21-WLAN IP Snooping配置
本章节下载: 21-WLAN IP Snooping配置 (142.37 KB)
WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文、Portal认证中重定向到Portal Web服务器的HTTP请求报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端的MAC地址记录为WLAN IP Snooping绑定表项。
AP通过以下三种方式学习客户端IPv4地址:
· DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见“三层技术-IP业务配置指导”中的“DHCP”。
· ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见“三层技术-IP业务配置指导”中的“ARP”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP请求报文进行监听,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见“安全配置指导”中的“Portal”。
根据不同的报文学习到了同一个IPv4地址,则学习地址方式的优先级由低到高依次为HTTP方式、ARP方式和DHCPv4方式。
AP通过以下三种方式学习客户端IPv6地址:
· DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6”。
· ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP请求报文进行监听,并从中学习客户端IPv6地址。
根据不同的报文学习到了同一个IPv6地址,则学习地址方式的优先级由低到高依次为HTTP方式、ND方式和DHCPv6方式。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。
表1-1 关闭通过ARP方式学习客户端IPv4地址功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
关闭通过ARP方式学习客户端IPv4地址功能 |
undo client ipv4-snooping arp-learning enable |
缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态 |
表1-2 关闭通过ND方式学习客户端IPv6地址功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
关闭通过ND方式学习客户端IPv6地址功能 |
undo client ipv6-snooping nd-learning enable |
缺省情况下,通过ND方式学习客户端IPv6地址功能处于开启状态 |
缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
表1-3 关闭SNMP获取客户端通过ND方式学习到的IPv6地址功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
关闭SNMP获取客户端通过ND方式学习到的IPv6地址功能 |
undo client ipv6-snooping snmp-nd-report enable |
缺省情况下,SNMP获取客户端通过ND方式学习的IPv6地址功能处于开启状态 |
通过HTTP请求报文学习客户端IP地址仅对通过Portal认证上线的客户端生效。
表1-4 开启通过HTTP报文学习客户端地址功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-name |
- |
开启通过HTTP报文学习客户端地址功能 |
client ip-snooping http-learning enable |
缺省情况下,通过HTTP报文学习客户端地址功能处于关闭状态 |
AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。通过关闭ND方式学习客户端IPv6地址功能,使得设备仅能够通过DHCPv6方式学习客户端IPv6地址。
图1-1 WLAN IP Snooping组网示意图
# 创建AP,使AC和AP之间建立连接,AP绑定同一个无线服务模板service。
配置步骤可参见“WLAN配置指导”中的“AP管理”和“WLAN接入”,具体配置步骤略。
# 关闭通过ND方式学习客户端IPv6地址功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] undo client ipv6-snooping nd-learning enable
设备仅能够通过DHCPv6方式学习到客户端IPv6地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!