使用多个SSID保护无线AP的VLAN

Question

我正在使用两个SSID部署无线接入点：employee (VLAN45)和guests (VLAN46)。我搞不懂如何在AP和交换机上配置以太网端口。

我的首选是将交换机端口配置为访问端口，以便锁定WiFi端点。如果没有guest无线局域网，我就会这么做。但是，我认为这是行不通的:因为会有两个VLAN，所以我认为我需要将交换机端口配置为集群。不过，我担心的是，让它成为一个集群交换端口，将它打开给所有的VLAN。即使我将交换机端口上的VLAN限制为45和46，这仍然意味着任何人，例如，断开AP和插入的插件，都可以访问集群端口。

如何在仍然支持两个SSID和VLAN的同时锁定无线AP交换机端口？

Answer 1

在交换机接口上支持多个VLAN意味着，除了本地VLAN (如果有的话)，您将有一个带有标记的主干，用于分离主干上每个VLAN的帧。在Cisco 350交换机上，可以限制在主干上允许哪些VLAN：

switchport trunk allowed vlan {all | none | add vlan-list | remove vlan-list | except vlan-list}

例如，假设用户VLAN为45，来宾VLAN为46，WAP的主干接口为端口48：

interface GigabitEthernet48
 switchport mode trunk
 switchport trunk allowed vlan 45,46
!

大多数终端设备不理解VLAN标签，它们会将标记帧作为巨人丢弃.如果您担心有人未经授权连接到您的交换机接口，那么您需要使用802.1X，但这需要一些工作来设置基础设施。该交换机模型支持802.1X