- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-WLAN IP Snooping配置
本章节下载: 15-WLAN IP Snooping配置 (163.41 KB)
· 文中的AC指的是支持无线控制器功能的路由器。
· 仅MSR810/810-LM/810-10-PoE/810-LM-HK/2600-6-X1/2600-10-X1/2630/3600-28/3600-51/3610/3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC/3620/3620-DP/3640/3660/810-LM-WiNet/830-4LM-WiNet/830-5BEI-WiNet/830-6EI-WiNet/830-10BEI-WiNet/830-6BHI-WiNet/830-10BHI-WiNet/2600-10-X1-WiNet/2630-WiNet/3600-28-WiNet/3610-X1-WiNet/3610-WiNet/3620-10-WiNet/3620-DP-WiNet/3620-WiNet/3660-WiNet路由器支持无线控制器功能。
WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文、Portal认证中重定向到Portal Web服务器的HTTP请求报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证、MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。
当AP为Fit AP时,AP会同步WLAN IP Snooping绑定表项给AC。
AP可以通过以下三种方式学习客户端IPv4地址:
· ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见“三层技术-IP业务配置指导”中的“ARP”。
· DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见“三层技术-IP业务配置指导”中的“DHCP”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP请求报文进行监听,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见“安全配置指导”中的“Portal”。
根据不同类型报文学习到同一个客户端IPv4地址是,学习地址方式的优先级由高到低依次为DHCPv4方式、ARP方式和HTTP方式。
AP可以通过以下三种方式学习客户端IPv6地址:
· DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6”。
· ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP请求报文进行监听,并从中学习客户端IPv6地址。
根据不同类型报文学习到同一个客户端IPv6地址时,学习地址方式的优先级由高到低依次为DHCPv6方式、ND方式和HTTP方式。
表1-1 WLAN IP Snooping配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
关闭通过ARP方式学习客户端IPv4地址功能 |
可选 |
|
|
关闭通过DHCP方式学习客户端IPv4地址功能 |
可选 |
|
|
开启通过DHCPv6方式学习客户端IPv6地址功能 |
可选 |
|
|
开启通过ND方式学习客户端IPv6地址功能 |
可选 |
|
|
关闭通过SNMP获取通过ND方式学习到的客户端IPv6地址功能 |
可选 |
|
|
开启通过HTTP方式学习客户端IP地址功能 |
可选 |
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。
表1-2 关闭通过ARP方式学习客户端IPv4地址功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
关闭通过ARP方式学习客户端IPv4地址功能 |
undo client ipv4-snooping arp-learning enable |
缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态 |
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过ARP方式学习到客户端的IPv4地址,则需要关闭通过DHCP方式学习客户端IPv4地址功能。
表1-3 关闭通过DHCP方式学习客户端IPv4地址功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
关闭通过DHCP方式学习客户端IPv4地址功能 |
undo client ipv4-snooping dhcp-learning enable |
缺省情况下,通过DHCP方式学习客户端IPv4地址功能处于开启状态 |
缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过DHCPv6方式学习到客户端的IPv6地址,则需要开启通过DHCPv6方式学习客户端IPv6地址功能。
表1-4 开启通过DHCPv6方式学习客户端IPv6地址功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
开启通过DHCPv6方式学习客户端IPv6地址功能 |
client ipv6-snooping dhcpv6-learning enable |
缺省情况下,通过DHCPv6方式学习客户端IPv6地址功能处于关闭状态 |
缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过ND方式学习客户端的IPv6地址,则需要开启通过ND方式学习客户端IPv6地址功能。
表1-5 开启通过ND方式学习客户端IPv6地址功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
开启通过ND方式学习客户端IPv6地址功能 |
client ipv6-snooping nd-learning enable |
缺省情况下,通过ND方式学习客户端IPv6地址功能处于关闭状态 |
缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
表1-6 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能 |
undo client ipv6-snooping snmp-nd-report enable |
缺省情况下,SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态 |
客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。通过配置本功能,AP会对重定向到服务器的HTTP请求报文进行鉴定,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见“安全配置指导”中的“Portal”。
通过HTTP请求报文学习客户端IP地址仅对通过Portal认证上线的客户端生效。
表1-7 开启通过HTTP方式学习客户端IP地址功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
|
开启通过HTTP方式学习客户端IP地址功能 |
client ip-snooping http-learning enable |
缺省情况下,通过HTTP方式学习客户端IP地址功能处于关闭状态 |
AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。希望AP仅能够通过DHCPv6方式学习客户端IPv6地址。
图1-1 WLAN IP Snooping组网示意图
# 创建AP,使AC和AP之间建立连接,AP绑定同一个无线服务模板service。
配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。
# 开启通过DHCPv6ND方式学习客户端IPv6地址功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] client ipv6-snooping dhcpv6-learning enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
