Tổng quan - Cách ly Client là một tính năng bảo mật, nó ngăn chặn các Client giao tiếp với nhau. Tính năng này rất hữu ích cho người dùng vãng lai và BYOD SSIDs nâng cấp độ bảo mật để giới hạn các tấn công và đánh cắp giữa các Cách ly Client khi AP Meraki ở dạng Bridge - Cách ly Client có thể dùng cho SSID cấu hình ở Bridge tuy nhiên mặc định sẽ tắt. Khi SSID được cấu hình cho Bridge mode, các Client được đi qua AP có khả năng đến VLAN chỉ đinh. Trên kết nối đến AP, những Client sẽ được cho phép để gửi DHCP request trên VLAN nó được chỉ định.. Sau khi xin IP từ DHCP hoàn thành, địa chỉ MAC của Default Gateway được theo dõi những Client cụ thể. Địa chỉ MAC của Default Gateway sau đó được cấp phép trong Layer 2 của Firewall để giới hạn tất cả traffic khác đến từ Client từ kết nối không dây. ! Tính năng này được tích hợp trong MR25.8 hoặc những phiên bản Firmware mới hơn. ! Khi tính năng cách ly Client được bật, các client sẽ chỉ có thể giao tiếp với Default Gateway và sẽ không giao tiếp với các thiết bị khác trong cùng VLAN ( hoặc broadcast domain). Trong trường hợp muốn Client giao tiếp với thiết bị khác, Gateway phải cho phép giao tiếp(VD: inter-VLAN routing và ACLs). Cấu hình - Khi SSID được cấu hình cho chế độ Bridge, tùy chọn cấu hình này sẽ hiển thị trên trang “Firewall và Traffic Shaping” cho SSID. Tùy chọn cấu hình này sẽ tắt ở mặc định nhưng có thở mở lại trên mỗi SSID. - Cách ly Client không tương tác với mạng IPv6 Thử nghiệm trên - MR 25.11 và mới hơn - Trong MR 25.11 và mới hơn, HSRP được hỗ trợ. Với HSRP, traffic đi ra sử dụng địa chỉ MAC ảo cho Default Gateway, nhưng HSRP sử dụng BIA vật lý cho MAC nguồn trên traffic đi vào lại qua cổng Gateway. Cùng với chức năng mới này, AP sẽ cho phép traffic đi vào từ thiết bị đi lên Gateway, bất kể “source MAC”. Điều này cho phép cách ly Client đến hoạt động cùng với HSRP. Trong trường hợp, traffic đi vào từ các Client khác (không phải traffic trả lại), lưu lượng truy cập sẽ được cho phép thông qua MR. Lưu lượng trả về từ Client sẽ được lọc ( khi traffic không dành cho gateway). - Hình vẽ bên dưới, nguồn lưu lượng Broadcast hoặc Unicast từ kết nối không dây sẽ không được gửi đến những kết nối không dây khác trong SSID. - Ở hình vẽ bên dưới, nguồn traffic Broadcast hoặc Unicast từ Client nối dây trong cùng VLAN với Client sẽ cho phép đi đến Client thông qua AP, nhưng traffic trả về từ Client sẽ bị khóa. ! Chế độ Bridge cấu hình cách ly Client không hỗ trợ trên Repeater Mesh. Thử nghiệm trên – Phiên bản trước MR 25.11 - Hình dưới cho thấy traffic DHCP được cho phép thêm vào traffic Unicast và Broadcast đi cùng với lưu lượng mạng đi đến Gateway mà Client thu được thông qua quá trình DHCP ! Cả DNS và DHCP đều được cho phép đi qua MR - Bước hình dưới đây cho thấy nguồn Traffic Broadcast và Unicast từ Client kết nối không dây sẽ không được gửi đến những Client kết nối không dây khác trong cùng SSID. - Ở bức ảnh này, nguồn Traffic Broadcast hoặc Unicast từ thiết bị được nối dây đến cùng VLAN sẽ bị block bởi AP. ! Chế độ Bridge cấu hình cách ly Client không hỗ trợ trên Repeater Mesh Chế độ NAT - Những SSID được cấu hình cho dạng NAT cùng có cách ly Client cơ bản. Cách ly Client được mở măc định khi SSID được cấu hình cho chế độ NAT và không thể tắt đi. - Ý nghĩa việc kích hoạt chế độ NAT như sau: o Thiết bị bên ngoài của không dây không thể khởi tạo kết nối đến Client không dây. o Các Client không dây không thể sử dụng giao thức tìm kiếm Layer 2 để tìm kiếm các thiết bị khác trên mạng có dây hoặc không dây.
