Multiple SSID With Multiple VLANs
Bài lab này sẽ hướng dẫn cấu hình Access Point Cisco Aironet ở chế độ Autonomous. Nghĩa là Access Point này không được quản lý bởi Controller.
Làm sao để chúng ta có thể tạo nhiều SSID trên 1 Cisco Aironet Aps và mỗi SSID đó sẽ chạy trên các VLAN khác nhau. Các VLAN trên Access Point Aironet sẽ được cấu hình trunk với Switch Cisco 2960. Từ đó chúng ta đưa ra các policy hay các ACL trên từng VLAN. Với mỗi VLAN được cấp cho mỗi SSID sẽ có các chức năng khác nhau. Ví dụ như SSID Guest chỉ cho đi internet không cho truy cập vào hệ thống của chúng ta. Hay SSID LAN được phép đi internet và truy cập hệ thống…
Dưới đây là mô hình sẽ triển khai của chúng ta
1 Cấu hình Accesspoint
Bước 1: Cấu hình SSID và map nót đến 1 VLAN
- Bước 2: Sử dụng loại mã hóa cho các SSID với các VLAN khác nhau
- Bước 3: cấu hình subinterface cho Dot11 radio 0 và map vào đúng các sub-interface vật lý Gigabit 0 chạy các VLAN tương ứng. Đường sub-interface này sẽ được trunking với port trunk của switch 2960. Vì vậy mỗi VLAN của sub-interface Gigabit 0 phải đúng với các VLAN của sub-interface của dot11Radio 0
2 Cấu hình Switch 2960
- Tạo vLAN 10, VLAN 20 và cấu hình ip cho các interface vlan 10, vlan 20.
- Cấu hình Switch 2960 cấp DHCP cho 2 SSID SVUIT-Guest và SVUIT-LAN
- Trên Switch chúng ta cấu hình mode trunk với port đấu nối Accesspoint.
- Kiểm tra đường trunk trên switch với Access Point.
’’
3. Kiểm tra trên thiết bị di động
- Bật điện thoại lên và kiểm tra chúng ta sẽ thấy 2 SSID “SVUIT-Guest” và “SVUIT-LAN” mà chúng ta đã tạo trên Access point.
- Chúng ta thử kết nối vào SSID “SVUIT-LAN” để kiểm tra.
- Thiết bị đã nhận đúng IP thuộc VLAN 20 được cấp cho SSID “SVUIT-LAN”.
- Tương tự chúng ta login vào SSID “SVUIT-Guest” để kiểm tra
- Thiết bị của chúng ta đã nhận đúng IP thuộc VLAN 10 sử dụng cho SSID-Guest mà chúng ta đã cấu hình.
- Trên Access Point chúng ta có thể thấy các message log khi có 1 client kết nối tới Access point này.
- Chúng ta có thể kiểm tra xem có những SSID nào đang được active trên Access Point này.
- Và kiểm tra MAC address và IP của các thiết bị kết nối tới các SSID của Access Point này.
Bài lab này sẽ hướng dẫn cấu hình Access Point Cisco Aironet ở chế độ Autonomous. Nghĩa là Access Point này không được quản lý bởi Controller.
Làm sao để chúng ta có thể tạo nhiều SSID trên 1 Cisco Aironet Aps và mỗi SSID đó sẽ chạy trên các VLAN khác nhau. Các VLAN trên Access Point Aironet sẽ được cấu hình trunk với Switch Cisco 2960. Từ đó chúng ta đưa ra các policy hay các ACL trên từng VLAN. Với mỗi VLAN được cấp cho mỗi SSID sẽ có các chức năng khác nhau. Ví dụ như SSID Guest chỉ cho đi internet không cho truy cập vào hệ thống của chúng ta. Hay SSID LAN được phép đi internet và truy cập hệ thống…
Dưới đây là mô hình sẽ triển khai của chúng ta
1 Cấu hình Accesspoint
Bước 1: Cấu hình SSID và map nót đến 1 VLAN
// Tạo SSID “SVUIT-Guest” và sử dụng VLAN 10 ap(config)#dot11 ssid SVUIT-Guest ap(config-ssid)#vlan 10 // Kích hoạt xác thực kiểu Open System ap(config-ssid)#authentication open // Cho phép quảng bá các SSID dưới đây trong các Frame beacon ap(config-ssid)#mbssid guest-mode ap(config-ssid)#wpa-psk ascii svut123 // Tạo SSID “SVUIT-LAN” và sử dụng VLAN 20 ap(config)#dot11 ssid SVUIT-LAN ap(config-ssid)#vlan 20 ap(config-ssid)#authentication open ap(config-ssid)#mbssid guest-mode ap(config-ssid)#wpa-psk ascii svuit123 |
- Bước 2: Sử dụng loại mã hóa cho các SSID với các VLAN khác nhau
ap(config)#interface dot11Radio 0 ap(config-if)#encryption vlan 10 mode ciphers tkip ap(config-if)#encryption vlan 20 mode ciphers aes-ccm // Lệnh mbssid để đảm bảo các SSID trong này sẽ được broadcast và các client có thể nhìn thấy các SSID này ap(config-if)#mbssid ap(config-if)#ssid VLAN-Guest ap(config-if)#ssid VLAN-LAN |
- Bước 3: cấu hình subinterface cho Dot11 radio 0 và map vào đúng các sub-interface vật lý Gigabit 0 chạy các VLAN tương ứng. Đường sub-interface này sẽ được trunking với port trunk của switch 2960. Vì vậy mỗi VLAN của sub-interface Gigabit 0 phải đúng với các VLAN của sub-interface của dot11Radio 0
ap(config)#interface dot11Radio 0.10 ap(config-subif)#encapsulation dot1Q 10 ap(config-subif)#bridge-group 10 ap(config)#interface gigabitEthernet 0.10 ap(config-subif)#encapsulation dot1Q 10 ap(config-subif)#bridge-group 10 ap(config)#interface dot11Radio 0.20 ap(config-subif)#encapsulation dot1Q 20 ap(config-subif)#bridge-group 20 ap(config)#interface gigabitEthernet 0.20 ap(config-subif)#encapsulation dot1Q 20 ap(config-subif)#bridge-group 20 // Chúng ta cần đảm bảo tính năng integrated routing and bridging (IRB) được kích hoạt ddeer định tuyến giữa các interface và bridge groups. Lệnh này có thể đã có sẵn trong cấu hình của AP nhưng chúng ta nên đánh để đảm bảo. AP(config)#bridge irb Ap(config)# bridge 1 route ip |
2 Cấu hình Switch 2960
- Tạo vLAN 10, VLAN 20 và cấu hình ip cho các interface vlan 10, vlan 20.
Switch(config)#vlan 10 Switch(config-vlan)#name SVUIT-Guest Switch(config)#vlan 20 Switch(config-vlan)#name SVUIT-LAN Switch(config)#interface vlan 10 Switch(config-if)#ip add 172.16.10.250 255.255.255.0 Switch(config)#interface vlan 20 Switch(config-if)#ip add 172.16.20.250 255.255.255.0 |
- Cấu hình Switch 2960 cấp DHCP cho 2 SSID SVUIT-Guest và SVUIT-LAN
Switch(config)#ip dhcp pool SVUIT-Guest Switch(dhcp-config)#network 172.16.10.0 /24 Switch(dhcp-config)#default-router 172.16.10.250 Switch(dhcp-config)#dns-server 8.8.8.8 Switch(config)#ip dhcp pool SVUIT-LAN Switch(dhcp-config)#network 172.16.20.0 /24 Switch(dhcp-config)#default-router 172.16.20.100 Switch(dhcp-config)#dns-server 8.8.8.8 |
- Trên Switch chúng ta cấu hình mode trunk với port đấu nối Accesspoint.
Switch(config)#interface gigabitEthernet 1/0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#no shutdown |
- Kiểm tra đường trunk trên switch với Access Point.
’’
3. Kiểm tra trên thiết bị di động
- Bật điện thoại lên và kiểm tra chúng ta sẽ thấy 2 SSID “SVUIT-Guest” và “SVUIT-LAN” mà chúng ta đã tạo trên Access point.
- Chúng ta thử kết nối vào SSID “SVUIT-LAN” để kiểm tra.
- Thiết bị đã nhận đúng IP thuộc VLAN 20 được cấp cho SSID “SVUIT-LAN”.
- Tương tự chúng ta login vào SSID “SVUIT-Guest” để kiểm tra
- Thiết bị của chúng ta đã nhận đúng IP thuộc VLAN 10 sử dụng cho SSID-Guest mà chúng ta đã cấu hình.
- Trên Access Point chúng ta có thể thấy các message log khi có 1 client kết nối tới Access point này.
- Chúng ta có thể kiểm tra xem có những SSID nào đang được active trên Access Point này.
- Và kiểm tra MAC address và IP của các thiết bị kết nối tới các SSID của Access Point này.