问题描述:
每个办公室只有一根网线给ap(型号:A60)用了,但是有5台电脑,所以用一根网线连接了ap的输出LAN口,接了一个小8口交换机。
现在想实现:1,无线连接AP的移动设备可随便连接wifi上网,但是要和有线网络隔离开。
2,办公室的电脑有的可以访问外网,有的要阻止访问外网。
传个图片把现有的设备和组网方式给大家看看,请各位老师帮忙指导指导。
组网及组网描述:
- 2020-09-06提问
- 举报
-
(0)
最佳答案
AP上面划分VLAN就行了
显示和修改已添加的VLAN接口(主页面) |
|
创建新的VLAN接口(单击主页面上的<新增>按钮,在弹出的对话框中输入相应的VLAN接口信息,单击<增加>按钮完成操作) |
|
5.3.3 设置Trunk口
Trunk类型是以太网端口的链路类型之一。此类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于连接交换机。
表5-10 Trunk端口收发报文的处理
接收报文时的处理 | 发送报文时的处理 | |
当接收到的报文不带Tag时 | 当接收到的报文带有Tag时 | |
· 当缺省VLAN ID(即PVID)在端口允许通过的VLAN ID列表里时:接收该报文,且给报文添加缺省VLAN的Tag · 当缺省VLAN ID不在端口允许通过的VLAN ID列表里时:丢弃该报文 | · 当VLAN ID在端口允许通过的VLAN ID列表里时:接收该报文 · 当VLAN ID不在端口允许通过的VLAN ID列表里时:丢弃该报文 | · 当VLAN ID与缺省VLAN ID相同,且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文 · 当VLAN ID与缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
页面向导:接口管理→VLAN设置→Trunk口设置
本页面为您提供如下主要功能:
路由器配置防火墙
设置入站通信策略
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表9-2 页面关键项描述
页面关键项 | 描述 |
入站通信缺省策略 | · “禁止”:禁止外网主动发起的访问报文通过 · “允许”:允许外网主动发起的访问报文通过
· 当路由器工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当路由器工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许” · 当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了入站通信策略后,路由器会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
源接口 | 设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制 |
起始IP/结束IP(源IP地址范围) | 输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 | 输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
目的IP地址(目的IP地址范围) | 输入需要匹配的报文的目的IP地址
当路由器工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当路由器工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围 |
服务类型 | 选择因特网中的主机访问局域网资源的服务类型
|
生效时间 | 设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 | 在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 | 对此新增规则进行简单的描述 |
接下来就是AP上面划分VLAN,配置无线了
- 2020-09-06回答
- 评论(0)
- 举报
-
(0)
暂无评论
您好,请知:
关于将AP无线网段隔离出来,使用VLAN即可,如果要实现IP自动获取,还需要配置DHCP,可参考如下VLAN\DHCP配置要点:
5.3.2 设置VLAN
页面向导:接口管理→VLAN设置→VLAN设置
本页面为您提供如下主要功能:
显示和修改已添加的VLAN接口(主页面) |
|
创建新的VLAN接口(单击主页面上的<新增>按钮,在弹出的对话框中输入相应的VLAN接口信息,单击<增加>按钮完成操作) |
|
5.3.3 设置Trunk口
Trunk类型是以太网端口的链路类型之一。此类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于连接交换机。
表5-10 Trunk端口收发报文的处理
接收报文时的处理 | 发送报文时的处理 | |
当接收到的报文不带Tag时 | 当接收到的报文带有Tag时 | |
· 当缺省VLAN ID(即PVID)在端口允许通过的VLAN ID列表里时:接收该报文,且给报文添加缺省VLAN的Tag · 当缺省VLAN ID不在端口允许通过的VLAN ID列表里时:丢弃该报文 | · 当VLAN ID在端口允许通过的VLAN ID列表里时:接收该报文 · 当VLAN ID不在端口允许通过的VLAN ID列表里时:丢弃该报文 | · 当VLAN ID与缺省VLAN ID相同,且是该端口允许通过的VLAN ID时:去掉Tag,发送该报文 · 当VLAN ID与缺省VLAN ID不同,且是该端口允许通过的VLAN ID时:保持原有Tag,发送该报文 |
页面向导:接口管理→VLAN设置→Trunk口设置
本页面为您提供如下主要功能:
设置指定端口的Trunk相关参数(PVID和端口允许通过的VLAN) |
|
5.4 设置DHCP
5.4.1 DHCP简介
DHCP采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。
在DHCP的典型应用中,一般包含一台DHCP服务器和多台DHCP客户端(比如:PC和便携机),如图5-3所示。
图5-3 DHCP典型应用
5.4.2 DHCP的IP地址分配
1. IP地址分配策略
路由器作为DHCP服务器,提供两种IP地址分配策略:
· 手工分配地址:由管理员为特定客户端静态绑定IP地址。通过DHCP将配置的固定IP地址分配给客户端。
· 动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。
2. IP地址分配机制
(1) 路由器接收到DHCP客户端申请IP地址的请求时,首先查找手工设置的DHCP静态表,如果这台DHCP客户端的MAC地址在DHCP静态表中,则把对应的IP地址分配给该DHCP客户端。
(2) 如果申请IP地址的DHCP客户端MAC地址不在DHCP静态表中,或者DHCP客户端申请的IP地址与LAN口的IP地址不在同一网段,路由器会从地址池中选择一个在局域网中未被使用的IP地址分配给该主机。
(3) 如果地址池中没有任何可分配的IP地址,则主机获取不到IP地址。
如果主机离线(比如:主机关机了),路由器不会马上把之前分给它的IP地址分配出去,只有在地址池中没有其他可分配的IP地址,且该离线主机IP地址的租约过期时,才会分配出去。
5.4.3 设置DHCP服务器
页面向导:接口管理→DHCP设置→DHCP设置
本页面为您提供如下主要功能:
显示和修改已创建的DHCP服务器信息(主页面) |
|
创建新的DHCP服务器(单击主页面中的<新增>按钮,在弹出的对话框中选择需要启用DHCP服务器功能的VLAN接口,并设置DHCP服务相关参数,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表5-11 页面关键项描述
页面关键项 | 描述 |
VLAN接口 | 选择启用DHCP服务器功能的VLAN接口,且一个VLAN接口上只能创建一个DHCP服务器 |
启用DHCP服务器 | 缺省情况下,DHCP服务器功能处于开启状态 |
地址池起始地址 | DHCP服务器地址池的起始地址 |
地址池结束地址 | DHCP服务器地址池的结束地址,且地址池结束地址要大于起始地址 |
地址租约 | 设置DHCP服务器分配给客户端IP地址的租借期限。当租借期满后,DHCP服务器会收回该IP地址,客户端必须重新申请(客户端一般会自动申请) 缺省情况下,地址租约为1440分钟 |
客户端域名 | 设置DHCP服务器分配给客户端使用的域名地址后缀 |
主DNS服务器 | 设置DHCP服务器分配IP地址时所携带的主DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
辅DNS服务器 | 设置DHCP服务器分配IP地址时所携带的辅DNS服务器地址 缺省情况下,DNS服务器地址为网关地址 |
5.4.4 设置DHCP静态表
如果您想让路由器给某些特定的客户端分配固定的IP地址,可以事先通过DHCP静态表将客户端的MAC地址和IP地址进行绑定,使其成为一对一的分配关系。
当您设置路由器通过DHCP方式为客户端分配IP地址的同时又设置了ARP绑定,此时,请确保DHCP静态表项与ARP绑定表项不冲突,否则对应的客户端可能无法上网。建议您可以将ARP绑定表导出,然后再将其导入到DHCP静态表中。
页面向导:接口管理→DHCP设置→DHCP静态表
本页面为您提供如下主要功能:
显示和修改已添加的DHCP静态表项(主页面) |
|
单个添加DHCP静态表项(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
批量添加DHCP静态表项(您可以先在本地编辑一个.cfg文件,内容格式为“MAC地址 IP地址 描述”(比如:00:0A:EB:7F:AA:AB 192.168.1.2 zhangsan),且每条静态表项之间需换行。单击主页面上的<导入>按钮,在弹出的对话框中选择该文件将其导入即可) |
|
将路由器当前的DHCP静态表项备份保存(.cfg文件),且您可用“记事本”程序打开该文件进行编辑(单击主页面上的<导出>按钮,确认后即可将其导出到本地) |
|
5.4.5 显示和维护DHCP客户列表
页面向导:接口管理→DHCP设置→DHCP客户列表
本页面为您提供如下主要功能:
· 显示已分配的DHCP客户列表信息 · 释放并回收指定客户端的IP地址,使该IP地址可以重新被分配(选择指定的客户项,比如:已关机客户PC,单击<释放>按钮即可) |
|
关于实现部分网段不能上外网,可以在NAT中将其隔离出来,就是不加入转换的网段中,以下是NAT的配置,请参考:
1. 设置NAT功能状态
仅当开启了NAT功能后,您所设置的一对一NAT、多对一NAT和多对多NAT才会生效。
当您需要将设备作为普通的设备使用时,可以关闭NAT功能。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
· 开启NAT功能(选中“使用NAT地址转换”单选按钮,单击<应用>按钮生效) · 关闭NAT功能(选中“不使用NAT地址转换”单选按钮,单击<应用>按钮生效) |
|
2. 设置多对一NAT和多对多NAT
在您设置多对一和多对多NAT前,请先开启NAT功能。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
设置多对一NAT(根据您实际所连接的线路,选择相应的“自动使用WAN1的IP地址”或“自动使用WAN2的IP地址”单选按钮,单击<应用>按钮生效) |
|
设置多对多NAT(根据您实际所连接的线路,设置相应WAN口的NAT地址池范围,单击<应用>按钮生效) |
|
3. 设置网络连接参数
建议您在H3C技术人员的指导下对网络连接参数进行操作。
页面向导:高级设置→地址转换→NAT设置
本页面为您提供如下主要功能:
· 设置设备支持的网络连接总数,即会话总数(一般情况下,请保留缺省值。比如:局域网内PC遭受病毒攻击从而建立大量无用的连接,您可以修改该参数来减少设备资源的浪费) · 清除指定接口的网络连接(一般情况下,如果设备运行正常,请勿执行此操作。因为,清除网络连接会导致现有的业务重新选择出接口,可能会影响现有业务的正常运行) |
|
15.1.2 设置一对一NAT
在您设置一对一NAT前,请先开启NAT功能。
页面向导:高级设置→地址转换→一对一NAT
本页面为您提供如下主要功能:
设置一对一NAT(选中“启用”复选框,设置指定的内网IP与公网IP的映射关系,并选择相应的WAN出接口,单击<应用>按钮生效) |
|
如果要实现网段之间不能互访,需要配置防火墙出入站规则,可参考如下配置要点:
11.3 设置防火墙
设备的防火墙功能为您实现了根据报文的内容特征(比如:协议类型、源/目的IP地址等),来对入站方向(从因特网发向局域网的方向)和出站方向(从局域网发向因特网的方向)的数据流进行相应的控制,保证了设备和局域网内主机的安全运行。
11.3.1 开启/关闭防火墙功能
仅当防火墙功能开启后,您定制的防火墙出站和入站通信策略才能生效。
页面向导:安全专区→防火墙→防火墙设置
本页面为您提供如下主要功能:
开启/关闭防火墙功能 |
|
11.3.2 设置出站通信策略
页面向导:安全专区→防火墙→出站通信策略
本页面为您提供如下主要功能:
设置报文在出站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“出站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表11-1 页面关键项描述
页面关键项 | 描述 |
出站通信缺省策略 | · “允许”:允许内网主动发起的访问报文通过 · “禁止”:禁止内网主动发起的访问报文通过 缺省情况下,出站通信缺省策略为“允许”
· 当缺省策略是“允许”时,您手动添加的策略即为“禁止”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了出站通信策略后,系统会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
源接口 | 设置报文的来源接口,即可以对从某一LAN侧接口收到的报文进行控制 |
源地址 | 设置需要进行控制的源地址类型: · IP地址段:通过源IP地址范围对局域网中的主机进行控制 · MAC地址:通过源MAC地址对局域网中的主机进行控制 · 用户组:通过您预先划分好的用户组对局域网中的主机进行控制 |
起始IP/结束IP(源IP地址范围) | 输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 | 输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
起始IP/结束IP(目的IP地址范围) | 输入需要匹配的报文的目的IP地址段
· 起始IP地址不能大于目的IP地址 · 如果无需匹配报文的目的IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
服务类型 | 选择局域网中主机访问因特网资源的服务类型
|
生效时间 | 设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 | 在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 | 对此新增规则进行简单的描述 |
11.3.3 设置入站通信策略
页面向导:安全专区→防火墙→入站通信策略
本页面为您提供如下主要功能:
设置报文在入站方向上未匹配任何您预先设定的规则时,系统所采取的策略(主页面。在“入站通信缺省策略”下拉框中选择指定的方式,单击<应用>按钮生效) |
|
添加匹配规则来控制指定的报文(在主页面上单击<新增>按钮,在弹出的对话框中设置相应的匹配项,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表11-2 页面关键项描述
页面关键项 | 描述 |
入站通信缺省策略 | · “禁止”:禁止外网主动发起的访问报文通过 · “允许”:允许外网主动发起的访问报文通过
· 当设备工作于NAT模式下时(即开启了NAT功能),入站通信缺省策略不允许配置,且仅为“禁止”;当设备工作于路由模式下时(即关闭了NAT功能),入站通信缺省策略才允许选择配置,且缺省情况下为“允许” · 当缺省策略是“禁止”时,您手动添加的策略即为“允许”,反之亦然 · 缺省策略更改后,所有已配置的出站通信策略将会被清空,且仅对新建立的访问连接生效 · 当您手动添加了入站通信策略后,设备会优先根据该策略对主机进行访问控制,如果未匹配手动添加的策略,则遵循缺省策略 |
源接口 | 设置报文的来源接口,即可以对从某一WAN侧接口收到的报文进行控制 |
起始IP/结束IP(源IP地址范围) | 输入需要匹配的报文的源IP地址段
· 起始IP地址不能大于结束IP地址 · 如果无需匹配报文的源IP地址,您可以将起始IP地址设置为0.0.0.0,结束IP地址设置为255.255.255.255 |
源端口范围 | 输入需要匹配的报文的源端口范围
如果无需匹配报文的源端口号,您可以将其设置为1~65535 |
目的IP地址(目的IP地址范围) | 输入需要匹配的报文的目的IP地址
当设备工作于NAT模式下时(即开启了NAT功能),仅允许设置单个目的IP地址;当设备工作于路由模式下时(即关闭了NAT功能),允许设置目的IP地址范围 |
服务类型 | 选择因特网中的主机访问局域网资源的服务类型
|
生效时间 | 设置此新增规则的生效时间
生效时间需要您指定具体的时间段,比如:某天的某个时间段 |
是否启用 | 在下拉列表框中选择“启用”,表示此匹配策略生效;选择“禁用”,表示此匹配策略不生效 |
描述 | 对此新增规则进行简单的描述 |
以下是ER8300G2的用户手册连接:
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/H3C_ER_G2/ER8300G2/
- 2020-09-07回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论