- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
14-DHCPv6配置
本章節下載: 14-DHCPv6配置 (1.18 MB)
目 錄
2.2.5 配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配策略
2.2.6 配置DHCPv6策略動態分配IPv6地址、前綴和其他參數
2.2.7 配置DHCPv6服務器發送DHCPv6報文的DSCP優先級
2.2.12 指定DHCPv6服務器上的地址池所在的VPN信息
2.2.13 開啟DHCPv6服務器記錄的地址租約表項轉化為IP Source Guard動態表項的功能
2.2.16 配置當IPv6地址池可分配的資源耗盡或資源恢複時,係統生成日誌信息
3.3.3 配置DHCPv6中繼為DHCPv6客戶端分配的網關地址
3.3.5 通過smart-relay功能指定DHCPv6報文中填充的中繼地址
3.3.6 配置DHCPv6中繼發送DHCPv6報文的DSCP優先級
3.3.7 配置DHCPv6中繼支持的interface-id選項填充模式
3.3.8 開啟DHCPv6中繼支持添加Option 37選項功能
3.3.9 開啟DHCPv6中繼支持添加Option 79選項功能
3.3.14 配置清除用戶表項時通知DHCPv6服務器釋放租約
3.3.16 開啟DHCPv6中繼對Confirm請求報文的Reply報文的檢查功能
3.3.17 配置DHCPv6中繼支持按照MAC地址表轉發DHCPv6應答報文
4.2.3 配置DHCPv6客戶端獲取IPv6地址和網絡配置參數
4.2.4 配置DHCPv6客戶端獲取IPv6前綴和網絡配置參數
4.2.5 配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數
4.2.6 配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數
4.2.7 配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級
4.4.3 DHCPv6客戶端同時申請地址、前綴及網絡參數配置舉例
5.4 配置DHCPv6 Snooping支持Option 18和Option 37功能
5.6 配置接口動態學習DHCPv6 Snooping表項的最大數目
5.8 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能
5.10 開啟DHCPv6 Snooping的輕量級DHCPv6中繼功能
5.11 開啟DHCPv6 Snooping的Relay-Forward報文檢查功能
5.12 開啟DHCPv6 Snooping的用戶下線探測功能
5.14 開啟DHCPv6 Snooping報文丟棄告警功能
5.18 按VLAN開啟DHCPv6 Snooping配置舉例
DHCPv6(Dynamic Host Configuration Protocol for IPv6,支持IPv6的動態主機配置協議)是針對IPv6編址方案設計的,為主機分配IPv6前綴、IPv6地址和其他網絡配置參數的協議。
與其他IPv6地址分配方式(包括手工配置、通過路由器公告消息中的網絡前綴無狀態自動配置等,關於這兩種形式的配置,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”)相比,DHCPv6具有以下優點:
· 更好地控製地址的分配。通過DHCPv6不僅可以記錄為主機分配的地址,還可以為特定主機分配特定的地址,以便於網絡管理。
· 為客戶端分配前綴,以便於全網絡的自動配置和管理。
· 除了IPv6前綴、IPv6地址外,還可以為主機分配DNS服務器、域名後綴等網絡配置參數。
DHCPv6服務器為客戶端分配地址/前綴的過程分為兩類:
· 交互兩個消息的快速分配過程
· 交互四個消息的分配過程
圖1-1 地址/前綴快速分配過程
如圖1-1所示,地址/前綴快速分配過程為:
(2) DHCPv6客戶端在向DHCPv6服務器發送的Solicit消息中攜帶Rapid Commit選項,標識客戶端希望服務器能夠快速為其分配地址/前綴和其他網絡配置參數。
(3) 如果DHCPv6服務器支持快速分配過程,則直接返回Reply消息,為客戶端分配IPv6地址/前綴和其他網絡配置參數。如果DHCPv6服務器不支持快速分配過程,則采用“1.2.2 交互四個消息的分配過程”為客戶端分配IPv6地址/前綴和其他網絡配置參數。
交互四個消息的分配過程如圖1-2所示。
交互四個消息分配過程的簡述如表1-1。
|
步驟 |
發送的消息 |
說明 |
|
(1) |
Solicit |
DHCPv6客戶端發送該消息,請求DHCPv6服務器為其分配IPv6地址/前綴和網絡配置參數 |
|
(2) |
Advertise |
如果Solicit消息中沒有攜帶Rapid Commit選項,或Solicit消息中攜帶Rapid Commit選項,但服務器不支持快速分配過程,則DHCPv6服務器回複該消息,通知客戶端可以為其分配的地址/前綴和網絡配置參數 |
|
(3) |
Request |
如果DHCPv6客戶端接收到多個服務器回複的Advertise消息,則根據消息接收的先後順序、服務器優先級等,選擇其中一台服務器,並向該服務器發送Request消息,請求服務器確認為其分配地址/前綴和網絡配置參數 |
|
(4) |
Reply |
DHCPv6服務器回複該消息,確認將地址/前綴和網絡配置參數分配給客戶端使用 |
DHCPv6服務器分配給客戶端的IPv6地址/前綴具有一定的租借期限,該租借期限稱為租約。租借期限由有效生命期決定。地址/前綴的租借時間到達有效生命期後,DHCPv6客戶端不能再使用該地址/前綴。在有效生命期到達之前,如果DHCPv6客戶端希望繼續使用該地址/前綴,則需要申請延長地址/前綴租約。
圖1-3 通過Renew更新地址/前綴租約
如圖1-3所示,地址/前綴租借時間到達時間T1(推薦值為首選生命期的一半)時,DHCPv6客戶端會向為它分配地址/前綴的DHCPv6服務器發送Renew報文,以進行地址/前綴租約的更新。如果客戶端可以繼續使用該地址/前綴,則DHCPv6服務器回應續約成功的Reply報文,通知DHCPv6客戶端已經成功更新地址/前綴租約;如果該地址/前綴不可以再分配給該客戶端,則DHCPv6服務器回應續約失敗的Reply報文,通知客戶端不能獲得新的租約。
圖1-4 通過Rebind更新地址/前綴租約
如圖1-4所示,如果在T1時發送Renew請求更新租約,但是未收到DHCPv6服務器的回應報文,則DHCPv6客戶端會在T2(推薦值為首選生命期的0.8倍)時,向所有DHCPv6服務器組播發送Rebind報文請求更新租約。如果客戶端可以繼續使用該地址/前綴,則DHCPv6服務器回應續約成功的Reply報文,通知DHCPv6客戶端已經成功更新地址/前綴租約;如果該地址/前綴不可以再分配給該客戶端,則DHCPv6服務器回應續約失敗的Reply報文,通知客戶端不能獲得新的租約;如果DHCPv6客戶端未收到服務器的應答報文,則到達有效生命期後,客戶端停止使用該地址/前綴。有效生命期和首選生命期的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
DHCPv6服務器可以為已經具有IPv6地址/前綴的客戶端分配其他網絡配置參數,該過程稱為DHCPv6無狀態配置。地址無狀態自動配置是指節點根據路由器發現/前綴發現所獲取的信息,自動配置IPv6地址。詳細介紹請參見“三層技術-IP業務配置指導”的“IPv6基礎”。
DHCPv6客戶端通過地址無狀態自動配置功能成功獲取IPv6地址後,如果接收到的RA(Router Advertisement,路由器通告)報文中M標誌位(Managed address configuration flag,被管理地址配置標誌位)取值為0、O標誌位(Other stateful configuration flag,其他配置標誌位)取值為1,則DHCPv6客戶端會自動啟動DHCPv6無狀態配置功能,以獲取除地址/前綴外的其他網絡配置參數。
圖1-5 DHCPv6無狀態配置工作過程
如圖1-5所示,DHCPv6無狀態配置的具體過程為:
(1) 客戶端以組播的方式向DHCPv6服務器發送Information-request報文,該報文中攜帶Option Request選項,指定客戶端需要從服務器獲取的配置參數。
(2) 服務器收到Information-request報文後,為客戶端分配網絡配置參數,並單播發送Reply報文將網絡配置參數返回給客戶端。
(3) 客戶端檢查Reply報文中提供的信息,如果與Information-request報文中請求的配置參數相符,則按照Reply報文中提供的參數進行網絡配置;否則,忽略該參數。如果接收到多個與請求相符的Reply報文,客戶端將選擇最先收到的Reply報文,並根據該報文中提供的參數完成客戶端無狀態配置。
Option 18稱為接口ID選項(Interface ID),設備接收到DHCPv6客戶端發送的DHCPv6請求報文後,在該報文中添加Option 18選項,並轉發給DHCPv6服務器。服務器可根據Option 18選項中的客戶端信息選擇合適的地址池為DHCPv6客戶端分配IPv6地址。圖1-6為Option 18選項格式。
圖1-6 Option 18選項格式
各字段的解釋如下:
· Option code:Option編號,取值為18。
· Option length:Option字段長度。
· Port index:DHCPv6設備收到客戶端請求報文的端口索引。
· VLAN ID:第一層VLAN信息。
· Second VLAN ID:第二層VLAN信息。選項格式中的Second VLAN ID字段為可選,如果DHCPv6報文中不含有Second VLAN,則Option 18中也不包含Second VLAN ID內容。
· DUID:DHCPv6客戶端的DUID信息。
Option 37稱為遠程ID選項(Remote ID),設備接收到DHCPv6客戶端發送的DHCPv6請求報文後,在該報文中添加Option 37選項,並轉發給DHCPv6服務器。服務器可根據Option 37選項中的信息對DHCPv6客戶端定位,為分配IPv6地址提供幫助。圖1-7為Option 37選項格式。
圖1-7 Option 37選項格式
各字段的解釋如下:
· Option code:Option編號,取值為37。
· Option length:Option字段長度。
· Enterprise number:企業編號。
· Port index:DHCPv6設備收到客戶端請求報文的端口索引。
· VLAN ID:第一層VLAN信息。
· Second VLAN ID:第二層VLAN信息。選項格式中的Second VLAN ID字段為可選,如果DHCPv6報文中不含有Second VLAN,則Option 37中也不包含Second VLAN ID內容。
· DUID:係統的DUID信息。用戶可以使用ipv6 dhcp relay remote-id duid命令修改DUID信息。
Option 79稱為客戶端鏈路地址選項(Client link layer address)。DHCPv6請求報文經過第一個DHCPv6中繼時,該DHCPv6中繼會學習報文中的DHCPv6客戶端的MAC地址。DHCPv6中繼生成和請求報文對應的Relay-Forward報文時,會將學到的MAC地址添加到報文的Option 79選項中,再將該報文轉發給DHCPv6服務器。DHCPv6服務器可根據Option 79選項中的信息學習DHCPv6客戶端的MAC地址,為IPv6地址/IPv6前綴分配或客戶端合法性認證提供幫助。圖1-8為Option 79選項格式。
圖1-8 Option 79選項格式
各字段的解釋如下:
· Option code:Option編號,取值為79。
· Option length:Option字段長度。
· Link-layer type:客戶端鏈路層地址類型。
· Link-layer address:客戶端鏈路層地址。
與DHCPv6相關的協議規範有:
· RFC 3736:Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6
· RFC 3315:Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
· RFC 2462:IPv6 Stateless Address Autoconfiguration
· RFC 3633:IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6
· RFC 6939:Client Link-Layer Address Option in DHCPv6
DHCPv6服務器可以為客戶端分配IPv6地址/前綴和其他網絡配置參數。
圖2-1 DHCPv6服務器地址和其他網絡配置參數分配應用環境
如圖2-1所示,為了便於集中管理IPv6地址,簡化網絡配置,DHCPv6服務器可以用來為DHCPv6客戶端提供諸如IPv6地址、域名後綴、DNS服務器地址等網絡配置參數。DHCPv6客戶端根據服務器分配的參數來實現主機的配置。
DHCPv6服務器為客戶端分配的IPv6地址分為以下兩類:
· 臨時IPv6地址:在短期內經常變化且不用續約的地址;
· 非臨時IPv6地址:正常使用,可以進行續約的地址。
圖2-2 DHCPv6服務器前綴分配應用組網圖
如圖2-2所示,為了便於集中管理IPv6地址,簡化網絡配置,DHCPv6服務器可以用來為DHCPv6客戶端分配IPv6前綴。DHCPv6客戶端獲取到IPv6前綴後,向所在網絡組播發送包含該前綴信息的RA消息,以便網絡內的主機根據該前綴自動配置IPv6地址。
DHCPv6采用組播地址FF05::1:3來表示站點本地範圍內所有的DHCPv6服務器;采用組播地址FF02::1:2來表示鏈路本地範圍內所有的DHCPv6服務器和中繼。
DUID(DHCP Unique Identifier,DHCP唯一標識符)是一台DHCPv6設備(包括客戶端、服務器和中繼)的唯一標識。在DHCPv6報文交互過程中,DHCPv6客戶端、服務器和中繼通過在報文中添加DUID來標識自己。
目前,設備采用RFC 3315規定的DUID-LL(DUID Based on Link-layer Address,基於鏈路層地址的DUID)作為DHCPv6設備的標識。DUID-LL的結構如圖2-3所示:
· DUID type:DUID類型。設備支持的DUID類型為DUID-LL,取值為0x0003。
· Hardware type:硬件類型。設備支持的硬件類型為以太網,取值為0x0001。
· Link layer address:鏈路層地址。取值為設備的橋MAC地址。
IA(Identity Association,標識聯盟)用於管理分配給客戶端的一組地址和前綴等信息,通過IAID標識。一個客戶端可以有多個IA,如客戶端的每個接口擁有一個IA,IA用來管理該接口獲取的地址和前綴等信息。
IAID是IA的標識符,由客戶端選擇。在一個客戶端上不同IA的IAID不能相同。
PD(Prefix Delegation,前綴授權)是DHCPv6服務器為分配的前綴創建的前綴綁定信息,前綴綁定信息中記錄了IPv6前綴、客戶端DUID、IAID、有效時間、首選時間、租約過期時間、申請前綴的客戶端的IPv6地址等信息。
每個DHCPv6地址池都擁有一組可供分配的IPv6地址、IPv6前綴和網絡配置參數。DHCPv6服務器從地址池中為客戶端選擇並分配IPv6地址、IPv6前綴及其他參數。
DHCPv6地址池的地址管理方式有以下幾種:靜態綁定IPv6地址,即通過將客戶端DUID和IAID與IPv6地址綁定的方式,實現為特定的客戶端分配特定的IPv6地址;動態選擇IPv6地址,即在地址池中指定可供分配的IPv6地址範圍,當收到客戶端的IPv6地址申請時,從該地址範圍中動態選擇IPv6地址,分配給該客戶端。
在DHCPv6地址池中指定可供分配的IPv6地址範圍時,需要:
(1) 指定動態分配的IPv6地址網段。
(2) 將該網段劃分為非臨時地址範圍和臨時地址範圍。每個地址範圍內的地址必須屬於該網段,否則無法分配。
采用動態選擇IPv6地址方式時,如果接收到客戶端的地址申請,則DHCPv6服務器選擇一個合適的地址池,並按照客戶端申請的地址類型(非臨時地址或臨時地址),從該地址池對應的地址範圍(非臨時地址範圍或臨時地址範圍)中選擇合適的IPv6地址分配給客戶端。
DHCPv6地址池的前綴管理方式有以下幾種:靜態綁定IPv6前綴,即通過將客戶端DUID和IAID與IPv6前綴綁定的方式,實現為特定的客戶端分配特定的IPv6前綴;動態選擇IPv6前綴,即在地址池中指定可供分配的IPv6前綴範圍,當收到客戶端的IPv6前綴申請時,從該前綴範圍中動態選擇IPv6前綴,分配給該客戶端。
在DHCPv6地址池中指定可供分配的IPv6前綴範圍時,需要:
(1) 創建前綴池,指定前綴池中包括的IPv6前綴範圍。
(2) 在地址池中指定動態分配的IPv6地址網段。
(3) 在地址池中引用前綴池。
DHCPv6服務器為客戶端分配IPv6地址或前綴時,地址池的選擇原則如下:
(1) 如果存在將客戶端DUID、IAID與IPv6地址或前綴靜態綁定的地址池,則選擇該地址池,並將靜態綁定的IPv6地址或前綴、及該地址池中的網絡參數分配給客戶端。
(2) 如果接收到DHCPv6請求報文的接口引用了某個地址池,則選擇該地址池,從該地址池中選取IPv6地址或前綴、及網絡配置參數分配給客戶端。
(3) 如果不存在靜態綁定的地址池,且接收到DHCPv6請求報文的接口未引用地址池,則按照以下方法選擇地址池:
· 如果客戶端與服務器在同一網段,則將接收到DHCPv6請求報文的接口的IPv6地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
· 如果客戶端與服務器不在同一網段,即客戶端通過DHCPv6中繼獲取IPv6地址或前綴,則將離DHCPv6客戶端最近的DHCPv6中繼接口的IPv6地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
配置地址池動態分配的網段和IPv6地址範圍時,請盡量保證與DHCPv6服務器接口或DHCPv6中繼接口的IPv6地址所在的網段一致,以免分配錯誤的IPv6地址。
DHCPv6服務器為客戶端分配IPv6地址/前綴的優先次序如下:
(1) DUID、IAID與客戶端DUID、IAID匹配,且與客戶端期望地址/前綴匹配的靜態綁定地址/前綴;
(2) DUID、IAID與客戶端DUID、IAID匹配的靜態綁定地址/前綴;
(3) DUID與客戶端的DUID匹配,且與客戶端期望地址/前綴匹配的靜態綁定地址/前綴,該地址/前綴中未指定客戶端的IAID;
(4) DUID與客戶端DUID匹配的靜態綁定地址/前綴,該地址/前綴中未指定客戶端的IAID;
(5) 當配置了DHCPv6地址池按照EUI-64方式分配IPv6地址時,地址池會使用客戶端的MAC地址按照EUI-64方式生成的地址;
(6) 地址池/前綴池中與客戶端期望地址/前綴匹配的空閑地址/前綴;
(7) 服務器記錄的曾經分配給客戶端的地址/前綴;
(8) 地址池/前綴池中的其他空閑地址/前綴;
(9) 如果未找到可用的地址/前綴,則依次查詢租約過期地址/前綴、曾經發生過衝突的地址,如果找到則進行分配,否則將不予處理。
如果客戶端的網段發生變化,服務器不會為客戶端分配曾經分配給它的地址/前綴,而是從匹配新網段的地址池中重新選擇地址/前綴等信息。
使用曾經發生過衝突的IPv6地址時,隻有衝突狀態超過一小時的地址租約才能夠被服務器分配給新的DHCPv6客戶端。
表2-1 DHCPv6服務器配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置為DHCPv6客戶端分配IPv6前綴 |
至少選其一 |
|
|
配置為DHCPv6客戶端分配IPv6地址 |
||
|
配置為DHCPv6客戶端分配網絡參數 |
||
|
配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配策略 |
至少選其一 |
|
|
配置DHCPv6策略動態分配IPv6地址、前綴和其他參數 |
||
|
配置DHCPv6服務器發送DHCPv6報文的DSCP優先級 |
可選 |
|
|
配置DHCPv6服務器租約固化功能 |
可選 |
|
|
配置DHCPv6服務器輔助路由信息 |
可選 |
|
|
開啟DHCPv6服務器發布前綴路由功能 |
可選 |
|
|
配置DHCPv6廠商自定義選項 |
可選 |
|
|
指定DHCPv6服務器上的地址池所在的VPN信息 |
可選 |
|
|
開啟DHCPv6服務器記錄的地址租約表項轉化為IP Source Guard動態表項的功能 |
可選 |
|
|
配置DHCPv6服務器告警功能 |
可選 |
|
|
配置DHCPv6服務器的日誌信息功能 |
可選 |
|
|
配置當IPv6地址池可分配的資源耗盡或資源恢複時,係統生成日誌信息 |
可選 |
可以通過以下兩種方式配置DHCPv6服務器為DHCPv6客戶端分配IPv6前綴:
· 在地址池中配置靜態綁定前綴:指定DUID、IAID及前綴的靜態綁定關係後,如果DHCPv6請求報文中的DUID、IAID與靜態綁定的DUID、IAID都相同,則將靜態綁定的前綴分配給此DHCPv6客戶端。如果隻指定了DUID和前綴的綁定關係,未指定靜態綁定的IAID,則隻要請求報文中的DUID與靜態綁定的DUID相同,就將靜態綁定的前綴分配給此DHCPv6客戶端。
· 在地址池中引用包含一定前綴範圍的前綴池:接收到DHCPv6客戶端的前綴分配請求後,DHCPv6服務器從前綴範圍中動態選擇可用前綴,分配給客戶端。
在實際組網中,某些前綴是保留前綴,不應該動態分配給客戶端。通過配置不參與自動分配的前綴,可以避免DHCPv6服務器分配這些前綴。
配置為DHCPv6客戶端分配IPv6前綴時,需要注意:
· 一個IPv6前綴隻能與一個客戶端綁定。不允許通過重複執行static-bind prefix命令的方式修改IPv6前綴與客戶端的綁定關係、前綴的首選生命期和有效生命期。隻有刪除該IPv6前綴的靜態綁定配置後,才能將該IPv6前綴與其他客戶端綁定,或修改前綴的首選生命期和有效生命期。
· 一個地址池最多可以引用一個前綴池。地址池可以引用並不存在的前綴池,但是,此時設備無法從該地址池中動態選擇前綴分配給客戶端。隻有創建該前綴池後,才能支持前綴的動態選擇。
· 不允許通過重複執行prefix-pool命令的方式修改地址池引用的前綴池、前綴的首選生命期和有效生命期。隻有取消當前地址池引用的前綴池後,才能引用其他的前綴池,或修改首選生命期和有效生命期。
表2-2 配置為DHCPv6客戶端分配IPv6前綴
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
(可選)配置不參與自動分配的IPv6前綴 |
ipv6 dhcp server forbidden-prefix start-prefix/prefix-len [ end-prefix/prefix-len ] [ vpn-instance vpn-instance-name ] |
缺省情況下,DHCPv6前綴池中的所有IPv6前綴都參與自動分配 如果通過ipv6 dhcp server forbidden-prefix命令將已經靜態綁定的IPv6前綴配置為不參與自動分配的前綴,則該前綴仍然可以分配給靜態綁定的用戶 多次執行ipv6 dhcp server forbidden-prefix命令,可以配置多個不參與自動分配的IPv6前綴段 |
|
創建前綴池 |
ipv6 dhcp prefix-pool prefix-pool-number prefix { prefix-number | prefix/prefix-len } assign-len assign-len [ vpn-instance vpn-instance-name ] |
缺省情況下,設備上不存在DHCPv6前綴池 DHCPv6服務器為DHCPv6客戶端動態分配IPv6前綴時,為必選;其他情況下,不需要進行本配置 當配置前綴池引用前綴編號時,必須保證指定前綴號有對應的生效前綴,否則配置不生效 |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
配置動態分配的IPv6地址網段 |
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
缺省情況下,未配置動態分配的IPv6地址網段 不能在不同地址池下使用network命令配置相同的地址網段 不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度 地址池引用前綴編號分配動態地址時必須保證前綴編號有對應的生效前綴,否則配置不生效 |
|
配置靜態綁定前綴 |
static-bind prefix prefix/prefix-len duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
二者至少選其一 缺省情況下,未配置地址池的靜態綁定前綴和可動態分配的前綴 重複執行static-bind prefix命令,可以配置多個靜態綁定的IPv6前綴 |
|
配置地址池引用前綴池 |
prefix-pool prefix-pool-number [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
可以通過以下兩種方式配置DHCPv6服務器為DHCPv6客戶端分配IPv6地址:
· 在地址池中配置靜態綁定地址:指定DUID、IAID及地址的靜態綁定關係後,如果DHCPv6請求報文中的DUID、IAID與靜態綁定的DUID、IAID都相同,則將靜態綁定的地址分配給此DHCPv6客戶端。如果隻指定了DUID和地址的綁定關係,未指定靜態綁定的IAID,則隻要請求報文中的DUID與靜態綁定的DUID相同,就將靜態綁定的地址分配給此DHCPv6客戶端。
· 在地址池中配置動態分配的地址網段和地址範圍:
¡ 在進行非臨時地址分配時,如果未在地址池下通過address range命令配置動態分配的IPv6非臨時地址範圍,則network命令指定的網段內的單播地址都可以分配給DHCPv6客戶端。如果配置了address range命令,則隻會從該地址範圍內分配IPv6非臨時地址,即使該範圍內的地址分配完畢,也不會從network命令指定的地址範圍內分配IPv6非臨時地址。
¡ 在進行臨時地址分配時,如果未在地址池下通過temporary address range命令配置動態分配的IPv6臨時地址範圍,則地址池無法分配臨時地址。如果配置了temporary address range命令,則隻會從該地址範圍內分配IPv6臨時地址,不會從network或者address range命令配置的地址範圍內分配臨時地址。
在實際組網中,某些地址是服務器的地址或者是保留地址,不應該動態分配給客戶端。通過配置不參與自動分配的地址,可以避免DHCPv6服務器分配這些地址。
配置為DHCPv6客戶端分配IPv6地址,需要注意:
· 一個地址池下隻能配置一個IPv6非臨時地址範圍和一個IPv6臨時地址範圍。
· address range命令和temporary address range命令配置的地址範圍應該在network命令配置的網段內,否則地址不能被分配。
· 一個IPv6地址隻能與一個客戶端綁定。不允許通過重複執行static-bind address命令的方式修改IPv6地址與客戶端的綁定關係、地址的首選生命期和有效生命期。隻有刪除該IPv6地址的靜態綁定配置後,才能通過重新配置將該IPv6地址與其他客戶端綁定,或修改地址的首選生命期和有效生命期。
· 每個DHCPv6地址池隻能配置一個網段,在相同地址池中重複執行network命令,新的配置會覆蓋已有配置。如果相鄰兩次network命令配置的地址網段相同而首選生命期和有效生命期不同,則新配置的首選生命期和有效生命期隻能在新生成的綁定信息中生效,原有綁定信息不受影響。
表2-3 配置為DHCPv6客戶端分配IPv6地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
(可選)配置不參與自動分配的IPv6地址 |
ipv6 dhcp server forbidden-address start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ] |
缺省情況下,除DHCPv6服務器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都參與自動分配 如果通過ipv6 dhcp server forbidden-address命令將已經靜態綁定的IPv6地址配置為不參與自動分配的地址,則該地址仍然可以分配給靜態綁定的用戶 多次執行ipv6 dhcp server forbidden-address命令,可以配置多個不參與自動分配的IPv6地址段 |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
配置動態分配的IPv6地址網段 |
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
缺省情況下,未配置動態分配的IPv6地址網段 不能在不同地址池下使用network命令配置相同的地址網段 不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度 地址池引用前綴編號分配動態地址時必須保證前綴號有對應的生效前綴,否則配置不生效 |
|
(可選)配置動態分配的IPv6非臨時地址範圍 |
address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
缺省情況下,未配置地址池中動態分配的IPv6非臨時地址範圍,整個網段內的單播地址都可以作為非臨時地址分配給客戶端 |
|
(可選)配置動態分配的IPv6臨時地址範圍 |
temporary address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
缺省情況下,未配置動態分配的IPv6臨時地址範圍,不能分配IPv6臨時地址 |
|
(可選)配置DHCPv6地址池按照EUI-64方式分配IPv6地址 |
address-alloc-mode eui-64 |
缺省情況下,DHCPv6地址池不按照EUI-64方式分配IPv6地址 配置本命令後,當DHCPv6服務器收到DHCPv6客戶端的請求報文時,DHCPv6服務器會使用請求報文中的客戶端MAC地址通過EUI-64方式生成IPv6地址,並將該IPv6地址分配給DHCPv6客戶端 |
|
(可選)配置靜態綁定的IPv6地址 |
static-bind address ipv6-address/addr-prefix-length duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
缺省情況下,不存在靜態綁定的IPv6地址 重複執行static-bind address命令,可以配置多個靜態綁定的IPv6地址 |
除了分配IPv6地址和IPv6前綴外,DHCPv6地址池中還可以配置其他網絡參數,如在一個地址池下最多可以配置8個DNS服務器地址、1個域名、8個SIP服務器地址和8個SIP服務器域名等。
可以通過如下方式配置為DHCPv6客戶端分配的網絡參數:
· 直接在DHCPv6地址池視圖下配置網絡參數。
· 在DHCPv6選項組中配置網絡參數,並在DHCPv6地址池視圖下指定引用的DHCPv6選項組。
直接在DHCPv6地址池視圖下配置的網絡參數的優先級高於DHCPv6選項組中配置的網絡參數。
表2-4 配置為DHCPv6客戶端分配網絡參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
配置動態分配的IPv6地址網段 |
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] |
缺省情況下,未配置動態分配的IPv6地址網段 不能在不同地址池下使用network命令配置相同的地址網段 不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度 地址池引用前綴編號分配動態地址時必須保證前綴號有對應的生效前綴,否則配置不生效 |
|
(可選)配置為客戶端分配的DNS服務器地址 |
dns-server ipv6-address |
缺省情況下,未指定為客戶端分配的DNS服務器地址 |
|
(可選)配置為客戶端分配的域名 |
domain-name domain-name |
缺省情況下,未指定為客戶端分配的域名 |
|
(可選)配置為客戶端分配的SIP服務器地址或域名 |
sip-server { address ipv6-address | domain-name domain-name } |
缺省情況下,未指定為客戶端分配的SIP服務器地址或域名 |
|
(可選)配置DHCPv6自定義選項 |
option code hex hex-string |
缺省情況下,未配置DHCPv6自定義選項 |
DHCPv6選項組的創建方法有以下幾種:
· 通過ipv6 dhcp option-group命令手工創建靜態DHCPv6選項組。
· 設備作為DHCPv6客戶端獲取IPv6地址、前綴和網絡配置參數時,在DHCPv6客戶端上根據獲取的網絡配置參數動態創建DHCPv6選項組。
手工創建的DHCPv6選項組優先級高於動態創建的DHCPv6選項組。本節隻介紹手工創建靜態DHCPv6選項組的方法,動態創建DHCPv6選項組的方法請參見“三層技術-IP業務配置指導”中的“DHCPv6客戶端”。
表2-5 通過DHCPv6選項組配置網絡參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
手工創建靜態DHCPv6選項組,並進入DHCPv6選項組視圖 |
ipv6 dhcp option-group option-group-number |
缺省情況下,設備上不存在靜態DHCPv6選項組 |
|
(可選)配置為客戶端分配的DNS服務器地址 |
dns-server ipv6-address |
缺省情況下,未指定為客戶端分配的DNS服務器地址 |
|
(可選)配置為客戶端分配的域名後綴 |
domain-name domain-name |
缺省情況下,未指定為客戶端分配的域名後綴 |
|
(可選)配置為客戶端分配的SIP服務器地址或域名 |
sip-server { address ipv6-address | domain-name domain-name } |
缺省情況下,未指定為客戶端分配的SIP服務器地址或域名 |
|
(可選)配置DHCPv6自定義選項 |
option code hex hex-string |
缺省情況下,未配置DHCPv6自定義選項 |
|
退回係統視圖 |
quit |
- |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
配置DHCPv6地址池引用選項組 |
option-group option-group-number |
缺省情況下,DHCPv6地址池未引用選項組 |
配置接口工作在DHCPv6服務器模式後,當接口未引用地址池時,接口收到DHCPv6客戶端發來的DHCPv6報文時,服務器根據該接口的地址或DHCPv6中繼接口的地址選擇最長匹配的DHCPv6地址池,並從該地址池中選擇IPv6地址或前綴分配給客戶端。當接口引用地址池時,則從引用的地址池中選擇IPv6地址或前綴分配給客戶端。如果引用的地址池中不存在可供分配的IPv6地址或前綴,則設備將無法為客戶端分配IPv6地址或前綴。
配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配策略時,需要注意:
· 一個接口不能同時作為DHCPv6服務器和DHCPv6中繼。
· 建議不要在一個接口上同時配置DHCPv6服務器和DHCPv6客戶端功能。
· 接口可以引用並不存在的地址池,但是,此時該接口無法為客戶端分配前綴等信息。隻有創建該地址池後,才能為客戶端分配前綴等信息。
表2-6 配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口工作在DHCPv6服務器模式 |
ipv6 dhcp select server |
缺省情況下,接口未工作在DHCPv6服務器模式,也未工作在DHCPv6中繼模式,接口接收到DHCPv6客戶端發來的DHCPv6報文後,丟棄該報文 |
|
配置全局查找地址池,並指定全局查找DHCPv6地址池時地址或前綴分配策略 |
ipv6 dhcp server { allow-hint | preference preference-value | rapid-commit } * |
兩者必選其一 缺省情況下,支持接口全局查找DHCPv6地址池,但不支持期望地址/前綴分配和快速分配功能,且未指定服務器優先級 多次執行ipv6 dhcp server命令,新的配置會覆蓋已有配置 一個接口上最多隻能引用一個地址池,如果多次執行ipv6 dhcp server apply pool命令,新的配置會覆蓋已有配置 |
|
配置接口引用DHCP地址池 |
ipv6 dhcp server apply pool pool-name [ allow-hint | preference preference-value | rapid-commit ] * |
創建DHCPv6策略,並在接口引用該策略後,該接口接收到DHCPv6請求報文時,則根據配置順序逐個匹配DHCPv6策略中通過class pool命令指定的DHCPv6用戶類。匹配情況如下:
· 若匹配DHCPv6用戶類成功,當該DHCPv6用戶類關聯的DHCPv6地址池中存在可供分配的地址或前綴信息時,則從該DHCPv6地址池中分配IPv6地址、前綴或其他參數;當該DHCPv6用戶類關聯的DHCPv6地址池中不存在可供分配的地址或前綴信息時,IPv6地址、前綴或其他參數分配失敗。
· 若匹配DHCPv6策略中的所有DHCPv6用戶類失敗,當配置了默認DHCPv6地址池時,則從該DHCPv6地址池中分配IPv6地址、前綴或網絡參數;當未配置默認DHCPv6地址池或DHCPv6默認地址池不存在可供分配的IPv6地址或前綴時,IPv6地址、前綴或其他參數分配失敗。
· 若接收DHCPv6請求報文的接口引用的DHCPv6策略不存在或匹配的DHCPv6用戶類關聯的DHCPv6地址池不存在時,IPv6地址、前綴或其他參數分配失敗。
· 匹配規則中不支持匹配DHCPv6中繼添加的選項,比如Option 18或Option 37。
表2-7 配置DHCPv6策略動態分配IPv6地址、前綴或其他參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建DHCPv6用戶類,並進入DHCPv6用戶類視圖 |
ipv6 dhcp class class-name |
缺省情況下,不存在DHCPv6用戶類 |
|
配置DHCPv6用戶類的匹配規則 |
if-match rule rule-number { option option-code [ ascii acsii-string [ offset offset | partial ] | hex hex-string [ mask mask | offset offset length length | partial ] ] | relay-agent gateway-ipv6-address } |
缺省情況下,未配置DHCPv6用戶類的匹配規則 |
|
退回係統視圖 |
quit |
- |
|
創建DHCPv6策略,並進入DHCPv6策略視圖 |
ipv6 dhcp policy policy-name |
缺省情況下,不存在DHCPv6策略 DHCPv6策略需要在接口上引用才生效 |
|
指定DHCPv6用戶類關聯的DHCPv6地址池 |
class class-name pool pool-name |
缺省情況下,未指定DHCPv6用戶類關聯的DHCPv6地址池 |
|
指定默認DHCPv6地址池 |
default pool pool-name |
缺省情況下,未指定默認DHCPv6地址池 |
|
退回係統視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定接口引用的DHCPv6策略 |
ipv6 dhcp apply-policy policy-name |
缺省情況下,接口未引用DHCPv6策略 |
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6服務器發送的DHCPv6報文的DSCP優先級。
表2-8 配置DHCPv6服務器發送DHCPv6報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置DHCPv6服務器發送DHCPv6報文的DSCP優先級 |
ipv6 dhcp dscp dscp-value |
缺省情況下,DHCPv6服務器發送的DHCPv6報文的DSCP優先級為56 |
DHCPv6服務器重啟後,設備上記錄的租約信息將丟失,會影響DHCP服務器的正常業務。
DHCPv6服務器租約固化功能將DHCPv6服務器的核心運行數據(在用地址租約、衝突表項)保存到指定的文件中,DHCPv6服務器設備重啟後,自動根據該文件恢複DHCPv6服務器的租約信息,從而保證DHCPv6服務器的租約信息不會丟失。
表2-9 配置DHCPv6服務器租約固化功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定存儲DHCPv6 服務器表項的文件名稱 |
ipv6 dhcp server database filename { filename | url url [ username username [ password { cipher | simple } string ] ] } |
缺省情況下,未指定存儲文件名稱 執行本命令後,會立即觸發一次表項備份。之後,如果未配置ipv6 dhcp server database update interval命令,若表項發生變化,默認在300秒之後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件 |
|
(可選)將當前的DHCPv6服務器表項保存到用戶指定的文件中 |
ipv6 dhcp server database update now |
本命令隻用來觸發一次DHCPv6服務器表項的備份 |
|
(可選)配置刷新DHCPv6服務器表項存儲文件的延遲時間 |
ipv6 dhcp server database update interval interval |
缺省情況下,若DHCPv6服務器表項不變化,則不刷新存儲文件;若DHCPv6 服務器表項發生變化,默認在300秒之後刷新存儲文件 |
|
(可選)終止當前的DHCPv6服務器表項恢複操作 |
ipv6 dhcp server database update stop |
本命令隻用來在設備重啟時觸發一次終止DHCPv6服務器表項信息的恢複 |
圖2-4 DHCPv6服務器輔助路由組網圖
在某些特定的業務模型(如BRAS組網)下,BAS設備需要實時監測網絡流量,並將統計數據發送到RADIUS服務器。該統計數據為用戶上線以來產生的所有上下行流量數據,而不能是設備在某個時間段內發生的上下行流量數據。由於RADIUS服務器刷新計數的方法是覆蓋以前數據而不是進行累加,所以當一台設備的上下行流量分別從兩台BAS設備上通過時,在RADIUS服務器上記錄的數據就會相互覆蓋,這時RADIUS服務器得到的統計數據是不準確的。為了提高準確性,需保證一台設備的上下行流量經過同一台BAS設備。通過配置輔助路由信息,通知路由管理對外發布此網段路由,引導指定網段的下行數據流量。
如果綁定了VPN實例,需保證該VPN實例存在。滿足了以上兩個條件,該接入設備的輔助路由功能才能生效。
表2-10 配置DHCPv6服務器輔助路由信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
配置DHCPv6 服務器輔助路由信息 |
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] export-route |
缺省情況下,未配置DHCPv6服務器輔助路由信息 |
DHCPv6客戶端獲取到IPv6前綴後,通過該IPv6前綴為下行網絡內的主機分配IPv6地址。此時,DHCPv6客戶端與網絡內的主機不在同一網段內,會導致主機無法與外界通信。為了解決這個問題,當DHCPv6服務器和DHCPv6客戶端在同一個鏈路範圍內時,需要在DHCPv6服務器上開啟發布前綴路由功能。
表2-11 開啟DHCPv6服務器發布前綴路由功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6服務器發布前綴路由功能 |
ipv6 dhcp advertise pd-route |
缺省情況下,DHCPv6服務器發布前綴路由功能處於關閉狀態 |
除了RFC規定的Option選項外,還有一部分Option選項可以通過手工定義的方式添加到DHCPv6服務器的屬性列表中,這類選項被稱為廠商自定義選項。DHCPv6服務器可以在應答報文中利用廠商自定義選項攜帶額外的網絡配置信息(例如TFTP服務器名稱、地址或設備的配置文件名等),DHCPv6客戶端收到該應答報文後,通過解析自定義選項的填充內容獲取需要的信息。
表2-12 配置DHCPv6廠商自定義選項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
- |
|
配置DHCPv6廠商自定義選項,並進入廠商自定義模式視圖 |
vendor-specific vendor-id |
缺省情況下,未配置DHCPv6廠商自定義選項 |
|
配置DHCPv6廠商自定義子選項 |
Suboption suboption-code { address ipv6-address&<1-4> | ascii ascii-string | hex hex-string } |
缺省情況下,未配置DHCPv6廠商自定義子選項 |
當地址池綁定了VPN實例後,DHCPv6服務器可以將網絡劃分成公網和VPN私網。未配置VPN屬性的地址池被劃分到公網,配置了VPN屬性的地址池被劃分到相應的VPN私網,這樣,對於處於公網或VPN私網中的客戶端,服務器都能夠選擇合適的地址池來為客戶端分配租約並且記錄該客戶端的狀態信息。
DHCPv6客戶端的VPN信息可以從認證模塊獲取,也可以從DHCPv6服務器接收報文的接口配置的VPN信息獲取。如果以上兩種方式都可獲取VPN信息,以從認證模塊獲取的VPN信息為準。
表2-13 指定DHCPv6服務器上的地址池所在的VPN信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
指定DHCPv6服務器上的地址池所在的VPN信息 |
vpn-instance vpn-instance-name |
缺省情況下,未指定DHCPv6服務器上的地址池所在的VPN信息 |
IP Source Guard功能的詳細介紹,請參見“安全配置指導”中的“IP Source Guard”。
如果設備存儲空間不足,可以執行undo ipv6 dhcp server entry-convert enable命令關閉DHCPv6服務器記錄的地址租約表項轉化為IP Source Guard動態表項的功能,關閉本功能前轉化的IP Source Guard動態表項不會被刪除。
表2-14 開啟DHCPv6服務器記錄的地址租約表項轉化為IP Source Guard動態表項的功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6服務器記錄的地址租約表項轉化為IP Source Guard動態表項的功能 |
ipv6 dhcp server entry-convert enable |
缺省情況下,DHCPv6服務器記錄的地址租約表項轉化為IP Source Guard動態表項的功能處於關閉狀態 |
開啟DHCPv6服務器的告警功能後,DHCPv6服務器會生成告警信息,用於報告DHCPv6服務器的重要事件。告警信息包括:
· 單個IPv6地址池的資源耗盡/恢複的告警信息。
· 單個IPv6地址池在采樣時刻的資源使用率高於等於閾值或恢複到低於閾值的告警信息
生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
表2-15 配置DHCPv6服務器告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟IPv6地址池資源耗盡/恢複的告警功能 |
snmp-agent trap enable ipv6 dhcp server address-exhaust pd-exhaust |
缺省情況下,IPv6地址池資源耗盡/恢複告警功能處於開啟狀態 |
|
開啟DHCPv6服務器告警功能 |
snmp-agent trap enable ipv6 dhcp server ip-in-use |
缺省情況下,IPv6地址池地址使用率告警功能處於開啟狀態 |
|
開啟DHCPv6服務器告警功能 |
snmp-agent trap enable ipv6 dhcp server pd-in-use |
缺省情況下,IPv6前綴使用率告警功能處於開啟狀態 |
|
進入IPv6地址池視圖 |
ipv6 dhcp pool pool-name |
- |
|
(可選)開啟單個IPv6地址池資源耗盡告警功能 |
exhaustion trap enable |
缺省情況下,單個IPv6地址池資源耗盡告警功能處於開啟狀態 |
|
(可選)設置IPv6地址池使用率告警門限閾值 |
ip-in-use threshold threshold-value |
缺省情況下,IPv6地址池使用率告警門限閾值為100% |
|
(可選)設置IPv6地址池前綴使用率告警門限閾值 |
pd-in-use threshold threshold-value |
缺省情況下,IPv6地址池前綴使用率告警門限閾值為100% |
DHCPv6服務器日誌是為了滿足管理員審計需求。設備生成DHCPv6日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
比如大量DHCPv6客戶端發生上下線操作時,DHCPv6服務器需要輸出大量日誌信息,這可能會降低設備性能,影響DHCPv6服務器分配IPv6前綴或IPv6地址的速度。為了避免該情況的發生,用戶可以關閉DHCPv6服務器日誌信息功能,使得DHCPv6服務器不再輸出日誌信息。
表2-16 開啟DHCPv6服務器的日誌信息功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6服務器日誌信息功能 |
ipv6 dhcp log enable |
缺省情況下,DHCPv6服務器日誌信息功能處於關閉狀態 |
開啟本功能後,當IPv6地址池中可分配的資源耗盡或資源恢複時,係統將生成DHCPv6日誌信息,並交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
IPv6地址池中資源使用率的計算方式如下:
· 地址使用率=(總地址數—未分配地址數)/總地址數;
· 前綴使用率=(總前綴數—未分配前綴數)/總前綴數。
關閉DHCPv6服務器日誌信息功能後,本功能還可以正常運行。
如果通過ip-in-use threshold或pd-in-use threshold命令配置的地址或前綴使用率告警門限閾值為100%,則當IPv6地址池中的地址或前綴資源耗盡,或使用率重新下降到等於或低於90%時,係統隻會生成告警信息,不會生成日誌信息。
表2-17 配置當IPv6地址池可分配的資源耗盡或資源恢複時,係統生成日誌信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入IPv6地址池視圖 |
ipv6 dhcp pool pool-name |
- |
|
配置當IPv6地址池可分配的資源耗盡或資源恢複時,係統生成日誌信息 |
exhaustion log enable |
缺省情況下,當IPv6地址池可分配的資源耗盡或資源恢複時,係統不會生成日誌信息 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6服務器的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6服務器的統計信息。
表2-18 DHCPv6服務器顯示和維護
|
操作 |
命令 |
|
顯示本設備的DUID |
display ipv6 dhcp duid |
|
顯示DHCPv6選項組信息 |
display ipv6 dhcp option-group [ option-group-number ] |
|
顯示DHCPv6地址池的信息 |
display ipv6 dhcp pool [ pool-name | vpn-instance vpn-instance-name ] |
|
顯示前綴池的信息 |
display ipv6 dhcp prefix-pool [ prefix-pool-number ] [ vpn-instance vpn-instance-name ] |
|
顯示接口上的DHCPv6服務器信息 |
display ipv6 dhcp server [ interface interface-type interface-number ] |
|
顯示DHCPv6地址衝突信息 |
display ipv6 dhcp server conflict [ address ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
顯示DHCPv6服務器表項備份信息 |
display ipv6 dhcp server database |
|
顯示租約過期的DHCPv6地址綁定信息 |
display ipv6 dhcp server expired [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
顯示DHCPv6地址綁定信息 |
display ipv6 dhcp server ip-in-use [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
顯示DHCPv6前綴綁定信息 |
display ipv6 dhcp server pd-in-use [ pool pool-name | [ prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] ] |
|
顯示DHCPv6服務器的報文統計信息 |
display ipv6 dhcp server statistics [ pool pool-name | vpn-instance vpn-instance-name ] |
|
清除DHCPv6地址衝突信息 |
reset ipv6 dhcp server conflict [ address ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
清除租約過期的DHCPv6地址綁定信息 |
reset ipv6 dhcp server expired [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
清除DHCPv6的正式地址綁定和臨時地址綁定信息 |
reset ipv6 dhcp server ip-in-use [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
清除DHCPv6正式前綴綁定和臨時前綴綁定信息 |
reset ipv6 dhcp server pd-in-use [ pool pool-name | [ prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] ] |
|
清除DHCPv6服務器的報文統計信息 |
reset ipv6 dhcp server statistics [ vpn-instance vpn-instance-name ] |
DHCPv6客戶端從DHCPv6服務器獲取IPv6地址前綴,以及網絡配置參數:DNS服務器地址、域名、SIP服務器地址和SIP服務器域名。其中:
· Switch作為DHCPv6服務器,地址為1::1/64。
· DHCPv6服務器為DUID為00030001CA0006A40000的客戶端固定分配前綴2001:0410:0201::/48;為其他客戶端分配2001:0410::/48~2001:0410:FFFF::/48之間除2001:0410:0201::/48外的前綴。
· DNS服務器地址為2:2::3。
· DHCPv6客戶端所屬域的域名後綴為aaa.com。
· SIP服務器地址為2:2::4,域名為bbb.com。
圖2-5 DHCPv6服務器配置組網圖
(1) 配置DHCPv6服務器
# 配置VLAN接口2的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ipv6 address 1::1/64
[Switch-Vlan-interface2] undo ipv6 nd ra halt
[Switch-Vlan-interface2] ipv6 nd autoconfig managed-address-flag
[Switch-Vlan-interface2] ipv6 nd autoconfig other-flag
[Switch-Vlan-interface2] quit
# 配置前綴池1,包含的前綴為2001:0410::/32,分配的前綴長度為48。
[Switch] ipv6 dhcp prefix-pool 1 prefix 2001:0410::/32 assign-len 48
# 創建地址池1。
[Switch] ipv6 dhcp pool 1
# 配置地址池1網段為1::/64,與VLAN接口2地址所屬的網段相同。
[Switch-dhcp6-pool-1] network 1::/64
# 配置地址池1引用已存在的前綴池1,並設置動態分配前綴的首選生命期為1天,有效生命期為3天。
[Switch-dhcp6-pool-1] prefix-pool 1 preferred-lifetime 86400 valid-lifetime 259200
# 在地址池1中配置靜態綁定前綴:綁定的前綴為2001:0410:0201::/48,綁定的客戶端DUID為00030001CA0006A40000,並設置首選生命期為1天,有效生命期為3天。
[Switch-dhcp6-pool-1] static-bind prefix 2001:0410:0201::/48 duid 00030001CA0006A40000 preferred-lifetime 86400 valid-lifetime 259200
# 配置為客戶端分配的DNS服務器地址為2:2::3。
[Switch-dhcp6-pool-1] dns-server 2:2::3
# 配置為客戶端分配的域名為aaa.com。
[Switch-dhcp6-pool-1] domain-name aaa.com
# 配置為客戶端分配的SIP服務器地址為2:2::4,域名為bbb.com。
[Switch-dhcp6-pool-1] sip-server address 2:2::4
[Switch-dhcp6-pool-1] sip-server domain-name bbb.com
[Switch-dhcp6-pool-1] quit
# 配置VLAN接口2工作在DHCPv6服務器模式,並在該接口使能期望前綴分配和前綴快速分配功能,並將優先級設置為最高。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ipv6 dhcp select server
[Switch-Vlan-interface2] ipv6 dhcp server allow-hint preference 255 rapid-commit
# 完成上述配置後,查看VLAN接口2上的DHCPv6服務器配置信息。
[Switch-Vlan-interface2] display ipv6 dhcp server interface vlan-interface 2
Using pool: global
Preference value: 255
Allow-hint: Enabled
Rapid-commit: Enabled
# 顯示地址池1的信息。
[Switch-Vlan-interface2] display ipv6 dhcp pool 1
DHCPv6 pool: 1
Network: 1::/64
Preferred lifetime 604800 seconds, valid lifetime 2592000 seconds
Prefix pool: 1
Preferred lifetime 86400 seconds, valid lifetime 259200 seconds
Static bindings:
DUID: 00030001ca0006a40000
IAID: Not configured
Prefix: 2001:410:201::/48
Preferred lifetime 86400 seconds, valid lifetime 259200 seconds
DNS server addresses:
2:2::3
Domain name:
aaa.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.com
IP-in-use threshold: 100
PD-in-use threshold: 100
# 顯示前綴池1的信息。
[Switch-Vlan-interface2] display ipv6 dhcp prefix-pool 1
Prefix: 2001:410::/32
Assigned length: 48
Total prefix number: 65536
Available: 65535
In-use: 0
Static: 1
# DUID為00030001CA0006A40000的客戶端獲取IPv6前綴後,顯示前綴綁定信息。
[Switch-Vlan-interface2] display ipv6 dhcp server pd-in-use
Pool: 1
IPv6 prefix Type Lease expiration
2001:410:201::/48 Static(C) Jul 10 19:45:01 2019
# 其他客戶端獲取IPv6前綴後,顯示前綴綁定信息。
[Switch-Vlan-interface2] display ipv6 dhcp server pd-in-use
Pool: 1
IPv6 prefix Type Lease expiration
2001:410:201::/48 Static(C) Jul 10 19:45:01 2019
2001:410::/48 Auto(C) Jul 10 20:44:05 2019
· 作為DHCPv6服務器的Switch A為網段1::1:0:0:0/96和1::2:0:0:0/96的客戶端動態分配IPv6地址;
· Switch A的兩個VLAN接口Vlan-interface10和Vlan-interface20的地址分別為1::1:0:0:1/96和1::2:0:0:1/96;
· 1::1:0:0:0/96網段內的地址租約時長為172800秒(2天),有效時長為345600秒(4天),域名後綴為aabbcc.com,DNS服務器地址為1::1:0:0:2/96;
· 1::2:0:0:0/96網段內的地址租約時長為432000秒(5天),有效時長為864000秒(10天),域名後綴為aabbcc.com,DNS服務器地址為1::2:0:0:2/96。
圖2-6 DHCPv6組網圖
(1) 配置DHCPv6 server各接口的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息
<SwitchA> system-view
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ipv6 address 1::1:0:0:1/96
[SwitchA-Vlan-interface10] undo ipv6 nd ra halt
[SwitchA-Vlan-interface10] ipv6 nd autoconfig managed-address-flag
[SwitchA-Vlan-interface10] ipv6 nd autoconfig other-flag
[SwitchA-Vlan-interface10] quit
[SwitchA] interface vlan-interface 20
[SwitchA-Vlan-interface20] ipv6 address 1::2:0:0:1/96
[SwitchA-Vlan-interface20] undo ipv6 nd ra halt
[SwitchA-Vlan-interface20] ipv6 nd autoconfig managed-address-flag
[SwitchA-Vlan-interface20] ipv6 nd autoconfig other-flag
[SwitchA-Vlan-interface20] quit
(2) 配置DHCPv6服務
# 配置接口Vlan-interface10和Vlan-interface20工作在DHCPv6服務器模式。
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ipv6 dhcp select server
[SwitchA-Vlan-interface10] quit
[SwitchA] interface vlan-interface 20
[SwitchA-Vlan-interface20] ipv6 dhcp select server
[SwitchA-Vlan-interface20] quit
# 配置不參與自動分配的IPv6地址,以避免分配DNS服務器的地址。
[SwitchA] ipv6 dhcp server forbidden-address 1::1:0:0:2
[SwitchA] ipv6 dhcp server forbidden-address 1::2:0:0:2
# 配置DHCPv6地址池1,為1::1:0:0:0/96網段的客戶端分配IPv6地址等參數。
[SwitchA] ipv6 dhcp pool 1
[SwitchA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600
[SwitchA-dhcp6-pool-1] domain-name aabbcc.com
[SwitchA-dhcp6-pool-1] dns-server 1::1:0:0:2
[SwitchA-dhcp6-pool-1] quit
# 配置DHCPv6地址池2,為1::2:0:0:0/96網段的客戶端分配IPv6地址等參數。
[SwitchA] ipv6 dhcp pool 2
[SwitchA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000
[SwitchA-dhcp6-pool-2] domain-name aabbcc.com
[SwitchA-dhcp6-pool-2] dns-server 1::2:0:0:2
[SwitchA-dhcp6-pool-2] quit
配置完成後,1::1:0:0:0/96和1::2:0:0:0/96網段的客戶端可以從DHCPv6服務器Switch A申請到相應網段的IPv6地址和網絡配置參數。通過display ipv6 dhcp server ip-in-use命令可以查看DHCPv6服務器為客戶端分配的IPv6地址。
圖3-1 DHCPv6中繼應用組網圖
DHCPv6客戶端通常通過鏈路本地範圍的組播地址與DHCPv6服務器通信,以獲取IPv6地址和其他網絡配置參數。如圖3-1所示,服務器和客戶端不在同一個鏈路範圍內時,服務器和客戶端無法直接通信,需要通過DHCPv6中繼來轉發報文。部署DHCPv6中繼可以避免在每個鏈路範圍內都部署DHCPv6服務器,既節省了成本,又便於進行集中管理。
圖3-2 DHCPv6中繼的工作過程
如圖3-2所示,以交互兩個消息的快速分配過程為例,DHCPv6客戶端通過DHCPv6中繼,從DHCPv6服務器獲取IPv6地址和其他網絡配置參數的過程為:
(1) DHCPv6客戶端向所有DHCPv6服務器和中繼的組播地址FF02::1:2發送攜帶Rapid Commit選項的Solicit消息;
(2) DHCPv6中繼接收到Solicit消息後,將其封裝在Relay-forward報文的中繼消息選項(Relay Message Option)中,並將Relay-forward報文發送給DHCPv6服務器;
(3) DHCPv6服務器從Relay-forward報文中解析出客戶端的Solicit消息,為客戶端選取IPv6地址和其他參數,構造Reply消息,將Reply消息封裝在Relay-reply報文的中繼消息選項中,並將Relay-reply報文發送給DHCPv6中繼;
(4) DHCPv6中繼從Relay-reply報文中解析出服務器的Reply消息,轉發給DHCPv6客戶端,以便DHCPv6客戶端根據DHCPv6服務器分配的IPv6地址和其他參數進行網絡配置。
表3-1 DHCPv6中繼配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置接口工作在DHCPv6中繼模式 |
必選 |
|
|
指定DHCPv6服務器的地址 |
必選 |
|
|
配置DHCPv6中繼為DHCPv6客戶端分配的網關地址 |
可選 |
|
|
配置DHCPv6中繼的DUID表項的老化時間 |
可選 |
|
|
通過smart-relay功能指定DHCPv6報文中填充的中繼地址 |
可選 |
|
|
配置DHCPv6中繼發送DHCPv6報文的DSCP優先級 |
可選 |
|
|
配置DHCPv6中繼支持的interface-id選項填充模式 |
可選 |
|
|
開啟DHCPv6中繼支持添加Option 37選項功能 |
可選 |
|
|
開啟DHCPv6中繼支持添加Option 79選項功能 |
可選 |
|
|
開啟DHCPv6中繼發布前綴路由功能 |
可選 |
|
|
開啟DHCPv6中繼發布地址路由功能 |
可選 |
|
|
配置DHCPv6中繼報文填充指定源地址 |
可選 |
|
|
開啟DHCPv6中繼用戶表項記錄功能 |
可選 |
|
|
配置清除用戶表項時通知DHCPv6服務器釋放租約 |
可選 |
|
|
開啟DHCPv6中繼用戶下線探測功能 |
可選 |
|
|
開啟DHCPv6中繼對Confirm請求報文的Reply報文的檢查功能 |
可選 |
|
|
配置DHCPv6中繼支持按照MAC地址表轉發DHCPv6應答報文 |
可選 |
DHCPv6服務器和DHCPv6客戶端位於不同網段時,需要配置DHCPv6中繼在DHCPv6客戶端和DHCPv6服務器之間轉發報文。建議不要在一個接口上同時配置DHCPv6中繼和DHCPv6客戶端功能。
表3-2 配置接口工作在DHCPv6中繼模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口工作在DHCPv6中繼模式 |
ipv6 dhcp select relay |
缺省情況下,接口未工作在DHCPv6中繼模式 |
工作在DHCPv6中繼模式的接口接收到DHCPv6客戶端發來的報文後,將其封裝在Relay-forward報文中,並發送給指定的DHCPv6服務器,由DHCPv6服務器為客戶端分配IPv6地址、IPv6前綴和其他網絡配置參數。
表3-3 指定DHCPv6中繼對應的DHCPv6服務器地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
指定DHCPv6服務器的地址 |
ipv6 dhcp relay server-address ipv6-address [ interface interface-type interface-number ] |
缺省情況下,未指定DHCPv6服務器的地址 通過多次執行ipv6 dhcp relay server-address命令可以指定多個DHCPv6服務器,一個接口下最多可以指定8個DHCPv6服務器。DHCPv6中繼接收到DHCPv6客戶端報文後,將其轉發給所有的DHCPv6服務器 如果指定的DHCPv6服務器地址為鏈路本地地址或組播地址,則必須通過ipv6 dhcp relay server-address命令的interface參數指定出接口,否則報文可能會無法到達服務器 |
對於某些特定的用戶接入方式,基於用戶接入位置信息的不同,網絡中存在大量不同類型的用戶。為了使相同類型的用戶可以從指定的DHCPv6服務器申請IPv6地址等網絡參數,設備根據用戶注冊信息,使不同的用戶選擇不同的DHCPv6中繼地址池,並從中繼地址池下配置的DHCPv6服務器獲取IPv6地址等網絡參數。
為了提高可靠性,一個DHCPv6中繼地址池下最多可以配置8個DHCPv6服務器地址,當DHCPv6客戶端匹配該中繼地址池後,DHCPv6中繼會將DHCPv6客戶端發來的DHCPv6報文轉發給該地址池對應所有的DHCPv6服務器。
一台DHCPv6中繼的一個接口下可能連接不同類型的用戶,當DHCPv6中繼轉發DHCPv6客戶端請求報文給DHCPv6服務器時,不能再以中繼接口的IPv6地址作為選擇地址池的依據。為了解決這個問題,需要使用gateway-list命令指定某個類型用戶所在的網段,並將該地址添加到轉發給DHCPv6服務器的報文的Link-address字段中,為DHCPv6服務器選擇地址池提供依據。
表3-4 指定中繼地址池對應的DHCPv6服務器地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建DHCPv6地址池,並進入DHCPv6地址池視圖 |
ipv6 dhcp pool pool-name |
缺省情況下,設備上不存在DHCPv6地址池 |
|
指定匹配該地址池的DHCPv6客戶端所在的網段地址 |
gateway-list ipv6-address&<1-8> |
缺省情況下,未指定匹配該地址池的DHCPv6客戶端所在的網段地址 |
|
指定中繼地址池對應的DHCPv6服務器地址 |
remote-server ipv6-address [ interface interface-type interface-number ] |
缺省情況下,未指定中繼地址池對應的DHCPv6服務器的地址 |
當未開啟該功能時,DHCPv6中繼收到DHCPv6客戶端的請求報文後,隻能將接口的第一個IPv6添加到報文中,然後轉發給DHCPv6服務器。對於某些特定需求,DHCPv6中繼需要添加指定的地址到報文中,這時就需要配置此功能。
表3-5 配置DHCPv6中繼為DHCPv6客戶端分配的網關地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置DHCPv6中繼為DHCPv6客戶端分配的網關地址 |
ipv6 dhcp relay gateway ipv6-address |
缺省情況下,DHCPc6中繼分配接口下的第一個IPv6地址作為DHCPv6客戶端的網關地址 |
DUID表項是DHCPv6中繼功能記錄的一個數據表項,記錄的信息包括DHCPv6客戶端的MAC地址、接口索引、表項的老化時間、Link address、使用該Link address轉發Solicit報文的次數和首次使用該Link address轉發Solicit報文的時間點等信息。
在smart-relay功能中,DUID表項用於協助判斷是否要切換填充到Relay-forward報文中的IPv6地址。如果中繼接口使用該Link address轉發Solicit報文的次數達到了中繼接口使用同一IPv6地址轉發Solicit報文的最小次數,則計算中繼接口使用該Link address轉發Solicit報文的時間間隔(DHCPv6中繼本次接收到Solicit報文是時間點減去首次使用該Link address轉發Solicit報文的時間點)。如果時間間隔也滿足要求,則切換填充到Relay-Forward報文中的IPv6地址。有關smart-relay功能的詳細介紹,請參見“通過smart-relay功能指定DHCPv6報文中填充的中繼地址”。
為保證smart-relay功能正常運行,請將DUID表項的老化時間設置的大於中繼接口使用同一IPv6地址轉發Solicit報文的時間。
表3-6 配置DHCPv6中繼的DUID表項的老化時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置DHCPv6中繼的DUID表項的老化時間 |
ipv6 dhcp relay duid aging-time seconds |
缺省情況下,DHCPv6中繼的DUID表項老化時間為60秒 |
當DHCPv6中繼收到DHCPv6客戶端發送的Solicit報文後,會使用中繼接口的第一個IPv6全球單播地址(接口的IPv6全球單播地址由小到大排序)填充Relay-forward報文的Link address字段,DHCPv6服務器收到Relay-forward報文後,根據Link address字段取值為DHCPv6客戶端分配IPv6地址/前綴。當DHCPv6服務器中該網段地址分配完畢後,不管DHCPv6服務器上是否存在其他網段的地址,都不會再為該DHCPv6中繼下的DHCPv6客戶端分配IPv6地址/前綴。
DHCPv6中繼通過smart-relay解決上述問題。開啟本功能後,DHCPv6中繼可以使用中繼接口下的其他IPv6全球單播地址來填充Relay-forward報文的Link address字段,從而使DHCPv6客戶端可以獲取到其它網段的IPv6地址/前綴。
當遇到如下兩種情況時,DHCPv6中繼再轉發Solicit報文時,會使用下一個IPv6地址來填充Relay-forward報文的Link address字段:
· DHCPv6中繼接收到DHCPv6服務器的Relay-reply報文,表明沒有可分配的IPv6地址/前綴。
· DHCPv6中繼轉發大於等於M次Solicit報文,且與第一次轉發Solicit報文時間間隔超過N秒,還未收到DHCPv6服務器的Relay-reply報文。缺省情況下,M的取值為3、N的取值為24,用戶也可以使用ipv6 dhcp smart-relay命令修改這兩個參數的取值。
DHCPv6中繼使用完中繼接口的所有IPv6全球單播地址填充Link address字段後,將重新使用第一個IPv6全球單播地址進入下一個循環。
開啟本功能前,必須先執行ipv6 dhcp relay client-information record命令開啟DHCPv6中繼用戶表項記錄功能。開啟DHCPv6中繼用戶表項記錄功能後,DHCPv6中繼能夠記錄上線用戶的IPv6地址、MAC地址以及其申請IPv6地址或前綴時使用的Link address。當DHCPv6中繼轉發Renew、Rebind以及Release報文時,會查詢中繼用戶表項,獲取該用戶對應的Link address。
表3-7 通過smart-relay功能指定DHCPv6報文中填充的中繼地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
(可選)配置DHCPv6中繼smart-relay功能參數 |
ipv6 dhcp smart-relay { count count | time seconds } * |
缺省情況下,DHCPv6中繼開啟smart-relay功能後,如果DHCPv6中繼轉發大於等於3次Solicit報文,且和第一次轉發Solicit報文的時間間隔超過24秒,還未收到DHCPv6服務器的Relay-reply報文,則會使用接口的下一個IPv6地址轉發Solicit報文 |
|
開啟DHCPv6中繼支持smart-relay功能 |
ipv6 dhcp smart-relay enable |
缺省情況下,DHCPv6中繼支持smart-relay功能處於關閉狀態 |
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6中繼發送的DHCPv6報文的DSCP優先級。
表3-8 配置DHCPv6中繼發送DHCPv6報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置DHCPv6中繼發送DHCPv6報文的DSCP優先級 |
ipv6 dhcp dscp dscp-value |
缺省情況下,DHCPv6中繼發送的DHCPv6報文的DSCP優先級為56 |
如果配置了DHCPv6中繼支持的interface-id選項填充模式,當DHCPv6中繼接收到客戶端發送的DHCPv6報文後,會以配置的填充方式將DHCPv6客戶端的位置信息填充Option 18選項,並把填充好的報文轉發給DHCPv6服務器。
表3-9 配置DHCPv6中繼支持的interface-id選項填充模式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置DHCPv6中繼支持的interface-id選項填充模式 |
ipv6 dhcp relay interface-id { bas | interface | user-mac } |
缺省情況下,interface-id選項的填充模式為接口索引信息 |
Option 37選項中的信息標識了客戶端的位置信息,這些信息可以作為DHCPv6服務器分配IPv6地址和網絡參數的依據。開啟DHCPv6中繼支持添加Option 37選項功能後,DHCPv6中繼從客戶端接收到DHCPv6請求報文時,在報文中添加Option 37選項,然後再把該報文轉發給DHCPv6服務器。支持Option 37功能的DHCPv6服務器接收到DHCPv6請求報文後,DHCPv6服務器可以根據報文中的Option 37信息給DHCPv6客戶端分配IPv6地址和其它配置信息。
表3-10 開啟DHCPv6中繼支持添加Option 79選項功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6中繼支持添加Option 37選項功能 |
ipv6 dhcp relay remote-id enable |
缺省情況下,DHCPv6中繼支持添加Option 37選項功能處於關閉狀態 |
|
(可選)配置DHCPv6中繼封裝Option 37選項時使用的DUID |
ipv6 dhcp relay remote-id duid { ascii ascii-string | hex hex-string } |
缺省情況下,DHCPv6中繼使用本設備的DUID封裝Option 37選項 |
某些存在DHCPv6中繼的組網中,DHCPv6服務器需要獲取到DHCPv6客戶端的MAC地址信息,進行DHCPv6客戶端合法性認證或為DHCPv6客戶端分配和MAC地址對應的IPv6地址、IPv6前綴或其他網絡參數。為了滿足上述需求,需要在DHCPv6客戶端發出請求報文後經過的第一個DHCPv6中繼上開啟支持添加Option 79選項功能。開啟本功能後,當DHCPv6中繼收到DHCPv6請求報文時,會學習報文中的DHCPv6客戶端的MAC地址。DHCPv6中繼生成和請求報文對應的Relay-Forward報文時,會將學到的MAC地址添加到報文的Option 79選項中,再將該報文轉發給DHCPv6服務器。
表3-11 開啟DHCPv6中繼支持添加Option 79選項功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6中繼支持添加Option 79選項功能 |
ipv6 dhcp relay client-link-address enable |
缺省情況下,DHCPv6中繼支持添加Option 79選項功能處於關閉狀態 |
DHCPv6客戶端獲取到IPv6前綴後,通過該IPv6前綴為下行網絡內的主機分配IPv6地址。此時,DHCPv6客戶端與網絡內的主機不在同一網段內,會導致主機無法與外界通信。為了解決這個問題,需要在和DHCPv6客戶端處於同一個鏈路範圍內的DHCPv6中繼上開啟發布前綴路由功能。
表3-12 開啟DHCPv6中繼發布前綴路由功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6中繼發布前綴路由功能 |
ipv6 dhcp advertise pd-route |
缺省情況下,DHCPv6中繼發布前綴路由功能處於關閉狀態 開啟DHCPv6中繼發布前綴路由功能前,需要先開啟DHCPv6中繼用戶表項記錄功能 |
在某些禁用全球單播地址的ND功能的網絡中,DHCPv6客戶端通過DHCPv6獲取到全球單播IPv6地址後,由於無法發起ND協商生成有效的ND表項,導致客戶端無法收到目的地址為該IPv6地址的報文。為了解決此問題,可以在DHCPv6中繼上開啟發布地址路由功能。開啟本功能後,當DHCPv6中繼收到DHCPv6應答報文後,會根據報文中的IPv6地址發布一條路由信息,路由的目的地址是IPv6地址,下一跳為客戶端的鏈路本地地址,出接口為轉發報文的接口。中繼設備收到目的報文為該IPv6地址的報文後,查找路由表確認下一跳地址。由於下一跳地址是客戶端的鏈路本地地址,是可以進行ND解析的。中繼根據路由表中的下一跳地址在ND表項中查到對應的客戶端MAC地址,然後轉發該報文。
表3-13 開啟DHCPv6中繼發布地址路由功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6中繼發布地址路由功能 |
ipv6 dhcp advertise address-route |
缺省情況下,DHCPv6中繼發布地址路由功能處於關閉狀態 開啟DHCPv6中繼發布前綴路由功能前,需要先開啟DHCPv6中繼用戶表項記錄功能 |
在某些組網中,DHCPv6中繼接口到DHCPv6服務器沒有可達路由,用戶需要配置本命令選擇DHCPv6中繼設備上的另一個接口(一般選擇的是Loopback口)的IPv6地址填充到轉發給DHCPv6服務器的DHCPv6請求報文中的源地址字段。
DHCPv6中繼上行報文源地址填充為用戶指定的全球單播地址或指定接口的地址。
未配置該功能時,DHCPv6中繼上行報文源地址默認填充為出接口的地址。
表3-14 配置DHCPv6中繼報文填充指定源地址
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置指定源地址 |
ipv6 dhcp relay source-address { ipv6-address | interface interface-type interface-number } |
缺省情況下,DHCPv6中繼自動選擇向DHCPv6服務器轉發報文出接口的一個全球單播地址作為DHCPv6中繼向DHCPv6服務器轉發報文的源地址 如果指定接口作為源地址,但該接口未配置全球單播地址,則選擇默認出接口地址 |
DHCPv6中繼用戶表項記錄功能用來防止非法主機手工配置一個IPv6地址並訪問外部網絡。
開啟該功能後,當DHCPv6客戶端通過DHCPv6中繼從DHCPv6服務器獲取到IPv6地址/前綴時,DHCPv6中繼可以自動記錄DHCPv6客戶端的IPv6地址/前綴和硬件地址的綁定關係,生成DHCPv6中繼用戶表項。
該功能與其他IPv6地址安全功能(如IP Source Guard)配合後,可以實現隻允許匹配DHCPv6中繼用戶表項的報文通過DHCPv6中繼。從而,保證非法主機無法通過DHCPv6中繼與外部網絡通信。IP Source Guard的詳細描述請參見“安全配置指導”中的“IP Source Guard”。
表3-15 開啟DHCPv6中繼用戶表項記錄功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6中繼用戶表項記錄功能 |
ipv6 dhcp relay client-information record |
缺省情況下,DHCPv6中繼用戶表項記錄功能處於關閉狀態 |
未配置該功能時,刪除DHCPv6中繼用戶表項時(如執行reset ipv6 dhcp relay client-information address命令)隻會刪除DHCPv6中繼上保存的表項信息。
配置該功能後,刪除DHCPv6中繼用戶表項時,DHCPv6中繼會主動向DHCPv6服務器發送釋放該表項對應IPv6租約的Release報文。DHCPv6服務器收到該報文後,會將該租約狀態從已分配轉化為過期。
表3-16 配置清除用戶表項時通知DHCPv6服務器釋放租約
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置清除用戶表項時通知DHCPv6服務器釋放租約 |
ipv6 dhcp relay release-agent |
缺省情況下,清除用戶表項時不會通知DHCPv6服務器釋放租約 |
開啟DHCPv6中繼用戶下線探測功能後,DHCPv6中繼可探測存在的ND表項狀態。當ND表項老化後,DHCPv6中繼認為該表項對應的用戶已下線。這時,DHCPv6中繼會刪除與該ND表項對應的DHCPv6中繼用戶表項。ND的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
表3-17 開啟DHCPv6中繼用戶下線探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6中繼用戶下線檢測功能 |
ipv6 dhcp client-detect |
缺省情況下,DHCPv6中繼用戶下線檢測功能處於關閉狀態 |
存在多台DHCPv6服務器的中繼組網環境中,DHCPv6服務器A在收到DHCPv6客戶端的請求報文後,會為客戶端分配一個IPv6地址,客戶端收到該IPv6地址後會以組播形式向組網中的所有DHCPv6服務器發送Confirm報文確認該IPv6地址是否可用。
服務器A收到Confirm報文後,回複Reply報文確認該IPv6地址可用。服務器B也收到Confirm報文後,且當服務器B的地址池網段內不包含該IPv6地址時,服務器B將回複地址分配失敗的Reply報文。DHCPv6中繼將地址分配成功和分配失敗的兩份Reply報文都轉發給客戶端後,可能導致客戶端無法獲得該IPv6地址。
為了避免出現以上問題,可以開啟DHCPv6中繼對Confirm請求報文的Reply報文的檢查功能。開啟本功能後,單次Confirm請求交互中,DHCPv6中繼將在收到每個客戶端的第一個Reply報文時啟動檢測定時器(固定為0.5秒),並僅在檢測定時器時長內檢查收到的是地址分配成功的Reply報文還是地址分配失敗的Reply報文,檢測定時器超時後收到的Reply報文不做檢查直接轉發。
開啟本功能後,中繼上Reply報文的轉發機製如下:
· 如果中繼收到的第一個Reply報文為地址分配成功報文,則將其轉發給客戶端,檢測定時器時長內收到的發送給該客戶端的其它Reply報文直接丟棄,客戶端成功獲得IPv6地址。
· 如果中繼收到的第一個Reply報文為地址分配失敗報文,則緩存該報文:
¡ 若檢測定時器時長內中繼又收到了分配成功的Reply報文,則丟棄分配失敗報文,將分配成功報文轉發給客戶端,客戶端成功獲得IPv6地址。
¡ 若檢測定時器時長內中繼沒有收到分配成功的Reply報文,則僅緩存第一個分配失敗報文,丟棄後續收到的分配失敗報文。檢測定時器超時後,正常轉發緩存的報文和後續收到的Reply報文。
對於大部分客戶端:
· 在檢測定時器時長內中繼轉發給客戶端的Reply報文是有效的,客戶端可以使用分配到的IPv6地址;
· 在檢測定時器超時後,中繼轉發給客戶端的Reply報文,會被客戶端基於自身的地址請求定時器超時機製判定為無效報文而被客戶端丟棄,客戶端將重新發送Confirm請求報文。
表3-18 開啟DHCPv6中繼對Confirm請求報文的Reply報文的檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6中繼對Confirm請求報文的Reply報文的檢查功能 |
ipv6 dhcp relay confirm-reply-check |
缺省情況下,DHCPv6中繼對Confirm請求報文的Reply報文的檢查功能處於關閉狀態 |
在分布式EVPN組網環境中,所有分布式EVPN網關設備的VSI接口的IPv6地址相同,分布式EVPN網關需要開啟DHCPv6中繼功能。客戶端發送請求報文給對應的分布式網關後,網關記錄該DHCPv6請求報文中DHCPv6客戶端的MAC地址和中繼出接口的對應關係,再將報文轉發給DHCPv6服務器。如果另一台分布式網關收到DHCPv6服務器的應答報文後,就會發現該設備並未記錄該DHCPv6應答報文中DHCPv6客戶端的MAC地址和中繼出接口的對應關係。缺省情況下,該設備會直接丟棄該DHCPv6應答報文,就會導致DHCPv6客戶端無法獲取到IPv6地址或IPv6前綴。在DHCPv6服務器接入的分布式EVPN網關上配置本功能後,如果設備發現並未記錄收到的DHCPv6應答報文中DHCPv6客戶端的MAC地址和中繼出接口的對應關係,則根據客戶端的MAC地址查詢MAC地址表,在表項對應的出接口轉發DHCPv6應答報文,保證DHCPv6客戶端能夠收到應答報文。
配置DHCPv6中繼單播轉發DHCPv6應答報文方式時,DHCPv6應答報文對應的DHCPv6客戶端上行的DHCPv6中繼收到DHCPv6應答報文,直接按照MAC地址轉發該報文。因此DHCPv6中繼無法感知到DHCPv6客戶端上線,也就不會記錄DHCPv6中繼用戶地址表項。指定了broadcast參數後,DHCPv6應答報文對應的DHCPv6客戶端上行的DHCPv6中繼收到的DHCPv6應答報文後,會上送CPU處理,在表項對應的出接口廣播DHCP應答報文。如果DHCPv6客戶端上行的DHCPv6中繼開啟了DHCPv6中繼用戶地址表項記錄功能,就可以記錄DHCPv6客戶端的用戶地址表項。
分布式EVPN組網環境中,DHCPv6服務器發送給DHCPv6中繼的應答報文中必須攜帶客戶端的MAC地址,在DHCPv6中繼上配置的本功能才能生效。因此必須在DHCPv6中繼上先通過ipv6 dhcp relay interface-id user-mac命令將客戶端MAC地址填充到DHCPv6請求報文的Option 18選項中,DHCPv6服務器在回應報文時才會攜帶此選項,從而保證應答報文中包含客戶端的MAC地址信息。
表3-19 配置DHCPv6中繼按照MAC地址表轉發DHCPv6應答報文
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置如果DHCPv6中繼未記錄收到的DHCPv6應答報文中DHCPv6客戶端的MAC地址和中繼出接口的對應關係,則根據客戶端的MAC地址查詢MAC地址表,在表項對應的出接口轉發DHCPv6應答報文。 |
ipv6 dhcp relay mac-forward enable [ broadcast ] |
缺省情況下,如果DHCPv6中繼未記錄收到的DHCPv6應答報文中DHCPv6客戶端的MAC地址和中繼出接口的對應關係,則直接丟棄該應答報文。 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6中繼的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6中繼的統計信息。
表3-20 DHCPv6中繼顯示和維護
|
操作 |
命令 |
|
顯示本設備DUID |
display ipv6 dhcp duid |
|
顯示DHCPv6中繼用戶地址表項信息 |
display ipv6 dhcp relay client-information address [ interface interface-type interface-number | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
顯示DHCPv6中繼用戶前綴表項信息 |
display ipv6 dhcp relay client-information pd [ interface interface-type interface-number | prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] |
|
顯示DHCPv6中繼記錄的M-LAG接口信息 |
display ipv6 dhcp relay m-lag-status |
|
顯示DHCPv6中繼上指定的DHCPv6服務器地址信息 |
display ipv6 dhcp relay server-address [ interface interface-type interface-number ] |
|
顯示DHCPv6中繼的相關報文統計信息 |
display ipv6 dhcp relay statistics [ interface interface-type interface-number ] |
|
清除DHCPv6中繼用戶地址表項信息 |
reset ipv6 dhcp relay client-information address [ interface interface-type interface-number | ipv6 ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
清除DHCPv6中繼用戶前綴表項信息 |
reset ipv6 dhcp relay client-information pd [ interface interface-type interface-number | prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] |
|
清除DHCPv6中繼的相關報文統計信息 |
reset ipv6 dhcp relay statistics [ interface interface-type interface-number ] |
· DHCPv6客戶端所在網絡地址為1::/64,DHCPv6服務器的地址為2::2/64。客戶端和服務器不在同一個鏈路範圍,需要通過DHCPv6中繼轉發報文。
· Switch A作為DHCPv6中繼,為客戶端和服務器轉發報文。
· Switch A同時作為1::/64網絡的網關設備,通過RA消息中的M標誌位和O標誌位指定該網絡中的主機通過DHCPv6獲取IPv6地址和其他網絡配置參數。RA消息的詳細介紹,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
圖3-3 DHCPv6中繼組網圖
# 配置VLAN接口2和VLAN接口3的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ipv6 address 2::1 64
[SwitchA-Vlan-interface2] quit
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ipv6 address 1::1 64
[SwitchA-Vlan-interface3] undo ipv6 nd ra halt
[SwitchA-Vlan-interface3] ipv6 nd autoconfig managed-address-flag
[SwitchA-Vlan-interface3] ipv6 nd autoconfig other-flag
# 配置VLAN接口3工作在DHCPv6中繼模式,並指定DHCPv6服務器地址。
[SwitchA-Vlan-interface3] ipv6 dhcp select relay
[SwitchA-Vlan-interface3] ipv6 dhcp relay server-address 2::2
# 完成上述配置後,查看DHCPv6中繼上指定的DHCPv6服務器地址信息。
[SwitchA-Vlan-interface3] display ipv6 dhcp relay server-address
Interface: Vlan-interface3
Server address Outgoing Interface Public/VRF name
2::2 --/--
# 查看DHCPv6中繼相關報文的統計信息。
[SwitchA-Vlan-interface3] display ipv6 dhcp relay statistics
Packets dropped : 0
Packets received : 14
Solicit : 0
Request : 0
Confirm : 0
Renew : 0
Rebind : 0
Release : 0
Decline : 0
Information-request : 7
Relay-forward : 0
Relay-reply : 7
Packets sent : 14
Advertise : 0
Reconfigure : 0
Reply : 7
Relay-forward : 7
Relay-reply : 0
設備作為DHCPv6客戶端時,可以具有如下功能:
· 通過DHCPv6獲取IPv6地址和網絡配置參數,並根據獲取的網絡配置參數自動創建DHCPv6選項組。
· 通過DHCPv6獲取IPv6前綴和網絡配置參數,並使用獲取的前綴作為本地設備的IPv6前綴(本地設備根據該前綴生成IPv6地址)、根據獲取的網絡配置參數自動創建DHCPv6選項組。
· 通過DHCPv6同時獲取IPv6地址、IPv6前綴和網絡配置參數,並使用獲取的前綴作為本地設備的IPv6前綴(本地設備根據該前綴生成IPv6地址)、根據獲取的網絡配置參數自動創建DHCPv6選項組。
· 通過DHCPv6無狀態配置獲取除IPv6地址/前綴外的其他網絡配置參數。DHCPv6客戶端通過地址無狀態自動配置功能成功獲取IPv6地址後,如果接收到的RA報文中M標誌位的取值為0、O標誌位的取值為1,則設備會自動啟動DHCPv6無狀態配置功能,以獲取除地址/前綴外的其他網絡配置參數。否則DHCPv6客戶端不會開啟無狀態配置過程。
建議不要在一個接口上同時配置DHCPv6客戶端和DHCPv6服務器功能,也不要在一個接口上同時配置DHCPv6客戶端和DHCPv6中繼功能,否則會影響功能正常使用。
表4-1 DHCPv6客戶端配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置接口使用的DHCPv6客戶端DUID |
可選 |
|
|
配置DHCPv6客戶端獲取IPv6地址和網絡配置參數 |
根據實際情況選擇其一 |
|
|
配置DHCPv6客戶端獲取IPv6前綴和網絡配置參數 |
||
|
配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數 |
||
|
配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數 |
||
|
配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級 |
可選 |
DHCPv6客戶端DUID用來填充DHCPv6報文的Option 1,作為識別DHCPv6客戶端的唯一標識。DHCPv6服務器可以根據DHCPv6客戶端DUID為特定的DHCPv6客戶端分配特定的IPv6地址。用戶可以通過以下三種方法指定DHCPv6客戶端DUID:ASCII字符串、十六進製數或使用指定接口的MAC地址作為DHCPv6客戶端DUID,以上三種方式都需要由用戶保證不同DHCPv6客戶端的DUID不會相同。
表4-2 配置接口使用的DHCPv6客戶端DUID
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口和VLAN接口視圖 |
interface interface-type interface-number |
- |
|
配置接口使用的DHCPv6客戶端DUID |
ipv6 dhcp client duid { ascii ascii-string | hex hex-string | mac interface-type interface-number } |
缺省情況下,根據設備的橋MAC地址生成DHCPv6客戶端DUID |
表4-3 配置DHCPv6客戶端獲取IPv6地址和網絡配置參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口和VLAN接口視圖 |
interface interface-type interface-number |
- |
|
配置接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6地址和其他網絡配置參數 |
ipv6 address dhcp-alloc [ option-group group-number | rapid-commit ] * |
缺省情況下,接口不會作為DHCPv6客戶端獲取IPv6地址和網絡配置參數 |
表4-4 配置DHCPv6客戶端獲取IPv6前綴和網絡配置參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入三層以太網接口、三層以太網子接口、三層聚合接口視圖、三層聚合子接口視圖和VLAN接口視圖 |
interface interface-type interface-number |
- |
|
配置接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6前綴和其他網絡配置參數 |
ipv6 dhcp client pd prefix-number [ option-group group-number | rapid-commit ]* |
缺省情況下,接口不會作為DHCPv6客戶端獲取IPv6前綴和網絡配置參數 |
表4-5 配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口和VLAN接口視圖 |
interface interface-type interface-number |
- |
|
配置接口作為DHCPv6客戶端,通過DHCPv6方式同時獲取IPv6地址、IPv6前綴和其他網絡配置參數 |
ipv6 dhcp client stateful prefix prefix-number [ option-group option-group-number | rapid-commit ] * |
缺省情況下,接口不會作為DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數 |
表4-6 配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口和VLAN接口視圖 |
interface interface-type interface-number |
- |
|
開啟IPv6地址無狀態自動配置功能 |
ipv6 address auto |
二者至少選其一 如果隻配置了ipv6 address auto命令,隻有接收到的RA報文中M標誌位的取值為0、O標誌位的取值為1時,設備才會自動啟動DHCPv6無狀態配置功能 缺省情況下,接口不會作為DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數 |
|
開啟DHCPv6客戶端無狀態配置功能 |
ipv6 dhcp client stateless enable |
ipv6 address auto命令的詳細介紹請參見“三層技術-IP業務命令參考”中的“IPv6基礎”。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6客戶端發送的DHCPv6報文的DSCP優先級。
表4-7 配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置DHCPv6客戶端發送的DHCPv6報文的DSCP優先級 |
ipv6 dhcp client dscp dscp-value |
缺省情況下,DHCPv6客戶端發送的DHCPv6報文的DSCP優先級為56 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6客戶端的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6客戶端的統計信息。
表4-8 DHCPv6客戶端顯示和維護
|
操作 |
命令 |
|
顯示DHCPv6客戶端的信息 |
display ipv6 dhcp client [ interface interface-type interface-number ] |
|
顯示DHCPv6客戶端的統計信息 |
display ipv6 dhcp client statistics [ interface interface-type interface-number ] |
|
清除DHCPv6客戶端的統計信息 |
reset ipv6 dhcp client statistics [ interface interface-type interface-number ] |
DHCPv6客戶端Switch從DHCPv6服務器獲取IPv6地址,以及網絡配置參數:DNS服務器地址、域名後綴、SIP服務器地址和SIP服務器域名。
DHCPv6客戶端根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
圖4-1 DHCPv6客戶端申請地址及網絡參數配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
# 配置VLAN接口2作為DHCPv6客戶端獲取IPv6地址及網絡參數,配置DHCPv6客戶端支持地址快速分配功能,並配置根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ipv6 address dhcp-alloc rapid-commit option-group 1
[Switch-Vlan-interface2] quit
# 顯示DHCPv6客戶端的信息。可以看出DHCPv6客戶端已經成功從DHCPv6服務器獲取IPv6地址及網絡參數。
[Switch] display ipv6 dhcp client
Vlan-interface2:
Type: Stateful client requesting address
State: OPEN
Client DUID: 0003000100e002000000
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:18
Server DUID: 0003000100e001000000
IA_NA: IAID 0x00000642, T1 50 sec, T2 80 sec
Address: 1:1::2/128
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 08:06:57 (198 seconds left)
DNS server addresses:
2000::FF
Domain name:
example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.com
# 顯示動態創建的DHCPv6選項組1的信息。
[Switch] display ipv6 dhcp option-group 1
DHCPv6 option group: 1
DNS server addresses:
Type: Dynamic (DHCPv6 address allocation)
Interface: Vlan-interface2
2000::FF
Domain name:
Type: Dynamic (DHCPv6 address allocation)
Interface: Vlan-interface2
example.com
SIP server addresses:
Type: Dynamic (DHCPv6 address allocation)
Interface: Vlan-interface2
2:2::4
SIP server domain names:
Type: Dynamic (DHCPv6 address allocation)
Interface: Vlan-interface2
bbb.com
# 查看獲取到的IPv6地址。
[Switch] display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
Vlan-interface2 up up 1:1::2
DHCPv6客戶端Switch從DHCPv6服務器獲取IPv6前綴,以及網絡配置參數:DNS服務器地址、域名後綴、SIP服務器地址和SIP服務器域名等。
DHCPv6客戶端Switch根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
圖4-2 DHCPv6客戶端申請前綴及網絡參數配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
# 在客戶端連接到DHCPv6服務器的VLAN接口2上配置IPv6地址。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ipv6 address 1::2/48
# 配置VLAN接口2作為DHCPv6客戶端獲取IPv6前綴及網絡參數,配置根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1,並配置DHCPv6客戶端支持前綴快速分配功能。
[Switch-Vlan-interface2] ipv6 dhcp client pd 1 rapid-commit option-group 1
[Switch-Vlan-interface2] quit
# 顯示DHCPv6客戶端的信息。可以看出DHCPv6客戶端已經成功從DHCPv6服務器獲取IPv6前綴及網絡參數。
[Switch] display ipv6 dhcp client
Vlan-interface2:
Type: Stateful client requesting prefix
State: OPEN
Client DUID: 0003000100e002000000
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:18
Server DUID: 0003000100e001000000
IA_PD: IAID 0x00000642, T1 50 sec, T2 80 sec
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Feb 4 2014 at 15:37:20(80 seconds left)
DNS server addresses:
2000::FF
Domain name:
example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.com
# 顯示動態創建的IPv6前綴1的信息。
[Switch] display ipv6 prefix 1
Number: 1
Type : Dynamic
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
# 顯示動態創建的DHCPv6選項組1的信息。
[Switch] display ipv6 dhcp option-group 1
DHCPv6 option group: 1
DNS server addresses:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: Vlan-interface2
2000::FF
Domain name:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: Vlan-interface2
example.com
SIP server addresses:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: Vlan-interface2
2:2::4
SIP server domain names:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: Vlan-interface2
bbb.com
DHCPv6客戶端Switch從DHCPv6服務器同時獲取IPv6地址、IPv6前綴,以及網絡配置參數:DNS服務器地址、域名後綴、SIP服務器地址和SIP服務器域名等。
DHCPv6客戶端Switch根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
圖4-3 DHCPv6客戶端同時申請地址、前綴及網絡參數配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
# 在客戶端連接到DHCPv6服務器的VLAN接口2上配置IPv6地址。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ipv6 address 1::2/48
# 配置VLAN接口2作為DHCPv6客戶端獲取IPv6前綴及網絡參數,配置根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1,並配置DHCPv6客戶端支持前綴快速分配功能。
[Switch-Vlan-interface2] ipv6 dhcp client stateful prefix 1 rapid-commit option-group 1
[Switch-Vlan-interface2] quit
# 顯示DHCPv6客戶端的信息。可以看出DHCPv6客戶端已經成功從DHCPv6服務器獲取IPv6前綴及網絡參數。
[Switch] display ipv6 dhcp client
Vlan-interface2:
Type: Stateful client requesting address and prefix
State: OPEN
Client DUID: 0003000100e002000000
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:18
Server DUID: 0003000100e001000000
IA_NA: IAID 0x00000642, T1 50 sec, T2 80 sec
Address: 1:1::2/128
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 08:02:00 (199 seconds left)
IA_PD: IAID 0x00000642, T1 50 sec, T2 80 sec
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 08:02:00 (199 seconds left)
DNS server addresses:
2000::FF
Domain name:
example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.com
# 查看獲取到的IPv6地址。
[Switch] display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
Vlan-interface2 up up 1:1::2
# 顯示動態創建的IPv6前綴1的信息。
[Switch] display ipv6 prefix 1
Number: 1
Type : Dynamic
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
# 顯示動態創建的DHCPv6選項組1的信息。
[Switch] display ipv6 dhcp option-group 1
DNS server addresses:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: Vlan-interface2
2000::FF
Domain name:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: Vlan-interface2
example.com
SIP server addresses:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: Vlan-interface2
2:2::4
SIP server domain names:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: Vlan-interface2
bbb.com
以上三條display命令可以看到客戶端獲取到的地址信息、前綴信息和網絡參數。
· DHCPv6客戶端Switch A通過DHCPv6無狀態配置獲取域名服務器、域名等信息;
· Switch B作為網關,周期性發布RA消息。
圖4-4 DHCPv6無狀態配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
(1) 配置網關Switch B
# 配置VLAN接口2的IPv6地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ipv6 address 1::1 64
# 配置RA消息中O標誌位為1。
[SwitchB-Vlan-interface2] ipv6 nd autoconfig other-flag
# 在VLAN接口2上配置允許發送RA消息。
[SwitchB-Vlan-interface2] undo ipv6 nd ra halt
(2) 配置DHCPv6客戶端Switch A
# 在VLAN接口2上使能IPv6地址無狀態自動配置功能。
<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ipv6 address auto
執行此命令後,如果VLAN接口2下未配置地址,Switch A會自動生成鏈路本地地址,並主動發送RS(Router Solicitation,路由器請求)報文,請求網關Switch B立即回應RA報文。
如果收到的RA報文中M標誌位為0、O標誌位為1,Switch A就會啟動DHCPv6客戶端無狀態配置。
# 可以通過display ipv6 dhcp client命令查看當前客戶端的配置信息,如果從服務器成功獲取了配置,將會有類似的顯示信息。
[SwitchA-Vlan-interface2] display ipv6 dhcp client interface vlan-interface 2
Vlan-interface2:
Type: Stateless client
State: OPEN
Client DUID: 00030001000fe2ff0000
Preferred server:
Reachable via address: FE80::213:7FFF:FEF6:C818
Server DUID: 0003000100137ff6c818
DNS server addresses:
1:2:4::5
1:2:4::7
Domain name:
abc.com
# 可以通過display ipv6 dhcp client statistics命令查看當前客戶端的統計信息。
[SwitchA-Vlan-interface2] display ipv6 dhcp client statistics
Interface : Vlan-interface2
Packets received : 1
Reply : 1
Advertise : 0
Reconfigure : 0
Invalid : 0
Packets sent : 5
Solicit : 0
Request : 0
Renew : 0
Rebind : 0
Information-request : 5
Release : 0
Decline : 0
設備隻有位於DHCPv6客戶端與DHCPv6服務器之間,或DHCPv6客戶端與DHCPv6中繼之間時,DHCPv6 Snooping功能配置後才能正常工作;設備位於DHCPv6服務器與DHCPv6中繼之間時,DHCPv6 Snooping功能配置後不能正常工作。
為了使DHCPv6客戶端能從合法的DHCPv6服務器獲取IPv6地址,必須將與合法DHCPv6服務器相連的端口設置為信任端口,且設置的信任端口和與DHCPv6客戶端相連的端口必須在同一個VLAN內。
如果二層以太網接口加入了聚合組,則加入聚合組之前和加入聚合組之後在該接口上進行的DHCPv6 Snooping相關配置不會生效;該接口退出聚合組後,DHCPv6 Snooping的配置才會生效。
DHCPv6 Snooping是DHCPv6的一種安全特性,具有如下功能:
網絡中如果存在私自架設的非法DHCPv6服務器,則可能導致DHCPv6客戶端獲取錯誤的IPv6地址和網絡配置參數,從而無法正常通信。為了使DHCPv6客戶端能通過合法的DHCPv6服務器獲取IPv6地址,DHCPv6 Snooping安全機製允許將端口設置為信任端口和不信任端口:
· 信任端口正常轉發接收到的DHCPv6報文。
· 不信任端口接收到DHCPv6服務器發送的應答報文後,丟棄該報文。
如圖5-1所示,在DHCPv6 Snooping設備上指向DHCPv6服務器方向的端口需要設置為信任端口,其他端口設置為不信任端口,從而保證DHCPv6客戶端隻能從合法的DHCPv6服務器獲取地址,私自架設的非法DHCPv6服務器無法為DHCPv6客戶端分配地址。
DHCPv6 Snooping通過監聽DHCPv6報文,記錄DHCPv6 Snooping表項,其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。網絡管理員可以通過display ipv6 dhcp snooping binding命令查看客戶端獲取的IPv6地址信息,以便了解用戶上網時所用的IPv6地址,並對其進行管理和監控。
DHCPv6 Snooping通過監聽DHCPv6報文中的前綴和收到DHCPv6請求報文的端口信息,記錄DHCPv6 Snooping前綴表項,其中包括客戶端獲取到的IPv6前綴、租約信息、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。網絡管理員可以通過display ipv6 dhcp snooping pd binding命令查看客戶端獲取的IPv6前綴信息,以便了解用戶上網時所用的IPv6前綴,並對其進行管理和監控。
在網絡中,為了提高DHCPv6 Snooping設備的可靠性,可以配置M-LAG組網下的DHCPv6功能。將兩台DHCPv6 Snooping設備在聚合層麵虛擬成一台設備來實現跨設備鏈路聚合,從而提供設備級冗餘保護和流量負載分擔。管理員可以通過執行display ipv6 dhcp snooping m-lag-status命令和display ipv6 dhcp snooping m-lag-statistics命令查看M-LAG同步給DHCPv6 Snooping的狀態信息和統計信息,來判斷M-LAG組網環境中的DHCPv6 Snooping功能是否工作正常。
關於M-LAG的詳細介紹,請參見“二層技術—以太網交換配置指導”中的“M-LAG”。
圖5-2 M-LAG組網下的DHCPv6 Snooping功能組網圖
表5-1 DHCPv6 Snooping配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置DHCPv6 Snooping基本功能 |
必選 |
|
|
配置DHCPv6 Snooping支持Option 18與Option 37功能 |
可選 |
|
|
配置DHCPv6 Snooping表項備份功能 |
可選 |
|
|
配置接口動態學習DHCPv6 Snooping 表項的最大數目 |
可選 |
|
|
配置DHCPv6 Snooping報文限速功能 |
可選 |
|
|
開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能 |
可選 |
|
|
開啟DHCPv6 Snooping報文阻斷功能 |
可選 |
|
|
開啟DHCPv6 Snooping的輕量級DHCPv6中繼功能 |
可選 |
|
|
開啟DHCPv6 Snooping的Relay-Forward報文檢查功能 |
可選 |
|
|
開啟DHCPv6 Snooping的用戶下線探測功能 |
可選 |
|
|
開啟DHCPv6 Snooping日誌信息功能 |
可選 |
|
|
開啟DHCPv6 Snooping報文丟棄告警功能 |
可選 |
|
|
關閉接口的DHCPv6 Snooping功能 |
可選 |
在一台DHCPv6 Snooping設備上,如果全局開啟了DHCPv6 Snooping功能,則設備上所有VLAN內的DHCPv6 Snooping功能也同時開啟。
對於某些組網來說,管理員隻需要在設備在某些特定VLAN內開啟DHCPv6 Snooping功能,而不需要在整個設備上開啟DHCPv6 Snooping功能。為了滿足此需求,設備支持在指定VLAN內開啟DHCPv6 Snooping功能,並在VLAN內配置DHCPv6 Snooping信任端口和開啟端口的DHCPv6 Snooping表項記錄功能。
在一台設備上,全局DHCPv6 Snooping功能和VLAN內的DHCPv6 Snooping功能關係如下:
· 如果全局開啟了DHCPv6 Snooping基本功能(包括開啟DHCPv6 Snooping功能、配置信任端口和配置DHCPv6 Snooping表項記錄功能),隻能使用對應的全局命令關閉功能,使用VLAN內的命令關閉功能不生效;
· 如果VLAN內開啟了DHCPv6 Snooping基本功能(包括開啟DHCPv6 Snooping功能、配置信任端口和配置DHCPv6 Snooping表項記錄功能),隻能使用對應的VLAN內命令關閉功能,使用全局命令關閉功能不生效。
表5-2 全局開啟DHCPv6 Snooping功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6 Snooping功能 |
ipv6 dhcp snooping enable |
缺省情況下,DHCPv6 Snooping功能處於關閉狀態 |
|
進入接口視圖 |
interface interface-type interface-number |
此接口為連接DHCPv6服務器的接口 |
|
配置DHCPv6 Snooping信任端口 |
ipv6 dhcp snooping trust |
缺省情況下,開啟DHCPv6 Snooping功能後,設備的所有端口均為不信任端口 |
|
退回係統視圖 |
quit |
- |
|
進入接口視圖 |
interface interface-type interface-number |
此接口為連接DHCPv6客戶端的接口 |
|
(可選)開啟端口的DHCPv6 Snooping表項記錄功能 |
· 開啟端口的DHCPv6 Snooping地址表項記錄功能: · 開啟端口的DHCPv6 Snooping前綴表項記錄功能: |
請至少選擇其中一項進行配置 缺省情況下,端口的DHCPv6 Snooping地址表項記錄功能處於關閉狀態; 缺省情況下,端口的DHCPv6 Snooping前綴表項記錄功能處於關閉狀態 |
表5-3 在VLAN中配置DHCPv6 Snooping基本功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
在指定VLAN內開啟DHCPv6 Snooping功能 |
ipv6 dhcp snooping enable vlan vlan-id-list |
缺省情況下,所有VLAN內的DHCPv6 Snooping功能處於關閉狀態 |
|
進入VLAN視圖 |
vlan vlan-id |
該VLAN為開啟了DHCPv6 Snooping功能的VLAN |
|
配置指定接口為VLAN下DHCPv6 Snooping功能的信任端口 |
ipv6 dhcp snooping trust interface interface-type interface-number |
缺省情況下,在開啟DHCPv6 Snooping功能後,VLAN內的所有接口均為不信任端口 |
|
(可選)開啟VLAN內的DHCPv6 Snooping表項記錄功能。 |
· 開啟VLAN內的DHCPv6 Snooping地址表項記錄功能: · 開啟VLAN內的DHCPv6 Snooping前綴表項記錄功能: |
請至少選擇其中一項進行配置 缺省情況下,VLAN內的DHCPv6 Snooping地址表項記錄功能處於關閉狀態; 缺省情況下,VLAN內的DHCPv6 Snooping前綴表項記錄功能處於關閉狀態 |
表5-4 配置DHCPv6 Snooping支持Option 18和Option 37功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6 Snooping支持Option 18功能 |
ipv6 dhcp snooping option interface-id enable |
缺省情況下,DHCPv6 Snooping支持Option 18功能處於關閉狀態 |
|
(可選)配置Option 18選項中的填充內容 |
ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id |
缺省情況下,Option 18選項中的填充內容為本設備的DUID |
|
開啟DHCPv6 Snooping支持Option 37功能 |
ipv6 dhcp snooping option remote-id enable |
缺省情況下,DHCPv6 Snooping支持Option 37功能處於關閉狀態 |
|
(可選)配置Option 37選項中的DUID |
ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id |
缺省情況下,Option 37選項中的DUID為本設備的DUID |
DHCPv6 Snooping設備重啟後,設備上記錄的DHCPv6 Snooping表項將丟失。如果DHCPv6 Snooping與其他特性(如IP Source Guard)配合使用,表項丟失會導致安全特性無法通過DHCPv6 Snooping獲取到相應的表項,進而導致DHCPv6客戶端不能順利通過安全檢查、正常訪問網絡。
DHCPv6 Snooping表項備份功能將DHCPv6 Snooping表項保存到指定的文件中,DHCPv6 Snooping設備重啟後,自動根據該文件恢複DHCPv6 Snooping表項,從而保證DHCPv6 Snooping表項不會丟失。
表5-5 配置DHCPv6 Snooping表項固化功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定存儲DHCPv6 Snooping表項的文件名稱 |
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] } |
缺省情況下,未指定存儲文件名稱 執行本命令後,會立即觸發一次表項備份。之後,如果未配置ipv6 dhcp snooping binding database update interval命令,若表項發生變化,默認在300秒之後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件。如果配置了ipv6 dhcp snooping binding database update interval命令,若表項發生變化,則到達刷新時間間隔後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件 |
|
(可選)將當前的DHCPv6 Snooping表項保存到用戶指定的文件中 |
ipv6 dhcp snooping binding database update now |
本命令隻用來觸發一次DHCPv6 Snooping表項的備份 |
|
(可選)配置刷新DHCPv6 Snooping表項存儲文件的延遲時間 |
ipv6 dhcp snooping binding database update interval interval |
缺省情況下,若DHCPv6 Snooping表項不變化,則不刷新存儲文件;若DHCPv6 Snooping表項發生變化,默認在300秒之後刷新存儲文件 |
執行undo ipv6 dhcp snooping enable命令關閉DHCPv6 Snooping功能後,設備會刪除所有DHCPv6 Snooping表項,文件中存儲的DHCPv6 Snooping表項也將被刪除。
通過本配置可以限製接口動態學習DHCPv6 Snooping表項的最大數目,以防止接口學習到大量DHCPv6 Snooping表項,占用過多的係統資源。
表5-6 配置接口動態學習DHCPv6 Snooping表項的最大數目
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置接口動態學習DHCPv6 Snooping表項的最大數目 |
ipv6 dhcp snooping max-learning-num max-number |
缺省情況下,不限製接口動態學習DHCPv6 Snooping表項的數目 |
為了避免非法用戶發送大量的DHCPv6報文,對網絡造成攻擊,DHCPv6 Snooping支持報文限速功能,限製接口接收DHCPv6報文的速率。當接口接收的DHCPv6報文速率超過限製的最高速率時,DHCPv6 Snooping設備將丟棄超過速率限製的報文。
表5-7 開啟DHCPv6 Snooping報文限速功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6 Snooping的報文限速功能 |
ipv6 dhcp snooping rate-limit rate |
缺省情況下, DHCPv6 Snooping的報文限速功能處於關閉狀態,即不限製接口接收DHCPv6報文的速率 如果二層以太網接口加入了聚合組,則該接口采用對應二層聚合接口下的DHCPv6 Snooping的報文限速配置。如果二層以太網接口離開聚合組,則該接口采用二層以太網接口下的DHCPv6 Snooping的報文限速配置 |
本功能用來檢查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三種DHCPv6請求方向的報文,以防止非法客戶端偽造這三種報文對DHCPv6服務器進行攻擊。
偽造DHCPv6-Renew報文攻擊是指攻擊者冒充合法的DHCPv6客戶端,向DHCPv6服務器發送偽造的DHCPv6-Renew報文,導致DHCPv6服務器和DHCPv6客戶端無法按照自己的意願及時釋放IPv6地址租約。如果攻擊者冒充不同的DHCPv6客戶端發送大量偽造的DHCPv6-Renew報文,則會導致大量IPv6地址被長時間占用,DHCPv6服務器沒有足夠的地址分配給新的DHCPv6客戶端。
偽造DHCPv6-Decline/DHCPv6-Release報文攻擊是指攻擊者冒充合法的DHCPv6客戶端,向DHCPv6服務器發送偽造的DHCPv6-Decline/DHCPv6-Release報文,導致DHCPv6服務器錯誤終止IPv6地址租約。
在DHCPv6 Snooping設備上開啟DHCPv6請求方向報文檢查功能,可以有效地防止偽造DHCPv6請求方向報文攻擊。如果開啟了該功能,則DHCPv6 Snooping設備接收到上述報文後,檢查本地是否存在與請求方向報文匹配的DHCPv6 Snooping表項。若存在,則接收報文信息與DHCPv6 Snooping表項信息一致時,認為該報文為合法的DHCPv6請求方向報文,將其轉發給DHCPv6服務器;不一致時,認為該報文為偽造的DHCPv6請求方向報文,將其丟棄。若不存在,則認為該報文合法,將其轉發給DHCPv6服務器。
表5-8 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能 |
ipv6 dhcp snooping check request-message |
缺省情況下,DHCPv6 Snooping的DHCPv6請求方向報文檢查功能處於關閉狀態 |
在某些組網環境下,用戶需要在DHCPv6 Snooping設備的某一端口上丟棄該端口收到的所有DHCPv6請求方向報文,而又不影響其他端口正常接收DHCPv6報文。這時,用戶可以在該端口上開啟DHCP Snooping報文阻斷功能。
在端口上開啟本功能後,DHCPv6 Snooping設備會丟棄該端口收到的所有DHCPv6請求方向報文,這將導致該端口上的DHCPv6客戶端無法申請到IPv6地址或IPv6前綴。因此,本功能隻能在未連接DHCPv6客戶端的端口上開啟。
表5-9 開啟DHCPv6 Snooping報文阻斷功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6 Snooping報文阻斷功能 |
ipv6 dhcp snooping deny |
缺省情況下,端口的DHCPv6 Snooping報文阻斷功能處於關閉狀態 |
對於某些DHCPv6服務器,隻支持解析Relay-Forward報文中的Interface ID選項信息,進而為對應的DHCPv6客戶端分配指定的IPv6地址或前綴。如果某些DHCPv6客戶端和DHCPv6服務器之間不存在DHCPv6中繼,則DHCPv6服務器就無法根據Interface ID選項為DHCPv6客戶端分配指定的IPv6地址或前綴。
在DHCPv6 Snooping上開啟本功能後,對應端口收到DHCPv6客戶端的請求報文後,生成對應的Relay-Forward報文,並在Relay-Forward報文中添加Interface ID選項,再將報文發送給DHCPv6服務器。就能實現DHCPv6服務器為客戶端分配指定地址或前綴的需求。
表5-10 開啟DHCPv6 Snooping的輕量級DHCPv6中繼功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6 Snooping的輕量級DHCPv6中繼功能。 |
ipv6 dhcp snooping relay-agent enable [ trust ] |
缺省情況下,DHCPv6 Snooping的輕量級DHCPv6中繼功能處於關閉狀態 |
當DHCPv6中繼收到DHCPv6請求報文後,會生成和請求報文對應的Relay-Forward報文,且將客戶端信息添加到報文的Option 79選項,再將該報文轉發給DHCPv6服務器。DHCPv6 Snooping設備隻有位於DHCPv6客戶端與DHCPv6服務器之間,或DHCPv6客戶端與DHCPv6中繼之間時,才能正常工作。當DHCPv6 Snooping收到Relay-Forward報文時,表示DHCPv6 Snooping設備位於DHCPv6中繼與DHCPv6服務器之間,DHCPv6 Snooping無法正常工作。開啟本功能後,當DHCPv6 Snooping收到Relay-Forward報文時,直接丟棄該報文。當丟棄的報文數大於或等於閾值時,DHCPv6 Snooping會生成日誌信息。管理員看到相關日誌信息後,可以及時調整DHCPv6設備的位置,使DHCPv6 Snooping可以正常工作。
表5-11 開啟DHCPv6 Snooping的Relay-Forward報文檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟DHCPv6 Snooping報文阻斷功能 |
ipv6 dhcp snooping check relay-forward |
缺省情況下,DHCPv6 Snooping的Relay-Forward報文檢查功能處於關閉狀態 |
當DHCPv6客戶端非正常下線時,不會向DHCPv6服務器發送報文釋放地址或前綴租約,這會使DHCPv6服務器上無法獲知DHCPv6客戶端下線,導致地址或前綴租約浪費。開啟本功能後,當設備上的某條ND表項老化後,DHCPv6 Snooping就認為該表項對應的DHCPv6客戶端已經下線,則DHCPv6 Snooping會刪除對應的DHCPv6 Snooping表項,並構造Release報文通知DHCPv6服務器刪除對應的地址或前綴租約。
表5-12 開啟DHCPv6 Snooping的用戶下線探測功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6 Snooping的用戶下線探測功能 |
ipv6 dhcp snooping client-detect |
缺省情況下,DHCPv6 Snooping的用戶下線探測功能處於關閉狀態 |
DHCPv6 Snooping日誌是為了滿足管理員的審計需求。DHCPv6 Snooping設備生成DHCPv6 Snooping日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
當DHCPv6 Snooping設備輸出大量日誌信息時,可能會降低設備性能。為了避免該情況的發生,用戶可以關閉DHCPv6 Snooping日誌信息功能,使得DHCPv6 Snooping設備不再輸出日誌信息。
表5-13 開啟DHCPv6 Snooping日誌信息功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6 Snooping日誌信息功能 |
ipv6 dhcp snooping log enable |
缺省情況下,DHCPv6 Snooping日誌信息功能處於關閉狀態 |
開啟本功能後,當指定檢查功能丟棄的報文數大於或等於通過ipv6 dhcp snooping alarm threshold命令指定的報文丟棄告警閾值後,設備就會生成相應的告警日誌信息,並將日誌信息交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
隻有首先執行ipv6 dhcp snooping log enable命令開啟DHCPv6 Snooping日誌信息功能後,本功能才能生效。
表5-14 開啟DHCPv6 Snooping日誌信息功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟DHCPv6 Snooping報文丟棄告警功能 |
ipv6 dhcp snooping alarm { relay-forward | request-message } enable |
缺省情況下,DHCPv6 Snooping報文丟棄告警功能處於關閉狀態 |
|
設置DHCPv6 Snooping報文丟棄告警閾值 |
ipv6 dhcp snooping alarm { relay-forward | request-message } threshold threshold |
缺省情況下,DHCPv6 Snooping報文丟棄告警閾值為100 |
當管理員在設備或VLAN中開啟DHCPv6 Snooping功能後,該設備或整個VLAN內的所有接口也都開啟了DHCPv6 Snooping功能。為了靈活控製DHCPv6 Snooping功能生效的接口範圍,用戶可以通過本功能關閉某個接口上的DHCPv6 Snooping功能。
表5-15 關閉接口的DHCPv6 Snooping功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
關閉接口的DHCPv6 Snooping功能 |
ipv6 dhcp snooping disable |
缺省情況下,若接口所在設備或VLAN上已經開啟DHCPv6 Snooping功能,則接口的DHCPv6 Snooping功能處於開啟狀態;若接口所在設備或VLAN上未開啟DHCPv6 Snooping功能,則接口的DHCPv6 Snooping功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示DHCPv6 Snooping的配置情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6 Snooping表項信息。
|
操作 |
命令 |
|
顯示DHCPv6 Snooping信任端口信息 |
display ipv6 dhcp snooping trust |
|
顯示DHCPv6 Snooping地址表項信息 |
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] | interface interface-type interface-number ] |
|
顯示DHCPv6 Snooping表項備份信息 |
display ipv6 dhcp snooping binding database |
|
顯示M-LAG組網中DHCPv6 Snooping記錄的同步表項統計信息 |
display ipv6 dhcp snooping m-lag-statistics [ old-version ] |
|
顯示DHCPv6 Snooping記錄的M-LAG接口信息 |
display ipv6 dhcp snooping m-lag-status |
|
顯示DHCPv6 Snooping設備上的DHCPv6報文統計信息(獨立運行模式) |
display ipv6 dhcp snooping packet statistics [ slot slot-number ] |
|
顯示DHCPv6 Snooping設備上的DHCPv6報文統計信息(IRF模式) |
display ipv6 dhcp snooping packet statistics [ chassis chassis-number slot slot-number ] |
|
顯示DHCPv6 Snooping前綴表項信息 |
display ipv6 dhcp snooping pd binding [ prefix prefix/prefix-length [ vlan vlan-id ] | interface interface-type interface-number ] |
|
清除DHCPv6 Snooping地址表項信息 |
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] } |
|
清除DHCPv6 Snooping記錄的M-LAG同步表項統計信息 |
reset ipv6 dhcp snooping m-lag-statistics |
|
清除DHCPv6 Snooping設備上的DHCPv6報文統計信息(獨立運行模式) |
reset ipv6 dhcp snooping packet statistics [ slot slot-number ] |
|
清除DHCPv6 Snooping設備上的DHCPv6報文統計信息(IRF模式) |
reset ipv6 dhcp snooping packet statistics [ chassis chassis-number slot slot-number ] |
|
清除DHCPv6 Snooping前綴表項信息 |
reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] } |
Switch B通過以太網端口GigabitEthernet1/0/1連接到合法DHCPv6服務器,通過以太網端口GigabitEthernet1/0/3連接到非法服務器,通過GigabitEthernet1/0/2連接到DHCPv6客戶端。要求:
· 與合法DHCPv6服務器相連的端口可以轉發DHCPv6服務器的響應報文,而其他端口不轉發DHCPv6服務器的響應報文。
· 記錄DHCPv6客戶端IPv6地址及MAC地址的綁定關係。
圖5-3 DHCPv6 Snooping組網示意圖
# 開啟DHCPv6 Snooping功能。
<SwitchB> system-view
[SwitchB] ipv6 dhcp snooping enable
# 配置GigabitEthernet1/0/1端口為信任端口。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上開啟安全表項功能。
[SwitchB]interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record
[SwitchB-GigabitEthernet1/0/2] quit
配置完成後,DHCPv6客戶端隻能夠從合法DHCPv6服務器獲取IPv6地址和其他配置信息,非法DHCPv6服務器無法為DHCPv6客戶端分配IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表項。
Switch B通過以太網端口GigabitEthernet1/0/1連接到合法DHCPv6服務器,通過以太網端口GigabitEthernet1/0/3連接到非法DHCPv6服務器,通過GigabitEthernet1/0/2連接到DHCPv6客戶端。要求:
· VLAN 100上與合法DHCPv6服務器相連的端口可以轉發DHCPv6服務器的響應報文,而其他端口不轉發DHCPv6服務器的響應報文。
· 記錄DHCPv6客戶端IPv6地址及MAC地址的綁定關係。
圖5-4 按VLAN開啟DHCPv6 Snooping配置組網示意圖
# 配置端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3為Access端口,允許VLAN 100通過。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/3
[SwitchB-vlan100] quit
# 在VLAN100內開啟DHCPv6 Snooping功能。
[SwitchB] ipv6 dhcp snooping enable vlan 100
# 指定端口GigabitEthernet1/0/1為VLAN 100下DHCPv6 Snooping功能的信任端口。
[SwitchB] vlan 100
[SwitchB-vlan100] ipv6 dhcp snooping trust interface gigabitethernet 1/0/1
# 在VLAN 100內開啟DHCPv6 Snooping表項記錄功能。
[SwitchB-vlan100] ipv6 dhcp snooping binding record
[SwitchB-vlan100] quit
配置完成後,DHCPv6客戶端隻能從合法DHCPv6服務器獲取IPv6地址和其它配置信息,非法DHCPv6服務器無法為DHCPv6客戶端分配IPv6地址和其他配置信息。且在Switch B上使用display ipv6 dhcp snooping binding可查詢到獲取到的DHCPv6 Snooping表項。
DHCPv6 guard功能可根據DHCPv6報文源地址、分配給用戶的IPv6地址或DHCPv6服務器優先級等信息對DHCPv6應答報文進行過濾,保證DHCPv6客戶端從指定的DHCPv6服務器上獲取前綴、地址或其他參數。為了應對不同位置DHCPv6客戶端的不同需求,管理員可在同一台設備上的不同VLAN或接口上引用不同的DHCPv6 guard策略。與DHCPv6 snooping功能相比,DHCPv6 guard功能可以對DHCPv6服務器進行更加精細地過濾。
設備收到DHCPv6請求方向報文後,DHCPv6 guard功能直接轉發該報文;收到DHCPv6應答方向報文後,按照如下順序過濾報文:
(1) 按照信任接口過濾報文:如果接口下或VLAN內所有接口下連接的都是符合要求的DHCPv6服務器,就需要在該接口或VLAN上引用的DHCPv6 guard策略中設置信任接口。否則,就不需要設置信任接口。DHCPv6 guard功能不檢查信任接口收到的DHCPv6應答報文是否符合要求,直接轉發這些報文。
(2) 按照設備角色過濾報文:
¡ 如圖6-1所示,隻有引用DHCPv6 guard策略的接口下未連接任何符合要求的DHCPv6服務器,管理員才能將DHCPv6 guard策略中的設備角色策略設置為DHCPv6客戶端。從連接的設備角色為客戶端的接口或VLAN收到DHCPv6應答方向報文後,DHCPv6 guard功能直接丟棄該報文。
¡ 如圖6-2所示,隻要引用DHCPv6 guard策略的接口下連接了符合要求的DHCPv6服務器,管理員就需要將DHCPv6 guard策略中的設備角色策略設置為DHCPv6服務器。從連接的設備角色為服務器的接口或VLAN收到DHCPv6應答方向報文後,DHCPv6 guard功能還支持按照如下DHCPv6 guard策略過濾報文:
- 對於Advertise報文,DHCPv6 guard功能既可根據ACL規則過濾掉不符合要求的DHCPv6服務器發送的應答報文;也可按照指定的DHCPv6服務器優先級過濾掉不符合要求的DHCPv6服務器發送的應答報文。
- 對於Reply報文,DHCPv6 guard功能可根據ACL規則過濾掉攜帶不符合要求的地址/前綴的DHCPv6應答報文。
DHCPv6應答報文隻有通過所有DHCPv6 guard策略檢查後,才能被轉發給DHCPv6客戶端。
配置了DHCPv6 guard功能的設備隻有位於DHCPv6客戶端與DHCPv6服務器之間,或DHCPv6客戶端與DHCPv6中繼之間時,DHCPv6 guard功能才能正常工作;設備位於DHCPv6服務器與DHCPv6中繼之間時,DHCPv6 guard功能不能正常工作。
當DHCPv6 guard功能配置在DHCPv6 Snooping設備上時,DHCPv6 guard功能和DHCPv6 Snooping功能可以同時生效。隻有從DHCPv6 Snooping的信任端口收到的DHCPv6應答報文,並通過DHCPv6 guard功能過濾後,才能被轉發,否則報文會被直接丟棄。
表6-1 DHCPv6 guard配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置DHCPv6 guard策略 |
必選 |
|
|
在接口上引用DHCPv6 guard策略 |
二者至少選其一 如果接口和接口所在VLAN都引用了DHCPv6 guard策略,該接口使用接口引用的DHCPv6 guard策略 |
|
|
在接口上引用DHCPv6 guard策略 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建DHCPv6 guard策略,並進入DHCPv6 guard策略視圖 |
ipv6 dhcp guard policy policy-name |
- |
|
設置引用DHCPv6 guard策略的接口或VLAN連接的設備角色 |
device-role { client | server } |
缺省情況下,引用DHCPv6 guard策略的接口或VLAN連接的設備角色為DHCPv6客戶端 |
|
設置DHCPv6服務器的匹配規則 |
if-match server acl { acl-number | name acl-name } |
缺省情況下,未設置DHCPv6服務器的匹配規則,DHCPv6 guard功能認為所有DHCPv6服務器都符合要求 |
|
設置DHCPv6服務器分配地址/前綴的匹配規則 |
if-match reply acl { acl-number | name acl-name } |
缺省情況下,未設置DHCPv6服務器分配地址/前綴的匹配規則,DHCPv6 guard功能認為DHCPv6服務器分配的所有地址/前綴都符合要求 |
|
設置DHCPv6服務器優先級的匹配範圍 |
preference { max max-value | min min-value } * |
缺省情況下,未設置DHCPv6服務器優先級的匹配範圍,優先級為1~255的DHCPv6服務器都符合要求 |
|
設置信任接口 |
trust port |
缺省情況下,未設置信任接口 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層接口視圖 |
interface interface-type interface-number |
- |
|
配置接口引用DHCPv6 guard策略 |
ipv6 dhcp guard apply policy policy-name |
缺省情況下,接口未引用DHCPv6 guard策略 |
表6-4 在VLAN內引用DHCPv6 guard策略
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個VLAN,並進入VLAN視圖 |
vlan vlan-number |
- |
|
配置VLAN引用DHCPv6 guard策略 |
ipv6 dhcp guard apply policy policy-name |
缺省情況下,VLAN未引用DHCPv6 guard策略 |
在完成上述配置後,在任意視圖下執行display命令可以顯示DHCPv6 guard的配置情況,通過查看顯示信息驗證配置的效果。
表6-5 DHCPv6 guard顯示和維護
|
操作 |
命令 |
|
顯示DHCPv6 guard策略信息 |
display ipv6 dhcp guard policy [ policy-name ] |
Switch通過以太網端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3分別連接到DHCPv6服務器1、DHCPv6服務器2和DHCPv6服務器3,通過以太網端口GigabitEthernet1/0/4連接到DHCPv6客戶端。所有DHCPv6服務器和DHCPv6客戶端都在VLAN 100內。DHCPv6服務器1上可分配的地址段範圍為2001::/64,DHCPv6服務器2上可分配的地址段範圍為2001::/64,DHCPv6服務器3上可分配的地址段範圍為2002::/64。要求:
· DHCPv6 guard轉發服務器IPv6地址在FE80::/12範圍內的DHCPv6服務器的響應報文,不轉發服務器IPv6地址在FE80::/12範圍外的DHCPv6服務器的響應報文。
· DHCPv6服務器隻能為DHCPv6客戶端分配前綴範圍為2001::/16的IPv6地址。
圖6-3 DHCPv6 guard組網示意圖
進行下麵的配置前,需要先完成所有DHCPv6服務器的配置。
# 創建VLAN100,並將接口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4添加到VLAN100中。
<Switch> system-view
[Switch] vlan 100
[Switch-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/4
[Switch-vlan100] quit
[Switch] acl ipv6 number 2001
# 創建規則1:僅允許源地址在FE80::/12網段的報文通過,拒絕源地址在其它網段的報文通過。
[Switch-acl-ipv6-basic-2001] rule 1 permit source fe80:: 12
[Switch-acl-ipv6-basic-2001] quit
# 創建一個編號為2002的IPv6基本ACL。
[Switch] acl ipv6 number 2002
# 創建規則1:僅允許源地址在2001::/16網段的報文通過,拒絕源地址在其它網段的報文通過。
[Switch-acl-ipv6-basic-2002] rule 1 permit source 2001:: 16
[Switch-acl-ipv6-basic-2002] quit
# 創建DHCPv6 guard策略p1。
[Switch] ipv6 dhcp guard policy p1
# 設置引用DHCPv6 guard策略的接口或VLAN連接的設備角色為DHCPv6服務器。
[Switch-dhcp6-guard-policy-p1] device-role server
# 設置DHCPv6服務器的ACL匹配規則編號為2001。
[Switch-dhcp6-guard-policy-p1] if-match server acl 2001
# 設置DHCPv6服務器分配地址/前綴的ACL匹配規則編號為2002。
[Switch-dhcp6-guard-policy-p1] if-match reply acl 2002
[Switch-dhcp6-guard-policy-p1] quit
# 配置DHCPv6 guard策略p2。
[Switch] ipv6 dhcp guard policy p2
# 設置引用DHCPv6 guard策略的接口或VLAN連接的設備角色為DHCPv6客戶端。
[Switch-dhcp6-guard-policy-p2] device-role client
[Switch-dhcp6-guard-policy-p2] quit
# 在VLAN 100內引用DHCPv6 guard策略p1。
[Switch] vlan 100
[Switch-vlan100] ipv6 dhcp guard apply policy p1
[Switch-vlan100] quit
# 在接口GigabitEthernet1/0/4上引用DHCPv6 guard策略p2。
[Switch]interface gigabitethernet 1/0/4
[Switch-GigabitEthernet1/0/4] ipv6 dhcp guard apply policy p2
[Switch-GigabitEthernet1/0/4] quit
配置完成後,DHCPv6 guard功能隻會將報文源地址在FE80::/12範圍內,且分配地址的前綴在2001::/16範圍內的DHCPv6應答報文轉發給DHCPv6客戶端,即隻有DHCPv6服務器1發送的DHCPv6應答報文才會被轉發給DHCPv6客戶端,DHCPv6服務器2和DHCPv6服務器3發送的DHCPv6應答報文會被丟棄。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
