目录
Ⅰ 【必配】DHCP Server
一、原理介绍:
DHCP server在极简场景中同通用场景类似,这边不对原理相同的部分做做过多介绍。
建议将DHCP Server配置在N18K上,也可将N18K配置为DHCP Relay。
需要注意的差异点为:
1、DHCP租期建议配置为2h,目的是能够快速回收未使用的dhcp 地址资源,避免在人流量过多的区域网关的ip地址资源被占满。
2、当用户的dhcp租期耗尽时或者N18K收到dhcp release报文,N18K会将该用户进行认证踢线处理,避免出现地址分配给其他终端以后之前用户在线条目保留导致新用户无法认证。
二、配置命令:
ip dhcp pool 4000 //配置有线学生宿舍区dhcp地址池
lease 0 2 0 //配置租期为2小时,必选
network 172.16.0.0 255.255.240.0
dns-server 202.115.32.39 202.115.32.36
default-router 172.16.15.1
三、注意事项:
l 建议将dhcp-server租期配置为2H,无线AP租期配置为8H。
l 当用户的dhcp租期耗尽时或者N18K收到dhcp release报文,N18K会将该用户进行认证踢线处理。
l 无流量下线的周期建议配置为小于dhcp-server的租期。
Ⅱ 【必配】DHCP Snooping
一、原理介绍:
极简网络中的DHCP Snooping功能主要有以下作用:
1、DHCP防欺骗,极简为扁平化二层网关架构,防止DHCP下联接口存在相同vlan的区域发生dhcp欺骗。(极简方案理论上不存在DHCP欺骗,主要作为二层防护。极简网络中无论核心、接入都需要在相同vlan的接口下开启”端口保护“功能,作为二层广播域隔离,天然防止dhcp欺骗。)
2、通过DHCP Snooping表给802.1x或者无感知认证(MAB)提供IP地址授权。前提需要确认开启了"AAA IP授权功能”、“dot1x valid-ip-acct enable ”、“dot1x mac-auth-bypass valid-ip-auth”、以及认证用户使用动态DHCP动态分配方式获取IP。
二、配置命令:
ip dhcp snooping//必配,作为dhcp防欺骗和认证IP授权使用
ip dhcp snooping check-giaddr //必配,作为防止开启snooping的N18K设备,对汇聚dhcp relay上来的报文丢弃的问题。
ip dhcp snooping arp-detect //选配,启动dhcp-snooping的arp快速回收,arp老化时进行默认1s/次,最多5次
interface gi2/3/8//选配,作为Dhcp-server不在N18K,且和N18K通过二层互联的场景上。
description link-to-dhcpserver
ip dhcp snooping trust //在互联dhcp-server的二层口上配置dhcp 信任口
三、注意事项:
配置ip dhcp snooping功能时,必须要配置“ip dhcp snooping check-giaddr”。该命令是为了开启snooping命令后的N18K能对汇聚设备做dhcp relay的报文进行兼容处理。“ip dhcp snooping check-giaddr”配置后无副作用,建议作为默认配置开启。
Ⅲ 【必配】DHCP-Snooping地址快速回收
一、原理介绍:
用于快速回收dhcp-snooping表项的地址,防止无线用户在迁移过程中同个终端生成多个地址表项,造成dhcp snooping bind表过大的问题。
该功能可以联动arp模块,当dhcp-snooping表中IP对应的arp表项即将老化时会启动arp探测,若在探测次数内没有回应报文,则删除用户的dhcp-snooping表项。
二、配置命令:
ip dhcp snooing arp-detect //启动dhcp-snooping的arp快速回收,arp老化时进行默认1s/次,最多5次
Ⅳ 【选配】DHCP-server地址快速回收
一、原理介绍:
用于配置DHCP服务器是否检测用户下线。如果用户下线后一段时间内没有重新上线,则回收分配给该用户的地址。
原理为根据dhcp-server表的IP通过arp模块进行用户保活探测,如发现用户在一段时间内(默认5分钟)未重新上线,DHCP服务器就回收分配给该用户的地址。
如果N18K上配置了DHCP SERVER功能,那么地址快速回收功能就必配。
二、配置命令:
ip dhcp server arp-detect //开启dhcp-server快速地址回收,如发现用户在一段时间内(默认5分钟)未重新上线,DHCP服务器就回收分配给该用户的地址。
Ⅴ 【选配】AM规则
一、原理介绍:
传统校园网地址规划往往用户通常会每栋楼或每个单位划分一个VLAN及IP网段,而在极简网络方案中,往往为每个区域分配一个supervlan,如学生区部署一个supervlan,一个大的B类地址段。
这样就有可能出现一个宿舍或一个楼层的用户获取到的IP地址较为混乱的情况。如,supervlan IP地址为10.0.0.0/24,同一个宿舍两个用户可能获取到IP地址为10.0.0.3和10.0.233.2,从管理的角度上看不具备规则性。
在极简环境中N18K作为DHCP Server,针对每个Supervlan配置一个大的地址池,配置AM规则基于VLAN或Port+VLAN ID范围来分配地址,该功能可根据N18K的vlan或vlan+port进行dhcp地址段的精细划分,但必须保障该地址段已经存在dhcp地址池中。AM规则分配的地址段必须小于等于DHCP地址池。
极简环境中N18K作为DHCP Relay,需要在Supervlan的SVI接口下配置多个secondary IP,并且使用AM规则来细化相应的应该请求DHCP Server上的哪个地址池中的地址。
N18K作为DHCP Server AM规则分配地址过程如下:
-
N18K作为DHCP Server的情况,收到DHCP报文,根据VLAN或Port+VLAN 寻找相应的AM规则;
-
如有匹配的AM规则,则从DHCP Pool中寻找在AM规则中的IP地址分配给PC,如相应AM规则中的地址都已被分配,则无法分配IP地址给终端;
-
如未匹配AM规则,严格模式下无法分配IP地址给终端,宽松模式下可从DHCP Pool分配AM规则以外的地址给终端。
N18K作为DHCP Relay AM规则分配地址过程如下:
-
N18K作为DHCP Relay的情况,收到DHCP报文,根据VLAN或Port+VLAN 寻找相应的AM规则;
-
寻找Supervlan下的SVI地址(主地址或secondary IP),找到相应的SVI地址落在AM规则内,则使用该地址向DHCP Server发送单播DHCP报文,正常获取IP地址;
-
如Superlan下没有SVI地址(主地址或secondary IP)匹配AM规则,则无法正常获取IP地址。
二、配置命令:
1、N18K作为DHCP Server配置
ip dhcp pool VLAN_4001 //配置给宿舍区用户使用的地址
lease 0 2 0
network 10.1.0.0. 255.255.0.0
dns-server 202.115.32.39 202.115.32.36
default-router 10.1.0.1
address-manager //配置AM规则
match ip 10.1.1.0 255.255.255.0 vlan 101 //VLAN101的用户可获取到的地址为10.1.1.0-10.1.1.255
match ip 10.1.2.0 255.255.255.0 gi0/1 vlan 102 //端口为gi0/1且VLAN102的用户,可获取到的地址为10.1.2.0-10.1.2.255
match ip loose //推荐配置,配置没有匹配以上AM规则的,则从地址池中获取未划入AM规则的地址分配给用户,如没有配置,未匹配以上AM规则的终端无法获取到地址。详细介绍见下文“注意2”
address-manage //启用address-manage
clear match ip //进入到address-manage的配置模式下,全局关闭AM规则
N18K作为DHCP Relay配置
Interface vlan 4001
ip address 10.1.0.1 255.255.255.0
ip helper-address Y.Y.Y.Y //配置中继
ip address 10.1.101.1 255.255.255.0 secondary //配置secondary IP,用于与DHCP Server通信,有多少个地址池,则需要配置多少个secondary IP
ip address 10.1.102.1 255.255.255.0 secondary //配置secondary IP,用于与DHCP Server通信,有多少个地址池,则需要配置多少个secondary IP
……………………
address-manager //配置AM规则,不同VLAN分配不同IP
match ip 10.1.101.0 255.255.255.0 vlan 101 //配置基于vlan的划分方式
match ip 10.1.102.0 255.255.255.0 gi0/1 vlan 102 //配置基于port+vlan的划分方式
match ip loose //配置没有匹配以上AM规则的,则从地址池中获取未划入AM规则的地址分配给用户
DHCP服务器配置:
network 10.1.101.0 255.255.255.0 //DHCP服务器上配置多个小地址池,每个地址池的网段对应一个supervlan网关地址
network 10.1.102.0 255.255.255.0
三、注意事项:
l DHCP-relay配置AM规则时,dhcp服务器必须要配置多个小池
l N18K一旦启用AM规则默认为严格模式,现网中存在未匹配AM规则的区域都无法获取IP地址。改造网络时需要特别注意!建议配置为宽松模式。
l AM规则中配置的vlan信息,在QinQ方案中对应为外层的subvlan,在接入隔离方案中对应为subvlan。
l AM规则启用时,默认为严格模式,规则如下:
-
AM规则一旦创建,通过N18K申请地址时,未匹配am规则的dhcp报文将无法申请到IP地址,改造网络时需要特别注意!
-
AM规则一旦创建,用户使用静态ip地址上网报文经过N18K时,当静态Ip未匹配am规则放行,匹配AM规则不匹配网段时不能认证上网;
-
AM规则一旦创建,无线场景中若通过AM规则将网段划分过细,会导致在无线迁移后由于ip地址不符合AM规则配置,报文被丢弃导致迁移失败。例如:无线supervlan 3000,ip地址段为:172.18.0.0/16。配置了两条AM规则,subvlan 2001是172.18.1.0/24,subvlan 2002是172.18.2.0/24。当用户在subvlan 2001获取地址再迁移到subvlan 2002后,由于地址不匹配2002的am规则,就需要重新获取地址并且认证后才能访问网络。
l 可选将AM规则配置为 宽松模式 ,规则如下【推荐】:
-
符合AM规则的DHCP申请报文,申请到AM规则配置的地址段。不符合AM规则的DHCP申请报文,按照DHCP地址池的传统逻辑进行地址申请,报文不会被丢弃。
-
静态IP地址不会被丢弃
-
无线迁移过程中,用户IP地址不符合AM规则设定时,报文不会被丢弃。
l AM规则匹配顺序
AM规则匹配顺序为优先匹配更精细的,代码实现中会优先匹配有端口参数的AM规则,如:
address-manage
match ip 192.168.1.0 255.255.255.0 vlan 400
match ip 192.168.2.0 255.255.255.0 Gi1/3 vlan 400 (优先匹配)
l 当N18K收到DHCP 请求时,会巡检相应的AM规则,如配置AM规则的规则,则必须根据AM规则来分配IP地址,如AM规则对应的所有地址已经被分配光了,则无法分配地,所以AM规则在规划的时候一定要充分规划地址数量。
Ⅵ 【选配】无状态IPV6地址获取
应用场景
无状态IPv6地址获取的功能,主要是运用在三层交换机作为局域网用户的网关,需要启用v4/v6双栈服务,下联的主机用户有访问IPv6资源的需要,但是由于IPv6的地址有128位之多,配置起来复杂而且还容易出错,所以希望各主机能够不用配置即可获取到IPv6的前缀,网关信息,实现IPv6的即插即用的特点。此时你就可以考虑在用户的网关上面启用无状态IPv6地址分配功能,给下联的各主机分配IPv6地址前缀及网关信息。
另外一种应用情况是您的网络中部署了DHCPv6 server的服务器,通过有状态的方式给下联的用户分配IPv6的相关地址及各项参数信息,但是DHCPv6是无法分配网关地址信息,还有生存期等个别参数的,所以也是需要同时启用交换机的无状态IPv6地址分配功能以做补充。
目前IPv6主要集中在各类校园网中有规模性的应用,其他行业群体中较为少见
功能简介
一个主机的IPv6地址由前缀和接口ID组成,接口ID的长度固定是64位,可以由 48位MAC地址自动生成64位Interface ID,通常称为EUI-64。
IPv6前缀的实际作用是标识主机与路由器之间的网络。主机需要的这个前缀就是网关的前缀。为了自动获得这个前缀,只要在网关交换机和主机之间运行一个协议即可。使用NDP协议的Router Solicitation恳求和Router Advertisement 通告消息,前者用于发现网关,并促使网关发送Router Advertisement消息通报前缀信息给主机。
RA中包含前缀、生存期、缺省网关等信息,注意RA通告无法下发DNS域名服务器的IPv6地址信息
缺省路由通告关闭,需在接口下使用 no ipv6 nd suppress-ra开启这个功能。
一、组网需求
客户需要通过无状态方式来获取IPv6前缀信息,根据EUI-64规范获取接口地址,形成IPV6地址。
无状态方式获取IPV6地址方式配置简单。
Win7客户端默认开启IPV6协议栈,如果是XP系统,还需手工开启IPV6协协议并重启(Dos命令窗口中敲入:Ipv6 install )
二、组网拓扑
三、配置要点
1、在核心交换机上配置IPv6地址
2、在用户的网关上开启RA通告和O位通告
3、配置dhcpv6服务器,并且在接口下调用
四、配置步骤
1、接口下配置IPv6地址,并在接口下使能IPv6
Ruijie#conf t
Ruijie#ipv6 unicast-routing //开启IPv6路由
Ruijie(config)#interface gigabitEthernet 1/1
Ruijie(config-if-GigabitEthernet 1/1)#no switchport
Ruijie(config-if-GigabitEthernet 1/1)#ipv6 enable
Ruijie(config-if-GigabitEthernet 1/1)#i pv6 address 2001:250:2003:2000::1/64 // 配置接口IPv6地址
2、在接口上开启RA通告功能,通告O位获取DNS、域名等其他信息,并且调用地址池
Ruijie(config-if-GigabitEthernet 1/1)#no ipv6 nd suppress-ra //开启路由通告功能
Ruijie(config-if-GigabitEtherne t 1/1)#ipv6 nd other-config-flag // 通告O位获取其他信息
Ruijie(config-if-GigabitEthernet 1/1)# ipv6 dhcp server ruijie //在接口下调用地址池
3、配置IPv6服务器,包括配置域名、前缀、DNS服务器等
Ruijie(config)#ipv6 dhcp pool ruijie //创建IPv6地址池
Ruijie(dhcp-config)#domain-name www.example.com.cn //配置分配给客户端的域名
Ruijie(dhcp-config)#dns-server 2003::1 //配置分配给客户端的DNS服务器
Ruijie(dhcp-config)#exit
五、功能验证
查看PC获取IPv6地址情况:
说明:另一个为系统自行生成的临时地址,临时地址的接口地址属于随机生成。
利用随机派生的接口 ID,重复链接本地地址的机会很小。因此,运行 Windows Vista 或 Windows Server 2008 的计算机不用等待 DAD (重复地址检测)完成即可使用其派生的链接本地地址发送路由器请求消息,这称为乐观 DAD;路由器发现和 DAD 同时执行,从而节省了接口初始化过程的时间。但该临时地址的生成会向网络中发布数据包,占用网络资源,影响网络健康,也不利于IPV6的用户唯一性控制,所以,建议关闭此项功能。操作如下:开始-〉运行-〉输入netsh -〉输入int ipv6 -〉输入set privacy state=disable,如下图:
Ⅶ 【选配】有状态化IPV6自动获取
一、组网需求
IANA主要用于终端主机,主要发送给终端(PC之类的)
客户使用交换机作为DHCPv6客户端从 DHCPv6服务器通过获取 IPv6地址,以及网络配置参数:DNS服务器地址、域名。
说明:如果是PC希望获取IPV6动态地址,主机必须有DHCPv6客户端。
Windows 7、VISTA和Windows server 2008自带了DHCPv6客户端。
Windows XP和Windows server 2003没有DHCPv6客户端,用户需要安装DHCPv6客户端软件,或者是启用v6的协议栈。
二、组网拓扑
三、配置要点
1、N18000交换机作为DHCPv6务器,地址为 2001::1/64。
2、DHCPv6 服务器为客户端分配 2001::X/64这个地址
3、DNS服务器地址为 2003::1/64。
4、DHCPv6客户端所属域的域名为www.example.com.cn。
四、配置步骤
DHCPv6 Server配置
1、开启IPv6路由功能,配置如下:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ipv6 unicast-routing //开启IPv6路由功能
Ruijie(config)#end
2、接口下配置IPv6地址,并在接口下使能IPv6
Ruijie#conf t
Ruijie(config)#
Ruijie(config)#interface gigabitEthernet 1/24
Ruijie(config-if-GigabitEthernet 1/24)#no switchport
Ruijie(config-if-GigabitEthernet 1/24)#ipv6 address 2001::1/64 //配置接口IPv6地址
Ruijie(config-if-GigabitEthernet 1/24)#ipv6 enable //接口下使能IPv6功能
Ruijie(config-if-GigabitEthernet 1/24)#end
3、开启RA通告功能,并且设置M及O位
1)DHCPv6 Server 不支持为客户端分配网关地址, 需要在设备上开启 RA 通告功能
2)置路由器公告(RA)报文中的“managed address configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态自动配置来获取地址。缺省配置是在路由器公告报文中该标志位没有被设置
3)以及设置路由器公告报文中的“other stateful configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态的自动配置来获取除地址之外的信息。缺省配置是在路由器公告报文中该标志位没有被设置
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#interface gigabitEthernet 1/24
Ruijie(config-if-GigabitEthernet 1/24)#no ipv6 nd suppress-ra //开启路由通告功能,下方终端才能学习到网关
Ruijie(config-if-GigabitEthernet 1/24)#ipv6 nd managed-config-flag //设置RA通告的M位
Ruijie(config-if-GigabitEthernet 1/24)#ipv6 nd other-config-flag //设置RA通告的O位
Ruijie(config-if-GigabitEthernet 1/24)#ipv6 nd prefix 2001::/64 no-autoconfig //指明通告的前缀不能用于无状态自动配置
Ruijie(config-if-GigabitEthernet 1/24)#end
4、配置IPv6服务器,包括配置域名、前缀、DNS服务器等
Ruijie(config)#ipv6 dhcp pool ruijie //创建IPv6地址池
Ruijie(dhcp-config)#domain-name www.example.com.cn //配置分配给客户端的域名
Ruijie(dhcp-config)#dns-server 2003::1 //配置分配给客户端的DNS服务器
Ruijie(dhcp-config)#iana-address prefix 2001::/64 //应用IPv6前缀池
Ruijie(dhcp-config)#exit
5、在接口上启用DHCPv6 Server服务功能
Ruijie(config)#interface gigabitEthernet 1/24
Ruijie(config-if-GigabitEthernet 1/24)#ipv6 dhcp server ruijie //接口上启用IPv6功能
Ruijie(config-if-GigabitEthernet 1/24)#end
五、功能验证
1、查看DHCPv6 Server 地址池相关信息
Ruijie #show ipv6 dhcp pool
DHCPv6 pool: ruijie
IANA address range: 2001::1/64 -> 2001::FFFF:FFFF:FFFF:FFFF/64
preferred lifetime 3600, valid lifetime 3600
DNS server: 2003::1
Domain name: www.example.com.cn
通过DHCPv6 Server地址池相关信息可以看出,DHCPv6的地址池名称、前缀池名称、DNS、域名等相关信息
2、查看DHCPv6 Server上的绑定表
Ruijie #sho ipv6 dhcp binding
Client DUID: 00:03:00:01:00:1a:a9:15:46:e2
IANA: iaid 100001, T1 1800, T2 2880
Address: 2001::2
preferred lifetime 3600, valid lifetime 3600
expires at Aug 25 2014 16:35 (3571 seconds)
查看绑定表可以看到Client的DUID及前缀信息等
3、查看从DHCPv6 Server上获取的相关信息
Ruijie #show ipv6 dhcp interface gigabitEthernet 5/1
GigabitEthernet 5/1 is in client mode
State is IDLE
next packet will be send in : 1744 seconds
List of known servers:
DUID: 00:03:00:01:14:14:4b:1b:54:6c
Reachable via address: FE80::1614:4BFF:FE1B:546D
Preference: 0
Configuration parameters:
IA NA: IA ID 0x186a1, T1 1800, T2 2880
Address: 2001::2
preferred lifetime 3600, valid lifetime 3600
expires at Jan 1 1970 7:38 (3544 seconds)
DNS server: 2003::1
Domain name: www.example.com.cn
Rapid-Commit: disable
4、查看接口获取的地址状态
Ruijie #show ipv6 int g5/1
interface GigabitEthernet 5/1 is Up, ifindex: 1
address(es):
Mac Address: 00:1a:a9:15:46:e3
INET6: FE80::21A:A9FF:FE15:46E3 , subnet is FE80::/64
INET6: 2001::2 [ DEPRECATED ], subnet is 2001::/64
valid lifetime 3526 sec
Joined group address(es):
FF01::1
FF02::1
FF02::2
FF02::1:FF00:2
FF02::1:FF15:46E3
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND retransmit interval is 1000 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 200 seconds<160--240>
ND router advertisements live for 1800 seconds
Ⅷ 【选配】DHCPV6 relay
应用场景
当在网络中心部署了一台专门的DHCPv6 server的服务器,比如windows 2003,2008,来给校园网中的主机分配IPv6地址前缀及网络配置参数,实现集中管理与维护。此时需要在所有v4/v6双栈的三层网关交换机上面启用DHCPv6 relay功能,以便实现DHCPv6 client与DHCPv6 server之间的报文中继,保证client与server之间即使不是本地链路互联也能获取IPv6地址及配置参数。
另外,当网络中部署了DHCPv6 server的服务器,通过有状态的方式给下联的用户分配IPv6的相关地址及各项参数信息,但是DHCPv6是无法分配网关地址信息,还有生存期等个别参数的,所以还是需要同时启用交换机的无状态IPv6地址分配功能以做补充,以便主机能够获取网关信息。
功能简介:
DHCPv6应用模型由服务器、客户端和中继组成,客户端和服务器经过一问一答的方式,获取配置参数,中继可以将客户端和非本地链路内的服务器透明连接起来。报文的交互、参数的维护基本上维持了DHCPv4中的做法,但DHCPv6根据新的网络对报文结构和流程处理作了适当的处理。
一、组网需求
客户使客户使用PC作为DHCPv6客户端从 DHCPv6服务器(Windows 2008系统)获取 IPv6地址,获取IPv6地址后,PC能ping通DHCPv6服务器。其中18K作为作为DHCPv6中继。
二、组网拓扑
三、配置要点
在 DHCPv6服务器上需要进行如下配置:
1、配置DHCPv6服务器的IPv6地址及网关
2、配置作用域相关信息
3、配置日志记录相关信息
在DHCPv6中继设备上开启IPv6路由功能,创建IPv6地址并配置DHCPv6 relay
四、配置步骤
DHCPv6 Agent配置
1、开启IPv6路由功能,配置如下:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ipv6 unicast-routing ----->开启IPv6路由功能
Ruijie(config)#end
2、在连接DHCPv6 Server端接口下配置IPv6地址,并在接口下使能IPv6功能
Ruijie(config)#int g0/13
Ruijie(config-if-GigabitEthernet 0/13)#no switchport
Ruijie(config-if-GigabitEthernet 0/13)#ipv6 enable //口下使能IPv6功能
Ruijie(config-if-GigabitEthernet 0/13)#ipv6 address 2001::2/64 //配置接口IPv6地址
Ruijie(config-if-GigabitEthernet 0/13)#end
3、创建DHCPv6 Client端VLAN,及划分VLAN
Ruijie(config)#vlan 2
Ruijie(config-vlan)#exit
Ruijie(config)#int g0/14
Ruijie(config-if-GigabitEthernet 0/14)#switchport mode access
Ruijie(config-if-GigabitEthernet 0/14)#switchport access vlan 2
Ruijie(config-if-GigabitEthernet 0/14)#end
Ruijie#
4、配置DHCPv6 Client 的网关 IPv6地址及开启DHCPv6中继功能
Ruijie#conf t
Ruijie(config)#interface vlan 2
Ruijie(config-if-VLAN 2)# ipv6 address 2001:1::1/64
Ruijie(config-if-VLAN 2)# ipv6 enable
Ruijie(config-if-VLAN 2)#ipv6 nd prefix 2001:1::/64 no-autoconfig //指明通告的前缀不能用于无状态自动配置
Ruijie(config-if-VLAN 2)# ipv6 dhcp relay destination 2001::1 //配置DHCPv6中继,下一跳指向服务器连接18K的接口
Ruijie(config-if-VLAN 2)# no ipv6 nd suppress-ra //开启路由通告功能
Ruijie(config-if-VLAN 2)# ipv6 nd managed-config-flag //设置RA通告的M位
Ruijie(config-if-VLAN 2)# ipv6 nd other-config-flag //设置RA通告的O位
Ruijie(config-if-VLAN 2)# end
注意:开启RA通告功能,并且设置M及O位
1)DHCPv6 Server 不支持为客户端分配网关地址, 需要在设备上开启 RA 通告功能
2)置路由器公告(RA)报文中的“managed address configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态自动配置来获取地址。缺省配置是在路由器公告报文中该标志位没有被设置
3)以及设置路由器公告报文中的“other stateful configuration”标志位, 决定了收到该路由器公告的主机是否要使用全状态的自动配置来获取除地址之外的信息。缺省配置是在路由器公告报文中该标志位没有被设置
DHCPv6 Server端配置
DHCPv6 服务器使用的是Windows 2008操作系统,配置如下:
1、点击开始 —— 管理工具 —— 服务管理器
2、出现如下界面,选中角色,然后再右边添加角色,如下图:
3、出现如下界面后,单击下一步
4、勾选DHCP服务器,单击下一步
5、选中网络连接地址
6、DHCPv6无状态模式改为禁用,我们使用有状态模式分配地址
7、确认所配置的内容,如下
8、安装成功后会出现如下界面:
9、这时点击开始——管理工具——DHCP
10、下面可以创建DHCP及DHCPv6服务器作用域
11、创建DHCPv6服务器作用域
12、创建作用域名称并对作用域进行描述
13、创建作用域的前缀及首选项
14、排除地址范围
15、创建作用域周期
16、确认作用域是否配置成功
17、查看作用域
注意:还需要在服务器端( Windows 2008操作系统) 写一条ipv6静态路由指向18K。
五、功能验证
DHCPv6 查看客户端信息:
1、PC从服务端获取到了地址
2、PC能ping通服务器
3、电脑中启用IPv6后,系统会出现两个地址,一个为DHCPv6服务器分配的正式IPv6地址,另一个为系统自行生成的临时地址,临时地址的接口地址属于随机生成。
利用随机派生的接口 ID,重复链接本地地址的机会很小。因此,运行 Windows Vista 或 Windows Server 2008 的计算机不用等待 DAD (重复地址检测)完成即可使用其派生的链接本地地址发送路由器请求消息,这称为乐观 DAD;路由器发现和 DAD 同时执行,从而节省了接口初始化过程的时间。但该临时地址的生成会向网络中发布数据包,占用网络资源,影响网络健康,也不利于IPV6的用户唯一性控制,所以,建议关闭此项功能。操作如下:开始-〉运行-〉输入netsh -〉输入int ipv6 -〉输入set privacy state=disable,如下图:
DHCPv6 Server信息
1)服务器上有PC获取的日志记录
3223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
