标签:由浅入深 GW WLAN GigabitEthernet0 22 ip SW 192.168 AP
简介
用户隔离跟交换机的端口隔离技术是一样的,在交换机上面客户端是接入在端口上面的,而无线里面是通过认证关联到对应的AP上面,如果想实现同一个AP上面的用户不能互访的情况下,那么则可以通过用户隔离来实现效果,但是由于数据流量有两种不同的转发方式,导致用户隔离的配置也不太一样,这次主要介绍下这两种场景下用户隔离的应用,它比较适合那种快餐店、肯德基 这种只是想提供给用户上网,而用户之间的流量则不需要互访。
掌握目标
1、基本网络初始化(交换机与路由器的配置)
2、WLAN的基本业务配置
3、在直接转发模式下配置方法并且验证
4、在隧道转发模式下配置方法并且验证
拓扑说明
该环境非常简单,AP都连接在三层交换机上面,然后通过三层交换与出口路由器连接,访问Internet,AP主要提供给客户端访问外网使用。这里用了2个AP,左边AP用直接转发,右边AP用隧道转发,体验下不同转发模式下,用户隔离的不一样。
1、基本网络初始化(交换机与路由器的配置)
1.1 交换机配置
[SW]vlan batch 100 to 102
[SW]interface g0/0/1
[SW-GigabitEthernet0/0/1]port link-type trunk
[SW-GigabitEthernet0/0/1]port trunk pvid vlan 100
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
[SW]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access
[SW-GigabitEthernet0/0/2]port default vlan 100
[SW]int g0/0/3
[SW-GigabitEthernet0/0/3]port link-type trunk
[SW-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 102
[SW]dhcp enable
[SW]interface vlan 100
[SW-Vlanif100]ip address 192.168.100.254 24
[SW-Vlanif100]dhcp select interface
[SW]int vlan 101
[SW-Vlanif101]ip address 192.168.101.254 24
[SW-Vlanif101]dhcp select interface
[SW]interface vlan 102
[SW-Vlanif102]ip address 192.168.102.254 24
[SW-Vlanif102]dhcp select interface
[SW]int vlan 1 【与路由器对接】
[SW-Vlanif1]ip address 192.168.1.1 30
[SW]ip route-static 0.0.0.0 0 192.168.1.2
1.2 出口路由器配置
[GW]int g0/0/0
[GW-GigabitEthernet0/0/0]ip address 192.168.1.2 30
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]ip address 202.100.1.1 30
[GW]ip route-static 0.0.0.0 0 202.100.1.2
[GW]ip route-static 192.168.101.0 24 192.168.1.1
[GW]ip route-static 192.168.102.0 24 192.168.1.1
[GW]acl number 3000
[GW-acl-adv-3000]rule permit ip source any
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 3000
2、WLAN的基本业务配置
对于WLAN的基本业务配置,可以之前的文档,这里就不在讲解了。(前面20篇都有详细讲解)
测试下基本网络是否联通的
获取到了对应的IP地址
可以看到Client 1连接AP-1获取了101网段的地址,而Cliet3连接的是AP-2,获取了102网段的地址。
可以看到访问公网也没任何问题。
测试下同一AP下的客户端能否互通
这时候把Client 2连接进来,连接AP-1
可以看到是可以访问的。
Client 4连接上来后,获取102网段的地址,并且访问102.253也没有问题。说明用户之间是可以互访的。
3、在直接转发模式下配置方法 (用户隔离)
在服务集下,敲入高命令即可,直接转发模式下,直接在服务集下面启用,即可对于AP生效。注意下发配置给AP
配置后测试
这个在没有配置之前是可以测试,配置后在测试就访问不了。只能访问公网。
4、在隧道转发模式下配置方法并且验证
在隧道模式下,其实也只需要服务集开启即可,但是建议是wlan-ess接口也开启该功能。
可以看到访问外网没问题,但是客户端之间是不能互访的。
但是它访问其他AP的客户端可以访问,那么这个就是下次要介绍的traffic-filter功能了,也就是ACL。
总结:用户隔离技术,其实在无线中主要应用在提供给客户上网的场景下,可以开启该功能,只允许客户访问Internet,而不能访问其他客户端,也增加了安全性。后续还有一个技术,就是traffic-filer,也就是ACL,它也有类似的功能。
本文首发于公众号:网络之路博客
标签:由浅入深,GW,WLAN,GigabitEthernet0,22,ip,SW,192.168,AP 来源: https://blog.51cto.com/ccieh3c/2650703
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。