无线网络为什么强烈建议开启二层隔离功能，该如何开启？

为什么要开启用户隔离功能：

同一VLAN内，来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播，而且在空间介质中广播报文通常使用最低速率进行发送。当广播报文比较多时，会占用较多的空口资源，在一定程度上影响到整个网络应用。

无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备，而不能互相之间访问。同时，通过配置undo user-isolation permit broadcast禁止有线用户（permit-mac允许的mac地址除外）发送广播、组播报文给无线用户，无线用户到有线用户的广播、组播报文不受限制。这样可以大量减少整个WLAN网络的广播流量，提高WLAN网络的整体性能。

基于vlan的用户隔离：隔离无线用户之间，有线端到无线端的广播、组播、单播流量。某个单播流量需要配置permit-mac xxx放通。通常需要放通网关、dhcp server的mac

[Sysname] user-isolation vlan 1 permit-mac 00bb-ccdd-eeff 0022-3344-5566

[Sysname] user-isolation vlan 1 enable

基于ssid的用户隔离：只隔离无线用户之间的流量，无线用户可以访问有线设备。

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] user-isolation enable   //此时就不用管网关了，不需要单独放通网关。

推荐使用基于vlan的二层隔离，算法消耗资源更少，还能隔离有线到无线的广播组播流量，隔离更彻底

开启隔离后，无线终端无法互访，如果需要实现互访，在网关上开启arp代理功能即可

集中转发：

AC 全局下做基于vlan的二层隔离

基于服务模板做二层隔离

本地转发：服务模板下的隔离不生效

普通AP：基于vlan的二层隔离