Configuration de SSIDs multiples ccnp_cch ccnp_cch
Sommaire • Introduction • Comprendre les SSIDs multiples • Configurer les SSIDS multiples - Créer un SSID globalement - Utiliser RADIUS pour restreindre les SSIDs • Configurer les SSIDS multiples de base - Exigences pour la configuration de SSIDs multiples - Directives pour l'utilisation de SSIDs multiples • Configurer MBSSID et SSIDL en même temps - Extrait de configuration pour la validation de MBSSID et SSIDL ccnp_cch
Comprendre les SSIDs multiples Introduction Ce document décrit comment configurer et administrer des SSIDs (Service Set Identifier) multiples sur le point d'accès. Ce document contient les sections suivantes: Comprendre les SSIDs multiples Configurer les SSIDs multiples Comprendre les SSIDs multiples de base Valider MBSSID et SSIDL en même temps Comprendre les SSIDs multiples Le SSID est un identificateur unique que les équipements de réseau sans-fil utilisent pour établir et maintenir la connectivité sans-fil. Plusieurs points d'accès sur un réseau ou un sous-réseau peuvent contenir jusqu'à 32 caractères alphanumériques. N'incluez pas d'espaces dans les SSIDs Vous pouvez configurer jusqu'à 16 SSIDs sur les HWIC-APs et affecter différents para- mètres de configuration à chaque SSID. Tous les SSIDs sont affectés en même temps ce qui veut dire que les équipements clients peuvent s'associer au point d'accès en uti- lisant n'importe quel SSID. Voici des paramètres que vous pouvez affecter à chaque SSID. VLAN Méthode d'authentification client Nombre maximum d'association de clients à ce SSID Accounting RADIUS pour le trafic utilisant le SSID Mode invité (Guest) Mode répéteur incluant l'authentification avec nom d'utilisateur et mot de passe Redirection des paquets reçus des équipements clients Si vous voulez que le point d'accès autorise les associations des équipements clients qui ne spécifient pas de SSID dans leur configuration, vous pouvez spécifier un SSID invité. Le point d'accès inclut le SSID invité dans ses trames "Beacon". Si votre point d'accès est un répéteur ou point d'accès racine qui agit en parent pour un répéteur, vous pouvez configurer un SSID pour l'utilisation en mode répéteur. Vous pouvez affecter une authentification par nom d'utilisateur et mot de passe au SSID du mode répéteur pour autoriser le répéteur à s'authentifier sur votre réseau comme un équipement client. ccnp_cch
Configurer des SSIDs multiples Si votre réseau utilise des VLANs, vous pouvez affecter un SSID à un VLAN et les équi- pements utilisant le SSID sont groupés dans ce VLAN. Méthodes de configuration de SSID supportées par les releases de l'IOS Cisco Cisco a introduit une configuration de SSID en mode global dans les releases précé- dentes de l'IOS Cisco pour simplifier la configuration des paramètres SSID sous de multiples interfaces. La configuration des paramètres SSID au niveau interface a été supporté dans certaines releases de l'IOS Cisco pour une compatibilité arrière mais la configuration de paramètres SSID au niveau interface sera totalement dévalidée dans les releases 12.4(15)T de l'IOS Cisco. La release 12.4(15)T de l'IOS Cisco supporte la configuration de paramètres SSID au niveau interface avec la CLI mais les SSIDs sont stockés en mode global. Le stockage des SSIDs en mode global assure que la configuration SSID reste correcte quand vous mettez à niveau une release qui suit la release 12.4(15)T de l'IOS Cisco. Si vous devez mettre à niveau vers une release qui est après la release 12.4(15)T, vous devez d'abord mettre à niveau avec la release 12.4(15)T de l'IOS Cisco, sauvegarder le fichier de configuration, mettre à niveau avec la release cible et charger la configura- tion sauvegarde. Ce processus assure que votre configuration SSID au niveau interface sera correctement traduite en mode global. Si vous mettez à niveau directement depuis la release 12.4(15)T ou antérieure vers une releasse 12.4(15)T ou ultérieure, votre con- figuration SSID au niveau interface sera supprimée. Configurer des SSIDs multiples Cette section contient les informations de configuration pour des SSIDs multiples: Créer un SSID globalement Utiliser un serveur RADIUS pour restreindre les SSIDs Note: Dans la release 12.4(15)T et suivantes de l'IOS Cisco, vous configurez les SSIDs globalement et vous l'appliquez ensuite à une interface radio spécifique. Créer un SSID globalement Dans la release 12.4 et suivantes de l'IOS Cisco, vous pouvez configurer les SSIDs glo- balement ou pour une interface radio spécifique. Vous pouvez utiliser la commande de configuration globale dot11 ssid pour créer un SSID, vous pouvez utiliser la comman- de de configuration interface ssid pour affecter le SSID à une interface spécifique. Quand un SSID a été crée en mode de configuration global, la commande de configura- tion interface ssid attache le SSID à l'interface mais n'entre pas en mode de configura- tion ssid. Cependant si le SSID n'a pas été crée en mode de configuration global, la commande ssid place la CLI en mode de configuration ssid pour le nouveau SSID. Note: Les SSIDs crées dans les releases 12.3(7)JA et suivantes deviennent invalides si vous régressez vers une version logicielle plus ancienne. ccnp_cch
En débutant en mode EXEC privilégié, suivez ces étapes pour créer un SSID globale- ment. Après avoir crée votre SSID, vous pouvez l'affecter à des interfaces radio spécifi- ques. Commande But configure terminal Entre en mode de configuration global. dot11 ssid ssid-string Crée un SSID et entre en mode de configura- tion SSID pour le nouveau SSID. Le SSID peut contenir jusqu'à 32 caractères alphanumé- riques. Les SSIDs sont sensibles à la casse. Note: +, ., ], ?, $, TAB et les espaces de fin sont des caractères invalides pour le SSID. authentication client username username password password (Optionnel) Fixe un nom d'utilisateur et un mot de passe d'authentification que le point d'accès utilise pour authentifier le réseau en mode répéteur. Utilisez le nom d'utilisateur et le mot de passe sur le SSID que le point d'accès répéteur utilise pour s'associer au point d'accès racine ou avec un autre répéteur. accounting list-name (Optionnel) Valide l'accounting RADIUS pour ce SSID. Pour list-name, spécifiez la liste de méthodes d'accounting. vlan vlan-id (Optionnel) Affecte le SSID à un VLAN sur votre réseau. Les équipements clients qui s'associent en utilisant le SSID sont groupés dans ce VLAN. Vous pouvez affecter un seul SSID à un VLAN. guest-mode (Optionnel) Désigne le SSID comme le SSID du mode invité de votre point d'accès. Le point d'accès inclut le SSID dans le "Beacon" et autorise les associations des équipements clients qui ne spécifient pas de SSID. infrastructure-ssid [optional] (Optionnel) Désigne le SSID comme le SSID que les autres points d'accès et ponts de grou- pe utilisent pour s'associer à ce point d'accès. Si vous ne désignez pas un SSID comme SSID d'infrastructure, les équipements d'infrastruc- ture peuvent s'associer au point d'accès en utilisant tout SSID. Si vous désignez un SSID comme SSID d'infrastructure , les équipe- ments d'infrastructure doivent s'associer au point d'accès en utilisant ce SSID sauf si vous avez également entré le mot-clé optional. interface dot11radio { 0 | 1 } Entre en mode de configuration interface pour l'interface radio à laquelle vous voulez affecter le SSID. L'interface radio 2.4-GHz est l'inter- face radio 0 et l'interface radio 5-GHz est l'interface radio 1. ccnp_cch
Commande But ssid ssid-string Affecte le SSID global que vous avez crée à l'interface radio. end Retour en mode EXEC privilégié. copy running-config startup-config (Optionnel) Sauvegarde la configuration courante. Note: Vous utilisez les options d'authentification de la commande ssid pour configurer un type d'authentification pour chaque SSID. Utilisez la forme no de la commande pour dévalider le SSID ou dévalider les fonction- nalités du SSID. Cet exemple montre comment: Nommer un SSID Configurer le SSID pour l'accounting RADIUS. Fixer le nombre maximum d'équipements clients qui peuvent s'associer en utilisant ce SSID à 15. Affecter le SSID à un VLAN Affecter le SSID à une interface radio router# configure terminal router(config)# dot11 ssid batman router(config-ssid)# accounting accounting-method-list router(config-ssid)# max-associations 15 router(config-ssid)# vlan 3762 router(config-ssid)# exit router(config)# interface dot11radio 0 router(config-if)# ssid batman Afficher les SSIDs configurés globalement Utilisez cette commande pour afficher les détails de configuration pour les SSIDs qui sont configurés globalement. router# show running-config ssid ssid-string ccnp_cch
ccnp_cch Utilisation d'espaces dans les noms de SSIDs Dans la release 12.4(15)T de l'IOS Cisco, vous pouvez inclure des espaces dans un SSID mais les espaces à la fin du SSID sont invalides. Toutefois tous les SSIDs crées dans des versions précédentes et qui ont des espaces à la fin sont reconnus. Le espa- ces de fin de SSID font penser que vous créez des SSIDs identiques configurés sur le même point d'accès. Si vous pensez que des SSIDs identiques sont présents sur votre point d'accès, utilisez la commande show dot11 associations en mode EXEC privilé- gié pour vérifier tous les SSIDs crées dans des versions précédentes avec des espaces à la fin. Par exemple, cet extrait de sortie de la commande show configuration en mode EXEC privilégié ne montre pas d'espaces dans les SSIDs. ssid buffalo vlan 77 authentication open vlan 17 vlan 7 Cependant cet extrait de sortie de la commande show dot11 associations en mode EXEC privilégié montre des espaces dans les SSIDs: SSID [buffalo] : SSID [buffalo ] : SSID [buffalo ] : Utiliser RADIUS pour restreindre les SSIDs Pour éviter que des équipements clients s'associent avec un point d'accès en utilisant un SSID non autorisé, vous pouvez créer une liste de SSIDs autorisés que les clients doivent utiliser avec votre serveur d'authentification RADIUS. Le processus d'autorisation de SSID est constitué des étapes suivantes: 1. Un équipement client s'associe avec le point d'accès en utilisant un SSID configuré sur le point d'accès. 2. Le client débute l'authentification RADIUS. 3. Le serveur RADIUS retourne une liste de SSIDs que ce client est autorisé à utiliser. Le point d'accès vérifie la liste pour trouver une correspondance avec le SSID utilisé par le client: a. Si le SSID que le client utilise pour s'associer au point d'accès correspond à une entrée autorisée dans la liste retournée par le serveur RADIUS alors le client a ccnp_cch
l'accès réseau autorisé après avoir satisfait toutes les exigences d'authentifica- tion. b. Si le point d'accès ne trouve pas de correspondance pour le client dans la liste des SSIDs autorisés, le point d'accès rompt l'association avec le client. c. Si le serveur RADIUS ne retourne aucune liste de SSIDs pour le client alors l'administrateur n'a pas configuré de liste et le client est autorisé à s'associer et à tenter une authentification. Les listes des SSIDs autorisés du serveur RADIUS sont sous l forme Cisco VSAs. Le standard draft de l'IETF (Internet Engineering Task Force) spécifie une méthode pour communiquer des informations spécifiques constructeur entre un point d'accès et le serveur RADIUS en utilisant l'attribut spécifique constructeur (attribut 26). Les attri- buts spécifiques constructeur (VSA) autorisent les constructeurs à supporter leurs propres attributs étendus non souhaitables pour un usage général. L'implémentation RADIUS Cisco supporte une option spécifique construction en utilisant le format re- commandé dans la spécification Cisco Vendor ID 9 et l'option supportée a le "vendor- type" égal à 1, lequel est nommé cisco-avpair. Le serveur RADIUS est autorisé à avoir aucun ou plusieurs VSAs SSID par client. Dans cet exemple, l'AV-pair suivant ajoute le SSID batman à la liste de SSIDs autorisés pour un utilisateur. cisco-avpair= "ssid=batman" Configurer des SSIDs multiples de base Les radios des points d'accès 802.11a et 802.11g supportent maintenant jusqu'à huit SSIDs de base (BSSID) qui sont similaires à des adresses MAC. Vous utilisez des BSSIDs multiples pour affecter un paramètre DTIM unique pour chaque SSID et pour diffuser plusieurs SSIDs dans les "Beacons". une grande valeur de DTIM accroît la durée de vie des batteries. pour les équipements clients qui utilisent un SSID et la diffusion de plusieurs SSID rend votre LAN sans-fil plus accessible aux invités. Note: Les équipements de votre LAN sans-fil qui sont configurés pour s'associer au point d'accès spécifique sur la base de l'adresse MAC du point d'accès (par exemple les équipements clients, les répéteurs, les unités de secours à chaud ou les ponts de grou- pe de travail) pourraient perdre leur association quand vous ajoutez ou effacer un BSSID multiple. Quand vous ajoutez ou effacez un BSSID multiple, vérifiez l'état d'asso- ciation des équipements configurés pour s'associer avec un point d'accès spécifique. Si cela est nécessaire reconfigurez l'équipement non associé pour qu'il utilise la nouvelle adresse MAC de BSSID. Exigences pour la configuration de BSSIDs multiples Pour configurer des BSSIDs multiples, votre point d'accès doit satisfaire ces exigences minimales: Les VLANs doivent être configurés ccnp_cch
Les points d'accès doivent opérer avec la release 12 Les points d'accès doivent opérer avec la release 12.4(15)T ou suivantes de l'IOS Cisco Les points d'accès doivent contenir des interfaces radio 802.11a et 82.11g qui sup- portent les BSSIDs multiples. Pour déterminer si une interface radio supporte plu- sieurs SSIDs de base, entrez la commande show controllers radio-interface. L'in- terface radio supporte plusieurs SSIDs de base si le résultat de la commande con- tient cette ligne. Number of supported simultaneous BSSID on radio_interface: 8 Directives pour l'utilisation de BSSIDs multiples Gardez ces directives en mémoire quand vous configurez des BSSIDs multiples: Les VLANs affectés par RADIUS ne sont pas supportés quand vous utilisez des BSSIDs multiples. Quand vous activez des BSSIDs, le point d'accès fait correspondre automatiquement un BSSID à chaque SSID. Vous ne pouvez pas faire correspondre manuellement un BSSID a un SSID spécifique. Quand des BSSIDs multiples sont validés sur le point d'accès, le SSIDL.IE ne con- tient pas de liste de SSIDs; il contient uniquement les capacités étendues. Tout équipement client certifié Wi-Fi peut s'associer avec un point d'accès en utili- sant des BSSIDs multiples. Vous pouvez utiliser des BSSIDs multiples sur les points d'accès qui participent à WDS. Exemple de configuration CLI Cet exemple montre les commandes que vous utilisez pour valider de multiples BSSIDs sur une interface radio, créer un SSID appelé visitor, désigner un SSID comme un BSSID, spécifier que le BSSID est inclus dans les Beacons, fixer la période DTIM pour le BSSID et affecte le SSID visitor à l'interface radio. router(config)# interface dot11 0 router(config-if)# mbssid router(config-if)# exit router(config)# dot11 ssid visitor router(config-ssid)# mbssid guest-mode router(config-ssid)# exit router(config-if)# ssid visitor Vous pouvez également utiliser la commande dot11 mbssid en mode de configuration global pour valider simultanément des BSSIDs multiples sur toutes les interfaces radio qui supportent des BSSIDs multiples. ccnp_cch
Valider MBSSID et SSIDL en même temps Afficher les BSSIDs configurés Utilisez la commande show dot11 bssid en mode EXEC privilégié pour afficher les rela- tions entre les SSIDs et les BSSIDs ou les adresses MAC. Cet exemple montre la sortie de cette commande. router1230#show dot11 bssid Interface BSSID Guest SSID Dot11Radio1 0011.2161.b7c0 Yes atlantic Dot11Radio0 0005.9a3e.7c0f Yes WPA2-TLS-g Valider MBSSID et SSIDL en même temps Quand des BSSIDs multiples sont validés sur le point d'accès, le SSIDL IE ne contient pas de liste de SSIDs, il contient uniquement les capacités étendues. En débutant en mode EXEC privilégié, suivez ces étapes pour inclure un SID dans un SSIDL IE. Commande But configure terminal Entre en mode de configuration global. interface dot11radio { 0 | 1} Entre en mode de configuration interface pour l'interface radio. ssid ssid-string Entre en mode de configuration pour un SSID spécifique. information-element ssidl [advertisement] [wps] Inclut un SSIDL IE dans le beacon du point d'accès qui annonce les capacités étendues du point d'accès , telle 802.1x and support pour Microsoft Wireless Provisioning Services (WPS). Utilisez l'option advertisement pour inclure le nom du SSID et les capacités étendues dans le SSIDL IE. Utilisez l'option wps pour fixer les capacités WPS dans le SSIDL IE. Utilisez la forme no de la commande pour désactiver les SSIDL IEs. ccnp_cch
Extrait de configuration pour la validation de MBSSID et SSIDL Voici un extrait de configuration pour la validation de MBSSID. dot11 ssid 181x_gvlan01 vlan 1 authentication open mbssid guest-mode ! dot11 ssid 181x_gvlan02 vlan 2 wpa-psk ascii 0 12345678 dot11 ssid 181x_gvlan03 vlan 3 authentication key-management wpa dot11 ssid 181x_gvlan04 vlan 4 interface Dot11Radio0 no ip address encryption vlan 1 key 1 size 40bit 0 1234567890 transmit-key encryption vlan 1 mode ciphers wep40 encryption vlan 2 mode ciphers tkip encryption vlan 3 mode ciphers tkip encryption vlan 4 mode ciphers tkip ssid 181x_gvlan01 ssid 181x_gvlan02 ssid 181x_gvlan03 ssid 181x_gvlan04 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 mbssid station-role root ccnp_cch
Voici un extrait de configuration pour la validation de SSIDL. dot11 ssid 1841-wep128 vlan 1 authentication open information-element ssidl advertisement ! dot11 ssid 1841-tkip-psk vlan 2 authentication key-management wpa wpa-psk ascii 0 12345678 dot11 ssid 1841-aes-psk vlan 3 information-element ssidl advertisement wps interface Dot11Radio0/0/0 no ip address no snmp trap link-status encryption vlan 1 key 1 size 128bit 0 12345678901234567890123456 transmit-key encryption vlan 1 key 2 size 128bit 0 12345678901234567890123456 encryption vlan 1 mode ciphers wep128 encryption vlan 2 mode ciphers tkip encryption vlan 3 mode ciphers aes-ccm ssid 1841-wep128 ssid 1841-tkip-psk ssid 1841-aes-psk speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 station-role root ccnp_cch