02-用户隔离命令
本章节下载: 02-用户隔离命令 (216.67 KB)
目 录
1.1.1 display user-isolation statistics
1.1.2 reset user-isolation statistics
1.1.4 user-isolation permit-broadcast
1.1.5 user-isolation vlan enable
1.1.6 user-isolation vlan permit-bmc acl
1.1.7 user-isolation vlan permit-mac
1.1.8 wlan user-isolation permit-broadcast
1.1.9 wlan user-isolation vlan enable
1.1.10 wlan user-isolation vlan permit-mac
display user-isolation statistics命令用来显示基于VLAN的用户隔离统计信息。
【命令】
display user-isolation statistics [ vlan vlan-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vlan vlan-id:显示指定VLAN的用户隔离统计信息,vlan-id为VLAN编号,取值范围为1~4094。如果未指定该参数,则显示所有VLAN的用户隔离统计信息。
【举例】
# 显示所有VLAN的用户隔离统计信息。
<Sysname> display user-isolation statistics
Number of VLANs enabled with user isolation: 2
Number of VLANs disabled with user isolation: 1
VLAN Status Drops Permit-Unicast Permitted MACs Permit IPv4|I
Pv6 Acl
4 Enabled 0 Y N/A 3001|3002
6 Disabled 0 N 0023-89a2-3d4d 3001|3002
5 Enabled 0 Y N/A N/A|N/A
表1-1 display user-isolation statistics命令显示信息描述表
Number of VLANs disabled with user isolation |
未开启用户隔离功能的VLAN的数量 |
VLAN |
开启用户隔离的VLAN ID |
State |
· Enabled:开启状态 · Disabled:关闭状态 |
该VLAN内丢弃的报文数 |
|
Permit-Unicast |
该VLAN内是否允许单播报文通过: · Y:允许单播通过,仅隔离广播/组播 · N:隔离单播/广播/组播 |
该VLAN允许的MAC地址列表 |
|
Permit IPv4|IPv6 Acl |
该VLAN允许的IPv4 ACL和IPv6 ACL |
【相关命令】
· user-isolation vlan enable
· user-isolation vlan permit-mac
reset user-isolation statistics命令用来清除基于VLAN的用户隔离统计信息。
【命令】
reset user-isolation statistics [ vlan vlan-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
vlan vlan-id:清除指定VLAN内的用户隔离统计信息,vlan-id为VLAN编号,取值范围为1~4094。如果未指定该参数,则清除所有VLAN的用户隔离统计信息。
【举例】
# 清除VLAN 1的用户隔离统计信息。
<Sysname> reset user-isolation statistics vlan 1
【相关命令】
· user-isolation vlan enable
· user-isolation vlan permit-mac
user-isolation enable命令用来开启基于SSID的用户隔离功能。
undo user-isolation enable命令用来关闭基于SSID的用户隔离功能。
【命令】
user-isolation enable
undo user-isolation enable
【缺省情况】
基于SSID的用户隔离功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【举例】
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] user-isolation enable
user-isolation permit-broadcast命令用来允许接收有线用户发送给无线用户的广播和组播报文。
undo user-isolation permit-broadcast命令用来恢复缺省情况。
【命令】
user-isolation permit-broadcast
undo user-isolation permit-broadcast
【缺省情况】
隔离有线用户发往无线用户的广播和组播报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当有线用户和无线用户属于同一VLAN时必须隔离有线用户发往无线用户的广播和组播报文,其他情况下允许接收有线用户发送给无线用户的广播和组播报文。
【举例】
# 配置允许接收有线用户发送给无线用户的广播和组播报文。
[Sysname] user-isolation permit-broadcast
【相关命令】
· user-isolation vlan enable
user-isolation vlan enable命令用来开启指定VLAN的用户隔离功能。
undo user-isolation vlan enable命令用来关闭指定VLAN的用户隔离功能。
【命令】
user-isolation vlan vlan-list enable [ permit-unicast ]
undo user-isolation vlan vlan-list enable
【缺省情况】
基于VLAN的用户隔离功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表,表示开启用户隔离功能的VLAN的范围。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
permit-unicast:表示不隔离单播,仅隔离广播和组播。如果未指定该参数,表示同时隔离单播、广播和组播。
【使用指导】
为了避免在指定VLAN上开启用户隔离功能后,出现断网情况,用户必须根据user-isolation vlan permit-mac命令先将用户网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
如果多次执行user-isolation vlan enable命令,则开启用户隔离功能的VLAN是多次配置中指定的VLAN的合集;若同一VLAN多次配置,则最后一条配置生效。
【举例】
# 在VLAN 1上开启用户隔离功能。
[Sysname] user-isolation vlan 1 enable
user-isolation vlan permit-bmc acl命令用来允许指定VLAN内的无线用户接收广播和组播报文。
undo user-isolation vlan permit-bmc acl命令用来取消允许指定VLAN内的无线用户接收广播和组播报文。
【命令】
user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number
undo user-isolation vlan vlan-list permit-bmc acl [ ipv6 ]
【缺省情况】
同一VLAN内的无线用户不能接收广播和组播报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list={ vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id1的取值范围为1~4094,vlan-id2的值要大于或者等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
ipv6:指定ACL类型为IPv6类型,若不指定本参数,则表示指定ACL类型为IPv4类型。
acl-number:指定ACL的编号,取值范围3000~3999。
【使用指导】
当有线用户和无线用户属于同一VLAN时,若需要允许无线用户接收有线用户或者无线用户发送的广播和组播报文(例如Bonjour应用),则需要配置本功能,允许指定协议的报文通过。
可以同时配置IPv4和IPv6类型的ACL。对于同一类型的ACL,多次执行本命令,最后一次执行的命令生效。
在分层AC组网中,若仅在Central AC上执行本命令,则仅对Central AC生效,配置不会被下发到Local AC上。
【举例】
# 配置允许VLAN 1中的无线用户接收广播和组播报文ACL规则为3002。
<Sysname> system-view
[Sysname] user-isolation vlan 1 permit-bmc acl 3002
user-isolation vlan permit-mac命令用来配置指定VLAN的MAC地址允许转发列表。
undo user-isolation permit-mac命令用来删除指定VLAN的MAC地址允许转发列表。
【命令】
user-isolation vlan vlan-list permit-mac mac-list
undo user-isolation vlan vlan-list permit-mac { mac-list | all }
【缺省情况】
未配置指定VLAN的MAC地址允许转发列表。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
mac-list:MAC地址允许转发列表,MAC地址格式为H-H-H。在一个VLAN内最多可以配置64个允许的MAC地址,该MAC地址不允许为广播或组播地址。
all:删除指定VLAN的所有允许MAC地址。
【使用指导】
配置指定VLAN的MAC地址允许转发列表,当在该VLAN内开启用户隔离功能后,所配置的MAC地址不会被隔离。
如果多次执行user-isolation vlan permit-mac命令,则指定VLAN允许的MAC地址为多次配置的MAC地址的集合。
每一个VLAN内最多允许配置64个允许的MAC地址,一次最多能够配置16个允许的MAC地址。
【举例】
# 配置VLAN 1所允许MAC地址为00bb-ccdd-eeff和0022-3344-5566。
[Sysname] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566
【相关命令】
· display user-isolation statistics
· user-isolation vlan enable
本命令的支持情况与AP的型号有关,请以设备的实际情况为准。
wlan user-isolation permit-broadcast命令用来允许接收有线用户发送给无线用户的广播和组播报文。
undo wlan user-isolation permit-broadcast命令用来恢复缺省情况。
【命令】
wlan user-isolation permit-broadcast
undo wlan user-isolation permit-broadcast
【缺省情况】
隔离有线用户发往无线用户的广播和组播报文。
【视图】
AP组视图
【缺省用户角色】
network-admin
【使用指导】
当有线用户和无线用户属于同一VLAN或用户接入的AC设备工作于IRF环境时必须隔离有线用户发往无线用户的广播和组播报文,其他情况下允许接收有线用户发送给无线用户的广播和组播报文。
本功能仅适用于本地转发应用场景。
【举例】
# 在default-group组下配置允许接收有线用户发送给无线用户的广播和组播报文。
<Sysname> system-view
[Sysname] wlan ap-group default-group
[Sysname-wlan-ap-group-default-group] wlan user-isolation permit-broadcast
【相关命令】
· wlan user-isolation vlan enable
本命令的支持情况与AP的型号有关,请以设备的实际情况为准。
wlan user-isolation vlan enable命令用来开启指定VLAN的用户隔离功能。
undo wlan user-isolation vlan enable命令用来关闭指定VLAN的用户隔离功能。
【命令】
wlan user-isolation vlan vlan-list enable [ permit-unicast ]
undo wlan user-isolation vlan vlan-list enable
【缺省情况】
基于VLAN的用户隔离功能处于关闭状态。
【视图】
AP组视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表,表示开启用户隔离功能的VLAN的范围。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
permit-unicast:表示不隔离单播,仅隔离广播和组播。如果未指定该参数,表示同时隔离单播、广播和组播。
【使用指导】
为了避免在指定VLAN上开启用户隔离功能后,出现断网情况,用户必须根据wlan user-isolation vlan permit-mac命令先将用户网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
本功能仅适用于本地转发应用场景。
如果多次执行wlan user-isolation vlan enable命令,则开启用户隔离功能的VLAN是多次配置中指定的VLAN的合集;若同一VLAN多次配置,则最后一条配置生效。
最多可指定256个VLAN,在同一视图下的所有基于VLAN的用户隔离命令,共同计算VLAN数量(例如wlan user-isolation vlan enable与wlan user-isolation vlan permit-mac命令)。
【举例】
# 在default-group组下开启VLAN 1的用户隔离功能。
<Sysname> system-view
[Sysname] wlan ap-group default-group
[Sysname-wlan-ap-group-default-group] wlan user-isolation vlan 1 enable
【相关命令】
· wlan user-isolation vlan permit-mac
本命令的支持情况与AP的型号有关,请以设备的实际情况为准。
wlan user-isolation vlan permit-mac命令用来配置指定VLAN的MAC地址允许转发列表。
undo wlan user-isolation vlan permit-mac命令用来删除指定VLAN的MAC地址允许转发列表。
【命令】
wlan user-isolation vlan vlan-list permit-mac mac-list
undo wlan user-isolation vlan vlan-list permit-mac { mac-list | all }
【缺省情况】
未配置指定VLAN的MAC地址允许转发列表。
【视图】
AP组视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
mac-list:MAC地址允许转发列表,MAC地址格式为H-H-H,该MAC地址不允许为广播或组播地址。最多可以为一个VLAN配置16个允许的MAC地址。
all:删除指定VLAN的所有允许MAC地址。
【使用指导】
配置指定VLAN的MAC地址允许转发列表,当在该VLAN内开启用户隔离功能后,所配置的MAC地址不会被隔离。
本功能仅适用于本地转发应用场景。
如果多次执行wlan user-isolation vlan permit-mac命令,则指定VLAN允许的MAC地址为多次配置的MAC地址的集合。
每次配置最多能够配置16个允许的MAC地址。
【举例】
# 在default-group组下配置VLAN 1所允许MAC地址为00bb-ccdd-eeff和0022-3344-5566。
<Sysname> system-view
[Sysname] wlan ap-group default-group
[Sysname-wlan-ap-group-default-group] wlan user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566
【相关命令】
· wlan user-isolation vlan enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!