地址启用dhcp
启用dhcp 时间:2021-04-03 阅读:()
i目录1DHCPv6简介1-11.
1DHCPv6概述1-11.
2DHCPv6地址/前缀分配过程·1-11.
2.
1交互两个消息的快速分配过程1-11.
2.
2交互四个消息的分配过程·1-11.
3地址/前缀租约更新过程·1-21.
4DHCPv6无状态配置1-31.
4.
1DHCPv6无状态配置简介·1-31.
4.
2DHCPv6无状态配置过程·1-41.
5协议规范·1-42DHCPv6服务器2-12.
1DHCPv6服务器简介2-12.
1.
1DHCPv6服务器应用环境·2-12.
1.
2基本概念·2-22.
1.
3DHCPv6地址池·2-32.
1.
4地址/前缀的选择优先次序2-42.
2配置DHCPv6服务器2-42.
2.
1DHCPv6服务器配置任务简介·2-42.
2.
2配置为DHCPv6客户端分配IPv6前缀2-52.
2.
3配置为DHCPv6客户端分配IPv6地址2-62.
2.
4配置为DHCPv6客户端分配网络参数·2-82.
2.
5配置DHCPv6策略动态分配IPv6地址、前缀和其他参数2-102.
2.
6配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略2-112.
2.
7配置DHCPv6服务器发送DHCPv6报文的DSCP优先级2-112.
2.
8配置DHCPv6服务器租约固化功能·2-122.
2.
9配置DHCPv6服务器辅助路由信息·2-132.
2.
10指定DHCPv6服务器上的地址池所在的VPN信息2-132.
2.
11开启DHCPv6服务器发布前缀路由功能2-142.
2.
12开启DHCPv6服务器的日志信息功能2-142.
3DHCPv6服务器显示和维护2-152.
4DHCPv6服务器典型配置举例2-162.
4.
1动态分配IPv6前缀典型配置举例2-16ii2.
4.
2动态分配IPv6地址典型配置举例2-183DHCPv6中继3-13.
1DHCPv6中继简介3-13.
1.
1应用环境·3-13.
1.
2DHCPv6中继的工作过程·3-13.
2DHCPv6中继配置任务简介3-23.
3配置DHCPv6中继3-23.
3.
1配置接口工作在DHCPv6中继模式·3-23.
3.
2指定DHCPv6服务器的地址·3-33.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级3-33.
3.
4配置DHCPv6中继支持的interface-id选项填充模式3-33.
3.
5指定中继地址池上对应的DHCPv6服务器地址·3-43.
3.
6配置DHCPv6中继为DHCPv6客户端分配的网关地址·3-43.
3.
7开启DHCPv6中继用户表项记录功能·3-53.
3.
8配置清除用户表项时通知DHCPv6服务器释放租约·3-53.
3.
9开启DHCPv6中继用户下线探测功能·3-63.
3.
10开启DHCPv6中继发布前缀路由功能3-63.
4DHCPv6中继显示和维护3-63.
5DHCPv6中继典型配置举例3-74DHCPv6客户端4-14.
1DHCPv6客户端简介4-14.
2配置DHCPv6客户端4-14.
2.
1DHCPv6客户端配置任务简介·4-14.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数4-24.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数4-24.
2.
4配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数·4-24.
2.
5配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4-34.
2.
6配置接口使用的DHCPv6客户端DUID4-34.
2.
7配置DHCPv6客户端发送DHCPv6报文的DSCP优先级4-44.
3DHCPv6客户端显示和维护4-44.
4DHCPv6客户端典型配置举例4-44.
4.
1DHCPv6客户端申请地址及网络参数配置举例·4-44.
4.
2DHCPv6客户端申请前缀及网络参数配置举例·4-64.
4.
3DHCPv6客户端同时申请地址、前缀及网络参数配置举例·4-84.
4.
4DHCPv6无状态配置典型配置举例·4-11iii5DHCPv6Snooping·5-15.
1DHCPv6Snooping简介5-15.
2DHCPv6Snooping配置任务简介·5-25.
3配置DHCPv6Snooping基本功能·5-25.
4配置DHCPv6Snooping支持Option18和Option37功能5-35.
5配置DHCPv6Snooping表项固化功能·5-55.
6配置接口动态学习DHCPv6Snooping表项的最大数目·5-55.
7开启DHCPv6Snooping报文限速功能·5-65.
8开启DHCPv6Snooping的DHCPv6请求方向报文检查功能·5-65.
9开启DHCPv6Snooping报文阻断功能·5-75.
10开启DHCPv6Snooping日志信息功能·5-75.
11DHCPv6Snooping显示和维护·5-85.
12DHCPv6Snooping典型配置举例·5-81-11DHCPv6简介1.
1DHCPv6概述DHCPv6(DynamicHostConfigurationProtocolforIPv6,支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议.
与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见"三层技术-IP业务配置指导"中的"IPv6基础")相比,DHCPv6具有以下优点:更好地控制地址的分配.
通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理.
为客户端分配前缀,以便于全网络的自动配置和管理.
除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数.
1.
2DHCPv6地址/前缀分配过程DHCPv6服务器为客户端分配地址/前缀的过程分为两类:交互两个消息的快速分配过程交互四个消息的分配过程1.
2.
1交互两个消息的快速分配过程图1-1地址/前缀快速分配过程如图1-1所示,地址/前缀快速分配过程为:(2)DHCPv6客户端在向DHCPv6服务器发送的Solicit消息中携带RapidCommit选项,标识客户端希望服务器能够快速为其分配地址/前缀和其他网络配置参数.
(3)如果DHCPv6服务器支持快速分配过程,则直接返回Reply消息,为客户端分配IPv6地址/前缀和其他网络配置参数.
如果DHCPv6服务器不支持快速分配过程,则采用"1.
2.
2交互四个消息的分配过程"为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
2.
2交互四个消息的分配过程交互四个消息的分配过程如图1-2所示.
1-2图1-2交互四个消息的分配过程交互四个消息分配过程的简述如表1-1.
表1-1交互四个消息的分配过程步骤发送的消息说明(1)SolicitDHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数(2)Advertise如果Solicit消息中没有携带RapidCommit选项,或Solicit消息中携带RapidCommit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复该消息,通知客户端可以为其分配的地址/前缀和网络配置参数(3)Request如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数(4)ReplyDHCPv6服务器回复该消息,确认将地址/前缀和网络配置参数分配给客户端使用1.
3地址/前缀租约更新过程DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限,该租借期限称为租约.
租借期限由有效生命期决定.
地址/前缀的租借时间到达有效生命期后,DHCPv6客户端不能再使用该地址/前缀.
在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要申请延长地址/前缀租约.
图1-3通过Renew更新地址/前缀租约如图1-3所示,地址/前缀租借时间到达时间T1(推荐值为首选生命期的一半)时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器发送Renew报文,以进行地址/前缀租约的更新.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客1-3户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约.
图1-4通过Rebind更新地址/前缀租约如图1-4所示,如果在T1时发送Renew请求更新租约,但是未收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2(推荐值为首选生命期的0.
8倍)时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约;如果DHCPv6客户端未收到服务器的应答报文,则到达有效生命期后,客户端停止使用该地址/前缀.
有效生命期和首选生命期的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
1.
4DHCPv6无状态配置1.
4.
1DHCPv6无状态配置简介DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置.
地址无状态自动配置是指节点根据路由器发现/前缀发现所获取的信息,自动配置IPv6地址.
详细介绍请参见"三层技术-IP业务配置指导"的"IPv6基础".
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA(RouterAdvertisement,路由器通告)报文中M标志位(Managedaddressconfigurationflag,被管理地址配置标志位)取值为0、O标志位(Otherstatefulconfigurationflag,其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
1-41.
4.
2DHCPv6无状态配置过程图1-5DHCPv6无状态配置工作过程如图1-5所示,DHCPv6无状态配置的具体过程为:(1)客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带OptionRequest选项,指定客户端需要从服务器获取的配置参数.
(2)服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端.
(3)客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数.
如果接收到多个与请求相符的Reply报文,客户端将选择最先收到的Reply报文,并根据该报文中提供的参数完成客户端无状态配置.
1.
5协议规范与DHCPv6相关的协议规范有:RFC3736:StatelessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6RFC3315:DynamicHostConfigurationProtocolforIPv6(DHCPv6)RFC2462:IPv6StatelessAddressAutoconfigurationRFC3633:IPv6PrefixOptionsforDynamicHostConfigurationProtocol(DHCP)version62-12DHCPv6服务器2.
1DHCPv6服务器简介2.
1.
1DHCPv6服务器应用环境DHCPv6服务器可以为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
DHCPv6服务器为客户端分配IPv6地址和其他网络配置参数图2-1DHCPv6服务器地址和其他网络配置参数分配应用环境如图2-1所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端提供诸如IPv6地址、域名后缀、DNS服务器地址等网络配置参数.
DHCPv6客户端根据服务器分配的参数来实现主机的配置.
DHCPv6服务器为客户端分配的IPv6地址分为以下两类:临时IPv6地址:在短期内经常变化且不用续约的地址;非临时IPv6地址:正常使用,可以进行续约的地址.
2.
DHCPv6服务器为客户端分配IPv6前缀图2-2DHCPv6服务器前缀分配应用组网图DHCPv6clientDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6server2-2如图2-2所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端分配IPv6前缀.
DHCPv6客户端获取到IPv6前缀后,向所在网络组播发送包含该前缀信息的RA消息,以便网络内的主机根据该前缀自动配置IPv6地址.
2.
1.
2基本概念1.
DHCPv6采用的组播地址DHCPv6采用组播地址FF05::1:3来表示站点本地范围内所有的DHCPv6服务器;采用组播地址FF02::1:2来表示链路本地范围内所有的DHCPv6服务器和中继.
2.
DUIDDUID(DHCPUniqueIdentifier,DHCP唯一标识符)是一台DHCPv6设备(包括客户端、服务器和中继)的唯一标识.
在DHCPv6报文交互过程中,DHCPv6客户端、服务器和中继通过在报文中添加DUID来标识自己.
图2-3DUID-LL结构目前,设备采用RFC3315规定的DUID-LL(DUIDBasedonLink-layerAddress,基于链路层地址的DUID)作为DHCPv6设备的标识.
DUID-LL的结构如图2-3所示:DUIDtype:DUID类型.
设备支持的DUID类型为DUID-LL,取值为0x0003.
Hardwaretype:硬件类型.
设备支持的硬件类型为以太网,取值为0x0001.
Linklayeraddress:链路层地址.
取值为设备的桥MAC地址.
3.
IAIA(IdentityAssociation,标识联盟)用于管理分配给客户端的一组地址和前缀等信息,通过IAID标识.
一个客户端可以有多个IA,如客户端的每个接口拥有一个IA,IA用来管理该接口获取的地址和前缀等信息.
4.
IAIDIAID是IA的标识符,由客户端选择.
在一个客户端上不同IA的IAID不能相同.
5.
PDPD(PrefixDelegation,前缀授权)是DHCPv6服务器为分配的前缀创建的前缀绑定信息,前缀绑定信息中记录了IPv6前缀、客户端DUID、IAID、有效时间、首选时间、租约过期时间、申请前缀的客户端的IPv6地址等信息.
2-32.
1.
3DHCPv6地址池每个DHCPv6地址池都拥有一组可供分配的IPv6地址、IPv6前缀和网络配置参数.
DHCPv6服务器从地址池中为客户端选择并分配IPv6地址、IPv6前缀及其他参数.
1.
DHCPv6地址池的地址管理方式DHCPv6地址池的地址管理方式有以下几种:静态绑定IPv6地址,即通过将客户端DUID和IAID与IPv6地址绑定的方式,实现为特定的客户端分配特定的IPv6地址;动态选择IPv6地址,即在地址池中指定可供分配的IPv6地址范围,当收到客户端的IPv6地址申请时,从该地址范围中动态选择IPv6地址,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6地址范围时,需要:(1)指定动态分配的IPv6地址网段.
(2)将该网段划分为非临时地址范围和临时地址范围.
每个地址范围内的地址必须属于该网段,否则无法分配.
采用动态选择IPv6地址方式时,如果接收到客户端的地址申请,则DHCPv6服务器选择一个合适的地址池,并按照客户端申请的地址类型(非临时地址或临时地址),从该地址池对应的地址范围(非临时地址范围或临时地址范围)中选择合适的IPv6地址分配给客户端.
2.
DHCPv6地址池的前缀管理方式DHCPv6地址池的前缀管理方式有以下几种:静态绑定IPv6前缀,即通过将客户端DUID和IAID与IPv6前缀绑定的方式,实现为特定的客户端分配特定的IPv6前缀;动态选择IPv6前缀,即在地址池中指定可供分配的IPv6前缀范围,当收到客户端的IPv6前缀申请时,从该前缀范围中动态选择IPv6前缀,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6前缀范围时,需要:(1)创建前缀池,指定前缀池中包括的IPv6前缀范围.
(2)在地址池中指定动态分配的IPv6地址网段.
(3)在地址池中引用前缀池.
3.
地址池的选取原则DHCPv6服务器为客户端分配IPv6地址或前缀时,地址池的选择原则如下:(1)如果存在将客户端DUID、IAID与IPv6地址或前缀静态绑定的地址池,则选择该地址池,并将静态绑定的IPv6地址或前缀、及该地址池中的网络参数分配给客户端.
(2)如果接收到DHCPv6请求报文的接口引用了某个地址池,则选择该地址池,从该地址池中选取IPv6地址或前缀、及网络配置参数分配给客户端.
(3)如果不存在静态绑定的地址池,且接收到DHCPv6请求报文的接口未引用地址池,则按照以下方法选择地址池:如果客户端与服务器在同一网段,则将接收到DHCPv6请求报文的接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
如果客户端与服务器不在同一网段,即客户端通过DHCPv6中继获取IPv6地址或前缀,则将离DHCPv6客户端最近的DHCPv6中继接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
配置地址池动态分配的网段和IPv6地址范围时,请尽量保证与DHCPv6服务器接口或DHCPv6中继接口的IPv6地址所在的网段一致,以免分配错误的IPv6地址.
2-42.
1.
4地址/前缀的选择优先次序DHCPv6服务器为客户端分配IPv6地址/前缀的优先次序如下:(1)DUID、IAID与客户端DUID、IAID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀;(2)DUID、IAID与客户端DUID、IAID匹配的静态绑定地址/前缀;(3)DUID与客户端的DUID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(4)DUID与客户端DUID匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(5)服务器记录的曾经分配给客户端的地址/前缀;(6)地址池/前缀池中与客户端期望地址/前缀匹配的空闲地址/前缀;(7)地址池/前缀池中的其他空闲地址/前缀;(8)如果未找到可用的地址/前缀,则依次查询租约过期地址/前缀、曾经发生过冲突的地址,如果找到则进行分配,否则将不予处理.
如果客户端的网段发生变化,服务器不会为客户端分配曾经分配给它的地址/前缀,而是从匹配新网段的地址池中重新选择地址/前缀等信息.
使用曾经发生过冲突的IPv6地址时,只有冲突状态超过一小时的地址租约才能够被服务器分配给新的DHCPv6客户端.
2.
2配置DHCPv6服务器2.
2.
1DHCPv6服务器配置任务简介表2-1DHCPv6服务器配置任务简介配置任务说明详细配置配置为DHCPv6客户端分配IPv6前缀根据实际情况选择2.
2.
2配置为DHCPv6客户端分配IPv6地址2.
2.
3配置为DHCPv6客户端分配网络参数2.
2.
4配置DHCPv6策略动态分配IPv6地址、前缀和网络参数2.
2.
5配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略必选2.
2.
6配置DHCPv6服务器发送DHCPv6报文的DSCP优先级可选2.
2.
7配置DHCPv6服务器租约固化功能可选2.
2.
8配置DHCPv6服务器辅助路由信息可选2.
2.
9指定DHCPv6服务器上的地址池所在的VPN信息可选2.
2.
10开启DHCPv6服务器发布前缀路由功能可选2.
2.
112-5配置任务说明详细配置配置DHCPv6服务器的日志信息功能可选2.
2.
122.
2.
2配置为DHCPv6客户端分配IPv6前缀可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6前缀:在地址池中配置静态绑定前缀:指定DUID、IAID及前缀的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的前缀分配给此DHCPv6客户端.
如果只指定了DUID和前缀的绑定关系,未指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的前缀分配给此DHCPv6客户端.
在地址池中引用包含一定前缀范围的前缀池:接收到DHCPv6客户端的前缀分配请求后,DHCPv6服务器从前缀范围中动态选择可用前缀,分配给客户端.
在实际组网中,某些前缀是保留前缀,不应该动态分配给客户端.
通过配置不参与自动分配的前缀,可以避免DHCPv6服务器分配这些前缀.
配置为DHCPv6客户端分配IPv6前缀时,需要注意:一个IPv6前缀只能与一个客户端绑定.
不允许通过重复执行static-bindprefix命令的方式修改IPv6前缀与客户端的绑定关系、前缀的首选生命期和有效生命期.
只有删除该IPv6前缀的静态绑定配置后,才能将该IPv6前缀与其他客户端绑定,或修改前缀的首选生命期和有效生命期.
一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
不允许通过重复执行prefix-pool命令的方式修改地址池引用的前缀池、前缀的首选生命期和有效生命期.
只有取消当前地址池引用的前缀池后,才能引用其他的前缀池,或修改首选生命期和有效生命期.
表2-2配置为DHCPv6客户端分配IPv6前缀操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6前缀ipv6dhcpserverforbidden-prefixstart-prefix/prefix-len[end-prefix/prefix-len][vpn-instancevpn-instance-name]缺省情况下,DHCPv6前缀池中的所有IPv6前缀都参与自动分配如果通过ipv6dhcpserverforbidden-prefix命令将已经静态绑定的IPv6前缀配置为不参与自动分配的前缀,则该前缀仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-prefix命令,可以配置多个不参与自动分配的IPv6前缀段2-6操作命令说明创建前缀池ipv6dhcpprefix-poolprefix-pool-numberprefix{prefix-number|prefix/prefix-len}assign-lenassign-len[vpn-instancevpn-instance-name]缺省情况下,设备上不存在DHCPv6前缀池DHCPv6服务器为DHCPv6客户端动态分配IPv6前缀时,为必选;其他情况下,不需要进行本配置当配置前缀池引用前缀编号时,必须保证指定前缀号有对应的生效前缀,否则配置不生效创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池配置动态分配的IPv6地址网段network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度地址池引用前缀编号分配动态地址时必须保证前缀编号有对应的生效前缀,否则配置不生效配置静态绑定前缀static-bindprefixprefix/prefix-lenduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]二者至少选其一缺省情况下,未配置地址池的静态绑定前缀和可动态分配的前缀重复执行static-bindprefix命令,可以配置多个静态绑定的IPv6前缀配置地址池引用前缀池prefix-poolprefix-pool-number[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]2.
2.
3配置为DHCPv6客户端分配IPv6地址可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6地址:在地址池中配置静态绑定地址:指定DUID、IAID及地址的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的地址分配给此DHCPv6客户端.
如果只指定了DUID和地址的绑定关系,未指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的地址分配给此DHCPv6客户端.
在地址池中配置动态分配的地址网段和地址范围:{在进行非临时地址分配时,如果未在地址池下通过addressrange命令配置动态分配的IPv6非临时地址范围,则network命令指定的网段内的单播地址都可以分配给DHCPv6客户端.
如果配置了addressrange命令,则只会从该地址范围内分配IPv6非临时地址,即使该范围内的地址分配完毕,也不会从network命令指定的地址范围内分配IPv6非临时地址.
{在进行临时地址分配时,如果未在地址池下通过temporaryaddressrange命令配置动态分配的IPv6临时地址范围,则地址池无法分配临时地址.
如果配置了temporary2-7addressrange命令,则只会从该地址范围内分配IPv6临时地址,不会从network或者addressrange命令配置的地址范围内分配临时地址.
在实际组网中,某些地址是服务器的地址或者是保留地址,不应该动态分配给客户端.
通过配置不参与自动分配的地址,可以避免DHCPv6服务器分配这些地址.
配置为DHCPv6客户端分配IPv6地址,需要注意:一个地址池下只能配置一个IPv6非临时地址范围和一个IPv6临时地址范围.
addressrange命令和temporaryaddressrange命令配置的地址范围应该在network命令配置的网段内,否则地址不能被分配.
一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
一个IPv6地址只能与一个客户端绑定.
不允许通过重复执行static-bindaddress命令的方式修改IPv6地址与客户端的绑定关系、地址的首选生命期和有效生命期.
只有删除该IPv6地址的静态绑定配置后,才能通过重新配置将该IPv6地址与其他客户端绑定,或修改地址的首选生命期和有效生命期.
每个DHCPv6地址池只能配置一个网段,在相同地址池中重复执行network命令,新的配置会覆盖已有配置.
如果相邻两次network命令配置的地址网段相同而首选生命期和有效生命期不同,则新配置的首选生命期和有效生命期只能在新生成的绑定信息中生效,原有绑定信息不受影响.
表2-3配置为DHCPv6客户端分配IPv6地址操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6地址ipv6dhcpserverforbidden-addressstart-ipv6-address[end-ipv6-address][vpn-instancevpn-instance-name]缺省情况下,除DHCPv6服务器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都参与自动分配如果通过ipv6dhcpserverforbidden-address命令将已经静态绑定的IPv6地址配置为不参与自动分配的地址,则该地址仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-address命令,可以配置多个不参与自动分配的IPv6地址段创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池2-8操作命令说明配置动态分配的IPv6地址网段network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度地址池引用前缀编号分配动态地址时必须保证前缀号有对应的生效前缀,否则配置不生效(可选)配置动态分配的IPv6非临时地址范围addressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置地址池中动态分配的IPv6非临时地址范围,整个网段内的单播地址都可以作为非临时地址分配给客户端(可选)配置动态分配的IPv6临时地址范围temporaryaddressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6临时地址范围,不能分配IPv6临时地址(可选)配置静态绑定的IPv6地址static-bindaddressipv6-address/addr-prefix-lengthduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,不存在静态绑定的IPv6地址重复执行static-bindaddress命令,可以配置多个静态绑定的IPv6地址2.
2.
4配置为DHCPv6客户端分配网络参数除了分配IPv6地址和IPv6前缀外,DHCPv6地址池中还可以配置其他网络参数,如在一个地址池下最多可以配置8个DNS服务器地址、1个域名、8个SIP服务器地址和8个SIP服务器域名等.
可以通过如下方式配置为DHCPv6客户端分配的网络参数:直接在DHCPv6地址池视图下配置网络参数.
在DHCPv6选项组中配置网络参数,并在DHCPv6地址池视图下指定引用的DHCPv6选项组.
直接在DHCPv6地址池视图下配置的网络参数的优先级高于DHCPv6选项组中配置的网络参数.
1.
直接在DHCPv6地址池中配置网络参数表2-4配置为DHCPv6客户端分配网络参数操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池2-9操作命令说明配置动态分配的IPv6地址网段network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度地址池引用前缀编号分配动态地址时必须保证前缀号有对应的生效前缀,否则配置不生效(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,未指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名domain-namedomain-name缺省情况下,未指定为客户端分配的域名(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,未指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,未配置DHCPv6自定义选项2.
通过DHCPv6选项组配置网络参数DHCPv6选项组的创建方法有以下几种:通过ipv6dhcpoption-group命令手工创建静态DHCPv6选项组.
设备作为DHCPv6客户端获取IPv6地址、前缀和网络配置参数时,在DHCPv6客户端上根据获取的网络配置参数动态创建DHCPv6选项组.
手工创建的DHCPv6选项组优先级高于动态创建的DHCPv6选项组.
本节只介绍手工创建静态DHCPv6选项组的方法,动态创建DHCPv6选项组的方法请参见"三层技术-IP业务配置指导"中的"DHCPv6客户端".
表2-5通过DHCPv6选项组配置网络参数操作命令说明进入系统视图system-view-手工创建静态DHCPv6选项组,并进入DHCPv6选项组视图ipv6dhcpoption-groupoption-group-number缺省情况下,设备上不存在静态DHCPv6选项组(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,未指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名后缀domain-namedomain-name缺省情况下,未指定为客户端分配的域名后缀(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,未指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,未配置DHCPv6自定义选项退回系统视图quit-2-10操作命令说明创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池配置DHCPv6地址池引用选项组option-groupoption-group-number缺省情况下,DHCPv6地址池未引用选项组2.
2.
5配置DHCPv6策略动态分配IPv6地址、前缀和其他参数创建DHCPv6策略,并在接口引用该策略后,该接口接收到DHCPv6请求报文时,则根据配置顺序逐个匹配DHCPv6策略中通过classpool命令指定的DHCPv6用户类.
匹配情况如下:若匹配DHCPv6用户类成功,当该DHCPv6用户类关联的DHCPv6地址池中存在可供分配的地址或前缀信息时,则从该DHCPv6地址池中分配IPv6地址、前缀或其他参数;当该DHCPv6用户类关联的DHCPv6地址池中不存在可供分配的地址或前缀信息时,IPv6地址、前缀或其他参数分配失败.
若匹配DHCPv6策略中的所有DHCPv6用户类失败,当配置了默认DHCPv6地址池时,则从该DHCPv6地址池中分配IPv6地址、前缀或网络参数;当未配置默认DHCPv6地址池或DHCPv6默认地址池不存在可供分配的IPv6地址或前缀时,IPv6地址、前缀或其他参数分配失败.
若接收DHCPv6请求报文的接口引用的DHCPv6策略不存在或匹配的DHCPv6用户类关联的DHCPv6地址池不存在时,IPv6地址、前缀或其他参数分配失败.
匹配规则中不支持匹配DHCPv6中继添加的选项,比如Option18或Option37.
表2-6配置DHCPv6策略动态分配IPv6地址、前缀或其他参数操作命令说明进入系统视图system-view-创建DHCPv6用户类,并进入DHCPv6用户类视图ipv6dhcpclassclass-name缺省情况下,不存在DHCPv6用户类配置DHCPv6用户类的匹配规则if-matchrulerule-number{optionoption-code[asciiacsii-string[offsetoffset|partial]|hexhex-string[maskmask|offsetoffsetlengthlength|partial]]|relay-agentgateway-ipv6-address}缺省情况下,未配置DHCPv6用户类的匹配规则退回系统视图quit-创建DHCPv6策略,并进入DHCPv6策略视图ipv6dhcppolicypolicy-name缺省情况下,不存在DHCPv6策略DHCPv6策略需要在接口上引用才生效指定DHCPv6用户类关联的DHCPv6地址池classclass-namepoolpool-name缺省情况下,未指定DHCPv6用户类关联的DHCPv6地址池指定默认DHCPv6地址池defaultpoolpool-name缺省情况下,未指定默认DHCPv6地址池退回系统视图quit-2-11操作命令说明进入接口视图interfaceinterface-typeinterface-number-指定接口引用的DHCPv6策略ipv6dhcpapply-policypolicy-name缺省情况下,接口未引用DHCPv6策略2.
2.
6配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略配置接口工作在DHCPv6服务器模式后,当接口未引用地址池时,接口收到DHCPv6客户端发来的DHCPv6报文时,服务器根据该接口的地址或DHCPv6中继接口的地址选择最长匹配的DHCPv6地址池,并从该地址池中选择IPv6地址或前缀分配给客户端.
当接口引用地址池时,则从引用的地址池中选择IPv6地址或前缀分配给客户端.
如果引用的地址池中不存在可供分配的IPv6地址或前缀,则设备将无法为客户端分配IPv6地址或前缀.
配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略时,需要注意:一个接口不能同时作为DHCPv6服务器和DHCPv6中继.
建议不要在一个接口上同时配置DHCPv6服务器和DHCPv6客户端功能.
接口可以引用并不存在的地址池,但是,此时该接口无法为客户端分配前缀等信息.
只有创建该地址池后,才能为客户端分配前缀等信息.
表2-7配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6服务器模式ipv6dhcpselectserver缺省情况下,接口未工作在DHCPv6服务器模式,也未工作在DHCPv6中继模式,接口接收到DHCPv6客户端发来的DHCPv6报文后,丢弃该报文配置全局查找地址池,并指定全局查找DHCPv6地址池时地址或前缀分配策略ipv6dhcpserver{allow-hint|preferencepreference-value|rapid-commit}*两者必选其一缺省情况下,不支持期望地址/前缀分配,缺省优先级为0,不支持快速分配多次执行ipv6dhcpserver命令,新的配置会覆盖已有配置一个接口上最多只能引用一个地址池,如果多次执行ipv6dhcpserverapplypool命令,新的配置会覆盖已有配置配置接口引用DHCP地址池ipv6dhcpserverapplypoolpool-name[allow-hint|preferencepreference-value|rapid-commit]*2.
2.
7配置DHCPv6服务器发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6服务器发送的DHCPv6报文的DSCP优先级.
2-12表2-8配置DHCPv6服务器发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6服务器发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6服务器发送的DHCPv6报文的DSCP优先级为562.
2.
8配置DHCPv6服务器租约固化功能DHCPv6服务器重启后,设备上记录的租约信息将丢失,会影响DHCP服务器的正常业务.
DHCPv6服务器租约固化功能将DHCPv6服务器的核心运行数据(在用地址租约、冲突表项)保存到指定的文件中,DHCPv6服务器设备重启后,自动根据该文件恢复DHCPv6服务器的租约信息,从而保证DHCPv6服务器的租约信息不会丢失.
表2-9配置DHCPv6服务器租约固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6服务器表项的文件名称ipv6dhcpserverdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}string]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpserverdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件(可选)将当前的DHCPv6服务器表项保存到用户指定的文件中ipv6dhcpserverdatabaseupdatenow本命令只用来触发一次DHCPv6服务器表项的备份(可选)配置刷新DHCPv6服务器表项存储文件的延迟时间ipv6dhcpserverdatabaseupdateintervalinterval缺省情况下,若DHCPv6服务器表项不变化,则不刷新存储文件;若DHCPv6服务器表项发生变化,默认在300秒之后刷新存储文件(可选)终止当前的DHCPv6服务器表项恢复操作ipv6dhcpserverdatabaseupdatestop本命令只用来在设备重启时触发一次终止DHCPv6服务器表项信息的恢复2-132.
2.
9配置DHCPv6服务器辅助路由信息图2-4DHCPv6服务器辅助路由组网图在某些特定的业务模型(如BRAS组网)下,BAS设备需要实时监测网络流量,并将统计数据发送到RADIUS服务器.
该统计数据为用户上线以来产生的所有上下行流量数据,而不能是设备在某个时间段内发生的上下行流量数据.
由于RADIUS服务器刷新计数的方法是覆盖以前数据而不是进行累加,所以当一台设备的上下行流量分别从两台BAS设备上通过时,在RADIUS服务器上记录的数据就会相互覆盖,这时RADIUS服务器得到的统计数据是不准确的.
为了提高准确性,需保证一台设备的上下行流量经过同一台BAS设备.
通过配置辅助路由信息,通知路由管理对外发布此网段路由,引导指定网段的下行数据流量.
如果绑定了VPN实例,需保证该VPN实例存在.
满足了以上两个条件,该接入设备的辅助路由功能才能生效.
表2-10配置DHCPv6服务器辅助路由信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池配置DHCPv6服务器辅助路由信息network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]export-route缺省情况下,未配置DHCPv6服务器辅助路由信息2.
2.
10指定DHCPv6服务器上的地址池所在的VPN信息当地址池绑定了VPN实例后,DHCPv6服务器可以将网络划分成公网和VPN私网.
未配置VPN属性的地址池被划分到公网,配置了VPN属性的地址池被划分到相应的VPN私网,这样,对于处于公网或VPN私网中的客户端,服务器都能够选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息.
DHCPv6客户端的VPN信息可以从认证模块获取,也可以从DHCPv6服务器接收报文的接口配置的VPN信息获取.
如果以上两种方式都可获取VPN信息,以从认证模块获取的VPN信息为准.
2-14表2-11指定DHCPv6服务器上的地址池所在的VPN信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池指定DHCPv6服务器上的地址池所在的VPN信息vpn-instancevpn-instance-name缺省情况下,未指定DHCPv6服务器上的地址池所在的VPN信息2.
2.
11开启DHCPv6服务器发布前缀路由功能DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址.
此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信.
为了解决这个问题,当DHCPv6服务器和DHCPv6客户端在同一个链路范围内时,需要在DHCPv6服务器上开启发布前缀路由功能.
表2-12开启DHCPv6服务器发布前缀路由功能操作命令说明进入系统视图system-view-开启DHCPv6服务器发布前缀路由功能ipv6dhcpadvertisepd-route缺省情况下,DHCPv6服务器发布前缀路由功能处于关闭状态2.
2.
12开启DHCPv6服务器的日志信息功能DHCPv6服务器日志是为了满足管理员审计需求.
设备生成DHCPv6日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
比如大量DHCPv6客户端发生上下线操作时,DHCPv6服务器需要输出大量日志信息,这可能会降低设备性能,影响DHCPv6服务器分配IPv6前缀或IPv6地址的速度.
为了避免该情况的发生,用户可以关闭DHCPv6服务器日志信息功能,使得DHCPv6服务器不再输出日志信息.
表2-13开启DHCPv6服务器的日志信息功能操作命令说明进入系统视图system-view-开启DHCPv6服务器日志信息功能ipv6dhcplogenable缺省情况下,DHCPv6服务器日志信息功能处于关闭状态2-152.
3DHCPv6服务器显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6服务器的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6服务器的统计信息.
表2-14DHCPv6服务器显示和维护操作命令显示本设备的DUIDdisplayipv6dhcpduid显示DHCPv6选项组信息displayipv6dhcpoption-group[option-group-number]显示DHCPv6地址池的信息displayipv6dhcppool[pool-name|vpn-instancevpn-instance-name]显示前缀池的信息displayipv6dhcpprefix-pool[prefix-pool-number][vpn-instancevpn-instance-name]显示接口上的DHCPv6服务器信息displayipv6dhcpserver[interfaceinterface-typeinterface-number]显示DHCPv6地址冲突信息displayipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]显示DHCPv6服务器表项备份信息displayipv6dhcpserverdatabase显示租约过期的DHCPv6地址绑定信息displayipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6地址绑定信息displayipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6前缀绑定信息displayipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]显示DHCPv6服务器的报文统计信息displayipv6dhcpserverstatistics[poolpool-name|vpn-instancevpn-instance-name]清除DHCPv6地址冲突信息resetipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]清除租约过期的DHCPv6地址绑定信息resetipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6的正式地址绑定和临时地址绑定信息resetipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6正式前缀绑定和临时前缀绑定信息resetipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]清除DHCPv6服务器的报文统计信息resetipv6dhcpserverstatistics[vpn-instancevpn-instance-name]2-162.
4DHCPv6服务器典型配置举例2.
4.
1动态分配IPv6前缀典型配置举例1.
组网需求DHCPv6客户端从DHCPv6服务器获取IPv6地址前缀,以及网络配置参数:DNS服务器地址、域名、SIP服务器地址和SIP服务器域名.
其中:Switch作为DHCPv6服务器,地址为1::1/64.
DHCPv6服务器为DUID为00030001CA0006A40000的客户端固定分配前缀2001:0410:0201::/48;为其他客户端分配2001:0410::/48~2001:0410:FFFF::/48之间除2001:0410:0201::/48外的前缀.
DNS服务器地址为2:2::3.
DHCPv6客户端所属域的域名后缀为aaa.
com.
SIP服务器地址为2:2::4,域名为bbb.
com.
2.
组网图图2-5DHCPv6服务器配置组网图3.
配置步骤(1)配置DHCPv6服务器#配置VLAN接口2的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6address1::1/64[Switch-Vlan-interface2]undoipv6ndrahalt[Switch-Vlan-interface2]ipv6ndautoconfigmanaged-address-flag[Switch-Vlan-interface2]ipv6ndautoconfigother-flag[Switch-Vlan-interface2]quit#配置前缀池1,包含的前缀为2001:0410::/32,分配的前缀长度为48.
[Switch]ipv6dhcpprefix-pool1prefix2001:0410::/32assign-len482-17#创建地址池1.
[Switch]ipv6dhcppool1#配置地址池1网段为1::/64,与VLAN接口2地址所属的网段相同.
[Switch-dhcp6-pool-1]network1::/64#配置地址池1引用已存在的前缀池1,并设置动态分配前缀的首选生命期为1天,有效生命期为3天.
[Switch-dhcp6-pool-1]prefix-pool1preferred-lifetime86400valid-lifetime259200#在地址池1中配置静态绑定前缀:绑定的前缀为2001:0410:0201::/48,绑定的客户端DUID为00030001CA0006A40000,并设置首选生命期为1天,有效生命期为3天.
[Switch-dhcp6-pool-1]static-bindprefix2001:0410:0201::/48duid00030001CA0006A40000preferred-lifetime86400valid-lifetime259200#配置为客户端分配的DNS服务器地址为2:2::3.
[Switch-dhcp6-pool-1]dns-server2:2::3#配置为客户端分配的域名为aaa.
com.
[Switch-dhcp6-pool-1]domain-nameaaa.
com#配置为客户端分配的SIP服务器地址为2:2::4,域名为bbb.
com.
[Switch-dhcp6-pool-1]sip-serveraddress2:2::4[Switch-dhcp6-pool-1]sip-serverdomain-namebbb.
com[Switch-dhcp6-pool-1]quit#配置VLAN接口2工作在DHCPv6服务器模式,并在该接口使能期望前缀分配和前缀快速分配功能,并将优先级设置为最高.
[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6dhcpselectserver[Switch-Vlan-interface2]ipv6dhcpserverallow-hintpreference255rapid-commit4.
验证配置#完成上述配置后,查看VLAN接口2上的DHCPv6服务器配置信息.
[Switch-Vlan-interface2]displayipv6dhcpserverinterfacevlan-interface2Usingpool:globalPreferencevalue:255Allow-hint:EnabledRapid-commit:Enabled#显示地址池1的信息.
[Switch-Vlan-interface2]displayipv6dhcppool1DHCPv6pool:1Network:1::/64Preferredlifetime604800,validlifetime2592000Prefixpool:1Preferredlifetime86400,validlifetime259200Staticbindings:DUID:00030001ca0006a40000IAID:NotconfiguredPrefix:2001:410:201::/48Preferredlifetime86400,validlifetime259200DNSserveraddresses:2:2::32-18Domainname:aaa.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示前缀池1的信息.
[Switch-Vlan-interface2]displayipv6dhcpprefix-pool1Prefix:2001:410::/32Assignedlength:48Totalprefixnumber:65536Available:65535In-use:0Static:1#DUID为00030001CA0006A40000的客户端获取IPv6前缀后,显示前缀绑定信息.
[Switch-Vlan-interface2]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:012009#其他客户端获取IPv6前缀后,显示前缀绑定信息.
[Switch-Vlan-interface2]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:0120092001:410::/48Auto(C)Jul1020:44:0520092.
4.
2动态分配IPv6地址典型配置举例1.
组网需求作为DHCPv6服务器的SwitchA为网段1::1:0:0:0/96和1::2:0:0:0/96的客户端动态分配IPv6地址;SwitchA的两个VLAN接口Vlan-interface10和Vlan-interface20的地址分别为1::1:0:0:1/96和1::2:0:0:1/96;1::1:0:0:0/96网段内的地址租约时长为172800秒(2天),有效时长为345600秒(4天),域名后缀为aabbcc.
com,DNS服务器地址为1::1:0:0:2/96;1::2:0:0:0/96网段内的地址租约时长为432000秒(5天),有效时长为864000秒(10天),域名后缀为aabbcc.
com,DNS服务器地址为1::2:0:0:2/96.
2-192.
组网图图2-6DHCPv6组网图3.
配置步骤(1)配置DHCPv6server各接口的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息system-view[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipv6address1::1:0:0:1/96[SwitchA-Vlan-interface10]undoipv6ndrahalt[SwitchA-Vlan-interface10]ipv6ndautoconfigmanaged-address-flag[SwitchA-Vlan-interface10]ipv6ndautoconfigother-flag[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipv6address1::2:0:0:1/96[SwitchA-Vlan-interface20]undoipv6ndrahalt[SwitchA-Vlan-interface20]ipv6ndautoconfigmanaged-address-flag[SwitchA-Vlan-interface20]ipv6ndautoconfigother-flag[SwitchA-Vlan-interface20]quit(2)配置DHCPv6服务#配置接口Vlan-interface10和Vlan-interface20工作在DHCPv6服务器模式.
[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipv6dhcpselectserver[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipv6dhcpselectserver[SwitchA-Vlan-interface20]quit#配置不参与自动分配的IPv6地址,以避免分配DNS服务器的地址.
[SwitchA]ipv6dhcpserverforbidden-address1::1:0:0:2[SwitchA]ipv6dhcpserverforbidden-address1::2:0:0:2#配置DHCPv6地址池1,为1::1:0:0:0/96网段的客户端分配IPv6地址等参数.
[SwitchA]ipv6dhcppool12-20[SwitchA-dhcp6-pool-1]network1::1:0:0:0/96preferred-lifetime172800valid-lifetime345600[SwitchA-dhcp6-pool-1]domain-nameaabbcc.
com[SwitchA-dhcp6-pool-1]dns-server1::1:0:0:2[SwitchA-dhcp6-pool-1]quit#配置DHCPv6地址池2,为1::2:0:0:0/96网段的客户端分配IPv6地址等参数.
[SwitchA]ipv6dhcppool2[SwitchA-dhcp6-pool-2]network1::2:0:0:0/96preferred-lifetime432000valid-lifetime864000[SwitchA-dhcp6-pool-2]domain-nameaabbcc.
com[SwitchA-dhcp6-pool-2]dns-server1::2:0:0:2[SwitchA-dhcp6-pool-2]quit4.
验证配置配置完成后,1::1:0:0:0/96和1::2:0:0:0/96网段的客户端可以从DHCPv6服务器SwitchA申请到相应网段的IPv6地址和网络配置参数.
通过displayipv6dhcpserverip-in-use命令可以查看DHCPv6服务器为客户端分配的IPv6地址.
3-13DHCPv6中继3.
1DHCPv6中继简介3.
1.
1应用环境图3-1DHCPv6中继应用组网图DHCPv6客户端通常通过链路本地范围的组播地址与DHCPv6服务器通信,以获取IPv6地址和其他网络配置参数.
如图3-1所示,服务器和客户端不在同一个链路范围内时,服务器和客户端无法直接通信,需要通过DHCPv6中继来转发报文.
部署DHCPv6中继可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理.
3.
1.
2DHCPv6中继的工作过程图3-2DHCPv6中继的工作过程如图3-2所示,以交互两个消息的快速分配过程为例,DHCPv6客户端通过DHCPv6中继,从DHCPv6服务器获取IPv6地址和其他网络配置参数的过程为:(1)DHCPv6客户端向所有DHCPv6服务器和中继的组播地址FF02::1:2发送携带RapidCommit选项的Solicit消息;IPv6networkDHCPv6serverDHCPv6relayagentDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6client(1)Solicit(containsaRapidCommitoption)(4)ReplyDHCPv6clientDHCPv6relayagentDHCPv6server(2)Relay-forward(3)Relay-reply3-2(2)DHCPv6中继接收到Solicit消息后,将其封装在Relay-forward报文的中继消息选项(RelayMessageOption)中,并将Relay-forward报文发送给DHCPv6服务器;(3)DHCPv6服务器从Relay-forward报文中解析出客户端的Solicit消息,为客户端选取IPv6地址和其他参数,构造Reply消息,将Reply消息封装在Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6中继;(4)DHCPv6中继从Relay-reply报文中解析出服务器的Reply消息,转发给DHCPv6客户端,以便DHCPv6客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置.
3.
2DHCPv6中继配置任务简介表3-1DHCPv6中继配置任务简介配置任务说明详细配置配置接口工作在DHCPv6中继模式必选3.
3.
1指定DHCPv6服务器的地址必选3.
3.
2配置DHCPv6中继发送DHCPv6报文的DSCP优先级可选3.
3.
3配置DHCPv6中继支持BAS模式的Option18功能可选3.
3.
4指定中继地址池对应的DHCPv6服务器地址可选3.
3.
5配置DHCPv6中继为DHCPv6客户端分配的网关地址可选3.
3.
6开启DHCPv6中继用户表项记录功能可选3.
3.
7配置清除用户表项时通知DHCPv6服务器释放租约可选3.
3.
8开启DHCPv6中继用户下线探测功能可选3.
3.
9开启DHCPv6中继发布前缀路由功能可选3.
3.
103.
3配置DHCPv6中继3.
3.
1配置接口工作在DHCPv6中继模式DHCPv6服务器和DHCPv6客户端位于不同网段时,需要配置DHCPv6中继在DHCPv6客户端和DHCPv6服务器之间转发报文.
建议不要在一个接口上同时配置DHCPv6中继和DHCPv6客户端功能.
表3-2配置接口工作在DHCPv6中继模式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6中继模式ipv6dhcpselectrelay缺省情况下,接口未工作在DHCPv6中继模式3-33.
3.
2指定DHCPv6服务器的地址工作在DHCPv6中继模式的接口接收到DHCPv6客户端发来的报文后,将其封装在Relay-forward报文中,并发送给指定的DHCPv6服务器,由DHCPv6服务器为客户端分配IPv6地址、IPv6前缀和其他网络配置参数.
表3-3指定DHCPv6服务器的地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-指定DHCPv6服务器的地址ipv6dhcprelayserver-addressipv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定DHCPv6服务器的地址通过多次执行ipv6dhcprelayserver-address命令可以指定多个DHCPv6服务器,一个接口下最多可以指定8个DHCPv6服务器.
DHCPv6中继接收到DHCPv6客户端报文后,将其转发给所有的DHCPv6服务器如果指定的DHCPv6服务器地址为链路本地地址或组播地址,则必须通过ipv6dhcprelayserver-address命令的interface参数指定出接口,否则报文可能会无法到达服务器3.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6中继发送的DHCPv6报文的DSCP优先级.
表3-4配置DHCPv6中继发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6中继发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6中继发送的DHCPv6报文的DSCP优先级为563.
3.
4配置DHCPv6中继支持的interface-id选项填充模式如果配置了DHCPv6中继支持的interface-id选项填充模式,当DHCPv6中继接收到客户端发送的DHCPv6报文后,会以配置的填充方式将DHCPv6客户端的位置信息填充Option18选项,并把填充好的报文转发给DHCPv6服务器.
3-4表3-5配置DHCPv6中继支持的interface-id选项填充模式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置DHCPv6中继支持的interface-id选项填充模式ipv6dhcprelayinterface-id{bas|interface}缺省情况下,interface-id选项的填充模式为接口索引信息3.
3.
5指定中继地址池上对应的DHCPv6服务器地址对于某些特定的用户接入方式,基于用户接入位置信息的不同,网络中存在大量不同类型的用户.
为了使相同类型的用户可以从指定的DHCPv6服务器申请IPv6地址等网络参数,设备根据用户注册信息,使不同的用户选择不同的DHCPv6中继地址池,并从中继地址池下配置的DHCPv6服务器获取IPv6地址等网络参数.
为了提高可靠性,一个DHCPv6中继地址池下最多可以配置8个DHCPv6服务器地址,当DHCPv6客户端匹配该中继地址池后,DHCPv6中继会将DHCPv6客户端发来的DHCPv6报文转发给该地址池对应所有的DHCPv6服务器.
一台DHCPv6中继的一个接口下可能连接不同类型的用户,当DHCPv6中继转发DHCPv6客户端请求报文给DHCPv6服务器时,不能再以中继接口的IPv6地址作为选择地址池的依据.
为了解决这个问题,需要使用gateway-list命令指定某个类型用户所在的网段,并将该地址添加到转发给DHCPv6服务器的报文的Link-address字段中,为DHCPv6服务器选择地址池提供依据.
表3-6指定中继地址池对应的DHCPv6服务器地址操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池指定匹配该地址池的DHCPv6客户端所在的网段地址gateway-listipv6-address&缺省情况下,未指定匹配该地址池的DHCPv6客户端所在的网段地址指定中继地址池对应的DHCPv6服务器地址remote-serveripv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定中继地址池对应的DHCPv6服务器的地址3.
3.
6配置DHCPv6中继为DHCPv6客户端分配的网关地址当未开启该功能时,DHCPv6中继收到DHCPv6客户端的请求报文后,只能将接口的第一个IPv6添加到报文中,然后转发给DHCPv6服务器.
对于某些特定需求,DHCPv6中继需要添加指定的地址到报文中,这时就需要配置此功能.
3-5表3-7配置DHCPv6中继为DHCPv6客户端分配的网关地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置DHCPv6中继为DHCPv6客户端分配的网关地址ipv6dhcprelaygatewayipv6-address缺省情况下,DHCPc6中继分配接口下的第一个IPv6地址作为DHCPv6客户端的网关地址3.
3.
7开启DHCPv6中继用户表项记录功能DHCPv6中继用户表项记录功能用来防止非法主机手工配置一个IPv6地址并访问外部网络.
开启该功能后,当DHCPv6客户端通过DHCPv6中继从DHCPv6服务器获取到IPv6地址/前缀时,DHCPv6中继可以自动记录DHCPv6客户端的IPv6地址/前缀和硬件地址的绑定关系,生成DHCPv6中继用户表项.
该功能与其他IPv6地址安全功能(如IPSourceGuard)配合后,可以实现只允许匹配DHCPv6中继用户表项的报文通过DHCPv6中继.
从而,保证非法主机无法通过DHCPv6中继与外部网络通信.
IPSourceGuard的详细描述请参见"安全配置指导"中的"IPSourceGuard".
表3-8开启DHCPv6中继用户表项记录功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6中继用户表项记录功能ipv6dhcprelayclient-informationrecord缺省情况下,DHCPv6中继用户表项记录功能处于关闭状态3.
3.
8配置清除用户表项时通知DHCPv6服务器释放租约未配置该功能时,删除DHCPv6中继用户表项时(如执行resetipv6dhcprelayclient-informationaddress命令)只会删除DHCPv6中继上保存的表项信息.
配置该功能后,删除DHCPv6中继用户表项时,DHCPv6中继会主动向DHCPv6服务器发送释放该表项对应IPv6租约的Release报文.
DHCPv6服务器收到该报文后,会将该租约状态从已分配转化为过期.
表3-9配置清除用户表项时通知DHCPv6服务器释放租约操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置清除用户表项时通知DHCPv6服务器释放租约ipv6dhcprelayrelease-agent缺省情况下,清除用户表项时不会通知DHCPv6服务器释放租约3-63.
3.
9开启DHCPv6中继用户下线探测功能开启DHCPv6中继用户下线探测功能后,DHCPv6中继可探测存在的ND表项状态.
当ND表项老化后,DHCPv6中继认为该表项对应的用户已下线.
这时,DHCPv6中继会删除与该ND表项对应的DHCPv6中继用户表项.
ND的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
表3-10开启DHCPv6中继用户下线探测功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6中继用户下线检测功能ipv6dhcpclient-detect缺省情况下,DHCPv6中继用户下线检测功能处于关闭状态3.
3.
10开启DHCPv6中继发布前缀路由功能DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址.
此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信.
为了解决这个问题,需要在和DHCPv6客户端处于同一个链路范围内的DHCPv6中继上开启发布前缀路由功能.
表3-11开启DHCPv6中继发布前缀路由功能操作命令说明进入系统视图system-view-开启DHCPv6中继发布前缀路由功能ipv6dhcpadvertisepd-route缺省情况下,DHCPv6中继发布前缀路由功能处于关闭状态开启DHCPv6中继发布前缀路由功能前,需要先开启DHCPv6中继用户表项记录功能3.
4DHCPv6中继显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6中继的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6中继的统计信息.
表3-12DHCPv6中继显示和维护操作命令显示本设备DUIDdisplayipv6dhcpduid3-7操作命令显示DHCPv6中继用户地址表项信息displayipv6dhcprelayclient-informationaddress[interfaceinterface-typeinterface-number|ipv6ipv6-address][vpn-instancevpn-instance-name]显示DHCPv6中继用户前缀表项信息displayipv6dhcprelayclient-informationpd[interfaceinterface-typeinterface-number|prefixprefix/prefix-len][vpn-instancevpn-instance-name]显示DHCPv6中继上指定的DHCPv6服务器地址信息displayipv6dhcprelayserver-address[interfaceinterface-typeinterface-number]显示DHCPv6中继的相关报文统计信息displayipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]清除DHCPv6中继用户地址表项信息resetipv6dhcprelayclient-informationaddress[interfaceinterface-typeinterface-number|ipv6ipv6-address][vpn-instancevpn-instance-name]清除DHCPv6中继用户前缀表项信息resetipv6dhcprelayclient-informationpd[interfaceinterface-typeinterface-number|prefixprefix/prefix-len][vpn-instancevpn-instance-name]清除DHCPv6中继的相关报文统计信息resetipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]3.
5DHCPv6中继典型配置举例1.
组网需求DHCPv6客户端所在网络地址为1::/64,DHCPv6服务器的地址为2::2/64.
客户端和服务器不在同一个链路范围,需要通过DHCPv6中继转发报文.
SwitchA作为DHCPv6中继,为客户端和服务器转发报文.
SwitchA同时作为1::/64网络的网关设备,通过RA消息中的M标志位和O标志位指定该网络中的主机通过DHCPv6获取IPv6地址和其他网络配置参数.
RA消息的详细介绍,请参见"三层技术-IP业务配置指导"中的"IPv6基础".
2.
组网图图3-3DHCPv6中继组网图3-83.
配置步骤#配置VLAN接口2和VLAN接口3的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipv6address2::164[SwitchA-Vlan-interface2]quit[SwitchA]interfacevlan-interface3[SwitchA-Vlan-interface3]ipv6address1::164[SwitchA-Vlan-interface3]undoipv6ndrahalt[SwitchA-Vlan-interface3]ipv6ndautoconfigmanaged-address-flag[SwitchA-Vlan-interface3]ipv6ndautoconfigother-flag#配置VLAN接口3工作在DHCPv6中继模式,并指定DHCPv6服务器地址.
[SwitchA-Vlan-interface3]ipv6dhcpselectrelay[SwitchA-Vlan-interface3]ipv6dhcprelayserver-address2::24.
验证配置#完成上述配置后,查看DHCPv6中继上指定的DHCPv6服务器地址信息.
[SwitchA-Vlan-interface3]displayipv6dhcprelayserver-addressInterface:Vlan-interface3ServeraddressOutgoingInterface2::2#查看DHCPv6中继相关报文的统计信息.
[SwitchA-Vlan-interface3]displayipv6dhcprelaystatisticsPacketsdropped:0Packetsreceived:14Solicit:0Request:0Confirm:0Renew:0Rebind:0Release:0Decline:0Information-request:7Relay-forward:0Relay-reply:7Packetssent:14Advertise:0Reconfigure:0Reply:7Relay-forward:7Relay-reply:04-14DHCPv6客户端4.
1DHCPv6客户端简介设备作为DHCPv6客户端时,可以具有如下功能:通过DHCPv6获取IPv6地址和网络配置参数,并根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6获取IPv6前缀和网络配置参数,并使用获取的前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址)、根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6同时获取IPv6地址、IPv6前缀和网络配置参数,并使用获取的前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址)、根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数.
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
否则DHCPv6客户端不会开启无状态配置过程.
4.
2配置DHCPv6客户端建议不要在一个接口上同时配置DHCPv6客户端和DHCPv6服务器功能,也不要在一个接口上同时配置DHCPv6客户端和DHCPv6中继功能,否则会影响功能正常使用.
4.
2.
1DHCPv6客户端配置任务简介表4-1DHCPv6客户端配置任务简介配置任务说明详细配置配置DHCPv6客户端获取IPv6地址和网络配置参数根据实际情况选择其一4.
2.
2配置DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
3配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数4.
2.
4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4.
2.
5配置接口使用的DHCPv6客户端DUID可选4.
2.
6配置DHCPv6客户端发送DHCPv6报文的DSCP优先级可选4.
2.
74-24.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数表4-2配置DHCPv6客户端获取IPv6地址和网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数ipv6addressdhcp-alloc[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数4.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数表4-3配置DHCPv6客户端获取IPv6前缀和网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口视图、三层聚合子接口视图和VLAN接口视图interfaceinterface-typeinterface-number-配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数ipv6dhcpclientpdprefix-number[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
4配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数表4-4配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-配置接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和其他网络配置参数ipv6dhcpclientstatefulprefixprefix-number[option-groupoption-group-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数4-34.
2.
5配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数表4-5配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-开启IPv6地址无状态自动配置功能ipv6addressauto二者至少选其一如果只配置了ipv6addressauto命令,只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能缺省情况下,接口不会作为DHCPv6客户端获取除地址/前缀外的其他网络配置参数开启DHCPv6客户端无状态配置功能ipv6dhcpclientstatelessenableipv6addressauto命令的详细介绍请参见"三层技术-IP业务命令参考"中的"IPv6基础".
4.
2.
6配置接口使用的DHCPv6客户端DUIDDHCPv6客户端DUID用来填充DHCPv6报文的Option1,作为识别DHCPv6客户端的唯一标识.
DHCPv6服务器可以根据DHCPv6客户端DUID为特定的DHCPv6客户端分配特定的IPv6地址.
用户可以通过以下三种方法指定DHCPv6客户端DUID:ASCII字符串、十六进制数或使用指定接口的MAC地址作为DHCPv6客户端DUID,以上三种方式都需要由用户保证不同DHCPv6客户端的DUID不会相同.
表4-6配置接口使用的DHCPv6客户端DUID操作命令说明进入系统视图system-view-三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-配置接口使用的DHCPv6客户端DUIDipv6dhcpclientduid{asciiascii-string|hexhex-string|macinterface-typeinterface-number}缺省情况下,根据设备的桥MAC地址生成DHCPv6客户端DUID4-44.
2.
7配置DHCPv6客户端发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6客户端发送的DHCPv6报文的DSCP优先级.
表4-7配置DHCPv6客户端发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级ipv6dhcpclientdscpdscp-value缺省情况下,DHCPv6客户端发送的DHCPv6报文的DSCP优先级为564.
3DHCPv6客户端显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6客户端的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6客户端的统计信息.
表4-8DHCPv6客户端显示和维护操作命令显示DHCPv6客户端的信息displayipv6dhcpclient[interfaceinterface-typeinterface-number]显示DHCPv6客户端的统计信息displayipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]清除DHCPv6客户端的统计信息resetipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]4.
4DHCPv6客户端典型配置举例4.
4.
1DHCPv6客户端申请地址及网络参数配置举例1.
组网需求DHCPv6客户端Switch从DHCPv6服务器获取IPv6地址,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名.
DHCPv6客户端根据获取到的网络配置参数自动创建DHCPv6选项组1.
4-52.
组网图图4-1DHCPv6客户端申请地址及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#配置VLAN接口2作为DHCPv6客户端获取IPv6地址及网络参数,配置DHCPv6客户端支持地址快速分配功能,并配置根据获取到的网络配置参数自动创建DHCPv6选项组1.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6addressdhcp-allocrapid-commitoption-group1[Switch-Vlan-interface2]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6地址及网络参数.
[Switch]displayipv6dhcpclientVlan-interface2:Type:StatefulclientrequestingaddressState:OPENClientDUID:0003000100e002000000Preferredserver:Reachableviaaddress:FE80::2E0:1FF:FE00:18ServerDUID:0003000100e001000000IA_NA:IAID0x00000642,T150sec,T280secAddress:1:1::2/128Preferredlifetime100sec,validlifetime200secWillexpireonMar272014at08:06:57(198secondsleft)DNSserveraddresses:2000::FFDomainname:example.
com4-6SIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的DHCPv6选项组1的信息.
[Switch]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface22000::FFDomainname:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface2example.
comSIPserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface22:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface2bbb.
com#查看获取到的IPv6地址.
[Switch]displayipv6interfacebrief*down:administrativelydown(s):spoofingInterfacePhysicalProtocolIPv6AddressVlan-interface2upup1:1::24.
4.
2DHCPv6客户端申请前缀及网络参数配置举例1.
组网需求DHCPv6客户端Switch从DHCPv6服务器获取IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等.
DHCPv6客户端Switch根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1.
4-72.
组网图图4-2DHCPv6客户端申请前缀及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#在客户端连接到DHCPv6服务器的VLAN接口2上配置IPv6地址.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6address1::2/48#配置VLAN接口2作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能.
[Switch-Vlan-interface2]ipv6dhcpclientpd1rapid-commitoption-group1[Switch-Vlan-interface2]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数.
[Switch]displayipv6dhcpclientVlan-interface2:Type:StatefulclientrequestingprefixState:OPENClientDUID:0003000100e002000000Preferredserver:Reachableviaaddress:FE80::2E0:1FF:FE00:18ServerDUID:0003000100e001000000IA_PD:IAID0x00000642,T150sec,T280secPrefix:12:34::/48Preferredlifetime100sec,validlifetime200secWillexpireonFeb42014at15:37:20(80secondsleft)DHCPv6serverSwitchDHCPv6clientVlan-int21::1/48DHCPv6clientVlan-int21::2/484-8DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的IPv6前缀1的信息.
[Switch]displayipv6prefix1Number:1Type:DynamicPrefix:12:34::/48Preferredlifetime100sec,validlifetime200sec#显示动态创建的DHCPv6选项组1的信息.
[Switch]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface22000::FFDomainname:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface2example.
comSIPserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface22:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface2bbb.
com4.
4.
3DHCPv6客户端同时申请地址、前缀及网络参数配置举例1.
组网需求DHCPv6客户端Switch从DHCPv6服务器同时获取IPv6地址、IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等.
DHCPv6客户端Switch根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1.
4-92.
组网图图4-3DHCPv6客户端同时申请地址、前缀及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#在客户端连接到DHCPv6服务器的VLAN接口2上配置IPv6地址.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6address1::2/48#配置VLAN接口2作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能.
[Switch-Vlan-interface2]ipv6dhcpclientstatefulprefix1rapid-commitoption-group1[Switch-Vlan-interface2]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数.
[Switch]displayipv6dhcpclientVlan-interface2:Type:StatefulclientrequestingaddressandprefixState:OPENClientDUID:0003000100e002000000Preferredserver:Reachableviaaddress:FE80::2E0:1FF:FE00:18ServerDUID:0003000100e001000000IA_NA:IAID0x00000642,T150sec,T280secAddress:1:1::2/128Preferredlifetime100sec,validlifetime200secWillexpireonMar272014at08:02:00(199secondsleft)4-10IA_PD:IAID0x00000642,T150sec,T280secPrefix:12:34::/48Preferredlifetime100sec,validlifetime200secWillexpireonMar272014at08:02:00(199secondsleft)DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#查看获取到的IPv6地址.
[Switch]displayipv6interfacebrief*down:administrativelydown(s):spoofingInterfacePhysicalProtocolIPv6AddressVlan-interface2upup1:1::2#显示动态创建的IPv6前缀1的信息.
[Switch]displayipv6prefix1Number:1Type:DynamicPrefix:12:34::/48Preferredlifetime100sec,validlifetime200sec#显示动态创建的DHCPv6选项组1的信息.
[Switch]displayipv6dhcpoption-group1DNSserveraddresses:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface22000::FFDomainname:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface2example.
comSIPserveraddresses:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface22:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface2bbb.
com以上三条display命令可以看到客户端获取到的地址信息、前缀信息和网络参数.
4-114.
4.
4DHCPv6无状态配置典型配置举例1.
组网需求DHCPv6客户端SwitchA通过DHCPv6无状态配置获取域名服务器、域名等信息;SwitchB作为网关,周期性发布RA消息.
2.
组网图图4-4DHCPv6无状态配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
(1)配置网关SwitchB#配置VLAN接口2的IPv6地址.
system-view[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipv6address1::164#配置RA消息中O标志位为1.
[SwitchB-Vlan-interface2]ipv6ndautoconfigother-flag#在VLAN接口2上配置允许发送RA消息.
[SwitchB-Vlan-interface2]undoipv6ndrahalt(2)配置DHCPv6客户端SwitchA#在VLAN接口2上使能IPv6地址无状态自动配置功能.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipv6addressauto执行此命令后,如果VLAN接口2下未配置地址,SwitchA会自动生成本地链路地址,并主动发送RS(RouterSolicitation,路由器请求)报文,请求网关SwitchB立即回应RA报文.
4.
验证配置如果收到的RA报文中M标志位为0、O标志位为1,SwitchA就会启动DHCPv6客户端无状态配置.
4-12#可以通过displayipv6dhcpclient命令查看当前客户端的配置信息,如果从服务器成功获取了配置,将会有类似的显示信息.
[SwitchA-Vlan-interface2]displayipv6dhcpclientinterfacevlan-interface2Vlan-interface2:Type:StatelessclientState:OPENClientDUID:00030001000fe2ff0000Preferredserver:Reachableviaaddress:FE80::213:7FFF:FEF6:C818ServerDUID:0003000100137ff6c818DNSserveraddresses:1:2:4::51:2:4::7Domainname:abc.
com#可以通过displayipv6dhcpclientstatistics命令查看当前客户端的统计信息.
[SwitchA-Vlan-interface2]displayipv6dhcpclientstatisticsInterface:Vlan-interface2Packetsreceived:1Reply:1Advertise:0Reconfigure:0Invalid:0Packetssent:5Solicit:0Request:0Renew:0Rebind:0Information-request:5Release:0Decline:05-15DHCPv6Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6Snooping功能配置后不能正常工作.
5.
1DHCPv6Snooping简介DHCPv6Snooping是DHCPv6的一种安全特性,具有如下功能:1.
保证客户端从合法的服务器获取IPv6地址网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信.
为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6Snooping安全机制允许将端口设置为信任端口和不信任端口:信任端口正常转发接收到的DHCPv6报文.
不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文.
图5-1信任端口和非信任端口如图5-1所示,在DHCPv6Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址.
2.
记录DHCPv6客户端IPv6地址与MAC地址的对应关系DHCPv6Snooping通过监听DHCPv6报文,记录DHCPv6Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息.
网5-2络管理员可以通过displayipv6dhcpsnoopingbinding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控.
5.
2DHCPv6Snooping配置任务简介表5-1DHCPv6Snooping配置任务简介配置任务说明详细配置配置DHCPv6Snooping基本功能必选5.
3配置DHCPv6Snooping支持Option18与Option37功能可选5.
4配置DHCPv6Snooping表项备份功能可选5.
5配置接口动态学习DHCPv6Snooping表项的最大数目可选5.
6配置DHCPv6Snooping报文限速功能可选5.
7开启DHCPv6Snooping的DHCPv6请求方向报文检查功能可选5.
8开启DHCPv6Snooping报文阻断功能可选5.
9开启DHCPv6Snooping日志信息功能可选5.
105.
3配置DHCPv6Snooping基本功能开启DHCPv6Snooping功能,并正确地配置信任端口和非信任端口后,可以保证客户端从合法的服务器获取IPv6地址,配置DHCPv6Snooping基本功能时,需要注意:为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内.
如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6Snooping的配置才会生效.
表5-2配置DHCPv6Snooping基本功能操作命令说明进入系统视图system-view-开启DHCPv6Snooping功能ipv6dhcpsnoopingenable缺省情况下,DHCPv6Snooping功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6服务器的接口配置DHCPv6Snooping信任端口ipv6dhcpsnoopingtrust缺省情况下,开启DHCPv6Snooping功能后,设备的所有端口均为不信任端口退回系统视图quit-5-3操作命令说明进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6客户端的接口(可选)开启端口的DHCPv6Snooping表项记录功能ipv6dhcpsnoopingbindingrecord缺省情况下,在开启DHCPv6Snooping功能后,端口的DHCPv6Snooping表项记录功能处于关闭状态5.
4配置DHCPv6Snooping支持Option18和Option37功能Option18称为接口ID选项(InterfaceID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option18选项,并转发给DHCPv6服务器.
服务器可根据Option18选项中的客户端信息选择合适的地址池为DHCPv6客户端分配IPv6地址.
图5-2为Option18选项格式.
图5-2Option18选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
Option37称为远程ID选项(RemoteID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option37选项,并转发给DHCPv6服务器.
服务器可根据Option37选项中的信息对DHCPv6客户端定位,对分配IPv6地址提供帮助.
图5-3为Option37选项格式.
5-4图5-3Option37选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Enterprisenumber:企业编号.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
选项格式中的SecondVLANID字段为可选,如果DHCPv6报文中不含有SecondVlan,则Option18或Option37中也不包含SecondVLANID内容.
表5-3配置DHCPv6Snooping支持Option18和Option37功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping支持Option18功能ipv6dhcpsnoopingoptioninterface-idenable缺省情况下,DHCPv6Snooping支持Option18功能处于关闭状态(可选)配置Option18选项中的DUIDipv6dhcpsnoopingoptioninterface-id[vlanvlan-id]stringinterface-id缺省情况下,Option18选项中的DUID为本设备的DUID开启DHCPv6Snooping支持Option37功能ipv6dhcpsnoopingoptionremote-idenable缺省情况下,DHCPv6Snooping支持Option37功能处于关闭状态(可选)配置Option37选项中的DUIDipv6dhcpsnoopingoptionremote-id[vlanvlan-id]stringremote-id缺省情况下,Option37选项中的DUID为本设备的DUID5-55.
5配置DHCPv6Snooping表项固化功能DHCPv6Snooping设备重启后,设备上记录的DHCPv6Snooping表项将丢失.
如果DHCPv6Snooping与其他特性(如IPSourceGuard)配合使用,表项丢失会导致安全特性无法通过DHCPv6Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络.
DHCPv6Snooping表项备份功能将DHCPv6Snooping表项保存到指定的文件中,DHCPv6Snooping设备重启后,自动根据该文件恢复DHCPv6Snooping表项,从而保证DHCPv6Snooping表项不会丢失.
表5-4配置DHCPv6Snooping表项固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6Snooping表项的文件名称ipv6dhcpsnoopingbindingdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}string]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件.
如果配置了ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件(可选)将当前的DHCPv6Snooping表项保存到用户指定的文件中ipv6dhcpsnoopingbindingdatabaseupdatenow本命令只用来触发一次DHCPv6Snooping表项的备份(可选)配置刷新DHCPv6Snooping表项存储文件的延迟时间ipv6dhcpsnoopingbindingdatabaseupdateintervalinterval缺省情况下,若DHCPv6Snooping表项不变化,则不刷新存储文件;若DHCPv6Snooping表项发生变化,默认在300秒之后刷新存储文件执行undoipv6dhcpsnoopingenable命令关闭DHCPv6Snooping功能后,设备会删除所有DHCPv6Snooping表项,文件中存储的DHCPv6Snooping表项也将被删除.
5.
6配置接口动态学习DHCPv6Snooping表项的最大数目通过本配置可以限制接口动态学习DHCPv6Snooping表项的最大数目,以防止接口学习到大量DHCPv6Snooping表项,占用过多的系统资源.
5-6表5-5配置接口动态学习DHCPv6Snooping表项的最大数目操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口动态学习DHCPv6Snooping表项的最大数目ipv6dhcpsnoopingmax-learning-nummax-number缺省情况下,不限制接口动态学习DHCPv6Snooping表项的数目5.
7开启DHCPv6Snooping报文限速功能为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率.
当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6Snooping设备将丢弃超过速率限制的报文.
表5-6开启DHCPv6Snooping报文限速功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping的报文限速功能ipv6dhcpsnoopingrate-limitrate缺省情况下,DHCPv6Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6Snooping的报文限速配置.
如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6Snooping的报文限速配置5.
8开启DHCPv6Snooping的DHCPv6请求方向报文检查功能本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击.
伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约.
如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端.
伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约.
5-7在DHCPv6Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击.
如果开启了该功能,则DHCPv6Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6Snooping表项.
若存在,则接收报文信息与DHCPv6Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃.
若不存在,则认为该报文合法,将其转发给DHCPv6服务器.
表5-7开启DHCPv6Snooping的DHCPv6请求方向报文检查功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping的DHCPv6请求方向报文检查功能ipv6dhcpsnoopingcheckrequest-message缺省情况下,DHCPv6Snooping的DHCPv6请求方向报文检查功能处于关闭状态5.
9开启DHCPv6Snooping报文阻断功能在某些组网环境下,用户需要在DHCPv6Snooping设备的某一端口上丢弃该端口收到的所有DHCPv6请求方向报文,而又不影响其他端口正常接收DHCPv6报文.
这时,用户可以在该端口上开启DHCPSnooping报文阻断功能.
当端口上开启了DHCPv6Snooping报文阻断功能后,该端口收到的所有DHCPv6请求方向的报文都将被丢弃.
表5-8开启DHCPv6Snooping报文阻断功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping报文阻断功能ipv6dhcpsnoopingdeny缺省情况下,端口的DHCPv6Snooping报文阻断功能处于关闭状态5.
10开启DHCPv6Snooping日志信息功能DHCPv6Snooping日志是为了满足管理员的审计需求.
DHCPv6Snooping设备生成DHCPv6Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
当DHCPv6Snooping设备输出大量日志信息时,可能会降低设备性能.
为了避免该情况的发生,用户可以关闭DHCPv6Snooping日志信息功能,使得DHCPv6Snooping设备不再输出日志信息.
5-8表5-9开启DHCPv6Snooping日志信息功能操作命令说明进入系统视图system-view-开启DHCPv6Snooping日志信息功能ipv6dhcpsnoopinglogenable缺省情况下,DHCPv6Snooping日志信息功能处于关闭状态5.
11DHCPv6Snooping显示和维护在完成上述配置后,在任意视图下执行display命令可以显示DHCPv6Snooping的配置情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6Snooping表项信息.
表5-10DHCPv6Snooping显示和维护操作命令显示DHCPv6Snooping信任端口信息displayipv6dhcpsnoopingtrust显示DHCPv6Snooping表项信息displayipv6dhcpsnoopingbinding[addressipv6-address[vlanvlan-id]]显示DHCPv6Snooping表项备份信息displayipv6dhcpsnoopingbindingdatabase显示DHCPv6Snooping设备上的DHCPv6报文统计信息(独立运行模式)displayipv6dhcpsnoopingpacketstatistics[slotslot-number]显示DHCPv6Snooping设备上的DHCPv6报文统计信息(IRF模式)displayipv6dhcpsnoopingpacketstatistics[chassischassis-numberslotslot-number]清除DHCPv6Snooping表项resetipv6dhcpsnoopingbinding{all|addressipv6-address[vlanvlan-id]}清除DHCPv6Snooping设备上的DHCPv6报文统计信息(独立运行模式)resetipv6dhcpsnoopingpacketstatistics[slotslot-number]清除DHCPv6Snooping设备上的DHCPv6报文统计信息(IRF模式)resetipv6dhcpsnoopingpacketstatistics[chassischassis-numberslotslot-number]5.
12DHCPv6Snooping典型配置举例1.
组网需求SwitchB通过以太网端口GigabitEthernet1/0/1连接到合法DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到非法服务器,通过GigabitEthernet1/0/2连接到DHCPv6客户端.
要求:与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文.
记录DHCPv6客户端IPv6地址及MAC地址的绑定关系.
5-92.
组网图图5-4DHCPv6Snooping组网示意图3.
配置步骤#开启DHCPv6Snooping功能.
system-view[SwitchB]ipv6dhcpsnoopingenable#配置GigabitEthernet1/0/1端口为信任端口.
[SwitchB]interfacegigabitethernet1/0/1[SwitchB-GigabitEthernet1/0/1]ipv6dhcpsnoopingtrust[SwitchB-GigabitEthernet1/0/1]quit#在GigabitEthernet1/0/2上开启安全表项功能.
[SwitchB]interfacegigabitethernet1/0/2[SwitchB-GigabitEthernet1/0/2]ipv6dhcpsnoopingbindingrecord[SwitchB-GigabitEthernet1/0/2]quit4.
验证配置配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息.
且使用displayipv6dhcpsnoopingbinding命令可以查看生成的DHCPv6Snooping表项.
1DHCPv6概述1-11.
2DHCPv6地址/前缀分配过程·1-11.
2.
1交互两个消息的快速分配过程1-11.
2.
2交互四个消息的分配过程·1-11.
3地址/前缀租约更新过程·1-21.
4DHCPv6无状态配置1-31.
4.
1DHCPv6无状态配置简介·1-31.
4.
2DHCPv6无状态配置过程·1-41.
5协议规范·1-42DHCPv6服务器2-12.
1DHCPv6服务器简介2-12.
1.
1DHCPv6服务器应用环境·2-12.
1.
2基本概念·2-22.
1.
3DHCPv6地址池·2-32.
1.
4地址/前缀的选择优先次序2-42.
2配置DHCPv6服务器2-42.
2.
1DHCPv6服务器配置任务简介·2-42.
2.
2配置为DHCPv6客户端分配IPv6前缀2-52.
2.
3配置为DHCPv6客户端分配IPv6地址2-62.
2.
4配置为DHCPv6客户端分配网络参数·2-82.
2.
5配置DHCPv6策略动态分配IPv6地址、前缀和其他参数2-102.
2.
6配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略2-112.
2.
7配置DHCPv6服务器发送DHCPv6报文的DSCP优先级2-112.
2.
8配置DHCPv6服务器租约固化功能·2-122.
2.
9配置DHCPv6服务器辅助路由信息·2-132.
2.
10指定DHCPv6服务器上的地址池所在的VPN信息2-132.
2.
11开启DHCPv6服务器发布前缀路由功能2-142.
2.
12开启DHCPv6服务器的日志信息功能2-142.
3DHCPv6服务器显示和维护2-152.
4DHCPv6服务器典型配置举例2-162.
4.
1动态分配IPv6前缀典型配置举例2-16ii2.
4.
2动态分配IPv6地址典型配置举例2-183DHCPv6中继3-13.
1DHCPv6中继简介3-13.
1.
1应用环境·3-13.
1.
2DHCPv6中继的工作过程·3-13.
2DHCPv6中继配置任务简介3-23.
3配置DHCPv6中继3-23.
3.
1配置接口工作在DHCPv6中继模式·3-23.
3.
2指定DHCPv6服务器的地址·3-33.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级3-33.
3.
4配置DHCPv6中继支持的interface-id选项填充模式3-33.
3.
5指定中继地址池上对应的DHCPv6服务器地址·3-43.
3.
6配置DHCPv6中继为DHCPv6客户端分配的网关地址·3-43.
3.
7开启DHCPv6中继用户表项记录功能·3-53.
3.
8配置清除用户表项时通知DHCPv6服务器释放租约·3-53.
3.
9开启DHCPv6中继用户下线探测功能·3-63.
3.
10开启DHCPv6中继发布前缀路由功能3-63.
4DHCPv6中继显示和维护3-63.
5DHCPv6中继典型配置举例3-74DHCPv6客户端4-14.
1DHCPv6客户端简介4-14.
2配置DHCPv6客户端4-14.
2.
1DHCPv6客户端配置任务简介·4-14.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数4-24.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数4-24.
2.
4配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数·4-24.
2.
5配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4-34.
2.
6配置接口使用的DHCPv6客户端DUID4-34.
2.
7配置DHCPv6客户端发送DHCPv6报文的DSCP优先级4-44.
3DHCPv6客户端显示和维护4-44.
4DHCPv6客户端典型配置举例4-44.
4.
1DHCPv6客户端申请地址及网络参数配置举例·4-44.
4.
2DHCPv6客户端申请前缀及网络参数配置举例·4-64.
4.
3DHCPv6客户端同时申请地址、前缀及网络参数配置举例·4-84.
4.
4DHCPv6无状态配置典型配置举例·4-11iii5DHCPv6Snooping·5-15.
1DHCPv6Snooping简介5-15.
2DHCPv6Snooping配置任务简介·5-25.
3配置DHCPv6Snooping基本功能·5-25.
4配置DHCPv6Snooping支持Option18和Option37功能5-35.
5配置DHCPv6Snooping表项固化功能·5-55.
6配置接口动态学习DHCPv6Snooping表项的最大数目·5-55.
7开启DHCPv6Snooping报文限速功能·5-65.
8开启DHCPv6Snooping的DHCPv6请求方向报文检查功能·5-65.
9开启DHCPv6Snooping报文阻断功能·5-75.
10开启DHCPv6Snooping日志信息功能·5-75.
11DHCPv6Snooping显示和维护·5-85.
12DHCPv6Snooping典型配置举例·5-81-11DHCPv6简介1.
1DHCPv6概述DHCPv6(DynamicHostConfigurationProtocolforIPv6,支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议.
与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见"三层技术-IP业务配置指导"中的"IPv6基础")相比,DHCPv6具有以下优点:更好地控制地址的分配.
通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理.
为客户端分配前缀,以便于全网络的自动配置和管理.
除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数.
1.
2DHCPv6地址/前缀分配过程DHCPv6服务器为客户端分配地址/前缀的过程分为两类:交互两个消息的快速分配过程交互四个消息的分配过程1.
2.
1交互两个消息的快速分配过程图1-1地址/前缀快速分配过程如图1-1所示,地址/前缀快速分配过程为:(2)DHCPv6客户端在向DHCPv6服务器发送的Solicit消息中携带RapidCommit选项,标识客户端希望服务器能够快速为其分配地址/前缀和其他网络配置参数.
(3)如果DHCPv6服务器支持快速分配过程,则直接返回Reply消息,为客户端分配IPv6地址/前缀和其他网络配置参数.
如果DHCPv6服务器不支持快速分配过程,则采用"1.
2.
2交互四个消息的分配过程"为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
2.
2交互四个消息的分配过程交互四个消息的分配过程如图1-2所示.
1-2图1-2交互四个消息的分配过程交互四个消息分配过程的简述如表1-1.
表1-1交互四个消息的分配过程步骤发送的消息说明(1)SolicitDHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数(2)Advertise如果Solicit消息中没有携带RapidCommit选项,或Solicit消息中携带RapidCommit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复该消息,通知客户端可以为其分配的地址/前缀和网络配置参数(3)Request如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数(4)ReplyDHCPv6服务器回复该消息,确认将地址/前缀和网络配置参数分配给客户端使用1.
3地址/前缀租约更新过程DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限,该租借期限称为租约.
租借期限由有效生命期决定.
地址/前缀的租借时间到达有效生命期后,DHCPv6客户端不能再使用该地址/前缀.
在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要申请延长地址/前缀租约.
图1-3通过Renew更新地址/前缀租约如图1-3所示,地址/前缀租借时间到达时间T1(推荐值为首选生命期的一半)时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器发送Renew报文,以进行地址/前缀租约的更新.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客1-3户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约.
图1-4通过Rebind更新地址/前缀租约如图1-4所示,如果在T1时发送Renew请求更新租约,但是未收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2(推荐值为首选生命期的0.
8倍)时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约;如果DHCPv6客户端未收到服务器的应答报文,则到达有效生命期后,客户端停止使用该地址/前缀.
有效生命期和首选生命期的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
1.
4DHCPv6无状态配置1.
4.
1DHCPv6无状态配置简介DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置.
地址无状态自动配置是指节点根据路由器发现/前缀发现所获取的信息,自动配置IPv6地址.
详细介绍请参见"三层技术-IP业务配置指导"的"IPv6基础".
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA(RouterAdvertisement,路由器通告)报文中M标志位(Managedaddressconfigurationflag,被管理地址配置标志位)取值为0、O标志位(Otherstatefulconfigurationflag,其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
1-41.
4.
2DHCPv6无状态配置过程图1-5DHCPv6无状态配置工作过程如图1-5所示,DHCPv6无状态配置的具体过程为:(1)客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带OptionRequest选项,指定客户端需要从服务器获取的配置参数.
(2)服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端.
(3)客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数.
如果接收到多个与请求相符的Reply报文,客户端将选择最先收到的Reply报文,并根据该报文中提供的参数完成客户端无状态配置.
1.
5协议规范与DHCPv6相关的协议规范有:RFC3736:StatelessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6RFC3315:DynamicHostConfigurationProtocolforIPv6(DHCPv6)RFC2462:IPv6StatelessAddressAutoconfigurationRFC3633:IPv6PrefixOptionsforDynamicHostConfigurationProtocol(DHCP)version62-12DHCPv6服务器2.
1DHCPv6服务器简介2.
1.
1DHCPv6服务器应用环境DHCPv6服务器可以为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
DHCPv6服务器为客户端分配IPv6地址和其他网络配置参数图2-1DHCPv6服务器地址和其他网络配置参数分配应用环境如图2-1所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端提供诸如IPv6地址、域名后缀、DNS服务器地址等网络配置参数.
DHCPv6客户端根据服务器分配的参数来实现主机的配置.
DHCPv6服务器为客户端分配的IPv6地址分为以下两类:临时IPv6地址:在短期内经常变化且不用续约的地址;非临时IPv6地址:正常使用,可以进行续约的地址.
2.
DHCPv6服务器为客户端分配IPv6前缀图2-2DHCPv6服务器前缀分配应用组网图DHCPv6clientDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6server2-2如图2-2所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端分配IPv6前缀.
DHCPv6客户端获取到IPv6前缀后,向所在网络组播发送包含该前缀信息的RA消息,以便网络内的主机根据该前缀自动配置IPv6地址.
2.
1.
2基本概念1.
DHCPv6采用的组播地址DHCPv6采用组播地址FF05::1:3来表示站点本地范围内所有的DHCPv6服务器;采用组播地址FF02::1:2来表示链路本地范围内所有的DHCPv6服务器和中继.
2.
DUIDDUID(DHCPUniqueIdentifier,DHCP唯一标识符)是一台DHCPv6设备(包括客户端、服务器和中继)的唯一标识.
在DHCPv6报文交互过程中,DHCPv6客户端、服务器和中继通过在报文中添加DUID来标识自己.
图2-3DUID-LL结构目前,设备采用RFC3315规定的DUID-LL(DUIDBasedonLink-layerAddress,基于链路层地址的DUID)作为DHCPv6设备的标识.
DUID-LL的结构如图2-3所示:DUIDtype:DUID类型.
设备支持的DUID类型为DUID-LL,取值为0x0003.
Hardwaretype:硬件类型.
设备支持的硬件类型为以太网,取值为0x0001.
Linklayeraddress:链路层地址.
取值为设备的桥MAC地址.
3.
IAIA(IdentityAssociation,标识联盟)用于管理分配给客户端的一组地址和前缀等信息,通过IAID标识.
一个客户端可以有多个IA,如客户端的每个接口拥有一个IA,IA用来管理该接口获取的地址和前缀等信息.
4.
IAIDIAID是IA的标识符,由客户端选择.
在一个客户端上不同IA的IAID不能相同.
5.
PDPD(PrefixDelegation,前缀授权)是DHCPv6服务器为分配的前缀创建的前缀绑定信息,前缀绑定信息中记录了IPv6前缀、客户端DUID、IAID、有效时间、首选时间、租约过期时间、申请前缀的客户端的IPv6地址等信息.
2-32.
1.
3DHCPv6地址池每个DHCPv6地址池都拥有一组可供分配的IPv6地址、IPv6前缀和网络配置参数.
DHCPv6服务器从地址池中为客户端选择并分配IPv6地址、IPv6前缀及其他参数.
1.
DHCPv6地址池的地址管理方式DHCPv6地址池的地址管理方式有以下几种:静态绑定IPv6地址,即通过将客户端DUID和IAID与IPv6地址绑定的方式,实现为特定的客户端分配特定的IPv6地址;动态选择IPv6地址,即在地址池中指定可供分配的IPv6地址范围,当收到客户端的IPv6地址申请时,从该地址范围中动态选择IPv6地址,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6地址范围时,需要:(1)指定动态分配的IPv6地址网段.
(2)将该网段划分为非临时地址范围和临时地址范围.
每个地址范围内的地址必须属于该网段,否则无法分配.
采用动态选择IPv6地址方式时,如果接收到客户端的地址申请,则DHCPv6服务器选择一个合适的地址池,并按照客户端申请的地址类型(非临时地址或临时地址),从该地址池对应的地址范围(非临时地址范围或临时地址范围)中选择合适的IPv6地址分配给客户端.
2.
DHCPv6地址池的前缀管理方式DHCPv6地址池的前缀管理方式有以下几种:静态绑定IPv6前缀,即通过将客户端DUID和IAID与IPv6前缀绑定的方式,实现为特定的客户端分配特定的IPv6前缀;动态选择IPv6前缀,即在地址池中指定可供分配的IPv6前缀范围,当收到客户端的IPv6前缀申请时,从该前缀范围中动态选择IPv6前缀,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6前缀范围时,需要:(1)创建前缀池,指定前缀池中包括的IPv6前缀范围.
(2)在地址池中指定动态分配的IPv6地址网段.
(3)在地址池中引用前缀池.
3.
地址池的选取原则DHCPv6服务器为客户端分配IPv6地址或前缀时,地址池的选择原则如下:(1)如果存在将客户端DUID、IAID与IPv6地址或前缀静态绑定的地址池,则选择该地址池,并将静态绑定的IPv6地址或前缀、及该地址池中的网络参数分配给客户端.
(2)如果接收到DHCPv6请求报文的接口引用了某个地址池,则选择该地址池,从该地址池中选取IPv6地址或前缀、及网络配置参数分配给客户端.
(3)如果不存在静态绑定的地址池,且接收到DHCPv6请求报文的接口未引用地址池,则按照以下方法选择地址池:如果客户端与服务器在同一网段,则将接收到DHCPv6请求报文的接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
如果客户端与服务器不在同一网段,即客户端通过DHCPv6中继获取IPv6地址或前缀,则将离DHCPv6客户端最近的DHCPv6中继接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
配置地址池动态分配的网段和IPv6地址范围时,请尽量保证与DHCPv6服务器接口或DHCPv6中继接口的IPv6地址所在的网段一致,以免分配错误的IPv6地址.
2-42.
1.
4地址/前缀的选择优先次序DHCPv6服务器为客户端分配IPv6地址/前缀的优先次序如下:(1)DUID、IAID与客户端DUID、IAID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀;(2)DUID、IAID与客户端DUID、IAID匹配的静态绑定地址/前缀;(3)DUID与客户端的DUID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(4)DUID与客户端DUID匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(5)服务器记录的曾经分配给客户端的地址/前缀;(6)地址池/前缀池中与客户端期望地址/前缀匹配的空闲地址/前缀;(7)地址池/前缀池中的其他空闲地址/前缀;(8)如果未找到可用的地址/前缀,则依次查询租约过期地址/前缀、曾经发生过冲突的地址,如果找到则进行分配,否则将不予处理.
如果客户端的网段发生变化,服务器不会为客户端分配曾经分配给它的地址/前缀,而是从匹配新网段的地址池中重新选择地址/前缀等信息.
使用曾经发生过冲突的IPv6地址时,只有冲突状态超过一小时的地址租约才能够被服务器分配给新的DHCPv6客户端.
2.
2配置DHCPv6服务器2.
2.
1DHCPv6服务器配置任务简介表2-1DHCPv6服务器配置任务简介配置任务说明详细配置配置为DHCPv6客户端分配IPv6前缀根据实际情况选择2.
2.
2配置为DHCPv6客户端分配IPv6地址2.
2.
3配置为DHCPv6客户端分配网络参数2.
2.
4配置DHCPv6策略动态分配IPv6地址、前缀和网络参数2.
2.
5配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略必选2.
2.
6配置DHCPv6服务器发送DHCPv6报文的DSCP优先级可选2.
2.
7配置DHCPv6服务器租约固化功能可选2.
2.
8配置DHCPv6服务器辅助路由信息可选2.
2.
9指定DHCPv6服务器上的地址池所在的VPN信息可选2.
2.
10开启DHCPv6服务器发布前缀路由功能可选2.
2.
112-5配置任务说明详细配置配置DHCPv6服务器的日志信息功能可选2.
2.
122.
2.
2配置为DHCPv6客户端分配IPv6前缀可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6前缀:在地址池中配置静态绑定前缀:指定DUID、IAID及前缀的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的前缀分配给此DHCPv6客户端.
如果只指定了DUID和前缀的绑定关系,未指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的前缀分配给此DHCPv6客户端.
在地址池中引用包含一定前缀范围的前缀池:接收到DHCPv6客户端的前缀分配请求后,DHCPv6服务器从前缀范围中动态选择可用前缀,分配给客户端.
在实际组网中,某些前缀是保留前缀,不应该动态分配给客户端.
通过配置不参与自动分配的前缀,可以避免DHCPv6服务器分配这些前缀.
配置为DHCPv6客户端分配IPv6前缀时,需要注意:一个IPv6前缀只能与一个客户端绑定.
不允许通过重复执行static-bindprefix命令的方式修改IPv6前缀与客户端的绑定关系、前缀的首选生命期和有效生命期.
只有删除该IPv6前缀的静态绑定配置后,才能将该IPv6前缀与其他客户端绑定,或修改前缀的首选生命期和有效生命期.
一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
不允许通过重复执行prefix-pool命令的方式修改地址池引用的前缀池、前缀的首选生命期和有效生命期.
只有取消当前地址池引用的前缀池后,才能引用其他的前缀池,或修改首选生命期和有效生命期.
表2-2配置为DHCPv6客户端分配IPv6前缀操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6前缀ipv6dhcpserverforbidden-prefixstart-prefix/prefix-len[end-prefix/prefix-len][vpn-instancevpn-instance-name]缺省情况下,DHCPv6前缀池中的所有IPv6前缀都参与自动分配如果通过ipv6dhcpserverforbidden-prefix命令将已经静态绑定的IPv6前缀配置为不参与自动分配的前缀,则该前缀仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-prefix命令,可以配置多个不参与自动分配的IPv6前缀段2-6操作命令说明创建前缀池ipv6dhcpprefix-poolprefix-pool-numberprefix{prefix-number|prefix/prefix-len}assign-lenassign-len[vpn-instancevpn-instance-name]缺省情况下,设备上不存在DHCPv6前缀池DHCPv6服务器为DHCPv6客户端动态分配IPv6前缀时,为必选;其他情况下,不需要进行本配置当配置前缀池引用前缀编号时,必须保证指定前缀号有对应的生效前缀,否则配置不生效创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池配置动态分配的IPv6地址网段network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度地址池引用前缀编号分配动态地址时必须保证前缀编号有对应的生效前缀,否则配置不生效配置静态绑定前缀static-bindprefixprefix/prefix-lenduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]二者至少选其一缺省情况下,未配置地址池的静态绑定前缀和可动态分配的前缀重复执行static-bindprefix命令,可以配置多个静态绑定的IPv6前缀配置地址池引用前缀池prefix-poolprefix-pool-number[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]2.
2.
3配置为DHCPv6客户端分配IPv6地址可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6地址:在地址池中配置静态绑定地址:指定DUID、IAID及地址的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的地址分配给此DHCPv6客户端.
如果只指定了DUID和地址的绑定关系,未指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的地址分配给此DHCPv6客户端.
在地址池中配置动态分配的地址网段和地址范围:{在进行非临时地址分配时,如果未在地址池下通过addressrange命令配置动态分配的IPv6非临时地址范围,则network命令指定的网段内的单播地址都可以分配给DHCPv6客户端.
如果配置了addressrange命令,则只会从该地址范围内分配IPv6非临时地址,即使该范围内的地址分配完毕,也不会从network命令指定的地址范围内分配IPv6非临时地址.
{在进行临时地址分配时,如果未在地址池下通过temporaryaddressrange命令配置动态分配的IPv6临时地址范围,则地址池无法分配临时地址.
如果配置了temporary2-7addressrange命令,则只会从该地址范围内分配IPv6临时地址,不会从network或者addressrange命令配置的地址范围内分配临时地址.
在实际组网中,某些地址是服务器的地址或者是保留地址,不应该动态分配给客户端.
通过配置不参与自动分配的地址,可以避免DHCPv6服务器分配这些地址.
配置为DHCPv6客户端分配IPv6地址,需要注意:一个地址池下只能配置一个IPv6非临时地址范围和一个IPv6临时地址范围.
addressrange命令和temporaryaddressrange命令配置的地址范围应该在network命令配置的网段内,否则地址不能被分配.
一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
一个IPv6地址只能与一个客户端绑定.
不允许通过重复执行static-bindaddress命令的方式修改IPv6地址与客户端的绑定关系、地址的首选生命期和有效生命期.
只有删除该IPv6地址的静态绑定配置后,才能通过重新配置将该IPv6地址与其他客户端绑定,或修改地址的首选生命期和有效生命期.
每个DHCPv6地址池只能配置一个网段,在相同地址池中重复执行network命令,新的配置会覆盖已有配置.
如果相邻两次network命令配置的地址网段相同而首选生命期和有效生命期不同,则新配置的首选生命期和有效生命期只能在新生成的绑定信息中生效,原有绑定信息不受影响.
表2-3配置为DHCPv6客户端分配IPv6地址操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6地址ipv6dhcpserverforbidden-addressstart-ipv6-address[end-ipv6-address][vpn-instancevpn-instance-name]缺省情况下,除DHCPv6服务器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都参与自动分配如果通过ipv6dhcpserverforbidden-address命令将已经静态绑定的IPv6地址配置为不参与自动分配的地址,则该地址仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-address命令,可以配置多个不参与自动分配的IPv6地址段创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池2-8操作命令说明配置动态分配的IPv6地址网段network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度地址池引用前缀编号分配动态地址时必须保证前缀号有对应的生效前缀,否则配置不生效(可选)配置动态分配的IPv6非临时地址范围addressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置地址池中动态分配的IPv6非临时地址范围,整个网段内的单播地址都可以作为非临时地址分配给客户端(可选)配置动态分配的IPv6临时地址范围temporaryaddressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6临时地址范围,不能分配IPv6临时地址(可选)配置静态绑定的IPv6地址static-bindaddressipv6-address/addr-prefix-lengthduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,不存在静态绑定的IPv6地址重复执行static-bindaddress命令,可以配置多个静态绑定的IPv6地址2.
2.
4配置为DHCPv6客户端分配网络参数除了分配IPv6地址和IPv6前缀外,DHCPv6地址池中还可以配置其他网络参数,如在一个地址池下最多可以配置8个DNS服务器地址、1个域名、8个SIP服务器地址和8个SIP服务器域名等.
可以通过如下方式配置为DHCPv6客户端分配的网络参数:直接在DHCPv6地址池视图下配置网络参数.
在DHCPv6选项组中配置网络参数,并在DHCPv6地址池视图下指定引用的DHCPv6选项组.
直接在DHCPv6地址池视图下配置的网络参数的优先级高于DHCPv6选项组中配置的网络参数.
1.
直接在DHCPv6地址池中配置网络参数表2-4配置为DHCPv6客户端分配网络参数操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池2-9操作命令说明配置动态分配的IPv6地址网段network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,未配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段不能在不同地址池下引用完全一致的前缀编号、子前缀和子前缀长度地址池引用前缀编号分配动态地址时必须保证前缀号有对应的生效前缀,否则配置不生效(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,未指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名domain-namedomain-name缺省情况下,未指定为客户端分配的域名(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,未指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,未配置DHCPv6自定义选项2.
通过DHCPv6选项组配置网络参数DHCPv6选项组的创建方法有以下几种:通过ipv6dhcpoption-group命令手工创建静态DHCPv6选项组.
设备作为DHCPv6客户端获取IPv6地址、前缀和网络配置参数时,在DHCPv6客户端上根据获取的网络配置参数动态创建DHCPv6选项组.
手工创建的DHCPv6选项组优先级高于动态创建的DHCPv6选项组.
本节只介绍手工创建静态DHCPv6选项组的方法,动态创建DHCPv6选项组的方法请参见"三层技术-IP业务配置指导"中的"DHCPv6客户端".
表2-5通过DHCPv6选项组配置网络参数操作命令说明进入系统视图system-view-手工创建静态DHCPv6选项组,并进入DHCPv6选项组视图ipv6dhcpoption-groupoption-group-number缺省情况下,设备上不存在静态DHCPv6选项组(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,未指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名后缀domain-namedomain-name缺省情况下,未指定为客户端分配的域名后缀(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,未指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,未配置DHCPv6自定义选项退回系统视图quit-2-10操作命令说明创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池配置DHCPv6地址池引用选项组option-groupoption-group-number缺省情况下,DHCPv6地址池未引用选项组2.
2.
5配置DHCPv6策略动态分配IPv6地址、前缀和其他参数创建DHCPv6策略,并在接口引用该策略后,该接口接收到DHCPv6请求报文时,则根据配置顺序逐个匹配DHCPv6策略中通过classpool命令指定的DHCPv6用户类.
匹配情况如下:若匹配DHCPv6用户类成功,当该DHCPv6用户类关联的DHCPv6地址池中存在可供分配的地址或前缀信息时,则从该DHCPv6地址池中分配IPv6地址、前缀或其他参数;当该DHCPv6用户类关联的DHCPv6地址池中不存在可供分配的地址或前缀信息时,IPv6地址、前缀或其他参数分配失败.
若匹配DHCPv6策略中的所有DHCPv6用户类失败,当配置了默认DHCPv6地址池时,则从该DHCPv6地址池中分配IPv6地址、前缀或网络参数;当未配置默认DHCPv6地址池或DHCPv6默认地址池不存在可供分配的IPv6地址或前缀时,IPv6地址、前缀或其他参数分配失败.
若接收DHCPv6请求报文的接口引用的DHCPv6策略不存在或匹配的DHCPv6用户类关联的DHCPv6地址池不存在时,IPv6地址、前缀或其他参数分配失败.
匹配规则中不支持匹配DHCPv6中继添加的选项,比如Option18或Option37.
表2-6配置DHCPv6策略动态分配IPv6地址、前缀或其他参数操作命令说明进入系统视图system-view-创建DHCPv6用户类,并进入DHCPv6用户类视图ipv6dhcpclassclass-name缺省情况下,不存在DHCPv6用户类配置DHCPv6用户类的匹配规则if-matchrulerule-number{optionoption-code[asciiacsii-string[offsetoffset|partial]|hexhex-string[maskmask|offsetoffsetlengthlength|partial]]|relay-agentgateway-ipv6-address}缺省情况下,未配置DHCPv6用户类的匹配规则退回系统视图quit-创建DHCPv6策略,并进入DHCPv6策略视图ipv6dhcppolicypolicy-name缺省情况下,不存在DHCPv6策略DHCPv6策略需要在接口上引用才生效指定DHCPv6用户类关联的DHCPv6地址池classclass-namepoolpool-name缺省情况下,未指定DHCPv6用户类关联的DHCPv6地址池指定默认DHCPv6地址池defaultpoolpool-name缺省情况下,未指定默认DHCPv6地址池退回系统视图quit-2-11操作命令说明进入接口视图interfaceinterface-typeinterface-number-指定接口引用的DHCPv6策略ipv6dhcpapply-policypolicy-name缺省情况下,接口未引用DHCPv6策略2.
2.
6配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略配置接口工作在DHCPv6服务器模式后,当接口未引用地址池时,接口收到DHCPv6客户端发来的DHCPv6报文时,服务器根据该接口的地址或DHCPv6中继接口的地址选择最长匹配的DHCPv6地址池,并从该地址池中选择IPv6地址或前缀分配给客户端.
当接口引用地址池时,则从引用的地址池中选择IPv6地址或前缀分配给客户端.
如果引用的地址池中不存在可供分配的IPv6地址或前缀,则设备将无法为客户端分配IPv6地址或前缀.
配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略时,需要注意:一个接口不能同时作为DHCPv6服务器和DHCPv6中继.
建议不要在一个接口上同时配置DHCPv6服务器和DHCPv6客户端功能.
接口可以引用并不存在的地址池,但是,此时该接口无法为客户端分配前缀等信息.
只有创建该地址池后,才能为客户端分配前缀等信息.
表2-7配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6服务器模式ipv6dhcpselectserver缺省情况下,接口未工作在DHCPv6服务器模式,也未工作在DHCPv6中继模式,接口接收到DHCPv6客户端发来的DHCPv6报文后,丢弃该报文配置全局查找地址池,并指定全局查找DHCPv6地址池时地址或前缀分配策略ipv6dhcpserver{allow-hint|preferencepreference-value|rapid-commit}*两者必选其一缺省情况下,不支持期望地址/前缀分配,缺省优先级为0,不支持快速分配多次执行ipv6dhcpserver命令,新的配置会覆盖已有配置一个接口上最多只能引用一个地址池,如果多次执行ipv6dhcpserverapplypool命令,新的配置会覆盖已有配置配置接口引用DHCP地址池ipv6dhcpserverapplypoolpool-name[allow-hint|preferencepreference-value|rapid-commit]*2.
2.
7配置DHCPv6服务器发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6服务器发送的DHCPv6报文的DSCP优先级.
2-12表2-8配置DHCPv6服务器发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6服务器发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6服务器发送的DHCPv6报文的DSCP优先级为562.
2.
8配置DHCPv6服务器租约固化功能DHCPv6服务器重启后,设备上记录的租约信息将丢失,会影响DHCP服务器的正常业务.
DHCPv6服务器租约固化功能将DHCPv6服务器的核心运行数据(在用地址租约、冲突表项)保存到指定的文件中,DHCPv6服务器设备重启后,自动根据该文件恢复DHCPv6服务器的租约信息,从而保证DHCPv6服务器的租约信息不会丢失.
表2-9配置DHCPv6服务器租约固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6服务器表项的文件名称ipv6dhcpserverdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}string]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpserverdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件(可选)将当前的DHCPv6服务器表项保存到用户指定的文件中ipv6dhcpserverdatabaseupdatenow本命令只用来触发一次DHCPv6服务器表项的备份(可选)配置刷新DHCPv6服务器表项存储文件的延迟时间ipv6dhcpserverdatabaseupdateintervalinterval缺省情况下,若DHCPv6服务器表项不变化,则不刷新存储文件;若DHCPv6服务器表项发生变化,默认在300秒之后刷新存储文件(可选)终止当前的DHCPv6服务器表项恢复操作ipv6dhcpserverdatabaseupdatestop本命令只用来在设备重启时触发一次终止DHCPv6服务器表项信息的恢复2-132.
2.
9配置DHCPv6服务器辅助路由信息图2-4DHCPv6服务器辅助路由组网图在某些特定的业务模型(如BRAS组网)下,BAS设备需要实时监测网络流量,并将统计数据发送到RADIUS服务器.
该统计数据为用户上线以来产生的所有上下行流量数据,而不能是设备在某个时间段内发生的上下行流量数据.
由于RADIUS服务器刷新计数的方法是覆盖以前数据而不是进行累加,所以当一台设备的上下行流量分别从两台BAS设备上通过时,在RADIUS服务器上记录的数据就会相互覆盖,这时RADIUS服务器得到的统计数据是不准确的.
为了提高准确性,需保证一台设备的上下行流量经过同一台BAS设备.
通过配置辅助路由信息,通知路由管理对外发布此网段路由,引导指定网段的下行数据流量.
如果绑定了VPN实例,需保证该VPN实例存在.
满足了以上两个条件,该接入设备的辅助路由功能才能生效.
表2-10配置DHCPv6服务器辅助路由信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池配置DHCPv6服务器辅助路由信息network{prefix/prefix-length|prefixprefix-number[sub-prefix/sub-prefix-length]}[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]export-route缺省情况下,未配置DHCPv6服务器辅助路由信息2.
2.
10指定DHCPv6服务器上的地址池所在的VPN信息当地址池绑定了VPN实例后,DHCPv6服务器可以将网络划分成公网和VPN私网.
未配置VPN属性的地址池被划分到公网,配置了VPN属性的地址池被划分到相应的VPN私网,这样,对于处于公网或VPN私网中的客户端,服务器都能够选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息.
DHCPv6客户端的VPN信息可以从认证模块获取,也可以从DHCPv6服务器接收报文的接口配置的VPN信息获取.
如果以上两种方式都可获取VPN信息,以从认证模块获取的VPN信息为准.
2-14表2-11指定DHCPv6服务器上的地址池所在的VPN信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池指定DHCPv6服务器上的地址池所在的VPN信息vpn-instancevpn-instance-name缺省情况下,未指定DHCPv6服务器上的地址池所在的VPN信息2.
2.
11开启DHCPv6服务器发布前缀路由功能DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址.
此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信.
为了解决这个问题,当DHCPv6服务器和DHCPv6客户端在同一个链路范围内时,需要在DHCPv6服务器上开启发布前缀路由功能.
表2-12开启DHCPv6服务器发布前缀路由功能操作命令说明进入系统视图system-view-开启DHCPv6服务器发布前缀路由功能ipv6dhcpadvertisepd-route缺省情况下,DHCPv6服务器发布前缀路由功能处于关闭状态2.
2.
12开启DHCPv6服务器的日志信息功能DHCPv6服务器日志是为了满足管理员审计需求.
设备生成DHCPv6日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
比如大量DHCPv6客户端发生上下线操作时,DHCPv6服务器需要输出大量日志信息,这可能会降低设备性能,影响DHCPv6服务器分配IPv6前缀或IPv6地址的速度.
为了避免该情况的发生,用户可以关闭DHCPv6服务器日志信息功能,使得DHCPv6服务器不再输出日志信息.
表2-13开启DHCPv6服务器的日志信息功能操作命令说明进入系统视图system-view-开启DHCPv6服务器日志信息功能ipv6dhcplogenable缺省情况下,DHCPv6服务器日志信息功能处于关闭状态2-152.
3DHCPv6服务器显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6服务器的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6服务器的统计信息.
表2-14DHCPv6服务器显示和维护操作命令显示本设备的DUIDdisplayipv6dhcpduid显示DHCPv6选项组信息displayipv6dhcpoption-group[option-group-number]显示DHCPv6地址池的信息displayipv6dhcppool[pool-name|vpn-instancevpn-instance-name]显示前缀池的信息displayipv6dhcpprefix-pool[prefix-pool-number][vpn-instancevpn-instance-name]显示接口上的DHCPv6服务器信息displayipv6dhcpserver[interfaceinterface-typeinterface-number]显示DHCPv6地址冲突信息displayipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]显示DHCPv6服务器表项备份信息displayipv6dhcpserverdatabase显示租约过期的DHCPv6地址绑定信息displayipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6地址绑定信息displayipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6前缀绑定信息displayipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]显示DHCPv6服务器的报文统计信息displayipv6dhcpserverstatistics[poolpool-name|vpn-instancevpn-instance-name]清除DHCPv6地址冲突信息resetipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]清除租约过期的DHCPv6地址绑定信息resetipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6的正式地址绑定和临时地址绑定信息resetipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6正式前缀绑定和临时前缀绑定信息resetipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]清除DHCPv6服务器的报文统计信息resetipv6dhcpserverstatistics[vpn-instancevpn-instance-name]2-162.
4DHCPv6服务器典型配置举例2.
4.
1动态分配IPv6前缀典型配置举例1.
组网需求DHCPv6客户端从DHCPv6服务器获取IPv6地址前缀,以及网络配置参数:DNS服务器地址、域名、SIP服务器地址和SIP服务器域名.
其中:Switch作为DHCPv6服务器,地址为1::1/64.
DHCPv6服务器为DUID为00030001CA0006A40000的客户端固定分配前缀2001:0410:0201::/48;为其他客户端分配2001:0410::/48~2001:0410:FFFF::/48之间除2001:0410:0201::/48外的前缀.
DNS服务器地址为2:2::3.
DHCPv6客户端所属域的域名后缀为aaa.
com.
SIP服务器地址为2:2::4,域名为bbb.
com.
2.
组网图图2-5DHCPv6服务器配置组网图3.
配置步骤(1)配置DHCPv6服务器#配置VLAN接口2的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6address1::1/64[Switch-Vlan-interface2]undoipv6ndrahalt[Switch-Vlan-interface2]ipv6ndautoconfigmanaged-address-flag[Switch-Vlan-interface2]ipv6ndautoconfigother-flag[Switch-Vlan-interface2]quit#配置前缀池1,包含的前缀为2001:0410::/32,分配的前缀长度为48.
[Switch]ipv6dhcpprefix-pool1prefix2001:0410::/32assign-len482-17#创建地址池1.
[Switch]ipv6dhcppool1#配置地址池1网段为1::/64,与VLAN接口2地址所属的网段相同.
[Switch-dhcp6-pool-1]network1::/64#配置地址池1引用已存在的前缀池1,并设置动态分配前缀的首选生命期为1天,有效生命期为3天.
[Switch-dhcp6-pool-1]prefix-pool1preferred-lifetime86400valid-lifetime259200#在地址池1中配置静态绑定前缀:绑定的前缀为2001:0410:0201::/48,绑定的客户端DUID为00030001CA0006A40000,并设置首选生命期为1天,有效生命期为3天.
[Switch-dhcp6-pool-1]static-bindprefix2001:0410:0201::/48duid00030001CA0006A40000preferred-lifetime86400valid-lifetime259200#配置为客户端分配的DNS服务器地址为2:2::3.
[Switch-dhcp6-pool-1]dns-server2:2::3#配置为客户端分配的域名为aaa.
com.
[Switch-dhcp6-pool-1]domain-nameaaa.
com#配置为客户端分配的SIP服务器地址为2:2::4,域名为bbb.
com.
[Switch-dhcp6-pool-1]sip-serveraddress2:2::4[Switch-dhcp6-pool-1]sip-serverdomain-namebbb.
com[Switch-dhcp6-pool-1]quit#配置VLAN接口2工作在DHCPv6服务器模式,并在该接口使能期望前缀分配和前缀快速分配功能,并将优先级设置为最高.
[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6dhcpselectserver[Switch-Vlan-interface2]ipv6dhcpserverallow-hintpreference255rapid-commit4.
验证配置#完成上述配置后,查看VLAN接口2上的DHCPv6服务器配置信息.
[Switch-Vlan-interface2]displayipv6dhcpserverinterfacevlan-interface2Usingpool:globalPreferencevalue:255Allow-hint:EnabledRapid-commit:Enabled#显示地址池1的信息.
[Switch-Vlan-interface2]displayipv6dhcppool1DHCPv6pool:1Network:1::/64Preferredlifetime604800,validlifetime2592000Prefixpool:1Preferredlifetime86400,validlifetime259200Staticbindings:DUID:00030001ca0006a40000IAID:NotconfiguredPrefix:2001:410:201::/48Preferredlifetime86400,validlifetime259200DNSserveraddresses:2:2::32-18Domainname:aaa.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示前缀池1的信息.
[Switch-Vlan-interface2]displayipv6dhcpprefix-pool1Prefix:2001:410::/32Assignedlength:48Totalprefixnumber:65536Available:65535In-use:0Static:1#DUID为00030001CA0006A40000的客户端获取IPv6前缀后,显示前缀绑定信息.
[Switch-Vlan-interface2]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:012009#其他客户端获取IPv6前缀后,显示前缀绑定信息.
[Switch-Vlan-interface2]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:0120092001:410::/48Auto(C)Jul1020:44:0520092.
4.
2动态分配IPv6地址典型配置举例1.
组网需求作为DHCPv6服务器的SwitchA为网段1::1:0:0:0/96和1::2:0:0:0/96的客户端动态分配IPv6地址;SwitchA的两个VLAN接口Vlan-interface10和Vlan-interface20的地址分别为1::1:0:0:1/96和1::2:0:0:1/96;1::1:0:0:0/96网段内的地址租约时长为172800秒(2天),有效时长为345600秒(4天),域名后缀为aabbcc.
com,DNS服务器地址为1::1:0:0:2/96;1::2:0:0:0/96网段内的地址租约时长为432000秒(5天),有效时长为864000秒(10天),域名后缀为aabbcc.
com,DNS服务器地址为1::2:0:0:2/96.
2-192.
组网图图2-6DHCPv6组网图3.
配置步骤(1)配置DHCPv6server各接口的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息system-view[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipv6address1::1:0:0:1/96[SwitchA-Vlan-interface10]undoipv6ndrahalt[SwitchA-Vlan-interface10]ipv6ndautoconfigmanaged-address-flag[SwitchA-Vlan-interface10]ipv6ndautoconfigother-flag[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipv6address1::2:0:0:1/96[SwitchA-Vlan-interface20]undoipv6ndrahalt[SwitchA-Vlan-interface20]ipv6ndautoconfigmanaged-address-flag[SwitchA-Vlan-interface20]ipv6ndautoconfigother-flag[SwitchA-Vlan-interface20]quit(2)配置DHCPv6服务#配置接口Vlan-interface10和Vlan-interface20工作在DHCPv6服务器模式.
[SwitchA]interfacevlan-interface10[SwitchA-Vlan-interface10]ipv6dhcpselectserver[SwitchA-Vlan-interface10]quit[SwitchA]interfacevlan-interface20[SwitchA-Vlan-interface20]ipv6dhcpselectserver[SwitchA-Vlan-interface20]quit#配置不参与自动分配的IPv6地址,以避免分配DNS服务器的地址.
[SwitchA]ipv6dhcpserverforbidden-address1::1:0:0:2[SwitchA]ipv6dhcpserverforbidden-address1::2:0:0:2#配置DHCPv6地址池1,为1::1:0:0:0/96网段的客户端分配IPv6地址等参数.
[SwitchA]ipv6dhcppool12-20[SwitchA-dhcp6-pool-1]network1::1:0:0:0/96preferred-lifetime172800valid-lifetime345600[SwitchA-dhcp6-pool-1]domain-nameaabbcc.
com[SwitchA-dhcp6-pool-1]dns-server1::1:0:0:2[SwitchA-dhcp6-pool-1]quit#配置DHCPv6地址池2,为1::2:0:0:0/96网段的客户端分配IPv6地址等参数.
[SwitchA]ipv6dhcppool2[SwitchA-dhcp6-pool-2]network1::2:0:0:0/96preferred-lifetime432000valid-lifetime864000[SwitchA-dhcp6-pool-2]domain-nameaabbcc.
com[SwitchA-dhcp6-pool-2]dns-server1::2:0:0:2[SwitchA-dhcp6-pool-2]quit4.
验证配置配置完成后,1::1:0:0:0/96和1::2:0:0:0/96网段的客户端可以从DHCPv6服务器SwitchA申请到相应网段的IPv6地址和网络配置参数.
通过displayipv6dhcpserverip-in-use命令可以查看DHCPv6服务器为客户端分配的IPv6地址.
3-13DHCPv6中继3.
1DHCPv6中继简介3.
1.
1应用环境图3-1DHCPv6中继应用组网图DHCPv6客户端通常通过链路本地范围的组播地址与DHCPv6服务器通信,以获取IPv6地址和其他网络配置参数.
如图3-1所示,服务器和客户端不在同一个链路范围内时,服务器和客户端无法直接通信,需要通过DHCPv6中继来转发报文.
部署DHCPv6中继可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理.
3.
1.
2DHCPv6中继的工作过程图3-2DHCPv6中继的工作过程如图3-2所示,以交互两个消息的快速分配过程为例,DHCPv6客户端通过DHCPv6中继,从DHCPv6服务器获取IPv6地址和其他网络配置参数的过程为:(1)DHCPv6客户端向所有DHCPv6服务器和中继的组播地址FF02::1:2发送携带RapidCommit选项的Solicit消息;IPv6networkDHCPv6serverDHCPv6relayagentDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6client(1)Solicit(containsaRapidCommitoption)(4)ReplyDHCPv6clientDHCPv6relayagentDHCPv6server(2)Relay-forward(3)Relay-reply3-2(2)DHCPv6中继接收到Solicit消息后,将其封装在Relay-forward报文的中继消息选项(RelayMessageOption)中,并将Relay-forward报文发送给DHCPv6服务器;(3)DHCPv6服务器从Relay-forward报文中解析出客户端的Solicit消息,为客户端选取IPv6地址和其他参数,构造Reply消息,将Reply消息封装在Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6中继;(4)DHCPv6中继从Relay-reply报文中解析出服务器的Reply消息,转发给DHCPv6客户端,以便DHCPv6客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置.
3.
2DHCPv6中继配置任务简介表3-1DHCPv6中继配置任务简介配置任务说明详细配置配置接口工作在DHCPv6中继模式必选3.
3.
1指定DHCPv6服务器的地址必选3.
3.
2配置DHCPv6中继发送DHCPv6报文的DSCP优先级可选3.
3.
3配置DHCPv6中继支持BAS模式的Option18功能可选3.
3.
4指定中继地址池对应的DHCPv6服务器地址可选3.
3.
5配置DHCPv6中继为DHCPv6客户端分配的网关地址可选3.
3.
6开启DHCPv6中继用户表项记录功能可选3.
3.
7配置清除用户表项时通知DHCPv6服务器释放租约可选3.
3.
8开启DHCPv6中继用户下线探测功能可选3.
3.
9开启DHCPv6中继发布前缀路由功能可选3.
3.
103.
3配置DHCPv6中继3.
3.
1配置接口工作在DHCPv6中继模式DHCPv6服务器和DHCPv6客户端位于不同网段时,需要配置DHCPv6中继在DHCPv6客户端和DHCPv6服务器之间转发报文.
建议不要在一个接口上同时配置DHCPv6中继和DHCPv6客户端功能.
表3-2配置接口工作在DHCPv6中继模式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6中继模式ipv6dhcpselectrelay缺省情况下,接口未工作在DHCPv6中继模式3-33.
3.
2指定DHCPv6服务器的地址工作在DHCPv6中继模式的接口接收到DHCPv6客户端发来的报文后,将其封装在Relay-forward报文中,并发送给指定的DHCPv6服务器,由DHCPv6服务器为客户端分配IPv6地址、IPv6前缀和其他网络配置参数.
表3-3指定DHCPv6服务器的地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-指定DHCPv6服务器的地址ipv6dhcprelayserver-addressipv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定DHCPv6服务器的地址通过多次执行ipv6dhcprelayserver-address命令可以指定多个DHCPv6服务器,一个接口下最多可以指定8个DHCPv6服务器.
DHCPv6中继接收到DHCPv6客户端报文后,将其转发给所有的DHCPv6服务器如果指定的DHCPv6服务器地址为链路本地地址或组播地址,则必须通过ipv6dhcprelayserver-address命令的interface参数指定出接口,否则报文可能会无法到达服务器3.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6中继发送的DHCPv6报文的DSCP优先级.
表3-4配置DHCPv6中继发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6中继发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6中继发送的DHCPv6报文的DSCP优先级为563.
3.
4配置DHCPv6中继支持的interface-id选项填充模式如果配置了DHCPv6中继支持的interface-id选项填充模式,当DHCPv6中继接收到客户端发送的DHCPv6报文后,会以配置的填充方式将DHCPv6客户端的位置信息填充Option18选项,并把填充好的报文转发给DHCPv6服务器.
3-4表3-5配置DHCPv6中继支持的interface-id选项填充模式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置DHCPv6中继支持的interface-id选项填充模式ipv6dhcprelayinterface-id{bas|interface}缺省情况下,interface-id选项的填充模式为接口索引信息3.
3.
5指定中继地址池上对应的DHCPv6服务器地址对于某些特定的用户接入方式,基于用户接入位置信息的不同,网络中存在大量不同类型的用户.
为了使相同类型的用户可以从指定的DHCPv6服务器申请IPv6地址等网络参数,设备根据用户注册信息,使不同的用户选择不同的DHCPv6中继地址池,并从中继地址池下配置的DHCPv6服务器获取IPv6地址等网络参数.
为了提高可靠性,一个DHCPv6中继地址池下最多可以配置8个DHCPv6服务器地址,当DHCPv6客户端匹配该中继地址池后,DHCPv6中继会将DHCPv6客户端发来的DHCPv6报文转发给该地址池对应所有的DHCPv6服务器.
一台DHCPv6中继的一个接口下可能连接不同类型的用户,当DHCPv6中继转发DHCPv6客户端请求报文给DHCPv6服务器时,不能再以中继接口的IPv6地址作为选择地址池的依据.
为了解决这个问题,需要使用gateway-list命令指定某个类型用户所在的网段,并将该地址添加到转发给DHCPv6服务器的报文的Link-address字段中,为DHCPv6服务器选择地址池提供依据.
表3-6指定中继地址池对应的DHCPv6服务器地址操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在DHCPv6地址池指定匹配该地址池的DHCPv6客户端所在的网段地址gateway-listipv6-address&缺省情况下,未指定匹配该地址池的DHCPv6客户端所在的网段地址指定中继地址池对应的DHCPv6服务器地址remote-serveripv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定中继地址池对应的DHCPv6服务器的地址3.
3.
6配置DHCPv6中继为DHCPv6客户端分配的网关地址当未开启该功能时,DHCPv6中继收到DHCPv6客户端的请求报文后,只能将接口的第一个IPv6添加到报文中,然后转发给DHCPv6服务器.
对于某些特定需求,DHCPv6中继需要添加指定的地址到报文中,这时就需要配置此功能.
3-5表3-7配置DHCPv6中继为DHCPv6客户端分配的网关地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置DHCPv6中继为DHCPv6客户端分配的网关地址ipv6dhcprelaygatewayipv6-address缺省情况下,DHCPc6中继分配接口下的第一个IPv6地址作为DHCPv6客户端的网关地址3.
3.
7开启DHCPv6中继用户表项记录功能DHCPv6中继用户表项记录功能用来防止非法主机手工配置一个IPv6地址并访问外部网络.
开启该功能后,当DHCPv6客户端通过DHCPv6中继从DHCPv6服务器获取到IPv6地址/前缀时,DHCPv6中继可以自动记录DHCPv6客户端的IPv6地址/前缀和硬件地址的绑定关系,生成DHCPv6中继用户表项.
该功能与其他IPv6地址安全功能(如IPSourceGuard)配合后,可以实现只允许匹配DHCPv6中继用户表项的报文通过DHCPv6中继.
从而,保证非法主机无法通过DHCPv6中继与外部网络通信.
IPSourceGuard的详细描述请参见"安全配置指导"中的"IPSourceGuard".
表3-8开启DHCPv6中继用户表项记录功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6中继用户表项记录功能ipv6dhcprelayclient-informationrecord缺省情况下,DHCPv6中继用户表项记录功能处于关闭状态3.
3.
8配置清除用户表项时通知DHCPv6服务器释放租约未配置该功能时,删除DHCPv6中继用户表项时(如执行resetipv6dhcprelayclient-informationaddress命令)只会删除DHCPv6中继上保存的表项信息.
配置该功能后,删除DHCPv6中继用户表项时,DHCPv6中继会主动向DHCPv6服务器发送释放该表项对应IPv6租约的Release报文.
DHCPv6服务器收到该报文后,会将该租约状态从已分配转化为过期.
表3-9配置清除用户表项时通知DHCPv6服务器释放租约操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置清除用户表项时通知DHCPv6服务器释放租约ipv6dhcprelayrelease-agent缺省情况下,清除用户表项时不会通知DHCPv6服务器释放租约3-63.
3.
9开启DHCPv6中继用户下线探测功能开启DHCPv6中继用户下线探测功能后,DHCPv6中继可探测存在的ND表项状态.
当ND表项老化后,DHCPv6中继认为该表项对应的用户已下线.
这时,DHCPv6中继会删除与该ND表项对应的DHCPv6中继用户表项.
ND的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
表3-10开启DHCPv6中继用户下线探测功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6中继用户下线检测功能ipv6dhcpclient-detect缺省情况下,DHCPv6中继用户下线检测功能处于关闭状态3.
3.
10开启DHCPv6中继发布前缀路由功能DHCPv6客户端获取到IPv6前缀后,通过该IPv6前缀为下行网络内的主机分配IPv6地址.
此时,DHCPv6客户端与网络内的主机不在同一网段内,会导致主机无法与外界通信.
为了解决这个问题,需要在和DHCPv6客户端处于同一个链路范围内的DHCPv6中继上开启发布前缀路由功能.
表3-11开启DHCPv6中继发布前缀路由功能操作命令说明进入系统视图system-view-开启DHCPv6中继发布前缀路由功能ipv6dhcpadvertisepd-route缺省情况下,DHCPv6中继发布前缀路由功能处于关闭状态开启DHCPv6中继发布前缀路由功能前,需要先开启DHCPv6中继用户表项记录功能3.
4DHCPv6中继显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6中继的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6中继的统计信息.
表3-12DHCPv6中继显示和维护操作命令显示本设备DUIDdisplayipv6dhcpduid3-7操作命令显示DHCPv6中继用户地址表项信息displayipv6dhcprelayclient-informationaddress[interfaceinterface-typeinterface-number|ipv6ipv6-address][vpn-instancevpn-instance-name]显示DHCPv6中继用户前缀表项信息displayipv6dhcprelayclient-informationpd[interfaceinterface-typeinterface-number|prefixprefix/prefix-len][vpn-instancevpn-instance-name]显示DHCPv6中继上指定的DHCPv6服务器地址信息displayipv6dhcprelayserver-address[interfaceinterface-typeinterface-number]显示DHCPv6中继的相关报文统计信息displayipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]清除DHCPv6中继用户地址表项信息resetipv6dhcprelayclient-informationaddress[interfaceinterface-typeinterface-number|ipv6ipv6-address][vpn-instancevpn-instance-name]清除DHCPv6中继用户前缀表项信息resetipv6dhcprelayclient-informationpd[interfaceinterface-typeinterface-number|prefixprefix/prefix-len][vpn-instancevpn-instance-name]清除DHCPv6中继的相关报文统计信息resetipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]3.
5DHCPv6中继典型配置举例1.
组网需求DHCPv6客户端所在网络地址为1::/64,DHCPv6服务器的地址为2::2/64.
客户端和服务器不在同一个链路范围,需要通过DHCPv6中继转发报文.
SwitchA作为DHCPv6中继,为客户端和服务器转发报文.
SwitchA同时作为1::/64网络的网关设备,通过RA消息中的M标志位和O标志位指定该网络中的主机通过DHCPv6获取IPv6地址和其他网络配置参数.
RA消息的详细介绍,请参见"三层技术-IP业务配置指导"中的"IPv6基础".
2.
组网图图3-3DHCPv6中继组网图3-83.
配置步骤#配置VLAN接口2和VLAN接口3的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
配置其他信息配置标志位为1,即主机通过DHCPv6服务器获取除IPv6地址以外的其他信息system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipv6address2::164[SwitchA-Vlan-interface2]quit[SwitchA]interfacevlan-interface3[SwitchA-Vlan-interface3]ipv6address1::164[SwitchA-Vlan-interface3]undoipv6ndrahalt[SwitchA-Vlan-interface3]ipv6ndautoconfigmanaged-address-flag[SwitchA-Vlan-interface3]ipv6ndautoconfigother-flag#配置VLAN接口3工作在DHCPv6中继模式,并指定DHCPv6服务器地址.
[SwitchA-Vlan-interface3]ipv6dhcpselectrelay[SwitchA-Vlan-interface3]ipv6dhcprelayserver-address2::24.
验证配置#完成上述配置后,查看DHCPv6中继上指定的DHCPv6服务器地址信息.
[SwitchA-Vlan-interface3]displayipv6dhcprelayserver-addressInterface:Vlan-interface3ServeraddressOutgoingInterface2::2#查看DHCPv6中继相关报文的统计信息.
[SwitchA-Vlan-interface3]displayipv6dhcprelaystatisticsPacketsdropped:0Packetsreceived:14Solicit:0Request:0Confirm:0Renew:0Rebind:0Release:0Decline:0Information-request:7Relay-forward:0Relay-reply:7Packetssent:14Advertise:0Reconfigure:0Reply:7Relay-forward:7Relay-reply:04-14DHCPv6客户端4.
1DHCPv6客户端简介设备作为DHCPv6客户端时,可以具有如下功能:通过DHCPv6获取IPv6地址和网络配置参数,并根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6获取IPv6前缀和网络配置参数,并使用获取的前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址)、根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6同时获取IPv6地址、IPv6前缀和网络配置参数,并使用获取的前缀作为本地设备的IPv6前缀(本地设备根据该前缀生成IPv6地址)、根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数.
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
否则DHCPv6客户端不会开启无状态配置过程.
4.
2配置DHCPv6客户端建议不要在一个接口上同时配置DHCPv6客户端和DHCPv6服务器功能,也不要在一个接口上同时配置DHCPv6客户端和DHCPv6中继功能,否则会影响功能正常使用.
4.
2.
1DHCPv6客户端配置任务简介表4-1DHCPv6客户端配置任务简介配置任务说明详细配置配置DHCPv6客户端获取IPv6地址和网络配置参数根据实际情况选择其一4.
2.
2配置DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
3配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数4.
2.
4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4.
2.
5配置接口使用的DHCPv6客户端DUID可选4.
2.
6配置DHCPv6客户端发送DHCPv6报文的DSCP优先级可选4.
2.
74-24.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数表4-2配置DHCPv6客户端获取IPv6地址和网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数ipv6addressdhcp-alloc[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数4.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数表4-3配置DHCPv6客户端获取IPv6前缀和网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口视图、三层聚合子接口视图和VLAN接口视图interfaceinterface-typeinterface-number-配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数ipv6dhcpclientpdprefix-number[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
4配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数表4-4配置DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-配置接口作为DHCPv6客户端,通过DHCPv6方式同时获取IPv6地址、IPv6前缀和其他网络配置参数ipv6dhcpclientstatefulprefixprefix-number[option-groupoption-group-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端同时获取IPv6地址、IPv6前缀和网络配置参数4-34.
2.
5配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数表4-5配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数操作命令说明进入系统视图system-view-进入三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-开启IPv6地址无状态自动配置功能ipv6addressauto二者至少选其一如果只配置了ipv6addressauto命令,只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能缺省情况下,接口不会作为DHCPv6客户端获取除地址/前缀外的其他网络配置参数开启DHCPv6客户端无状态配置功能ipv6dhcpclientstatelessenableipv6addressauto命令的详细介绍请参见"三层技术-IP业务命令参考"中的"IPv6基础".
4.
2.
6配置接口使用的DHCPv6客户端DUIDDHCPv6客户端DUID用来填充DHCPv6报文的Option1,作为识别DHCPv6客户端的唯一标识.
DHCPv6服务器可以根据DHCPv6客户端DUID为特定的DHCPv6客户端分配特定的IPv6地址.
用户可以通过以下三种方法指定DHCPv6客户端DUID:ASCII字符串、十六进制数或使用指定接口的MAC地址作为DHCPv6客户端DUID,以上三种方式都需要由用户保证不同DHCPv6客户端的DUID不会相同.
表4-6配置接口使用的DHCPv6客户端DUID操作命令说明进入系统视图system-view-三层以太网接口、三层以太网子接口、三层聚合接口、三层聚合子接口和VLAN接口视图interfaceinterface-typeinterface-number-配置接口使用的DHCPv6客户端DUIDipv6dhcpclientduid{asciiascii-string|hexhex-string|macinterface-typeinterface-number}缺省情况下,根据设备的桥MAC地址生成DHCPv6客户端DUID4-44.
2.
7配置DHCPv6客户端发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6客户端发送的DHCPv6报文的DSCP优先级.
表4-7配置DHCPv6客户端发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级ipv6dhcpclientdscpdscp-value缺省情况下,DHCPv6客户端发送的DHCPv6报文的DSCP优先级为564.
3DHCPv6客户端显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6客户端的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6客户端的统计信息.
表4-8DHCPv6客户端显示和维护操作命令显示DHCPv6客户端的信息displayipv6dhcpclient[interfaceinterface-typeinterface-number]显示DHCPv6客户端的统计信息displayipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]清除DHCPv6客户端的统计信息resetipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]4.
4DHCPv6客户端典型配置举例4.
4.
1DHCPv6客户端申请地址及网络参数配置举例1.
组网需求DHCPv6客户端Switch从DHCPv6服务器获取IPv6地址,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名.
DHCPv6客户端根据获取到的网络配置参数自动创建DHCPv6选项组1.
4-52.
组网图图4-1DHCPv6客户端申请地址及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#配置VLAN接口2作为DHCPv6客户端获取IPv6地址及网络参数,配置DHCPv6客户端支持地址快速分配功能,并配置根据获取到的网络配置参数自动创建DHCPv6选项组1.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6addressdhcp-allocrapid-commitoption-group1[Switch-Vlan-interface2]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6地址及网络参数.
[Switch]displayipv6dhcpclientVlan-interface2:Type:StatefulclientrequestingaddressState:OPENClientDUID:0003000100e002000000Preferredserver:Reachableviaaddress:FE80::2E0:1FF:FE00:18ServerDUID:0003000100e001000000IA_NA:IAID0x00000642,T150sec,T280secAddress:1:1::2/128Preferredlifetime100sec,validlifetime200secWillexpireonMar272014at08:06:57(198secondsleft)DNSserveraddresses:2000::FFDomainname:example.
com4-6SIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的DHCPv6选项组1的信息.
[Switch]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface22000::FFDomainname:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface2example.
comSIPserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface22:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6addressallocation)Interface:Vlan-interface2bbb.
com#查看获取到的IPv6地址.
[Switch]displayipv6interfacebrief*down:administrativelydown(s):spoofingInterfacePhysicalProtocolIPv6AddressVlan-interface2upup1:1::24.
4.
2DHCPv6客户端申请前缀及网络参数配置举例1.
组网需求DHCPv6客户端Switch从DHCPv6服务器获取IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等.
DHCPv6客户端Switch根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1.
4-72.
组网图图4-2DHCPv6客户端申请前缀及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#在客户端连接到DHCPv6服务器的VLAN接口2上配置IPv6地址.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6address1::2/48#配置VLAN接口2作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能.
[Switch-Vlan-interface2]ipv6dhcpclientpd1rapid-commitoption-group1[Switch-Vlan-interface2]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数.
[Switch]displayipv6dhcpclientVlan-interface2:Type:StatefulclientrequestingprefixState:OPENClientDUID:0003000100e002000000Preferredserver:Reachableviaaddress:FE80::2E0:1FF:FE00:18ServerDUID:0003000100e001000000IA_PD:IAID0x00000642,T150sec,T280secPrefix:12:34::/48Preferredlifetime100sec,validlifetime200secWillexpireonFeb42014at15:37:20(80secondsleft)DHCPv6serverSwitchDHCPv6clientVlan-int21::1/48DHCPv6clientVlan-int21::2/484-8DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的IPv6前缀1的信息.
[Switch]displayipv6prefix1Number:1Type:DynamicPrefix:12:34::/48Preferredlifetime100sec,validlifetime200sec#显示动态创建的DHCPv6选项组1的信息.
[Switch]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface22000::FFDomainname:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface2example.
comSIPserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface22:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6prefixallocation)Interface:Vlan-interface2bbb.
com4.
4.
3DHCPv6客户端同时申请地址、前缀及网络参数配置举例1.
组网需求DHCPv6客户端Switch从DHCPv6服务器同时获取IPv6地址、IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等.
DHCPv6客户端Switch根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1.
4-92.
组网图图4-3DHCPv6客户端同时申请地址、前缀及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#在客户端连接到DHCPv6服务器的VLAN接口2上配置IPv6地址.
system-view[Switch]interfacevlan-interface2[Switch-Vlan-interface2]ipv6address1::2/48#配置VLAN接口2作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能.
[Switch-Vlan-interface2]ipv6dhcpclientstatefulprefix1rapid-commitoption-group1[Switch-Vlan-interface2]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数.
[Switch]displayipv6dhcpclientVlan-interface2:Type:StatefulclientrequestingaddressandprefixState:OPENClientDUID:0003000100e002000000Preferredserver:Reachableviaaddress:FE80::2E0:1FF:FE00:18ServerDUID:0003000100e001000000IA_NA:IAID0x00000642,T150sec,T280secAddress:1:1::2/128Preferredlifetime100sec,validlifetime200secWillexpireonMar272014at08:02:00(199secondsleft)4-10IA_PD:IAID0x00000642,T150sec,T280secPrefix:12:34::/48Preferredlifetime100sec,validlifetime200secWillexpireonMar272014at08:02:00(199secondsleft)DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#查看获取到的IPv6地址.
[Switch]displayipv6interfacebrief*down:administrativelydown(s):spoofingInterfacePhysicalProtocolIPv6AddressVlan-interface2upup1:1::2#显示动态创建的IPv6前缀1的信息.
[Switch]displayipv6prefix1Number:1Type:DynamicPrefix:12:34::/48Preferredlifetime100sec,validlifetime200sec#显示动态创建的DHCPv6选项组1的信息.
[Switch]displayipv6dhcpoption-group1DNSserveraddresses:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface22000::FFDomainname:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface2example.
comSIPserveraddresses:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface22:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6addressandprefixallocation)Interface:Vlan-interface2bbb.
com以上三条display命令可以看到客户端获取到的地址信息、前缀信息和网络参数.
4-114.
4.
4DHCPv6无状态配置典型配置举例1.
组网需求DHCPv6客户端SwitchA通过DHCPv6无状态配置获取域名服务器、域名等信息;SwitchB作为网关,周期性发布RA消息.
2.
组网图图4-4DHCPv6无状态配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
(1)配置网关SwitchB#配置VLAN接口2的IPv6地址.
system-view[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipv6address1::164#配置RA消息中O标志位为1.
[SwitchB-Vlan-interface2]ipv6ndautoconfigother-flag#在VLAN接口2上配置允许发送RA消息.
[SwitchB-Vlan-interface2]undoipv6ndrahalt(2)配置DHCPv6客户端SwitchA#在VLAN接口2上使能IPv6地址无状态自动配置功能.
system-view[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipv6addressauto执行此命令后,如果VLAN接口2下未配置地址,SwitchA会自动生成本地链路地址,并主动发送RS(RouterSolicitation,路由器请求)报文,请求网关SwitchB立即回应RA报文.
4.
验证配置如果收到的RA报文中M标志位为0、O标志位为1,SwitchA就会启动DHCPv6客户端无状态配置.
4-12#可以通过displayipv6dhcpclient命令查看当前客户端的配置信息,如果从服务器成功获取了配置,将会有类似的显示信息.
[SwitchA-Vlan-interface2]displayipv6dhcpclientinterfacevlan-interface2Vlan-interface2:Type:StatelessclientState:OPENClientDUID:00030001000fe2ff0000Preferredserver:Reachableviaaddress:FE80::213:7FFF:FEF6:C818ServerDUID:0003000100137ff6c818DNSserveraddresses:1:2:4::51:2:4::7Domainname:abc.
com#可以通过displayipv6dhcpclientstatistics命令查看当前客户端的统计信息.
[SwitchA-Vlan-interface2]displayipv6dhcpclientstatisticsInterface:Vlan-interface2Packetsreceived:1Reply:1Advertise:0Reconfigure:0Invalid:0Packetssent:5Solicit:0Request:0Renew:0Rebind:0Information-request:5Release:0Decline:05-15DHCPv6Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6Snooping功能配置后不能正常工作.
5.
1DHCPv6Snooping简介DHCPv6Snooping是DHCPv6的一种安全特性,具有如下功能:1.
保证客户端从合法的服务器获取IPv6地址网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信.
为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6Snooping安全机制允许将端口设置为信任端口和不信任端口:信任端口正常转发接收到的DHCPv6报文.
不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文.
图5-1信任端口和非信任端口如图5-1所示,在DHCPv6Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址.
2.
记录DHCPv6客户端IPv6地址与MAC地址的对应关系DHCPv6Snooping通过监听DHCPv6报文,记录DHCPv6Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息.
网5-2络管理员可以通过displayipv6dhcpsnoopingbinding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控.
5.
2DHCPv6Snooping配置任务简介表5-1DHCPv6Snooping配置任务简介配置任务说明详细配置配置DHCPv6Snooping基本功能必选5.
3配置DHCPv6Snooping支持Option18与Option37功能可选5.
4配置DHCPv6Snooping表项备份功能可选5.
5配置接口动态学习DHCPv6Snooping表项的最大数目可选5.
6配置DHCPv6Snooping报文限速功能可选5.
7开启DHCPv6Snooping的DHCPv6请求方向报文检查功能可选5.
8开启DHCPv6Snooping报文阻断功能可选5.
9开启DHCPv6Snooping日志信息功能可选5.
105.
3配置DHCPv6Snooping基本功能开启DHCPv6Snooping功能,并正确地配置信任端口和非信任端口后,可以保证客户端从合法的服务器获取IPv6地址,配置DHCPv6Snooping基本功能时,需要注意:为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内.
如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6Snooping的配置才会生效.
表5-2配置DHCPv6Snooping基本功能操作命令说明进入系统视图system-view-开启DHCPv6Snooping功能ipv6dhcpsnoopingenable缺省情况下,DHCPv6Snooping功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6服务器的接口配置DHCPv6Snooping信任端口ipv6dhcpsnoopingtrust缺省情况下,开启DHCPv6Snooping功能后,设备的所有端口均为不信任端口退回系统视图quit-5-3操作命令说明进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6客户端的接口(可选)开启端口的DHCPv6Snooping表项记录功能ipv6dhcpsnoopingbindingrecord缺省情况下,在开启DHCPv6Snooping功能后,端口的DHCPv6Snooping表项记录功能处于关闭状态5.
4配置DHCPv6Snooping支持Option18和Option37功能Option18称为接口ID选项(InterfaceID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option18选项,并转发给DHCPv6服务器.
服务器可根据Option18选项中的客户端信息选择合适的地址池为DHCPv6客户端分配IPv6地址.
图5-2为Option18选项格式.
图5-2Option18选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
Option37称为远程ID选项(RemoteID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option37选项,并转发给DHCPv6服务器.
服务器可根据Option37选项中的信息对DHCPv6客户端定位,对分配IPv6地址提供帮助.
图5-3为Option37选项格式.
5-4图5-3Option37选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Enterprisenumber:企业编号.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
选项格式中的SecondVLANID字段为可选,如果DHCPv6报文中不含有SecondVlan,则Option18或Option37中也不包含SecondVLANID内容.
表5-3配置DHCPv6Snooping支持Option18和Option37功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping支持Option18功能ipv6dhcpsnoopingoptioninterface-idenable缺省情况下,DHCPv6Snooping支持Option18功能处于关闭状态(可选)配置Option18选项中的DUIDipv6dhcpsnoopingoptioninterface-id[vlanvlan-id]stringinterface-id缺省情况下,Option18选项中的DUID为本设备的DUID开启DHCPv6Snooping支持Option37功能ipv6dhcpsnoopingoptionremote-idenable缺省情况下,DHCPv6Snooping支持Option37功能处于关闭状态(可选)配置Option37选项中的DUIDipv6dhcpsnoopingoptionremote-id[vlanvlan-id]stringremote-id缺省情况下,Option37选项中的DUID为本设备的DUID5-55.
5配置DHCPv6Snooping表项固化功能DHCPv6Snooping设备重启后,设备上记录的DHCPv6Snooping表项将丢失.
如果DHCPv6Snooping与其他特性(如IPSourceGuard)配合使用,表项丢失会导致安全特性无法通过DHCPv6Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络.
DHCPv6Snooping表项备份功能将DHCPv6Snooping表项保存到指定的文件中,DHCPv6Snooping设备重启后,自动根据该文件恢复DHCPv6Snooping表项,从而保证DHCPv6Snooping表项不会丢失.
表5-4配置DHCPv6Snooping表项固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6Snooping表项的文件名称ipv6dhcpsnoopingbindingdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}string]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件.
如果配置了ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件(可选)将当前的DHCPv6Snooping表项保存到用户指定的文件中ipv6dhcpsnoopingbindingdatabaseupdatenow本命令只用来触发一次DHCPv6Snooping表项的备份(可选)配置刷新DHCPv6Snooping表项存储文件的延迟时间ipv6dhcpsnoopingbindingdatabaseupdateintervalinterval缺省情况下,若DHCPv6Snooping表项不变化,则不刷新存储文件;若DHCPv6Snooping表项发生变化,默认在300秒之后刷新存储文件执行undoipv6dhcpsnoopingenable命令关闭DHCPv6Snooping功能后,设备会删除所有DHCPv6Snooping表项,文件中存储的DHCPv6Snooping表项也将被删除.
5.
6配置接口动态学习DHCPv6Snooping表项的最大数目通过本配置可以限制接口动态学习DHCPv6Snooping表项的最大数目,以防止接口学习到大量DHCPv6Snooping表项,占用过多的系统资源.
5-6表5-5配置接口动态学习DHCPv6Snooping表项的最大数目操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口动态学习DHCPv6Snooping表项的最大数目ipv6dhcpsnoopingmax-learning-nummax-number缺省情况下,不限制接口动态学习DHCPv6Snooping表项的数目5.
7开启DHCPv6Snooping报文限速功能为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率.
当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6Snooping设备将丢弃超过速率限制的报文.
表5-6开启DHCPv6Snooping报文限速功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping的报文限速功能ipv6dhcpsnoopingrate-limitrate缺省情况下,DHCPv6Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6Snooping的报文限速配置.
如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6Snooping的报文限速配置5.
8开启DHCPv6Snooping的DHCPv6请求方向报文检查功能本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击.
伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约.
如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端.
伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约.
5-7在DHCPv6Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击.
如果开启了该功能,则DHCPv6Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6Snooping表项.
若存在,则接收报文信息与DHCPv6Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃.
若不存在,则认为该报文合法,将其转发给DHCPv6服务器.
表5-7开启DHCPv6Snooping的DHCPv6请求方向报文检查功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping的DHCPv6请求方向报文检查功能ipv6dhcpsnoopingcheckrequest-message缺省情况下,DHCPv6Snooping的DHCPv6请求方向报文检查功能处于关闭状态5.
9开启DHCPv6Snooping报文阻断功能在某些组网环境下,用户需要在DHCPv6Snooping设备的某一端口上丢弃该端口收到的所有DHCPv6请求方向报文,而又不影响其他端口正常接收DHCPv6报文.
这时,用户可以在该端口上开启DHCPSnooping报文阻断功能.
当端口上开启了DHCPv6Snooping报文阻断功能后,该端口收到的所有DHCPv6请求方向的报文都将被丢弃.
表5-8开启DHCPv6Snooping报文阻断功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-开启DHCPv6Snooping报文阻断功能ipv6dhcpsnoopingdeny缺省情况下,端口的DHCPv6Snooping报文阻断功能处于关闭状态5.
10开启DHCPv6Snooping日志信息功能DHCPv6Snooping日志是为了满足管理员的审计需求.
DHCPv6Snooping设备生成DHCPv6Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
当DHCPv6Snooping设备输出大量日志信息时,可能会降低设备性能.
为了避免该情况的发生,用户可以关闭DHCPv6Snooping日志信息功能,使得DHCPv6Snooping设备不再输出日志信息.
5-8表5-9开启DHCPv6Snooping日志信息功能操作命令说明进入系统视图system-view-开启DHCPv6Snooping日志信息功能ipv6dhcpsnoopinglogenable缺省情况下,DHCPv6Snooping日志信息功能处于关闭状态5.
11DHCPv6Snooping显示和维护在完成上述配置后,在任意视图下执行display命令可以显示DHCPv6Snooping的配置情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6Snooping表项信息.
表5-10DHCPv6Snooping显示和维护操作命令显示DHCPv6Snooping信任端口信息displayipv6dhcpsnoopingtrust显示DHCPv6Snooping表项信息displayipv6dhcpsnoopingbinding[addressipv6-address[vlanvlan-id]]显示DHCPv6Snooping表项备份信息displayipv6dhcpsnoopingbindingdatabase显示DHCPv6Snooping设备上的DHCPv6报文统计信息(独立运行模式)displayipv6dhcpsnoopingpacketstatistics[slotslot-number]显示DHCPv6Snooping设备上的DHCPv6报文统计信息(IRF模式)displayipv6dhcpsnoopingpacketstatistics[chassischassis-numberslotslot-number]清除DHCPv6Snooping表项resetipv6dhcpsnoopingbinding{all|addressipv6-address[vlanvlan-id]}清除DHCPv6Snooping设备上的DHCPv6报文统计信息(独立运行模式)resetipv6dhcpsnoopingpacketstatistics[slotslot-number]清除DHCPv6Snooping设备上的DHCPv6报文统计信息(IRF模式)resetipv6dhcpsnoopingpacketstatistics[chassischassis-numberslotslot-number]5.
12DHCPv6Snooping典型配置举例1.
组网需求SwitchB通过以太网端口GigabitEthernet1/0/1连接到合法DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到非法服务器,通过GigabitEthernet1/0/2连接到DHCPv6客户端.
要求:与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文.
记录DHCPv6客户端IPv6地址及MAC地址的绑定关系.
5-92.
组网图图5-4DHCPv6Snooping组网示意图3.
配置步骤#开启DHCPv6Snooping功能.
system-view[SwitchB]ipv6dhcpsnoopingenable#配置GigabitEthernet1/0/1端口为信任端口.
[SwitchB]interfacegigabitethernet1/0/1[SwitchB-GigabitEthernet1/0/1]ipv6dhcpsnoopingtrust[SwitchB-GigabitEthernet1/0/1]quit#在GigabitEthernet1/0/2上开启安全表项功能.
[SwitchB]interfacegigabitethernet1/0/2[SwitchB-GigabitEthernet1/0/2]ipv6dhcpsnoopingbindingrecord[SwitchB-GigabitEthernet1/0/2]quit4.
验证配置配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息.
且使用displayipv6dhcpsnoopingbinding命令可以查看生成的DHCPv6Snooping表项.
享有云:美国BGP云服务器低至20元/月起,首月打折;香港2核2G2M仅50元/月起
享有云怎么样?享有云是一家新的国内云服务器商家,目前提供国内、香港及海外地区的云服务器,拥有多线路如:BGP线路、CN2线路、高防等云服务器,并且提供稳定、安全、弹性、高性能的云端计算服务,实时满足您的多样性业务需求。目前,美国bgp云服务器,5M带宽,低至20元/月起,270元/年起,首月打折;香港2核2G2M仅50元/月起,450元/年起!点击进入:享有云官方网站地址享有云优惠活动:一、美国B...
gcorelabs:美国GPU服务器,8张RTX2080Ti,2*Silver-4214/256G内存/1T SSD/
gcorelabs提供美国阿什本数据中心的GPU服务器(显卡服务器),默认给8路RTX2080Ti,服务器网卡支持2*10Gbps(ANX),CPU为双路Silver-4214(24核48线程),256G内存,1Gbps独享带宽仅需150欧元、10bps带宽仅需600欧元,不限流量随便跑吧。 官方网站 :https://gcorelabs.com/hosting/dedicated/gpu/ ...
onevps:新增(支付宝+中文网站),香港/新加坡/日本等9机房,1Gbps带宽,不限流量,仅需$4/月
onevps最新消息,为了更好服务中国区用户:1、网站支付方式新增了支付宝,即将增加微信;原信用卡、PayPal方式不变;(2)可以切换简体中文版网站,在网站顶部右上角找到那个米字旗,下拉可以换中国简体版本。VPS可选机房有:中国(香港)、新加坡、日本(东京)、美国(纽约、洛杉矶)、英国(伦敦)、荷兰(阿姆斯特丹)、瑞士(苏黎世)、德国(法兰克福)、澳大利亚(悉尼)。不管你的客户在亚太区域、美洲区...
启用dhcp为你推荐
-
外挂购买外挂什么意思今日油条联通大王卡看今日头条免流量吗?月神谭求男变女类的变身小说seo优化工具SEO优化要用到什么软件?porndao单词prondao的汉语是什么sss17.com为什么GAO17.COM网站打不开了haokandianyingwang有什么好看的电影网站ip在线查询通过对方的IP地址怎么样找到他的详细地址?www.zjs.com.cn怎么查询我的平安信用卡寄送情况www.hhh258comwww.tx88d.com 有这个网站吗?