[AC6605-wlan-view]commit ap 1
说明:该效果是启用了端口隔离的服务集之间不能互访。注意最后需要下发配置
验证结果
11 解决Guest用户可以访问内部任何资源问题
分析:我们之前希望的是,Guest用户只能访问企业内部特点的网站地址,跟Internet,其余的是不允许访问的。这里的解决办法可以使用ACL来决定。
具体配置
[AC6605]acl number 3000
[AC6605-acl-adv-3000] rule 5 permit ip source 192.168.19.0 0.0.0.255 destination 192.168.88.251 0
[AC6605-acl-adv-3000]rule 10 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.0.0 0.0.255.255
[AC6605-acl-adv-3000]rule 15 permit ip source 192.168.19.0 0.0.0.255
说明:ACL定义的重要是,首先允许访问特定的服务器地址,然后拒绝访问内网所有的网段,然后在允许它访问Internet。当然可以具体指定服务器的端口号,只允许访问什么服务。
[AC6605]wlan
[AC6605-wlan-view]service-set id 0
[AC6605-wlan-service-set-open]traffic-filter inbound acl 3000
[AC6605-wlan-view]commit ap 1
说明:然后在服务集下调用,最后下发即可。
验证结果
可以看到访问内部网络的20.1是无法通信的,而访问特点的服务器是OK的,当然访问Internet也是OK的,但是目前还没配置到防火墙那块,没打通Internet服务。
可以看到,当AC下放配置给AP后,AP上面自动会有ACL的存在,并且调用在了WLAn-BSS上面。
12 解决网速任意问题【对客户限速】
分析:之前可以看到对于用户的网速是没有任何限制的,这样的话很有可能造成某几个用户在大量下载的情况下,导致其他用户延迟非常大,把整个网络资源都占用了,所以我们希望的是,给客户端进行限速,可以基于用户或者VAP。