由浅入深玩转华为WLAN—22 用户隔离在WLAN无线场景的应用 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

由浅入深玩转华为WLAN—22 用户隔离在WLAN无线场景的应用

实战华为无线 公众号:网络之路博客(其他平台网络之路Blog) 2807次浏览 已收录 0个评论 扫描二维码

【汇总】实战华为无线

文档帖子汇总实战系列学习视频学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

简介

用户隔离跟交换机的端口隔离技术是一样的,在交换机上面客户端是接入在端口上面的,而无线里面是通过认证关联到对应的AP上面,如果想实现同一个AP上面的用户不能互访的情况下,那么则可以通过用户隔离来实现效果,但是由于数据流量有两种不同的转发方式,导致用户隔离的配置也不太一样,这次主要介绍下这两种场景下用户隔离的应用,它比较适合那种快餐店、肯德基 这种只是想提供给用户上网,而用户之间的流量则不需要互访。

掌握目标

1、基本网络初始化(交换机与路由器的配置)
2、WLAN的基本业务配置
3、在直接转发模式下配置方法并且验证
4、在隧道转发模式下配置方法并且验证

拓扑说明

wireless

该环境非常简单,AP都连接在三层交换机上面,然后通过三层交换与出口路由器连接,访问Internet,AP主要提供给客户端访问外网使用。这里用了2个AP,左边AP用直接转发,右边AP用隧道转发,体验下不同转发模式下,用户隔离的不一样。

1、基本网络初始化(交换机与路由器的配置)

1.1 交换机配置
[SW]vlan batch 100 to 102

[SW]interface g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 100

[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102

[SW]dhcp enable

[SW]interface vlan 100
[SW-Vlanif100]ip address 192.168.100.254 24
[SW-Vlanif100]dhcp select interface

[SW]int vlan 101
[SW-Vlanif101]ip address 192.168.101.254 24
[SW-Vlanif101]dhcp select interface

[SW]interface vlan 102
[SW-Vlanif102]ip address 192.168.102.254 24
[SW-Vlanif102]dhcp select interface

[SW]int vlan 1 【与路由器对接】
[SW-Vlanif1]ip address 192.168.1.1 30

[SW]ip route-static 0.0.0.0 0 192.168.1.2

1.2 出口路由器配置

[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30

[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30

[GW]ip route-static 0.0.0.0 0 202.100.1.2
[GW]ip route-static 192.168.101.0 24 192.168.1.1
[GW]ip route-static 192.168.102.0 24 192.168.1.1

[GW]acl number 3000
[GW-acl-adv-3000]rule permit ip source any

[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 3000

2、WLAN的基本业务配置

对于WLAN的基本业务配置,可以之前的文档,这里就不在讲解了。(前面20篇都有详细讲解)

wireless

测试下基本网络是否联通的

wireless
wireless

获取到了对应的IP地址

wireless
wireless

可以看到Client 1连接AP-1获取了101网段的地址,而Cliet3连接的是AP-2,获取了102网段的地址。

wireless
wireless

可以看到访问公网也没任何问题。

测试下同一AP下的客户端能否互通

wireless

这时候把Client 2连接进来,连接AP-1

wireless

可以看到是可以访问的。

wireless

Client 4连接上来后,获取102网段的地址,并且访问102.253也没有问题。说明用户之间是可以互访的。

3、在直接转发模式下配置方法 (用户隔离

wireless

在服务集下,敲入高命令即可,直接转发模式下,直接在服务集下面启用,即可对于AP生效。注意下发配置给AP

配置后测试

wireless

这个在没有配置之前是可以测试,配置后在测试就访问不了。只能访问公网。

4、在隧道转发模式下配置方法并且验证

wireless
wireless

在隧道模式下,其实也只需要服务集开启即可,但是建议是wlan-ess接口也开启该功能。

wireless

可以看到访问外网没问题,但是客户端之间是不能互访的。

wireless

但是它访问其他AP的客户端可以访问,那么这个就是下次要介绍的traffic-filter功能了,也就是ACL。

总结:用户隔离技术,其实在无线中主要应用在提供给客户上网的场景下,可以开启该功能,只允许客户访问Internet,而不能访问其他客户端,也增加了安全性。后续还有一个技术,就是traffic-filer,也就是ACL,它也有类似的功能。

源文件:http://pan.baidu.com/s/1slcmD1j

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,点击获取~~~

点击查看详情
学习必备软件(模拟器等)
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~

(广告)博主自主原创最新实战课程

点击查看详情

(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情

原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (1)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
关于作者:
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址