- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
22-WLAN IP Snooping命令
本章节下载: 22-WLAN IP Snooping命令 (195.27 KB)
目 录
1.1.1 client ip-snooping http-learning enable
1.1.2 client ip-snooping ip-recover enable
1.1.3 client ipv4-snooping arp-learning enable
1.1.4 client ipv4-snooping dhcp-learning enable
1.1.5 client ipv4-snooping dhcp-learning timeout
1.1.6 client ipv6-snooping dhcpv6-learning enable
1.1.7 client ipv6-snooping nd-learning enable
1.1.8 client ipv6-snooping { dhcpv6-learning | nd-learning }
1.1.9 client ipv6-snooping snmp-nd-report enable
1.1.10 display wlan statistics client-ip-conflict
1.1.11 wlan client ip-conflict-detection enable
client ip-snooping http-learning enable命令用来开启通过HTTP方式学习客户端IP地址功能。
undo client ip-snooping http-learning enable命令用来关闭通过HTTP方式学习客户端IP地址功能。
【命令】
client ip-snooping http-learning enable
undo client ip-snooping http-learning enable
【缺省情况】
通过HTTP方式学习客户端IP地址功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只对采用Portal认证方式上线的无线客户端生效。该类客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启通过HTTP/HTTPS报文学习客户端地址功能后:
· 当客户端数据报文转发位置在AC上时,AC会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4/IPv6地址。
· 当客户端数据报文转发位置在AP上时,AP监听到重定向到服务器的HTTP/HTTPS请求报文后,会从中学习客户端IPv4/IPv6地址并将监听到的请求报文上报给AC。关于Portal认证的相关介绍请参见对应交换机产品“安全配置指导”中的“Portal”。
通过ARP、DHCPv4、DHCPv6和ND方式学习到客户端地址的优先级高于通过HTTP方式学习到的客户端IP地址。
该命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 开启通过HTTP方式学习客户端地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ip-snooping http-learning enable
client ip-snooping ip-recover enable命令用来开启IP地址恢复功能。
undo client ip-snooping ip-recover enable命令用来关闭IP地址恢复功能。
【命令】
client ip-snooping ip-recover enable [ delay time ]
undo client ip-snooping ip-recover enable
【缺省情况】
IP地址恢复功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
delay time:IP地址恢复的时间,取值范围为5~300,单位为秒,缺省值为10。
【使用指导】
无线客户端在漫游前已经获取过IP地址,在漫游接入新AP时,个别客户端可能无法再次通过DHCP/DHCPv6/ND获取IP地址。若此时IP Source Guard功能处于开启状态,则该客户端的数据报文会被AP丢弃。管理员可通过部署WLAN漫游中心来解决此问题。
本命令仅对关联位置在AC上的客户端生效。
在WLAN漫游中心组网中,开启IP地址恢复功能后,当客户端漫游离开原AP时,AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心,客户端漫游接入新AP时:
· 如果在配置的IP地址恢复时间内未通过DHCP/DHCPv6/ND获取到新IP地址,则AC会向WLAN漫游中心查询并获取用户漫游之前的IP地址并分配给客户端,临时恢复客户端的IP地址,使得客户端使用该IP地址漫游接入新的网络。如果此后通过DHCP/DHCPv6/ND获取到IP地址,则会更新获取到的IP地址。
· 如果客户端在配置的IP地址恢复时间内通过DHCP/DHCPv6/ND获取到新IP地址,则会以新IP地址漫游接入新的网络。
【举例】
# 在无线服务模板service1下,开启IP地址恢复功能,IP地址恢复时间为5秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ip-snooping ip-recover enable delay 5
【相关命令】
· client ip-cache aging-time(WLAN漫游命令参考/WLAN漫游中心)
client ipv4-snooping arp-learning enable命令用来开启通过ARP方式学习客户端IPv4地址功能。
undo client ipv4-snooping arp-learning enable命令用来关闭通过ARP方式学习客户端IPv4地址功能。
【命令】
client ipv4-snooping arp-learning enable
undo client ipv4-snooping arp-learning enable
【缺省情况】
通过ARP方式学习客户端IPv4地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
AP通过ARP方式学习到客户端IPv4地址后,会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见对应交换机产品“安全配置指导”中的“IP Source Guard”。
【举例】
# 关闭通过ARP方式学习客户端IPv4地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv4-snooping arp-learning enable
client ipv4-snooping dhcp-learning enable命令用来开启通过DHCP方式学习客户端IPv4地址功能。
undo client ipv4-snooping dhcp-learning enable命令用来关闭通过DHCP方式学习客户端IPv4地址功能。
【命令】
client ipv4-snooping dhcp-learning enable
undo client ipv4-snooping dhcp-learning enable
【缺省情况】
通过DHCP方式学习客户端IPv4地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
AP通过DHCPv4方式学习到客户端IPv4地址后,会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见对应交换机产品“安全配置指导”中的“IP Source Guard”。
【举例】
# 关闭通过DHCP方式学习客户端IPv4地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv4-snooping dhcp-learning enable
client ipv4-snooping dhcp-learning timeout命令用来开启强制未通过DHCP方式学习到IPv4地址的客户端下线功能。
undo client ipv4-snooping dhcp-learning timeout命令用来关闭强制未通过DHCP方式学习到IPv4地址的客户的下线功能。
【命令】
client ipv4-snooping dhcp-learning timeout value
undo client ipv4-snooping dhcp-learning timeout
【缺省情况】
强制未通过DHCP方式学习到IPv4地址的客户端下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
value:未通过DHCP获取IPv4地址的客户端下线超时时间,取值范围为1~600,单位为秒。
【使用指导】
本命令仅对关联位置在AC上的新上线客户端生效。
【举例】
# 开启强制未通过DHCP方式学习到IPv4地址的客户端下线功能。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client ipv4-snooping dhcp-learning timeout 180
client ipv6-snooping dhcpv6-learning enable命令用来开启通过DHCPv6方式学习客户端IPv6地址功能。
undo client ipv6-snooping dhcpv6-learning enable命令用来关闭通过DHCPv6方式学习客户端IPv6地址功能。
【命令】
client ipv6-snooping dhcpv6-learning enable
undo client ipv6-snooping dhcpv6-learning enable
【缺省情况】
通过DHCPv6方式学习客户端IPv6地址功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
AP通过DHCPv6方式学习到客户端IPv6地址后,会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见对应交换机产品“安全配置指导”中的“IP Source Guard”。
【举例】
# 开启通过DHCPv6方式学习客户端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ipv6-snooping dhcpv6-learning enable
client ipv6-snooping nd-learning enable命令用来开启通过ND方式学习客户端IPv6地址功能。
undo client ipv6-snooping nd-learning enable命令用来关闭通过ND方式学习客户端IPv6地址功能。
【命令】
client ipv6-snooping nd-learning enable
undo client ipv6-snooping nd-learning enable
【缺省情况】
通过ND方式学习客户端IPv6地址功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
AP通过ND方式学习到客户端IPv6地址后,会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见对应交换机产品“安全配置指导”中的“IP Source Guard”。
【举例】
# 关闭通过ND方式学习客户端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv6-snooping nd-learning enable
client ipv6-snooping { dhcpv6-learning | nd-learning }命令用来配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址。
undo client ipv6-snooping { dhcpv6-learning | nd-learning }命令用来取消通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址。
【命令】
client ipv6-snooping { dhcpv6-learning | nd-learning } vlan vlan-id-list
undo client ipv6-snooping { dhcpv6-learning | nd-learning } [ vlan vlan-id-list ]
【缺省情况】
设备可以通过DHCPv6或ND方式学习所有VLAN的客户端IPv6地址。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dhcpv6-learning:通过DHCPv6方式学习客户端IPv6地址。
nd-learning:通过ND方式学习客户端IPv6地址。
vlan-id-list:VLAN列表。表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2] }&<1-10>,vlan-id1和vlan-id2的取值范围为1~4094,且vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。执行undo client ipv6-snooping { dhcpv6-learning | nd-learning }命令时,如果没有指定本参数,则表示可以通过指定方式学习所有VLAN的客户端IPv6地址。
【使用指导】
只有开启了通过DHCPv6或ND方式学习客户端IPv6地址功能,配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址才能生效。
同一无线服务模板下,可以通过多次执行本命令,指定不同VLAN的客户端IPv6地址学习方式。配置本命令后,设备不会学习未指定学习方式的VLAN的客户端IPv6地址。
每一种客户端IPv6地址学习方式最多可以指定50个VLAN。
修改指定VLAN的客户端IPv6地址学习方式后,当该VLAN下的客户端下次从同一AC下的其它AP或当前接入AP的其它Radio上线时,设备不能通过修改前的学习方式学习该客户端的IPv6地址。
【举例】
# 指定VLAN 30到VLAN 60的客户端IPv6地址学习方式为DHCPv6方式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client ipv6-snooping dhcpv6-learning vlan 30 to 60
【相关命令】
· client ipv6-snooping dhcpv6-learning enable
· client ipv6-snooping nd-learning enable
client ipv6-snooping snmp-nd-report enable命令用来开启SNMP获取通过ND方式学习到的客户端IPv6地址功能。
undo client ipv6-snooping snmp-nd-report enable命令用来关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
【命令】
client ipv6-snooping snmp-nd-report enable
undo client ipv6-snooping snmp-nd-report enable
【缺省情况】
SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若用户希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
【举例】
# 关闭SNMP获取通过ND报文学习到的客户端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv6-snooping snmp-nd-report enable
display wlan statistics client-ip-conflict命令用来显示IP地址冲突的新旧客户端的统计信息。
【命令】
display wlan statistics client-ip-conflict
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IP地址冲突的新旧客户端的统计信息。
<Sysname> display wlan statistics client-ip-conflict
IP New-MAC/APID Old-MAC/APID Time
192.168.1.1 a4c1-5b79-fa5b/1 1111-e121-ff00/2 03-22 10:00:00
ff03::101 22d3-c5b7-a4b5/2 000d-88f8-0577/1 03-22 10:01:00
表1-1 display wlan statisticsclient-ip-conflict命令显示信息描述表
|
字段 |
描述 |
|
IP |
客户端获取到的冲突IP地址 |
|
New-MAC/APID |
新客户端的MAC地址和上线AP的APID |
|
Old-MAC/APID |
旧客户端的MAC地址和在线AP的APID |
|
Time |
客户端获取到冲突IP地址,请求添加IPCIM的时间 |
wlan client ip-conflict-detection enable命令用来开启IP地址冲突检测功能。
undo wlan client ip-conflict-detection enable命令用来关闭IP地址冲突检测功能。
【命令】
wlan client ip-conflict-detection enable
undo wlan client ip-conflict-detection enable
【缺省情况】
IP地址冲突检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IP地址冲突检测功能后,当新的无线客户端上线时,如果设备检测到与已上线无线客户端IP地址冲突,就会强制已上线无线客户端下线,同时生成IP地址冲突表项用于记录该冲突。
在分层AC组网中,当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时,通过在Central AC上关闭IP地址冲突检测功能,可以允许不同Local AC间的无线客户端使用相同IP地址上线,从而达到降低DHCP服务器部署复杂度的目的。
当无线客户端Cache老化时间超时或客户端IP地址发生变化时,已生成的IP地址冲突表项才会被删除。
【举例】
# 关闭IP地址冲突检测功能。
<Sysname> system
[Sysname] undo wlan client ip-conflict enable
【相关命令】
· client cache aging-time(WLAN接入命令参考/WLAN接入)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
