适用于逻辑系统的 DHCP
了解 DHCP 对逻辑系统的支持
从 Junos OS 18.4R1 版开始,逻辑系统支持 DHCP 客户端功能来学习分配给逻辑系统的接口的 IP 地址。此外,从 Junos OS 18.4R1 版开始,逻辑系统可支持 DHCP 中继功能。DHCP 中继代理在 DHCP 客户端和 DHCP 服务器之间转发 DHCP 请求和响应。
DHCP 服务器分配 IP 地址,并向由逻辑系统接口提供服务的子网上的客户端主机提供 IP 配置设置,如 DNS 服务器和默认网关。DHCP 允许网络管理员集中管理主机之间的 IP 地址池,并在逻辑系统内的网络中自动分配 IP 地址。IP 地址在有限的时间内租给主机,允许 DHCP 服务器在不需要永久 IP 地址的一组主机之间共享有限的 IP 地址。
作为 DHCP 客户端运行的 SRX 系列防火墙的接口从外部 DHCP 服务器接收 TCP 或 IP 设置和 IP 地址。
作为逻辑系统的 DHCP 中继代理运行的 SRX 系列防火墙将来自 DHCP 客户端的传入请求转发到指定的 DHCP 服务器。客户端请求通过逻辑系统上的接口传递。
用于逻辑系统的最低 DHCPv6 中继代理配置
以下示例介绍了将 SRX 系列防火墙配置为逻辑系统的 DHCPv6 中继代理所需的最低配置。
开始之前,请确定以下几点:
用于逻辑系统的 DHCPv6 中继组和 DHCP 活动服务器组。
要在逻辑系统的路由实例中配置 DHCP 中继代理,请在层次结构级别中edit logical-systems LSYS1 routing-instances R1配置dhcp-relay该语句。
示例:为逻辑系统配置 DHCPv6 客户端
此示例说明如何将 SRX 系列防火墙配置为逻辑系统的 DHCPv6 客户端。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 18.4R1 版
开始之前:
阅读 了解 DHCP 对逻辑系统的支持, 了解此过程在对 DHCP 的整体支持中的作用和位置。
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,主管理员将 SRX 系列防火墙配置为逻辑系统的 DHCPv6 客户端。
逻辑系统的 DHCPv6 客户端包括以下功能:
非临时地址的身份关联 (IA_NA)
前缀委派 (IA_PD) 的身份关联
自动配置或有状态模式
DHCP 唯一标识符 (DUID)
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-systems LSYS1 security zones security-zone trust host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone trust host-inbound-traffic protocols all set logical-systems LSYS1 security zones security-zone trust interfaces ge-0/0/0.0 set logical-systems LSYS1 routing-instances r1 instance-type virtual-router set logical-systems LSYS1 routing-instances r1 interface ge-0/0/0.0 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-type autoconfig set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-type stateful set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-ia-type ia-na set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-ia-type ia-pd set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-identifier duid-type duid-ll set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client req-option dns-server set protocols router-advertisement interface ge-0/0/0.0
在逻辑系统中配置 DHCPv6 客户端
过程
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
配置安全区域以允许逻辑系统的流量。
[edit logical-systems LSYS1 security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0
创建路由实例并为逻辑系统分配路由实例类型。
[edit logical-systems LSYS1] user@host# set routing-instances r1 instance-type virtual-router
指定路由实例的接口名称。
[edit logical-systems LSYS1] user@host# set routing-instances r1 interface ge-0/0/0.0
配置 DHCPv6 客户端类型。客户端类型可以是
autoconfig或stateful逻辑系统。要启用 DHCPv6 自动配置模式,请将客户端类型配置为
autoconfig。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-type autoconfig
对于状态式地址分配,请将客户端类型配置为
stateful。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-type stateful
指定身份关联类型。
要为非临时地址 (IA_NA) 分配配置身份关联,请将
client-ia type指定为ia-na。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-ia-type ia-na
要为前缀委派 (IA_PD) 配置身份关联,请将
client-ia-type指定为ia-pd。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-ia-type ia-pd
通过指定逻辑系统的 DHCP 唯一标识符 (DUID) 类型,配置 DHCPv6 客户端标识符。支持以下 DUID 类型:
链路层地址 (duid-ll)
[edit tlogical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-identifier duid-type duid-ll
为逻辑系统指定 DHCPv6 客户端请求的选项
dns-server。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set req-option dns-server
配置路由器通告。
[edit] user@host# set protocols router-advertisement interface ge-0/0/0.0
结果
在配置模式下,输入
show logical-systems LSYS1命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。user@host# show logical-systems LSYS1 interfaces { ge-0/0/0 { unit 0 { family inet6 { dhcpv6-client { client-type stateful; client-ia-type ia-na; client-ia-type ia-pd; client-identifier duid-type duid-ll; req-option dns-server; } } } } } routing-instances { r1 { instance-type virtual-router; interface ge-0/0/0.0; } } security { zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } } }在配置模式下,输入
show protocols命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。user@host# show protocols router-advertisement { interface ge-0/0/0.0; }
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证逻辑系统的 DHCPv6 客户端
目的
验证是否已配置 DHCPv6 客户端信息。
行动
在作模式下,输入命令 show dhcpv6 client binding logical-systems LSYS1 。
user@host> show dhcpv6 client binding logical-systems LSYS1
IP/prefix Expires State ClientType Interface Client DUID
2000::17/128 67762 BOUND STATEFUL ge-0/0/6.0 LL0x3-10:0e:7e:49:25:86
2000:100::/64 67762 BOUND STATEFUL ge-0/0/6.0 LL0x3-10:0e:7e:49:25:86
意义
输出显示逻辑系统的地址绑定信息。
验证逻辑系统的 DHCPv6 客户端绑定
目的
验证是否已配置 DHCPv6 客户端绑定信息。
行动
在作模式下,输入命令 show dhcpv6 client binding detail logical-systems LSYS1 。
user@host> show dhcpv6 client binding detail logical-systems LSYS1
Client Interface/Id: ge-0/0/6.0
Hardware Address: 10:0e:7e:49:25:86
State: BOUND(DHCPV6_CLIENT_STATE_BOUND)
ClientType: STATEFUL
Lease Expires: 2018-11-09 07:11:47 UTC
Lease Expires in: 67760 seconds
Lease Start: 2018-11-08 07:11:47 UTC
Bind Type: IA_NA IA_PD
Preferred prefix length 0
Sub prefix length 0
Client DUID: LL0x3-10:0e:7e:49:25:86
Rapid Commit: Off
Server Identifier: fe80::46f4:77ff:fed6:670a
Client IP Address: 2000::17/128
Client IP Prefix: 2000:100::/64
DHCP options:
Name: server-identifier, Value: VENDOR0x00000583-0x34343a34
意义
输出显示逻辑系统的详细客户端绑定信息。
验证逻辑系统的 DHCPv6 客户端统计信息
目的
验证是否已配置 DHCPv6 客户端统计信息信息。
行动
在作模式下,输入命令 show dhcpv6 client statistics logical-systems LSYS1 。
user@host> show dhcpv6 client statistics logical-systems LSYS1
Dhcpv6 Packets dropped:
Total 3
Bad Send 3
Messages received:
DHCPV6_ADVERTISE 1
DHCPV6_REPLY 1
DHCPV6_RECONFIGURE 0
Messages sent:
DHCPV6_DECLINE 0
DHCPV6_SOLICIT 1
DHCPV6_INFORMATION_REQUEST 0
DHCPV6_RELEASE 0
DHCPV6_REQUEST 1
DHCPV6_CONFIRM 0
DHCPV6_RENEW 0
DHCPV6_REBIND 0
意义
输出显示有关丢弃的数据包数、接收的消息数以及 DHCP 客户端为逻辑系统发送的消息数的信息。
示例:为逻辑系统配置 DHCPv6 服务器选项
此示例说明如何在逻辑系统的 SRX 系列防火墙上配置 DHCPv6 服务器选项。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 18.4R1 版
开始之前,请确定以下几点:
逻辑系统的 IPv6 地址池范围和 IPv6 前缀。
概述
在此示例中,您将所有 DHCPv6 组的默认客户端限制设置为 200。然后创建一个名为 的 my-group 组,其中包含至少一个接口。在这种情况下,接口为 ge-0/0/2.0。您可以使用命令 upto 设置接口范围,并将覆盖默认限制的组 my-group 的自定义客户端限制设置为 200。最后,使用 IPv6 地址 2001:db8::1/64 配置接口 ge-0/0/2.0,并为接口 ge-0/0/2.0 设置路由器通告。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit
set logical-systems LSYS1 system services dhcp-local-server dhcpv6 group my-group overrides interface-client-limit 200 set logical-systems LSYS1 system services dhcp-local-server dhcpv6 group my-group interface ge-0/0/2.0 set logical-systems LSYS1 interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 prefix 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 range r1 low 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 range r1 high 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 dhcp-attributes maximum-lease-time 200 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 dhcp-attributes option 21 string sip1.net set logical-systems LSYS1 protocols router-advertisement interface ge-0/0/2.0 prefix 2001:db8::1/64
过程
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要为逻辑系统配置 DHCPv6 服务器选项:
配置 DHCP 本地服务器。
[edit logical-systems LSYS1] user@host# set system services dhcp-local-server dhcpv6
为所有 DHCPv6 组设置默认限制。
[edit logical-systems LSYS1 system services dhcp-local-server dhcpv6] user@host# set group my-group overrides interface-client-limit 200
指定组名称和接口。
[edit logical-systems LSYS1 system services dhcp-local-server dhcpv6] user@host# set group my-group interface ge-0/0/2.0
配置具有 IPv6 地址的接口。
[edit logical-systems LSYS1 interfaces] user@host# set ge-0/0/2 unit 0 family inet6 address 2001:db8::1/64
配置地址池并指定 IPv6 家族。
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 prefix 2001:db8::1/64
为 DHCPv6 客户端配置 IPv6 前缀、范围名称和 IPv6 范围
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 range r1 low 2001:db8::1/64 user@host# set address-assignment pool my-pool family inet6 range r1 high 2001:db8::1/64
为最大租期配置 DHCPv6 属性。
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 dhcp-attributes maximum-lease-time 200
配置用户定义选项。
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 dhcp-attributes option 21 string sip1.net
为接口配置路由器通告。
[edit logical-systems LSYS1 protocols] user@host# set router-advertisement interface ge-0/0/2.0 prefix 2001:db8::1/64
结果
在配置模式下,输入 show logical-systems LSYS1 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
user@host# show logical-systems LSYS1
interfaces {
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8::1/64;
}
}
}
}
protocols {
router-advertisement {
interface ge-0/0/2.0 {
prefix 2001:db8::1/64;
}
}
}
system {
services {
dhcp-local-server {
dhcpv6 {
group my-group {
overrides {
interface-client-limit 200;
}
interface ge-0/0/2.0;
}
}
}
}
}
access {
address-assignment {
pool my-pool {
family inet6 {
prefix 2001:db8::1/64;
range r1 {
low 2001:db8::1/64;
high 2001:db8::1/64;
}
dhcp-attributes {
maximum-lease-time 200;
option 21 string sip1.net;
}
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务: