02-WLAN IP Snooping配置
本章节下载: 02-WLAN IP Snooping配置 (232.17 KB)
目 录
1.5 配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址
1.7 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能
1.11.1 WLAN IP Snooping基本组网配置举例
WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文和Portal认证中重定向到Portal Web服务器的HTTP请求报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证、MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。
当AP为Fit AP时,AP会同步WLAN IP Snooping绑定表项给AC。
AP可以通过以下三种方式学习客户端IPv4地址:
· ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见“网络互通配置指导”中的“ARP”。
· DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见“网络互通配置指导”中的“DHCP”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见“用户接入与认证配置指导”中的“Portal”。
根据不同类型报文学习到同一个客户端IPv4地址时,学习地址方式的优先级由高到低依次为DHCPv4方式、ARP方式和HTTP方式。
AP可以通过以下三种方式学习客户端IPv6地址:
· DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见“网络互通配置指导”中的“DHCPv6”。
· ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见“网络互通配置指导”中的“IPv6基础”。
· HTTP方式:客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv6地址。
根据不同类型报文学习到同一个客户端IPv6地址时,学习地址方式的优先级由高到低依次为DHCPv6方式、ND方式和HTTP方式。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 关闭通过ARP方式学习客户端IPv4地址功能。
undo client ipv4-snooping arp-learning enable
缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态。
缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过ARP方式学习到客户端的IPv4地址,则需要关闭通过DHCP方式学习客户端IPv4地址功能。
强制未通过DHCP方式学习到IPv4地址的客户端下线功能仅对关联位置在AC上的新上线客户端生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过DHCP方式学习客户端IPv4地址功能。
client ipv4-snooping dhcp-learning enable
缺省情况下,通过DHCP方式学习客户端IPv4地址功能处于开启状态。
(4) (可选)开启强制未通过DHCP方式学习到IPv4地址的客户端下线功能。
client ipv4-snooping dhcp-learning timeout value
缺省情况下,强制未通过DHCP方式学习到IPv4地址的客户端下线功能处于关闭状态。
缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过DHCPv6方式学习到客户端的IPv6地址,则需要开启通过DHCPv6方式学习客户端IPv6地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过DHCPv6方式学习客户端IPv6地址功能。
client ipv6-snooping dhcpv6-learning enable
缺省情况下,通过DHCPv6方式学习客户端IPv6地址功能处于关闭状态。
只有开启了通过DHCPv6或ND方式学习客户端IPv6地址功能,配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址才能生效。
同一无线服务模板下,可以通过多次执行本命令,指定不同VLAN的客户端IPv6地址学习方式。配置本命令后,设备不会学习未指定学习方式的VLAN的客户端IPv6地址。
每一种客户端IPv6地址学习方式最多可以指定50个VLAN。
修改指定VLAN的客户端IPv6地址学习方式后,当该VLAN下的客户端下次从同一AC下的其它AP或当前接入AP的其它Radio上线时,设备不能通过修改前的学习方式学习该客户端的IPv6地址。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址。
client ipv6-snooping { dhcpv6-learning | nd-learning } vlan vlan-id-list
缺省情况下,设备可以通过DHCPv6或ND方式学习所有VLAN的客户端IPv6地址。
缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过ND方式学习客户端的IPv6地址,则需要开启通过ND方式学习客户端IPv6地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过ND方式学习客户端IPv6地址功能。
client ipv6-snooping nd-learning enable
缺省情况下,通过ND方式学习客户端IPv6地址功能处于关闭状态。
缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。
undo client ipv6-snooping snmp-nd-report enable
缺省情况下,SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。
客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。开启本功能后:
· 当客户端数据报文转发位置在AC上时,AC会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4/IPv6地址。
· 当客户端数据报文转发位置在AP上时,AP监听到重定向到服务器的HTTP/HTTPS请求报文后,会从中学习客户端IPv4/IPv6地址并将监听到的请求报文上报给AC。关于Portal认证的相关介绍请参见“用户接入与认证配置指导”中的“Portal”。
通过HTTP方式学习客户端IP地址仅对通过Portal认证上线的客户端生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启通过HTTP方式学习客户端IP地址功能。
client ip-snooping http-learning enable
缺省情况下,通过HTTP方式学习客户端IP地址功能处于关闭状态。
开启IP地址冲突检测功能后,当新的无线客户端上线时,如果设备检测到与已上线无线客户端IP地址冲突,就会强制已上线无线客户端下线,同时生成IP地址冲突表项用于记录该冲突。
在分层AC组网中,当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时,通过在Central AC上关闭IP地址冲突检测功能,可以允许不同Local AC间的无线客户端使用相同IP地址上线,从而达到降低DHCP服务器部署复杂度的目的。
当无线客户端Cache老化时间超时或客户端IP地址发生变化时,已生成的IP地址冲突表项才会被删除。
(1) 进入系统视图。
system-view
(2) 开启IP地址冲突检测功能。
wlan client ip-conflict-detection enable
缺省情况下,IP地址冲突检测功能处于开启状态。
无线客户端在漫游前已经获取过IP地址,在漫游接入新AP时,个别客户端可能无法再次通过DHCP/DHCPv6/ND获取IP地址。若此时IP Source Guard功能处于开启状态,则该客户端的数据报文会被AP丢弃。管理员可通过部署WLAN漫游中心来解决此问题。
在WLAN漫游中心组网中,开启IP地址恢复功能后,当客户端漫游离开原AP时,AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心,客户端漫游接入新AP时:
· 如果在配置的IP地址恢复时间内未通过DHCP/DHCPv6/ND获取到新IP地址,则AC会向WLAN漫游中心查询并获取用户漫游之前的IP地址并分配给客户端,临时恢复客户端的IP地址,使得客户端使用该IP地址漫游接入新的网络。如果此后通过DHCP/DHCPv6/ND获取到IP地址,则会更新获取到的IP地址。
· 如果客户端在配置的IP地址恢复时间内通过DHCP/DHCPv6/ND获取到新IP地址,则会以新IP地址漫游接入新的网络。
本命令仅对关联位置在AC上的客户端生效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启IP地址恢复功能。
client ip-snooping ip-recover enable [ delay time ]
缺省情况下,IP地址恢复功能处于关闭状态。
AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。希望AP仅能够通过DHCPv6方式学习客户端IPv6地址。
图1-1 WLAN IP Snooping组网示意图
# 创建AP,使AC和AP之间建立连接,AP绑定同一个无线服务模板service。(详细介绍请参见“WLAN接入配置指导”中的“WLAN接入”和“AP管理配置指导”中的“AP管理”)(略)
# 开启通过DHCPv6方式学习客户端IPv6地址功能。
<AC> system-view
[AC] wlan service-template service
[AC-wlan-st-service] client ipv6-snooping dhcpv6-learning enable
[AC-wlan-st-service] quit
配置完成后,在AC上执行display wlan client ipv6命令,可以看到AP已经学习到客户端的IPv6地址。
[AC] display wlan client ipv6
MAC address AP name IPv6 address VLAN
84db-ac14-dd08 ap1 1::2:0:0:3 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!