1

回复

您好：
1，集中转发：无线终端的业务数据到达AP后，会由AP封装数据，封装后的数据通过AP和控制器间的数据隧道被转发到控制器，控制器解封装后再由控制器转发到网关。
本地转发：无线终端的业务数据到达AP后，不会被AP进行封装，会直接到达自己的网关，再由网关对数据进行转发；如果控制器旁挂部署，且网关不在控制器上，那么无线终端的业务数据不会再经过无线控制器。

集中转发和本地转发，其实是数据流向的区分，控制器可以是出口路由，也可以不是。

2、交换机是否需要设置vlan，其实是看DHCP地址池由哪个设备开启。集中转发，获取地址的时候，广播包是由控制器去广播到和控制器相连的二层接口。若是地址池开在控制器，下接ap的交换机就不需要额外配置vlan。数据流程为：终端——》控制器——》终端，中间都是走隧道。

3、访问控制策略，一个匹配逻辑是:无线网络匹配角色，角色再匹配策略。
优先级是从上到下匹配。按照您的图片显示，第一天允许该软件，第2条可以拒绝ANY。DHCP和DNS可以按需添加在ANY之前.
具体的配置可以参考手册：http://bbs.sundray.com.cn/forum.php?mod=viewthread&tid=127&highlight=%E8%AE%BF%E9%97%AE

回复