(802.11n模型)：如何将WEP128 ssid和WPA/WPA 2 ssid放在同一个无线电上？

Question

我使用的是思科AIR-1252AG (IOS 12.4(10b)JDA3)，我必须提供一个WEP128无线局域网(为了与较老的嵌入式设备兼容，这将提供一个防火墙vlan)和一个WPA2 (WPA1也可以)在同一个2.4GHz无线局域网上提供无线局域网。都有预共享的钥匙。

虽然我可以在SSID中设置WPA选项，但WEP加密似乎适用于整个无线电接口。我已经构建了WEP配置使用‘快速安全’(lol)向导，然后继续添加WPA。WPA已经在5 5GHz的无线电上工作(我不需要wep )，但我也需要支持2.4GHz的设备，我甚至无法理解这是否应该是可能的！

这可能适用于许多思科空中接入点(但其中一些仅限于WPA1和/或单一电台)。

到目前为止，相关配置：

dot11 ssid my_wpa_network
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   authentication open 
!
interface Dot11Radio0
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio1
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]

我想在Radio0 (非广播)上获得带有psk的WEP ssid，在Radio0和Radio1 (广播)上获得带有psk的WPA2 (或WPA+WPA2，或WPA) ssid。

Answer 1

我相信您必须使用VLAN为同一台收音机上的不同SSID配置不同类型的身份验证/加密。例如

dot11 ssid my_wpa_network
   vlan 1
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 2
   authentication open 
!
interface Dot11Radio0
 encryption vlan 1 mode ciphers aes-ccm
 encryption vlan 2 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 2 mode wep mandatory
 ssid my_wep_network
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface Dot11Radio0.2
  encapsulation dot1q 2
  bridge-group 2
!
interface Dot11Radio1
 encryption vlan 1 mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface Dot11Radio1.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEthernet0.1
  encapsulation dot1q 1 native
  bridge-group 1
!
interface FastEternet0.2
  encapsulation dot1q 2
  bridge-group 2

如果您没有在有线端使用VLAN，我发现您可以调整其他无线电子接口的桥接组语句，以反映本机桥接组1，并使它们全部连接到单层2 LAN，但这不是Cisco支持的配置。

Answer 2

您可以在单个收音机上拥有多个SSID，但是看起来您缺少了一些VLAN设置。因此，假设您想要中继多个VLANS，它将是这样的：

dot11 ssid my_wpa_network
   vlan 111
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   vlan 666
   authentication open 
!

interface Dot11Radio0
 no ip address
 no ip route-cache
 encryption vlan 666 key 1 size 128bit 7 [...cut...] transmit-key
 encryption vlan 666 mode wep [..cut..]
 encryption vlan 111 mode ciphers aes-ccm 

interface Dot11Radio0.1
 encapsulation dot1Q 666
 bridge-group 666
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio0.2
 encapsulation dot1Q 111
 bridge-group 111
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]
!
interface FastEthernet0.1
 encapsulation dot1Q 666
 bridge-group 666
 [... other stuff here ...]
!
interface FastEthernet0.2
 encapsulation dot1Q 111
 bridge-group 111
 [... other stuff here ...]