- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-WLAN IP Snooping配置
本章节下载: 02-WLAN IP Snooping配置 (140.10 KB)
WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证和MAC地址认证用户计费。
AP可以通过以下三种方式学习客户端IPv4地址:
· ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见“网络互通配置指导”中的“ARP”。
· DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见“网络互通配置指导”中的“DHCP”。
根据不同类型报文学习到同一个客户端IPv4地址是,学习地址方式的优先级由高到低依次为DHCPv4方式和ARP方式。
AP可以通过以下三种方式学习客户端IPv6地址:
· DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见“网络互通配置指导”中的“DHCPv6”。
· ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见“网络互通配置指导”中的“IPv6基础”。
根据不同类型报文学习到同一个客户端IPv6地址时,学习地址方式的优先级由高到低依次为DHCPv6方式和ND方式。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 关闭通过ARP方式学习客户端IPv4地址功能。
undo client ipv4-snooping arp-learning enable
缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过ARP方式学习到客户端的IPv4地址,则需要关闭通过DHCP方式学习客户端IPv4地址功能。
强制未通过DHCP方式学习到IPv4地址的客户端下线功能仅对关联位置在AC上的新上线客户端生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过DHCP方式学习客户端IPv4地址功能。
client ipv4-snooping dhcp-learning enable
缺省情况下,通过DHCP方式学习客户端IPv4地址功能处于开启状态。
(4) (可选)开启强制未通过DHCP方式学习到IPv4地址的客户端下线功能。
client ipv4-snooping dhcp-learning timeout value
缺省情况下,强制未通过DHCP方式学习到IPv4地址的客户端下线功能处于关闭状态。
缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过DHCPv6方式学习到客户端的IPv6地址,则需要开启通过DHCPv6方式学习客户端IPv6地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过DHCPv6方式学习客户端IPv6地址功能。
client ipv6-snooping dhcpv6-learning enable
缺省情况下,通过DHCPv6方式学习客户端IPv6地址功能处于关闭状态。
缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过ND方式学习客户端的IPv6地址,则需要开启通过ND方式学习客户端IPv6地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过ND方式学习客户端IPv6地址功能。
client ipv6-snooping nd-learning enable
缺省情况下,通过ND方式学习客户端IPv6地址功能处于关闭状态。
缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
undo client ipv6-snooping snmp-nd-report enable
缺省情况下,SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。
开启IP地址冲突检测功能后,当新的无线客户端上线时,如果设备检测到与已上线无线客户端IP地址冲突,就会强制已上线无线客户端下线,同时生成IP地址冲突表项用于记录该冲突。
在分层AC组网中,当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时,通过在Central AC上关闭IP地址冲突检测功能,可以允许不同Local AC间的无线客户端使用相同IP地址上线,从而达到降低DHCP服务器部署复杂度的目的。
当无线客户端Cache老化时间超时或客户端IP地址发生变化时,已生成的IP地址冲突表项才会被删除。
(1) 进入系统视图。
system-view
(2) 开启IP地址冲突检测功能。
wlan client ip-conflict-detection enable
缺省情况下,IP地址冲突检测功能处于开启状态。
通过关闭ND方式学习客户端IPv6地址功能,希望AP仅能够通过DHCPv6方式学习客户端IPv6地址。
图1-1 WLAN IP Snooping组网示意图
# 配置AP,并将AP绑定到无线服务模板service上。(详细介绍请参见“WLAN接入配置指导”)(略)
# 关闭通过ND方式学习客户端IPv6地址功能。
<AP> system-view
[AP] wlan service-template service
[AP-wlan-st-service] undo client ipv6-snooping nd-learning enable
# 开启通过DHCPv6方式学习客户端IPv6地址功能。
[AP-wlan-st-service] client ipv6-snooping dhcpv6-learning enable
[AP-wlan-st-service] quit
配置完成后,在FAT AP上执行display wlan client ipv6命令,可以看到已经学习到客户端的IPv6地址。
[AP] display wlan client ipv6
MAC address AP name IPv6 address VLAN
84db-ac14-dd08 fatap 1::2:0:0:3 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
