写点什么

无线网络的用户隔离功能

发布于: 2021 年 03 月 04 日

AC 的用户隔离


基于 VLAN 的用户隔离简介


采用用户隔离前,处于同一 VLAN 的用户是能够互访的,这可能带来安全性问题,采用基于 VLAN 的用户隔离,可以解决此问题。开启基于 VLAN 的用户隔离后,在同一个 VLAN 内,对于报文的处理机制如下:


  • AC 收到无线用户发往无线用户的单播/组播/广播报文,AC 会根据配置的用户隔离允许列表来判断是否隔离该 VLAN 内的用户。

  • AC 收到无线用户发往有线用户的单播报文,AC 会根据配置的用户隔离允许列表来判断是否隔离该 VLAN 内的用户,但是有线用户发往有线用户的组播/广播报文不受配置影响,AC 允许组播/广播报文通过。

  • AC 收到有线用户发往有线用户的单播报文,AC 会根据配置的用户隔离允许列表来判断是否隔离该 VLAN 内的用户,但是有线用户发往有线用户的组播/广播报文不受配置影响,AC 允许组播/广播报文通过。

  • AC 收到有线用户发往无线用户的单播报文,AC 会根据配置的用户隔离允许列表来判断是否隔离该 VLAN 内的用户。


由此可见,用户隔离一方面为用户提供了网络服务;另一方面对用户进行隔离,使之不能互访,保证用户业务的安全性。为了使用户隔离不会影响用户与网关的互通,可以将网关地址加入用户隔离允许列表。


1、用户间互访


如下图所示,AC 上关闭用户隔离后,VLAN 2 内的无线用户 Client A、Client B 和有线用户 Host A 可以在该 VLAN 内互访,同时也可以访问 Internet。



2、用户间隔离


如上图所示,在 AC 上开启用户隔离功能后,VLAN 2 内的无线用户 Client A、Client B 和有线用户 Host A 通过同一个网关连接到 Internet。


  • 将网关的 MAC 地址添加到“可通过 MAC”列表中,那么处于同一 VLAN 内的无线用户 Client A、Client B 和 Host A 被隔离,但是 Client A、Client B 和 Host A 都可以访问 Internet。

  • 将用户的 MAC 地址添加到“可通过 MAC”列表中,如把 Client A 的 MAC 地址添加到“可通过 MAC”列表中,那么 Client A 和 Client B 可以互通,Client A 和 Host A 可以互通,但是 Client B 和 Host A 不能互通。

  • 如果需要同时达到以上两项需求,需要将网关的 MAC 地址和用户的 MAC 地址同时添加到“可通过 MAC”列表中。


说明:

为了避免在指定 VLAN 上先开启用户隔离功能后,出现断网的现象,建议先配置网关的 MAC 地址为该 VLAN 的允许 MAC 地址,再开启该 VLAN 的用户隔离功能。

如果对 Super VLAN 配置用户隔离功能,此配置不会对 Super VLAN 内的子 VLAN 生效,在这种情况下,可以直接对子 VLAN 配置用户隔离功能。


基于 SSID 的用户隔离简介


配置用户隔离前,处于同一 SSID 的用户是能够互访的,这可能带来安全性问题,采用基于 SSID 的用户隔离,可以解决此问题。开启基于 SSID 的用户隔离功能后,在同一个 SSID 内,连接到此无线服务的所有无线用户之间的二层报文(单播/广播)将相互不能转发,从而使无线用户之间不能直接进行通讯。


FAT AP 的用户隔离


无线用户隔离简介


用户隔离功能是指关联到同一个 AP 上的所有无线用户之间的二层报文(单播/广播)相互不能转发,从而使无线用户之间不能直接进行通讯。



在上图中,在 AP 上开启用户隔离功能后,Cleint 1~Client 4 之间不能互通,也无法学习到对方的 MAC 地址和 IP 地址。


关注公众号:网络技术平台,回复 “ *资料* ” 获取视频、培训教程、实验手册、电子书。


评论

发布
暂无评论
无线网络的用户隔离功能