国家 / 地区

02-WLAN配置

19-WLAN IP Snooping配置

本章节下载  (142.39 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WiNet_WX/WX2500H-WiNet/Configure/Operation_Manual/H3C_WiNet_CG(R5223)-5W100/02/201807/1094451_30005_0.htm

19-WLAN IP Snooping配置


1 WLAN IP Snooping

1.1  WLAN IP Snooping简介

WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文、Portal认证中重定向到Portal Web服务器的HTTP请求报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端的MAC地址记录为WLAN IP Snooping绑定表项。

1.1.1  学习客户端IPv4地址

AP通过以下三种方式学习客户端IPv4地址:

·     DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见“三层技术-IP业务配置指导”中的“DHCP”。

·     ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见“三层技术-IP业务配置指导”中的“ARP”。

·     HTTP方式:客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP请求报文进行监听,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见“安全配置指导”中的“Portal”。

根据不同的报文学习到了同一个IPv4地址,则学习地址方式的优先级由低到高依次为HTTP方式、ARP方式和DHCPv4方式。

1.1.2  学习客户端IPv6地址

AP通过以下三种方式学习客户端IPv6地址:

·     DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6”。

·     ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

·     HTTP方式:客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP请求报文进行监听,并从中学习客户端IPv6地址。

根据不同的报文学习到了同一个IPv6地址,则学习地址方式的优先级由低到高依次为HTTP方式、ND方式和DHCPv6方式。

1.2  关闭通过ARP方式学习客户端IPv4地址功能

1. 功能简介

缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。

2. 配置步骤

表1-1 关闭通过ARP方式学习客户端IPv4地址功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

关闭通过ARP方式学习客户端IPv4地址功能

undo client ipv4-snooping arp-learning enable

缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态

 

1.3  关闭通过ND方式学习客户端IPv6地址功能

表1-2 关闭通过ND方式学习客户端IPv6地址功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

关闭通过ND方式学习客户端IPv6地址功能

undo client ipv6-snooping nd-learning enable

缺省情况下,通过ND方式学习客户端IPv6地址功能处于开启状态

 

1.4  关闭SNMP获取客户端通过ND方式学习到的IPv6地址功能

缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。

表1-3 关闭SNMP获取客户端通过ND方式学习到的IPv6地址功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

关闭SNMP获取客户端通过ND方式学习到的IPv6地址功能

undo client ipv6-snooping snmp-nd-report enable

缺省情况下,SNMP获取客户端通过ND方式学习的IPv6地址功能处于开启状态

 

1.5  开启通过HTTP报文学习客户端地址功能

说明

通过HTTP请求报文学习客户端IP地址仅对通过Portal认证上线的客户端生效。

 

表1-4 开启通过HTTP报文学习客户端地址功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

开启通过HTTP报文学习客户端地址功能

client ip-snooping http-learning enable

缺省情况下,通过HTTP报文学习客户端地址功能处于关闭状态

 

1.6  WLAN IP Snooping典型配置举例

1.6.1  WLAN IP Snooping基本组网配置举例

1. 组网需求

AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。通过关闭ND方式学习客户端IPv6地址功能,使得设备仅能够通过DHCPv6方式学习客户端IPv6地址。

图1-1 WLAN IP Snooping组网示意图

 

2. 配置步骤

# 创建AP,使AC和AP之间建立连接,AP绑定同一个无线服务模板service。

配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。

# 关闭通过ND方式学习客户端IPv6地址功能。

<AC> system-view

[AC] wlan service-template service

[AC-wlan-st-service] undo client ipv6-snooping nd-learning enable

3. 验证结果

设备仅能够通过DHCPv6方式学习到客户端IPv6地址。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!