• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

04-安全配置指导

目录

05-DHCPv6 Snooping配置

本章节下载 05-DHCPv6 Snooping配置  (282.62 KB)

05-DHCPv6 Snooping配置


1 DHCPv6 Snooping

1.1  DHCPv6 Snooping简介

DHCPv6 Snooping是DHCPv6的一种安全特性,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系。

1.1.1  保证客户端从合法的服务器获取IPv6地址或IPv6前缀

网络中如果存在私自架设的非法DHCPv6服务器,则可能导致DHCPv6客户端获取错误的IPv6地址和网络配置参数,从而无法正常通信。为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:

·     信任端口正常转发接收到的DHCPv6报文。

·     不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文。

图1-1 信任端口和非信任端口

 

图1-1所示,在DHCPv6 Snooping设备上指向DHCPv6服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的非法DHCPv6服务器无法为DHCPv6客户端分配地址。

1.1.2  记录DHCPv6客户端IPv6地址与MAC地址的对应关系

DHCPv6 Snooping通过监听DHCPv6报文,记录DHCPv6 Snooping表项,其中包括客户端的MAC地址、获取到的IPv6地址、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping binding命令查看客户端获取的IPv6地址信息,以便了解用户上网时所用的IPv6地址,并对其进行管理和监控。

1.1.3  记录DHCPv6客户端IPv6前缀与端口的对应关系

DHCPv6 Snooping通过监听DHCPv6报文中的前缀和收到DHCPv6请求报文的端口信息,记录DHCPv6 Snooping前缀表项,其中包括客户端获取到的IPv6前缀、租约信息、与DHCPv6客户端连接的端口及该端口所属的VLAN等信息。网络管理员可以通过display ipv6 dhcp snooping pd binding命令查看客户端获取的IPv6前缀信息,以便了解用户上网时所用的IPv6前缀,并对其进行管理和监控。

1.2  DHCPv6 snooping配置限制和指导

·     设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,DHCPv6 Snooping功能配置后才能正常工作;设备位于DHCPv6服务器与DHCPv6中继之间时,DHCPv6 Snooping功能配置后不能正常工作。

·     如果二层以太网接口加入了聚合组,则加入聚合组之前和加入聚合组之后在该接口上进行的DHCPv6 Snooping相关配置不会生效;该接口退出聚合组后,DHCPv6 Snooping的配置才会生效。

·     为了使DHCPv6客户端能从合法的DHCPv6服务器获取IPv6地址,必须将与合法DHCPv6服务器相连的端口设置为信任端口,且设置的信任端口和与DHCPv6客户端相连的端口必须在同一个VLAN内。

1.3  DHCPv6 Snooping配置任务简介

DHCPv6 Snooping配置任务如下:

(1)     配置DHCPv6 Snooping基本功能

(2)     (可选)配置DHCPv6 Snooping支持Option 18功能

(3)     (可选)配置DHCPv6 Snooping支持Option 37功能

(4)     (可选)配置DHCPv6 Snooping表项固化功能

(5)     (可选)配置接口动态学习DHCPv6 Snooping表项的最大数目

(6)     (可选)开启DHCPv6 Snooping报文限速功能

(7)     (可选)开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

(8)     (可选)_Ref469328281

(9)     开启DHCPv6 Snooping的Relay-Forward报文检查功能

(10)     开启DHCPv6 Snooping的用户下线探测功能

(11)     (可选)开启DHCPv6 Snooping日志和告警功能

¡     开启DHCPv6 Snooping日志信息功能

¡     开启DHCPv6 Snooping报文丢弃告警功能

1.4  配置DHCPv6 Snooping基本功能

1.4.1  在普通组网中配置DHCPv6 Snooping基本功能

1. 功能简介

在一台DHCPv6 Snooping设备上,如果全局开启了DHCPv6 Snooping功能,则设备上所有VLAN内的DHCPv6 Snooping功能也同时开启。

对于某些组网来说,管理员只需要在设备在某些特定VLAN内开启DHCPv6 Snooping功能,而不需要在整个设备上开启DHCPv6 Snooping功能。为了满足此需求,设备支持在指定VLAN内开启DHCPv6 Snooping功能,并在VLAN内配置DHCPv6 Snooping信任端口和开启端口的DHCPv6 Snooping表项记录功能。

2. 配置限制和指导

在一台设备上,全局DHCPv6 Snooping功能和VLAN内的DHCPv6 Snooping功能关系如下:

·     如果全局开启了DHCPv6 Snooping基本功能(包括开启DHCPv6 Snooping功能、配置信任端口和配置DHCPv6 Snooping表项记录功能),只能使用对应的全局命令关闭功能,使用VLAN内的命令关闭功能不生效;

·     如果VLAN内开启了DHCPv6 Snooping基本功能(包括开启DHCPv6 Snooping功能、配置信任端口和配置DHCPv6 Snooping表项记录功能),只能使用对应的VLAN内命令关闭功能,使用全局命令关闭功能不生效。

3. 全局开启DHCPv6 Snooping功能

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping功能。

ipv6 dhcp snooping enable

缺省情况下,DHCPv6 Snooping功能处于关闭状态。

(3)     进入接口视图。

interface interface-type interface-number

此接口为连接DHCPv6服务器的接口。

(4)     配置DHCPv6 Snooping信任端口。

ipv6 dhcp snooping trust

缺省情况下,开启DHCPv6 Snooping功能后,设备的所有端口均为不信任端口。

(5)     (可选)开启端口的DHCPv6 Snooping表项记录功能

a.     退回系统视图。

quit

b.     进入接口视图。

interface interface-type interface-number

此接口为连接DHCPv6客户端的接口。

c.     开启端口的DHCPv6 Snooping表项记录功能。请至少选择其中一项进行配置。

-     开启端口的DHCPv6 Snooping地址表项记录功能。

ipv6 dhcp snooping binding record

缺省情况下,端口的DHCPv6 Snooping地址表项记录功能处于关闭状态。

-     开启端口的DHCPv6 Snooping前缀表项记录功能。

ipv6 dhcp snooping pd binding record

缺省情况下,端口的DHCPv6 Snooping前缀表项记录功能处于关闭状态。

4. 在VLAN中配置DHCPv6 Snooping基本功能

(1)     进入系统视图。

system-view

(2)     在指定VLAN内开启DHCPv6 Snooping功能。

ipv6 dhcp snooping enable vlan vlan-id-list

缺省情况下,所有VLAN内的DHCPv6 Snooping功能处于关闭状态。

(3)     进入VLAN视图。

vlan vlan-id

该VLAN为开启了DHCPv6 Snooping功能的VLAN。

(4)     配置指定接口为VLAN下DHCPv6 Snooping功能的信任端口。

ipv6 dhcp snooping trust interface interface-type interface-number

缺省情况下,在开启DHCPv6 Snooping功能后,VLAN内的所有接口均为不信任端口。

(5)     (可选)开启VLAN内的DHCPv6 Snooping表项记录功能。请至少选择其中一项进行配置。

¡     开启VLAN内的DHCPv6 Snooping地址表项记录功能。

ipv6 dhcp snooping binding record

缺省情况下,VLAN内的DHCPv6 Snooping地址表项记录功能处于关闭状态。

¡     开启VLAN内的DHCPv6 Snooping前缀表项记录功能。

ipv6 dhcp snooping pd binding record

缺省情况下,VLAN内的DHCPv6 Snooping前缀表项记录功能处于关闭状态。

1.5  配置DHCPv6 Snooping支持Option 18功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping支持Option 18功能。

ipv6 dhcp snooping option interface-id enable

缺省情况下,DHCPv6 Snooping支持Option 18功能处于关闭状态。

(4)     (可选)配置Option 18选项中的DUID。

ipv6 dhcp snooping option interface-id [ vlan vlan-id ] string interface-id

缺省情况下,Option 18选项中的DUID为本设备的DUID。

1.6  配置DHCPv6 Snooping支持Option 37功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping支持Option 37功能。

ipv6 dhcp snooping option remote-id enable

缺省情况下,DHCPv6 Snooping支持Option 37功能处于关闭状态。

(4)     (可选)配置Option 37选项中的DUID。

ipv6 dhcp snooping option remote-id [ vlan vlan-id ] string remote-id

缺省情况下,Option 37选项中的DUID为本设备的DUID。

1.7  配置DHCPv6 Snooping表项固化功能

1. 功能简介

DHCPv6 Snooping设备重启后,设备上记录的DHCPv6 Snooping表项将丢失。如果DHCPv6 Snooping与其他特性(如IP Source Guard)配合使用,表项丢失会导致安全特性无法通过DHCPv6 Snooping获取到相应的表项,进而导致DHCPv6客户端不能顺利通过安全检查、正常访问网络。

DHCPv6 Snooping表项备份功能将DHCPv6 Snooping表项保存到指定的文件中,DHCPv6 Snooping设备重启后,自动根据该文件恢复DHCPv6 Snooping表项,从而保证DHCPv6 Snooping表项不会丢失。

2. 配置限制和指导

·     执行undo ipv6 dhcp snooping enable命令关闭DHCPv6 Snooping功能后,设备会删除所有DHCPv6 Snooping表项,文件中存储的DHCPv6 Snooping表项也将被删除。

·     执行ipv6 dhcp snooping binding database filename命令后,会立即触发一次表项备份。

¡     如果未配置ipv6 dhcp snooping binding database update interval命令,若表项发生变化,默认在300秒之后刷新存储文件;若表项未发生变化,则不再刷新存储文件。

¡     如果配置了ipv6 dhcp snooping binding database update interval命令,若表项发生变化,则到达刷新时间间隔后刷新存储文件;若表项未发生变化,则不再刷新存储文件。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     指定存储DHCPv6 Snooping表项的文件名称。

ipv6 dhcp snooping binding database filename { filename | url url [ username username [ password { cipher | simple } string ] ] }

缺省情况下,未指定存储文件名称。

(3)     (可选)将当前的DHCPv6 Snooping表项保存到用户指定的文件中。

ipv6 dhcp snooping binding database update now

本命令只用来触发一次DHCPv6 Snooping表项的备份。

(4)     (可选)配置刷新DHCPv6 Snooping表项存储文件的延迟时间。

ipv6 dhcp snooping binding database update interval interval

缺省情况下,若DHCPv6 Snooping表项不变化,则不刷新存储文件;若DHCPv6 Snooping表项发生变化,默认在300秒之后刷新存储文件。

1.8  配置接口动态学习DHCPv6 Snooping表项的最大数目

1. 功能简介

通过本配置可以限制接口动态学习DHCPv6 Snooping表项的最大数目,以防止接口学习到大量DHCPv6 Snooping表项,占用过多的系统资源。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置接口动态学习DHCPv6 Snooping表项的最大数目。

ipv6 dhcp snooping max-learning-num max-number

缺省情况下,不限制接口动态学习DHCPv6 Snooping表项的数目。

1.9  开启DHCPv6 Snooping报文限速功能

1. 功能简介

为了避免非法用户发送大量的DHCPv6报文,对网络造成攻击,DHCPv6 Snooping支持报文限速功能,限制接口接收DHCPv6报文的速率。当接口接收的DHCPv6报文速率超过限制的最高速率时,DHCPv6 Snooping设备将丢弃超过速率限制的报文。

2. 配置限制和指导

如果二层以太网接口加入了聚合组,则该接口采用对应二层聚合接口下的DHCPv6 Snooping的报文限速配置。如果二层以太网接口离开聚合组,则该接口采用二层以太网接口下的DHCPv6 Snooping的报文限速配置。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping的报文限速功能。

ipv6 dhcp snooping rate-limit rate

缺省情况下,DHCPv6 Snooping的报文限速功能处于关闭状态,即不限制接口接收DHCPv6报文的速率。

1.10  开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能

1. 功能简介

本功能用来检查DHCPv6-Renew、DHCPv6-Decline和DHCPv6-Release三种DHCPv6请求方向的报文,以防止非法客户端伪造这三种报文对DHCPv6服务器进行攻击。

伪造DHCPv6-Renew报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Renew报文,导致DHCPv6服务器和DHCPv6客户端无法按照自己的意愿及时释放IPv6地址租约。如果攻击者冒充不同的DHCPv6客户端发送大量伪造的DHCPv6-Renew报文,则会导致大量IPv6地址被长时间占用,DHCPv6服务器没有足够的地址分配给新的DHCPv6客户端。

伪造DHCPv6-Decline/DHCPv6-Release报文攻击是指攻击者冒充合法的DHCPv6客户端,向DHCPv6服务器发送伪造的DHCPv6-Decline/DHCPv6-Release报文,导致DHCPv6服务器错误终止IPv6地址租约。

在DHCPv6 Snooping设备上开启DHCPv6请求方向报文检查功能,可以有效地防止伪造DHCPv6请求方向报文攻击。如果开启了该功能,则DHCPv6 Snooping设备接收到上述报文后,检查本地是否存在与请求方向报文匹配的DHCPv6 Snooping表项。若存在,则接收报文信息与DHCPv6 Snooping表项信息一致时,认为该报文为合法的DHCPv6请求方向报文,将其转发给DHCPv6服务器;不一致时,认为该报文为伪造的DHCPv6请求方向报文,将其丢弃。若不存在,则认为该报文合法,将其转发给DHCPv6服务器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping的DHCPv6请求方向报文检查功能。

ipv6 dhcp snooping check request-message

缺省情况下,DHCPv6 Snooping的DHCPv6请求方向报文检查功能处于关闭状态。

1.11  开启DHCPv6 Snooping的Relay-Forward报文检查功能

1. 功能简介

当DHCPv6中继收到DHCPv6请求报文后,会生成和请求报文对应的Relay-Forward报文,且将客户端信息添加到报文的Option 79选项,再将该报文转发给DHCPv6服务器。DHCPv6 Snooping设备只有位于DHCPv6客户端与DHCPv6服务器之间,或DHCPv6客户端与DHCPv6中继之间时,才能正常工作。当DHCPv6 Snooping收到Relay-Forward报文时,表示DHCPv6 Snooping设备位于DHCPv6中继与DHCPv6服务器之间,DHCPv6 Snooping无法正常工作。开启本功能后,当DHCPv6 Snooping收到Relay-Forward报文时,直接丢弃该报文。当丢弃的报文数大于或等于阈值时,DHCPv6 Snooping会生成日志信息。管理员看到相关日志信息后,可以及时调整DHCPv6设备的位置,使DHCPv6 Snooping可以正常工作。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启DHCPv6 Snooping的Relay-Forward报文检查功能。

ipv6 dhcp snooping check relay-forward

缺省情况下,DHCPv6 Snooping的Relay-Forward报文检查功能处于关闭状态。

1.12  开启DHCPv6 Snooping的用户下线探测功能

1. 功能简介

当DHCPv6客户端非正常下线时,不会向DHCPv6服务器发送报文释放地址租约,这会使DHCPv6服务器上无法获知DHCPv6客户端下线,导致地址租约浪费。开启本功能后,当设备上的某条ND表项老化后,DHCPv6 Snooping就认为该表项对应的DHCPv6客户端已经下线,则DHCPv6 Snooping会删除对应的DHCPv6 Snooping表项,并构造Release报文通知DHCPv6服务器删除对应的地址租约。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping的用户下线探测功能。

ipv6 dhcp snooping client-detect

缺省情况下,DHCPv6 Snooping的用户下线探测功能处于关闭状态。

1.13  开启DHCPv6 Snooping日志和告警功能

1.13.1  开启DHCPv6 Snooping日志信息功能

1. 功能简介

DHCPv6 Snooping日志可以方便管理员定位问题和解决问题。DHCPv6 Snooping设备生成DHCPv6 Snooping日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

2. 配置限制和指导

当DHCPv6 Snooping设备输出大量日志信息时,可能会降低设备性能。为了避免该情况的发生,用户可以关闭DHCPv6 Snooping日志信息功能,使得DHCPv6 Snooping设备不再输出日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping日志信息功能。

ipv6 dhcp snooping log enable

缺省情况下,DHCPv6 Snooping日志信息功能处于关闭状态。

1.13.2  开启DHCPv6 Snooping报文丢弃告警功能

1. 功能简介

开启本功能后,当指定检查功能丢弃的报文数大于或等于通过ipv6 dhcp snooping alarm threshold命令指定的报文丢弃告警阈值后,设备就会生成相应的告警日志信息,并将日志信息交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

2. 配置限制和指导

只有开启DHCPv6 Snooping日志信息功能(通过ipv6 dhcp snooping log enable命令),才能输出告警日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启DHCPv6 Snooping报文丢弃告警功能。

ipv6 dhcp snooping alarm { relay-forward | request-message } enable

缺省情况下,DHCPv6 Snooping报文丢弃告警功能处于关闭状态。

(3)     设置DHCPv6 Snooping报文丢弃告警阈值。

ipv6 dhcp snooping alarm { relay-forward | request-message } threshold threshold

缺省情况下,DHCPv6 Snooping报文丢弃告警阈值为100。

1.14  DHCPv6 Snooping显示和维护

1.14.1  显示DHCPv6 Snooping的信任端口信息

可在任意视图下执行以下命令,显示DHCPv6 Snooping信任端口信息。

display ipv6 dhcp snooping trust

1.14.2  显示和清除DHCPv6 Snooping表项信息

可在任意视图下执行以下命令:

·     显示DHCPv6 Snooping地址表项信息。

display ipv6 dhcp snooping binding [ address ipv6-address [ vlan vlan-id | interface interface-type interface-number ] ]

·     显示DHCPv6 Snooping前缀表项信息。

display ipv6 dhcp snooping pd binding [ interface interface-type interface-number | prefix prefix/prefix-length [ vlan vlan-id ] ]

·     显示DHCPv6 Snooping表项备份信息。

display ipv6 dhcp snooping binding database

请在用户视图下执行以下命令:

·     清除DHCPv6 Snooping地址表项信息。

reset ipv6 dhcp snooping binding { all | address ipv6-address [ vlan vlan-id ] }

·     清除DHCPv6 Snooping前缀表项信息。

reset ipv6 dhcp snooping pd binding { all | prefix prefix/prefix-length [ vlan vlan-id ] }

1.14.3  显示和清除DHCPv6 Snooping的DHCPv6报文统计信息

可在任意视图下执行以下命令,显示DHCPv6 Snooping设备上的DHCPv6报文统计信息。

display ipv6 dhcp snooping packet statistics [ slot slot-number ]

请在用户视图下执行以下命令,清除DHCPv6 Snooping设备上的DHCPv6报文统计信息。

reset ipv6 dhcp snooping packet statistics [ slot slot-number ]

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们