• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置

目录

19-用户隔离配置

本章节下载 19-用户隔离配置  (438.50 KB)

19-用户隔离配置


1 用户隔离

1.1  用户隔离简介

用户隔离,即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。

用户隔离包括基于SSID的用户隔离和基于VLAN的用户隔离:

·     基于SSID的用户隔离:用于隔离同一SSID下的无线用户。

·     基于VLAN的用户隔离:用于隔离同一VLAN内的有线用户和无线用户。

1.2  基于SSID的用户隔离

基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不再能够互相访问。

1.2.1  集中式转发场景下基于SSID的用户隔离机制

图1-1所示,在集中式转发场景下,Client 1~Client 3分别通过AP 1~AP 3接入无线网络,Client 1和Client 2属于VLAN 100,Client 3属于VLAN 200。在AC上开启基于SSID的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给Switch。

·     Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-1 集中式转发场景下报文路径转发示意图

 

1.2.2  本地转发场景下基于SSID的用户隔离机制

说明

该机制仅隔离同一AP下的无线客户端。

 

图1-2所示,在本地转发场景下,Client 1~Client 4分别通过AP 1~AP 3接入无线网络,Client 1~Client 3属于VLAN 100,Client 4属于VLAN 200。在AP 1上开启基于SSID的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AP 1收到广播/组播报文后,仅将报文通过有线接口转发给同一VLAN内的有线网络用户AP 2、AP 3和Host,不再将报文转发给无线用户Client 2。AP 2接收到报文后转发给无线用户Client 3,AP 3接收到报文后不会将其转发给Client 4。

·     Client 1在VLAN 100内向Client 2发送单播报文,AP 1收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。

图1-2 本地转发场景下报文路径转发示意图

 

1.3  基于VLAN的用户隔离

基于VLAN的用户隔离功能适用于集中式转发和本地转发场景下,设备在指定VLAN内开启该功能后,该VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间(无论无线用户是否使用同一SSID接入WLAN网络)的互相访问将按照表1-1的机制进行隔离。

表1-1 基于VLAN的用户隔离处理机制

数据报文转发方式

收到单播报文

收到广播/组播报文

集中式转发

AC直接丢弃该单播报文

AC仅将报文转发给同一VLAN内的有线用户,不向同一VLAN内的无线用户转发

本地转发

Fit AP直接丢弃该单播报文

Fit AP仅将报文通过有线接口转发给同一VLAN内的有线或无线用户,不向同一VLAN内通过该AP接入的无线用户转发

 

1.3.1  集中式转发场景下基于VLAN的用户隔离机制

1. AC接收无线用户发送的报文

图1-3所示,在集中式转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给同一VLAN内的有线用户Host和Server。

·     Client 1在VLAN 100内向Client 3发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-3 无线用户报文路径转发示意图

 

2. AC接收有线用户发送的报文

图1-4所示,在集中式转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:

·     Host在VLAN 100内发送广播/组播报文,该报文转发到有线网络用户Server和AC,AC收到该广播/组播报文后不再将广播/组播报文进行CAPWAP封装及转发给AP,而是直接丢弃。

·     Host在VLAN 100内向Client 3发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-4 有线用户报文路径转发示意图

 

1.3.2  本地转发场景下基于VLAN的用户隔离机制

1. Fit AP接收无线用户发送的报文

图1-5所示,在本地转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。AP 2接收到报文后转发给无线用户Client 3,而AP 1不再将报文转发给无线用户Client 2。

·     Client 1在VLAN 100内向Client 3发送单播报文,AP 1收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-5 无线用户报文路径转发示意图

 

2. Fit AP接收有线用户发送的报文

图1-6所示,在本地转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:

·     Host在VLAN 100内发送广播/组播报文,该报文由Switch转发到有线网络Server、AC、AP 1和AP 2。AP 1接收到报文后不再将广播报文转发给无线用户Client 1和Client 2,而是直接丢弃;AP 2接收到报文后转发给无线用户Client 3。

·     Host在VLAN 100内向Client 1发送单播报文,AP 1收到单播报文后,不将报文转发给Client 1,而是直接丢弃该单播报文。

图1-6 有线用户报文路径转发示意图

 

1.4  配置基于SSID的用户隔离功能

表1-2 开启基于SSID的用户隔离功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

开启基于SSID的用户隔离功能

user-isolation enable

缺省情况下,基于SSID的用户隔离功能处于关闭状态

可通过display wlan service-template查看基于SSID用户隔离的开启状态。关于该命令的详细介绍,请参见“WLAN命令参考”中的“WLAN接入”

 

1.5  配置基于VLAN的用户隔离功能

1.5.1  配置限制和指导

为了避免在指定VLAN上开启用户隔离功能后,出现通过用户网关无法访问外部网络的情况,必须先将该网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。

基于VLAN的用户隔离功能适用于集中式转发和本地转发应用场景:

·     在集中式转发应用场景下,仅需要直接在AC上开启该功能。

·     在本地转发应用场景下,需要通过map-configuration命令在AC上指定AP的配置文件来开启该功能。关于配置文件的相关介绍和配置,请参见“WLAN配置指导”中的“WLAN接入”。

1.5.2  配置步骤

表1-3 配置基于VLAN的用户隔离

操作

命令

说明

进入系统视图

system-view

-

(可选)配置指定VLAN的MAC地址允许转发列表

user-isolation vlan vlan-list permit-mac mac-list

缺省情况下,未配置指定VLAN的MAC地址允许转发列表

设备接收到该用户发送的单播/广播/组播报文或其他用户发送向该用户的单播报文可以正常进行转发

开启指定VLAN的用户隔离功能

user-isolation vlan vlan-list enable [ permit-unicast ]

缺省情况下,基于VLAN的用户隔离功能处于关闭状态

若指定permit-unicast参数,则允许该VLAN内所有用户的单播报文正常转发

(可选)配置允许转发指定VLAN内有线用户发送给无线用户的广播和组播报文

user-isolation permit-broadcast

缺省情况下,隔离有线用户发往无线用户的广播和组播报文

 

1.6  用户隔离显示与维护

在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。

表1-4 用户隔离显示与维护

操作

命令

显示基于VLAN的用户隔离统计信息

display user-isolation statistics

清除基于VLAN的用户隔离统计信息

reset user-isolation statistics

 

1.7  用户隔离典型配置举例

1.7.1  集中式转发场景下基于SSID的用户隔离

1. 组网需求

在集中式转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。

图1-7 集中式转发场景下基于SSID的用户隔离组网图

 

2. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。

配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。

# 开启基于SSID的用户隔离功能。

<AC> system-view

[AC] wlan service-template service

[AC-wlan-st-service] user-isolation enable

[AC-wlan-st-service] quit

3. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.7.2  本地转发场景下基于SSID的用户隔离

1. 组网需求

在本地转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。

图1-8 本地转发场景下基于SSID的用户隔离组网图

 

2. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。

配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。

# 开启基于SSID的用户隔离功能。

<AC> system-view

[AC] wlan service-template service1

[AC-wlan-st-service1] user-isolation enable

[AC-wlan-st-service1] quit

3. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.7.3  集中式转发场景下基于VLAN的用户隔离

1. 组网需求

在集中式转发场景下,如图1-9所示VLAN 2用户的网关Router的MAC地址为000f-e212-7788,通过配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现VLAN 2中的无线用户Client 1、Client 2和有线用户Host、Server可以访问Internet。

图1-9 集中式转发场景下基于VLAN的用户隔离配置组网图

 

2. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。

配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。

# 将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 2的允许转发列表。

<AC> system-view

[AC] user-isolation vlan 2 permit-mac 000f-e212-7788

# 在VLAN 2上开启基于VLAN的用户隔离功能。

[AC] user-isolation vlan 2 enable

3. 验证结果

VLAN 2中的用户Client 1、Client 2、Host和Server可以访问Internet,但是不可以相互访问。

1.7.4  本地转发场景下基于VLAN的用户隔离配置举例

1. 组网需求

在本地转发场景下,如图1-10所示VLAN 100用户的网关Router的MAC地址为000f-e212-7788,在AP 1上配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现VLAN 100中的无线用户Client 1、Client 2可以访问Internet。

图1-10 本地转发场景下基于VLAN的用户隔离配置组网图

 

2. 配置步骤

说明

AP配置文件apcfg.txt的内容,要求为文本文件,按照命令行配置的顺序编写文本文件上传至AC即可,AC与AP关联后,通过map-configuration命令下发至AP生效。从而完成对AP的配置。

 

# 配置Client1和Client 2通过无线网络接入Internet。

配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。

# 配置apcfg.txt配置文件,将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表,然后开启基于VLAN的用户隔离功能。

system-view

user-isolation vlan 100 permit-mac 000f-e212-7788

user-isolation vlan 100 enable

# 在AC上将配置文件apcfg.txt下发到AP。

<AC> system-view

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] map-configuration apcfg.txt

3. 验证结果

VLAN 100中的用户Client 1和Client 2可以访问Internet。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们