h3c 3024无线AC+AP(WA2620-AGN)

可以，创建两个ssid

绑定不同的vlan，通过acl进行访问限制 

一、网络规划（示例）

二、配置步骤

1. 创建VLAN并配置接口

首先在AC 3024上创建两个VLAN，并配置三层接口作为网关。
system-view
# 创建VLAN
vlan 10
description For-Employee
quit
vlan 20
description For-Guest
quit

# 配置VLAN接口IP地址（作为各自网段的网关）
interface Vlan-interface10
ip address 192.168.10.1 255.255.255.0
quit

interface Vlan-interface20
ip address 192.168.20.1 255.255.255.0
quit
2. 配置DHCP服务（如果使用AC作为DHCP服务器）
# 为内部员工VLAN配置DHCP
dhcp enable
dhcp server ip-pool employee-pool
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 8.8.8.8 114.114.114.114 # 根据实际情况配置DNS
quit

# 为客户VLAN配置DHCP
dhcp server ip-pool guest-pool
gateway-list 192.168.20.1
network 192.168.20.0 mask 255.255.255.0
dns-list 8.8.8.8 114.114.114.114
quit
3. 配置无线服务模板（SSID）
# 创建内部员工无线服务模板
wlan service-template 10
ssid Corp-Net
bind WLAN-ESS 10 # 绑定到WLAN-ESS接口
authentication-method open-system # 认证方式，这里以开放为例，实际建议用更安全的
cipher-suite ccmp # 加密套件
security-ie rsn # 安全IE
service-template enable
quit

# 创建客户无线服务模板
wlan service-template 20
ssid Guest-Net
bind WLAN-ESS 20
authentication-method open-system # 客户网络可以用开放或简单PSK
cipher-suite ccmp
security-ie rsn
service-template enable
quit
4. 配置WLAN-ESS接口并绑定VLAN
# 创建WLAN-ESS接口并绑定到对应VLAN
interface WLAN-ESS10
port access vlan 10
quit

interface WLAN-ESS20
port access vlan 20
quit
5. 配置AP并绑定服务模板
# 进入AP配置视图（假设AP名称为ap1）
wlan ap ap1 model WA2620-AGN
serial-id xxxxxx # 输入AP的实际序列号

# 在射频口上绑定服务模板
radio 1 # 2.4G射频
service-template 10 # 绑定员工SSID
radio enable
quit

radio 2 # 5G射频（如果AP支持）
service-template 20 # 绑定客户SSID
radio enable
quit
6. 配置ACL实现访问控制（关键步骤）
这是实现客户只能访问外网、不能访问内网的核心配置。
# 创建高级ACL 3000，定义客户禁止访问的内网网段
acl advanced 3000
# 规则1：禁止访问内部服务器网段（例如：192.168.1.0/24）
rule 1 deny ip destination 192.168.1.0 0.0.0.255
# 规则2：禁止访问内部管理网段（例如：192.168.2.0/24）
rule 2 deny ip destination 192.168.2.0 0.0.0.255
# 规则3：允许访问其他所有（包括互联网）
rule 100 permit ip
quit

# 将ACL应用到客户VLAN的接口入方向
interface Vlan-interface20
packet-filter 3000 inbound
quit
ACL规则说明：
rule 1和 rule 2明确禁止客户访问指定的内网网段。
rule 100允许所有其他IP流量（包括访问互联网）。
规则号（1,2,100）越小优先级越高，所以禁止规则在前，允许规则在后。
需要根据实际内网结构，在rule 1、rule 2中添加所有需要隔离的内部网段。
7. 配置路由和NAT（如果AC作为出口网关）
如果AC 3024直接连接互联网，还需要配置NAT和默认路由：
# 配置默认路由指向出口网关
ip route-static 0.0.0.0 0.0.0.0 出口网关IP

# 配置NAT（假设连接外网的接口是GigabitEthernet1/0/1）
interface GigabitEthernet1/0/1
ip address 公网IP 子网掩码
nat outbound # 启用NAT
quit

# 创建ACL允许需要NAT转换的内网地址
acl basic 2000
rule permit source 192.168.10.0 0.0.0.255 # 员工网段
rule permit source 192.168.20.0 0.0.0.255 # 客户网段
quit

# 在出口接口应用NAT
interface GigabitEthernet1/0/1
nat outbound 2000
quit
三、增强安全建议
内部员工网络认证强化：
建议使用WPA2-Enterprise（802.1X）认证，结合RADIUS服务器（如Windows AD）。
配置命令示例：
wlan service-template 10
authentication-method dot1x
dot1x domain corp-domain # 指定认证域
quit
客户网络访问限制：
启用客户端隔离，防止客户之间互相访问：
wlan service-template 20
client-isolation enable
quit
设置带宽限制，防止客户占用过多带宽：
qos car outbound acl 3000 cir 2048 # 限制每个客户2Mbps上行
Portal认证（可选）：
如果需要客户登录后才能上网，可以配置Portal认证：
portal enable
portal web-server myportal
url http://portal-server-ip/portal
quit
portal server myportal ip portal-server-ip
interface Vlan-interface20
portal enable method direct
portal apply web-server myportal
quit
四、验证配置
检查无线服务状态：
display wlan service-template all
display wlan ap all
测试网络连通性：
连接Corp-Net，测试能否ping通内网服务器和外部网站（如baidu.com）。
连接Guest-Net，测试能否ping通外部网站，但无法ping通内网服务器。
检查ACL生效情况：
display acl 3000
display packet-filter statistics interface Vlan-interface20 inbound
五、注意事项
网络拓扑：确保AC的上联交换机端口配置为Trunk，允许VLAN 10和VLAN 20通过。
防火墙策略：如果网络中有独立防火墙，需要在防火墙上也配置相应策略，双重保障。
IP地址规划：确保为两个SSID规划的IP网段不与现有内网冲突。
AP注册：确保所有AP已成功注册到AC，使用display wlan ap all查看状态。
此方案通过VLAN逻辑隔离和ACL访问控制，实现了员工与客户网络的权限分离，既保证了内部网络安全，又为客户提供了基本的互联网访问服务。

不同的ssid绑定不同的vlan,然后vlan间用acl做限制

正常配置2个SSID

不通SSID绑定不同vlan

在访客vlan的vlanif网关处配置acl限制内网访问

简单来说，实现这个目标主要分为两步：首先在逻辑上把“客户”和“内部员工”分成两个独立的网络（VLAN），然后在它们的“交通枢纽”（网关）处设置规则，禁止“客户网络”访问“内部网络” 。

核心设计思路

1. 划分不同的VLAN：为“客户Wi-Fi”和“员工Wi-Fi”分配不同的VLAN，这是实现隔离的基础。例如，可以让客户使用VLAN 10，员工使用VLAN 20 。

2. 网关上进行访问控制：在作为网关的设备（通常是核心交换机或防火墙）上配置访问控制列表（ACL）或安全策略。规则很简单：允许客户网络（VLAN 10）访问外网，但禁止其访问内网网段（如VLAN 20或其他办公网段） 。

 具体配置步骤

虽然你的AC型号没有明确，但H3C设备的配置逻辑是通用的。你可以按照以下步骤进行操作，如果有细节差异，可以查阅对应型号的配置手册。

第一步：在AC上配置，让两个SSID分属不同VLAN

首先需要登录AC的Web界面或命令行，让不同的无线网络（SSID）携带不同的VLAN标签。

• 创建两个服务模板（Service Template）：分别对应“客户”和“员工”SSID。

• 绑定VLAN：在“客户”服务模板中，将客户端转发 VLAN 设置为VLAN 10。在“员工”服务模板中，设置为VLAN 20 。

• 配置AP组：将这两个服务模板下发到AP上生效。

• 关键前提：请确保AC与核心交换机/防火墙之间的互联端口为 Trunk 模式，并允许VLAN 10和VLAN 20通过 。

第二步：在网关设备上配置，限制客户的访问权限

这是实现隔离的关键步骤。你的DHCP、网关和内网资源都在这台设备上，所以需要在这里“拦截”客户网络对内网的访问。

场景一：如果网关是H3C核心交换机（推荐，性能好）
在核心交换机上配置高级ACL来禁止客户网段访问内网。

如果网关是防火墙，操作会更直观。通常是在防火墙的Web界面上配置一条安全策略 -7：

• 源安全域/区域：选择客户网络所在的区域或IP地址（VLAN 10网段）。

• 目的安全域/区域：选择内网所在的区域。

• 动作：设置为 “拒绝”。

• 同时，确保有一条允许客户网络访问外网（通常目的区域为“Untrust”）的策略，并且允许员工网络（VLAN 20）访问内网和外网。

验证与总结

配置完成后，可以通过以下方式验证：

1. 客户手机连接“Customer”Wi-Fi，检查获取的IP地址是否在VLAN 10网段（如192.168.10.x）。

2. 尝试从客户手机ping内网服务器（如192.168.20.x或10.0.0.x），应该失败。

3. 尝试从客户手机访问互联网（如ping 114.114.114.114），应该成功。

4. 员工手机连接“Employee”Wi-Fi，同时验证能访问内网和外网。