为什么使用二层隔离？

同一VLAN内，来自无线客户端的广播、组播报文会向所有放通该VLAN的AP上广播，而且在空间介质中广播报文通常使用最低速率进行发送。当广播报文比较多时，会占用较多的空口资源，在一定程度上影响到整个网络应用。
无线用户VLAN内二层隔离可以在AC上控制无线用户只能访问网关设备，而不能互相之间访问。这样可以大量减少整个WLAN网络的广播流量，提高WLAN网络的整体性能。

AC命令行下进行全局隔离

#只放通目标MAC（通常为网关）
system-view
user-isolation vlan 10 enable
user-isolation vlan 10 permit-mac xxxx-xxxx-xxxx xxxx-xxxx-xxxx
undo user-isolation permit-broadcast

对于VRRP，放通虚实MAC；本地转发，配置下发到AP上；超瘦模式，下发到本体设备；建议AC与对端三层交换机trunk口只放通必要的VLAN，禁止配置permit vlan all。

二层放通的需求

AC上开启ARP快达功能
此功能只允许用户单播发现应用层服务，如HTTP、FTP等，需要通过广播/组播相互发现的应用，如局域网游戏等就无法满足。

vlan 10
arp fast-reply enable
user-isolation vlan 10 enable permit-unicast

原理：使能VLAN用户隔离时带上参数permit-unicast后，用户间的单播报文将不再收到限制。通过arp fast-reply，由AC帮助用户互相学习MAC地址。

验证

可以在配置之前在wireshark上配置如下过滤来抓取广播和组播报文，配置之后再次抓取，可以对比看到即使能抓取到报文，也只是本机。

wireshark抓取广播和组播报文
eth.dst.ig == 1 and ip