- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-DHCPv6配置
本章節下載: 04-DHCPv6配置 (678.65 KB)
目 錄
2.6 配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配方式
2.7 配置DHCPv6策略動態分配IPv6地址、前綴和其他參數
2.8 配置DHCPv6服務器發送DHCPv6報文的DSCP優先級
3.4.1 指定DHCPv6中繼對應的DHCPv6服務器地址
3.5 配置DHCPv6中繼為DHCPv6客戶端分配的網關地址
3.6 配置DHCPv6中繼發送DHCPv6報文的DSCP優先級
3.7 配置DHCPv6中繼支持的Interface ID選項填充模式
4.5 配置DHCPv6客戶端獲取IPv6地址和網絡配置參數
4.6 配置DHCPv6客戶端獲取IPv6前綴和網絡配置參數
4.7 配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數
4.8 配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數
4.9 配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級
5.1.1 保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴
5.1.2 記錄DHCPv6客戶端IPv6地址與MAC地址的對應關係
5.4.4 開啟端口的DHCPv6 Snooping表項記錄功能
5.5 配置DHCPv6 Snooping支持Option 18功能
5.6 配置DHCPv6 Snooping支持Option 37功能
5.8 配置接口動態學習DHCPv6 Snooping表項的最大數目
5.10 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能
DHCPv6(Dynamic Host Configuration Protocol for IPv6,支持IPv6的動態主機配置協議)針對IPv6編址方案設計,用來為主機分配IPv6前綴、IPv6地址和其他網絡配置參數。
與其他IPv6地址分配方式(包括手工配置、通過路由器公告消息中的網絡前綴無狀態自動配置等,關於這兩種形式的配置,請參見“網絡互通配置指導”中的“IPv6基礎”)相比,DHCPv6具有以下優點:
· 更好地控製地址的分配。通過DHCPv6不僅可以記錄為主機分配的地址,還可以為特定主機分配特定的地址,以便於網絡管理。
· 為客戶端分配前綴,以便於全網絡的自動配置和管理。
· 除了IPv6前綴、IPv6地址外,還可以為主機分配DNS服務器、域名後綴等網絡配置參數。
DHCPv6服務器為客戶端分配地址/前綴的過程分為兩類:
· 交互兩個消息的快速分配過程
· 交互四個消息的分配過程
圖1-1 地址/前綴快速分配過程
如圖1-1所示,地址/前綴快速分配過程為:
(1) DHCPv6客戶端在向DHCPv6服務器發送的Solicit消息中攜帶Rapid Commit選項,標識客戶端希望服務器能夠快速為其分配地址/前綴和其他網絡配置參數。
(2) 如果DHCPv6服務器支持快速分配過程,則直接返回Reply消息,為客戶端分配IPv6地址/前綴和其他網絡配置參數。如果DHCPv6服務器不支持快速分配過程,則采用“1.2.2 交互四個消息的分配過程”為客戶端分配IPv6地址/前綴和其他網絡配置參數。
交互四個消息的分配過程如圖1-2所示。
交互四個消息分配過程的簡述如表1-1。
|
步驟 |
發送的消息 |
說明 |
|
(1) |
Solicit |
DHCPv6客戶端發送該消息,請求DHCPv6服務器為其分配IPv6地址/前綴和網絡配置參數 |
|
(2) |
Advertise |
如果Solicit消息中沒有攜帶Rapid Commit選項,或Solicit消息中攜帶Rapid Commit選項,但服務器不支持快速分配過程,則DHCPv6服務器回複該消息,通知客戶端可以為其分配的地址/前綴和網絡配置參數 |
|
(3) |
Request |
如果DHCPv6客戶端接收到多個服務器回複的Advertise消息,則根據消息接收的先後順序、服務器優先級等,選擇其中一台服務器,並向該服務器發送Request消息,請求服務器確認為其分配地址/前綴和網絡配置參數 |
|
(4) |
Reply |
DHCPv6服務器回複該消息,確認將地址/前綴和網絡配置參數分配給客戶端使用 |
DHCPv6服務器分配給客戶端的IPv6地址/前綴具有一定的租借期限,該租借期限稱為租約。租借期限由有效生命期決定。地址/前綴的租借時間到達有效生命期後,DHCPv6客戶端不能再使用該地址/前綴。在有效生命期到達之前,如果DHCPv6客戶端希望繼續使用該地址/前綴,則需要申請延長地址/前綴租約。
圖1-3 通過Renew更新地址/前綴租約
如圖1-3所示,地址/前綴租借時間到達時間T1(推薦值為首選生命期的一半)時,DHCPv6客戶端會向為它分配地址/前綴的DHCPv6服務器發送Renew報文,以進行地址/前綴租約的更新。如果客戶端可以繼續使用該地址/前綴,則DHCPv6服務器回應續約成功的Reply報文,通知DHCPv6客戶端已經成功更新地址/前綴租約;如果該地址/前綴不可以再分配給該客戶端,則DHCPv6服務器回應續約失敗的Reply報文,通知客戶端不能獲得新的租約。
圖1-4 通過Rebind更新地址/前綴租約
如圖1-4所示,如果在T1時發送Renew請求更新租約,但是未收到DHCPv6服務器的回應報文,則DHCPv6客戶端會在T2(推薦值為首選生命期的0.8倍)時,向所有DHCPv6服務器組播發送Rebind報文請求更新租約。如果客戶端可以繼續使用該地址/前綴,則DHCPv6服務器回應續約成功的Reply報文,通知DHCPv6客戶端已經成功更新地址/前綴租約;如果該地址/前綴不可以再分配給該客戶端,則DHCPv6服務器回應續約失敗的Reply報文,通知客戶端不能獲得新的租約;如果DHCPv6客戶端未收到服務器的應答報文,則到達有效生命期後,客戶端停止使用該地址/前綴。有效生命期和首選生命期的詳細介紹請參見“網絡互通配置指導”中的“IPv6基礎”。
DHCPv6服務器可以為已經具有IPv6地址/前綴的客戶端分配其他網絡配置參數,該過程稱為DHCPv6無狀態配置。
DHCPv6客戶端通過地址無狀態自動配置功能成功獲取IPv6地址後,即DHCPv6客戶端根據路由器發現/前綴發現所獲取的信息自動配置IPv6地址後,如果接收到的RA(Router Advertisement,路由器通告)報文中M標誌位(Managed address configuration flag,被管理地址配置標誌位)取值為0、O標誌位(Other stateful configuration flag,其他配置標誌位)取值為1,則DHCPv6客戶端會自動啟動DHCPv6無狀態配置功能,以獲取除地址/前綴外的其他網絡配置參數。
圖1-5 DHCPv6無狀態配置工作過程
如圖1-5所示,DHCPv6無狀態配置的具體過程為:
(1) 客戶端以組播的方式向DHCPv6服務器發送Information-request報文,該報文中攜帶Option Request選項,指定客戶端需要從服務器獲取的配置參數。
(2) 服務器收到Information-request報文後,為客戶端分配網絡配置參數,並單播發送Reply報文將網絡配置參數返回給客戶端。
(3) 客戶端檢查Reply報文中提供的信息,如果與Information-request報文中請求的配置參數相符,則按照Reply報文中提供的參數進行網絡配置;否則,忽略該參數。如果接收到多個與請求相符的Reply報文,客戶端將選擇最先收到的Reply報文,並根據該報文中提供的參數完成客戶端無狀態配置。
Option 18稱為接口ID選項(Interface ID),設備接收到DHCPv6客戶端發送的DHCPv6請求報文後,在該報文中添加Option 18選項,並轉發給DHCPv6服務器。服務器可根據Option 18選項中的客戶端信息選擇合適的地址池為DHCPv6客戶端分配IPv6地址。圖1-6為Option 18選項格式。
圖1-6 Option 18選項格式
各字段的解釋如下:
· Option code:Option編號,取值為18。
· Option length:Option字段長度。
· Port index:DHCPv6設備收到客戶端請求報文的端口索引。
· VLAN ID:第一層VLAN信息。
· Second VLAN ID:第二層VLAN信息。選項格式中的Second VLAN ID字段為可選,如果DHCPv6報文中不含有Second VLAN,則Option 18中也不包含Second VLAN ID內容。
· DUID:DHCPv6客戶端的DUID信息。
Option 37稱為遠程ID選項(Remote ID),設備接收到DHCPv6客戶端發送的DHCPv6請求報文後,在該報文中添加Option 37選項,並轉發給DHCPv6服務器。服務器可根據Option 37選項中的信息對DHCPv6客戶端定位,為分配IPv6地址提供幫助。圖1-7為Option 37選項格式。
圖1-7 Option 37選項格式
各字段的解釋如下:
· Option code:Option編號,取值為37。
· Option length:Option字段長度。
· Enterprise number:企業編號。
· Port index:DHCPv6設備收到客戶端請求報文的端口索引。
· VLAN ID:第一層VLAN信息。
· Second VLAN ID:第二層VLAN信息。選項格式中的Second VLAN ID字段為可選,如果DHCPv6報文中不含有Second VLAN,則Option 37中也不包含Second VLAN ID內容。
· DUID:DHCPv6客戶端的DUID信息。
與DHCPv6相關的協議規範有:
· RFC 3736:Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6
· RFC 3315:Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
· RFC 2462:IPv6 Stateless Address Autoconfiguration
· RFC 3633:IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6
DHCPv6服務器可以為客戶端分配IPv6地址/前綴和其他網絡配置參數。
圖2-1 DHCPv6服務器為客戶端分配IPv6地址和其他網絡配置參數應用環境
如圖2-1所示,為了便於集中管理IPv6地址,簡化網絡配置,DHCPv6服務器可以用來為DHCPv6客戶端提供諸如IPv6地址、域名後綴、DNS服務器地址等網絡配置參數。DHCPv6客戶端根據服務器分配的參數來實現主機的配置。
DHCPv6服務器為客戶端分配的IPv6地址分為以下兩類:
· 臨時IPv6地址:在短期內經常變化且不用續約的地址;
· 非臨時IPv6地址:正常使用,可以進行續約的地址。
圖2-2 DHCPv6服務器前綴分配應用組網圖
如圖2-2所示,為了便於集中管理IPv6地址,簡化網絡配置,DHCPv6服務器可以用來為DHCPv6客戶端分配IPv6前綴。DHCPv6客戶端獲取到IPv6前綴後,向所在網絡組播發送包含該前綴信息的RA消息,以便網絡內的主機根據該前綴自動配置IPv6地址。
DHCPv6采用組播地址FF05::1:3來表示站點本地範圍內所有的DHCPv6服務器;采用組播地址FF02::1:2來表示鏈路本地範圍內所有的DHCPv6服務器和中繼。
DUID(DHCP Unique Identifier,DHCP唯一標識符)是一台DHCPv6設備(包括客戶端、服務器和中繼)的唯一標識。在DHCPv6報文交互過程中,DHCPv6客戶端、服務器和中繼通過在報文中添加DUID來標識自己。
目前,設備采用RFC 3315規定的DUID-LL(DUID Based on Link-layer Address,基於鏈路層地址的DUID)作為DHCPv6設備的標識。DUID-LL的結構如圖2-3所示:
· DUID type:DUID類型。設備支持的DUID類型為DUID-LL,取值為0x0003。
· Hardware type:硬件類型。設備支持的硬件類型為以太網,取值為0x0001。
· Link layer address:鏈路層地址。取值為設備的橋MAC地址。
IA(Identity Association,標識聯盟)用於管理分配給客戶端的一組地址和前綴等信息,通過IAID標識。一個客戶端可以有多個IA,如客戶端的每個接口擁有一個IA,IA用來管理該接口獲取的地址和前綴等信息。
IAID是IA的標識符,由客戶端選擇。在一個客戶端上不同IA的IAID不能相同。
PD(Prefix Delegation,前綴授權)是DHCPv6服務器為分配的前綴創建的前綴綁定信息,前綴綁定信息中記錄了IPv6前綴、客戶端DUID、IAID、有效時間、首選時間、租約過期時間、申請前綴的客戶端的IPv6地址等信息。
每個DHCPv6地址池都擁有一組可供分配的IPv6地址、IPv6前綴和網絡配置參數。DHCPv6服務器從地址池中為客戶端選擇並分配IPv6地址、IPv6前綴及其他參數。
· 靜態綁定IPv6地址:通過將客戶端DUID和IAID與IPv6地址綁定的方式,實現為特定的客戶端分配特定的IPv6地址;
· 動態選擇IPv6地址:在地址池中指定可供分配的IPv6地址範圍,當收到客戶端的IPv6地址申請時,從該地址範圍中動態選擇IPv6地址,分配給該客戶端。
在DHCPv6地址池中指定可供分配的IPv6地址範圍時,需要:
(1) 指定動態分配的IPv6地址網段。
(2) 將該網段劃分為非臨時地址範圍和臨時地址範圍。每個地址範圍內的地址必須屬於該網段,否則無法分配。
采用動態選擇IPv6地址方式時,如果接收到客戶端的地址申請,則DHCPv6服務器選擇一個合適的地址池,並按照客戶端申請的地址類型(非臨時地址或臨時地址),從該地址池對應的地址範圍(非臨時地址範圍或臨時地址範圍)中選擇合適的IPv6地址分配給客戶端。
DHCPv6地址池的前綴管理方式有以下幾種:
· 靜態綁定IPv6前綴:通過將客戶端DUID和IAID與IPv6前綴綁定的方式,實現為特定的客戶端分配特定的IPv6前綴;
· 動態選擇IPv6前綴:在地址池中指定可供分配的IPv6前綴範圍,當收到客戶端的IPv6前綴申請時,從該前綴範圍中動態選擇IPv6前綴,分配給該客戶端。
在DHCPv6地址池中指定可供分配的IPv6前綴範圍時,需要:
(1) 創建前綴池,指定前綴池中包括的IPv6前綴範圍。
(2) 在地址池中指定動態分配的IPv6地址網段。
(3) 在地址池中引用前綴池。
DHCPv6服務器為客戶端分配IPv6地址或前綴時,按照如下順序選擇地址池:
(1) 如果存在將客戶端DUID、IAID與IPv6地址或前綴靜態綁定的地址池,則選擇該地址池,並將靜態綁定的IPv6地址或前綴、及該地址池中的網絡參數分配給客戶端。
(2) 如果配置了DHCPv6策略,則DHCPv6客戶端匹配某個DHCPv6用戶類時,DHCPv6服務器選擇與該DHCPv6用戶類關聯的DHCPv6地址池;DHCPv6客戶端未匹配到DHCPv6用戶類時,若配置了默認DHCPv6地址池,則選擇該DHCPv6地址池;若未配置默認DHCPv6地址池或DHCPv6默認地址池不存在可供分配的IPv6地址或前綴時,IPv6地址、前綴或其他參數分配失敗。
(3) 如果接收到DHCPv6請求報文的接口引用了某個地址池,則選擇該地址池,從該地址池中選取IPv6地址或前綴、及網絡配置參數分配給客戶端。
(4) 如果上述條件均不滿足,則使用以下方法選擇DHCPv6地址池:
¡ 如果客戶端與服務器在同一網段,則將接收到DHCPv6請求報文的接口的IPv6地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
¡ 如果客戶端與服務器不在同一網段,即客戶端通過DHCPv6中繼獲取IPv6地址或前綴,則將離DHCPv6客戶端最近的DHCPv6中繼接口的IPv6地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
配置地址池動態分配的網段和IPv6地址範圍時,請盡量保證與DHCPv6服務器接口或DHCPv6中繼接口的IPv6地址所在的網段一致,以免分配錯誤的IPv6地址。
DHCPv6服務器為客戶端分配IPv6地址/前綴的優先次序如下:
(1) DUID、IAID與客戶端DUID、IAID匹配,且與客戶端期望地址/前綴匹配的靜態綁定地址/前綴;
(2) DUID、IAID與客戶端DUID、IAID匹配的靜態綁定地址/前綴;
(3) DUID與客戶端的DUID匹配,且與客戶端期望地址/前綴匹配的靜態綁定地址/前綴,該地址/前綴中未指定客戶端的IAID;
(4) DUID與客戶端DUID匹配的靜態綁定地址/前綴,該地址/前綴中未指定客戶端的IAID;
(5) 地址池/前綴池中與客戶端期望地址/前綴匹配的空閑地址/前綴;
(6) 服務器記錄的曾經分配給客戶端的地址/前綴;
(7) 地址池/前綴池中的其他空閑地址/前綴;
(8) 如果未找到可用的地址/前綴,則依次查詢租約過期地址/前綴、曾經發生過衝突的地址,如果找到則進行分配,否則將不予處理。
如果客戶端的網段發生變化,服務器不會為客戶端分配曾經分配給它的地址/前綴,而是從匹配新網段的地址池中重新選擇地址/前綴等信息。
使用曾經發生過衝突的IPv6地址時,隻有衝突狀態超過一小時的地址租約才能夠被服務器分配給新的DHCPv6客戶端。
(1) 配置為DHCPv6客戶端分配IPv6前綴、IPv6地址和其他網絡參數
請至少選擇以下一項任務進行配置:
(2) 修改DHCPv6服務器的地址池選擇方式
請至少選擇以下一項任務進行配置:
¡ 配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配方式
¡ 配置DHCPv6策略動態分配IPv6地址、前綴和其他參數
(3) (可選)配置DHCPv6服務器發送DHCPv6報文的DSCP優先級
(4) (可選)配置DHCPv6服務器租約固化功能
(5) (可選)配置DHCPv6服務器輔助路由信息
(6) (可選)開啟DHCPv6服務器的日誌信息功能
可以通過以下兩種方式配置DHCPv6服務器為DHCPv6客戶端分配IPv6前綴:
· 在地址池中配置靜態綁定前綴:指定DUID、IAID及前綴的靜態綁定關係後,如果DHCPv6請求報文中的DUID、IAID與靜態綁定的DUID、IAID都相同,則將靜態綁定的前綴分配給此DHCPv6客戶端。如果隻指定了DUID和前綴的綁定關係,未指定靜態綁定的IAID,則隻要請求報文中的DUID與靜態綁定的DUID相同,就將靜態綁定的前綴分配給此DHCPv6客戶端。
· 在地址池中引用包含一定前綴範圍的前綴池:接收到DHCPv6客戶端的前綴分配請求後,DHCPv6服務器從前綴範圍中動態選擇可用前綴,分配給客戶端。
在實際組網中,某些前綴是保留前綴,不應該動態分配給客戶端。通過配置不參與自動分配的前綴,可以避免DHCPv6服務器分配這些前綴。
配置為DHCPv6客戶端分配IPv6前綴時,需要注意:
· 一個IPv6前綴隻能與一個客戶端綁定。不允許通過重複執行static-bind prefix命令的方式修改IPv6前綴與客戶端的綁定關係、前綴的首選生命期和有效生命期。隻有刪除該IPv6前綴的靜態綁定配置後,才能將該IPv6前綴與其他客戶端綁定,或修改前綴的首選生命期和有效生命期。
· 一個地址池最多可以引用一個前綴池。地址池可以引用並不存在的前綴池,但是,此時設備無法從該地址池中動態選擇前綴分配給客戶端。隻有創建該前綴池後,才能支持前綴的動態選擇。
· 不允許通過重複執行prefix-pool命令的方式修改地址池引用的前綴池、前綴的首選生命期和有效生命期。隻有取消當前地址池引用的前綴池後,才能引用其他的前綴池,或修改首選生命期和有效生命期。
(1) 進入係統視圖。
system-view
(2) (可選)配置不參與自動分配的IPv6前綴。
ipv6 dhcp server forbidden-prefix start-prefix/prefix-len [ end-prefix/prefix-len ]
缺省情況下,DHCPv6前綴池中的所有IPv6前綴都參與自動分配。
如果通過ipv6 dhcp server forbidden-prefix命令將已經靜態綁定的IPv6前綴配置為不參與自動分配的前綴,則該前綴仍然可以分配給靜態綁定的用戶。
(3) 創建前綴池。
ipv6 dhcp prefix-pool prefix-pool-number prefix { prefix-number | prefix/prefix-len } assign-len assign-len
僅在DHCPv6服務器為DHCPv6客戶端動態分配IPv6前綴時需要進行本配置。
當配置前綴池引用前綴編號時,必須保證指定前綴號有對應的生效前綴,否則配置不生效。
(4) 創建DHCPv6地址池,並進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(5) 配置動態分配的IPv6地址網段。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6地址網段。
不能在不同地址池下使用network命令配置相同的地址網段。
不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度。
(6) 配置地址池引用前綴信息。請至少選擇其中一項進行配置。
¡ 配置靜態綁定前綴。
static-bind prefix prefix/prefix-len duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置地址池的靜態綁定前綴。
重複執行static-bind prefix命令,可以配置多個靜態綁定的IPv6前綴。
¡ 配置地址池引用前綴池。
prefix-pool prefix-pool-number [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置可動態分配的前綴。
可以通過以下兩種方式配置DHCPv6服務器為DHCPv6客戶端分配IPv6地址:
· 在地址池中配置靜態綁定地址:指定DUID、IAID及地址的靜態綁定關係後,如果DHCPv6請求報文中的DUID、IAID與靜態綁定的DUID、IAID都相同,則將靜態綁定的地址分配給此DHCPv6客戶端。如果隻指定了DUID和地址的綁定關係,未指定靜態綁定的IAID,則隻要請求報文中的DUID與靜態綁定的DUID相同,就將靜態綁定的地址分配給此DHCPv6客戶端。
· 在地址池中配置動態分配的地址網段和地址範圍:
¡ 在進行非臨時地址分配時,如果未在地址池下通過address range命令配置動態分配的IPv6非臨時地址範圍,則network命令指定的網段內的單播地址都可以分配給DHCPv6客戶端。如果配置了address range命令,則隻會從該地址範圍內分配IPv6非臨時地址,即使該範圍內的地址分配完畢,也不會從network命令指定的地址範圍內分配IPv6非臨時地址。
¡ 在進行臨時地址分配時,如果未在地址池下通過temporary address range命令配置動態分配的IPv6臨時地址範圍,則地址池無法分配臨時地址。如果配置了temporary address range命令,則隻會從該地址範圍內分配IPv6臨時地址,不會從network或者address range命令配置的地址範圍內分配臨時地址。
在實際組網中,某些地址是服務器的地址或者是保留地址,不應該動態分配給客戶端。通過配置不參與自動分配的地址,可以避免DHCPv6服務器分配這些地址。
配置為DHCPv6客戶端分配IPv6地址,需要注意:
· 一個地址池下隻能配置一個IPv6非臨時地址範圍和一個IPv6臨時地址範圍。
· address range命令和temporary address range命令配置的地址範圍應該在network命令配置的網段內,否則地址不能被分配。
· 一個IPv6地址隻能與一個客戶端綁定。不允許通過重複執行static-bind address命令的方式修改IPv6地址與客戶端的綁定關係、地址的首選生命期和有效生命期。隻有刪除該IPv6地址的靜態綁定配置後,才能通過重新配置將該IPv6地址與其他客戶端綁定,或修改地址的首選生命期和有效生命期。
· 每個DHCPv6地址池隻能配置一個網段,在相同地址池中重複執行network命令,新的配置會覆蓋已有配置。如果相鄰兩次network命令配置的地址網段相同而首選生命期和有效生命期不同,則新配置的首選生命期和有效生命期隻能在新生成的綁定信息中生效,原有綁定信息不受影響。
(1) 進入係統視圖。
system-view
(2) (可選)配置不參與自動分配的IPv6地址。
ipv6 dhcp server forbidden-address start-ipv6-address [ end-ipv6-address ]
缺省情況下,除DHCPv6服務器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都參與自動分配。
如果通過ipv6 dhcp server forbidden-address命令將已經靜態綁定的IPv6地址配置為不參與自動分配的地址,則該地址仍然可以分配給靜態綁定的用戶。
(3) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(4) 配置動態分配的IPv6地址網段。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6地址網段。
不能在不同地址池下使用network命令配置相同的地址網段。
不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度。
(5) (可選)配置動態分配的IPv6非臨時地址範圍。
address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置地址池中動態分配的IPv6非臨時地址範圍,整個網段內的單播地址都可以作為非臨時地址分配給客戶端。
(6) (可選)配置動態分配的IPv6臨時地址範圍。
temporary address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6臨時地址範圍,不能分配IPv6臨時地址。
(7) (可選)配置靜態綁定的IPv6地址。
static-bind address ipv6-address/addr-prefix-length duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,不存在靜態綁定的IPv6地址。
重複執行static-bind address命令,可以配置多個靜態綁定的IPv6地址。
除了分配IPv6地址和IPv6前綴外,DHCPv6地址池中還可以配置其他網絡參數,如在一個地址池下最多可以配置8個DNS服務器地址、1個域名、8個SIP服務器地址和8個SIP服務器域名等。
可以通過如下方式配置為DHCPv6客戶端分配的網絡參數:
· 直接在DHCPv6地址池視圖下配置網絡參數。
· 在DHCPv6選項組中配置網絡參數,並在DHCPv6地址池視圖下指定引用的DHCPv6選項組。
直接在DHCPv6地址池視圖下配置的網絡參數的優先級高於DHCPv6選項組中配置的網絡參數。
(1) 進入係統視圖。
system-view
(2) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(3) 配置動態分配的IPv6地址網段。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6地址網段。
不能在不同地址池下使用network命令配置相同的地址網段。
不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度。
地址池引用前綴編號分配動態地址時必須保證前綴號有對應的生效前綴,否則配置不生效。
(4) 配置為客戶端分配的DNS服務器地址。
dns-server ipv6-address
缺省情況下,未指定為客戶端分配的DNS服務器地址。
(5) 配置為客戶端分配的域名。
domain-name domain-name
缺省情況下,未指定為客戶端分配的域名。
(6) 配置為客戶端分配的SIP服務器地址或域名。
sip-server { address ipv6-address | domain-name domain-name }
缺省情況下,未指定為客戶端分配的SIP服務器地址或域名。
(7) 配置DHCPv6自定義選項。
option code hex hex-string
缺省情況下,未配置DHCPv6自定義選項。
DHCPv6選項組的創建方法有以下幾種:
· 通過ipv6 dhcp option-group命令手工創建靜態DHCPv6選項組。
· 設備作為DHCPv6客戶端獲取IPv6地址、前綴和網絡配置參數時,在DHCPv6客戶端上根據獲取的網絡配置參數動態創建DHCPv6選項組。
手工創建的DHCPv6選項組優先級高於動態創建的DHCPv6選項組。本節隻介紹手工創建靜態DHCPv6選項組的方法,動態創建DHCPv6選項組的方法請參見“網絡互通配置指導”中的“DHCPv6客戶端”。
(1) 進入係統視圖。
system-view
(2) 手工創建靜態DHCPv6選項組,並進入DHCPv6選項組視圖。
ipv6 dhcp option-group option-group-number
(3) 配置為客戶端分配的DNS服務器地址。
dns-server ipv6-address
缺省情況下,未指定為客戶端分配的DNS服務器地址。
(4) 配置為客戶端分配的域名後綴。
domain-name domain-name
缺省情況下,未指定為客戶端分配的域名後綴。
(5) 配置為客戶端分配的SIP服務器地址或域名。
sip-server { address ipv6-address | domain-name domain-name }
缺省情況下,未指定為客戶端分配的SIP服務器地址或域名。
(6) 配置DHCPv6自定義選項。
option code hex hex-string
缺省情況下,未配置DHCPv6自定義選項。
(7) 退回係統視圖。
quit
(8) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(9) 配置DHCPv6地址池引用選項組。
option-group option-group-number
缺省情況下,DHCPv6地址池未引用選項組。
配置接口工作在DHCPv6服務器模式後,當接口未引用地址池時,接口收到DHCPv6客戶端發來的DHCPv6報文時,服務器根據該接口的地址或DHCPv6中繼接口的地址選擇最長匹配的DHCPv6地址池,並從該地址池中選擇IPv6地址或前綴分配給客戶端。當接口引用地址池時,則從引用的地址池中選擇IPv6地址或前綴分配給客戶端。如果引用的地址池中不存在可供分配的IPv6地址或前綴,則設備將無法為客戶端分配IPv6地址或前綴。
配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配方式時,需要注意:
· 一個接口不能同時作為DHCPv6服務器和DHCPv6中繼。
· 建議不要在一個接口上同時配置DHCPv6服務器和DHCPv6客戶端功能。
· 接口可以引用並不存在的地址池,但是,此時該接口無法為客戶端分配前綴等信息。隻有創建該地址池後,才能為客戶端分配前綴等信息。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口工作在DHCPv6服務器模式。
ipv6 dhcp select server
缺省情況下,接口未工作在DHCPv6服務器模式,也未工作在DHCPv6中繼模式,接口接收到DHCPv6客戶端發來的DHCPv6報文後,丟棄該報文。
(4) 配置地址池選擇方式。請選擇其中一項進行配置。
¡ 配置全局查找地址池,並指定全局查找DHCPv6地址池時地址或前綴分配方式。
ipv6 dhcp server { allow-hint | preference preference-value | rapid-commit } *
缺省情況下,不支持期望地址/前綴分配,缺省優先級為0,不支持快速分配。
¡ 配置接口引用DHCP地址池。
ipv6 dhcp server apply pool pool-name [ allow-hint | preference preference-value | rapid-commit ] *
創建DHCPv6策略,並在接口引用該策略後,該接口接收到DHCPv6請求報文時,則根據配置順序逐個匹配DHCPv6策略中通過class pool命令指定的DHCPv6用戶類。匹配情況如下:
· 若匹配DHCPv6用戶類成功,當該DHCPv6用戶類關聯的DHCPv6地址池中存在可供分配的地址或前綴信息時,則從該DHCPv6地址池中分配IPv6地址、前綴或其他參數;當該DHCPv6用戶類關聯的DHCPv6地址池中不存在可供分配的地址或前綴信息時,IPv6地址、前綴或其他參數分配失敗。
· 若匹配DHCPv6策略中的所有DHCPv6用戶類失敗,當配置了默認DHCPv6地址池時,則從該DHCPv6地址池中分配IPv6地址、前綴或網絡參數;當未配置默認DHCPv6地址池或DHCPv6默認地址池不存在可供分配的IPv6地址或前綴時,IPv6地址、前綴或其他參數分配失敗。
· 若接收DHCPv6請求報文的接口引用的DHCPv6策略不存在或匹配的DHCPv6用戶類關聯的DHCPv6地址池不存在,IPv6地址、前綴或其他參數分配失敗。
· 匹配規則中不支持匹配DHCPv6設備添加的選項,比如Option 18或Option 37。
(1) 進入係統視圖。
system-view
(2) 創建DHCPv6用戶類,並進入DHCPv6用戶類視圖。
ipv6 dhcp class class-name
(3) 配置DHCPv6用戶類的匹配規則。
if-match rule rule-number { option option-code [ ascii acsii-string [ offset offset | partial ] | hex hex-string [ mask mask | offset offset length length | partial ] ] | relay-agent gateway-ipv6-address }
缺省情況下,未配置DHCPv6用戶類的匹配規則。
(4) 退回係統視圖。
quit
(5) 創建DHCPv6策略,並進入DHCPv6策略視圖。
ipv6 dhcp policy policy-name
DHCPv6策略需要在接口上引用才生效。
(6) 指定DHCPv6用戶類關聯的DHCPv6地址池。
class class-name pool pool-name
缺省情況下,未指定DHCPv6用戶類關聯的DHCPv6地址池。
(7) (可選)指定默認DHCPv6地址池。
default pool pool-name
缺省情況下,未指定默認DHCPv6地址池。
(8) 退回係統視圖。
quit
(9) 進入接口視圖。
interface interface-type interface-number
(10) 指定接口引用的DHCPv6策略。
ipv6 dhcp apply-policy policy-name
缺省情況下,接口未引用DHCPv6策略。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6服務器發送的DHCPv6報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DHCPv6服務器發送DHCPv6報文的DSCP優先級。
ipv6 dhcp dscp dscp-value
缺省情況下,DHCPv6服務器發送的DHCPv6報文的DSCP優先級為56。
DHCPv6服務器重啟後,設備上記錄的租約信息將丟失,會影響DHCP服務器的正常業務。
DHCPv6服務器租約固化功能將DHCPv6服務器的核心運行數據(在用地址租約、衝突表項)保存到指定的文件中,DHCPv6服務器設備重啟後,自動根據該文件恢複DHCPv6服務器的租約信息,從而保證DHCPv6服務器的租約信息不會丟失。
當DHCPv6服務器設備重啟後,自動根據該文件恢複DHCPv6服務器的租約信息,租約恢複的過程中,DHCPv6服務器不能提供DHCPv6業務。所以當恢複過程出現問題導致恢複過程無法結束時,用戶可配置ipv6 dhcp server database update stop命令終止當前的DHCPv6服務器表項恢複操作,以便DHCPv6服務器能及時提供DHCPv6服務。
(1) 進入係統視圖。
system-view
(2) 指定存儲DHCPv6 服務器表項的文件名稱。
ipv6 dhcp server database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情況下,未指定存儲文件名稱。
執行本命令後,會立即觸發一次表項備份。
(3) (可選)將當前的DHCPv6服務器表項保存到用戶指定的文件中。
ipv6 dhcp server database update now
本命令隻用來觸發一次DHCPv6服務器表項的備份。
(4) (可選)配置刷新DHCPv6服務器表項存儲文件的延遲時間。
ipv6 dhcp server database update interval interval
缺省情況下,若DHCPv6服務器表項不變化,則不刷新存儲文件;若DHCPv6 服務器表項發生變化,默認在300秒之後刷新存儲文件。
(5) (可選)終止當前的DHCPv6服務器表項恢複操作。
ipv6 dhcp server database update stop
本命令隻用來觸發一次終止DHCPv6服務器表項信息的恢複。
如圖2-4所示,在某些特定的業務模型(如BRAS組網)下,BRAS設備需要實時監測網絡流量,並將統計數據發送到RADIUS服務器。該統計數據為用戶上線以來產生的所有上下行流量數據,而不能是設備在某個時間段內發生的上下行流量數據。由於RADIUS服務器刷新計數的方法是覆蓋以前數據而不是進行累加,所以當一台設備的上下行流量分別從兩台BRAS設備上通過時,在RADIUS服務器上記錄的數據就會相互覆蓋,這時RADIUS服務器得到的統計數據是不準確的。為了提高準確性,需保證一台設備的上下行流量經過同一台BRAS設備。通過在BRAS設備上配置輔助路由信息,並對外發布此網段路由,引導指定網段的下行數據流量來保證上下行流量從一台BRAS設備經過。
圖2-4 DHCPv6服務器輔助路由組網圖
(1) 進入係統視圖。
system-view
(2) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(3) 配置DHCPv6 服務器輔助路由信息。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] export-route
缺省情況下,未配置DHCPv6服務器輔助路由信息。
DHCPv6服務器日誌可以方便管理員定位問題和解決問題。設備生成DHCPv6日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
大量DHCPv6客戶端發生上下線操作時,DHCPv6服務器需要輸出大量日誌信息,這可能會降低設備性能,影響DHCPv6服務器分配IPv6前綴或IPv6地址的速度。為了避免該情況的發生,用戶可以關閉DHCPv6服務器日誌信息功能,使得DHCPv6服務器不再輸出日誌信息。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6服務器日誌信息功能。
ipv6 dhcp log enable
缺省情況下,DHCPv6服務器日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6服務器的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6服務器的統計信息。
表2-1 DHCPv6服務器顯示和維護
|
操作 |
命令 |
|
顯示本設備的DUID |
display ipv6 dhcp duid |
|
顯示DHCPv6選項組信息 |
display ipv6 dhcp option-group [ option-group-number ] |
|
顯示DHCPv6地址池的信息 |
display ipv6 dhcp pool [ pool-name ] |
|
顯示前綴池的信息 |
display ipv6 dhcp prefix-pool [ prefix-pool-number ] |
|
顯示接口上的DHCPv6服務器信息 |
display ipv6 dhcp server [ interface interface-type interface-number ] |
|
顯示DHCPv6地址衝突信息 |
display ipv6 dhcp server conflict [ address ipv6-address ] |
|
顯示DHCPv6服務器表項備份信息 |
display ipv6 dhcp server database |
|
顯示租約過期的DHCPv6地址綁定信息 |
display ipv6 dhcp server expired [ address ipv6-address | pool pool-name ] |
|
顯示DHCPv6地址綁定信息 |
display ipv6 dhcp server ip-in-use [ address ipv6-address | pool pool-name ] |
|
顯示DHCPv6前綴綁定信息 |
display ipv6 dhcp server pd-in-use [ pool pool-name | prefix prefix/prefix-len ] |
|
顯示DHCPv6服務器的報文統計信息 |
display ipv6 dhcp server statistics [ pool pool-name ] |
|
清除DHCPv6地址衝突信息 |
reset ipv6 dhcp server conflict [ address ipv6-address ] |
|
清除租約過期的DHCPv6地址綁定信息 |
reset ipv6 dhcp server expired [ address ipv6-address | pool pool-name ] |
|
清除DHCPv6的正式地址綁定和臨時地址綁定信息 |
reset ipv6 dhcp server ip-in-use [ address ipv6-address | pool pool-name ] |
|
清除DHCPv6正式前綴綁定和臨時前綴綁定信息 |
reset ipv6 dhcp server pd-in-use [ pool pool-name | prefix prefix/prefix-len ] |
|
清除DHCPv6服務器的報文統計信息 |
reset ipv6 dhcp server statistics |
本手冊中的AP型號和序列號僅為舉例,具體支持的AP型號和序列號請以設備的實際情況為準。
· 作為DHCPv6服務器的AC為AP分配1::1:0:0:0/96網段、客戶端分配1::2:0:0:0/96網段的IPv6地址;
· AC的兩個VLAN接口Vlan-interface10和Vlan-interface20的地址分別為1::1:0:0:1/96和1::2:0:0:1/96。
圖2-5 DHCPv6動態分配IPv6地址組網圖
(1) 配置DHCPv6 server各接口的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息
<AC> system-view
[AC] vlan 10
[AC-vlan10] quit
[AC] vlan 20
[AC-vlan20] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ipv6 address 1::1:0:0:1/96
[AC-Vlan-interface10] undo ipv6 nd ra halt
[AC-Vlan-interface10] ipv6 nd autoconfig managed-address-flag
[AC-Vlan-interface10] ipv6 nd autoconfig other-flag
[AC-Vlan-interface10] quit
[AC] interface vlan-interface 20
[AC-Vlan-interface20] ipv6 address 1::2:0:0:1/96
[AC-Vlan-interface20] undo ipv6 nd ra halt
[AC-Vlan-interface20] ipv6 nd autoconfig managed-address-flag
[AC-Vlan-interface20] ipv6 nd autoconfig other-flag
[AC-Vlan-interface20] quit
(2) 配置端口屬於VLAN及對應VLAN接口的IP地址
# 將與AP連接的接口加入VLAN10中。
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type trunk
[AC-GigabitEthernet1/0/2] port trunk permit vlan 10
[AC-GigabitEthernet1/0/2] port trunk pvid vlan 10
[AC-GigabitEthernet1/0/2] quit
(3) 配置無線服務
# 配置無線服務模板並把服務模板加入VLAN20中。
[AC] wlan service-template service
[AC-wlan-st-service] ssid service
[AC-wlan-st-service] vlan 20
[AC-wlan-st-service] service-template enable
[AC-wlan-st-service] quit
# 配置AP。
[AC] wlan ap ap1 model WA4320i-CAN
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template service
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
(4) 配置DHCPv6服務
# 配置接口Vlan-interface10和Vlan-interface20工作在DHCPv6服務器模式。
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ipv6 dhcp select server
[AC-Vlan-interface10] ipv6 dhcp server apply pool 1
[AC-Vlan-interface10] quit
[AC] interface vlan-interface 20
[AC-Vlan-interface20] ipv6 dhcp select server
[AC-Vlan-interface20] ipv6 dhcp server apply pool 2
[AC-Vlan-interface20] quit
# 配置DHCPv6地址池1,為1::1:0:0:0/96網段的客戶端分配IPv6地址等參數。
[AC] ipv6 dhcp pool 1
[AC-dhcp6-pool-1] network 1::1:0:0:0/96
[AC-dhcp6-pool-1] gateway-list 1::1:0:0:1
[AC-dhcp6-pool-1] quit
# 配置DHCPv6地址池2,為1::2:0:0:0/96網段的客戶端分配IPv6地址等參數。
[AC] ipv6 dhcp pool 2
[AC-dhcp6-pool-2] network 1::2:0:0:0/96
[AC-dhcp6-pool-2] gateway-list 1::2:0:0:1
[AC-dhcp6-pool-2] quit
配置完成後,1::1:0:0:0/96和1::2:0:0:0/96網段的AP和客戶端可以從DHCPv6服務器AC申請到相應網段的IPv6地址和網絡配置參數。通過display ipv6 dhcp server ip-in-use命令可以查看DHCPv6服務器為客戶端分配的IPv6地址。
DHCPv6客戶端通常通過鏈路本地範圍的組播地址與DHCPv6服務器通信,以獲取IPv6地址和其他網絡配置參數。如圖3-1所示,服務器和客戶端不在同一個鏈路範圍內時,服務器和客戶端無法直接通信,需要通過DHCPv6中繼來轉發報文。部署DHCPv6中繼可以避免在每個鏈路範圍內都部署DHCPv6服務器,既節省了成本,又便於進行集中管理。
圖3-1 DHCPv6中繼應用組網圖
圖3-2 DHCPv6中繼的工作過程
如圖3-2所示,以交互兩個消息的快速分配過程為例,DHCPv6客戶端通過DHCPv6中繼,從DHCPv6服務器獲取IPv6地址和其他網絡配置參數的過程為:
(1) DHCPv6客戶端向所有DHCPv6服務器和中繼的組播地址FF02::1:2發送攜帶Rapid Commit選項的Solicit消息;
(2) DHCPv6中繼接收到Solicit消息後,將其封裝在Relay-forward報文的中繼消息選項(Relay Message Option)中,並將Relay-forward報文發送給DHCPv6服務器;
(3) DHCPv6服務器從Relay-forward報文中解析出客戶端的Solicit消息,為客戶端選取IPv6地址和其他參數,構造Reply消息,將Reply消息封裝在Relay-reply報文的中繼消息選項中,並將Relay-reply報文發送給DHCPv6中繼;
(4) DHCPv6中繼從Relay-reply報文中解析出服務器的Reply消息,轉發給DHCPv6客戶端,以便DHCPv6客戶端根據DHCPv6服務器分配的IPv6地址和其他參數進行網絡配置。
DHCPv6中繼配置任務如下:
(2) 指定DHCPv6服務器的地址
(3) (可選)配置DHCPv6中繼為DHCPv6客戶端分配的網關地址
(4) (可選)配置DHCPv6中繼發送DHCPv6報文的DSCP優先級
(5) (可選)配置DHCPv6中繼支持的Interface ID選項填充模式
建議不要在一個接口上同時配置DHCPv6中繼和DHCPv6客戶端功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口工作在DHCPv6中繼模式。
ipv6 dhcp select relay
缺省情況下,接口未工作在DHCPv6中繼模式。
工作在DHCPv6中繼模式的接口接收到DHCPv6客戶端發來的報文後,將其封裝在Relay-forward報文中,並發送給指定的DHCPv6服務器,由DHCPv6服務器為客戶端分配IPv6地址、IPv6前綴和其他網絡配置參數。
· 通過多次執行ipv6 dhcp relay server-address命令可以指定多個DHCPv6服務器,一個接口下最多可以指定8個DHCPv6服務器。DHCPv6中繼接收到DHCPv6客戶端報文後,將其轉發給所有的DHCPv6服務器。
· 如果指定的DHCPv6服務器地址為鏈路本地地址或組播地址,則必須通過ipv6 dhcp relay server-address命令的interface參數指定出接口,否則報文可能會無法到達服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 指定DHCPv6中繼對應的DHCPv6服務器地址。
ipv6 dhcp relay server-address ipv6-address [ interface interface-type interface-number ]
缺省情況下,未指定DHCPv6中繼對應的DHCPv6服務器地址。
對於某些特定的用戶接入方式,基於用戶接入位置信息的不同,網絡中存在大量不同類型的用戶。為了使相同類型的用戶可以從指定的DHCPv6服務器申請IPv6地址等網絡參數,接入模塊根據用戶注冊信息,使不同的用戶選擇不同的DHCPv6中繼地址池,並從中繼地址池下配置的DHCPv6服務器獲取IPv6地址等網絡參數。
一台DHCPv6中繼的一個接口下可能連接不同類型的用戶,當DHCPv6中繼轉發DHCPv6客戶端請求報文給DHCPv6服務器時,不能再以中繼接口的IPv6地址作為選擇地址池的依據。為了解決這個問題,需要使用gateway-list命令指定某個類型用戶所在的網段,並將該地址添加到轉發給DHCPv6服務器的報文的Link-address字段中,為DHCPv6服務器選擇地址池提供依據。
· 為了提高可靠性,一個DHCPv6中繼地址池下最多可以配置8個DHCPv6服務器地址,當DHCPv6客戶端匹配該中繼地址池後,DHCPv6中繼會將DHCPv6客戶端發來的DHCPv6報文轉發給該地址池對應所有的DHCPv6服務器。
· 當PPPoE用戶下線時,DHCPv6中繼需要查詢中繼用戶地址表項,若存在對應表項,則會向DHCPv6服務器發送Release報文,通知DHCPv6服務器釋放該地址租約。這就需要在DHCPv6中繼上使用ipv6 dhcp relay client-information record命令開啟DHCPv6中繼用戶地址表項記錄功能。
· 和PPPoE配合使用時,如果設備的地址池中配置了remote-server命令,則可以認定該設備一定是DHCPv6中繼設備,所以不需要在接口視圖下執行ipv6 dhcp select relay命令。
(1) 進入係統視圖。
system-view
(2) 創建DHCPv6中繼地址池,並進入DHCPv6中繼地址池視圖。
ipv6 dhcp pool pool-name
(3) 指定匹配該地址池的DHCPv6客戶端所在的網段地址。
gateway-list ipv6-address&<1-8>
缺省情況下,未指定匹配該地址池的DHCPv6客戶端所在的網段地址。
(4) 指定中繼地址池對應的DHCPv6服務器地址。
remote-server ipv6-address [ interface interface-type interface-number ]
缺省情況下,未指定中繼地址池對應的DHCPv6服務器的地址。
當未開啟該功能時,DHCPv6中繼收到DHCPv6客戶端的請求報文後,隻能將接口的第一個IPv6添加到報文中,然後轉發給DHCPv6服務器。對於某些特定需求,DHCPv6中繼需要添加指定的地址到報文中,這時就需要配置此功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置DHCPv6中繼為DHCPv6客戶端分配的網關地址。
ipv6 dhcp relay gateway ipv6-address
缺省情況下,DHCPv6中繼分配接口下的第一個IPv6地址作為DHCPv6客戶端的網關地址。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6中繼發送的DHCPv6報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DHCPv6中繼發送DHCPv6報文的DSCP優先級。
ipv6 dhcp dscp dscp-value
缺省情況下,DHCPv6中繼發送的DHCPv6報文的DSCP優先級為56。
如果配置了DHCPv6中繼支持的Interface ID選項填充模式,當DHCPv6中繼接收到客戶端發送的DHCPv6報文後,會以配置的填充方式將DHCPv6客戶端的位置信息填充Option 18選項,並把填充好的報文轉發給DHCPv6服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置DHCPv6中繼支持的Interface ID選項填充模式。
ipv6 dhcp relay interface-id { bas | interface }
缺省情況下,Interface ID選項的填充模式為接口索引信息。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6中繼的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6中繼的統計信息。
表3-1 DHCPv6中繼顯示和維護
|
操作 |
命令 |
|
顯示本設備DUID |
display ipv6 dhcp duid |
|
顯示DHCPv6中繼上指定的DHCPv6服務器地址信息 |
display ipv6 dhcp relay server-address [ interface interface-type interface-number ] |
|
顯示DHCPv6中繼的相關報文統計信息 |
display ipv6 dhcp relay statistics [ interface interface-type interface-number ] |
|
清除DHCPv6中繼的相關報文統計信息 |
reset ipv6 dhcp relay statistics [ interface interface-type interface-number ] |
· DHCPv6客戶端所在網絡地址為1::/64,DHCPv6服務器的地址為2::2/64。客戶端和服務器不在同一個鏈路範圍,需要通過DHCPv6中繼轉發報文。
· AC作為DHCPv6中繼,為客戶端和服務器轉發報文。
· AC同時作為1::/64網絡的網關設備,通過RA消息中的M標誌位和O標誌位指定該網絡中的主機通過DHCPv6獲取IPv6地址和其他網絡配置參數。RA消息的詳細介紹,請參見“網絡互通配置指導”中的“IPv6基礎”。
圖3-3 DHCPv6中繼組網圖
# 配置AC基本功能(詳細介紹請參見“WLAN接入配置指導”)(略)
# 配置VLAN接口2和VLAN接口3的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息
<AC> system-view
[AC] interface vlan-interface 2
[AC-Vlan-interface2] ipv6 address 2::1 64
[AC-Vlan-interface2] quit
[AC] interface vlan-interface 3
[AC-Vlan-interface3] ipv6 address 1::1 64
[AC-Vlan-interface3] undo ipv6 nd ra halt
[AC-Vlan-interface3] ipv6 nd autoconfig managed-address-flag
[AC-Vlan-interface3] ipv6 nd autoconfig other-flag
# 配置VLAN接口3工作在DHCPv6中繼模式,並指定DHCPv6服務器地址。
[AC-Vlan-interface3] ipv6 dhcp select relay
[AC-Vlan-interface3] ipv6 dhcp relay server-address 2::2
# 完成上述配置後,查看DHCPv6中繼上指定的DHCPv6服務器地址信息。
[AC-Vlan-interface3] display ipv6 dhcp relay server-address
Interface: Vlan-interface3
Server address Outgoing Interface
2::2
# 查看DHCPv6中繼相關報文的統計信息。
[AC-Vlan-interface3] display ipv6 dhcp relay statistics
Packets dropped : 0
Packets received : 14
Solicit : 0
Request : 0
Confirm : 0
Renew : 0
Rebind : 0
Release : 0
Decline : 0
Information-request : 7
Relay-forward : 0
Relay-reply : 7
Packets sent : 14
Advertise : 0
Reconfigure : 0
Reply : 7
Relay-forward : 7
Relay-reply : 0
設備作為DHCPv6客戶端時,可以具有如下功能:
· 通過DHCPv6獲取IPv6地址和網絡配置參數,IPv6地址作為開啟DHCPv6客戶端功能的接口地址,當設備開啟DHCPv6服務器功能後,獲取的網絡配置參數用來自動創建DHCPv6選項組。
· 通過DHCPv6獲取IPv6前綴和網絡配置參數,IPv6前綴作為本地設備的IPv6前綴(本地設備根據該前綴生成IPv6地址);當設備開啟DHCPv6服務器功能後,獲取的網絡配置參數用來自動創建DHCPv6選項組。
· 通過DHCPv6同時獲取IPv6地址、IPv6前綴和網絡配置參數,IPv6地址作為開啟DHCPv6客戶端功能的接口地址,IPv6前綴作為本地設備的IPv6前綴(本地設備根據該前綴生成IPv6地址);當設備開啟DHCPv6服務器功能後,獲取的網絡配置參數用來自動創建DHCPv6選項組。
· 通過DHCPv6無狀態配置獲取除IPv6地址/前綴外的其他網絡配置參數。DHCPv6客戶端通過地址無狀態自動配置功能成功獲取IPv6地址後,如果接收到的RA報文中M標誌位的取值為0、O標誌位的取值為1,則設備會自動啟動DHCPv6無狀態配置功能,以獲取除地址/前綴外的其他網絡配置參數。否則DHCPv6客戶端不會開啟無狀態配置過程。
建議不要在一個接口上同時配置DHCPv6客戶端和DHCPv6服務器功能,也不要在一個接口上同時配置DHCPv6客戶端和DHCPv6中繼功能,否則會影響功能正常使用。
DHCPv6客戶端配置任務如下:
(1) (可選)配置接口使用的DHCPv6客戶端DUID
(2) 配置DHCPv6客戶端獲取IPv6地址、IPv6前綴和網絡配置參數
請至少選擇以下一項任務進行配置:
¡ 配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數
¡ 配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數
(3) (可選)配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級
DHCPv6客戶端DUID用來填充DHCPv6報文的Option 1,作為識別DHCPv6客戶端的唯一標識。DHCPv6服務器可以根據DHCPv6客戶端DUID為特定的DHCPv6客戶端分配特定的IPv6地址。用戶可以通過三種方法指定DHCPv6客戶端DUID:ASCII字符串、十六進製數或接口的MAC地址。
用戶在指定客戶端ID時,需要確保不同客戶端的客戶端ID不能相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口使用的DHCPv6客戶端DUID。
ipv6 dhcp client duid { ascii ascii-string | hex hex-string | mac interface-type interface-number }
缺省情況下,根據設備的橋MAC地址生成DHCPv6客戶端DUID。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6地址和其他網絡配置參數。
ipv6 address dhcp-alloc [ option-group group-number | rapid-commit ] *
缺省情況下,接口不會作為DHCPv6客戶端獲取IPv6地址和網絡配置參數。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6前綴和其他網絡配置參數。
ipv6 dhcp client pd prefix-number [ option-group group-number | rapid-commit ]*
缺省情況下,接口不會作為DHCPv6客戶端獲取IPv6前綴和網絡配置參數。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口作為DHCPv6客戶端,通過DHCPv6方式同時獲取IPv6地址、IPv6前綴和其他網絡配置參數。
ipv6 dhcp client stateful prefix prefix-number [ option-group option-group-number | rapid-commit ] *
缺省情況下,接口不會作為DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數。
DHCPv6客戶端可通過如下方式獲取除地址/前綴外的其他網絡參數:
· 如果接口上隻配置了ipv6 address auto命令,則接口會通過無狀態自動配置方式生成全球單播地址,同時自動生成鏈路本地地址。隻有接收到的RA報文中M標誌位的取值為0、O標誌位的取值為1時,設備才會自動啟動DHCPv6無狀態配置功能。
· 如果接口隻配置了ipv6 dhcp client stateless enable命令,則接口開啟了DHCPv6客戶端功能,並從DHCPv6服務器獲取除地址/前綴外的其他網絡配置參數。
· 如果接口上同時配置了ipv6 address auto命令和ipv6 dhcp client stateless enable命令,則接口通過無狀態生成全球單播地址,同時自動生成鏈路本地地址,且直接從DHCPv6服務器獲取除地址/前綴外的其他網絡配置參數。
ipv6 address auto命令的詳細介紹請參見“網絡互通命令參考”中的“IPv6基礎”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟無狀態自動配置功能。請至少選擇其中一項進行配置。
¡ 開啟IPv6地址無狀態自動配置功能。
ipv6 address auto
¡ 開啟DHCPv6客戶端無狀態配置功能。
ipv6 dhcp client stateless enable
缺省情況下,接口不會作為DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6客戶端發送的DHCPv6報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DHCPv6客戶端發送的DHCPv6報文的DSCP優先級。
ipv6 dhcp client dscp dscp-value
缺省情況下,DHCPv6客戶端發送的DHCPv6報文的DSCP優先級為56。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6客戶端的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6客戶端的統計信息。
表4-1 DHCPv6客戶端顯示和維護
|
操作 |
命令 |
|
顯示DHCPv6客戶端的信息 |
display ipv6 dhcp client [ interface interface-type interface-number ] |
|
顯示DHCPv6客戶端的統計信息 |
display ipv6 dhcp client statistics [ interface interface-type interface-number ] |
|
清除DHCPv6客戶端的統計信息 |
reset ipv6 dhcp client statistics [ interface interface-type interface-number ] |
DHCPv6 Snooping是DHCPv6的一種安全特性,用來保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴,並可以記錄DHCPv6客戶端IPv6地址或IPv6前綴與MAC地址的對應關係。
網絡中如果存在私自架設的非法DHCPv6服務器,則可能導致DHCPv6客戶端獲取錯誤的IPv6地址和網絡配置參數,從而無法正常通信。為了使DHCPv6客戶端能通過合法的DHCPv6服務器獲取IPv6地址,DHCPv6 Snooping安全機製允許將端口設置為信任端口和不信任端口:
· 信任端口正常轉發接收到的DHCPv6報文。
· 不信任端口接收到DHCPv6服務器發送的應答報文後,丟棄該報文。
如圖5-1所示,在DHCPv6 Snooping設備上指向DHCPv6服務器方向的端口需要設置為信任端口,其他端口設置為不信任端口,從而保證DHCPv6客戶端隻能從合法的DHCPv6服務器獲取地址,私自架設的非法DHCPv6服務器無法為DHCPv6客戶端分配地址。
DHCPv6 Snooping通過監聽DHCPv6報文,記錄DHCPv6 Snooping表項,其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。網絡管理員可以通過display ipv6 dhcp snooping binding命令查看客戶端獲取的IPv6地址信息,以便了解用戶上網時所用的IPv6地址,並對其進行管理和監控。
設備隻有位於DHCPv6客戶端與DHCPv6服務器之間,或DHCPv6客戶端與DHCPv6中繼之間時,DHCPv6 Snooping功能配置後才能正常工作;設備位於DHCPv6服務器與DHCPv6中繼之間時,DHCPv6 Snooping功能配置後不能正常工作。
DHCPv6 Snooping配置任務如下:
(2) (可選)配置DHCPv6 Snooping支持Option 18功能
(3) (可選)配置DHCPv6 Snooping支持Option 37功能
(4) (可選)配置DHCPv6 Snooping表項固化功能
(5) (可選)配置接口動態學習DHCPv6 Snooping表項的最大數目
(6) (可選)開啟DHCPv6 Snooping報文限速功能
(7) (可選)開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能
(8) (可選)開啟DHCPv6 Snooping報文阻斷功能
(9) (可選)開啟DHCPv6 Snooping日誌信息功能
· 為了使DHCPv6客戶端能從合法的DHCPv6服務器獲取IPv6地址,必須將與合法DHCPv6服務器相連的端口設置為信任端口,且設置的信任端口和與DHCPv6客戶端相連的端口必須在同一個VLAN內。
· 如果二層以太網接口加入了聚合組,則加入聚合組之前和加入聚合組之後在該接口上進行的DHCPv6 Snooping相關配置不會生效;該接口退出聚合組後,DHCPv6 Snooping的配置才會生效。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6 Snooping功能。
ipv6 dhcp snooping enable
缺省情況下,DHCPv6 Snooping功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
此接口為連接DHCPv6服務器的接口。
(3) 配置DHCPv6 Snooping信任端口。
ipv6 dhcp snooping trust
缺省情況下,開啟DHCPv6 Snooping功能後,設備的所有端口均為不信任端口。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
此接口為連接DHCPv6客戶端的接口。
(3) 開啟端口的DHCPv6 Snooping表項記錄功能。請至少選擇其中一項進行配置。
¡ 開啟端口的DHCPv6 Snooping地址表項記錄功能。
ipv6 dhcp snooping binding record
缺省情況下,端口的DHCPv6 Snooping地址表項記錄功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping支持Option 18功能。
ipv6 dhcp snooping option interface-id enable
缺省情況下,DHCPv6 Snooping支持Option 18功能處於關閉狀態。
(4) (可選)配置Option 18選項中的DUID。
ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id
缺省情況下,Option 18選項中的DUID為本設備的DUID。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping支持Option 37功能。
ipv6 dhcp snooping option remote-id enable
缺省情況下,DHCPv6 Snooping支持Option 37功能處於關閉狀態。
(4) (可選)配置Option 37選項中的DUID。
ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id
缺省情況下,Option 37選項中的DUID為本設備的DUID。
DHCPv6 Snooping設備重啟後,設備上記錄的DHCPv6 Snooping表項將丟失。如果DHCPv6 Snooping與其他特性(如IP Source Guard)配合使用,表項丟失會導致安全特性無法通過DHCPv6 Snooping獲取到相應的表項,進而導致DHCPv6客戶端不能順利通過安全檢查、正常訪問網絡。
DHCPv6 Snooping表項備份功能將DHCPv6 Snooping表項保存到指定的文件中,DHCPv6 Snooping設備重啟後,自動根據該文件恢複DHCPv6 Snooping表項,從而保證DHCPv6 Snooping表項不會丟失。
· 執行undo ipv6 dhcp snooping enable命令關閉DHCPv6 Snooping功能後,設備會刪除所有DHCPv6 Snooping表項,文件中存儲的DHCPv6 Snooping表項也將被刪除。
· 執行ipv6 dhcp snooping binding database filename命令後,會立即觸發一次表項備份。
¡ 如果未配置ipv6 dhcp snooping binding database update interval命令,若表項發生變化,默認在300秒之後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件。
¡ 如果配置了ipv6 dhcp snooping binding database update interval命令,若表項發生變化,則到達刷新時間間隔後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件。
(1) 進入係統視圖。
system-view
(2) 指定存儲DHCPv6 Snooping表項的文件名稱。
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情況下,未指定存儲文件名稱。
(3) (可選)將當前的DHCPv6 Snooping表項保存到用戶指定的文件中。
ipv6 dhcp snooping binding database update now
本命令隻用來觸發一次DHCPv6 Snooping表項的備份。
(4) (可選)配置刷新DHCPv6 Snooping表項存儲文件的延遲時間。
ipv6 dhcp snooping binding database update interval interval
缺省情況下,若DHCPv6 Snooping表項不變化,則不刷新存儲文件;若DHCPv6 Snooping表項發生變化,默認在300秒之後刷新存儲文件。
通過本配置可以限製接口動態學習DHCPv6 Snooping表項的最大數目,以防止接口學習到大量DHCPv6 Snooping表項,占用過多的係統資源。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口動態學習DHCPv6 Snooping表項的最大數目。
ipv6 dhcp snooping max-learning-num max-number
缺省情況下,不限製接口動態學習DHCPv6 Snooping表項的數目。
為了避免非法用戶發送大量的DHCPv6報文,對網絡造成攻擊,DHCPv6 Snooping支持報文限速功能,限製接口接收DHCPv6報文的速率。當接口接收的DHCPv6報文速率超過限製的最高速率時,DHCPv6 Snooping設備將丟棄超過速率限製的報文。
如果二層以太網接口加入了聚合組,則該接口采用對應二層聚合接口下的DHCPv6 Snooping的報文限速配置。如果二層以太網接口離開聚合組,則該接口采用二層以太網接口下的DHCPv6 Snooping的報文限速配置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping的報文限速功能。
ipv6 dhcp snooping rate-limit rate
缺省情況下,DHCPv6 Snooping的報文限速功能處於關閉狀態,即不限製接口接收DHCPv6報文的速率。
本功能用來檢查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三種DHCPv6請求方向的報文,以防止非法客戶端偽造這三種報文對DHCPv6服務器進行攻擊。
偽造DHCPv6-Renew報文攻擊是指攻擊者冒充合法的DHCPv6客戶端,向DHCPv6服務器發送偽造的DHCPv6-Renew報文,導致DHCPv6服務器和DHCPv6客戶端無法按照自己的意願及時釋放IPv6地址租約。如果攻擊者冒充不同的DHCPv6客戶端發送大量偽造的DHCPv6-Renew報文,則會導致大量IPv6地址被長時間占用,DHCPv6服務器沒有足夠的地址分配給新的DHCPv6客戶端。
偽造DHCPv6-Decline/DHCPv6-Release報文攻擊是指攻擊者冒充合法的DHCPv6客戶端,向DHCPv6服務器發送偽造的DHCPv6-Decline/DHCPv6-Release報文,導致DHCPv6服務器錯誤終止IPv6地址租約。
在DHCPv6 Snooping設備上開啟DHCPv6請求方向報文檢查功能,可以有效地防止偽造DHCPv6請求方向報文攻擊。如果開啟了該功能,則DHCPv6 Snooping設備接收到上述報文後,檢查本地是否存在與請求方向報文匹配的DHCPv6 Snooping表項。若存在,則接收報文信息與DHCPv6 Snooping表項信息一致時,認為該報文為合法的DHCPv6請求方向報文,將其轉發給DHCPv6服務器;不一致時,認為該報文為偽造的DHCPv6請求方向報文,將其丟棄。若不存在,則認為該報文合法,將其轉發給DHCPv6服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能。
ipv6 dhcp snooping check request-message
缺省情況下,DHCPv6 Snooping的DHCPv6請求方向報文檢查功能處於關閉狀態。
在某些組網環境下,用戶需要在DHCPv6 Snooping設備的某一端口上丟棄該端口收到的所有DHCPv6請求方向報文,而又不影響其他端口正常接收DHCPv6報文。這時,用戶可以在該端口上開啟DHCP Snooping報文阻斷功能。
當端口上開啟了DHCPv6 Snooping報文阻斷功能後,該端口收到的所有DHCPv6請求方向的報文都將被丟棄。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping報文阻斷功能。
ipv6 dhcp snooping deny
缺省情況下,端口的DHCPv6 Snooping報文阻斷功能處於關閉狀態。
DHCPv6 Snooping日誌可以方便管理員定位問題和解決問題。DHCPv6 Snooping設備生成DHCPv6 Snooping日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。
當DHCPv6 Snooping設備輸出大量日誌信息時,可能會降低設備性能。為了避免該情況的發生,用戶可以關閉DHCPv6 Snooping日誌信息功能,使得DHCPv6 Snooping設備不再輸出日誌信息。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6 Snooping日誌信息功能。
ipv6 dhcp snooping log enable
缺省情況下,DHCPv6 Snooping日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示DHCPv6 Snooping的配置情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6 Snooping表項信息。
由於WX1800H係列、WX2500H係列、MAK係列和WX3000H係列無線控製器不支持IRF功能,因此不支持IRF模式的命令行配置。
表5-1 DHCPv6 Snooping顯示和維護
|
操作 |
命令 |
|
顯示DHCPv6 Snooping表項信息 |
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ] |
|
顯示DHCPv6 Snooping表項備份信息 |
display ipv6 dhcp snooping binding database |
|
顯示DHCPv6 Snooping設備上的DHCPv6報文統計信息 |
(獨立運行模式) display ipv6 dhcp snooping packet statistics (IRF模式) display ipv6 dhcp snooping packet statistics [ slot slot-number ] |
|
顯示DHCPv6 Snooping信任端口信息 |
display ipv6 dhcp snooping trust |
|
清除DHCPv6 Snooping表項信息 |
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] } |
|
清除DHCPv6 Snooping設備上的DHCPv6報文統計信息 |
(獨立運行模式) reset ipv6 dhcp snooping packet statistics (IRF模式) reset ipv6 dhcp snooping packet statistics [ slot slot-number ] |
AC通過以太網端口GigabitEthernet1/0/1連接到DHCPv6服務器,通過GigabitEthernet1/0/2連接到AP。要求:
· 與DHCPv6服務器相連的端口可以轉發DHCPv6服務器的響應報文,而其他端口不轉發DHCPv6服務器的響應報文。
· 記錄DHCPv6客戶端IPv6地址及MAC地址的綁定關係。
圖5-2 DHCPv6 Snooping組網示意圖
# 配置AC基本功能(詳細介紹請參見“WLAN接入配置指導”)(略)。
# 開啟DHCPv6 Snooping功能。
<AC> system-view
[AC] ipv6 dhcp snooping enable
# 配置GigabitEthernet1/0/1端口為信任端口。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[AC-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上開啟安全表項功能。
[AC]interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record
[AC-GigabitEthernet1/0/2] quit
配置完成後,DHCPv6客戶端隻能夠從DHCPv6服務器獲取IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表項。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
