無線網絡為什麼強烈建議開啟二層隔離功能，該如何開啟？

為什麼要開啟用戶隔離功能：

同一VLAN內，來自無線客戶端的廣播、組播報文會向所有放通該VLAN的AP上廣播，而且在空間介質中廣播報文通常使用最低速率進行發送。當廣播報文比較多時，會占用較多的空口資源，在一定程度上影響到整個網絡應用。

無線用戶VLAN內二層隔離可以在AC上控製無線用戶隻能訪問網關設備，而不能互相之間訪問。同時，通過配置undo user-isolation permit broadcast禁止有線用戶（permit-mac允許的mac地址除外）發送廣播、組播報文給無線用戶，無線用戶到有線用戶的廣播、組播報文不受限製。這樣可以大量減少整個WLAN網絡的廣播流量，提高WLAN網絡的整體性能。

基於vlan的用戶隔離：隔離無線用戶之間，有線端到無線端的廣播、組播、單播流量。某個單播流量需要配置permit-mac xxx放通。通常需要放通網關、dhcp server的mac

[Sysname] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566

[Sysname] user-isolation vlan 1 enable

基於ssid的用戶隔離：隻隔離無線用戶之間的流量，無線用戶可以訪問有線設備。

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] user-isolation enable   //此時就不用管網關了，不需要單獨放通網關。

推薦使用基於vlan的二層隔離，算法消耗資源更少，還能隔離有線到無線的廣播組播流量，隔離更徹底

開啟隔離後，無線終端無法互訪，如果需要實現互訪，在網關上開啟arp代理功能即可

集中轉發：

AC 全局下做基於vlan的二層隔離

基於服務模板做二層隔離

本地轉發：服務模板下的隔離不生效

普通AP：基於vlan的二層隔離