登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

13-用户接入与认证命令参考

目录

02-WLAN IP Snooping命令

本章节下载 02-WLAN IP Snooping命令  (177.95 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/WX2500X-LI/Command/Command_Manual/H3C_WX2500X-LI_CR_E5605-977/13/202112/1518943_30005_0.htm

02-WLAN IP Snooping命令

  录

1 WLAN IP Snooping

1.1 WLAN IP Snooping命令

1.1.1 client ip-snooping http-learning enable

1.1.2 client ipv4-snooping arp-learning enable

1.1.3 client ipv4-snooping dhcp-learning enable

1.1.4 client ipv4-snooping dhcp-learning timeout

1.1.5 client ipv6-snooping dhcpv6-learning enable

1.1.6 client ipv6-snooping nd-learning enable

1.1.7 client ipv6-snooping snmp-nd-report enable

1.1.8 display wlan statistics client-ip-conflict

1.1.9 wlan client ip-conflict-detection enable

 

1 WLAN IP Snooping

1.1  WLAN IP Snooping命令

1.1.1  client ip-snooping http-learning enable

client ip-snooping http-learning enable命令用来开启通过HTTP方式学习客户端IP地址功能。

undo client ip-snooping http-learning enable命令用来关闭通过HTTP方式学习客户端IP地址功能。

【命令】

client ip-snooping http-learning enable

undo client ip-snooping http-learning enable

【缺省情况】

通过HTTP方式学习客户端IP地址功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

该功能只对采用Portal认证方式上线的无线客户端生效。该类客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启通过HTTP/HTTPS报文学习客户端地址功能后:

·     当客户端数据报文转发位置在AC上时,AC会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4/IPv6地址。

·     当客户端数据报文转发位置在AP上时,AP监听到重定向到服务器的HTTP/HTTPS请求报文后,会并从中学习客户端IPv4/IPv6地址并将监听到的请求报文上报给AC。关于Portal认证的相关介绍请参见“用户接入与认证配置指导”中的“Portal”。

通过ARP、DHCPv4、DHCPv6和ND方式学习到客户端地址的优先级高于通过HTTP方式学习到的客户端IP地址。

该命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 开启通过HTTP方式学习客户端地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client ip-snooping http-learning enable

1.1.2  client ipv4-snooping arp-learning enable

client ipv4-snooping arp-learning enable命令用来开启通过ARP方式学习客户端IPv4地址功能。

undo client ipv4-snooping arp-learning enable命令用来关闭通过ARP方式学习客户端IPv4地址功能。

【命令】

client ipv4-snooping arp-learning enable

undo client ipv4-snooping arp-learning enable

【缺省情况】

通过ARP方式学习客户端IPv4地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

AP通过ARP方式学习到客户端IPv4地址后,会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。

该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 关闭通过ARP方式学习客户端IPv4地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv4-snooping arp-learning enable

1.1.3  client ipv4-snooping dhcp-learning enable

client ipv4-snooping dhcp-learning enable命令用来开启通过DHCP方式学习客户端IPv4地址功能。

undo client ipv4-snooping dhcp-learning enable命令用来关闭通过DHCP方式学习客户端IPv4地址功能。

【命令】

client ipv4-snooping dhcp-learning enable

undo client ipv4-snooping dhcp-learning enable

【缺省情况】

通过DHCP方式学习客户端IPv4地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

AP通过DHCPv4方式学习到客户端IPv4地址后,会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。

该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 关闭通过DHCP方式学习客户端IPv4地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv4-snooping dhcp-learning enable

1.1.4  client ipv4-snooping dhcp-learning timeout

client ipv4-snooping dhcp-learning timeout命令用来配置通过DHCP方式学习客户端IPv4地址的超时时间。

undo client ipv4-snooping dhcp-learning timeout命令用来恢复缺省情况。

【命令】

client ipv4-snooping dhcp-learning timeout time

undo client ipv4-snooping dhcp-learning timeout

【缺省情况】

通过DHCP方式学习客户端IPv4地址的超时时间为0,即当未通过DHCP方式学习到客户端IPv4地址时,也不强制客户端下线。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:通过DHCP方式学习客户端IPv4地址的超时时间,取值范围为1~600,单位为秒。

【使用指导】

配置本命令后,如果在超时时间内没有通过DHCP方式学习到客户端IPv4地址,则强制该客户端下线。

无线服务模板开启后,再配置本特性,则本命令仅对新上线的客户端生效。

本命令仅对关联位置在AC上的客户端生效。

【举例】

# 配置通过DHCP方式学习客户端IPv4地址的超时时间为180秒。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] client ipv4-snooping dhcp-learning timeout 180

1.1.5  client ipv6-snooping dhcpv6-learning enable

client ipv6-snooping dhcpv6-learning enable命令用来开启通过DHCPv6方式学习客户端IPv6地址功能。

undo client ipv6-snooping dhcpv6-learning enable命令用来关闭通过DHCPv6方式学习客户端IPv6地址功能。

【命令】

client ipv6-snooping dhcpv6-learning enable

undo client ipv6-snooping dhcpv6-learning enable

【缺省情况】

通过DHCPv6方式学习客户端IPv6地址功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

AP通过DHCPv6方式学习到客户端IPv6地址后,会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。

该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 开启通过DHCPv6方式学习客户端IPv6地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client ipv6-snooping dhcpv6-learning enable

1.1.6  client ipv6-snooping nd-learning enable

client ipv6-snooping nd-learning enable命令用来开启通过ND方式学习客户端IPv6地址功能。

undo client ipv6-snooping nd-learning enable命令用来关闭通过ND方式学习客户端IPv6地址功能。

【命令】

client ipv6-snooping nd-learning enable

undo client ipv6-snooping nd-learning enable

【缺省情况】

通过ND方式学习客户端IPv6地址功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

AP通过ND方式学习到客户端IPv6地址后,会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。

该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 关闭通过ND方式学习客户端IPv6地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv6-snooping nd-learning enable

1.1.7  client ipv6-snooping snmp-nd-report enable

client ipv6-snooping snmp-nd-report enable命令用来开启SNMP获取通过ND方式学习到的客户端IPv6地址功能。

undo client ipv6-snooping snmp-nd-report enable命令用来关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。

【命令】

client ipv6-snooping snmp-nd-report enable

undo client ipv6-snooping snmp-nd-report enable

【缺省情况】

SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

该功能只能在无线服务模板处于关闭状态时配置。

缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若用户希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。

【举例】

# 关闭SNMP获取通过ND报文学习到的客户端IPv6地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv6-snooping snmp-nd-report enable

1.1.8  display wlan statistics client-ip-conflict

display wlan statistics client-ip-conflict命令用来显示IP地址冲突的新旧客户端的统计信息。

【命令】

display wlan statistics client-ip-conflict

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示IP地址冲突的新旧客户端的统计信息。

<Sysname> display wlan statistics client-ip-conflict

IP             New-MAC/APID             Old-MAC/APID     Time

192.168.1.1    a4c1-5b79-fa5b/1     1111-e121-ff00/2     03-22 10:00:00

ff03::101      22d3-c5b7-a4b5/2     000d-88f8-0577/1     03-22 10:01:00

表1-1 display wlan statisticsclient-ip-conflict命令显示信息描述表

字段

描述

IP

客户端获取到的冲突IP地址

New-MAC/APID

新客户端的MAC地址和上线AP的APID

Old-MAC/APID

旧客户端的MAC地址和在线AP的APID

Time

客户端获取到冲突IP地址,请求添加IPCIM的时间

 

1.1.9  wlan client ip-conflict-detection enable

wlan client ip-conflict-detection enable命令用来开启IP地址冲突检测功能。

undo wlan client ip-conflict-detection  enable命令用来关闭IP地址冲突检测功能。

【命令】

wlan client ip-conflict-detection enable

undo wlan client ip-conflict-detection enable

【缺省情况】

IP地址冲突检测功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启IP地址冲突检测功能后,当新的无线客户端上线时,如果设备检测到与已上线无线客户端IP地址冲突,就会强制已上线无线客户端下线,同时生成IP地址冲突表项用于记录该冲突。

在分层AC组网中,当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时,通过在Central AC上关闭IP地址冲突检测功能,可以允许不同Local AC间的无线客户端使用相同IP地址上线,从而达到降低DHCP服务器部署复杂度的目的。

当无线客户端Cache老化时间超时或客户端IP地址发生变化时,已生成的IP地址冲突表项才会被删除。

【举例】

# 关闭IP地址冲突检测功能。

<Sysname> system

[Sysname] undo wlan client ip-conflict enable

【相关命令】

·     client cache aging-time(WLAN接入命令参考/WLAN接入)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们