目前IK主路由，如何实现访客模式，且关注公众号才能上网

寒夜吟

目前IK主路由，AP是爱快的，主路由根据安全要求，使用了：ARP绑定并且勾上“非绑定MAC不能上网”、兼容已绑定为 DHCP 静态分配 ，DHCP服务白名单功能。
现在有了AP，想实现：公司内部人员正常连内部SSID上网。访客连接另一个SSID上网，关注公众号后上网，并且不能访问内部的IP段。

测试发现，AP中的访客模式基本达到要求，但是，我这儿有DHCP服务白名单模式，访客手机无法获取IP。有没有什么办法实现以上要求。
DHCP服务白名单 只是想做到 没有经过绑定的设备不能接入网络，连上网也无法获取到IP。

寒夜吟

能不能使用“DHCP静态分配”功能，实现；接入设备不分配IP ，只能加入静态分配后才能获取IP？
如何实现：内部人需要手工增加后才能让网通，防止私自接入，访客可以直接连接WIFI使用，但是限制时间，不允许访问内部服务器。

寒夜吟

咋没有人说说怎么实现呢。

爱快技术支持09

dhcp黑白名单肯定不是行的。
整理了一下您的需求。
1. 内部设备需要绑定ARP才可以正常上网。
2.访客需要认证才可以上网。

可以的话把访客的网段进行区分。让访客的网段独立于内部办公网络。
然后。利用acl规则放行该网段。这里的ACL需要做两条。允许1.x网段访问所有。允许所有访问1.x  动作为转发。

这时候您再同时开启ARP绑定上网和微信认证测试。dhcp黑白名单是必须要关掉的。

寒夜吟

爱快技术支持09 发表于 2022-11-1 14:32
dhcp黑白名单肯定不是行的。
整理了一下您的需求。
1. 内部设备需要绑定ARP才可以正常上网。

ARP绑定上网 是一直开着的，访客与员工的IP段是分开的。
如果DHCP 服务开着，如果有人私自接入设备，会获取到IP 的。有没有别的办法实现：未授权的设备接入不分配IP呢？（网监检查专门说过这个问题）

没有看明白acl的设置，我先做个测试看看。