- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-用户隔离配置
本章节下载: 15-用户隔离配置 (297.27 KB)
用户隔离,即对使用同一公共无线服务进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。
设备仅支持基于SSID的用户隔离。基于SSID的用户隔离用于隔离同一SSID下的无线用户。
基于SSID的用户隔离功能适用于集中式转发和本地转发场景下,设备开启基于SSID的用户隔离功能后,通过该SSID接入无线服务且处于同一VLAN内的无线用户之间将不能够互相访问。
如图1-1所示,在集中式转发场景下,Client 1~Client 3分别通过AP 1~AP 3接入无线网络,Client 1和Client 2属于VLAN 100,Client 3属于VLAN 200。在AC上开启基于SSID的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AC收到广播/组播报文后,不再将广播/组播报文复制及转发给网络中的AP,而是仅将去掉CAPWAP隧道封装的报文通过有线接口转发给Switch。
· Client 1在VLAN 100内向Client 2发送单播报文,AC收到单播报文后,不将报文转发给AP 2,而是直接丢弃该单播报文。
该机制仅隔离同一AP下的无线客户端。
如图1-2所示,在本地转发场景下,Client 1~Client 4分别通过AP 1~AP 3接入无线网络,Client 1~Client 3属于VLAN 100,Client 4属于VLAN 200。在AP 1上开启基于SSID的用户隔离功能:
· Client 1在VLAN 100内发送广播/组播报文,AP 1收到广播/组播报文后,仅将报文通过有线接口转发给同一VLAN内的有线网络用户AP 2、AP 3和Host,不再将报文转发给无线用户Client 2。AP 2接收到报文后转发给无线用户Client 3,AP 3接收到报文后不会将其转发给Client 4。
· Client 1在VLAN 100内向Client 2发送单播报文,AP 1收到单播报文后,不将报文转发给Client 2,而是直接丢弃该单播报文。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启基于SSID的用户隔离功能。
user-isolation enable
缺省情况下,基于SSID的用户隔离功能处于关闭状态。
在集中式转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。
图1-3 集中式转发场景下基于SSID的用户隔离组网图
# 配置Client1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN配置指导”中的“AP管理”和“WLAN接入”)(略)
# 开启基于SSID的用户隔离功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] user-isolation enable
[AC-wlan-st-service] quit
用户Client 1和Client 2都可以访问Internet,但是不能相互访问。
在本地转发场景下,通过配置基于SSID的用户隔离,实现用户Client 1和Client 2可以通过同一个SSID访问网络,但是两者不能相互访问。
图1-4 本地转发场景下基于SSID的用户隔离组网图
# 配置Client1和Client 2通过无线网络接入Internet。(详细介绍请参见“WLAN配置指导”中的“AP管理”和“WLAN接入”)(略)
# 开启基于SSID的用户隔离功能。
<AC> system-view
[AC] wlan service-template service1
[AC-wlan-st-service1] user-isolation enable
[AC-wlan-st-service1] quit
用户Client 1和Client 2都可以访问Internet,但是不能相互访问。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
