使用DHCPv6的动态绑定(或是使用IPv6源保护的静态绑定)可以仔细地控制在不安全的端口上给DHCPv6客户端配置地址。DHCPv6 snooping 允许交换机保护网络避免伪DHCPv6服务器(rogue DHCPv6 servers)或者其他传送端口相关信息给DHCPv6服务器的设备。此信息在追朔IP地址到物理端口十分有用。
使用 IP服务 > DHCPv6 > Snooping (全局配置) 页面,在交换机上开启全局DHCPv6 Snooping,或是配置MAC地址验证。
开启全局DHCPv6 Snooping。(默认:关闭)
开启将远程ID Option 37信息插入到DHCPv6的客户端消息中。远程ID选项信息例如连接到客户端的端口、DUID及VLAN ID是用于被DHCPv6服务器分配预分配的配置数据指定给DHCPv6的客户端。(默认:关闭)
DHCPv6 提供了中继机制以传递交换机及DHCPv6客户端的信息到DHCPv6服务器。DHCPv6 Option 37中,允许兼容DHCPv6的服务器使用选项信息分配IP地址,或是设定其他服务器或策略给客户端。
当DHCPv6 Snooping Option 37信息开启,请求客户端(或是中继代理利用信息字段描述自身)可以被交换机所转发的DHCPv6请求数据包及DHCPv6服务器送回的应答数据包识别。
设定DHCPv6 客户端数据包的远程ID选项策略,包含Option 37信息。
当交换机从客户端收到的DHCPv6的数据包中已包含DHCP Option 37信息,交换机可以帮这些数据包配置行为策略。交换机可以丢弃DHCPv6的数据包、保留存在的信息或是用交换机中继代理的信息取代。
丢弃客户端的请求数据包,而非传达它。(这是默认策略)
在客户请求保留Option 37信息,并把数据包转发到可信任端口。
将客户请求中的Option 37远程ID,取代为中继代理的远程ID(当DHCPv6 snooping是开启的),并把数据包转发到可信任端口。
使用 IP服务 > DHCPv6 > Snooping (VLAN配置) 页面,在特定的VLAN开启或关闭DHCPv6 snooping。
命令用法
当DHCPv6 snooping 全局开启及在VLAN上开启, 在VLAN内任何不信任端口执行DHCPv6数据包过滤。
当DHCPv6 snooping 全局关闭,特定的VLAN仍可配置DHCPv6 snooping ,但是此变更不会执行,直到DHCPv6 snooping 再次全局开启。
当DHCPv6 snooping 全局开启及在VLAN上关闭,VLAN上所有学习到的动态绑定将会从绑定表中移除。
参数
已配置VLAN的ID。
使用 IP服务 > DHCP > Snooping6 (接口配置)页面,配置交换机接口为信任或是不信任,并且设置一个接口可以存储绑定表表项的最大值。
命令用法
参数
端口或者Trunk标示符。
开启或关闭端口为可信任的。(默认:Disabled)
设置一个接口可以存储绑定数的最大值。 (范围:1-5; 默认:5)
显示一个接口当前存储绑定数的值。
使用 IP服务 > DHCPv6 > Snooping (显示信息-绑定) 页面,显示绑定表表项 。
IPv6数据链路层地址与表项相关的。
IPv6地址与客户端对应。
IPv6地址的时间长度(秒)为租给客户端的时间。
表项所属的VLAN。
表项所属的端口或者Trunk。
表项类型包含:
NA - 非暂时性地址
TA - 暂时性地址
将所有快闪内存的动态学习snooping移除。
使用 IP服务 > DHCPv6 > Snooping (显示信息-统计数据) 页面,显示客户端、服务器以及中继数据包的信息。
数据包状态,包含接收、发送及丢弃。
包含Solicit, Request, Confirm, Renew, Rebind, Decline, Release及Information-request。
包含Advertise, Reply,及Reconfigure。
包含Relay-forward及Relay-reply。