由浅入深玩转华为WLAN—22 用户隔离在WLAN无线场景的应用

最新推荐文章于 2022-04-24 21:35:38 发布
最新推荐文章于 2022-04-24 21:35:38 发布
阅读量864 收藏 4
点赞数
分类专栏: 由浅入深玩转华为WLAN
文章原创网络之路Blog(其他平台同名,公众号:网络之路博客),用心分享技术的IT人,主要精通思科、华为、H3C路由交换、防火墙、无线、安全系列,希望分享的技术对大家有帮助,原创不易,大家多多支持!
本文链接:https://blog.csdn.net/weixin_46948473/article/details/114631912
版权

用户隔离跟交换机的端口隔离技术是一样的,在交换机上面客户端是接入在端口上面的,而无线里面是通过认证关联到对应的AP上面,如果想实现同一个AP上面的用户不能互访的情况下,那么则可以通过用户隔离来实现效果,但是由于数据流量有两种不同的转发方式,导致用户隔离的配置也不太一样,这次主要介绍下这两种场景下用户隔离的应用,它比较适合那种快餐店、肯德基 这种只是想提供给用户上网,而用户之间的流量则不需要互访。

掌握目标

1、基本网络初始化(交换机与路由器的配置)
2、WLAN的基本业务配置
3、在直接转发模式下配置方法并且验证
4、在隧道转发模式下配置方法并且验证

拓扑说明

wireless

该环境非常简单,AP都连接在三层交换机上面,然后通过三层交换与出口路由器连接,访问Internet,AP主要提供给客户端访问外网使用。这里用了2个AP,左边AP用直接转发,右边AP用隧道转发,体验下不同转发模式下,用户隔离的不一样。

1、基本网络初始化(交换机与路由器的配置)

1.1 交换机配置
[SW]vlan batch 100 to 102

 

[SW]interface g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 100

[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102

[SW]dhcp enable

[SW]interface vlan 100
[SW-Vlanif100]ip address 192.168.100.254 24
[SW-Vlanif100]dhcp select interface

[SW]int vlan 101
[SW-Vlanif101]ip address 192.168.101.254 24
[SW-Vlanif101]dhcp select interface

[SW]interface vlan 102
[SW-Vlanif102]ip address 192.168.102.254 24
[SW-Vlanif102]dhcp select interface

[SW]int vlan 1 【与路由器对接】
[SW-Vlanif1]ip address 192.168.1.1 30

[SW]ip route-static 0.0.0.0 0 192.168.1.2

1.2 出口路由器配置

[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30

[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30

[GW]ip route-static 0.0.0.0 0 202.100.1.2
[GW]ip route-static 192.168.101.0 24 192.168.1.1
[GW]ip route-static 192.168.102.0 24 192.168.1.1

[GW]acl number 3000
[GW-acl-adv-3000]rule permit ip source any

[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 3000

2、WLAN的基本业务配置

对于WLAN的基本业务配置,可以之前的文档,这里就不在讲解了。(前面20篇都有详细讲解)

wireless

测试下基本网络是否联通的

wireless
wireless

获取到了对应的IP地址

wireless
wireless

可以看到Client 1连接AP-1获取了101网段的地址,而Cliet3连接的是AP-2,获取了102网段的地址。

wireless
wireless

可以看到访问公网也没任何问题。

测试下同一AP下的客户端能否互通

wireless

这时候把Client 2连接进来,连接AP-1

wireless

可以看到是可以访问的。

wireless

Client 4连接上来后,获取102网段的地址,并且访问102.253也没有问题。说明用户之间是可以互访的。

3、在直接转发模式下配置方法 (用户隔离

wireless

在服务集下,敲入高命令即可,直接转发模式下,直接在服务集下面启用,即可对于AP生效。注意下发配置给AP

配置后测试

wireless

这个在没有配置之前是可以测试,配置后在测试就访问不了。只能访问公网。

4、在隧道转发模式下配置方法并且验证

wireless
wireless

在隧道模式下,其实也只需要服务集开启即可,但是建议是wlan-ess接口也开启该功能。

wireless

可以看到访问外网没问题,但是客户端之间是不能互访的。

wireless

但是它访问其他AP的客户端可以访问,那么这个就是下次要介绍的traffic-filter功能了,也就是ACL。

总结:用户隔离技术,其实在无线中主要应用在提供给客户上网的场景下,可以开启该功能,只允许客户访问Internet,而不能访问其他客户端,也增加了安全性。后续还有一个技术,就是traffic-filer,也就是ACL,它也有类似的功能。

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。

网络之路Blog
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
由浅入深华为WLAN----7 旁挂+三层+隧道发方式组网1
08-03
1、理解旁挂组网与直接 or 隧道发的方式 2、AP 静态关联 AC 的方法【补充,之前都是以动态或者 option43 方式】 3、三层交换机配置 4、AC
无线网络的用户隔离功能
networktp的博客
03-04 4251
AC 的用户隔离 基于VLAN的用户隔离简介 采用用户隔离前,处于同一VLAN的用户是能够互访的,这可能带来安全性问题,采用基于VLAN的用户隔离,可以解决此问题。开启基于VLAN的用户隔离后,在同一个VLAN内,对于报文的处理机制如下: AC收到无线用户发往无线用户的单播/组播/广播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户。 AC收到无线用户发往有线用户的单播报文,AC会根据配置的用户隔离允许列表来判断是否隔离该VLAN内的用户,但是有线用户发往有线用户的组播/广播报文不受
局域网内交换机VLAN隔离设置
masonyong的博客
04-24 1万+
局域网内交换机VLAN隔离设置 一、什么是VLAN 1.广播域的概念 传统交换式以太网中所有用户都在同一个广播域中,当网络哟=对咯较大时,广播包的数量会急剧增加,从而导致广播风暴 2.分割广播域 物理分割:将网络从物理上划分为若干个小网络,在使用能隔离广播的路由设备将不同的网络连接起来实现通信 逻辑分割:将网络从逻辑上划分为若干个小的虚拟网络。即vlan。vlan工作在osi参考模型的数据链路层,一个vlan就是一个交换网络,其中的所有用户都在同一个广播域中,各vlan通过路由设备连接实现通信
Wifi隔离的原理及实现
热门推荐
煮酒论英雄
01-12 1万+
1、wifi隔离是什么 无线隔离又称客户端隔离(client isolation),也称AP隔离,指的是阻止连接路由器的设备之间互相访问,多见于无线通信方面,常见于路由器设置中。 AP隔离非常类似有线网络的VLAN(虚拟局域网),将所有的无线客户端设备之间完全隔离,是客户端只能访问AP接入的固定网络。通俗来讲,就是各个连接无线的客户机(如手机、电脑等)之间无法互相通讯的,即你无法在两台同时连接AP...
华为交换机 VLAN 安全特性 MUX-VLAN 同VLAN端口隔离
WXW的博客
06-16 2155
VLAN 安全特性: 1,MUX VLAN ---在二层技术中,使用VLAN隔离不同用户的 名词术语: ----主VLAN ----从VLAN ----隔离VLAN:在一个VLAN内部 ,相互之间不能互访-----外部员工 ...
由浅入深华为WLAN---22 用户隔离WLAN无线场景应用.zip
05-29
由浅入深华为WLAN---22 用户隔离WLAN无线场景应用由浅入深华为WLAN---22 用户隔离WLAN无线场景应用
华为WLAN下终端出现互相不能访问ping不通
玩人工智能的辣条哥的博客
07-26 2092
环景: 华为AirEngine 9700S-S无线接入控制器 华为AP-AirEngine 5760 苹果手机、红米TV 问题描述: WLAN下终端红米TV,用手机不能投屏搜索不到红米tv设备,ping电视ip不通,其他设备也ping不通,上网没问题 原因分析: 局域网设备不互通 解决方案: 登录9700S AC控制器,关闭二层用户隔离功能即可 ...
华为ap配置_由浅入深华为WLAN—21 用户隔离WLAN无线场景应用
weixin_39930711的博客
11-20 1214
PS:这次分享的几年前写的,基于V2R6之前,适用于V2R3~V2R5版本,基于V2R6之后的后续会更新新的博文。简介用户隔离跟交换机的端口隔离技术是一样的,在交换机上面客户端是接入在端口上面的,而无线里面是通过认证关联到对应的AP上面,如果想实现同一个AP上面的用户不能互访的情况下,那么则可以通过用户隔离来实现效果,但是由于数据流量有两种不同的发方式,导致用户隔离的配置也不太一样,这...
华为端口隔离 互通_华为网络工程师 | 交换技术系列大集合,值得一学!
weixin_39969143的博客
11-20 1059
vlan 虚拟局域网作用:隔离广播域一个vlan 一个广播域一个vlan 一个子网默认情况下,所有的接口都属于vlan 1,vlan 1是不能被删掉[SW1]undo vlan 1Error: VLAN 1 is system default VLAN, can not be deleted.[SW1]dis vlan summary static vlan:Total 4 static...
华为端口隔离 互通_同一VLAN中如何实现端口隔离?端口隔离与vlan有何不同?
weixin_39932344的博客
11-20 2672
在交换机组网项目中,我们经常会提到关于不同vlan间的互通,那么在同一个vlan中如何实现端口相互隔离呢?对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了,节约网络设备资源,但是要防止网络风暴,怎么办呢?采用端口隔离功能,可以实现同一VLAN内端口之间的隔离用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层...
由浅入深华为WLAN——2 三层组网AP上线1
08-03
1 由浅入深华为WLAN——2 三层组网AP上线2 一、实验目标理解无线三层组网的特点掌握三层组网AP上线的配置掌握修改AP认证方法的命令3 二、实验拓扑三
由浅入深华为WLAN——1 二层组网AP上线.zip
05-29
由浅入深华为WLAN——1 二层组网AP上线,介绍华为waln配置,由浅入深华为WLAN——1 二层组网AP上线,介绍华为waln配置
由浅入深华为WLAN——3 WLAN配置示例.zip
05-29
由浅入深华为WLAN——3 WLAN配置示例,介绍华为wlan配置,由浅入深华为WLAN——3 WLAN配置示例,介绍华为wlan配置
华为eNSP模拟器vlan 隔离技术的实现
LDM_lsc的博客
05-11 6662
 一、实验目的: 使用vlan技术隔离不同的用户,减小冲突域的范围二、实验内容1、 在不使用vlan技术的情况下测试4台主机之间是否可以相互通信。2、测试不同的vlan下用户主机之间是否可以相互通信。3、使用vlan技术的优点。三、实验环境  华为eNSP模拟软件。四、实验步骤1、建立实验模型图。 Pc1和pc2在vlan 10中,pc3和pc4在vlan 20中。2、测试各个主机之间的连通性。 ...
由浅入深华为WLAN—-4 DHCP Option 43配置方法
网络之路Blog(其他平台同名)
03-07 8669
简介 在配置Option 43之前,需要保证: 1. AP与DHCP服务器之间路由可达,即AP可以获取到IP地址。 2. AP与AC之间路由可达,保证AP获取到AC地址后,能够与AC交互信息,建立CAPWAP隧道。 另外,配置人员还需要有基本的数通知识,能够配置DHCP服务器,对AC的配置比较熟悉 下面介绍集中服务器的DHCP配置方式: 1 Microsoft DHCP Server 2LinuxDHCP Server 3 华为OS 4 思科IOS Microsoft DHCP Server 一..
由浅入深华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接发组网方式】
网络之路Blog(其他平台同名)
03-10 7178
简介 同一AC的三层漫游:指的是在同一个AC下面的不同AP之间不同业务之间的漫游(跨越三层网络),比如图中AP-1的业务VLAN 是10(192.168.10.0/24),而AP-2的业务VLAN是20(192.168.20.0/24),无线客户端从AP-1漫游到AP-2后,虽然处于AP-2上面,但是业务VLAN保持不变,IP地址也保持不变,只是由原先的AP-1变成了AP-2来发无线客户端的业务。 之前已经把网络基本初始化了,整个网络除了WLAN业务没有跑起来以外,其他的都能够正常运行,这次主要介
由浅入深华为WLAN—-7 旁挂+三层+隧道发方式组网
网络之路Blog(其他平台同名)
03-07 5611
说明 WLAN配置示例2(旁挂组网隧道 or 直接发),这种方式比较适合中小型企业,AC旁挂在三层交换机旁边,只是用于来与AP建立CAPWAP隧道,下发业务给AP,如果在隧道方式下的话,那么业务流量也会由CAPWAP隧道进行封装交给AC处理,再由AC来发,而直接发的话,则由AP本地交换了,不需要交给AC,这样可以减轻AC的负担,具体使用可以根据需求来决定。 掌握目标 1、理解旁挂组网与直接 or隧道发的方式 2、AP静态关联AC的方法【补充,之前都是以动态或者option43方式】 3、三层.
由浅入深华为WLAN—16 漫游系列(3)同一AC内AP之间二层漫游【二层上线+旁挂+直接发组网方式以及漫游后业务不同故障解决方案讲解】
网络之路Blog(其他平台同名)
03-09 4344
简介 上一篇已经把整个网络的网络初始化已经完毕,从接入交换机的VLAN划分以及接口类型配置,到核心交换机的初始化,VLANIF创建跟DHCP与路由,出口路由器的路由 NAT等,这些初始化的目的主要是为了让整个网络能够通信起来,比如AP能获取到地址与AC建立CAPWAP隧道,当WLAN业务部署起来后,无线客户端关联后获取到地址能够正常访问其他内网或者外网。这次主要介绍WLAN业务相关,以及如何在两个AP之间进行漫游,包括二层漫游的注意事项。 【掌握目标】 1、AP正常上线 2、配置WLAN业务 3、下发
由浅入深华为WLAN—13 华为胖AP的常见配置
网络之路Blog(其他平台同名)
03-09 4125
简介 华为的胖AP从配置上面来说与AC真的没啥区别,只是一个是AC最后下发业务给瘦AP,而胖AP的话则是在射频口调用,让无线客户端能够搜索的到该SSID。另外胖AP的话,它是独自运行的,不需要AC来进行统一管理,所以各种WMM、安全模板、策略模板都是在胖AP上面定即可,而且具有三层发能力,包括路由与DHCP这些功能。 掌握目标 1、华为胖AP的常见配置 2、与AC上面的调用区别 3、双SSID的配置方法 4、总结 拓扑图【无】 这里只是讲解胖AP的配置,拓扑可以是连接二层交换机,也可以是...
华为交换机配置新手入门
最新发布
08-20
华为交换机配置的新手入门可以通过以下步骤进行: 1. 首先,了解交换机的基本知识和功能。可以参考中提到的华为数通学习系列课程,学习交换机的配置实战和基本操作。 2. 下载和安装华为交换机模拟器ensp。该模拟器可以提供一个虚拟的环境,帮助你快速掌握如何配置交换机。通过模拟器,你可以进行实际的配置练习,以便更好地理解配置命令和参数的使用。 3. 开始学习交换机的配置。可以按照华为数通学习系列课程中的章节顺序,从简单的配置开始,逐步学习更复杂的配置。比如,可以先学习RIP简单配置、路由汇总、认证等内容,然后进一步学习OSPF单区域、多区域配置、时间参数、DR/BDR选举、重分布路由与认证等内容。 4. 练习配置不同VLAN的相互通信。可以使用两台PC机连接一台交换机,然后通过三层核心交换机配置不同VLAN,使它们能够相互通信。可以参考中提到的《第八讲:不同VLAN相互通信,路由器配置》。 通过以上步骤,你可以逐步学习和掌握华为交换机的配置。记得要多进行实际的练习,加深对配置命令和参数的理解和运用。祝你学习顺利!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [华为交换机配置入门实战系列教程(ENSP)](https://blog.csdn.net/arv002/article/details/104725437)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [华为路由器交换机由浅入深学习(新手入门必备)](https://download.csdn.net/download/xmt1139057136/10968056)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值