- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-WLAN IP Snooping命令
本章节下载: 02-WLAN IP Snooping命令 (206.64 KB)
目 录
1.1.2 client ip-snooping http-learning enable
1.1.3 client ipv4-snooping arp-learning enable
1.1.4 client ipv4-snooping dhcp-learning enable
1.1.5 client ipv4-snooping dhcp-learning timeout
1.1.6 client ipv6-snooping dhcpv6-learning enable
1.1.7 client ipv6-snooping nd-learning enable
1.1.8 client ipv6-snooping snmp-nd-report enable
1.1.9 display wlan statistics client-ip-conflict
1.1.10 wlan client ip-conflict-detection enable
client ip-snooping acl命令用来配置基于ACL规则学习终端IP地址功能。
undo client ip-snooping acl命令用来恢复缺省情况。
【命令】
client ip-snooping acl acl-number
undo client ip-snooping acl
【缺省情况】
基于ACL规则学习终端IP地址功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
acl-number:基本ACL的编号,取值范围为2000~2999。
【使用指导】
在无线终端接入过其他厂商的网络或其他网段的网络的场景下,可能会因为终端携带其他厂商信息或原有网络IP地址,导致在当前网络中学习到错误的IP地址。
开启本功能后,设备可以根据指定ACL中配置的规则对新接入的无线客户端进行IP地址学习控制。
当无线客户端接入无线网络时,设备学习终端IP地址时,会判断无线客户端的IP地址是否在ACL访问控制列表的规则中,具体的过滤机制如下:
· 如果在permit规则中,则学习无线客户端的IP地址;
· 如果在deny规则中,则拒绝学习无线客户端IP地址;
· 如果未匹配任何已配置的规则,则拒绝学习无线客户端IP地址。
需要注意的是,当在ACL中配置deny规则来拒绝学习客户端的指定IP时,请在deny规则之后配置允许学习所有客户端IP的permit规则,否则会导致无法学习所有客户端IP。
本功能只在以ARP和ND方式学习IP地址时生效,通过DHCPv4或DHCPv6等方式学习地址时不生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置通过ACL控制学习客户端IP地址。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ip-snooping acl 2000
【相关命令】
client ip-snooping http-learning enable命令用来开启通过HTTP方式学习客户端IP地址功能。
undo client ip-snooping http-learning enable命令用来关闭通过HTTP方式学习客户端IP地址功能。
【命令】
client ip-snooping http-learning enable
undo client ip-snooping http-learning enable
【缺省情况】
通过HTTP方式学习客户端IP地址功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只对采用Portal认证方式上线的无线客户端生效。该类客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启通过HTTP/HTTPS报文学习客户端地址功能后:
· 当客户端数据报文转发位置在AC上时,AC会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4/IPv6地址。
· 当客户端数据报文转发位置在AP上时,AP监听到重定向到服务器的HTTP/HTTPS请求报文后,会并从中学习客户端IPv4/IPv6地址并将监听到的请求报文上报给AC。关于Portal认证的相关介绍请参见“用户接入与认证配置指导”中的“Portal”。
通过ARP、DHCPv4、DHCPv6和ND方式学习到客户端地址的优先级高于通过HTTP方式学习到的客户端IP地址。
该命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 开启通过HTTP方式学习客户端地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ip-snooping http-learning enable
client ipv4-snooping arp-learning enable命令用来开启通过ARP方式学习客户端IPv4地址功能。
undo client ipv4-snooping arp-learning enable命令用来关闭通过ARP方式学习客户端IPv4地址功能。
【命令】
client ipv4-snooping arp-learning enable
undo client ipv4-snooping arp-learning enable
【缺省情况】
通过ARP方式学习客户端IPv4地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
AP通过ARP方式学习到客户端IPv4地址后,会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费功能。
【举例】
# 关闭通过ARP方式学习客户端IPv4地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv4-snooping arp-learning enable
client ipv4-snooping dhcp-learning enable命令用来开启通过DHCP方式学习客户端IPv4地址功能。
undo client ipv4-snooping dhcp-learning enable命令用来关闭通过DHCP方式学习客户端IPv4地址功能。
【命令】
client ipv4-snooping dhcp-learning enable
undo client ipv4-snooping dhcp-learning enable
【缺省情况】
通过DHCP方式学习客户端IPv4地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
AP通过DHCPv4方式学习到客户端IPv4地址后,会将学习到的客户端IPv4地址和客户端MAC地址记录为WLAN IP Snooping绑定表项,并同步绑定表项给AC。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费功能。
【举例】
# 关闭通过DHCP方式学习客户端IPv4地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv4-snooping dhcp-learning enable
client ipv4-snooping dhcp-learning timeout命令用来配置通过DHCP方式学习客户端IPv4地址的超时时间。
undo client ipv4-snooping dhcp-learning timeout命令用来恢复缺省情况。
【命令】
client ipv4-snooping dhcp-learning timeout time
undo client ipv4-snooping dhcp-learning timeout
【缺省情况】
通过DHCP方式学习客户端IPv4地址的超时时间为0,即当未通过DHCP方式学习到客户端IPv4地址时,也不强制客户端下线。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:通过DHCP方式学习客户端IPv4地址的超时时间,取值范围为1~600,单位为秒。
【使用指导】
配置本命令后,如果在超时时间内没有通过DHCP方式学习到客户端IPv4地址,则强制该客户端下线。
无线服务模板开启后,再配置本特性,则本命令仅对新上线的客户端生效。
本命令仅对关联位置在AC上的客户端生效。
【举例】
# 配置通过DHCP方式学习客户端IPv4地址的超时时间为180秒。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client ipv4-snooping dhcp-learning timeout 180
client ipv6-snooping dhcpv6-learning enable命令用来开启通过DHCPv6方式学习客户端IPv6地址功能。
undo client ipv6-snooping dhcpv6-learning enable命令用来关闭通过DHCPv6方式学习客户端IPv6地址功能。
【命令】
client ipv6-snooping dhcpv6-learning enable
undo client ipv6-snooping dhcpv6-learning enable
【缺省情况】
通过DHCPv6方式学习客户端IPv6地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
设备通过DHCPv6方式学习到客户端IPv6地址后,会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费功能。
【举例】
# 开启通过DHCPv6方式学习客户端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client ipv6-snooping dhcpv6-learning enable
client ipv6-snooping nd-learning enable命令用来开启通过ND方式学习客户端IPv6地址功能。
undo client ipv6-snooping nd-learning enable命令用来关闭通过ND方式学习客户端IPv6地址功能。
【命令】
client ipv6-snooping nd-learning enable
undo client ipv6-snooping nd-learning enable
【缺省情况】
通过ND方式学习客户端IPv6地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
设备通过ND方式学习到客户端IPv6地址后,会将学习到的客户端IPv6地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。
该绑定表项主要用于802.1X认证及MAC地址认证用户计费功能。
【举例】
# 关闭通过ND方式学习客户端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv6-snooping nd-learning enable
client ipv6-snooping snmp-nd-report enable命令用来开启SNMP获取通过ND方式学习到的客户端IPv6地址功能。
undo client ipv6-snooping snmp-nd-report enable命令用来关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
【命令】
client ipv6-snooping snmp-nd-report enable
undo client ipv6-snooping snmp-nd-report enable
【缺省情况】
SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若用户希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
【举例】
# 关闭SNMP获取通过ND报文学习到的客户端IPv6地址功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] undo client ipv6-snooping snmp-nd-report enable
display wlan statistics client-ip-conflict命令用来显示IP地址冲突的新旧客户端的统计信息。
【命令】
display wlan statistics client-ip-conflict
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示IP地址冲突的新旧客户端的统计信息。
<Sysname> display wlan statistics client-ip-conflict
IP New-MAC/APID Old-MAC/APID Time
192.168.1.1 a4c1-5b79-fa5b/1 1111-e121-ff00/2 03-22 10:00:00
ff03::101 22d3-c5b7-a4b5/2 000d-88f8-0577/1 03-22 10:01:00
表1-1 display wlan statisticsclient-ip-conflict命令显示信息描述表
|
字段 |
描述 |
|
IP |
客户端获取到的冲突IP地址 |
|
New-MAC/APID |
新客户端的MAC地址和上线AP的APID |
|
Old-MAC/APID |
旧客户端的MAC地址和在线AP的APID |
|
Time |
客户端获取到冲突IP地址,请求添加IPCIM的时间 |
wlan client ip-conflict-detection enable命令用来开启IP地址冲突检测功能。
undo wlan client ip-conflict-detection enable命令用来关闭IP地址冲突检测功能。
【命令】
wlan client ip-conflict-detection enable
undo wlan client ip-conflict-detection enable
【缺省情况】
IP地址冲突检测功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启IP地址冲突检测功能后,当新的无线客户端上线时,如果设备检测到与已上线无线客户端IP地址冲突,就会强制已上线无线客户端下线,同时生成IP地址冲突表项用于记录该冲突。
在分层AC组网中,当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时,通过在Central AC上关闭IP地址冲突检测功能,可以允许不同Local AC间的无线客户端使用相同IP地址上线,从而达到降低DHCP服务器部署复杂度的目的。
当无线客户端Cache老化时间超时或客户端IP地址发生变化时,已生成的IP地址冲突表项才会被删除。
【举例】
# 关闭IP地址冲突检测功能。
<Sysname> system
[Sysname] undo wlan client ip-conflict enable
【相关命令】
· client cache aging-time(WLAN接入命令参考/WLAN接入)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
