无线网络的用户隔离功能

AC 的用户隔离

基于VLAN的用户隔离简介

采用用户隔离前，处于同一VLAN的用户是能够互访的，这可能带来安全性问题，采用基于VLAN的用户隔离，可以解决此问题。开启基于VLAN的用户隔离后，在同一个VLAN内，对于报文的处理机制如下：

AC收到无线用户发往无线用户的单播/组播/广播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。
AC收到无线用户发往有线用户的单播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户，但是有线用户发往有线用户的组播/广播报文不受配置影响，AC允许组播/广播报文通过。
AC收到有线用户发往有线用户的单播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户，但是有线用户发往有线用户的组播/广播报文不受配置影响，AC允许组播/广播报文通过。
AC收到有线用户发往无线用户的单播报文，AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。

由此可见，用户隔离一方面为用户提供了网络服务；另一方面对用户进行隔离，使之不能互访，保证用户业务的安全性。为了使用户隔离不会影响用户与网关的互通，可以将网关地址加入用户隔离允许列表。

1、用户间互访

如下图所示，AC上关闭用户隔离后，VLAN 2内的无线用户Client A、Client B和有线用户Host A可以在该VLAN内互访，同时也可以访问Internet。

2、用户间隔离

如上图所示，在AC上开启用户隔离功能后，VLAN 2内的无线用户Client A、Client B和有线用户Host A通过同一个网关连接到Internet。

将网关的MAC地址添加到“可通过MAC”列表中，那么处于同一VLAN内的无线用户Client A、Client B和Host A被隔离，但是Client A、Client B和Host A都可以访问Internet。
将用户的MAC地址添加到“可通过MAC”列表中，如把Client A的MAC地址添加到“可通过MAC”列表中，那么Client A和Client B可以互通，Client A和Host A可以互通，但是Client B和Host A不能互通。
如果需要同时达到以上两项需求，需要将网关的MAC地址和用户的MAC地址同时添加到“可通过MAC”列表中。

说明：

为了避免在指定VLAN上先开启用户隔离功能后，出现断网的现象，建议先配置网关的MAC地址为该VLAN的允许MAC地址，再开启该VLAN的用户隔离功能。

如果对Super VLAN配置用户隔离功能，此配置不会对Super VLAN内的子VLAN生效，在这种情况下，可以直接对子VLAN配置用户隔离功能。

基于SSID的用户隔离简介

配置用户隔离前，处于同一SSID的用户是能够互访的，这可能带来安全性问题，采用基于SSID的用户隔离，可以解决此问题。开启基于SSID的用户隔离功能后，在同一个SSID内，连接到此无线服务的所有无线用户之间的二层报文（单播/广播）将相互不能转发，从而使无线用户之间不能直接进行通讯。

FAT AP 的用户隔离

无线用户隔离简介

用户隔离功能是指关联到同一个AP上的所有无线用户之间的二层报文（单播/广播）相互不能转发，从而使无线用户之间不能直接进行通讯。

在上图中，在AP上开启用户隔离功能后，Cleint 1～Client 4之间不能互通，也无法学习到对方的MAC地址和IP地址。

关注公众号：网络技术平台，回复 “ 资料 ” 获取视频、培训教程、实验手册、电子书。