- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-用戶隔離配置
本章節下載: 01-用戶隔離配置 (581.50 KB)
用戶隔離,即對使用同一公共無線服務或在同一VLAN進行通信的用戶進行報文隔離,從而達到提高用戶安全性、緩解設備轉發壓力和減少射頻資源消耗的目的。
用戶隔離包括基於SSID的用戶隔離和基於VLAN的用戶隔離:
· 基於SSID的用戶隔離:用於隔離同一SSID下的無線用戶。
· 基於VLAN的用戶隔離:用於隔離同一VLAN內的有線用戶和無線用戶。
基於SSID的用戶隔離功能適用於集中式轉發和本地轉發場景下,設備開啟基於SSID的用戶隔離功能後,通過該SSID接入無線服務且處於同一VLAN內的無線用戶之間將不能夠互相訪問。
如圖1-1所示,在集中式轉發場景下,Client 1~Client 3分別通過AP 1~AP 3接入無線網絡,Client 1和Client 2屬於VLAN 100,Client 3屬於VLAN 200。在AC上開啟基於SSID的用戶隔離功能:
· Client 1在VLAN 100內發送廣播/組播報文,AC收到廣播/組播報文後,不再將廣播/組播報文複製及轉發給網絡中的AP,而是僅將去掉CAPWAP隧道封裝的報文通過有線接口轉發給Switch。
· Client 1在VLAN 100內向Client 2發送單播報文,AC收到單播報文後,不將報文轉發給AP 2,而是直接丟棄該單播報文。
該機製僅隔離同一AP下的無線客戶端。
如圖1-2所示,在本地轉發場景下,Client 1~Client 4分別通過AP 1~AP 3接入無線網絡,Client 1~Client 3屬於VLAN 100,Client 4屬於VLAN 200。在AP 1上開啟基於SSID的用戶隔離功能:
· Client 1在VLAN 100內發送廣播/組播報文,AP 1收到廣播/組播報文後,僅將報文通過有線接口轉發給同一VLAN內的有線網絡用戶AP 2、AP 3和Host,不再將報文轉發給無線用戶Client 2。AP 2接收到報文後轉發給無線用戶Client 3,AP 3接收到報文後不會將其轉發給Client 4。
· Client 1在VLAN 100內向Client 2發送單播報文,AP 1收到單播報文後,不將報文轉發給Client 2,而是直接丟棄該單播報文。
基於VLAN的用戶隔離功能適用於集中式轉發和本地轉發場景下,設備在指定VLAN內開啟該功能後,該VLAN內的有線用戶之間、有線用戶和無線用戶之間以及無線用戶之間(無論無線用戶是否使用同一SSID接入WLAN網絡)的互相訪問將按照表1-1的機製進行隔離。
表1-1 基於VLAN的用戶隔離處理機製
|
數據報文轉發方式 |
收到單播報文 |
收到廣播/組播報文 |
|
集中式轉發 |
AC直接丟棄該單播報文 |
AC僅將報文轉發給同一VLAN內的有線用戶,不向同一VLAN內的無線用戶轉發 |
|
本地轉發 |
Fit AP直接丟棄該單播報文 |
Fit AP僅將報文通過有線接口轉發給同一VLAN內的有線或無線用戶,不向同一VLAN內通過該AP接入的無線用戶轉發 |
如圖1-3所示,在集中式轉發場景下,無線用戶Client 1和Client 2通過AP 1接入無線網絡,Client 3通過AP 2接入無線網絡,Client 1~Client 3和有線用戶Server、Host都屬於VLAN 100。在AC上開啟基於VLAN的用戶隔離功能:
· Client 1在VLAN 100內發送廣播/組播報文,AC收到廣播/組播報文後,不再將廣播/組播報文複製及轉發給網絡中的AP,而是僅將去掉CAPWAP隧道封裝的報文通過有線接口轉發給同一VLAN內的有線用戶Host和Server。
· Client 1在VLAN 100內向Client 3發送單播報文,AC收到單播報文後,不將報文轉發給AP 2,而是直接丟棄該單播報文。
如圖1-4所示,在集中式轉發場景下,無線用戶Client 1和Client 2通過AP 1接入無線網絡,Client 3通過AP 2接入無線網絡,Client 1~Client 3和有線用戶Server、Host都屬於VLAN 100。在AC上開啟基於VLAN的用戶隔離功能:
· Host在VLAN 100內發送廣播/組播報文,該報文轉發到AC和有線網絡用戶Server,AC收到該廣播/組播報文後不再將廣播/組播報文進行CAPWAP封裝轉發給AP,而是直接丟棄。
· Host在VLAN 100內向Client 3發送單播報文,AC收到單播報文後,不將報文轉發給AP 2,而是直接丟棄該單播報文。
如圖1-5所示,在本地轉發場景下,無線用戶Client 1和Client 2通過AP 1接入無線網絡,Client 3通過AP 2接入無線網絡,Client 1~Client 3和有線用戶Server、Host都屬於VLAN 100。在AP 1上開啟基於VLAN的用戶隔離功能:
· Client 1在VLAN 100內發送廣播/組播報文,AP 1接收到該報文後僅將報文通過有線接口轉發給同一VLAN內的有線網絡用戶Server、AP 2和Host。AP 2接收到報文後轉發給無線用戶Client 3,而AP 1不再將報文轉發給無線用戶Client 2。
· Client 1在VLAN 100內向Client 3發送單播報文,AP 1收到單播報文後,不將報文轉發給AP 2,而是直接丟棄該單播報文。
如圖1-6所示,在本地轉發場景下,無線用戶Client 1和Client 2通過AP 1接入無線網絡,Client 3通過AP 2接入無線網絡,Client 1~Client 3和有線用戶Server、Host都屬於VLAN 100。在AP 1上開啟基於VLAN的用戶隔離功能:
· Host在VLAN 100內發送廣播/組播報文,該報文由Switch轉發到有線網絡Server、AC、AP 1和AP 2。AP 1接收到報文後不再將廣播報文轉發給無線用戶Client 1和Client 2,而是直接丟棄;AP 2接收到報文後轉發給無線用戶Client 3。
· Host在VLAN 100內向Client 1發送單播報文,AP 1收到單播報文後,不將報文轉發給Client 1,而是直接丟棄該單播報文。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟基於SSID的用戶隔離功能。
user-isolation enable
缺省情況下,基於SSID的用戶隔離功能處於關閉狀態。
基於VLAN的用戶隔離功能適用於集中式轉發和本地轉發應用場景:
· 在集中式轉發應用場景下,僅需要直接在AC上開啟該功能;
· 在本地轉發應用場景下,需要將下麵配置步驟中的命令按順序編寫到配置文件中,再通過map-configuration命令在AC上為AP指定該配置文件,通過將配置文件中的命令下發到AP的方式來開啟該功能。關於配置文件的相關介紹和配置,請參見“WLAN接入配置指導”中的“WLAN接入”。
開啟指定VLAN的用戶隔離功能前,請務必將指定VLAN用戶的網關MAC地址加入到允許轉發列表中。
(1) 進入係統視圖。
system-view
(2) 配置指定VLAN的MAC地址允許轉發列表。
user-isolation vlan vlan-list permit-mac mac-list
缺省情況下,未配置指定VLAN的MAC地址允許轉發列表。
設備可以正常轉發該VLAN內所有用戶發送的單播/組播/廣播報文或接收其他用戶向該用戶發送的單播報文。
(3) 開啟指定VLAN的用戶隔離功能。
user-isolation vlan vlan-list enable [ permit-unicast ]
缺省情況下,基於VLAN的用戶隔離功能處於關閉狀態。
(4) (可選)配置允許轉發有線用戶發送給無線用戶的廣播和組播報文。
user-isolation permit-broadcast
缺省情況下,隔離有線用戶發往無線用戶的廣播和組播報文。
在完成上述配置後,在任意視圖下執行display命令可以查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除用戶隔離統計信息。
表1-2 用戶隔離顯示與維護
|
操作 |
命令 |
|
顯示基於VLAN的用戶隔離統計信息 |
display user-isolation statistics [ vlan vlan-id ] |
|
清除基於VLAN的用戶隔離統計信息 |
reset user-isolation statistics [ vlan vlan-id ] |
本手冊中的AP型號和序列號僅為舉例,具體支持的AP型號和序列號請以設備的實際情況為準。
在集中式轉發場景下,通過配置基於SSID的用戶隔離,實現用戶Client 1和Client 2可以通過同一個SSID訪問網絡,但是兩者不能相互訪問。
圖1-7 集中式轉發場景下基於SSID的用戶隔離組網圖
# 配置Client1和Client 2通過無線網絡接入Internet。(詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”)(略)
# 開啟基於SSID的用戶隔離功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] user-isolation enable
[AC-wlan-st-service] quit
用戶Client 1和Client 2都可以訪問Internet,但是不能相互訪問。
在本地轉發場景下,通過配置基於SSID的用戶隔離,實現用戶Client 1和Client 2可以通過同一個SSID訪問網絡,但是兩者不能相互訪問。
圖1-8 本地轉發場景下基於SSID的用戶隔離組網圖
# 配置Client1和Client 2通過無線網絡接入Internet。(詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”)(略)
# 開啟基於SSID的用戶隔離功能。
<AC> system-view
[AC] wlan service-template service1
[AC-wlan-st-service1] user-isolation enable
[AC-wlan-st-service1] quit
用戶Client 1和Client 2都可以訪問Internet,但是不能相互訪問。
在集中式轉發場景下,如圖1-9所示,VLAN 100用戶的網關Router的MAC地址為000f-e212-7788,通過配置基於VLAN的用戶隔離,將網關的MAC地址加入到允許轉發列表,實現以下目的:
· VLAN 100中的無線用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet;
· Client 1發送廣播報文時,僅有線用戶Host和Server可以收到;
· Client 1、Client 2及Client 3之間無法互訪。
圖1-9 集中式轉發場景下基於VLAN的用戶隔離配置組網圖
# 配置Client 1、Client 2和Client 3通過無線網絡接入Internet。(詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”)(略)
# 將Router與AC連接側接口的MAC地址000f-e212-7788加入VLAN 100的允許轉發列表。
[AC] user-isolation vlan 100 permit-mac 000f-e212-7788
# 在VLAN 100上開啟基於VLAN的用戶隔離功能。
[AC] user-isolation vlan 100 enable
VLAN 100中的用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet,當Client1發送廣播報文時,僅Host和Server可以收到,Client 1、Client 2和Client 3之間無法互訪。
在本地轉發場景下,如圖1-10所示,VLAN 100用戶的網關Router的MAC地址為000f-e212-7788,在AP 1上配置基於VLAN的用戶隔離,將網關的MAC地址加入到允許轉發列表,實現以下目的:
· VLAN 100中的無線用戶Client 1、Client 2、Client 3和有線用戶Host、Server可以訪問Internet;
· Client 1發送廣播報文時,僅有線用戶Host、Server和無線用戶Client 3可以收到;
· Client 1和Client 2無法互訪。
圖1-10 本地轉發場景下基於VLAN的用戶隔離配置組網圖
# 配置Client 1、Client 2和Client 3通過無線網絡接入Internet。(詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”)(略)
# 請按照命令行配置順序編寫apcfg.txt配置文件,將Router與AC連接側接口的MAC地址000f-e212-7788加入VLAN 100的允許轉發列表,然後開啟基於VLAN的用戶隔離功能。
<AC> system-view
[AC] user-isolation vlan 100 permit-mac 000f-e212-7788
[AC] user-isolation vlan 100 enable
# 在AC上將配置文件apcfg.txt下發到AP,從而完成對AP的配置。
<AC> system-view
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] map-configuration apcfg.txt
VLAN 100中的用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet,當Client 1發送廣播報文時,僅Host、Server和Client 3可以收到,Client 1和Client 2無法互訪。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
