- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
13-用户隔离配置
本章节下载: 13-用户隔离配置 (208.03 KB)
用户隔离,即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。
用户隔离包括基于SSID的用户隔离和基于VLAN的用户隔离:
· 基于SSID的用户隔离:用于隔离同一SSID下的无线用户。
· 基于VLAN的用户隔离:用于隔离同一VLAN内的有线用户和无线用户。
基于SSID的用户隔离功能开启后,无论无线用户是否属于同一VLAN,所有通过该SSID接入的无线用户之间将不再能够互相访问,实现了同一SSID下接入的所有无线用户之间互相隔离的目的。
如图1-1所示,Client 1~Client m通过AP接入无线网络。在AP上开启基于SSID的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AP收到广播/组播报文后,仅将报文转发给Switch,不再将广播报文进行复制并转发给网络中的其他Client。
· Client 1在VLAN 100内向Client 2发送单播报文,AP收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。
AP开启基于VLAN的用户隔离功能后,该VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间(无论无线用户是否使用同一SSID接入WLAN网络)的互相访问时,根据报文种类可按照如下机制进行隔离:
· 单播报文:AP直接丢弃该单播报文。
· 广播/组播报文:AP仅将报文通过有线接口转发给同一VLAN内的其他有线或无线用户,不向同一VLAN内通过该AP接入的无线用户转发。
如图1-2所示,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。AP 2将报文转发给无线用户Client 3,而AP 1将不再把报文转发给无线用户Client 2。
· Client 1在VLAN 100内向Client 3发送单播报文,AP 1收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
如图1-3所示,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:
· Host在VLAN 100内发送广播/组播报文,该报文由Switch转发到有线网络Server、AP 1和AP 2。AP 1接收到报文后不再把广播/组播报文转发给无线用户Client 1和Client 2,而是直接丢弃;AP 2接收到报文后转发给无线用户Client 3。
· Host在VLAN 100内向Client 1发送单播报文,AP 1收到单播报文后,不将报文转发给Client 1,而是直接丢弃该单播报文。
表1-1 开启基于SSID的用户隔离功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
开启基于SSID的用户隔离功能 |
user-isolation enable |
缺省情况下,基于SSID的用户隔离功能处于关闭状态 可通过display wlan service-template查看基于SSID用户隔离的开启状态。关于该命令的详细介绍,请参见“WLAN命令参考”中的“WLAN接入” |
为了避免在指定VLAN上开启用户隔离功能后,VLAN内的用户无法访问外部网络的情况,必须先将VLAN用户的网关MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
基于VLAN的用户隔离功能适用于集中式转发和本地转发应用场景:
· 在集中式转发应用场景下,仅需要直接在AC上开启该功能;
· 在本地转发应用场景下,需要通过map-configuration命令在AC上指定AP的配置文件来开启该功能。关于配置文件的相关介绍和配置,请参见“WLAN配置指导”中的“WLAN接入”。
表1-2 配置基于VLAN的用户隔离
|
(可选)配置指定VLAN的MAC地址允许转发列表 |
user-isolation vlan vlan-list permit-mac mac-list |
缺省情况下,未配置指定VLAN的MAC地址允许转发列表 设备接收到该用户发送的单播/广播/组播报文或其他用户发送向该用户的单播报文可以正常进行转发 |
|
开启指定VLAN的用户隔离功能 |
user-isolation vlan vlan-list enable [ permit-unicast ] |
缺省情况下,基于VLAN的用户隔离功能处于关闭状态 若指定permit-unicast参数,则允许该VLAN内所有用户的单播报文正常转发 |
|
(可选)配置允许转发有线用户发送给无线用户的广播和组播报文 |
user-isolation permit-broadcast |
缺省情况下,隔离有线用户发往无线用户的广播和组播报文 |
在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。
表1-3 用户隔离显示与维护
|
操作 |
命令 |
|
显示基于VLAN的用户隔离统计信息 |
|
|
清除基于VLAN的用户隔离统计信息 |
reset user-isolation statistics |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
