如果为 WatchGuard AP 设备上的 SSID 启用 VLAN 标记,则还必须在 AP 设备所连接的网络上启用 VLAN。
有以下两个原因会促使您在 AP SSID 上启用 VLAN 标记:
为连接到同一网络的 SSID 配置不同的防火墙策略
如果为 AP 设备配置多个 SSID,并且想要为每个 SSID 设置不同的防火墙策略,则可以在 SSID 中启用 VLAN 标记,然后在特定于每个 SSID 的策略中使用与每个 SSID 关联的 VLAN ID。 例如,可以为每个 SSID 添加不同的 HTTP 数据包筛选器策略,以指定与该 SSID 相关的 VLAN。 这使您可以指定哪些用户能够连接到每个 SSID。
将同一物理网络上的流量分隔到不同的逻辑网络
如果您有多个 AP 设备连接到同一物理网络,VLAN 标记使您能够分别检查连接到每个 SSID 的无线客户端的流量。 例如,如果运行网络分析程序,可以使用 VLAN 标记查看与 SSID 相关联的 VLAN ID 的流量。
或者,可以设置所有 AP 设备为可信任网络使用一个 SSID,并为可选网络使用不同的 SSID。 您可以设置可信任 VLAN 和可选 VLAN 以分隔连接到可信任和可选网络的无线客户端的流量。
要在 AP 设备 SSID 中启用 VLAN 标记,必须在计划连接到 AP 设备的 XTM 设备接口上配置 VLAN。
对于计划连接 AP 设备的 XTM 设备接口,将接口类型设置为 VLAN。 然后,配置用于 AP 设备的 VLAN。
例如,如果要创建两个 SSID,可以创建三个 VLAN,并分别指定 VLAN ID 10、20 和 30。
有关如何创建 VLAN 的信息,请参阅定义新的 VLAN。
有关如何配置 VLAN 接口的详细信息,请参阅向 VLAN 分配 接口。
如果启用 VLAN 标记并想要将 AP 设备连接到托管交换机,还必须在该交换机上配置 VLAN。 该交换机必须支持 802.1Q VLAN 标记。
在该交换机上,必须:
有关在交换机上启用和配置 VLAN 的说明,请参阅交换机文档。
如果您在 AP 设备上的 SSID 中启用了 VLAN 标记,请勿将 AP 设备连接到不支持 802.1Q VLAN 标记的交换机。
如需 WatchGuard 已在 WatchGuard AP 设备上测试的交换机列表,请参阅 WatchGuard 知识库,网址为:http://customers.watchguard.com/。