建议针对访客模式的优化

胖子 · 发表于 2019-7-11 14:57:14

具体需求是这样的，这个需求其实还是蛮多的。

事业单位，某些文件还是不宜公开但不涉密，为了保险起见，网关设置了mac地址白名单，需要登记全员的mac地址，否则不允许联网。

但是，又会经常有访客来，需要连接wifi，物理网路又只有一根。

原本以为，单独拿一个AP发射访客信号 GuestWIFI 开启访客模式，让访客除了上互联网之外不能连接我们的内网资源，如共享和打印机等。

但是咨询400客服之后得到答复，说mac白名单是全局，有最高优先级，所以哪怕是访客模式，没在白名单里的仍然不能连接。

所以需求是：

如果AP配置里勾选了访客模式，能否就不判断MAC地址，密码正确就让他连接，但是仍然做访问隔离。

小老弟 · 发表于 2019-7-11 15:31:42

楼主好，可以配合“无线黑白名单”来实现，内部网络的ssid登记mac，添加白名单；访客ssid开启访客模式，或者用vlan进行隔离皆可；

胖子 · 发表于 2019-7-12 12:48:10

小老弟发表于 2019-7-11 15:31
楼主好，可以配合“无线黑白名单”来实现，内部网络的ssid登记mac，添加白名单；访客ssid开启访客模式，或 ...

但是现在访客ssid开启访客模式依然要判断mac是否在白名单里面，就导致访客来了无法连接访客的ssid

zhh2018 · 发表于 2019-7-12 13:30:22

胖子发表于 2019-7-12 12:48
但是现在访客ssid开启访客模式依然要判断mac是否在白名单里面，就导致访客来了无法连接访客的ssid ...

楼主好，请问下楼主当前路由和AP的版本各是多少呢

胖子 · 发表于 2019-7-12 14:05:39

zhh2018 发表于 2019-7-12 13:30
楼主好，请问下楼主当前路由和AP的版本各是多少呢

网关G30 G20
AP是DX3

都是最新版本

zhh2018 · 发表于 2019-7-12 14:26:16

胖子发表于 2019-7-12 14:05
网关G30 G20
AP是DX3

确认一下，楼主您的网络是访客不能连上无线还是连上无线不能访问互联网呢

胖子 · 发表于 2019-7-12 14:30:22

zhh2018 发表于 2019-7-12 14:26
确认一下，楼主您的网络是访客不能连上无线还是连上无线不能访问互联网呢 ...

直接就连接不上访客的无线ssid

现在的结构是这样的机房G20 到机房核心交换核心交换到楼层交换楼层交换到POE交换到AP

目前内部使用网络ssid为 abc 在G20上访问控制设置了白名单mac 同事能正常使用

单独有一个AP发射ssid GuestWIFI 设置了访客模式在没有往G20添加mac的情况下直接无法连接添加mac了秒连~

所以，问题应该是出现在了哪怕是设置成访客模式的AP信号也会去判断白名单mac给不给连接。

zhh2018 · 发表于 2019-7-12 14:59:58

胖子发表于 2019-7-12 14:30
直接就连接不上访客的无线ssid

现在的结构是这样的机房G20 到机房核心交换核心交换到楼层交换楼层 ...

MAC访问控制是针对于全局生效的，建议楼主将全局的MAC访问控制的白名单关闭，然后对有内网访问需求的SSID开启无线白名单功能并加入全员MAC，这样就可以了

胖子 · 发表于 2019-7-12 15:10:33

zhh2018 发表于 2019-7-12 14:59
MAC访问控制是针对于全局生效的，建议楼主将全局的MAC访问控制的白名单关闭，然后对有内网访问需求的SSID ...

嗯这是一个折中的办法，这种办法就没办法管控有线的了~~

谢谢你~

dicle · 发表于 2019-8-26 14:34:35

学习了，能够有个统一的黑白名单就好了。

		自动登录	找回密码
密码			立即注册

[网络设置] 建议针对访客模式的优化

本帖子中包含更多资源

站长推荐 /1