- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-WLAN IP Snooping配置
本章節下載: 03-WLAN IP Snooping配置 (260.13 KB)
目 錄
1.6 關閉SNMP獲取通過ND方式學習到的客戶端IPv6地址功能
1.11.1 WLAN IP Snooping基本組網配置舉例
1.12.1 WLAN IP Snooping基本組網配置舉例
WLAN IP Snooping功能是指AP對收到的客戶端發送的ARP報文、DHCPv4報文、DHCPv6報文、ND(Neighbor Discovery,IPv6鄰居發現)報文、Portal認證中重定向到Portal Web服務器的HTTP請求報文進行監聽,從中學習客戶端IP地址,並將學習到的客戶端IP地址和客戶端MAC地址記錄為WLAN IP Snooping綁定表項。該綁定表項主要用於802.1X認證、MAC地址認證用戶計費和IP Source Guard功能。關於IP Source Guard的相關介紹請參見“安全配置指導”中的“IP Source Guard”。
當AP為Fit AP時,AP會同步WLAN IP Snooping綁定表項給AC。
AP可以通過以下三種方式學習客戶端IPv4地址:
· ARP方式:AP通過監聽網絡中客戶端發送的ARP報文,從報文中獲取客戶端的IPv4地址,並與客戶端的MAC地址形成綁定表項。關於ARP報文的相關介紹請參見“三層技術-IP業務配置指導”中的“ARP”。
· DHCPv4方式:AP通過監聽客戶端與DHCPv4服務器間交互的DHCPv4報文,從報文中獲取到DHCPv4服務器為客戶端分配的IPv4地址,並與客戶端的MAC地址形成綁定表項。關於DHCPv4的相關介紹請參見“三層技術-IP業務配置指導”中的“DHCP”。
· HTTP方式:客戶端在通過Portal認證前發送的所有HTTP/HTTPS請求都被重定向到Portal Web服務器。AC開啟本功能後,AP會對重定向到服務器的HTTP/HTTPS請求報文進行監聽,並從中學習客戶端IPv4地址。關於Portal認證的相關介紹請參見“安全配置指導”中的“Portal”。
根據不同類型報文學習到同一個客戶端IPv4地址是,學習地址方式的優先級由高到低依次為DHCPv4方式、ARP方式和HTTP方式。
AP可以通過以下三種方式學習客戶端IPv6地址:
· DHCPv6方式:AP通過監聽客戶端與DHCPv6服務器間交互的DHCPv6報文,從報文中獲取到DHCPv6服務器為客戶端分配的IPv6地址,並與客戶端的MAC地址形成綁定表項。關於DHCPv6的相關介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6”。
· ND方式:AP通過監聽網絡中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,鄰居請求消息)、NA(Neighbor Advertisement,鄰居通告消息)報文,從報文中獲取客戶端的IPv6地址,並與客戶端的MAC地址形成綁定表項。關於ND報文的相關介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
· HTTP方式:客戶端在通過Portal認證前發送的所有HTTP/HTTPS請求都被重定向到Portal Web服務器。AC開啟本功能後,AP會對重定向到服務器的HTTP/HTTPS請求報文進行監聽,並從中學習客戶端IPv6地址。
根據不同類型報文學習到同一個客戶端IPv6地址時,學習地址方式的優先級由高到低依次為DHCPv6方式、ND方式和HTTP方式。
缺省情況下,AP同時通過ARP和DHCP兩種方式學習客戶端的IPv4地址。若希望設備僅通過DHCP方式學習到客戶端的IPv4地址,則需要關閉通過ARP方式學習客戶端IPv4地址功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 關閉通過ARP方式學習客戶端IPv4地址功能。
undo client ipv4-snooping arp-learning enable
缺省情況下,通過ARP方式學習客戶端IPv4地址功能處於開啟狀態。
缺省情況下,AP同時通過ARP和DHCP兩種方式學習客戶端的IPv4地址。若希望設備僅通過ARP方式學習到客戶端的IPv4地址,則需要關閉通過DHCP方式學習客戶端IPv4地址功能。
強製未通過DHCP方式學習到IPv4地址的客戶端下線功能僅對關聯位置在AC上的新上線客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 關閉通過DHCP方式學習客戶端IPv4地址功能。
undo client ipv4-snooping dhcp-learning enable
缺省情況下,通過DHCP方式學習客戶端IPv4地址功能處於開啟狀態。
(4) (可選)開啟強製未通過DHCP方式學習到IPv4地址的客戶端下線功能。
client ipv4-snooping dhcp-learning timeout value
缺省情況下,強製未通過DHCP方式學習到IPv4地址的客戶端下線功能處於關閉狀態。
缺省情況下,AP不學習客戶端的IPv6地址。若希望設備通過DHCPv6方式學習到客戶端的IPv6地址,則需要開啟通過DHCPv6方式學習客戶端IPv6地址功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟通過DHCPv6方式學習客戶端IPv6地址功能。
client ipv6-snooping dhcpv6-learning enable
缺省情況下,通過DHCPv6方式學習客戶端IPv6地址功能處於關閉狀態。
缺省情況下,AP不學習客戶端的IPv6地址。若希望設備通過ND方式學習客戶端的IPv6地址,則需要開啟通過ND方式學習客戶端IPv6地址功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟通過ND方式學習客戶端IPv6地址功能。
client ipv6-snooping nd-learning enable
缺省情況下,通過ND方式學習客戶端IPv6地址功能處於關閉狀態。
缺省情況下,SNMP同時從設備獲取ND和DHCPv6方式學習到的客戶端IPv6地址。若希望SNMP僅從設備獲取DHCPv6方式學習到的客戶端IPv6地址,則需要關閉SNMP獲取通過ND方式學習到的客戶端IPv6地址功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 關閉SNMP獲取通過ND方式學習到的客戶端IPv6地址功能。
undo client ipv6-snooping snmp-nd-report enable
缺省情況下,SNMP獲取通過ND方式學習到的客戶端IPv6地址功能處於開啟狀態。
客戶端在通過Portal認證前發送的所有HTTP/HTTPS請求都被重定向到Portal Web服務器。開啟本功能後:
· 當客戶端數據報文轉發位置在AC上時,AC會對重定向到服務器的HTTP/HTTPS請求報文進行監聽,並從中學習客戶端IPv4/IPv6地址。
· 當客戶端數據報文轉發位置在AP上時,AP監聽到重定向到服務器的HTTP/HTTPS請求報文後,會從中學習客戶端IPv4/IPv6地址並將監聽到的請求報文上報給AC。關於Portal認證的相關介紹請參見“安全配置指導”中的“Portal”。
通過HTTP方式學習客戶端IP地址僅對通過Portal認證上線的客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟通過HTTP方式學習客戶端IP地址功能。
client ip-snooping http-learning enable
缺省情況下,通過HTTP方式學習客戶端IP地址功能處於關閉狀態。
開啟IP地址衝突檢測功能後,當新的無線客戶端上線時,如果設備檢測到與已上線無線客戶端IP地址衝突,就會強製已上線無線客戶端下線,同時生成IP地址衝突表項用於記錄該衝突。
在分層AC組網中,當不對用戶進行Portal認證、對802.1X認證或MAC地址認證用戶沒有計費需求時,通過在Central AC上關閉IP地址衝突檢測功能,可以允許不同Local AC間的無線客戶端使用相同IP地址上線,從而達到降低DHCP服務器部署複雜度的目的。
當無線客戶端Cache老化時間超時或客戶端IP地址發生變化時,已生成的IP地址衝突表項才會被刪除。
(1) 進入係統視圖。
system-view
(2) 開啟IP地址衝突檢測功能。
wlan client ip-conflict-detection enable
缺省情況下,IP地址衝突檢測功能處於開啟狀態。
無線客戶端在漫遊前已經獲取過IP地址,在漫遊接入新AP時,個別客戶端可能無法再次通過DHCP/DHCPv6/ND獲取IP地址。若此時IP Source Guard功能處於開啟狀態,則該客戶端的數據報文會被AP丟棄。管理員可通過部署WLAN漫遊中心來解決此問題。
在WLAN漫遊中心組網中,開啟IP地址恢複功能後,當客戶端漫遊離開原AP時,AC會將客戶端的IP地址和MAC地址等信息上報給WLAN漫遊中心,客戶端漫遊接入新AP時:
· 如果在配置的IP地址恢複時間內未通過DHCP/DHCPv6/ND獲取到新IP地址,則AC會向WLAN漫遊中心查詢並獲取用戶漫遊之前的IP地址並分配給客戶端,臨時恢複客戶端的IP地址,使得客戶端使用該IP地址漫遊接入新的網絡。如果此後通過DHCP/DHCPv6/ND獲取到IP地址,則會更新獲取到的IP地址。
· 如果客戶端在配置的IP地址恢複時間內通過DHCP/DHCPv6/ND獲取到新IP地址,則會以新IP地址漫遊接入新的網絡。
本命令僅對關聯位置在AC上的客戶端生效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟IP地址恢複功能。
client ip-snooping ip-recover enable [ delay time ]
缺省情況下,IP地址恢複功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令,可以顯示配置後WLAN IP Snooping功能的運行情況,通過查看顯示信息,來驗證配置的效果。
|
操作 |
命令 |
|
顯示IP地址衝突的新舊客戶端的統計信息 |
display wlan statistics client-ip-conflict |
AC和AP通過交換機建立連接。AC的IP地址為10.18.1.1。希望AP僅能夠通過DHCPv6方式學習客戶端IPv6地址。
圖1-1 WLAN IP Snooping組網示意圖
# 創建AP,使AC和AP之間建立連接,AP綁定同一個無線服務模板service。(詳細介紹請參見“WLAN配置指導”中的“AP管理”和“WLAN接入”)(略)
# 開啟通過DHCPv6 ND方式學習客戶端IPv6地址功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] client ipv6-snooping dhcpv6-learning enable
[AC-wlan-st-service] quit
配置完成後,在AC上執行display wlan client ipv6命令,可以看到AP已經學習到客戶端的IPv6地址。
[AC] display wlan client ipv6
MAC address AP name IPv6 address VLAN
84db-ac14-dd08 ap1 1::2:0:0:3 1
通過關閉ND方式學習客戶端IPv6地址功能,希望AP僅能夠通過DHCPv6方式學習客戶端IPv6地址。
圖1-2 WLAN IP Snooping組網示意圖
# 配置AP,並將AP綁定到無線服務模板service上。(詳細介紹請參見“WLAN配置指導”中的 “WLAN接入”)(略)
# 關閉通過ND方式學習客戶端IPv6地址功能。
<AP> system-view
[AP] wlan service-template service
[AP-wlan-st-service] undo client ipv6-snooping nd-learning enable
# 開啟通過DHCPv6方式學習客戶端IPv6地址功能。
[AP-wlan-st-service] client ipv6-snooping dhcpv6-learning enable
[AP-wlan-st-service] quit
配置完成後,在FAT AP上執行display wlan client ipv6命令,可以看到已經學習到客戶端的IPv6地址。
[AP] display wlan client ipv6
MAC address AP name IPv6 address VLAN
84db-ac14-dd08 fatap 1::2:0:0:3 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
