正文共:1024 字 11 图,预估阅读时间:1 分钟
我们现在已经熟悉了IPv6的地址架构(IPv6地址架构一本通),掌握了IPv6地址的手工配置方式(IPv6从入门到精通)和DHCPv6有状态地址配置的标准模式(有状态DHCPv6配置)和快速模式(有状态DHCPv6快速模式配置及EUI-64介绍)。
今天来简单学习一下可能并没什么卵用的无状态配置方式。
前面提到,无状态地址配置是指主机根据自己的链路层地址及路由器发布的前缀信息自动配置IPv6地址及相关信息。此时,无状态DHCP服务器仅向客户端分配IPv6地址前缀及其他网络配置参数,不执行任何IPv6地址分配,也不需要为客户端维护任何动态状态,这种配置方式称为“无状态”,这样的服务器被称为“无状态DHCP服务器”。
DHCPv6无状态的报文交互过程如下:
1、客户端以组播的方式向DHCPv6服务器发送Information-request报文,该报文中携带Option Request选项,指定客户端需要从服务器获取的配置参数。
2、服务器收到Information-request报文后,为客户端分配网络配置参数,并单播发送Reply报文将网络配置参数返回给客户端。
3、客户端检查Reply报文中提供的信息,如果与Information-request报文中请求的配置参数相符,则按照Reply报文中提供的参数进行网络配置;否则,忽略该参数。
该过程中,DHCPv6客户端会根据收到的RA消息,获取邻居路由器及所在网络的前缀,并自动配置IPv6地址,即通过地址无状态自动配置功能成功获取IPv6地址。之后,如果接收到的RA报文中M标志位取值为0、O标志位取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数。
所以第一步是使用DHCPv6服务器的接口发送RA消息,将O标志位设置为1,让客户端可以动态学习IPv6前缀。配置命令如下:
#
interface GigabitEthernet0/0
ipv6 dhcp select server
ipv6 dhcp server allow-hint rapid-commit
ipv6 address 1::1/64
ipv6 nd autoconfig other-flag
undo ipv6 nd ra halt
然后配置DHCPv6服务器,供客户端获取除前缀外的其他网络配置参数。
#
ipv6 dhcp pool 6
network 1::/64
dns-server 3::3
domain-name guotiejun.com
gateway-list 1::1
客户端的IPv6地址配置使用自动配置的方式。
#
interface GigabitEthernet0/0
ipv6 address auto
抓包查看报文交互过程,可以看到服务器发出的RA报文中,M位的值为0,O位的值为1;前缀信息中,前缀为1::,前缀长度为64位。
紧接着,客户端使用组播地址ff02::1向本地链路上的所有IPv6 路由器组发送NA消息,目的地址是自己的链路本地地址,同时声明自己的MAC地址。
然后客户端再次发送组播消息,请求使用IPv6地址1::32F4:90FF:FE4E:205。
然后,客户端使用链路本地地址和全球单播地址1::32F4:90FF:FE4E:205向本地链路上的所有IPv6 路由器组发送组播消息,宣告自己的IPv6地址信息。
然后客户端发送Information-request报文,向服务器请求要获取的配置参数信息。
可以看到,请求报文中缺少了正常请求中的Identity Association for Non-temporary Address选项,也就是没有请求IPv6地址配置。
最后,服务器向客户端发送Reply报文,将网络配置参数返回给客户端。
查看DHCPv6客户端的信息。
发现正常可以从服务器上获取到的IA_NA的地址信息没有了。
查看服务器上的状态信息,可以看到没有分配出去的IPv6地址,也就是说无状态DHCP服务器仅向客户端分配了其他网络配置参数,就连IPv6地址前缀都是通过RA消息学到的。服务器未执行任何IPv6地址分配,也不需要记录客户端的任何动态状态。
测试一下客户端到网关和DNS服务器的连通性。
可以发现客户端可以使用全球单播地址正常访问这两个地址。
客户端最终的全球单播地址为1::32F4:90FF:FE4E:205,接口的MAC地址为30f4-904e-0205,怎么计算EUI-64标识符,你还记得吗?
为什么开头说DHCPv6无状态地址配置可能并没什么卵用呢?因为通过无状态 DHCPv6服务提供给节点的配置信息可能会引入欺骗、中间人、拒绝服务或其他攻击,这些攻击在每个携带配置信息的选项的规范中都有更详细的描述。当然也可以使用经过身份验证的无状态DHCPv6服务器来避免引入攻击,但这无疑增加了部署难度和部署成本,影响实际使用。
长按二维码
关注我们吧