• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-BRAS业务配置指导

目录

07-DHCPv6配置

本章节下载 07-DHCPv6配置  (686.51 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Configure/Operation_Manual/H3C_SR8800-F_CG-R7751PXX-6W102/16/201903/1160379_30005_0.htm

07-DHCPv6配置

  录

1 DHCPv6概述

1.1 DHCPv6的优点

1.2 DHCPv6地址/前缀分配过程

1.2.1 交互两个消息的快速分配过程

1.2.2 交互四个消息的分配过程

1.3 地址/前缀租约更新过程

1.4 DHCPv6无状态配置

1.5 DHCPv6选项介绍

1.5.1 Option 18

1.5.2 Option 37

1.6 协议规范

2 DHCPv6服务器

2.1 DHCPv6服务器简介

2.1.1 DHCPv6服务器应用环境

2.1.2 基本概念

2.1.3 DHCPv6地址池

2.1.4 地址/前缀的选择优先次序

2.2 DHCPv6服务器配置任务简介

2.3 配置为DHCPv6客户端分配IPv6前缀

2.4 配置为DHCPv6客户端分配IPv6地址

2.5 配置为DHCPv6客户端分配网络参数

2.5.1 功能简介

2.5.2 直接在DHCPv6地址池中配置网络参数

2.5.3 通过DHCPv6选项组配置网络参数

2.6 配置DHCPv6地址池组

2.7 配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配方式

2.8 配置DHCPv6策略动态分配IPv6地址、前缀和其他参数

2.9 开启为MAC地址相同的DHCPv6客户端分配不同IPv6地址功能

2.10 配置DHCPv6服务器发送DHCPv6报文的DSCP优先级

2.11 配置DHCPv6服务器租约固化功能

2.12 配置DHCPv6服务器辅助路由信息

2.13 开启DHCPv6服务器发布前缀路由功能

2.14 指定DHCPv6服务器上的地址池所属的VPN实例

2.15 配置DHCPv6服务器安全功能

2.15.1 配置DHCPv6防Flood攻击功能

2.16 开启DHCPv6服务器的日志信息功能

2.17 DHCPv6服务器显示和维护

2.18 DHCPv6服务器典型配置举例

2.18.1 动态分配IPv6前缀配置举例

2.18.2 动态分配IPv6地址配置举例

3 DHCPv6中继

3.1 DHCPv6中继简介

3.1.1 应用环境

3.1.2 DHCPv6中继的工作过程

3.2 DHCPv6中继配置任务简介

3.3 配置接口工作在DHCPv6中继模式

3.4 指定DHCPv6服务器的地址

3.4.1 指定DHCPv6中继对应的DHCPv6服务器地址

3.4.2 指定中继地址池上对应的DHCPv6服务器地址

3.5 配置DHCPv6中继为DHCPv6客户端分配的网关地址

3.6 配置DHCPv6中继发送DHCPv6报文的DSCP优先级

3.7 配置DHCPv6中继支持的Interface ID选项填充模式

3.8 开启DHCPv6中继发布前缀路由功能

3.9 配置DHCPv6中继安全功能

3.9.1 开启DHCPv6中继用户表项记录功能

3.9.2 配置清除用户表项时通知DHCPv6服务器释放租约

3.9.3 开启DHCPv6中继用户下线探测功能

3.9.4 配置DHCPv6 Flood攻击防范功能

3.10 DHCPv6中继显示和维护

3.11 DHCPv6中继典型配置举例

3.11.1 DHCPv6中继基本组网典型配置举例

4 DHCPv6客户端

4.1 DHCPv6客户端简介

4.2 DHCPv6客户端配置限制和指导

4.3 DHCPv6客户端配置任务简介

4.4 配置接口使用的DHCPv6客户端DUID

4.5 配置DHCPv6客户端获取IPv6地址和网络配置参数

4.6 配置DHCPv6客户端获取IPv6前缀和网络配置参数

4.7 配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数

4.8 配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数

4.9 配置DHCPv6客户端发送DHCPv6报文的DSCP优先级

4.10 DHCPv6客户端显示和维护

4.11 DHCPv6客户端典型配置举例

4.11.1 DHCPv6客户端申请地址及网络参数配置举例

4.11.2 DHCPv6客户端申请前缀及网络参数配置举例

4.11.3 DHCPv6客户端同时申请地址、前缀及网络参数配置举例

4.11.4 DHCPv6无状态配置配置举例

5 DHCPv6 Snooping

5.1 DHCPv6 Snooping简介

5.1.1 保证客户端从合法的服务器获取IPv6地址

5.1.2 记录DHCPv6客户端IPv6地址与MAC地址的对应关系

5.2 DHCPv6 snooping配置限制和指导

5.3 DHCPv6 Snooping配置任务简介

5.4 配置DHCPv6 Snooping基本功能

5.5 配置DHCPv6 Snooping支持Option 18功能

5.6 配置DHCPv6 Snooping支持Option 37功能

5.7 配置DHCPv6 Snooping表项固化功能

5.8 配置接口动态学习DHCPv6 Snooping表项的最大数目

5.9 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

5.10 开启DHCPv6 Snooping报文阻断功能

5.11 开启DHCPv6 Snooping日志信息功能

5.12 DHCPv6 Snooping显示和维护

5.13 DHCPv6 Snooping典型配置举例

5.13.1 DHCPv6 Snooping基本组网配置举例

 


1 DHCPv6概述

DHCPv6(Dynamic Host Configuration Protocol for IPv6,支持IPv6的动态主机配置协议)针对IPv6编址方案设计,用来为主机分配IPv6前缀、IPv6地址和其他网络配置参数。

1.1  DHCPv6的优点

与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见“三层技术-IP业务配置指导”中的“IPv6基础”)相比,DHCPv6具有以下优点:

·     更好地控制地址的分配。通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理。

·     为客户端分配前缀,以便于全网络的自动配置和管理。

·     除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数。

1.2  DHCPv6地址/前缀分配过程

DHCPv6服务器为客户端分配地址/前缀的过程分为两类:

·     交互两个消息的快速分配过程

·     交互四个消息的分配过程

1.2.1  交互两个消息的快速分配过程

图1-1 地址/前缀快速分配过程

 

图1-1所示,地址/前缀快速分配过程为:

(1)     DHCPv6客户端在向DHCPv6服务器发送的Solicit消息中携带Rapid Commit选项,标识客户端希望服务器能够快速为其分配地址/前缀和其他网络配置参数。

(2)     如果DHCPv6服务器支持快速分配过程,则直接返回Reply消息,为客户端分配IPv6地址/前缀和其他网络配置参数。如果DHCPv6服务器不支持快速分配过程,则采用“1.2.2  交互四个消息的分配过程”为客户端分配IPv6地址/前缀和其他网络配置参数。

1.2.2  交互四个消息的分配过程

交互四个消息的分配过程如图1-2所示。

图1-2 交互四个消息的分配过程

 

交互四个消息分配过程的简述如表1-1

表1-1 交互四个消息的分配过程

步骤

发送的消息

说明

(1)

Solicit

DHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数

(2)

Advertise

如果Solicit消息中没有携带Rapid Commit选项,或Solicit消息中携带Rapid Commit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复该消息,通知客户端可以为其分配的地址/前缀和网络配置参数

(3)

Request

如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数

(4)

Reply

DHCPv6服务器回复该消息,确认将地址/前缀和网络配置参数分配给客户端使用

 

1.3  地址/前缀租约更新过程

DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限,该租借期限称为租约。租借期限由有效生命期决定。地址/前缀的租借时间到达有效生命期后,DHCPv6客户端不能再使用该地址/前缀。在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要申请延长地址/前缀租约。

图1-3 通过Renew更新地址/前缀租约

 

图1-3所示,地址/前缀租借时间到达时间T1(推荐值为首选生命期的一半)时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器发送Renew报文,以进行地址/前缀租约的更新。如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约。

图1-4 通过Rebind更新地址/前缀租约

 

图1-4所示,如果在T1时发送Renew请求更新租约,但是未收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2(推荐值为首选生命期的0.8倍)时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约。如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约;如果DHCPv6客户端未收到服务器的应答报文,则到达有效生命期后,客户端停止使用该地址/前缀。有效生命期和首选生命期的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

1.4  DHCPv6无状态配置

DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置。

DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,即DHCPv6客户端根据路由器发现/前缀发现所获取的信息自动配置IPv6地址后,如果接收到的RA(Router Advertisement,路由器通告)报文中M标志位(Managed address configuration flag,被管理地址配置标志位)取值为0、O标志位(Other stateful configuration flag,其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数。

图1-5 DHCPv6无状态配置工作过程

 

图1-5所示,DHCPv6无状态配置的具体过程为:

(1)     客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带Option Request选项,指定客户端需要从服务器获取的配置参数。

(2)     服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端。

(3)     客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数。如果接收到多个与请求相符的Reply报文,客户端将选择最先收到的Reply报文,并根据该报文中提供的参数完成客户端无状态配置。

1.5  DHCPv6选项介绍

1.5.1  Option 18

Option 18称为接口ID选项(Interface ID),设备接收到DHCPv6客户端发送的DHCPv6请求报文后,在该报文中添加Option 18选项,并转发给DHCPv6服务器。服务器可根据Option 18选项中的客户端信息选择合适的地址池为DHCPv6客户端分配IPv6地址。图1-6为Option 18选项格式。

图1-6 Option 18选项格式

 

各字段的解释如下:

·     Option code:Option编号,取值为18。

·     Option length:Option字段长度。

·     Port index:DHCPv6设备收到客户端请求报文的端口索引。

·     VLAN ID:第一层VLAN信息。

·     Second VLAN ID:第二层VLAN信息。选项格式中的Second VLAN ID字段为可选,如果DHCPv6报文中不含有Second VLAN,则Option 18中也不包含Second VLAN ID内容。

·     DUID:DHCPv6客户端的DUID信息。

1.5.2  Option 37

Option 37称为远程ID选项(Remote ID),设备接收到DHCPv6客户端发送的DHCPv6请求报文后,在该报文中添加Option 37选项,并转发给DHCPv6服务器。服务器可根据Option 37选项中的信息对DHCPv6客户端定位,为分配IPv6地址提供帮助。图1-7为Option 37选项格式。

图1-7 Option 37选项格式

 

各字段的解释如下:

·     Option code:Option编号,取值为37。

·     Option length:Option字段长度。

·     Enterprise number:企业编号。

·     Port index:DHCPv6设备收到客户端请求报文的端口索引。

·     VLAN ID:第一层VLAN信息。

·     Second VLAN ID:第二层VLAN信息。选项格式中的Second VLAN ID字段为可选,如果DHCPv6报文中不含有Second VLAN,则Option 37中也不包含Second VLAN ID内容。

·     DUID:DHCPv6客户端的DUID信息。

1.6  协议规范

与DHCPv6相关的协议规范有:

·     RFC 3736:Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6

·     RFC 3315:Dynamic Host Configuration Protocol for IPv6 (DHCPv6)

·     RFC 2462:IPv6 Stateless Address Autoconfiguration

·     RFC 3633:IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6

 


2 DHCPv6服务器

2.1  DHCPv6服务器简介

2.1.1  DHCPv6服务器应用环境

DHCPv6服务器可以为客户端分配IPv6地址/前缀和其他网络配置参数。

1. DHCPv6服务器为客户端分配IPv6地址和其他网络配置参数

图2-1 DHCPv6服务器为客户端分配IPv6地址和其他网络配置参数应用环境

 

图2-1所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端提供诸如IPv6地址、域名后缀、DNS服务器地址等网络配置参数。DHCPv6客户端根据服务器分配的参数来实现主机的配置。

DHCPv6服务器为客户端分配的IPv6地址分为以下两类:

·     临时IPv6地址:在短期内经常变化且不用续约的地址;

·     非临时IPv6地址:正常使用,可以进行续约的地址。

2. DHCPv6服务器为客户端分配IPv6前缀

图2-2 DHCPv6服务器前缀分配应用组网图

 

图2-2所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端分配IPv6前缀。DHCPv6客户端获取到IPv6前缀后,向所在网络组播发送包含该前缀信息的RA消息,以便网络内的主机根据该前缀自动配置IPv6地址。

2.1.2  基本概念

1. DHCPv6采用的组播地址

DHCPv6采用组播地址FF05::1:3来表示站点本地范围内所有的DHCPv6服务器;采用组播地址FF02::1:2来表示链路本地范围内所有的DHCPv6服务器和中继。

2. DUID

DUID(DHCP Unique Identifier,DHCP唯一标识符)是一台DHCPv6设备(包括客户端、服务器和中继)的唯一标识。在DHCPv6报文交互过程中,DHCPv6客户端、服务器和中继通过在报文中添加DUID来标识自己。

图2-3 DUID-LL结构

 

目前,设备采用RFC 3315规定的DUID-LL(DUID Based on Link-layer Address,基于链路层地址的DUID)作为DHCPv6设备的标识。DUID-LL的结构如图2-3所示:

·     DUID type:DUID类型。设备支持的DUID类型为DUID-LL,取值为0x0003。

·     Hardware type:硬件类型。设备支持的硬件类型为以太网,取值为0x0001。

·     Link layer address:链路层地址。取值为设备的桥MAC地址。

3. IA

IA(Identity Association,标识联盟)用于管理分配给客户端的一组地址和前缀等信息,通过IAID标识。一个客户端可以有多个IA,如客户端的每个接口拥有一个IA,IA用来管理该接口获取的地址和前缀等信息。

4. IAID

IAID是IA的标识符,由客户端选择。在一个客户端上不同IA的IAID不能相同。

5. PD

PD(Prefix Delegation,前缀授权)是DHCPv6服务器为分配的前缀创建的前缀绑定信息,前缀绑定信息中记录了IPv6前缀、客户端DUID、IAID、有效时间、首选时间、租约过期时间、申请前缀的客户端的IPv6地址等信息。

2.1.3  DHCPv6地址池

每个DHCPv6地址池都拥有一组可供分配的IPv6地址、IPv6前缀和网络配置参数。DHCPv6服务器从地址池中为客户端选择并分配IPv6地址、IPv6前缀及其他参数。

1. DHCPv6地址池的地址管理方式

DHCPv6地址池的地址管理方式有以下几种:

·     静态绑定IPv6地址:通过将客户端DUID和IAID与IPv6地址绑定的方式,实现为特定的客户端分配特定的IPv6地址;

·     动态选择IPv6地址:在地址池中指定可供分配的IPv6地址范围,当收到客户端的IPv6地址申请时,从该地址范围中动态选择IPv6地址,分配给该客户端。

在DHCPv6地址池中指定可供分配的IPv6地址范围时,需要:

(1)     指定动态分配的IPv6地址网段。

(2)     将该网段划分为非临时地址范围和临时地址范围。每个地址范围内的地址必须属于该网段,否则无法分配。

采用动态选择IPv6地址方式时,如果接收到客户端的地址申请,则DHCPv6服务器选择一个合适的地址池,并按照客户端申请的地址类型(非临时地址或临时地址),从该地址池对应的地址范围(非临时地址范围或临时地址范围)中选择合适的IPv6地址分配给客户端。

2. DHCPv6地址池的前缀管理方式

DHCPv6地址池的前缀管理方式有以下几种:

·     静态绑定IPv6前缀:通过将客户端DUID和IAID与IPv6前缀绑定的方式,实现为特定的客户端分配特定的IPv6前缀;

·     动态选择IPv6前缀:在地址池中指定可供分配的IPv6前缀范围,当收到客户端的IPv6前缀申请时,从该前缀范围中动态选择IPv6前缀,分配给该客户端。

在DHCPv6地址池中指定可供分配的IPv6前缀范围时,需要:

(1)     创建前缀池,指定前缀池中包括的IPv6前缀范围。

(2)     在地址池中指定动态分配的IPv6地址网段。

(3)     在地址池中引用前缀池。

3. 地址池的选取原则

DHCPv6服务器为客户端分配IPv6地址或前缀时,按照如下顺序选择地址池:

(1)     如果存在将客户端DUID、IAID与IPv6地址或前缀静态绑定的地址池,则选择该地址池,并将静态绑定的IPv6地址或前缀、及该地址池中的网络参数分配给客户端。

(2)     如果接收到DHCPv6请求报文的接口引用了某个地址池,则选择该地址池,从该地址池中选取IPv6地址或前缀、及网络配置参数分配给客户端。

(3)     如果配置了DHCPv6策略,则DHCPv6客户端匹配某个DHCPv6用户类时,DHCPv6服务器选择与该DHCPv6用户类关联的DHCPv6地址池;DHCPv6客户端未匹配到DHCPv6用户类时,若配置了默认DHCPv6地址池,则选择该DHCPv6地址池;若未配置默认DHCPv6地址池或DHCPv6默认地址池不存在可供分配的IPv6地址或前缀时,IPv6地址、前缀或其他参数分配失败。

(4)     如果上述条件均不满足,则使用以下方法选择DHCPv6地址池:

¡     如果客户端与服务器在同一网段,则将接收到DHCPv6请求报文的接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。

¡     如果客户端与服务器不在同一网段,即客户端通过DHCPv6中继获取IPv6地址或前缀,则将离DHCPv6客户端最近的DHCPv6中继接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池。

配置地址池动态分配的网段和IPv6地址范围时,请尽量保证与DHCPv6服务器接口或DHCPv6中继接口的IPv6地址所在的网段一致,以免分配错误的IPv6地址。

2.1.4  地址/前缀的选择优先次序

DHCPv6服务器为客户端分配IPv6地址/前缀的优先次序如下:

(1)     DUID、IAID与客户端DUID、IAID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀;

(2)     DUID、IAID与客户端DUID、IAID匹配的静态绑定地址/前缀;

(3)     DUID与客户端的DUID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;

(4)     DUID与客户端DUID匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;

(5)     服务器记录的曾经分配给客户端的地址/前缀;

(6)     地址池/前缀池中与客户端期望地址/前缀匹配的空闲地址/前缀;

(7)     地址池/前缀池中的其他空闲地址/前缀;

(8)     如果未找到可用的地址/前缀,则依次查询租约过期地址/前缀、曾经发生过冲突的地址,如果找到则进行分配,否则将不予处理。

如果客户端的网段发生变化,服务器不会为客户端分配曾经分配给它的地址/前缀,而是从匹配新网段的地址池中重新选择地址/前缀等信息。

说明

使用曾经发生过冲突的IPv6地址时,只有冲突状态超过一小时的地址租约才能够被服务器分配给新的DHCPv6客户端。

 

2.2  DHCPv6服务器配置任务简介

DHCPv6服务器配置任务如下:

(1)     配置为DHCPv6客户端分配IPv6前缀、IPv6地址和其他网络参数

请至少选择以下一项任务进行配置:

¡     配置为DHCPv6客户端分配IPv6前缀

¡     配置为DHCPv6客户端分配IPv6地址

¡     配置为DHCPv6客户端分配网络参数

¡     配置DHCPv6地址池

(2)     修改DHCPv6服务器的地址池选择方式

请至少选择以下一项任务进行配置:

¡     配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配方式

¡     配置DHCPv6策略动态分配IPv6地址、前缀和其他参数

(3)     (可选)开启为MAC地址相同的DHCPv6客户端分配不同IPv6地址功能

(4)     (可选)配置DHCPv6服务器发送DHCPv6报文的DSCP优先级

(5)     (可选)配置DHCPv6服务器租约固化功能

(6)     (可选)配置DHCPv6服务器辅助路由信息

(7)     (可选)开启DHCPv6服务器发布前缀路由功能

(8)     (可选)指定DHCPv6服务器上的地址池所属VPN实例

(9)     (可选)配置DHCPv6服务器安全功能

(10)     (可选)开启DHCPv6服务器的日志信息功能

2.3  配置为DHCPv6客户端分配IPv6前缀

1. 功能简介

可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6前缀:

·     在地址池中配置静态绑定前缀:指定DUID、IAID及前缀的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的前缀分配给此DHCPv6客户端。如果只指定了DUID和前缀的绑定关系,未指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的前缀分配给此DHCPv6客户端。

·     在地址池中引用包含一定前缀范围的前缀池:接收到DHCPv6客户端的前缀分配请求后,DHCPv6服务器从前缀范围中动态选择可用前缀,分配给客户端。

在实际组网中,某些前缀是保留前缀,不应该动态分配给客户端。通过配置不参与自动分配的前缀,可以避免DHCPv6服务器分配这些前缀。

2. 配置限制和指导

配置为DHCPv6客户端分配IPv6前缀时,需要注意:

·     一个IPv6前缀只能与一个客户端绑定。不允许通过重复执行static-bind prefix命令的方式修改IPv6前缀与客户端的绑定关系、前缀的首选生命期和有效生命期。只有删除该IPv6前缀的静态绑定配置后,才能将该IPv6前缀与其他客户端绑定,或修改前缀的首选生命期和有效生命期。

·     一个地址池最多可以引用一个前缀池。地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端。只有创建该前缀池后,才能支持前缀的动态选择。

·     不允许通过重复执行prefix-pool命令的方式修改地址池引用的前缀池、前缀的首选生命期和有效生命期。只有取消当前地址池引用的前缀池后,才能引用其他的前缀池,或修改首选生命期和有效生命期。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)配置不参与自动分配的IPv6前缀。

ipv6 dhcp server forbidden-prefix start-prefix/prefix-len [ end-prefix/prefix-len ] [ vpn-instance vpn-instance-name ]

缺省情况下,DHCPv6前缀池中的所有IPv6前缀都参与自动分配。

如果通过ipv6 dhcp server forbidden-prefix命令将已经静态绑定的IPv6前缀配置为不参与自动分配的前缀,则该前缀仍然可以分配给静态绑定的用户。

(3)     创建前缀池。

ipv6 dhcp prefix-pool prefix-pool-number prefix { prefix-number | prefix/prefix-len } assign-len assign-len [ vpn-instance vpn-instance-name ]

仅在DHCPv6服务器为DHCPv6客户端动态分配IPv6前缀时需要进行本配置。

当配置前缀池引用前缀编号时,必须保证指定前缀号有对应的生效前缀,否则配置不生效。

(4)     创建DHCPv6地址池,并进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

(5)     配置动态分配的IPv6地址网段。

network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,未配置动态分配的IPv6地址网段。

不能在不同地址池下使用network命令配置相同的地址网段。

不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度。

(6)     配置地址池引用前缀信息。请至少选择其中一项进行配置。

¡     配置静态绑定前缀。

static-bind prefix prefix/prefix-len duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,未配置地址池的静态绑定前缀。

重复执行static-bind prefix命令,可以配置多个静态绑定的IPv6前缀。

¡     配置地址池引用前缀池。

prefix-pool prefix-pool-number [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] [ export-route [ preference preference | tag tag ] * ]

缺省情况下,未配置可动态分配的前缀。

2.4  配置为DHCPv6客户端分配IPv6地址

1. 功能简介

可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6地址:

·     在地址池中配置静态绑定地址:指定DUID、IAID及地址的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的地址分配给此DHCPv6客户端。如果只指定了DUID和地址的绑定关系,未指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的地址分配给此DHCPv6客户端。

·     在地址池中配置动态分配的地址网段和地址范围:

¡     在进行非临时地址分配时,如果未在地址池下通过address range命令配置动态分配的IPv6非临时地址范围,则network命令指定的网段内的单播地址都可以分配给DHCPv6客户端。如果配置了address range命令,则只会从该地址范围内分配IPv6非临时地址,即使该范围内的地址分配完毕,也不会从network命令指定的地址范围内分配IPv6非临时地址。

¡     在进行临时地址分配时,如果未在地址池下通过temporary address range命令配置动态分配的IPv6临时地址范围,则地址池无法分配临时地址。如果配置了temporary address range命令,则只会从该地址范围内分配IPv6临时地址,不会从network或者address range命令配置的地址范围内分配临时地址。

在实际组网中,某些地址是服务器的地址或者是保留地址,不应该动态分配给客户端。通过配置不参与自动分配的地址,可以避免DHCPv6服务器分配这些地址。

2. 配置限制和指导

配置为DHCPv6客户端分配IPv6地址,需要注意:

·     一个地址池下只能配置一个IPv6非临时地址范围和一个IPv6临时地址范围。

·     address range命令和temporary address range命令配置的地址范围应该在network命令配置的网段内,否则地址不能被分配。

·     个IPv6地址只能与一个客户端绑定。不允许通过重复执行static-bind address命令的方式修改IPv6地址与客户端的绑定关系、地址的首选生命期和有效生命期。只有删除该IPv6地址的静态绑定配置后,才能通过重新配置将该IPv6地址与其他客户端绑定,或修改地址的首选生命期和有效生命期。

·     每个DHCPv6地址池只能配置一个网段,在相同地址池中重复执行network命令,新的配置会覆盖已有配置。如果相邻两次network命令配置的地址网段相同而首选生命期和有效生命期不同,则新配置的首选生命期和有效生命期只能在新生成的绑定信息中生效,原有绑定信息不受影响。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)配置不参与自动分配的IPv6地址。

ipv6 dhcp server forbidden-address start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ]

缺省情况下,除DHCPv6服务器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都参与自动分配。

如果通过ipv6 dhcp server forbidden-address命令将已经静态绑定的IPv6地址配置为不参与自动分配的地址,则该地址仍然可以分配给静态绑定的用户。

(3)     进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

(4)     配置动态分配的IPv6地址网段。

network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,未配置动态分配的IPv6地址网段。

不能在不同地址池下使用network命令配置相同的地址网段。

不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度。

(5)     (可选)配置动态分配的IPv6非临时地址范围。

address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,未配置地址池中动态分配的IPv6非临时地址范围,整个网段内的单播地址都可以作为非临时地址分配给客户端。

(6)     (可选)配置动态分配的IPv6临时地址范围。

temporary address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,未配置动态分配的IPv6临时地址范围,不能分配IPv6临时地址。

(7)     (可选)配置DHCPv6地址池地址分配模式。

address-alloc-mode { eui-64 | interface-id }

缺省情况下,地址池按照地址选择优先次序选择第一个可用的IPv6地址分配给DHCPv6客户端。

(8)     (可选)配置静态绑定的IPv6地址。

static-bind address ipv6-address/addr-prefix-length duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,不存在静态绑定的IPv6地址。

重复执行static-bind address命令,可以配置多个静态绑定的IPv6地址。

2.5  配置为DHCPv6客户端分配网络参数

2.5.1  功能简介

除了分配IPv6地址和IPv6前缀外,DHCPv6地址池中还可以配置其他网络参数,如在一个地址池下最多可以配置8个DNS服务器地址、1个域名、1个AFTR(Address Family Transition Router,地址族转换路由器)域名、8个SIP服务器地址和8个SIP服务器域名等。

可以通过如下方式配置为DHCPv6客户端分配的网络参数:

·     直接在DHCPv6地址池视图下配置网络参数。

·     在DHCPv6选项组中配置网络参数,并在DHCPv6地址池视图下指定引用的DHCPv6选项组。

直接在DHCPv6地址池视图下配置的网络参数的优先级高于DHCPv6选项组中配置的网络参数。

2.5.2  直接在DHCPv6地址池中配置网络参数

(1)     进入系统视图。

system-view

(2)     进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

(3)     配置动态分配的IPv6地址网段。

network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]

缺省情况下,未配置动态分配的IPv6地址网段。

不能在不同地址池下使用network命令配置相同的地址网段。

不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度。

地址池引用前缀编号分配动态地址时必须保证前缀号有对应的生效前缀,否则配置不生效。

(4)     配置为客户端分配的DNS服务器地址。

dns-server ipv6-address

缺省情况下,未指定为客户端分配的DNS服务器地址。

(5)     配置为客户端分配的域名。

domain-name domain-name

缺省情况下,未指定为客户端分配的域名。

(6)     配置为客户端分配的AFTR域名。

aftr-name aftr-name

缺省情况下,未指定为客户端分配的AFTR域名。

(7)     配置为客户端分配的SIP服务器地址或域名。

sip-server { address ipv6-address | domain-name domain-name }

缺省情况下,未指定为客户端分配的SIP服务器地址或域名。

(8)     配置DHCPv6自定义选项。

option code hex hex-string

缺省情况下,未配置DHCPv6自定义选项。

2.5.3  通过DHCPv6选项组配置网络参数

1. 功能简介

DHCPv6选项组的创建方法有以下几种:

·     通过ipv6 dhcp option-group命令手工创建静态DHCPv6选项组。

·     设备作为DHCPv6客户端获取IPv6地址、前缀和网络配置参数时,在DHCPv6客户端上根据获取的网络配置参数动态创建DHCPv6选项组。

手工创建的DHCPv6选项组优先级高于动态创建的DHCPv6选项组。本节只介绍手工创建静态DHCPv6选项组的方法,动态创建DHCPv6选项组的方法请参见“三层技术-IP业务配置指导”中的“DHCPv6客户端”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     手工创建静态DHCPv6选项组,并进入DHCPv6选项组视图。

ipv6 dhcp option-group option-group-number

(3)     配置为客户端分配的DNS服务器地址。

dns-server ipv6-address

缺省情况下,未指定为客户端分配的DNS服务器地址。

(4)     配置为客户端分配的域名后缀。

domain-name domain-name

缺省情况下,未指定为客户端分配的域名后缀。

(5)     配置为客户端分配的SIP服务器地址或域名。

sip-server { address ipv6-address | domain-name domain-name }

缺省情况下,未指定为客户端分配的SIP服务器地址或域名。

(6)     配置DHCPv6自定义选项。

option code hex hex-string

缺省情况下,未配置DHCPv6自定义选项。

(7)     退回系统视图。

quit

(8)     进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

(9)     配置DHCPv6地址池引用选项组。

option-group option-group-number

缺省情况下,DHCPv6地址池未引用选项组。

2.6  配置DHCPv6地址池组

1. 功能简介

在AAA组网中,终端用户经过AAA认证后,AAA会从配置的DHCPv6地址池中选择IPv6地址分配给该用户。配置AAA关联某个独立的DHCPv6地址池时,会出现如下问题:

·     为不同位置的接入用户选择不同的DHCPv6服务器;

·     当前AAA设备既需要作为DHCPv6服务器也需要作为DHCPv6中继,作为DHCPv6服务器可以直接为DHCPv6客户端分配地址;作为DHCPv6中继可以将用户的请求报文转发给DHCPv6服务器,并将DHCPv6服务器的应答报文转发给终端用户。

为了解决上述问题,DHCPv6新增DHCPv6地址池组功能,管理员可以将多个DHCPv6地址池添加到同一个DHCPv6地址池组中,DHCPv6地址池组只支持添加普通地址池。配置AAA关联地址池组后,AAA按照匹配顺序选择地址池组中的地址池为终端用户分配IPv6地址。

当DHCPv6地址池匹配最后一个地址池,仍无法为用户分配IPv6地址,则无法为该终端用户分配IPv6地址。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建DHCPv6地址池,并进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

缺省情况下,设备上不存在DHCPv6地址池。

(3)     (可选)为DHCPv6地址池绑定VPN实例。

vpn-instance vpn-instance-name

缺省情况下,DHCPv6地址池未绑定VPN实例。

(4)     创建DHCPv6地址池组,并进入DHCPv6地址池组视图。

ipv6 dhcp pool-group group-name

缺省情况下,设备上不存在DHCPv6地址池组。

(5)     将DHCPv6地址池添加DHCPv6地址池组中。

pool pool-name

缺省情况下,DHCPv6地址池未添加到DHCPv6地址池组。

DHCPv6地址池中只允许加入普通地址池,且加入的DHCPv6地址池所在VPN必须和DHCPv6地址池组一致。

(6)     (可选)为DHCPv6地址池组绑定VPN实例。

vpn-instance vpn-instance-name

缺省情况下,DHCPv6地址池组未绑定VPN实例。

如果DHCPv6地址池组已经绑定了DHCPv6地址池,则无法再修改VPN实例。

2.7  配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配方式

1. 功能简介

配置接口工作在DHCPv6服务器模式后,当接口未引用地址池时,接口收到DHCPv6客户端发来的DHCPv6报文时,服务器根据该接口的地址或DHCPv6中继接口的地址选择最长匹配的DHCPv6地址池,并从该地址池中选择IPv6地址或前缀分配给客户端。当接口引用地址池时,则从引用的地址池中选择IPv6地址或前缀分配给客户端。如果引用的地址池中不存在可供分配的IPv6地址或前缀,则设备将无法为客户端分配IPv6地址或前缀。

2. 配置限制和指导

配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配方式时,需要注意:

·     一个接口不能同时作为DHCPv6服务器和DHCPv6中继。

·     建议不要在一个接口上同时配置DHCPv6服务器和DHCPv6客户端功能。

·     接口可以引用并不存在的地址池,但是,此时该接口无法为客户端分配前缀等信息。只有创建该地址池后,才能为客户端分配前缀等信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口工作在DHCPv6服务器模式。

ipv6 dhcp select server

缺省情况下,接口未工作在DHCPv6服务器模式,也未工作在DHCPv6中继模式,接口接收到DHCPv6客户端发来的DHCPv6报文后,丢弃该报文。

(4)     配置地址池选择方式。请选择其中一项进行配置。

¡     配置全局查找地址池,并指定全局查找DHCPv6地址池时地址或前缀分配方式。

ipv6 dhcp server { allow-hint | preference preference-value | rapid-commit } *

缺省情况下,不支持期望地址/前缀分配,缺省优先级为0,不支持快速分配。

¡     配置接口引用DHCP地址池。

ipv6 dhcp server apply pool pool-name [ allow-hint | preference preference-value | rapid-commit ] *

2.8  配置DHCPv6策略动态分配IPv6地址、前缀和其他参数

1. 功能简介

创建DHCPv6策略,并在接口引用该策略后,该接口接收到DHCPv6请求报文时,则根据配置顺序逐个匹配DHCPv6策略中通过class pool命令指定的DHCPv6用户类。匹配情况如下:

·     若匹配DHCPv6用户类成功,当该DHCPv6用户类关联的DHCPv6地址池中存在可供分配的地址或前缀信息时,则从该DHCPv6地址池中分配IPv6地址、前缀或其他参数;当该DHCPv6用户类关联的DHCPv6地址池中不存在可供分配的地址或前缀信息时,IPv6地址、前缀或其他参数分配失败。

·     若匹配DHCPv6策略中的所有DHCPv6用户类失败,当配置了默认DHCPv6地址池时,则从该DHCPv6地址池中分配IPv6地址、前缀或网络参数;当未配置默认DHCPv6地址池或DHCPv6默认地址池不存在可供分配的IPv6地址或前缀时,IPv6地址、前缀或其他参数分配失败。

·     若接收DHCPv6请求报文的接口引用的DHCPv6策略不存在或匹配的DHCPv6用户类关联的DHCPv6地址池不存在,IPv6地址、前缀或其他参数分配失败。

·     匹配规则中不支持匹配DHCPv6设备添加的选项,比如Option 18或Option 37。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建DHCPv6用户类,并进入DHCPv6用户类视图。

ipv6 dhcp class class-name

(3)     配置DHCPv6用户类的匹配规则。

if-match rule rule-number { option option-code [ ascii acsii-string [ offset offset | partial ] | hex hex-string [ mask mask | offset offset length length | partial ] ] | relay-agent gateway-ipv6-address }

缺省情况下,未配置DHCPv6用户类的匹配规则。

(4)     退回系统视图。

quit

(5)     创建DHCPv6策略,并进入DHCPv6策略视图。

ipv6 dhcp policy policy-name

DHCPv6策略需要在接口上引用才生效。

(6)     指定DHCPv6用户类关联的DHCPv6地址池。

class class-name pool pool-name

缺省情况下,未指定DHCPv6用户类关联的DHCPv6地址池。

(7)     (可选)指定默认DHCPv6地址池。

default pool pool-name

缺省情况下,未指定默认DHCPv6地址池。

(8)     退回系统视图。

quit

(9)     进入接口视图。

interface interface-type interface-number

(10)     指定接口引用的DHCPv6策略。

ipv6 dhcp apply-policy policy-name

缺省情况下,接口未引用DHCPv6策略。

2.9  开启为MAC地址相同的DHCPv6客户端分配不同IPv6地址功能

1. 功能简介

目前,当网络中只存在一台DHCPv6服务器时,相同MAC地址的多个DHCPv6客户端中只有一台DHCPv6客户端能够获取到IPv6地址。在某些组网应用中,需要实现相同MAC地址的DHCPv6客户端可以获取到不同的IPv6地址。针对这种需求,DHCPv6服务器需要支持为MAC地址相同的DHCPv6客户端分配不同IPv6地址的功能。

开启本功能后,DHCPv6服务器通过以下方式来区分MAC地址相同的DHCPv6客户端:

·     如果网络中存在DHCPv6 Snooping或DHCPv6中继,则需要在DHCPv6 Snooping或DHCPv6中继上开启Interface ID功能。DHCPv6服务器根据DHCPv6请求报文中的DHCPv6客户端MAC地址和Interface ID选项字段区分不同的DHCPv6客户端,并为不同的客户端分配不同的IPv6地址。

·     如果网络中不存在DHCPv6 Snooping和DHCPv6中继,DHCPv6服务器根据DHCPv6客户端MAC地址、收到DHCPv6请求报文的接口名和接口VLAN信息区分不同的DHCPv6客户端,并为不同的客户端分配不同的IPv6地址。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启为MAC地址相同的DHCPv6客户端分配不同IPv6地址功能。

ipv6 dhcp server multi-ip per-mac enable

缺省情况下,为MAC地址相同的DHCPv6客户端分配不同IPv6地址功能处于关闭状态。

2.10  配置DHCPv6服务器发送DHCPv6报文的DSCP优先级

1. 功能简介

DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定DHCPv6服务器发送的DHCPv6报文的DSCP优先级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DHCPv6服务器发送DHCPv6报文的DSCP优先级。

ipv6 dhcp dscp dscp-value

缺省情况下,DHCPv6服务器发送的DHCPv6报文的DSCP优先级为56。

2.11  配置DHCPv6服务器租约固化功能

1. 功能简介

DHCPv6服务器重启后,设备上记录的租约信息将丢失,会影响DHCP服务器的正常业务。

DHCPv6服务器租约固化功能将DHCPv6服务器的核心运行数据(在用地址租约、冲突表项)保存到指定的文件中,DHCPv6服务器设备重启后,自动根据该文件恢复DHCPv6服务器的租约信息,从而保证DHCPv6服务器的租约信息不会丢失。

当DHCPv6服务器设备重启后,自动根据该文件恢复DHCPv6服务器的租约信息,租约恢复的过程中,DHCPv6服务器不能提供DHCPv6业务。所以当恢复过程出现问题导致恢复过程无法结束时,用户可配置ipv6 dhcp server database update stop命令终止当前的DHCPv6服务器表项恢复操作,以便DHCPv6服务器能及时提供DHCPv6服务。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     指定存储DHCPv6 服务器表项的文件名称。

ipv6 dhcp server database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }

缺省情况下,未指定存储文件名称。

执行本命令后,会立即触发一次表项备份。

(3)     (可选)将当前的DHCPv6服务器表项保存到用户指定的文件中。

ipv6 dhcp server database update now

本命令只用来触发一次DHCPv6服务器表项的备份。

(4)     (可选)配置刷新DHCPv6服务器表项存储文件的延迟时间。

ipv6 dhcp server database update interval interval

缺省情况下,若DHCPv6服务器表项不变化,则不刷新存储文件;若DHCPv6 服务器表项发生变化,默认在300秒之后刷新存储文件。

(5)     (可选)终止当前的DHCPv6服务器表项恢复操作。

ipv6 dhcp server database update stop

本命令只用来触发一次终止DHCPv6服务器表项信息的恢复。

2.12  配置DHCPv6服务器辅助路由信息

1. 功能简介

图2-4所示,在某些特定的业务模型(如BRAS组网)下,BRAS设备需要实时监测网络流量,并将统计数据发送到RADIUS服务器。该统计数据为用户上线以来产生的所有上下行流量数据,而不能是设备在某个时间段内发生的上下行流量数据。由于RADIUS服务器刷新计数的方法是覆盖以前数据而不是进行累加,所以当一台设备的上下行流量分别从两台BRAS设备上通过时,在RADIUS服务器上记录的数据就会相互覆盖,这时RADIUS服务器得到的统计数据是不准确的。为了提高准确性,需保证一台设备的上下行流量经过同一台BRAS设备。通过在BRAS设备上配置辅助路由信息,并对外发布此网段路由,引导指定网段的下行数据流量来保证上下行流量从一台BRAS设备经过。

图2-4 DHCPv6服务器辅助路由组网图

 

2. 配置限制和指导

如果地址池绑定了VPN实例,需保证该VPN实例存在。满足了以上条件,该接入设备的辅助路由功能才能生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

(3)     配置DHCPv6 服务器辅助路由信息。

network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] export-route [ preference preference | tag tag ] *

缺省情况下,未配置DHCPv6服务器辅助路由信息。

2.13  开启DHCPv6服务器发布前缀路由功能

1. 功能简介

DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址。此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信。为了解决这个问题,当DHCPv6服务器和DHCPv6客户端在同一个链路范围内时,需要在DHCPv6服务器上开启发布前缀路由功能。开启本功能后,DHCPv6服务器为客户端分配IPv6前缀后,同时生成一条该前缀对应的路由条目,并将该路由通告给动态路由协议。DHCPv6客户端通过动态路由协议学到该路由信息后,主机和外界就可以正常通信。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6服务器发布前缀路由功能。

ipv6 dhcp advertise pd-route

缺省情况下,DHCPv6服务器发布前缀路由功能处于关闭状态。

2.14  指定DHCPv6服务器上的地址池所属的VPN实例

1. 功能简介

当地址池绑定了VPN实例后,DHCPv6服务器可以将网络划分成公网和VPN私网。未配置VPN属性的地址池被划分到公网,配置了VPN属性的地址池被划分到相应的VPN私网,这样,对于处于公网或VPN私网中的客户端,服务器都能够选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息。

DHCPv6服务器可以通过如下方式判断DHCPv6客户端所属的VPN实例:

·     认证模块(如IPoE)用户接入时由AAA服务器授权VPN实例。

·     DHCPv6服务器接收报文的接口绑定的VPN实例即为该客户端所属的VPN实例。

如果以上两种方式都可获取到DHCPv6客户端所属的VPN实例,则以认证模块为准。

设备作为MCE(Multi-VPN-instance Customer Edge,多VPN实例用户网络边界设备)时,在设备上配置DHCPv6服务器功能,不仅可以为公网上的DHCPv6客户端分配IPv6地址,还可以实现为私网内的DHCPv6客户端分配IPv6地址,但是公网和私网之间、不同私网之间的IPv6地址空间不能重叠。MCE的详细介绍,请参见“MPLS配置指导”中的“MCE”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入DHCPv6地址池视图。

ipv6 dhcp pool pool-name

(3)     指定DHCPv6服务器上的地址池所属的VPN实例。

vpn-instance vpn-instance-name

缺省情况下,未指定DHCPv6服务器上的地址池所属的VPN实例。

2.15  配置DHCPv6服务器安全功能

2.15.1  配置DHCPv6防Flood攻击功能

1. 功能简介

配置DHCPv6 Flood攻击防范功能后,DHCPv6服务器会根据DHCPv6报文中的源MAC地址统计收到的DHCPv6报文数,并创建一个check状态的DHCPv6防Flood攻击表项。当收到某个MAC地址对应DHCPv6客户端发送的报文数在指定的时间内达到配置的最大报文数时,DHCPv6服务器认为受到了该DHCPv6客户端的攻击,DHCPv6防Flood攻击表项状态从check状态变成restrain状态,且DHCPv6服务器丢弃该DHCPv6客户端发送的DHCPv6报文。当某个MAC地址对应的DHCPv6 Flood攻击表项老化时间到达后,设备会删除此表项,之后设备再次收到源MAC地址为此MAC地址的DHCPv6请求报文时会重新统计接收到的报文数目。

2. 配置限制和指导

如果网络中包括DHCPv6服务器和DHCPv6中继,DHCPv6服务器收到的DHCPv6报文中源MAC地址是DHCPv6中继的MAC地址。针对这种组网环境DHCPv6防Flood攻击功能需要配置在DHCPv6中继的下行接口上。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)配置DHCPv6防Flood攻击报文速率阈值。

ipv6 dhcp flood-protection threshold packet-number milliseconds

缺省情况下,DHCPv6防Flood攻击检测的最大报文数为6,检测时间为5000毫秒。

(3)     (可选)配置DHCPv6防Flood攻击表项老化时间。

ipv6 dhcp flood-protection aging-time time

缺省情况下,DHCPv6 Flood攻击检测表项老化时间为300秒。

(4)     进入接口视图。

interface interface-type interface-number

(5)     开启DHCPv6防Flood攻击功能。

ipv6 dhcp flood-protection enable

缺省情况下,DHCPv6防Flood攻击功能处于关闭状态。

2.16  开启DHCPv6服务器的日志信息功能

1. 功能简介

DHCPv6服务器日志是为了满足管理员审计需求。设备生成DHCPv6日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

大量DHCPv6客户端发生上下线操作时,DHCPv6服务器需要输出大量日志信息,这可能会降低设备性能,影响DHCPv6服务器分配IPv6前缀或IPv6地址的速度。为了避免该情况的发生,用户可以关闭DHCPv6服务器日志信息功能,使得DHCPv6服务器不再输出日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6服务器日志信息功能。

ipv6 dhcp log enable

缺省情况下,DHCPv6服务器日志信息功能处于关闭状态。

2.17  DHCPv6服务器显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6服务器的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6服务器的统计信息。

表2-1 DHCPv6服务器显示和维护

操作

命令

显示本设备的DUID

display ipv6 dhcp duid

显示可动态分配地址段的DHCPv6地址池分配的地址段信息

display ipv6 dhcp dynamic address [ pool pool-name | vpn-instance vpn-instance-name ] [ verbose ]

显示可动态分配前缀段的DHCPv6地址池分配的前缀段信息

display ipv6 dhcp dynamic prefix [ pool pool-name | vpn-instance vpn-instance-name ] [ verbose ]

显示DHCPv6防Flood攻击表项信息

(独立运行模式)

display ipv6 dhcp flood-protection slot slot-number [ mac-address mac-address [ interface interface-type interface-number ] | state { check | restrain } ]

(IRF模式)

display ipv6 dhcp flood-protection chassis chassis-number slot slot-number [ mac-address mac-address [ interface interface-type interface-number ] | state { check | restrain } ]

显示DHCPv6选项组信息

display ipv6 dhcp option-group [ option-group-number ]

显示DHCPv6地址池的信息

display ipv6 dhcp pool [ pool-name | pool-group pool-group-name | vpn-instance vpn-instance-name ]

显示DHCPv6地址池组的信息

display ipv6 dhcp pool-group

显示前缀池的信息

display ipv6 dhcp prefix-pool [ prefix-pool-number ] [ vpn-instance vpn-instance-name ]

显示接口上的DHCPv6服务器信息

display ipv6 dhcp server [ interface interface-type interface-number ]

显示DHCPv6地址冲突信息

display ipv6 dhcp server conflict [ address ipv6-address ] [ vpn-instance vpn-instance-name ]

显示DHCPv6服务器表项备份信息

display ipv6 dhcp server database

显示租约过期的DHCPv6地址绑定信息

display ipv6 dhcp server expired [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ]

显示DHCPv6地址绑定信息

display ipv6 dhcp server ip-in-use [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ]

显示DHCPv6前缀绑定信息

display ipv6 dhcp server pd-in-use [ pool pool-name | [ prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] ]

显示DHCPv6服务器的报文统计信息

display ipv6 dhcp server statistics [ pool pool-name | vpn-instance vpn-instance-name ]

清除DHCPv6地址冲突信息

reset ipv6 dhcp server conflict [ address ipv6-address ] [ vpn-instance vpn-instance-name ]

清除租约过期的DHCPv6地址绑定信息

reset ipv6 dhcp server expired [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ]

清除DHCPv6的正式地址绑定和临时地址绑定信息

reset ipv6 dhcp server ip-in-use [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ]

清除DHCPv6正式前缀绑定和临时前缀绑定信息

reset ipv6 dhcp server pd-in-use [ pool pool-name | [ prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] ]

清除DHCPv6服务器的报文统计信息

reset ipv6 dhcp server statistics [ vpn-instance vpn-instance-name ]

 

2.18  DHCPv6服务器典型配置举例

2.18.1  动态分配IPv6前缀配置举例

1. 组网需求

DHCPv6客户端从DHCPv6服务器获取IPv6地址前缀,以及网络配置参数:DNS服务器地址、域名、SIP服务器地址和SIP服务器域名。其中:

·     Router作为DHCPv6服务器,地址为1::1/64。

·     DHCPv6服务器为DUID为00030001CA0006A40000的客户端固定分配前缀2001:0410:0201::/48;为其他客户端分配2001:0410::/48~2001:0410:FFFF::/48之间除2001:0410:0201::/48外的前缀。

·     DNS服务器地址为2:2::3。

·     DHCPv6客户端所属域的域名为aaa.com。

·     SIP服务器地址为2:2::4,域名为bbb.com。

2. 组网图

图2-5 DHCPv6服务器配置组网图

3. 配置步骤

# 配置接口GigabitEthernet1/0/1的IPv6地址。取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息。

<Router> system-view

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] ipv6 address 1::1/64

[Router-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[Router-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[Router-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

[Router-GigabitEthernet1/0/1] quit

# 配置前缀池1,包含的前缀为2001:0410::/32,分配的前缀长度为48。

[Router] ipv6 dhcp prefix-pool 1 prefix 2001:0410::/32 assign-len 48

# 创建地址池1。

[Router] ipv6 dhcp pool 1

# 配置地址池1网段为1::/64,与接口地址所属的网段相同。

[Router-dhcp6-pool-1] network 1::/64

# 配置地址池1引用已存在的前缀池1,并设置动态分配前缀的首选生命期为1天,有效生命期为3天。

[Router-dhcp6-pool-1] prefix-pool 1 preferred-lifetime 86400 valid-lifetime 259200

# 在地址池1中配置静态绑定前缀:绑定的前缀为2001:0410:0201::/48,绑定的客户端DUID为00030001CA0006A40000,并设置首选生命期为1天,有效生命期为3天。

[Router-dhcp6-pool-1] static-bind prefix 2001:0410:0201::/48 duid 00030001CA0006A40000 preferred-lifetime 86400 valid-lifetime 259200

# 配置为客户端分配的DNS服务器地址为2:2::3。

[Router-dhcp6-pool-1] dns-server 2:2::3

# 配置为客户端分配的域名为aaa.com。

[Router-dhcp6-pool-1] domain-name aaa.com

# 配置为客户端分配的SIP服务器地址为2:2::4,域名为bbb.com。

[Router-dhcp6-pool-1] sip-server address 2:2::4

[Router-dhcp6-pool-1] sip-server domain-name bbb.com

[Router-dhcp6-pool-1] quit

# 配置接口GigabitEthernet1/0/1工作在DHCPv6服务器模式,并在该接口使能期望前缀分配和前缀快速分配功能,并将优先级设置为最高。

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] ipv6 dhcp select server

[Router-GigabitEthernet1/0/1] ipv6 dhcp server allow-hint preference 255 rapid-commit

4. 验证配置

# 完成上述配置后,查看接口GigabitEthernet1/0/1上的DHCPv6服务器配置信息。

[Router-GigabitEthernet1/0/1] display ipv6 dhcp server interface gigabitethernet 1/0/1

Using pool: global

Preference value: 255

Allow-hint: Enabled

Rapid-commit: Enabled

# 显示地址池1的信息。

[Router-GigabitEthernet1/0/1] display ipv6 dhcp pool 1

DHCPv6 pool: 1

  Network: 1::/64

    Preferred lifetime 604800, valid lifetime 2592000

  Prefix pool: 1

    Preferred lifetime 86400, valid lifetime 259200

  Static bindings:

    DUID: 00030001ca0006a4

    IAID: Not configured

    Prefix: 2001:410:201::/48

      Preferred lifetime 86400, valid lifetime 259200

  DNS server addresses:

    2:2::3

  Domain name:

    aaa.com

  SIP server addresses:

    2:2::4

  SIP server domain names:

    bbb.com

# 显示前缀池1的信息。

[Router-GigabitEthernet1/0/1] display ipv6 dhcp prefix-pool 1

Prefix: 2001:410::/32

Assigned length: 48

Total prefix number: 65536

Available: 65535

In-use: 0

Static: 1

# DUID为00030001CA0006A40000的客户端获取IPv6前缀后,显示前缀绑定信息。

[Router-GigabitEthernet1/0/1] display ipv6 dhcp server pd-in-use

Pool: 1

 IPv6 prefix                                 Type      Lease expiration

 2001:410:201::/48                           Static(C) Jul 10 19:45:01 2009

# 其他客户端获取IPv6前缀后,显示前缀绑定信息。

[Router-GigabitEthernet1/0/1] display ipv6 dhcp server pd-in-use

Pool: 1

 IPv6 prefix                                 Type      Lease expiration

 2001:410:201::/48                           Static(C) Jul 10 19:45:01 2009

 2001:410::/48                               Auto(C)   Jul 10 20:44:05 2009

2.18.2  动态分配IPv6地址配置举例

1. 组网需求

·     作为DHCPv6服务器的Router A为网段1::1:0:0:0/96和1::2:0:0:0/96的客户端动态分配IPv6地址;

·     Router A的两个以太网接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的地址分别为1::1:0:0:1/96和1::2:0:0:1/96;

·     1::1:0:0:0/96网段内的地址租约时长为172800秒(2天),有效时长为345600秒(4天),域名为aabbcc.com,DNS服务器地址为1::1:0:0:2/96;

·     1::2:0:0:0/96网段内的地址租约时长为432000秒(5天),有效时长为864000秒(10天),域名为aabbcc.com,DNS服务器地址为1::2:0:0:2/96。

2. 组网图

图2-6 DHCPv6组网图

3. 配置步骤

(1)     配置DHCPv6 server各接口的IPv6地址。取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息

<RouterA> system-view

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96

[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

[RouterA-GigabitEthernet1/0/1] quit

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/2] ipv6 address 1::2:0:0:1/96

[RouterA-GigabitEthernet1/0/2] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/2] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/2] ipv6 nd autoconfig other-flag

[RouterA-GigabitEthernet1/0/2] quit

(2)     配置DHCPv6服务

# 配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在DHCPv6服务器模式。

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

[RouterA-GigabitEthernet1/0/1] quit

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/2] ipv6 dhcp select server

[RouterA-GigabitEthernet1/0/2] quit

# 配置不参与自动分配的IPv6地址,以避免分配DNS服务器的地址。

[RouterA] ipv6 dhcp server forbidden-address 1::1:0:0:2

[RouterA] ipv6 dhcp server forbidden-address 1::2:0:0:2

# 配置DHCPv6地址池1,为1::1:0:0:0/96网段的客户端分配IPv6地址等参数。

[RouterA] ipv6 dhcp pool 1

[RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600

[RouterA-dhcp6-pool-1] domain-name aabbcc.com

[RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2

[RouterA-dhcp6-pool-1] quit

# 配置DHCPv6地址池2,为1::2:0:0:0/96网段的客户端分配IPv6地址等参数。

[RouterA] ipv6 dhcp pool 2

[RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000

[RouterA-dhcp6-pool-2] domain-name aabbcc.com

[RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2

[RouterA-dhcp6-pool-2] quit

4. 验证配置

配置完成后,1::1:0:0:0/96和1::2:0:0:0/96网段的客户端可以从DHCPv6服务器Router A申请到相应网段的IPv6地址和网络配置参数。通过display ipv6 dhcp server ip-in-use命令可以查看DHCPv6服务器为客户端分配的IPv6地址。


3 DHCPv6中继

3.1  DHCPv6中继简介

3.1.1  应用环境

DHCPv6客户端通常通过链路本地范围的组播地址与DHCPv6服务器通信,以获取IPv6地址和其他网络配置参数。如图3-1所示,服务器和客户端不在同一个链路范围内时,服务器和客户端无法直接通信,需要通过DHCPv6中继来转发报文。部署DHCPv6中继可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理。

图3-1 DHCPv6中继应用组网图

 

3.1.2  DHCPv6中继的工作过程

图3-2 DHCPv6中继的工作过程

 

图3-2所示,以交互两个消息的快速分配过程为例,DHCPv6客户端通过DHCPv6中继,从DHCPv6服务器获取IPv6地址和其他网络配置参数的过程为:

(1)     DHCPv6客户端向所有DHCPv6服务器和中继的组播地址FF02::1:2发送携带Rapid Commit选项的Solicit消息;

(2)     DHCPv6中继接收到Solicit消息后,将其封装在Relay-forward报文的中继消息选项(Relay Message Option)中,并将Relay-forward报文发送给DHCPv6服务器;

(3)     DHCPv6服务器从Relay-forward报文中解析出客户端的Solicit消息,为客户端选取IPv6地址和其他参数,构造Reply消息,将Reply消息封装在Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6中继;

(4)     DHCPv6中继从Relay-reply报文中解析出服务器的Reply消息,转发给DHCPv6客户端,以便DHCPv6客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置。

3.2  DHCPv6中继配置任务简介

DHCPv6中继配置任务如下:

(1)     配置接口工作在DHCPv6中继模式

(2)     指定DHCPv6服务器的地址

(3)     (可选)配置DHCPv6中继为DHCPv6客户端分配的网关地址

(4)     (可选)配置DHCPv6中继发送DHCPv6报文的DSCP优先级

(5)     (可选)配置DHCPv6中继支持的Interface ID选项填充模式

(6)     (可选)开启DHCPv6中继发布前缀路由功能

(7)     (可选)配置DHCPv6中继安全功能

3.3  配置接口工作在DHCPv6中继模式

1. 配置限制和指导

建议不要在一个接口上同时配置DHCPv6中继和DHCPv6客户端功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口工作在DHCPv6中继模式。

ipv6 dhcp select relay

缺省情况下,接口未工作在DHCPv6中继模式。

3.4  指定DHCPv6服务器的地址

3.4.1  指定DHCPv6中继对应的DHCPv6服务器地址

1. 功能简介

工作在DHCPv6中继模式的接口接收到DHCPv6客户端发来的报文后,将其封装在Relay-forward报文中,并发送给指定的DHCPv6服务器,由DHCPv6服务器为客户端分配IPv6地址、IPv6前缀和其他网络配置参数。

2. 配置限制和指导

·     通过多次执行ipv6 dhcp relay server-address命令可以指定多个DHCPv6服务器,一个接口下最多可以指定8个DHCPv6服务器。DHCPv6中继接收到DHCPv6客户端报文后,将其转发给所有的DHCPv6服务器。

·     如果指定的DHCPv6服务器地址为链路本地地址或组播地址,则必须通过ipv6 dhcp relay server-address命令的interface参数指定出接口,否则报文可能会无法到达服务器。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     指定DHCPv6中继对应的DHCPv6服务器地址。

ipv6 dhcp relay server-address ipv6-address [ interface interface-type interface-number ]

缺省情况下,未指定DHCPv6中继对应的DHCPv6服务器地址。

3.4.2  指定中继地址池上对应的DHCPv6服务器地址

1. 功能简介

对于某些特定的用户接入方式(如IPoE接入方式),基于用户接入位置信息的不同,网络中存在大量不同类型的用户。为了使相同类型的用户可以从指定的DHCPv6服务器申请IPv6地址等网络参数,IPoE模块根据用户注册信息,使不同的用户选择不同的DHCPv6中继地址池,并从中继地址池下配置的DHCPv6服务器获取IPv6地址等网络参数。

一台DHCPv6中继的一个接口下可能连接不同类型的用户,当DHCPv6中继转发DHCPv6客户端请求报文给DHCPv6服务器时,不能再以中继接口的IPv6地址作为选择地址池的依据。为了解决这个问题,需要使用gateway-list命令指定某个类型用户所在的网段,并将该地址添加到转发给DHCPv6服务器的报文的Link-address字段中,为DHCPv6服务器选择地址池提供依据。

2. 配置限制和指导

·     为了提高可靠性,一个DHCPv6中继地址池下最多可以配置8个DHCPv6服务器地址,当DHCPv6客户端匹配该中继地址池后,DHCPv6中继会将DHCPv6客户端发来的DHCPv6报文转发给该地址池对应所有的DHCPv6服务器。

·     当PPPoE用户下线时,DHCPv6中继需要查询中继用户地址表项,若存在对应表项,则会向DHCPv6服务器发送Release报文,通知DHCPv6服务器释放该地址租约。这就需要在DHCPv6中继上使用ipv6 dhcp relay client-information record命令开启DHCPv6中继用户地址表项记录功能。

·     和PPPoE配合使用时,如果设备的地址池中配置了remote-server命令,则可以认定该设备一定是DHCPv6中继设备,所以不需要在接口视图下执行ipv6 dhcp select relay命令。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建DHCPv6中继地址池,并进入DHCPv6中继地址池视图。

ipv6 dhcp pool pool-name

(3)     指定匹配该地址池的DHCPv6客户端所在的网段地址。

gateway-list ipv6-address&<1-8>

缺省情况下,未指定匹配该地址池的DHCPv6客户端所在的网段地址。

(4)     指定中继地址池对应的DHCPv6服务器地址。

remote-server ipv6-address [ interface interface-type interface-number ]

缺省情况下,未指定中继地址池对应的DHCPv6服务器的地址。

3.5  配置DHCPv6中继为DHCPv6客户端分配的网关地址

1. 功能简介

当未开启该功能时,DHCPv6中继收到DHCPv6客户端的请求报文后,只能将接口的第一个IPv6地址添加到报文中,然后转发给DHCPv6服务器。同一个中继接口下可能存在多个子网,当管理员需要为某个子网段内的用户分配地址时,就需要配置本功能。配置本功能后,当DHCPv6中继收到某个子网内的DHCP请求报文后,会将该子网段对应的网关地址添加到报文中。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置DHCPv6中继为DHCPv6客户端分配的网关地址。

ipv6 dhcp relay gateway ipv6-address

缺省情况下,DHCPv6中继分配接口下的第一个IPv6地址作为DHCPv6客户端的网关地址。

3.6  配置DHCPv6中继发送DHCPv6报文的DSCP优先级

1. 功能简介

DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定DHCPv6中继发送的DHCPv6报文的DSCP优先级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DHCPv6中继发送DHCPv6报文的DSCP优先级。

ipv6 dhcp dscp dscp-value

缺省情况下,DHCPv6中继发送的DHCPv6报文的DSCP优先级为56。

3.7  配置DHCPv6中继支持的Interface ID选项填充模式

1. 功能简介

如果配置了DHCPv6中继支持的Interface ID选项填充模式,当DHCPv6中继接收到客户端发送的DHCPv6报文后,会以配置的填充方式将DHCPv6客户端的位置信息填充Option 18选项,并把填充好的报文转发给DHCPv6服务器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置DHCPv6中继支持的Interface ID选项填充模式。

ipv6 dhcp relay interface-id { bas | interface }

缺省情况下,Interface ID选项的填充模式为接口索引信息。

3.8  开启DHCPv6中继发布前缀路由功能

1. 功能简介

DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址。此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信。为了解决这个问题,需要在和DHCPv6客户端处于同一个链路范围内的DHCPv6中继上开启发布前缀路由功能。开启本功能后,当DHCPv6中继收到带IPv6前缀信息的DHCPv6应答报文时,会生成一条该前缀对应的路由条目,并将该路由通告给动态路由协议。DHCPv6客户端通过动态路由协议学到该路由信息后,主机和外界就可以正常通信。

2. 配置准备

开启DHCPv6中继发布前缀路由功能前,需要先开启DHCPv6中继用户表项记录功能。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6中继发布前缀路由功能。

ipv6 dhcp advertise pd-route

缺省情况下,DHCPv6中继发布前缀路由功能处于关闭状态。

3.9  配置DHCPv6中继安全功能

3.9.1  开启DHCPv6中继用户表项记录功能

1. 功能简介

DHCPv6中继用户表项记录功能用来防止非法主机手工配置一个IPv6地址并访问外部网络。

开启该功能后,当DHCPv6客户端通过DHCPv6中继从DHCPv6服务器获取到IPv6地址/前缀时,DHCPv6中继可以自动记录DHCPv6客户端的IPv6地址/前缀和硬件地址的绑定关系,生成DHCPv6中继用户表项。

该功能与其他IPv6地址安全功能(如IP Source Guard)配合后,可以实现只允许匹配DHCPv6中继用户表项的报文通过DHCPv6中继。从而,保证非法主机无法通过DHCPv6中继与外部网络通信。IP Source Guard的详细描述请参见“安全配置指导”中的“IP Source Guard”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6中继用户表项记录功能。

ipv6 dhcp relay client-information record

缺省情况下,DHCPv6中继用户表项记录功能处于关闭状态。

3.9.2  配置清除用户表项时通知DHCPv6服务器释放租约

1. 功能简介

如果未配置该功能,则删除DHCPv6中继用户表项时(如执行reset ipv6 dhcp relay client-information address命令)只会删除DHCPv6中继上保存的表项信息。

配置该功能后,删除DHCPv6中继用户表项时,DHCPv6中继会主动向DHCPv6服务器发送释放该表项对应IPv6租约的Release报文。DHCPv6服务器收到该报文后,会将该租约状态从已分配转化为过期。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置清除用户表项时通知DHCPv6服务器释放租约。

ipv6 dhcp relay release-agent

缺省情况下,清除用户表项时不会通知DHCPv6服务器释放租约。

3.9.3  开启DHCPv6中继用户下线探测功能

1. 功能简介

开启DHCPv6中继用户下线探测功能后,DHCPv6中继可探测存在的ND表项状态。当ND表项老化后,DHCPv6中继认为该表项对应的用户已下线。这时,DHCPv6中继会删除与该ND表项对应的DHCPv6中继用户表项。ND的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6中继用户下线检测功能。

ipv6 dhcp client-detect

缺省情况下,DHCPv6中继用户下线检测功能处于关闭状态。

3.9.4  配置DHCPv6 Flood攻击防范功能

1. 功能简介

配置DHCPv6 Flood攻击防范功能后,DHCPv6中继会根据DHCPv6报文中的源MAC地址统计收到的DHCPv6报文数,并创建一个check状态的DHCPv6防Flood攻击表项。当收到某个MAC地址对应DHCPv6客户端发送的报文数在指定的时间内达到配置的最大报文数时,DHCPv6中继认为受到了该DHCPv6客户端的攻击,DHCPv6防Flood攻击表项状态从check状态变成restrain状态,且DHCPv6中继丢弃该DHCPv6客户端发送的DHCPv6报文。DHCPv6中继在DHCPv6 Flood攻击表项老化时间到达后删除对应的DHCPv6 Flood攻击表项,这时DHCPv6中继会根据DHCPv6报文中的源MAC地址重新统计收到的DHCPv6报文数。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)配置DHCPv6 Flood攻击报文速率阈值。

ipv6 dhcp flood-protection threshold packet-number milliseconds

缺省情况下,DHCPv6 Flood攻击检测的最大报文数为6,检测时间为5000毫秒。

(3)     (可选)配置DHCPv6 Flood攻击表项老化时间。

ipv6 dhcp flood-protection aging-time time

缺省情况下,DHCPv6 Flood攻击检测表项老化时间为300秒。

(4)     进入接口视图。

interface interface-type interface-number

(5)     开启DHCPv6 Flood攻击防范功能。

ipv6 dhcp flood-protection enable

缺省情况下,DHCPv6 Flood攻击防范功能处于关闭状态。

3.10  DHCPv6中继显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6中继的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6中继的统计信息。

表3-1 DHCPv6中继显示和维护

操作

命令

显示本设备DUID

display ipv6 dhcp duid

显示DHCPv6防Flood攻击表项信息

(独立运行模式)

display ipv6 dhcp flood-protection slot slot-number [ mac-address mac-address [ interface interface-type interface-number ] | state { check | restrain } ]

(IRF模式)

display ipv6 dhcp flood-protection chassis chassis-number slot slot-number [ mac-address mac-address [ interface interface-type interface-number ] | state { check | restrain } ]

显示DHCPv6中继用户地址表项信息

display ipv6 dhcp relay client-information address [ interface interface-type interface-number | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ]

显示DHCPv6中继用户前缀表项信息

display ipv6 dhcp relay client-information pd [ interface interface-type interface-number | prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ]

显示DHCPv6中继上指定的DHCPv6服务器地址信息

display ipv6 dhcp relay server-address [ interface interface-type interface-number ]

显示DHCPv6中继的相关报文统计信息

display ipv6 dhcp relay statistics [ interface interface-type interface-number ]

清除DHCPv6中继用户地址表项信息

reset ipv6 dhcp relay client-information address [ interface interface-type interface-number | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ]

清除DHCPv6中继用户前缀表项信息

reset ipv6 dhcp relay client-information pd [ interface interface-type interface-number | prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ]

清除DHCPv6中继的相关报文统计信息

reset ipv6 dhcp relay statistics [ interface interface-type interface-number ]

 

3.11  DHCPv6中继典型配置举例

3.11.1  DHCPv6中继基本组网典型配置举例

1. 组网需求

·     DHCPv6客户端所在网络地址为1::/64,DHCPv6服务器的地址为2::2/64。客户端和服务器不在同一个链路范围,需要通过DHCPv6中继转发报文。

·     Router A作为DHCPv6中继,为客户端和服务器转发报文。

·     Router A同时作为1::/64网络的网关设备,通过RA消息中的M标志位和O标志位指定该网络中的主机通过DHCPv6获取IPv6地址和其他网络配置参数。RA消息的详细介绍,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

2. 组网图

图3-3 DHCPv6中继组网图

3. 配置步骤

# 配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IPv6地址。取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息

<RouterA> system-view

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/2] ipv6 address 2::1 64

[RouterA-GigabitEthernet1/0/2] quit

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 address 1::1 64

[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

# 配置接口GigabitEthernet1/0/1工作在DHCPv6中继模式,并指定DHCPv6服务器地址。

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select relay

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp relay server-address 2::2

4. 验证配置

# 完成上述配置后,查看DHCPv6中继上指定的DHCPv6服务器地址信息。

[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp relay server-address

Interface: GigabitEthernet1/0/1

 Server address                             Outgoing Interface

 2::2

# 查看DHCPv6中继相关报文的统计信息。

[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp relay statistics

Packets dropped               :  0

Packets received              :  14

    Solicit                   :  0

    Request                   :  0

    Confirm                   :  0

    Renew                     :  0

    Rebind                    :  0

    Release                   :  0

    Decline                   :  0

    Information-request       :  7

    Relay-forward             :  0

    Relay-reply               :  7

Packets sent                  :  14

    Advertise                 :  0

    Reconfigure               :  0

    Reply                     :  7

    Relay-forward             :  7

    Relay-reply               :  0


4 DHCPv6客户端

4.1  DHCPv6客户端简介

设备作为DHCPv6客户端时,可以具有如下功能:

·     通过DHCPv6获取IPv6地址和网络配置参数,IPv6地址作为开启DHCPv6客户端功能的接口地址,当设备开启DHCPv6服务器功能后,获取的网络配置参数用来自动创建DHCPv6选项组。

·     通过DHCPv6获取IPv6前缀和网络配置参数,IPv6前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址);当设备开启DHCPv6服务器功能后,获取的网络配置参数用来自动创建DHCPv6选项组。

·     通过DHCPv6同时获取IPv6地址、IPv6前缀和网络配置参数,IPv6地址作为开启DHCPv6客户端功能的接口地址,IPv6前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址);当设备开启DHCPv6服务器功能后,获取的网络配置参数用来自动创建DHCPv6选项组。

·     通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数。DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数。否则DHCPv6客户端不会开启无状态配置过程。

4.2  DHCPv6客户端配置限制和指导

建议不要在一个接口上同时配置DHCPv6客户端和DHCPv6服务器功能,也不要在一个接口上同时配置DHCPv6客户端和DHCPv6中继功能,否则会影响功能正常使用。

4.3  DHCPv6客户端配置任务简介

DHCPv6客户端配置任务如下:

(1)     (可选)配置接口使用的DHCPv6客户端DUID

(2)     配置DHCPv6客户端获取IPv6地址、IPv6前缀和网络配置参数

请至少选择以下一项任务进行配置:

¡     配置DHCPv6客户端获取IPv6地址和网络配置参数

¡     配置DHCPv6客户端获取IPv6前缀和网络配置参数

¡     配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数

¡     配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数

(3)     (可选)配置DHCPv6客户端发送DHCPv6报文的DSCP优先级

4.4  配置接口使用的DHCPv6客户端DUID

1. 功能简介

DHCPv6客户端DUID用来填充DHCPv6报文的Option 1,作为识别DHCPv6客户端的唯一标识。DHCPv6服务器可以根据DHCPv6客户端DUID为特定的DHCPv6客户端分配特定的IPv6地址。用户可以通过三种方法指定DHCPv6客户端DUID:ASCII字符串、十六进制数或接口的MAC地址。

2. 配置限制和指导

用户在指定客户端ID时,需要确保不同客户端的客户端ID不能相同。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口使用的DHCPv6客户端DUID。

ipv6 dhcp client duid { ascii ascii-string | hex hex-string | mac interface-type interface-number }

缺省情况下,根据设备的桥MAC地址生成DHCPv6客户端DUID。

4.5  配置DHCPv6客户端获取IPv6地址和网络配置参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。

ipv6 address dhcp-alloc [ option-group group-number | rapid-commit ] *

缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数。

4.6  配置DHCPv6客户端获取IPv6前缀和网络配置参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数。

ipv6 dhcp client pd prefix-number [ option-group group-number | rapid-commit ]*

缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数。

4.7  配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和其他网络配置参数。

ipv6 dhcp client stateful prefix prefix-number [ option-group option-group-number | rapid-commit ] *

缺省情况下,接口不会作为DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数。

4.8  配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数

1. 功能简介

DHCPv6客户端可通过如下方式获取除地址/前缀外的其他网络参数:

·     如果接口上只配置了ipv6 address auto命令,则接口会通过无状态自动配置方式生成全球单播地址,同时自动生成链路本地地址。只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能。

·     如果接口只配置了ipv6 dhcp client stateless enable命令,则接口开启了DHCPv6客户端功能,并从DHCPv6服务器获取除地址/前缀外的其他网络配置参数。

·     如果接口上同时配置了ipv6 address auto命令和ipv6 dhcp client stateless enable命令,则接口通过无状态生成全球单播地址,同时自动生成链路本地地址,且直接从DHCPv6服务器获取除地址/前缀外的其他网络配置参数。

ipv6 address auto命令的详细介绍请参见“三层技术-IP业务命令参考”中的“IPv6基础”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启无状态自动配置功能。请至少选择其中一项进行配置。

¡     开启IPv6地址无状态自动配置功能。

ipv6 address auto

¡     开启DHCPv6客户端无状态配置功能。

ipv6 dhcp client stateless enable

缺省情况下,接口不会作为DHCPv6客户端获取除地址/前缀外的其他网络配置参数。

4.9  配置DHCPv6客户端发送DHCPv6报文的DSCP优先级

1. 功能简介

DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定DHCPv6客户端发送的DHCPv6报文的DSCP优先级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级。

ipv6 dhcp client dscp dscp-value

缺省情况下,DHCPv6客户端发送的DHCPv6报文的DSCP优先级为56。

4.10  DHCPv6客户端显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6客户端的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6客户端的统计信息。

表4-1 DHCPv6客户端显示和维护

操作

命令

显示DHCPv6客户端的信息

display ipv6 dhcp client [ interface interface-type interface-number ]

显示DHCPv6客户端的统计信息

display ipv6 dhcp client statistics [ interface interface-type interface-number ]

清除DHCPv6客户端的统计信息

reset ipv6 dhcp client statistics [ interface interface-type interface-number ]

 

4.11  DHCPv6客户端典型配置举例

4.11.1  DHCPv6客户端申请地址及网络参数配置举例

1. 组网需求

DHCPv6客户端Router从DHCPv6服务器获取IPv6地址,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名。

DHCPv6客户端根据获取到的网络配置参数自动创建DHCPv6选项组1。

2. 组网图

图4-1 DHCPv6客户端申请地址及网络参数配置组网图

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。DHCPv6服务器的配置方法,请参见“三层技术-IP业务配置指导”中的“DHCPv6服务器”。

 

# 配置接口GigabitEthernet1/0/1作为DHCPv6客户端获取IPv6地址及网络参数,配置DHCPv6客户端支持地址快速分配功能,并配置根据获取到的网络配置参数自动创建DHCPv6选项组1。

<Router> system-view

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] ipv6 address dhcp-alloc rapid-commit option-group 1

[Router-GigabitEthernet1/0/1] quit

4. 验证配置

# 显示DHCPv6客户端的信息。

[Router] display ipv6 dhcp client

GigabitEthernet1/0/1:

  Type: Stateful client requesting address

    State: OPEN

    Client DUID: 00030001d07e28db74fb

    Preferred server:

      Reachable via address: FE80::2E0:1FF:FE00:19

      Server DUID: 00030001000fe20a0a00

    IA_NA: IAID 0x00000a02, T1 50 sec, T2 80 sec

      Address: 1:2::2/128

       Preferred lifetime 100 sec, valid lifetime 200 sec

       Will expire on Mar 27 2014 at 15:35:55 (196 seconds left)

    DNS server addresses:

      2000::FF

    Domain name:

      example.com

    SIP server addresses:

      2:2::4

    SIP server domain names:

      bbb.com

# 在DHCPv6客户端上开启DHCPv6服务器功能后,显示动态创建的DHCPv6选项组1的信息。

[Router-GigabitEthernet1/0/1] display ipv6 dhcp option-group 1

DHCPv6 option group: 1

  DNS server addresses:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: GigabitEthernet1/0/1

    2000::FF

  Domain name:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: GigabitEthernet1/0/1

    example.com

  SIP server addresses:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: GigabitEthernet1/0/1

    2:2::4

  SIP server domain names:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: GigabitEthernet1/0/1

    bbb.com

# 查看获取到的IPv6地址。

[Router] display ipv6 interface brief

*down: administratively down

(s): spoofing

Interface                                Physical   Protocol   IPv6 Address

GigabitEthernet1/0/1                     up         up         1:1::2

可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6地址及网络参数。

4.11.2  DHCPv6客户端申请前缀及网络参数配置举例

1. 组网需求

DHCPv6客户端Router从DHCPv6服务器获取IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等。

DHCPv6客户端Router根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1。

2. 组网图

图4-2 DHCPv6客户端申请前缀及网络参数配置组网图

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

# 在DHCPv6客户端连接到DHCPv6服务器的接口GigabitEthernet1/0/1上配置IPv6地址。

<Router> system-view

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] ipv6 address 1::2/48

# 配置接口GigabitEthernet1/0/1作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能。

[Router-GigabitEthernet1/0/1] ipv6 dhcp client pd 1 rapid-commit option-group 1

[Router-GigabitEthernet1/0/1] quit

4. 验证配置

# 显示DHCPv6客户端的信息。可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数。

[Router] display ipv6 dhcp client

GigabitEthernet1/0/1:

  Type: Stateful client requesting prefix

    State: OPEN

    Client DUID: 00030001d07e28db74fb

    Preferred server:

      Reachable via address: FE80::2E0:1FF:FE00:19

      Server DUID: 0003000100e001000000

    IA_PD: IAID 0x00000a02, T1 50 sec, T2 80 sec

      Prefix: 12:34::/48

        Preferred lifetime 100 sec, valid lifetime 200 sec

        Will expire on Feb 4 2014 at 15:37:20(80 seconds left)

    DNS server addresses:

      2000::FF

    Domain name:

      example.com

    SIP server addresses:

      2:2::4

    SIP server domain names:

      bbb.com

# 显示动态创建的IPv6前缀1的信息。

[Router] display ipv6 prefix 1

Number: 1

Type  : Dynamic

Prefix: 12:34::/48

Preferred lifetime 100 sec, valid lifetime 200 sec

# 在DHCPv6客户端上开启DHCPv6服务器功能后,显示动态创建的DHCPv6选项组1的信息。

[Router] display ipv6 dhcp option-group 1

DHCPv6 option group: 1

  DNS server addresses

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: GigabitEthernet1/0/1

    2000::FF

  Domain name:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: GigabitEthernet1/0/1

    example.com

  SIP server addresses:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: GigabitEthernet1/0/1

    2:2::4

  SIP server domain names:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: GigabitEthernet1/0/1

    bbb.com

以上两条display命令可以看到客户端获取到的前缀信息和网络参数。

4.11.3  DHCPv6客户端同时申请地址、前缀及网络参数配置举例

1. 组网需求

DHCPv6客户端Router从DHCPv6服务器同时获取IPv6地址、IPv6前缀以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等。

DHCPv6客户端Router根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1。

2. 组网图

图4-3 DHCPv6客户端同时申请地址、前缀及网络参数配置组网图

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

# 在DHCPv6客户端连接到DHCPv6服务器的接口GigabitEthernet1/0/1上配置IPv6地址。

<Router> system-view

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] ipv6 address 1::2/48

# 配置接口GigabitEthernet1/0/1作为DHCPv6客户端同时获取IPv6地址、IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能。

[Router-GigabitEthernet1/0/1] ipv6 dhcp client stateful prefix 1 rapid-commit option-group 1

[Router-GigabitEthernet1/0/1] quit

4. 验证配置

# 显示DHCPv6客户端的信息。可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数。

[Router] display ipv6 dhcp client

GigabitEthernet1/0/1:

  Type: Stateful client requesting address and prefix

    State: OPEN

    Client DUID: 00030001d07e28db74fb

    Preferred server:

      Reachable via address: FE80::2E0:1FF:FE00:19

      Server DUID: 0003000100e001000000

    IA_NA: IAID 0x00000a02, T1 50 sec, T2 80 sec

      Address: 1:1::2/128

        Preferred lifetime 100 sec, valid lifetime 200 sec

        Will expire on Mar 27 2014 at 15:29:34 (198 seconds left)

    IA_PD: IAID 0x00000a02, T1 50 sec, T2 80 sec

      Prefix: 12:34::/48

        Preferred lifetime 100 sec, valid lifetime 200 sec

        Will expire on Mar 27 2014 at 15:29:34 (198 seconds left)

    DNS server addresses:

      2000::FF

    Domain name:

      example.com

    SIP server addresses:

      2:2::4

    SIP server domain names:

      bbb.com

# 查看获取到的IPv6地址。

[Router] display ipv6 interface brief

*down: administratively down

(s): spoofing

Interface                                Physical   Protocol   IPv6 Address

GigabitEthernet1/0/1                     up         up         1:1::2

# 显示动态创建的IPv6前缀1的信息。

[Router] display ipv6 prefix 1

Number: 1

Type  : Dynamic

Prefix: 12:34::/48

Preferred lifetime 100 sec, valid lifetime 200 sec

# 在DHCPv6客户端上开启DHCPv6服务器功能后,显示动态创建的DHCPv6选项组1的信息。

[Router] display ipv6 dhcp option-group 1

DHCPv6 option group: 1

  DNS server addresses:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: GigabitEthernet1/0/1

    2000::FF

  Domain name:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: GigabitEthernet1/0/1

    example.com

  SIP server addresses:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: GigabitEthernet1/0/1

    2:2::4

  SIP server domain names:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: GigabitEthernet1/0/1

    bbb.com

以上三条display命令可以看到客户端获取到的地址信息、前缀信息和网络参数。

4.11.4  DHCPv6无状态配置配置举例

1. 组网需求

·     DHCPv6客户端Router A通过DHCPv6无状态配置获取域名服务器、域名等信息;

·     Router B作为网关,周期性发布RA消息。

2. 组网图

图4-4 DHCPv6无状态配置组网图

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

(1)     配置网关Router B

# 配置接口GigabitEthernet1/0/1的IPv6地址。

<RouterB> system-view

[RouterB] interface gigabitethernet 1/0/1

[RouterB-GigabitEthernet1/0/1] ipv6 address 1::1 64

# 配置RA消息中O标志位为1。

[RouterB-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

# 配置允许发送RA消息。

[RouterB-GigabitEthernet1/0/1] undo ipv6 nd ra halt

(2)     配置DHCPv6客户端Router A

# 在接口GigabitEthernet1/0/1上使能IPv6地址无状态自动配置功能。

<RouterA> system-view

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 address auto

执行此命令后,如果GigabitEthernet1/0/1下未配置地址,Router A会自动生成本地链路地址,并主动发送RS(Router Solicitation,路由器请求)报文,请求网关Router B立即回应RA报文。

4. 验证配置

如果收到的RA报文中M标志位为0、O标志位为1,Router A就会启动DHCPv6客户端无状态配置。

# 可以通过display ipv6 dhcp client命令查看当前客户端的配置信息。

[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp client interface gigabitethernet 1/0/1

GigabitEthernet1/0/1:

  Type: Stateless client

    State: OPEN

    Client DUID: 00030001000fe2ff0000

    Preferred server:

      Reachable via address: FE80::213:7FFF:FEF6:C818

      Server DUID: 0003000100137ff6c818

    DNS server addresses:

      1:2:4::5

      1:2:4::7

    Domain name:

      abc.com

如果从服务器成功获取了配置,将会有以上的显示信息。

# 可以通过display ipv6 dhcp client statistics命令查看当前客户端的统计信息。

[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp client statistics

Interface                     :  GigabitEthernet1/0/1

Packets received              :  1

        Reply                 :  1

        Advertise             :  0

        Reconfigure           :  0

        Invalid               :  0

Packets sent                  :  5

        Solicit               :  0

        Request               :  0

        Renew                 :  0

        Rebind                :  0

        Information-request   :  5

        Release               :  0

        Decline               :  0


5 DHCPv6 Snooping

5.1  DHCPv6 Snooping简介

DHCPv6 Snooping是DHCPv6的一种安全特性,用来保证客户端从合法的服务器获取IPv6地址,并可以记录DHCPv6客户端IPv6地址与MAC地址的对应关系。

5.1.1  保证客户端从合法的服务器获取IPv6地址

网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信。为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:

·     信任端口正常转发接收到的DHCPv6报文。

·     不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。

图5-1 信任端口和非信任端口

 

图5-1所示,在DHCPv6 Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址。

5.1.2  记录DHCPv6客户端IPv6地址与MAC地址的对应关系

DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping binding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控。

5.2  DHCPv6 snooping配置限制和指导

设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。

5.3  DHCPv6 Snooping配置任务简介

DHCPv6 Snooping配置任务如下:

(1)     配置DHCPv6 Snooping基本功能

(2)     (可选)配置DHCPv6 Snooping支持Option 18功能

(3)     (可选)配置DHCPv6 Snooping支持Option 37功能

(4)     (可选)配置DHCPv6 Snooping表项固化功能

(5)     (可选)配置接口动态学习DHCPv6 Snooping表项的最大数目

(6)     (可选)开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

(7)     (可选)开启DHCPv6 Snooping报文阻断功能

(8)     (可选)开启DHCPv6 Snooping日志信息功能

5.4  配置DHCPv6 Snooping基本功能

1. 配置限制和指导

·     为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内。

·     如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6 Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6 Snooping的配置才会生效。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping功能。

ipv6 dhcp snooping enable

缺省情况下,DHCPv6 Snooping功能处于关闭状态。

(3)     进入接口视图。

interface interface-type interface-number

此接口为连接DHCPv6服务器的接口。

(4)     配置DHCPv6 Snooping信任端口。

ipv6 dhcp snooping trust

缺省情况下,开启DHCPv6 Snooping功能后,设备的所有端口均为不信任端口。

(5)     (可选)开启端口的DHCPv6 Snooping表项记录功能。

a.     退回系统视图。

quit

b.     进入接口视图。

interface interface-type interface-number

此接口为连接DHCPv6客户端的接口。

c.     开启端口的DHCPv6 Snooping表项记录功能。

ipv6 dhcp snooping binding record

缺省情况下,在开启DHCPv6 Snooping功能后, 端口的DHCPv6 Snooping表项记录功能处于关闭状态。

5.5  配置DHCPv6 Snooping支持Option 18功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping支持Option 18功能。

ipv6 dhcp snooping option interface-id enable

缺省情况下,DHCPv6 Snooping支持Option 18功能处于关闭状态。

(4)     (可选)配置Option 18选项中的DUID。

ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id

缺省情况下,Option 18选项中的DUID为本设备的DUID。

5.6  配置DHCPv6 Snooping支持Option 37功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping支持Option 37功能。

ipv6 dhcp snooping option remote-id enable

缺省情况下,DHCPv6 Snooping支持Option 37功能处于关闭状态。

(4)     (可选)配置Option 37选项中的DUID。

ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id

缺省情况下,Option 37选项中的DUID为本设备的DUID。

5.7  配置DHCPv6 Snooping表项固化功能

1. 功能简介

DHCPv6 Snooping设备重启后,设备上记录的DHCPv6 Snooping表项将丢失。如果DHCPv6 Snooping与其他特性(如IP Source Guard)配合使用,表项丢失会导致安全特性无法通过DHCPv6 Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络。

DHCPv6 Snooping表项备份功能将DHCPv6 Snooping表项保存到指定的文件中,DHCPv6 Snooping设备重启后,自动根据该文件恢复DHCPv6 Snooping表项,从而保证DHCPv6 Snooping表项不会丢失。

2. 配置限制和指导

·     执行undo ipv6 dhcp snooping enable命令关闭DHCPv6 Snooping功能后,设备会删除所有DHCPv6 Snooping表项,文件中存储的DHCPv6 Snooping表项也将被删除。

·     执行ipv6 dhcp snooping binding database filename命令后,会立即触发一次表项备份。

¡     如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。

¡     如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     指定存储DHCPv6 Snooping表项的文件名称。

ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }

缺省情况下,未指定存储文件名称。

(3)     (可选)将当前的DHCPv6 Snooping表项保存到用户指定的文件中。

ipv6 dhcp snooping binding database update now

本命令只用来触发一次DHCPv6 Snooping表项的备份。

(4)     (可选)配置刷新DHCPv6 Snooping表项存储文件的延迟时间。

ipv6 dhcp snooping binding database update interval interval

缺省情况下,若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。

5.8  配置接口动态学习DHCPv6 Snooping表项的最大数目

1. 功能简介

通过本配置可以限制接口动态学习DHCPv6 Snooping表项的最大数目,以防止接口学习到大量DHCPv6 Snooping表项,占用过多的系统资源。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口动态学习DHCPv6 Snooping表项的最大数目。

ipv6 dhcp snooping max-learning-num max-number

缺省情况下,不限制接口动态学习DHCPv6 Snooping表项的数目。

5.9  开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

1. 功能简介

本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击。

伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约。如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端。

伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约。

在DHCPv6 Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击。如果开启了该功能,则DHCPv6 Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6 Snooping表项。若存在,则接收报文信息与DHCPv6 Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCPv6服务器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。

ipv6 dhcp snooping check request-message

缺省情况下,DHCPv6 Snooping的DHCPv6请求方向报文检查功能处于关闭状态。

5.10  开启DHCPv6 Snooping报文阻断功能

1. 功能简介

在某些组网环境下,用户需要在DHCPv6 Snooping设备的某一端口上丢弃该端口收到的所有DHCPv6请求方向报文,而又不影响其他端口正常接收DHCPv6报文。这时,用户可以在该端口上开启DHCP Snooping报文阻断功能。

当端口上开启了DHCPv6 Snooping报文阻断功能后,该端口收到的所有DHCPv6请求方向的报文都将被丢弃。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping报文阻断功能。

ipv6 dhcp snooping deny

缺省情况下,端口的DHCPv6 Snooping报文阻断功能处于关闭状态。

5.11  开启DHCPv6 Snooping日志信息功能

1. 功能简介

DHCPv6 Snooping日志是为了满足管理员的审计需求。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping日志信息功能。

ipv6 dhcp snooping log enable

缺省情况下,DHCPv6 Snooping日志信息功能处于关闭状态。

5.12  DHCPv6 Snooping显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示DHCPv6 Snooping的配置情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6 Snooping表项信息。

表5-1 DHCPv6 Snooping显示和维护

操作

命令

显示DHCPv6 Snooping信任端口信息

display ipv6 dhcp snooping trust

显示DHCPv6 Snooping表项信息

display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ]

显示DHCPv6 Snooping表项备份信息

display ipv6 dhcp snooping binding database

显示DHCPv6 Snooping设备上的DHCPv6报文统计信息(独立运行模式)

display ipv6 dhcp snooping packet statistics [ slot slot-number ]

显示DHCPv6 Snooping设备上的DHCPv6报文统计信息(IRF模式)

display ipv6 dhcp snooping packet statistics [ chassis chassis-number slot slot-number ]

清除DHCPv6 Snooping表项

reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }

清除DHCPv6 Snooping设备上的DHCPv6报文统计信息(独立运行模式)

reset ipv6 dhcp snooping packet statistics [ slot slot-number ]

清除DHCPv6 Snooping设备上的DHCPv6报文统计信息(IRF模式)

reset ipv6 dhcp snooping packet statistics [ chassis chassis-number slot slot-number ]

 

5.13  DHCPv6 Snooping典型配置举例

5.13.1  DHCPv6 Snooping基本组网配置举例

1. 组网需求

Device B通过以太网端口GigabitEthernet1/0/1连接到合法DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到非法服务器,通过GigabitEthernet1/0/2连接到DHCPv6客户端。要求:

·     与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文。

·     记录DHCPv6客户端IPv6地址及MAC地址的绑定关系。

2. 组网图

图5-2 DHCPv6 Snooping组网示意图

3. 配置步骤

# 开启DHCPv6 Snooping功能。

<DeviceB> system-view

[DeviceB] ipv6 dhcp snooping enable

 # 配置GigabitEthernet1/0/1端口为信任端口。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[DeviceB-GigabitEthernet1/0/1] quit

# 在GigabitEthernet1/0/2上开启安全表项功能。

[DeviceB]interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record

[DeviceB-GigabitEthernet1/0/2] quit

4. 验证配置

配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表项。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们