- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-DHCPv6命令
本章节下载: 10-DHCPv6命令 (478.42 KB)
目 录
1.1.1 display ipv6 dhcp client
1.1.2 display ipv6 dhcp client statistics
1.1.7 ipv6 dhcp client stateful
1.1.8 ipv6 dhcp client stateless enable
1.1.9 reset ipv6 dhcp client statistics
1.2.1 display ipv6 dhcp snooping binding
1.2.2 display ipv6 dhcp snooping binding database
1.2.3 display ipv6 dhcp snooping packet statistics
1.2.4 display ipv6 dhcp snooping pd binding
1.2.5 display ipv6 dhcp snooping trust
1.2.6 ipv6 dhcp snooping binding database filename
1.2.7 ipv6 dhcp snooping binding database update interval
1.2.8 ipv6 dhcp snooping binding database update now
1.2.9 ipv6 dhcp snooping binding record
1.2.10 ipv6 dhcp snooping check request-message
1.2.11 ipv6 dhcp snooping deny
1.2.12 ipv6 dhcp snooping disable
1.2.13 ipv6 dhcp snooping enable
1.2.14 ipv6 dhcp snooping enable vlan
1.2.15 ipv6 dhcp snooping log enable
1.2.16 ipv6 dhcp snooping option interface-id enable
1.2.17 ipv6 dhcp snooping option interface-id string
1.2.18 ipv6 dhcp snooping option remote-id enable
1.2.19 ipv6 dhcp snooping option remote-id string
1.2.20 ipv6 dhcp snooping pd binding record
1.2.21 ipv6 dhcp snooping rate-limit
1.2.22 ipv6 dhcp snooping trust
1.2.23 ipv6 dhcp snooping trust interface
1.2.24 reset ipv6 dhcp snooping binding
1.2.25 reset ipv6 dhcp snooping packet statistics
1.2.26 reset ipv6 dhcp snooping pd binding
1.3.2 display ipv6 dhcp guard policy
1.3.5 ipv6 dhcp guard apply policy
display ipv6 dhcp client命令用来显示DHCPv6客户端的信息。
【命令】
display ipv6 dhcp client [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的DHCPv6客户端信息。其中,interface-type interface-number为接口类型和接口编号。如果未指定本参数,则显示所有DHCPv6客户端的信息。
【举例】
# 显示VLAN接口2上的DHCPv6客户端信息。
<Sysname> display ipv6 dhcp client interface vlan-interface 2
Vlan-interface2:
Type: Stateful client requesting address and prefix
State: OPEN
Client DUID: 0003000100e002000000
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:18
Server DUID: 0003000100e001000000
IA_NA: IAID 0x00000642, T1 50 sec, T2 80 sec
Address: 1:1::2/128
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Feb 4 2014 at 15:37:20(288 seconds left)
IA_PD: IAID 0x00000642, T1 50 sec, T2 80 sec
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 08:13:24 (199 seconds left)
DNS server addresses:
2:2::3
Domain name:
aaa.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.com
Options:
Code: 88
Length: 3 bytes
Hex: AABBCC
表1-1 display ipv6 dhcp client命令显示信息描述表
|
字段 |
描述 |
|
Type |
DHCPv6客户端类型,取值包括: · Stateful client requesting address:表示获取IPv6地址的DHCPv6客户端 · Stateful client requesting prefix:表示获取IPv6前缀的DHCPv6客户端 · Stateful client requesting address and prefix:表示同时获取IPv6地址和IPv6前缀的DHCPv6客户端 · Stateless client:表示无状态DHCPv6客户端 |
|
State |
客户端的当前状态,取值包括: · IDLE:闲置状态 · SOLICIT:正在定位服务器 · REQUEST:正在申请租约 · OPEN:申请成功 · RENEW:正在申请更新租约(租约T1时间之后,T2时间之前) · REBIND:正在申请更新租约(租约T2时间之后,过期之前) · RELEASE:正在申请释放租约 · DECLINE:检测到地址冲突,正在申请禁用该地址 · INFO-REQUESTING:正在无状态获取配置信息 |
|
Client DUID |
客户端的DUID |
|
Preferred server |
DHCPv6客户端选用的DHCPv6服务器的信息 |
|
Reachable via address |
可达地址,服务器或中继的链路本地地址 |
|
Server DUID |
服务器的DUID |
|
IA_NA |
申请到的IA_NA信息 |
|
IA_PD |
申请到的IA_PD信息 |
|
IAID |
IA标识符 |
|
T1 |
租约的T1生命期,单位为秒 |
|
T2 |
租约的T2生命期,单位为秒 |
|
Address |
申请到的地址,只有客户端类型为Stateful client requesting address时,显示该信息 |
|
Prefix |
申请到的前缀,只有客户端类型为Stateful client requesting prefix时,显示该信息 |
|
Preferred lifetime |
租约的首选生命期,单位为秒 |
|
valid lifetime |
租约的有效生命期,单位为秒 |
|
Will expire on Feb 4 2014 at 15:37:20(288 seconds left) |
将在2014年2月4日15点37分20秒过期(还有288秒)。如果租约过期时间在2100年以后,则显示为Will expire after 2100 |
|
DNS server addresses |
申请到的DNS服务器地址 |
|
Domain name |
申请到的域名后缀 |
|
SIP server addresses |
申请到的SIP服务器地址 |
|
SIP server domain names |
申请到的SIP服务器域名 |
|
Options |
申请到的自定义选项 |
|
Code |
自定义选项编码 |
|
Length |
自定义选项长度,单位为字节 |
|
Hex |
自定义选项内容,以十六进制数表示 |
【相关命令】
· ipv6 address dhcp-alloc
· ipv6 dhcp client duid
· ipv6 dhcp client pd
display ipv6 dhcp client statistics命令用来显示DHCPv6客户端的统计信息。
【命令】
display ipv6 dhcp client statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上DHCPv6客户端的统计信息。其中,interface-type interface-number为接口类型和接口编号。如果未指定本参数,则显示所有DHCPv6客户端的统计信息。
【举例】
# 显示VLAN接口2上DHCPv6客户端的统计信息。
<Sysname> display ipv6 dhcp client statistics interface vlan-interface 2
Interface : Vlan-interface2
Packets received : 1
Reply : 1
Advertise : 0
Reconfigure : 0
Invalid : 0
Packets sent : 5
Solicit : 0
Request : 0
Renew : 0
Rebind : 0
Information-request : 5
Release : 0
Decline : 0
表1-2 display ipv6 dhcp client statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
DHCPv6客户端所在的接口 |
|
Packets received |
收到的报文数目 |
|
Reply |
收到Reply报文的数目 |
|
Advertise |
收到Advertise报文的数目 |
|
Reconfigure |
收到Reconfigure报文的数目 |
|
Invalid |
无效报文的数目 |
|
Packets sent |
已发送报文的数目 |
|
Solicit |
已发送Solicit报文的数目 |
|
Request |
已发送Request报文的数目 |
|
Renew |
已发送Renew报文的数目 |
|
Rebind |
已发送Rebind报文的数目 |
|
Information-request |
已发送Information-request报文的数目 |
|
Release |
已发送Release报文的数目 |
|
Decline |
已发送Decline报文的数目 |
【相关命令】
· reset ipv6 dhcp client statistics
ipv6 address dhcp-alloc命令用来配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数。
undo ipv6 address dhcp-alloc命令用来取消接口作为DHCPv6客户端,并删除通过DHCPv6获取到的IPv6地址和其他网络配置参数。
【命令】
ipv6 address dhcp-alloc [ option-group option-group-number | rapid-commit ] *
undo ipv6 address dhcp-alloc
【缺省情况】
接口不会作为DHCPv6客户端获取IPv6地址和其他网络配置参数。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
option-group option-group-number:指定DHCPv6选项组编号。option-group-number表示DHCPv6选项组编号,取值范围为1~100。如果指定了本参数,则DHCPv6客户端获取到DHCPv6选项后,将自动创建指定编号的DHCPv6选项组,并将获取到的DHCPv6选项保存在该DHCPv6选项组中。如果未指定本参数,则不会自动创建DHCPv6选项组。
rapid-commit:配置客户端支持地址快速分配功能。如果未指定该参数,表示该客户端不支持地址快速分配功能。
【举例】
# 配置VLAN接口10作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数,指定客户端支持地址快速分配功能,并指定获取到网络配置参数时,创建DHCPv6选项组1,并将获取的参数保存在该选项组中。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 address dhcp-alloc rapid-commit option-group 1
【相关命令】
· display ipv6 dhcp client
ipv6 dhcp client dscp命令用来配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级。
undo ipv6 dhcp client dscp命令用来恢复缺省情况。
【命令】
ipv6 dhcp client dscp dscp-value
undo ipv6 dhcp client dscp
【缺省情况】
DHCPv6报文的DSCP优先级为56。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dscp-value:DHCPv6报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP携带在DHCPv6报文中的Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。配置的DSCP优先级的取值越大,报文的优先级越高。
【举例】
# 配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级为30。
<Sysname> system-view
[Sysname] ipv6 dhcp client dscp 30
ipv6 dhcp client duid命令用来配置接口使用指定的DHCPv6客户端DUID。
undo ipv6 dhcp client duid命令用来恢复缺省情况。
【命令】
ipv6 dhcp client duid { ascii ascii-string | hex hex-string | mac interface-type interface-number }
undo ipv6 dhcp client duid
【缺省情况】
根据设备的桥MAC地址生成DHCPv6客户端DUID。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
ascii ascii-string:使用指定的ASCII字符串作为该接口的DHCPv6客户端DUID,为1~130个字符的字符串,区分大小写。
hex hex-string:使用指定的十六进制数作为该接口的DHCPv6客户端DUID,为2~260个字符的字符串。
mac interface-type interface-number:使用指定接口的MAC地址作为该接口的DHCPv6客户端DUID,interface-type interface-number表示接口类型和接口编号。
【使用指导】
DHCPv6客户端DUID用来填充DHCPv6报文的Option 1,作为识别DHCPv6客户端的唯一标识。DHCPv6服务器可以根据DHCPv6客户端DUID为特定的DHCPv6客户端分配特定的IPv6地址。用户需保证不同DHCPv6客户端的DUID不会相同。
【举例】
# 配置VLAN接口10使用的DHCPv6客户端DUID为十六进制数FFFFFFFF。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 dhcp client duid hex ffffffff
【相关命令】
· display ipv6 dhcp client
ipv6 dhcp client pd命令用来配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数。
undo ipv6 dhcp client pd命令用来取消接口作为DHCPv6客户端,并删除通过DHCPv6获取到的IPv6前缀和其他网络配置参数。
【命令】
ipv6 dhcp client pd prefix-number [ option-group option-group-number | rapid-commit ]*
undo ipv6 dhcp client pd
【缺省情况】
接口不会作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
prefix-number:IPv6前缀编号,取值范围为1~1024。DHCPv6客户端获取到IPv6前缀后,将动态创建指定编号的IPv6前缀,该前缀编号对应的IPv6前缀为DHCPv6客户端获取到的前缀。
rapid-commit:指定客户端支持前缀快速分配功能。未指定该参数时,表示不支持前缀快速分配功能。
option-group option-group-number:指定DHCPv6选项组编号。option-group-number表示DHCPv6选项组编号,取值范围为1~100。如果指定了本参数,则DHCPv6客户端获取到DHCPv6选项后,将自动创建指定编号的DHCPv6选项组,并将获取到的DHCPv6选项保存在该DHCPv6选项组中。如果未指定本参数,则不会自动创建DHCPv6选项组。
【举例】
# 配置VLAN接口10作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀;配置客户端支持前缀快速分配功能,并指定获取到网络配置参数时,创建DHCPv6选项组1,并将获取的参数保存在该选项组中。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 dhcp client pd 1 rapid-commit option-group 1
【相关命令】
· display ipv6 dhcp client
ipv6 dhcp client stateful命令用来配置接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和网络配置参数。
undo ipv6 dhcp client stateful命令用来取消接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和网络配置参数。
【命令】
ipv6 dhcp client stateful prefix prefix-number [ option-group option-group-number | rapid-commit ] *
undo ipv6 dhcp client stateful
【缺省情况】
接口不会作为DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
prefix prefix-number:IPv6前缀编号,取值范围为1~1024。DHCPv6客户端获取到IPv6前缀后,将动态创建指定编号的IPv6前缀,该前缀编号对应的IPv6前缀为DHCPv6客户端获取到的前缀。
rapid-commit:指定客户端支持前缀快速分配功能。未指定该参数时,表示不支持前缀快速分配功能。
option-group option-group-number:指定DHCPv6选项组编号。option-group-number表示DHCPv6选项组编号,取值范围为1~100。如果指定了本参数,则DHCPv6客户端获取到DHCPv6选项后,将自动创建指定编号的DHCPv6选项组,并将获取到的DHCPv6选项保存在该DHCPv6选项组中。如果未指定本参数,则不会自动创建DHCPv6选项组。
【使用指导】
ipv6 dhcp client stateful命令优先于ipv6 address dhcp-alloc和ipv6 dhcp client pd命令:
· 接口上同时配置以上三个命令时,接口上只会生效ipv6 dhcp client stateful命令运行状态机去同时申请IPv6地址和前缀。
· 接口上同时存在以上三个命令时,如果执行undo ipv6 dhcp client stateful命令,则会生效接口上另外两条命令,分别去申请IPv6地址和IPv6前缀。
【举例】
# 配置VLAN接口10作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址、IPv6前缀和其他网络配置参数;指定获取到IPv6前缀后,创建编号为1的IPv6前缀;指定客户端支持快速分配功能,并指定获取到网络配置参数时,创建DHCPv6选项组1,并将获取的参数保存在该选项组中。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 dhcp client stateful prefix 1 rapid-commit option-group 1
【相关命令】
ipv6 dhcp client stateless enable命令用来开启DHCPv6客户端无状态配置功能。
undo ipv6 dhcp client stateless enable命令用来关闭DHCPv6客户端无状态配置功能。
【命令】
ipv6 dhcp client stateless enable
undo ipv6 dhcp client stateless enable
【缺省情况】
DHCPv6客户端无状态配置功能处于关闭状态。
【视图】
VLAN接口视图
【缺省用户角色】
network-admin
【使用指导】
接口开启无状态配置功能后发送information request报文申请配置信息。
【举例】
在VLAN接口2上开启DHCPv6客户端无状态配置功能。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] ipv6 dhcp client stateless enable
reset ipv6 dhcp client statistics命令用来清除DHCPv6客户端的统计信息。
【命令】
reset ipv6 dhcp client statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口上DHCPv6客户端的统计信息。其中,interface-type interface-number为接口类型和接口编号。如果未指定本参数,则清除所有DHCPv6客户端的统计信息。
【举例】
# 清除所有DHCPv6客户端的统计信息。
<Sysname> reset ipv6 dhcp client statistics
【相关命令】
· display ipv6 dhcp client statistics
设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。
display ipv6 dhcp snooping binding命令用来显示DHCPv6 Snooping地址表项信息。
【命令】
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
address ipv6-address:显示指定IPv6地址对应的DHCPv6 Snooping地址表项。如果未指定本参数,则显示所有IPv6地址对应的DHCPv6 Snooping地址表项。
vlan vlan-id:显示指定VLAN对应的DHCPv6 Snooping地址表项。如果未指定本参数,则显示所有VLAN内的DHCPv6 Snooping地址表项。
【举例】
# 显示所有DHCPv6 Snooping地址表项信息。
<Sysname> display ipv6 dhcp snooping binding
1 DHCPv6 snooping entries found.
IPv6 address MAC address Lease VLAN SVLAN Interface
================ ============== =========== ==== ===== ========================
2::1 00e0-fc00-0006 54 2 N/A GigabitEthernet1/0/1
表1-3 display ipv6 dhcp snooping binding命令显示信息描述表
|
字段 |
描述 |
|
IPv6 Address |
DHCPv6客户端获取到的IPv6地址 |
|
MAC Address |
DHCPv6客户端的MAC地址 |
|
Lease |
IPv6地址租约剩余时间,单位为秒 |
|
VLAN |
如果DHCPv6 Snooping功能与QinQ功能同时使用,或接收到的DHCPv6报文带有两层VLAN Tag,则表示第一层VLAN Tag;否则,表示与DHCP客户端连接的设备端口所属的VLAN |
|
SVLAN |
如果DHCPv6 Snooping功能与QinQ功能同时使用,或接收到的DHCPv6报文带有两层VLAN Tag,则表示第二层VLAN Tag;否则,显示为“N/A” |
|
Interface |
连接DHCPv6客户端的端口 |
【相关命令】
· ipv6 dhcp snooping binding record
· reset ipv6 dhcp snooping binding
display ipv6 dhcp snooping binding database命令用来显示DHCPv6 Snooping表项备份信息。
【命令】
display ipv6 dhcp snooping binding database
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示DHCPv6 Snooping表项备份信息。
<Sysname> display ipv6 dhcp snooping binding database
File name : database.dhcp
Username :
Password :
Update interval : 600 seconds
Latest write time : Feb 27 18:48:04 2012
Status : Last write succeeded.
表1-4 display ipv6 dhcp snooping binding database命令显示信息描述表
|
字段 |
描述 |
|
File name |
存储DHCPv6 Snooping表项的文件名称 |
|
Username |
配置远程目标文件时的用户名 |
|
Password |
配置远程目标文件时的密码,有配置时显示为”******” |
|
Update interval |
定期刷新表项存储文件的刷新时间间隔,单位:秒 |
|
Latest write time |
最近一次写文件的时间 |
|
Status |
写文件的状态,即写文件是否成功 · Writing:正在写文件 · Last write succeeded:写文件成功 · Last write failed:写文件失败 |
display ipv6 dhcp snooping packet statistics命令用来显示DHCPv6 Snooping设备上的DHCPv6报文统计信息。
【命令】
display ipv6 dhcp snooping packet statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定成员设备的DHCPv6报文统计信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的DHCPv6报文统计信息。
【举例】
# 显示DHCPv6 Snooping设备上的DHCPv6报文统计信息。
<Sysname> display ipv6 dhcp snooping packet statistics
DHCPv6 packets received : 100
DHCPv6 packets sent : 200
Invalid DHCPv6 packets dropped : 0
表1-5 display ipv6 dhcp snooping packet statistics命令显示信息描述表
|
字段 |
描述 |
|
DHCPv6 packets received |
接收的DHCPv6报文数 |
|
DHCPv6 packets sent |
发送的DHCPv6报文数 |
|
Invalid DHCPv6 packets dropped |
丢弃的无效DHCPv6报文数 |
【相关命令】
· reset ipv6 dhcp snooping packet statistics
display ipv6 dhcp snooping pd binding命令用来显示DHCPv6 Snooping前缀表项信息。
【命令】
display ipv6 dhcp snooping pd binding [ prefix prefix/prefix-length [ vlan vlan-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
prefix prefix/prefix-length:显示指定IPv6前缀/前缀长度的DHCPv6 Snooping前缀表项信息。prefix/prefix-length表示IPv6地址前缀和前缀长度。prefix-length的取值范围为1~128。
vlan vlan-id:显示指定VLAN内的DHCPv6 Snooping前缀表项信息,vlan-id的取值范围为1~4094。
【使用指导】
只有在DHCP Snooping设备端口上开启DHCPv6 Snooping前缀表项记录功能后,执行本命令才能查看到DHCPv6 Snooping前缀表项记录信息。
如果未指定任何参数,则显示所有的DHCPv6 Snooping前缀表项。
【举例】
# 显示DHCPv6 Snooping前缀表项信息。
<Sysname> display ipv6 dhcp snooping pd binding
1 DHCPv6 snooping PD entries found.
IPv6 prefix Lease VLAN SVLAN Interface
================ =========== ==== ===== ========================
1:2::/64 54 2 N/A GigabitEthernet1/0/1
表1-6 display ipv6 dhcp snooping pd binding命令显示信息描述表
|
字段 |
描述 |
|
DHCPv6 snooping PD entries found. |
DHCPv6前缀表项统计计数 |
|
IPv6 prefix |
DHCPv6客户端获取到的IPv6前缀 |
|
Lease |
绑定的租约剩余时间,单位为秒 |
|
VLAN |
如果DHCPv6 Snooping功能与QinQ功能同时使用,或接收到的DHCPv6报文带有两层VLAN Tag,则表示第一层VLAN Tag;否则,表示与DHCP客户端连接的设备端口所属的VLAN |
|
SVLAN |
如果DHCPv6 Snooping功能与QinQ功能同时使用,或接收到的DHCPv6报文带有两层VLAN Tag,则表示第二层VLAN Tag;否则,显示为“N/A” |
|
Interface |
连接DHCPv6客户端的端口 |
【相关命令】
· ipv6 dhcp snooping pd binding record
· reset ipv6 dhcp snooping pd binding
display ipv6 dhcp snooping trust命令用来显示信任端口信息。
【命令】
display ipv6 dhcp snooping trust
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示DHCPv6 Snooping信任端口信息。
<Sysname> display ipv6 dhcp snooping trust
DHCPv6 snooping is enabled.
Interface Trusted VLAN
============================ ============ =======
GE1/0/1 - 100
GE1/0/2 Trusted -
VSI name Tunnel trusted
============================ ============
a Trusted
AC Trusted
============================ ============
图1-1 display ipv6 dhcp snooping trust命令显示信息描述表
|
字段 |
描述 |
|
DHCPv6 snooping is |
DHCPv6 Snooping功能的开启状态,取值包括: · enabled:开启DHCPv6 Snooping功能 · disabled:未开启DHCPv6 Snooping功能 |
|
Interface |
接口名称 |
|
Trusted |
全局DHCP Snooping功能中配置的信任接口。如果是VLAN内DHCP Snooping功能中配置的信任接口,则此处显示为“-” |
|
VLAN |
信任端口所属的VLAN。如果是全局DHCPv6 Snooping功能中配置的信任接口,则此处显示为“-” |
|
VSI name |
(暂不支持)隧道接口的VSI名称,在VSI视图下配置ipv6 dhcp snooping trust tunnel命令后,该项信息会显示 |
|
Tunnel trusted |
(暂不支持)VXLAN内DHCPv6 Snooping功能中配置的信任隧道接口 |
|
AC |
(暂不支持)AC链路,使用接口名称和以太网服务实例名称表示。在以太网服务实例视图下配置ipv6 dhcp snooping trust命令后,该项信息会显示 |
|
Trusted |
(暂不支持)VXLAN内DHCPv6 Snooping功能中配置的信任AC链路 |
【相关命令】
· ipv6 dhcp snooping trust
ipv6 dhcp snooping binding database filename命令用来指定存储DHCPv6 Snooping表项的文件名称。
undo ipv6 dhcp snooping binding database filename命令用来恢复缺省情况。
【命令】
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
undo ipv6 dhcp snooping binding database filename
【缺省情况】
未指定存储文件名称。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filename:目标文件名,该配置用于本地存储模式。文件名取值范围的详细介绍,请参见“基础配置指导”中的“文件系统管理”。
url url:配置远程目标文件URL,为1~255个字符的字符串,区分大小写,该配置用于远程文件系统模式。此参数中不能包含用户名和密码,和参数username和string配合使用。远程目标文件URL是否支持路径格式遵循远程服务器端规格。
username username:配置远程目标文件URL时的用户名,为1~32个字符的字符串,区分大小写。如果未指定本参数,则表示登录远程目标文件URL时无需使用用户名。
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~32个字符的字符串,密文密码为1~73个字符的字符串。如果未指定本参数,则表示登录远程目标文件URL无需使用密码。
【使用指导】
· 存储DHCPv6 Snooping表项时,如果设备中还不存在对应名称的文件,则设备会自动创建该文件。
· 执行本命令后,会立即触发一次表项备份。之后,如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
· 参数filename不支持远程目标文件URL,配置远程目标文件URL请使用url、username、string配合使用。
· 频繁擦写本地存储介质可能会影响存储介质寿命,建议使用远程文件系统模式存储DHCPv6 Snooping表项文件。
当进行远程存储时,支持FTP和TFTP协议:
· 当采用FTP或TFTP协议时,服务器地址支持IPv4形式或IPv6形式,并且支持DNS域名方式。服务器地址为IPv6地址形式时需使用方括号(“[”和“]”)引用。配置服务器地址为DNS域名格式时请勿使用方括号引用。
· 当采用FTP协议时,URL采用“ftp://[服务器地址][:端口号]/文件路径”的形式,如有用户名和密码请分别使用参数username和参数string进行配置,其中用户名和密码必须和服务器上的配置一致,如果服务器只对用户名进行认证,则不用输入密码。
· 当采用TFTP协议时,URL采用“tftp://服务器地址[:端口号]/文件路径”的形式。
【举例】
# 配置存储DHCPv6 Snooping表项的文件名称为database.dhcp。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping binding database filename database.dhcp
# 配置远程存储DHCPv6 Snooping表项至IP地址为1::1的ftp服务器工作目录下,用户名为1,密码为1,文件名为database.dhcp。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping binding database filename url ftp://[1::1]/database.dhcp username 1 password simple 1
# 配置远程存储DHCP Snooping表项至IP地址为2::1的tftp服务器工作目录下,文件名为database.dhcp。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping binding database filename url tftp://[2::1]/database.dhcp
【相关命令】
· ipv6 dhcp snooping binding database update interval
ipv6 dhcp snooping binding database update interval命令用来配置刷新DHCPv6 Snooping表项存储文件的延迟时间。
undo ipv6 dhcp snooping binding database update interval命令用来恢复缺省情况。
【命令】
ipv6 dhcp snooping binding database update interval interval
undo ipv6 dhcp snooping binding database update interval
【缺省情况】
若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:刷新延迟时间,取值范围为60-864000,单位为秒。
【使用指导】
执行本命令后,当DHCPv6 Snooping表项发生变化后,DHCPv6 Snooping设备开始计时,当本命令配置的延迟时间到达后,DHCPv6 Snooping设备会把这个时间段内表项所有的变化信息备份到固化文件中。
如果未通过ipv6 dhcp snooping binding database filename命令指定存储表项的文件,则本命令的配置不会生效。
【举例】
# 若DHCPv6 Snooping表项发生变化,在600秒后刷新表项存储文件。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping binding database update interval 600
【相关命令】
· ipv6 dhcp snooping binding database filename
ipv6 dhcp snooping binding database update now命令用来将当前的DHCPv6 Snooping表项保存到用户指定的文件中。
【命令】
ipv6 dhcp snooping binding database update now
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本命令只用来触发一次DHCPv6 Snooping表项的备份。
如果未通过ipv6 dhcp snooping binding database filename命令指定存储表项的文件,则本命令的配置不会生效。
【举例】
# 将当前的DHCPv6 Snooping表项保存到文件中。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping binding database update now
【相关命令】
· ipv6 dhcp snooping binding database filename
ipv6 dhcp snooping binding record命令用来开启端口的DHCPv6 Snooping地址表项记录功能。
undo ipv6 dhcp snooping binding record命令用来关闭端口的DHCPv6 Snooping地址表项记录功能。
【命令】
ipv6 dhcp snooping binding record
undo ipv6 dhcp snooping binding record
【缺省情况】
端口的DHCPv6 Snooping地址表项记录功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【使用指导】
用户可在DHCPv6 Snooping设备直接与客户端连接的端口上开启DHCPv6 Snooping表项记录功能。
在端口上开启端口的DHCPv6 Snooping地址表项记录功能后,可以在端口上监听DHCPv6报文,生成DHCPv6 Snooping地址表项。
【举例】
# 开启端口GigabitEthernet1/0/1的DHCPv6 Snooping地址表项记录功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping binding record
ipv6 dhcp snooping check request-message命令用来开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。
undo ipv6 dhcp snooping check request-message命令用来关闭DHCPv6 Snooping的DHCPv6请求方向报文检查功能。
【命令】
ipv6 dhcp snooping check request-message
undo ipv6 dhcp snooping check request-message
【缺省情况】
DHCPv6 Snooping的DHCPv6请求方向报文检查功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击。
如果开启了该功能,则DHCPv6 Snooping设备接收到上述报文后,检查本地是否存在与接收报文匹配的DHCPv6 Snooping表项。若存在,则接收报文信息与DHCPv6 Snooping表项信息一致时,认为该报文为合法的请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCPv6服务器。
【举例】
# 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping check request-message
ipv6 dhcp snooping deny命令用来在端口上开启DHCPv6 Snooping报文阻断功能。
undo ipv6 dhcp snooping deny命令用来在端口上关闭DHCPv6 Snooping报文阻断功能。
【命令】
ipv6 dhcp snooping deny
undo ipv6 dhcp snooping deny
【缺省情况】
端口上的DHCPv6 Snooping报文阻断功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
在端口上开启本功能后,DHCPv6 Snooping设备会丢弃该端口收到的所有DHCPv6请求方向报文,这将导致该端口上的DHCPv6客户端无法申请到IPv6地址或IPv6前缀。因此,本功能只能在未连接DHCPv6客户端的端口上开启。
在某些组网环境下,用户需要在DHCPv6 Snooping设备的某一端口上丢弃该端口收到的所有DHCPv6请求方向报文,而又不影响其他端口正常接收DHCPv6报文。这时,用户可以在该端口上开启DHCPv6 Snooping报文阻断功能。
【举例】
# 在端口GigabitEthernet1/0/1上开启DHCPv6 Snooping报文阻断功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping deny
ipv6 dhcp snooping disable命令用来关闭DHCPv6 Snooping功能。
undo ipv6 dhcp snooping disable命令用来恢复缺省情况。
【命令】
ipv6 dhcp snooping disable
undo ipv6 dhcp snooping disable
【缺省情况】
若接口所在设备或VLAN上已经开启DHCPv6 Snooping功能,则接口的DHCPv6 Snooping功能处于开启状态;若接口所在设备或VLAN上未开启DHCPv6 Snooping功能,则接口的DHCPv6 Snooping功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
当管理员在设备或VLAN中开启DHCPv6 Snooping功能后,该设备或整个VLAN内的所有接口上也都开启了DHCPv6 Snooping功能。为了能灵活控制DHCPv6 Snooping功能生效的接口范围,用户可以通过本功能关闭某接口上的DHCPv6 Snooping功能。
【举例】
# 关闭接口GigabitEthernet1/0/1上的DHCPv6 Snooping 功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping disable
【相关命令】
· ipv6 dhcp snooping enable
· ipv6 dhcp snooping enable vlan
ipv6 dhcp snooping enable命令用来开启DHCPv6 Snooping功能。
undo ipv6 dhcp snooping enable命令用来关闭DHCPv6 Snooping功能。
【命令】
ipv6 dhcp snooping enable
undo ipv6 dhcp snooping enable
【缺省情况】
DHCPv6 Snooping功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启DHCPv6 Snooping功能后,如果不信任端口接收到DHCPv6服务器发送的报文,将丢弃该报文,以保证客户端从合法的DHCPv6服务器获取IPv6地址。
在DHCPv6 Snooping功能关闭后,所有端口都可转发DHCPv6服务器的响应报文。
【举例】
# 开启DHCPv6 Snooping功能。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping enable
【相关命令】
· ipv6 dhcp snooping disable
ipv6 dhcp snooping enable vlan命令用来在指定VLAN内开启DHCPv6 Snooping功能。
undo ipv6 dhcp snooping enable vlan命令用来在指定VLAN内关闭DHCPv6 Snooping 功能。
【命令】
ipv6 dhcp snooping enable vlan vlan-id-list
undo ipv6 dhcp snooping enable vlan vlan-id-list
【缺省情况】
所有VLAN内的DHCPv6 Snooping功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vlan-id-list:VLAN列表,设备上开启DHCPv6 Snooping功能的VLAN范围。表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。
【使用指导】
在指定VLAN内开启DHCPv6 Snooping功能后,如果VLAN内的不信任端口接收到DHCPv6服务器发送的报文,设备将丢弃该报文,以保证客户端从合法的DHCPv6服务器获取IPv6地址、IPv6前缀或其他参数。
在指定VLAN内关闭DHCPv6 Snooping功能后,VLAN内所有端口都可转发DHCPv6服务器的响应报文。
当配置ipv6 dhcp snooping enable命令在全局开启DHCPv6 Snooping功能后,设备上所有VLAN也自动开启了DHCPv6 Snooping功能。只有在全局和VLAN内都关闭DHCPv6 Snooping功能后,VLAN内的DHCPv6 Snooping功能才会被关闭。
【举例】
# 在VLAN 5、VLAN 10到VLAN 20和VLAN 32中开启DHCPv6 Snooping功能。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping enable vlan 5 10 to 20 32
【相关命令】
· ipv6 dhcp snooping disable
· ipv6 dhcp snooping trust interface
ipv6 dhcp snooping log enable命令用来开启DHCPv6 Snooping日志信息功能。
undo ipv6 dhcp snooping log enable命令用来关闭DHCPv6 Snooping日志信息功能。
【命令】
ipv6 dhcp snooping log enable
undo ipv6 dhcp snooping log enable
【缺省情况】
DHCPv6 Snooping日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
DHCPv6 Snooping日志可以方便管理员定位问题和解决问题。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。
【举例】
# 开启DHCPv6 Snooping日志信息功能。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping log enable
ipv6 dhcp snooping option interface-id enable命令用来开启DHCPv6 Snooping支持Option 18功能。
undo ipv6 dhcp snooping option interface-id enable命令用来关闭DHCPv6 Snooping支持Option 18功能。
【命令】
ipv6 dhcp snooping option interface-id enable
undo ipv6 dhcp snooping option interface-id enable
【缺省情况】
DHCPv6 Snooping支持Option 18功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
只有在系统视图下全局开启DHCPv6 Snooping功能,该配置才会生效。
【举例】
# 开启DHCPv6 Snooping支持Option 18功能。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping enable
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping option interface-id enable
【相关命令】
· ipv6 dhcp snooping enable
· ipv6 dhcp snooping option interface-id string
ipv6 dhcp snooping option interface-id string命令用来配置Option 18选项中的DUID。
undo ipv6 dhcp snooping option interface-id string命令用来恢复缺省情况。
【命令】
ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id
undo ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string
【缺省情况】
Option 18选项中的DUID为当前DHCPv6 Snooping设备的DUID。
【视图】
二层以太网端口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan vlan-id:为从指定VLAN内收到的DHCPv6报文填充Option 18选项中的DUID。如果未指定本参数,则为从缺省VLAN内收到的DHCPv6报文填充Option 18选项中的DUID。
interface-id:用户自定义的Option 18选项中的DUID,为1~128个字符的字符串。
【举例】
# 配置Option 18选项中的DUID为company001。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping enable
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping option interface-id enable
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping option interface-id string company001
【相关命令】
· ipv6 dhcp snooping enable
· ipv6 dhcp snooping option interface-id enable
ipv6 dhcp snooping option remote-id enable命令用来开启DHCPv6 Snooping支持Option 37功能。
undo ipv6 dhcp snooping option remote-id enable命令用来关闭DHCPv6 Snooping支持Option 37功能。
【命令】
ipv6 dhcp snooping option remote-id enable
undo ipv6 dhcp snooping option remote-id enable
【缺省情况】
DHCPv6 Snooping支持Option 37功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
只有在系统视图下全局开启DHCPv6 Snooping功能,该配置才会生效。
【举例】
# 开启DHCPv6 Snooping支持Option 37功能。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping enable
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping option remote-id enable
【相关命令】
· ipv6 dhcp snooping enable
· ipv6 dhcp snooping option remote-id string
ipv6 dhcp snooping option remote-id string命令用来配置Option 37选项中的DUID。
undo ipv6 dhcp snooping option remote-id string命令用来恢复缺省情况。
【命令】
ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id
undo ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string
【缺省情况】
Option 37选项中的DUID为当前DHCPv6 Snooping设备的DUID。
【视图】
二层以太网端口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan vlan-id:为从指定VLAN内收到的DHCPv6报文填充Option 37选项中的DUID。如果未指定本参数,则为从缺省VLAN内收到的DHCPv6报文填充Option 37选项中的DUID。
remote-id:用户自定义的Option 37选项中的DUID,为1~128个字符的字符串。
【举例】
# 配置Option 37选项中的DUID为device001。
<Sysname> system-view
[Sysname] ipv6 dhcp snooping enable
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping option remote-id enable
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping option remote-id string device001
【相关命令】
· ipv6 dhcp snooping enable
· ipv6 dhcp snooping option remote-id enable
ipv6 dhcp snooping pd binding record命令用来开启端口的DHCPv6 Snooping前缀表项记录功能。
undo ipv6 dhcp snooping pd binding record命令用来关闭端口的DHCPv6 Snooping前缀表项记录功能。
【命令】
ipv6 dhcp snooping pd binding record
undo ipv6 dhcp snooping pd binding record
【缺省情况】
端口的DHCPv6 Snooping前缀表项记录功能处于关闭状态。
【视图】
二层以太网接口视图/二层聚合接口视图
VLAN视图
【缺省用户角色】
network-admin
【使用指导】
用户可在DHCPv6 Snooping设备直接与客户端连接的端口上开启DHCPv6 Snooping前缀表项记录功能。设备将监听该端口上接收的报文并解析报文前缀信息,生成DHCPv6 Snooping前缀表项,IPv6 Source Guard可通过DHCPv6 Snooping前缀表项生成动态绑定表项,对接口收到的报文进行过滤控制。
【举例】
# 开启端口GigabitEthernet1/0/1的DHCPv6 Snooping前缀表项记录功能。
<Sysname> system-view
[Sysname]interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping pd binding record
【相关命令】
· display ipv6 dhcp snooping pd binding
ipv6 dhcp snooping rate-limit命令用来开启DHCPv6 Snooping的报文限速功能,即限制接口接收DHCPv6报文的速率。
undo ipv6 dhcp snooping rate-limit命令用来关闭DHCPv6 Snooping的报文限速功能。
【命令】
ipv6 dhcp snooping rate-limit rate
undo ipv6 dhcp snooping rate-limit
【缺省情况】
DHCPv6 Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
rate:接口接收DHCPv6报文的最高速率,单位为Kbps,取值范围为64~512。
【使用指导】
只有开启DHCPv6 Snooping功能后,本命令的配置才会生效。
如果接口接收到的DHCPv6报文速率超过了限制,则丢弃超过速率限制的DHCPv6报文。
如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6报文限速配置。如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6报文限速配置。
芯片支持的速率值是8的整数倍,当用户设置的速率值为67时,实际的生效值是64或72。
【举例】
# 开启DHCPv6 Snooping的报文限速功能,即限制接口GigabitEthernet1/0/1接收DHCPv6报文速率为64Kbps。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping rate-limit 64
ipv6 dhcp snooping trust命令用来配置端口为信任端口。
undo ipv6 dhcp snooping trust命令用来恢复端口为不信任端口。
【命令】
ipv6 dhcp snooping trust
undo ipv6 dhcp snooping trust
【缺省情况】
在开启DHCPv6 Snooping功能后,设备上所有支持DHCPv6 snoopnig功能的端口均为不信任端口。
【视图】
二层以太网接口视图/二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取IPv6地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配IPv6地址。
【举例】
# 配置以太网端口GigabitEthernet1/0/1为信任端口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
【相关命令】
· display ipv6 dhcp snooping trust
ipv6 dhcp snooping trust interface命令用来指定端口为VLAN下DHCPv6 Snooping功能的信任端口。
undo ipv6 dhcp snooping trust interface命令用来恢复端口为VLAN下DHCPv6 Snooping功能的不信任端口。
【命令】
ipv6 dhcp snooping trust interface interface-type interface-number
undo ipv6 dhcp snooping trust interface interface-type interface-number
【缺省情况】
在VLAN内开启DHCPv6 Snooping功能后,该VLAN内所有支持DHCPv6 Snooping功能的接口均为不信任端口。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:信任端口的类型和编号。
【使用指导】
在VLAN内连接DHCPv6服务器的接口需要设置为信任端口,其他接口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取IPv6地址、IPv6前缀和其他参数,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配IPv6地址、IPv6前缀和其他参数。
在同一VLAN下多次执行本命令,可以为该VLAN下的DHCPv6 Snooping功能指定多个信任端口。
为使配置生效,请保证将指定的信任端口加入到VLAN中。
【举例】
# 配置接口GigabitEthernet1/0/1为VLAN 1下DHCPv6 Snooping功能的信任端口。
<Sysname> system-view
[Sysname] vlan 1
[Sysname-vlan1] ipv6 dhcp snooping trust interface gigabitethernet 1/0/1
【相关命令】
· ipv6 dhcp snooping enable vlan
reset ipv6 dhcp snooping binding命令用来清除DHCPv6 Snooping地址表项。
【命令】
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
address ipv6-address:清除指定IPv6地址对应的DHCPv6 Snooping地址表项。
vlan vlan-id:清除指定VLAN对应的DHCPv6 Snooping地址表项。如果未指定本参数,则清除缺省VLAN对应的DHCPv6 Snooping地址表项。
all:清除所有DHCPv6 Snooping地址表项。
【举例】
# 清除所有的DHCPv6 Snooping地址表项。
<Sysname> reset ipv6 dhcp snooping binding all
【相关命令】
· display ipv6 dhcp snooping binding
reset ipv6 dhcp snooping packet statistics命令用来清除DHCPv6 Snooping设备上的DHCPv6报文统计信息。
【命令】
reset ipv6 dhcp snooping packet statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:清除指定成员设备的DHCPv6报文统计信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除主设备上的DHCPv6报文统计信息。
【举例】
# 清除DHCPv6 Snooping设备上的DHCPv6报文统计信息。
<Sysname> reset ipv6 dhcp snooping packet statistics
【相关命令】
· display ipv6 dhcp snooping packet statistics
reset ipv6 dhcp snooping pd binding命令用来清除DHCPv6 Snooping前缀表项信息。
【命令】
reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有DHCPv6 Snooping前缀表项信息。
prefix prefix/prefix-length:清除指定IPv6前缀对应的DHCPv6 Snooping前缀表项信息。prefix/prefix-length表示IPv6地址网段的前缀与前缀长度,prefix-length的取值范围为1~128。
vlan vlan-id:清除指定VLAN内的DHCPv6 Snooping前缀表项信息,vlan-id的取值范围为1~4094。
【使用指导】
如果未指定任何参数,则删除所有DHCPv6 Snooping前缀表项信息。
【举例】
# 清除指定前缀为1:2::/64的DHCPv6 Snooping前缀表项信息。
<Sysname> reset ipv6 dhcp snooping pd binding prefix 1:2::/64
【相关命令】
· display ipv6 dhcp snooping pd binding
· 设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 guard功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 guard功能配置后不能正常工作。
· 当DHCPv6 guard功能配置在DHCPv6 Snooping设备上时,DHCPv6 guard功能和DHCPv6 Snooping功能可以同时生效。只有从DHCPv6 Snooping的信任端口收到的DHCPv6应答报文,并通过DHCPv6 guard功能过滤后,才能被转发,否则报文会被直接丢弃。
device-role命令用来设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色。
undo device-role命令用来恢复缺省情况。
【命令】
device-role { client | server }
undo device-role
【缺省情况】
引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6客户端。
【视图】
DHCPv6 guard策略视图
【缺省用户角色】
network-admin
【参数】
client:设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6客户端。
server:设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6服务器。
【使用指导】
设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6客户端后,设备直接丢弃收到的DHCPv6应答报文。设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6服务器后,设备才会按照设置的匹配规则匹配DHCPv6应答报文。
只要引用DHCPv6 guard策略的接口下或VLAN内连接了符合要求的DHCPv6服务器,管理员就需要设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6服务器;否则,需要设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6客户端。
信任接口策略优先级高于设备角色策略,当两条策略同时配置时,信任接口策略生效。
【举例】
# 设置引用DHCPv6 guard策略的接口或VLAN连接的设备角色为DHCPv6服务器。
<Sysname> system-view
[Sysname] ipv6 dhcp guard policy p1
[Sysname-dhcp6-guard-policy-p1] device-role server
display ipv6 dhcp guard policy命令用来显示DHCPv6 guard策略信息。
【命令】
display ipv6 dhcp guard policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:显示指定DHCPv6 guard策略的详细信息。取值为1~63个字符的字符串,不区分大小写。如果未指定本参数,则显示设备上所有DHCPv6 guard策略的简要信息。
【举例】
# 显示DHCPv6 guard策略p1的详细信息。
<Sysname> display ipv6 dhcp guard policy p1
Guard policy: p1
Device-role: Server
Trusted port: No
Server preference min value: 23
Server preference max value: 45
Server rule: ACL sed
Reply rule: ACL 3434
Applied to interfaces: GE1/0/1, GE1/0/2
Applied to VLANs: 100
# 显示所有DHCPv6 guard策略的简要信息。
<Sysname> display ipv6 dhcp guard policy
Guard policy: p1
Device-role: server
Trusted port: No
Server preference min value: 23
Server preference max value: 45
Server rule: ACL sed
Reply rule: ACL 3434
Guard policy: p2
Device-role: Server
Trusted port: Yes
Server preference min value: 12
Server preference max value: 34
表1-7 display ipv6 dhcp guard policy命令显示信息描述表
|
字段 |
描述 |
|
Guard policy |
DHCPv6 guard策略名称 |
|
Device-role |
设备的角色信息,取值包括: · Client:表示DHCPv6客户端 · Server:表示DHCPv6服务器 |
|
Trust-port |
信任端口信息,取值包括: · Yes:表示配置了信任接口策略 · No:表示未配置信任接口策略 |
|
Server preference min value |
服务器优先级的最小值,只有配置了preference min命令才会显示此信息 |
|
Server preference max value |
服务器优先级的最大值,只有配置了preference max命令才会显示此信息 |
|
Server rule |
DHCPv6服务器匹配规则,只有配置了if-match server acl命令才会显示此信息 |
|
Reply rule |
DHCPv6服务器分配地址/前缀的匹配规则,只有配置了if-match reply acl命令才会显示此信息 |
|
Apply-interface |
引用本策略的接口信息,多条接口信息之间使用“,”进行分隔。显示简要信息时不显示此信息 |
|
Apply-vlan |
引用本策略的VLAN信息,多条VLAN信息之间使用“,”进行分隔。显示简要信息时不显示此信息 |
【相关命令】
· ipv6 dhcp guard policy
if-match reply acl命令用来设置DHCPv6服务器分配地址/前缀的匹配规则。
undo if-match server acl命令用来恢复缺省情况。
【命令】
if-match reply acl { acl-number | name acl-name }
undo if-match reply acl
【缺省情况】
未设置DHCPv6服务器分配地址/前缀的匹配规则,DHCPv6 guard功能认为DHCPv6服务器分配的所有地址/前缀都符合要求。
【视图】
DHCPv6 guard策略视图
【缺省用户角色】
network-admin
【参数】
acl-number:DHCPv6服务器分配地址/前缀的匹配规则编号,取值范围为2000~3999。其中:
· 基本ACL,acl-number取值范围为2000~2999;
· 高级ACL,acl-number取值范围为3000~3999。
name acl-name:DHCPv6服务器分配地址/前缀的匹配规则名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。只有指定基本ACL或高级ACL的acl-name,本命令才生效。
【使用指导】
设置本命令后,DHCPv6 guard功能会检查收到的Reply报文中携带的DHCPv6服务器分配的IPv6地址/前缀信息。当地址/前缀信息符合本ACL匹配规则时,则直接转发该报文;当地址/前缀信息不符合本ACL匹配规则,则直接丢弃该报文。
地址/前缀信息使用ACL规则中的源地址信息进行匹配。当本命令指定的ACL匹配规则中不存在源地址信息时,DHCPv6 guard会认为所有的地址/前缀都不符合要求,收到的所有DHCPv6应答报文都会被丢弃。当本命令指定的ACL不存在或ACL中没有任何匹配规则时,DHCPv6 guard会认为所有的地址/前缀都符合要求。
在一个DHCPv6 guard策略视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置DHCPv6服务器分配地址/前缀ACL的匹配规则编号为2233。
<Sysname> system-view
[Sysname] ipv6 dhcp guard policy p1
[Sysname-dhcp6-guard-policy-p1] if-match reply acl 2233
【相关命令】
· acl(ACL和QoS命令参考/ACL)
· rule (IPv6 advanced ACL view)(ACL和QoS命令参考/ACL)
· rule (IPv6 basic ACL view)(ACL和QoS命令参考/ACL)
if-match server acl命令用来设置DHCPv6服务器的匹配规则。
undo if-match server acl命令用来恢复缺省情况。
【命令】
if-match server acl { acl-number | name acl-name }
undo if-match server acl
【缺省情况】
未设置DHCPv6服务器的匹配规则,DHCPv6 guard功能认为所有DHCPv6服务器都符合要求。
【视图】
DHCPv6 guard策略视图
【缺省用户角色】
network-admin
【参数】
acl-number:DHCPv6服务器的匹配规则编号,取值范围为2000~3999。其中:
· 基本ACL,acl-number取值范围为2000~2999;
· 高级ACL,acl-number取值范围为3000~3999。
name acl-name:DHCPv6服务器的匹配规则名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。只有指定基本ACL或高级ACL的acl-name,本命令才生效。
【使用指导】
设置本命令后,DHCPv6 guard功能会检查收到的Advertise报文中的源IPv6地址。当源IPv6地址符合本ACL匹配规则时,则继续匹配其他规则;当源IPv6地址不符合本ACL匹配规则时,则直接丢弃该报文。
DHCPv6服务器的地址信息使用ACL规则中的源地址信息进行匹配。当本命令指定的ACL匹配规则中不存在源地址信息时,DHCPv6 guard会认为所有的DHCPv6服务器都不符合要求,收到的所有DHCPv6应答报文都会被丢弃。当本命令指定的ACL不存在或ACL中没有任何匹配规则时,DHCPv6 guard会认为所有的DHCPv6服务器都符合要求。
在一个DHCPv6 guard策略视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置DHCPv6服务器的ACL匹配规则编号为2323。
<Sysname> system-view
[Sysname] ipv6 dhcp guard policy p1
[Sysname-dhcp6-guard-policy-p1] if-match server acl 2323
【相关命令】
· acl(ACL和QoS命令参考/ACL)
· rule (IPv6 advanced ACL view)(ACL和QoS命令参考/ACL)
· rule (IPv6 basic ACL view)(ACL和QoS命令参考/ACL)
ipv6 dhcp guard apply policy命令用来指定引用的DHCPv6 guard策略。
undo ipv6 dhcp guard apply policy命令用来恢复缺省情况。
【命令】
ipv6 dhcp guard apply policy policy-name
undo ipv6 dhcp guard apply policy
【缺省情况】
未指定引用的DHCPv6 guard策略。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
policy-name:DHCPv6 guard策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在接口上引用未设置信任接口策略的DHCPv6 guard策略后,接口收到的所有DHCPv6应答报文都会被检查。
在接口上引用不存在的DHCPv6 guard策略时,DHCPv6 guard功能不会检查收到的DHCPv6应答报文是否符合要求,直接转发这些报文。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在接口GigabitEthernet1/0/1上引用DHCPv6 guard策略p1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 dhcp guard apply policy p1
【相关命令】
· ipv6 dhcp guard policy
ipv6 dhcp guard policy命令用来创建DHCPv6 guard策略,并进入DHCPv6 guard策略视图。如果指定的DHCPv6 guard策略已存在,则直接进入DHCPv6 guard策略视图。
undo ipv6 dhcp guard policy命令用来删除指定的DHCPv6 guard策略。
【命令】
ipv6 dhcp guard policy policy-name
undo ipv6 dhcp guard policy policy-name
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:DHCPv6 guard策略名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在DHCPv6 guard策略视图下,管理员可以设置设备的角色、DHCPv6服务器匹配规则、DHCPv6服务器分配IPv6地址/IPv6前缀的匹配规则和DHCPv6服务器优先级的匹配范围等。
管理员创建了DHCPv6 guard策略,并在接口上或VLAN内引用DHCPv6 guard策略后,DHCPv6 guard功能就可以正常运行。DHCPv6 guard功能会按照配置的匹配规则判断收到的DHCPv6应答报文是否符合要求。匹配所有规则的DHCPv6应答报文才会被转发,否则报文被丢弃。
【举例】
# 创建DHCPv6 guard策略p1,并进入DHCPv6 guard策略视图。
<Sysname> system-view
[Sysname] ipv6 dhcp guard policy p1
[Sysname-dhcp6-guard-policy-p1]
【相关命令】
· display ipv6 dhcp guard policy
· ipv6 dhcp guard apply policy
preference命令用来设置DHCPv6服务器优先级的匹配范围。
undo preference命令用来将DHCPv6服务器优先级匹配范围的最大值或最小值恢复为缺省值。
【命令】
preference { max max-value | min min-value } *
undo preference [ max | min ]
【缺省情况】
未设置DHCPv6服务器优先级的匹配范围,优先级为1~255的DHCPv6服务器都符合要求。
【视图】
DHCPv6 guard策略视图
【缺省用户角色】
network-admin
【参数】
max max-value:服务器优先级的最大值,max-value的取值范围为1~255,缺省值为255。
min min-value:服务器优先级的最小值,min-value的取值范围1~255,缺省值为1。min-value的取值不能大于max-value。
【使用指导】
设置本匹配规则后,DHCPv6 guard功能会检查收到的Advertise报文中携带的服务器优先级信息。如果报文中携带的服务器优先级在匹配范围内,则继续匹配其他规则;如果报文中携带的服务器优先级在匹配范围之外或者报文未携带服务器优先级信息,则直接丢弃该报文。
在一个DHCPv6 guard策略视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置DHCPv6 guard策略的服务器优先级范围为1~100。
<Sysname> system-view
[Sysname] ipv6 dhcp guard policy p1
[Sysname-dhcp6-guard-policy-p1] preference max 100 min 1
【相关命令】
trust port命令用来设置信任接口。
undo trust port命令用来恢复缺省情况。
【命令】
trust port
undo trust port
【缺省情况】
未设置信任接口策略。
【视图】
DHCPv6 guard策略视图
【缺省用户角色】
network-admin
【使用指导】
在DHCPv6 guard策略中设置了信任接口后,引用了该策略的接口或引用该策略的VLAN下的所有接口都将被认为是信任接口。DHCPv6 guard功能不再检查信任接口收到的DHCPv6应答报文是否符合要求,直接转发这些报文。
信任接口优先级高于设备角色,当同时配置时,信任接口生效。
【举例】
# 设置信任端口。
<Sysname> system-view
[Sysname] ipv6 dhcp guard policy p1
[Sysname-dhcp6-guard-policy-p1] trust port
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
