地址启用dhcp
启用dhcp 时间:2021-04-03 阅读:()
i目录1DHCPv6简介·1-11.
1DHCPv6概述1-11.
2DHCPv6地址/前缀分配过程1-11.
2.
1交互两个消息的快速分配过程·1-11.
2.
2交互四个消息的分配过程·1-11.
3地址/前缀租约更新过程·1-21.
4DHCPv6无状态配置1-31.
4.
1DHCPv6无状态配置简介1-31.
4.
2DHCPv6无状态配置过程1-41.
5协议规范·1-42DHCPv6服务器2-12.
1DHCPv6服务器简介2-12.
1.
1DHCPv6服务器应用环境2-12.
1.
2基本概念2-22.
1.
3DHCPv6地址池·2-32.
1.
4地址/前缀的选择优先次序·2-42.
2配置DHCPv6服务器2-42.
2.
1DHCPv6服务器配置任务简介2-42.
2.
2配置为DHCPv6客户端分配IPv6前缀·2-52.
2.
3配置为DHCPv6客户端分配IPv6地址·2-62.
2.
4配置为DHCPv6客户端分配网络参数2-82.
2.
5配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略·2-92.
2.
6配置DHCPv6服务器发送DHCPv6报文的DSCP优先级·2-102.
2.
7配置DHCPv6服务器租约固化功能·2-102.
2.
8配置DHCPv6服务器辅助路由信息·2-112.
2.
9指定DHCPv6服务器上的地址池所在的VPN信息·2-112.
2.
10配置DHCPv6服务器的日志信息功能2-122.
3DHCPv6服务器显示和维护2-122.
4DHCPv6服务器典型配置举例·2-132.
4.
1动态分配IPv6前缀典型配置举例2-132.
4.
2动态分配IPv6地址典型配置举例2-16ii3DHCPv6中继·3-13.
1DHCPv6中继简介·3-13.
1.
1应用环境3-13.
1.
2DHCPv6中继的工作过程3-13.
2DHCPv6中继配置任务简介3-23.
3配置DHCPv6中继·3-23.
3.
1配置接口工作在DHCPv6中继模式·3-23.
3.
2指定DHCPv6服务器的地址·3-23.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级3-33.
3.
4配置DHCPv6中继支持的interface-id选项填充模式·3-33.
3.
5指定中继地址池上对应的DHCPv6服务器地址·3-43.
4DHCPv6中继显示和维护·3-43.
5DHCPv6中继典型配置举例3-54DHCPv6客户端4-74.
1DHCPv6客户端简介4-74.
2配置DHCPv6客户端4-74.
2.
1DHCPv6客户端配置任务简介4-74.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数·4-74.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数·4-84.
2.
4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4-84.
2.
5配置DHCPv6客户端发送DHCPv6报文的DSCP优先级·4-94.
3DHCPv6客户端显示和维护4-94.
4DHCPv6客户端典型配置举例·4-104.
4.
1DHCPv6客户端申请地址及网络参数配置举例·4-104.
4.
2DHCPv6客户端申请前缀及网络参数配置举例·4-114.
4.
3DHCPv6无状态配置典型配置举例·4-135DHCPv6Snooping5-15.
1DHCPv6Snooping简介·5-15.
2DHCPv6Snooping配置任务简介5-25.
3配置DHCPv6Snooping基本功能5-25.
4配置DHCPv6Snooping支持Option18和Option37功能·5-35.
5配置DHCPv6Snooping表项固化功能·5-55.
6配置接口动态学习DHCPv6Snooping表项的最大数目·5-65.
7配置DHCPv6Snooping报文限速功能·5-65.
8启用DHCPv6Snooping的DHCPv6请求方向报文检查功能·5-65.
9DHCPv6Snooping显示和维护·5-7iii5.
10DHCPv6Snooping典型配置举例5-81-11DHCPv6简介1.
1DHCPv6概述DHCPv6(DynamicHostConfigurationProtocolforIPv6,支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议.
与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见"三层技术-IP业务配置指导"中的"IPv6基础")相比,DHCPv6具有以下优点:更好地控制地址的分配.
通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理.
为客户端分配前缀,以便于全网络的自动配置和管理.
除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数.
1.
2DHCPv6地址/前缀分配过程DHCPv6服务器为客户端分配地址/前缀的过程分为两类:交互两个消息的快速分配过程交互四个消息的分配过程1.
2.
1交互两个消息的快速分配过程图1-1地址/前缀快速分配过程如图1-1所示,地址/前缀快速分配过程为:(1)DHCPv6客户端在向DHCPv6服务器发送的Solicit消息中携带RapidCommit选项,标识客户端希望服务器能够快速为其分配地址/前缀和其他网络配置参数.
(2)如果DHCPv6服务器支持快速分配过程,则直接返回Reply消息,为客户端分配IPv6地址/前缀和其他网络配置参数.
如果DHCPv6服务器不支持快速分配过程,则采用"1.
2.
2交互四个消息的分配过程"为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
2.
2交互四个消息的分配过程交互四个消息的分配过程如图1-2所示.
1-2图1-2交互四个消息的分配过程交互四个消息分配过程的简述如表1-1.
表1-1交互四个消息的分配过程步骤发送的消息说明(1)SolicitDHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数(2)Advertise如果Solicit消息中没有携带RapidCommit选项,或Solicit消息中携带RapidCommit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复该消息,通知客户端可以为其分配的地址/前缀和网络配置参数(3)Request如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数(4)ReplyDHCPv6服务器回复该消息,确认将地址/前缀和网络配置参数分配给客户端使用1.
3地址/前缀租约更新过程DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限,该租借期限称为租约.
租借期限由有效生命期决定.
地址/前缀的租借时间到达有效生命期后,DHCPv6客户端不能再使用该地址/前缀.
在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要申请延长地址/前缀租约.
图1-3通过Renew更新地址/前缀租约如图1-3所示,地址/前缀租借时间到达时间T1(推荐值为首选生命期的一半)时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器发送Renew报文,以进行地址/前缀租约的更新.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客1-3户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约.
图1-4通过Rebind更新地址/前缀租约如图1-4所示,如果在T1时发送Renew请求更新租约,但是没有收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2(推荐值为首选生命期的0.
8倍)时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约;如果DHCPv6客户端没有收到服务器的应答报文,则到达有效生命期后,客户端停止使用该地址/前缀.
有效生命期和首选生命期的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
1.
4DHCPv6无状态配置1.
4.
1DHCPv6无状态配置简介DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置.
地址无状态自动配置是指节点根据路由器发现/前缀发现所获取的信息,自动配置IPv6地址.
详细介绍请参见"三层技术-IP业务配置指导"的"IPv6基础".
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA(RouterAdvertisement,路由器通告)报文中M标志位(Managedaddressconfigurationflag,被管理地址配置标志位)取值为0、O标志位(Otherstatefulconfigurationflag,其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
1-41.
4.
2DHCPv6无状态配置过程图1-5DHCPv6无状态配置工作过程如图1-5所示,DHCPv6无状态配置的具体过程为:(1)客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带OptionRequest选项,指定客户端需要从服务器获取的配置参数.
(2)服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端.
(3)客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数.
如果接收到多个与请求相符的Reply报文,客户端将选择最先收到的Reply报文,并根据该报文中提供的参数完成客户端无状态配置.
1.
5协议规范与DHCPv6相关的协议规范有:RFC3736:StatelessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6RFC3315:DynamicHostConfigurationProtocolforIPv6(DHCPv6)RFC2462:IPv6StatelessAddressAutoconfigurationRFC3633:IPv6PrefixOptionsforDynamicHostConfigurationProtocol(DHCP)version62-12DHCPv6服务器2.
1DHCPv6服务器简介2.
1.
1DHCPv6服务器应用环境DHCPv6服务器可以为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
DHCPv6服务器为客户端分配IPv6地址和其他网络配置参数图2-1DHCPv6服务器地址和其他网络配置参数分配应用环境如图2-1所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端提供诸如IPv6地址、域名后缀、DNS服务器地址等网络配置参数.
DHCPv6客户端根据服务器分配的参数来实现主机的配置.
DHCPv6服务器为客户端分配的IPv6地址分为以下两类:临时IPv6地址:在短期内经常变化且不用续约的地址;非临时IPv6地址:正常使用,可以进行续约的地址.
2.
DHCPv6服务器为客户端分配IPv6前缀图2-2DHCPv6服务器前缀分配应用组网图DHCPv6clientDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6server2-2如图2-2所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端分配IPv6前缀.
DHCPv6客户端获取到IPv6前缀后,向所在网络组播发送包含该前缀信息的RA消息,以便网络内的主机根据该前缀自动配置IPv6地址.
2.
1.
2基本概念1.
DHCPv6采用的组播地址DHCPv6采用组播地址FF05::1:3来表示站点本地范围内所有的DHCPv6服务器;采用组播地址FF02::1:2来表示链路本地范围内所有的DHCPv6服务器和中继.
2.
DUIDDUID(DHCPUniqueIdentifier,DHCP唯一标识符)是一台DHCPv6设备(包括客户端、服务器和中继)的唯一标识.
在DHCPv6报文交互过程中,DHCPv6客户端、服务器和中继通过在报文中添加DUID来标识自己.
图2-3DUID-LL结构目前,设备采用RFC3315规定的DUID-LL(DUIDBasedonLink-layerAddress,基于链路层地址的DUID)作为DHCPv6设备的标识.
DUID-LL的结构如图2-3所示:DUIDtype:DUID类型.
设备支持的DUID类型为DUID-LL,取值为0x0003.
Hardwaretype:硬件类型.
设备支持的硬件类型为以太网,取值为0x0001.
Linklayeraddress:链路层地址.
取值为设备的桥MAC地址.
3.
IAIA(IdentityAssociation,标识联盟)用于管理分配给客户端的一组地址和前缀等信息,通过IAID标识.
一个客户端可以有多个IA,如客户端的每个接口拥有一个IA,IA用来管理该接口获取的地址和前缀等信息.
4.
IAIDIAID是IA的标识符,由客户端选择.
在一个客户端上不同IA的IAID不能相同.
5.
PDPD(PrefixDelegation,前缀授权)是DHCPv6服务器为分配的前缀创建的前缀绑定信息,前缀绑定信息中记录了IPv6前缀、客户端DUID、IAID、有效时间、首选时间、租约过期时间、申请前缀的客户端的IPv6地址等信息.
2-32.
1.
3DHCPv6地址池每个DHCPv6地址池都拥有一组可供分配的IPv6地址、IPv6前缀和网络配置参数.
DHCPv6服务器从地址池中为客户端选择并分配IPv6地址、IPv6前缀及其他参数.
1.
DHCPv6地址池的地址管理方式DHCPv6地址池的地址管理方式有以下几种:静态绑定IPv6地址,即通过将客户端DUID和IAID与IPv6地址绑定的方式,实现为特定的客户端分配特定的IPv6地址;动态选择IPv6地址,即在地址池中指定可供分配的IPv6地址范围,当收到客户端的IPv6地址申请时,从该地址范围中动态选择IPv6地址,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6地址范围时,需要:(1)指定动态分配的IPv6地址网段.
(2)将该网段划分为非临时地址范围和临时地址范围.
每个地址范围内的地址必须属于该网段,否则无法分配.
采用动态选择IPv6地址方式时,如果接收到客户端的地址申请,则DHCPv6服务器选择一个合适的地址池,并按照客户端申请的地址类型(非临时地址或临时地址),从该地址池对应的地址范围(非临时地址范围或临时地址范围)中选择合适的IPv6地址分配给客户端.
2.
DHCPv6地址池的前缀管理方式DHCPv6地址池的前缀管理方式有以下几种:静态绑定IPv6前缀,即通过将客户端DUID和IAID与IPv6前缀绑定的方式,实现为特定的客户端分配特定的IPv6前缀;动态选择IPv6前缀,即在地址池中指定可供分配的IPv6前缀范围,当收到客户端的IPv6前缀申请时,从该前缀范围中动态选择IPv6前缀,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6前缀范围时,需要:(1)创建前缀池,指定前缀池中包括的IPv6前缀范围.
(2)在地址池中指定动态分配的IPv6地址网段.
(3)在地址池中引用前缀池.
3.
地址池的选取原则DHCPv6服务器为客户端分配IPv6地址或前缀时,地址池的选择原则如下:(1)如果存在将客户端DUID、IAID与IPv6地址或前缀静态绑定的地址池,则选择该地址池,并将静态绑定的IPv6地址或前缀、及该地址池中的网络参数分配给客户端.
(2)如果接收到DHCPv6请求报文的接口引用了某个地址池,则选择该地址池,从该地址池中选取IPv6地址或前缀、及网络配置参数分配给客户端.
(3)如果不存在静态绑定的地址池,且接收到DHCPv6请求报文的接口没有引用地址池,则按照以下方法选择地址池:如果客户端与服务器在同一网段,则将接收到DHCPv6请求报文的接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
如果客户端与服务器不在同一网段,即客户端通过DHCPv6中继获取IPv6地址或前缀,则将离DHCPv6客户端最近的DHCPv6中继接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
配置地址池动态分配的网段和IPv6地址范围时,请尽量保证与DHCPv6服务器接口或DHCPv6中继接口的IPv6地址所在的网段一致,以免分配错误的IPv6地址.
2-42.
1.
4地址/前缀的选择优先次序DHCPv6服务器为客户端分配IPv6地址/前缀的优先次序如下:(1)DUID、IAID与客户端DUID、IAID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀;(2)DUID、IAID与客户端DUID、IAID匹配的静态绑定地址/前缀;(3)DUID与客户端的DUID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(4)DUID与客户端DUID匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(5)服务器记录的曾经分配给客户端的地址/前缀;(6)地址池/前缀池中与客户端期望地址/前缀匹配的空闲地址/前缀;(7)地址池/前缀池中的其他空闲地址/前缀;(8)如果未找到可用的地址/前缀,则依次查询租约过期地址/前缀、曾经发生过冲突的地址,如果找到则进行分配,否则将不予处理.
如果客户端的网段发生变化,服务器不会为客户端分配曾经分配给它的地址/前缀,而是从匹配新网段的地址池中重新选择地址/前缀等信息.
使用曾经发生过冲突的IPv6地址时,只有冲突状态超过一小时的地址租约才能够被服务器分配给新的DHCPv6客户端.
2.
2配置DHCPv6服务器2.
2.
1DHCPv6服务器配置任务简介表2-1DHCPv6服务器配置任务简介配置任务说明详细配置配置为DHCPv6客户端分配IPv6前缀根据实际情况选择2.
2.
2配置为DHCPv6客户端分配IPv6地址2.
2.
3配置为DHCPv6客户端分配网络参数2.
2.
4配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略必选2.
2.
42.
配置DHCPv6服务器发送DHCPv6报文的DSCP优先级可选2.
2.
6配置DHCPv6服务器租约固化功能可选2.
2.
7配置DHCPv6服务器辅助路由信息可选2.
2.
8指定DHCPv6服务器上的地址池所在的VPN信息可选2.
2.
9配置DHCPv6服务器的日志信息功能可选2.
2.
102-52.
2.
2配置为DHCPv6客户端分配IPv6前缀可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6前缀:在地址池中配置静态绑定前缀:指定DUID、IAID及前缀的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的前缀分配给此DHCPv6客户端.
如果只指定了DUID和前缀的绑定关系,没有指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的前缀分配给此DHCPv6客户端.
在地址池中引用包含一定前缀范围的前缀池:接收到DHCPv6客户端的前缀分配请求后,DHCPv6服务器从前缀范围中动态选择可用前缀,分配给客户端.
在实际组网中,某些前缀是保留前缀,不应该动态分配给客户端.
通过配置不参与自动分配的前缀,可以避免DHCPv6服务器分配这些前缀.
配置为DHCPv6客户端分配IPv6前缀时,需要注意:一个IPv6前缀只能与一个客户端绑定.
不允许通过重复执行static-bindprefix命令的方式修改IPv6前缀与客户端的绑定关系、前缀的首选生命期和有效生命期.
只有删除该IPv6前缀的静态绑定配置后,才能将该IPv6前缀与其他客户端绑定,或修改前缀的首选生命期和有效生命期.
一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
不允许通过重复执行prefix-pool命令的方式修改地址池引用的前缀池、前缀的首选生命期和有效生命期.
只有取消当前地址池引用的前缀池后,才能引用其他的前缀池,或修改首选生命期和有效生命期.
表2-2配置为DHCPv6客户端分配IPv6前缀操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6前缀ipv6dhcpserverforbidden-prefixstart-prefix/prefix-len[end-prefix/prefix-len][vpn-instancevpn-instance-name]缺省情况下,DHCPv6前缀池中的所有IPv6前缀都参与自动分配如果通过ipv6dhcpserverforbidden-prefix命令将已经静态绑定的IPv6前缀配置为不参与自动分配的前缀,则该前缀仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-prefix命令,可以配置多个不参与自动分配的IPv6前缀段2-6操作命令说明创建前缀池ipv6dhcpprefix-poolprefix-pool-numberprefixprefix/prefix-lenassign-lenassign-len[vpn-instancevpn-instance-name]缺省情况下,没有配置DHCPv6前缀池DHCPv6服务器为DHCPv6客户端动态分配IPv6前缀时,为必选;其他情况下,不需要进行本配置创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在任何DHCPv6地址池配置动态分配的IPv6地址网段networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6地址网段配置静态绑定前缀static-bindprefixprefix/prefix-lenduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]二者至少选其一缺省情况下,没有指定地址池的静态绑定前缀和可动态分配的前缀重复执行static-bindprefix命令,可以配置多个静态绑定的IPv6前缀配置地址池引用前缀池prefix-poolprefix-pool-number[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]2.
2.
3配置为DHCPv6客户端分配IPv6地址可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6地址:在地址池中配置静态绑定地址:指定DUID、IAID及地址的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的地址分配给此DHCPv6客户端.
如果只指定了DUID和地址的绑定关系,没有指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的地址分配给此DHCPv6客户端.
在地址池中配置动态分配的地址网段和地址范围:{在进行非临时地址分配时,如果没有在地址池下通过addressrange命令配置动态分配的IPv6非临时地址范围,则network命令指定的网段内的单播地址都可以分配给DHCPv6客户端.
如果配置了addressrange命令,则只会从该地址范围内分配IPv6非临时地址,即使该范围内的地址分配完毕,也不会从network命令指定的地址范围内分配IPv6非临时地址.
{在进行临时地址分配时,如果没有在地址池下通过temporaryaddressrange命令配置动态分配的IPv6临时地址范围,则地址池无法分配临时地址.
如果配置了temporaryaddressrange命令,则只会从该地址范围内分配IPv6临时地址,不会从network或者addressrange命令配置的地址范围内分配临时地址.
在实际组网中,某些地址是服务器的地址或者是保留地址,不应该动态分配给客户端.
通过配置不参与自动分配的地址,可以避免DHCPv6服务器分配这些地址.
配置为DHCPv6客户端分配IPv6地址,需要注意:一个地址池下只能配置一个IPv6非临时地址范围和一个IPv6临时地址范围.
addressrange命令和temporaryaddressrange命令配置的地址范围应该在network命令配置的网段内,否则地址不能被分配.
2-7一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
一个IPv6地址只能与一个客户端绑定.
不允许通过重复执行static-bindaddress命令的方式修改IPv6地址与客户端的绑定关系、地址的首选生命期和有效生命期.
只有删除该IPv6地址的静态绑定配置后,才能通过重新配置将该IPv6地址与其他客户端绑定,或修改地址的首选生命期和有效生命期.
每个DHCPv6地址池只能配置一个网段,在相同地址池中重复执行network命令,新的配置会覆盖已有配置.
如果相邻两次network命令配置的地址网段相同而首选生命期和有效生命期不同,则新配置的首选生命期和有效生命期只能在新生成的绑定信息中生效,原有绑定信息不受影响.
表2-3配置为DHCPv6客户端分配IPv6地址操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6地址ipv6dhcpserverforbidden-addressstart-ipv6-address[end-ipv6-address][vpn-instancevpn-instance-name]缺省情况下,除DHCPv6服务器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都参与自动分配如果通过ipv6dhcpserverforbidden-address命令将已经静态绑定的IPv6地址配置为不参与自动分配的地址,则该地址仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-address命令,可以配置多个不参与自动分配的IPv6地址段创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在任何DHCPv6地址池配置动态分配的IPv6地址网段networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段(可选)配置动态分配的IPv6非临时地址范围addressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置地址池中动态分配的IPv6非临时地址范围,整个网段内的单播地址都可以作为非临时地址分配给客户端(可选)配置动态分配的IPv6临时地址范围temporaryaddressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6临时地址范围,不能分配IPv6临时地址2-8操作命令说明(可选)配置静态绑定的IPv6地址static-bindaddressipv6-address/addr-prefix-lengthduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,不存在静态绑定的IPv6地址重复执行static-bindaddress命令,可以配置多个静态绑定的IPv6地址2.
2.
4配置为DHCPv6客户端分配网络参数除了分配IPv6地址和IPv6前缀外,DHCPv6地址池中还可以配置其他网络参数,如在一个地址池下最多可以配置8个DNS服务器地址、1个域名后缀、8个SIP服务器地址和8个SIP服务器域名等.
可以通过如下方式配置为DHCPv6客户端分配的网络参数:直接在DHCPv6地址池视图下配置网络参数.
在DHCPv6选项组中配置网络参数.
直接在DHCPv6地址池视图下配置的网络参数的优先级高于DHCPv6选项组中配置的网络参数.
1.
直接在DHCPv6地址池中配置网络参数表2-4配置为DHCPv6客户端分配网络参数操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在任何DHCPv6地址池配置动态分配的IPv6地址网段networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6地址网段(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,没有指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名后缀domain-namedomain-name缺省情况下,没有指定为客户端分配的域名后缀(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,没有指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,没有配置DHCPv6自定义选项2.
通过DHCPv6选项组配置网络参数DHCPv6选项组的创建方法有以下几种:通过ipv6dhcpoption-group命令手工创建静态DHCPv6选项组.
设备作为DHCPv6客户端获取IPv6地址、前缀和网络配置参数时,在DHCPv6客户端上根据获取的网络配置参数动态创建DHCPv6选项组.
2-9表2-5通过DHCPv6选项组配置网络参数操作命令说明进入系统视图system-view-手工创建静态DHCPv6选项组,并进入DHCPv6选项组视图ipv6dhcpoption-groupoption-group-number缺省情况下,设备上不存在任何静态DHCPv6选项组(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,没有指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名后缀domain-namedomain-name缺省情况下,没有指定为客户端分配的域名后缀(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,没有指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,没有配置DHCPv6自定义选项2.
2.
5配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略配置接口工作在DHCPv6服务器模式后,当接口未引用地址池时,接口收到DHCPv6客户端发来的DHCPv6报文时,服务器根据该接口的地址或DHCPv6中继接口的地址选择最长匹配的DHCPv6地址池,并从该地址池中选择IPv6地址或前缀分配给客户端.
当接口引用地址池时,则从引用的地址池中选择IPv6地址或前缀分配给客户端.
如果引用的地址池中不存在可供分配的IPv6地址或前缀,则设备将无法为客户端分配IPv6地址或前缀.
配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略时,需要注意:一个接口不能同时作为DHCPv6服务器和DHCPv6中继.
建议不要在一个接口上同时配置DHCPv6服务器和DHCPv6客户端功能.
接口可以引用并不存在的地址池,但是,此时该接口无法为客户端分配前缀等信息.
只有创建该地址池后,才能为客户端分配前缀等信息.
表2-6配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6服务器模式ipv6dhcpselectserver缺省情况下,接口未工作在DHCPv6服务器模式,也未工作在DHCPv6中继模式,接口接收到DHCPv6客户端发来的DHCPv6报文后,丢弃该报文配置全局查找地址池,并指定全局查找DHCPv6地址池时地址或前缀分配策略ipv6dhcpserver{allow-hint|preferencepreference-value|rapid-commit}*两者必选其一缺省情况下,不支持期望地址/前缀分配,缺省优先级为0,不支持快2-10操作命令说明配置接口引用DHCP地址池ipv6dhcpserverapplypoolpool-name[allow-hint|preferencepreference-value|rapid-commit]*速分配多次执行ipv6dhcpserver命令,新的配置会覆盖已有配置一个接口上最多只能引用一个地址池,如果多次执行ipv6dhcpserverapplypool命令,新的配置会覆盖已有配置2.
2.
6配置DHCPv6服务器发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6服务器发送的DHCPv6报文的DSCP优先级.
表2-7配置DHCPv6服务器发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6服务器发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6服务器发送的DHCPv6报文的DSCP优先级为562.
2.
7配置DHCPv6服务器租约固化功能DHCPv6服务器重启后,设备上记录的租约信息将丢失,会影响DHCP服务器的正常业务.
DHCPv6服务器租约固化功能将DHCPv6服务器的核心运行数据(在用地址租约、冲突表项)保存到指定的文件中,DHCPv6服务器设备重启后,自动根据该文件恢复DHCPv6服务器的租约信息,从而保证DHCPv6服务器的租约信息不会丢失.
表2-8配置DHCPv6服务器租约固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6服务器表项的文件名称ipv6dhcpserverdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}key]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpserverdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件.
(可选)将当前的DHCPv6服务器表项保存到用户指定的文件中ipv6dhcpserverdatabaseupdatenow本命令只用来触发一次DHCPv6服务器表项的备份(可选)配置DHCPv6服务器表项存储文件的刷新时间间隔ipv6dhcpserverdatabaseupdateintervalseconds缺省情况下,若DHCPv6服务器表项不变化,则不刷新存储文件;若DHCPv6服务器表项发生变化,默认在300秒之后刷新存储文件2-11操作命令说明(可选)终止当前的DHCPv6服务器表项恢复操作ipv6dhcpserverdatabaseupdatestop本命令只用来在设备重启时触发一次中止DHCPv6服务器固化租约的恢复2.
2.
8配置DHCPv6服务器辅助路由信息图2-4DHCPv6服务器辅助路由组网图在某些特定的业务模型(如BRAS组网)下,BAS设备需要实时监测网络流量,并将统计数据发送到RADIUS服务器.
该统计数据为用户上线以来产生的所有上下行流量数据,而不能是设备在某个时间段内发生的上下行流量数据.
由于RADIUS服务器刷新计数的方法是覆盖以前数据而不是进行累加,所以当一台设备的上下行流量分别从两台BAS设备上通过时,在RADIUS服务器上记录的数据就会相互覆盖,这时RADIUS服务器得到的统计数据是不准确的.
为了提高准确性,需保证一台设备的上下行流量经过同一台BAS设备.
通过配置辅助路由信息,通知路由管理对外发布此网段路由,引导指定网段的下行数据流量.
表2-9配置DHCPv6服务器辅助路由信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name-配置DHCPv6服务器辅助路由信息networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]export-route缺省情况下,未配置DHCPv6服务器辅助路由信息2.
2.
9指定DHCPv6服务器上的地址池所在的VPN信息当地址池绑定了VPN实例后,DHCPv6服务器可以将网络划分成公网和VPN私网.
没有配置VPN属性的地址池被划分到公网,配置了VPN属性的地址池被划分到相应的VPN私网,这样,对于处于公网或VPN私网中的客户端,服务器都能够选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息.
2-12DHCPv6客户端的VPN信息可以从认证模块(如IPoE)获取,也可以从DHCPv6服务器接收报文的接口配置的VPN信息获取.
如果以上两种方式都可获取VPN信息,以从认证模块获取的VPN信息为准.
表2-10指定DHCPv6服务器上的地址池所在的VPN信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name-指定DHCPv6服务器上的地址池所在的VPN信息vpn-instancevpn-instance-name缺省情况下,未指定DHCPv6服务器上的地址池所在的VPN信息2.
2.
10配置DHCPv6服务器的日志信息功能DHCPv6服务器日志是为了满足管理员审计需求.
设备生成DHCPv6日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
比如大量DHCPv6客户端发生上下线操作时,DHCPv6服务器需要输出大量日志信息,这可能会降低设备性能,影响DHCPv6服务器分配IPv6前缀或IPv6地址的速度.
为了避免该情况的发生,用户可以关闭DHCPv6服务器日志信息功能,使得DHCPv6服务器不再输出日志信息.
表2-11配置DHCPv6服务器的日志信息功能操作命令说明进入系统视图system-view-配置DHCPv6服务器日志信息功能ipv6dhcplogenable缺省情况下,DHCPv6服务器日志信息功能处于关闭状态2.
3DHCPv6服务器显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6服务器的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6服务器的统计信息.
表2-12DHCPv6服务器显示和维护操作命令显示本设备的DUIDdisplayipv6dhcpduid显示DHCPv6选项组信息displayipv6dhcpoption-group[option-group-number]显示DHCPv6地址池的信息displayipv6dhcppool[pool-name|vpn-instancevpn-instance-name]显示前缀池的信息displayipv6dhcpprefix-pool[prefix-pool-number][vpn-instancevpn-instance-name]2-13操作命令显示接口上的DHCPv6服务器信息displayipv6dhcpserver[interfaceinterface-typeinterface-number]显示DHCPv6地址冲突信息displayipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]显示DHCPv6服务器表项备份信息displayipv6dhcpserverdatabase显示租约过期的DHCPv6地址绑定信息displayipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6地址绑定信息displayipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6前缀绑定信息displayipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]显示DHCPv6服务器的报文统计信息displayipv6dhcpserverstatistics[poolpool-name|vpn-instancevpn-instance-name]清除DHCPv6地址冲突信息resetipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]清除租约过期的DHCPv6地址绑定信息resetipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6的正式地址绑定和临时地址绑定信息resetipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6正式前缀绑定和临时前缀绑定信息resetipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]清除DHCPv6服务器的报文统计信息resetipv6dhcpserverstatistics[vpn-instancevpn-instance-name]2.
4DHCPv6服务器典型配置举例2.
4.
1动态分配IPv6前缀典型配置举例1.
组网需求DHCPv6客户端从DHCPv6服务器获取IPv6地址前缀,以及网络配置参数:DNS服务器地址、域名、SIP服务器地址和SIP服务器域名.
其中:Router作为DHCPv6服务器,地址为1::1/64.
DHCPv6服务器为DUID为00030001CA0006A40000的客户端固定分配前缀2001:0410:0201::/48;为其他客户端分配2001:0410::/48~2001:0410:FFFF::/48之间除2001:0410:0201::/48外的前缀.
DNS服务器地址为2:2::3.
DHCPv6客户端所属域的域名为aaa.
com.
SIP服务器地址为2:2::4,域名为bbb.
com.
2-142.
组网图图2-5DHCPv6服务器配置组网图3.
配置步骤#配置接口GiagbitEthernet1/0/1的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
system-view[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6address1::1/64[Router-GigabitEthernet1/0/1]undoipv6ndrahalt[Router-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag[Router-GigabitEthernet1/0/1]quit#配置前缀池1,包含的前缀为2001:0410::/32,分配的前缀长度为48.
[Router]ipv6dhcpprefix-pool1prefix2001:0410::/32assign-len48#创建地址池1.
[Router]ipv6dhcppool1#配置地址池1网段为1::/64,与接口地址所属的网段相同.
[Router-dhcp6-pool-1]network1::/64#配置地址池1引用已存在的前缀池1,并设置动态分配前缀的首选生命期为1天,有效生命期为3天.
[Router-dhcp6-pool-1]prefix-pool1preferred-lifetime86400valid-lifetime259200#在地址池1中配置静态绑定前缀:绑定的前缀为2001:0410:0201::/48,绑定的客户端DUID为00030001CA0006A40000,并设置首选生命期为1天,有效生命期为3天.
[Router-dhcp6-pool-1]static-bindprefix2001:0410:0201::/48duid00030001CA0006A40000preferred-lifetime86400valid-lifetime259200#配置为客户端分配的DNS服务器地址为2:2::3.
[Router-dhcp6-pool-1]dns-server2:2::3#配置为客户端分配的域名为aaa.
com.
[Router-dhcp6-pool-1]domain-nameaaa.
com#配置为客户端分配的SIP服务器地址为2:2::4,域名为bbb.
com.
[Router-dhcp6-pool-1]sip-serveraddress2:2::4[Router-dhcp6-pool-1]sip-serverdomain-namebbb.
com[Router-dhcp6-pool-1]quit2-15#配置接口GigabitEthernet1/0/1工作在DHCPv6服务器模式,并在该接口使能期望前缀分配和前缀快速分配功能,并将优先级设置为最高.
[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6dhcpselectserver[Router-GigabitEthernet1/0/1]ipv6dhcpserverallow-hintpreference255rapid-commit4.
验证配置#完成上述配置后,查看接口GigabitEthernet1/0/1上的DHCPv6服务器配置信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpserverinterfacegigabitethernet1/0/1Usingpool:globalPreferencevalue:255Allow-hint:EnabledRapid-commit:Enabled#显示地址池1的信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcppool1DHCPv6pool:1Network:1::/64Preferredlifetime604800,validlifetime2592000Prefixpool:1Preferredlifetime86400,validlifetime259200Staticbindings:DUID:00030001ca0006a4IAID:NotconfiguredPrefix:2001:410:201::/48Preferredlifetime86400,validlifetime259200DNSserveraddresses:2:2::3Domainname:aaa.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示前缀池1的信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpprefix-pool1Prefix:2001:410::/32Assignedlength:48Totalprefixnumber:65536Available:65535In-use:0Static:1#DUID为00030001CA0006A40000的客户端获取IPv6前缀后,显示前缀绑定信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:012009#其他客户端获取IPv6前缀后,显示前缀绑定信息.
2-16[Router-GigabitEthernet1/0/1]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:0120092001:410::/48Auto(C)Jul1020:44:0520092.
4.
2动态分配IPv6地址典型配置举例1.
组网需求作为DHCPv6服务器的RouterA为网段1::1:0:0:0/96和1::2:0:0:0/96的客户端动态分配IPv6地址;RouterA的两个以太网接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的地址分别为1::1:0:0:1/96和1::2:0:0:1/96;1::1:0:0:0/96网段内的地址租约时长为172800秒(2天),有效时长为345600秒(4天),域名为aabbcc.
com,DNS服务器地址为1::1:0:0:2/96;1::2:0:0:0/96网段内的地址租约时长为432000秒(5天),有效时长为864000秒(10天),域名为aabbcc.
com,DNS服务器地址为1::2:0:0:2/96.
2.
组网图图2-6DHCPv6组网图3.
配置步骤(1)配置DHCPv6server各接口的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址system-view[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6address1::1:0:0:1/96[RouterA-GigabitEthernet1/0/1]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag[RouterA-GigabitEthernet1/0/1]quit[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipv6address1::2:0:0:1/96[RouterA-GigabitEthernet1/0/2]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/2]ipv6ndautoconfigmanaged-address-flag2-17[RouterA-GigabitEthernet1/0/2]quit(2)配置DHCPv6服务#配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在DHCPv6服务器模式.
[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6dhcpselectserver[RouterA-GigabitEthernet1/0/1]quit[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipv6dhcpselectserver[RouterA-GigabitEthernet1/0/2]quit#配置不参与自动分配的IPv6地址,以避免分配DNS服务器的地址.
[RouterA]ipv6dhcpserverforbidden-address1::1:0:0:2[RouterA]ipv6dhcpserverforbidden-address1::2:0:0:2#配置DHCPv6地址池1,为1::1:0:0:0/96网段的客户端分配IPv6地址等参数.
[RouterA]ipv6dhcppool1[RouterA-dhcp6-pool-1]network1::1:0:0:0/96preferred-lifetime172800valid-lifetime345600[RouterA-dhcp6-pool-1]domain-nameaabbcc.
com[RouterA-dhcp6-pool-1]dns-server1::1:0:0:2[RouterA-dhcp6-pool-1]quit#配置DHCPv6地址池2,为1::2:0:0:0/96网段的客户端分配IPv6地址等参数.
[RouterA]ipv6dhcppool2[RouterA-dhcp6-pool-2]network1::2:0:0:0/96preferred-lifetime432000valid-lifetime864000[RouterA-dhcp6-pool-2]domain-nameaabbcc.
com[RouterA-dhcp6-pool-2]dns-server1::2:0:0:2[RouterA-dhcp6-pool-2]quit4.
验证配置配置完成后,1::1:0:0:0/96和1::2:0:0:0/96网段的客户端可以从DHCPv6服务器RouterA申请到相应网段的IPv6地址和网络配置参数.
通过displayipv6dhcpserverip-in-use命令可以查看DHCPv6服务器为客户端分配的IPv6地址.
3-13DHCPv6中继3.
1DHCPv6中继简介3.
1.
1应用环境图3-1DHCPv6中继应用组网图DHCPv6客户端通常通过链路本地范围的组播地址与DHCPv6服务器通信,以获取IPv6地址和其他网络配置参数.
如图3-1所示,服务器和客户端不在同一个链路范围内时,服务器和客户端无法直接通信,需要通过DHCPv6中继来转发报文.
部署DHCPv6中继可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理.
3.
1.
2DHCPv6中继的工作过程图3-2DHCPv6中继的工作过程如图3-2所示,以交互两个消息的快速分配过程为例,DHCPv6客户端通过DHCPv6中继,从DHCPv6服务器获取IPv6地址和其他网络配置参数的过程为:(1)DHCPv6客户端向所有DHCPv6服务器和中继的组播地址FF02::1:2发送携带RapidCommit选项的Solicit消息;IPv6networkDHCPv6serverDHCPv6relayagentDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6client(1)Solicit(containsaRapidCommitoption)(4)ReplyDHCPv6clientDHCPv6relayagentDHCPv6server(2)Relay-forward(3)Relay-reply3-2(2)DHCPv6中继接收到Solicit消息后,将其封装在Relay-forward报文的中继消息选项(RelayMessageOption)中,并将Relay-forward报文发送给DHCPv6服务器;(3)DHCPv6服务器从Relay-forward报文中解析出客户端的Solicit消息,为客户端选取IPv6地址和其他参数,构造Reply消息,将Reply消息封装在Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6中继;(4)DHCPv6中继从Relay-reply报文中解析出服务器的Reply消息,转发给DHCPv6客户端,以便DHCPv6客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置.
3.
2DHCPv6中继配置任务简介表3-1DHCPv6中继配置任务简介配置任务说明详细配置配置接口工作在DHCPv6中继模式必选3.
3.
1指定DHCPv6服务器的地址必选3.
3.
2配置DHCPv6中继发送DHCPv6报文的DSCP优先级可选3.
3.
3配置DHCPv6中继支持BAS模式的Option18功能可选3.
3.
4指定不同类型用户对应的DHCPv6服务器地址可选3.
3.
53.
3配置DHCPv6中继3.
3.
1配置接口工作在DHCPv6中继模式DHCPv6服务器和DHCPv6客户端位于不同网段时,需要配置DHCPv6中继在DHCPv6客户端和DHCPv6服务器之间转发报文.
建议不要在一个接口上同时配置DHCPv6中继和DHCPv6客户端功能.
表3-2配置接口工作在DHCPv6中继模式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6中继模式ipv6dhcpselectrelay缺省情况下,接口未工作在DHCPv6中继模式3.
3.
2指定DHCPv6服务器的地址工作在DHCPv6中继模式的接口接收到DHCPv6客户端发来的报文后,将其封装在Relay-forward报文中,并发送给指定的DHCPv6服务器,由DHCPv6服务器为客户端分配IPv6地址、IPv6前缀和其他网络配置参数.
3-3表3-3指定DHCPv6服务器的地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-指定DHCPv6服务器的地址ipv6dhcprelayserver-addressipv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定任何DHCPv6服务器通过多次执行ipv6dhcprelayserver-address命令可以指定多个DHCPv6服务器,一个接口下最多可以指定8个DHCPv6服务器.
DHCPv6中继接收到DHCPv6客户端报文后,将其转发给所有的DHCPv6服务器如果指定的DHCPv6服务器地址为链路本地地址或组播地址,则必须通过ipv6dhcprelayserver-address命令的interface参数指定出接口,否则报文可能会无法到达服务器3.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6中继发送的DHCPv6报文的DSCP优先级.
表3-4配置DHCPv6中继发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6中继发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6中继发送的DHCPv6报文的DSCP优先级为563.
3.
4配置DHCPv6中继支持的interface-id选项填充模式如果配置了DHCPv6中继支持的interface-id选项填充模式,当DHCPv6中继接收到客户端发送的DHCPv6报文后,会以配置的填充方式将DHCPv6客户端的位置信息填充Option18选项,并把填充好的报文转发给DHCPv6服务器.
表3-5配置DHCPv6中继支持BAS模式的Option18功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-3-4操作命令说明配置DHCPv6中继支持BAS模式的Option18功能ipv6dhcprelayinterface-idbas缺省情况下,设备使用接口索引值填充Option18选项3.
3.
5指定中继地址池上对应的DHCPv6服务器地址对于某些特定的用户接入方式(如IPoE接入方式),基于用户接入位置信息的不同,网络中存在大量不同类型的用户.
为了使相同类型的用户可以从指定的DHCPv6服务器申请IPv6地址等网络参数,IPoE模块根据用户注册信息,使不同的用户选择不同的DHCPv6中继地址池,并从中继地址池下配置的DHCPv6服务器获取IPv6地址等网络参数.
为了提高可靠性,一个DHCPv6中继地址池下最多可以配置8个DHCPv6服务器地址,当DHCPv6客户端匹配该中继地址池后,DHCPv6中继会将DHCPv6客户端发来的DHCPv6报文转发给该地址池对应所有的DHCPv6服务器.
一台DHCPv6中继的一个接口下可能连接不同类型的用户,当DHCPv6中继转发DHCPv6客户端请求报文给DHCPv6服务器时,不能再以中继接口的IPv6地址作为选择地址池的依据.
为了解决这个问题,需要使用gateway-list命令指定某个类型用户所在的网段,并将该地址添加到转发给DHCPv6服务器的报文字段中,为DHCPv6服务器选择地址池提供依据.
表3-6指定不同类型用户对应的DHCPv6服务器地址操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name-指定匹配该地址池的DHCPv6客户端所在的网段地址gateway-listipv6-address&缺省情况下,未指定匹配该地址池的DHCPv6客户端所在的网段地址指定中继地址池对应的DHCPv6服务器地址remote-serveripv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定中继地址池对应的DHCPv6服务器的地址3.
4DHCPv6中继显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6中继的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6中继的统计信息.
表3-7DHCPv6中继显示和维护操作命令显示本设备DUIDdisplayipv6dhcpduid显示DHCPv6中继上指定的DHCPv6服务器地址信息displayipv6dhcprelayserver-address[interfaceinterface-typeinterface-number]3-5操作命令显示DHCPv6中继的相关报文统计信息displayipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]清除DHCPv6中继的相关报文统计信息resetipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]3.
5DHCPv6中继典型配置举例1.
组网需求DHCPv6客户端所在网络地址为1::/64,DHCPv6服务器的地址为2::2/64.
客户端和服务器不在同一个链路范围,需要通过DHCPv6中继转发报文.
RouterA作为DHCPv6中继,为客户端和服务器转发报文.
RouterA同时作为1::/64网络的网关设备,通过RA消息中的M标志位和O标志位指定该网络中的主机通过DHCPv6获取IPv6地址和其他网络配置参数.
RA消息的详细介绍,请参见"三层技术-IP业务配置指导"中的"IPv6基础".
2.
组网图图3-3DHCPv6中继组网图3.
配置步骤(1)配置RouterA作为DHCPv6中继#配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
system-view[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipv6address2::164[RouterA-GigabitEthernet1/0/2]quit[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6address1::164[RouterA-GigabitEthernet1/0/1]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag#配置接口GigabitEthernet1/0/1工作在DHCPv6中继模式,并指定DHCPv6服务器地址.
3-6[RouterA-GigabitEthernet1/0/1]ipv6dhcpselectrelay[RouterA-GigabitEthernet1/0/1]ipv6dhcprelayserver-address2::2(2)配置RouterA作为网关#配置发布RA消息,并配置M和O标志位.
[RouterA-GigabitEthernet1/0/1]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigother-flag4.
验证配置#完成上述配置后,查看DHCPv6中继上指定的DHCPv6服务器地址信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcprelayserver-addressInterface:GigabitEthernet1/0/1ServeraddressOutgoingInterface2::2#查看DHCPv6中继相关报文的统计信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcprelaystatisticsPacketsdropped:0Packetsreceived:14Solicit:0Request:0Confirm:0Renew:0Rebind:0Release:0Decline:0Information-request:7Relay-forward:0Relay-reply:7Packetssent:14Advertise:0Reconfigure:0Reply:7Relay-forward:7Relay-reply:04-74DHCPv6客户端4.
1DHCPv6客户端简介设备作为DHCPv6客户端时,可以具有如下功能:通过DHCPv6获取IPv6地址和网络配置参数,并根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6获取IPv6前缀和网络配置参数,并根据获取的前缀自动创建IPv6前缀、根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数.
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
否则DHCPv6客户端不会开启无状态配置过程.
4.
2配置DHCPv6客户端建议不要在一个接口上同时配置DHCPv6客户端和DHCPv6服务器功能,也不要在一个接口上同时配置DHCPv6客户端和DHCPv6中继功能,否则会影响功能正常使用.
4.
2.
1DHCPv6客户端配置任务简介表4-1DHCPv6客户端配置任务简介配置任务说明详细配置配置DHCPv6客户端获取IPv6地址和网络配置参数根据实际情况选择其一4.
2.
2配置DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
3配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4.
2.
4配置DHCPv6客户端发送DHCPv6报文的DSCP优先级可选4.
2.
54.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数表4-2配置DHCPv6客户端获取IPv6地址和网络配置参数操作命令说明进入系统视图system-view-进入接口三层以太网接口视图interfaceinterface-typeinterface-number-4-8操作命令说明视图三层聚合接口视图interfaceroute-aggregationinterface-numberVLAN接口视图interfacevlan-interfaceinterface-number配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数ipv6addressdhcp-alloc[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数4.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数表4-3配置DHCPv6客户端获取IPv6前缀和网络配置参数操作命令说明进入系统视图system-view-进入接口视图三层以太网接口视图interfaceinterface-typeinterface-number-三层聚合接口视图interfaceroute-aggregationinterface-numberVLAN接口视图interfacevlan-interfaceinterface-number配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数ipv6dhcpclientpdprefix-number[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数表4-4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数操作命令说明进入系统视图system-view-进入接口视图三层以太网接口视图interfaceinterface-typeinterface-number-三层聚合接口视图interfaceroute-aggregationinterface-numberVLAN接口视图interfacevlan-interfaceinterface-number使能IPv6地址无状态自动配置功能ipv6addressauto二者至少选其一如果只配置了ipv6addressauto命令,只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能缺省情况下,接口不会作使能DHCPv6无状态配置功能ipv6dhcpclientstatelessenable4-9操作命令说明为DHCPv6客户端获取除地址/前缀外的其他网络配置参数ipv6addressauto命令的详细介绍请参见"三层技术-IP业务命令参考"中的"IPv6基础".
4.
2.
5配置DHCPv6客户端发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6客户端发送的DHCPv6报文的DSCP优先级.
表4-5配置DHCPv6客户端发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级ipv6dhcpclientdscpdscp-value缺省情况下,DHCPv6客户端发送的DHCPv6报文的DSCP优先级为564.
3DHCPv6客户端显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6客户端的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6客户端的统计信息.
表4-6DHCPv6客户端显示和维护操作命令显示DHCPv6客户端的信息displayipv6dhcpclient[interfaceinterface-typeinterface-number]显示DHCPv6客户端的统计信息displayipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]清除DHCPv6客户端的统计信息resetipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]4-104.
4DHCPv6客户端典型配置举例4.
4.
1DHCPv6客户端申请地址及网络参数配置举例1.
组网需求DHCPv6客户端Router从DHCPv6服务器获取IPv6地址,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名.
DHCPv6客户端根据获取到的网络配置参数自动创建DHCPv6选项组1.
2.
组网图图4-1DHCPv6客户端申请地址及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
DHCPv6服务器的配置方法,请参见"三层技术-IP业务配置指导"中的"DHCPv6服务器".
#配置接口GigabitEthernet1/0/1作为DHCPv6客户端获取IPv6地址及网络参数,配置DHCPv6客户端支持地址快速分配功能,并配置根据获取到的网络配置参数自动创建DHCPv6选项组1.
system-view[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6addressdhcp-allocrapid-commitoption-group1[Router-GigabitEthernet1/0/1]quit4.
验证配置#显示DHCPv6客户端的信息.
[Router]displayipv6dhcpclientGigabitEthernet1/0/1:Type:StatefulclientrequestingaddressState:OPENIAID:0xf0019ClientDUID:00030001000fe2ff00004-11Preferredserver:Reachableviaaddress:FE80::200:5EFF:FE0A:2303ServerDUID:00030001000fe20a0a00Address:1:2::2Preferredlifetime60sec,validlifetime60secT130sec,T248secWillexpireonFeb42014at15:37:20(50secondsleft)DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的DHCPv6选项组1的信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/12000::FFDomainname:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/1example.
comSIPserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/12:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/1bbb.
com#查看获取到的IPv6地址.
[Router]displayipv6interfacebrief*down:administrativelydown(s):spoofingInterfacePhysicalProtocolIPv6AddressGigabitEthernet1/0/1upup1:2::2可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6地址及网络参数.
4.
4.
2DHCPv6客户端申请前缀及网络参数配置举例1.
组网需求DHCPv6客户端Router从DHCPv6服务器获取IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等.
4-12DHCPv6客户端Router根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1.
2.
组网图图4-2DHCPv6客户端申请前缀及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#在DHCPv6客户端连接到DHCPv6服务器的接口GigabitEthernet1/0/1上配置IPv6地址.
system-view[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6address1::2/48#配置接口GigabitEthernet1/0/1作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能.
[Router-GigabitEthernet1/0/1]ipv6dhcpclientpd1rapid-commitoption-group1[Router-GigabitEthernet1/0/1]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数.
[Router]displayipv6dhcpclientGigabitEthernet1/0/1:Type:StatefulclientrequestingprefixState:OPENIAID:0xf0019ClientDUID:00030001000fe2ff0000Preferredserver:Reachableviaaddress:FE80::200:5EFF:FE0A:2303ServerDUID:00030001000fe20a0a00Prefix:12:34::/324-13Preferredlifetime90sec,validlifetime90secT145sec,T272secWillexpireonFeb42014at15:37:20(80secondsleft)DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的IPv6前缀1的信息.
[Router]displayipv6prefix1Number:1Type:DynamicPrefix:12:34::/32Preferredlifetime90sec,validlifetime90sec#显示动态创建的DHCPv6选项组1的信息.
[Router]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/12000::FFDomainname:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/1example.
comSIPserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/12:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/1bbb.
com以上两条display命令可以看到客户端获取到的前缀信息和网络参数.
4.
4.
3DHCPv6无状态配置典型配置举例1.
组网需求DHCPv6客户端RouterA通过DHCPv6无状态配置获取域名服务器、域名等信息;RouterB作为网关,周期性发布RA消息.
4-142.
组网图图4-3DHCPv6无状态配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
(1)配置网关RouterB#配置接口GigabitEthernet1/0/1的IPv6地址.
system-view[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]ipv6address1::164#配置RA消息中O标志位为1.
[RouterB-GigabitEthernet1/0/1]ipv6ndautoconfigother-flag#配置允许发送RA消息.
[RouterB-GigabitEthernet1/0/1]undoipv6ndrahalt(2)配置DHCPv6客户端RouterA#在接口GigabitEthernet1/0/1上使能IPv6地址无状态自动配置功能.
system-view[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6addressauto执行此命令后,如果GigabitEthernet1/0/1下没有配置地址,RouterA会自动生成本地链路地址,并主动发送RS(RouterSolicitation,路由器请求)报文,请求网关RouterB立即回应RA报文.
4.
验证配置如果收到的RA报文中M标志位为0、O标志位为1,RouterA就会启动DHCPv6客户端无状态配置.
#可以通过displayipv6dhcpclient命令查看当前客户端的配置信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcpclientinterfacegigabitethernet1/0/1GigabitEthernet1/0/1:Type:StatelessclientState:OPENIAID:0xf0019ClientDUID:00030001000fe2ff00004-15Preferredserver:Reachableviaaddress:FE80::213:7FFF:FEF6:C818ServerDUID:0003000100137ff6c818DNSserveraddresses:1:2:4::51:2:4::7Domainname:abc.
com如果从服务器成功获取了配置,将会有以上的显示信息.
#可以通过displayipv6dhcpclientstatistics命令查看当前客户端的统计信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcpclientstatisticsInterface:GigabitEthernet1/0/1Packetsreceived:1Reply:1Advertise:0Reconfigure:0Invalid:0Packetssent:5Solicit:0Request:0Renew:0Rebind:0Information-request:5Release:0Decline:05-15DHCPv6Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6Snooping功能配置后不能正常工作.
5.
1DHCPv6Snooping简介DHCPv6Snooping是DHCPv6的一种安全特性,具有如下功能:1.
保证客户端从合法的服务器获取IPv6地址网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信.
为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6Snooping安全机制允许将端口设置为信任端口和不信任端口:信任端口正常转发接收到的DHCPv6报文.
不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文.
图5-1信任端口和非信任端口如图5-1所示,在DHCPv6Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址.
2.
记录DHCPv6客户端IPv6地址与MAC地址的对应关系DHCPv6Snooping通过监听DHCPv6报文,记录DHCPv6Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息.
网5-2络管理员可以通过displayipv6dhcpsnoopingbinding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控.
5.
2DHCPv6Snooping配置任务简介表5-1DHCPv6Snooping配置任务简介配置任务说明详细配置配置DHCPv6Snooping基本功能必选5.
3配置DHCPv6Snooping支持Option18与Option37功能可选5.
4配置DHCPv6Snooping表项备份功能可选5.
5配置接口动态学习DHCPv6Snooping表项的最大数目可选5.
6配置DHCPv6Snooping报文限速功能可选5.
7启用DHCPv6Snooping的DHCPv6请求方向报文检查功能可选5.
85.
3配置DHCPv6Snooping基本功能启用DHCPv6Snooping功能,并正确地配置信任端口和非信任端口后,可以保证客户端从合法的服务器获取IPv6地址,配置DHCPv6Snooping基本功能时,需要注意:为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内.
如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6Snooping的配置才会生效.
表5-2配置DHCPv6Snooping基本功能操作命令说明进入系统视图system-view-启用DHCPv6Snooping功能ipv6dhcpsnoopingenable缺省情况下,DHCPv6Snooping功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6服务器的接口配置DHCPv6Snooping信任端口ipv6dhcpsnoopingtrust缺省情况下,启用DHCPv6Snooping功能后,设备的所有端口均为不信任端口退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6客户端的接口5-3操作命令说明(可选)启用端口的DHCPv6Snooping表项记录功能ipv6dhcpsnoopingbindingrecord缺省情况下,在启用DHCPv6Snooping功能后,端口的DHCPv6Snooping表项记录功能处于关闭状态5.
4配置DHCPv6Snooping支持Option18和Option37功能Option18称为接口ID选项(InterfaceID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option18选项,并转发给DHCPv6服务器.
服务器可根据Option18选项中的客户端信息选择合适的地址池为DHCPv6客户端分配IPv6地址.
图5-2为Option18选项格式.
图5-2Option18选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
Option37称为远程ID选项(RemoteID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option37选项,并转发给DHCPv6服务器.
服务器可根据Option37选项中的信息对DHCPv6客户端定位,对分配IPv6地址提供帮助.
图5-3为Option37选项格式.
5-4图5-3Option37选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Enterprisenumber:企业编号.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
选项格式中的SecondVLANID字段为可选,如果DHCPv6报文中不含有SecondVlan,则Option18或Option37中也不包含SecondVLANID内容.
表5-3配置DHCPv6Snooping支持Option18和Option37功能操作命令说明进入系统视图system-view-进入接口视图进入二层以太网端口视图interfaceinterface-typeinterface-number-进入二层聚合接口视图interfacebridge-aggregationinterface-number启用DHCPv6Snooping支持Option18功能ipv6dhcpsnoopingoptioninterface-idenable缺省情况下,DHCPv6Snooping支持Option18功能处于关闭状态(可选)配置Option18选项中的DUIDipv6dhcpsnoopingoptioninterface-id[vlanvlan-id]stringinterface-id缺省情况下,Option18选项中的DUID为本设备的DUID启用DHCPv6Snooping支持Option37功能ipv6dhcpsnoopingoptionremote-idenable缺省情况下,DHCPv6Snooping支持Option37功能处于关闭状态5-5操作命令说明(可选)配置Option37选项中的DUIDipv6dhcpsnoopingoptionremote-id[vlanvlan-id]stringremote-id缺省情况下,Option37选项中的DUID为本设备的DUID5.
5配置DHCPv6Snooping表项固化功能DHCPv6Snooping设备重启后,设备上记录的DHCPv6Snooping表项将丢失.
如果DHCPv6Snooping与其他特性(如IPSourceGuard)配合使用,表项丢失会导致安全特性无法通过DHCPv6Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络.
DHCPv6Snooping表项备份功能将DHCPv6Snooping表项保存到指定的文件中,DHCPv6Snooping设备重启后,自动根据该文件恢复DHCPv6Snooping表项,从而保证DHCPv6Snooping表项不会丢失.
表5-4配置DHCPv6Snooping表项固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6Snooping表项的文件名称ipv6dhcpsnoopingbindingdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}key]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件.
如果配置了ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件(可选)将当前的DHCPv6Snooping表项保存到用户指定的文件中ipv6dhcpsnoopingbindingdatabaseupdatenow本命令只用来触发一次DHCPv6Snooping表项的备份(可选)启用刷新DHCPv6Snooping表项存储文件的延迟时间ipv6dhcpsnoopingbindingdatabaseupdateintervalseconds缺省情况下,若DHCPv6Snooping表项不变化,则不刷新存储文件;若DHCPv6Snooping表项发生变化,默认在300秒之后刷新存储文件执行undoipv6dhcpsnoopingenable命令关闭DHCPv6Snooping功能后,设备会删除所有DHCPv6Snooping表项,文件中存储的DHCPv6Snooping表项也将被删除.
5-65.
6配置接口动态学习DHCPv6Snooping表项的最大数目通过本配置可以限制接口动态学习DHCPv6Snooping表项的最大数目,以防止接口学习到大量DHCPv6Snooping表项,占用过多的系统资源.
表5-5配置接口动态学习DHCPv6Snooping表项的最大数目操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口动态学习DHCPv6Snooping表项的最大数目ipv6dhcpsnoopingmax-learning-numnumber缺省情况下,不限制接口动态学习DHCPv6Snooping表项的最大数目5.
7配置DHCPv6Snooping报文限速功能为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率.
当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6Snooping设备将丢弃超过速率限制的报文.
表5-6配置DHCPv6Snooping报文限速功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置DHCPv6Snooping的报文限速功能ipv6dhcpsnoopingrate-limitrate缺省情况下,DHCPv6Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率只能在二层以太网接口和二层聚合接口上启用DHCPv6Snooping的报文限速功能如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6Snooping的报文限速配置.
如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6Snooping的报文限速配置5.
8启用DHCPv6Snooping的DHCPv6请求方向报文检查功能本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击.
伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约.
如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报5-7文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端.
伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约.
在DHCPv6Snooping设备上启用DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击.
如果启用了该功能,则DHCPv6Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6Snooping表项.
若存在,则接收报文信息与DHCPv6Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃.
若不存在,则认为该报文合法,将其转发给DHCPv6服务器.
表5-7启用DHCPv6Snooping的DHCPv6请求方向报文检查功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-启用DHCPv6Snooping的DHCPv6请求方向报文检查功能ipv6dhcpsnoopingcheckrequest-message缺省情况下,DHCPv6Snooping的DHCPv6请求方向报文检查功能处于关闭状态只能在二层以太网接口和二层聚合接口上启用DHCPv6Snooping的DHCPv6请求方向报文检查功能5.
9DHCPv6Snooping显示和维护在完成上述配置后,在任意视图下执行display命令可以显示DHCPv6Snooping的配置情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6Snooping表项信息.
表5-8DHCPv6Snooping显示和维护操作命令显示DHCPv6Snooping信任端口信息displayipv6dhcpsnoopingtrust显示DHCPv6Snooping表项信息displayipv6dhcpsnoopingbinding[addressipv6-address[vlanvlan-id]]显示DHCPv6Snooping表项备份信息displayipv6dhcpsnoopingbindingdatabase显示DHCPv6Snooping设备上的DHCPv6报文统计信息displayipv6dhcpsnoopingpacketstatistics[slotslot-number]清除DHCPv6Snooping表项resetipv6dhcpsnoopingbinding{all|addressipv6-address[vlanvlan-id]}清除DHCPv6Snooping设备上的DHCPv6报文统计信息resetipv6dhcpsnoopingpacketstatistics[slotslot-number]5-85.
10DHCPv6Snooping典型配置举例1.
组网需求RouterB通过以太网端口GigabitEthernet1/0/1连接到合法DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到非法服务器,通过GigabitEthernet1/0/2连接到DHCPv6客户端.
要求:与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文.
记录DHCPv6客户端IPv6地址及MAC地址的绑定关系.
2.
组网图图5-4DHCPv6Snooping组网示意图3.
配置步骤#启用DHCPv6Snooping功能.
system-view[RouterB]ipv6dhcpsnoopingenable#配置GigabitEthernet1/0/1端口工作在二层模式,并配置为信任端口.
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/1]ipv6dhcpsnoopingtrust[RouterB-GigabitEthernet1/0/1]quit#配置GigabitEthernet1/0/2端口工作在二层模式,并在端口上启用安全表项功能.
[RouterB]interfacegigabitethernet1/0/2[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/2]ipv6dhcpsnoopingbindingrecord[RouterB-GigabitEthernet1/0/2]quit4.
验证配置配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息.
且使用displayipv6dhcpsnoopingbinding命令可以查看生成的DHCPv6Snooping表项.
1DHCPv6概述1-11.
2DHCPv6地址/前缀分配过程1-11.
2.
1交互两个消息的快速分配过程·1-11.
2.
2交互四个消息的分配过程·1-11.
3地址/前缀租约更新过程·1-21.
4DHCPv6无状态配置1-31.
4.
1DHCPv6无状态配置简介1-31.
4.
2DHCPv6无状态配置过程1-41.
5协议规范·1-42DHCPv6服务器2-12.
1DHCPv6服务器简介2-12.
1.
1DHCPv6服务器应用环境2-12.
1.
2基本概念2-22.
1.
3DHCPv6地址池·2-32.
1.
4地址/前缀的选择优先次序·2-42.
2配置DHCPv6服务器2-42.
2.
1DHCPv6服务器配置任务简介2-42.
2.
2配置为DHCPv6客户端分配IPv6前缀·2-52.
2.
3配置为DHCPv6客户端分配IPv6地址·2-62.
2.
4配置为DHCPv6客户端分配网络参数2-82.
2.
5配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略·2-92.
2.
6配置DHCPv6服务器发送DHCPv6报文的DSCP优先级·2-102.
2.
7配置DHCPv6服务器租约固化功能·2-102.
2.
8配置DHCPv6服务器辅助路由信息·2-112.
2.
9指定DHCPv6服务器上的地址池所在的VPN信息·2-112.
2.
10配置DHCPv6服务器的日志信息功能2-122.
3DHCPv6服务器显示和维护2-122.
4DHCPv6服务器典型配置举例·2-132.
4.
1动态分配IPv6前缀典型配置举例2-132.
4.
2动态分配IPv6地址典型配置举例2-16ii3DHCPv6中继·3-13.
1DHCPv6中继简介·3-13.
1.
1应用环境3-13.
1.
2DHCPv6中继的工作过程3-13.
2DHCPv6中继配置任务简介3-23.
3配置DHCPv6中继·3-23.
3.
1配置接口工作在DHCPv6中继模式·3-23.
3.
2指定DHCPv6服务器的地址·3-23.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级3-33.
3.
4配置DHCPv6中继支持的interface-id选项填充模式·3-33.
3.
5指定中继地址池上对应的DHCPv6服务器地址·3-43.
4DHCPv6中继显示和维护·3-43.
5DHCPv6中继典型配置举例3-54DHCPv6客户端4-74.
1DHCPv6客户端简介4-74.
2配置DHCPv6客户端4-74.
2.
1DHCPv6客户端配置任务简介4-74.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数·4-74.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数·4-84.
2.
4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4-84.
2.
5配置DHCPv6客户端发送DHCPv6报文的DSCP优先级·4-94.
3DHCPv6客户端显示和维护4-94.
4DHCPv6客户端典型配置举例·4-104.
4.
1DHCPv6客户端申请地址及网络参数配置举例·4-104.
4.
2DHCPv6客户端申请前缀及网络参数配置举例·4-114.
4.
3DHCPv6无状态配置典型配置举例·4-135DHCPv6Snooping5-15.
1DHCPv6Snooping简介·5-15.
2DHCPv6Snooping配置任务简介5-25.
3配置DHCPv6Snooping基本功能5-25.
4配置DHCPv6Snooping支持Option18和Option37功能·5-35.
5配置DHCPv6Snooping表项固化功能·5-55.
6配置接口动态学习DHCPv6Snooping表项的最大数目·5-65.
7配置DHCPv6Snooping报文限速功能·5-65.
8启用DHCPv6Snooping的DHCPv6请求方向报文检查功能·5-65.
9DHCPv6Snooping显示和维护·5-7iii5.
10DHCPv6Snooping典型配置举例5-81-11DHCPv6简介1.
1DHCPv6概述DHCPv6(DynamicHostConfigurationProtocolforIPv6,支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议.
与其他IPv6地址分配方式(包括手工配置、通过路由器公告消息中的网络前缀无状态自动配置等,关于这两种形式的配置,请参见"三层技术-IP业务配置指导"中的"IPv6基础")相比,DHCPv6具有以下优点:更好地控制地址的分配.
通过DHCPv6不仅可以记录为主机分配的地址,还可以为特定主机分配特定的地址,以便于网络管理.
为客户端分配前缀,以便于全网络的自动配置和管理.
除了IPv6前缀、IPv6地址外,还可以为主机分配DNS服务器、域名后缀等网络配置参数.
1.
2DHCPv6地址/前缀分配过程DHCPv6服务器为客户端分配地址/前缀的过程分为两类:交互两个消息的快速分配过程交互四个消息的分配过程1.
2.
1交互两个消息的快速分配过程图1-1地址/前缀快速分配过程如图1-1所示,地址/前缀快速分配过程为:(1)DHCPv6客户端在向DHCPv6服务器发送的Solicit消息中携带RapidCommit选项,标识客户端希望服务器能够快速为其分配地址/前缀和其他网络配置参数.
(2)如果DHCPv6服务器支持快速分配过程,则直接返回Reply消息,为客户端分配IPv6地址/前缀和其他网络配置参数.
如果DHCPv6服务器不支持快速分配过程,则采用"1.
2.
2交互四个消息的分配过程"为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
2.
2交互四个消息的分配过程交互四个消息的分配过程如图1-2所示.
1-2图1-2交互四个消息的分配过程交互四个消息分配过程的简述如表1-1.
表1-1交互四个消息的分配过程步骤发送的消息说明(1)SolicitDHCPv6客户端发送该消息,请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数(2)Advertise如果Solicit消息中没有携带RapidCommit选项,或Solicit消息中携带RapidCommit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复该消息,通知客户端可以为其分配的地址/前缀和网络配置参数(3)Request如果DHCPv6客户端接收到多个服务器回复的Advertise消息,则根据消息接收的先后顺序、服务器优先级等,选择其中一台服务器,并向该服务器发送Request消息,请求服务器确认为其分配地址/前缀和网络配置参数(4)ReplyDHCPv6服务器回复该消息,确认将地址/前缀和网络配置参数分配给客户端使用1.
3地址/前缀租约更新过程DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限,该租借期限称为租约.
租借期限由有效生命期决定.
地址/前缀的租借时间到达有效生命期后,DHCPv6客户端不能再使用该地址/前缀.
在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址/前缀,则需要申请延长地址/前缀租约.
图1-3通过Renew更新地址/前缀租约如图1-3所示,地址/前缀租借时间到达时间T1(推荐值为首选生命期的一半)时,DHCPv6客户端会向为它分配地址/前缀的DHCPv6服务器发送Renew报文,以进行地址/前缀租约的更新.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客1-3户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约.
图1-4通过Rebind更新地址/前缀租约如图1-4所示,如果在T1时发送Renew请求更新租约,但是没有收到DHCPv6服务器的回应报文,则DHCPv6客户端会在T2(推荐值为首选生命期的0.
8倍)时,向所有DHCPv6服务器组播发送Rebind报文请求更新租约.
如果客户端可以继续使用该地址/前缀,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约;如果该地址/前缀不可以再分配给该客户端,则DHCPv6服务器回应续约失败的Reply报文,通知客户端不能获得新的租约;如果DHCPv6客户端没有收到服务器的应答报文,则到达有效生命期后,客户端停止使用该地址/前缀.
有效生命期和首选生命期的详细介绍请参见"三层技术-IP业务配置指导"中的"IPv6基础".
1.
4DHCPv6无状态配置1.
4.
1DHCPv6无状态配置简介DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置.
地址无状态自动配置是指节点根据路由器发现/前缀发现所获取的信息,自动配置IPv6地址.
详细介绍请参见"三层技术-IP业务配置指导"的"IPv6基础".
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA(RouterAdvertisement,路由器通告)报文中M标志位(Managedaddressconfigurationflag,被管理地址配置标志位)取值为0、O标志位(Otherstatefulconfigurationflag,其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
1-41.
4.
2DHCPv6无状态配置过程图1-5DHCPv6无状态配置工作过程如图1-5所示,DHCPv6无状态配置的具体过程为:(1)客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带OptionRequest选项,指定客户端需要从服务器获取的配置参数.
(2)服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端.
(3)客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数.
如果接收到多个与请求相符的Reply报文,客户端将选择最先收到的Reply报文,并根据该报文中提供的参数完成客户端无状态配置.
1.
5协议规范与DHCPv6相关的协议规范有:RFC3736:StatelessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6RFC3315:DynamicHostConfigurationProtocolforIPv6(DHCPv6)RFC2462:IPv6StatelessAddressAutoconfigurationRFC3633:IPv6PrefixOptionsforDynamicHostConfigurationProtocol(DHCP)version62-12DHCPv6服务器2.
1DHCPv6服务器简介2.
1.
1DHCPv6服务器应用环境DHCPv6服务器可以为客户端分配IPv6地址/前缀和其他网络配置参数.
1.
DHCPv6服务器为客户端分配IPv6地址和其他网络配置参数图2-1DHCPv6服务器地址和其他网络配置参数分配应用环境如图2-1所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端提供诸如IPv6地址、域名后缀、DNS服务器地址等网络配置参数.
DHCPv6客户端根据服务器分配的参数来实现主机的配置.
DHCPv6服务器为客户端分配的IPv6地址分为以下两类:临时IPv6地址:在短期内经常变化且不用续约的地址;非临时IPv6地址:正常使用,可以进行续约的地址.
2.
DHCPv6服务器为客户端分配IPv6前缀图2-2DHCPv6服务器前缀分配应用组网图DHCPv6clientDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6server2-2如图2-2所示,为了便于集中管理IPv6地址,简化网络配置,DHCPv6服务器可以用来为DHCPv6客户端分配IPv6前缀.
DHCPv6客户端获取到IPv6前缀后,向所在网络组播发送包含该前缀信息的RA消息,以便网络内的主机根据该前缀自动配置IPv6地址.
2.
1.
2基本概念1.
DHCPv6采用的组播地址DHCPv6采用组播地址FF05::1:3来表示站点本地范围内所有的DHCPv6服务器;采用组播地址FF02::1:2来表示链路本地范围内所有的DHCPv6服务器和中继.
2.
DUIDDUID(DHCPUniqueIdentifier,DHCP唯一标识符)是一台DHCPv6设备(包括客户端、服务器和中继)的唯一标识.
在DHCPv6报文交互过程中,DHCPv6客户端、服务器和中继通过在报文中添加DUID来标识自己.
图2-3DUID-LL结构目前,设备采用RFC3315规定的DUID-LL(DUIDBasedonLink-layerAddress,基于链路层地址的DUID)作为DHCPv6设备的标识.
DUID-LL的结构如图2-3所示:DUIDtype:DUID类型.
设备支持的DUID类型为DUID-LL,取值为0x0003.
Hardwaretype:硬件类型.
设备支持的硬件类型为以太网,取值为0x0001.
Linklayeraddress:链路层地址.
取值为设备的桥MAC地址.
3.
IAIA(IdentityAssociation,标识联盟)用于管理分配给客户端的一组地址和前缀等信息,通过IAID标识.
一个客户端可以有多个IA,如客户端的每个接口拥有一个IA,IA用来管理该接口获取的地址和前缀等信息.
4.
IAIDIAID是IA的标识符,由客户端选择.
在一个客户端上不同IA的IAID不能相同.
5.
PDPD(PrefixDelegation,前缀授权)是DHCPv6服务器为分配的前缀创建的前缀绑定信息,前缀绑定信息中记录了IPv6前缀、客户端DUID、IAID、有效时间、首选时间、租约过期时间、申请前缀的客户端的IPv6地址等信息.
2-32.
1.
3DHCPv6地址池每个DHCPv6地址池都拥有一组可供分配的IPv6地址、IPv6前缀和网络配置参数.
DHCPv6服务器从地址池中为客户端选择并分配IPv6地址、IPv6前缀及其他参数.
1.
DHCPv6地址池的地址管理方式DHCPv6地址池的地址管理方式有以下几种:静态绑定IPv6地址,即通过将客户端DUID和IAID与IPv6地址绑定的方式,实现为特定的客户端分配特定的IPv6地址;动态选择IPv6地址,即在地址池中指定可供分配的IPv6地址范围,当收到客户端的IPv6地址申请时,从该地址范围中动态选择IPv6地址,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6地址范围时,需要:(1)指定动态分配的IPv6地址网段.
(2)将该网段划分为非临时地址范围和临时地址范围.
每个地址范围内的地址必须属于该网段,否则无法分配.
采用动态选择IPv6地址方式时,如果接收到客户端的地址申请,则DHCPv6服务器选择一个合适的地址池,并按照客户端申请的地址类型(非临时地址或临时地址),从该地址池对应的地址范围(非临时地址范围或临时地址范围)中选择合适的IPv6地址分配给客户端.
2.
DHCPv6地址池的前缀管理方式DHCPv6地址池的前缀管理方式有以下几种:静态绑定IPv6前缀,即通过将客户端DUID和IAID与IPv6前缀绑定的方式,实现为特定的客户端分配特定的IPv6前缀;动态选择IPv6前缀,即在地址池中指定可供分配的IPv6前缀范围,当收到客户端的IPv6前缀申请时,从该前缀范围中动态选择IPv6前缀,分配给该客户端.
在DHCPv6地址池中指定可供分配的IPv6前缀范围时,需要:(1)创建前缀池,指定前缀池中包括的IPv6前缀范围.
(2)在地址池中指定动态分配的IPv6地址网段.
(3)在地址池中引用前缀池.
3.
地址池的选取原则DHCPv6服务器为客户端分配IPv6地址或前缀时,地址池的选择原则如下:(1)如果存在将客户端DUID、IAID与IPv6地址或前缀静态绑定的地址池,则选择该地址池,并将静态绑定的IPv6地址或前缀、及该地址池中的网络参数分配给客户端.
(2)如果接收到DHCPv6请求报文的接口引用了某个地址池,则选择该地址池,从该地址池中选取IPv6地址或前缀、及网络配置参数分配给客户端.
(3)如果不存在静态绑定的地址池,且接收到DHCPv6请求报文的接口没有引用地址池,则按照以下方法选择地址池:如果客户端与服务器在同一网段,则将接收到DHCPv6请求报文的接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
如果客户端与服务器不在同一网段,即客户端通过DHCPv6中继获取IPv6地址或前缀,则将离DHCPv6客户端最近的DHCPv6中继接口的IPv6地址与所有地址池配置的网段进行匹配,并选择最长匹配的网段所对应的地址池.
配置地址池动态分配的网段和IPv6地址范围时,请尽量保证与DHCPv6服务器接口或DHCPv6中继接口的IPv6地址所在的网段一致,以免分配错误的IPv6地址.
2-42.
1.
4地址/前缀的选择优先次序DHCPv6服务器为客户端分配IPv6地址/前缀的优先次序如下:(1)DUID、IAID与客户端DUID、IAID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀;(2)DUID、IAID与客户端DUID、IAID匹配的静态绑定地址/前缀;(3)DUID与客户端的DUID匹配,且与客户端期望地址/前缀匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(4)DUID与客户端DUID匹配的静态绑定地址/前缀,该地址/前缀中未指定客户端的IAID;(5)服务器记录的曾经分配给客户端的地址/前缀;(6)地址池/前缀池中与客户端期望地址/前缀匹配的空闲地址/前缀;(7)地址池/前缀池中的其他空闲地址/前缀;(8)如果未找到可用的地址/前缀,则依次查询租约过期地址/前缀、曾经发生过冲突的地址,如果找到则进行分配,否则将不予处理.
如果客户端的网段发生变化,服务器不会为客户端分配曾经分配给它的地址/前缀,而是从匹配新网段的地址池中重新选择地址/前缀等信息.
使用曾经发生过冲突的IPv6地址时,只有冲突状态超过一小时的地址租约才能够被服务器分配给新的DHCPv6客户端.
2.
2配置DHCPv6服务器2.
2.
1DHCPv6服务器配置任务简介表2-1DHCPv6服务器配置任务简介配置任务说明详细配置配置为DHCPv6客户端分配IPv6前缀根据实际情况选择2.
2.
2配置为DHCPv6客户端分配IPv6地址2.
2.
3配置为DHCPv6客户端分配网络参数2.
2.
4配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略必选2.
2.
42.
配置DHCPv6服务器发送DHCPv6报文的DSCP优先级可选2.
2.
6配置DHCPv6服务器租约固化功能可选2.
2.
7配置DHCPv6服务器辅助路由信息可选2.
2.
8指定DHCPv6服务器上的地址池所在的VPN信息可选2.
2.
9配置DHCPv6服务器的日志信息功能可选2.
2.
102-52.
2.
2配置为DHCPv6客户端分配IPv6前缀可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6前缀:在地址池中配置静态绑定前缀:指定DUID、IAID及前缀的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的前缀分配给此DHCPv6客户端.
如果只指定了DUID和前缀的绑定关系,没有指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的前缀分配给此DHCPv6客户端.
在地址池中引用包含一定前缀范围的前缀池:接收到DHCPv6客户端的前缀分配请求后,DHCPv6服务器从前缀范围中动态选择可用前缀,分配给客户端.
在实际组网中,某些前缀是保留前缀,不应该动态分配给客户端.
通过配置不参与自动分配的前缀,可以避免DHCPv6服务器分配这些前缀.
配置为DHCPv6客户端分配IPv6前缀时,需要注意:一个IPv6前缀只能与一个客户端绑定.
不允许通过重复执行static-bindprefix命令的方式修改IPv6前缀与客户端的绑定关系、前缀的首选生命期和有效生命期.
只有删除该IPv6前缀的静态绑定配置后,才能将该IPv6前缀与其他客户端绑定,或修改前缀的首选生命期和有效生命期.
一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
不允许通过重复执行prefix-pool命令的方式修改地址池引用的前缀池、前缀的首选生命期和有效生命期.
只有取消当前地址池引用的前缀池后,才能引用其他的前缀池,或修改首选生命期和有效生命期.
表2-2配置为DHCPv6客户端分配IPv6前缀操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6前缀ipv6dhcpserverforbidden-prefixstart-prefix/prefix-len[end-prefix/prefix-len][vpn-instancevpn-instance-name]缺省情况下,DHCPv6前缀池中的所有IPv6前缀都参与自动分配如果通过ipv6dhcpserverforbidden-prefix命令将已经静态绑定的IPv6前缀配置为不参与自动分配的前缀,则该前缀仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-prefix命令,可以配置多个不参与自动分配的IPv6前缀段2-6操作命令说明创建前缀池ipv6dhcpprefix-poolprefix-pool-numberprefixprefix/prefix-lenassign-lenassign-len[vpn-instancevpn-instance-name]缺省情况下,没有配置DHCPv6前缀池DHCPv6服务器为DHCPv6客户端动态分配IPv6前缀时,为必选;其他情况下,不需要进行本配置创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在任何DHCPv6地址池配置动态分配的IPv6地址网段networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6地址网段配置静态绑定前缀static-bindprefixprefix/prefix-lenduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]二者至少选其一缺省情况下,没有指定地址池的静态绑定前缀和可动态分配的前缀重复执行static-bindprefix命令,可以配置多个静态绑定的IPv6前缀配置地址池引用前缀池prefix-poolprefix-pool-number[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]2.
2.
3配置为DHCPv6客户端分配IPv6地址可以通过以下两种方式配置DHCPv6服务器为DHCPv6客户端分配IPv6地址:在地址池中配置静态绑定地址:指定DUID、IAID及地址的静态绑定关系后,如果DHCPv6请求报文中的DUID、IAID与静态绑定的DUID、IAID都相同,则将静态绑定的地址分配给此DHCPv6客户端.
如果只指定了DUID和地址的绑定关系,没有指定静态绑定的IAID,则只要请求报文中的DUID与静态绑定的DUID相同,就将静态绑定的地址分配给此DHCPv6客户端.
在地址池中配置动态分配的地址网段和地址范围:{在进行非临时地址分配时,如果没有在地址池下通过addressrange命令配置动态分配的IPv6非临时地址范围,则network命令指定的网段内的单播地址都可以分配给DHCPv6客户端.
如果配置了addressrange命令,则只会从该地址范围内分配IPv6非临时地址,即使该范围内的地址分配完毕,也不会从network命令指定的地址范围内分配IPv6非临时地址.
{在进行临时地址分配时,如果没有在地址池下通过temporaryaddressrange命令配置动态分配的IPv6临时地址范围,则地址池无法分配临时地址.
如果配置了temporaryaddressrange命令,则只会从该地址范围内分配IPv6临时地址,不会从network或者addressrange命令配置的地址范围内分配临时地址.
在实际组网中,某些地址是服务器的地址或者是保留地址,不应该动态分配给客户端.
通过配置不参与自动分配的地址,可以避免DHCPv6服务器分配这些地址.
配置为DHCPv6客户端分配IPv6地址,需要注意:一个地址池下只能配置一个IPv6非临时地址范围和一个IPv6临时地址范围.
addressrange命令和temporaryaddressrange命令配置的地址范围应该在network命令配置的网段内,否则地址不能被分配.
2-7一个地址池最多可以引用一个前缀池.
地址池可以引用并不存在的前缀池,但是,此时设备无法从该地址池中动态选择前缀分配给客户端.
只有创建该前缀池后,才能支持前缀的动态选择.
一个IPv6地址只能与一个客户端绑定.
不允许通过重复执行static-bindaddress命令的方式修改IPv6地址与客户端的绑定关系、地址的首选生命期和有效生命期.
只有删除该IPv6地址的静态绑定配置后,才能通过重新配置将该IPv6地址与其他客户端绑定,或修改地址的首选生命期和有效生命期.
每个DHCPv6地址池只能配置一个网段,在相同地址池中重复执行network命令,新的配置会覆盖已有配置.
如果相邻两次network命令配置的地址网段相同而首选生命期和有效生命期不同,则新配置的首选生命期和有效生命期只能在新生成的绑定信息中生效,原有绑定信息不受影响.
表2-3配置为DHCPv6客户端分配IPv6地址操作命令说明进入系统视图system-view-(可选)配置不参与自动分配的IPv6地址ipv6dhcpserverforbidden-addressstart-ipv6-address[end-ipv6-address][vpn-instancevpn-instance-name]缺省情况下,除DHCPv6服务器接口的IPv6地址外,DHCPv6地址池中的所有IPv6地址都参与自动分配如果通过ipv6dhcpserverforbidden-address命令将已经静态绑定的IPv6地址配置为不参与自动分配的地址,则该地址仍然可以分配给静态绑定的用户多次执行ipv6dhcpserverforbidden-address命令,可以配置多个不参与自动分配的IPv6地址段创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在任何DHCPv6地址池配置动态分配的IPv6地址网段networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6地址网段不能在不同地址池下使用network命令配置相同的地址网段(可选)配置动态分配的IPv6非临时地址范围addressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置地址池中动态分配的IPv6非临时地址范围,整个网段内的单播地址都可以作为非临时地址分配给客户端(可选)配置动态分配的IPv6临时地址范围temporaryaddressrangestart-ipv6-addressend-ipv6-adddress[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6临时地址范围,不能分配IPv6临时地址2-8操作命令说明(可选)配置静态绑定的IPv6地址static-bindaddressipv6-address/addr-prefix-lengthduidduid[iaidiaid][preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,不存在静态绑定的IPv6地址重复执行static-bindaddress命令,可以配置多个静态绑定的IPv6地址2.
2.
4配置为DHCPv6客户端分配网络参数除了分配IPv6地址和IPv6前缀外,DHCPv6地址池中还可以配置其他网络参数,如在一个地址池下最多可以配置8个DNS服务器地址、1个域名后缀、8个SIP服务器地址和8个SIP服务器域名等.
可以通过如下方式配置为DHCPv6客户端分配的网络参数:直接在DHCPv6地址池视图下配置网络参数.
在DHCPv6选项组中配置网络参数.
直接在DHCPv6地址池视图下配置的网络参数的优先级高于DHCPv6选项组中配置的网络参数.
1.
直接在DHCPv6地址池中配置网络参数表2-4配置为DHCPv6客户端分配网络参数操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name缺省情况下,设备上不存在任何DHCPv6地址池配置动态分配的IPv6地址网段networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]缺省情况下,没有配置动态分配的IPv6地址网段(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,没有指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名后缀domain-namedomain-name缺省情况下,没有指定为客户端分配的域名后缀(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,没有指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,没有配置DHCPv6自定义选项2.
通过DHCPv6选项组配置网络参数DHCPv6选项组的创建方法有以下几种:通过ipv6dhcpoption-group命令手工创建静态DHCPv6选项组.
设备作为DHCPv6客户端获取IPv6地址、前缀和网络配置参数时,在DHCPv6客户端上根据获取的网络配置参数动态创建DHCPv6选项组.
2-9表2-5通过DHCPv6选项组配置网络参数操作命令说明进入系统视图system-view-手工创建静态DHCPv6选项组,并进入DHCPv6选项组视图ipv6dhcpoption-groupoption-group-number缺省情况下,设备上不存在任何静态DHCPv6选项组(可选)配置为客户端分配的DNS服务器地址dns-serveripv6-address缺省情况下,没有指定为客户端分配的DNS服务器地址(可选)配置为客户端分配的域名后缀domain-namedomain-name缺省情况下,没有指定为客户端分配的域名后缀(可选)配置为客户端分配的SIP服务器地址或域名sip-server{addressipv6-address|domain-namedomain-name}缺省情况下,没有指定为客户端分配的SIP服务器地址或域名(可选)配置DHCPv6自定义选项optioncodehexhex-string缺省情况下,没有配置DHCPv6自定义选项2.
2.
5配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略配置接口工作在DHCPv6服务器模式后,当接口未引用地址池时,接口收到DHCPv6客户端发来的DHCPv6报文时,服务器根据该接口的地址或DHCPv6中继接口的地址选择最长匹配的DHCPv6地址池,并从该地址池中选择IPv6地址或前缀分配给客户端.
当接口引用地址池时,则从引用的地址池中选择IPv6地址或前缀分配给客户端.
如果引用的地址池中不存在可供分配的IPv6地址或前缀,则设备将无法为客户端分配IPv6地址或前缀.
配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略时,需要注意:一个接口不能同时作为DHCPv6服务器和DHCPv6中继.
建议不要在一个接口上同时配置DHCPv6服务器和DHCPv6客户端功能.
接口可以引用并不存在的地址池,但是,此时该接口无法为客户端分配前缀等信息.
只有创建该地址池后,才能为客户端分配前缀等信息.
表2-6配置接口工作在DHCPv6服务器模式,并配置地址/前缀分配策略操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6服务器模式ipv6dhcpselectserver缺省情况下,接口未工作在DHCPv6服务器模式,也未工作在DHCPv6中继模式,接口接收到DHCPv6客户端发来的DHCPv6报文后,丢弃该报文配置全局查找地址池,并指定全局查找DHCPv6地址池时地址或前缀分配策略ipv6dhcpserver{allow-hint|preferencepreference-value|rapid-commit}*两者必选其一缺省情况下,不支持期望地址/前缀分配,缺省优先级为0,不支持快2-10操作命令说明配置接口引用DHCP地址池ipv6dhcpserverapplypoolpool-name[allow-hint|preferencepreference-value|rapid-commit]*速分配多次执行ipv6dhcpserver命令,新的配置会覆盖已有配置一个接口上最多只能引用一个地址池,如果多次执行ipv6dhcpserverapplypool命令,新的配置会覆盖已有配置2.
2.
6配置DHCPv6服务器发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6服务器发送的DHCPv6报文的DSCP优先级.
表2-7配置DHCPv6服务器发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6服务器发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6服务器发送的DHCPv6报文的DSCP优先级为562.
2.
7配置DHCPv6服务器租约固化功能DHCPv6服务器重启后,设备上记录的租约信息将丢失,会影响DHCP服务器的正常业务.
DHCPv6服务器租约固化功能将DHCPv6服务器的核心运行数据(在用地址租约、冲突表项)保存到指定的文件中,DHCPv6服务器设备重启后,自动根据该文件恢复DHCPv6服务器的租约信息,从而保证DHCPv6服务器的租约信息不会丢失.
表2-8配置DHCPv6服务器租约固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6服务器表项的文件名称ipv6dhcpserverdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}key]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpserverdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件.
(可选)将当前的DHCPv6服务器表项保存到用户指定的文件中ipv6dhcpserverdatabaseupdatenow本命令只用来触发一次DHCPv6服务器表项的备份(可选)配置DHCPv6服务器表项存储文件的刷新时间间隔ipv6dhcpserverdatabaseupdateintervalseconds缺省情况下,若DHCPv6服务器表项不变化,则不刷新存储文件;若DHCPv6服务器表项发生变化,默认在300秒之后刷新存储文件2-11操作命令说明(可选)终止当前的DHCPv6服务器表项恢复操作ipv6dhcpserverdatabaseupdatestop本命令只用来在设备重启时触发一次中止DHCPv6服务器固化租约的恢复2.
2.
8配置DHCPv6服务器辅助路由信息图2-4DHCPv6服务器辅助路由组网图在某些特定的业务模型(如BRAS组网)下,BAS设备需要实时监测网络流量,并将统计数据发送到RADIUS服务器.
该统计数据为用户上线以来产生的所有上下行流量数据,而不能是设备在某个时间段内发生的上下行流量数据.
由于RADIUS服务器刷新计数的方法是覆盖以前数据而不是进行累加,所以当一台设备的上下行流量分别从两台BAS设备上通过时,在RADIUS服务器上记录的数据就会相互覆盖,这时RADIUS服务器得到的统计数据是不准确的.
为了提高准确性,需保证一台设备的上下行流量经过同一台BAS设备.
通过配置辅助路由信息,通知路由管理对外发布此网段路由,引导指定网段的下行数据流量.
表2-9配置DHCPv6服务器辅助路由信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name-配置DHCPv6服务器辅助路由信息networkprefix/prefix-length[preferred-lifetimepreferred-lifetimevalid-lifetimevalid-lifetime]export-route缺省情况下,未配置DHCPv6服务器辅助路由信息2.
2.
9指定DHCPv6服务器上的地址池所在的VPN信息当地址池绑定了VPN实例后,DHCPv6服务器可以将网络划分成公网和VPN私网.
没有配置VPN属性的地址池被划分到公网,配置了VPN属性的地址池被划分到相应的VPN私网,这样,对于处于公网或VPN私网中的客户端,服务器都能够选择合适的地址池来为客户端分配租约并且记录该客户端的状态信息.
2-12DHCPv6客户端的VPN信息可以从认证模块(如IPoE)获取,也可以从DHCPv6服务器接收报文的接口配置的VPN信息获取.
如果以上两种方式都可获取VPN信息,以从认证模块获取的VPN信息为准.
表2-10指定DHCPv6服务器上的地址池所在的VPN信息操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name-指定DHCPv6服务器上的地址池所在的VPN信息vpn-instancevpn-instance-name缺省情况下,未指定DHCPv6服务器上的地址池所在的VPN信息2.
2.
10配置DHCPv6服务器的日志信息功能DHCPv6服务器日志是为了满足管理员审计需求.
设备生成DHCPv6日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向.
关于信息中心的详细描述请参见"网络管理和监控配置指导"中的"信息中心".
比如大量DHCPv6客户端发生上下线操作时,DHCPv6服务器需要输出大量日志信息,这可能会降低设备性能,影响DHCPv6服务器分配IPv6前缀或IPv6地址的速度.
为了避免该情况的发生,用户可以关闭DHCPv6服务器日志信息功能,使得DHCPv6服务器不再输出日志信息.
表2-11配置DHCPv6服务器的日志信息功能操作命令说明进入系统视图system-view-配置DHCPv6服务器日志信息功能ipv6dhcplogenable缺省情况下,DHCPv6服务器日志信息功能处于关闭状态2.
3DHCPv6服务器显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6服务器的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6服务器的统计信息.
表2-12DHCPv6服务器显示和维护操作命令显示本设备的DUIDdisplayipv6dhcpduid显示DHCPv6选项组信息displayipv6dhcpoption-group[option-group-number]显示DHCPv6地址池的信息displayipv6dhcppool[pool-name|vpn-instancevpn-instance-name]显示前缀池的信息displayipv6dhcpprefix-pool[prefix-pool-number][vpn-instancevpn-instance-name]2-13操作命令显示接口上的DHCPv6服务器信息displayipv6dhcpserver[interfaceinterface-typeinterface-number]显示DHCPv6地址冲突信息displayipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]显示DHCPv6服务器表项备份信息displayipv6dhcpserverdatabase显示租约过期的DHCPv6地址绑定信息displayipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6地址绑定信息displayipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]显示DHCPv6前缀绑定信息displayipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]显示DHCPv6服务器的报文统计信息displayipv6dhcpserverstatistics[poolpool-name|vpn-instancevpn-instance-name]清除DHCPv6地址冲突信息resetipv6dhcpserverconflict[addressipv6-address][vpn-instancevpn-instance-name]清除租约过期的DHCPv6地址绑定信息resetipv6dhcpserverexpired[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6的正式地址绑定和临时地址绑定信息resetipv6dhcpserverip-in-use[[addressipv6-address][vpn-instancevpn-instance-name]|poolpool-name]清除DHCPv6正式前缀绑定和临时前缀绑定信息resetipv6dhcpserverpd-in-use[poolpool-name|[prefixprefix/prefix-len][vpn-instancevpn-instance-name]]清除DHCPv6服务器的报文统计信息resetipv6dhcpserverstatistics[vpn-instancevpn-instance-name]2.
4DHCPv6服务器典型配置举例2.
4.
1动态分配IPv6前缀典型配置举例1.
组网需求DHCPv6客户端从DHCPv6服务器获取IPv6地址前缀,以及网络配置参数:DNS服务器地址、域名、SIP服务器地址和SIP服务器域名.
其中:Router作为DHCPv6服务器,地址为1::1/64.
DHCPv6服务器为DUID为00030001CA0006A40000的客户端固定分配前缀2001:0410:0201::/48;为其他客户端分配2001:0410::/48~2001:0410:FFFF::/48之间除2001:0410:0201::/48外的前缀.
DNS服务器地址为2:2::3.
DHCPv6客户端所属域的域名为aaa.
com.
SIP服务器地址为2:2::4,域名为bbb.
com.
2-142.
组网图图2-5DHCPv6服务器配置组网图3.
配置步骤#配置接口GiagbitEthernet1/0/1的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
system-view[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6address1::1/64[Router-GigabitEthernet1/0/1]undoipv6ndrahalt[Router-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag[Router-GigabitEthernet1/0/1]quit#配置前缀池1,包含的前缀为2001:0410::/32,分配的前缀长度为48.
[Router]ipv6dhcpprefix-pool1prefix2001:0410::/32assign-len48#创建地址池1.
[Router]ipv6dhcppool1#配置地址池1网段为1::/64,与接口地址所属的网段相同.
[Router-dhcp6-pool-1]network1::/64#配置地址池1引用已存在的前缀池1,并设置动态分配前缀的首选生命期为1天,有效生命期为3天.
[Router-dhcp6-pool-1]prefix-pool1preferred-lifetime86400valid-lifetime259200#在地址池1中配置静态绑定前缀:绑定的前缀为2001:0410:0201::/48,绑定的客户端DUID为00030001CA0006A40000,并设置首选生命期为1天,有效生命期为3天.
[Router-dhcp6-pool-1]static-bindprefix2001:0410:0201::/48duid00030001CA0006A40000preferred-lifetime86400valid-lifetime259200#配置为客户端分配的DNS服务器地址为2:2::3.
[Router-dhcp6-pool-1]dns-server2:2::3#配置为客户端分配的域名为aaa.
com.
[Router-dhcp6-pool-1]domain-nameaaa.
com#配置为客户端分配的SIP服务器地址为2:2::4,域名为bbb.
com.
[Router-dhcp6-pool-1]sip-serveraddress2:2::4[Router-dhcp6-pool-1]sip-serverdomain-namebbb.
com[Router-dhcp6-pool-1]quit2-15#配置接口GigabitEthernet1/0/1工作在DHCPv6服务器模式,并在该接口使能期望前缀分配和前缀快速分配功能,并将优先级设置为最高.
[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6dhcpselectserver[Router-GigabitEthernet1/0/1]ipv6dhcpserverallow-hintpreference255rapid-commit4.
验证配置#完成上述配置后,查看接口GigabitEthernet1/0/1上的DHCPv6服务器配置信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpserverinterfacegigabitethernet1/0/1Usingpool:globalPreferencevalue:255Allow-hint:EnabledRapid-commit:Enabled#显示地址池1的信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcppool1DHCPv6pool:1Network:1::/64Preferredlifetime604800,validlifetime2592000Prefixpool:1Preferredlifetime86400,validlifetime259200Staticbindings:DUID:00030001ca0006a4IAID:NotconfiguredPrefix:2001:410:201::/48Preferredlifetime86400,validlifetime259200DNSserveraddresses:2:2::3Domainname:aaa.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示前缀池1的信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpprefix-pool1Prefix:2001:410::/32Assignedlength:48Totalprefixnumber:65536Available:65535In-use:0Static:1#DUID为00030001CA0006A40000的客户端获取IPv6前缀后,显示前缀绑定信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:012009#其他客户端获取IPv6前缀后,显示前缀绑定信息.
2-16[Router-GigabitEthernet1/0/1]displayipv6dhcpserverpd-in-usePool:1IPv6prefixTypeLeaseexpiration2001:410:201::/48Static(C)Jul1019:45:0120092001:410::/48Auto(C)Jul1020:44:0520092.
4.
2动态分配IPv6地址典型配置举例1.
组网需求作为DHCPv6服务器的RouterA为网段1::1:0:0:0/96和1::2:0:0:0/96的客户端动态分配IPv6地址;RouterA的两个以太网接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的地址分别为1::1:0:0:1/96和1::2:0:0:1/96;1::1:0:0:0/96网段内的地址租约时长为172800秒(2天),有效时长为345600秒(4天),域名为aabbcc.
com,DNS服务器地址为1::1:0:0:2/96;1::2:0:0:0/96网段内的地址租约时长为432000秒(5天),有效时长为864000秒(10天),域名为aabbcc.
com,DNS服务器地址为1::2:0:0:2/96.
2.
组网图图2-6DHCPv6组网图3.
配置步骤(1)配置DHCPv6server各接口的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址system-view[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6address1::1:0:0:1/96[RouterA-GigabitEthernet1/0/1]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag[RouterA-GigabitEthernet1/0/1]quit[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipv6address1::2:0:0:1/96[RouterA-GigabitEthernet1/0/2]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/2]ipv6ndautoconfigmanaged-address-flag2-17[RouterA-GigabitEthernet1/0/2]quit(2)配置DHCPv6服务#配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在DHCPv6服务器模式.
[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6dhcpselectserver[RouterA-GigabitEthernet1/0/1]quit[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipv6dhcpselectserver[RouterA-GigabitEthernet1/0/2]quit#配置不参与自动分配的IPv6地址,以避免分配DNS服务器的地址.
[RouterA]ipv6dhcpserverforbidden-address1::1:0:0:2[RouterA]ipv6dhcpserverforbidden-address1::2:0:0:2#配置DHCPv6地址池1,为1::1:0:0:0/96网段的客户端分配IPv6地址等参数.
[RouterA]ipv6dhcppool1[RouterA-dhcp6-pool-1]network1::1:0:0:0/96preferred-lifetime172800valid-lifetime345600[RouterA-dhcp6-pool-1]domain-nameaabbcc.
com[RouterA-dhcp6-pool-1]dns-server1::1:0:0:2[RouterA-dhcp6-pool-1]quit#配置DHCPv6地址池2,为1::2:0:0:0/96网段的客户端分配IPv6地址等参数.
[RouterA]ipv6dhcppool2[RouterA-dhcp6-pool-2]network1::2:0:0:0/96preferred-lifetime432000valid-lifetime864000[RouterA-dhcp6-pool-2]domain-nameaabbcc.
com[RouterA-dhcp6-pool-2]dns-server1::2:0:0:2[RouterA-dhcp6-pool-2]quit4.
验证配置配置完成后,1::1:0:0:0/96和1::2:0:0:0/96网段的客户端可以从DHCPv6服务器RouterA申请到相应网段的IPv6地址和网络配置参数.
通过displayipv6dhcpserverip-in-use命令可以查看DHCPv6服务器为客户端分配的IPv6地址.
3-13DHCPv6中继3.
1DHCPv6中继简介3.
1.
1应用环境图3-1DHCPv6中继应用组网图DHCPv6客户端通常通过链路本地范围的组播地址与DHCPv6服务器通信,以获取IPv6地址和其他网络配置参数.
如图3-1所示,服务器和客户端不在同一个链路范围内时,服务器和客户端无法直接通信,需要通过DHCPv6中继来转发报文.
部署DHCPv6中继可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理.
3.
1.
2DHCPv6中继的工作过程图3-2DHCPv6中继的工作过程如图3-2所示,以交互两个消息的快速分配过程为例,DHCPv6客户端通过DHCPv6中继,从DHCPv6服务器获取IPv6地址和其他网络配置参数的过程为:(1)DHCPv6客户端向所有DHCPv6服务器和中继的组播地址FF02::1:2发送携带RapidCommit选项的Solicit消息;IPv6networkDHCPv6serverDHCPv6relayagentDHCPv6clientDHCPv6clientDHCPv6clientDHCPv6client(1)Solicit(containsaRapidCommitoption)(4)ReplyDHCPv6clientDHCPv6relayagentDHCPv6server(2)Relay-forward(3)Relay-reply3-2(2)DHCPv6中继接收到Solicit消息后,将其封装在Relay-forward报文的中继消息选项(RelayMessageOption)中,并将Relay-forward报文发送给DHCPv6服务器;(3)DHCPv6服务器从Relay-forward报文中解析出客户端的Solicit消息,为客户端选取IPv6地址和其他参数,构造Reply消息,将Reply消息封装在Relay-reply报文的中继消息选项中,并将Relay-reply报文发送给DHCPv6中继;(4)DHCPv6中继从Relay-reply报文中解析出服务器的Reply消息,转发给DHCPv6客户端,以便DHCPv6客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置.
3.
2DHCPv6中继配置任务简介表3-1DHCPv6中继配置任务简介配置任务说明详细配置配置接口工作在DHCPv6中继模式必选3.
3.
1指定DHCPv6服务器的地址必选3.
3.
2配置DHCPv6中继发送DHCPv6报文的DSCP优先级可选3.
3.
3配置DHCPv6中继支持BAS模式的Option18功能可选3.
3.
4指定不同类型用户对应的DHCPv6服务器地址可选3.
3.
53.
3配置DHCPv6中继3.
3.
1配置接口工作在DHCPv6中继模式DHCPv6服务器和DHCPv6客户端位于不同网段时,需要配置DHCPv6中继在DHCPv6客户端和DHCPv6服务器之间转发报文.
建议不要在一个接口上同时配置DHCPv6中继和DHCPv6客户端功能.
表3-2配置接口工作在DHCPv6中继模式操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口工作在DHCPv6中继模式ipv6dhcpselectrelay缺省情况下,接口未工作在DHCPv6中继模式3.
3.
2指定DHCPv6服务器的地址工作在DHCPv6中继模式的接口接收到DHCPv6客户端发来的报文后,将其封装在Relay-forward报文中,并发送给指定的DHCPv6服务器,由DHCPv6服务器为客户端分配IPv6地址、IPv6前缀和其他网络配置参数.
3-3表3-3指定DHCPv6服务器的地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-指定DHCPv6服务器的地址ipv6dhcprelayserver-addressipv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定任何DHCPv6服务器通过多次执行ipv6dhcprelayserver-address命令可以指定多个DHCPv6服务器,一个接口下最多可以指定8个DHCPv6服务器.
DHCPv6中继接收到DHCPv6客户端报文后,将其转发给所有的DHCPv6服务器如果指定的DHCPv6服务器地址为链路本地地址或组播地址,则必须通过ipv6dhcprelayserver-address命令的interface参数指定出接口,否则报文可能会无法到达服务器3.
3.
3配置DHCPv6中继发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6中继发送的DHCPv6报文的DSCP优先级.
表3-4配置DHCPv6中继发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6中继发送DHCPv6报文的DSCP优先级ipv6dhcpdscpdscp-value缺省情况下,DHCPv6中继发送的DHCPv6报文的DSCP优先级为563.
3.
4配置DHCPv6中继支持的interface-id选项填充模式如果配置了DHCPv6中继支持的interface-id选项填充模式,当DHCPv6中继接收到客户端发送的DHCPv6报文后,会以配置的填充方式将DHCPv6客户端的位置信息填充Option18选项,并把填充好的报文转发给DHCPv6服务器.
表3-5配置DHCPv6中继支持BAS模式的Option18功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-3-4操作命令说明配置DHCPv6中继支持BAS模式的Option18功能ipv6dhcprelayinterface-idbas缺省情况下,设备使用接口索引值填充Option18选项3.
3.
5指定中继地址池上对应的DHCPv6服务器地址对于某些特定的用户接入方式(如IPoE接入方式),基于用户接入位置信息的不同,网络中存在大量不同类型的用户.
为了使相同类型的用户可以从指定的DHCPv6服务器申请IPv6地址等网络参数,IPoE模块根据用户注册信息,使不同的用户选择不同的DHCPv6中继地址池,并从中继地址池下配置的DHCPv6服务器获取IPv6地址等网络参数.
为了提高可靠性,一个DHCPv6中继地址池下最多可以配置8个DHCPv6服务器地址,当DHCPv6客户端匹配该中继地址池后,DHCPv6中继会将DHCPv6客户端发来的DHCPv6报文转发给该地址池对应所有的DHCPv6服务器.
一台DHCPv6中继的一个接口下可能连接不同类型的用户,当DHCPv6中继转发DHCPv6客户端请求报文给DHCPv6服务器时,不能再以中继接口的IPv6地址作为选择地址池的依据.
为了解决这个问题,需要使用gateway-list命令指定某个类型用户所在的网段,并将该地址添加到转发给DHCPv6服务器的报文字段中,为DHCPv6服务器选择地址池提供依据.
表3-6指定不同类型用户对应的DHCPv6服务器地址操作命令说明进入系统视图system-view-创建DHCPv6地址池,并进入DHCPv6地址池视图ipv6dhcppoolpool-name-指定匹配该地址池的DHCPv6客户端所在的网段地址gateway-listipv6-address&缺省情况下,未指定匹配该地址池的DHCPv6客户端所在的网段地址指定中继地址池对应的DHCPv6服务器地址remote-serveripv6-address[interfaceinterface-typeinterface-number]缺省情况下,未指定中继地址池对应的DHCPv6服务器的地址3.
4DHCPv6中继显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6中继的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6中继的统计信息.
表3-7DHCPv6中继显示和维护操作命令显示本设备DUIDdisplayipv6dhcpduid显示DHCPv6中继上指定的DHCPv6服务器地址信息displayipv6dhcprelayserver-address[interfaceinterface-typeinterface-number]3-5操作命令显示DHCPv6中继的相关报文统计信息displayipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]清除DHCPv6中继的相关报文统计信息resetipv6dhcprelaystatistics[interfaceinterface-typeinterface-number]3.
5DHCPv6中继典型配置举例1.
组网需求DHCPv6客户端所在网络地址为1::/64,DHCPv6服务器的地址为2::2/64.
客户端和服务器不在同一个链路范围,需要通过DHCPv6中继转发报文.
RouterA作为DHCPv6中继,为客户端和服务器转发报文.
RouterA同时作为1::/64网络的网关设备,通过RA消息中的M标志位和O标志位指定该网络中的主机通过DHCPv6获取IPv6地址和其他网络配置参数.
RA消息的详细介绍,请参见"三层技术-IP业务配置指导"中的"IPv6基础".
2.
组网图图3-3DHCPv6中继组网图3.
配置步骤(1)配置RouterA作为DHCPv6中继#配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IPv6地址.
取消设备发布RA消息的抑制.
配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址.
system-view[RouterA]interfacegigabitethernet1/0/2[RouterA-GigabitEthernet1/0/2]ipv6address2::164[RouterA-GigabitEthernet1/0/2]quit[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6address1::164[RouterA-GigabitEthernet1/0/1]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag#配置接口GigabitEthernet1/0/1工作在DHCPv6中继模式,并指定DHCPv6服务器地址.
3-6[RouterA-GigabitEthernet1/0/1]ipv6dhcpselectrelay[RouterA-GigabitEthernet1/0/1]ipv6dhcprelayserver-address2::2(2)配置RouterA作为网关#配置发布RA消息,并配置M和O标志位.
[RouterA-GigabitEthernet1/0/1]undoipv6ndrahalt[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigmanaged-address-flag[RouterA-GigabitEthernet1/0/1]ipv6ndautoconfigother-flag4.
验证配置#完成上述配置后,查看DHCPv6中继上指定的DHCPv6服务器地址信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcprelayserver-addressInterface:GigabitEthernet1/0/1ServeraddressOutgoingInterface2::2#查看DHCPv6中继相关报文的统计信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcprelaystatisticsPacketsdropped:0Packetsreceived:14Solicit:0Request:0Confirm:0Renew:0Rebind:0Release:0Decline:0Information-request:7Relay-forward:0Relay-reply:7Packetssent:14Advertise:0Reconfigure:0Reply:7Relay-forward:7Relay-reply:04-74DHCPv6客户端4.
1DHCPv6客户端简介设备作为DHCPv6客户端时,可以具有如下功能:通过DHCPv6获取IPv6地址和网络配置参数,并根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6获取IPv6前缀和网络配置参数,并根据获取的前缀自动创建IPv6前缀、根据获取的网络配置参数自动创建DHCPv6选项组.
通过DHCPv6无状态配置获取除IPv6地址/前缀外的其他网络配置参数.
DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后,如果接收到的RA报文中M标志位的取值为0、O标志位的取值为1,则设备会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数.
否则DHCPv6客户端不会开启无状态配置过程.
4.
2配置DHCPv6客户端建议不要在一个接口上同时配置DHCPv6客户端和DHCPv6服务器功能,也不要在一个接口上同时配置DHCPv6客户端和DHCPv6中继功能,否则会影响功能正常使用.
4.
2.
1DHCPv6客户端配置任务简介表4-1DHCPv6客户端配置任务简介配置任务说明详细配置配置DHCPv6客户端获取IPv6地址和网络配置参数根据实际情况选择其一4.
2.
2配置DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
3配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数4.
2.
4配置DHCPv6客户端发送DHCPv6报文的DSCP优先级可选4.
2.
54.
2.
2配置DHCPv6客户端获取IPv6地址和网络配置参数表4-2配置DHCPv6客户端获取IPv6地址和网络配置参数操作命令说明进入系统视图system-view-进入接口三层以太网接口视图interfaceinterface-typeinterface-number-4-8操作命令说明视图三层聚合接口视图interfaceroute-aggregationinterface-numberVLAN接口视图interfacevlan-interfaceinterface-number配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6地址和其他网络配置参数ipv6addressdhcp-alloc[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6地址和网络配置参数4.
2.
3配置DHCPv6客户端获取IPv6前缀和网络配置参数表4-3配置DHCPv6客户端获取IPv6前缀和网络配置参数操作命令说明进入系统视图system-view-进入接口视图三层以太网接口视图interfaceinterface-typeinterface-number-三层聚合接口视图interfaceroute-aggregationinterface-numberVLAN接口视图interfacevlan-interfaceinterface-number配置接口作为DHCPv6客户端,通过DHCPv6方式获取IPv6前缀和其他网络配置参数ipv6dhcpclientpdprefix-number[option-groupgroup-number|rapid-commit]*缺省情况下,接口不会作为DHCPv6客户端获取IPv6前缀和网络配置参数4.
2.
4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数表4-4配置DHCPv6客户端获取除地址/前缀外的其他网络配置参数操作命令说明进入系统视图system-view-进入接口视图三层以太网接口视图interfaceinterface-typeinterface-number-三层聚合接口视图interfaceroute-aggregationinterface-numberVLAN接口视图interfacevlan-interfaceinterface-number使能IPv6地址无状态自动配置功能ipv6addressauto二者至少选其一如果只配置了ipv6addressauto命令,只有接收到的RA报文中M标志位的取值为0、O标志位的取值为1时,设备才会自动启动DHCPv6无状态配置功能缺省情况下,接口不会作使能DHCPv6无状态配置功能ipv6dhcpclientstatelessenable4-9操作命令说明为DHCPv6客户端获取除地址/前缀外的其他网络配置参数ipv6addressauto命令的详细介绍请参见"三层技术-IP业务命令参考"中的"IPv6基础".
4.
2.
5配置DHCPv6客户端发送DHCPv6报文的DSCP优先级DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本配置可以指定DHCPv6客户端发送的DHCPv6报文的DSCP优先级.
表4-5配置DHCPv6客户端发送DHCPv6报文的DSCP优先级操作命令说明进入系统视图system-view-配置DHCPv6客户端发送的DHCPv6报文的DSCP优先级ipv6dhcpclientdscpdscp-value缺省情况下,DHCPv6客户端发送的DHCPv6报文的DSCP优先级为564.
3DHCPv6客户端显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后DHCPv6客户端的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6客户端的统计信息.
表4-6DHCPv6客户端显示和维护操作命令显示DHCPv6客户端的信息displayipv6dhcpclient[interfaceinterface-typeinterface-number]显示DHCPv6客户端的统计信息displayipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]清除DHCPv6客户端的统计信息resetipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]4-104.
4DHCPv6客户端典型配置举例4.
4.
1DHCPv6客户端申请地址及网络参数配置举例1.
组网需求DHCPv6客户端Router从DHCPv6服务器获取IPv6地址,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名.
DHCPv6客户端根据获取到的网络配置参数自动创建DHCPv6选项组1.
2.
组网图图4-1DHCPv6客户端申请地址及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
DHCPv6服务器的配置方法,请参见"三层技术-IP业务配置指导"中的"DHCPv6服务器".
#配置接口GigabitEthernet1/0/1作为DHCPv6客户端获取IPv6地址及网络参数,配置DHCPv6客户端支持地址快速分配功能,并配置根据获取到的网络配置参数自动创建DHCPv6选项组1.
system-view[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6addressdhcp-allocrapid-commitoption-group1[Router-GigabitEthernet1/0/1]quit4.
验证配置#显示DHCPv6客户端的信息.
[Router]displayipv6dhcpclientGigabitEthernet1/0/1:Type:StatefulclientrequestingaddressState:OPENIAID:0xf0019ClientDUID:00030001000fe2ff00004-11Preferredserver:Reachableviaaddress:FE80::200:5EFF:FE0A:2303ServerDUID:00030001000fe20a0a00Address:1:2::2Preferredlifetime60sec,validlifetime60secT130sec,T248secWillexpireonFeb42014at15:37:20(50secondsleft)DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的DHCPv6选项组1的信息.
[Router-GigabitEthernet1/0/1]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/12000::FFDomainname:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/1example.
comSIPserveraddresses:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/12:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6addressallocation)Interface:GigabitEthernet1/0/1bbb.
com#查看获取到的IPv6地址.
[Router]displayipv6interfacebrief*down:administrativelydown(s):spoofingInterfacePhysicalProtocolIPv6AddressGigabitEthernet1/0/1upup1:2::2可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6地址及网络参数.
4.
4.
2DHCPv6客户端申请前缀及网络参数配置举例1.
组网需求DHCPv6客户端Router从DHCPv6服务器获取IPv6前缀,以及网络配置参数:DNS服务器地址、域名后缀、SIP服务器地址和SIP服务器域名等.
4-12DHCPv6客户端Router根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1.
2.
组网图图4-2DHCPv6客户端申请前缀及网络参数配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
#在DHCPv6客户端连接到DHCPv6服务器的接口GigabitEthernet1/0/1上配置IPv6地址.
system-view[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]ipv6address1::2/48#配置接口GigabitEthernet1/0/1作为DHCPv6客户端获取IPv6前缀及网络参数,配置根据获取到的前缀自动创建IPv6前缀1,根据获取到的网络配置参数自动创建DHCPv6选项组1,并配置DHCPv6客户端支持前缀快速分配功能.
[Router-GigabitEthernet1/0/1]ipv6dhcpclientpd1rapid-commitoption-group1[Router-GigabitEthernet1/0/1]quit4.
验证配置#显示DHCPv6客户端的信息.
可以看出DHCPv6客户端已经成功从DHCPv6服务器获取IPv6前缀及网络参数.
[Router]displayipv6dhcpclientGigabitEthernet1/0/1:Type:StatefulclientrequestingprefixState:OPENIAID:0xf0019ClientDUID:00030001000fe2ff0000Preferredserver:Reachableviaaddress:FE80::200:5EFF:FE0A:2303ServerDUID:00030001000fe20a0a00Prefix:12:34::/324-13Preferredlifetime90sec,validlifetime90secT145sec,T272secWillexpireonFeb42014at15:37:20(80secondsleft)DNSserveraddresses:2000::FFDomainname:example.
comSIPserveraddresses:2:2::4SIPserverdomainnames:bbb.
com#显示动态创建的IPv6前缀1的信息.
[Router]displayipv6prefix1Number:1Type:DynamicPrefix:12:34::/32Preferredlifetime90sec,validlifetime90sec#显示动态创建的DHCPv6选项组1的信息.
[Router]displayipv6dhcpoption-group1DHCPv6optiongroup:1DNSserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/12000::FFDomainname:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/1example.
comSIPserveraddresses:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/12:2::4SIPserverdomainnames:Type:Dynamic(DHCPv6prefixallocation)Interface:GigabitEthernet1/0/1bbb.
com以上两条display命令可以看到客户端获取到的前缀信息和网络参数.
4.
4.
3DHCPv6无状态配置典型配置举例1.
组网需求DHCPv6客户端RouterA通过DHCPv6无状态配置获取域名服务器、域名等信息;RouterB作为网关,周期性发布RA消息.
4-142.
组网图图4-3DHCPv6无状态配置组网图3.
配置步骤进行下面的配置前,需要先完成DHCPv6服务器的配置.
(1)配置网关RouterB#配置接口GigabitEthernet1/0/1的IPv6地址.
system-view[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]ipv6address1::164#配置RA消息中O标志位为1.
[RouterB-GigabitEthernet1/0/1]ipv6ndautoconfigother-flag#配置允许发送RA消息.
[RouterB-GigabitEthernet1/0/1]undoipv6ndrahalt(2)配置DHCPv6客户端RouterA#在接口GigabitEthernet1/0/1上使能IPv6地址无状态自动配置功能.
system-view[RouterA]interfacegigabitethernet1/0/1[RouterA-GigabitEthernet1/0/1]ipv6addressauto执行此命令后,如果GigabitEthernet1/0/1下没有配置地址,RouterA会自动生成本地链路地址,并主动发送RS(RouterSolicitation,路由器请求)报文,请求网关RouterB立即回应RA报文.
4.
验证配置如果收到的RA报文中M标志位为0、O标志位为1,RouterA就会启动DHCPv6客户端无状态配置.
#可以通过displayipv6dhcpclient命令查看当前客户端的配置信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcpclientinterfacegigabitethernet1/0/1GigabitEthernet1/0/1:Type:StatelessclientState:OPENIAID:0xf0019ClientDUID:00030001000fe2ff00004-15Preferredserver:Reachableviaaddress:FE80::213:7FFF:FEF6:C818ServerDUID:0003000100137ff6c818DNSserveraddresses:1:2:4::51:2:4::7Domainname:abc.
com如果从服务器成功获取了配置,将会有以上的显示信息.
#可以通过displayipv6dhcpclientstatistics命令查看当前客户端的统计信息.
[RouterA-GigabitEthernet1/0/1]displayipv6dhcpclientstatisticsInterface:GigabitEthernet1/0/1Packetsreceived:1Reply:1Advertise:0Reconfigure:0Invalid:0Packetssent:5Solicit:0Request:0Renew:0Rebind:0Information-request:5Release:0Decline:05-15DHCPv6Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6Snooping功能配置后不能正常工作.
5.
1DHCPv6Snooping简介DHCPv6Snooping是DHCPv6的一种安全特性,具有如下功能:1.
保证客户端从合法的服务器获取IPv6地址网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信.
为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6Snooping安全机制允许将端口设置为信任端口和不信任端口:信任端口正常转发接收到的DHCPv6报文.
不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文.
图5-1信任端口和非信任端口如图5-1所示,在DHCPv6Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址.
2.
记录DHCPv6客户端IPv6地址与MAC地址的对应关系DHCPv6Snooping通过监听DHCPv6报文,记录DHCPv6Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息.
网5-2络管理员可以通过displayipv6dhcpsnoopingbinding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控.
5.
2DHCPv6Snooping配置任务简介表5-1DHCPv6Snooping配置任务简介配置任务说明详细配置配置DHCPv6Snooping基本功能必选5.
3配置DHCPv6Snooping支持Option18与Option37功能可选5.
4配置DHCPv6Snooping表项备份功能可选5.
5配置接口动态学习DHCPv6Snooping表项的最大数目可选5.
6配置DHCPv6Snooping报文限速功能可选5.
7启用DHCPv6Snooping的DHCPv6请求方向报文检查功能可选5.
85.
3配置DHCPv6Snooping基本功能启用DHCPv6Snooping功能,并正确地配置信任端口和非信任端口后,可以保证客户端从合法的服务器获取IPv6地址,配置DHCPv6Snooping基本功能时,需要注意:为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内.
如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6Snooping的配置才会生效.
表5-2配置DHCPv6Snooping基本功能操作命令说明进入系统视图system-view-启用DHCPv6Snooping功能ipv6dhcpsnoopingenable缺省情况下,DHCPv6Snooping功能处于关闭状态进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6服务器的接口配置DHCPv6Snooping信任端口ipv6dhcpsnoopingtrust缺省情况下,启用DHCPv6Snooping功能后,设备的所有端口均为不信任端口退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number此接口为连接DHCPv6客户端的接口5-3操作命令说明(可选)启用端口的DHCPv6Snooping表项记录功能ipv6dhcpsnoopingbindingrecord缺省情况下,在启用DHCPv6Snooping功能后,端口的DHCPv6Snooping表项记录功能处于关闭状态5.
4配置DHCPv6Snooping支持Option18和Option37功能Option18称为接口ID选项(InterfaceID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option18选项,并转发给DHCPv6服务器.
服务器可根据Option18选项中的客户端信息选择合适的地址池为DHCPv6客户端分配IPv6地址.
图5-2为Option18选项格式.
图5-2Option18选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
Option37称为远程ID选项(RemoteID),DHCPv6Snooping设备接收到DHCPv6客户端发送给DHCPv6服务器的请求报文后,在该报文中添加Option37选项,并转发给DHCPv6服务器.
服务器可根据Option37选项中的信息对DHCPv6客户端定位,对分配IPv6地址提供帮助.
图5-3为Option37选项格式.
5-4图5-3Option37选项格式各字段的解释如下:Optioncode:Option编号.
Optionlength:Option字段长度.
Enterprisenumber:企业编号.
Portindex:DHCPv6Snooping设备收到客户端请求报文的端口信息.
VLANID:第一层VLAN信息.
SecondVLANID:第二层VLAN信息.
DUID:DHCPv6客户端的DUID信息.
选项格式中的SecondVLANID字段为可选,如果DHCPv6报文中不含有SecondVlan,则Option18或Option37中也不包含SecondVLANID内容.
表5-3配置DHCPv6Snooping支持Option18和Option37功能操作命令说明进入系统视图system-view-进入接口视图进入二层以太网端口视图interfaceinterface-typeinterface-number-进入二层聚合接口视图interfacebridge-aggregationinterface-number启用DHCPv6Snooping支持Option18功能ipv6dhcpsnoopingoptioninterface-idenable缺省情况下,DHCPv6Snooping支持Option18功能处于关闭状态(可选)配置Option18选项中的DUIDipv6dhcpsnoopingoptioninterface-id[vlanvlan-id]stringinterface-id缺省情况下,Option18选项中的DUID为本设备的DUID启用DHCPv6Snooping支持Option37功能ipv6dhcpsnoopingoptionremote-idenable缺省情况下,DHCPv6Snooping支持Option37功能处于关闭状态5-5操作命令说明(可选)配置Option37选项中的DUIDipv6dhcpsnoopingoptionremote-id[vlanvlan-id]stringremote-id缺省情况下,Option37选项中的DUID为本设备的DUID5.
5配置DHCPv6Snooping表项固化功能DHCPv6Snooping设备重启后,设备上记录的DHCPv6Snooping表项将丢失.
如果DHCPv6Snooping与其他特性(如IPSourceGuard)配合使用,表项丢失会导致安全特性无法通过DHCPv6Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络.
DHCPv6Snooping表项备份功能将DHCPv6Snooping表项保存到指定的文件中,DHCPv6Snooping设备重启后,自动根据该文件恢复DHCPv6Snooping表项,从而保证DHCPv6Snooping表项不会丢失.
表5-4配置DHCPv6Snooping表项固化功能操作命令说明进入系统视图system-view-指定存储DHCPv6Snooping表项的文件名称ipv6dhcpsnoopingbindingdatabasefilename{filename|urlurl[usernameusername[password{cipher|simple}key]]}缺省情况下,未指定存储文件名称执行本命令后,会立即触发一次表项备份.
之后,如果未配置ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件.
如果配置了ipv6dhcpsnoopingbindingdatabaseupdateinterval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件(可选)将当前的DHCPv6Snooping表项保存到用户指定的文件中ipv6dhcpsnoopingbindingdatabaseupdatenow本命令只用来触发一次DHCPv6Snooping表项的备份(可选)启用刷新DHCPv6Snooping表项存储文件的延迟时间ipv6dhcpsnoopingbindingdatabaseupdateintervalseconds缺省情况下,若DHCPv6Snooping表项不变化,则不刷新存储文件;若DHCPv6Snooping表项发生变化,默认在300秒之后刷新存储文件执行undoipv6dhcpsnoopingenable命令关闭DHCPv6Snooping功能后,设备会删除所有DHCPv6Snooping表项,文件中存储的DHCPv6Snooping表项也将被删除.
5-65.
6配置接口动态学习DHCPv6Snooping表项的最大数目通过本配置可以限制接口动态学习DHCPv6Snooping表项的最大数目,以防止接口学习到大量DHCPv6Snooping表项,占用过多的系统资源.
表5-5配置接口动态学习DHCPv6Snooping表项的最大数目操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置接口动态学习DHCPv6Snooping表项的最大数目ipv6dhcpsnoopingmax-learning-numnumber缺省情况下,不限制接口动态学习DHCPv6Snooping表项的最大数目5.
7配置DHCPv6Snooping报文限速功能为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率.
当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6Snooping设备将丢弃超过速率限制的报文.
表5-6配置DHCPv6Snooping报文限速功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置DHCPv6Snooping的报文限速功能ipv6dhcpsnoopingrate-limitrate缺省情况下,DHCPv6Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率只能在二层以太网接口和二层聚合接口上启用DHCPv6Snooping的报文限速功能如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6Snooping的报文限速配置.
如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6Snooping的报文限速配置5.
8启用DHCPv6Snooping的DHCPv6请求方向报文检查功能本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击.
伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约.
如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报5-7文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端.
伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约.
在DHCPv6Snooping设备上启用DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击.
如果启用了该功能,则DHCPv6Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6Snooping表项.
若存在,则接收报文信息与DHCPv6Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃.
若不存在,则认为该报文合法,将其转发给DHCPv6服务器.
表5-7启用DHCPv6Snooping的DHCPv6请求方向报文检查功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-启用DHCPv6Snooping的DHCPv6请求方向报文检查功能ipv6dhcpsnoopingcheckrequest-message缺省情况下,DHCPv6Snooping的DHCPv6请求方向报文检查功能处于关闭状态只能在二层以太网接口和二层聚合接口上启用DHCPv6Snooping的DHCPv6请求方向报文检查功能5.
9DHCPv6Snooping显示和维护在完成上述配置后,在任意视图下执行display命令可以显示DHCPv6Snooping的配置情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除DHCPv6Snooping表项信息.
表5-8DHCPv6Snooping显示和维护操作命令显示DHCPv6Snooping信任端口信息displayipv6dhcpsnoopingtrust显示DHCPv6Snooping表项信息displayipv6dhcpsnoopingbinding[addressipv6-address[vlanvlan-id]]显示DHCPv6Snooping表项备份信息displayipv6dhcpsnoopingbindingdatabase显示DHCPv6Snooping设备上的DHCPv6报文统计信息displayipv6dhcpsnoopingpacketstatistics[slotslot-number]清除DHCPv6Snooping表项resetipv6dhcpsnoopingbinding{all|addressipv6-address[vlanvlan-id]}清除DHCPv6Snooping设备上的DHCPv6报文统计信息resetipv6dhcpsnoopingpacketstatistics[slotslot-number]5-85.
10DHCPv6Snooping典型配置举例1.
组网需求RouterB通过以太网端口GigabitEthernet1/0/1连接到合法DHCPv6服务器,通过以太网端口GigabitEthernet1/0/3连接到非法服务器,通过GigabitEthernet1/0/2连接到DHCPv6客户端.
要求:与合法DHCPv6服务器相连的端口可以转发DHCPv6服务器的响应报文,而其他端口不转发DHCPv6服务器的响应报文.
记录DHCPv6客户端IPv6地址及MAC地址的绑定关系.
2.
组网图图5-4DHCPv6Snooping组网示意图3.
配置步骤#启用DHCPv6Snooping功能.
system-view[RouterB]ipv6dhcpsnoopingenable#配置GigabitEthernet1/0/1端口工作在二层模式,并配置为信任端口.
[RouterB]interfacegigabitethernet1/0/1[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/1]ipv6dhcpsnoopingtrust[RouterB-GigabitEthernet1/0/1]quit#配置GigabitEthernet1/0/2端口工作在二层模式,并在端口上启用安全表项功能.
[RouterB]interfacegigabitethernet1/0/2[RouterB-GigabitEthernet1/0/1]portlink-modebridge[RouterB-GigabitEthernet1/0/2]ipv6dhcpsnoopingbindingrecord[RouterB-GigabitEthernet1/0/2]quit4.
验证配置配置完成后,DHCPv6客户端只能够从合法DHCPv6服务器获取IPv6地址和其他配置信息,非法DHCPv6服务器无法为DHCPv6客户端分配IPv6地址和其他配置信息.
且使用displayipv6dhcpsnoopingbinding命令可以查看生成的DHCPv6Snooping表项.
SugarHosts糖果主机圣诞节促销 美国/香港虚拟主机低至6折
SugarHosts 糖果主机商我们算是比较熟悉的,早年学会建站的时候开始就用的糖果虚拟主机,目前他们家还算是为数不多提供虚拟主机的商家,有提供香港、美国、德国等虚拟主机机房。香港机房CN2速度比较快,美国机房有提供优化线路和普通线路适合外贸业务。德国欧洲机房适合欧洲业务的虚拟主机。糖果主机商一般是不会发布黑五活动的,他们在圣圣诞节促销活动是有的,我们看到糖果主机商发布的圣诞节促销虚拟主机低至6折...
iON Cloud七月促销适合稳定不折腾的用户,云服务器新购半年付8.5折,洛杉矶/圣何塞CN2 GT线路,可选Windows系统
iON Cloud怎么样?iON Cloud今天发布了7月份优惠,使用优惠码:VC4VF8RHFL,新购指定型号VPS半年付或以上可享八五折!iON的云服务器包括美国洛杉矶、美国圣何塞(包含了优化线路、CN2 GIA线路)、新加坡(CN2 GIA线路、PCCW线路、移动CMI线路)这几个机房或者线路可供选择,有Linux和Windows系统之分,整体来说针对中国的优化是非常明显的,机器稳定可靠,比...
DogYun香港BGP月付14.4元主机简单测试
前些天赵容分享过DogYun(狗云)香港BGP线路AMD 5950X经典低价云服务器的信息(点击查看),刚好账户还有点余额够开个最低配,所以手贱尝试下,这些贴上简单测试信息,方便大家参考。官方网站:www.dogyun.com主机配置我搞的是最低款优惠后14.4元/月的,配置单核,512MB内存,10GB硬盘,300GB/50Mbps月流量。基本信息DogYun的VPS主机管理集成在会员中心,包括...
启用dhcp为你推荐
-
对对塔为什么不能玩天天擂台?(对对塔)newworldNew World Group是什么组织硬盘工作原理硬盘的工作原理是什么?关键字关键字和一般标识符的区别刘祚天你们知道21世纪的DJ分为几种类型吗?(答对者重赏)月神谭求男变女类的变身小说月神谭给点人妖。变身类得小说。曹谷兰曹谷兰事件 有吧友知道吗porndao单词prondao的汉语是什么www.gegeshe.com有什么好听的流行歌曲