- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-DHCPv6配置
本章節下載: 15-DHCPv6配置 (878.15 KB)
目 錄
2.6 配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配方式
2.7 配置DHCPv6策略動態分配IPv6地址、前綴和其他參數
2.8 配置DHCPv6服務器發送DHCPv6報文的DSCP優先級
2.10 開啟DHCPv6服務器為直連的DHCPv6客戶端發布前綴路由功能
3.4.1 指定DHCPv6中繼對應的DHCPv6服務器地址
3.5 配置DHCPv6中繼為DHCPv6客戶端分配的網關地址
3.6 配置DHCPv6中繼發送DHCPv6報文的DSCP優先級
3.7 配置DHCPv6中繼支持的Interface ID選項填充模式
3.8 開啟DHCPv6中繼支持添加Option 79選項功能
4.5 配置DHCPv6客戶端獲取IPv6地址和網絡配置參數
4.6 配置DHCPv6客戶端獲取IPv6前綴和網絡配置參數
4.7 配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數
4.8 配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數
4.9 配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級
4.11.3 DHCPv6客戶端同時申請地址、前綴及網絡參數配置舉例
5.1.1 保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴
5.1.2 記錄DHCPv6客戶端IPv6地址與MAC地址的對應關係
5.4.4 開啟端口的DHCPv6 Snooping表項記錄功能
5.5 配置DHCPv6 Snooping支持Option 18功能
5.6 配置DHCPv6 Snooping支持Option 37功能
5.8 配置接口動態學習DHCPv6 Snooping表項的最大數目
5.9 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能
5.13.1 DHCPv6 Snooping基本組網配置舉例
DHCPv6(Dynamic Host Configuration Protocol for IPv6,支持IPv6的動態主機配置協議)針對IPv6編址方案設計,用來為主機分配IPv6前綴、IPv6地址和其他網絡配置參數。
與其他IPv6地址分配方式(包括手工配置、通過路由器公告消息中的網絡前綴無狀態自動配置等,關於這兩種形式的配置,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”)相比,DHCPv6具有以下優點:
· 更好地控製地址的分配。通過DHCPv6不僅可以記錄為主機分配的地址,還可以為特定主機分配特定的地址,以便於網絡管理。
· 為客戶端分配前綴,以便於全網絡的自動配置和管理。
· 除了IPv6前綴、IPv6地址外,還可以為主機分配DNS服務器、域名後綴等網絡配置參數。
DHCPv6服務器為客戶端分配地址/前綴的過程分為兩類:
· 交互兩個消息的快速分配過程
· 交互四個消息的分配過程
圖1-1 地址/前綴快速分配過程
如圖1-1所示,地址/前綴快速分配過程為:
(1) DHCPv6客戶端在向DHCPv6服務器發送的Solicit消息中攜帶Rapid Commit選項,標識客戶端希望服務器能夠快速為其分配地址/前綴和其他網絡配置參數。
(2) 如果DHCPv6服務器支持快速分配過程,則直接返回Reply消息,為客戶端分配IPv6地址/前綴和其他網絡配置參數。如果DHCPv6服務器不支持快速分配過程,則采用“1.2.2 交互四個消息的分配過程”為客戶端分配IPv6地址/前綴和其他網絡配置參數。
交互四個消息的分配過程如圖1-2所示。
交互四個消息分配過程的簡述如表1-1。
|
步驟 |
發送的消息 |
說明 |
|
(1) |
Solicit |
DHCPv6客戶端發送該消息,請求DHCPv6服務器為其分配IPv6地址/前綴和網絡配置參數 |
|
(2) |
Advertise |
如果Solicit消息中沒有攜帶Rapid Commit選項,或Solicit消息中攜帶Rapid Commit選項,但服務器不支持快速分配過程,則DHCPv6服務器回複該消息,通知客戶端可以為其分配的地址/前綴和網絡配置參數 |
|
(3) |
Request |
如果DHCPv6客戶端接收到多個服務器回複的Advertise消息,則根據消息接收的先後順序、服務器優先級等,選擇其中一台服務器,並向該服務器發送Request消息,請求服務器確認為其分配地址/前綴和網絡配置參數 |
|
(4) |
Reply |
DHCPv6服務器回複該消息,確認將地址/前綴和網絡配置參數分配給客戶端使用 |
DHCPv6服務器分配給客戶端的IPv6地址/前綴具有一定的租借期限,該租借期限稱為租約。租借期限由有效生命期決定。地址/前綴的租借時間到達有效生命期後,DHCPv6客戶端不能再使用該地址/前綴。在有效生命期到達之前,如果DHCPv6客戶端希望繼續使用該地址/前綴,則需要申請延長地址/前綴租約。
圖1-3 通過Renew更新地址/前綴租約
如圖1-3所示,地址/前綴租借時間到達時間T1(推薦值為首選生命期的一半)時,DHCPv6客戶端會向為它分配地址/前綴的DHCPv6服務器發送Renew報文,以進行地址/前綴租約的更新。如果客戶端可以繼續使用該地址/前綴,則DHCPv6服務器回應續約成功的Reply報文,通知DHCPv6客戶端已經成功更新地址/前綴租約;如果該地址/前綴不可以再分配給該客戶端,則DHCPv6服務器回應續約失敗的Reply報文,通知客戶端不能獲得新的租約。
圖1-4 通過Rebind更新地址/前綴租約
如圖1-4所示,如果在T1時發送Renew請求更新租約,但是未收到DHCPv6服務器的回應報文,則DHCPv6客戶端會在T2(推薦值為首選生命期的0.8倍)時,向所有DHCPv6服務器組播發送Rebind報文請求更新租約。如果客戶端可以繼續使用該地址/前綴,則DHCPv6服務器回應續約成功的Reply報文,通知DHCPv6客戶端已經成功更新地址/前綴租約;如果該地址/前綴不可以再分配給該客戶端,則DHCPv6服務器回應續約失敗的Reply報文,通知客戶端不能獲得新的租約;如果DHCPv6客戶端未收到服務器的應答報文,則到達有效生命期後,客戶端停止使用該地址/前綴。有效生命期和首選生命期的詳細介紹請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
DHCPv6服務器可以為已經具有IPv6地址/前綴的客戶端分配其他網絡配置參數,該過程稱為DHCPv6無狀態配置。
DHCPv6客戶端通過地址無狀態自動配置功能成功獲取IPv6地址後,即DHCPv6客戶端根據路由器發現/前綴發現所獲取的信息自動配置IPv6地址後,如果接收到的RA(Router Advertisement,路由器通告)報文中M標誌位(Managed address configuration flag,被管理地址配置標誌位)取值為0、O標誌位(Other stateful configuration flag,其他配置標誌位)取值為1,則DHCPv6客戶端會自動啟動DHCPv6無狀態配置功能,以獲取除地址/前綴外的其他網絡配置參數。
圖1-5 DHCPv6無狀態配置工作過程
如圖1-5所示,DHCPv6無狀態配置的具體過程為:
(1) 客戶端以組播的方式向DHCPv6服務器發送Information-request報文,該報文中攜帶Option Request選項,指定客戶端需要從服務器獲取的配置參數。
(2) 服務器收到Information-request報文後,為客戶端分配網絡配置參數,並單播發送Reply報文將網絡配置參數返回給客戶端。
(3) 客戶端檢查Reply報文中提供的信息,如果與Information-request報文中請求的配置參數相符,則按照Reply報文中提供的參數進行網絡配置;否則,忽略該參數。如果接收到多個與請求相符的Reply報文,客戶端將選擇最先收到的Reply報文,並根據該報文中提供的參數完成客戶端無狀態配置。
Option 18稱為接口ID選項(Interface ID),設備接收到DHCPv6客戶端發送的DHCPv6請求報文後,在該報文中添加Option 18選項,並轉發給DHCPv6服務器。服務器可根據Option 18選項中的客戶端信息選擇合適的地址池為DHCPv6客戶端分配IPv6地址。圖1-6為Option 18選項格式。
圖1-6 Option 18選項格式
各字段的解釋如下:
· Option code:Option編號,取值為18。
· Option length:Option字段長度。
· Port index:DHCPv6設備收到客戶端請求報文的端口索引。
· VLAN ID:第一層VLAN信息。
· Second VLAN ID:第二層VLAN信息。選項格式中的Second VLAN ID字段為可選,如果DHCPv6報文中不含有Second VLAN,則Option 18中也不包含Second VLAN ID內容。
· DUID:DHCPv6客戶端的DUID信息。
Option 37稱為遠程ID選項(Remote ID),設備接收到DHCPv6客戶端發送的DHCPv6請求報文後,在該報文中添加Option 37選項,並轉發給DHCPv6服務器。服務器可根據Option 37選項中的信息對DHCPv6客戶端定位,為分配IPv6地址提供幫助。圖1-7為Option 37選項格式。
圖1-7 Option 37選項格式
各字段的解釋如下:
· Option code:Option編號,取值為37。
· Option length:Option字段長度。
· Enterprise number:企業編號。
· Port index:DHCPv6設備收到客戶端請求報文的端口索引。
· VLAN ID:第一層VLAN信息。
· Second VLAN ID:第二層VLAN信息。選項格式中的Second VLAN ID字段為可選,如果DHCPv6報文中不含有Second VLAN,則Option 37中也不包含Second VLAN ID內容。
· DUID:DHCPv6客戶端的DUID信息。
與DHCPv6相關的協議規範有:
· RFC 3736:Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6
· RFC 3315:Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
· RFC 2462:IPv6 Stateless Address Autoconfiguration
· RFC 3633:IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6
DHCPv6服務器可以為客戶端分配IPv6地址/前綴和其他網絡配置參數。
圖2-1 DHCPv6服務器為客戶端分配IPv6地址和其他網絡配置參數應用環境
如圖2-1所示,為了便於集中管理IPv6地址,簡化網絡配置,DHCPv6服務器可以用來為DHCPv6客戶端提供諸如IPv6地址、域名後綴、DNS服務器地址等網絡配置參數。DHCPv6客戶端根據服務器分配的參數來實現主機的配置。
DHCPv6服務器為客戶端分配的IPv6地址分為以下兩類:
· 臨時IPv6地址:在短期內經常變化且不用續約的地址;
· 非臨時IPv6地址:正常使用,可以進行續約的地址。
圖2-2 DHCPv6服務器前綴分配應用組網圖
如圖2-2所示,為了便於集中管理IPv6地址,簡化網絡配置,DHCPv6服務器可以用來為DHCPv6客戶端分配IPv6前綴。DHCPv6客戶端獲取到IPv6前綴後,向所在網絡組播發送包含該前綴信息的RA消息,以便網絡內的主機根據該前綴自動配置IPv6地址。
DHCPv6采用組播地址FF05::1:3來表示站點本地範圍內所有的DHCPv6服務器;采用組播地址FF02::1:2來表示鏈路本地範圍內所有的DHCPv6服務器和中繼。
DUID(DHCP Unique Identifier,DHCP唯一標識符)是一台DHCPv6設備(包括客戶端、服務器和中繼)的唯一標識。在DHCPv6報文交互過程中,DHCPv6客戶端、服務器和中繼通過在報文中添加DUID來標識自己。
目前,設備采用RFC 3315規定的DUID-LL(DUID Based on Link-layer Address,基於鏈路層地址的DUID)作為DHCPv6設備的標識。DUID-LL的結構如圖2-3所示:
· DUID type:DUID類型。設備支持的DUID類型為DUID-LL,取值為0x0003。
· Hardware type:硬件類型。設備支持的硬件類型為以太網,取值為0x0001。
· Link layer address:鏈路層地址。取值為設備的橋MAC地址。
IA(Identity Association,標識聯盟)用於管理分配給客戶端的一組地址和前綴等信息,通過IAID標識。一個客戶端可以有多個IA,如客戶端的每個接口擁有一個IA,IA用來管理該接口獲取的地址和前綴等信息。
IAID是IA的標識符,由客戶端選擇。在一個客戶端上不同IA的IAID不能相同。
PD(Prefix Delegation,前綴授權)是DHCPv6服務器為分配的前綴創建的前綴綁定信息,前綴綁定信息中記錄了IPv6前綴、客戶端DUID、IAID、有效時間、首選時間、租約過期時間、申請前綴的客戶端的IPv6地址等信息。
每個DHCPv6地址池都擁有一組可供分配的IPv6地址、IPv6前綴和網絡配置參數。DHCPv6服務器從地址池中為客戶端選擇並分配IPv6地址、IPv6前綴及其他參數。
· 靜態綁定IPv6地址:通過將客戶端DUID和IAID與IPv6地址綁定的方式,實現為特定的客戶端分配特定的IPv6地址;
· 動態選擇IPv6地址:在地址池中指定可供分配的IPv6地址範圍,當收到客戶端的IPv6地址申請時,從該地址範圍中動態選擇IPv6地址,分配給該客戶端。
在DHCPv6地址池中指定可供分配的IPv6地址範圍時,需要:
(1) 指定動態分配的IPv6地址網段。
(2) 將該網段劃分為非臨時地址範圍和臨時地址範圍。每個地址範圍內的地址必須屬於該網段,否則無法分配。
采用動態選擇IPv6地址方式時,如果接收到客戶端的地址申請,則DHCPv6服務器選擇一個合適的地址池,並按照客戶端申請的地址類型(非臨時地址或臨時地址),從該地址池對應的地址範圍(非臨時地址範圍或臨時地址範圍)中選擇合適的IPv6地址分配給客戶端。
DHCPv6地址池的前綴管理方式有以下幾種:
· 靜態綁定IPv6前綴:通過將客戶端DUID和IAID與IPv6前綴綁定的方式,實現為特定的客戶端分配特定的IPv6前綴;
· 動態選擇IPv6前綴:在地址池中指定可供分配的IPv6前綴範圍,當收到客戶端的IPv6前綴申請時,從該前綴範圍中動態選擇IPv6前綴,分配給該客戶端。
在DHCPv6地址池中指定可供分配的IPv6前綴範圍時,需要:
(1) 創建前綴池,指定前綴池中包括的IPv6前綴範圍。
(2) 在地址池中指定動態分配的IPv6地址網段。
(3) 在地址池中引用前綴池。
DHCPv6服務器為客戶端分配IPv6地址或前綴時,按照如下順序選擇地址池:
(1) 如果存在將客戶端DUID、IAID與IPv6地址或前綴靜態綁定的地址池,則選擇該地址池,並將靜態綁定的IPv6地址或前綴、及該地址池中的網絡參數分配給客戶端。
(2) 如果配置了DHCPv6策略,則DHCPv6客戶端匹配某個DHCPv6用戶類時,DHCPv6服務器選擇與該DHCPv6用戶類關聯的DHCPv6地址池;DHCPv6客戶端未匹配到DHCPv6用戶類時,若配置了默認DHCPv6地址池,則選擇該DHCPv6地址池;若未配置默認DHCPv6地址池或DHCPv6默認地址池不存在可供分配的IPv6地址或前綴時,IPv6地址、前綴或其他參數分配失敗。
(3) 如果接收到DHCPv6請求報文的接口引用了某個地址池,則選擇該地址池,從該地址池中選取IPv6地址或前綴、及網絡配置參數分配給客戶端。
(4) 如果上述條件均不滿足,則使用以下方法選擇DHCPv6地址池:
¡ 如果客戶端與服務器在同一網段,則將接收到DHCPv6請求報文的接口的IPv6地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
¡ 如果客戶端與服務器不在同一網段,即客戶端通過DHCPv6中繼獲取IPv6地址或前綴,則將離DHCPv6客戶端最近的DHCPv6中繼接口的IPv6地址與所有地址池配置的網段進行匹配,並選擇最長匹配的網段所對應的地址池。
配置地址池動態分配的網段和IPv6地址範圍時,請盡量保證與DHCPv6服務器接口或DHCPv6中繼接口的IPv6地址所在的網段一致,以免分配錯誤的IPv6地址。
DHCPv6服務器為客戶端分配IPv6地址/前綴的優先次序如下:
(1) DUID、IAID與客戶端DUID、IAID匹配,且與客戶端期望地址/前綴匹配的靜態綁定地址/前綴;
(2) DUID、IAID與客戶端DUID、IAID匹配的靜態綁定地址/前綴;
(3) DUID與客戶端的DUID匹配,且與客戶端期望地址/前綴匹配的靜態綁定地址/前綴,該地址/前綴中未指定客戶端的IAID;
(4) DUID與客戶端DUID匹配的靜態綁定地址/前綴,該地址/前綴中未指定客戶端的IAID;
(5) 地址池/前綴池中與客戶端期望地址/前綴匹配的空閑地址/前綴;
(6) 服務器記錄的曾經分配給客戶端的地址/前綴;
(7) 地址池/前綴池中的其他空閑地址/前綴;
(8) 如果未找到可用的地址/前綴,則依次查詢租約過期地址/前綴、曾經發生過衝突的地址,如果找到則進行分配,否則將不予處理。
如果客戶端的網段發生變化,服務器不會為客戶端分配曾經分配給它的地址/前綴,而是從匹配新網段的地址池中重新選擇地址/前綴等信息。
使用曾經發生過衝突的IPv6地址時,隻有衝突狀態超過一小時的地址租約才能夠被服務器分配給新的DHCPv6客戶端。
(1) 配置為DHCPv6客戶端分配IPv6前綴、IPv6地址和其他網絡參數
請至少選擇以下一項任務進行配置:
(2) 修改DHCPv6服務器的地址池選擇方式
請至少選擇以下一項任務進行配置:
¡ 配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配方式
¡ 配置DHCPv6策略動態分配IPv6地址、前綴和其他參數
(3) (可選)配置DHCPv6服務器發送DHCPv6報文的DSCP優先級
(4) (可選)配置DHCPv6服務器租約固化功能
(5) (可選)開啟DHCPv6服務器為直連的DHCPv6客戶端發布前綴路由功能
(6) (可選)配置DHCPv6服務器輔助路由信息
(7) (可選)指定DHCPv6服務器上的地址池所屬的VPN實例
(8) (可選)開啟DHCPv6服務器的日誌信息功能
可以通過以下兩種方式配置DHCPv6服務器為DHCPv6客戶端分配IPv6前綴:
· 在地址池中配置靜態綁定前綴:指定DUID、IAID及前綴的靜態綁定關係後,如果DHCPv6請求報文中的DUID、IAID與靜態綁定的DUID、IAID都相同,則將靜態綁定的前綴分配給此DHCPv6客戶端。如果隻指定了DUID和前綴的綁定關係,未指定靜態綁定的IAID,則隻要請求報文中的DUID與靜態綁定的DUID相同,就將靜態綁定的前綴分配給此DHCPv6客戶端。
· 在地址池中引用包含一定前綴範圍的前綴池:接收到DHCPv6客戶端的前綴分配請求後,DHCPv6服務器從前綴範圍中動態選擇可用前綴,分配給客戶端。
在實際組網中,某些前綴是保留前綴,不應該動態分配給客戶端。通過配置不參與自動分配的前綴,可以避免DHCPv6服務器分配這些前綴。
配置為DHCPv6客戶端分配IPv6前綴時,需要注意:
· 一個IPv6前綴隻能與一個客戶端綁定。不允許通過重複執行static-bind prefix命令的方式修改IPv6前綴與客戶端的綁定關係、前綴的首選生命期和有效生命期。隻有刪除該IPv6前綴的靜態綁定配置後,才能將該IPv6前綴與其他客戶端綁定,或修改前綴的首選生命期和有效生命期。
· 一個地址池最多可以引用一個前綴池。地址池可以引用並不存在的前綴池,但是,此時設備無法從該地址池中動態選擇前綴分配給客戶端。隻有創建該前綴池後,才能支持前綴的動態選擇。
· 不允許通過重複執行prefix-pool命令的方式修改地址池引用的前綴池、前綴的首選生命期和有效生命期。隻有取消當前地址池引用的前綴池後,才能引用其他的前綴池,或修改首選生命期和有效生命期。
(1) 進入係統視圖。
system-view
(2) (可選)配置不參與自動分配的IPv6前綴。
ipv6 dhcp server forbidden-prefix start-prefix/prefix-len [ end-prefix/prefix-len ] [ vpn-instance vpn-instance-name ]
缺省情況下,DHCPv6前綴池中的所有IPv6前綴都參與自動分配。
如果通過ipv6 dhcp server forbidden-prefix命令將已經靜態綁定的IPv6前綴配置為不參與自動分配的前綴,則該前綴仍然可以分配給靜態綁定的用戶。
(3) 創建前綴池。
ipv6 dhcp prefix-pool prefix-pool-number prefix { prefix-number | prefix/prefix-len } assign-len assign-len [ vpn-instance vpn-instance-name ]
僅在DHCPv6服務器為DHCPv6客戶端動態分配IPv6前綴時需要進行本配置。
當配置前綴池引用前綴編號時,必須保證指定前綴號有對應的生效前綴,否則配置不生效。
(4) 創建DHCPv6地址池,並進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(5) 配置動態分配的IPv6地址網段。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6地址網段。
不能在不同地址池下使用network命令配置相同的地址網段。
不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度。
(6) 配置地址池引用前綴信息。請至少選擇其中一項進行配置。
¡ 配置靜態綁定前綴。
static-bind prefix prefix/prefix-len duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] [ description description-text ]
缺省情況下,未配置地址池的靜態綁定前綴。
重複執行static-bind prefix命令,可以配置多個靜態綁定的IPv6前綴。
¡ 配置地址池引用前綴池。
prefix-pool prefix-pool-number [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置可動態分配的前綴。
可以通過以下兩種方式配置DHCPv6服務器為DHCPv6客戶端分配IPv6地址:
· 在地址池中配置靜態綁定地址:指定DUID、IAID及地址的靜態綁定關係後,如果DHCPv6請求報文中的DUID、IAID與靜態綁定的DUID、IAID都相同,則將靜態綁定的地址分配給此DHCPv6客戶端。如果隻指定了DUID和地址的綁定關係,未指定靜態綁定的IAID,則隻要請求報文中的DUID與靜態綁定的DUID相同,就將靜態綁定的地址分配給此DHCPv6客戶端。
· 在地址池中配置動態分配的地址網段和地址範圍:
¡ 在進行非臨時地址分配時,如果未在地址池下通過address range命令配置動態分配的IPv6非臨時地址範圍,則network命令指定的網段內的單播地址都可以分配給DHCPv6客戶端。如果配置了address range命令,則隻會從該地址範圍內分配IPv6非臨時地址,即使該範圍內的地址分配完畢,也不會從network命令指定的地址範圍內分配IPv6非臨時地址。
¡ 在進行臨時地址分配時,如果未在地址池下通過temporary address range命令配置動態分配的IPv6臨時地址範圍,則地址池無法分配臨時地址。如果配置了temporary address range命令,則隻會從該地址範圍內分配IPv6臨時地址,不會從network或者address range命令配置的地址範圍內分配臨時地址。
在實際組網中,某些地址是服務器的地址或者是保留地址,不應該動態分配給客戶端。通過配置不參與自動分配的地址,可以避免DHCPv6服務器分配這些地址。
配置為DHCPv6客戶端分配IPv6地址,需要注意:
· 一個地址池下隻能配置一個IPv6非臨時地址範圍和一個IPv6臨時地址範圍。
· address range命令和temporary address range命令配置的地址範圍應該在network命令配置的網段內,否則地址不能被分配。
· 一個IPv6地址隻能與一個客戶端綁定。不允許通過重複執行static-bind address命令的方式修改IPv6地址與客戶端的綁定關係、地址的首選生命期和有效生命期。隻有刪除該IPv6地址的靜態綁定配置後,才能通過重新配置將該IPv6地址與其他客戶端綁定,或修改地址的首選生命期和有效生命期。
· 每個DHCPv6地址池隻能配置一個網段,在相同地址池中重複執行network命令,新的配置會覆蓋已有配置。如果相鄰兩次network命令配置的地址網段相同而首選生命期和有效生命期不同,則新配置的首選生命期和有效生命期隻能在新生成的綁定信息中生效,原有綁定信息不受影響。
(1) 進入係統視圖。
system-view
(2) (可選)配置不參與自動分配的IPv6地址。
ipv6 dhcp server forbidden-address start-ipv6-address [ end-ipv6-address ] [ vpn-instance vpn-instance-name ]
缺省情況下,除DHCPv6服務器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都參與自動分配。
如果通過ipv6 dhcp server forbidden-address命令將已經靜態綁定的IPv6地址配置為不參與自動分配的地址,則該地址仍然可以分配給靜態綁定的用戶。
(3) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(4) 配置動態分配的IPv6地址網段。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6地址網段。
不能在不同地址池下使用network命令配置相同的地址網段。
不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度。
(5) (可選)配置動態分配的IPv6非臨時地址範圍。
address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置地址池中動態分配的IPv6非臨時地址範圍,整個網段內的單播地址都可以作為非臨時地址分配給客戶端。
(6) (可選)配置動態分配的IPv6臨時地址範圍。
temporary address range start-ipv6-address end-ipv6-adddress [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6臨時地址範圍,不能分配IPv6臨時地址。
(7) (可選)配置靜態綁定的IPv6地址。
static-bind address ipv6-address/addr-prefix-length duid duid [ iaid iaid ] [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] [ description description-text ]
缺省情況下,不存在靜態綁定的IPv6地址。
重複執行static-bind address命令,可以配置多個靜態綁定的IPv6地址。
除了分配IPv6地址和IPv6前綴外,DHCPv6地址池中還可以配置其他網絡參數,如在一個地址池下最多可以配置8個DNS服務器地址、1個域名、8個SIP服務器地址和8個SIP服務器域名等。
可以通過如下方式配置為DHCPv6客戶端分配的網絡參數:
· 直接在DHCPv6地址池視圖下配置網絡參數。
· 在DHCPv6選項組中配置網絡參數,並在DHCPv6地址池視圖下指定引用的DHCPv6選項組。
直接在DHCPv6地址池視圖下配置的網絡參數的優先級高於DHCPv6選項組中配置的網絡參數。
(1) 進入係統視圖。
system-view
(2) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(3) 配置動態分配的IPv6地址網段。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ]
缺省情況下,未配置動態分配的IPv6地址網段。
不能在不同地址池下使用network命令配置相同的地址網段。
不能在不同地址池下引用完全一致的前綴編號、子前綴和子前綴長度。
地址池引用前綴編號分配動態地址時必須保證前綴號有對應的生效前綴,否則配置不生效。
(4) 配置為客戶端分配的DNS服務器地址。
dns-server ipv6-address
缺省情況下,未指定為客戶端分配的DNS服務器地址。
(5) 配置為客戶端分配的域名。
domain-name domain-name
缺省情況下,未指定為客戶端分配的域名。
(6) 配置為客戶端分配的SIP服務器地址或域名。
sip-server { address ipv6-address | domain-name domain-name }
缺省情況下,未指定為客戶端分配的SIP服務器地址或域名。
(7) 配置DHCPv6自定義選項。
option code hex hex-string
缺省情況下,未配置DHCPv6自定義選項。
DHCPv6選項組的創建方法有以下幾種:
· 通過ipv6 dhcp option-group命令手工創建靜態DHCPv6選項組。
· 設備作為DHCPv6客戶端獲取IPv6地址、前綴和網絡配置參數時,在DHCPv6客戶端上根據獲取的網絡配置參數動態創建DHCPv6選項組。
手工創建的DHCPv6選項組優先級高於動態創建的DHCPv6選項組。本節隻介紹手工創建靜態DHCPv6選項組的方法,動態創建DHCPv6選項組的方法請參見“三層技術-IP業務配置指導”中的“DHCPv6客戶端”。
(1) 進入係統視圖。
system-view
(2) 手工創建靜態DHCPv6選項組,並進入DHCPv6選項組視圖。
ipv6 dhcp option-group option-group-number
(3) 配置為客戶端分配的DNS服務器地址。
dns-server ipv6-address
缺省情況下,未指定為客戶端分配的DNS服務器地址。
(4) 配置為客戶端分配的域名後綴。
domain-name domain-name
缺省情況下,未指定為客戶端分配的域名後綴。
(5) 配置為客戶端分配的SIP服務器地址或域名。
sip-server { address ipv6-address | domain-name domain-name }
缺省情況下,未指定為客戶端分配的SIP服務器地址或域名。
(6) 配置DHCPv6自定義選項。
option code hex hex-string
缺省情況下,未配置DHCPv6自定義選項。
(7) 退回係統視圖。
quit
(8) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(9) 配置DHCPv6地址池引用選項組。
option-group option-group-number
缺省情況下,DHCPv6地址池未引用選項組。
配置接口工作在DHCPv6服務器模式後,當接口未引用地址池時,接口收到DHCPv6客戶端發來的DHCPv6報文時,服務器根據該接口的地址或DHCPv6中繼接口的地址選擇最長匹配的DHCPv6地址池,並從該地址池中選擇IPv6地址或前綴分配給客戶端。當接口引用地址池時,則從引用的地址池中選擇IPv6地址或前綴分配給客戶端。如果引用的地址池中不存在可供分配的IPv6地址或前綴,則設備將無法為客戶端分配IPv6地址或前綴。
配置接口工作在DHCPv6服務器模式,並配置地址/前綴分配方式時,需要注意:
· 一個接口不能同時作為DHCPv6服務器和DHCPv6中繼。
· 建議不要在一個接口上同時配置DHCPv6服務器和DHCPv6客戶端功能。
· 接口可以引用並不存在的地址池,但是,此時該接口無法為客戶端分配前綴等信息。隻有創建該地址池後,才能為客戶端分配前綴等信息。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口工作在DHCPv6服務器模式。
ipv6 dhcp select server
缺省情況下,接口未工作在DHCPv6服務器模式,也未工作在DHCPv6中繼模式,接口接收到DHCPv6客戶端發來的DHCPv6報文後,丟棄該報文。
(4) 配置地址池選擇方式。請選擇其中一項進行配置。
¡ 配置全局查找地址池,並指定全局查找DHCPv6地址池時地址或前綴分配方式。
ipv6 dhcp server { allow-hint | preference preference-value | rapid-commit } *
缺省情況下,支持接口全局查找DHCPv6地址池,但不支持期望地址/前綴分配和快速分配功能,且未指定服務器優先級。
¡ 配置接口引用DHCP地址池。
ipv6 dhcp server apply pool pool-name [ allow-hint | preference preference-value | rapid-commit ] *
缺省情況下,接口未引用地址池。
創建DHCPv6策略,並在接口引用該策略後,該接口接收到DHCPv6請求報文時,則根據配置順序逐個匹配DHCPv6策略中通過class pool命令指定的DHCPv6用戶類。匹配情況如下:
· 若匹配DHCPv6用戶類成功,當該DHCPv6用戶類關聯的DHCPv6地址池中存在可供分配的地址或前綴信息時,則從該DHCPv6地址池中分配IPv6地址、前綴或其他參數;當該DHCPv6用戶類關聯的DHCPv6地址池中不存在可供分配的地址或前綴信息時,IPv6地址、前綴或其他參數分配失敗。
· 若匹配DHCPv6策略中的所有DHCPv6用戶類失敗,當配置了默認DHCPv6地址池時,則從該DHCPv6地址池中分配IPv6地址、前綴或網絡參數;當未配置默認DHCPv6地址池或DHCPv6默認地址池不存在可供分配的IPv6地址或前綴時,IPv6地址、前綴或其他參數分配失敗。
· 若接收DHCPv6請求報文的接口引用的DHCPv6策略不存在或匹配的DHCPv6用戶類關聯的DHCPv6地址池不存在,IPv6地址、前綴或其他參數分配失敗。
· 匹配規則中不支持匹配DHCPv6設備添加的選項,比如Option 18或Option 37。
(1) 進入係統視圖。
system-view
(2) 創建DHCPv6用戶類,並進入DHCPv6用戶類視圖。
ipv6 dhcp class class-name
(3) 配置DHCPv6用戶類的匹配規則。
if-match rule rule-number { option option-code [ ascii acsii-string [ offset offset | partial ] | hex hex-string [ mask mask | offset offset length length | partial ] ] | relay-agent gateway-ipv6-address }
缺省情況下,未配置DHCPv6用戶類的匹配規則。
(4) 退回係統視圖。
quit
(5) 創建DHCPv6策略,並進入DHCPv6策略視圖。
ipv6 dhcp policy policy-name
DHCPv6策略需要在接口上引用才生效。
(6) 指定DHCPv6用戶類關聯的DHCPv6地址池。
class class-name pool pool-name
缺省情況下,未指定DHCPv6用戶類關聯的DHCPv6地址池。
(7) (可選)指定默認DHCPv6地址池。
default pool pool-name
缺省情況下,未指定默認DHCPv6地址池。
(8) 退回係統視圖。
quit
(9) 進入接口視圖。
interface interface-type interface-number
(10) 指定接口引用的DHCPv6策略。
ipv6 dhcp apply-policy policy-name
缺省情況下,接口未引用DHCPv6策略。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6服務器發送的DHCPv6報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DHCPv6服務器發送DHCPv6報文的DSCP優先級。
ipv6 dhcp dscp dscp-value
缺省情況下,DHCPv6服務器發送的DHCPv6報文的DSCP優先級為56。
DHCPv6服務器重啟後,設備上記錄的租約信息將丟失,會影響DHCP服務器的正常業務。
DHCPv6服務器租約固化功能將DHCPv6服務器的核心運行數據(在用地址租約、衝突表項)保存到指定的文件中,DHCPv6服務器設備重啟後,自動根據該文件恢複DHCPv6服務器的租約信息,從而保證DHCPv6服務器的租約信息不會丟失。
當DHCPv6服務器設備重啟後,自動根據該文件恢複DHCPv6服務器的租約信息,租約恢複的過程中,DHCPv6服務器不能提供DHCPv6業務。所以當恢複過程出現問題導致恢複過程無法結束時,用戶可配置ipv6 dhcp server database update stop命令終止當前的DHCPv6服務器表項恢複操作,以便DHCPv6服務器能及時提供DHCPv6服務。
(1) 進入係統視圖。
system-view
(2) 指定存儲DHCPv6 服務器表項的文件名稱。
ipv6 dhcp server database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情況下,未指定存儲文件名稱。
執行本命令後,會立即觸發一次表項備份。
(3) (可選)將當前的DHCPv6服務器表項保存到用戶指定的文件中。
ipv6 dhcp server database update now
本命令隻用來觸發一次DHCPv6服務器表項的備份。
(4) (可選)配置刷新DHCPv6服務器表項存儲文件的延遲時間。
ipv6 dhcp server database update interval interval
缺省情況下,若DHCPv6服務器表項不變化,則不刷新存儲文件;若DHCPv6 服務器表項發生變化,默認在300秒之後刷新存儲文件。
(5) (可選)終止當前的DHCPv6服務器表項恢複操作。
ipv6 dhcp server database update stop
本命令隻用來觸發一次終止DHCPv6服務器表項信息的恢複。
DHCPv6客戶端獲取到IPv6前綴後,通過該IPv6前綴為下行網絡內的主機分配IPv6地址。當DHCPv6服務器與DHCPv6客戶端直連,但DHCPv6客戶端與網絡內的主機不在同一網段內時,如果網絡側設備沒有手動配置到達主機的靜態路由,則網絡側報文無法發送給主機,從而導致主機與外界無法正常通信。
DHCPv6服務器上開啟本功能後,DHCPv6服務器為客戶端分配IPv6前綴時會生成一條該前綴對應的路由條目,並將該路由通告給動態路由協議。外部網絡設備通過動態路由協議學到該路由信息後,才能和該路由條目對應的主機正常通信。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6服務器為直連的DHCPv6客戶端發布前綴路由功能。
ipv6 dhcp advertise pd-route
缺省情況下,DHCPv6服務器為直連的DHCPv6客戶端發布前綴路由功能處於關閉狀態。
如圖2-4所示,在某些特定的業務模型(如BRAS組網)下,BRAS設備需要實時監測網絡流量,並將統計數據發送到RADIUS服務器。該統計數據為用戶上線以來產生的所有上下行流量數據,而不能是設備在某個時間段內發生的上下行流量數據。由於RADIUS服務器刷新計數的方法是覆蓋以前數據而不是進行累加,所以當一台設備的上下行流量分別從兩台BRAS設備上通過時,在RADIUS服務器上記錄的數據就會相互覆蓋,這時RADIUS服務器得到的統計數據是不準確的。為了提高準確性,需保證一台設備的上下行流量經過同一台BRAS設備。通過在BRAS設備上配置輔助路由信息,並對外發布此網段路由,引導指定網段的下行數據流量來保證上下行流量從一台BRAS設備經過。
圖2-4 DHCPv6服務器輔助路由組網圖
如果地址池綁定了多機備份實例,需保證該地址池所在的接入設備為主用設備;如果地址池綁定了VPN實例,需保證該VPN實例存在。滿足了以上兩個條件,該接入設備的輔助路由功能才能生效。
(1) 進入係統視圖。
system-view
(2) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(3) 配置DHCPv6 服務器輔助路由信息。
network { prefix/prefix-length | prefix prefix-number [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime preferred-lifetime valid-lifetime valid-lifetime ] export-route
缺省情況下,未配置DHCPv6服務器輔助路由信息。
當地址池綁定了VPN實例後,DHCPv6服務器可以將網絡劃分成公網和VPN私網。未配置VPN屬性的地址池被劃分到公網,配置了VPN屬性的地址池被劃分到相應的VPN私網,這樣,對於處於公網或VPN私網中的客戶端,服務器都能夠選擇合適的地址池來為客戶端分配租約並且記錄該客戶端的狀態信息。
DHCPv6服務器可以通過如下方式判斷DHCPv6客戶端所屬的VPN實例:
· 認證模塊用戶接入時由AAA服務器授權VPN實例。
· DHCPv6服務器接收報文的接口綁定的VPN實例即為該客戶端所屬的VPN實例。
如果以上兩種方式都可獲取到DHCPv6客戶端所屬的VPN實例,則以認證模塊為準。
設備作為MCE(Multi-VPN-instance Customer Edge,多VPN實例用戶網絡邊界設備)時,在設備上配置DHCPv6服務器功能,不僅可以為公網上的DHCPv6客戶端分配IPv6地址,還可以實現為私網內的DHCPv6客戶端分配IPv6地址,但是公網和私網之間、不同私網之間的IPv6地址空間不能重疊。MCE的詳細介紹,請參見“MPLS配置指導”中的“MCE”。
(1) 進入係統視圖。
system-view
(2) 進入DHCPv6地址池視圖。
ipv6 dhcp pool pool-name
(3) 指定DHCPv6服務器上的地址池所屬的VPN實例。
vpn-instance vpn-instance-name
缺省情況下,未指定DHCPv6服務器上的地址池所屬的VPN實例。
DHCPv6服務器日誌可以方便管理員定位問題和解決問題。設備生成DHCPv6日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
大量DHCPv6客戶端發生上下線操作時,DHCPv6服務器需要輸出大量日誌信息,這可能會降低設備性能,影響DHCPv6服務器分配IPv6前綴或IPv6地址的速度。為了避免該情況的發生,用戶可以關閉DHCPv6服務器日誌信息功能,使得DHCPv6服務器不再輸出日誌信息。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6服務器日誌信息功能。
ipv6 dhcp log enable
缺省情況下,DHCPv6服務器日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6服務器的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6服務器的統計信息。
表2-1 DHCPv6服務器顯示和維護
|
操作 |
命令 |
|
顯示本設備的DUID |
display ipv6 dhcp duid |
|
顯示DHCPv6選項組信息 |
display ipv6 dhcp option-group [ option-group-number ] |
|
顯示DHCPv6地址池的信息 |
display ipv6 dhcp pool [ pool-name | vpn-instance vpn-instance-name ] |
|
顯示前綴池的信息 |
display ipv6 dhcp prefix-pool [ prefix-pool-number ] [ vpn-instance vpn-instance-name ] |
|
顯示接口上的DHCPv6服務器信息 |
display ipv6 dhcp server [ interface interface-type interface-number ] |
|
顯示DHCPv6地址衝突信息 |
display ipv6 dhcp server conflict [ address ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
顯示DHCPv6服務器表項備份信息 |
display ipv6 dhcp server database |
|
顯示租約過期的DHCPv6地址綁定信息 |
display ipv6 dhcp server expired [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
顯示DHCPv6地址綁定信息 |
display ipv6 dhcp server ip-in-use [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
顯示DHCPv6前綴綁定信息 |
display ipv6 dhcp server pd-in-use [ pool pool-name | [ prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] ] |
|
顯示DHCPv6服務器的報文統計信息 |
display ipv6 dhcp server statistics [ pool pool-name | vpn-instance vpn-instance-name ] |
|
清除DHCPv6地址衝突信息 |
reset ipv6 dhcp server conflict [ address ipv6-address ] [ vpn-instance vpn-instance-name ] |
|
清除租約過期的DHCPv6地址綁定信息 |
reset ipv6 dhcp server expired [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
清除DHCPv6的正式地址綁定和臨時地址綁定信息 |
reset ipv6 dhcp server ip-in-use [ [ address ipv6-address ] [ vpn-instance vpn-instance-name ] | pool pool-name ] |
|
清除DHCPv6正式前綴綁定和臨時前綴綁定信息 |
reset ipv6 dhcp server pd-in-use [ pool pool-name | [ prefix prefix/prefix-len ] [ vpn-instance vpn-instance-name ] ] |
|
清除DHCPv6服務器的報文統計信息 |
reset ipv6 dhcp server statistics [ vpn-instance vpn-instance-name ] |
DHCPv6客戶端從DHCPv6服務器獲取IPv6地址前綴,以及網絡配置參數:DNS服務器地址、域名、SIP服務器地址和SIP服務器域名。其中:
· Router作為DHCPv6服務器,地址為1::1/64。
· DHCPv6服務器為DUID為00030001CA0006A40000的客戶端固定分配前綴2001:0410:0201::/48;為其他客戶端分配2001:0410::/48~2001:0410:FFFF::/48之間除2001:0410:0201::/48外的前綴。
· DNS服務器地址為2:2::3。
· DHCPv6客戶端所屬域的域名為aaa.example.com。
· SIP服務器地址為2:2::4,域名為bbb.example.com。
圖2-5 DHCPv6服務器配置組網圖
# 配置接口GigabitEthernet1/0/1的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ipv6 address 1::1/64
[Router-GigabitEthernet1/0/1] undo ipv6 nd ra halt
[Router-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag
[Router-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag
[Router-GigabitEthernet1/0/1] quit
# 配置前綴池1,包含的前綴為2001:0410::/32,分配的前綴長度為48。
[Router] ipv6 dhcp prefix-pool 1 prefix 2001:0410::/32 assign-len 48
# 創建地址池1。
[Router] ipv6 dhcp pool 1
# 配置地址池1網段為1::/64,與接口地址所屬的網段相同。
[Router-dhcp6-pool-1] network 1::/64
# 配置地址池1引用已存在的前綴池1,並設置動態分配前綴的首選生命期為1天,有效生命期為3天。
[Router-dhcp6-pool-1] prefix-pool 1 preferred-lifetime 86400 valid-lifetime 259200
# 在地址池1中配置靜態綁定前綴:綁定的前綴為2001:0410:0201::/48,綁定的客戶端DUID為00030001CA0006A40000,並設置首選生命期為1天,有效生命期為3天。
[Router-dhcp6-pool-1] static-bind prefix 2001:0410:0201::/48 duid 00030001CA0006A40000 preferred-lifetime 86400 valid-lifetime 259200
# 配置為客戶端分配的DNS服務器地址為2:2::3。
[Router-dhcp6-pool-1] dns-server 2:2::3
# 配置為客戶端分配的域名為aaa.example.com。
[Router-dhcp6-pool-1] domain-name aaa.example.com
# 配置為客戶端分配的SIP服務器地址為2:2::4,域名為bbb.example.com。
[Router-dhcp6-pool-1] sip-server address 2:2::4
[Router-dhcp6-pool-1] sip-server domain-name bbb.example.com
[Router-dhcp6-pool-1] quit
# 配置接口GigabitEthernet1/0/1工作在DHCPv6服務器模式,並在該接口使能期望前綴分配和前綴快速分配功能,並將優先級設置為最高。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ipv6 dhcp select server
[Router-GigabitEthernet1/0/1] ipv6 dhcp server allow-hint preference 255 rapid-commit
# 完成上述配置後,查看接口GigabitEthernet1/0/1上的DHCPv6服務器配置信息。
[Router-GigabitEthernet1/0/1] display ipv6 dhcp server interface gigabitethernet 1/0/1
Using pool: global
Preference value: 255
Allow-hint: Enabled
Rapid-commit: Enabled
# 顯示地址池1的信息。
[Router-GigabitEthernet1/0/1] display ipv6 dhcp pool 1
DHCPv6 pool: 1
Network: 1::/64
Preferred lifetime 604800 seconds, valid lifetime 2592000 seconds
Prefix pool: 1
Preferred lifetime 86400 seconds, valid lifetime 259200 seconds
Static bindings:
DUID: 00030001ca0006a4
IAID: Not configured
Prefix: 2001:410:201::/48
Preferred lifetime 86400 seconds, valid lifetime 259200 seconds
DNS server addresses:
2:2::3
Domain name:
aaa.example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.example.com
# 顯示前綴池1的信息。
[Router-GigabitEthernet1/0/1] display ipv6 dhcp prefix-pool 1
Prefix: 2001:410::/32
Assigned length: 48
Total prefix number: 65536
Available: 65535
In-use: 0
Static: 1
# DUID為00030001CA0006A40000的客戶端獲取IPv6前綴後,顯示前綴綁定信息。
[Router-GigabitEthernet1/0/1] display ipv6 dhcp server pd-in-use
Pool: 1
IPv6 prefix Hardware address Type Lease expiration
2001:410:201::/48 0210-1023-f0a1 Static(C) Jul 10 19:45:01 2019
# 其他客戶端獲取IPv6前綴後,顯示前綴綁定信息。
[Router-GigabitEthernet1/0/1] display ipv6 dhcp server pd-in-use
Pool: 1
IPv6 prefix Hardware address Type Lease expiration
2001:410:201::/48 0121-1101-0111 Static(C) Jul 10 19:45:01 2019
2001:410::/48 0220-1e02-2102 Auto(C) Jul 10 20:44:05 2019
· 作為DHCPv6服務器的Router A為網段1::1:0:0:0/96和1::2:0:0:0/96的客戶端動態分配IPv6地址;
· Router A的兩個以太網接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的地址分別為1::1:0:0:1/96和1::2:0:0:1/96;
· 1::1:0:0:0/96網段內的地址租約時長為172800秒(2天),有效時長為345600秒(4天),域名為aabbcc.com,DNS服務器地址為1::1:0:0:2/96;
· 1::2:0:0:0/96網段內的地址租約時長為432000秒(5天),有效時長為864000秒(10天),域名為aabbcc.com,DNS服務器地址為1::2:0:0:2/96。
圖2-6 DHCPv6組網圖
(1) 配置DHCPv6 server各接口的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96
[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt
[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag
[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag
[RouterA-GigabitEthernet1/0/1] quit
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ipv6 address 1::2:0:0:1/96
[RouterA-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[RouterA-GigabitEthernet1/0/2] ipv6 nd autoconfig managed-address-flag
[RouterA-GigabitEthernet1/0/2] ipv6 nd autoconfig other-flag
[RouterA-GigabitEthernet1/0/2] quit
(2) 配置DHCPv6服務
# 配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在DHCPv6服務器模式。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server
[RouterA-GigabitEthernet1/0/1] quit
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ipv6 dhcp select server
[RouterA-GigabitEthernet1/0/2] quit
# 配置不參與自動分配的IPv6地址,以避免分配DNS服務器的地址。
[RouterA] ipv6 dhcp server forbidden-address 1::1:0:0:2
[RouterA] ipv6 dhcp server forbidden-address 1::2:0:0:2
# 配置DHCPv6地址池1,為1::1:0:0:0/96網段的客戶端分配IPv6地址等參數。
[RouterA] ipv6 dhcp pool 1
[RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600
[RouterA-dhcp6-pool-1] domain-name aabbcc.com
[RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2
[RouterA-dhcp6-pool-1] quit
# 配置DHCPv6地址池2,為1::2:0:0:0/96網段的客戶端分配IPv6地址等參數。
[RouterA] ipv6 dhcp pool 2
[RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000
[RouterA-dhcp6-pool-2] domain-name aabbcc.com
[RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2
[RouterA-dhcp6-pool-2] quit
配置完成後,1::1:0:0:0/96和1::2:0:0:0/96網段的客戶端可以從DHCPv6服務器Router A申請到相應網段的IPv6地址和網絡配置參數。通過display ipv6 dhcp server ip-in-use命令可以查看DHCPv6服務器為客戶端分配的IPv6地址。
DHCPv6客戶端通常通過鏈路本地範圍的組播地址與DHCPv6服務器通信,以獲取IPv6地址和其他網絡配置參數。如圖3-1所示,服務器和客戶端不在同一個鏈路範圍內時,服務器和客戶端無法直接通信,需要通過DHCPv6中繼來轉發報文。部署DHCPv6中繼可以避免在每個鏈路範圍內都部署DHCPv6服務器,既節省了成本,又便於進行集中管理。
圖3-1 DHCPv6中繼應用組網圖
如圖3-2所示,以交互兩個消息的快速分配過程為例,DHCPv6客戶端通過DHCPv6中繼,從DHCPv6服務器獲取IPv6地址和其他網絡配置參數的過程為:
(1) DHCPv6客戶端向所有DHCPv6服務器和中繼的組播地址FF02::1:2發送攜帶Rapid Commit選項的Solicit消息;
(2) DHCPv6中繼接收到Solicit消息後,將其封裝在Relay-forward報文的中繼消息選項(Relay Message Option)中,並將Relay-forward報文發送給DHCPv6服務器;
(3) DHCPv6服務器從Relay-forward報文中解析出客戶端的Solicit消息,為客戶端選取IPv6地址和其他參數,構造Reply消息,將Reply消息封裝在Relay-reply報文的中繼消息選項中,並將Relay-reply報文發送給DHCPv6中繼;
(4) DHCPv6中繼從Relay-reply報文中解析出服務器的Reply消息,轉發給DHCPv6客戶端,以便DHCPv6客戶端根據DHCPv6服務器分配的IPv6地址和其他參數進行網絡配置。
圖3-2 DHCPv6中繼的工作過程
DHCPv6中繼配置任務如下:
(2) 指定DHCPv6服務器的地址
(3) (可選)配置DHCPv6中繼為DHCPv6客戶端分配的網關地址
(4) (可選)配置DHCPv6中繼發送DHCPv6報文的DSCP優先級
(5) (可選)配置DHCPv6中繼支持的Interface ID選項填充模式
(6) (可選)開啟DHCPv6中繼支持添加Option 79選項功能
建議不要在一個接口上同時配置DHCPv6中繼和DHCPv6客戶端功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口工作在DHCPv6中繼模式。
ipv6 dhcp select relay
缺省情況下,接口未工作在DHCPv6中繼模式。
工作在DHCPv6中繼模式的接口接收到DHCPv6客戶端發來的報文後,將其封裝在Relay-forward報文中,並發送給指定的DHCPv6服務器,由DHCPv6服務器為客戶端分配IPv6地址、IPv6前綴和其他網絡配置參數。
· 通過多次執行ipv6 dhcp relay server-address命令可以指定多個DHCPv6服務器,一個接口下最多可以指定8個DHCPv6服務器。DHCPv6中繼接收到DHCPv6客戶端報文後,將其轉發給所有的DHCPv6服務器。
· 如果指定的DHCPv6服務器地址為鏈路本地地址或組播地址,則必須通過ipv6 dhcp relay server-address命令的interface參數指定出接口,否則報文可能會無法到達服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 指定DHCPv6中繼對應的DHCPv6服務器地址。
ipv6 dhcp relay server-address ipv6-address [ interface interface-type interface-number ]
缺省情況下,未指定DHCPv6中繼對應的DHCPv6服務器地址。
對於某些特定的用戶接入方式,基於用戶接入位置信息的不同,網絡中存在大量不同類型的用戶。為了使相同類型的用戶可以從指定的DHCPv6服務器申請IPv6地址等網絡參數,接入模塊根據用戶注冊信息,使不同的用戶選擇不同的DHCPv6中繼地址池,並從中繼地址池下配置的DHCPv6服務器獲取IPv6地址等網絡參數。
一台DHCPv6中繼的一個接口下可能連接不同類型的用戶,當DHCPv6中繼轉發DHCPv6客戶端請求報文給DHCPv6服務器時,不能再以中繼接口的IPv6地址作為選擇地址池的依據。為了解決這個問題,需要使用gateway-list命令指定某個類型用戶所在的網段,並將該地址添加到轉發給DHCPv6服務器的報文的Link-address字段中,為DHCPv6服務器選擇地址池提供依據。
· 為了提高可靠性,一個DHCPv6中繼地址池下最多可以配置8個DHCPv6服務器地址,當DHCPv6客戶端匹配該中繼地址池後,DHCPv6中繼會將DHCPv6客戶端發來的DHCPv6報文轉發給該地址池對應所有的DHCPv6服務器。
· 當PPPoE用戶下線時,DHCPv6中繼需要查詢中繼用戶地址表項,若存在對應表項,則會向DHCPv6服務器發送Release報文,通知DHCPv6服務器釋放該地址租約。這就需要在DHCPv6中繼上使用ipv6 dhcp relay client-information record命令開啟DHCPv6中繼用戶地址表項記錄功能。
· 和PPPoE配合使用時,如果設備的地址池中配置了remote-server命令,則可以認定該設備一定是DHCPv6中繼設備,所以不需要在接口視圖下執行ipv6 dhcp select relay命令。
(1) 進入係統視圖。
system-view
(2) 創建DHCPv6中繼地址池,並進入DHCPv6中繼地址池視圖。
ipv6 dhcp pool pool-name
(3) 指定匹配該地址池的DHCPv6客戶端所在的網段地址。
gateway-list ipv6-address&<1-8>
缺省情況下,未指定匹配該地址池的DHCPv6客戶端所在的網段地址。
(4) 指定中繼地址池對應的DHCPv6服務器地址。
remote-server ipv6-address [ interface interface-type interface-number ]
缺省情況下,未指定中繼地址池對應的DHCPv6服務器的地址。
當未開啟該功能時,DHCPv6中繼收到DHCPv6客戶端的請求報文後,隻能將接口的第一個IPv6添加到報文中,然後轉發給DHCPv6服務器。對於某些特定需求,DHCPv6中繼需要添加指定的地址到報文中,這時就需要配置此功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置DHCPv6中繼為DHCPv6客戶端分配的網關地址。
ipv6 dhcp relay gateway ipv6-address
缺省情況下,DHCPv6中繼分配接口下的第一個IPv6地址作為DHCPv6客戶端的網關地址。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6中繼發送的DHCPv6報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DHCPv6中繼發送DHCPv6報文的DSCP優先級。
ipv6 dhcp dscp dscp-value
缺省情況下,DHCPv6中繼發送的DHCPv6報文的DSCP優先級為56。
如果配置了DHCPv6中繼支持的Interface ID選項填充模式,當DHCPv6中繼接收到客戶端發送的DHCPv6報文後,會以配置的填充方式將DHCPv6客戶端的位置信息填充Option 18選項,並把填充好的報文轉發給DHCPv6服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置DHCPv6中繼支持的Interface ID選項填充模式。
ipv6 dhcp relay interface-id { bas | interface }
缺省情況下,Interface ID選項的填充模式為接口索引信息。
某些存在DHCPv6中繼的組網中,DHCPv6服務器需要獲取到DHCPv6客戶端的MAC地址信息,進行DHCPv6客戶端合法性認證或為DHCPv6客戶端分配和MAC地址對應的IPv6地址、IPv6前綴或其他網絡參數。為了滿足上述需求,需要在DHCPv6客戶端發出請求報文後經過的第一個DHCPv6中繼上開啟支持添加Option 79選項功能。開啟本功能後,當DHCPv6中繼收到DHCPv6請求報文時,會學習報文中的DHCPv6客戶端的MAC地址。DHCPv6中繼生成和請求報文對應的Relay-Forward報文時,會將學到的MAC地址添加到報文的Option 79選項中,再將該報文轉發給DHCPv6服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6中繼支持添加Option 79選項功能。
ipv6 dhcp relay client-link-address enable
缺省情況下,DHCPv6中繼支持添加Option 79選項功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6中繼的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6中繼的統計信息。
表3-1 DHCPv6中繼顯示和維護
|
操作 |
命令 |
|
顯示本設備DUID |
display ipv6 dhcp duid |
|
顯示DHCPv6中繼接口上指定的DHCPv6服務器地址信息 |
display ipv6 dhcp relay server-address [ interface interface-type interface-number ] |
|
顯示DHCPv6中繼的相關報文統計信息 |
display ipv6 dhcp relay statistics [ interface interface-type interface-number ] |
|
清除DHCPv6中繼的相關報文統計信息 |
reset ipv6 dhcp relay statistics [ interface interface-type interface-number ] |
· DHCPv6客戶端所在網絡地址為1::/64,DHCPv6服務器的地址為2::2/64。客戶端和服務器不在同一個鏈路範圍,需要通過DHCPv6中繼轉發報文。
· Router A作為DHCPv6中繼,為客戶端和服務器轉發報文。
· Router A同時作為1::/64網絡的網關設備,通過RA消息中的M標誌位和O標誌位指定該網絡中的主機通過DHCPv6獲取IPv6地址和其他網絡配置參數。RA消息的詳細介紹,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
圖3-3 DHCPv6中繼組網圖
# 配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IPv6地址。取消設備發布RA消息的抑製。配置被管理地址的配置標誌位為1,即主機通過DHCPv6服務器獲取IPv6地址。配置其他信息配置標誌位為1,即主機通過DHCPv6服務器獲取除IPv6地址以外的其他信息。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ipv6 address 2::1 64
[RouterA-GigabitEthernet1/0/2] quit
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 address 1::1 64
[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt
[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag
[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag
# 配置接口GigabitEthernet1/0/1工作在DHCPv6中繼模式,並指定DHCPv6服務器地址。
[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select relay
[RouterA-GigabitEthernet1/0/1] ipv6 dhcp relay server-address 2::2
# 完成上述配置後,查看DHCPv6中繼上指定的DHCPv6服務器地址信息。
[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp relay server-address
Interface: GigabitEthernet1/0/1
Server address Outgoing Interface Public/VRF name
2::2 --/--
# 查看DHCPv6中繼相關報文的統計信息。
[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp relay statistics
Packets dropped : 0
Packets received : 14
Solicit : 0
Request : 0
Confirm : 0
Renew : 0
Rebind : 0
Release : 0
Decline : 0
Information-request : 7
Relay-forward : 0
Relay-reply : 7
Packets sent : 14
Advertise : 0
Reconfigure : 0
Reply : 7
Relay-forward : 7
Relay-reply : 0
設備作為DHCPv6客戶端時,可以具有如下功能:
· 通過DHCPv6獲取IPv6地址和網絡配置參數,IPv6地址作為開啟DHCPv6客戶端功能的接口地址,當設備開啟DHCPv6服務器功能後,獲取的網絡配置參數用來自動創建DHCPv6選項組。
· 通過DHCPv6獲取IPv6前綴和網絡配置參數,IPv6前綴作為本地設備的IPv6前綴(本地設備根據該前綴生成IPv6地址);當設備開啟DHCPv6服務器功能後,獲取的網絡配置參數用來自動創建DHCPv6選項組。
· 通過DHCPv6同時獲取IPv6地址、IPv6前綴和網絡配置參數,IPv6地址作為開啟DHCPv6客戶端功能的接口地址,IPv6前綴作為本地設備的IPv6前綴(本地設備根據該前綴生成IPv6地址);當設備開啟DHCPv6服務器功能後,獲取的網絡配置參數用來自動創建DHCPv6選項組。
· 通過DHCPv6無狀態配置獲取除IPv6地址/前綴外的其他網絡配置參數。DHCPv6客戶端通過地址無狀態自動配置功能成功獲取IPv6地址後,如果接收到的RA報文中M標誌位的取值為0、O標誌位的取值為1,則設備會自動啟動DHCPv6無狀態配置功能,以獲取除地址/前綴外的其他網絡配置參數。否則DHCPv6客戶端不會開啟無狀態配置過程。
建議不要在一個接口上同時配置DHCPv6客戶端和DHCPv6服務器功能,也不要在一個接口上同時配置DHCPv6客戶端和DHCPv6中繼功能,否則會影響功能正常使用。
DHCPv6客戶端配置任務如下:
(1) (可選)配置接口使用的DHCPv6客戶端DUID
(2) 配置DHCPv6客戶端獲取IPv6地址、IPv6前綴和網絡配置參數
請至少選擇以下一項任務進行配置:
¡ 配置DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數
¡ 配置DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數
(3) (可選)配置DHCPv6客戶端發送DHCPv6報文的DSCP優先級
DHCPv6客戶端DUID用來填充DHCPv6報文的Option 1,作為識別DHCPv6客戶端的唯一標識。DHCPv6服務器可以根據DHCPv6客戶端DUID為特定的DHCPv6客戶端分配特定的IPv6地址。用戶可以通過三種方法指定DHCPv6客戶端DUID:ASCII字符串、十六進製數或接口的MAC地址。
用戶在指定客戶端ID時,需要確保不同客戶端的客戶端ID不能相同。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口使用的DHCPv6客戶端DUID。
ipv6 dhcp client duid { ascii ascii-string | hex hex-string | mac interface-type interface-number }
缺省情況下,根據設備的橋MAC地址生成DHCPv6客戶端DUID。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6地址和其他網絡配置參數。
ipv6 address dhcp-alloc [ option-group group-number | rapid-commit ] *
缺省情況下,接口不會作為DHCPv6客戶端獲取IPv6地址和網絡配置參數。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口作為DHCPv6客戶端,通過DHCPv6方式獲取IPv6前綴和其他網絡配置參數。
ipv6 dhcp client pd prefix-number [ option-group group-number | rapid-commit ]*
缺省情況下,接口不會作為DHCPv6客戶端獲取IPv6前綴和網絡配置參數。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口作為DHCPv6客戶端,通過DHCPv6方式同時獲取IPv6地址、IPv6前綴和其他網絡配置參數。
ipv6 dhcp client stateful prefix prefix-number [ option-group option-group-number | rapid-commit ] *
缺省情況下,接口不會作為DHCPv6客戶端同時獲取IPv6地址、IPv6前綴和網絡配置參數。
DHCPv6客戶端可通過如下方式獲取除地址/前綴外的其他網絡參數:
· 如果接口上隻配置了ipv6 address auto命令,則接口會通過無狀態自動配置方式生成全球單播地址,同時自動生成鏈路本地地址。隻有接收到的RA報文中M標誌位的取值為0、O標誌位的取值為1時,設備才會自動啟動DHCPv6無狀態配置功能。
· 如果接口隻配置了ipv6 dhcp client stateless enable命令,則接口開啟了DHCPv6客戶端功能,並從DHCPv6服務器獲取除地址/前綴外的其他網絡配置參數。
· 如果接口上同時配置了ipv6 address auto命令和ipv6 dhcp client stateless enable命令,則接口通過無狀態生成全球單播地址,同時自動生成鏈路本地地址,且直接從DHCPv6服務器獲取除地址/前綴外的其他網絡配置參數。
ipv6 address auto命令的詳細介紹請參見“三層技術-IP業務命令參考”中的“IPv6基礎”。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟無狀態自動配置功能。請至少選擇其中一項進行配置。
¡ 開啟IPv6地址無狀態自動配置功能。
ipv6 address auto
¡ 開啟DHCPv6客戶端無狀態配置功能。
ipv6 dhcp client stateless enable
缺省情況下,接口不會作為DHCPv6客戶端獲取除地址/前綴外的其他網絡配置參數。
DSCP優先級用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本配置可以指定DHCPv6客戶端發送的DHCPv6報文的DSCP優先級。
(1) 進入係統視圖。
system-view
(2) 配置DHCPv6客戶端發送的DHCPv6報文的DSCP優先級。
ipv6 dhcp client dscp dscp-value
缺省情況下,DHCPv6客戶端發送的DHCPv6報文的DSCP優先級為56。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後DHCPv6客戶端的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6客戶端的統計信息。
表4-1 DHCPv6客戶端顯示和維護
|
操作 |
命令 |
|
顯示DHCPv6客戶端的信息 |
display ipv6 dhcp client [ interface interface-type interface-number ] |
|
顯示DHCPv6客戶端的統計信息 |
display ipv6 dhcp client statistics [ interface interface-type interface-number ] |
|
清除DHCPv6客戶端的統計信息 |
reset ipv6 dhcp client statistics [ interface interface-type interface-number ] |
DHCPv6客戶端Router從DHCPv6服務器獲取IPv6地址,以及網絡配置參數:DNS服務器地址、域名後綴、SIP服務器地址和SIP服務器域名。
DHCPv6客戶端根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
圖4-1 DHCPv6客戶端申請地址及網絡參數配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。DHCPv6服務器的配置方法,請參見“三層技術-IP業務配置指導”中的“DHCPv6服務器”。
# 配置接口GigabitEthernet1/0/1作為DHCPv6客戶端獲取IPv6地址及網絡參數,配置DHCPv6客戶端支持地址快速分配功能,並配置根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ipv6 address dhcp-alloc rapid-commit option-group 1
[Router-GigabitEthernet1/0/1] quit
# 顯示DHCPv6客戶端的信息。
[Router] display ipv6 dhcp client
GigabitEthernet1/0/1:
Type: Stateful client requesting address
State: OPEN
Client DUID: 00030001d07e28db74fb
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:19
Server DUID: 00030001000fe20a0a00
IA_NA: IAID 0x00000a02, T1 50 sec, T2 80 sec
Address: 1:2::2/128
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 15:35:55 (196 seconds left)
DNS server addresses:
2000::FF
Domain name:
example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.example.com
# 在DHCPv6客戶端上開啟DHCPv6服務器功能後,顯示動態創建的DHCPv6選項組1的信息。
[Router-GigabitEthernet1/0/1] display ipv6 dhcp option-group 1
DHCPv6 option group: 1
DNS server addresses:
Type: Dynamic (DHCPv6 address allocation)
Interface: GigabitEthernet1/0/1
2000::FF
Domain name:
Type: Dynamic (DHCPv6 address allocation)
Interface: GigabitEthernet1/0/1
example.com
SIP server addresses:
Type: Dynamic (DHCPv6 address allocation)
Interface: GigabitEthernet1/0/1
2:2::4
SIP server domain names:
Type: Dynamic (DHCPv6 address allocation)
Interface: GigabitEthernet1/0/1
bbb.example.com
# 查看獲取到的IPv6地址。
[Router] display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
GigabitEthernet1/0/1 up up 1:1::2
可以看出DHCPv6客戶端已經成功從DHCPv6服務器獲取IPv6地址及網絡參數。
DHCPv6客戶端Router從DHCPv6服務器獲取IPv6前綴,以及網絡配置參數:DNS服務器地址、域名後綴、SIP服務器地址和SIP服務器域名等。
DHCPv6客戶端Router根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
圖4-2 DHCPv6客戶端申請前綴及網絡參數配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
# 在DHCPv6客戶端連接到DHCPv6服務器的接口GigabitEthernet1/0/1上配置IPv6地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ipv6 address 1::2/48
# 配置接口GigabitEthernet1/0/1作為DHCPv6客戶端獲取IPv6前綴及網絡參數,配置根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1,並配置DHCPv6客戶端支持前綴快速分配功能。
[Router-GigabitEthernet1/0/1] ipv6 dhcp client pd 1 rapid-commit option-group 1
[Router-GigabitEthernet1/0/1] quit
# 顯示DHCPv6客戶端的信息。可以看出DHCPv6客戶端已經成功從DHCPv6服務器獲取IPv6前綴及網絡參數。
[Router] display ipv6 dhcp client
GigabitEthernet1/0/1:
Type: Stateful client requesting prefix
State: OPEN
Client DUID: 00030001d07e28db74fb
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:19
Server DUID: 0003000100e001000000
IA_PD: IAID 0x00000a02, T1 50 sec, T2 80 sec
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Feb 4 2014 at 15:37:20 (80 seconds left)
DNS server addresses:
2000::FF
Domain name:
example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.example.com
# 顯示動態創建的IPv6前綴1的信息。
[Router] display ipv6 prefix 1
Number: 1
Type : Dynamic
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
# 在DHCPv6客戶端上開啟DHCPv6服務器功能後,顯示動態創建的DHCPv6選項組1的信息。
[Router] display ipv6 dhcp option-group 1
DHCPv6 option group: 1
DNS server addresses
Type: Dynamic (DHCPv6 prefix allocation)
Interface: GigabitEthernet1/0/1
2000::FF
Domain name:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: GigabitEthernet1/0/1
example.com
SIP server addresses:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: GigabitEthernet1/0/1
2:2::4
SIP server domain names:
Type: Dynamic (DHCPv6 prefix allocation)
Interface: GigabitEthernet1/0/1
bbb.example.com
以上兩條display命令可以看到客戶端獲取到的前綴信息和網絡參數。
DHCPv6客戶端Router從DHCPv6服務器同時獲取IPv6地址、IPv6前綴以及網絡配置參數:DNS服務器地址、域名後綴、SIP服務器地址和SIP服務器域名等。
DHCPv6客戶端Router根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1。
圖4-3 DHCPv6客戶端同時申請地址、前綴及網絡參數配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
# 在DHCPv6客戶端連接到DHCPv6服務器的接口GigabitEthernet1/0/1上配置IPv6地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ipv6 address 1::2/48
# 配置接口GigabitEthernet1/0/1作為DHCPv6客戶端同時獲取IPv6地址、IPv6前綴及網絡參數,配置根據獲取到的前綴自動創建IPv6前綴1,根據獲取到的網絡配置參數自動創建DHCPv6選項組1,並配置DHCPv6客戶端支持前綴快速分配功能。
[Router-GigabitEthernet1/0/1] ipv6 dhcp client stateful prefix 1 rapid-commit option-group 1
[Router-GigabitEthernet1/0/1] quit
# 顯示DHCPv6客戶端的信息。可以看出DHCPv6客戶端已經成功從DHCPv6服務器獲取IPv6前綴及網絡參數。
[Router] display ipv6 dhcp client
GigabitEthernet1/0/1:
Type: Stateful client requesting address and prefix
State: OPEN
Client DUID: 00030001d07e28db74fb
Preferred server:
Reachable via address: FE80::2E0:1FF:FE00:19
Server DUID: 0003000100e001000000
IA_NA: IAID 0x00000a02, T1 50 sec, T2 80 sec
Address: 1:1::2/128
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 15:29:34 (198 seconds left)
IA_PD: IAID 0x00000a02, T1 50 sec, T2 80 sec
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
Will expire on Mar 27 2014 at 15:29:34 (198 seconds left)
DNS server addresses:
2000::FF
Domain name:
example.com
SIP server addresses:
2:2::4
SIP server domain names:
bbb.example.com
# 查看獲取到的IPv6地址。
[Router] display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
GigabitEthernet1/0/1 up up 1:1::2
# 顯示動態創建的IPv6前綴1的信息。
[Router] display ipv6 prefix 1
Number: 1
Type : Dynamic
Prefix: 12:34::/48
Preferred lifetime 100 sec, valid lifetime 200 sec
# 在DHCPv6客戶端上開啟DHCPv6服務器功能後,顯示動態創建的DHCPv6選項組1的信息。
[Router] display ipv6 dhcp option-group 1
DHCPv6 option group: 1
DNS server addresses:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: GigabitEthernet1/0/1
2000::FF
Domain name:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: GigabitEthernet1/0/1
example.com
SIP server addresses:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: GigabitEthernet1/0/1
2:2::4
SIP server domain names:
Type: Dynamic (DHCPv6 address and prefix allocation)
Interface: GigabitEthernet1/0/1
bbb.example.com
以上三條display命令可以看到客戶端獲取到的地址信息、前綴信息和網絡參數。
· DHCPv6客戶端Router A通過DHCPv6無狀態配置獲取域名服務器、域名等信息;
· Router B作為網關,周期性發布RA消息。
圖4-4 DHCPv6無狀態配置組網圖
進行下麵的配置前,需要先完成DHCPv6服務器的配置。
(1) 配置網關Router B
# 配置接口GigabitEthernet1/0/1的IPv6地址。
<RouterB> system-view
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ipv6 address 1::1 64
# 配置RA消息中O標誌位為1。
[RouterB-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag
# 配置允許發送RA消息。
[RouterB-GigabitEthernet1/0/1] undo ipv6 nd ra halt
(2) 配置DHCPv6客戶端Router A
# 在接口GigabitEthernet1/0/1上使能IPv6地址無狀態自動配置功能。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 address auto
執行此命令後,如果GigabitEthernet1/0/1下未配置地址,Router A會自動生成鏈路本地地址,並主動發送RS(Router Solicitation,路由器請求)報文,請求網關Router B立即回應RA報文。
如果收到的RA報文中M標誌位為0、O標誌位為1,Router A就會啟動DHCPv6客戶端無狀態配置。
# 可以通過display ipv6 dhcp client命令查看當前客戶端的配置信息。
[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp client interface gigabitethernet 1/0/1
GigabitEthernet1/0/1:
Type: Stateless client
State: OPEN
Client DUID: 00030001000fe2ff0000
Preferred server:
Reachable via address: FE80::213:7FFF:FEF6:C818
Server DUID: 0003000100137ff6c818
DNS server addresses:
1:2:4::5
1:2:4::7
Domain name:
abc.example.com
如果從服務器成功獲取了配置,將會有以上的顯示信息。
# 可以通過display ipv6 dhcp client statistics命令查看當前客戶端的統計信息。
[RouterA-GigabitEthernet1/0/1] display ipv6 dhcp client statistics
Interface : GigabitEthernet1/0/1
Packets received : 1
Reply : 1
Advertise : 0
Reconfigure : 0
Invalid : 0
Packets sent : 5
Solicit : 0
Request : 0
Renew : 0
Rebind : 0
Information-request : 5
Release : 0
Decline : 0
DHCPv6 Snooping是DHCPv6的一種安全特性,用來保證客戶端從合法的服務器獲取IPv6地址或IPv6前綴,並可以記錄DHCPv6客戶端IPv6地址或IPv6前綴與MAC地址的對應關係。
網絡中如果存在私自架設的非法DHCPv6服務器,則可能導致DHCPv6客戶端獲取錯誤的IPv6地址和網絡配置參數,從而無法正常通信。為了使DHCPv6客戶端能通過合法的DHCPv6服務器獲取IPv6地址,DHCPv6 Snooping安全機製允許將端口設置為信任端口和不信任端口:
· 信任端口正常轉發接收到的DHCPv6報文。
· 不信任端口接收到DHCPv6服務器發送的應答報文後,丟棄該報文。
如圖5-1所示,在DHCPv6 Snooping設備上指向DHCPv6服務器方向的端口需要設置為信任端口,其他端口設置為不信任端口,從而保證DHCPv6客戶端隻能從合法的DHCPv6服務器獲取地址,私自架設的非法DHCPv6服務器無法為DHCPv6客戶端分配地址。
DHCPv6 Snooping通過監聽DHCPv6報文,記錄DHCPv6 Snooping表項,其中包括客戶端的MAC地址、獲取到的IPv6地址、與DHCPv6客戶端連接的端口及該端口所屬的VLAN等信息。網絡管理員可以通過display ipv6 dhcp snooping binding命令查看客戶端獲取的IPv6地址信息,以便了解用戶上網時所用的IPv6地址,並對其進行管理和監控。
設備隻有位於DHCPv6客戶端與DHCPv6服務器之間,或DHCPv6客戶端與DHCPv6中繼之間時,DHCPv6 Snooping功能配置後才能正常工作;設備位於DHCPv6服務器與DHCPv6中繼之間時,DHCPv6 Snooping功能配置後不能正常工作。
DHCPv6 Snooping配置任務如下:
(2) (可選)配置DHCPv6 Snooping支持Option 18功能
(3) (可選)配置DHCPv6 Snooping支持Option 37功能
(4) (可選)配置DHCPv6 Snooping表項固化功能
(5) (可選)配置接口動態學習DHCPv6 Snooping表項的最大數目
(6) (可選)開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能
(7) (可選)開啟DHCPv6 Snooping報文阻斷功能
(8) (可選)開啟DHCPv6 Snooping日誌信息功能
· 為了使DHCPv6客戶端能從合法的DHCPv6服務器獲取IPv6地址,必須將與合法DHCPv6服務器相連的端口設置為信任端口,且設置的信任端口和與DHCPv6客戶端相連的端口必須在同一個VLAN內。
· 如果二層以太網接口加入了聚合組,則加入聚合組之前和加入聚合組之後在該接口上進行的DHCPv6 Snooping相關配置不會生效;該接口退出聚合組後,DHCPv6 Snooping的配置才會生效。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6 Snooping功能。
ipv6 dhcp snooping enable
缺省情況下,DHCPv6 Snooping功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
此接口為連接DHCPv6服務器的接口。
(3) 配置DHCPv6 Snooping信任端口。
ipv6 dhcp snooping trust
缺省情況下,開啟DHCPv6 Snooping功能後,設備的所有端口均為不信任端口。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
此接口為連接DHCPv6客戶端的接口。
(3) 開啟端口的DHCPv6 Snooping表項記錄功能。請至少選擇其中一項進行配置。
¡ 開啟端口的DHCPv6 Snooping地址表項記錄功能。
ipv6 dhcp snooping binding record
缺省情況下,端口的DHCPv6 Snooping地址表項記錄功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping支持Option 18功能。
ipv6 dhcp snooping option interface-id enable
缺省情況下,DHCPv6 Snooping支持Option 18功能處於關閉狀態。
(4) (可選)配置Option 18選項中的DUID。
ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id
缺省情況下,Option 18選項中的DUID為本設備的DUID。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping支持Option 37功能。
ipv6 dhcp snooping option remote-id enable
缺省情況下,DHCPv6 Snooping支持Option 37功能處於關閉狀態。
(4) (可選)配置Option 37選項中的DUID。
ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id
缺省情況下,Option 37選項中的DUID為本設備的DUID。
DHCPv6 Snooping設備重啟後,設備上記錄的DHCPv6 Snooping表項將丟失。如果DHCPv6 Snooping與其他特性(如IP Source Guard)配合使用,表項丟失會導致安全特性無法通過DHCPv6 Snooping獲取到相應的表項,進而導致DHCPv6客戶端不能順利通過安全檢查、正常訪問網絡。
DHCPv6 Snooping表項備份功能將DHCPv6 Snooping表項保存到指定的文件中,DHCPv6 Snooping設備重啟後,自動根據該文件恢複DHCPv6 Snooping表項,從而保證DHCPv6 Snooping表項不會丟失。
· 執行undo ipv6 dhcp snooping enable命令關閉DHCPv6 Snooping功能後,設備會刪除所有DHCPv6 Snooping表項,文件中存儲的DHCPv6 Snooping表項也將被刪除。
· 執行ipv6 dhcp snooping binding database filename命令後,會立即觸發一次表項備份。
¡ 如果未配置ipv6 dhcp snooping binding database update interval命令,若表項發生變化,默認在300秒之後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件。
¡ 如果配置了ipv6 dhcp snooping binding database update interval命令,若表項發生變化,則到達刷新時間間隔後刷新存儲文件;若表項未發生變化,則不再刷新存儲文件。
(1) 進入係統視圖。
system-view
(2) 指定存儲DHCPv6 Snooping表項的文件名稱。
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情況下,未指定存儲文件名稱。
(3) (可選)將當前的DHCPv6 Snooping表項保存到用戶指定的文件中。
ipv6 dhcp snooping binding database update now
本命令隻用來觸發一次DHCPv6 Snooping表項的備份。
(4) (可選)配置刷新DHCPv6 Snooping表項存儲文件的延遲時間。
ipv6 dhcp snooping binding database update interval interval
缺省情況下,若DHCPv6 Snooping表項不變化,則不刷新存儲文件;若DHCPv6 Snooping表項發生變化,默認在300秒之後刷新存儲文件。
通過本配置可以限製接口動態學習DHCPv6 Snooping表項的最大數目,以防止接口學習到大量DHCPv6 Snooping表項,占用過多的係統資源。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置接口動態學習DHCPv6 Snooping表項的最大數目。
ipv6 dhcp snooping max-learning-num max-number
缺省情況下,不限製接口動態學習DHCPv6 Snooping表項的數目。
本功能用來檢查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三種DHCPv6請求方向的報文,以防止非法客戶端偽造這三種報文對DHCPv6服務器進行攻擊。
偽造DHCPv6-Renew報文攻擊是指攻擊者冒充合法的DHCPv6客戶端,向DHCPv6服務器發送偽造的DHCPv6-Renew報文,導致DHCPv6服務器和DHCPv6客戶端無法按照自己的意願及時釋放IPv6地址租約。如果攻擊者冒充不同的DHCPv6客戶端發送大量偽造的DHCPv6-Renew報文,則會導致大量IPv6地址被長時間占用,DHCPv6服務器沒有足夠的地址分配給新的DHCPv6客戶端。
偽造DHCPv6-Decline/DHCPv6-Release報文攻擊是指攻擊者冒充合法的DHCPv6客戶端,向DHCPv6服務器發送偽造的DHCPv6-Decline/DHCPv6-Release報文,導致DHCPv6服務器錯誤終止IPv6地址租約。
在DHCPv6 Snooping設備上開啟DHCPv6請求方向報文檢查功能,可以有效地防止偽造DHCPv6請求方向報文攻擊。如果開啟了該功能,則DHCPv6 Snooping設備接收到上述報文後,檢查本地是否存在與請求方向報文匹配的DHCPv6 Snooping表項。若存在,則接收報文信息與DHCPv6 Snooping表項信息一致時,認為該報文為合法的DHCPv6請求方向報文,將其轉發給DHCPv6服務器;不一致時,認為該報文為偽造的DHCPv6請求方向報文,將其丟棄。若不存在,則認為該報文合法,將其轉發給DHCPv6服務器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping的DHCPv6請求方向報文檢查功能。
ipv6 dhcp snooping check request-message
缺省情況下,DHCPv6 Snooping的DHCPv6請求方向報文檢查功能處於關閉狀態。
在某些組網環境下,用戶需要在DHCPv6 Snooping設備的某一端口上丟棄該端口收到的所有DHCPv6請求方向報文,而又不影響其他端口正常接收DHCPv6報文。這時,用戶可以在該端口上開啟DHCP Snooping報文阻斷功能。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟DHCPv6 Snooping報文阻斷功能。
ipv6 dhcp snooping deny
缺省情況下,端口的DHCPv6 Snooping報文阻斷功能處於關閉狀態。
在端口上開啟本功能後,DHCPv6 Snooping設備會丟棄該端口收到的所有DHCPv6請求方向報文,這將導致該端口上的DHCPv6客戶端無法申請到IPv6地址或IPv6前綴。因此,本功能隻能在未連接DHCPv6客戶端的端口上開啟。
DHCPv6 Snooping日誌可以方便管理員定位問題和解決問題。DHCPv6 Snooping設備生成DHCPv6 Snooping日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
當DHCPv6 Snooping設備輸出大量日誌信息時,可能會降低設備性能。為了避免該情況的發生,用戶可以關閉DHCPv6 Snooping日誌信息功能,使得DHCPv6 Snooping設備不再輸出日誌信息。
(1) 進入係統視圖。
system-view
(2) 開啟DHCPv6 Snooping日誌信息功能。
ipv6 dhcp snooping log enable
缺省情況下,DHCPv6 Snooping日誌信息功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示DHCPv6 Snooping的配置情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除DHCPv6 Snooping表項信息。
表5-1 DHCPv6 Snooping顯示和維護
|
操作 |
命令 |
|
顯示DHCPv6 Snooping表項信息 |
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id ] ] |
|
顯示DHCPv6 Snooping表項備份信息 |
display ipv6 dhcp snooping binding database |
|
顯示DHCPv6 Snooping設備上的DHCPv6報文統計信息 |
(獨立運行模式) display ipv6 dhcp snooping packet statistics [ slot slot-number ] (IRF模式) display ipv6 dhcp snooping packet statistics [ chassis chassis-number slot slot-number ] |
|
顯示DHCPv6 Snooping信任端口信息 |
display ipv6 dhcp snooping trust |
|
清除DHCPv6 Snooping表項信息 |
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] } |
|
清除DHCPv6 Snooping設備上的DHCPv6報文統計信息 |
(獨立運行模式) reset ipv6 dhcp snooping packet statistics [ slot slot-number ] (IRF模式) reset ipv6 dhcp snooping packet statistics [ chassis chassis-number slot slot-number ] |
Device B通過以太網端口GigabitEthernet1/0/1連接到合法DHCPv6服務器,通過以太網端口GigabitEthernet1/0/3連接到非法服務器,通過GigabitEthernet1/0/2連接到DHCPv6客戶端。要求:
· 與合法DHCPv6服務器相連的端口可以轉發DHCPv6服務器的響應報文,而其他端口不轉發DHCPv6服務器的響應報文。
· 記錄DHCPv6客戶端IPv6地址及MAC地址的綁定關係。
圖5-2 DHCPv6 Snooping組網示意圖
# 開啟DHCPv6 Snooping功能。
<DeviceB> system-view
[DeviceB] ipv6 dhcp snooping enable
# 配置GigabitEthernet1/0/1端口為信任端口。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust
[DeviceB-GigabitEthernet1/0/1] quit
# 在GigabitEthernet1/0/2上開啟安全表項功能。
[DeviceB]interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record
[DeviceB-GigabitEthernet1/0/2] quit
配置完成後,DHCPv6客戶端隻能夠從合法DHCPv6服務器獲取IPv6地址和其他配置信息,非法DHCPv6服務器無法為DHCPv6客戶端分配IPv6地址和其他配置信息。且使用display ipv6 dhcp snooping binding命令可以查看生成的DHCPv6 Snooping表項。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
