H3C WSG1808X AP+AC, 如何在AC里面划分VLan
- 0关注
- 0收藏,236浏览
问题描述:
我们DHCP用的是防火墙的,AC里面分business和guest的Wi-Fi,但是现在Busienss和Guest都在一个网段,是互通的,有什么方法能划分Business和Guest为不同的网段,不互通,可以在AC里面进行设置吗?
- 2025-09-03提问
- 举报
-
(0)
当然可以。您遇到的这个问题非常常见,而解决方案的核心正是在AC(无线控制器)上通过VLAN(虚拟局域网) 来逻辑隔离不同安全级别的无线业务。
您的H3C WSG1808X(一款集成了AC功能的一体化网关)完美支持这项功能。整个方案的原理是:让AC为不同的SSID(Business和Guest)打上不同的VLAN标签,然后让防火墙作为网关和DHCP服务器,根据VLAN标签为终端分配不同网段的IP地址,并最终在防火墙上实施隔离策略。
以下是详细的配置步骤和逻辑图解。
配置思路总览
- 1.在AC上创建VLAN:为Business和Guest网络分别创建两个VLAN(例如VLAN 10和VLAN 20)。
- 2.配置SSID与VLAN绑定:将Business SSID绑定到VLAN 10,将Guest SSID绑定到VLAN 20。
- 3.配置防火墙接口与DHCP:在防火墙上创建两个子接口(或VLAN接口),分别对应VLAN 10和VLAN 20,并在这两个接口上启用DHCP服务,分配不同网段的地址(例如
192.168.10.0/24和192.168.20.0/24)。 - 4.配置防火墙安全策略:在防火墙上设置策略,禁止VLAN 20(Guest)访问VLAN 10(Business)的网络。
详细配置步骤
第1步:在H3C WSG1808X(AC)上配置
您需要通过Web界面登录到WSG1808X的管理系统。
- 1.
创建VLAN:
- •导航到 “网络” → “VLAN” → “VLAN设置”。
- •点击 “添加”,分别创建两个VLAN:
- •VLAN 10:名称填写
Business-WiFi - •VLAN 20:名称填写
Guest-WiFi
- •VLAN 10:名称填写
- 2.
配置SSID与VLAN绑定(关键步骤):
- •导航到 “无线” → “无线配置” → “SSID配置”(或类似路径,不同版本可能叫“无线服务”)。
- •编辑您的Business SSID:
- •找到您现有的Business无线网络(SSID)。
- •在高级设置或VLAN设置中,找到 “客户端VLAN”、“业务VLAN” 或 “转发模式” 选项。
- •将其设置为您刚创建的 VLAN 10。
- •保存。
- •编辑或创建您的Guest SSID:
- •同样,找到或创建您的Guest无线网络。
- •将其 “客户端VLAN” 设置为 VLAN 20。
- •保存。
- 3.
确保连接AP的端口允许VLAN 10和20通过:
- •导航到 “网络” → “接口” → “物理接口”(或“端口管理”)。
- •检查连接交换机/AP的物理端口(通常是LAN口),确保其链路类型为 Trunk(或Hybrid),并允许VLAN 10和VLAN 20通过。
第2步:在防火墙上配置(核心网关和策略点)
由于DHCP由防火墙提供,这里是实现网段隔离和访问控制的关键。
- 1.
创建VLAN接口(子接口):
- •在防火墙上找到连接AC的那个物理接口(例如
GigabitEthernet 1/0/1)。 - •在该接口下创建两个子接口(或称VLAN接口):
- •子接口1:
GigabitEthernet 1/0/1.10- •配置VLAN ID为 10
- •配置IP地址(网关地址):
192.168.10.1/24
- •子接口2:
GigabitEthernet 1/0/1.20- •配置VLAN ID为 20
- •配置IP地址(网关地址):
192.168.20.1/24
- •子接口1:
- •在防火墙上找到连接AC的那个物理接口(例如
- 2.
配置DHCP服务器:
- •在防火墙上启用DHCP服务。
- •为
VLAN 10接口创建地址池:- •地址范围:
192.168.10.100到192.168.10.200 - •网关:
192.168.10.1 - •DNS:填写您的公共DNS(如
114.114.114.114)
- •地址范围:
- •为
VLAN 20接口创建地址池:- •地址范围:
192.168.20.100到192.168.20.200 - •网关:
192.168.20.1 - •DNS:填写您的公共DNS
- •地址范围:
- 3.
配置安全策略(实现隔离):
- •这是最关键的一步,用于阻止Guest访问Business网络。
- •创建一条安全策略(或访问控制列表ACL):
- •源 zone/地址:
VLAN 20(或地址192.168.20.0/24) - •目的 zone/地址:
VLAN 10(或地址192.168.10.0/24) - •动作:拒绝(Deny)
- •源 zone/地址:
- •确保还有另一条策略允许所有用户(包括VLAN 10和20)访问Internet。
验证结果
- •连接测试:让两台设备分别连接到Business和Guest网络。
- •IP检查:检查它们获取到的IP地址,应该分别来自
192.168.10.x和192.168.20.x网段。 - •互通测试:尝试从Guest网络的设备去ping Business网络的设备(或它的网关
192.168.10.1),应该无法ping通。 - •上网测试:确保两台设备都能正常访问互联网。
通过以上配置,您成功地在同一套物理设备上逻辑地分离了两个无线网络,极大地增强了企业网络的安全性。所有的配置都可以在AC和防火墙上完成,无需改变物理布线。
- 1.
- 2025-09-03回答
- 评论(0)
- 举报
-
(0)
参考手册 配置 WSG1800X Wireless Integrated Services Gateway。
这款是海外款,和国内的配置应该一样
- 2025-09-03回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论