WLAN灵活运用ACL切换流量案例

　　一、客户需求

　　某学校目前有学生宿舍和教学办公区两个WIFI上网区域，两区域目前共用一个网络出口，上网速度经常较慢，要求进行网络优化，分区分时对用户进行控制，提升上网速度。

　　具体需求是：白天办公区可以上网，宿舍区不可以;晚上宿舍区可以上网，办公区除领导办公室外不可以上网。但任何时候不可影响两个区域对内部服务器的访问业务。

　　二、现网运行情况

　　1.两个区域的AP采用二层网络注册方式进行注册。

　　2.宿舍区与办公区无线终端用户采用的是同一网段进行上网。

　　3. DHCP、网关都设置在核心交换机S7500E上。

　　4.服务器都在办公区里面直接挂在核心交换机S7500E下。

　　三、拓扑图

　　三、网络优化分析

　　总体思路是通过ACL包过滤技术结合time-range时间段进行分区、分时控制，要求如下：

　　1.需要宿舍区、办公区、办公区领导无线用户采用三个不同网段的ip进行上网，DHCP、网关同样设置在核心交换机S7500E上

　　2.由于增加了网段需要在路由器上添加新加网段的回程路由，并在AC控制器上增加另外两个网段用户的服务模板等配置。

　　3.将设置好的ACL结合time-range技术应用在核心交换机出口outbound方向上，这样应用不会影响两个区域内部服务器访问业务，只是对访问Internet进行控制。

　　五、简要配置

　　核心交换机上应用包过滤技术配置：

　　#

　　time-range bangong 07:00 to 20:00 daily

　　#

　　acl number 3000

　　rule 0 permit ip source x.x.x.x 0.0.255.255 time-range bangong 办公用户段

　　rule 5 deny ip source x.x.x.x 0.0.255.255 time-range bangong 宿舍用户白天禁止上网

　　rule 10 permit ip source x.x.x.x 0.0.255.255 宿舍用户其他时间允许上网

　　rule 15 permit ip source x.x.x.x 0.0.0.255 办公领导用户随时上网

　　rule 20 deny ip

　　#

　　interface GigabitEthernet1/0/1

　　packet-filter 3000 outbound

　　这样，办公段用户在办公时间匹配ACL的rule0能够正常上网，其他时间则匹配ACL的rule20禁止上网;宿舍用户在办公时间匹配ACL的rule5禁止上网，其他时间允许上网;办公领导匹配ACL的rule15不限制随时上网。

　　另外，把ACL应用在核心交换的出口上不会影响两区域内部访问服务器业务需求。

　　六、小结

　　面对这种分区域、分时间、特殊人员上网的复杂控制需求，只要掌握与其相关的WLAN、ACL等技术就可以把需求成功实现。

2016年01月