05-DHCPv6 Snooping配置
本章节下载: 05-DHCPv6 Snooping配置 (282.62 KB)
目 录
1.1.1 保证客户端从合法的服务器获取IPv6地址或IPv6前缀
1.1.2 记录DHCPv6客户端IPv6地址与MAC地址的对应关系
1.1.3 记录DHCPv6客户端IPv6前缀与端口的对应关系
1.4.1 在普通组网中配置DHCPv6 Snooping基本功能
1.5 配置DHCPv6 Snooping支持Option 18功能
1.6 配置DHCPv6 Snooping支持Option 37功能
1.8 配置接口动态学习DHCPv6 Snooping表项的最大数目
1.10 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能
1.11 开启DHCPv6 Snooping的Relay-Forward报文检查功能
1.12 开启DHCPv6 Snooping的用户下线探测功能
1.13.1 开启DHCPv6 Snooping日志信息功能
1.13.2 开启DHCPv6 Snooping报文丢弃告警功能
1.14.1 显示DHCPv6 Snooping的信任端口信息
1.14.2 显示和清除DHCPv6 Snooping表项信息
1.14.3 显示和清除DHCPv6 Snooping的DHCPv6报文统计信息
DHCPv6 Snooping是DHCPv6的一种安全特性,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系。
网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信。为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:
· 信任端口正常转发接收到的DHCPv6报文。
· 不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。
如图1-1所示,在DHCPv6 Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址。
DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping binding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控。
DHCPv6 Snooping通过监听DHCPv6报文中的前缀和收到DHCPv6请求报文的端口信息,记录DHCPv6 Snooping前缀表项,其中包括客户端获取到的IPv6前缀、租约信息、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping pd binding命令查看客户端获取的IPv6前缀信息,以便了解用户上网时所用的IPv6前缀,并对其进行管理和监控。
· 设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。
· 如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6 Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6 Snooping的配置才会生效。
· 为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内。
DHCPv6 Snooping配置任务如下:
(2) (可选)配置DHCPv6 Snooping支持Option 18功能
(3) (可选)配置DHCPv6 Snooping支持Option 37功能
(4) (可选)配置DHCPv6 Snooping表项固化功能
(5) (可选)配置接口动态学习DHCPv6 Snooping表项的最大数目
(6) (可选)开启DHCPv6 Snooping报文限速功能
(7) (可选)开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能
(8) (可选)_Ref469328281
(9) 开启DHCPv6 Snooping的Relay-Forward报文检查功能
(10) 开启DHCPv6 Snooping的用户下线探测功能
(11) (可选)开启DHCPv6 Snooping日志和告警功能
在一台DHCPv6 Snooping设备上,如果全局开启了DHCPv6 Snooping功能,则设备上所有VLAN内的DHCPv6 Snooping功能也同时开启。
对于某些组网来说,管理员只需要在设备在某些特定VLAN内开启DHCPv6 Snooping功能,而不需要在整个设备上开启DHCPv6 Snooping功能。为了满足此需求,设备支持在指定VLAN内开启DHCPv6 Snooping功能,并在VLAN内配置DHCPv6 Snooping信任端口和开启端口的DHCPv6 Snooping表项记录功能。
在一台设备上,全局DHCPv6 Snooping功能和VLAN内的DHCPv6 Snooping功能关系如下:
· 如果全局开启了DHCPv6 Snooping基本功能(包括开启DHCPv6 Snooping功能、配置信任端口和配置DHCPv6 Snooping表项记录功能),只能使用对应的全局命令关闭功能,使用VLAN内的命令关闭功能不生效;
· 如果VLAN内开启了DHCPv6 Snooping基本功能(包括开启DHCPv6 Snooping功能、配置信任端口和配置DHCPv6 Snooping表项记录功能),只能使用对应的VLAN内命令关闭功能,使用全局命令关闭功能不生效。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping功能。
ipv6 dhcp snooping enable
缺省情况下,DHCPv6 Snooping功能处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
此接口为连接DHCPv6服务器的接口。
(4) 配置DHCPv6 Snooping信任端口。
ipv6 dhcp snooping trust
缺省情况下,开启DHCPv6 Snooping功能后,设备的所有端口均为不信任端口。
(5) (可选)开启端口的DHCPv6 Snooping表项记录功能
a. 退回系统视图。
quit
b. 进入接口视图。
interface interface-type interface-number
此接口为连接DHCPv6客户端的接口。
c. 开启端口的DHCPv6 Snooping表项记录功能。请至少选择其中一项进行配置。
- 开启端口的DHCPv6 Snooping地址表项记录功能。
ipv6 dhcp snooping binding record
缺省情况下,端口的DHCPv6 Snooping地址表项记录功能处于关闭状态。
- 开启端口的DHCPv6 Snooping前缀表项记录功能。
ipv6 dhcp snooping pd binding record
缺省情况下,端口的DHCPv6 Snooping前缀表项记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 在指定VLAN内开启DHCPv6 Snooping功能。
ipv6 dhcp snooping enable vlan vlan-id-list
缺省情况下,所有VLAN内的DHCPv6 Snooping功能处于关闭状态。
(3) 进入VLAN视图。
vlan vlan-id
该VLAN为开启了DHCPv6 Snooping功能的VLAN。
(4) 配置指定接口为VLAN下DHCPv6 Snooping功能的信任端口。
ipv6 dhcp snooping trust interface interface-type interface-number
缺省情况下,在开启DHCPv6 Snooping功能后,VLAN内的所有接口均为不信任端口。
(5) (可选)开启VLAN内的DHCPv6 Snooping表项记录功能。请至少选择其中一项进行配置。
¡ 开启VLAN内的DHCPv6 Snooping地址表项记录功能。
ipv6 dhcp snooping binding record
缺省情况下,VLAN内的DHCPv6 Snooping地址表项记录功能处于关闭状态。
¡ 开启VLAN内的DHCPv6 Snooping前缀表项记录功能。
ipv6 dhcp snooping pd binding record
缺省情况下,VLAN内的DHCPv6 Snooping前缀表项记录功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping支持Option 18功能。
ipv6 dhcp snooping option interface-id enable
缺省情况下,DHCPv6 Snooping支持Option 18功能处于关闭状态。
(4) (可选)配置Option 18选项中的DUID。
ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id
缺省情况下,Option 18选项中的DUID为本设备的DUID。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping支持Option 37功能。
ipv6 dhcp snooping option remote-id enable
缺省情况下,DHCPv6 Snooping支持Option 37功能处于关闭状态。
(4) (可选)配置Option 37选项中的DUID。
ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id
缺省情况下,Option 37选项中的DUID为本设备的DUID。
DHCPv6 Snooping设备重启后,设备上记录的DHCPv6 Snooping表项将丢失。如果DHCPv6 Snooping与其他特性(如IP Source Guard)配合使用,表项丢失会导致安全特性无法通过DHCPv6 Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络。
DHCPv6 Snooping表项备份功能将DHCPv6 Snooping表项保存到指定的文件中,DHCPv6 Snooping设备重启后,自动根据该文件恢复DHCPv6 Snooping表项,从而保证DHCPv6 Snooping表项不会丢失。
· 执行undo ipv6 dhcp snooping enable命令关闭DHCPv6 Snooping功能后,设备会删除所有DHCPv6 Snooping表项,文件中存储的DHCPv6 Snooping表项也将被删除。
· 执行ipv6 dhcp snooping binding database filename命令后,会立即触发一次表项备份。
¡ 如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
¡ 如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。
(1) 进入系统视图。
system-view
(2) 指定存储DHCPv6 Snooping表项的文件名称。
ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }
缺省情况下,未指定存储文件名称。
(3) (可选)将当前的DHCPv6 Snooping表项保存到用户指定的文件中。
ipv6 dhcp snooping binding database update now
本命令只用来触发一次DHCPv6 Snooping表项的备份。
(4) (可选)配置刷新DHCPv6 Snooping表项存储文件的延迟时间。
ipv6 dhcp snooping binding database update interval interval
缺省情况下,若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。
通过本配置可以限制接口动态学习DHCPv6 Snooping表项的最大数目,以防止接口学习到大量DHCPv6 Snooping表项,占用过多的系统资源。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置接口动态学习DHCPv6 Snooping表项的最大数目。
ipv6 dhcp snooping max-learning-num max-number
缺省情况下,不限制接口动态学习DHCPv6 Snooping表项的数目。
为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6 Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率。当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6 Snooping设备将丢弃超过速率限制的报文。
如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6 Snooping的报文限速配置。如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6 Snooping的报文限速配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping的报文限速功能。
ipv6 dhcp snooping rate-limit rate
缺省情况下,DHCPv6 Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率。
本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击。
伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约。如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端。
伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约。
在DHCPv6 Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击。如果开启了该功能,则DHCPv6 Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6 Snooping表项。若存在,则接收报文信息与DHCPv6 Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCPv6服务器。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。
ipv6 dhcp snooping check request-message
缺省情况下,DHCPv6 Snooping的DHCPv6请求方向报文检查功能处于关闭状态。
当DHCPv6中继收到DHCPv6请求报文后,会生成和请求报文对应的Relay-Forward报文,且将客户端信息添加到报文的Option 79选项,再将该报文转发给DHCPv6服务器。DHCPv6 Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,才能正常工作。当DHCPv6 Snooping收到Relay-Forward报文时,表示DHCPv6 Snooping设备位于DHCPv6中继与DHCPv6服务器之间,DHCPv6 Snooping无法正常工作。开启本功能后,当DHCPv6 Snooping收到Relay-Forward报文时,直接丢弃该报文。当丢弃的报文数大于或等于阈值时,DHCPv6 Snooping会生成日志信息。管理员看到相关日志信息后,可以及时调整DHCPv6设备的位置,使DHCPv6 Snooping可以正常工作。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启DHCPv6 Snooping的Relay-Forward报文检查功能。
ipv6 dhcp snooping check relay-forward
缺省情况下,DHCPv6 Snooping的Relay-Forward报文检查功能处于关闭状态。
当DHCPv6客户端非正常下线时,不会向DHCPv6服务器发送报文释放地址租约,这会使DHCPv6服务器上无法获知DHCPv6客户端下线,导致地址租约浪费。开启本功能后,当设备上的某条ND表项老化后,DHCPv6 Snooping就认为该表项对应的DHCPv6客户端已经下线,则DHCPv6 Snooping会删除对应的DHCPv6 Snooping表项,并构造Release报文通知DHCPv6服务器删除对应的地址租约。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping的用户下线探测功能。
ipv6 dhcp snooping client-detect
缺省情况下,DHCPv6 Snooping的用户下线探测功能处于关闭状态。
DHCPv6 Snooping日志可以方便管理员定位问题和解决问题。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping日志信息功能。
ipv6 dhcp snooping log enable
缺省情况下,DHCPv6 Snooping日志信息功能处于关闭状态。
开启本功能后,当指定检查功能丢弃的报文数大于或等于通过ipv6 dhcp snooping alarm threshold命令指定的报文丢弃告警阈值后,设备就会生成相应的告警日志信息,并将日志信息交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
只有开启DHCPv6 Snooping日志信息功能(通过ipv6 dhcp snooping log enable命令),才能输出告警日志信息。
(1) 进入系统视图。
system-view
(2) 开启DHCPv6 Snooping报文丢弃告警功能。
ipv6 dhcp snooping alarm { relay-forward | request-message } enable
缺省情况下,DHCPv6 Snooping报文丢弃告警功能处于关闭状态。
(3) 设置DHCPv6 Snooping报文丢弃告警阈值。
ipv6 dhcp snooping alarm { relay-forward | request-message } threshold threshold
缺省情况下,DHCPv6 Snooping报文丢弃告警阈值为100。
可在任意视图下执行以下命令,显示DHCPv6 Snooping信任端口信息。
display ipv6 dhcp snooping trust
可在任意视图下执行以下命令:
· 显示DHCPv6 Snooping地址表项信息。
display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id | interface interface-type interface-number ] ]
· 显示DHCPv6 Snooping前缀表项信息。
display ipv6 dhcp snooping pd binding [ interface interface-type interface-number | prefix prefix/prefix-length [ vlan vlan-id ] ]
· 显示DHCPv6 Snooping表项备份信息。
display ipv6 dhcp snooping binding database
请在用户视图下执行以下命令:
· 清除DHCPv6 Snooping地址表项信息。
reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }
· 清除DHCPv6 Snooping前缀表项信息。
reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }
可在任意视图下执行以下命令,显示DHCPv6 Snooping设备上的DHCPv6报文统计信息。
display ipv6 dhcp snooping packet statistics [ slot slot-number ]
请在用户视图下执行以下命令,清除DHCPv6 Snooping设备上的DHCPv6报文统计信息。
reset ipv6 dhcp snooping packet statistics [ slot slot-number ]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!