选择区域语言: EN CN HK

09-WLAN流量优化配置指导

02-用户隔离配置

本章节下载  (267.47 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Operation_Manual/H3C_CG(R2417P01)-6W100/09/201902/1152219_30005_0.htm

02-用户隔离配置


1 用户隔离

1.1  用户隔离简介

用户隔离,即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。

1.1.1  用户隔离方式介绍

用户隔离包括基于SSID的用户隔离和基于VLAN的用户隔离:

·     基于SSID的用户隔离:用于隔离同一SSID下的无线用户。

·     基于VLAN的用户隔离:用于隔离同一VLAN内的有线用户和无线用户。

1.1.2  基于SSID的用户隔离

基于SSID的用户隔离功能开启后,无论无线用户是否属于同一VLAN,所有通过该SSID接入的无线用户之间将不再能够互相访问,实现了同一SSID下接入的所有无线用户之间互相隔离的目的。

图1-1所示,Client 1~Client m通过AP接入无线网络。在AP上开启基于SSID的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AP收到广播/组播报文后,仅将报文转发给Switch,不再将广播报文进行复制并转发给网络中的其他Client。

·     Client 1在VLAN 100内向Client 2发送单播报文,AP收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。

图1-1 报文路径转发示意图

 

1.1.3  基于VLAN的用户隔离

AP开启基于VLAN的用户隔离功能后,该VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间(无论无线用户是否使用同一SSID接入WLAN网络)的互相访问时,根据报文种类可按照如下机制进行隔离:

·     单播报文:AP直接丢弃该单播报文。

·     广播/组播报文:AP仅将报文通过有线接口转发给同一VLAN内的其他有线或无线用户,不向同一VLAN内通过该AP接入的无线用户转发。

1. AP接收无线用户发送的报文

图1-2所示,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。AP 2将报文转发给无线用户Client 3,而AP 1将不再把报文转发给无线用户Client 2。

·     Client 1在VLAN 100内向Client 3发送单播报文,AP 1收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-2 无线用户报文路径转发示意图

 

2. AP接收有线用户发送的报文

图1-3所示,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:

·     Host在VLAN 100内发送广播/组播报文,该报文由Switch转发到有线网络Server、AP 1和AP 2。AP 1接收到报文后不再把广播/组播报文转发给无线用户Client 1和Client 2,而是直接丢弃;AP 2接收到报文后转发给无线用户Client 3。

·     Host在VLAN 100内向Client 1发送单播报文,AP 1收到单播报文后,不将报文转发给Client 1,而是直接丢弃该单播报文。

图1-3 有线用户报文路径转发示意图

 

1.2  配置基于SSID的用户隔离功能

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启基于SSID的用户隔离功能。

user-isolation enable

缺省情况下,基于SSID的用户隔离功能处于关闭状态。

1.3  配置基于VLAN的用户隔离功能

1. 配置限制和指导

基于VLAN的用户隔离功能适用于集中式转发和本地转发应用场景:

·     在集中式转发应用场景下,仅需要直接在AC上开启该功能;

·     在本地转发应用场景下,需要将下面配置步骤中的命令按顺序编写到配置文件中,再通过map-configuration命令在AC上为AP指定该配置文件,通过将配置文件中的命令下发到AP的方式来开启该功能。关于配置文件的相关介绍和配置,请参见“WLAN接入配置指导”中的“WLAN接入”。

开启指定VLAN的用户隔离功能前,请务必将指定VLAN用户的网关MAC地址加入到允许转发列表中。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置指定VLAN的MAC地址允许转发列表。

user-isolation vlan vlan-list permit-mac mac-list

缺省情况下,未配置指定VLAN的MAC地址允许转发列表。

设备可以正常转发该VLAN内所有用户发送的单播/组播/广播报文或接收其他用户向该用户发送的单播报文。

(3)     开启指定VLAN的用户隔离功能。

user-isolation vlan vlan-list enable [ permit-unicast ]

缺省情况下,基于VLAN的用户隔离功能处于关闭状态。

(4)     (可选)配置允许转发有线用户发送给无线用户的广播和组播报文。

user-isolation permit-broadcast

缺省情况下,隔离有线用户发往无线用户的广播和组播报文。

1.4  用户隔离显示与维护

在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除用户隔离统计信息。

表1-1 用户隔离显示与维护

操作

命令

显示基于VLAN的用户隔离统计信息

display user-isolation statistics [ vlan vlan-id ]

清除基于VLAN的用户隔离统计信息

reset user-isolation statistics [ vlan vlan-id ]

 

1.5  用户隔离典型配置举例

1.5.1  基于SSID的用户隔离配置举例

1. 组网需求

通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。

2. 组网图

图1-4 基于SSID的用户隔离组网图

 

3. 配置步骤

# 配置Client 1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”)(略)

# 开启基于SSID的用户隔离功能。

<AP> system-view

[AP] wlan service-template service

[AP-wlan-st-service] user-isolation enable

[AP-wlan-st-service] quit

4. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.5.2  基于VLAN的用户隔离配置举例

1. 组网需求

图1-5所示,VLAN 100用户的网关Router的MAC地址为000f-e212-7788,在AP 1上配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现以下目的:

·     VLAN 100中的无线用户Client 1、Client 2、Client 3、Host和Server可以访问Internet;

·     Client 1发送广播报文时,仅有线用户Host、Server和Client 3可以收到;

·     Client 1向Client 3发送单播报文时,无法访问Client 2、Host、Server和Client 3。

2. 组网图

图1-5 基于VLAN的用户隔离配置组网图

 

3. 配置步骤

# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”)(略)

# 将Router与Switch连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表。

<AP1> system-view

[AP1] user-isolation vlan 100 permit-mac 000f-e212-7788

# 在VLAN 100上开启基于VLAN的用户隔离功能。

[AP1] user-isolation vlan 100 enable

4. 验证配置

VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server都可以访问Internet;当Client 1发送广播报文时,仅Host、Server和Client 3可以收到;Client 1向Client 3发送单播报文时,无法访问Client 2、Host、Server和Client 3。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!