#1

这就跟你问声好!

是否可以在AP中设置第2层隔离?
连接的客户端不会通过像Fing或Wifiman这样的软件互相发现吗?
对于其他产品,可以禁用MAC转发,对于Ruckus MAC白名单,对于Mikrotik禁用默认转发,或者对于Zyxel启用第2层隔离。

谢谢你!

#2

中国飞行员的家里有隔离
在cnpilot企业中,你几乎可以做任何你想做的事情

#3

你能教我怎么做吗?
我会很感激的

#4

图像
图像 1264×803 66.4 KB

这被称为WLAN中的客户端隔离。禁用意味着客户端可以互相学习,启用意味着客户端只能看到默认网关,所以在Wifi网络中没有客户端到客户端通信。

1像
#5

我已经做了这个设置,下面是我的配置:

vlan客户机隔离
vlan客户机隔离 1895×957 129 KB

客户vlan工作完美,他们只达到我所允许的网络,ping不能在他们之间工作。
但发现软件(移动应用程序)Wifiman和Fing可以看到网络上的其他客户端。
IMG_2970.PNG
IMG_2970.PNG 1125×2436 123 KB

发现工作
IMG_2971.PNG
IMG_2971.PNG 1125×2436 143 KB

萍不工作。

#6

这是你应该预料到的。wifi的工作方式是,每个客户端和AP都需要看到对方,这样争用机制才能正常工作……否则,RF碰撞会损害容量。但是不能在客户之间进行沟通。

1像
# 7

Mikrotik简单的wifi设置,ping和设备发现工作:

IMG_2972.PNG
IMG_2972.PNG 1125×2436 121 KB

IMG_2973.PNG
IMG_2973.PNG 1125×2436 185 KB

如果我取消默认转发,ping和设备发现不再工作。
默认的向前
默认的向前 1920×1042 193 KB

IMG_2974.PNG
IMG_2974.PNG 1125×2436 145 KB

IMG_2975.PNG
IMG_2975.PNG 1125×2436 103 KB

它显示发现应用程序我是孤独的,但这不是真的。
问题是,cnPilot AP有可能吗?

#8

@zoltanjuhasz

如果邻居设备发现机制使用组播或广播报文,是的,你仍然可以看到邻居,但你不能通过任何流量的客户端。

然而,当启用客户端隔离时,一定要启用掉组播,这将有助于减少邻居设备。请遵循以下步骤:

#9

谢谢你的努力,看来我们的方向是正确的,但是并没有带来预期的结果。

这是Zyxel的溶液:

图像
图像 1037×191 40.8 KB

Zyxel知识库文章:如何隔离客用wifi访问NAP系列的主要资源?

它运行得很好。
发现了形成层的萤火虫写的一篇旧文章。

我认为这是解决方案:

规则 描述
Acl deny MAC 17 any ff:ff:ff:ff:ff out 拒绝L2广播数据包进行广播
Acl允许MAC 24任意任意 允许两个方向上的所有其他数据包通过

但是缺少了一些东西,因为这个规则阻断了客户端之间的通信,但它也阻断了互联网连接。

我在设置上哪里出了错?

#10

除了客户端隔离和删除组播外,请在WLAN配置文件中应用以下规则:

规则 描述
Acl允许pro5 TCP任何任何任何任何任何 允许两个方向上的所有TCP连接
Acl允许proto 6 udp任意68和67 in 允许入方向的DHCP发现报文
Acl允许proto 7 udp any 67 any any out 允许DHCP向WLAN出方向提供报文
Acl拒绝proto 8 udp any 137 any any any 在两个方向阻断Windows NetBios报文
Acl拒绝proto 9 udp any 138 any any any 在两个方向阻断Windows NetBios报文
Acl禁止IP 10中任意224.0.0.0/240.0.0.0 阻断所有入方向的组播报文
Acl deny proto 11 udp any 68 any 67 out Block DHCP Discover上电
Acl禁止MAC 12 any 11:11:11:11:11输出 Block形成层AP组播报文上电
Acl deny MAC 13 any ff:ff:ff:ff:ff out 阻止ARP数据包在空中运行
Acl允许IP 14任意任意任意 允许两个方向上的所有其他IP报文通过
1像
客户端隔离和如何隐藏MAC地址!
#11

谢谢你的帮助!

现在它按我想要的方式工作,发现软件显示我是孤独的。
我分析了钢丝鲨鱼的流量,禁用广播数据包解决了这个问题。
它与正确的ACL规则完美匹配。

3喜欢