在网络中配置多个SSID

目标

服务集标识符(SSID)是无线客户端可以连接到无线网络中的所有设备或在其中共享的唯一标识符。它区分大小写，并且不能超过32个字母数字字符。

本文的目的是向您展示如何使用VLAN在网络上正确配置多个SSID，以正确分段专用网络和访客网络。

为什么要配置多个SSID?

在瞬息万变且不断增长的工作环境中，网络需要可扩展以满足公司的需求。这包括对最具成本效益的方法进行虚拟和物理更改。

在人们来来去去的环境中，对网络进行分段是最佳做法。为员工创建共享网络，以便在其中可以交换敏感的企业数据（专用网络），为临时员工或客户（访客网络）创建另一个共享网络。 

注意：强制网络门户也可以创建为公共网络的额外安全手段。强制网络门户是无线接入点上的一项功能，它允许您设置访客网络，在访客网络中，无线用户需要首先通过身份验证才能访问互联网。它为访客提供无线访问，同时保持内部网络的安全。要了解如何配置强制网络门户，请单击此处。

     网络拓扑

      使用多SSID的优势：

1. 安全且持久的连接
2. 持续的安全和策略实施
3. 通过分段公共网络和专用网络来最大限度地提高网络能力
4. 使用公共SSID，它允许访客通过同一WAP访问互联网，而不会跨过敏感网络信息。

适用设备

• 路由器 — RV340
• 交换机 — SG220-26P
• 无线接入点 — WAP150

软件版本

• 1.0.01.17 — RV340
• 1.0.1.7 — WAP150
• 1.1.2.1 — SG220-26P

在交换机上配置VLAN

为专用和访客网络创建VLAN

步骤1.登录交换机的基于Web的实用程序，然后选择VLAN Management > Create VLAN。

步骤2.在VLAN表中，单击Add创建新VLAN。

步骤3.在VLAN ID字段中，为VLAN分配值。范围为2-4094。

注意：VLAN ID 25将是整个配置中使用的示例。

步骤4.在VLAN Name字段中，输入32个字符限制内的名称。

注意：在本例中，使用GuestDisco。

步骤5.单击“应用”。

步骤6.重复步骤2至5创建多个SSID。

注意：在本示例中，已另外创建了带有SSID PrivateDisco的专用VLAN网络。

现在，您应该已成功为专用网络和访客网络创建VLAN。

为VLAN分配端口

步骤1.选择VLAN Management > Port to VLAN。

步骤2.在Filter区域，从VLAN ID等于下拉列表中，选择要分配给接口的VLAN ID。

注意：在本例中，选择25。

步骤3.在Filter区域，从Interface type equals To下拉列表中，选择要添加到VLAN的接口类型。可用选项为端口或链路聚合组(LAG)。

注意：在本例中，选择端口。

步骤4.单击Go。

步骤5.选择要应用VLAN的接口。选项有：

• 禁止 — 即使从通用VLAN注册协议(GVRP)注册，也不允许接口加入VLAN。当端口不是任何其他VLAN的成员时，在端口上启用此选项会使端口成为内部VLAN 4095（保留的VID）的一部分。
• 已排除 — 接口当前不是VLAN的成员。这是所有端口和LAG的默认设置。端口可以通过GVRP注册加入VLAN。
• 已标记 — 接口是VLAN的已标记成员。
• 无标记 — 接口是VLAN的无标记成员。VLAN的帧将无标记地发送到接口VLAN。
• PVID — 选中以将接口的PVID设置为VLAN的VID。PVID是每端口设置。

注意：在本例中，GE8是为要标记的VLAN ID 25选择的接口。选择此选项也是因为现有WAP通过此端口连接。

步骤6.单击“应用”。

步骤7.（可选）单击Port VLAN Membership Table(端口VLAN成员表)按钮，查看为端口分配的VLAN。

您现在应该已成功将VLAN分配给端口。

在路由器上创建VLAN

注意：本示例中使用的路由器是RV34x系列路由器。

步骤1.登录到路由器的基于Web的实用程序，然后选择LAN > VLAN Settings。

步骤2.在VLAN表中，单击Add 以创建新的VLAN。

步骤3.在VLAN ID字段中，输入一个介于2到4094之间的数字作为VLAN ID。

注意：在本例中，VLAN ID为25。VLAN名称将根据输入的VLAN ID自动填充。

步骤4.（可选）选中Enable Inter-VLAN Routing复选框以允许不同VLAN之间的通信。默认情况下会选中此复选框。

注意：VLAN 会对 LAN 环境中的广播域进行划分。当某个 VLAN 中的主机需要与另一个 VLAN 中的主机进行通信时，必须在这两个 VLAN 之间路由数据流。

步骤5.在IPv4地址字段中，输入IPv4地址。

注意：在本例中，192.168.11.1用作IPv4地址。

步骤6.在Prefix Length字段中输入IPv4地址的前缀长度。这决定了子网中的主机数量。

注意：在本例中，使用24。

步骤7.单击“应用”。

步骤8.根据需要对VLAN重复这些步骤。

注意：在本例中，使用VLAN ID 30创建了另一个VLAN。

现在，您应该已在路由器上成功配置了基于IPv4的VLAN。

在无线接入点上配置VLAN

本文假设已配置基本无线电设置。要了解如何在WAP上配置基本无线电设置，请单击此处。

在此系列步骤中，我们在WAP150上修改单个无线电上的现有网络。

步骤1.登录WAP的基于Web的实用程序，然后选择Wireless > Networks。

步骤2.单击单选按钮选择无线频段以创建和广播无线网络。选项有：

• 2.4 GHz — 范围更广，更适合仅支持2.4 GHz的传统设备。
• 5 GHz — 提供更安全的覆盖范围，并提供与较新设备的更好兼容性。

注意：在本例中，选择无线电2(5 GHz)。

步骤3.在此步骤中，您可以选择创建或编辑SSID。选中要编辑的SSID或虚拟接入点(VAP)复选框。

注意：在本示例中，选择VAP 0、VAP 1和VAP2。

步骤4.单击“编辑”。

步骤5.选中Enable复选框以启用SSID。

注意：在本例中，将检查GuestDisco和Private Disco。 

步骤6.在VLAN ID字段中，输入路由器和交换机上最近配置的VLAN ID。

注意：在本例中，应为25和30。

步骤7.（可选）在SSID Name字段中，重命名现有SSID名称。

注意：在本例中，未进行任何更改。

步骤8.选中Enable SSID Broadcast复选框以启用对无线客户端设备的可视性。

步骤9.从Security下拉列表中，选择要在网络上实施的安全类型。选项有：

• 无 — 这是默认设置。选择None将使无线网络处于不安全状态，因此任何使用无线客户端设备的人都可以轻松连接到网络。
• WPA个人 — Wi-Fi保护访问(WPA)使用高级加密标准(AES)密码来保护无线网络。密码使用区分大小写的字母和数字的组合。建议使用此安全类型。
• WPA企业 — WPA企业通常用于企业结构化网络。它需要远程身份验证拨入用户服务(RADIUS)才能完成此类无线安全设置。

注意：在本例中，WPA个人应用于两个SSID。

步骤10.从MAC过滤下拉列表中选择一个选项，以根据主机的介质访问控制(MAC)地址为路由器分配一个操作以过滤主机。选项有：

• 已禁用 — MAC过滤在网络上禁用。
• 本地 — 使用在WAP上创建的列表过滤MAC地址访问网络。
• RADIUS — 此选项使用RADIUS服务器过滤MAC地址。

步骤11.选中Channel Isolation复选框以禁用客户端之间的通信。

步骤12.（可选）选中Band Steer复选框，将设备引导到更优的射频，从而提高网络性能。

步骤13.单击 。

步骤14.系统将弹出一个窗口，通知您无线设置即将更新，并且您可能已断开连接。单击 OK 继续。

现在，您应该已经在接入点上成功配置了多个SSID，并且配置了正确的VLAN/分段。