- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-用戶隔離配置
本章節下載: 02-用戶隔離配置 (323.35 KB)
用戶隔離,即對使用同一公共無線服務或在同一VLAN進行通信的用戶進行報文隔離,從而達到提高用戶安全性、緩解設備轉發壓力和減少射頻資源消耗的目的。
用戶隔離包括基於SSID的用戶隔離和基於VLAN的用戶隔離:
· 基於SSID的用戶隔離:用於隔離同一SSID下的無線用戶。
· 基於VLAN的用戶隔離:用於隔離同一VLAN內的有線用戶和無線用戶。
基於SSID的用戶隔離功能開啟後,無論無線用戶是否屬於同一VLAN,所有通過該SSID接入的無線用戶之間將不再能夠互相訪問,實現了同一SSID下接入的所有無線用戶之間互相隔離的目的。
如圖1-1所示,Client 1~Client m通過AP接入無線網絡。在AP上開啟基於SSID的用戶隔離功能:
· Client 1在VLAN 100內發送廣播/組播報文,AP收到廣播/組播報文後,僅將報文轉發給Switch,不再將廣播報文進行複製並轉發給網絡中的其他Client。
· Client 1在VLAN 100內向Client 2發送單播報文,AP收到單播報文後,不將報文轉發給Client 2,而是直接丟棄該單播報文。
AP開啟基於VLAN的用戶隔離功能後,該VLAN內的有線用戶之間、有線用戶和無線用戶之間以及無線用戶之間(無論無線用戶是否使用同一SSID接入WLAN網絡)的互相訪問時,根據報文種類可按照如下機製進行隔離:
· 單播報文:AP直接丟棄該單播報文。
· 廣播/組播報文:AP僅將報文通過有線接口轉發給同一VLAN內的其他有線或無線用戶,不向同一VLAN內通過該AP接入的無線用戶轉發。
如圖1-2所示,無線用戶Client 1和Client 2通過AP 1接入無線網絡,Client 3通過AP 2接入無線網絡,Client 1~Client 3和有線用戶Server、Host都屬於VLAN 100。在AP 1上開啟基於VLAN的用戶隔離功能:
· Client 1在VLAN 100內發送廣播/組播報文,AP 1接收到該報文後僅將報文通過有線接口轉發給同一VLAN內的有線網絡用戶Server、AP 2和Host。AP 2將報文轉發給無線用戶Client 3,而AP 1將不再把報文轉發給無線用戶Client 2。
· Client 1在VLAN 100內向Client 3發送單播報文,AP 1收到單播報文後,不將報文轉發給AP 2,而是直接丟棄該單播報文。
如圖1-3所示,無線用戶Client 1和Client 2通過AP 1接入無線網絡,Client 3通過AP 2接入無線網絡,Client 1~Client 3和有線用戶Server、Host都屬於VLAN 100。在AP 1上開啟基於VLAN的用戶隔離功能:
· Host在VLAN 100內發送廣播/組播報文,該報文由Switch轉發到有線網絡Server、AP 1和AP 2。AP 1接收到報文後不再把廣播/組播報文轉發給無線用戶Client 1和Client 2,而是直接丟棄;AP 2接收到報文後轉發給無線用戶Client 3。
· Host在VLAN 100內向Client 1發送單播報文,AP 1收到單播報文後,不將報文轉發給Client 1,而是直接丟棄該單播報文。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟基於SSID的用戶隔離功能。
user-isolation enable
缺省情況下,基於SSID的用戶隔離功能處於關閉狀態。
開啟指定VLAN的用戶隔離功能前,請務必將指定VLAN用戶的網關MAC地址加入到允許轉發列表中。
(1) 進入係統視圖。
system-view
(2) 配置指定VLAN的MAC地址允許轉發列表。
user-isolation vlan vlan-list permit-mac mac-list
缺省情況下,未配置指定VLAN的MAC地址允許轉發列表。
設備可以正常轉發該VLAN內所有用戶發送的單播/組播/廣播報文或接收其他用戶向該用戶發送的單播報文。
(3) 開啟指定VLAN的用戶隔離功能。
user-isolation vlan vlan-list enable [ permit-unicast ]
缺省情況下,基於VLAN的用戶隔離功能處於關閉狀態。
(4) (可選)配置允許轉發有線用戶發送給無線用戶的廣播和組播報文。
user-isolation permit-broadcast
缺省情況下,隔離有線用戶發往無線用戶的廣播和組播報文。
(5) (可選)允許指定VLAN內的無線用戶接收廣播和組播報文。
user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number
缺省情況下,同一VLAN內的無線用戶不能接收廣播和組播報文。
在完成上述配置後,在任意視圖下執行display命令可以查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除用戶隔離統計信息。
表1-1 用戶隔離顯示與維護
|
操作 |
命令 |
|
顯示基於VLAN的用戶隔離統計信息 |
display user-isolation statistics [ vlan vlan-id ] |
|
清除基於VLAN的用戶隔離統計信息 |
reset user-isolation statistics [ vlan vlan-id ] |
通過配置基於SSID的用戶隔離,實現用戶Client 1和Client 2可以通過同一個SSID訪問網絡,但是兩者不能相互訪問。
圖1-4 基於SSID的用戶隔離組網圖
# 配置Client 1和Client 2通過無線網絡接入Internet。(詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”)(略)
# 開啟基於SSID的用戶隔離功能。
<AP> system-view
[AP] wlan service-template service
[AP-wlan-st-service] user-isolation enable
[AP-wlan-st-service] quit
用戶Client 1和Client 2都可以訪問Internet,但是不能相互訪問。
如圖1-5所示,VLAN 100用戶的網關Router的MAC地址為000f-e212-7788,在AP 1上配置基於VLAN的用戶隔離,將網關的MAC地址加入到允許轉發列表,實現以下目的:
· VLAN 100中的無線用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet;
· Client 1發送廣播報文時,僅有線用戶Host、Server和Client 3可以收到;
· Client 1向Client 3發送單播報文時,Client 1無法訪問Client 2、Host、Server和Client 3。
圖1-5 基於VLAN的用戶隔離配置組網圖
# 配置Client 1、Client 2和Client 3通過無線網絡接入Internet。(詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”)(略)
# 將Router與Switch連接側接口的MAC地址000f-e212-7788加入VLAN 100的允許轉發列表。
<AP1> system-view
[AP1] user-isolation vlan 100 permit-mac 000f-e212-7788
# 在VLAN 100上開啟基於VLAN的用戶隔離功能。
[AP1] user-isolation vlan 100 enable
VLAN 100中的用戶Client 1、Client 2、Client 3、Host和Server都可以訪問Internet;當Client 1發送廣播報文時,僅Host、Server和Client 3可以收到;Client 1向Client 3發送單播報文時,Client 1無法訪問Client 2、Host、Server和Client 3。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
