H3C WX3000E系列无线控制器的用户隔离,分为基于VLAN的用户隔离和基于SSID的用户隔离。
二者的区别在于:
基于VLAN的用户隔离,隔离VLAN内所有用户之间的通信(包括有线网络),必须要把网关的MAC地址加入允许列表中才能上网。
基于SSID的用户隔离,只隔离一个SSID下的无线用户,不需要手工放行网关和有线网络上同VLAN下其他设备的MAC地址。
在实际的工程中,我们发现有部分Cisco交换机(特别是固定配置的三层交换机,如3750E),VLAN接口的MAC地址会在每次重启后发生变化,而且无法手工为VLAN接口指派MAC地址。
这种情况下,就不能在H3C AC上使用基于VLAN的用户隔离(因为无法确定Cisco交换机下次重启后VLAN接口的MAC地址),只能使用基于SSID的用户隔离。
基于SSID的用户隔离在wlan service-template下配置user-isolation enable即可生效。(V5版本)
在web界面中配置DHCP Relay,会开启DHCP地址匹配检查。
扫描二维码关注公众号,回复:
8961085 查看本文章
此时需要手动把网关的IP和MAC地址输入到AC的DHCP客户端列表中,否则AC下面的无线用户无法跟网关进行通信。(网关是独立于AC之外的交换机)
如果遇到上文所述的交换机VLAN接口MAC地址变化的情况,那么就要关闭DHCP地址匹配检查了。
