用戶隔離跟交換機的端口隔離技術是一樣的,在交換機上面客戶端是接入在端口上面的,而無線裡面是通過認證關聯到對應的AP上面,如果想實現同一個AP上面的用戶不能互訪的情況下,那麼則可以通過用戶隔離來實現效果,但是由于數據流量有兩種不同的轉發方式,導緻用戶隔離的配置也不太一樣,這次主要介紹下這兩種場景下用戶隔離的應用,它比較适合那種快餐店、肯德基 這種隻是想提供給用戶上網,而用戶之間的流量則不需要互訪。
掌握目标1、基本網絡初始化(交換機與路由器的配置)2、WLAN的基本業務配置3、在直接轉發模式下配置方法并且驗證4、在隧道轉發模式下配置方法并且驗證
拓撲說明
該環境非常簡單,AP都連接在三層交換機上面,然後通過三層交換與出口路由器連接,訪問Internet,AP主要提供給客戶端訪問外網使用。這裡用了2個AP,左邊AP用直接轉發,右邊AP用隧道轉發,體驗下不同轉發模式下,用戶隔離的不一樣。
1、基本網絡初始化(交換機與路由器的配置)1.1 交換機配置[SW]VLAN batch 100 to 102
[SW]interface g0/0/1[SW-GigabitEthernet0/0/1]port link-type trunk[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
[SW]int g0/0/2[SW-GigabitEthernet0/0/2]port link-type access[SW-GigabitEthernet0/0/2]port default vlan 100
[SW]int g0/0/3[SW-GigabitEthernet0/0/3]port link-type trunk[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102
[SW]dhcp enable
[SW]interface vlan 100[SW-Vlanif100]ip address 192.168.100.254 24[SW-Vlanif100]dhcp select interface
[SW]int vlan 101[SW-Vlanif101]ip address 192.168.101.254 24[SW-Vlanif101]dhcp select interface
[SW]interface vlan 102[SW-Vlanif102]ip address 192.168.102.254 24[SW-Vlanif102]dhcp select interface
[SW]int vlan 1 【與路由器對接】[SW-Vlanif1]ip address 192.168.1.1 30
[SW]ip route-static 0.0.0.0 0 192.168.1.2
1.2 出口路由器配置
[GW]int g0/0/0[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30
[GW]int g0/0/1[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30
[GW]ip route-static 0.0.0.0 0 202.100.1.2[GW]ip route-static 192.168.101.0 24 192.168.1.1[GW]ip route-static 192.168.102.0 24 192.168.1.1
[GW]ACL number 3000[GW-acl-adv-3000]rule permit ip source any
[GW]int g0/0/1[GW-GigabitEthernet0/0/1]nat outbound 3000
2、WLAN的基本業務配置對于WLAN的基本業務配置,可以之前的文檔,這裡就不在講解了。(前面20篇都有詳細講解)
測試下基本網絡是否聯通的
獲取到了對應的IP地址
可以看到Client 1連接AP-1獲取了101網段的地址,而Cliet3連接的是AP-2,獲取了102網段的地址。
可以看到訪問公網也沒任何問題。
測試下同一AP下的客戶端能否互通
這時候把Client 2連接進來,連接AP-1
可以看到是可以訪問的。
Client 4連接上來後,獲取102網段的地址,并且訪問102.253也沒有問題。說明用戶之間是可以互訪的。
3、在直接轉發模式下配置方法 (用戶隔離)
在服務集下,敲入高命令即可,直接轉發模式下,直接在服務集下面啟用,即可對于AP生效。注意下發配置給AP
配置後測試
這個在沒有配置之前是可以測試,配置後在測試就訪問不了。隻能訪問公網。
4、在隧道轉發模式下配置方法并且驗證
在隧道模式下,其實也隻需要服務集開啟即可,但是建議是wlan-ess接口也開啟該功能。
可以看到訪問外網沒問題,但是客戶端之間是不能互訪的。
但是它訪問其他AP的客戶端可以訪問,那麼這個就是下次要介紹的traffic-filter功能了,也就是ACL。
總結:用戶隔離技術,其實在無線中主要應用在提供給客戶上網的場景下,可以開啟該功能,隻允許客戶訪問Internet,而不能訪問其他客戶端,也增加了安全性。後續還有一個技術,就是traffic-filer,也就是ACL,它也有類似的功能。
如果大家有任何疑問或者文中有錯誤跟疏忽的地方,歡迎大家留言指出,博主看到後會第一時間修改,謝謝大家的支持,更多技術文章盡在網絡之路Blog,版權歸網絡之路Blog所有,原創不易,侵權必究,覺得有幫助的,關注轉發一波謝謝。
上一篇回顧
由淺入深玩轉華為WLAN-21 不同AC之間三層漫遊
下一篇學習
由淺入深玩轉華為WLAN-23 ACL在WLAN無線場景應用
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
