- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-DHCPv6 Snooping配置
本章节下载: 12-DHCPv6 Snooping配置 (346.05 KB)
目 录
1.1.1 保证客户端从合法的服务器获取IPv6地址或IPv6前缀
1.1.2 记录DHCPv6客户端IPv6地址与MAC地址的对应关系
1.1.3 记录DHCPv6客户端IPv6前缀与端口的对应关系
1.1.4 DRNI组网下的DHCPv6 Snooping功能
1.4.1 在普通组网中配置DHCPv6 Snooping基本功能
1.5 配置DHCPv6 Snooping支持Option 18功能
1.6 配置DHCPv6 Snooping支持Option 37功能
1.8 配置接口动态学习DHCPv6 Snooping表项的最大数目
1.9 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能
1.11 开启DHCPv6 Snooping的Relay-Forward报文检查功能
1.12 开启DHCPv6 Snooping的用户下线探测功能
1.13.1 开启DHCPv6 Snooping日志信息功能
1.13.2 开启DHCPv6 Snooping报文丢弃告警功能
1.14.1 显示DHCPv6 Snooping的信任端口信息
1.14.2 显示和清除DHCPv6 Snooping表项信息
1.14.3 显示和清除DHCPv6 Snooping的DHCPv6报文统计信息
1.14.4 显示DHCPv6 Snooping记录的DRNI接口信息
1.14.5 显示和清除DHCPv6 Snooping记录的DRNI同步表项统计信息
1.15.1 DHCPv6 Snooping基本组网配置举例
DHCPv6 Snooping是DHCPv6的一种安全特性,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系。
网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信。为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCPv6报文。
· 不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。
如图1-1所示,在DHCPv6 Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址。
DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping binding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控。
DHCPv6 Snooping通过监听DHCPv6报文中的前缀和收到DHCPv6请求报文的端口信息,记录DHCPv6 Snooping前缀表项,其中包括客户端获取到的IPv6前缀、租约信息、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping pd binding命令查看客户端获取的IPv6前缀信息,以便了解用户上网时所用的IPv6前缀,并对其进行管理和监控。
在网络中,为了提高DHCPv6 Snooping设备的可靠性,可以配置DRNI组网下的DHCPv6功能。将两台DHCPv6 Snooping设备在聚合层面虚拟成一台设备来实现跨设备链路聚合,从而提供设备级冗余保护和流量负载分担。管理员可以通过执行display ipv6 dhcp snooping drni-status命令和display ipv6 dhcp snooping drni-statistics命令查看DRNI同步给DHCPv6 Snooping的状态信息和统计信息,来判断DRNI组网环境中的DHCPv6 Snooping功能是否工作正常。
关于DRNI的详细介绍,请参见“二层技术—以太网交换配置指导”中的“DRNI”。
图1-2 DRNI组网下的DHCPv6 Snooping功能组网图
设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。
DHCPv6 Snooping配置任务如下:
(2) (可选)配置DHCPv6 Snooping支持Option 18功能
(3) (可选)配置DHCPv6 Snooping支持Option 37功能
(4) (可选)配置DHCPv6 Snooping表项固化功能
(5) (可选)配置接口动态学习DHCPv6 Snooping表项的最大数目
(6) (可选)开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能
(7) (可选)开启DHCPv6 Snooping报文阻断功能
(8) 开启DHCPv6 Snooping的Relay-Forward报文检查功能
(9) 开启DHCPv6 Snooping的用户下线探测功能
(10) (可选)开启DHCPv6 Snooping日志和告警功能
· 为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内。
· 如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6 Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6 Snooping的配置才会生效。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping功能。
ipv6 dhcp snooping enable
缺省情况下,DHCPv6 Snooping功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
此接口为连接DHCPv6服务器的接口。
(3) 配置DHCPv6 Snooping信任端口。
ipv6 dhcp snooping trust
缺省情况下,开启DHCPv6 Snooping功能后,设备的所有端口均为不信任端口。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
此接口为连接DHCPv6客户端的接口。
(3) 开启端口的DHCPv6 Snooping表项记录功能。请至少选择其中一项进行配置。
¡ 开启端口的DHCPv6 Snooping地址表项记录功能。
ipv6 dhcp snooping binding record
缺省情况下,端口的DHCPv6 Snooping地址表项记录功能处于关闭状态。
¡ 开启端口的DHCPv6 Snooping前缀表项记录功能。
ipv6 dhcp snooping pd binding record
缺省情况下,端口的DHCPv6 Snooping前缀表项记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping支持Option 18功能。
ipv6 dhcp snooping option interface-id enable
缺省情况下,DHCPv6 Snooping支持Option 18功能处于关闭状态。
(4) (可选)配置Option 18选项中的DUID。
ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id
缺省情况下,Option 18选项中的DUID为本设备的DUID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping支持Option 37功能。
ipv6 dhcp snooping option remote-id enable
缺省情况下,DHCPv6 Snooping支持Option 37功能处于关闭状态。
(4) (可选)配置Option 37选项中的DUID。
ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id
缺省情况下,Option 37选项中的DUID为本设备的DUID。
DHCPv6 Snooping设备重启后,设备上记录的DHCPv6 Snooping表项将丢失。如果DHCPv6 Snooping与其他特性(如IP Source Guard)配合使用,表项丢失会导致安全特性无法通过DHCPv6 Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络。
DHCPv6 Snooping表项备份功能将DHCPv6 Snooping表项保存到指定的文件中,DHCPv6 Snooping设备重启后,自动根据该文件恢复DHCPv6 Snooping表项,从而保证DHCPv6 Snooping表项不会丢失。
· 执行undo ipv6 dhcp snooping enable命令关闭DHCPv6 Snooping功能后,设备会删除所有DHCPv6 Snooping表项,文件中存储的DHCPv6 Snooping表项也将被删除。
· 执行ipv6 dhcp snooping binding database filename命令后,会立即触发一次表项备份。
¡ 如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
¡ 如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
(1) 进入系统视图。
system-view
(2) 指定存储DHCPv6 Snooping表项的文件名称。
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情况下,未指定存储文件名称。
(3) (可选)将当前的DHCPv6 Snooping表项保存到用户指定的文件中。
ipv6 dhcp snooping binding database update now
本命令只用来触发一次DHCPv6 Snooping表项的备份。
(4) (可选)配置刷新DHCPv6 Snooping表项存储文件的延迟时间。
ipv6 dhcp snooping binding database update interval interval
缺省情况下,若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。
通过本配置可以限制接口动态学习DHCPv6 Snooping表项的最大数目,以防止接口学习到大量DHCPv6 Snooping表项,占用过多的系统资源。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口动态学习DHCPv6 Snooping表项的最大数目。
ipv6 dhcp snooping max-learning-num max-number
缺省情况下,不限制接口动态学习DHCPv6 Snooping表项的数目。
本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击。
伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约。如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端。
伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约。
在DHCPv6 Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击。如果开启了该功能,则DHCPv6 Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6 Snooping表项。若存在,则接收报文信息与DHCPv6 Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCPv6服务器。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。
ipv6 dhcp snooping check request-message
缺省情况下,DHCPv6 Snooping的DHCPv6请求方向报文检查功能处于关闭状态。
在某些组网环境下,用户需要在DHCPv6 Snooping设备的某一端口上丢弃该端口收到的所有DHCPv6请求方向报文,而又不影响其他端口正常接收DHCPv6报文。这时,用户可以在该端口上开启DHCP Snooping报文阻断功能。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping报文阻断功能。
ipv6 dhcp snooping deny
缺省情况下,端口的DHCPv6 Snooping报文阻断功能处于关闭状态。
在端口上开启本功能后,DHCPv6 Snooping设备会丢弃该端口收到的所有DHCPv6请求方向报文,这将导致该端口上的DHCPv6客户端无法申请到IPv6地址或IPv6前缀。因此,本功能只能在未连接DHCPv6客户端的端口上开启。
当DHCPv6中继收到DHCPv6请求报文后,会生成和请求报文对应的Relay-Forward报文,且将客户端信息添加到报文的Option 79选项,再将该报文转发给DHCPv6服务器。DHCPv6 Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,才能正常工作。当DHCPv6 Snooping收到Relay-Forward报文时,表示DHCPv6 Snooping设备位于DHCPv6中继与DHCPv6服务器之间,DHCPv6 Snooping无法正常工作。开启本功能后,当DHCPv6 Snooping收到Relay-Forward报文时,直接丢弃该报文。当丢弃的报文数大于或等于阈值时,DHCPv6 Snooping会生成日志信息。管理员看到相关日志信息后,可以及时调整DHCPv6设备的位置,使DHCPv6 Snooping可以正常工作。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping的Relay-Forward报文检查功能。
ipv6 dhcp snooping check relay-forward
缺省情况下,DHCPv6 Snooping的Relay-Forward报文检查功能处于关闭状态。
当DHCPv6客户端非正常下线时,不会向DHCPv6服务器发送报文释放地址租约,这会使DHCPv6服务器上无法获知DHCPv6客户端下线,导致地址租约浪费。开启本功能后,当设备上的某条ND表项老化后,DHCPv6 Snooping就认为该表项对应的DHCPv6客户端已经下线,则DHCPv6 Snooping会删除对应的DHCPv6 Snooping表项,并构造Release报文通知DHCPv6服务器删除对应的地址租约。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping的用户下线探测功能。
(3) ipv6 dhcp snooping client-detect
缺省情况下,DHCPv6 Snooping的用户下线探测功能处于关闭状态。
DHCPv6 Snooping日志可以方便管理员定位问题和解决问题。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping日志信息功能。
ipv6 dhcp snooping log enable
缺省情况下,DHCPv6 Snooping日志信息功能处于关闭状态。
开启本功能后,当指定检查功能丢弃的报文数大于或等于通过ipv6 dhcp snooping alarm threshold命令指定的报文丢弃告警阈值后,设备就会生成相应的告警日志信息,并将日志信息交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
只有开启DHCPv6 Snooping日志信息功能(通过ipv6 dhcp snooping log enable命令),才能输出告警日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping报文丢弃告警功能。
ipv6 dhcp snooping alarm { relay-forward | request-message } enable
缺省情况下,DHCPv6 Snooping报文丢弃告警功能处于关闭状态。
(3) 设置DHCPv6 Snooping报文丢弃告警阈值。
ipv6 dhcp snooping alarm { relay-forward | request-message } threshold threshold
缺省情况下,DHCPv6 Snooping报文丢弃告警阈值为100。
可在任意视图下执行以下命令,显示DHCPv6 Snooping信任端口信息。
display ipv6 dhcp snooping trust
可在任意视图下执行以下命令:
· 显示DHCPv6 Snooping地址表项信息。
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ]
· 显示DHCPv6 Snooping前缀表项信息。
display ipv6 dhcp snooping pd binding [ prefix prefix/prefix-length [ vlan vlan-id ] ]
· 显示DHCPv6 Snooping表项备份信息。
display ipv6 dhcp snooping binding database
请在用户视图下执行以下命令:
· 清除DHCPv6 Snooping地址表项信息。
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }
· 清除DHCPv6 Snooping前缀表项信息。
reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }
可在任意视图下执行以下命令,显示DHCPv6 Snooping设备上的DHCPv6报文统计信息。
display ipv6 dhcp snooping packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除DHCPv6 Snooping设备上的DHCPv6报文统计信息。
reset ipv6 dhcp snooping packet statistics [ slot slot-number ]
可在任意视图下执行以下命令,显示DHCPv6 Snooping记录的DRNI接口信息。
display ipv6 dhcp snooping drni-status
可在任意视图下执行以下命令,显示DRNI组网中DHCPv6 Snooping记录的同步表项统计信息。
display ipv6 dhcp snooping drni-statistics
请在用户视图下执行以下命令,清除DHCPv6 Snooping记录的DRNI同步表项统计信息。
reset ipv6 dhcp snooping drni-statistics
Router B通过以太网端口Ten-GigabitEthernet0/0/6连接到合法DHCPv6服务器,通过以太网端口Ten-GigabitEthernet0/0/8连接到非法服务器,通过Ten-GigabitEthernet0/0/7连接到DHCPv6客户端。要求:
· 与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文。
· 记录DHCPv6客户端IPv6地址及MAC地址的绑定关系。
图1-3 DHCPv6 Snooping组网示意图
# 开启DHCPv6 Snooping功能。
<RouterB> system-view
[RouterB] ipv6 dhcp snooping enable
# 配置Ten-GigabitEthernet0/0/6端口为信任端口。
[RouterB] interface ten-gigabitethernet 0/0/6
[RouterB-Ten-GigabitEthernet0/0/6] ipv6 dhcp snooping trust
[RouterB-Ten-GigabitEthernet0/0/6] quit
# 在Ten-GigabitEthernet0/0/7上开启安全表项功能。
[RouterB]interface ten-gigabitethernet 0/0/7
[RouterB-Ten-GigabitEthernet0/0/7] ipv6 dhcp snooping binding record
[RouterB-Ten-GigabitEthernet0/0/7] quit
配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表项。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
