- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-DHCPv6 Snooping配置
本章节下载: 10-DHCPv6 Snooping配置 (206.97 KB)
目 录
1.1.1 保证客户端从合法的服务器获取IPv6地址或IPv6前缀
1.1.2 记录DHCPv6客户端IPv6地址与MAC地址的对应关系
1.1.3 记录DHCPv6客户端IPv6前缀与端口的对应关系
1.5.2 开启DHCPv6 Snooping报文丢弃告警功能
1.6.1 显示和清除DHCPv6 Snooping表项信息
1.6.2 显示和清除DHCPv6 Snooping的DHCPv6报文统计信息
DHCPv6 Snooping是DHCPv6的一种安全特性,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系。
网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信。为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCPv6报文。
· 不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。
如图1-1所示,在DHCPv6 Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址。
DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping binding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控。
DHCPv6 Snooping通过监听DHCPv6报文中的前缀和收到DHCPv6请求报文的端口信息,记录DHCPv6 Snooping前缀表项,其中包括客户端获取到的IPv6前缀、租约信息、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping pd binding命令查看客户端获取的IPv6前缀信息,以便了解用户上网时所用的IPv6前缀,并对其进行管理和监控。
设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。
DHCPv6 Snooping配置任务如下:
(1) (可选)配置DHCPv6 Snooping表项固化功能
(2) (可选)开启DHCPv6 Snooping日志和告警功能
DHCPv6 Snooping设备重启后,设备上记录的DHCPv6 Snooping表项将丢失。如果DHCPv6 Snooping与其他特性配合使用,表项丢失会导致安全特性无法通过DHCPv6 Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络。
DHCPv6 Snooping表项备份功能将DHCPv6 Snooping表项保存到指定的文件中,DHCPv6 Snooping设备重启后,自动根据该文件恢复DHCPv6 Snooping表项,从而保证DHCPv6 Snooping表项不会丢失。
· 执行undo ipv6 dhcp snooping enable命令关闭DHCPv6 Snooping功能后,设备会删除所有DHCPv6 Snooping表项,文件中存储的DHCPv6 Snooping表项也将被删除。
· 执行ipv6 dhcp snooping binding database filename命令后,会立即触发一次表项备份。
¡ 如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
¡ 如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
(1) 进入系统视图。
system-view
(2) 指定存储DHCPv6 Snooping表项的文件名称。
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情况下,未指定存储文件名称。
(3) (可选)将当前的DHCPv6 Snooping表项保存到用户指定的文件中。
ipv6 dhcp snooping binding database update now
本命令只用来触发一次DHCPv6 Snooping表项的备份。
(4) (可选)配置刷新DHCPv6 Snooping表项存储文件的延迟时间。
ipv6 dhcp snooping binding database update interval interval
缺省情况下,若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。
DHCPv6 Snooping日志可以方便管理员定位问题和解决问题。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping日志信息功能。
ipv6 dhcp snooping log enable
缺省情况下,DHCPv6 Snooping日志信息功能处于关闭状态。
开启本功能后,当指定检查功能丢弃的报文数大于或等于通过ipv6 dhcp snooping alarm threshold命令指定的报文丢弃告警阈值后,设备就会生成相应的告警日志信息,并将日志信息交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
只有开启DHCPv6 Snooping日志信息功能(通过ipv6 dhcp snooping log enable命令),才能输出告警日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping报文丢弃告警功能。
ipv6 dhcp snooping alarm { relay-forward | request-message } enable
缺省情况下,DHCPv6 Snooping报文丢弃告警功能处于关闭状态。
(3) 设置DHCPv6 Snooping报文丢弃告警阈值。
ipv6 dhcp snooping alarm { relay-forward | request-message } threshold threshold
缺省情况下,DHCPv6 Snooping报文丢弃告警阈值为100。
可在任意视图下执行以下命令:
· 显示DHCPv6 Snooping地址表项信息。
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ]
· 显示DHCPv6 Snooping前缀表项信息。
display ipv6 dhcp snooping pd binding [ prefix prefix/prefix-length [ vlan vlan-id ] ]
· 显示DHCPv6 Snooping表项备份信息。
display ipv6 dhcp snooping binding database
请在用户视图下执行以下命令:
· 清除DHCPv6 Snooping地址表项信息。
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }
· 清除DHCPv6 Snooping前缀表项信息。
reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }
可在任意视图下执行以下命令,显示DHCPv6 Snooping设备上的DHCPv6报文统计信息。
display ipv6 dhcp snooping packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除DHCPv6 Snooping设备上的DHCPv6报文统计信息。
reset ipv6 dhcp snooping packet statistics [ slot slot-number ]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
