目  录

1 用户隔离

1.1 用户隔离简介

1.1.1 用户隔离方式介绍

1.1.2 基于SSID的用户隔离

1.1.3 基于VLAN的用户隔离

1.1.4 基于用户组的用户隔离

1.2 配置基于SSID的用户隔离功能

1.3 配置基于VLAN的用户隔离功能

1.4 配置基于用户组的用户隔离

1.5 用户隔离显示与维护

1.6 用户隔离典型配置举例

1.6.1 集中式转发场景下基于SSID的用户隔离配置举例

1.6.2 本地转发场景下基于SSID的用户隔离配置举例

1.6.3 集中式转发场景下基于VLAN的用户隔离配置举例

1.6.4 本地转发场景下基于VLAN的用户隔离配置举例

1.6.5 基于授权用户组的用户隔离配置举例

 

1 用户隔离

1.1  用户隔离简介

用户隔离，即对使用同一公共无线服务或在同一VLAN进行通信的用户进行报文隔离，从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。

1.1.1  用户隔离方式介绍

用户隔离包括基于SSID的用户隔离和基于VLAN的用户隔离：

·     基于SSID的用户隔离：用于隔离同一SSID下的无线用户。

·     基于VLAN的用户隔离：用于隔离同一VLAN内的有线用户和无线用户。

·     基于用户组的用户隔离：用于隔离用户组内/组间的无线用户。

1.1.2  基于SSID的用户隔离

基于SSID的用户隔离功能适用于集中式转发和本地转发场景下，设备开启基于SSID的用户隔离功能后，通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。

1. 集中式转发场景下基于SSID的用户隔离机制

如图1-1所示，在集中式转发场景下，Client 1～Client 3分别通过AP 1～AP 3接入无线网络，Client 1和Client 2属于VLAN 100，Client 3属于VLAN 200。在AC上开启基于SSID的用户隔离功能：

·     Client 1在VLAN 100内发送广播/组播报文，AC收到广播/组播报文后，不再将广播/组播报文复制及转发给网络中的AP，而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给Switch。

·     Client 1在VLAN 100内向Client 2发送单播报文，AC收到单播报文后，不将报文转发给AP 2，而是直接丢弃该单播报文。

图1-1 集中式转发场景下报文路径转发示意图

 

2. 本地转发场景下基于SSID的用户隔离机制

 

如图1-2所示，在本地转发场景下，Client 1～Client 4分别通过AP 1～AP 3接入无线网络，Client 1～Client 3属于VLAN 100，Client 4属于VLAN 200。在AP 1上开启基于SSID的用户隔离功能：

·     Client 1在VLAN 100内发送广播/组播报文，AP 1收到广播/组播报文后，仅将报文通过有线接口转发给同一VLAN内的有线网络用户AP 2、AP 3和Host，不再将报文转发给无线用户Client 2。AP 2接收到报文后转发给无线用户Client 3，AP 3接收到报文后不会将其转发给Client 4。

·     Client 1在VLAN 100内向Client 2发送单播报文，AP 1收到单播报文后，不将报文转发给Client 2，而是直接丢弃该单播报文。

图1-2 本地转发场景下报文路径转发示意图

 

1.1.3  基于VLAN的用户隔离

基于VLAN的用户隔离功能适用于集中式转发和本地转发场景下，设备在指定VLAN内开启该功能后，该VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间（无论无线用户是否使用同一SSID接入WLAN网络）的互相访问将按照表1-1的机制进行隔离。

表1-1 基于VLAN的用户隔离处理机制

数据报文转发方式	收到单播报文	收到广播/组播报文
集中式转发	AC直接丢弃该单播报文	AC仅将报文转发给同一VLAN内的有线用户，不向同一VLAN内的无线用户转发
本地转发	Fit AP直接丢弃该单播报文	Fit AP仅将报文通过有线接口转发给同一VLAN内的有线或无线用户，不向同一VLAN内通过该AP接入的无线用户转发

 

1. 集中式转发场景下基于VLAN的用户隔离机制（AC接收无线用户发送的报文）

如图1-3所示，在集中式转发场景下，无线用户Client 1和Client 2通过AP 1接入无线网络，Client 3通过AP 2接入无线网络，Client 1～Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能：

·     Client 1在VLAN 100内发送广播/组播报文，AC收到广播/组播报文后，不再将广播/组播报文复制及转发给网络中的AP，而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给同一VLAN内的有线用户Host和Server。

·     Client 1在VLAN 100内向Client 3发送单播报文，AC收到单播报文后，不将报文转发给AP 2，而是直接丢弃该单播报文。

图1-3 无线用户报文路径转发示意图

 

2. 集中式转发场景下基于VLAN的用户隔离机制（AC接收有线用户发送的报文）

如图1-4所示，在集中式转发场景下，无线用户Client 1和Client 2通过AP 1接入无线网络，Client 3通过AP 2接入无线网络，Client 1～Client 3和有线用户Server、Host都属于VLAN 100。在AC上开启基于VLAN的用户隔离功能：

·     Host在VLAN 100内发送广播/组播报文，该报文转发到AC和有线网络用户Server，AC收到该广播/组播报文后不再将广播/组播报文进行CAPWAP封装转发给AP，而是直接丢弃。

·     Host在VLAN 100内向Client 3发送单播报文，AC收到单播报文后，不将报文转发给AP 2，而是直接丢弃该单播报文。

图1-4 有线用户报文路径转发示意图

 

3. 本地转发场景下基于VLAN 的用户隔离机制（AP接收无线用户发送的报文）

如图1-5所示，在本地转发场景下，无线用户Client 1和Client 2通过AP 1接入无线网络，Client 3通过AP 2接入无线网络，Client 1～Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能：

·     Client 1在VLAN 100内发送广播/组播报文，AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。AP 2接收到报文后转发给无线用户Client 3，而AP 1不再将报文转发给无线用户Client 2。

·     Client 1在VLAN 100内向Client 3发送单播报文，AP 1收到单播报文后，不将报文转发给AP 2，而是直接丢弃该单播报文。

图1-5 无线用户报文路径转发示意图

 

4. 本地转发场景下基于VLAN的用户隔离机制（AP接收有线用户发送的报文）

如图1-6所示，在本地转发场景下，无线用户Client 1和Client 2通过AP 1接入无线网络，Client 3通过AP 2接入无线网络，Client 1～Client 3和有线用户Server、Host都属于VLAN 100。在AP 1上开启基于VLAN的用户隔离功能：

·     Host在VLAN 100内发送广播/组播报文，该报文由Switch转发到有线网络Server、AC、AP 1和AP 2。AP 1接收到报文后不再将广播报文转发给无线用户Client 1和Client 2，而是直接丢弃；AP 2接收到报文后转发给无线用户Client 3。

·     Host在VLAN 100内向Client 1发送单播报文，AP 1收到单播报文后，不将报文转发给Client 1，而是直接丢弃该单播报文。

图1-6 有线用户报文路径转发示意图

 

1.1.4  基于用户组的用户隔离

基于用户组的用户隔离适用于集中转发的场景，支持用户组内的用户隔离和用户组间的用户隔离两种方式。

表1-2 基于用户组的用户隔离处理机制

数据报文转发方式	接入AP	业务VLAN	隔离模式	用户互访
集中式转发	相同/不同	相同/不同	组内隔离	·     组内用户单播报文不能互相转发 ·     组间用户单播报文可以互相转发
			组间隔离	·     组内用户单播报文可以互相转发 ·     组间用户单播报文不能互相转发

 

需要注意的是，如果无线用户处于不同的业务VLAN，则需要将网关部署在AC上才能实现用户组隔离功能。

2. 集中式转发场景下基于用户组的用户隔离机制

如图1-7所示，在集中转发场景下，Client 1～Client 3分别通过AP 1～AP 3接入无线网络，Client 1和Client 2属于VLAN 100、授权用户组为GROUP_100，Client 3属于VLAN 200、授权用户组为GROUP_100。在授权用户组GROUP_100下配置组内隔离：

·     Client 1在VLAN 100内向Client 2发送单播报文，AC收到单播报文后，不在将报文转发给AP 2，而是直接丢弃该单播报文。

·     Client 1在VLAN 200内向Client 3发送单播报文，AC收到单播报文后，不在将报文转发给AP 3，而是直接丢弃该单播报文。

图1-7 集中式转发场景下报文路径转发示意图

 

1.2  配置基于SSID的用户隔离功能

(1)     进入系统视图。

system-view

(2)     进入无线服务模板视图。

wlan service-template service-template-name

(3)     开启基于SSID的用户隔离功能。

user-isolation enable

缺省情况下，基于SSID的用户隔离功能处于关闭状态。

1.3  配置基于VLAN的用户隔离功能

1. 硬件适配关系

本特性的支持情况与设备型号有关，请以设备的实际情况为准。

产品系列	产品型号	说明
MSG系列	MSG360-4 MSG360-4-PWR MSG360-10 MSG360-10S MSG360-10-PWR MSG360-10-LTE MSG360-20 MSG360-40 MSG360-22L-PWR	不支持
WX2500H-WiNet系列	WX2510H-PWR-WiNet WX2560H-WiNet	支持
WX3500H-WiNet系列	WX3508H-WiNet	支持
WAC系列	WAC380-30 WAC380-60 WAC380-90 WAC380-120 WAC381	支持
WX2500H-LI系列	WX2540H-LI WX2560H-LI	支持
WX3500H-LI系列	WX3510H-LI WX3520H-LI	支持
AC1000系列	AC1016 AC1108	支持

 

2. 配置限制和指导

基于VLAN的用户隔离功能适用于集中式转发和本地转发应用场景：

·     在集中式转发应用场景下，仅需要直接在AC上开启该功能；

·     在本地转发应用场景下，需要将下面配置步骤中的命令按顺序编写到配置文件中，再通过map-configuration命令在AC上为AP指定该配置文件，通过将配置文件中的命令下发到AP的方式来开启该功能。关于配置文件的相关介绍和配置，请参见“WLAN接入配置指导”中的“WLAN接入”。

开启指定VLAN的用户隔离功能前，请务必将指定VLAN用户的网关MAC地址加入到允许转发列表中。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置指定VLAN的MAC地址允许转发列表。

user-isolation vlan vlan-list permit-mac mac-list

缺省情况下，未配置指定VLAN的MAC地址允许转发列表。

设备可以正常转发该VLAN内所有用户发送的单播/组播/广播报文或接收其他用户向该用户发送的单播报文。

(3)     开启指定VLAN的用户隔离功能。

user-isolation vlan vlan-list enable [ permit-unicast ]

缺省情况下，基于VLAN的用户隔离功能处于关闭状态。

(4)     （可选）配置允许转发有线用户发送给无线用户的广播和组播报文。

user-isolation permit-broadcast

缺省情况下，隔离有线用户发往无线用户的广播和组播报文。

(5)     （可选）允许指定VLAN内的无线用户接收广播和组播报文。

user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number

缺省情况下，同一VLAN内的无线用户不能接收广播和组播报文。

1.4  配置基于用户组的用户隔离

1. 功能简介

如果希望对无线用户基于用户组进行业务隔离，则可以为其授权用户组，并在用户组视图下配置用户组隔离策略：

·     组内隔离：该组内用户之间的二/三层报文不能互通。

·     组间隔离：该组的用户不能与其它组的用户互访。

2. 配置限制和指导

·     用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。

·     如果无线用户处于不同的业务VLAN，则需要将网关部署在AC上才能实现用户组隔离功能。

·     如果某用户组内已有用户获取了用户组隔离策略，则不建议删除或修改该组，否则会有隔离策略混乱的风险。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建用户组，并进入用户组视图。

user-group group-name

缺省情况下，存在一个用户组，名称为system。

(3)     配置用户组隔离策略。

user-isolation { intra-group | inter-group } *

缺省情况下，未配置用户组隔离策略。

用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。

关于用户组和用户隔离策略的详细配置请参见“用户接入与认证配置指导”中的“AAA”。

1.5  用户隔离显示与维护

在完成上述配置后，在任意视图下执行display命令可以查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除用户隔离统计信息。

 

表1-3 用户隔离显示与维护

操作	命令
显示基于VLAN的用户隔离统计信息	display user-isolation statistics [ vlan vlan-id ]
清除基于VLAN的用户隔离统计信息	reset user-isolation statistics [ vlan vlan-id ]

 

1.6  用户隔离典型配置举例

 

1.6.1  集中式转发场景下基于SSID的用户隔离配置举例

1. 组网需求

在集中式转发场景下，通过配置基于SSID的用户隔离，实现用户Client 1和Client 2可以通过同一个SSID访问网络，但是两者不能相互访问。

2. 组网图

图1-8 集中式转发场景下基于SSID的用户隔离组网图

‌

3. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。（详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”）（略）

# 开启基于SSID的用户隔离功能。

<AC> system-view

[AC] wlan service-template service

[AC-wlan-st-service] user-isolation enable

[AC-wlan-st-service] quit

4. 验证配置

用户Client 1和Client 2都可以访问Internet，但是不能相互访问。

1.6.2  本地转发场景下基于SSID的用户隔离配置举例

1. 组网需求

在本地转发场景下，通过配置基于SSID的用户隔离，实现用户Client 1和Client 2可以通过同一个SSID访问网络，但是两者不能相互访问。

2. 组网图

图1-9 本地转发场景下基于SSID的用户隔离组网图

‌

3. 配置步骤

# 配置Client1和Client 2通过无线网络接入Internet。（详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”）（略）

# 开启基于SSID的用户隔离功能。

<AC> system-view

[AC] wlan service-template service1

[AC-wlan-st-service1] user-isolation enable

[AC-wlan-st-service1] quit

4. 验证配置

用户Client 1和Client 2都可以访问Internet，但是不能相互访问。

1.6.3  集中式转发场景下基于VLAN的用户隔离配置举例

1. 组网需求

在集中式转发场景下，如图1-10所示，VLAN 100用户的网关Router的MAC地址为000f-e212-7788，通过配置基于VLAN的用户隔离，将网关的MAC地址加入到允许转发列表，实现以下目的：

·     VLAN 100中的无线用户Client 1、Client 2、Client 3、Host和Server可以访问Internet；

·     Client 1发送广播报文时，仅有线用户Host和Server可以收到；

·     Client 1、Client 2及Client 3之间无法互访。

2. 组网图

图1-10 集中式转发场景下基于VLAN的用户隔离配置组网图

‌

3. 配置步骤

# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。（详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”）（略）

# 将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表。

<AC> system-view

[AC] user-isolation vlan 100 permit-mac 000f-e212-7788

# 在VLAN 100上开启基于VLAN的用户隔离功能。

[AC] user-isolation vlan 100 enable

4. 验证结果

VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet，当Client1发送广播报文时，仅Host和Server可以收到，Client 1、Client 2和Client 3之间无法互访。

1.6.4  本地转发场景下基于VLAN的用户隔离配置举例

1. 组网需求

在本地转发场景下，如图1-11所示，VLAN 100用户的网关Router的MAC地址为000f-e212-7788，在AP 1上配置基于VLAN的用户隔离，将网关的MAC地址加入到允许转发列表，实现以下目的：

·     VLAN 100中的无线用户Client 1、Client 2、Client 3和有线用户Host、Server可以访问Internet；

·     Client 1发送广播报文时，仅有线用户Host、Server和无线用户Client 3可以收到；

·     Client 1和Client 2无法互访。

2. 组网图

图1-11 本地转发场景下基于VLAN的用户隔离配置组网图

‌

3. 配置步骤

# 配置Client 1、Client 2和Client 3通过无线网络接入Internet。（详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”）（略）

# 请按照命令行配置顺序编写apcfg.txt配置文件，将Router与AC连接侧接口的MAC地址000f-e212-7788加入VLAN 100的允许转发列表，然后开启基于VLAN的用户隔离功能。

<AC> system-view

[AC] user-isolation vlan 100 permit-mac 000f-e212-7788

[AC] user-isolation vlan 100 enable

# 在AC上将配置文件apcfg.txt下发到AP，从而完成对AP的配置。

<AC> system-view

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] map-configuration apcfg.txt

4. 验证配置

VLAN 100中的用户Client 1、Client 2、Client 3、Host和Server可以访问Internet，当Client 1发送广播报文时，仅Host、Server和Client 3可以收到，Client 1和Client 2无法互访。

1.6.5  基于授权用户组的用户隔离配置举例

1. 组网需求

在集中式转发场景下，通过配置基于授权用户组的用户隔离策略，实现同一个用户组或者不同用户组之间的二层、三层隔离不能互相访问。

2. 组网图

图1-12 集中式转发场景下基于授权用户组配置举例组网图

 

3. 配置步骤

 

(1)     配置802.1X认证方式及Radius方案

# 配置802.1X认证方式为EAP。

<AC> system-view

[AC] dot1x authentication-method eap

# 配置RADIUS方案，名称为imcc，主认证服务器的IP地址为192.168.66.141，端口号为1812，配置主计费服务器的IP地址为192.168.66.141，端口号为1813，认证密钥为明文12345678，计费密钥为明文12345678，用户名格式为without-domain。

[AC] radius scheme imcc

[AC-radius-imcc] primary authentication 192.168.66.141 1812

[AC-radius-imcc] primary accounting 192.168.66.141 1813

[AC-radius-imcc] key authentication simple 12345678

[AC-radius-imcc] key accounting simple 12345678

[AC-radius-imcc] user-name-format without-domain

[AC-radius-imcc] quit

(2)     配置ISP域的AAA方法

# 配置名称为imc的ISP域，并将认证、授权和计费的方式配置为使用RADIUS方案imcc。

[AC] domain imc

[AC-isp-imc] authentication lan-access radius-scheme imcc

[AC-isp-imc] authorization lan-access radius-scheme imcc

[AC-isp-imc] accounting lan-access radius-scheme imcc

[AC-isp-imc] quit

(3)     配置无线服务模板

# 配置无线服务模板名称为wlas_imc_peap，用户认证方式为802.1X，ISP域为imc，SSID为wlas_imc_peap，AKM模式为802.1X，加密套件为CCMP，安全IE为RSN。

[AC] wlan service-template wlas_imc_peap

[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x

[AC-wlan-st-wlas_imc_peap] dot1x domain imc

[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap

[AC-wlan-st-wlas_imc_peap] akm mode dot1x

[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp

[AC-wlan-st-wlas_imc_peap] security-ie rs

# 使能无线服务模板。

[AC-wlan-st-wlas_imc_peap] service-template enable

[AC-wlan-st-wlas_imc_peap] quit

(4)     配置手工AP，并将无线服务模板绑定到radio上

# 创建ap1。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 配置信道为149，并使能射频。

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 149

[AC-wlan-ap-ap1-radio-1] radio enable

# 绑定无线服务模板。

[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

(5)     配置用户组下的隔离策略为组内隔离

<AC> system

[AC] user-group intraGroup

[AC-ugroup-intragroup] user-isolated intra-group

[AC-ugroup-intragroup] quit

(6)     配置RADIUS server （iMC V7）

 

# 增加接入设备。

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理]菜单项，进入接入设备管理页面，点击页面中的接入设备配置按钮，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

¡     设置认证、计费共享密钥为12345678，其它保持缺省配置。

¡     选择或手工增加接入设备，添加IP地址为192.168.66.103的接入设备。

图1-13 增加接入设备页面

 

# 增加服务策略。

选择“用户”页签，单击导航树中的[接入策略管理/接入策略管理]菜单项，进入接入策略管理页面，在该页面中单击“增加”按钮，进入增加接入策略页面。

¡     设置接入策略名为intra。

¡     选择证书认证为EAP证书认证。

¡     选择认证证书类型为EAP-PEAP认证，认证证书子类型为MS-MSCHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。

¡     设置下发用户组为intraGroup。

图1-14 增加服务策略页面

 

# 增加接入服务。

选择“用户”页签，单击导航栏中的[接入策略管理/接入服务管理]菜单项，进入接入服务管理页面，在该页面中单击<增加>按钮，进入增加接入服务页面。

¡     设置服务名为aaa_intra。

¡     设置缺省接入策略为已经创建的intra策略。

图1-15 增加接入服务页面

 

# 增加接入用户。

选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，进入接入用户页面，在该页面中单击<增加>按钮，进入增加接入用户页面。

¡     添加用户user。

¡     添加帐号名为intra，密码为12345678。

¡     选中之前配置的服务aaa_intra。

图1-16 增加接入用户页面

 

4. 验证结果

# 客户端通过802.1x认证成功关联AP

·     通过display wlan client verbose命令查看无线客户端在线情况和授权用户组。

[AC] display wlan client verbose

Total number of clients: 3

MAC address                       : 5213-5677-11a7

IPv4 address                      : 192.168.125.100

略……

Authorization user group name  : intra

MAC address                       : 72c8-a028-8aab

IPv4 address                      : 192.168.125.101

略……

Authorization user group name : intra

MAC address                       : 04b1-6704-7847

IPv4 address                      : 192.168.126.100

略……

Authorization user group name  : intra

用户Client 1～Client 3都可以访问Internet，但是不能互相访问。