msg360-4想实现员工访问公司内网,客户来了不能访问内网,目前公司无线在50网段
- 0关注
- 1收藏,1404浏览
问题描述:
msg360-4想实现员工和访客隔离怎么设置,目前公司无线在50网段
组网及组网描述:
- 2019-07-23提问
- 举报
-
(0)
最佳答案
在核心交换机上设置策略,禁止两个vlan互访,例如:
1,建acl
acl advanced 3001 rule 1 permit ip source 10.0.0.0 0.0.0.255 destination 20.0.0.0 0.0.0.255
这里的rule一定要用permit,这个不是允许或阻断数据流,而是匹配数据流
2,建类引用acl:
traffic classifier 1
if-match acl 3001
3,建动作为阻止的行为:
traffic behavior 1
filter deny
4,建策略,关联类和行为
qos policy 1
classifier 1 behavior 1
5,应用策略:
qos vlan-policy 1 vlan 2 inbound
按照这个模板,您可以举一反三修改或添加内容,实现vlan间的访问策略
- 2019-07-23回答
- 评论(0)
- 举报
-
(0)
设置一个企业员工ssid,一个企业访客试一下,或者不同ssid设置不同vlan,然后针对网段做限制
- 2019-07-23回答
- 评论(3)
- 举报
-
(0)
无线服务模板绑定不同的vlan。然后网关上针对网段做限制 配置两个无线加密服务模板 #开启端口安全 [H3C]port-security enable # 配置创建无线服务模板1,SSID为test [H3C] wlan service-template 1 [H3C-wlan-st-1] ssid test # 配置接入该SSID的无线客户端属于vlan10 [H3C-wlan-st-1] vlan 10 # 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。 [H3C-wlan-st-1] akm mode psk [H3C-wlan-st-1] preshared-key pass-phrase simple 12345678 # 配置CCMP为加密套件,配置WPA2为安全信息元素。 [H3C-wlan-st-1] cipher-suite ccmp [H3C-wlan-st-1] security-ie rsn # 使能无线服务模板。 [H3C-wlan-st-1] service-template enable [H3C-wlan-st-1] quit # 配置创建无线服务模板2,SSID为service [H3C] wlan service-template 2 [H3C-wlan-st-2] ssid service # 配置接入该SSID的无线客户端属于vlan20,配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥,配置CCMP为加密套件,配置WPA2为安全信息元素。 [H3C-wlan-st-2] vlan 20 [H3C-wlan-st-2] akm mode psk [H3C-wlan-st-2] preshared-key pass-phrase simple 12345678 [H3C-wlan-st-2] cipher-suite ccmp [H3C-wlan-st-2] security-ie rsn # 使能无线服务模板。 [H3C-wlan-st-2] service-template enable [H3C-wlan-st-2] quit 3.4 配置AP绑定无线加密服务模板 # 进入AP射频口绑定两个服务模板并且开启射频。 [H3C]wlan ap ap1 [H3C-wlan-ap-ap1]radio 1 [H3C-wlan-ap-ap1-radio-1]service-template 1 [H3C-wlan-ap-ap1-radio-1]service-template 2 [H3C-wlan-ap-ap1-radio-1]radio enable [H3C-wlan-ap-ap1-radio-1]quit [H3C-wlan-ap-ap1]radio 2 [H3C-wlan-ap-ap1-radio-2]service-template 1 [H3C-wlan-ap-ap1-radio-2]service-template 2 [H3C-wlan-ap-ap1-radio-2]radio enable [H3C-wlan-ap-ap1-radio-2]quit [H3C-wlan-ap-ap1]quit
大概怎么操作
设置不同的vlan
无线服务模板绑定不同的vlan。然后网关上针对网段做限制 配置两个无线加密服务模板 #开启端口安全 [H3C]port-security enable # 配置创建无线服务模板1,SSID为test [H3C] wlan service-template 1 [H3C-wlan-st-1] ssid test # 配置接入该SSID的无线客户端属于vlan10 [H3C-wlan-st-1] vlan 10 # 配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。 [H3C-wlan-st-1] akm mode psk [H3C-wlan-st-1] preshared-key pass-phrase simple 12345678 # 配置CCMP为加密套件,配置WPA2为安全信息元素。 [H3C-wlan-st-1] cipher-suite ccmp [H3C-wlan-st-1] security-ie rsn # 使能无线服务模板。 [H3C-wlan-st-1] service-template enable [H3C-wlan-st-1] quit # 配置创建无线服务模板2,SSID为service [H3C] wlan service-template 2 [H3C-wlan-st-2] ssid service # 配置接入该SSID的无线客户端属于vlan20,配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥,配置CCMP为加密套件,配置WPA2为安全信息元素。 [H3C-wlan-st-2] vlan 20 [H3C-wlan-st-2] akm mode psk [H3C-wlan-st-2] preshared-key pass-phrase simple 12345678 [H3C-wlan-st-2] cipher-suite ccmp [H3C-wlan-st-2] security-ie rsn # 使能无线服务模板。 [H3C-wlan-st-2] service-template enable [H3C-wlan-st-2] quit 3.4 配置AP绑定无线加密服务模板 # 进入AP射频口绑定两个服务模板并且开启射频。 [H3C]wlan ap ap1 [H3C-wlan-ap-ap1]radio 1 [H3C-wlan-ap-ap1-radio-1]service-template 1 [H3C-wlan-ap-ap1-radio-1]service-template 2 [H3C-wlan-ap-ap1-radio-1]radio enable [H3C-wlan-ap-ap1-radio-1]quit [H3C-wlan-ap-ap1]radio 2 [H3C-wlan-ap-ap1-radio-2]service-template 1 [H3C-wlan-ap-ap1-radio-2]service-template 2 [H3C-wlan-ap-ap1-radio-2]radio enable [H3C-wlan-ap-ap1-radio-2]quit [H3C-wlan-ap-ap1]quit
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明