所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置DHCPv6 Relay

配置DHCPv6 Relay

当DHCPv6客户端和服务器不在同一个链路范围内时,可以通过DHCPv6中继来实现DHCPv6客户端与服务器之间DHCPv6报文转发。

应用环境

图5-1所示,DHCPv6客户端在网络A中,而DHCPv6服务器在网络B中。当DHCPv6客户端需要DHCPv6服务器为其分配IPv6地址等配置信息时,则必须配置DHCPv6中继功能来实现DHCPv6报文的转发。

图5-1 DHCPv6 Relay的典型组网图

前置任务

在配置DHCPv6 Relay之前,需完成以下任务:

  • 配置DHCPv6服务器
  • 配置DHCPv6中继接口
  • 配置DHCPv6服务器到DHCPv6中继接口的路由

配置步骤

图5-2 DHCPv6 Relay配置流程

使能DHCPv6功能

DHCPv6功能实体包括客户端、服务器和中继代理。

背景信息

DHCPv6功能实体涵盖了客户端、服务器和中继代理,但是NE20E目前仅支持DHCPv6中继功能。

DUID是DHCPv6设备的唯一标识符(DHCP Unique Identifier),每个DHCPv6客户端和服务器都必须有且只有一个唯一标识符。对于DHCPv6中继,DUID是可选配置。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcpv6 enable,全局使能DHCPv6功能。
  3. (可选)执行命令dhcpv6 duid { duid-value | llt },配置DHCPv6设备的DUID。
  4. 执行命令commit,提交配置。

配置DHCPv6 Relay转发功能

DHCPv6 Relay转发功能在DHCPv6报文的用户侧入接口上进行配置,包括指定报文转发的出接口信息、目的DHCPv6服务器地址或者下一跳DHCPv6中继地址等信息。

背景信息

要对设备连接的某一网段内的DHCPv6客户端实现DHCPv6中继代理功能,必须在连接该网段的接口上进行转发功能配置,如果指定多个出接口和多个目的IPv6地址(包括DHCPv6服务器地址或者下一跳DHCPv6中继地址),则从该接口上收到的客户端报文会被复制多份转发至每个出接口和目的IPv6地址。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. (可选)执行命令dhcpv6 relay server group group-name,配置DHCPv6中继服务器组,并进入服务器组视图。

    当多个接口需要使能DHCPv6中继功能,并且需要指定相同的多个DHCPv6中继服务器时,可以通过配置DHCPv6服务器组简化配置。

  3. (可选)执行命令server server-addr,配置DHCPv6中继服务器组中的服务器地址。
  4. 执行命令quit,退回系统视图。
  5. 执行命令interface interface-type interface-number,进入需要使能DHCPv6中继功能的接口。
  6. 用户可以选择下面两种方式进行配置:

    • 执行命令dhcpv6 relay { interface interface-type interface-number | destination ipv6–address },配置DHCPv6中继转发报文的出接口或目的IPv6地址。
    • 执行命令dhcpv6 relay binding server group group-name,配置接口绑定DHCPv6中继服务器组。

  7. (可选)执行命令dhcpv6 relay link-address ipv6–address,配置DHCPv6中继的网关地址。
  8. (可选)执行命令dhcpv6 relay source-ip-address ipv6–address,配置DHCPv6中继转发报文中的源IPv6地址。
  9. 执行命令quit,退回系统视图。
  10. (可选)执行命令dhcpv6 rate-limit { enable | rate-limit },配置DHCPv6报文全局限速功能。

    当DHCPv6设备受到报文攻击造成系统繁忙时,可以使用全局限速功能控制系统处理DHCPv6报文的速率,超过指定速率后报文会被丢弃。

  11. (可选)执行命令dhcpv6 source-ip-address format adaptive enable,配置DHCPv6中继向DHCPv6客户端回复的报文的源IPv6地址类型为Link-Local类型。
  12. 执行命令commit,提交配置。

(可选)配置DHCPv6 PD Relay功能

DHCPv6 PD Relay功能目前包含PD前缀路由发布,限制客户端接入数目,以及检查报文物理信息。

背景信息

NE20E支持如下DHCPv6 PD Relay功能:
  • 配置DHCPv6 PD前缀路由发布

    在DHCPv6(IA_PD)场景下,DHCPv6中继设备会根据服务器分配给客户端的DHCPv6 PD前缀生成前缀路由,但是缺省情况下该路由仅在本机生效,不对外发布,此时网络上其他设备无法获得到达CPE及下挂用户终端的路由信息,因此会导致CPE下挂的用户终端无法访问网络。可以通过两种方式解决该问题:
    • 手动配置DHCPv6 PD前缀的聚合路由,然后通过路由协议将聚合路由发布给其他设备,使网络上其他设备获得到达CPE及下挂用户终端的路由信息。该方式下网络上其他设备需要学习的路由条数较少,对核心网络冲击较小,推荐用户使用该方式。
    • 通过配置dhcpv6 export pd-route命令使中继设备自动将生成的前缀路由通过路由协议发布给其他设备,因为该前缀路由是到达客户端的路由,而客户端获取和释放前缀是实时变化的,所以前缀路由很难动态聚合,全部的前缀路由发布出去会对核心网络造成较大冲击,故不推荐用户使用该方式。
  • 配置DHCPv6客户端接入限制

    配置DHCPv6客户端接入限制可以基于接口、接口+VLAN进行限制。

  • 配置检查DHCPv6报文物理信息

    对于WLAN用户,用户位置发生改变,报文物理信息可能会发生改变,不需要检查报文物理信息。

    但是对于固定网络用户,用户报文物理信息一般不会发生变化,执行此命令检查报文物理信息可以避免安全隐患。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcpv6 export pd-route,配置中继设备自动发布DHCPv6 PD前缀路由。
  3. 执行命令dhcpv6 relay pd-route auto-save file-name,使能前缀路由信息的自动保存功能。

    中继设备重启后,前缀路由会丢失,使得用户不能访问网络,可以使用该命令使能前缀路由信息的自动保存功能,当中继设备重启后,中继可以根据保存的文件恢复前缀路由信息。

  4. 执行命令interface interface-type interface-number,进入使能了DHCPv6中继功能的接口。
  5. 执行命令dhcpv6 relay access-limit,配置中继接口上允许接入DHCPv6客户端的最大数目,超过限制后,新的DHCPv6客户端将被限制接入。

    • dhcpv6 relay access-limit limit-number命令用来配置基于DHCPv6中继接口的DHCPv6客户端最大数目限制。
    • dhcpv6 relay access-limit limit-number vlan vlan-id [ end-vlan-id ]命令配置基于DHCPv6中继接口+指定VLAN的DHCPv6客户端的最大数目限制。配置起始和结束VLAN时,表示这段VLAN内每个VLAN限制接入的DHCPv6客户端数目都是配置的数目,每个接口支持配置16个VLAN段。例如子接口GE0/1/1.1下配置命令dhcpv6 relay access-limit 1 vlan 1 100表示VLAN 1到100的每个VLAN只能接入1个DHCPv6客户端。
    • dhcpv6 relay access-limit limit-number pevlan pevlan-id { cevlan cevlan-id [ end-cevlan-id ] | any }命令用来配置基于DHCPv6中继接口+双层VLAN的DHCPv6客户端的数目限制。每个接口支持配置16个VLAN段,cevlan指定any关键字时,表示配置的DHCPv6客户端的数目限制适用pevlan对应的所有未配置限制数的cevlancevlanany配置占用16个VLAN段中一个VLAN。例如子接口GE0/1/1.1下配置dhcpv6 relay access-limit 1 pevlan 2 cevlan 1 100dhcpv6 relay access-limit 2 pevlan 2 cevlan any命令,表示PEVLAN 2且CEVLAN 1到100的每对VLAN只能接入1个DHCPv6客户端,PEVLAN 2中CEVLAN 101到4094的每对VLAN只能接入2个DHCPv6客户端。
    • dhcpv6 relay access-limit limit-number vlan any命令表示配置的DHCPv6客户端数目限制适用所有未配置限制数的单层VLAN和双层VLAN,该配置不占用接口的16个单层VLAN段和16个双层VLAN段的配置规格。当需要对DHCPv6中继接口+VLAN接入的DHCPv6客户端数目做限制时,配置该命令行。例如客户端通过QinQ方式接入,每对VLAN表示一个VLAN,可以配置命令dhcpv6 relay access-limit 1 vlan any限制每对VLAN只接入一个用户,可以阻止客户端变换MAC和DUID发送DHCPv6报文,占用DHCPv6中继设备的客户端表项规格。

  6. 执行命令dhcpv6 relay strict-check interface-info,配置使能中继接口检查DHCPv6报文物理信息的功能。
  7. 执行命令commit,提交配置。

(可选)配置DHCPv6 Relay报文选项

DHCPv6中继选项目前支持Interface-ID选项、Remote-ID选项、Subscriber-ID选项,提供DHCPv6服务器用于地址分配和参数配置。

背景信息

服务器根据报文中的选项信息来进行IPv6地址分配和参数配置,用户可以根据服务器的实现来选择是否在中继代理上使能下述选项功能:

  • Interface-ID选项包含中继收到客户端报文的入接口信息。
  • Remote-ID选项包含中继代理的DUID、端口、VLAN等信息。
  • Subscriber-ID选项包含客户端的MAC信息。

其中,Interface-ID、Remote-ID、Subscriber-ID可配置于二层模式或三层模式的以太网接口。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number,进入需要使能DHCPv6中继报文选项的接口。
  3. 执行命令dhcpv6 relay option-insert { interface-id mode { cn-telecom | tr-101 } | remote-id | subscriber-id }或者dhcpv6 relay option-insert { interface-id mode self-define self-define-value | remote-id mode self-define self-define-value },配置DHCPv6中继支持Interface-ID选项、Subscriber-ID选项和Remote-ID选项功能。
  4. 执行命令commit,提交配置。

(可选)配置DHCPv6 Relay的IPSec认证

为了防御网络攻击,可以对DHCPv6中继代理之间或者DHCPv6中继代理与服务器之间的报文进行IPSec认证保护。

背景信息

攻击者伪装成DHCPv6服务器向客户端发送虚假的DHCPv6报文,可能导致客户端受到拒绝服务攻击,或者客户端被错误配置。通过对DHCPv6中继之间,或者DHCPv6中继和服务器之间的DHCPv6报文进行IPSec认证,从而对网络攻击起到一定的防御作用。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dhcpv6 ipsec sa sa-name [ peer peer-ipv6–address [ vpn-instance vpn-instance ] ],使能DHCPv6中继之间、DHCPv6中继和服务器之间的报文的IPSec认证保护功能。

    说明:

    在执行该命令前,必须先配置IPSec安全联盟,具体配置请参见IPSec配置。

  3. 执行命令commit,提交配置。

检查配置结果

在主机/路由器上配置DHCPv6 Relay功能后,可以查看DHCPv6 Relay的配置信息。

前提条件

DHCPv6 Relay已成功配置并能够转发报文。

操作步骤

  • 执行命令display dhcpv6 relay statistics来查看DHCPv6 Relay的报文统计信息。
  • 执行命令display dhcpv6 relay configuration来查看DHCPv6 Relay的全局配置信息。

任务示例

执行命令display dhcpv6 relay statistics查看DHCPv6 Relay的报文统计信息,如果能够看到各种DHCPv6报文的统计计数,则表明配置成功。

<HUAWEI> display dhcpv6 relay statistics
  -------------------------------------------------------------------
  Bad Packets received                                :   0
  DHCPv6 packets received from clients                :   41357
         DHCPv6 SOLICIT packets received              :   41357
         DHCPv6 REQUEST packets received              :   0
         DHCPv6 CONFIRM packets received              :   0
         DHCPv6 RENEW packets received                :   0
         DHCPv6 REBIND packets received               :   0
         DHCPv6 DECLINE packets received              :   0
         DHCPv6 RELEASE packets received              :   0
         DHCPv6 INFORMATION-REQUEST packets received  :   0

  DHCPv6 packets received from relay agents or servers:   6
         DHCPv6 RELAY-FORWARD packets received        :   6
         DHCPv6 RELAY-REPLY packets received          :   0

  DHCPv6 packets sent to clients                      :   0
         DHCPv6 ADVERTISE packets sent                :   0
         DHCPv6 REPLY packets sent                    :   0
         DHCPv6 RECONFIGURE packets sent              :   0

  DHCPv6 packets sent to relay agents or servers      :   41333
         DHCPv6 RELAY-FORWARD packets sent            :   41333
         DHCPv6 RELAY-REPLY packets sent              :   0

  DHCPv6 packets dropped                              :   33
         Table Full                                   :   0
         General Error                                :   33
         IPSec Authentication Failed                  :   0
  -------------------------------------------------------------------

执行命令display dhcpv6 relay configuration查看DHCPv6 Relay的全局配置信息。

<HUAWEI> display dhcpv6 relay configuration
DHCPv6 DUID: 12334ef34
DHCPv6 export pd-route: enable
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1510

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页