• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-三层技术-IP业务配置指导

目录

09-DHCPv6配置

本章节下载 09-DHCPv6配置  (478.16 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/H3C_WAS/WAS6000/Configure/Operation_Manual/H3C_WAS6000_CG-R612x-6W100/04/201808/1106199_30005_0.htm

09-DHCPv6配置

  录

1 DHCPv6概述

1.1 DHCPv6的优点

1.2 DHCPv6地址/前缀分配过程

1.2.1 交互两个消息的快速分配过程

1.2.2 交互四个消息的分配过程

1.3 地址/前缀租约更新过程

1.4 DHCPv6无状态配置

1.5 DHCPv6选项介绍

1.5.1 Option 18

1.5.2 Option 37

1.6 协议规范

2 DHCPv6中继

2.1 DHCPv6中继简介

2.1.1 应用环境

2.1.2 DHCPv6中继的工作过程

2.2 DHCPv6中继配置任务简介

2.3 配置接口工作在DHCPv6中继模式

2.4 指定DHCPv6服务器的地址

2.4.1 指定DHCPv6中继对应的DHCPv6服务器地址

2.4.2 指定中继地址池上对应的DHCPv6服务器地址

2.5 配置DHCPv6中继为DHCPv6客户端分配的网关地址

2.6 配置DHCPv6中继发送DHCPv6报文的DSCP优先级

2.7 配置DHCPv6中继支持的Interface ID选项填充模式

2.8 开启DHCPv6中继发布前缀路由功能

2.9 配置DHCPv6中继报文填充指定源地址

2.10 DHCPv6中继显示和维护

2.11 DHCPv6中继典型配置举例

2.11.1 DHCPv6中继基本组网典型配置举例

3 DHCPv6客户端

3.1 DHCPv6客户端简介

3.2 DHCPv6客户端配置限制和指导

3.3 DHCPv6客户端配置任务简介

3.4 配置接口使用的DHCPv6客户端DUID

3.5 配置DHCPv6客户端获取IPv6地址和网络配置参数

3.6 配置DHCPv6客户端获取IPv6前缀和网络配置参数

3.7 配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数

3.8 配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数

3.9 配置DHCPv6客户端发送DHCPv6报文的DSCP优先级

3.10 DHCPv6客户端显示和维护

3.11 DHCPv6客户端典型配置举例

3.11.1 DHCPv6客户端申请地址及网络参数配置举例

3.11.2 DHCPv6客户端申请前缀及网络参数配置举例

3.11.3 DHCPv6客户端同时申请地址、前缀及网络参数配置举例

3.11.4 DHCPv6无状态配置配置举例

4 DHCPv6 Snooping

4.1 DHCPv6 Snooping简介

4.1.1 保证客户端从合法的服务器获取IPv6地址或IPv6前缀

4.1.2 记录DHCPv6客户端IPv6地址与MAC地址的对应关系

4.1.3 记录DHCPv6客户端IPv6前缀与端口的对应关系

4.2 DHCPv6 snooping配置限制和指导

4.3 DHCPv6 Snooping配置任务简介

4.4 配置DHCPv6 Snooping基本功能

4.4.1 在普通组网中配置DHCPv6 Snooping基本功能

4.5 配置DHCPv6 Snooping支持Option 18功能

4.6 配置DHCPv6 Snooping支持Option 37功能

4.7 配置DHCPv6 Snooping表项固化功能

4.8 配置接口动态学习DHCPv6 Snooping表项的最大数目

4.9 开启DHCPv6 Snooping报文限速功能

4.10 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

4.11 开启DHCPv6 Snooping报文阻断功能

4.12 开启DHCPv6 Snooping日志信息功能

4.13 DHCPv6 Snooping显示和维护

4.14 DHCPv6 Snooping典型配置举例

4.14.1 DHCPv6 Snooping基本组网配置举例

 


1 DHCPv6概述

DHCPv6(Dynamic Host Configuration Protocol for IPv6,支持IPv6的动态主机配置协议)针对IPv6编址方案设计,用来为主机分配IPv6前缀、IPv6地址和其他网络配置参数。

1.1  DHCPv6的优点

与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见“三层技术-IP业务配置指导”中的“IPv6基础”)相比,DHCPv6具有以下优点:

·     更好地控制地址的分配。通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理。

·     为客户端分配前缀,以便于全网络的自动配置和管理。

·     除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数。

1.2  DHCPv6地址/前缀分配过程

DHCPv6服务器为客户端分配地址/前缀的过程分为两类:

·     交互两个消息的快速分配过程

·     交互四个消息的分配过程

1.2.1  交互两个消息的快速分配过程

图1-1 地址/前缀快速分配过程

 

图1-1所示,地址/前缀快速分配过程为:

(2)     DHCPv6客户端在向DHCPv6服务器发送的Solicit消息中携带Rapid Commit选项,标识客户端希望服务器能够快速为其分配地址/前缀和其他网络配置参数。

(3)     如果DHCPv6服务器支持快速分配过程,则直接返回Reply消息,为客户端分配IPv6地址/前缀和其他网络配置参数。如果DHCPv6服务器不支持快速分配过程,则采用“1.2.2  交互四个消息的分配过程”为客户端分配IPv6地址/前缀和其他网络配置参数。

1.2.2  交互四个消息的分配过程

交互四个消息的分配过程如图1-2所示。

图1-2 交互四个消息的分配过程

 

交互四个消息分配过程的简述如表1-1

表1-1 交互四个消息的分配过程

步骤

发送的消息

说明

(1)

Solicit

DHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数

(2)

Advertise

如果Solicit消息中没有携带Rapid Commit选项,或Solicit消息中携带Rapid Commit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复该消息,通知客户端可以为其分配的地址/前缀和网络配置参数

(3)

Request

如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数

(4)

Reply

DHCPv6服务器回复该消息,确认将地址/前缀和网络配置参数分配给客户端使用

 

1.3  地址/前缀租约更新过程

DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限,该租借期限称为租约。租借期限由有效生命期决定。地址/前缀的租借时间到达有效生命期后,DHCPv6客户端不能再使用该地址/前缀。在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要申请延长地址/前缀租约。

图1-3 通过Renew更新地址/前缀租约

 

图1-3所示,地址/前缀租借时间到达时间T1(推荐值为首选生命期的一半)时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器发送Renew报文,以进行地址/前缀租约的更新。如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约。

图1-4 通过Rebind更新地址/前缀租约

 

图1-4所示,如果在T1时发送Renew请求更新租约,但是未收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2(推荐值为首选生命期的0.8倍)时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约。如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约;如果DHCPv6客户端未收到服务器的应答报文,则到达有效生命期后,客户端停止使用该地址/前缀。有效生命期和首选生命期的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

1.4  DHCPv6无状态配置

DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置。

DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,即DHCPv6客户端根据路由器发现/前缀发现所获取的信息自动配置IPv6地址后,如果接收到的RA(Router Advertisement,路由器通告)报文中M标志位(Managed address configuration flag,被管理地址配置标志位)取值为0、O标志位(Other stateful configuration flag,其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数。

图1-5 DHCPv6无状态配置工作过程

 

图1-5所示,DHCPv6无状态配置的具体过程为:

(1)     客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带Option Request选项,指定客户端需要从服务器获取的配置参数。

(2)     服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端。

(3)     客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数。如果接收到多个与请求相符的Reply报文,客户端将选择最先收到的Reply报文,并根据该报文中提供的参数完成客户端无状态配置。

1.5  DHCPv6选项介绍

1.5.1  Option 18

Option 18称为接口ID选项(Interface ID),设备接收到DHCPv6客户端发送的DHCPv6请求报文后,在该报文中添加Option 18选项,并转发给DHCPv6服务器。服务器可根据Option 18选项中的客户端信息选择合适的地址池为DHCPv6客户端分配IPv6地址。图1-6为Option 18选项格式。

图1-6 Option 18选项格式

 

各字段的解释如下:

·     Option code:Option编号,取值为18。

·     Option length:Option字段长度。

·     Port index:DHCPv6设备收到客户端请求报文的端口索引。

·     VLAN ID:第一层VLAN信息。

·     Second VLAN ID:第二层VLAN信息。选项格式中的Second VLAN ID字段为可选,如果DHCPv6报文中不含有Second VLAN,则Option 18中也不包含Second VLAN ID内容。

·     DUID:DHCPv6客户端的DUID信息。

1.5.2  Option 37

Option 37称为远程ID选项(Remote ID),设备接收到DHCPv6客户端发送的DHCPv6请求报文后,在该报文中添加Option 37选项,并转发给DHCPv6服务器。服务器可根据Option 37选项中的信息对DHCPv6客户端定位,为分配IPv6地址提供帮助。图1-7为Option 37选项格式。

图1-7 Option 37选项格式

 

各字段的解释如下:

·     Option code:Option编号,取值为37。

·     Option length:Option字段长度。

·     Enterprise number:企业编号。

·     Port index:DHCPv6设备收到客户端请求报文的端口索引。

·     VLAN ID:第一层VLAN信息。

·     Second VLAN ID:第二层VLAN信息。选项格式中的Second VLAN ID字段为可选,如果DHCPv6报文中不含有Second VLAN,则Option 37中也不包含Second VLAN ID内容。

·     DUID:DHCPv6客户端的DUID信息。

1.6  协议规范

与DHCPv6相关的协议规范有:

·     RFC 3736:Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6

·     RFC 3315:Dynamic Host Configuration Protocol for IPv6 (DHCPv6)

·     RFC 2462:IPv6 Stateless Address Autoconfiguration

·     RFC 3633:IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6

 


2 DHCPv6中继

2.1  DHCPv6中继简介

2.1.1  应用环境

DHCPv6客户端通常通过链路本地范围的组播地址与DHCPv6服务器通信,以获取IPv6地址和其他网络配置参数。如图2-1所示,服务器和客户端不在同一个链路范围内时,服务器和客户端无法直接通信,需要通过DHCPv6中继来转发报文。部署DHCPv6中继可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理。

图2-1 DHCPv6中继应用组网图

 

2.1.2  DHCPv6中继的工作过程

图2-2 DHCPv6中继的工作过程

 

图2-2所示,以交互两个消息的快速分配过程为例,DHCPv6客户端通过DHCPv6中继,从DHCPv6服务器获取IPv6地址和其他网络配置参数的过程为:

(1)     DHCPv6客户端向所有DHCPv6服务器和中继的组播地址FF02::1:2发送携带Rapid Commit选项的Solicit消息;

(2)     DHCPv6中继接收到Solicit消息后,将其封装在Relay-forward报文的中继消息选项(Relay Message Option)中,并将Relay-forward报文发送给DHCPv6服务器;

(3)     DHCPv6服务器从Relay-forward报文中解析出客户端的Solicit消息,为客户端选取IPv6地址和其他参数,构造Reply消息,将Reply消息封装在Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6中继;

(4)     DHCPv6中继从Relay-reply报文中解析出服务器的Reply消息,转发给DHCPv6客户端,以便DHCPv6客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置。

2.2  DHCPv6中继配置任务简介

DHCPv6中继配置任务如下:

(1)     配置接口工作在DHCPv6中继模式

(2)     指定DHCPv6服务器的地址

(3)     (可选)配置DHCPv6中继为DHCPv6客户端分配的网关地址

(4)     (可选)配置DHCPv6中继发送DHCPv6报文的DSCP优先级

(5)     (可选)配置DHCPv6中继支持的Interface ID选项填充模式

(6)     (可选)开启DHCPv6中继发布前缀路由功能

(7)     (可选)配置DHCPv6中继报文填充指定源地址

2.3  配置接口工作在DHCPv6中继模式

1. 配置限制和指导

建议不要在一个接口上同时配置DHCPv6中继和DHCPv6客户端功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口工作在DHCPv6中继模式。

ipv6 dhcp select relay

缺省情况下,接口未工作在DHCPv6中继模式。

2.4  指定DHCPv6服务器的地址

2.4.1  指定DHCPv6中继对应的DHCPv6服务器地址

1. 功能简介

工作在DHCPv6中继模式的接口接收到DHCPv6客户端发来的报文后,将其封装在Relay-forward报文中,并发送给指定的DHCPv6服务器,由DHCPv6服务器为客户端分配IPv6地址、IPv6前缀和其他网络配置参数。

2. 配置限制和指导

·     通过多次执行ipv6 dhcp relay server-address命令可以指定多个DHCPv6服务器,一个接口下最多可以指定8个DHCPv6服务器。DHCPv6中继接收到DHCPv6客户端报文后,将其转发给所有的DHCPv6服务器。

·     如果指定的DHCPv6服务器地址为链路本地地址或组播地址,则必须通过ipv6 dhcp relay server-address命令的interface参数指定出接口,否则报文可能会无法到达服务器。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     指定DHCPv6中继对应的DHCPv6服务器地址。

ipv6 dhcp relay server-address ipv6-address [ interface interface-type interface-number ]

缺省情况下,未指定DHCPv6中继对应的DHCPv6服务器地址。

2.4.2  指定中继地址池上对应的DHCPv6服务器地址

1. 功能简介

对于某些特定的用户接入方式,基于用户接入位置信息的不同,网络中存在大量不同类型的用户。为了使相同类型的用户可以从指定的DHCPv6服务器申请IPv6地址等网络参数,IPoE模块根据用户注册信息,使不同的用户选择不同的DHCPv6中继地址池,并从中继地址池下配置的DHCPv6服务器获取IPv6地址等网络参数。

一台DHCPv6中继的一个接口下可能连接不同类型的用户,当DHCPv6中继转发DHCPv6客户端请求报文给DHCPv6服务器时,不能再以中继接口的IPv6地址作为选择地址池的依据。为了解决这个问题,需要使用gateway-list命令指定某个类型用户所在的网段,并将该地址添加到转发给DHCPv6服务器的报文的Link-address字段中,为DHCPv6服务器选择地址池提供依据。

2. 配置限制和指导

·     为了提高可靠性,一个DHCPv6中继地址池下最多可以配置8个DHCPv6服务器地址,当DHCPv6客户端匹配该中继地址池后,DHCPv6中继会将DHCPv6客户端发来的DHCPv6报文转发给该地址池对应所有的DHCPv6服务器。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建DHCPv6中继地址池,并进入DHCPv6中继地址池视图。

ipv6 dhcp pool pool-name

(3)     指定匹配该地址池的DHCPv6客户端所在的网段地址。

gateway-list ipv6-address&<1-8>

缺省情况下,未指定匹配该地址池的DHCPv6客户端所在的网段地址。

(4)     指定中继地址池对应的DHCPv6服务器地址。

remote-server ipv6-address [ interface interface-type interface-number ]

缺省情况下,未指定中继地址池对应的DHCPv6服务器的地址。

2.5  配置DHCPv6中继为DHCPv6客户端分配的网关地址

1. 功能简介

当未开启该功能时,DHCPv6中继收到DHCPv6客户端的请求报文后,只能将接口的第一个IPv6添加到报文中,然后转发给DHCPv6服务器。对于某些特定需求,DHCPv6中继需要添加指定的地址到报文中,这时就需要配置此功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置DHCPv6中继为DHCPv6客户端分配的网关地址。

ipv6 dhcp relay gateway ipv6-address

缺省情况下,DHCPv6中继分配接口下的第一个IPv6地址作为DHCPv6客户端的网关地址。

2.6  配置DHCPv6中继发送DHCPv6报文的DSCP优先级

1. 功能简介

DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定DHCPv6中继发送的DHCPv6报文的DSCP优先级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DHCPv6中继发送DHCPv6报文的DSCP优先级。

ipv6 dhcp dscp dscp-value

缺省情况下,DHCPv6中继发送的DHCPv6报文的DSCP优先级为56。

2.7  配置DHCPv6中继支持的Interface ID选项填充模式

1. 功能简介

如果配置了DHCPv6中继支持的Interface ID选项填充模式,当DHCPv6中继接收到客户端发送的DHCPv6报文后,会以配置的填充方式将DHCPv6客户端的位置信息填充Option 18选项,并把填充好的报文转发给DHCPv6服务器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置DHCPv6中继支持的Interface ID选项填充模式。

ipv6 dhcp relay interface-id { bas | interface }

缺省情况下,Interface ID选项的填充模式为接口索引信息。

2.8  开启DHCPv6中继发布前缀路由功能

1. 功能简介

DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址。此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信。为了解决这个问题,需要在和DHCPv6客户端处于同一个链路范围内的DHCPv6中继上开启发布前缀路由功能。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6中继发布前缀路由功能。

ipv6 dhcp advertise pd-route

缺省情况下,DHCPv6中继发布前缀路由功能处于关闭状态。

开启DHCPv6中继发布前缀路由功能前,需要先开启DHCPv6中继用户表项记录功能。

2.9  配置DHCPv6中继报文填充指定源地址

1. 功能简介

在某些组网中,DHCPv6中继接口到DHCPv6服务器没有可达路由,用户需要配置本命令选择DHCPv6中继设备上的另一个接口(一般选择的是Loopback口)的IPv6地址填充到转发给DHCPv6服务器的DHCPv6请求报文中的源地址字段。

DHCPv6中继上行报文源地址填充为用户指定的全球单播地址或指定接口的地址。

未配置该功能时,DHCPv6中继上行报文源地址默认填充为出接口的地址。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置指定源地址。

ipv6 dhcp relay source-address { ipv6-address | interface interface-type  interface-number }

缺省情况下,DHCPv6中继自动选择向DHCPv6服务器转发报文出接口的一个全球单播地址作为DHCPv6中继向DHCPv6服务器转发报文的源地址。

如果指定接口作为源地址,但该接口未配置全球单播地址,则选择默认出接口地址。

2.10  DHCPv6中继显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6中继的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6中继的统计信息。

表2-1 DHCPv6中继显示和维护

操作

命令

显示本设备DUID

display ipv6 dhcp duid

显示DHCPv6中继上指定的DHCPv6服务器地址信息

display ipv6 dhcp relay server-address [ interface interface-type interface-number ]

显示DHCPv6中继的相关报文统计信息

display ipv6 dhcp relay statistics [ interface interface-type interface-number ]

清除DHCPv6中继用户地址表项信息

reset ipv6 dhcp relay client-information address [ interface interface-type interface-number | ipv6 ipv6-address ]

清除DHCPv6中继用户前缀表项信息

reset ipv6 dhcp relay client-information pd [ interface interface-type interface-number | prefix prefix/prefix-len ]

清除DHCPv6中继的相关报文统计信息

reset ipv6 dhcp relay statistics [ interface interface-type interface-number ]

 

2.11  DHCPv6中继典型配置举例

2.11.1  DHCPv6中继基本组网典型配置举例

1. 组网需求

·     DHCPv6客户端所在网络地址为1::/64,DHCPv6服务器的地址为2::2/64。客户端和服务器不在同一个链路范围,需要通过DHCPv6中继转发报文。

·     Switch A作为DHCPv6中继,为客户端和服务器转发报文。

·     Switch A同时作为1::/64网络的网关设备,通过RA消息中的M标志位和O标志位指定该网络中的主机通过DHCPv6获取IPv6地址和其他网络配置参数。RA消息的详细介绍,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

2. 组网图

图2-3 DHCPv6中继组网图

 

3. 配置步骤

# 配置VLAN接口2和VLAN接口3的IPv6地址。取消设备发布RA消息的抑制。配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ipv6 address 2::1 64

[SwitchA-Vlan-interface2] quit

[SwitchA] interface vlan-interface 3

[SwitchA-Vlan-interface3] ipv6 address 1::1 64

[SwitchA-Vlan-interface3] undo ipv6 nd ra halt

[SwitchA-Vlan-interface3] ipv6 nd autoconfig managed-address-flag

[SwitchA-Vlan-interface3] ipv6 nd autoconfig other-flag

# 配置VLAN接口3工作在DHCPv6中继模式,并指定DHCPv6服务器地址。

[SwitchA-Vlan-interface3] ipv6 dhcp select relay

[SwitchA-Vlan-interface3] ipv6 dhcp relay server-address 2::2

4. 验证配置

# 完成上述配置后,查看DHCPv6中继上指定的DHCPv6服务器地址信息。

[SwitchA-Vlan-interface3] display ipv6 dhcp relay server-address

Interface: Vlan-interface3

 Server address      Outgoing Interface         Public/VRF name

 2::2                                           --/--

# 查看DHCPv6中继相关报文的统计信息。

[SwitchA-Vlan-interface3] display ipv6 dhcp relay statistics

Packets dropped               :  0

Packets received              :  14

    Solicit                   :  0

    Request                   :  0

    Confirm                   :  0

    Renew                     :  0

    Rebind                    :  0

    Release                   :  0

    Decline                   :  0

    Information-request       :  7

    Relay-forward             :  0

    Relay-reply               :  7

Packets sent                  :  14

    Advertise                 :  0

    Reconfigure               :  0

    Reply                     :  7

    Relay-forward             :  7

    Relay-reply               :  0


3 DHCPv6客户端

3.1  DHCPv6客户端简介

设备作为DHCPv6客户端时,可以具有如下功能:

·     通过DHCPv6获取IPv6地址和网络配置参数,IPv6地址作为开启DHCPv6客户端功能的接口地址,当设备开启DHCPv6服务器功能后,获取的网络配置参数用来自动创建DHCPv6选项组。

·     通过DHCPv6获取IPv6前缀和网络配置参数,IPv6前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址);当设备开启DHCPv6服务器功能后,获取的网络配置参数用来自动创建DHCPv6选项组。

·     通过DHCPv6同时获取IPv6地址、IPv6前缀和网络配置参数,IPv6地址作为开启DHCPv6客户端功能的接口地址,IPv6前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址);当设备开启DHCPv6服务器功能后,获取的网络配置参数用来自动创建DHCPv6选项组。

·     通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数。DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数。否则DHCPv6客户端不会开启无状态配置过程。

3.2  DHCPv6客户端配置限制和指导

建议不要在一个接口上同时配置DHCPv6客户端和DHCPv6服务器功能,也不要在一个接口上同时配置DHCPv6客户端和DHCPv6中继功能,否则会影响功能正常使用。

3.3  DHCPv6客户端配置任务简介

DHCPv6客户端配置任务如下:

(1)     (可选)配置接口使用的DHCPv6客户端DUID

(2)     配置DHCPv6客户端获取IPv6地址、IPv6前缀和网络配置参数

请至少选择以下一项任务进行配置:

¡     配置DHCPv6客户端获取IPv6地址和网络配置参数

¡     配置DHCPv6客户端获取IPv6前缀和网络配置参数

¡     配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数

¡     配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数

(3)     (可选)配置DHCPv6客户端发送DHCPv6报文的DSCP优先级

3.4  配置接口使用的DHCPv6客户端DUID

1. 功能简介

DHCPv6客户端DUID用来填充DHCPv6报文的Option 1,作为识别DHCPv6客户端的唯一标识。DHCPv6服务器可以根据DHCPv6客户端DUID为特定的DHCPv6客户端分配特定的IPv6地址。用户可以通过三种方法指定DHCPv6客户端DUID:ASCII字符串、十六进制数或接口的MAC地址。

2. 配置限制和指导

用户在指定客户端ID时,需要确保不同客户端的客户端ID不能相同。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口使用的DHCPv6客户端DUID。

ipv6 dhcp client duid { ascii ascii-string | hex hex-string | mac interface-type interface-number }

缺省情况下,根据设备的桥MAC地址生成DHCPv6客户端DUID。

3.5  配置DHCPv6客户端获取IPv6地址和网络配置参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。

ipv6 address dhcp-alloc [ option-group group-number | rapid-commit ] *

缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数。

3.6  配置DHCPv6客户端获取IPv6前缀和网络配置参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数。

ipv6 dhcp client pd prefix-number [ option-group group-number | rapid-commit ]*

缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数。

3.7  配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和其他网络配置参数。

ipv6 dhcp client stateful prefix prefix-number [ option-group option-group-number | rapid-commit ] *

缺省情况下,接口不会作为DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数。

3.8  配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数

1. 功能简介

DHCPv6客户端可通过如下方式获取除地址/前缀外的其他网络参数:

·     如果接口上只配置了ipv6 address auto命令,则接口会通过无状态自动配置方式生成全球单播地址,同时自动生成链路本地地址。只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能。

·     如果接口只配置了ipv6 dhcp client stateless enable命令,则接口开启了DHCPv6客户端功能,并从DHCPv6服务器获取获取除地址/前缀外的其他网络配置参数。

·     如果接口上同时配置了ipv6 address auto命令和ipv6 dhcp client stateless enable命令,则接口通过无状态生成全球单播地址,同时自动生成链路本地地址,且直接从DHCPv6服务器获取除地址/前缀外的其他网络配置参数。

ipv6 address auto命令的详细介绍请参见“三层技术-IP业务命令参考”中的“IPv6基础”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启无状态自动配置功能。请至少选择其中一项进行配置。

¡     开启IPv6地址无状态自动配置功能。

ipv6 address auto

¡     开启DHCPv6客户端无状态配置功能。

ipv6 dhcp client stateless enable

缺省情况下,接口不会作为DHCPv6客户端获取除地址/前缀外的其他网络配置参数。

3.9  配置DHCPv6客户端发送DHCPv6报文的DSCP优先级

1. 功能简介

DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定DHCPv6客户端发送的DHCPv6报文的DSCP优先级。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级。

ipv6 dhcp client dscp dscp-value

缺省情况下,DHCPv6客户端发送的DHCPv6报文的DSCP优先级为56。

3.10  DHCPv6客户端显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6客户端的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6客户端的统计信息。

表3-1 DHCPv6客户端显示和维护

操作

命令

显示DHCPv6客户端的信息

display ipv6 dhcp client [ interface interface-type interface-number ]

显示DHCPv6客户端的统计信息

display ipv6 dhcp client statistics [ interface interface-type interface-number ]

清除DHCPv6客户端的统计信息

reset ipv6 dhcp client statistics [ interface interface-type interface-number ]

 

3.11  DHCPv6客户端典型配置举例

3.11.1  DHCPv6客户端申请地址及网络参数配置举例

1. 组网需求

DHCPv6客户端Switch从DHCPv6服务器获取IPv6地址,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名。

DHCPv6客户端根据获取到的网络配置参数自动创建DHCPv6选项组1。

2. 组网图

图3-1 DHCPv6客户端申请地址及网络参数配置组网图

 

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

# 配置VLAN接口2作为DHCPv6客户端获取IPv6地址及网络参数,配置DHCPv6客户端支持地址快速分配功能,并配置根据获取到的网络配置参数自动创建DHCPv6选项组1。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ipv6 address dhcp-alloc rapid-commit option-group 1

[Switch-Vlan-interface2] quit

4. 验证配置

# 显示DHCPv6客户端的信息。可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6地址及网络参数。

[Switch] display ipv6 dhcp client

Vlan-interface2:

  Type: Stateful client requesting address

    State: OPEN

    Client DUID: 0003000100e002000000

    Preferred server:

      Reachable via address: FE80::2E0:1FF:FE00:18

      Server DUID: 0003000100e001000000

    IA_NA: IAID 0x00000642, T1 50 sec, T2 80 sec

      Address: 1:1::2/128

       Preferred lifetime 100 sec, valid lifetime 200 sec

       Will expire on Mar 27 2014 at 08:06:57 (198 seconds left)

    DNS server addresses:

      2000::FF

    Domain name:

      example.com

    SIP server addresses:

      2:2::4

    SIP server domain names:

      bbb.com

# 在DHCPv6客户端上开启DHCPv6服务器功能后,显示动态创建的DHCPv6选项组1的信息。

[Switch] display ipv6 dhcp option-group 1

DHCPv6 option group: 1

  DNS server addresses:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: Vlan-interface2

    2000::FF

  Domain name:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: Vlan-interface2

    example.com

  SIP server addresses:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: Vlan-interface2

    2:2::4

  SIP server domain names:

    Type: Dynamic (DHCPv6 address allocation)

    Interface: Vlan-interface2

    bbb.com

# 查看获取到的IPv6地址。

[Switch] display ipv6 interface brief

*down: administratively down

(s): spoofing

Interface                                Physical   Protocol   IPv6 Address

Vlan-interface2                          up         up         1:1::2

3.11.2  DHCPv6客户端申请前缀及网络参数配置举例

1. 组网需求

DHCPv6客户端Switch从DHCPv6服务器获取IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等。

DHCPv6客户端Switch根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1。

2. 组网图

图3-2 DHCPv6客户端申请前缀及网络参数配置组网图

 

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

# 在客户端连接到DHCPv6服务器的VLAN接口2上配置IPv6地址。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ipv6 address 1::2/48

# 配置VLAN接口2作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能。

[Switch-Vlan-interface2] ipv6 dhcp client pd 1 rapid-commit option-group 1

[Switch-Vlan-interface2] quit

4. 验证配置

# 显示DHCPv6客户端的信息。可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数。

[Switch] display ipv6 dhcp client

Vlan-interface2:

  Type: Stateful client requesting prefix

    State: OPEN

    Client DUID: 0003000100e002000000

    Preferred server:

      Reachable via address: FE80::2E0:1FF:FE00:18

      Server DUID: 0003000100e001000000

    IA_PD: IAID 0x00000642, T1 50 sec, T2 80 sec

      Prefix: 12:34::/48

        Preferred lifetime 100 sec, valid lifetime 200 sec

        Will expire on Feb 4 2014 at 15:37:20(80 seconds left)

    DNS server addresses:

      2000::FF

    Domain name:

      example.com

    SIP server addresses:

      2:2::4

    SIP server domain names:

      bbb.com

# 显示动态创建的IPv6前缀1的信息。

[Switch] display ipv6 prefix 1

Number: 1

Type  : Dynamic

Prefix: 12:34::/48

Preferred lifetime 100 sec, valid lifetime 200 sec

# 在DHCPv6客户端上开启DHCPv6服务器功能后,显示动态创建的DHCPv6选项组1的信息。

[Switch] display ipv6 dhcp option-group 1 

DHCPv6 option group: 1

  DNS server addresses:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: Vlan-interface2

    2000::FF

  Domain name:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: Vlan-interface2

    example.com

  SIP server addresses:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: Vlan-interface2

    2:2::4

  SIP server domain names:

    Type: Dynamic (DHCPv6 prefix allocation)

    Interface: Vlan-interface2

    bbb.com

3.11.3  DHCPv6客户端同时申请地址、前缀及网络参数配置举例

1. 组网需求

DHCPv6客户端Switch从DHCPv6服务器同时获取IPv6地址、IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等。

DHCPv6客户端Switch根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1。

2. 组网图

图3-3 DHCPv6客户端同时申请地址、前缀及网络参数配置组网图

 

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

# 在客户端连接到DHCPv6服务器的VLAN接口2上配置IPv6地址。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ipv6 address 1::2/48

# 配置VLAN接口2作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能。

[Switch-Vlan-interface2] ipv6 dhcp client stateful prefix 1 rapid-commit option-group 1

[Switch-Vlan-interface2] quit

4. 验证配置

# 显示DHCPv6客户端的信息。可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数。

[Switch] display ipv6 dhcp client

Vlan-interface2:

  Type: Stateful client requesting address and prefix

    State: OPEN

    Client DUID: 0003000100e002000000

    Preferred server:

      Reachable via address: FE80::2E0:1FF:FE00:18

      Server DUID: 0003000100e001000000

    IA_NA: IAID 0x00000642, T1 50 sec, T2 80 sec

      Address: 1:1::2/128

        Preferred lifetime 100 sec, valid lifetime 200 sec

        Will expire on Mar 27 2014 at 08:02:00 (199 seconds left)

    IA_PD: IAID 0x00000642, T1 50 sec, T2 80 sec

      Prefix: 12:34::/48

        Preferred lifetime 100 sec, valid lifetime 200 sec

        Will expire on Mar 27 2014 at 08:02:00 (199 seconds left)

    DNS server addresses:

      2000::FF

    Domain name:

      example.com

    SIP server addresses:

      2:2::4

    SIP server domain names:

      bbb.com

# 查看获取到的IPv6地址。

[Switch] display ipv6 interface brief

*down: administratively down

(s): spoofing

Interface                                Physical   Protocol   IPv6 Address

Vlan-interface2                          up         up         1:1::2

# 显示动态创建的IPv6前缀1的信息。

[Switch] display ipv6 prefix 1

Number: 1

Type  : Dynamic

Prefix: 12:34::/48

Preferred lifetime 100 sec, valid lifetime 200 sec

# 在DHCPv6客户端上开启DHCPv6服务器功能后,显示动态创建的DHCPv6选项组1的信息。

[Switch] display ipv6 dhcp option-group 1

DNS server addresses:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: Vlan-interface2

    2000::FF

  Domain name:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: Vlan-interface2

    example.com

  SIP server addresses:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: Vlan-interface2

    2:2::4

  SIP server domain names:

    Type: Dynamic (DHCPv6 address and prefix allocation)

    Interface: Vlan-interface2

    bbb.com

以上三条display命令可以看到客户端获取到的地址信息、前缀信息和网络参数。

3.11.4  DHCPv6无状态配置配置举例

1. 组网需求

·     DHCPv6客户端Switch A通过DHCPv6无状态配置获取域名服务器、域名等信息;

·     Switch B作为网关,周期性发布RA消息。

2. 组网图

图3-4 DHCPv6无状态配置组网图

 

3. 配置步骤

说明

进行下面的配置前,需要先完成DHCPv6服务器的配置。

 

(1)     配置网关Switch B

# 配置VLAN接口2的IPv6地址。

<SwitchB> system-view

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ipv6 address 1::1 64

# 配置RA消息中O标志位为1。

[SwitchB-Vlan-interface2] ipv6 nd autoconfig other-flag

# 配置允许发送RA消息。

[SwitchB-Vlan-interface2] undo ipv6 nd ra halt

(2)     配置DHCPv6客户端Switch A

# 在VLAN接口2上使能IPv6地址无状态自动配置功能。

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ipv6 address auto

执行此命令后,如果VLAN接口2下未配置地址,Switch A会自动生成本地链路地址,并主动发送RS(Router Solicitation,路由器请求)报文,请求网关Switch B立即回应RA报文。

4. 验证配置

如果收到的RA报文中M标志位为0、O标志位为1,Switch A就会启动DHCPv6客户端无状态配置。

# 可以通过display ipv6 dhcp client命令查看当前客户端的配置信息,如果从服务器成功获取了配置,将会有类似的显示信息。

[SwitchA-Vlan-interface2] display ipv6 dhcp client interface vlan-interface 2

Vlan-interface2:

 Type: Stateless client

    State: OPEN

    Client DUID: 00030001000fe2ff0000

    Preferred server:

      Reachable via address: FE80::213:7FFF:FEF6:C818

      Server DUID: 0003000100137ff6c818

    DNS server addresses:

      1:2:4::5

      1:2:4::7

    Domain name:

      abc.com

# 可以通过display ipv6 dhcp client statistics命令查看当前客户端的统计信息。

[SwitchA-Vlan-interface2] display ipv6 dhcp client statistics

Interface                     :  Vlan-interface2

Packets received              :  1

        Reply                 :  1

        Advertise             :  0

        Reconfigure           :  0

        Invalid               :  0

Packets sent                  :  5

        Solicit               :  0

        Request               :  0

        Renew                 :  0

        Rebind                :  0

        Information-request   :  5

        Release               :  0

        Decline               :  0

 


4 DHCPv6 Snooping

4.1  DHCPv6 Snooping简介

DHCPv6 Snooping是DHCPv6的一种安全特性,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系。

4.1.1  保证客户端从合法的服务器获取IPv6地址或IPv6前缀

网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信。为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:

·     信任端口正常转发接收到的DHCPv6报文。

·     不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。

图4-1 信任端口和非信任端口

 

图4-1所示,在DHCPv6 Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址。

4.1.2  记录DHCPv6客户端IPv6地址与MAC地址的对应关系

DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping binding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控。

4.1.3  记录DHCPv6客户端IPv6前缀与端口的对应关系

DHCPv6 Snooping通过监听DHCPv6报文中的前缀和收到DHCPv6请求报文的端口信息,记录DHCPv6 Snooping前缀表项,其中包括客户端获取到的IPv6前缀、租约信息、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping pd binding命令查看客户端获取的IPv6前缀信息,以便了解用户上网时所用的IPv6前缀,并对其进行管理和监控。

4.2  DHCPv6 snooping配置限制和指导

设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。

4.3  DHCPv6 Snooping配置任务简介

DHCPv6 Snooping配置任务如下:

(1)     配置DHCPv6 Snooping基本功能

(2)     (可选)配置DHCPv6 Snooping支持Option 18功能

(3)     (可选)配置DHCPv6 Snooping支持Option 37功能

(4)     (可选)配置DHCPv6 Snooping表项固化功能

(5)     (可选)配置接口动态学习DHCPv6 Snooping表项的最大数目

(6)     (可选)开启DHCPv6 Snooping报文限速功能

(7)     (可选)开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

(8)     (可选)开启DHCPv6 Snooping报文阻断功能

(9)     (可选)开启DHCPv6 Snooping日志信息功能

4.4  配置DHCPv6 Snooping基本功能

4.4.1  在普通组网中配置DHCPv6 Snooping基本功能

1. 配置限制和指导

·     为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内。

·     如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6 Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6 Snooping的配置才会生效。

2. 开启DHCPv6 Snooping功能

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping功能。

ipv6 dhcp snooping enable

缺省情况下,DHCPv6 Snooping功能处于关闭状态。

3. 配置DHCPv6 Snooping信任端口

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

此接口为连接DHCPv6服务器的接口。

(3)     配置DHCPv6 Snooping信任端口。

ipv6 dhcp snooping trust

缺省情况下,开启DHCPv6 Snooping功能后,设备的所有端口均为不信任端口。

4. 开启端口的DHCPv6 Snooping表项记录功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

此接口为连接DHCPv6客户端的接口。

(3)     开启端口的DHCPv6 Snooping表项记录功能。请至少选择其中一项进行配置。

¡     开启端口的DHCPv6 Snooping地址表项记录功能。

ipv6 dhcp snooping binding record

缺省情况下,端口的DHCPv6 Snooping地址表项记录功能处于关闭状态。

¡     开启端口的DHCPv6 Snooping前缀表项记录功能。

ipv6 dhcp snooping pd binding record

缺省情况下,端口的DHCPv6 Snooping前缀表项记录功能处于关闭状态。

4.5  配置DHCPv6 Snooping支持Option 18功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping支持Option 18功能。

ipv6 dhcp snooping option interface-id enable

缺省情况下,DHCPv6 Snooping支持Option 18功能处于关闭状态。

(4)     (可选)配置Option 18选项中的DUID。

ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id

缺省情况下,Option 18选项中的DUID为本设备的DUID。

4.6  配置DHCPv6 Snooping支持Option 37功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping支持Option 37功能。

ipv6 dhcp snooping option remote-id enable

缺省情况下,DHCPv6 Snooping支持Option 37功能处于关闭状态。

(4)     (可选)配置Option 37选项中的DUID。

ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id

缺省情况下,Option 37选项中的DUID为本设备的DUID。

4.7  配置DHCPv6 Snooping表项固化功能

1. 功能简介

DHCPv6 Snooping设备重启后,设备上记录的DHCPv6 Snooping表项将丢失。如果DHCPv6 Snooping与其他特性(如IP Source Guard)配合使用,表项丢失会导致安全特性无法通过DHCPv6 Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络。

DHCPv6 Snooping表项备份功能将DHCPv6 Snooping表项保存到指定的文件中,DHCPv6 Snooping设备重启后,自动根据该文件恢复DHCPv6 Snooping表项,从而保证DHCPv6 Snooping表项不会丢失。

2. 配置限制和指导

·     执行undo ipv6 dhcp snooping enable命令关闭DHCPv6 Snooping功能后,设备会删除所有DHCPv6 Snooping表项,文件中存储的DHCPv6 Snooping表项也将被删除。

·     执行ipv6 dhcp snooping binding database filename命令后,会立即触发一次表项备份。

¡     如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。

¡     如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     指定存储DHCPv6 Snooping表项的文件名称。

ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }

缺省情况下,未指定存储文件名称。

(3)     (可选)将当前的DHCPv6 Snooping表项保存到用户指定的文件中。

ipv6 dhcp snooping binding database update now

本命令只用来触发一次DHCPv6 Snooping表项的备份。

(4)     (可选)配置刷新DHCPv6 Snooping表项存储文件的延迟时间。

ipv6 dhcp snooping binding database update interval interval

缺省情况下,若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。

4.8  配置接口动态学习DHCPv6 Snooping表项的最大数目

1. 功能简介

通过本配置可以限制接口动态学习DHCPv6 Snooping表项的最大数目,以防止接口学习到大量DHCPv6 Snooping表项,占用过多的系统资源。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口动态学习DHCPv6 Snooping表项的最大数目。

ipv6 dhcp snooping max-learning-num max-number

缺省情况下,不限制接口动态学习DHCPv6 Snooping表项的数目。

4.9  开启DHCPv6 Snooping报文限速功能

1. 功能简介

为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6 Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率。当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6 Snooping设备将丢弃超过速率限制的报文。

2. 配置限制和指导

如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6 Snooping的报文限速配置。如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6 Snooping的报文限速配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping的报文限速功能。

ipv6 dhcp snooping rate-limit rate

缺省情况下,DHCPv6 Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率。

4.10  开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

1. 功能简介

本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击。

伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约。如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端。

伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约。

在DHCPv6 Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击。如果开启了该功能,则DHCPv6 Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6 Snooping表项。若存在,则接收报文信息与DHCPv6 Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCPv6服务器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。

ipv6 dhcp snooping check request-message

缺省情况下,DHCPv6 Snooping的DHCPv6请求方向报文检查功能处于关闭状态。

4.11  开启DHCPv6 Snooping报文阻断功能

1. 功能简介

在某些组网环境下,用户需要在DHCPv6 Snooping设备的某一端口上丢弃该端口收到的所有DHCPv6请求方向报文,而又不影响其他端口正常接收DHCPv6报文。这时,用户可以在该端口上开启DHCP Snooping报文阻断功能。

当端口上开启了DHCPv6 Snooping报文阻断功能后,该端口收到的所有DHCPv6请求方向的报文都将被丢弃。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping报文阻断功能。

ipv6 dhcp snooping deny

缺省情况下,端口的DHCPv6 Snooping报文阻断功能处于关闭状态。

4.12  开启DHCPv6 Snooping日志信息功能

1. 功能简介

DHCPv6 Snooping日志可以方便管理员定位问题和解决问题。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

2. 配置限制和指导

当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping日志信息功能。

ipv6 dhcp snooping log enable

缺省情况下,DHCPv6 Snooping日志信息功能处于关闭状态。

4.13  DHCPv6 Snooping显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示DHCPv6 Snooping的配置情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除DHCPv6 Snooping表项信息。

表4-1 DHCPv6 Snooping显示和维护

操作

命令

显示DHCPv6 Snooping地址表项信息

display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ]

显示DHCPv6 Snooping表项备份信息

display ipv6 dhcp snooping binding database

显示DHCPv6 Snooping设备上的DHCPv6报文统计信息

display ipv6 dhcp snooping packet statistics [ slot slot-number ]

显示DHCPv6 Snooping前缀表项信息

display ipv6 dhcp snooping pd binding [ prefix prefix/prefix-length [ vlan vlan-id ] ]

显示DHCPv6 Snooping信任端口信息

display ipv6 dhcp snooping trust

清除DHCPv6 Snooping地址表项信息

reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }

清除DHCPv6 Snooping设备上的DHCPv6报文统计信息

reset ipv6 dhcp snooping packet statistics [ slot slot-number ]

清除DHCPv6 Snooping前缀表项信息

reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }

 

4.14  DHCPv6 Snooping典型配置举例

4.14.1  DHCPv6 Snooping基本组网配置举例

1. 组网需求

Switch B通过以太网端口GigabitEthernet1/0/1连接到合法DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到非法服务器,通过GigabitEthernet1/0/2连接到DHCPv6客户端。要求:

·     与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文。

·     记录DHCPv6客户端IPv6地址及MAC地址的绑定关系。

2. 组网图

图4-2 DHCPv6 Snooping组网示意图

3. 配置步骤

# 开启DHCPv6 Snooping功能。

<SwitchB> system-view

[SwitchB] ipv6 dhcp snooping enable

 # 配置GigabitEthernet1/0/1端口为信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 在GigabitEthernet1/0/2上开启安全表项功能。

[SwitchB]interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record

[SwitchB-GigabitEthernet1/0/2] quit

4. 验证配置

配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表项。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们