某局点购买了终结者本体和分体WTU420H,现在已经正常部署,可以正常使用,但是在实际使用过程中,发现有用户存在私接家用路由器的情况,现场发现只要在一个终结者分体下的有线接口下接了家用路由器之后,该终结者分体下的其他有线接口下连接的终端就无法正常使用。
我们发现只要在终结者分体下接有家用路由器的时候,同一个终结者分体下的有线接口连接的其他终端就无法正常使用,且通过测试发现,这些终端获取到的IP地址不是正常分配的IP地址。通过现场排查发现,现场的这些终端获取的IP地址其实是通过家用路由器的DHCP获取到的,从而导致分体有线接口下的其他终端无法正常使用。
我们可以通过配置终结者分体有线接口的端口隔离,WT420H是通过超瘦模式进行配置的。分体是没有IP地址的,无法telnet到WTU分体上直接配置有线口的端口隔离,因此可以telnet到WT本体上直接配置端口隔离或者下发map文件,下面以最常用的AC侧下发map文件方式说明端口隔离的配置方法:
(1)集中转发
wlan ap yhywt model WT1010
serial-id 219801A0T9C168000298
map-configuration cfa0:/yhycfmappi.txt
本体map文件(yhycfmappi.txt):
system-view
vlan 9
port-isolate group 1
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 9
slot 3
provision model "WTU420H"
interface Ethernet1/3/1
port access vlan 9
port-isolate enable group 1
interface Ethernet1/3/2
port access vlan 9
port-isolate enable group 1
interface Ethernet1/3/3
port access vlan 9
port-isolate enable group 1
interface Ethernet1/3/4
port access vlan 9
port-isolate enable group 1
(2)本地转发
wlan ap yhywt model WT1010
serial-id 219801A0T9C168000298
map-configuration cfa0:/yhylfmappi.txt
本体map文件(yhylfmappi.txt):
system-view
vlan 9 to 10
port-isolate group 1
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 9 10
slot 3
provision model "WTU420H"
interface Ethernet1/3/1
port access vlan 9
port-isolate enable group 1
interface Ethernet1/3/2
port access vlan 9
port-isolate enable group 1
interface Ethernet1/3/3
port access vlan 9
port-isolate enable group 1
interface Ethernet1/3/4
port access vlan 9
port-isolate enable group 1
通过配置WTU分体的有线口终端之间的二层隔离,使得终结者分体下的其他有线接入的终端无法去有线接口连接的家用路由器上去获取到IP地址。
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作