Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCPv6 中继代理

DHCPv6 中继代理通过在 IPv6 网络中提供支持来增强 DHCP 中继代理。DHCPv6 中继代理在 DHCPv6 客户端和 DHCPv6 服务器之间传递消息,类似于 DHCP 中继代理支持 IPv4 网络的方式。DHCPv6 中继代理消除了在每个物理网络上安装 DHCPv6 服务器的必要性。有关在 DHCPv6 数据包中插入 DHCPv6 接口 ID(选项 18)、远程 ID(选项 37)或客户端 MAC 地址(选项 79)以及验证 DHCPv6 配置的更多信息,请阅读本主题。

DHCPv6 中继代理概述

当 DHCPv6 客户端登录时,DHCPv6 中继代理使用 AAA 服务框架与 RADIUS 服务器交互以提供身份验证和记帐。独立于 DHCP 配置的 RADIUS 服务器对客户端进行身份验证并提供 IPv6 前缀和客户端配置参数,例如会话超时和每个接口允许的最大客户端数。

注意:

PTX 系列数据包传输路由器不支持 DHCPv6 中继代理的身份验证。

注意:

ACX 系列路由器不支持以下 DHCPv6 功能:

  • DHCPv6 中继代理的订阅者身份验证

  • DHCP 侦听

  • DHCPv6 客户端

  • 活体检测

  • 动态配置文件

  • 选项 37 支持远程 ID 插入

  • 用于 DHCPv6 中继的双向转发检测 (BFD)

DHCPv6 中继代理与 DHCP 本地服务器和 DHCP 中继代理兼容,并且可以在与 DHCP 本地服务器或 DHCP 中继代理相同的接口上启用。

要在路由器(或交换机)上配置 DHCPv6 中继代理,请在层次结构级别包含dhcpv6[edit forwarding-options dhcp-relay]语句。

您还可以在以下层次结构级别包含该 dhcpv6 语句:

  • [edit logical-systems logical-system-name forwarding-options dhcp-relay]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options dhcp-relay]

  • [edit routing-instances routing-instance-name forwarding-options dhcp-relay]

请参阅 DHCPv6 监控和管理 ,了解特定于查看和清除 DHCPv6 绑定和统计信息的命令。

配置 DHCPv6 中继代理

DHCPv6 中继代理充当在不同 IP 网络上的 DHCPv6 客户端和 DHCPv6 服务器之间中继消息的接口。

该示例介绍如何在 SRX 系列防火墙上配置 DHCPv6 中继代理。充当 DHCPv6 中继代理的 SRX 系列防火墙负责在属于不同路由实例的 DHCPv6 客户端和服务器之间转发请求和响应。

要求

示例 DHCPv6 中继代理配置已在以下硬件和软件组件上进行了测试:

  • 配备 Junos OS 22.3R1 或更高版本的 SRX 系列防火墙。

概述

您可以将 DHCPv6 中继代理配置为在 DHCPv6 服务器与驻留在不同虚拟路由实例中的 DHCPv6 客户端之间交换 DHCPv6 消息时提供额外的安全性。当 DHCPv6 服务器驻留在与客户端网络隔离的网络中时,此类型的配置适用于 DHCPv6 服务器和 DHCPv6 客户端之间的 DHCPv6 中继连接。

拓扑

要在不同的路由实例之间交换 DHCPv6 消息,必须同时启用 DHCPv6 中继代理面向服务器的接口和面向客户端的接口,以识别和转发 DHCPv6 数据包。

下图 1 显示了 DHCPv6 作为 DHCPv6 本地服务器、DHCPv6 客户端和 DHCPv6 中继代理的性能

图 1:了解路由实例 Understanding DHCPv6 Services in a Routing Instance中的 DHCPv6 服务

以下列表概述了在不同路由实例之间创建 DHCPv6 消息交换所需的任务:

  • 配置 DHCPv6 中继代理面向客户端的一端。

  • 配置 DHCPv6 中继代理面向服务器的端。

  • 将安全区域配置为允许 DHCPv6 协议。

    表 1:DHCPv6 中继参数:

    参数

    客户端详细信息

    服务器端详细信息

    接口

    ge-0/0/3.0

    ge-0/0/4.0

    路由接口

    信任-VR

    untrust-vr

    IP 地址

    2001:db8:12::1/64

    2001:db8:23::1/64

    注意:

    为了使此设置正常工作,DHCPv6 服务器连接路由和中继代理接口路由必须位于两个路由实例中。例如,在上述拓扑中,服务器路由 2001:db8:34::/64 需要与 dhcp 中继 VR 共享,而 dhcp 中继接口路由 2001:db8:12::/64 确切需要与默认路由实例共享。

    此外,必须在具有 DHCPv6 服务器的路由实例中添加虚拟 dhcp 中继配置。如果未配置此设置,dhcp 中继将无法从 DHCPv6 服务器接收数据包。

配置

CLI 快速配置

以下过程介绍了在不同路由实例中的 DHCPv6 服务器和客户端之间创建 DHCPv6 消息交换的配置任务。要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit

快速配置面向客户端的支持:

面向服务器的支持的快速配置:

DHCPv6 中继支持的快速配置:

快速配置安全区域以允许 DHCPv6 协议:

程序

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

要在 DHCPv6 中继代理面向客户端的一端配置支持,请执行以下操作:

  1. 将路由实例类型设置为虚拟路由器。

  2. 为虚拟路由器设置接口

  3. 将接口的 IP 地址设置为接口。

程序

分步过程

要在 DHCPv6 中继代理面向服务器的端配置支持:

  1. 设置虚拟路由器。

  2. 为虚拟路由器设置接口。

  3. 设置仅转发答复选项。

  4. 将接口的 IP 地址设置为接口。

程序

分步过程

要将 DHCPv6 本地服务器配置为支持:

  1. 在 DHCP 中继中为 untrust-vr 路由实例设置配置

  2. 在 DHCP 中继中为信任 vr 路由实例设置配置

  3. 将配置设置为在路由实例之间共享路由。

    注意:

    您可以启用 SRX 系列防火墙作为 DHCPv6 本地服务器运行。DHCPv6 本地服务器提供 IP 地址和其他配置信息以响应客户端请求。

程序

分步过程

要将安全区域配置为允许 DHCPv6 协议,请执行以下操作:

  1. 设置默认安全策略以允许所有流量。

  2. 在接口 ge-0/0/4.0 上设置所有系统服务和协议。

  3. 在接口 ge-0/0/3.0 上设置所有系统服务和协议。

结果

  • 面向客户端的支持的结果:

在配置模式下,输入 show routing-instances 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

  • 面向服务器支持的结果:

    在配置模式下,输入 show routing-instances 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

  • DHCPv6 本地服务器支持的结果:

    在配置模式下,输入 show routing-instancesshow policy-options show routing-options 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

  • 安全区域允许 DHCPv6 协议的结果:

    在配置模式下,输入 show security policiesshow security zones 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

如果完成设备配置,请从配置模式输入 commit

在 DHCPv6 数据包中插入 DHCPv6 接口 ID 选项(选项 18)

您可以将 DHCPv6 中继代理配置为在中继发送到 DHCPv6 服务器的数据包中插入 DHCPv6 接口 ID(选项 18)。您可以在 DHCPv6 全局或组级别配置选项 18 支持。

配置选项 18 支持时,可以选择包括以下附加信息:

  • 前缀 — 指定 prefix 向接口标识符添加前缀的选项。前缀可以是主机名、逻辑系统名称和路由实例名称的任意组合。

  • 界面描述 - 指定 use-interface-description 包含文本界面描述而不是接口标识符的选项。您可以包括设备接口描述或逻辑接口描述。

  • 选项 82 代理电路 ID 子选项(子选项 1)— 指定 use-option-82 包含 DHCPv4 选项 82 代理电路 ID 子选项的选项(子选项 1)。此配置在双堆栈环境中非常有用,因为双堆栈环境具有驻留在同一底层逻辑接口上的 DHCPv4 和 DHCPv6 订户。路由器检查选项 82 子选项 1 值,并将其插入传出数据包中。如果不存在 DHCPv4 绑定,或者绑定没有选项 82 子选项 1 值,路由器将发送数据包而不添加选项 18。

注意:

如果指定了其中一个可选配置,而指定的信息不存在(例如,没有接口描述),DHCPv6 中继将忽略可选配置,并在数据包中插入默认接口标识符。

要在 DHCPv6 数据包中插入 DHCPv6 接口 ID 选项(选项 18):

  1. 配置 DHCPv6 中继以包括选项 18。
  2. (可选)指定要包含在选项 18 中的前缀。
  3. (可选)指定选项 18 包括界面的文本说明。您可以指定 logical 接口描述或 device 接口描述。
  4. (可选)指定选项 18 使用 DHCPv4 选项 82 代理电路 ID 子选项(子选项 1)值。

在 DHCPv6 数据包中插入 DHCPv6 远程 ID 选项(选项 37)

从 Junos OS 14.1 版开始,您可以将 DHCPv6 中继代理配置为在中继发送到 DHCPv6 服务器的数据包中插入 DHCPv6 远程 ID(选项 37)。您可以在 DHCPv6 全局或组级别配置选项 37 支持。

配置选项 37 支持时,可以选择包括以下信息:

  • 前缀 — 指定 prefix 向接口标识符添加前缀的选项。前缀可以是主机名、逻辑系统名称和路由实例名称的任意组合。

  • 界面描述 - 指定 use-interface-description 包含文本界面描述而不是接口标识符的选项。您可以包括设备接口描述或逻辑接口描述。

  • 选项 82 代理远程 ID 子选项(子选项 2)— 指定 use-option-82 使用 DHCPv4 选项 82 远程 ID 子选项(子选项 2)值的选项。此配置在双堆栈环境中非常有用,因为双堆栈环境具有驻留在同一底层逻辑接口上的 DHCPv4 和 DHCPv6 订户。路由器检查选项 82 子选项 2 值并将其插入传出数据包中。

注意:

如果指定了其中一个可选配置,而指定的信息不存在(例如,没有接口描述),DHCPv6 中继将忽略可选配置,并在数据包中插入默认接口标识符。

要在 DHCPv6 数据包中插入 DHCPv6 远程 ID 选项(选项 37):

  1. 将 DHCPv6 中继配置为包括选项 37。
  2. (可选)指定要包含在选项 37 信息中的前缀。
  3. (可选)指定选项 37 包括界面的文本说明。您可以指定 logical 接口描述或 device 接口描述。
  4. (可选)指定选项 37 使用 DHCPv4 选项 82 远程 ID 子选项(子选项 2)值。

    如果不存在 DHCPv4 绑定,或者绑定不包含选项 82 子选项 2 值,则默认情况下路由器发送数据包时不添加选项 37。但是,您可以使用可选 strict 关键字指定路由器丢弃没有子选项 2 值的数据包。

在 DHCPv6 数据包中插入 DHCPv6 客户端 MAC 地址选项(选项 79)

将 IPv6 增量部署到现有 IPv4 网络可形成双堆栈网络环境,在该环境中,设备同时充当 DHCPv4 和 DHCPv6 客户端。在双堆栈方案中,操作员需要能够根据接口通用的标识符将 DHCPv4 和 DHCPv6 消息与同一客户端接口相关联。

您可以将 DHCPv6 中继代理配置为在中继发送到 DHCPv6 服务器的数据包中插入 DHCPv6 客户端 MAC 地址。客户端 MAC 地址用于将 DHCPv4 和 DHCPv6 消息与同一客户端接口相关联。

除了关联来自双堆栈客户端的 DHCPv4 和 DHCPv6 消息之外,在 DHCPv6 数据包中具有客户端 MAC 地址还可以为中继代理和服务器上与客户端相关的事件调试和日志记录提供附加信息。

启用 DHCPv6 选项 79 后,DHCPv6 中继代理将读取从客户端接收的 DHCPv6 请求和 DHCPv6 请求消息的源 MAC 地址。中继代理将请求和请求消息封装在 DHCPv6 中继转发消息中,并在将消息中继到服务器之前,将客户端 MAC 地址作为选项 79 插入中继转发标头中。

如果 DHCPv6 数据包已具有中继转发报头,则当数据包满足以下条件时,DHCPv6 中继代理将添加客户端 MAC 地址:数据包只有一个中继转发报头,中继转发报头由 LDRA 添加,并且中继转发报头尚未包含选项 79 信息。

您还可以为轻量级 DHCPv6 中继代理 (LDRA) 配置 DHCPv6 选项 79。LDRA 与 DHCPv6 客户端和中继代理或服务器驻留在同一 IPv6 链路上,并充当第 2 层中继代理,无需执行将消息转发到驻留在不同 IPv6 链路上的服务器或中继代理所需的路由功能。

要为 DHCPv6 中继代理(第 3 层)配置 DHCPv6 选项 79:
  • 要为 LDRA(第 2 层)配置 DHCPv6 选项 79:

验证和管理 DHCPv6 中继配置

目的

查看或清除扩展 DHCPv6 中继代理客户端的地址绑定或统计信息:

行动

  • 要显示扩展 DHCPv6 中继代理客户端的地址绑定,请执行以下操作:

  • 要显示扩展的 DHCPv6 中继代理统计信息,请执行以下操作:

  • 要清除 DHCPv6 中继代理客户端的绑定状态,请执行以下操作:

  • 要清除所有扩展 DHCPv6 中继代理统计信息,请执行以下操作:

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
14.1
从 Junos OS 14.1 版开始,您可以将 DHCPv6 中继代理配置为在中继发送到 DHCPv6 服务器的数据包中插入 DHCPv6 远程 ID(选项 37)。