目  錄

1 用戶隔離

1.1 用戶隔離簡介

1.1.1 用戶隔離方式介紹

1.1.2 基於SSID的用戶隔離

1.1.3 基於VLAN的用戶隔離

1.1.4 基於用戶組的用戶隔離

1.2 配置基於SSID的用戶隔離功能

1.3 配置基於VLAN的用戶隔離功能

1.4 配置基於用戶組的用戶隔離

1.5 用戶隔離顯示與維護

1.6 用戶隔離典型配置舉例

1.6.1 集中式轉發場景下基於SSID的用戶隔離配置舉例

1.6.2 本地轉發場景下基於SSID的用戶隔離配置舉例

1.6.3 集中式轉發場景下基於VLAN的用戶隔離配置舉例

1.6.4 本地轉發場景下基於VLAN的用戶隔離配置舉例

1.6.5 基於授權用戶組的用戶隔離配置舉例

 

1 用戶隔離

1.1  用戶隔離簡介

用戶隔離，即對使用同一公共無線服務或在同一VLAN進行通信的用戶進行報文隔離，從而達到提高用戶安全性、緩解設備轉發壓力和減少射頻資源消耗的目的。

1.1.1  用戶隔離方式介紹

用戶隔離包括基於SSID的用戶隔離和基於VLAN的用戶隔離：

·     基於SSID的用戶隔離：用於隔離同一SSID下的無線用戶。

·     基於VLAN的用戶隔離：用於隔離同一VLAN內的有線用戶和無線用戶。

·     基於用戶組的用戶隔離：用於隔離用戶組內/組間的無線用戶。

1.1.2  基於SSID的用戶隔離

基於SSID的用戶隔離功能適用於集中式轉發和本地轉發場景下，設備開啟基於SSID的用戶隔離功能後，通過該SSID接入無線服務且處於同一VLAN內的無線用戶之間將不能夠互相訪問。

1. 集中式轉發場景下基於SSID的用戶隔離機製

如圖1-1所示，在集中式轉發場景下，Client 1～Client 3分別通過AP 1～AP 3接入無線網絡，Client 1和Client 2屬於VLAN 100，Client 3屬於VLAN 200。在AC上開啟基於SSID的用戶隔離功能：

·     Client 1在VLAN 100內發送廣播/組播報文，AC收到廣播/組播報文後，不再將廣播/組播報文複製及轉發給網絡中的AP，而是僅將去掉CAPWAP隧道封裝的報文通過有線接口轉發給Switch。

·     Client 1在VLAN 100內向Client 2發送單播報文，AC收到單播報文後，不將報文轉發給AP 2，而是直接丟棄該單播報文。

圖1-1 集中式轉發場景下報文路徑轉發示意圖

 

2. 本地轉發場景下基於SSID的用戶隔離機製

 

如圖1-2所示，在本地轉發場景下，Client 1～Client 4分別通過AP 1～AP 3接入無線網絡，Client 1～Client 3屬於VLAN 100，Client 4屬於VLAN 200。在AP 1上開啟基於SSID的用戶隔離功能：

·     Client 1在VLAN 100內發送廣播/組播報文，AP 1收到廣播/組播報文後，僅將報文通過有線接口轉發給同一VLAN內的有線網絡用戶AP 2、AP 3和Host，不再將報文轉發給無線用戶Client 2。AP 2接收到報文後轉發給無線用戶Client 3，AP 3接收到報文後不會將其轉發給Client 4。

·     Client 1在VLAN 100內向Client 2發送單播報文，AP 1收到單播報文後，不將報文轉發給Client 2，而是直接丟棄該單播報文。

圖1-2 本地轉發場景下報文路徑轉發示意圖

 

1.1.3  基於VLAN的用戶隔離

基於VLAN的用戶隔離功能適用於集中式轉發和本地轉發場景下，設備在指定VLAN內開啟該功能後，該VLAN內的有線用戶之間、有線用戶和無線用戶之間以及無線用戶之間（無論無線用戶是否使用同一SSID接入WLAN網絡）的互相訪問將按照表1-1的機製進行隔離。

表1-1 基於VLAN的用戶隔離處理機製

數據報文轉發方式	收到單播報文	收到廣播/組播報文
集中式轉發	AC直接丟棄該單播報文	AC僅將報文轉發給同一VLAN內的有線用戶，不向同一VLAN內的無線用戶轉發
本地轉發	Fit AP直接丟棄該單播報文	Fit AP僅將報文通過有線接口轉發給同一VLAN內的有線或無線用戶，不向同一VLAN內通過該AP接入的無線用戶轉發

 

1. 集中式轉發場景下基於VLAN的用戶隔離機製（AC接收無線用戶發送的報文）

如圖1-3所示，在集中式轉發場景下，無線用戶Client 1和Client 2通過AP 1接入無線網絡，Client 3通過AP 2接入無線網絡，Client 1～Client 3和有線用戶Server、Host都屬於VLAN 100。在AC上開啟基於VLAN的用戶隔離功能：

·     Client 1在VLAN 100內發送廣播/組播報文，AC收到廣播/組播報文後，不再將廣播/組播報文複製及轉發給網絡中的AP，而是僅將去掉CAPWAP隧道封裝的報文通過有線接口轉發給同一VLAN內的有線用戶Host和Server。

·     Client 1在VLAN 100內向Client 3發送單播報文，AC收到單播報文後，不將報文轉發給AP 2，而是直接丟棄該單播報文。

圖1-3 無線用戶報文路徑轉發示意圖

 

2. 集中式轉發場景下基於VLAN的用戶隔離機製（AC接收有線用戶發送的報文）

如圖1-4所示，在集中式轉發場景下，無線用戶Client 1和Client 2通過AP 1接入無線網絡，Client 3通過AP 2接入無線網絡，Client 1～Client 3和有線用戶Server、Host都屬於VLAN 100。在AC上開啟基於VLAN的用戶隔離功能：

·     Host在VLAN 100內發送廣播/組播報文，該報文轉發到AC和有線網絡用戶Server，AC收到該廣播/組播報文後不再將廣播/組播報文進行CAPWAP封裝轉發給AP，而是直接丟棄。

·     Host在VLAN 100內向Client 3發送單播報文，AC收到單播報文後，不將報文轉發給AP 2，而是直接丟棄該單播報文。

圖1-4 有線用戶報文路徑轉發示意圖

 

3. 本地轉發場景下基於VLAN 的用戶隔離機製（AP接收無線用戶發送的報文）

如圖1-5所示，在本地轉發場景下，無線用戶Client 1和Client 2通過AP 1接入無線網絡，Client 3通過AP 2接入無線網絡，Client 1～Client 3和有線用戶Server、Host都屬於VLAN 100。在AP 1上開啟基於VLAN的用戶隔離功能：

·     Client 1在VLAN 100內發送廣播/組播報文，AP 1接收到該報文後僅將報文通過有線接口轉發給同一VLAN內的有線網絡用戶Server、AP 2和Host。AP 2接收到報文後轉發給無線用戶Client 3，而AP 1不再將報文轉發給無線用戶Client 2。

·     Client 1在VLAN 100內向Client 3發送單播報文，AP 1收到單播報文後，不將報文轉發給AP 2，而是直接丟棄該單播報文。

圖1-5 無線用戶報文路徑轉發示意圖

 

4. 本地轉發場景下基於VLAN的用戶隔離機製（AP接收有線用戶發送的報文）

如圖1-6所示，在本地轉發場景下，無線用戶Client 1和Client 2通過AP 1接入無線網絡，Client 3通過AP 2接入無線網絡，Client 1～Client 3和有線用戶Server、Host都屬於VLAN 100。在AP 1上開啟基於VLAN的用戶隔離功能：

·     Host在VLAN 100內發送廣播/組播報文，該報文由Switch轉發到有線網絡Server、AC、AP 1和AP 2。AP 1接收到報文後不再將廣播報文轉發給無線用戶Client 1和Client 2，而是直接丟棄；AP 2接收到報文後轉發給無線用戶Client 3。

·     Host在VLAN 100內向Client 1發送單播報文，AP 1收到單播報文後，不將報文轉發給Client 1，而是直接丟棄該單播報文。

圖1-6 有線用戶報文路徑轉發示意圖

 

1.1.4  基於用戶組的用戶隔離

基於用戶組的用戶隔離適用於集中轉發的場景，支持用戶組內的用戶隔離和用戶組間的用戶隔離兩種方式。

表1-2 基於用戶組的用戶隔離處理機製

數據報文轉發方式	接入AP	業務VLAN	隔離模式	用戶互訪
集中式轉發	相同/不同	相同/不同	組內隔離	·     組內用戶單播報文不能互相轉發 ·     組間用戶單播報文可以互相轉發
			組間隔離	·     組內用戶單播報文可以互相轉發 ·     組間用戶單播報文不能互相轉發

 

需要注意的是，如果無線用戶處於不同的業務VLAN，則需要將網關部署在AC上才能實現用戶組隔離功能。

2. 集中式轉發場景下基於用戶組的用戶隔離機製

如圖1-7所示，在集中轉發場景下，Client 1～Client 3分別通過AP 1～AP 3接入無線網絡，Client 1和Client 2屬於VLAN 100、授權用戶組為GROUP_100，Client 3屬於VLAN 200、授權用戶組為GROUP_100。在授權用戶組GROUP_100下配置組內隔離：

·     Client 1在VLAN 100內向Client 2發送單播報文，AC收到單播報文後，不在將報文轉發給AP 2，而是直接丟棄該單播報文。

·     Client 1在VLAN 200內向Client 3發送單播報文，AC收到單播報文後，不在將報文轉發給AP 3，而是直接丟棄該單播報文。

圖1-7 集中式轉發場景下報文路徑轉發示意圖

 

1.2  配置基於SSID的用戶隔離功能

(1)     進入係統視圖。

system-view

(2)     進入無線服務模板視圖。

wlan service-template service-template-name

(3)     開啟基於SSID的用戶隔離功能。

user-isolation enable

缺省情況下，基於SSID的用戶隔離功能處於關閉狀態。

1.3  配置基於VLAN的用戶隔離功能

1. 硬件適配關係

本特性的支持情況與設備型號有關，請以設備的實際情況為準。

產品係列	產品型號	說明
MSG係列	MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR	不支持
WX2500H-WiNet係列	WX2510H-PWR-WiNet WX2560H-WiNet	支持
WX3500H-WiNet係列	WX3508H-WiNet	支持
WAC係列	WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381	支持
WX2500H-LI係列	WX2540H-LI WX2560H-LI	支持
WX3500H-LI係列	WX3510H-LI WX3520H-LI	支持
AC1000係列	AC1016 AC1108	支持

 

2. 配置限製和指導

基於VLAN的用戶隔離功能適用於集中式轉發和本地轉發應用場景：

·     在集中式轉發應用場景下，僅需要直接在AC上開啟該功能；

·     在本地轉發應用場景下，需要將下麵配置步驟中的命令按順序編寫到配置文件中，再通過map-configuration命令在AC上為AP指定該配置文件，通過將配置文件中的命令下發到AP的方式來開啟該功能。關於配置文件的相關介紹和配置，請參見“WLAN接入配置指導”中的“WLAN接入”。

開啟指定VLAN的用戶隔離功能前，請務必將指定VLAN用戶的網關MAC地址加入到允許轉發列表中。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     配置指定VLAN的MAC地址允許轉發列表。

user-isolation vlan vlan-list permit-mac mac-list

缺省情況下，未配置指定VLAN的MAC地址允許轉發列表。

設備可以正常轉發該VLAN內所有用戶發送的單播/組播/廣播報文或接收其他用戶向該用戶發送的單播報文。

(3)     開啟指定VLAN的用戶隔離功能。

user-isolation vlan vlan-list enable [ permit-unicast ]

缺省情況下，基於VLAN的用戶隔離功能處於關閉狀態。

(4)     （可選）配置允許轉發有線用戶發送給無線用戶的廣播和組播報文。

user-isolation permit-broadcast

缺省情況下，隔離有線用戶發往無線用戶的廣播和組播報文。

(5)     （可選）允許指定VLAN內的無線用戶接收廣播和組播報文。

user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number

缺省情況下，同一VLAN內的無線用戶不能接收廣播和組播報文。

1.4  配置基於用戶組的用戶隔離

1. 功能簡介

如果希望對無線用戶基於用戶組進行業務隔離，則可以為其授權用戶組，並在用戶組視圖下配置用戶組隔離策略：

·     組內隔離：該組內用戶之間的二/三層報文不能互通。

·     組間隔離：該組的用戶不能與其它組的用戶互訪。

2. 配置限製和指導

·     用戶組隔離策略僅對無線集中式轉發場景下的用戶單播報文生效。

·     如果無線用戶處於不同的業務VLAN，則需要將網關部署在AC上才能實現用戶組隔離功能。

·     如果某用戶組內已有用戶獲取了用戶組隔離策略，則不建議刪除或修改該組，否則會有隔離策略混亂的風險。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     創建用戶組，並進入用戶組視圖。

user-group group-name

缺省情況下，存在一個用戶組，名稱為system。

(3)     配置用戶組隔離策略。

user-isolation { intra-group | inter-group } *

缺省情況下，未配置用戶組隔離策略。

用戶組隔離策略僅對無線集中式轉發場景下的用戶單播報文生效。

關於用戶組和用戶隔離策略的詳細配置請參見“用戶接入與認證配置指導”中的“AAA”。

1.5  用戶隔離顯示與維護

在完成上述配置後，在任意視圖下執行display命令可以查看顯示信息驗證配置的效果。

在用戶視圖下執行reset命令可以清除用戶隔離統計信息。

 

表1-3 用戶隔離顯示與維護

操作	命令
顯示基於VLAN的用戶隔離統計信息	display user-isolation statistics [ vlan vlan-id ]
清除基於VLAN的用戶隔離統計信息	reset user-isolation statistics [ vlan vlan-id ]

 

1.6  用戶隔離典型配置舉例

 

1.6.1  集中式轉發場景下基於SSID的用戶隔離配置舉例

1. 組網需求

在集中式轉發場景下，通過配置基於SSID的用戶隔離，實現用戶Client 1和Client 2可以通過同一個SSID訪問網絡，但是兩者不能相互訪問。

2. 組網圖

圖1-8 集中式轉發場景下基於SSID的用戶隔離組網圖

‌

3. 配置步驟

# 配置Client1和Client 2通過無線網絡接入Internet。（詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”）（略）

# 開啟基於SSID的用戶隔離功能。

<AC> system-view

[AC] wlan service-template service

[AC-wlan-st-service] user-isolation enable

[AC-wlan-st-service] quit

4. 驗證配置

用戶Client 1和Client 2都可以訪問Internet，但是不能相互訪問。

1.6.2  本地轉發場景下基於SSID的用戶隔離配置舉例

1. 組網需求

在本地轉發場景下，通過配置基於SSID的用戶隔離，實現用戶Client 1和Client 2可以通過同一個SSID訪問網絡，但是兩者不能相互訪問。

2. 組網圖

圖1-9 本地轉發場景下基於SSID的用戶隔離組網圖

‌

3. 配置步驟

# 配置Client1和Client 2通過無線網絡接入Internet。（詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”）（略）

# 開啟基於SSID的用戶隔離功能。

<AC> system-view

[AC] wlan service-template service1

[AC-wlan-st-service1] user-isolation enable

[AC-wlan-st-service1] quit

4. 驗證配置

用戶Client 1和Client 2都可以訪問Internet，但是不能相互訪問。

1.6.3  集中式轉發場景下基於VLAN的用戶隔離配置舉例

1. 組網需求

在集中式轉發場景下，如圖1-10所示，VLAN 100用戶的網關Router的MAC地址為000f-e212-7788，通過配置基於VLAN的用戶隔離，將網關的MAC地址加入到允許轉發列表，實現以下目的：

·     VLAN 100中的無線用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet；

·     Client 1發送廣播報文時，僅有線用戶Host和Server可以收到；

·     Client 1、Client 2及Client 3之間無法互訪。

2. 組網圖

圖1-10 集中式轉發場景下基於VLAN的用戶隔離配置組網圖

‌

3. 配置步驟

# 配置Client 1、Client 2和Client 3通過無線網絡接入Internet。（詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”）（略）

# 將Router與AC連接側接口的MAC地址000f-e212-7788加入VLAN 100的允許轉發列表。

<AC> system-view

[AC] user-isolation vlan 100 permit-mac 000f-e212-7788

# 在VLAN 100上開啟基於VLAN的用戶隔離功能。

[AC] user-isolation vlan 100 enable

4. 驗證結果

VLAN 100中的用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet，當Client1發送廣播報文時，僅Host和Server可以收到，Client 1、Client 2和Client 3之間無法互訪。

1.6.4  本地轉發場景下基於VLAN的用戶隔離配置舉例

1. 組網需求

在本地轉發場景下，如圖1-11所示，VLAN 100用戶的網關Router的MAC地址為000f-e212-7788，在AP 1上配置基於VLAN的用戶隔離，將網關的MAC地址加入到允許轉發列表，實現以下目的：

·     VLAN 100中的無線用戶Client 1、Client 2、Client 3和有線用戶Host、Server可以訪問Internet；

·     Client 1發送廣播報文時，僅有線用戶Host、Server和無線用戶Client 3可以收到；

·     Client 1和Client 2無法互訪。

2. 組網圖

圖1-11 本地轉發場景下基於VLAN的用戶隔離配置組網圖

‌

3. 配置步驟

# 配置Client 1、Client 2和Client 3通過無線網絡接入Internet。（詳細介紹請參見“WLAN接入配置指導”中的“WLAN接入”和“AP管理配置指導”中的“AP管理”）（略）

# 請按照命令行配置順序編寫apcfg.txt配置文件，將Router與AC連接側接口的MAC地址000f-e212-7788加入VLAN 100的允許轉發列表，然後開啟基於VLAN的用戶隔離功能。

<AC> system-view

[AC] user-isolation vlan 100 permit-mac 000f-e212-7788

[AC] user-isolation vlan 100 enable

# 在AC上將配置文件apcfg.txt下發到AP，從而完成對AP的配置。

<AC> system-view

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] map-configuration apcfg.txt

4. 驗證配置

VLAN 100中的用戶Client 1、Client 2、Client 3、Host和Server可以訪問Internet，當Client 1發送廣播報文時，僅Host、Server和Client 3可以收到，Client 1和Client 2無法互訪。

1.6.5  基於授權用戶組的用戶隔離配置舉例

1. 組網需求

在集中式轉發場景下，通過配置基於授權用戶組的用戶隔離策略，實現同一個用戶組或者不同用戶組之間的二層、三層隔離不能互相訪問。

2. 組網圖

圖1-12 集中式轉發場景下基於授權用戶組配置舉例組網圖

 

3. 配置步驟

 

(1)     配置802.1X認證方式及Radius方案

# 配置802.1X認證方式為EAP。

<AC> system-view

[AC] dot1x authentication-method eap

# 配置RADIUS方案，名稱為imcc，主認證服務器的IP地址為192.168.66.141，端口號為1812，配置主計費服務器的IP地址為192.168.66.141，端口號為1813，認證密鑰為明文12345678，計費密鑰為明文12345678，用戶名格式為without-domain。

[AC] radius scheme imcc

[AC-radius-imcc] primary authentication 192.168.66.141 1812

[AC-radius-imcc] primary accounting 192.168.66.141 1813

[AC-radius-imcc] key authentication simple 12345678

[AC-radius-imcc] key accounting simple 12345678

[AC-radius-imcc] user-name-format without-domain

[AC-radius-imcc] quit

(2)     配置ISP域的AAA方法

# 配置名稱為imc的ISP域，並將認證、授權和計費的方式配置為使用RADIUS方案imcc。

[AC] domain imc

[AC-isp-imc] authentication lan-access radius-scheme imcc

[AC-isp-imc] authorization lan-access radius-scheme imcc

[AC-isp-imc] accounting lan-access radius-scheme imcc

[AC-isp-imc] quit

(3)     配置無線服務模板

# 配置無線服務模板名稱為wlas_imc_peap，用戶認證方式為802.1X，ISP域為imc，SSID為wlas_imc_peap，AKM模式為802.1X，加密套件為CCMP，安全IE為RSN。

[AC] wlan service-template wlas_imc_peap

[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x

[AC-wlan-st-wlas_imc_peap] dot1x domain imc

[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap

[AC-wlan-st-wlas_imc_peap] akm mode dot1x

[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp

[AC-wlan-st-wlas_imc_peap] security-ie rs

# 使能無線服務模板。

[AC-wlan-st-wlas_imc_peap] service-template enable

[AC-wlan-st-wlas_imc_peap] quit

(4)     配置手工AP，並將無線服務模板綁定到radio上

# 創建ap1。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 配置信道為149，並使能射頻。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 149

[AC-wlan-ap-ap1-radio-1] radio enable

# 綁定無線服務模板。

[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

(5)     配置用戶組下的隔離策略為組內隔離

<AC> system

[AC] user-group intraGroup

[AC-ugroup-intragroup] user-isolated intra-group

[AC-ugroup-intragroup] quit

(6)     配置RADIUS server （iMC V7）

 

# 增加接入設備。

登錄進入iMC管理平台，選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入設備管理]菜單項，進入接入設備管理頁麵，點擊頁麵中的接入設備配置按鈕，進入接入設備配置頁麵，在該頁麵中單擊“增加”按鈕，進入增加接入設備頁麵。

¡     設置認證、計費共享密鑰為12345678，其它保持缺省配置。

¡     選擇或手工增加接入設備，添加IP地址為192.168.66.103的接入設備。

圖1-13 增加接入設備頁麵

 

# 增加服務策略。

選擇“用戶”頁簽，單擊導航樹中的[接入策略管理/接入策略管理]菜單項，進入接入策略管理頁麵，在該頁麵中單擊“增加”按鈕，進入增加接入策略頁麵。

¡     設置接入策略名為intra。

¡     選擇證書認證為EAP證書認證。

¡     選擇認證證書類型為EAP-PEAP認證，認證證書子類型為MS-MSCHAPV2認證。認證證書子類型需要與客戶端的身份驗證方法一致。

¡     設置下發用戶組為intraGroup。

圖1-14 增加服務策略頁麵

 

# 增加接入服務。

選擇“用戶”頁簽，單擊導航欄中的[接入策略管理/接入服務管理]菜單項，進入接入服務管理頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入服務頁麵。

¡     設置服務名為aaa_intra。

¡     設置缺省接入策略為已經創建的intra策略。

圖1-15 增加接入服務頁麵

 

# 增加接入用戶。

選擇“用戶”頁簽，單擊導航樹中的[接入用戶管理/接入用戶]菜單項，進入接入用戶頁麵，在該頁麵中單擊<增加>按鈕，進入增加接入用戶頁麵。

¡     添加用戶user。

¡     添加帳號名為intra，密碼為12345678。

¡     選中之前配置的服務aaa_intra。

圖1-16 增加接入用戶頁麵

 

4. 驗證結果

# 客戶端通過802.1x認證成功關聯AP

·     通過display wlan client verbose命令查看無線客戶端在線情況和授權用戶組。

[AC] display wlan client verbose

Total number of clients: 3

MAC address                       : 5213-5677-11a7

IPv4 address                      : 192.168.125.100

略……

Authorization user group name  : intra

MAC address                       : 72c8-a028-8aab

IPv4 address                      : 192.168.125.101

略……

Authorization user group name : intra

MAC address                       : 04b1-6704-7847

IPv4 address                      : 192.168.126.100

略……

Authorization user group name  : intra

用戶Client 1～Client 3都可以訪問Internet，但是不能互相訪問。