紧急紧急无线网络Guest来宾上网问题，不要经过ARP绑定

yqw511

还是以前的老问题，  如果作为商业无线AP，那么肯定会涉及到公司内部员工使用有加密的ARP绑定的无线网络， 而有客户来公司的时候，直接连接没有加密的guest网络，不用在ARP上做设置， 现在的ARP绑定就是一刀切，不管是什么网络进来的，不绑定通通不能上网，那么 需要guest 网络怎么办，网管总不能挨个去看客人的手机MAC地址吧？  开发的同志们 你们想过这个问题没？？  就算是3.2 有无线网络的黑白名单，  但还是解决不了这个问题啊？？？  
电话给你们400客服， 要我去设置ACL规则，但ACL规则只是设置一个网段或者指定IP地址，而针对访客网络，来宾的IP地址是动态分的， 还不是一样需要人工去一个一个的去筛选和验证？

enbm860

额，，，设置多一个SSID给客人专用，不就行了吗？

yqw511

enbm860 发表于 2019-6-14 13:56
额，，，设置多一个SSID给客人专用，不就行了吗？

呵呵   本来就是设置多一个无线网络啊专门的Guest无线信号，但网关只有一个啊，  都是受到ARP控制啊

xiaoz

楼主试试看这样
设置一个VLAN，比如叫 vlan10，网关 1.1；
设置一组dhcp server，基于 vlan10，地址池范围 1.100 - 1.200；
开某个SSID_Guest，开启SSID VLAN，vlan id 为 10；
设置ACL，把1.100 - 1.200 的作为访客放行；
这样访客获取的ip应该都在那个地址池里被放行

yqw511

xiaoz 发表于 2019-6-14 18:54
楼主试试看这样
设置一个VLAN，比如叫 vlan10，网关 1.1；
设置一组dhcp server，基于 vlan10，地址池范围  ...

还是你说的明白, 刚刚测试了下, 这个方法可以很好的解决我的问题,经过测试,实际上我不需要进行ACL设置就能满足我的要求, 我需要的整个guest网段的都能上网,我按照这样设置:
1.先设置一个vlan1, 网关设置为192.168.1.1
2.再设置一组dhcp server  192.168.3.10-192.168.3.200 基于第一步设置的vlan1 ,
3.设置好了后 去ap上增加一个无线guset不加密ssid,把vlan选择开始设置的vlan1,这样设置后 所有经过 guest连接进来的无线信号,不需要ARP邦定都能正常上网, 分配的IP地址为 192.168.3.*段的 ,
就能绕开ARP帮绑定直接上网,  如果要限制或者放行么一段ip  那么去ACL里面做设定即可!
谢谢你的耐心解答,困扰我很久的问题,终于解决!!
   

qq57544477

还有一个解决方案 LAN1 网关 10.10.0.1 子网 255.255.0.0
公司内部 静态DHCP绑定MAC 网段范围 10.10.10.1-10.10.10.255
默认未绑定 DHCP 网段 10.10.255.1-10.10.255.100 这个是客户网段范围
然后 ACL根据IP段 设置规则就行了 反正没有绑定MAC的 都是 客户网段范围

yqw511

qq57544477 发表于 2019-6-14 23:30
还有一个解决方案 LAN1 网关 10.10.0.1 子网 255.255.0.0
公司内部 静态DHCP绑定MAC 网段范围 10.10.10.1-1 ...

这个方式  刚刚测试也是可用的,但会相比设置vlan来说 , vlan的方式 可以隔离内网和来宾网络