目  錄

1 DHCPv6 Snooping

1.1 DHCPv6 Snooping簡介

1.1.1 保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴

1.1.2 記錄DHCPv6客戶端IPv6地址與MAC地址的對應關係

1.1.3 記錄DHCPv6客戶端IPv6前綴與端口的對應關係

1.2 DHCPv6 snooping配置限製和指導

1.3 DHCPv6 Snooping配置任務簡介

1.4 配置DHCPv6 Snooping基本功能

1.4.1 在普通組網中配置DHCPv6 Snooping基本功能

1.5 配置DHCPv6 Snooping支持Option 18功能

1.6 配置DHCPv6 Snooping支持Option 37功能

1.7 配置DHCPv6 Snooping表項固化功能

1.8 配置接口動態學習DHCPv6 Snooping表項的最大數目

1.9 開啟DHCPv6 Snooping報文限速功能

1.10 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能

1.11 開啟DHCPv6 Snooping報文阻斷功能

1.12 開啟DHCPv6 Snooping日誌信息功能

1.13 DHCPv6 Snooping顯示和維護

1.13.1 顯示DHCPv6 Snooping的信任端口信息

1.13.2 顯示和清除DHCPv6 Snooping表項信息

1.13.3 顯示和清除DHCPv6 Snooping的DHCPv6報文統計信息

1.14 DHCPv6 Snooping典型配置舉例

1.14.1 DHCPv6 Snooping基本組網配置舉例

1 DHCPv6 Snooping

1.1  DHCPv6 Snooping簡介

DHCPv6 Snooping是DHCPv6的一種安全特性，用來保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴，並可以記錄DHCPv6客戶端IPv6地址或IPv6前綴與MAC地址的對應關係。

1.1.1  保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴

網絡中如果存在私自架設的非法DHCPv6服務器，則可能導致DHCPv6客戶端獲取錯誤的IPv6地址和網絡配置參數，從而無法正常通信。為了使DHCPv6客戶端能通過合法的DHCPv6服務器獲取IPv6地址，DHCPv6 Snooping安全機製允許將端口設置為信任端口和不信任端口：

·     信任端口正常轉發接收到的DHCPv6報文。

·     不信任端口接收到DHCPv6服務器發送的應答報文後，丟棄該報文。

圖1-1 信任端口和非信任端口

如圖1-1所示，在DHCPv6 Snooping設備上指向DHCPv6服務器方向的端口需要設置為信任端口，其他端口設置為不信任端口，從而保證DHCPv6客戶端隻能從合法的DHCPv6服務器獲取地址，私自架設的非法DHCPv6服務器無法為DHCPv6客戶端分配地址。

1.1.2  記錄DHCPv6客戶端IPv6地址與MAC地址的對應關係

DHCPv6 Snooping通過監聽DHCPv6報文，記錄DHCPv6 Snooping表項，其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。網絡管理員可以通過display ipv6 dhcp snooping binding命令查看客戶端獲取的IPv6地址信息，以便了解用戶上網時所用的IPv6地址，並對其進行管理和監控。

1.1.3  記錄DHCPv6客戶端IPv6前綴與端口的對應關係

DHCPv6 Snooping通過監聽DHCPv6報文中的前綴和收到DHCPv6請求報文的端口信息，記錄DHCPv6 Snooping前綴表項，其中包括客戶端獲取到的IPv6前綴、租約信息、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。網絡管理員可以通過display ipv6 dhcp snooping pd binding命令查看客戶端獲取的IPv6前綴信息，以便了解用戶上網時所用的IPv6前綴，並對其進行管理和監控。

1.2  DHCPv6 snooping配置限製和指導

設備隻有位於DHCPv6客戶端與DHCPv6服務器之間，或DHCPv6客戶端與DHCPv6中繼之間時，DHCPv6 Snooping功能配置後才能正常工作；設備位於DHCPv6服務器與DHCPv6中繼之間時，DHCPv6 Snooping功能配置後不能正常工作。

1.3  DHCPv6 Snooping配置任務簡介

DHCPv6 Snooping配置任務如下：

(1)     配置DHCPv6 Snooping基本功能

(2)     （可選）配置DHCPv6 Snooping支持Option 18功能

(3)     （可選）配置DHCPv6 Snooping支持Option 37功能

(4)     （可選）配置DHCPv6 Snooping表項固化功能

(5)     （可選）配置接口動態學習DHCPv6 Snooping表項的最大數目

(6)     （可選）開啟DHCPv6 Snooping報文限速功能

(7)     （可選）開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能

(8)     （可選）開啟DHCPv6 Snooping報文阻斷功能

(9)     （可選）開啟DHCPv6 Snooping日誌信息功能

1.4  配置DHCPv6 Snooping基本功能

1.4.1  在普通組網中配置DHCPv6 Snooping基本功能

1. 配置限製和指導

·     為了使DHCPv6客戶端能從合法的DHCPv6服務器獲取IPv6地址，必須將與合法DHCPv6服務器相連的端口設置為信任端口，且設置的信任端口和與DHCPv6客戶端相連的端口必須在同一個VLAN內。

·     如果二層以太網接口加入了聚合組，則加入聚合組之前和加入聚合組之後在該接口上進行的DHCPv6 Snooping相關配置不會生效；該接口退出聚合組後，DHCPv6 Snooping的配置才會生效。

2. 開啟DHCPv6 Snooping功能

(1)     進入係統視圖。

system-view

(2)     開啟DHCPv6 Snooping功能。

ipv6 dhcp snooping enable

缺省情況下，DHCPv6 Snooping功能處於關閉狀態。

3. 配置DHCPv6 Snooping信任端口

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

此接口為連接DHCPv6服務器的接口。

(3)     配置DHCPv6 Snooping信任端口。

ipv6 dhcp snooping trust

缺省情況下，開啟DHCPv6 Snooping功能後，設備的所有端口均為不信任端口。

4. 開啟端口的DHCPv6 Snooping表項記錄功能

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

此接口為連接DHCPv6客戶端的接口。

(3)     開啟端口的DHCPv6 Snooping表項記錄功能。請至少選擇其中一項進行配置。

¡     開啟端口的DHCPv6 Snooping地址表項記錄功能。

ipv6 dhcp snooping binding record

缺省情況下，端口的DHCPv6 Snooping地址表項記錄功能處於關閉狀態。

¡     開啟端口的DHCPv6 Snooping前綴表項記錄功能。

ipv6 dhcp snooping pd binding record

缺省情況下，端口的DHCPv6 Snooping前綴表項記錄功能處於關閉狀態。

1.5  配置DHCPv6 Snooping支持Option 18功能

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     開啟DHCPv6 Snooping支持Option 18功能。

ipv6 dhcp snooping option interface-id enable

缺省情況下，DHCPv6 Snooping支持Option 18功能處於關閉狀態。

(4)     （可選）配置Option 18選項中的DUID。

ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id

缺省情況下，Option 18選項中的DUID為本設備的DUID。

1.6  配置DHCPv6 Snooping支持Option 37功能

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     開啟DHCPv6 Snooping支持Option 37功能。

ipv6 dhcp snooping option remote-id enable

缺省情況下，DHCPv6 Snooping支持Option 37功能處於關閉狀態。

(4)     （可選）配置Option 37選項中的DUID。

ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id

缺省情況下，Option 37選項中的DUID為本設備的DUID。

1.7  配置DHCPv6 Snooping表項固化功能

1. 功能簡介

DHCPv6 Snooping設備重啟後，設備上記錄的DHCPv6 Snooping表項將丟失。如果DHCPv6 Snooping與其他特性（如IP Source Guard）配合使用，表項丟失會導致安全特性無法通過DHCPv6 Snooping獲取到相應的表項，進而導致DHCPv6客戶端不能順利通過安全檢查、正常訪問網絡。

DHCPv6 Snooping表項備份功能將DHCPv6 Snooping表項保存到指定的文件中，DHCPv6 Snooping設備重啟後，自動根據該文件恢複DHCPv6 Snooping表項，從而保證DHCPv6 Snooping表項不會丟失。

2. 配置限製和指導

·     執行undo ipv6 dhcp snooping enable命令關閉DHCPv6 Snooping功能後，設備會刪除所有DHCPv6 Snooping表項，文件中存儲的DHCPv6 Snooping表項也將被刪除。

·     執行ipv6 dhcp snooping binding database filename命令後，會立即觸發一次表項備份。

¡     如果未配置ipv6 dhcp snooping binding database update interval命令，若表項發生變化，默認在300秒之後刷新存儲文件；若表項未發生變化，則不再刷新存儲文件。

¡     如果配置了ipv6 dhcp snooping binding database update interval命令，若表項發生變化，則到達刷新時間間隔後刷新存儲文件；若表項未發生變化，則不再刷新存儲文件。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     指定存儲DHCPv6 Snooping表項的文件名稱。

ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }

缺省情況下，未指定存儲文件名稱。

(3)     （可選）將當前的DHCPv6 Snooping表項保存到用戶指定的文件中。

ipv6 dhcp snooping binding database update now

本命令隻用來觸發一次DHCPv6 Snooping表項的備份。

(4)     （可選）配置刷新DHCPv6 Snooping表項存儲文件的延遲時間。

ipv6 dhcp snooping binding database update interval interval

缺省情況下，若DHCPv6 Snooping表項不變化，則不刷新存儲文件；若DHCPv6 Snooping表項發生變化，默認在300秒之後刷新存儲文件。

1.8  配置接口動態學習DHCPv6 Snooping表項的最大數目

1. 功能簡介

通過本配置可以限製接口動態學習DHCPv6 Snooping表項的最大數目，以防止接口學習到大量DHCPv6 Snooping表項，占用過多的係統資源。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     配置接口動態學習DHCPv6 Snooping表項的最大數目。

ipv6 dhcp snooping max-learning-num max-number

缺省情況下，不限製接口動態學習DHCPv6 Snooping表項的數目。

1.9  開啟DHCPv6 Snooping報文限速功能

1. 功能簡介

為了避免非法用戶發送大量的DHCPv6報文，對網絡造成攻擊，DHCPv6 Snooping支持報文限速功能，限製接口接收DHCPv6報文的速率。當接口接收的DHCPv6報文速率超過限製的最高速率時，DHCPv6 Snooping設備將丟棄超過速率限製的報文。

2. 配置限製和指導

如果二層以太網接口加入了聚合組，則該接口采用對應二層聚合接口下的DHCPv6 Snooping的報文限速配置。如果二層以太網接口離開聚合組，則該接口采用二層以太網接口下的DHCPv6 Snooping的報文限速配置。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     開啟DHCPv6 Snooping的報文限速功能。

ipv6 dhcp snooping rate-limit rate

缺省情況下，DHCPv6 Snooping的報文限速功能處於關閉狀態，即不限製接口接收DHCPv6報文的速率。

1.10  開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能

1. 功能簡介

本功能用來檢查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三種DHCPv6請求方向的報文，以防止非法客戶端偽造這三種報文對DHCPv6服務器進行攻擊。

偽造DHCPv6-Renew報文攻擊是指攻擊者冒充合法的DHCPv6客戶端，向DHCPv6服務器發送偽造的DHCPv6-Renew報文，導致DHCPv6服務器和DHCPv6客戶端無法按照自己的意願及時釋放IPv6地址租約。如果攻擊者冒充不同的DHCPv6客戶端發送大量偽造的DHCPv6-Renew報文，則會導致大量IPv6地址被長時間占用，DHCPv6服務器沒有足夠的地址分配給新的DHCPv6客戶端。

偽造DHCPv6-Decline/DHCPv6-Release報文攻擊是指攻擊者冒充合法的DHCPv6客戶端，向DHCPv6服務器發送偽造的DHCPv6-Decline/DHCPv6-Release報文，導致DHCPv6服務器錯誤終止IPv6地址租約。

在DHCPv6 Snooping設備上開啟DHCPv6請求方向報文檢查功能，可以有效地防止偽造DHCPv6請求方向報文攻擊。如果開啟了該功能，則DHCPv6 Snooping設備接收到上述報文後，檢查本地是否存在與請求方向報文匹配的DHCPv6 Snooping表項。若存在，則接收報文信息與DHCPv6 Snooping表項信息一致時，認為該報文為合法的DHCPv6請求方向報文，將其轉發給DHCPv6服務器；不一致時，認為該報文為偽造的DHCPv6請求方向報文，將其丟棄。若不存在，則認為該報文合法，將其轉發給DHCPv6服務器。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能。

ipv6 dhcp snooping check request-message

缺省情況下，DHCPv6 Snooping的DHCPv6請求方向報文檢查功能處於關閉狀態。

1.11  開啟DHCPv6 Snooping報文阻斷功能

1. 功能簡介

在某些組網環境下，用戶需要在DHCPv6 Snooping設備的某一端口上丟棄該端口收到的所有DHCPv6請求方向報文，而又不影響其他端口正常接收DHCPv6報文。這時，用戶可以在該端口上開啟DHCP Snooping報文阻斷功能。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     開啟DHCPv6 Snooping報文阻斷功能。

ipv6 dhcp snooping deny

缺省情況下，端口的DHCPv6 Snooping報文阻斷功能處於關閉狀態。

1.12  開啟DHCPv6 Snooping日誌信息功能

1. 功能簡介

DHCPv6 Snooping日誌可以方便管理員定位問題和解決問題。DHCPv6 Snooping設備生成DHCPv6 Snooping日誌信息會交給信息中心模塊處理，信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“設備管理配置指導”中的“信息中心”。

2. 配置限製和指導

當DHCPv6 Snooping設備輸出大量日誌信息時，可能會降低設備性能。為了避免該情況的發生，用戶可以關閉DHCPv6 Snooping日誌信息功能，使得DHCPv6 Snooping設備不再輸出日誌信息。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     開啟DHCPv6 Snooping日誌信息功能。

ipv6 dhcp snooping log enable

缺省情況下，DHCPv6 Snooping日誌信息功能處於關閉狀態。

1.13  DHCPv6 Snooping顯示和維護

1.13.1  顯示DHCPv6 Snooping的信任端口信息

可在任意視圖下執行以下命令，顯示DHCPv6 Snooping信任端口信息。

display ipv6 dhcp snooping trust

1.13.2  顯示和清除DHCPv6 Snooping表項信息

可在任意視圖下執行以下命令：

·     顯示DHCPv6 Snooping地址表項信息。

display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ]

·     顯示DHCPv6 Snooping前綴表項信息。

display ipv6 dhcp snooping pd binding [ prefix prefix/prefix-length [ vlan vlan-id ] ]

·     顯示DHCPv6 Snooping表項備份信息。

display ipv6 dhcp snooping binding database

請在用戶視圖下執行以下命令：

·     清除DHCPv6 Snooping地址表項信息。

reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }

·     清除DHCPv6 Snooping前綴表項信息。

reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }

1.13.3  顯示和清除DHCPv6 Snooping的DHCPv6報文統計信息

可在任意視圖下執行以下命令，顯示DHCPv6 Snooping設備上的DHCPv6報文統計信息。

display ipv6 dhcp snooping packet statistics [ slot slot-number ]

請在用戶視圖下執行以下命令，清除DHCPv6 Snooping設備上的DHCPv6報文統計信息。

reset ipv6 dhcp snooping packet statistics [ slot slot-number ]

1.14  DHCPv6 Snooping典型配置舉例

1.14.1  DHCPv6 Snooping基本組網配置舉例

1. 組網需求

Device B通過以太網端口HundredGigE1/0/1連接到合法DHCPv6服務器，通過以太網端口HundredGigE1/0/3連接到非法服務器，通過HundredGigE1/0/2連接到DHCPv6客戶端。要求：

·     與合法DHCPv6服務器相連的端口可以轉發DHCPv6服務器的響應報文，而其他端口不轉發DHCPv6服務器的響應報文。

·     記錄DHCPv6客戶端IPv6地址及MAC地址的綁定關係。

2. 組網圖

圖1-2 DHCPv6 Snooping組網示意圖

‌

3. 配置步驟

# 開啟DHCPv6 Snooping功能。

<DeviceB> system-view

[DeviceB] ipv6 dhcp snooping enable

 # 配置HundredGigE1/0/1端口為信任端口。

[DeviceB] interface hundredgige 1/0/1

[DeviceB-HundredGigE1/0/1] ipv6 dhcp snooping trust

[DeviceB-HundredGigE1/0/1] quit

# 在HundredGigE1/0/2上開啟安全表項功能。

[DeviceB]interface hundredgige 1/0/2

[DeviceB-HundredGigE1/0/2] ipv6 dhcp snooping binding record

[DeviceB-HundredGigE1/0/2] quit

4. 驗證配置

配置完成後，DHCPv6客戶端隻能夠從合法DHCPv6服務器獲取IPv6地址和其他配置信息，非法DHCPv6服務器無法為DHCPv6客戶端分配IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表項。