• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C无线控制器IPv6源地址验证典型配置举例(V7)

2018-12-24 发表
  • 0关注
  • 0收藏 2107浏览
粉丝:42人 关注:0人

组网及说明

本文档介绍无线控制器 IPv6 源地址验证的典型配置举例。

本文档适用于使用 Comware V7 软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解 IPv6 源地址验证与WLAN 接入相关特性。

    1. 组网需求:

      1 所示,ACAPHostDHCPv6 server之间均通过交换机连接,Client 1 支持IPv6 地址的有状态地址配置,DHCPv6 serverAPClient 1 动态分配IPv6 地址,Client 2 手工静态配置IPv6地址。要求:

      客户端通过名称为 service SSID 接入网络。

      通过 DHCPv6 方式形成绑定表项。

      开启 IPv6 源地址验证功能,AP 在收到从名称为service SSID 接入的客户端报文时,转发Client 1 的报文,丢弃Client 2 的报文。

    2. 组网图:




配置步骤

3.1 AC的配置

(1) 配置AC 的接口

# 创建VLAN 100 及其对应的VLAN 接口,并为该接口配置IPv6 地址。AC 将通过该VLAN AP建立CAPWAP 隧道。

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ipv6 address 2000:10::10/64

[AC-Vlan-interface100] quit

# 创建VLAN 200AC 需要使用该VLAN 转发无线客户端数据报文。

[AC] vlan 200

[AC-vlan200] quit

# 配置AC Switch 连接的GigabitEthernet1/0/1 接口的属性为Trunk,禁止VLAN 1 报文通过,允许VLAN 100 VLAN 200

[AC] interface gigabitethernet 1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100

[AC-GigabitEthernet1/0/1] quit

(2) 配置无线服务

# 创建无线服务模板1,并进入无线服务模板视图。

[AC] wlan service-template 1

# 配置SSID service

[AC-wlan-st-1] ssid service

# 开启通过DHCPv6 方式学习客户端IPv6 地址功能。

[AC-wlan-st-1] client ipv6-snooping dhcpv6-learning enable

# 配置IPv6 源地址验证。

[AC-wlan-st-1] ipv6 verify source

# 使能无线服务模板。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(3) 配置AP

# 创建手工AP,名称为officeap,型号名称为WA4320i-ACN

[AC] wlan ap officeap model WA4320i-ACN

# 设置AP 的序列号为210235A1GQB147031200

[AC-wlan-ap-officeap] serial-id 210235A1GQB147031200

# 进入AP Radio 1 视图,并将无线服务模板1 绑定到Radio 1 上,并只能客户端上线的VLANVLAN 200

[AC-wlan-ap-officeap] radio 1

[AC-wlan-ap-officeap-radio-1] service-template 1 vlan-id 200

# 开启Radio 1 的射频功能。

[AC-wlan-ap-officeap-radio-1] radio enable

[AC-wlan-ap-officeap-radio-1] quit

3.2 Switch 的配置

# 创建VLAN 100 VLAN 200,其中VLAN 100 用于转发AC AP CAPWAP 隧道内的流量,VLAN 200 为无线用户接入的VLAN

<Switch> system-view

[Switch] vlan 100

[Switch-vlan100] quit

[Switch] vlan 200

[Switch-vlan200] quit

# 配置Switch AC 相连的GigabitEthernet1/0/1 接口的属性为Trunk,当前Trunk 口的PVID 100,允许VLAN 100 VLAN 200 通过。

[Switch] interface GigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200

[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch AP 相连的GigabitEthernet1/0/2 接口属性为Access,并允许VLAN 100 通过。

[Switch] interface GigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 100

# 使能PoE 功能。

[Switch-GigabitEthernet1/0/2] poe enable

[Switch-GigabitEthernet1/0/2] quit

3.3 验证配置

(1) Client 10024-d774-e6f4)上线,并获取到IPv6 地址2000:10::2/64

(2) Client 20024-0130-696b)上线,配置静态IPv6 单播地址2000:10::3/64

(3) 从无线客户端Client 1 ping 同网段中的主机Host,可以ping 通。

C:\Users\>ping -S 2000:10::2 2000:10::1

Pinging 2000:10::1 from 2000:10::2 with 32 bytes of data:

Reply from 2000:10::1 : time=22ms

Reply from 2000:10::1 : time=61ms

Reply from 2000:10::1 : time=32ms

Reply from 2000:10::1 : time=16ms

Ping statistics for 2000:10::1 :

Packets: Sent = 4,Received = 4,Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 16msMaximum = 61msAverage = 32ms

(4) 从无线客户端Client 2 ping 同网段中的主机Host,不能ping 通。

C:\Users\>ping -S 2000:10::3 2000:10::1

Pinging 2000:10::1 from 2000:10::3 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 2000: 10::1 :

Packets: Sent = 4,Received = 0,Lost = 4 (100% loss),


配置关键点

请不要给终端分配2002开头的网段的ipv6地址

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-11对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作