- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-WLAN IP Snooping命令
本章節下載: 02-WLAN IP Snooping命令 (189.49 KB)
目 錄
1.1.1 client ip-snooping http-learning enable
1.1.2 client ipv4-snooping arp-learning enable
1.1.3 client ipv4-snooping dhcp-learning enable
1.1.4 client ipv4-snooping dhcp-learning timeout
1.1.5 client ipv6-snooping dhcpv6-learning enable
1.1.6 client ipv6-snooping nd-learning enable
1.1.7 client ipv6-snooping snmp-nd-report enable
1.1.8 display wlan statistics client-ip-conflict
1.1.9 wlan client ip-conflict-detection enable
client ip-snooping http-learning enable命令用來開啟通過HTTP方式學習客戶端IP地址功能。
undo client ip-snooping http-learning enable命令用來關閉通過HTTP方式學習客戶端IP地址功能。
【命令】
client ip-snooping http-learning enable
undo client ip-snooping http-learning enable
【缺省情況】
通過HTTP方式學習客戶端IP地址功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
該功能隻對采用Portal認證方式上線的無線客戶端生效。該類客戶端在通過Portal認證前發送的所有HTTP/HTTPS請求都被重定向到Portal Web服務器。AC開啟通過HTTP/HTTPS報文學習客戶端地址功能後:
· 當客戶端數據報文轉發位置在AC上時,AC會對重定向到服務器的HTTP/HTTPS請求報文進行監聽,並從中學習客戶端IPv4/IPv6地址。
· 當客戶端數據報文轉發位置在AP上時,AP監聽到重定向到服務器的HTTP/HTTPS請求報文後,會並從中學習客戶端IPv4/IPv6地址並將監聽到的請求報文上報給AC。關於Portal認證的相關介紹請參見“用戶接入與認證配置指導”中的“Portal”。
通過ARP、DHCPv4、DHCPv6和ND方式學習到客戶端地址的優先級高於通過HTTP方式學習到的客戶端IP地址。
該命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 開啟通過HTTP方式學習客戶端地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ip-snooping http-learning enable
client ipv4-snooping arp-learning enable命令用來開啟通過ARP方式學習客戶端IPv4地址功能。
undo client ipv4-snooping arp-learning enable命令用來關閉通過ARP方式學習客戶端IPv4地址功能。
【命令】
client ipv4-snooping arp-learning enable
undo client ipv4-snooping arp-learning enable
【缺省情況】
通過ARP方式學習客戶端IPv4地址功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
AP通過ARP方式學習到客戶端IPv4地址後,會將學習到的客戶端IPv4地址和客戶端MAC地址記錄為WLAN IP Snooping綁定表項,並同步綁定表項給AC。
該綁定表項主要用於802.1X認證及MAC地址認證用戶計費和IP Source Guard功能。關於IP Source Guard的相關介紹請參見“安全配置指導”中的“IP Source Guard”。
【舉例】
# 關閉通過ARP方式學習客戶端IPv4地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv4-snooping arp-learning enable
client ipv4-snooping dhcp-learning enable命令用來開啟通過DHCP方式學習客戶端IPv4地址功能。
undo client ipv4-snooping dhcp-learning enable命令用來關閉通過DHCP方式學習客戶端IPv4地址功能。
【命令】
client ipv4-snooping dhcp-learning enable
undo client ipv4-snooping dhcp-learning enable
【缺省情況】
通過DHCP方式學習客戶端IPv4地址功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
AP通過DHCPv4方式學習到客戶端IPv4地址後,會將學習到的客戶端IPv4地址和客戶端MAC地址記錄為WLAN IP Snooping綁定表項,並同步綁定表項給AC。
該綁定表項主要用於802.1X認證及MAC地址認證用戶計費和IP Source Guard功能。關於IP Source Guard的相關介紹請參見“安全配置指導”中的“IP Source Guard”。
【舉例】
# 關閉通過DHCP方式學習客戶端IPv4地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv4-snooping dhcp-learning enable
client ipv4-snooping dhcp-learning timeout命令用來配置通過DHCP方式學習客戶端IPv4地址的超時時間。
undo client ipv4-snooping dhcp-learning timeout命令用來恢複缺省情況。
【命令】
client ipv4-snooping dhcp-learning timeout time
undo client ipv4-snooping dhcp-learning timeout
【缺省情況】
通過DHCP方式學習客戶端IPv4地址的超時時間為0,即當未通過DHCP方式學習到客戶端IPv4地址時,也不強製客戶端下線。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:通過DHCP方式學習客戶端IPv4地址的超時時間,取值範圍為1~600,單位為秒。
【使用指導】
配置本命令後,如果在超時時間內沒有通過DHCP方式學習到客戶端IPv4地址,則強製該客戶端下線。
無線服務模板開啟後,再配置本特性,則本命令僅對新上線的客戶端生效。
本命令僅對關聯位置在AC上的客戶端生效。
【舉例】
# 配置通過DHCP方式學習客戶端IPv4地址的超時時間為180秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client ipv4-snooping dhcp-learning timeout 180
client ipv6-snooping dhcpv6-learning enable命令用來開啟通過DHCPv6方式學習客戶端IPv6地址功能。
undo client ipv6-snooping dhcpv6-learning enable命令用來關閉通過DHCPv6方式學習客戶端IPv6地址功能。
【命令】
client ipv6-snooping dhcpv6-learning enable
undo client ipv6-snooping dhcpv6-learning enable
【缺省情況】
通過DHCPv6方式學習客戶端IPv6地址功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
AP通過DHCPv6方式學習到客戶端IPv6地址後,會將學習到的客戶端IPv6地址和客戶端MAC地址記錄為WLAN IP Snooping綁定表項,並同步綁定表項給AC。
該綁定表項主要用於802.1X認證及MAC地址認證用戶計費和IP Source Guard功能。關於IP Source Guard的相關介紹請參見“安全配置指導”中的“IP Source Guard”。
【舉例】
# 開啟通過DHCPv6方式學習客戶端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ipv6-snooping dhcpv6-learning enable
client ipv6-snooping nd-learning enable命令用來開啟通過ND方式學習客戶端IPv6地址功能。
undo client ipv6-snooping nd-learning enable命令用來關閉通過ND方式學習客戶端IPv6地址功能。
【命令】
client ipv6-snooping nd-learning enable
undo client ipv6-snooping nd-learning enable
【缺省情況】
通過ND方式學習客戶端IPv6地址功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
AP通過ND方式學習到客戶端IPv6地址後,會將學習到的客戶端IPv6地址和客戶端MAC地址記錄為WLAN IP Snooping綁定表項,並同步綁定表項給AC。
該綁定表項主要用於802.1X認證及MAC地址認證用戶計費和IP Source Guard功能。關於IP Source Guard的相關介紹請參見“安全配置指導”中的“IP Source Guard”。
【舉例】
# 關閉通過ND方式學習客戶端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv6-snooping nd-learning enable
client ipv6-snooping snmp-nd-report enable命令用來開啟SNMP獲取通過ND方式學習到的客戶端IPv6地址功能。
undo client ipv6-snooping snmp-nd-report enable命令用來關閉SNMP獲取通過ND方式學習到的客戶端IPv6地址功能。
【命令】
client ipv6-snooping snmp-nd-report enable
undo client ipv6-snooping snmp-nd-report enable
【缺省情況】
SNMP獲取通過ND方式學習到的客戶端IPv6地址功能處於開啟狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
該功能隻能在無線服務模板處於關閉狀態時配置。
缺省情況下,SNMP同時從設備獲取ND和DHCPv6方式學習到的客戶端IPv6地址。若用戶希望SNMP僅從設備獲取DHCPv6方式學習到的客戶端IPv6地址,則需要關閉SNMP獲取通過ND方式學習到的客戶端IPv6地址功能。
【舉例】
# 關閉SNMP獲取通過ND報文學習到的客戶端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv6-snooping snmp-nd-report enable
display wlan statistics client-ip-conflict命令用來顯示IP地址衝突的新舊客戶端的統計信息。
【命令】
display wlan statistics client-ip-conflict
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示IP地址衝突的新舊客戶端的統計信息。
<Sysname> display wlan statistics client-ip-conflict
IP New-MAC/APID Old-MAC/APID Time
192.168.1.1 a4c1-5b79-fa5b/1 1111-e121-ff00/2 03-22 10:00:00
ff03::101 22d3-c5b7-a4b5/2 000d-88f8-0577/1 03-22 10:01:00
表1-1 display wlan statisticsclient-ip-conflict命令顯示信息描述表
|
字段 |
描述 |
|
IP |
客戶端獲取到的衝突IP地址 |
|
New-MAC/APID |
新客戶端的MAC地址和上線AP的APID |
|
Old-MAC/APID |
舊客戶端的MAC地址和在線AP的APID |
|
Time |
客戶端獲取到衝突IP地址,請求添加IPCIM的時間 |
wlan client ip-conflict-detection enable命令用來開啟IP地址衝突檢測功能。
undo wlan client ip-conflict-detection enable命令用來關閉IP地址衝突檢測功能。
【命令】
wlan client ip-conflict-detection enable
undo wlan client ip-conflict-detection enable
【缺省情況】
IP地址衝突檢測功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟IP地址衝突檢測功能後,當新的無線客戶端上線時,如果設備檢測到與已上線無線客戶端IP地址衝突,就會強製已上線無線客戶端下線,同時生成IP地址衝突表項用於記錄該衝突。
在分層AC組網中,當不對用戶進行Portal認證、對802.1X認證或MAC地址認證用戶沒有計費需求時,通過在Central AC上關閉IP地址衝突檢測功能,可以允許不同Local AC間的無線客戶端使用相同IP地址上線,從而達到降低DHCP服務器部署複雜度的目的。
當無線客戶端Cache老化時間超時或客戶端IP地址發生變化時,已生成的IP地址衝突表項才會被刪除。
【舉例】
# 關閉IP地址衝突檢測功能。
<Sysname> system
[Sysname] undo wlan client ip-conflict enable
【相關命令】
· client cache aging-time(WLAN接入命令參考/WLAN接入)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
