• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C WSG1808X AP+AC, 如何在AC里面划分VLan

1天前提问
  • 0关注
  • 0收藏,71浏览
粉丝:0人 关注:0人

问题描述:

我们DHCP用的是防火墙的,AC里面分business和guest的Wi-Fi,但是现在Busienss和Guest都在一个网段,是互通的,有什么方法能划分Business和Guest为不同的网段,不互通,可以在AC里面进行设置吗?

2 个回答
粉丝:10人 关注:0人

当然可以。您遇到的这个问题非常常见,而解决方案的核心正是在AC(无线控制器)上通过​​VLAN(虚拟局域网)​​ 来逻辑隔离不同安全级别的无线业务。

您的H3C WSG1808X(一款集成了AC功能的一体化网关)完美支持这项功能。整个方案的原理是:​​让AC为不同的SSID(Business和Guest)打上不同的VLAN标签,然后让防火墙作为网关和DHCP服务器,根据VLAN标签为终端分配不同网段的IP地址,并最终在防火墙上实施隔离策略。​

以下是详细的配置步骤和逻辑图解。


配置思路总览

  1. 1.​​在AC上创建VLAN​​:为Business和Guest网络分别创建两个VLAN(例如VLAN 10和VLAN 20)。
  2. 2.​​配置SSID与VLAN绑定​​:将Business SSID绑定到VLAN 10,将Guest SSID绑定到VLAN 20。
  3. 3.​​配置防火墙接口与DHCP​​:在防火墙上创建两个子接口(或VLAN接口),分别对应VLAN 10和VLAN 20,并在这两个接口上启用DHCP服务,分配不同网段的地址(例如192.168.10.0/24192.168.20.0/24)。
  4. 4.​​配置防火墙安全策略​​:在防火墙上设置策略,禁止VLAN 20(Guest)访问VLAN 10(Business)的网络。
  5. 详细配置步骤

    第1步:在H3C WSG1808X(AC)上配置

    您需要通过Web界面登录到WSG1808X的管理系统。

    1. 1.

      ​创建VLAN​​:

      • •导航到 ​​“网络”​​ → ​​“VLAN”​​ → ​​“VLAN设置”​​。
      • •点击 ​​“添加”​​,分别创建两个VLAN:
        • •​​VLAN 10​​:名称填写 Business-WiFi
        • •​​VLAN 20​​:名称填写 Guest-WiFi
    2. 2.

      ​配置SSID与VLAN绑定(关键步骤)​​:

      • •导航到 ​​“无线”​​ → ​​“无线配置”​​ → ​​“SSID配置”​​(或类似路径,不同版本可能叫“无线服务”)。
      • •​​编辑您的Business SSID​​:
        • •找到您现有的Business无线网络(SSID)。
        • •在高级设置或VLAN设置中,找到 ​​“客户端VLAN”​​、​​“业务VLAN”​​ 或 ​​“转发模式”​​ 选项。
        • •将其设置为您刚创建的 ​​VLAN 10​​。
        • •保存。
      • •​​编辑或创建您的Guest SSID​​:
        • •同样,找到或创建您的Guest无线网络。
        • •将其 ​​“客户端VLAN”​​ 设置为 ​​VLAN 20​​。
        • •保存。
    3. 3.

      ​确保连接AP的端口允许VLAN 10和20通过​​:

      • •导航到 ​​“网络”​​ → ​​“接口”​​ → ​​“物理接口”​​(或“端口管理”)。
      • •检查连接交换机/AP的物理端口(通常是LAN口),确保其​​链路类型​​为 ​​Trunk​​(或Hybrid),并允许VLAN 10和VLAN 20通过。

    第2步:在防火墙上配置(核心网关和策略点)

    由于DHCP由防火墙提供,这里是实现网段隔离和访问控制的关键。

    1. 1.

      ​创建VLAN接口(子接口)​​:

      • •在防火墙上找到连接AC的那个物理接口(例如GigabitEthernet 1/0/1)。
      • •在该接口下创建两个​​子接口​​(或称VLAN接口):
        • •​​子接口1​​:GigabitEthernet 1/0/1.10
          • •配置VLAN ID为 ​​10​
          • •配置IP地址(网关地址):192.168.10.1/24
        • •​​子接口2​​:GigabitEthernet 1/0/1.20
          • •配置VLAN ID为 ​​20​
          • •配置IP地址(网关地址):192.168.20.1/24
    2. 2.

      ​配置DHCP服务器​​:

      • •在防火墙上启用DHCP服务。
      • •为VLAN 10接口创建地址池:
        • •地址范围:192.168.10.100 到 192.168.10.200
        • •网关:192.168.10.1
        • •DNS:填写您的公共DNS(如114.114.114.114
      • •为VLAN 20接口创建地址池:
        • •地址范围:192.168.20.100 到 192.168.20.200
        • •网关:192.168.20.1
        • •DNS:填写您的公共DNS
    3. 3.

      ​配置安全策略(实现隔离)​​:

      • •这是最关键的一步,用于阻止Guest访问Business网络。
      • •创建一条​​安全策略​​(或访问控制列表ACL):
        • •​​源 zone/地址​​:VLAN 20(或地址192.168.20.0/24
        • •​​目的 zone/地址​​:VLAN 10(或地址192.168.10.0/24
        • •​​动作​​:​​拒绝(Deny)​
      • •确保还有另一条策略允许所有用户(包括VLAN 10和20)访问Internet。

    验证结果

    • •​​连接测试​​:让两台设备分别连接到Business和Guest网络。
    • •​​IP检查​​:检查它们获取到的IP地址,应该分别来自192.168.10.x192.168.20.x网段。
    • •​​互通测试​​:尝试从Guest网络的设备去ping Business网络的设备(或它的网关192.168.10.1),​​应该无法ping通​​。
    • •​​上网测试​​:确保两台设备都能正常访问互联网。

    通过以上配置,您成功地在同一套物理设备上逻辑地分离了两个无线网络,极大地增强了企业网络的安全性。所有的配置都可以在AC和防火墙上完成,无需改变物理布线。

暂无评论

参考手册  配置  WSG1800X Wireless Integrated Services Gateway

这款是海外款,和国内的配置应该一样

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明