一.DHCPv6服务
DHCP即动态主机地址分配协议,在前面已经启动过IPv4的动态主机分配了,
还是来介绍两种方式
- 接口模式
- 全局模式
现在需要了解的就是DHCHv6,即基于IPv6的动态主机地址分配,它的分配是无状态模式和全状态模式
接口模式指的是动态主机分配只在一个局域网段类,它只提供一个地址池,也就是一个网段的地址,一般接口模式是配置在网关接口上的,当DHCP发送DHCP报文到达此接口以后,就会给主机分配一个IP地址
全局模式指的是由多个地址池,它要和中级路由协同配置,在局域网路由器上的接口配置中继模式,再收到DHCP报文以后并不会直接分配IP地址给主机,而是将收到的DHCP请求报文转发到中继已知的DHCP专属服务器上,由服务器专门分配,
由于DHCP服务器是专门负责分配IP地址的,所以它可以装很多个地址池,并且根据请求的地址段不同分配到不同的地址段给主机,这就是全局模式
DHCP服务有四个状态,是主机请求DHCP服务的过程描述:
- discover:由主机主动广播DHCP报文到DHCP服务器,请求IP地址
- offer:由DHCP服务器单播到主机,并且携带分配的IP地址(可能由多个DHCP服务器相应)
- request:由主机广播到DHCP服务器,并告知自己使用的那个IP地址
- ack:由被使用IP地址的DHCP服务器单播到主机,并告知与IP地址相关的其它信息
而我们要实操的DHCPv6的相关配置和状态和IPv4的状态差不多,只是和IPv4的广播道DHCP服务器不同
我们知道IPv4请求IP地址是通过广播的方式到DHCP服务器的,也就是整个网段都可以收到DHCP报文
而IPv6的请求DHCPv6报文的方式是组播,组播的优点是在整个网络中,只会由组播网段收到这些DHCPv6报文,相对传输的范围和干扰要小一些
接下来看看配置
二.DHCPv6配置
DHCPv6无状态模式
配置AR7:
dhcp enable dhcpv6 pool 500 address prefix 6001:500::/64 excluded-address 6001:500::FFFE interface GigabitEthernet0/0/1 ipv6 enable ipv6 address 6001:500::FFFE/64 dhcpv6 server 500 ripng 1 enable
命令解释:
启动DHCP服务
配置DHCPv6的地址池标识符为500,这只是一个标识符可以自定义,但是要标识每个网段地址池网段的标识符唯一
分配地址的前缀为6001:500:: 且网络号包含64位
不分配6001:500::FFFE,这是路由器的接口地址,不能分配出去
然后在接口下启动DHCPv6服务,启用地址池为500 ,dhcpv6 server 500
以上的配置完成后接口正常进行DHCP服务了
DHCPv6中继配置
中继模式指的是将DHCP报文转到特定的DHCP服务器上去,由于DHCPv6没有像DHCP那种全局模式,所以,这里的中继依旧是将DHCPv6转发到DHCP的接口上
在接口上配置无状态和全状态模式,使用比较多的就是无状态模式
实验目的:
PC8位于Vlan300,所以需要在交换机上配置300的vlanif这样,在vlanif中将DHCPv6的数据包转发到DHCP服务器上
PC13是位于Vlan400,相同也要配置其vlanif,在vlanif的虚拟接口下转发DHVPv6的报文数据
配置交换机LSW7:
ipv6 enable ipv6 address 4001:300::2/64 ripng 1 enable dhcpv6 relay destination 6001:400::2
通过给Vlanif 300配置IP地址,并且将收到的DHCPv6报文都转发到DHCP服务器所在的接口
配置路由器AR7:
dhcp enable dhcpv6 pool pool1 address prefix 4001:300::/64 excluded-address 4001:300::1 to 4001:300::5 interface GigabitEthernet0/0/0 dhcpv6 server pool1
路由器上配置地址池,并且在g0/0/0接口上启用DHCPv6服务
当收到转发过来的DHCPv6报文的时候,就会回复,并且分配IPv6地址
三.抓包分析无状态模式
如上图:
DHCPv6和DHCP 的四个状态名称不一样,因为一个是组播,另外一个是广播
Solicit:此状态下,由主机发送DHCPv6报文给DHCP服务器的组播地址
Advertise:此状态标识DHCP服务器接收到请求报文,并且分配相关地址给主机,单播(可能多个DHCP服务器响应)
Request:主机组播到DHCP服务器,告诉它们自己用了那个地址,并且让未使用的地址收回
Reply:被使用IP地址的DHCP服务器发送有关相关的地址其它信息,并且签订租约
如上:
Advertise报文在数据部分的IA Adress部分就带有地址数据,然后单播到主机供主机使用
四.IPv6的配置acl
acl即访问控制列表,是一种由一条或多条规则组成的集合,这些规则可以是报文的源地址,目的地址,端口号,用于网络设备各种软硬接口上执行指令列表,用于限制访问
IPv6的acl和IPv4的acl的区别差不多,常用的同样是两种范围2000~~2999,并且3000~~3999
2000~~2999:限制IP地址段,控制一个网段不能访问或者可以访问
3000~~3999:限制IP地址池的端口,可以精确到单个IP地址的端口,不能访问或访问其它地址段
acl的配置特点是最小匹配,也就是最精确的规则应该放在最前面,并且它最后有一条默认规则,也就是允许所有地址访问
这是一个关键,当我们配置的规则没有匹配上时,它就会默认允许访问
这是和防火墙所不同的,防火墙的过滤规则是默认拒绝所有,如果不对防火墙进行允许配置,那么什么数据包都过不去
首先来看看IPv6的acl配置
配置命令:
acl ipv6 number 3000 rule 5 deny icmpv6 source 5001:400::1/128 destination 6001:500::/64
在AR7的g0/0/0端口配置
traffic-filter inbound ipv6 acl 3000
ipv6的acl启动规则一定要加上ipv6的标识,不然默认还是IPv4的控制列表规则
然后在AR7上开启入口过滤
标签:报文,IP地址,acl,地址,DHCPv6,服务器,IPv6,DHCP From: https://www.cnblogs.com/5ran2yl/p/17834865.html