是自己的配置有问题。

bridge irb

interface Dot11Radio0      \ 发送无线的主接口

 no ip address

 no ip route-cache

 encryption vlan 106 mode ciphers tkip     \VLAN 106 的加密为 tkip

encryption vlan 105 mode wep mandatory  \VLAN 105 的加密为 wep+802.1x

ssid cisco   \ 主接口绑定了 SSID cisco

ssid cisco-guest   \ 主接口绑定 cisco-guest

Mbssid    \ 记住，一定在主接口下要启用多 SSID 模式

 power local 14

 power client 11

 channel 2412

 station-role root

 l2-filter bridge-group-acl

 bridge-group 1

 bridge-group 1 block-unknown-source

 no bridge-group 1 source-learning

 no bridge-group 1 unicast-flooding

 bridge-group 1 spanning-disabled

interface Dot11Radio0.105   \ 创建子接口

 encapsulation dot1Q 105   \ 封装为 dot1q

 no ip route-cache

 bridge-group 105          \ 创建组，下面的照配置复制即可

 bridge-group 105 subscriber-loop-control

 bridge-group 105 block-unknown-source

 no bridge-group 105 source-learning

 no bridge-group 105 unicast-flooding

 bridge-group 105 spanning-disabled

interface Dot11Radio0.106    \ 创建子接口

 encapsulation dot1Q 106    \ 封装为 dot1q

 no ip route-cache

 bridge-group 106

 bridge-group 106 subscriber-loop-control

 bridge-group 106 block-unknown-source

 no bridge-group 106 source-learning

 no bridge-group 106 unicast-flooding

 bridge-group 106 spanning-disabled

 service-policy input guest_limit    \ 调用了上面配置的流量策略，但是不起作用。。。

interface Dot11Radio1\ 这个接口下面的配置，和上面是一样的，这个接口一般用来接增益天线

 no ip address

 no ip route-cache

encryption vlan 106 mode ciphers tkip

encryption vlan 105 mode wep mandatory

ssid cisco

ssid cisco-guest

mbssid

 speed  basic-6.0 9.0 12.0 18.0 24.0 36.0 48.0 54.0

 station-role root

 bridge-group 1

 bridge-group 1 block-unknown-source

 no bridge-group 1 source-learning

 no bridge-group 1 unicast-flooding

 bridge-group 1 spanning-disabled

interface Dot11Radio1.105

 encapsulation dot1Q 105

 no ip route-cache

 bridge-group 105

 bridge-group 105 subscriber-loop-control

 bridge-group 105 block-unknown-source

 no bridge-group 105 source-learning

 no bridge-group 105 unicast-flooding

 bridge-group 105 spanning-disabled

interface Dot11Radio1.106

 encapsulation dot1Q 106

 no ip route-cache

 bridge-group 106

 bridge-group 106 subscriber-loop-control

 bridge-group 106 block-unknown-source

 no bridge-group 106 source-learning

 no bridge-group 106 unicast-flooding

 bridge-group 106 spanning-disabled

interface FastEthernet0   \ 和交换机互联的接口，也是需要起子接口，因为是 trunk 互联

 no ip address

 no ip route-cache

 duplex auto

 speed auto

 no keepalive

 bridge-group 1

 no bridge-group 1 source-learning

 bridge-group 1 spanning-disabled

interface FastEthernet0.40    \ 创建子接口

 encapsulation dot1Q 40     \ 封装 dot1q

 no ip route-cache

 bridge-group 40

 no bridge-group 40 source-learning

 bridge-group 40 spanning-disabled

本来其实创建 105 和 106 两个子接口就足够了，但是该 cisco 的 ap 互联的交换机是 HP 的二层交换机， HP 交换机没有 native vlan 的概念，为了能够管理到，于是新建了一个传输管理数据的子接口。 HP 的概念是 tag 和 untag ，其实也就是我们在 cisco 中 access 和 trunk 的概念。

interface FastEthernet0.105   \ 针对 VLAN 105 创建子接口

 encapsulation dot1Q 105    \ 封装 dot1q

 no ip route-cache

 bridge-group 105

 no bridge-group 105 source-learning

 bridge-group 105 spanning-disabled

interface FastEthernet0.106    \ 针对 VLAN 106 创建子接口

 encapsulation dot1Q 106     \ 封装 dot1q

 no ip route-cache

 bridge-group 106

 no bridge-group 106 source-learning

 bridge-group 106 spanning-disabled

interface BVI1               \BVI 接口是一个逻辑接口，做为管理接口，如果和 cisco 的接口互联，要求 BVI 接口所使用的地址，必须和交换机的 native vlan 中得地址一致。尤其是多 SSID 的情况下，一定要注意，否则可能管理地址不通。

 ip address 10.10.104.249 255.255.255.0

 no ip route-cache

ip default-gateway 10.10.104.1\ 管理地址的网关

ip http server

no ip http secure-server

ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag

access-list 100 permit ip 10.10.106.0 0.0.0.255 any  \ 上面的 QOS 策略定义流量

radius-server attribute 32 include-in-access-req format %h

radius-server host 10.10.102.12 auth-port 1645 acct-port 1646 key 7 0800414C060E  \AP 和 radius 之间通信，配置通信用到的端口及密钥

radius-server vsa send accounting

bridge 1 route ip

line con 0

line vty 0 4

 exec-timeout 30 0

end