07-安全配置指导

21-用户隔离配置

1 用户隔离

1.1 配置用户隔离

1.1.1 基于VLAN的用户隔离简介

采用用户隔离前，处于同一VLAN的用户是能够互访的，这可能带来安全性问题，采用基于VLAN的用户隔离，可以解决此问题。开启基于VLAN的用户隔离后，在同一个VLAN内，对于报文的处理机制如下：

· AC收到无线用户发往无线用户的单播/组播/广播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。对于单播报文的受限情况和命令user-isolation permit unicast设置有关，若配置了允许用户之间发送单播报文，则无论用户的MAC地址是否在用户隔离允许列表内，都允许用户之间发送单播报文。

· AC收到无线用户发往有线用户的单播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户，若配置了允许用户之间发送单播报文，则无论用户的MAC地址是否在用户隔离允许列表内，都允许用户之间发送单播报文。但是无线用户发往有线用户的组播/广播报文不受配置影响，AC允许组播/广播报文通过。

· AC收到有线用户发往有线用户的单播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户，若配置了允许用户之间发送单播报文，则无论用户的MAC地址是否在用户隔离允许列表内，都允许用户之间发送单播报文。但是有线用户发往有线用户的组播/广播报文不受配置影响，AC允许组播/广播报文通过。

· AC收到有线用户发往无线用户的单播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户，若配置了允许用户之间发送单播报文，则无论用户的MAC地址是否在用户隔离允许列表内，都允许用户之间发送单播报文。对于组播/广播报文的受限情况和命令user-isolation permit broadcast设置有关。

由此可见，用户隔离一方面为用户提供了网络服务；另一方面对用户进行隔离，使之不能互访，保证用户业务的安全性。为了使用户隔离不会影响用户与网关的互通，可以将网关地址加入用户隔离允许列表。

1. 用户间互访

如图1-1所示，AC上关闭用户隔离后，VLAN 2内的无线用户Client、Server和有线用户Host可以在该VLAN内互访，同时也可以访问Internet。

图1-1 用户隔离示意图

2. 用户间隔离

如图1-1所示，在AC上开启用户隔离功能后，VLAN 2内的无线用户Client、Server和有线用户Host通过同一个网关连接到Internet。

· 将网关的MAC地址添加到“可通过MAC”列表中，那么处于同一VLAN内的无线用户Client、Server和Host被隔离，但是Client、Server和Host都可以访问Internet。

· 将用户的MAC地址添加到“可通过MAC”列表中，如把Client的MAC地址添加到“可通过MAC”列表中，那么Client和Server可以互通，Client和Host可以互通，但是Server和Host不能互通。

· 如果需要同时达到以上两项需求，需要将网关的MAC地址和用户的MAC地址同时添加到“可通过MAC”列表中。

1.1.2 配置基于VLAN的用户隔离

表1-1 配置基于VLAN的用户隔离

操作	命令	说明
进入系统视图	system-view	-
在指定VLAN上开启用户隔离功能	user-isolation vlan vlan-list enable	必选缺省情况下，用户隔离功能处于关闭状态
配置指定VLAN的允许MAC地址	user-isolation vlan vlan-list permit-mac mac-list	可选在一个VLAN内最多可以配置16个允许的MAC地址
允许有线用户发送广播/组播报文给无线用户	user-isolation permit broadcast	可选缺省情况下，允许有线用户发送广播/组播报文给无线用户
允许用户之间发送单播报文	user-isolation permit unicast	可选缺省情况下，AC会根据配置的用户隔离允许列表来判断是否隔离属于同一VLAN内用户的单播报文

为了避免在指定VLAN上先开启用户隔离功能后，出现断网的现象，建议先配置网关的MAC地址为该VLAN的允许MAC地址，再开启该VLAN的用户隔离功能。

1.1.3 基于SSID的用户隔离简介

配置用户隔离前，处于同一SSID的用户是能够互访的，这可能带来安全性问题，采用基于SSID的用户隔离，可以解决此问题。开启基于SSID的用户隔离功能后，在同一个SSID内，连接到此无线服务的所有无线用户之间的二层报文（单播/广播）将相互不能转发，从而使无线用户之间不能直接进行通讯。

1.1.4 配置基于SSID的用户隔离

表1-2 配置基于SSID的用户隔离

操作	命令	说明
进入系统视图	system-view	-
配置WLAN服务模板	wlan service-template service-template-number { clear \| crypto \| wapi }	-
开启基于SSID的用户隔离功能	user-isolation enable	可选缺省情况下，基于SSID的用户隔离功能处于关闭状态

1.1.5 用户隔离显示与维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后用户隔离的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，用户可以执行reset命令清除用户隔离的统计信息。

表1-3 用户隔离显示与维护

操作	命令
显示用户隔离的统计信息	display user-isolation statistics [ vlan vlan-id ] [ \| { begin \| exclude \| include } regular-expression ]
清除用户隔离的统计信息	reset user-isolation statistics [ vlan vlan-id ]