计算网络之IPv6配置DHCP服务及acl

一.DHCPv6服务

DHCP即动态主机地址分配协议，在前面已经启动过IPv4的动态主机分配了，

还是来介绍两种方式

• 接口模式
• 全局模式

现在需要了解的就是DHCHv6，即基于IPv6的动态主机地址分配，它的分配是无状态模式和全状态模式

接口模式指的是动态主机分配只在一个局域网段类，它只提供一个地址池，也就是一个网段的地址，一般接口模式是配置在网关接口上的，当DHCP发送DHCP报文到达此接口以后，就会给主机分配一个IP地址

全局模式指的是由多个地址池，它要和中级路由协同配置，在局域网路由器上的接口配置中继模式，再收到DHCP报文以后并不会直接分配IP地址给主机，而是将收到的DHCP请求报文转发到中继已知的DHCP专属服务器上，由服务器专门分配，

由于DHCP服务器是专门负责分配IP地址的，所以它可以装很多个地址池，并且根据请求的地址段不同分配到不同的地址段给主机，这就是全局模式

DHCP服务有四个状态，是主机请求DHCP服务的过程描述：

1. discover：由主机主动广播DHCP报文到DHCP服务器，请求IP地址
2. offer：由DHCP服务器单播到主机，并且携带分配的IP地址（可能由多个DHCP服务器相应）
3. request：由主机广播到DHCP服务器，并告知自己使用的那个IP地址
4. ack：由被使用IP地址的DHCP服务器单播到主机，并告知与IP地址相关的其它信息

而我们要实操的DHCPv6的相关配置和状态和IPv4的状态差不多，只是和IPv4的广播道DHCP服务器不同

我们知道IPv4请求IP地址是通过广播的方式到DHCP服务器的，也就是整个网段都可以收到DHCP报文

而IPv6的请求DHCPv6报文的方式是组播，组播的优点是在整个网络中，只会由组播网段收到这些DHCPv6报文，相对传输的范围和干扰要小一些

接下来看看配置

二.DHCPv6配置

DHCPv6无状态模式

配置AR7：

dhcp enable
dhcpv6 pool 500
address prefix 6001:500::/64
excluded-address 6001:500::FFFE
interface GigabitEthernet0/0/1
ipv6 enable
ipv6 address 6001:500::FFFE/64
dhcpv6 server 500
ripng 1 enable

命令解释：

启动DHCP服务

配置DHCPv6的地址池标识符为500，这只是一个标识符可以自定义，但是要标识每个网段地址池网段的标识符唯一

分配地址的前缀为6001:500:: 且网络号包含64位

不分配6001:500::FFFE，这是路由器的接口地址，不能分配出去

然后在接口下启动DHCPv6服务，启用地址池为500 ，dhcpv6 server 500

以上的配置完成后接口正常进行DHCP服务了

DHCPv6中继配置

中继模式指的是将DHCP报文转到特定的DHCP服务器上去，由于DHCPv6没有像DHCP那种全局模式，所以，这里的中继依旧是将DHCPv6转发到DHCP的接口上

在接口上配置无状态和全状态模式，使用比较多的就是无状态模式

实验目的：

PC8位于Vlan300，所以需要在交换机上配置300的vlanif这样，在vlanif中将DHCPv6的数据包转发到DHCP服务器上

PC13是位于Vlan400，相同也要配置其vlanif，在vlanif的虚拟接口下转发DHVPv6的报文数据

配置交换机LSW7：

 ipv6 enable
 ipv6 address 4001:300::2/64
 ripng 1 enable
 dhcpv6 relay destination 6001:400::2

通过给Vlanif 300配置IP地址，并且将收到的DHCPv6报文都转发到DHCP服务器所在的接口

配置路由器AR7：

dhcp enable
dhcpv6 pool pool1
 address prefix 4001:300::/64
 excluded-address 4001:300::1 to 4001:300::5
interface GigabitEthernet0/0/0
 dhcpv6 server pool1

路由器上配置地址池，并且在g0/0/0接口上启用DHCPv6服务

当收到转发过来的DHCPv6报文的时候，就会回复，并且分配IPv6地址

三.抓包分析无状态模式

如上图：

DHCPv6和DHCP 的四个状态名称不一样，因为一个是组播，另外一个是广播

Solicit：此状态下，由主机发送DHCPv6报文给DHCP服务器的组播地址

Advertise：此状态标识DHCP服务器接收到请求报文，并且分配相关地址给主机，单播（可能多个DHCP服务器响应）

Request：主机组播到DHCP服务器，告诉它们自己用了那个地址，并且让未使用的地址收回

Reply：被使用IP地址的DHCP服务器发送有关相关的地址其它信息，并且签订租约

如上：

Advertise报文在数据部分的IA Adress部分就带有地址数据，然后单播到主机供主机使用

四.IPv6的配置acl

acl即访问控制列表，是一种由一条或多条规则组成的集合，这些规则可以是报文的源地址，目的地址，端口号，用于网络设备各种软硬接口上执行指令列表，用于限制访问

IPv6的acl和IPv4的acl的区别差不多，常用的同样是两种范围2000~~2999，并且3000~~3999

2000~~2999：限制IP地址段，控制一个网段不能访问或者可以访问

3000~~3999：限制IP地址池的端口，可以精确到单个IP地址的端口，不能访问或访问其它地址段

acl的配置特点是最小匹配，也就是最精确的规则应该放在最前面，并且它最后有一条默认规则，也就是允许所有地址访问

这是一个关键，当我们配置的规则没有匹配上时，它就会默认允许访问

这是和防火墙所不同的，防火墙的过滤规则是默认拒绝所有，如果不对防火墙进行允许配置，那么什么数据包都过不去

首先来看看IPv6的acl配置

配置命令：

acl ipv6 number 3000
rule 5 deny icmpv6 source 5001:400::1/128 destination 6001:500::/64 

在AR7的g0/0/0端口配置

traffic-filter inbound ipv6 acl 3000

ipv6的acl启动规则一定要加上ipv6的标识，不然默认还是IPv4的控制列表规则

然后在AR7上开启入口过滤