简介

用户隔离跟交换机的端口隔离技术是一样的,在交换机上面客户端是接入在端口上面的,而无线里面是通过认证关联到对应的AP上面,如果想实现同一个AP上面的用户不能互访的情况下,那么则可以通过用户隔离来实现效果,但是由于数据流量有两种不同的转发方式,导致用户隔离的配置也不太一样,这次主要介绍下这两种场景下用户隔离的应用,它比较适合那种快餐店、肯德基 这种只是想提供给用户上网,而用户之间的流量则不需要互访。

掌握目标

1、基本网络初始化(交换机与路由器的配置)2、WLAN的基本业务配置3、在直接转发模式下配置方法并且验证4、在隧道转发模式下配置方法并且验证

拓扑说明

华为手动设置wlan(由浅入深玩转华为WLAN-22)(1)

该环境非常简单,AP都连接在三层交换机上面,然后通过三层交换与出口路由器连接,访问Internet,AP主要提供给客户端访问外网使用。这里用了2个AP,左边AP用直接转发,右边AP用隧道转发,体验下不同转发模式下,用户隔离的不一样。

1、基本网络初始化(交换机与路由器的配置)

1.1 交换机配置[SW]VLAN batch 100 to 102

[SW]interface g0/0/1[SW-GigabitEthernet0/0/1]port link-type trunk[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[SW]int g0/0/2[SW-GigabitEthernet0/0/2]port link-type access[SW-GigabitEthernet0/0/2]port default vlan 100

[SW]int g0/0/3[SW-GigabitEthernet0/0/3]port link-type trunk[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102

[SW]dhcp enable

[SW]interface vlan 100[SW-Vlanif100]ip address 192.168.100.254 24[SW-Vlanif100]dhcp select interface

[SW]int vlan 101[SW-Vlanif101]ip address 192.168.101.254 24[SW-Vlanif101]dhcp select interface

[SW]interface vlan 102[SW-Vlanif102]ip address 192.168.102.254 24[SW-Vlanif102]dhcp select interface

[SW]int vlan 1 【与路由器对接】[SW-Vlanif1]ip address 192.168.1.1 30

[SW]ip route-static 0.0.0.0 0 192.168.1.2

1.2 出口路由器配置

[GW]int g0/0/0[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30

[GW]int g0/0/1[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30

[GW]ip route-static 0.0.0.0 0 202.100.1.2[GW]ip route-static 192.168.101.0 24 192.168.1.1[GW]ip route-static 192.168.102.0 24 192.168.1.1

[GW]ACL number 3000[GW-acl-adv-3000]rule permit ip source any

[GW]int g0/0/1[GW-GigabitEthernet0/0/1]nat outbound 3000

2、WLAN的基本业务配置

对于WLAN的基本业务配置,可以之前的文档,这里就不在讲解了。(前面20篇都有详细讲解)

华为手动设置wlan(由浅入深玩转华为WLAN-22)(2)

测试下基本网络是否联通的

华为手动设置wlan(由浅入深玩转华为WLAN-22)(3)

华为手动设置wlan(由浅入深玩转华为WLAN-22)(4)

获取到了对应的IP地址

华为手动设置wlan(由浅入深玩转华为WLAN-22)(5)

华为手动设置wlan(由浅入深玩转华为WLAN-22)(6)

可以看到Client 1连接AP-1获取了101网段的地址,而Cliet3连接的是AP-2,获取了102网段的地址。

华为手动设置wlan(由浅入深玩转华为WLAN-22)(7)

华为手动设置wlan(由浅入深玩转华为WLAN-22)(8)

可以看到访问公网也没任何问题。

测试下同一AP下的客户端能否互通

华为手动设置wlan(由浅入深玩转华为WLAN-22)(9)

这时候把Client 2连接进来,连接AP-1

华为手动设置wlan(由浅入深玩转华为WLAN-22)(10)

可以看到是可以访问的。

华为手动设置wlan(由浅入深玩转华为WLAN-22)(11)

Client 4连接上来后,获取102网段的地址,并且访问102.253也没有问题。说明用户之间是可以互访的。

3、在直接转发模式下配置方法 (用户隔离)

华为手动设置wlan(由浅入深玩转华为WLAN-22)(12)

在服务集下,敲入高命令即可,直接转发模式下,直接在服务集下面启用,即可对于AP生效。注意下发配置给AP

配置后测试

华为手动设置wlan(由浅入深玩转华为WLAN-22)(13)

这个在没有配置之前是可以测试,配置后在测试就访问不了。只能访问公网。

4、在隧道转发模式下配置方法并且验证

华为手动设置wlan(由浅入深玩转华为WLAN-22)(14)

华为手动设置wlan(由浅入深玩转华为WLAN-22)(15)

在隧道模式下,其实也只需要服务集开启即可,但是建议是wlan-ess接口也开启该功能。

华为手动设置wlan(由浅入深玩转华为WLAN-22)(16)

可以看到访问外网没问题,但是客户端之间是不能互访的。

华为手动设置wlan(由浅入深玩转华为WLAN-22)(17)

但是它访问其他AP的客户端可以访问,那么这个就是下次要介绍的traffic-filter功能了,也就是ACL。

总结:用户隔离技术,其实在无线中主要应用在提供给客户上网的场景下,可以开启该功能,只允许客户访问Internet,而不能访问其他客户端,也增加了安全性。后续还有一个技术,就是traffic-filer,也就是ACL,它也有类似的功能。

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注转发一波谢谢。

上一篇回顾

由浅入深玩转华为WLAN-21 不同AC之间三层漫游

下一篇学习

由浅入深玩转华为WLAN-23 ACL在WLAN无线场景应用

,