用户隔离
本帮助主要介绍以下内容:
特性简介
用户隔离,即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离,从而使用户间不能互相转发报文,即不能进行直接通信,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。
运行机制
用户隔离包括基于VLAN的用户隔离和基于无线服务的用户隔离:
基于VLAN的用户隔离:用于隔离同一VLAN内的有线用户和无线用户。
基于无线服务的用户隔离:用于隔离同一SSID下,且在同一VLAN内的无线用户。
基于VLAN的用户隔离
基于VLAN的用户隔离功能仅适用于集中式转发场景,设备在指定VLAN内开启该功能后,AC收到该VLAN内用户间互相访问的报文时,将按照如下机制进行隔离:
AC收到单播报文:丢弃单播报文。
AC收到广播/组播报文:AC仅将报文转发给同一VLAN内的有线用户,不向同一VLAN内的无线用户转发。
下面将详细介绍AC收到有线用户和无线用户的报文时,执行用户隔离的方式:
AC接收无线用户报文
如图-1所示,在集中式转发场景下,无线用户Client 1通过AP 1接入无线网络,无线用户Client 2通过AP 2接入无线网络,Client 1、Client 2和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:
Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文转发给网络中的AP,仅将报文通过有线接口转发给同一VLAN内的有线用户Host和Server。
Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
AC接收有线用户报文
如图-2所示,在集中式转发场景下,无线用户Client 1通过AP 1接入无线网络,Client 1和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:
Host在VLAN 100内发送广播/组播报文,该报文转发到AC和有线网络用户Server,AC收到该广播/组播报文后不再将广播/组播报文进行CAPWAP封装转发给AP,而是直接丢弃,有线网络用户Server可以收到广播报文。
Host在VLAN 100内向Client发送单播报文,由于是集中转发,报文会首先上送AC,AC收到单播报文后,不将报文转发给AP,而是直接丢弃该单播报文。
基于无线服务的用户隔离
基于无线服务的用户隔离功能适用于集中式转发和本地转发场景,设备开启基于无线服务的用户隔离功能后,通过该SSID接入无线服务,且处于同一VLAN内的无线用户之间将不能够互相访问。
集中转发场景
如图-3所示,在集中式转发场景下,Client 1和Client 2分别通过AP 1和AP 2接入无线网络,Client 1和Client 2属于VLAN 100。在AC上开启基于SSID的用户隔离功能:
Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给Switch。
Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
本地转发场景
该机制仅隔离同一AP下的无线客户端。
如图-4所示,在本地转发场景下,Client 1和Client 2分别通过AP 1和AP 2接入无线网络,Client 1和Client 2属于VLAN 100。在AC上开启基于SSID的用户隔离功能:
Client 1在VLAN 100内发送广播/组播报文,AP 1收到广播/组播报文后,仅将报文通过有线接口转发给同一VLAN内的有线网络用户AP 2,不再将报文转发给无线用户Client 2。AP 2接收到报文后转发给无线用户Client 3。
Client 1在VLAN 100内向Client 2发送单播报文,AP 1收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。
适用场景
用户隔离技术适用于如下场景:
用户隔离可以阻断通信,故适用于对安全性要求高的场景。
用户隔离可以减少广播报文对射频资源的占用,故适用于希望节约射频资源的场景。
配置指南
配置思路
基于VLAN的用户隔离功能的配置思路如下图所示:
基于无线服务的用户隔离功能的配置思路如下图所示:
基础配置
配置基于VLAN的用户隔离功能
基于VLAN的用户隔离功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于VLAN的用户隔离”。
(可选)在基于VLAN的用户隔离页面,开启放通有线到无线的广播和组播功能,允许VLAN内转发有线用户发送给无线用户的广播和组播报文。
点击<新增>按钮,选择配置克隆对象,设备将对应VLAN用户隔离的基础配置和高级配置克隆一份,省去手动配置的步骤。如无需克隆其他VLAN的用户隔离配置,请选择跳过。
在新增VLAN隔离配置弹窗中输入需要用户隔离的VLAN。完成VLAN填写后,即可开启用户隔离功能。
(可选)在新增VLAN隔离配置弹窗中,添加该VLAN内允许放通的MAC地址,所配置的MAC地址不会被隔离。
配置基于无线服务的用户隔离功能
基于无线服务的用户隔离功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于无线服务的用户隔离”。
在未开启用户隔离的无线服务列表中勾选需要开启本功能的无线服务,开启用户隔离功能。
高级配置
配置允许单播功能
允许单播功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于VLAN的用户隔离”。
在基于VLAN的用户隔离的“高级配置”栏目,开启允许单播功能。
开启本功能后,不再隔离VLAN内所有用户的单播报文。
配置允许特定广播组播报文功能
允许特定广播组播报文功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于VLAN的用户隔离”。
在基于VLAN的用户隔离的“高级配置”栏目,选择指定的IPv4 ACL,开启允许特定广播组播报文功能。
开启本功能后,允许无线用户接收有线用户或者无线用户发送的广播和组播报文。若需要接收指定协议的广播组播报文通过(例如Bonjour应用),则需要配置本功能。
集中转发基于VLAN的用户隔离典型配置
组网需求
在集中式转发场景下,如图-5所示,VLAN 100用户的网关Switch的MAC地址为000f-e212-7788,通过配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现以下目的:
VLAN 100中的无线用户Client 1、Client 2、Client 3、Host和Server可以访问Internet。
Client 1发送广播报文时,仅有线用户Host和Server可以收到。
Client 1、Client 2及Client 3之间无法互访。
配置步骤
AC基本配置
配置AC与其它网络设备互通。(步骤略)
配置AP上线并完成无线服务等的业务配置。(步骤略)
配置用户隔离功能
基于VLAN的用户隔离功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于VLAN的用户隔离”。
点击<新增>按钮,在新增VLAN隔离配置弹窗中输入需要用户隔离的VLAN 100,然后开启用户隔离功能。
在新增VLAN隔离配置弹窗中,添加该VLAN内允许放通的MAC地址000f-e212-7788。
图-6 集中式转发场景下基于VLAN的用户隔离配置
验证配置
VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet,当Client1发送广播报文时,仅Host和Server可以收到,Client 1、Client 2和Client 3之间无法互访。
集中转发基于无线服务的用户隔离典型配置
组网需求
在集中式转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过名称为Service的SSID访问网络,但是两者不能相互访问。
图-7 集中式转发场景下基于SSID的用户隔离组网图
配置步骤
AC基本配置
配置AC与其它网络设备互通。(步骤略)
配置AP上线并完成无线服务等的业务配置。(步骤略)
配置用户隔离功能
用户隔离功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于无线服务的用户隔离”。
在未开启用户隔离的无线服务列表中,勾选SSID为Serivce的无线服务,开启用户隔离功能。
图-8 集中式转发场景下基于SSID的用户隔离配置
验证配置
用户Client 1和Client 2都可以访问Internet,但是不能相互访问。
本地转发基于无线服务的用户隔离典型配置
组网需求
图-9 本地转发场景下基于SSID的用户隔离组网图
配置步骤
AC基本配置
配置AC与其它网络设备互通。(步骤略)
配置AP上线并完成无线服务等的业务配置。(步骤略)
配置用户隔离功能
用户隔离功能的具体配置步骤如下:
选择“配置 > 无线网优 > 用户隔离 > 基于无线服务的用户隔离”。
在未开启用户隔离的无线服务列表中,勾选SSID为Serivce的无线服务,开启用户隔离功能。
图-10 本地转发场景下基于SSID的用户隔离配置
验证配置
用户Client 1和Client 2都可以访问Internet,但是不能相互访问。