CiscoForums.it

Inviato: **mer 18 giu , 2008 3:22 pm**

So che il topic non c'azzecca nulla ma il problema riguarda proprio sti malefici ipod touch, ho un cliente che li sta usando e vuole che si autentichino sulla rete wi-fi che già hanno(access-poin aironet 1231).
Il problema è che sto ipod non supporta ne tkip e ne aes a quanto pare, leggendo in giro pensavo di usare il wpa migration mode, ma ho qualche dubbio, qualcuno lo ha mai configurato?!
Grazie per l'aiuto che vorrete darmi.
Carlo

Inviato: **gio 19 giu , 2008 9:58 am**

Ma sei sicuro...?
Io ho configirato dei 1231 con "encryption mode ciphers aes-ccm tkip" e si connettono degli iphone... possibile che ipod touch siano diversi...?

Volendo ti posto una config

Inviato: **gio 19 giu , 2008 10:09 am**

Ti adoro!!!!

Se me la posti mi fai una favore immenso, il cliente mi ha detto che a lui non si connettono sti cosi perchè leggendo in giro pare non supportino tkip....se vuoi ti posto la conf che ho così com'è. Anzi lo fo subito:
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxxxxxxxxxxxxx
!
enable secret 5 $1$GfxV$z6HLYn1A0dKdzkFSG7ET0/
!
clock timezone GMT 1
ip subnet-zero
!
!
aaa new-model
!
!
aaa group server radius rad_eap
!
aaa group server radius rad_mac
!
aaa group server radius rad_acct
!
aaa group server radius rad_admin
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server tacacs+ tac_admin
cache expiry 1
cache authorization profile admin_cache
cache authentication profile admin_cache
!
aaa group server radius rad_pmip
!
aaa group server radius dummy
!
aaa authentication login eap_methods group rad_eap
aaa authentication login mac_methods local
aaa authorization exec default local
aaa accounting network acct_methods start-stop group rad_acct
aaa cache profile admin_cache
all
!
aaa session-id common
!
dot11 ssid xxxxxxxxxxxx
authentication open
authentication key-management wpa
wpa-psk ascii 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
username gmirizzi privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxx
username admin password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
username edilportale password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers tkip
!
ssid xxxxxx
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2447
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!
interface BVI1
ip address dhcp
no ip route-cache
!
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/help/eag
ip radius source-interface BVI1
!
snmp-server community edil RO
radius-server local
eapfast server-key primary 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
eapfast server-key secondary 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
radius-server attribute 32 include-in-access-req format %h
radius-server vsa send accounting
!
control-plane
!
bridge 1 route ip
!
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
transport preferred all
transport input all
transport output all
line vty 5 15
transport preferred all
transport input all
transport output all
!
end

Avevo pensato a usare wpa migration o ad aggiungere un altro ssid.
Che mi dici?

Inviato: **gio 19 giu , 2008 10:26 am**

Eccoti la mia...:

Codice: Seleziona tutto

version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ***
!
enable secret 5 ****

ip subnet-zero
no ip domain lookup
!
!
aaa new-model
!
!
aaa session-id common
!
dot11 ssid ***-guest
   vlan 111
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 ***
!
dot11 ssid ***-users
   vlan 110
   authentication open
   authentication key-management wpa
   mbssid guest-mode
   wpa-psk ascii 7 ***
!
!
crypto pki trustpoint TP-self-signed-3588128296
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3588128296
 revocation-check none
 rsakeypair TP-self-signed-3588128296
!
!
crypto ca certificate chain TP-self-signed-3588128296
 certificate self-signed 01
  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33353838 31323832 3936301E 170D3032 30333031 30303031
  33345A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 35383831
  32383239 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100BCB4 380B00E1 B70801B8 DCD4D3E7 AC407C8E 3F76CDF8 EDDBDD20 56DD76E4
  26FE1CCC 2EFBF5BF B4893451 A5650201 EA0742CF 652CC1B0 65F83691 2EF55648
  D860D05B 0EE74634 3040E8DA E281E100 752AD01F B6E74121 6FBF0084 34CB3F02
  AB05FF80 7266862E D8DA9C99 3AB75EB5 A95B6F10 114602C6 89696900 E953CCF0
  201B0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
  551D2304 18301680 149D38B4 045B6BD8 34D1B8EF B9E032B4 0174DF97 08301D06
  03551D0E 04160414 9D38B404 5B6BD834 D1B8EFB9 E032B401 74DF9708 300D0609
  2A864886 F70D0101 04050003 81810027 66F4F323 B0DD5025 618E0F02 3A71CF4B
  20758EB5 ACCF3FB2 80C4C016 DEF883CA 67C90292 B16F7BD0 876E6209 298A02FA
  9C153831 BBA9D459 38C0C6DF 5630CC52 D51EF68D 0C5E44A3 BB6F5A15 B096F815
  DC57AF4D 111EE959 6246DF56 40898291 E607E31C 61C4E6EE 4E609A57 7861C500
  3CD4FEE7 B6288607 53E5DEE4 A26371
  quit
username admin privilege 15 secret 5 ***
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 encryption mode ciphers aes-ccm tkip
 !
 encryption vlan 110 mode ciphers aes-ccm tkip
 !
 encryption vlan 111 mode ciphers aes-ccm tkip
 !
 ssid ***-guest
 !
 ssid ***-users
 !
 mbssid
 speed basic-1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0
 power client 5
 power local cck 5
 power local ofdm 5
 channel least-congested 2412 2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
 station-role root
 antenna transmit right
 bridge-group 1
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
!
interface Dot11Radio0.110
 encapsulation dot1Q 110
 no ip route-cache
 bridge-group 110
 bridge-group 110 subscriber-loop-control
 bridge-group 110 block-unknown-source
 no bridge-group 110 source-learning
 no bridge-group 110 unicast-flooding
 bridge-group 110 spanning-disabled
!
interface Dot11Radio0.111
 encapsulation dot1Q 111
 no ip route-cache
 bridge-group 111
 bridge-group 111 subscriber-loop-control
 bridge-group 111 block-unknown-source
 no bridge-group 111 source-learning
 no bridge-group 111 unicast-flooding
 bridge-group 111 spanning-disabled
!
interface FastEthernet0
 no ip address
 no ip route-cache
 speed 100
 full-duplex
!
interface FastEthernet0.110
 encapsulation dot1Q 110
 no ip route-cache
 bridge-group 110
 no bridge-group 110 source-learning
 bridge-group 110 spanning-disabled
!
interface FastEthernet0.111
 encapsulation dot1Q 111
 no ip route-cache
 bridge-group 111
 no bridge-group 111 source-learning
 bridge-group 111 spanning-disabled
!
interface FastEthernet0.255
 encapsulation dot1Q 255 native
 no ip route-cache
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address **** 255.255.255.0
 no ip route-cache
!
ip default-gateway ***
ip http server
ip http access-class 99
ip http authentication local
ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
logging trap debugging
logging facility local5
logging source-interface BVI1
logging ****
access-list 99 permit ****
snmp-server view dot11view ieee802dot11 included
snmp-server community public view dot11view RO
snmp-server location Primo piano
snmp-server contact Cellular Staff
snmp-server chassis-id AP Cisco Aironret 1231 - 2
bridge 1 route ip
!
!
banner motd ^C
****************************************************************
*                                                              *
*               Access Point 02 - ***              *
*                         Primo Terra                          *
*                                                              *
* WARNING: System is RESTRICTED to authorized personnel ONLY!  *
* Unauthorized use of this system will be logged and           *
* prosecuted to the fullest extent of the law.                 *
*                                                              *
* If you are NOT authorized to use this system, LOG OFF NOW!   *
*                                                              *
****************************************************************
^C
!
line con 0
line vty 0 4
 access-class 99 in
 privilege level 15
line vty 5 15
 access-class 99 in
 privilege level 15
!
end

Inviato: **gio 19 giu , 2008 10:55 am**

Nella tua conf ci sono due vlan, mi chiedevo se si potevano configurare due ssid senza usare le vlan, tanto sti cosi dovranno accedere alle stesse risorse dei pc per cui non mi interessa separare le due reti.
Ho letto che quando configuri due sistemi di cifratura come nel tuo caso(aes-ccm/tkip) il secondo diventa il cipher di gruppo:If you enable a cipher suite with two elements (such as TKIP and 128-bit WEP), the second cipher becomes the group cipher. Che .azzarola significa?

Inviato: **lun 23 giu , 2008 10:33 am**

Stavo pensando di usare le vlan ma mi chiedevo una cosa, se configuro due vlan e i relativi ssid sulla parte wireless, devo fare per forza lo stesso sulla parte lan? Vorrei evitare di configurare gli altri apparati per la vlan.
L'interfaccia bvi comunque rimane una sola e l'indirizzo ip di quell' interfaccia è lo stesso per entrambe le vlan giusto?
Ancora non sono arrivato alle wireless lan sul corso ccna....aaaah!!!
Se dovessi modificare la tua conf per usare due ssid ma una sola interfaccia a livello di lan potrei togliere la parte relativa alle vlan sull' interfaccia fastethernet, tu che dici?
Grazie per la pazienza!!!^_^

Inviato: **lun 23 giu , 2008 2:38 pm**

Guarda che io ho 2 vlan perchè mi serviva una rete x i dipendenti della azienda e una x gli ospiti (c'è una interfaccia dedicata su un ASA che fa anche da server dhcp x quella vlan).
Tu puoi creare tranquillamente una solo vlan e quindi 1 sl ssid

Inviato: **lun 23 giu , 2008 4:02 pm**

Io pure ho bisogno di due ssid perchè volevo fare un ssid con cui far associare i client che supportano tkip e un ssid per gli ipod!

Inviato: **lun 23 giu , 2008 4:17 pm**

Ok però in questo caso puoi creare 2 ssid nella stessa vlan

Inviato: **lun 23 giu , 2008 5:51 pm**

Si può fare?!
Se si può fare sarebbe bellino, comunque rileggevo la tua conf, tu hai configurato aes-ccm e tkip, ma funzionano entrambi? Se io ho un pc portatile ad esempio posso configurarlo per tkip se inserisco quel tipo di cipher?!

Inviato: **mar 24 giu , 2008 9:39 am**

Sei sicuro si possano configurare più ssid senza usare le vlan? Ho provato ora a configurare mbssid ma mi dice che non attiva l'interfaccia radio se non creo le vlan....

Inviato: **mar 24 giu , 2008 10:04 am**

Purtroppo hai ragione...ho controllato e:

+ ssid = + vlan

Inviato: **mar 24 giu , 2008 10:32 am**

nella tua conf dove stanno due ssid e due vlan hai dovuto poi configurare sullo switch le due vlan giusto?
Stavo pensando se potevo reindirizzare una vlan che aggiungo sulla nativa all'interno dello stesso ap! Senza dover passare per un router che mi reindirizza il traffico ma farlo fare direttamente all' ap, così non dovrei configurare due vlan sugli altri apparati, uscirei solo con la nativa e non avrei problemi...spero!

Inviato: **mar 24 giu , 2008 1:31 pm**

nella tua conf dove stanno due ssid e due vlan hai dovuto poi configurare sullo switch le due vlan giusto?

Si, le 2 vlan sono configurate sul core switch e la porta a cui sono collegati gli AP sono in trunk su entrambe le vlan interessate

Inviato: **mar 24 giu , 2008 5:15 pm**

AAAHHHHH!Finalmente sono riuscito a configurare aes-ccm!!!
Maledetti driver della scheda di rete!
Per quello non si associava con l'accesspoint!!!
Grazie per il supporto che mi hai dato wizard!
Ora spero solo che l'ipod che il cliente mi dovrà portare non faccia scherzi...

CiscoForums.it

ipod touch............

ipod touch............