22 |
您所在的位置:网站首页 › ip地址查询具体位置 › 22 |
22
|
目 录 1 WLAN IP Snooping 1.1 WLAN IP Snooping简介 1.1.1 学习客户端IPv4地址 1.1.2 学习客户端IPv6地址 1.2 关闭通过ARP方式学习客户端IPv4地址功能 1.3 开启通过DHCP方式学习客户端IPv4地址功能 1.4 开启通过DHCPv6方式学习客户端IPv6地址功能 1.5 配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址 1.6 开启通过ND方式学习客户端IPv6地址功能 1.7 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能 1.8 开启通过HTTP方式学习客户端IP地址功能 1.9 开启IP地址冲突检测功能 1.10 开启IP地址恢复功能 1.11 WLAN IP Snooping显示和维护 1.12 WLAN IP Snooping典型配置举例 1.12.1 WLAN IP Snooping基本组网配置举例 1 WLAN IP Snooping 1.1 WLAN IP Snooping简介 WLAN IP Snooping功能是指AP对收到的客户端发送的ARP报文、DHCPv4报文、DHCPv6报文、ND(Neighbor Discovery,IPv6邻居发现)报文和Portal认证中重定向到Portal Web服务器的HTTP请求报文进行监听,从中学习客户端IP地址,并将学习到的客户端IP地址和客户端MAC地址记录为WLAN IP Snooping绑定表项。该绑定表项主要用于802.1X认证、MAC地址认证用户计费和IP Source Guard功能。关于IP Source Guard的相关介绍请参见“安全配置指导”中的“IP Source Guard”。
当AP为Fit AP时,AP会同步WLAN IP Snooping绑定表项给AC。 1.1.1 学习客户端IPv4地址AP可以通过以下三种方式学习客户端IPv4地址: · ARP方式:AP通过监听网络中客户端发送的ARP报文,从报文中获取客户端的IPv4地址,并与客户端的MAC地址形成绑定表项。关于ARP报文的相关介绍请参见对应交换机产品“三层技术-IP业务配置指导”中的“ARP”。 · DHCPv4方式:AP通过监听客户端与DHCPv4服务器间交互的DHCPv4报文,从报文中获取到DHCPv4服务器为客户端分配的IPv4地址,并与客户端的MAC地址形成绑定表项。关于DHCPv4的相关介绍请参见对应交换机产品“三层技术-IP业务配置指导”中的“DHCP”。 · HTTP方式:客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4地址。关于Portal认证的相关介绍请参见对应交换机产品“安全配置指导”中的“Portal”。 根据不同类型报文学习到同一个客户端IPv4地址时,学习地址方式的优先级由高到低依次为DHCPv4方式、ARP方式和HTTP方式。 1.1.2 学习客户端IPv6地址AP可以通过以下三种方式学习客户端IPv6地址: · DHCPv6方式:AP通过监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的IPv6地址,并与客户端的MAC地址形成绑定表项。关于DHCPv6的相关介绍请参见对应交换机产品“三层技术-IP业务配置指导”中的“DHCPv6”。 · ND方式:AP通过监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取客户端的IPv6地址,并与客户端的MAC地址形成绑定表项。关于ND报文的相关介绍请参见对应交换机产品“三层技术-IP业务配置指导”中的“IPv6基础”。 · HTTP方式:客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。AC开启本功能后,AP会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv6地址。 根据不同类型报文学习到同一个客户端IPv6地址时,学习地址方式的优先级由高到低依次为DHCPv6方式、ND方式和HTTP方式。 1.2 关闭通过ARP方式学习客户端IPv4地址功能 1. 功能简介缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过DHCP方式学习到客户端的IPv4地址,则需要关闭通过ARP方式学习客户端IPv4地址功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 关闭通过ARP方式学习客户端IPv4地址功能。 undo client ipv4-snooping arp-learning enable 缺省情况下,通过ARP方式学习客户端IPv4地址功能处于开启状态。 1.3 开启通过DHCP方式学习客户端IPv4地址功能 1. 功能简介缺省情况下,AP同时通过ARP和DHCP两种方式学习客户端的IPv4地址。若希望设备仅通过ARP方式学习到客户端的IPv4地址,则需要关闭通过DHCP方式学习客户端IPv4地址功能。 2. 配置限制和指导强制未通过DHCP方式学习到IPv4地址的客户端下线功能仅对关联位置在AC上的新上线客户端生效。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 开启通过DHCP方式学习客户端IPv4地址功能。 client ipv4-snooping dhcp-learning enable 缺省情况下,通过DHCP方式学习客户端IPv4地址功能处于开启状态。 (4) (可选)开启强制未通过DHCP方式学习到IPv4地址的客户端下线功能。 client ipv4-snooping dhcp-learning timeout value 缺省情况下,强制未通过DHCP方式学习到IPv4地址的客户端下线功能处于关闭状态。 1.4 开启通过DHCPv6方式学习客户端IPv6地址功能 1. 功能简介缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过DHCPv6方式学习到客户端的IPv6地址,则需要开启通过DHCPv6方式学习客户端IPv6地址功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 开启通过DHCPv6方式学习客户端IPv6地址功能。 client ipv6-snooping dhcpv6-learning enable 缺省情况下,通过DHCPv6方式学习客户端IPv6地址功能处于关闭状态。 1.5 配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址 1. 配置限制和指导只有开启了通过DHCPv6或ND方式学习客户端IPv6地址功能,配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址才能生效。 同一无线服务模板下,可以通过多次执行本命令,指定不同VLAN的客户端IPv6地址学习方式。配置本命令后,设备不会学习未指定学习方式的VLAN的客户端IPv6地址。 每一种客户端IPv6地址学习方式最多可以指定50个VLAN。 修改指定VLAN的客户端IPv6地址学习方式后,当该VLAN下的客户端下次从同一AC下的其它AP或当前接入AP的其它Radio上线时,设备不能通过修改前的学习方式学习该客户端的IPv6地址。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 配置通过DHCPv6或ND方式学习指定VLAN的客户端IPv6地址。 client ipv6-snooping { dhcpv6-learning | nd-learning } vlan vlan-id-list 缺省情况下,设备可以通过DHCPv6或ND方式学习所有VLAN的客户端IPv6地址。 1.6 开启通过ND方式学习客户端IPv6地址功能 1. 功能简介缺省情况下,AP不学习客户端的IPv6地址。若希望设备通过ND方式学习客户端的IPv6地址,则需要开启通过ND方式学习客户端IPv6地址功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 开启通过ND方式学习客户端IPv6地址功能。 client ipv6-snooping nd-learning enable 缺省情况下,通过ND方式学习客户端IPv6地址功能处于关闭状态。 1.7 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能 1. 功能简介缺省情况下,SNMP同时从设备获取ND和DHCPv6方式学习到的客户端IPv6地址。若希望SNMP仅从设备获取DHCPv6方式学习到的客户端IPv6地址,则需要关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 关闭SNMP获取通过ND方式学习到的客户端IPv6地址功能。 undo client ipv6-snooping snmp-nd-report enable 缺省情况下,SNMP获取通过ND方式学习到的客户端IPv6地址功能处于开启状态。 1.8 开启通过HTTP方式学习客户端IP地址功能 1. 功能简介客户端在通过Portal认证前发送的所有HTTP/HTTPS请求都被重定向到Portal Web服务器。开启本功能后: · 当客户端数据报文转发位置在AC上时,AC会对重定向到服务器的HTTP/HTTPS请求报文进行监听,并从中学习客户端IPv4/IPv6地址。 · 当客户端数据报文转发位置在AP上时,AP监听到重定向到服务器的HTTP/HTTPS请求报文后,会从中学习客户端IPv4/IPv6地址并将监听到的请求报文上报给AC。关于Portal认证的相关介绍请参见对应交换机产品“安全配置指导”中的“Portal”。 2. 配置限制和指导通过HTTP方式学习客户端IP地址仅对通过Portal认证上线的客户端生效。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 开启通过HTTP方式学习客户端IP地址功能。 client ip-snooping http-learning enable 缺省情况下,通过HTTP方式学习客户端IP地址功能处于关闭状态。 1.9 开启IP地址冲突检测功能 1. 功能简介开启IP地址冲突检测功能后,当新的无线客户端上线时,如果设备检测到与已上线无线客户端IP地址冲突,就会强制已上线无线客户端下线,同时生成IP地址冲突表项用于记录该冲突。 在分层AC组网中,当不对用户进行Portal认证、对802.1X认证或MAC地址认证用户没有计费需求时,通过在Central AC上关闭IP地址冲突检测功能,可以允许不同Local AC间的无线客户端使用相同IP地址上线,从而达到降低DHCP服务器部署复杂度的目的。 当无线客户端Cache老化时间超时或客户端IP地址发生变化时,已生成的IP地址冲突表项才会被删除。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启IP地址冲突检测功能。 wlan client ip-conflict-detection enable 缺省情况下,IP地址冲突检测功能处于开启状态。 1.10 开启IP地址恢复功能 1. 功能简介无线客户端在漫游前已经获取过IP地址,在漫游接入新AP时,个别客户端可能无法再次通过DHCP/DHCPv6/ND获取IP地址。若此时IP Source Guard功能处于开启状态,则该客户端的数据报文会被AP丢弃。管理员可通过部署WLAN漫游中心来解决此问题。 在WLAN漫游中心组网中,开启IP地址恢复功能后,当客户端漫游离开原AP时,AC会将客户端的IP地址和MAC地址等信息上报给WLAN漫游中心,客户端漫游接入新AP时: · 如果在配置的IP地址恢复时间内未通过DHCP/DHCPv6/ND获取到新IP地址,则AC会向WLAN漫游中心查询并获取用户漫游之前的IP地址并分配给客户端,临时恢复客户端的IP地址,使得客户端使用该IP地址漫游接入新的网络。如果此后通过DHCP/DHCPv6/ND获取到IP地址,则会更新获取到的IP地址。 · 如果客户端在配置的IP地址恢复时间内通过DHCP/DHCPv6/ND获取到新IP地址,则会以新IP地址漫游接入新的网络。 2. 配置限制和指导本命令仅对关联位置在AC上的客户端生效。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入无线服务模板视图。 wlan service-template service-template-name (3) 开启IP地址恢复功能。 client ip-snooping ip-recover enable [ delay time ] 缺省情况下,IP地址恢复功能处于关闭状态。 1.11 WLAN IP Snooping显示和维护在完成上述配置后,在任意视图下执行display命令,可以显示配置后WLAN IP Snooping功能的运行情况,通过查看显示信息,来验证配置的效果。 表1-1 WLAN IP Snooping显示和维护 操作 命令 显示IP地址冲突的新旧客户端的统计信息 display wlan statistics client-ip-conflict 1.12 WLAN IP Snooping典型配置举例 1.12.1 WLAN IP Snooping基本组网配置举例 1. 组网需求 AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。希望AP仅能够通过DHCPv6方式学习客户端IPv6地址。 2. 组网图图1-1 WLAN IP Snooping组网示意图
3. 配置步骤# 创建AP,使AC和AP之间建立连接,AP绑定同一个无线服务模板service。(详细介绍请参见“AP管理”和“WLAN接入”)(略) # 开启通过DHCPv6方式学习客户端IPv6地址功能。 system-view [AC] wlan service-template service [AC-wlan-st-service] client ipv6-snooping dhcpv6-learning enable [AC-wlan-st-service] quit 4. 验证配置配置完成后,在AC上执行display wlan client ipv6命令,可以看到AP已经学习到客户端的IPv6地址。 [AC] display wlan client ipv6 MAC address AP name IPv6 address VLAN 84db-ac14-dd08 ap1 1::2:0:0:3 1
|
【本文地址】