- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-WLAN IP Snooping配置
本章节下载: 02-WLAN IP Snooping配置 (209.24 KB)
WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文、Portal认证中重定向到Portal Web服务器的HTTP请求报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证、MAC地址认证用户计费功能。
AP可以通过以下三种方式学习客户端IPv4地址:
· ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见“网络互通配置指导”中的“ARP”。
· DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见“网络互通配置指导”中的“DHCP”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见“用户接入与认证配置指导”中的“Portal”。
根据不同类型报文学习到同一个客户端IPv4地址是,学习地址方式的优先级由高到低依次为DHCPv4方式、ARP方式和HTTP方式。
AP可以通过以下三种方式学习客户端IPv6地址:
· DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见“网络互通配置指导”中的“DHCPv6”。
· ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见“网络互通配置指导”中的“IPv6基础”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv6地址。
根据不同类型报文学习到同一个客户端IPv6地址时,学习地址方式的优先级由高到低依次为DHCPv6方式、ND方式和HTTP方式。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 关闭通过ARP方式学习客户端IPv4地址功能。
undo client ipv4-snooping arp-learning enable
缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过ARP方式学习到客户端的IPv4地址,则需要关闭通过DHCP方式学习客户端IPv4地址功能。
强制未通过DHCP方式学习到IPv4地址的客户端下线功能仅对关联位置在AC上的新上线客户端生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 关闭通过DHCP方式学习客户端IPv4地址功能。
undo client ipv4-snooping dhcp-learning enable
缺省情况下,通过DHCP方式学习客户端IPv4地址功能处于开启状态。
(4) (可选)开启强制未通过DHCP方式学习到IPv4地址的客户端下线功能。
client ipv4-snooping dhcp-learning timeout value
缺省情况下,强制未通过DHCP方式学习到IPv4地址的客户端下线功能处于关闭状态。
开启本功能后,设备通过DHCPv6方式学习到客户端IPv6地址,并将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证及MAC地址认证用户计费功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过DHCPv6方式学习客户端IPv6地址功能。
client ipv6-snooping dhcpv6-learning enable
缺省情况下,通过DHCPv6方式学习客户端IPv6地址功能处于开启状态。
开启本功能后,设备通过ND方式学习到客户端IPv6地址,并将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证及MAC地址认证用户计费功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过ND方式学习客户端IPv6地址功能。
client ipv6-snooping nd-learning enable
缺省情况下,通过ND方式学习客户端IPv6地址功能处于开启状态。
在无线终端接入过其他厂商的网络或其他网段的网络的场景下,可能会因为终端携带其他厂商信息或原有网络IP地址,导致在当前网络中学习到错误的IP地址。
开启本功能后,设备可以根据指定ACL中配置的规则对新接入的无线客户端进行IP地址学习控制。
当无线客户端接入无线网络时,设备学习终端IP地址时,会判断无线客户端的IP地址是否在ACL访问控制列表的规则中,具体的过滤机制如下:
· 如果在permit规则中,则学习无线客户端的IP地址;
· 如果在deny规则中,则拒绝学习无线客户端IP地址;
· 如果未匹配任何已配置的规则,则拒绝学习无线客户端IP地址。
需要注意的是,当在ACL中配置deny规则来拒绝学习客户端的指定IP时,请在deny规则之后配置允许学习所有客户端IP的permit规则,否则会导致无法学习所有客户端IP。
本功能只在以ARP和ND方式学习IP地址时生效,通过DHCPv4或DHCPv6等方式学习地址时不生效。
多次执行本命令,最后一次执行的命令生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置基于ACL规则学习客户端IP地址功能。
client ip-snooping acl acl-number
缺省情况下,基于ACL规则学习客户端IP地址功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令,可以显示配置后WLAN IP Snooping功能的运行情况,通过查看显示信息,来验证配置的效果。
|
操作 |
命令 |
|
显示IP地址冲突的新旧客户端的统计信息 |
display wlan statistics client-ip-conflict |
通过关闭ND方式学习客户端IPv6地址功能,希望AP仅能够通过DHCPv6方式学习客户端IPv6地址。
图1-1 WLAN IP Snooping组网示意图
# 配置AP,并将AP绑定到无线服务模板service上。(详细介绍请参见“WLAN接入配置指导”)(略)
# 关闭通过ND方式学习客户端IPv6地址功能。
<AP> system-view
[AP] wlan service-template service
[AP-wlan-st-service] undo client ipv6-snooping nd-learning enable
# 开启通过DHCPv6方式学习客户端IPv6地址功能。
[AP-wlan-st-service] client ipv6-snooping dhcpv6-learning enable
[AP-wlan-st-service] quit
配置完成后,在FAT AP上执行display wlan client ipv6命令,可以看到已经学习到客户端的IPv6地址。
[AP] display wlan client ipv6
MAC address AP name IPv6 address VLAN
84db-ac14-dd08 fatap 1::2:0:0:3 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
