一.DHCPv6服務
DHCP即動態主機地址分配協議,在前面已經啟動過IPv4的動態主機分配了,
還是來介紹兩種方式
- 介面模式
- 全域性模式
現在需要了解的就是DHCHv6,即基於IPv6的動態主機地址分配,它的分配是無狀態模式和全狀態模式
介面模式指的是動態主機分配只在一個區域網段類,它只提供一個地址池,也就是一個網段的地址,一般介面模式是配置在閘道器介面上的,當DHCP傳送DHCP報文到達此介面以後,就會給主機分配一個IP地址
全域性模式指的是由多個地址池,它要和中級路由協同配置,在區域網路由器上的介面配置中繼模式,再收到DHCP報文以後並不會直接分配IP地址給主機,而是將收到的DHCP請求報文轉發到中繼已知的DHCP專屬伺服器上,由伺服器專門分配,
由於DHCP伺服器是專門負責分配IP地址的,所以它可以裝很多個地址池,並且根據請求的地址段不同分配到不同的地址段給主機,這就是全域性模式
DHCP服務有四個狀態,是主機請求DHCP服務的過程描述:
- discover:由主機主動廣播DHCP報文到DHCP伺服器,請求IP地址
- offer:由DHCP伺服器單播到主機,並且攜帶分配的IP地址(可能由多個DHCP伺服器相應)
- request:由主機廣播到DHCP伺服器,並告知自己使用的那個IP地址
- ack:由被使用IP地址的DHCP伺服器單播到主機,並告知與IP地址相關的其它資訊
而我們要實操的DHCPv6的相關配置和狀態和IPv4的狀態差不多,只是和IPv4的廣播道DHCP伺服器不同
我們知道IPv4請求IP地址是透過廣播的方式到DHCP伺服器的,也就是整個網段都可以收到DHCP報文
而IPv6的請求DHCPv6報文的方式是組播,組播的優點是在整個網路中,只會由組播網段收到這些DHCPv6報文,相對傳輸的範圍和干擾要小一些
接下來看看配置
二.DHCPv6配置
DHCPv6無狀態模式
配置AR7:
dhcp enable
dhcpv6 pool 500
address prefix 6001:500::/64
excluded-address 6001:500::FFFE
interface GigabitEthernet0/0/1
ipv6 enable
ipv6 address 6001:500::FFFE/64
dhcpv6 server 500
ripng 1 enable
命令解釋:
啟動DHCP服務
配置DHCPv6的地址池識別符號為500,這只是一個識別符號可以自定義,但是要標識每個網段地址池網段的識別符號唯一
分配地址的字首為6001:500:: 且網路號包含64位
不分配6001:500::FFFE,這是路由器的介面地址,不能分配出去
然後在介面下啟動DHCPv6服務,啟用地址池為500 ,dhcpv6 server 500
以上的配置完成後介面正常進行DHCP服務了
DHCPv6中繼配置
中繼模式指的是將DHCP報文轉到特定的DHCP伺服器上去,由於DHCPv6沒有像DHCP那種全域性模式,所以,這裡的中繼依舊是將DHCPv6轉發到DHCP的介面上
在介面上配置無狀態和全狀態模式,使用比較多的就是無狀態模式
實驗目的:
PC8位於Vlan300,所以需要在交換機上配置300的vlanif這樣,在vlanif中將DHCPv6的資料包轉發到DHCP伺服器上
PC13是位於Vlan400,相同也要配置其vlanif,在vlanif的虛擬介面下轉發DHVPv6的報文資料
配置交換機LSW7:
ipv6 enable
ipv6 address 4001:300::2/64
ripng 1 enable
dhcpv6 relay destination 6001:400::2
透過給Vlanif 300配置IP地址,並且將收到的DHCPv6報文都轉發到DHCP伺服器所在的介面
配置路由器AR7:
dhcp enable
dhcpv6 pool pool1
address prefix 4001:300::/64
excluded-address 4001:300::1 to 4001:300::5
interface GigabitEthernet0/0/0
dhcpv6 server pool1
路由器上配置地址池,並且在g0/0/0介面上啟用DHCPv6服務
當收到轉發過來的DHCPv6報文的時候,就會回覆,並且分配IPv6地址
三.抓包分析無狀態模式
如上圖:
DHCPv6和DHCP 的四個狀態名稱不一樣,因為一個是組播,另外一個是廣播
Solicit:此狀態下,由主機傳送DHCPv6報文給DHCP伺服器的組播地址
Advertise:此狀態標識DHCP伺服器接收到請求報文,並且分配相關地址給主機,單播(可能多個DHCP伺服器響應)
Request:主機組播到DHCP伺服器,告訴它們自己用了那個地址,並且讓未使用的地址收回
Reply:被使用IP地址的DHCP伺服器傳送有關相關的地址其它資訊,並且簽訂租約
如上:
Advertise報文在資料部分的IA Adress部分就帶有地址資料,然後單播到主機供主機使用
四.IPv6的配置acl
acl即訪問控制列表,是一種由一條或多條規則組成的集合,這些規則可以是報文的源地址,目的地址,埠號,用於網路裝置各種軟硬介面上執行指令列表,用於限制訪問
IPv6的acl和IPv4的acl的區別差不多,常用的同樣是兩種範圍2000~~2999,並且3000~~3999
2000~~2999:限制IP地址段,控制一個網段不能訪問或者可以訪問
3000~~3999:限制IP地址池的埠,可以精確到單個IP地址的埠,不能訪問或訪問其它地址段
acl的配置特點是最小匹配,也就是最精確的規則應該放在最前面,並且它最後有一條預設規則,也就是允許所有地址訪問
這是一個關鍵,當我們配置的規則沒有匹配上時,它就會預設允許訪問
這是和防火牆所不同的,防火牆的過濾規則是預設拒絕所有,如果不對防火牆進行允許配置,那麼什麼資料包都過不去
首先來看看IPv6的acl配置
配置命令:
acl ipv6 number 3000
rule 5 deny icmpv6 source 5001:400::1/128 destination 6001:500::/64
在AR7的g0/0/0埠配置
traffic-filter inbound ipv6 acl 3000
ipv6的acl啟動規則一定要加上ipv6的標識,不然預設還是IPv4的控制列表規則
然後在AR7上開啟入口過濾