(三) 配置动态QinQ示例
普通QinQ终结子接口最多可以配置终结16K个不同内外层Tag组合的用户报文。当不同内外层Tag组合超过16K个时,可以使用动态QinQ功能,此时,QinQ终结子接口最多可以配置终结32K个不同内外层Tag组合的用户报文。终结子接口下配置了动态QinQ功能后,就不能配置该子接口支持VLL、PWE3和VPLS,以及静态ARP和静态DHCP snooping绑定表。
1. 组网需求
如图1所示,DHCP Client通过两级交换机与DHCP Relay连接,并通过DHCP Relay从DHCP Server申请合法的IP地址。DHCP服务器支持Option82带回功能。网段10.1.1.0/24内的地址租用期限为10天12小时,域名为huawei.com,DNS地址为10.1.1.2,NetBIOS地址为10.1.1.3。
两级交换机为DHCP Client发送到DHCP Relay的报文打上两层Tag。配置DHCP Relay的Client侧的子接口能够终结Client报文中的两层Tag和支持DHCP Relay功能。
此外,DHCP Relay上还需要部署以下特性: 动态QinQ
在DHCP Relay的Client侧的终结子接口上配置动态QinQ,当用户上线时为用户分配资源。用户申请到IP地址后发生异常下线,系统可以自动感知,并会自动删除DHCP绑定表中的绑定关系并通知DHCP Server释放IP地址。
安全特性
? DHCP Relay能够防止以下类型的DHCP攻击: ? DHCP Server仿冒者攻击。
? 中间人攻击与IP/MAC Spoofing攻击。 ? 改变CHADDR值的DoS攻击。 ? 仿冒DHCP续租报文攻击。 ? 发送DHCP Request报文攻击。
2. 配置思路
采用如下的思路配置动态QinQ的基本功能: 配置DHCP Relay的接口模式为用户终结模式。 配置DHCP Relay的基本功能。 配置DHCP Server的基本功能。
配置QinQ终结子接口支持DHCP Relay和动态QinQ功能。 配置DHCP Snooping的基本功能。
配置ARP与DHCP Snooping联动功能。使DHCP Relay可以动态感知用户上下线。 配置Switch的二层转发功能和QinQ功能。
3. 数据准备
为完成此配置例,需准备如下的数据: 要实现DHCP中继功能的接口的IP地址。 DHCP Server的地址池范围。
QinQ终结子接口终结的Tag值。 DHCP报文上送CPU的速率。 向网管发出告警的阈值。
4. 操作步骤
配置DHCP Relay接口的模式为用户终结模式
[HUAWEI] sysname DHCP-Relay
[DHCP-Relay] interface gigabitethernet 1/0/0
[DHCP-Relay-GigabitEthernet1/0/0] mode user-termination [DHCP-Relay-GigabitEthernet1/0/0] undo shutdown [DHCP-Relay-GigabitEthernet1/0/0] quit 配置DHCP Relay的基本功能 # 使能DHCP服务。 [DHCP-Relay] dhcp enable # 配置接口GE2/0/0接口地址。
[DHCP-Relay] interface gigabitethernet 2/0/0
[DHCP-Relay-GigabitEthernet2/0/0] ip address 100.1.1.1 24 [DHCP-Relay-GigabitEthernet2/0/0] undo shutdown [DHCP-Relay-GigabitEthernet2/0/0] quit
# 配置要实现DHCP中继功能的子接口,为其配置IP地址和地址掩码,使其和DHCP Client属于同一个网段。
[DHCP-Relay] interface gigabitethernet 1/0/0.1
[DHCP-Relay–GigabitEthernet1/0/0.1] ip address 10.1.1.1 24 [DHCP-Relay-GigabitEthernet1/0/0.1] ip relay address 100.1.1.2 [DHCP-Relay-GigabitEthernet1/0/0.1] dhcp select relay [DHCP-Relay-GigabitEthernet1/0/0.1] undo shutdown [DHCP-Relay-GigabitEthernet1/0/0.1] quit 配置DHCP服务器 # 启动DHCP服务。
[HUAWEI] sysname DHCP-Server
# 配置接口GE1/0/0下的客户端从全局地址池中获取IP地址。
[DHCP-Server] interface gigabitethernet 1/0/0 [DHCP-Server-GigabitEthernet1/0/0] undo shutdown
[DHCP-Server-GigabitEthernet1/0/0] ip address 100.1.1.2 24 [DHCP-Server-GigabitEthernet1/0/0] quit
# 配置DHCP地址池1属性(地址池范围、域名、出口网关、DNS地址、地址租用期)。 [DHCP-Server] ip pool 1 server
[DHCP-Server-dhcp-1] gateway 10.1.1.1 255.255.255.0 [DHCP-Server-dhcp-1] section 0 10.1.1.5 10.1.1.100
[DHCP-Server-dhcp-1] excluded-ip-address 10.1.1.1 10.1.1.3 [DHCP-Server-dhcp-1] dns-suffix huawei.com [DHCP-Server-dhcp-1] dns-server 10.1.1.2
[DHCP-Server-dhcp-1] netbios-name-server 10.1.1.3 [DHCP-Server-dhcp-1] lease 10 12 [DHCP-Server-dhcp-1] quit
配置DHCP Relay的QinQ终结子接口和动态QinQ [DHCP-Relay] interface gigabitethernet 1/0/0.1
[DHCP-Relay-GigabitEthernet1/0/0.1] control-vid 1 qinq-termination dynamic [DHCP-Relay-GigabitEthernet1/0/0.1] qinq-dynamic max-access-user 3
[DHCP-Relay-GigabitEthernet1/0/0.1] qinq-dynamic user-queue 1024 bandwidth 51200 inbound
[DHCP-Relay-GigabitEthernet1/0/0.1] qinq termination pe-vid 1 ce-vid 1 to 4094 [DHCP-Relay-GigabitEthernet1/0/0.1] qinq termination pe-vid 2 ce-vid 1 to 4094 [DHCP-Relay-GigabitEthernet1/0/0.1] dhcp option82 insert enable [DHCP-Relay-GigabitEthernet1/0/0.1] arp broadcast enable
[DHCP-Relay-GigabitEthernet1/0/0.1] arp learning strict force-disable [DHCP-Relay-GigabitEthernet1/0/0.1] undo shutdown [DHCP-Relay-GigabitEthernet1/0/0.1] quit
说明: 对于DHCP Relay,需要在QinQ终结子接口使用dhcp option82 insert enable或者dhcp option82 rebuild enable命令使能对DHCP报文插入Option82功能。
如果QinQ终结子接口不使能对DHCP报文插入Option82功能,对于QinQ终结子接口接入DHCP Relay业务,QinQ终结子接口向用户侧发送DHCP报文时,系统只封装该终结子接口下配置的最小VLAN值,而对其他VLAN不做处理。
对于DHCP Server,必须支持Option82带回功能,即,从DHCP Server返回的Offer或者ACK报文需要含有Option82信息。
使用arp learning strict force-disable命令,使动态QinQ接口不受全局ARP严格学习功能的限制,保证动态QinQ接口可以学习到用户发送的ARP请求。
使能DHCP Snooping功能
使能全局和接口的DHCP Snooping功能。 [DHCP-Relay] dhcp snooping enable
[DHCP-Relay] interface gigabitethernet 1/0/0.1
[DHCP-Relay-GigabitEthernet1/0/0.1] dhcp snooping enable [DHCP-Relay-GigabitEthernet1/0/0.1] quit [DHCP-Relay] interface gigabitethernet 2/0/0
[DHCP-Relay-GigabitEthernet2/0/0] dhcp snooping enable [DHCP-Relay-GigabitEthernet2/0/0] quit 配置Trusted接口
# 将连接DHCP Server侧的接口配置为“Trusted”,将连接DHCP Client侧的所有接口使能DHCP snooping(如果用户侧接口没有配置“Trusted”模式,那么使能了接口的Snooping特性后,接口模式默认为“Untrusted”),这样可以防止DHCP Server仿冒者攻击。
[DHCP-Relay] interface gigabitethernet 2/0/0
[DHCP-Relay-GigabitEthernet2/0/0] dhcp snooping trusted [DHCP-Relay-GigabitEthernet2/0/0] quit 配置对特定报文的检查
# 在DHCP Client侧的接口进行ARP报文和IP报文检查,这样可以防止中间人攻击与IP/MAC Spoofing攻击。
[DHCP-Relay] interface gigabitethernet 1/0/0.1
[DHCP-Relay-GigabitEthernet1/0/0.1] dhcp snooping check arp enable [DHCP-Relay-GigabitEthernet1/0/0.1] dhcp snooping check ip enable [DHCP-Relay-GigabitEthernet1/0/0.1] quit
# 在DHCP Client侧的接口进行DHCP Request报文检查,这样可以防止仿冒DHCP续租报文的攻击。
[DHCP-Relay] interface gigabitethernet 1/0/0.1
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库QinQ原理与配置指导书(8)在线全文阅读。
相关推荐: