公司要求不是内部客户可以通过AP连接公司网络,但只能允许其访问外网,不能访问内网资源

jianglook2

公司要求不是内部客户可以通过AP连接公司网络,但只能允许其访问外网,不能访问内网资源,有什么方法?

限制条件:有一台2811cisco路由器,连接着不具备配置功能的傻瓜交换机,交换机连着一个cisco1311AP和多台服务器.
所有策略只能在路由器,ap和服务器上做..


能不能通过ap通告两个SSID,再根据不同ssid实行不同的策略来实现?
在不能配置傻瓜交换机的前提下,由什么方法将两个ssid换份到不同的网段内?

zhenxiyan2012

首先问下你们公司内部用户采用何种方式上网？AP还是有线？其实这个问题解决思路在于内外网络隔离就可以了。如果你们公司内部采用有线，且事先作好了地址规划，则外部用户上网用的AP和有线网络必然不在一个段里，那么可以采用在交换机上用ACL列表方式，仅允许外部客户访问外网，拒绝该段地址访问内网即可啊！如果是内外用户都用AP，则分不同的段，用无线控制器和策略服务器制定不同的访问认证权限就可以了反正方法很多，自己琢磨吧！（另有线用户也是可以通过策略服务器分发策略的）

niniangdd

可以，你给2个SSID两个网段， 给不同ACL 不就完了？

advancer.qian

你只能在AP上做了。如果AP支持的话。客户端只有上网经过你的cisco2811，其他如果访问你内部数据，直接傻瓜交换机交换，所以你ACL做在route上无效。

jianglook2

zhenxiyan2012 发表于 2013-9-23 11:17

                               
登录/注册后可看大图

首先问下你们公司内部用户采用何种方式上网？AP还是有线？其实这个问题解决思路在于内外网络隔离就可以了。 ...

公司内部和外部人员都是通过AP来上外网的.另外一格缺点是公司的交换机是不能配置的.

jianglook2

niniangdd 发表于 2013-9-23 11:21

                               
登录/注册后可看大图

可以，你给2个SSID两个网段， 给不同ACL 不就完了？

问题是两个SSID如何分配到两个网段?交换机不能做配置.

jianglook2

zhenxiyan2012 发表于 2013-9-23 11:17

                               
登录/注册后可看大图

首先问下你们公司内部用户采用何种方式上网？AP还是有线？其实这个问题解决思路在于内外网络隔离就可以了。 ...

无线控制器和策略服务器制定不同的访问认证权限就可以了反正方法很多...我在考虑这个,但不知道如何实现.

GFP618

你只有在无线控制器AC上做了，其实AC有点类似于三次交换，可以通过ACL设置的

jianglook2

GFP618 发表于 2013-9-23 16:45

                               
登录/注册后可看大图

你只有在无线控制器AC上做了，其实AC有点类似于三次交换，可以通过ACL设置的

你说的AC是指WLC吗?公司的AP都是直接配置不经控制器控制的.直接连接在交换机上

GFP618

那你干嘛不用控制器啊，那个可以批量配置AP，而且你直接接到交换机上，一个个配置的话不好啊

jianglook2

GFP618 发表于 2013-9-23 17:02

                               
登录/注册后可看大图

那你干嘛不用控制器啊，那个可以批量配置AP，而且你直接接到交换机上，一个个配置的话不好啊

不是我不想用.是公司没有这个设备.而且暂时我们只使用一个AP.直接管理也可以

GFP618

jianglook2 发表于 2013-9-23 17:50

                               
登录/注册后可看大图

不是我不想用.是公司没有这个设备.而且暂时我们只使用一个AP.直接管理也可以

好吧，公司太穷了

sashiki

居然什么都限制了，倒不如买个几十块的路由，给外面来的人用算了

binghuo123

相当给力啊