无线访问控制策略 的定义问题

主要是如果用 无线访问控制策略 来设置外网访问管控，只允许指定 服务 或 应用的问题：策略如下：



主要的疑问是，不知道无线访问控制策略究竟在AP二层已经生效，还是在出口才生效。

1、在 集中转发 模式下，同一SSID（同一VLAN）的终端之间通信，是否会被阻断？

2、在 本地转发 模式下，同一SSID（同一VLAN）的终端之间通信，是否会被阻断？

3、在 集中转发 模式下，为了正常上外网，是否还应该添加 允许 DHCP和DNS 服务的策略？需要单向添加还是双向添加？

4、在 本地转发 模式下，为了正常上外网，是否还应该添加 允许 DHCP和DNS 服务的策略？需要单向添加还是双向添加？

请查收邮件。

回复

您好！抱歉回复晚了些。
1、不知道无线访问控制策略究竟在AP二层已经生效，还是在出口才生效。
--无线的访问控制策略是在AP侧生效，不是在出口生效；
2、同一SSID（同一VLAN）的终端之间通信，是否会被阻断？
--无论集中转发还是本地转发，是否影响终端间通信，还是要看策略的规则。如果想实现终端隔离，也可在边缘安全（从应用中心进入）-流量安全-用户隔离 中实现终端隔离。（如找不到此菜单，可直接在控制器页面上方搜索栏直接搜索关键字"终端隔离"）。
3、为了正常上外网，是否还应该添加 允许 DHCP和DNS 服务的策略？需要单向添加还是双向添加？
--DHCP无需添加，因为角色匹配是在DHCP之后；如果是基于应用的访问控制策略，需要单独放通DNS流量。
此项不区分集中转发和本地转发，添加单向即可。

回复

sslgz 2022-4-13 23:50

回复

无线的访问控制策略是在AP侧生效，不是在出口生效  
对于这一条，我认为不大可能，毕竟AP哪有这么大的性能处理访问控制策略？这不是简单的ACL，而且还涉及到目标URL，AP本身还得解析DNS。