目  录

1 WLAN IP Snooping

1.1 WLAN IP Snooping命令

1.1.1 client ip-snooping acl

1.1.2 client ip-snooping http-learning enable ‌

1.1.3 client ip-snooping ip-recover enable‌

1.1.4 client ipv4-snooping arp-learning enable

1.1.5 client ipv4-snooping dhcp-learning enable

1.1.6 client ipv4-snooping dhcp-learning timeout

1.1.7 client ipv6-snooping dhcpv6-learning enable

1.1.8 client ipv6-snooping nd-learning enable

1.1.9 client ipv6-snooping snmp-nd-report enable

1.1.10 display wlan statistics client-ip-conflict

1.1.11 wlan client ip-conflict-detection enable‌

 

1 WLAN IP Snooping

1.1  WLAN IP Snooping命令

1.1.1  client ip-snooping acl

client ip-snooping acl命令用来配置基于ACL规则学习终端IP地址功能。

undo client ip-snooping acl命令用来恢复缺省情况。

【命令】

client ip-snooping acl acl-number

undo client ip-snooping acl

【缺省情况】

基于ACL规则学习终端IP地址功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

context-admin

【参数】

acl-number：基本ACL的编号，取值范围为2000～2999。

【使用指导】

在无线终端接入过其他厂商的网络或其他网段的网络的场景下，可能会因为终端携带其他厂商信息或原有网络IP地址，导致在当前网络中学习到错误的IP地址。

开启本功能后，设备可以根据指定ACL中配置的规则对新接入的无线客户端进行IP地址学习控制。

当无线客户端接入无线网络时，设备学习终端IP地址时，会判断无线客户端的IP地址是否在ACL访问控制列表的规则中，具体的过滤机制如下：

·     如果在permit规则中，则学习无线客户端的IP地址；

·     如果在deny规则中，则拒绝学习无线客户端IP地址；

·     如果未匹配任何已配置的规则，则拒绝学习无线客户端IP地址。

需要注意的是，当在ACL中配置deny规则来拒绝学习客户端的指定IP时，请在deny规则之后配置允许学习所有客户端IP的permit规则，否则会导致无法学习所有客户端IP。

本功能只在以ARP和ND方式学习IP地址时生效，通过DHCPv4或DHCPv6等方式学习地址时不生效。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置通过ACL控制学习客户端IP地址。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client ip-snooping acl 2000

1.1.2  client ip-snooping http-learning enable ‌

client ip-snooping http-learning enable命令用来开启通过HTTP方式学习客户端IP地址功能。

undo client ip-snooping http-learning enable命令用来关闭通过HTTP方式学习客户端IP地址功能。

【命令】

client ip-snooping http-learning enable

undo client ip-snooping http-learning enable

【缺省情况】

通过HTTP方式学习客户端IP地址功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

该功能只对采用Portal认证方式上线的无线客户端生效。该类客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启通过HTTP/HTTPS报文学习客户端地址功能后：

·     当客户端数据报文转发位置在AC上时，AC会对重定向到服务器的HTTP/HTTPS请求报文进行监听，并从中学习客户端IPv4/IPv6地址。

·     当客户端数据报文转发位置在AP上时，AP监听到重定向到服务器的HTTP/HTTPS请求报文后，会并从中学习客户端IPv4/IPv6地址并将监听到的请求报文上报给AC。关于Portal认证的相关介绍请参见“安全配置指导”中的“Portal”。

通过ARP、DHCPv4、DHCPv6和ND方式学习到客户端地址的优先级高于通过HTTP方式学习到的客户端IP地址。

该命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 开启通过HTTP方式学习客户端地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client ip-snooping http-learning enable

1.1.3  client ip-snooping ip-recover enable‌

client ip-snooping ip-recover enable命令用来开启IP地址恢复功能。

undo client ip-snooping ip-recover enable命令用来关闭IP地址恢复功能。

【命令】

client ip-snooping ip-recover enable [ delay time ]

undo client ip-snooping ip-recover enable

【缺省情况】

IP地址恢复功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

delay time：IP地址恢复的时间，取值范围为5～300，单位为秒，缺省值为10。

【使用指导】

无线客户端在漫游前已经获取过IP地址，在漫游接入新AP时，个别客户端可能无法再次通过DHCP/DHCPv6/ND获取IP地址。若此时WLAN SAVI功能处于开启状态，则该客户端的数据报文会被AP丢弃。管理员可通过部署WLAN漫游中心来解决此问题。

本命令仅对关联位置在AC上的客户端生效。

在WLAN漫游中心组网中，开启IP地址恢复功能后，当客户端漫游离开原AP时，AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心，客户端漫游接入新AP时：

·     如果在配置的IP地址恢复时间内未通过DHCP/DHCPv6/ND获取到新IP地址，则AC会向WLAN漫游中心查询并获取用户漫游之前的IP地址并分配给客户端，临时恢复客户端的IP地址，使得客户端使用该IP地址漫游接入新的网络。如果此后通过DHCP/DHCPv6/ND获取到IP地址，则会更新获取到的IP地址。

·     如果客户端在配置的IP地址恢复时间内通过DHCP/DHCPv6/ND获取到新IP地址，则会以新IP地址漫游接入新的网络。

【举例】

# 在无线服务模板service1下，开启IP地址恢复功能，IP地址恢复时间为5秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client ip-snooping ip-recover enable delay 5

【相关命令】

·     client ip-cache aging-time（WLAN命令参考/WLAN漫游中心）

1.1.4  client ipv4-snooping arp-learning enable

client ipv4-snooping arp-learning enable命令用来开启通过ARP方式学习客户端IPv4地址功能。

undo client ipv4-snooping arp-learning enable命令用来关闭通过ARP方式学习客户端IPv4地址功能。

【命令】

client ipv4-snooping arp-learning enable

undo client ipv4-snooping arp-learning enable

【缺省情况】

通过ARP方式学习客户端IPv4地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

AP通过ARP方式学习到客户端IPv4地址后，会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项，并同步绑定表项给AC。

【举例】

# 关闭通过ARP方式学习客户端IPv4地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv4-snooping arp-learning enable

1.1.5  client ipv4-snooping dhcp-learning enable

client ipv4-snooping dhcp-learning enable命令用来开启通过DHCP方式学习客户端IPv4地址功能。

undo client ipv4-snooping dhcp-learning enable命令用来关闭通过DHCP方式学习客户端IPv4地址功能。

【命令】

client ipv4-snooping dhcp-learning enable

undo client ipv4-snooping dhcp-learning enable

【缺省情况】

通过DHCP方式学习客户端IPv4地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

AP通过DHCPv4方式学习到客户端IPv4地址后，会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项，并同步绑定表项给AC。

该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 关闭通过DHCP方式学习客户端IPv4地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv4-snooping dhcp-learning enable

1.1.6  client ipv4-snooping dhcp-learning timeout

client ipv4-snooping dhcp-learning timeout命令用来配置通过DHCP方式学习客户端IPv4地址的超时时间。

undo client ipv4-snooping dhcp-learning timeout命令用来恢复缺省情况。

【命令】

client ipv4-snooping dhcp-learning timeout time

undo client ipv4-snooping dhcp-learning timeout

【缺省情况】

通过DHCP方式学习客户端IPv4地址的超时时间为0，即当未通过DHCP方式学习到客户端IPv4地址时，也不强制客户端下线。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

time：通过DHCP方式学习客户端IPv4地址的超时时间，取值范围为1～600，单位为秒。

【使用指导】

配置本命令后，如果在超时时间内没有通过DHCP方式学习到客户端IPv4地址，则强制该客户端下线。

无线服务模板开启后，再配置本特性，则本命令仅对新上线的客户端生效。

本命令仅对关联位置在AC上的客户端生效。

【举例】

# 配置通过DHCP方式学习客户端IPv4地址的超时时间为180秒。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] client ipv4-snooping dhcp-learning timeout 180

1.1.7  client ipv6-snooping dhcpv6-learning enable

client ipv6-snooping dhcpv6-learning enable命令用来开启通过DHCPv6方式学习客户端IPv6地址功能。

undo client ipv6-snooping dhcpv6-learning enable命令用来关闭通过DHCPv6方式学习客户端IPv6地址功能。

【命令】

client ipv6-snooping dhcpv6-learning enable

undo client ipv6-snooping dhcpv6-learning enable

【缺省情况】

通过DHCPv6方式学习客户端IPv6地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

设备通过DHCPv6方式学习到客户端IPv6地址后，会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 开启通过DHCPv6方式学习客户端IPv6地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client ipv6-snooping dhcpv6-learning enable

1.1.8  client ipv6-snooping nd-learning enable

client ipv6-snooping nd-learning enable命令用来开启通过ND方式学习客户端IPv6地址功能。

undo client ipv6-snooping nd-learning enable命令用来关闭通过ND方式学习客户端IPv6地址功能。

【命令】

client ipv6-snooping nd-learning enable

undo client ipv6-snooping nd-learning enable

【缺省情况】

通过ND方式学习客户端IPv6地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

设备通过ND方式学习到客户端IPv6地址后，会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证及MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。

【举例】

# 关闭通过ND方式学习客户端IPv6地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv6-snooping nd-learning enable

1.1.9  client ipv6-snooping snmp-nd-report enable

client ipv6-snooping snmp-nd-report enable命令用来开启SNMP获取通过ND方式学习到的客户端IPv6地址功能。

undo client ipv6-snooping snmp-nd-report enable命令用来关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。

【命令】

client ipv6-snooping snmp-nd-report enable

undo client ipv6-snooping snmp-nd-report enable

【缺省情况】

SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

该功能只能在无线服务模板处于关闭状态时配置。

缺省情况下，SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若用户希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址，则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。

【举例】

# 关闭SNMP获取通过ND报文学习到的客户端IPv6地址功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] undo client ipv6-snooping snmp-nd-report enable

1.1.10  display wlan statistics client-ip-conflict

display wlan statistics client-ip-conflict命令用来显示IP地址冲突的新旧客户端的统计信息。

【命令】

display wlan statistics client-ip-conflict

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【举例】

# 显示IP地址冲突的新旧客户端的统计信息。

<Sysname> display wlan statistics client-ip-conflict

IP             New-MAC/APID             Old-MAC/APID     Time

192.168.1.1    a4c1-5b79-fa5b/1     1111-e121-ff00/2     03-22 10:00:00

ff03::101      22d3-c5b7-a4b5/2     000d-88f8-0577/1     03-22 10:01:00

表1-1 display wlan statisticsclient-ip-conflict命令显示信息描述表

字段	描述
IP	客户端获取到的冲突IP地址
New-MAC/APID	新客户端的MAC地址和上线AP的APID
Old-MAC/APID	旧客户端的MAC地址和在线AP的APID
Time	客户端获取到冲突IP地址,请求添加IPCIM的时间

 

1.1.11  wlan client ip-conflict-detection enable‌

wlan client ip-conflict-detection enable命令用来开启IP地址冲突检测功能。

undo wlan client ip-conflict-detection  enable命令用来关闭IP地址冲突检测功能。

【命令】

wlan client ip-conflict-detection enable

undo wlan client ip-conflict-detection enable

【缺省情况】

IP地址冲突检测功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启IP地址冲突检测功能后，当新的无线客户端上线时，如果设备检测到与已上线无线客户端IP地址冲突，就会强制已上线无线客户端下线，同时生成IP地址冲突表项用于记录该冲突。

在分层AC组网中，当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时，通过在Central AC上关闭IP地址冲突检测功能，可以允许不同Local AC间的无线客户端使用相同IP地址上线，从而达到降低DHCP服务器部署复杂度的目的。

当无线客户端Cache老化时间超时或客户端IP地址发生变化时，已生成的IP地址冲突表项才会被删除。

【举例】

# 关闭IP地址冲突检测功能。

<Sysname> system

[Sysname] undo wlan client ip-conflict-detection enable

【相关命令】

·     client cache aging-time（WLAN命令参考/WLAN接入）