01-用户隔离配置
本章节下载: 01-用户隔离配置 (1.01 MB)
用户隔离,即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。
用户隔离包括基于SSID的用户隔离和基于VLAN的用户隔离:
· 基于SSID的用户隔离:用于隔离同一SSID下的无线用户。
· 基于VLAN的用户隔离:用于隔离同一VLAN内的有线用户和无线用户。
· 基于用户组的用户隔离:用于隔离用户组内/组间的无线用户。
基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。
如图1-1所示,在集中式转发场景下,Client 1~Client 3分别通过AP 1~AP 3接入无线网络,Client 1和Client 2属于VLAN 100,Client 3属于VLAN 200。在AC上开启基于SSID的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给Switch。
· Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
该机制仅隔离同一AP下的无线客户端。
如图1-2所示,在本地转发场景下,Client 1~Client 4分别通过AP 1~AP 3接入无线网络,Client 1~Client 3属于VLAN 100,Client 4属于VLAN 200。在AP 1上开启基于SSID的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AP 1收到广播/组播报文后,仅将报文通过有线接口转发给同一VLAN内的有线网络用户AP 2、AP 3和Host,不再将报文转发给无线用户Client 2。AP 2接收到报文后转发给无线用户Client 3,AP 3接收到报文后不会将其转发给Client 4。
· Client 1在VLAN 100内向Client 2发送单播报文,AP 1收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。
基于VLAN的用户隔离功能适用于集中式转发和本地转发场景下,设备在指定VLAN内开启该功能后,该VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间(无论无线用户是否使用同一SSID接入WLAN网络)的互相访问将按照表1-1的机制进行隔离。
表1-1 基于VLAN的用户隔离处理机制
数据报文转发方式 |
收到单播报文 |
收到广播/组播报文 |
集中式转发 |
AC直接丢弃该单播报文 |
AC仅将报文转发给同一VLAN内的有线用户,不向同一VLAN内的无线用户转发 |
本地转发 |
Fit AP直接丢弃该单播报文 |
Fit AP仅将报文通过有线接口转发给同一VLAN内的有线或无线用户,不向同一VLAN内通过该AP接入的无线用户转发 |
如图1-3所示,在集中式转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给同一VLAN内的有线用户Host和Server。
· Client 1在VLAN 100内向Client 3发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
如图1-4所示,在集中式转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能:
· Host在VLAN 100内发送广播/组播报文,该报文转发到AC和有线网络用户Server,AC收到该广播/组播报文后不再将广播/组播报文进行CAPWAP封装转发给AP,而是直接丢弃。
· Host在VLAN 100内向Client 3发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
如图1-5所示,在本地转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。AP 2接收到报文后转发给无线用户Client 3,而AP 1不再将报文转发给无线用户Client 2。
· Client 1在VLAN 100内向Client 3发送单播报文,AP 1收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
如图1-6所示,在本地转发场景下,无线用户Client 1和Client 2通过AP 1接入无线网络,Client 3通过AP 2接入无线网络,Client 1~Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能:
· Host在VLAN 100内发送广播/组播报文,该报文由Switch转发到有线网络Server、AC、AP 1和AP 2。AP 1接收到报文后不再将广播报文转发给无线用户Client 1和Client 2,而是直接丢弃;AP 2接收到报文后转发给无线用户Client 3。
· Host在VLAN 100内向Client 1发送单播报文,AP 1收到单播报文后,不将报文转发给Client 1,而是直接丢弃该单播报文。
基于用户组的用户隔离适用于集中转发的场景,支持用户组内的用户隔离和用户组间的用户隔离两种方式。
表1-2 基于用户组的用户隔离处理机制
数据报文转发方式 |
接入AP |
业务VLAN |
隔离模式 |
用户互访 |
集中式转发 |
相同/不同 |
相同/不同 |
组内隔离 |
· 组内用户单播报文不能互相转发 · 组间用户单播报文可以互相转发 |
组间隔离 |
· 组内用户单播报文可以互相转发 · 组间用户单播报文不能互相转发 |
需要注意的是,如果无线用户处于不同的业务VLAN,则需要将网关部署在AC上才能实现用户组隔离功能。
如图1-7所示,在集中转发场景下,Client 1~Client 3分别通过AP 1~AP 3接入无线网络,Client 1和Client 2属于VLAN 100、授权用户组为GROUP_100,Client 3属于VLAN 200、授权用户组为GROUP_100。在授权用户组GROUP_100下配置组内隔离:
· Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不在将报文转发给AP 2,而是直接丢弃该单播报文。
· Client 1在VLAN 200内向Client 3发送单播报文,AC收到单播报文后,不在将报文转发给AP 3,而是直接丢弃该单播报文。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启基于SSID的用户隔离功能。
user-isolation enable
缺省情况下,基于SSID的用户隔离功能处于关闭状态。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
说明 |
MSG系列 |
MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR |
不支持 |
WX2500H-WiNet系列 |
WX2510H-PWR-WiNet WX2560H-WiNet |
支持 |
WX3500H-WiNet系列 |
WX3508H-WiNet |
支持 |
WAC系列 |
WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381 |
支持 |
WX2500H-LI系列 |
WX2540H-LI WX2560H-LI |
支持 |
WX3500H-LI系列 |
WX3510H-LI WX3520H-LI |
支持 |
AC1000系列 |
AC1016 AC1108 |
支持 |
基于VLAN的用户隔离功能适用于集中式转发和本地转发应用场景:
· 在集中式转发应用场景下,仅需要直接在AC上开启该功能;
· 在本地转发应用场景下,需要将下面配置步骤中的命令按顺序编写到配置文件中,再通过map-configuration命令在AC上为AP指定该配置文件,通过将配置文件中的命令下发到AP的方式来开启该功能。关于配置文件的相关介绍和配置,请参见“WLAN接入配置指导”中的“WLAN接入”。
开启指定VLAN的用户隔离功能前,请务必将指定VLAN用户的网关MAC地址加入到允许转发列表中。
(1) 进入系统视图。
system-view
(2) 配置指定VLAN的MAC地址允许转发列表。
user-isolation vlan vlan-list permit-mac mac-list
缺省情况下,未配置指定VLAN的MAC地址允许转发列表。
设备可以正常转发该VLAN内所有用户发送的单播/组播/广播报文或接收其他用户向该用户发送的单播报文。
(3) 开启指定VLAN的用户隔离功能。
user-isolation vlan vlan-list enable [ permit-unicast ]
缺省情况下,基于VLAN的用户隔离功能处于关闭状态。
(4) (可选)配置允许转发有线用户发送给无线用户的广播和组播报文。
user-isolation permit-broadcast
缺省情况下,隔离有线用户发往无线用户的广播和组播报文。
(5) (可选)允许指定VLAN内的无线用户接收广播和组播报文。
user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number
缺省情况下,同一VLAN内的无线用户不能接收广播和组播报文。
如果希望对无线用户基于用户组进行业务隔离,则可以为其授权用户组,并在用户组视图下配置用户组隔离策略:
· 组内隔离:该组内用户之间的二/三层报文不能互通。
· 组间隔离:该组的用户不能与其它组的用户互访。
· 用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。
· 如果无线用户处于不同的业务VLAN,则需要将网关部署在AC上才能实现用户组隔离功能。
· 如果某用户组内已有用户获取了用户组隔离策略,则不建议删除或修改该组,否则会有隔离策略混乱的风险。
(1) 进入系统视图。
system-view
(2) 创建用户组,并进入用户组视图。
user-group group-name
缺省情况下,存在一个用户组,名称为system。
(3) 配置用户组隔离策略。
user-isolation { intra-group | inter-group } *
缺省情况下,未配置用户组隔离策略。
用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。
关于用户组和用户隔离策略的详细配置请参见“用户接入与认证配置指导”中的“AAA”。
在完成上述配置后,在任意视图下执行display命令可以查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除用户隔离统计信息。
display user-isolation statistics [ vlan vlan-id ]和reset user-isolation statistics [ vlan vlan-id ]的支持情况请参见命令参考。
表1-3 用户隔离显示与维护
操作 |
命令 |
显示基于VLAN的用户隔离统计信息 |
display user-isolation statistics [ vlan vlan-id ] |
清除基于VLAN的用户隔离统计信息 |
reset user-isolation statistics [ vlan vlan-id ] |
本手册中的AP型号和序列号仅为举例,具体支持的AP型号和序列号请以设备的实际情况为准。
在集中式转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。
图1-8 集中式转发场景下基于SSID的用户隔离组网图
# 配置Client1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)
# 开启基于SSID的用户隔离功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] user-isolation enable
[AC-wlan-st-service] quit
用户Client 1和Client 2都可以访问Internet,但是不能相互访问。
在本地转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。
图1-9 本地转发场景下基于SSID的用户隔离组网图
# 配置Client1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)
# 开启基于SSID的用户隔离功能。
<AC> system-view
[AC] wlan service-template service1
[AC-wlan-st-service1] user-isolation enable
[AC-wlan-st-service1] quit
用户Client 1和Client 2都可以访问Internet,但是不能相互访问。
在集中式转发场景下,如图1-10所示,VLAN 100用户的网关Router的MAC地址为000f-e212-7788,通过配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现以下目的:
· VLAN 100中的无线用户Client 1、Client 2、Client 3、Host和Server可以访问Internet;
· Client 1发送广播报文时,仅有线用户Host和Server可以收到;
· Client 1、Client 2及Client 3之间无法互访。
图1-10 集中式转发场景下基于VLAN的用户隔离配置组网图
# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)
# 将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表。
[AC] user-isolation vlan 100 permit-mac 000f-e212-7788
# 在VLAN 100上开启基于VLAN的用户隔离功能。
[AC] user-isolation vlan 100 enable
VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet,当Client1发送广播报文时,仅Host和Server可以收到,Client 1、Client 2和Client 3之间无法互访。
在本地转发场景下,如图1-11所示,VLAN 100用户的网关Router的MAC地址为000f-e212-7788,在AP 1上配置基于VLAN的用户隔离,将网关的MAC地址加入到允许转发列表,实现以下目的:
· VLAN 100中的无线用户Client 1、Client 2、Client 3和有线用户Host、Server可以访问Internet;
· Client 1发送广播报文时,仅有线用户Host、Server和无线用户Client 3可以收到;
· Client 1和Client 2无法互访。
图1-11 本地转发场景下基于VLAN的用户隔离配置组网图
# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)
# 请按照命令行配置顺序编写apcfg.txt配置文件,将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表,然后开启基于VLAN的用户隔离功能。
<AC> system-view
[AC] user-isolation vlan 100 permit-mac 000f-e212-7788
[AC] user-isolation vlan 100 enable
# 在AC上将配置文件apcfg.txt下发到AP,从而完成对AP的配置。
<AC> system-view
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] map-configuration apcfg.txt
VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet,当Client 1发送广播报文时,仅Host、Server和Client 3可以收到,Client 1和Client 2无法互访。
在集中式转发场景下,通过配置基于授权用户组的用户隔离策略,实现同一个用户组或者不同用户组之间的二层、三层隔离不能互相访问。
图1-12 集中式转发场景下基于授权用户组配置举例组网图
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
· 完成RADIUS服务器的配置,安装证书并添加用户账户,保证用户的认证/授权/计费功能正常运行。
(1) 配置802.1X认证方式及Radius方案
# 配置802.1X认证方式为EAP。
<AC> system-view
[AC] dot1x authentication-method eap
# 配置RADIUS方案,名称为imcc,主认证服务器的IP地址为192.168.66.141,端口号为1812,配置主计费服务器的IP地址为192.168.66.141,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 192.168.66.141 1812
[AC-radius-imcc] primary accounting 192.168.66.141 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置无线服务模板
# 配置无线服务模板名称为wlas_imc_peap,用户认证方式为802.1X,ISP域为imc,SSID为wlas_imc_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。
[AC] wlan service-template wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_imc_peap] dot1x domain imc
[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] akm mode dot1x
[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp
[AC-wlan-st-wlas_imc_peap] security-ie rs
# 使能无线服务模板。
[AC-wlan-st-wlas_imc_peap] service-template enable
[AC-wlan-st-wlas_imc_peap] quit
(4) 配置手工AP,并将无线服务模板绑定到radio上
# 创建ap1。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道为149,并使能射频。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置用户组下的隔离策略为组内隔离
<AC> system
[AC] user-group intraGroup
[AC-ugroup-intragroup] user-isolated intra-group
[AC-ugroup-intragroup] quit
(6) 配置RADIUS server (iMC V7)
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.3、iMC UAM 7.3),说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理]菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置。
¡ 选择或手工增加接入设备,添加IP地址为192.168.66.103的接入设备。
图1-13 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
¡ 设置接入策略名为intra。
¡ 选择证书认证为EAP证书认证。
¡ 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-MSCHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
¡ 设置下发用户组为intraGroup。
图1-14 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
¡ 设置服务名为aaa_intra。
¡ 设置缺省接入策略为已经创建的intra策略。
图1-15 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
¡ 添加用户user。
¡ 添加帐号名为intra,密码为12345678。
¡ 选中之前配置的服务aaa_intra。
图1-16 增加接入用户页面
# 客户端通过802.1x认证成功关联AP
· 通过display wlan client verbose命令查看无线客户端在线情况和授权用户组。
[AC] display wlan client verbose
Total number of clients: 3
MAC address : 5213-5677-11a7
IPv4 address : 192.168.125.100
略……
Authorization user group name : intra
MAC address : 72c8-a028-8aab
IPv4 address : 192.168.125.101
略……
Authorization user group name : intra
MAC address : 04b1-6704-7847
IPv4 address : 192.168.126.100
略……
Authorization user group name : intra
用户Client 1~Client 3都可以访问Internet,但是不能互相访问。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!