配置用户下线探测报文源地址
背景信息
为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。
- 该功能仅对有线用户生效。
该功能对三层Portal认证用户不生效。
SVF或策略联动场景下,建议用户通过命令access-user arp-detect default ip-address,配置探测的源IP地址为全0。需要注意的是,SVF场景下以上命令需要在控制设备上配置,仅对控制设备探测生效,对于接入设备探测,默认探测的源IP地址为全0,策略联动场景下以上命令可以直接在接入设备上配置。
- 正常情况下,设备发送默认源IP地址的ARP探测报文后,实际在线的客户端会立即回应ARP应答报文。如果客户端实际在线,但不回应设备的ARP探测报文,设备就会将客户端下线,为解决该问题,可以使用以下两种方式:
- 通过命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,指定ARP探测报文的VLAN ID、源IP地址和源MAC地址。
- 如果不希望使用以上方式,也可以通过命令authentication timer handshake-period handshake-period,适当调大探测周期。这是因为,对于不会立即回应设备发送的ARP探测报文的客户端,设备支持识别客户端发送的免费ARP报文,但是免费ARP报文发送的周期不固定,调大探测周期有利于探测到该报文。
- 对于物理接口下的在线用户,用户必须重新上线或者设备对其进行重认证之后本命令功能才会生效;对于Eth-Trunk接口下的在线用户,配置本命令功能后立即生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户下线探测报文的源地址。
执行命令access-user arp-detect default ip-address ip-address,配置用户下线探测报文的默认源IP地址。
缺省情况下,用户下线探测报文的默认源IP地址是0.0.0.0。
执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
执行命令access-user arp-detect fallback ip-address { mask | mask-length },配置计算下线探测报文源地址所需的IP地址。
缺省情况下,未配置计算下线探测报文源地址所需的IP地址。
用户下线探测报文使用的源IP地址优先级:
- 用户所在VLAN对应VLANIF接口下的IP地址和MAC地址,且与用户同网段
- 命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address指定的VLAN内用户下线探测报文的源IP地址
- 基于access-user arp-detect fallback ip-address { mask | mask-length } 计算出的下线探测报文源地址
- 命令access-user arp-detect default ip-address ip-address指定的用户下线探测报文的默认源IP地址
对于从Eth-Trunk接口上线的用户和从S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S的物理接口上线的用户,若修改探测源地址,立即生效。其他情况下,修改探测源地址仅对新上线用户生效。
- 执行命令access-user arp-detect delay delay,配置下线探测报文延迟发送时间。
缺省情况下,下线探测报文延迟发送时间为10秒。
