Ich habe 2 SSIDs in meinem Cisco 881W-Router eingerichtet. Unsere interne SSID zieht aus dem richtigen DHCP-Pool (wpool), während unsere Gast-SSID nicht aus dem richtigen Pool (gpool) zieht.
Hier ist die Routerkonfiguration
! ! Letzte Konfigurationsänderung um 08:13:57 PCTime Di Aug 10 2010 durch admin ! Version 15.0 kein Servicepad Dienst TCP-Keepalives-In Dienst TCP-Keepalives-Out Dienst Zeitstempel Debug Datum/Uhrzeit ms Ortszeit Zeitzone anzeigen Dienst Zeitstempel Protokoll Datum/Uhrzeit ms Ortszeit Zeitzone anzeigen Dienst-Passwort-Verschlüsselung Service-Sequenznummern ! Hostname-Router ! Boot-Start-Marker Boot-End-Markierung ! Sicherheitsauthentifizierungsfehlerrate 3 Protokoll Sicherheitskennwörter Mindestlänge 6 Protokollierung gepuffert 51200 Protokollierungskonsole kritisch aktiviere Geheimnis 5 #pass# ! kein aaa neues Modell Speichergröße Iomem 10 Uhr Zeitzone PCTime -5 Uhr Sommerzeit PCTime Datum 6. April 2003 2:00 26. Oktober 2003 2:00 ! Krypto-PKI-Vertrauenspunkt TP-selbstsigniert-1169761916 Registrierung selbstsigniert Betreffname cn = IOS-Self-Signed-Certificate-1169761916 Widerrufsprüfung keine rsakeypair TP-selbstsigniert-1169761916 ! ! Krypto-PKI-Zertifikatkette TP-self-signed-1169761916 Zertifikat selbstsigniert 01 nvram:IOS-Self-Sig#1.cer keine IP-Quellroute ! ! IP-DHCP-Ausschlussadresse 10.0.0.1 IP-DHCP-Ausschlussadresse 10.100.0.1 10.100.10.0 IP-DHCP-Ausschlussadresse 10.100.10.255 10.100.255.254 ! IP-DHCP-Pool CCP-Pool1 Alle importieren Netzwerk 10.10.10.0 255.255.255.0 DNS-Server #DNS# Standardrouter 10.10.10.1 ! IP-DHCP-Pool Gpool Alle importieren Netzwerk 10.100.10.0 255.255.255.0 DNS-Server #DNS# Standardrouter 10.100.10.1 ! IP-DHCP-Pool Wpool Alle importieren Netzwerk 10.10.100.0 255.255.255.0 DNS-Server #DNS# Standardrouter 10.10.100.1 ! ! IP-CEF kein IP-Bootp-Server IP-Domänenname #redact# IP-Nameserver #redact# IP-Nameserver #redact# kein IPv6 CEF ! ! Lizenz udi pid CISCO881W-GN-A-K9 sn #REDACT# ! ! Benutzername Administratorberechtigung 15 Geheimnis 5 #REDACT# ! ! IP TCP Synwait-Zeit 10 IP-SSH-Zeitüberschreitung 60 IP-SSH-Authentifizierungswiederholungen 2 ! Klassenzuordnungstyp prüfen, Übereinstimmung mit jedem CCP-Cls-Insp-Verkehr Spielprotokoll cuseeme Übereinstimmungsprotokoll-DNS FTP-Protokoll abgleichen Spielprotokoll H323 Übereinstimmungsprotokoll https Übereinstimmungsprotokoll ICMP Übereinstimmungsprotokoll IMAP Übereinstimmungsprotokoll POP3 Übereinstimmungsprotokoll Netshow Match-Protokoll-Shell Übereinstimmungsprotokoll Realmedia Übereinstimmungsprotokoll RTSP Übereinstimmungsprotokoll SMTP Übereinstimmungsprotokoll SQL-Net Übereinstimmungsprotokoll Streamworks Übereinstimmungsprotokoll TFTP Spielprotokoll vdolive Übereinstimmungsprotokoll TCP Übereinstimmungsprotokoll UDP Klassenzuordnungstyp prüfen, alles abgleichen, CCP-Inspektionsverkehr Übereinstimmungsklassenkarte CCP-Cls-Insp-Traffic Klassenzuordnungstyp prüfen, Übereinstimmung mit jedem CCP-Cls-ICMP-Zugriff Übereinstimmungsprotokoll ICMP Übereinstimmungsprotokoll TCP Übereinstimmungsprotokoll UDP Klassenzuordnungstyp prüfen, alle übereinstimmenden CCP-ungültige Quelle Übereinstimmung mit der Zugriffsgruppe 100 Klassenzuordnungstyp überprüfen, alle übereinstimmen, CCP-ICMP-Zugriff Übereinstimmung mit der Klassenzuordnung CCP-CLS-ICMP-Zugriff Klassenzuordnungstyp prüfen, alle übereinstimmen, CCP-Protokoll-http Übereinstimmungsprotokoll http ! ! Richtlinienzuordnungstyp prüfen CCP-Permit-ICMPreply Klassentyp prüfen CCP-ICMP-Zugriff prüfen Klasse Klassenstandard passieren Richtlinienzuordnungstyp überprüfen CCP-Inspect Klassentyp prüfen ccp-invalid-src Protokoll löschen Klassentyp prüfen CCP-Protokoll-HTTP prüfen Klasse Typ inspizieren CCP-Insp-Verkehr prüfen Klasse Klassenstandard fallen Richtlinienzuordnungstyp prüfen CCP-Genehmigung Klasse Klassenstandard fallen ! Zonensicherheit Außenzone Zonensicherheit in der Zone Zonenpaar-Sicherheit CCP-ZP-Self-Out Quelle Selbst Ziel Out-Zone Service-Richtlinientyp prüfen CCP-Permit-ICMPreply Zonenpaar-Sicherheit CCP-ZP-In-Out Quelle In-Zone Ziel Out-Zone Service-Richtlinientyp prüfen CCP-Inspect Zonenpaar Sicherheit ccp-zp-out-self Quelle Out-Zone Ziel selbst Service-Richtlinientyp prüfen CCP-Genehmigung ! ! ! ! ! ! ! Schnittstelle FastEthernet0 Switchport-Zugriff VLAN 2 ! Schnittstelle FastEthernet1 Switchport-Zugriff VLAN 2 ! Schnittstelle FastEthernet2 Switchport-Zugriff VLAN 2 ! Schnittstelle FastEthernet3 Switchport-Zugriff VLAN 2 ! Schnittstelle FastEthernet4 Beschreibung $ES_WAN$$FW_OUTSIDE$$ETH-WAN$ IP-Adresse #REDACT# keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-NAT außerhalb Virtuelle IP-Neuzusammenstellung Zonenmitglied Sicherheit Outzone Duplex Auto Geschwindigkeit Auto ! Schnittstelle WLAN-AP0 Beschreibung Servicemodul-Schnittstelle zur Verwaltung des eingebetteten AP IP nicht nummeriertes VLAN1 keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-Fluss-Eingang ARP-Zeitüberschreitung 0 ! Schnittstelle Wlan-GigabitEthernet0 Beschreibung Interne Switch-Schnittstelle zur Verbindung mit dem eingebetteten AP Switchport-Modus-Trunk ! Schnittstelle Vlan1 Beschreibung $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$ IP-Adresse 10.10.10.1 255.255.255.0 keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-Fluss-Eingang IP-NAT im Inneren Virtuelle IP-Neuzusammenstellung Zonenmitgliedssicherheit in der Zone IP-TCP-Anpassung-MSS 1452 ! Schnittstelle Vlan2 IP-Adresse 10.10.100.1 255.255.255.0 keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-Fluss-Eingang IP-NAT im Inneren Virtuelle IP-Neuzusammenstellung Zonenmitgliedssicherheit in der Zone ! Schnittstelle Vlan3 IP-Adresse 10.100.10.1 255.255.255.0 keine IP-Weiterleitungen keine IP nicht erreichbar kein IP-Proxy-ARP IP-Fluss-Eingang IP-NAT im Inneren Virtuelle IP-Neuzusammenstellung Zonenmitgliedssicherheit in der Zone ! IP-Weiterleitungsprotokoll nd IP-HTTP-Server IP-HTTP-Authentifizierung lokal IP HTTP sicherer Server IP http Timeout-Richtlinie Leerlauf 60 Lebensdauer 86400 Anfragen 10000 ! IP-NAT innerhalb der Quellliste 2, Schnittstelle FastEthernet4, Überlastung IP-NAT innerhalb der Quellliste 3 Schnittstelle FastEthernet4 Überlastung IP-NAT innerhalb der Quellliste 4 Schnittstelle FastEthernet4 Überlastung IP-Route 0.0.0.0 0.0.0.0 #REDACT# ! Protokollierung, Trap-Debugging Zugriffsliste 1 Bemerkung INSIDE_IF=Vlan1 Zugriffsliste 1 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 1 Erlaubnis 10.10.10.0 0.0.0.255 Zugriffsliste 2 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 2 erlauben 10.10.10.0 0.0.0.255 Zugriffsliste 3 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 3 erlauben 10.10.100.0 0.0.0.255 Zugriffsliste 4 Bemerkung CCP_ACL Kategorie=2 Zugriffsliste 4 erlauben 10.100.10.0 0.0.0.255 Zugriffsliste 101 IP verweigern 10.10.10.0 0.0.0.255 10.10.100.0 0.0.0.255 Zugriffsliste 101 IP verweigern 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 Zugriffsliste 101 verweigern ICMP 10.10.10.0 0.0.0.255 10.10.100.0 0.0.0.255 Zugriffsliste 101 verweigern ICMP 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255 Zugriffsliste 102 erlaubt IP-Host 255.255.255.255 beliebig kein CDP-Lauf ! ! ! ! ! Steuerebene ! Banner ausführen ^C Willkommen im Dschungel. ^C Banner-Login ^CWenn ein Router ausfällt und niemand da ist, um im Internet zu surfen, hat er dann irgendwelche Pakete verloren? ^C ! Leitungsanschluss 0 lokale Anmeldung kein Modem aktiviert Transportausgabe Telnet Leitung AUX 0 lokale Anmeldung Transportausgabe Telnet Zeile 2 kein Aktivierungszeichen kein Exec Transportmittel bevorzugt keine Transport Eingabe alle Linie vty 0 4 Berechtigungsstufe 15 lokale Anmeldung Transporteingabe Telnet SSH ! Scheduler: Maximale Aufgabenzeit 5000 Scheduler zuweisen 4000 1000 Zeitplanintervall 500 Ende
und hier ist die AP-Konfiguration
! Version 12.4 kein Servicepad Dienst Zeitstempel Debug Datum/Uhrzeit ms Dienst Zeitstempel Protokoll Datum/Uhrzeit ms keine Service-Passwort-Verschlüsselung ! Hostname AP ! aktiviere Geheimnis 5 #REDACT# ! kein aaa neues Modell ! ! dot11 mbssid dot11-Syslog ! dot11 ssid Gast VLAN 3 Authentifizierung offen Authentifizierung Schlüsselverwaltung WPA Version 2 mbssid Gastmodus wpa-psk ascii 0 geheim1 ! dot11 SSID intern VLAN 2 Authentifizierung offen Authentifizierung Schlüsselverwaltung WPA Version 2 mbssid Gastmodus wpa-psk ascii 0 geheim2 ! ! ! Benutzername Administratorberechtigung 15 Geheimnis 5 #REDACT# ! ! Brücke IRB ! ! Schnittstelle Dot11Radio0 keine IP-Adresse kein IP-Routen-Cache ! Verschlüsselungsmodus Chiffren Tkip ! Verschlüsselung VLAN 2 Modus Chiffren AES-CCM TKIP ! Verschlüsselung VLAN 3 Modus Chiffren AES-CCM TKIP ! Broadcast-Schlüssel VLAN 2 ändern 30 ! ! ssid Gast ! SSID intern ! Antennengewinn 0 Stationsrolle Root-Zugriffspunkt ! Schnittstelle Dot11Radio0.2 Kapselung dot1Q 2 kein IP-Routen-Cache Brückengruppe 2 Brückengruppe 2 Block unbekannte Quelle keine Bridge-Gruppe 2 Source-Learning kein Bridge-Group-2-Unicast-Flooding Bridge-Gruppe 2 Spanning deaktiviert ! Schnittstelle Dot11Radio0.3 Kapselung dot1Q 3 native kein IP-Routen-Cache Brückengruppe 3 Brückengruppe 3 Teilnehmerschleifensteuerung Brückengruppe 3 Block unbekannte Quelle keine Bridge-Gruppe 3 Source-Learning kein Bridge-Group-3-Unicast-Flooding Bridge-Gruppe 3 Spanning deaktiviert ! Schnittstelle GigabitEthernet0 Beschreibung Der eingebettete AP GigabitEthernet 0 ist eine interne Schnittstelle, die den AP mit dem Host-Router verbindet keine IP-Adresse kein IP-Routen-Cache ! Schnittstelle GigabitEthernet0.2 Kapselung dot1Q 2 kein IP-Routen-Cache Brückengruppe 2 keine Bridge-Gruppe 2 Source-Learning Bridge-Gruppe 2 Spanning deaktiviert ! Schnittstelle GigabitEthernet0.3 Kapselung dot1Q 3 native kein IP-Routen-Cache Brückengruppe 3 keine Bridge-Gruppe 3 Source-Learning Bridge-Gruppe 3 Spanning deaktiviert ! Schnittstelle BVI1 mtu 1514 IP-Adresse 10.10.10.2 255.255.255.0 kein IP-Routen-Cache ! IP-HTTP-Server kein IP-HTTP-Sicherungsserver IP http Hilfepfad http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag ! ! ! Leitungsanschluss 0 Berechtigungsstufe 15 lokale Anmeldung kein Aktivierungszeichen Linie vty 0 4 lokale Anmeldung ! cns dhcp Ende
Ich bin nicht sicher, wo das Problem liegt.
Antwort1
Es sieht so aus, als ob Ihr AP die VLAN-ID 3 als natives VLAN (ungetaggt) verwendet, während Ihr Router das Standard-VLAN 1 als natives VLAN verwendet. Erstellen Sie auf Ihrem AP ein VLAN 1 als natives VLAN, damit sollte dieses Verhalten behoben sein.