1 用戶隔離
1.1 配置用戶隔離
1.1.1 基於VLAN的用戶隔離簡介
採用用戶隔離前,處於同一VLAN 的用戶是能夠互訪的,這可能帶來安全性問題,採用基於VLAN
的用戶隔離,可以解決此問題。開啓基於VLAN 的用戶隔離後,在同一個VLAN 內,對於報文的處
理機制如下:
• AC 收到無線用戶發往無線用戶的單播/組播/廣播報文,AC 會根據配置的用戶隔離允許列表來
判斷是否隔離該VLAN 內的用戶。對於單播報文的受限情況和命令user-isolation permit
unicast 設置有關,若配置了允許用戶之間發送單播報文,則無論用戶的MAC 地址是否在用
戶隔離允許列表內,都允許用戶之間發送單播報文。
• AC 收到無線用戶發往有線用戶的單播報文,AC 會根據配置的用戶隔離允許列表來判斷是否
隔離該VLAN 內的用戶,若配置了允許用戶之間發送單播報文,則無論用戶的MAC 地址是否
在用戶隔離允許列表內,都允許用戶之間發送單播報文。但是無線用戶發往有線用戶的組播/
廣播報文不受配置影響,AC 允許組播/廣播報文通過。
• AC 收到有線用戶發往有線用戶的單播報文,AC 會根據配置的用戶隔離允許列表來判斷是否
隔離該VLAN 內的用戶,若配置了允許用戶之間發送單播報文,則無論用戶的MAC 地址是否
在用戶隔離允許列表內,都允許用戶之間發送單播報文。但是有線用戶發往有線用戶的組播/
廣播報文不受配置影響,AC 允許組播/廣播報文通過。
• AC 收到有線用戶發往無線用戶的單播報文,AC 會根據配置的用戶隔離允許列表來判斷是否
隔離該VLAN 內的用戶,若配置了允許用戶之間發送單播報文,則無論用戶的MAC 地址是否
在用戶隔離允許列表內,都允許用戶之間發送單播報文。對於組播/廣播報文的受限情況和命
令user-isolation permit broadcast 設置有關。
由此可見,用戶隔離一方面爲用戶提供了網絡服務;另一方面對用戶進行隔離,使之不能互訪,保
證用戶業務的安全性。爲了使用戶隔離不會影響用戶與網關的互通,可以將網關地址加入用戶隔離
允許列表。
1. 用戶間互訪
如 圖1-1 所示,AC上關閉用戶隔離後,VLAN 2 內的無線用戶Client、Server和有線用戶Host可以
在該VLAN內互訪,同時也可以訪問Internet。
1-2
圖1-1 用戶隔離示意圖
2. 用戶間隔離
如 圖1-1 所示,在AC上開啓用戶隔離功能後,VLAN 2 內的無線用戶Client、Server和有線用戶Host
通過同一個網關連接到Internet。
• 將網關的MAC地址添加到“可通過MAC”列表中,那麼處於同一VLAN內的無線用戶Client、
Server 和Host 被隔離,但是Client、Server 和Host 都可以訪問Internet。
• 將用戶的 MAC地址添加到“可通過MAC”列表中,如把Client 的MAC地址添加到“可通過
MAC”列表中,那麼Client 和Server 可以互通,Client 和Host 可以互通,但是Server 和
Host 不能互通。
• 如果需要同時達到以上兩項需求,需要將網關的MAC 地址和用戶的MAC 地址同時添加到“可
通過MAC”列表中。
1.1.3 基於SSID的用戶隔離簡介
配置用戶隔離前,處於同一 SSID 的用戶是能夠互訪的,這可能帶來安全性問題,採用基於SSID
的用戶隔離,可以解決此問題。開啓基於SSID 的用戶隔離功能後,在同一個SSID 內,連接到此
無線服務的所有無線用戶之間的二層報文(單播/廣播)將相互不能轉發,從而使無線用戶之間不能
直接進行通訊。
1.1.4 配置基於SSID的用戶隔離
1.1.5 用戶隔離顯示與維護
在完成上述配置後,在任意視圖下執行display 命令可以顯示配置後用戶隔離的運行情況,通過查
看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行 reset 命令清除用戶隔離的統計信息。
········完