• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-WLAN流量优化配置指导

目录

01-用户隔离配置

本章节下载 01-用户隔离配置  (1.01 MB)

01-用户隔离配置


1 用户隔离

1.1  用户隔离简介

用户隔离,即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。

1.1.1  用户隔离方式介绍

用户隔离包括基于SSID的用户隔离和基于VLAN的用户隔离:

·     基于SSID的用户隔离:用于隔离同一SSID下的无线用户。

·     基于VLAN的用户隔离:用于隔离同一VLAN内的有线用户和无线用户。

·     基于用户组的用户隔离:用于隔离用户组内/组间的无线用户。

1.1.2  基于SSID的用户隔离

基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。

1. 集中式转发场景下基于SSID的用户隔离机制

图1-1所示,在集中式转发场景下,Client 1~Client 3分别通过AP 1~AP 3接入无线网络,Client 1和Client 2属于VLAN 100,Client 3属于VLAN 200。在AC上开启基于SSID的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给Switch。

·     Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-1 集中式转发场景下报文路径转发示意图

 

2. 本地转发场景下基于SSID的用户隔离机制

说明

该机制仅隔离同一AP下的无线客户端。

 

图1-2所示,在本地转发场景下,Client 1~Client 4分别通过AP 1~AP 3接入无线网络,Client 1~Client 3属于VLAN 100,Client 4属于VLAN 200。在AP 1上开启基于SSID的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AP 1收到广播/组播报文后,仅将报文通过有线接口转发给同一VLAN内的有线网络用户AP 2、AP 3和Host,不再将报文转发给无线用户Client 2。AP 2接收到报文后转发给无线用户Client 3,AP 3接收到报文后不会将其转发给Client 4。

·     Client 1在VLAN 100内向Client 2发送单播报文,AP 1收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。

图1-2 本地转发场景下报文路径转发示意图

 

1.1.3  基于VLAN的用户隔离

基于VLAN的用户隔离功能适用于集中式转发和本地转发场景下,设备在指定VLAN内开启该功能后,该VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间(无论无线用户是否使用同一SSID接入WLAN网络)的互相访问将按照表1-1的机制进行隔离。

表1-1 基于VLAN的用户隔离处理机制

数据报文转发方式

收到单播报文

收到广播/组播报文

集中式转发

AC直接丢弃该单播报文

AC仅将报文转发给同一VLAN内的有线用户,不向同一VLAN内的无线用户转发

本地转发

Fit AP直接丢弃该单播报文

Fit AP仅将报文通过有线接口转发给同一VLAN内的有线或无线用户,不向同一VLAN内通过该AP接入的无线用户转发

 

1. 集中式转发场景下基于VLAN的用户隔离机制(AC接收无线用户发送的报文)

图1-3所示,在集中式转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给同一VLAN内的有线用户Host和Server。

·     Client 1在VLAN 100内向Client 3发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-3 无线用户报文路径转发示意图

 

2. 集中式转发场景下基于VLAN的用户隔离机制(AC接收有线用户发送的报文)

图1-4所示,在集中式转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:

·     Host在VLAN 100内发送广播/组播报文,该报文转发到AC和有线网络用户Server,AC收到该广播/组播报文后不再将广播/组播报文进行CAPWAP封装转发给AP,而是直接丢弃。

·     Host在VLAN 100内向Client 3发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-4 有线用户报文路径转发示意图

 

3. 本地转发场景下基于VLAN 的用户隔离机制(AP接收无线用户发送的报文)

图1-5所示,在本地转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:

·     Client 1在VLAN 100内发送广播/组播报文,AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。AP 2接收到报文后转发给无线用户Client 3,而AP 1不再将报文转发给无线用户Client 2。

·     Client 1在VLAN 100内向Client 3发送单播报文,AP 1收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。

图1-5 无线用户报文路径转发示意图

 

4. 本地转发场景下基于VLAN的用户隔离机制(AP接收有线用户发送的报文)

图1-6所示,在本地转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:

·     Host在VLAN 100内发送广播/组播报文,该报文由Switch转发到有线网络Server、AC、AP 1和AP 2。AP 1接收到报文后不再将广播报文转发给无线用户Client 1和Client 2,而是直接丢弃;AP 2接收到报文后转发给无线用户Client 3。

·     Host在VLAN 100内向Client 1发送单播报文,AP 1收到单播报文后,不将报文转发给Client 1,而是直接丢弃该单播报文。

图1-6 有线用户报文路径转发示意图

 

1.1.4  基于用户组的用户隔离

基于用户组的用户隔离适用于集中转发的场景,支持用户组内的用户隔离和用户组间的用户隔离两种方式。

表1-2 基于用户组的用户隔离处理机制

数据报文转发方式

接入AP

业务VLAN

隔离模式

用户互访

集中式转发

相同/不同

相同/不同

组内隔离

·     组内用户单播报文不能互相转发

·     组间用户单播报文可以互相转发

组间隔离

·     组内用户单播报文可以互相转发

·     组间用户单播报文不能互相转发

 

需要注意的是,如果无线用户处于不同的业务VLAN,则需要将网关部署在AC上才能实现用户组隔离功能。

2. 集中式转发场景下基于用户组的用户隔离机制

图1-7所示,在集中转发场景下,Client 1~Client 3分别通过AP 1~AP 3接入无线网络,Client 1和Client 2属于VLAN 100、授权用户组为GROUP_100,Client 3属于VLAN 200、授权用户组为GROUP_100。在授权用户组GROUP_100下配置组内隔离:

·     Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不在将报文转发给AP 2,而是直接丢弃该单播报文。

·     Client 1在VLAN 200内向Client 3发送单播报文,AC收到单播报文后,不在将报文转发给AP 3,而是直接丢弃该单播报文。

图1-7 集中式转发场景下报文路径转发示意图

 

1.2  配置基于SSID的用户隔离功能

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启基于SSID的用户隔离功能。

user-isolation enable

缺省情况下,基于SSID的用户隔离功能处于关闭状态。

1.3  配置基于VLAN的用户隔离功能

1. 硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

说明

MSG系列

MSG360-4

MSG360-4-PWR

MSG360-10

MSG360-10S

MSG360-10-PWR

MSG360-10-LTE

MSG360-20

MSG360-40

MSG360-22L-PWR

不支持

WX2500H-WiNet系列

WX2510H-PWR-WiNet

WX2560H-WiNet

支持

WX3500H-WiNet系列

WX3508H-WiNet

支持

WAC系列

WAC380-30

WAC380-60

WAC380-90

WAC380-120

WAC381

支持

WX2500H-LI系列

WX2540H-LI

WX2560H-LI

支持

WX3500H-LI系列

WX3510H-LI

WX3520H-LI

支持

AC1000系列

AC1016

AC1108

支持

 

2. 配置限制和指导

基于VLAN的用户隔离功能适用于集中式转发和本地转发应用场景:

·     在集中式转发应用场景下,仅需要直接在AC上开启该功能;

·     在本地转发应用场景下,需要将下面配置步骤中的命令按顺序编写到配置文件中,再通过map-configuration命令在AC上为AP指定该配置文件,通过将配置文件中的命令下发到AP的方式来开启该功能。关于配置文件的相关介绍和配置,请参见“WLAN接入配置指导”中的“WLAN接入”。

开启指定VLAN的用户隔离功能前,请务必将指定VLAN用户的网关MAC地址加入到允许转发列表中。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置指定VLAN的MAC地址允许转发列表。

user-isolation vlan vlan-list permit-mac mac-list

缺省情况下,未配置指定VLAN的MAC地址允许转发列表。

设备可以正常转发该VLAN内所有用户发送的单播/组播/广播报文或接收其他用户向该用户发送的单播报文。

(3)     开启指定VLAN的用户隔离功能。

user-isolation vlan vlan-list enable [ permit-unicast ]

缺省情况下,基于VLAN的用户隔离功能处于关闭状态。

(4)     (可选)配置允许转发有线用户发送给无线用户的广播和组播报文。

user-isolation permit-broadcast

缺省情况下,隔离有线用户发往无线用户的广播和组播报文。

(5)     (可选)允许指定VLAN内的无线用户接收广播和组播报文。

user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number

缺省情况下,同一VLAN内的无线用户不能接收广播和组播报文。

1.4  配置基于用户组的用户隔离

1. 功能简介

如果希望对无线用户基于用户组进行业务隔离,则可以为其授权用户组,并在用户组视图下配置用户组隔离策略:

·     组内隔离:该组内用户之间的二/三层报文不能互通。

·     组间隔离:该组的用户不能与其它组的用户互访。

2. 配置限制和指导

·     用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。

·     如果无线用户处于不同的业务VLAN,则需要将网关部署在AC上才能实现用户组隔离功能。

·     如果某用户组内已有用户获取了用户组隔离策略,则不建议删除或修改该组,否则会有隔离策略混乱的风险。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建用户组,并进入用户组视图。

user-group group-name

缺省情况下,存在一个用户组,名称为system。

(3)     配置用户组隔离策略。

user-isolation { intra-group | inter-group } *

缺省情况下,未配置用户组隔离策略。

用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。

关于用户组和用户隔离策略的详细配置请参见“用户接入与认证配置指导”中的“AAA”。

1.5  用户隔离显示与维护

在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除用户隔离统计信息。

说明

display user-isolation statistics [ vlan vlan-id ]reset user-isolation statistics [ vlan vlan-id ]的支持情况请参见命令参考。

 

表1-3 用户隔离显示与维护

操作

命令

显示基于VLAN的用户隔离统计信息

display user-isolation statistics [ vlan vlan-id ]

清除基于VLAN的用户隔离统计信息

reset user-isolation statistics [ vlan vlan-id ]

 

1.6  用户隔离典型配置举例

说明

本手册中的AP型号和序列号仅为举例,具体支持的AP型号和序列号请以设备的实际情况为准。

 

1.6.1  集中式转发场景下基于SSID的用户隔离配置举例

1. 组网需求

在集中式转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。

2. 组网图

图1-8 集中式转发场景下基于SSID的用户隔离组网图

3. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)

# 开启基于SSID的用户隔离功能。

<AC> system-view

[AC] wlan service-template service

[AC-wlan-st-service] user-isolation enable

[AC-wlan-st-service] quit

4. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.6.2  本地转发场景下基于SSID的用户隔离配置举例

1. 组网需求

在本地转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。

2. 组网图

图1-9 本地转发场景下基于SSID的用户隔离组网图

3. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)

# 开启基于SSID的用户隔离功能。

<AC> system-view

[AC] wlan service-template service1

[AC-wlan-st-service1] user-isolation enable

[AC-wlan-st-service1] quit

4. 验证配置

用户Client 1和Client 2都可以访问Internet,但是不能相互访问。

1.6.3  集中式转发场景下基于VLAN的用户隔离配置举例

1. 组网需求

在集中式转发场景下,如图1-10所示,VLAN 100用户的网关Router的MAC地址为000f-e212-7788,通过配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现以下目的:

·     VLAN 100中的无线用户Client 1、Client 2、Client 3、Host和Server可以访问Internet;

·     Client 1发送广播报文时,仅有线用户Host和Server可以收到;

·     Client 1、Client 2及Client 3之间无法互访。

2. 组网图

图1-10 集中式转发场景下基于VLAN的用户隔离配置组网图

3. 配置步骤

# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)

# 将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表。

<AC> system-view

[AC] user-isolation vlan 100 permit-mac 000f-e212-7788

# 在VLAN 100上开启基于VLAN的用户隔离功能。

[AC] user-isolation vlan 100 enable

4. 验证结果

VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet,当Client1发送广播报文时,仅Host和Server可以收到,Client 1、Client 2和Client 3之间无法互访。

1.6.4  本地转发场景下基于VLAN的用户隔离配置举例

1. 组网需求

在本地转发场景下,如图1-11所示,VLAN 100用户的网关Router的MAC地址为000f-e212-7788,在AP 1上配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现以下目的:

·     VLAN 100中的无线用户Client 1、Client 2、Client 3和有线用户Host、Server可以访问Internet;

·     Client 1发送广播报文时,仅有线用户Host、Server和无线用户Client 3可以收到;

·     Client 1和Client 2无法互访。

2. 组网图

图1-11 本地转发场景下基于VLAN的用户隔离配置组网图

3. 配置步骤

# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)

# 请按照命令行配置顺序编写apcfg.txt配置文件,将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表,然后开启基于VLAN的用户隔离功能。

<AC> system-view

[AC] user-isolation vlan 100 permit-mac 000f-e212-7788

[AC] user-isolation vlan 100 enable

# 在AC上将配置文件apcfg.txt下发到AP,从而完成对AP的配置。

<AC> system-view

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] map-configuration apcfg.txt

4. 验证配置

VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet,当Client 1发送广播报文时,仅Host、Server和Client 3可以收到,Client 1和Client 2无法互访。

1.6.5  基于授权用户组的用户隔离配置举例

1. 组网需求

在集中式转发场景下,通过配置基于授权用户组的用户隔离策略,实现同一个用户组或者不同用户组之间的二层、三层隔离不能互相访问。

2. 组网图

图1-12 集中式转发场景下基于授权用户组配置举例组网图

 

3. 配置步骤

说明: 说明

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。

·     完成RADIUS服务器的配置,安装证书并添加用户账户,保证用户的认证/授权/计费功能正常运行。

 

(1)     配置802.1X认证方式及Radius方案

# 配置802.1X认证方式为EAP。

<AC> system-view

[AC] dot1x authentication-method eap

# 配置RADIUS方案,名称为imcc,主认证服务器的IP地址为192.168.66.141,端口号为1812,配置主计费服务器的IP地址为192.168.66.141,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。

[AC] radius scheme imcc

[AC-radius-imcc] primary authentication 192.168.66.141 1812

[AC-radius-imcc] primary accounting 192.168.66.141 1813

[AC-radius-imcc] key authentication simple 12345678

[AC-radius-imcc] key accounting simple 12345678

[AC-radius-imcc] user-name-format without-domain

[AC-radius-imcc] quit

(2)     配置ISP域的AAA方法

# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案imcc。

[AC] domain imc

[AC-isp-imc] authentication lan-access radius-scheme imcc

[AC-isp-imc] authorization lan-access radius-scheme imcc

[AC-isp-imc] accounting lan-access radius-scheme imcc

[AC-isp-imc] quit

(3)     配置无线服务模板

# 配置无线服务模板名称为wlas_imc_peap,用户认证方式为802.1X,ISP域为imc,SSID为wlas_imc_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。

[AC] wlan service-template wlas_imc_peap

[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x

[AC-wlan-st-wlas_imc_peap] dot1x domain imc

[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap

[AC-wlan-st-wlas_imc_peap] akm mode dot1x

[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp

[AC-wlan-st-wlas_imc_peap] security-ie rs

# 使能无线服务模板。

[AC-wlan-st-wlas_imc_peap] service-template enable

[AC-wlan-st-wlas_imc_peap] quit

(4)     配置手工AP,并将无线服务模板绑定到radio上

# 创建ap1。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 配置信道为149,并使能射频。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 149

[AC-wlan-ap-ap1-radio-1] radio enable

# 绑定无线服务模板。

[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

(5)     配置用户组下的隔离策略为组内隔离

<AC> system

[AC] user-group intraGroup

[AC-ugroup-intragroup] user-isolated intra-group

[AC-ugroup-intragroup] quit

(6)     配置RADIUS server (iMC V7)

说明: 说明

·     下面以iMC为例(使用iMC版本为:iMC PLAT 7.3、iMC UAM 7.3),说明RADIUS server的基本配置。

·     在服务器上已经完成证书的安装。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理]菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

¡     设置认证、计费共享密钥为12345678,其它保持缺省配置。

¡     选择或手工增加接入设备,添加IP地址为192.168.66.103的接入设备。

图1-13 增加接入设备页面

 

# 增加服务策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。

¡     设置接入策略名为intra。

¡     选择证书认证为EAP证书认证。

¡     选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-MSCHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。

¡     设置下发用户组为intraGroup。

图1-14 增加服务策略页面

 

# 增加接入服务。

选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。

¡     设置服务名为aaa_intra。

¡     设置缺省接入策略为已经创建的intra策略。

图1-15 增加接入服务页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

¡     添加用户user。

¡     添加帐号名为intra,密码为12345678。

¡     选中之前配置的服务aaa_intra。

图1-16 增加接入用户页面

 

4. 验证结果

# 客户端通过802.1x认证成功关联AP

·     通过display wlan client verbose命令查看无线客户端在线情况和授权用户组。

[AC] display wlan client verbose

Total number of clients: 3

MAC address                       : 5213-5677-11a7

IPv4 address                      : 192.168.125.100

略……

Authorization user group name  : intra

MAC address                       : 72c8-a028-8aab

IPv4 address                      : 192.168.125.101

略……

Authorization user group name : intra

MAC address                       : 04b1-6704-7847

IPv4 address                      : 192.168.126.100

略……

Authorization user group name  : intra

用户Client 1~Client 3都可以访问Internet,但是不能互相访问。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们