Formato da mensagem ARP

O ARP usa dois tipos de mensagens: Solicitação ARP e resposta ARP. A Figura 1 mostra o formato das mensagens de solicitação/resposta do ARP. Os números na figura referem-se ao comprimento dos campos.

Figura 1 Formato da mensagem ARP

• Tipo de hardware-Tipo de endereço de hardware. O valor 1 representa Ethernet.
• Tipo de protocolo - Tipo de endereço de protocolo a ser mapeado. O valor hexadecimal 0x0800 representa IP.
• Comprimento do endereço de hardware e comprimento do endereço de protocolo - Comprimento, em bytes, de um endereço de hardware e de um endereço de protocolo. Para um endereço Ethernet, o valor do campo de comprimento do endereço de hardware é 6. Para um endereço IPv4, o valor do campo de comprimento do endereço de protocolo é 4.
• OP-Código de operação, que descreve o tipo de mensagem ARP. O valor 1 representa uma solicitação ARP e o valor 2 representa uma resposta ARP.
• Endereço de hardware do remetente - Endereço de hardware do dispositivo que está enviando a mensagem.
• Endereço de protocolo do remetente - Endereço de protocolo do dispositivo que está enviando a mensagem.
• Endereço de hardware de destino - Endereço de hardware do dispositivo para o qual a mensagem está sendo enviada.
• Endereço de protocolo de destino - Endereço de protocolo do dispositivo para o qual a mensagem está sendo enviada.

Mecanismo operacional do ARP

Conforme mostrado na Figura 2, o Host A e o Host B estão na mesma sub-rede. O host A envia um pacote para o host B da seguinte forma:

• O host A procura na tabela ARP uma entrada ARP para o host B. Se for encontrada uma entrada, o host A usa o endereço MAC na entrada para encapsular o pacote IP em um quadro da camada de enlace de dados. Em seguida, o host A envia o quadro para o host B.
• Se o Host A não encontrar nenhuma entrada para o Host B, o Host A armazenará o pacote em um buffer e transmitirá uma solicitação ARP. A carga útil da solicitação ARP contém as seguintes informações:
• Endereço IP do remetente e endereço MAC do remetente - Endereço IP e endereço MAC do host A.
• Endereço IP de destino-O endereço IP do host B.
• Endereço MAC de destino - Um endereço MAC totalmente zero.

Todos os hosts dessa sub-rede podem receber a solicitação de difusão, mas somente o host solicitado (Host B) processa a solicitação.

• O host B compara seu próprio endereço IP com o endereço IP de destino na solicitação ARP. Se eles forem iguais, o Host B opera da seguinte forma:
• Adiciona o endereço IP do remetente e o endereço MAC do remetente em sua tabela ARP.
• Encapsula seu endereço MAC em uma resposta ARP.
• Transmite a resposta ARP para o host A.
• Depois de receber a resposta do ARP, o host A opera da seguinte forma:
• Adiciona o endereço MAC do Host B em sua tabela ARP.
• Encapsula o endereço MAC no pacote e envia o pacote para o Host B.

Figura 2 Processo de resolução de endereços ARP

Se o host A e o host B estiverem em sub-redes diferentes, o host A enviará um pacote para o host B da seguinte forma:

• O host A transmite uma solicitação ARP em que o endereço IP de destino é o endereço IP do gateway.
• O gateway responde com seu endereço MAC em uma resposta ARP ao Host A.
• O host A usa o endereço MAC do gateway para encapsular o pacote e, em seguida, envia o pacote para o gateway.
• Se o gateway tiver uma entrada ARP para o Host B, ele encaminhará o pacote diretamente para o Host B. Caso contrário, o gateway transmite uma solicitação ARP, na qual o endereço IP de destino é o endereço IP do Host B.
• Depois que o gateway obtém o endereço MAC do Host B, ele envia o pacote para o Host B.

Tipos de entrada ARP

Uma tabela ARP armazena entradas ARP dinâmicas, entradas ARP OpenFlow, entradas ARP Rule e entradas ARP estáticas.

Entrada ARP dinâmica

O ARP cria e atualiza automaticamente entradas dinâmicas. Uma entrada dinâmica de ARP é removida quando o cronômetro de envelhecimento expira ou a interface de saída é desativada. Além disso, uma entrada ARP dinâmica pode ser substituída por uma entrada ARP estática.

Entrada ARP estática

Uma entrada ARP estática é configurada e mantida manualmente. Ela não envelhece e não pode ser substituída por nenhuma entrada ARP dinâmica.

As entradas de ARP estático protegem a comunicação entre dispositivos porque os pacotes de ataque não podem modificar o mapeamento de IP para MAC em uma entrada de ARP estático.

O dispositivo suporta os seguintes tipos de entradas ARP estáticas:

• Entrada ARP estática longa - É usada diretamente para encaminhar pacotes. Uma entrada longa de ARP estático contém o endereço IP, o endereço MAC, a VLAN e a interface de saída.
• Entrada ARP estática curta - Contém apenas o endereço IP e o endereço MAC.

Se a interface de saída for uma interface VLAN, o dispositivo enviará uma solicitação ARP cujo endereço IP de destino é o endereço IP da entrada curta. Se os endereços IP e MAC do remetente na resposta ARP recebida corresponderem à entrada ARP estática curta, o dispositivo executará as seguintes operações:

• Adiciona a interface que recebeu a resposta ARP à entrada ARP estática curta.
• Usa a entrada ARP estática curta resolvida para encaminhar pacotes IP.
• Entrada ARP multiportas - Contém o endereço IP, o endereço MAC e as informações de VLAN.

O dispositivo pode usar uma entrada ARP multiportas que tenha o mesmo endereço MAC e VLAN que uma entrada de endereço MAC unicast multicast ou multiportas para o encaminhamento de pacotes. Uma entrada ARP multiportas é configurada manualmente. Ela não envelhece e não pode ser substituída por nenhuma entrada ARP dinâmica.

Para se comunicar com um host usando um mapeamento fixo de IP para MAC, configure uma entrada ARP estática curta no dispositivo. Para se comunicar com um host usando um mapeamento fixo de IP para MAC por meio de uma interface em uma VLAN, configure uma entrada ARP estática longa no dispositivo.

Entrada ARP do OpenFlow

O ARP cria entradas ARP OpenFlow aprendendo com o módulo OpenFlow. Uma entrada ARP do OpenFlow não envelhece e não pode ser atualizada. Uma entrada ARP do OpenFlow pode ser usada diretamente para encaminhar pacotes. Para obter mais informações sobre o OpenFlow, consulte o Guia de configuração do OpenFlow.

Regra de entrada ARP

As entradas do Rule ARP podem ser usadas diretamente para o encaminhamento de pacotes. Uma entrada Rule ARP não envelhece e não pode ser atualizada. Ela pode ser substituída por uma entrada ARP estática.

O ARP cria entradas de Rule ARP aprendendo com o módulo de autenticação do portal. Para obter mais informações sobre a autenticação do portal, consulte a configuração da autenticação do portal no Security Configuration Guide.

Configuração de uma entrada ARP estática curta

Restrições e diretrizes

Uma entrada ARP estática curta resolvida deixa de ser resolvida em determinados eventos, por exemplo, quando a interface de saída resolvida fica inoperante ou a VLAN ou a interface de VLAN correspondente é excluída.

Procedimento

system-view

• Configure uma entrada ARP estática curta.

arp static ip-address mac-address

Configuração de uma entrada ARP estática longa

Sobre entradas longas de ARP estático

As entradas ARP estáticas longas podem ser eficazes ou ineficazes. As entradas de ARP estático longo ineficazes não podem ser usadas para o encaminhamento de pacotes. Uma entrada de ARP estático longo é ineficaz quando existe uma das seguintes condições:

• O endereço IP na entrada entra em conflito com um endereço IP local.
• Nenhuma interface local tem um endereço IP na mesma sub-rede que o endereço IP na entrada ARP. Uma entrada ARP estática longa para uma VLAN será excluída se a VLAN ou a interface da VLAN for excluída.

Procedimento

• Entre na visualização do sistema.

system-view

• Configure uma entrada ARP estática longa.

arp static ip-address mac-address [ vlan-id interface-type interface-number ]

Configuração de uma entrada ARP multiportas

Sobre entradas ARP multiportas

Uma entrada ARP multiportas contém um endereço IP, endereço MAC, interface de saída e informações de ID de VLAN. A VLAN e as interfaces de saída são especificadas por uma entrada de endereço MAC unicast multiportas ou uma entrada de endereço MAC multicast. Para obter mais informações sobre entradas de endereço MAC unicast multiportas, consulte o Layer-2 LAN Switching Configuration Guide. Para obter mais informações sobre entradas de endereço MAC multicast, consulte o Guia de configuração de IP Multicast.

Uma entrada ARP multiportas pode sobrescrever uma entrada ARP dinâmica, estática curta ou estática longa. Por outro lado, uma entrada ARP estática curta ou estática longa pode sobrescrever uma entrada ARP multiportas.

Restrições e diretrizes

Para que uma entrada ARP multiportas seja eficaz para o encaminhamento de pacotes, certifique-se de que as seguintes condições sejam atendidas:

• Existe uma entrada de endereço MAC unicast multiportas ou uma entrada de endereço MAC multicast.

• A entrada ARP multiportas deve ter o mesmo endereço MAC que a entrada de endereço MAC unicast multiportas ou a entrada de endereço MAC multicast.
• O endereço IP na entrada ARP multiportas deve residir na mesma sub-rede que a interface VLAN da VLAN especificada.

Se uma interface agregada for a interface de saída de uma entrada e suas portas membros residirem em vários dispositivos membros da IRF, o dispositivo não poderá usar a entrada para encaminhar pacotes. Para resolver esse problema, defina o modo de compartilhamento de carga de agregação de link global para um modo diferente do baseado em endereço MAC de origem ou destino usando o comando link-aggregation global load-sharing mode. Para obter mais informações sobre esse comando, consulte Agregação de links Ethernet em Layer 2-LAN Switching Command Reference.

Procedimento

• Entre na visualização do sistema.

system-view

• Configure uma entrada de endereço MAC unicast multiportas ou uma entrada de endereço MAC multicast.
• Em uma rede comum, configure uma entrada de endereço MAC unicast multiportas.

mac-address multiport mac-address interface interface-list vlan vlan-id

• Em uma rede comum, configure uma entrada de endereço MAC multicast.

mac-address multicast mac-address interface interface-list vlan
                        vlan-id

• Configurar uma entrada ARP multiportas.

arp multiport ip-address mac-address vlan-id

Definição do limite de aprendizado dinâmico de ARP para um dispositivo

Sobre o limite de aprendizado dinâmico de ARP para um dispositivo

Um dispositivo pode aprender dinamicamente as entradas ARP. Para evitar que um dispositivo mantenha muitas entradas ARP, você pode definir o número máximo de entradas ARP dinâmicas que o dispositivo pode aprender. Quando o limite é atingido, o dispositivo interrompe o aprendizado de ARP.

Se você definir um valor menor do que o número de entradas ARP dinâmicas existentes, o dispositivo não excluirá as entradas existentes, a menos que elas se esgotem. Você pode usar o comando reset arp dynamic para limpar as entradas de ARP dinâmico.

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o limite de aprendizado dinâmico de ARP para o dispositivo.

arp max-learning-number max-number slot slot-number

A configuração padrão varia de acordo com o modelo do dispositivo. Para obter mais informações, consulte a referência do comando. Para desativar o aprendizado dinâmico de ARP do dispositivo, defina o valor como 0.

Configuração do limite de aprendizado dinâmico de ARP para uma interface

Sobre a configuração do limite de aprendizado dinâmico de ARP para uma interface

Uma interface pode aprender dinamicamente entradas ARP. Para evitar que uma interface mantenha muitas entradas ARP, você pode definir o número máximo de entradas ARP dinâmicas que a interface pode aprender. Quando o limite é atingido, a interface interrompe o aprendizado de ARP.

Você pode definir limites para uma interface de camada 2 e para a interface VLAN para uma VLAN permitida na interface de camada 2. A interface da camada 2 aprende uma entrada ARP somente quando nenhum dos limites é atingido.

O limite total de aprendizado dinâmico de ARP para todas as interfaces não será maior do que o limite de aprendizado dinâmico de ARP do dispositivo.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Definir o limite de aprendizado dinâmico de ARP para a interface.

arp max-learning-num max-number [ alarm alarm-threshold ]

A configuração padrão varia de acordo com o modelo do dispositivo. Para obter mais informações, consulte a referência de comandos. Para desativar o aprendizado dinâmico de ARP da interface, defina o valor como 0.

Configuração do cronômetro de envelhecimento para entradas ARP dinâmicas

Sobre o cronômetro de envelhecimento para entradas ARP dinâmicas

Cada entrada ARP dinâmica na tabela ARP tem uma vida útil limitada, chamada de cronômetro de envelhecimento. O cronômetro de envelhecimento de uma entrada de ARP dinâmico é redefinido sempre que a entrada de ARP dinâmico é atualizada. Uma entrada de ARP dinâmico que não é atualizada antes que seu cronômetro de envelhecimento expire é excluída da tabela ARP.

É possível definir o cronômetro de envelhecimento para entradas ARP dinâmicas na visualização do sistema ou na visualização da interface. O cronômetro de envelhecimento definido na visualização da interface tem precedência sobre o cronômetro de envelhecimento definido na visualização do sistema.

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o cronômetro de envelhecimento para entradas ARP dinâmicas.
• Defina o cronômetro de envelhecimento para entradas ARP dinâmicas na visualização do sistema.

aarp timer aging { aging-minutes | second aging-seconds }

Por padrão, o cronômetro de envelhecimento para entradas ARP dinâmicas na visualização do sistema é de 20 minutos.

• Execute os comandos a seguir em sequência para definir o cronômetro de envelhecimento para entradas ARP dinâmicas na visualização da interface:

interface interface-type interface-number

aarp timer aging { aging-minutes | second aging-seconds }

Por padrão, o cronômetro de envelhecimento para entradas ARP dinâmicas na visualização de interface é o cronômetro de envelhecimento definido na visualização do sistema.

Configuração do número máximo de sondas para entradas ARP dinâmicas

Sobre o número máximo de sondagens para entradas ARP dinâmicas

Esse mecanismo de sondagem mantém válidas as entradas dinâmicas legais de ARP e evita a resolução desnecessária de ARP durante o encaminhamento posterior do tráfego. Ele envia solicitações ARP para o endereço IP em uma entrada ARP dinâmica.

• Se o dispositivo receber uma resposta ARP antes que o cronômetro de envelhecimento da entrada expire, o dispositivo redefinirá o cronômetro de envelhecimento.
• Se o dispositivo não receber nenhuma resposta ARP após o número máximo de sondagens, o dispositivo excluirá a entrada quando o cronômetro de envelhecimento da entrada expirar.

Você pode definir o número máximo de sondas na visualização do sistema ou na visualização da interface. A contagem de sondas definida na visualização da interface tem precedência sobre a contagem de sondas definida na visualização do sistema.

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o número máximo de sondas para entradas ARP dinâmicas.
• Defina o número máximo de sondas para entradas ARP dinâmicas na visualização do sistema.

arp timer aging probe-interval interval

Por padrão, o número máximo de sondas na visualização do sistema para entradas ARP dinâmicas é 3.

• Execute os comandos a seguir em sequência para definir o número máximo de sondas para entradas ARP dinâmicas:

interface interface-type interface-number

arp timer aging probe-interval interval

Por padrão, o número máximo de sondas na visualização da interface para entradas ARP dinâmicas é o número máximo de sondas definido na visualização do sistema.

Configuração do intervalo para sondagem de entradas ARP dinâmicas

Sobre o intervalo para sondagem de entradas ARP dinâmicas

O recurso de sondagem mantém válidas as entradas dinâmicas legais de ARP e evita a resolução desnecessária de ARP durante o encaminhamento posterior do tráfego.

Antes que uma entrada ARP dinâmica seja envelhecida, o dispositivo envia solicitações ARP para o endereço IP na entrada ARP.

• Se o dispositivo receber uma resposta ARP durante o intervalo da sonda, ele redefinirá o cronômetro de envelhecimento.
• Se o dispositivo não receber nenhuma resposta ARP durante o intervalo da sonda, ele iniciará uma nova sonda.
• Se o número máximo de sondagens for feito e nenhuma resposta ARP for recebida, o dispositivo excluirá a entrada.

Você pode definir o intervalo da sonda na visualização do sistema e na visualização da interface. O intervalo da sonda na interface tem precedência sobre o intervalo da sonda na visualização do sistema.

Restrições e diretrizes

• Se houver tráfego intenso na rede, defina um intervalo longo.
• Durante o processo de sondagem da entrada ARP dinâmica, uma entrada ARP dinâmica não será excluída se o tempo de envelhecimento expirar. Se uma resposta for recebida durante a sondagem, o cronômetro de envelhecimento da entrada ARP será redefinido.

• Para que o dispositivo execute o número especificado de sondas, certifique-se de que os requisitos a seguir sejam atendidos:

Tempo de envelhecimento das entradas ARP dinâmicas > o número máximo de sondas × intervalo de sonda

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o intervalo para sondagem de entradas ARP dinâmicas.
• Defina o intervalo para sondagem de entradas ARP dinâmicas na visualização do sistema.

arp timer aging probe-interval interval

Por padrão, o intervalo da sonda é de 5 segundos.

• Execute os seguintes comandos em sequência para definir o intervalo de sondagem das entradas ARP dinâmicas:

interface interface-type interface-number

arp timer aging probe-interval interval

Por padrão, o intervalo da sonda depende da configuração na visualização do sistema.

Ativação da verificação dinâmica de entradas ARP

Sobre a verificação dinâmica de entradas ARP

O recurso de verificação de entrada ARP dinâmica impede que o dispositivo ofereça suporte a entradas ARP dinâmicas que contenham endereços MAC multicast. O dispositivo não pode aprender entradas ARP dinâmicas que contenham endereços MAC multicast. Não é possível adicionar manualmente entradas ARP estáticas que contenham endereços MAC multicast.

Quando a verificação dinâmica de entradas ARP está desativada, há suporte para entradas ARP que contêm endereços MAC multicast. O dispositivo pode aprender entradas ARP dinâmicas contendo endereços MAC multicast obtidos dos pacotes ARP originados de um endereço MAC unicast. Você também pode adicionar manualmente entradas ARP estáticas contendo endereços MAC multicast.

Procedimento

• Entre na visualização do sistema.

system-view

• Ativar a verificação dinâmica de entradas ARP.

arp check enable

Por padrão, a verificação dinâmica de entrada ARP está ativada.

Exemplo: Configuração de uma entrada ARP estática longa

Configuração de rede

Conforme mostrado na Figura 3, os hosts estão conectados ao Dispositivo B. O Dispositivo B está conectado ao Dispositivo A por meio da interface GigabitEthernet 1/0/1 na VLAN 10.

Para garantir comunicações seguras entre o Dispositivo A e o Dispositivo B, configure uma entrada ARP estática longa para o Dispositivo A no Dispositivo B.

Figura 3 Diagrama de rede

Procedimento

# Criar a VLAN 10.

<DeviceB> system-view
    [DeviceB] vlan 10
    [DeviceB-vlan10] quit

# Adicione a interface GigabitEthernet 1/0/1 à VLAN 10.

[DeviceB] interface gigabitethernet 1/0/1
    [DeviceB-GigabitEthernet1/0/1] port access vlan 10
    [DeviceB-GigabitEthernet1/0/1] quit

# Crie a interface VLAN 10 e configure seu endereço IP.

[DeviceB] interface vlan-interface 10
    [DeviceB-vlan-interface10] ip address 192.168.1.2 8
    [DeviceB-vlan-interface10] quit

# Configure uma entrada ARP estática longa que tenha o endereço IP 192.168.1.1, o endereço MAC 00e0-fc01-0000 e a interface de saída GigabitEthernet 1/0/1 na VLAN 10.

[DeviceB] arp static 192.168.1.1 00e0-fc01-0000 10 gigabitethernet 1/0/1

Verificação da configuração

# Verifique se o dispositivo B tem uma entrada ARP estática longa para o dispositivo A.

[DeviceB] display arp static
        Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
        IP address MAC address VLAN/VSI Interface Aging Type
        192.168.1.1 00e0-fc01-0000 10 GE1/0/1 -- S

Exemplo: Configuração de uma entrada ARP estática curta

Configuração de rede

Conforme mostrado na Figura 4, os hosts estão conectados ao Dispositivo B. O Dispositivo B está conectado ao Dispositivo A por meio da interface GigabitEthernet 1/0/2.

Para garantir comunicações seguras entre o Dispositivo A e o Dispositivo B, configure uma entrada ARP estática curta para o Dispositivo A no Dispositivo B.

Figura 4 Diagrama de rede

Procedimento

# Configure um endereço IP para a GigabitEthernet 1/0/2.

<DeviceB> system-view system-view
    [DeviceB] interface gigabitethernet 1/0/2
    [DeviceB-GigabitEthernet1/0/2] ip address 192.168.1.2 24
    [DeviceB-GigabitEthernet1/0/2] quit
    

# Configure uma entrada ARP estática curta que tenha o endereço IP 192.168.1.1 e o endereço MAC 00e0-fc01-001f.

[DeviceB] arp static 192.168.1.1 00e0-fc01-001f
    

Verificação da configuração

# Verificar se o dispositivo B tem uma entrada ARP estática curta para o dispositivo A

[DeviceB] display arp static
        Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
    IP address  MAC address    VLAN/VSI  Interface   Aging Type
    192.168.1.1 00e0-fc01-001f   --       --          --     S

Exemplo: Configuração de uma entrada ARP multiportas

Configuração de rede

Conforme mostrado na Figura 5, um dispositivo se conecta a três servidores por meio das interfaces GigabitEthernet 1/0/1, GigabitEthernet 1/0/2 e GigabitEthernet 1/0/3 na VLAN 10. Os servidores compartilham o endereço IP 192.168.1.1/24 e o endereço MAC 00e0-fc01-0000.

Configure uma entrada ARP multiportas para que o dispositivo envie pacotes IP com o endereço IP de destino 192.168.1.1 para os três servidores.

Figura 5 Diagrama de rede

Procedimento

# Criar a VLAN 10.

<Device> system-view
    [Device] vlan 10
    [Device-vlan10] quit

# Adicione GigabitEthernet 1/0/1, GigabitEthernet 1/0/2 e GigabitEthernet 1/0/3 à VLAN 10.

[Device] interface gigabitethernet 1/0/1
    [Device-GigabitEthernet1/0/1] port access vlan 10
    [Device-GigabitEthernet1/0/1] quit
    [Device] interface gigabitethernet 1/0/2
    [Device-GigabitEthernet1/0/2] port access vlan 10
    [Device-GigabitEthernet1/0/2] quit
    [Device] interface gigabitethernet 1/0/3
    [Device-GigabitEthernet1/0/3] port access vlan 10
    [Device-GigabitEthernet1/0/3] quit

# Crie a interface VLAN 10 e especifique seu endereço IP.

[Device] interface vlan-interface 10
    [Device-vlan-interface10] ip address 192.168.1.2 24
    [Device-vlan-interface10] quit

# Configure uma entrada de endereço MAC unicast multiportas que tenha o endereço MAC 00e0-fc01-0000 e as interfaces de saída GigabitEthernet 1/0/1, GigabitEthernet 1/0/2 e GigabitEthernet 1/0/3 na VLAN 10.

[Device] mac-address multiport 00e0-fc01-0000 interface gigabitethernet 1/0/1 to
    gigabitethernet 1/0/3 vlan 10

# Configure uma entrada ARP multiportas com o endereço IP 192.168.1.1 e o endereço MAC 00e0-fc01-0000.

[Device] arp multiport 192.168.1.1 00e0-fc01-0000 10

Verificação da configuração

# Verifique se o dispositivo tem uma entrada ARP multiportas com o endereço IP 192.168.1.1 e o endereço MAC 00e0-fc01-0000.

[Device] display arp
        Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
    IP address MAC address     VLAN/VSI Interface Aging Type
    192.168.1.1 00e0-fc01-0000  10       --        --    M 

Detecção de conflitos de IP

Quando uma interface obtém um endereço IP, o dispositivo transmite pacotes ARP gratuitos na LAN em que a interface reside. Se o dispositivo receber uma resposta ARP, seu endereço IP entrará em conflito com o endereço IP de outro dispositivo na LAN. O dispositivo exibe uma mensagem de registro sobre o conflito e informa ao administrador para alterar o endereço IP. O dispositivo não usará o endereço IP conflitante. Se nenhuma resposta ARP for recebida, o dispositivo usará o endereço IP.

Aprendizado gratuito de pacotes ARP

Esse recurso permite que um dispositivo crie ou atualize entradas ARP usando os endereços IP e MAC do remetente nos pacotes ARP gratuitos recebidos.

Quando esse recurso está desativado, o dispositivo usa os pacotes ARP gratuitos recebidos apenas para atualizar as entradas ARP existentes. As entradas ARP não são criadas com base nos pacotes ARP gratuitos recebidos, o que economiza espaço na tabela ARP.

Envio periódico de pacotes ARP gratuitos

O envio periódico de pacotes ARP gratuitos ajuda os dispositivos downstream a atualizar as entradas ARP ou MAC em tempo hábil.

Esse recurso pode implementar as seguintes funções:

• Evite a falsificação de gateway.

A falsificação de gateway ocorre quando um invasor usa o endereço do gateway para enviar pacotes ARP gratuitos para os hosts em uma rede. Em vez disso, o tráfego destinado ao gateway dos hosts é enviado ao invasor. Como resultado, os hosts não conseguem acessar a rede externa.

Para evitar esses ataques de falsificação de gateway, você pode habilitar o gateway para enviar pacotes ARP gratuitos em intervalos. Os pacotes ARP gratuitos contêm o endereço IP primário e os endereços IP secundários configurados manualmente do gateway, para que os hosts possam saber as informações corretas do gateway.

• Evite que as entradas ARP envelheçam.

Se o tráfego de rede for intenso ou se o uso da CPU do host for alto, os pacotes ARP recebidos poderão ser descartados ou não serão processados imediatamente. Eventualmente, as entradas dinâmicas de ARP no host receptor se esgotam. O tráfego entre o host e os dispositivos correspondentes é interrompido até que o host recrie as entradas ARP.

Para evitar esse problema, você pode habilitar o gateway para enviar pacotes ARP gratuitos periodicamente. Os pacotes ARP gratuitos contêm o endereço IP primário e o endereço IP configurado manualmente.

endereços IP secundários do gateway, para que os hosts receptores possam atualizar as entradas ARP em tempo hábil.

• Impedir que o endereço IP virtual de um grupo VRRP seja usado por um host.

O roteador mestre de um grupo VRRP pode enviar periodicamente pacotes ARP gratuitos para os hosts da rede local. Os hosts podem então atualizar as entradas ARP locais e evitar o uso do endereço IP virtual do grupo VRRP. O endereço MAC do remetente no pacote ARP gratuito é o endereço MAC virtual do roteador virtual. Para obter mais informações sobre o VRRP, consulte o Guia de configuração de alta disponibilidade.

Exemplo: Configuração de ARP de proxy comum

Configuração de rede

Conforme mostrado na Figura 6, o Host A e o Host D têm o mesmo prefixo e máscara IP, mas estão localizados em sub-redes diferentes separadas pelo switch. O host A pertence à VLAN 1 e o host D pertence à VLAN 2. Nenhum gateway padrão está configurado no Host A e no Host D.

Configure o proxy ARP comum no switch para permitir a comunicação entre os dois hosts.

Figura 6 Diagrama de rede

Procedimento

# Criar VLAN 2.

<Switch> system-view
[Switch] vlan 2
[Switch-vlan2] quit

# Configure o endereço IP da interface VLAN 1.

[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0

# Habilite o proxy ARP comum na interface VLAN 1.

[Switch-Vlan-interface1] proxy-arp enable
[Switch-Vlan-interface1] quit

# Configure o endereço IP da interface VLAN 2.

[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0

# Habilite o proxy ARP comum na interface VLAN 2.

[Switch-Vlan-interface2] proxy-arp enable.

Verificação da configuração

# Verifique se o host A e o host D podem fazer ping um do outro.

Criação de entradas de ARP snooping

Se você ativar o ARP snooping para uma VLAN, os pacotes ARP recebidos na VLAN serão redirecionados para a CPU. Para a VLAN, a CPU usa os endereços IP e MAC do remetente dos pacotes ARP, bem como a VLAN e a porta receptoras para criar entradas de snooping ARP.

Envelhecimento de entradas de ARP snooping

O cronômetro de envelhecimento e o período válido de uma entrada do ARP snooping são de 25 minutos e 15 minutos. Se uma entrada de ARP snooping não for atualizada em 12 minutos, o dispositivo enviará uma solicitação ARP. A solicitação ARP usa o endereço IP da entrada como o endereço IP de destino. Se uma entrada do ARP snooping não for atualizada em 15 minutos, ela se tornará inválida e não poderá ser usada. Depois disso, se um pacote ARP correspondente à entrada for recebido, a entrada se tornará válida e seu cronômetro de envelhecimento será reiniciado.

Se o cronômetro de envelhecimento de uma entrada do ARP snooping expirar, a entrada será removida.

Proteção para ARP snooping

Ocorre um ataque se um pacote ARP tiver o mesmo endereço IP de remetente que uma entrada de snooping ARP válida, mas um endereço MAC de remetente diferente. A entrada do ARP snooping torna-se inválida e é removida em 1 minuto.

Representação e classes de endereços IP

O endereçamento IP usa um endereço de 32 bits para identificar cada host em uma rede IPv4. Para facilitar a leitura, os endereços são escritos em notação decimal com pontos, sendo que cada endereço tem quatro octetos de comprimento. Por exemplo, o endereço 00001010000000010000000100000001 em binário é escrito como 10.1.1.1.

Cada endereço IP é dividido nas seguintes seções:

• ID de rede - identifica uma rede. Os primeiros bits de uma ID de rede, conhecidos como campo de classe ou bits de classe, identificam a classe do endereço IP.
• ID do host - Identifica um host em uma rede.

Os endereços IP são divididos em cinco classes, conforme mostrado na Figura 1. As áreas sombreadas representam a classe de endereço . As três primeiras classes são mais comumente usadas.

Figura 1 Classes de endereços IP

Tabela 1 Classes e intervalos de endereços IP

Endereços IP especiais

Os endereços IP a seguir são para uso especial e não podem ser usados como endereços IP de host:

• Endereço IP com um ID de rede totalmente zero - Identifica um host na rede local. Por exemplo, o endereço IP 0.0.0.16 indica o host com um ID de host 16 na rede local.
• Endereço IP com um ID de host totalmente zero - identifica uma rede.
• Endereço IP com um ID de host único - Identifica um endereço de broadcast direcionado. Por exemplo, um pacote com o endereço de destino 192.168.1.255 será transmitido para todos os hosts da rede 192.168.1.0.

Sub-rede e mascaramento

A sub-rede divide uma rede em redes menores, chamadas sub-redes, usando alguns bits da ID do host para criar uma ID de sub-rede.

O mascaramento identifica o limite entre o ID do host e a combinação de ID de rede e ID de sub-rede.

Cada máscara de sub-rede é composta de 32 bits que correspondem aos bits em um endereço IP. Em uma máscara de sub-rede, os uns consecutivos representam a ID da rede e a ID da sub-rede, e os zeros consecutivos representam a ID do host.

Antes de serem sub-redeadas, as redes de classe A, B e C usam essas máscaras padrão (também chamadas de máscaras naturais): 255.0.0.0, 255.255.0.0 e 255.255.255.0, respectivamente.

Figura 2 Sub-rede de uma rede Classe B

A sub-rede aumenta o número de endereços que não podem ser atribuídos a hosts. Portanto, usar sub-redes significa acomodar menos hosts.

Por exemplo, uma rede de classe B sem sub-rede pode acomodar 1.022 hosts a mais do que a mesma rede com 512 sub-redes.

• Sem sub-rede - 65534 (216 - 2) hosts. (Os dois endereços deduzidos são o endereço de broadcast, que tem um ID de host totalmente um, e o endereço de rede, que tem um ID de host totalmente zero).
• Com sub-rede - O uso dos primeiros nove bits do ID do host para a sub-rede fornece 512 (29 ) sub-redes. No entanto, apenas sete bits permanecem disponíveis para o ID do host. Isso permite 126 (27 - 2) hosts em cada sub-rede, um total de 64512 (512 × 126) hosts.

Atribuição de endereço IP

Veja a seguir os métodos disponíveis para atribuir um endereço IP a uma interface:

• Atribuição manual. Este capítulo descreve apenas a atribuição manual de endereços IP para interfaces.
• BOOTP. Para obter informações sobre o BOOTP, consulte "Configuração do cliente BOOTP".
• DHCP. Para obter informações sobre o DHCP, consulte "Configuração do cliente DHCP".

Esses métodos são mutuamente exclusivos. Se você alterar o método de atribuição de endereço IP, o novo endereço IP substituirá o anterior.

Exemplo: Especificação manual de um endereço IP

Configuração de rede

Conforme mostrado na Figura 3, uma porta na VLAN 1 em um switch está conectada a uma LAN composta por dois segmentos: 172.16.1.0/24 e 172.16.2.0/24.

Para permitir que os hosts nos dois segmentos de rede se comuniquem com a rede externa por meio do switch e para permitir que os hosts na LAN se comuniquem entre si:

• Atribua um endereço IP primário e um endereço IP secundário à interface 1 da VLAN no switch.
• Defina o endereço IP primário do switch como o endereço de gateway dos PCs na sub-rede 172.16.1.0/24 e defina o endereço IP secundário do switch como o endereço de gateway dos PCs na sub-rede 172.16.2.0/24.

Figura 3 Diagrama de rede

Procedimento

# Atribua um endereço IP primário e um endereço IP secundário à interface VLAN 1.

<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 172.16.1.1 255.255.255.0
[Switch-Vlan-interface1] ip address 172.16.2.1 255.255.255.0 sub

# Defina o endereço do gateway para 172.16.1.1 nos PCs conectados à sub-rede 172.16.1.0/24 e para

172.16.2.1 nos PCs conectados à sub-rede 172.16.2.0/24.

Verificação da configuração

# Verifique a conectividade entre um host na sub-rede 172.16.1.0/24 e o switch.

<Switch> ping 172.16.1.2
Ping 172.16.1.2 (172.16.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 172.16.1.2: icmp_seq=0 ttl=128 time=7.000 ms
56 bytes from 172.16.1.2: icmp_seq=1 ttl=128 time=2.000 ms
56 bytes from 172.16.1.2: icmp_seq=2 ttl=128 time=1.000 ms
56 bytes from 172.16.1.2: icmp_seq=3 ttl=128 time=1.000 ms
56 bytes from 172.16.1.2: icmp_seq=4 ttl=128 time=2.000 ms
--- Ping statistics for 172.16.1.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/2.600/7.000/2.245 ms

# Verifique a conectividade entre um host na sub-rede 172.16.2.0/24 e o switch.

<Switch> ping 172.16.2.2
Ping 172.16.2.2 (172.16.2.2): 56 data bytes, press CTRL_C to break
56 bytes from 172.16.2.2: icmp_seq=0 ttl=128 time=2.000 ms
56 bytes from 172.16.2.2: icmp_seq=1 ttl=128 time=7.000 ms
56 bytes from 172.16.2.2: icmp_seq=2 ttl=128 time=1.000 ms
56 bytes from 172.16.2.2: icmp_seq=3 ttl=128 time=2.000 ms
56 bytes from 172.16.2.2: icmp_seq=4 ttl=128 time=1.000 ms
--- Ping statistics for 172.16.2.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/2.600/7.000/2.245 ms

# Verifique a conectividade entre um host na sub-rede 172.16.1.0/24 e um host na sub-rede 172.16.2.0/24. A operação de ping foi bem-sucedida.

Mecanismos de alocação

O DHCP oferece suporte aos seguintes mecanismos de alocação:

• Alocação estática - O administrador da rede atribui um endereço IP a um cliente, como um servidor WWW, e o DHCP transmite o endereço atribuído ao cliente.
• Alocação automática - o DHCP atribui um endereço IP permanente a um cliente.
• Alocação dinâmica - o DHCP atribui um endereço IP a um cliente por um período limitado de tempo, o que é chamado de concessão. A maioria dos clientes DHCP obtém seus endereços dessa forma.

Processo de alocação de endereços IP

Figura 2 Processo de alocação de endereços IP

Conforme mostrado na Figura 2, um servidor DHCP atribui um endereço IP a um cliente DHCP no seguinte processo :

• O cliente transmite uma mensagem DHCP-DISCOVER para localizar um servidor DHCP.
• Cada servidor DHCP oferece parâmetros de configuração, como um endereço IP, ao cliente em uma mensagem DHCP-OFFER. O modo de envio do DHCP-OFFER é determinado pelo campo de sinalização na mensagem DHCP-DISCOVER. Para obter mais informações, consulte "Formato da mensagem DHCP".
• Se o cliente receber várias ofertas, ele aceitará a primeira oferta recebida e a transmitirá em uma mensagem DHCP-REQUEST para solicitar formalmente o endereço IP. (Os endereços IP oferecidos por outros servidores DHCP podem ser atribuídos a outros clientes).
• Todos os servidores DHCP recebem a mensagem DHCP-REQUEST. Entretanto, somente o servidor selecionado pelo cliente realiza uma das seguintes operações:
• Retorna uma mensagem DHCP-ACK para confirmar que o endereço IP foi alocado para o cliente.
• Retorna uma mensagem DHCP-NAK para negar a alocação do endereço IP.

Após receber a mensagem DHCP-ACK, o cliente verifica os seguintes detalhes antes de usar o endereço IP atribuído:

• O endereço IP atribuído não está em uso. Para verificar isso, o cliente transmite um pacote ARP gratuito. O endereço IP atribuído não estará em uso se nenhuma resposta for recebida dentro do tempo especificado.
• O endereço IP atribuído não está na mesma sub-rede que qualquer endereço IP em uso no cliente.

Caso contrário, o cliente envia uma mensagem DHCP-DECLINE ao servidor para solicitar um endereço IP novamente.

Extensão da concessão do endereço IP

Um endereço IP atribuído dinamicamente tem uma concessão. Quando a concessão expira, o endereço IP é recuperado pelo servidor DHCP. Para continuar usando o endereço IP, o cliente deve estender a duração da concessão.

Quando cerca de metade da duração da concessão termina, o cliente DHCP envia um DHCP-REQUEST ao servidor DHCP para estender a concessão. Dependendo da disponibilidade do endereço IP, o servidor DHCP retorna uma das seguintes mensagens:

• Um unicast DHCP-ACK confirmando que a duração da concessão do cliente foi estendida.
• Um unicast DHCP-NAK negando a solicitação.

Se o cliente não receber resposta, ele transmitirá outra mensagem DHCP-REQUEST para extensão do contrato de arrendamento quando sete oitavos da duração do contrato de arrendamento tiverem se passado. Novamente, dependendo da disponibilidade do endereço IP, o servidor DHCP retorna um unicast DHCP-ACK ou um unicast DHCP-NAK.

Opção específica do fornecedor (Opção 43)

Função da opção 43

Os servidores e clientes DHCP usam a Opção 43 para trocar informações de configuração específicas do fornecedor. O cliente DHCP pode obter as seguintes informações por meio da Option 43:

• Parâmetros do ACS, incluindo o URL do ACS, o nome de usuário e a senha.
• Identificador do provedor de serviços, que é adquirido pelo CPE do servidor DHCP e enviado ao ACS para selecionar configurações e parâmetros específicos do vendedor. Para obter mais informações sobre o CPE e o ACS, consulte o Guia de configuração de monitoramento e gerenciamento de rede.
• Endereço do servidor PXE, que é usado para obter o arquivo de inicialização ou outras informações de controle do servidor PXE.

Formato da opção 43

Figura 5 Formato da opção 43

Os parâmetros de configuração de rede são transportados em diferentes subopções da Opção 43, conforme mostrado na Figura 5.

• Tipo de subopção - O valor do campo pode ser 0x01 (subopção de parâmetro ACS), 0x02 (subopção de identificador de provedor de serviços) ou 0x80 (subopção de endereço de servidor PXE).
• Comprimento da subopção - Exclui os campos de tipo de subopção e comprimento da subopção.
• Valor da subopção - O formato do valor varia de acordo com a subopção.

Formato do campo de valor da subopção

• Campo de valor da subopção do parâmetro ACS - Inclui o URL do ACS, o nome de usuário e a senha separados por espaços (número hexadecimal 20), conforme mostrado na Figura 6.

Figura 6 Campo de valor da subopção do parâmetro ACS

• Campo de valor da subopção do identificador do provedor de serviços - Inclui o identificador do provedor de serviços.
• Campo de valor da subopção de endereço do servidor PXE - Inclui o tipo de servidor PXE, que só pode ser 0, o número do servidor, que indica o número de servidores PXE contidos na subopção, e os endereços IP do servidor, conforme mostrado na Figura 7.

Figura 7 Campo de valor da subopção do endereço do servidor PXE

Opção de agente de retransmissão (Opção 82)

A opção 82 é a opção do agente de retransmissão. Ela registra as informações de localização sobre o cliente DHCP. Quando um agente de retransmissão DHCP ou um dispositivo DHCP snooping recebe a solicitação de um cliente, ele adiciona a Opção 82 à solicitação e a envia ao servidor.

O administrador pode usar a Opção 82 para localizar o cliente DHCP e implementar ainda mais o controle de segurança e a contabilidade. O servidor DHCP pode usar a Opção 82 para fornecer políticas de configuração individuais para os clientes.

A opção 82 pode incluir um máximo de 255 subopções e deve incluir um mínimo de uma subopção. A opção 82 suporta as seguintes subopções: subopção 1 (ID do circuito), subopção 2 (ID remota), subopção 5 (seleção de link) e subopção 9 (específica do fornecedor). A opção 82 não tem definição padrão. Seus formatos de preenchimento variam de acordo com o fornecedor.

• O Circuit ID tem os seguintes modos de preenchimento:
• Modo de preenchimento de cadeia - Inclui uma cadeia de caracteres especificada pelo usuário.
• Modo de preenchimento normal - Inclui a VLAN ID e o número da interface que recebe a solicitação do cliente.
• Modo de preenchimento detalhado - Inclui o identificador do nó de acesso especificado pelo usuário e o ID da VLAN, o número da interface e o tipo de interface da interface que recebe a solicitação do cliente.
• A ID remota tem os seguintes modos de preenchimento:
• Modo de preenchimento de cadeia - Inclui uma cadeia de caracteres especificada pelo usuário.
• Modo de preenchimento normal - Inclui o endereço MAC da interface do agente de retransmissão DHCP ou o endereço MAC do dispositivo DHCP snooping que recebe a solicitação do cliente.
• Sysname padding mode - Inclui o nome do dispositivo. Para definir o nome do dispositivo, use o comando sysname na visualização do sistema.
• A subopção Link Selection carrega o endereço IP no campo giaddr ou o endereço IP de uma interface de retransmissão. Se você usar o comando dhcp relay source-address { ip-address | interface interface-type interface-number }, deverá habilitar o agente de retransmissão DHCP para dar suporte à Opção 82. Essa subopção será então incluída na Opção 82.
• A subopção Vendor-Specific suporta apenas o modo de preenchimento básico. O conteúdo do preenchimento inclui o identificador do nó de acesso configurado pelo usuário e o ID da VLAN, o número da interface e o tipo de interface da interface que recebe a solicitação do cliente. Essa subopção é suportada somente em dispositivos DHCP snooping.

Opção 184

A opção 184 é uma opção reservada. Você pode definir os parâmetros na opção conforme necessário. O dispositivo é compatível com a opção 184 que contém parâmetros relacionados à voz, de modo que um cliente DHCP com funções de voz pode obter parâmetros de voz do servidor DHCP.

A opção 184 tem as seguintes subopções:

• Subopção 1 - Especifica o endereço IP do processador primário de chamadas de rede. O processador primário atua como a fonte de controle de chamada de rede e fornece serviços de download de programas. Para a Opção 184, você deve definir a subopção 1 para que as outras subopções tenham efeito.
• Subopção 2 - Especifica o endereço IP do processador de chamadas de rede de backup. Os clientes DHCP entram em contato com o processador de backup quando o processador principal não pode ser acessado.
• Subopção 3 - Especifica a ID da VLAN de voz e o resultado, se o cliente DHCP considera essa VLAN como a VLAN de voz.
• Subopção 4 - Especifica a rota de failover que inclui o endereço IP e o número do usuário de destino. Um usuário VoIP SIP usa esse endereço IP e esse número para estabelecer diretamente uma conexão com o usuário SIP de destino quando os processadores de chamadas primário e de backup não puderem ser acessados.

Mecanismos de atribuição de endereços DHCP

Configure os seguintes mecanismos de atribuição de endereços, conforme necessário:

• Alocação de endereço estático - Vincule manualmente o endereço MAC ou a ID de um cliente a um endereço IP em um pool de endereços DHCP. Quando o cliente solicita um endereço IP, o servidor DHCP atribui ao cliente o endereço IP na associação estática.
• Alocação dinâmica de endereços - Especifique intervalos de endereços IP em um pool de endereços DHCP. Ao receber uma solicitação de DHCP, o servidor DHCP seleciona dinamicamente um endereço IP do intervalo de endereços IP correspondente no pool de endereços.

Você pode especificar intervalos de endereços IP em um pool de endereços usando um dos seguintes métodos:

• Método 1 - Uma sub-rede primária sendo dividida em vários intervalos de endereços em um pool de endereços
• Método 2 - Uma sub-rede primária e várias sub-redes secundárias em um pool de endereços

Uma sub-rede primária sendo dividida em vários intervalos de endereços em um pool de endereços

Um intervalo de endereços inclui um intervalo de endereços IP comum e intervalos de endereços IP para classes de usuários DHCP.

Ao receber uma solicitação de DHCP, o servidor DHCP encontra uma classe de usuário correspondente ao cliente e seleciona um endereço IP no intervalo de endereços da classe de usuário para o cliente. Uma classe de usuário pode incluir várias regras de correspondência, e um cliente corresponde à classe de usuário desde que corresponda a qualquer uma das regras. Na visualização do pool de endereços, é possível especificar diferentes intervalos de endereços para diferentes classes de usuários.

O servidor DHCP seleciona um endereço IP para um cliente executando as seguintes etapas:

• O servidor DHCP compara o cliente com as classes de usuário do DHCP na ordem em que foram configuradas.
• Se o cliente corresponder a uma classe de usuário, o servidor DHCP selecionará um endereço IP do intervalo de endereços da classe de usuário.
• Se a classe de usuário correspondente não tiver endereços atribuíveis, o servidor DHCP compara o cliente com a próxima classe de usuário. Se todas as classes de usuários correspondentes não tiverem endereços atribuíveis, o servidor DHCP selecionará um endereço IP do intervalo de endereços comum.
• Se o cliente DHCP não corresponder a nenhuma classe de usuário DHCP, o servidor DHCP selecionará um endereço no intervalo de endereços IP especificado pelo comando de intervalo de endereços. Se o intervalo de endereços não tiver endereços IP atribuíveis ou não estiver configurado, a alocação de endereços falhará.

OBSERVAÇÃO:

Todos os intervalos de endereços devem pertencer à sub-rede primária. Se um intervalo de endereços não residir na sub-rede primária, o DHCP não poderá atribuir os endereços no intervalo de endereços.

Uma sub-rede primária e várias sub-redes secundárias em um pool de endereços

O servidor DHCP seleciona primeiro um endereço IP da sub-rede primária. Se não houver nenhum endereço IP atribuível na sub-rede primária, o servidor DHCP selecionará um endereço IP das sub-redes secundárias na ordem em que forem configuradas.

Princípios para a seleção de um pool de endereços

O servidor DHCP observa os seguintes princípios para selecionar um pool de endereços para um cliente:

• Se houver um pool de endereços em que um endereço IP esteja estaticamente vinculado ao endereço MAC ou à ID do cliente, o servidor DHCP selecionará esse pool de endereços e atribuirá o endereço IP estaticamente vinculado e outros parâmetros de configuração ao cliente.
• Se a interface receptora tiver uma política de DHCP e o cliente DHCP corresponder a uma classe de usuário, o servidor DHCP selecionará o pool de endereços que está vinculado à classe de usuário correspondente. Se não for encontrada nenhuma classe de usuário correspondente, o servidor atribuirá um endereço IP e outros parâmetros do pool de endereços DHCP padrão. Se nenhum pool de endereços padrão for especificado ou se o pool de endereços padrão não tiver endereços IP atribuíveis, a atribuição de endereços falhará.
• Se a interface receptora tiver um pool de endereços aplicado, o servidor DHCP selecionará um endereço IP e outros parâmetros de configuração desse pool de endereços.
• Se as condições acima não forem atendidas, o servidor DHCP selecionará um pool de endereços dependendo da localização do cliente.
• Cliente na mesma sub-rede que o servidor - O servidor DHCP compara o endereço IP da interface receptora com as sub-redes primárias de todos os pools de endereços.
• Se for encontrada uma correspondência, o servidor selecionará o pool de endereços com a sub-rede primária de correspondência mais longa.
• Se não for encontrada nenhuma correspondência, o servidor DHCP comparará o endereço IP com as sub-redes secundárias de todos os pools de endereços. O servidor seleciona o pool de endereços com a sub-rede secundária com a correspondência mais longa.

• Cliente em uma sub-rede diferente da do servidor - O servidor DHCP compara o endereço IP no campo giaddr da solicitação DHCP com as sub-redes primárias de todos os pools de endereços.
• Se for encontrada uma correspondência, o servidor selecionará o pool de endereços com a sub-rede primária de correspondência mais longa.
• Se não for encontrada nenhuma correspondência, o servidor DHCP comparará o endereço IP com as sub-redes secundárias de todos os pools de endereços. O servidor seleciona o pool de endereços com a sub-rede secundária com a correspondência mais longa.

Por exemplo, dois pools de endereços 1.1.1.0/24 e 1.1.1.0/25 estão configurados, mas não são aplicados a nenhuma interface do servidor DHCP.

• Se o endereço IP da interface receptora for 1.1.1.1/25, o servidor DHCP selecionará o pool de endereços 1.1.1.0/25. Se o pool de endereços não tiver endereços IP disponíveis, o servidor DHCP não selecionará o outro pool e a alocação de endereços falhará.
• Se o endereço IP da interface receptora for 1.1.1.130/25, o servidor DHCP selecionará o pool de endereços 1.1.1.0/24.

Para garantir a alocação correta de endereços, mantenha os endereços IP usados para alocação dinâmica em uma das sub-redes:

• Clientes na mesma sub-rede que o servidor-Sub-rede em que reside a interface de recepção do servidor DHCP.
• Clientes em uma sub-rede diferente da do servidor - Sub-rede em que reside a primeira interface de retransmissão DHCP voltada para os clientes.

OBSERVAÇÃO:

Como prática recomendada, configure no mínimo uma sub-rede primária correspondente em sua rede. Caso contrário, o servidor DHCP selecionará apenas a primeira sub-rede secundária correspondente para alocação de endereços. Se a rede tiver mais clientes DHCP do que os endereços IP atribuíveis na sub-rede secundária, nem todos os clientes DHCP poderão obter endereços IP.

Sequência de alocação de endereços IP

O servidor DHCP seleciona um endereço IP para um cliente na seguinte sequência:

• Endereço IP vinculado estaticamente ao endereço MAC ou ID do cliente.
• Endereço IP que já foi atribuído ao cliente.
• Endereço IP designado pelo campo Option 50 na mensagem DHCP-DISCOVER enviada pelo cliente.

A opção 50 é a opção Requested IP Address (Endereço IP solicitado). O cliente usa essa opção para especificar o endereço IP desejado em uma mensagem DHCP-DISCOVER. O conteúdo da Option 50 é definido pelo usuário.

• Primeiro endereço IP atribuível encontrado na forma discutida em "Mecanismos de atribuição de endereços DHCP" e "Princípios para selecionar um pool de endereços".
• Endereço IP que foi um conflito ou que ultrapassou o período de concessão. Se nenhum endereço IP puder ser atribuído, o servidor não responderá.

OBSERVAÇÃO:

• Se um cliente mudar para outra sub-rede, o servidor DHCP selecionará um endereço IP no pool de endereços correspondente à nova sub-rede. Ele não atribui o endereço IP que já foi atribuído ao cliente.
• Os endereços IP conflitantes podem ser atribuídos a outros clientes DHCP somente depois que os endereços estiverem em conflito por uma hora.

Visão geral das tarefas do pool de endereços DHCP

Para configurar um pool de endereços DHCP, execute as seguintes tarefas:

• Criação de um pool de endereços DHCP
• Especificação de intervalos de endereços IP em um pool de endereços DHCP

Em um pool de endereços DHCP, os dois métodos de alocação dinâmica não podem ser configurados, mas as alocações de endereços estáticos e dinâmicos podem ser implementadas.

• Especificação de uma sub-rede primária e de vários intervalos de endereços em um pool de endereços DHCP
• Especificação de uma sub-rede primária e de várias sub-redes secundárias em um pool de endereços DHCP
• Configuração de uma associação estática em um pool de endereços DHCP
• Especificação de outros parâmetros de configuração a serem atribuídos aos clientes DHCP

• Especificação de gateways para clientes DHCP
• Especificação de um sufixo de nome de domínio para clientes DHCP
• Especificação de servidores DNS para clientes DHCP
• Especificação de servidores WINS e tipo de nó NetBIOS para clientes DHCP
• Especificação do servidor BIMS para clientes DHCP
• Especificação do arquivo de configuração para a configuração automática do cliente DHCP
• Especificação de um servidor para clientes DHCP
• Configuração dos parâmetros da Option 184 para clientes DHCP
• Personalização das opções de DHCP
• (Opcional.) Configuração da lista branca de classes de usuários DHCP

Criação de um pool de endereços DHCP

system-view

• Crie um pool de endereços DHCP e entre em sua visualização.

dhcp server ip-pool pool-name

Especificação de uma sub-rede primária e de vários intervalos de endereços em um pool de endereços DHCP

Sobre uma sub-rede primária e vários intervalos de endereços em um pool de endereços DHCP

Alguns cenários precisam classificar os clientes DHCP na mesma sub-rede em grupos de endereços diferentes. Para atender a essa necessidade, você pode configurar classes de usuários DHCP e especificar diferentes intervalos de endereços para as classes. Os clientes que correspondem a uma classe de usuário podem, então, obter os endereços IP de um intervalo de endereços. Além disso, é possível especificar um intervalo de endereços comum para os clientes que não correspondem a nenhuma classe de usuário. Se nenhum intervalo de endereços comum for especificado, esses clientes não conseguirão obter endereços IP.

Se não houver necessidade de classificar clientes, não será necessário configurar classes de usuários DHCP ou seus intervalos de endereços .

Restrições e diretrizes

• Se você executar o comando de rede ou de intervalo de endereços várias vezes para o mesmo pool de endereços, a configuração mais recente entrará em vigor.
• Se você executar o comando forbidden-ip várias vezes, estará excluindo vários intervalos de endereços da alocação dinâmica.
• Os endereços IP especificados pelo comando forbidden-ip não podem ser atribuídos no pool de endereços atual, mas podem ser atribuídos em outros pools de endereços. Os endereços IP especificados pelo comando forbidden-ip do servidor dhcp não podem ser atribuídos em nenhum pool de endereços.
• Você pode usar o intervalo de classes para modificar um intervalo de endereços existente, e o novo intervalo de endereços pode incluir endereços IP que estão sendo usados por clientes. Ao receber uma solicitação de extensão de concessão para esse endereço IP, o servidor DHCP aloca um novo endereço IP para o cliente solicitante. Mas a concessão original continua envelhecendo no pool de endereços e será liberada quando a duração da concessão for atingida. Para liberar essa concessão sem aguardar o tempo limite, execute o comando reset dhcp server ip-in-use.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique a sub-rede primária no pool de endereços.

network network-address [ mask-length | mask mask ]

Por padrão, nenhuma sub-rede primária é especificada.

• (Opcional.) Especifique o intervalo de endereços comuns.

address range start-ip-address end-ip-address

Por padrão, nenhum intervalo de endereços IP é especificado.

• (Opcional.) Especifique um intervalo de endereços IP para uma classe de usuário DHCP.

class class-name range start-ip-address end-ip-address

Por padrão, nenhum intervalo de endereços IP é especificado para uma classe de usuário.

A classe de usuário DHCP já deve ter sido criada usando o comando dhcp class.

• (Opcional.) Defina a duração do aluguel do endereço.

expired { day day [ hour hour [ minute minute [ second second ] ] ] |
                        unlimited }

A configuração padrão é 1 dia.

• (Opcional.) Exclua da alocação dinâmica os endereços IP especificados no pool de endereços.

forbidden-ip ip-address&<1-8>
                        

Por padrão, todos os endereços IP no pool de endereços DHCP podem ser atribuídos.

• (Opcional.) Exclua os endereços IP especificados da alocação automática na visualização do sistema.
• Retornar à visualização do sistema.

quit

• Excluir os endereços IP especificados da alocação automática em nível global.

dhcp server forbidden-ip start-ip-address [ end-ip-address ]

Por padrão, com exceção do endereço IP da interface do servidor DHCP, os endereços IP em todos os pools de endereços podem ser atribuídos.

Especificação de uma sub-rede primária e de várias sub-redes secundárias em um pool de endereços DHCP

Sobre uma sub-rede primária e várias sub-redes secundárias em um pool de endereços DHCP

Se um pool de endereços tiver uma sub-rede primária e várias sub-redes secundárias, o servidor atribuirá endereços IP em uma sub-rede secundária quando a sub-rede primária não tiver endereços IP atribuíveis.

Restrições e diretrizes

Os endereços IP especificados pelo comando forbidden-ip não podem ser atribuídos no pool de endereços atual, mas podem ser atribuídos em outros pools de endereços. Os endereços IP especificados pelo comando dhcp server forbidden-ip não podem ser atribuídos em nenhum pool de endereços.

Especificação de uma sub-rede primária e de várias sub-redes secundárias

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique a sub-rede primária.

network network-address [ mask-length | mask mask ]

Por padrão, nenhuma sub-rede primária é especificada.

Você pode especificar apenas uma sub-rede primária em cada pool de endereços. Se você executar a função de rede

várias vezes, a configuração mais recente entra em vigor.

• (Opcional.) Especifique uma sub-rede secundária.

network network-address [ mask-length | mask mask ] secondary

Por padrão, nenhuma sub-rede secundária é especificada.

É possível especificar um máximo de 32 sub-redes secundárias em um pool de endereços.

• (Opcional.) Retorne à visualização do pool de endereços.

quit

Definição da duração da concessão para endereços IP alocados dinamicamente

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Defina a duração do aluguel do endereço.

expired { day day [ hour hour [ minute minute [ second second ] ] ] |
                        unlimited }

A configuração padrão é 1 dia.

Exclusão de endereços IP da alocação dinâmica

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Excluir os endereços IP especificados da alocação dinâmica.

forbidden-ip ip-address&<1-8>
                        

Por padrão, todos os endereços IP no pool de endereços DHCP podem ser atribuídos.

Para excluir vários intervalos de endereços do pool de endereços, repita esta etapa.

• (Opcional.) Exclua os endereços IP especificados da alocação dinâmica na visualização do sistema.
• Retornar à visualização do sistema.

quit

• Excluir os endereços IP especificados da alocação dinâmica em nível global.

dhcp server forbidden-ip start-ip-address [ end-ip-address ]

Por padrão, com exceção do endereço IP da interface do servidor DHCP, os endereços IP em todos os pools de endereços podem ser atribuídos.

Para excluir vários intervalos de endereços globalmente, repita esta etapa.

Configuração de uma associação estática em um pool de endereços DHCP

Sobre a vinculação estática em um pool de endereços DHCP

Alguns clientes DHCP, como um servidor WWW, precisam de endereços IP fixos. Para fornecer um endereço IP fixo para um cliente, você pode vincular estaticamente o endereço MAC ou a ID do cliente a um endereço IP em um pool de endereços DHCP. Quando o cliente solicita um endereço IP, o servidor DHCP atribui o endereço IP em a associação estática ao cliente.

Restrições e diretrizes

• O endereço IP de uma associação estática não pode ser o endereço da interface do servidor DHCP. Caso contrário, ocorrerá um conflito de endereço IP e o cliente vinculado não poderá obter um endereço IP corretamente.
• Várias interfaces no mesmo dispositivo podem usar o DHCP para solicitar um endereço IP estático. Nesse caso, use IDs de cliente em vez do endereço MAC do dispositivo para identificar as interfaces. Caso contrário, a alocação do endereço IP falhará.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Configure uma ligação estática.

static-bind ip-address ip-address [ mask-length | mask mask ] { client-identifier client-identifier | hardware-address hardware-address [ ethernet | token-ring ] }

Por padrão, nenhuma ligação estática é configurada.

Um endereço IP pode ser vinculado a apenas um MAC de cliente ou ID de cliente. Não é possível modificar as associações que foram criadas. Para alterar a associação de um cliente DHCP, primeiro você deve excluir a associação existente.

• (Opcional.) Defina a duração do aluguel do endereço IP.

expired { day day [ hour hour [ minute minute [ second second ] ] ] | unlimited }

Por padrão, a duração do arrendamento é de 1 dia.

Especificação de gateways para clientes DHCP

Sobre gateways para clientes DHCP

Os clientes DHCP enviam pacotes destinados a outras redes para um gateway. O servidor DHCP pode atribuir o endereço do gateway aos clientes DHCP.

Restrições e diretrizes

Você pode especificar endereços de gateway em cada pool de endereços no servidor DHCP. É possível especificar um máximo de 64 gateways na visualização do pool de endereços DHCP ou na visualização da sub-rede secundária.

O servidor DHCP atribui endereços de gateway a clientes em uma sub-rede secundária das seguintes maneiras:

• Se os gateways forem especificados no modo de exibição de pool de endereços e no modo de exibição de sub-rede secundária, o DHCP atribuirá aqueles especificados no modo de exibição de sub-rede secundária.
• Se os gateways forem especificados no modo de exibição de pool de endereços, mas não no modo de exibição de sub-rede secundária, o DHCP atribuirá aqueles especificados no modo de exibição de pool de endereços.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique os gateways.

gateway-list ip-address&<1-64>

Por padrão, nenhum gateway é especificado.

• (Opcional.) Especifique gateways na visualização de sub-rede secundária.
• Entre na visualização da sub-rede secundária.

network network-address [ mask-length | mask mask ] secondary

• Especifique os gateways.

gateway-list ip-address&<1-64>

Por padrão, nenhum gateway é especificado.

Especificação de um sufixo de nome de domínio para clientes DHCP

Sobre o sufixo do nome de domínio para clientes DHCP

Você pode especificar um sufixo de nome de domínio em um pool de endereços DHCP no servidor DHCP. Com esse sufixo atribuído, o cliente só precisa inserir parte de um nome de domínio, e o sistema adiciona o sufixo de nome de domínio para resolução de nomes. Para obter mais informações sobre DNS, consulte "Configuração de DNS".

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique um sufixo de nome de domínio.

domain-name domain-name

Por padrão, nenhum nome de domínio é especificado.

Especificação de servidores DNS para clientes DHCP

Sobre servidores DNS para clientes DHCP

Para acessar hosts na Internet por meio de nomes de domínio, um cliente DHCP deve entrar em contato com um servidor DNS para resolver os nomes. É possível especificar até oito servidores DNS em um pool de endereços DHCP.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique os servidores DNS.

dns-list ip-address&<1-8>

Por padrão, nenhum servidor DNS é especificado.

Especificação de servidores WINS e tipo de nó NetBIOS para clientes DHCP

Sobre servidores WINS e tipo de nó NetBIOS para clientes DHCP

Um cliente Microsoft DHCP que usa o protocolo NetBIOS deve entrar em contato com um servidor WINS para a resolução de nomes. Além disso, você deve especificar um dos seguintes tipos de nó NetBIOS para abordar a resolução de nomes:

• b (broadcast) - nó - Um cliente de nó b envia o nome do destino em uma mensagem de broadcast.

O destino retorna seu endereço IP para o cliente após receber a mensagem.

• p (peer-to-peer) - nó - Um cliente de nó p envia o nome do destino em uma mensagem unicast para o servidor WINS. O servidor WINS retorna o endereço IP de destino.
• m (mixed)-node - Um cliente de nó m transmite o nome do destino. Se não receber resposta, ele unicausa o nome de destino para o servidor WINS para obter o endereço IP de destino.
• nó h (híbrido) - Um cliente de nó h transmite o nome de destino ao servidor WINS. Se não receber resposta, ele transmite o nome de destino para obter o endereço IP de destino.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

Por padrão, não existe nenhum pool de endereços DHCP.

• Especifique os servidores WINS.

nbns-list ip-address&<1-8>

Por padrão, nenhum servidor WINS é especificado.

Essa etapa é opcional para o nó b. Você pode especificar um máximo de oito servidores WINS para esses clientes em um pool de endereços DHCP.

• Especifique o tipo de nó NetBIOS.

netbios-type { b-node | h-node | m-node | p-node }

Por padrão, nenhum tipo de nó NetBIOS é especificado.

Especificação do servidor BIMS para clientes DHCP

Sobre o servidor BIMS para clientes DHCP

Execute essa tarefa para fornecer o endereço IP do servidor BIMS, o número da porta e a chave compartilhada para os clientes. Os clientes DHCP entram em contato com o servidor BIMS para obter arquivos de configuração e realizar atualização e backup de software.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique o endereço IP do servidor BIMS, o número da porta e a chave compartilhada.

bims-server ip ip-address [ port port-number ] sharekey { cipher |
                        simple } string

Por padrão, nenhuma informação do servidor BIMS é especificada.

Especificação do arquivo de configuração para a configuração automática do cliente DHCP

Sobre o arquivo de configuração para a configuração automática do cliente DHCP

A configuração automática permite que um dispositivo obtenha automaticamente um conjunto de definições de configuração na inicialização. A configuração automática baseada em servidor requer a cooperação do servidor DHCP e do servidor de arquivos (servidor TFTP ou HTTP). O dispositivo usa os parâmetros obtidos para entrar em contato com o servidor de arquivos e obter o arquivo de configuração. Para obter mais informações sobre a configuração automática, consulte o Fundamentals Configuration Guide (Guia de configuração básica).

Especificação do arquivo de configuração em um servidor de arquivos TFTP

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

Por padrão, não existe nenhum pool de endereços DHCP.

• Especifique o endereço IP ou o nome de um servidor TFTP.
• Especifique o endereço IP do servidor TFTP.

tftp-server ip-address ip-address

Por padrão, nenhum endereço IP do servidor TFTP é especificado.

• Especifique o nome do servidor TFTP.

tftp-server domain-name domain-name

Por padrão, nenhum nome de servidor TFTP é especificado.

• Especifique o nome do arquivo de configuração.

bootfile-name bootfile-name

Por padrão, nenhum nome de arquivo de configuração é especificado.

Especificar o URL do arquivo de configuração em um servidor de arquivos HTTP

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique o URL do arquivo de configuração.

bootfile-name url

Por padrão, nenhum URL de arquivo de configuração é especificado.

Especificação de um servidor para clientes DHCP

Sobre um servidor para clientes DHCP

Alguns clientes DHCP precisam obter informações de configuração de um servidor, como um servidor TFTP. Você pode especificar o endereço IP desse servidor. O servidor DHCP envia o endereço IP do servidor para clientes DHCP juntamente com outras informações de configuração.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique o endereço IP de um servidor. next-server ip-address Por padrão, nenhum servidor é especificado.

Configuração dos parâmetros da Option 184 para clientes DHCP

Sobre os parâmetros da Opção 184 para clientes DHCP

Para atribuir parâmetros de chamada a clientes DHCP com serviço de voz, você deve configurar a Opção 184 no servidor DHCP. Para obter mais informações sobre a Opção 184, consulte "Opção 184".

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique o endereço IP do processador de chamada de rede principal.

voice-config ncp-ip ip-address

Por padrão, nenhum processador de chamada de rede primária é especificado.

Depois que você configurar esse comando, os outros parâmetros da Opção 184 entrarão em vigor.

• (Opcional.) Especifique o endereço IP do servidor de backup.

voice-config as-ip ip-address

Por padrão, nenhum processador de chamada de rede de backup é especificado.

• (Opcional.) Configure a VLAN de voz.

voice-config voice-vlan vlan-id { disable | enable }

Por padrão, nenhuma VLAN de voz é configurada.

• (Opcional.) Especifique o endereço IP de failover e a cadeia de discagem.

voice-config fail-over ip-address dialer-string

Por padrão, nenhum endereço IP de failover ou cadeia de discagem é especificado.

Personalização das opções de DHCP

Aplicativos de personalização de opções DHCP

Você pode personalizar as opções de DHCP para as seguintes finalidades:

• Adicionar opções recém-lançadas.
• Adicione opções para as quais o fornecedor define o conteúdo, por exemplo, Opção 43.
• Adicionar opções para as quais a CLI não fornece um comando de configuração dedicado. Por exemplo, você pode usar o comando ip-address 1.1.1.1 da opção 4 para definir o endereço do servidor de horário 1.1.1.1 para clientes DHCP.
• Adicione todos os valores de opção se o requisito real exceder o limite de um comando de configuração de opção dedicado. Por exemplo, o comando dns-list pode especificar até oito servidores DNS. Para especificar mais de oito servidores DNS, você deve usar o comando option 6 para definir todos os servidores DNS.

Opções comuns de DHCP

A Tabela 1 lista as opções comuns do DHCP e seus parâmetros.

Tabela 1 Opções comuns do DHCP

Restrições e diretrizes

Tenha cuidado ao personalizar as opções de DHCP, pois a configuração pode afetar a operação do DHCP.

Você pode personalizar uma opção DHCP em um pool de endereços DHCP

É possível personalizar uma opção DHCP em um grupo de opções DHCP e especificar o grupo de opções para uma classe de usuário em um pool de endereços. Um cliente DHCP na classe de usuário obterá a configuração da opção.

Personalização de uma opção DHCP em um pool de endereços DHCP

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Personalizar uma opção DHCP.

option code { ascii ascii-string | hex hex-string | ip-address
                        ip-address&<1-8> }

Por padrão, nenhuma opção DHCP é personalizada em um pool de endereços DHCP.

As opções DHCP especificadas nos grupos de opções DHCP têm precedência sobre as especificadas nos pools de endereços DHCP.

Personalização de uma opção DHCP em um grupo de opções DHCP

• Entre na visualização do sistema.

system-view

• Crie um grupo de opções DHCP e entre na visualização do grupo de opções DHCP.

dhcp option-group option-group-number

• Personalizar uma opção DHCP.

option code { ascii ascii-string | hex hex-string | ip-address
                        ip-address&<1-8> }

Por padrão, nenhuma opção DHCP é personalizada em um grupo de opções DHCP.

Se vários grupos de opções DHCP tiverem a mesma opção, o servidor selecionará a opção no grupo de opções DHCP que corresponda primeiro à classe do usuário.

• Retornar à visualização do sistema.

quit

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Especifique o grupo de opções DHCP para a classe de usuário DHCP.

class class-name option-group option-group-number

Por padrão, nenhum grupo de opções DHCP é especificado para uma classe de usuário DHCP.

Configuração da lista branca de classes de usuários DHCP

Sobre a lista branca de classes de usuários DHCP

A lista de permissões da classe de usuário DHCP permite que o servidor DHCP processe solicitações somente de clientes na lista de permissões da classe de usuário DHCP.

Restrições e diretrizes

A lista branca não tem efeito sobre os clientes que solicitam endereços IP estáticos, e o servidor sempre processa suas solicitações.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCP.

dhcp server ip-pool pool-name

• Habilite a lista branca de classes de usuários DHCP.

verify class

Por padrão, a lista branca da classe de usuário DHCP está desativada.

• Adicione classes de usuários DHCP à lista de permissões de classes de usuários DHCP.

valid class class-name&<1-8>

Por padrão, nenhuma classe de usuário DHCP está na lista de permissões da classe de usuário DHCP.

Restrições e diretrizes

Os recursos de segurança do servidor DHCP não são aplicáveis se houver um agente de retransmissão DHCP na rede. Isso ocorre porque o endereço MAC do agente de retransmissão DHCP é encapsulado como o endereço MAC de origem na solicitação DHCP recebida pelo servidor DHCP. Nesse caso, você deve configurar os recursos de segurança do agente de retransmissão DHCP. Para obter mais informações, consulte "Configuração dos recursos de segurança do agente de retransmissão DHCP".

Configuração da proteção contra ataques de inanição do DHCP

Sobre a proteção contra ataques de inanição de DHCP

Um ataque de inanição de DHCP ocorre quando um invasor envia constantemente solicitações forjadas de DHCP usando diferentes endereços MAC no campo chaddr para um servidor DHCP. Isso esgota os recursos de endereço IP do servidor DHCP, de modo que os clientes DHCP legítimos não conseguem obter endereços IP. O servidor DHCP também pode deixar de funcionar devido ao esgotamento dos recursos do sistema. Para obter informações sobre os campos nas mensagens DHCP, consulte "Formato da mensagem DHCP".

Os métodos a seguir estão disponíveis para aliviar ou impedir esses ataques.

• Para aliviar um ataque de inanição de DHCP que usa pacotes DHCP encapsulados com diferentes endereços MAC de origem, faça a seguinte configuração em uma interface:
• Execute o comando mac-address max-mac-count para definir o limite de aprendizado de MAC. Para obter mais informações sobre esse comando, consulte Referência de comandos de comutação da camada 2-LAN.
• Desative o encaminhamento de quadros desconhecidos quando o limite de aprendizado MAC for atingido.
• Para evitar um ataque de inanição de DHCP que usa solicitações de DHCP encapsuladas com o mesmo endereço MAC de origem, você pode ativar a verificação de endereço MAC no servidor DHCP. O servidor DHCP compara o campo chaddr de uma solicitação DHCP recebida com o endereço MAC de origem no cabeçalho do quadro. Se eles forem iguais, o servidor DHCP verificará se a solicitação é legal e a processará. Se não forem iguais, o servidor descartará a solicitação DHCP.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar a verificação de endereço MAC.

dhcp server check mac-address

Por padrão, a verificação de endereço MAC está desativada.

Configuração do servidor DHCP para sempre transmitir respostas

Sobre a configuração do servidor DHCP para sempre transmitir respostas

Por padrão, o servidor DHCP transmite uma resposta somente quando o sinalizador de transmissão na solicitação DHCP está definido como 1. Você pode configurar o servidor DHCP para ignorar o sinalizador de transmissão e sempre transmitir uma resposta. Esse recurso é útil quando alguns clientes definem o sinalizador de difusão como 0, mas não aceitam respostas unicast.

O servidor DHCP sempre unicausa uma resposta nas seguintes situações, independentemente de esse recurso estar configurado ou não:

• A solicitação DHCP é de um cliente DHCP que tem um endereço IP (o campo ciaddr não é 0).
• A solicitação DHCP é encaminhada por um agente de retransmissão DHCP de um cliente DHCP (o campo giaddr não é 0).

Procedimento

• Entre na visualização do sistema.

system-view

• Habilite o servidor DHCP para sempre transmitir todas as respostas.

dhcp server always-broadcast

Por padrão, o servidor DHCP lê o sinalizador de broadcast para decidir se deve transmitir ou unicast uma resposta.

Retorno de uma mensagem DHCP-NAK quando o cliente percebe que os endereços IP estão incorretos

Sobre a devolução de uma mensagem DHCP-NAK quando o cliente percebe endereços IP incorretos

Um cliente DHCP pode enviar uma mensagem DHCP-REQUEST diretamente ou ao receber uma mensagem DHCP-OFFER. Ao receber a solicitação, o servidor DHCP verificará se a noção do cliente sobre seu endereço IP está correta. Se o endereço IP solicitado for diferente do alocado ou não tiver um registro de concessão correspondente, o servidor DHCP permanecerá em silêncio por padrão. Depois que a concessão do endereço IP alocado para o cliente expirar, o servidor DHCP responderá à solicitação do cliente.

Esse recurso permite que o servidor DHCP retorne mensagens DHCP-NAK se as noções do cliente sobre seus endereços IP estiverem incorretas. Após receber a mensagem DHCP-NAK, o cliente DHCP solicitará um endereço IP novamente.

Procedimento

• Entre na visualização do sistema.

system-view

• Permita que o servidor DHCP retorne uma mensagem DHCP-NAK se as noções dos clientes sobre seus endereços IP estiverem incorretas.

dhcp server request-ip-address check

Por padrão, o servidor DHCP não retorna uma mensagem DHCP-NAK se as noções dos clientes sobre seus endereços IP estiverem incorretas.

Configuração do servidor DHCP para ignorar solicitações de BOOTP

Sobre como configurar o servidor DHCP para ignorar solicitações de BOOTP

A duração da concessão dos endereços IP obtidos pelos clientes BOOTP é ilimitada. Em alguns cenários que não permitem concessões ilimitadas, você pode configurar o servidor DHCP para ignorar as solicitações de BOOTP.

Procedimento

• Entre na visualização do sistema.

system-view

• Configure o servidor DHCP para ignorar as solicitações de BOOTP.

dhcp server bootp ignore

Por padrão, o servidor DHCP processa solicitações BOOTP.

Configuração do servidor DHCP para enviar respostas BOOTP no formato RFC 1048

Sobre a configuração do servidor DHCP para enviar respostas BOOTP no formato RFC 1048

Nem todos os clientes BOOTP podem enviar solicitações compatíveis com a RFC 1048. Por padrão, o servidor DHCP não processa o campo Vend das solicitações em conformidade com a RFC 1048, mas copia o campo Vend nas respostas.

Esse recurso permite que o servidor DHCP preencha o campo Vend no formato compatível com a RFC 1048 nas respostas do DHCP às solicitações não compatíveis com a RFC 1048 enviadas pelos clientes BOOTP.

Procedimento

• Entre na visualização do sistema.

system-view

• Permitir que o servidor DHCP envie respostas BOOTP no formato RFC 1048 para as solicitações BOOTP que não estejam em conformidade com a RFC 1048.

dhcp server bootp reply-rfc-1048

Por padrão, o servidor DHCP copia diretamente o campo Vend de tais solicitações para as respostas.

Exemplo: Configuração da atribuição de endereço IP estático

Configuração de rede

Conforme mostrado na Figura 8, o Switch B (cliente DHCP) e o Switch C (cliente BOOTP) obtêm o endereço IP, o endereço do servidor DNS e o endereço do gateway do Switch A (servidor DHCP).

Ocliente ID de em Switch é 0030-3030-662e-6532-3030-2e30-3030-322d-4574-6865-726e-6574.

O endereço MAC da interface VLAN 2 no Switch C é 000f-e200-01c0.

Figura 8 Diagrama de rede

Procedimento

• Especifique um endereço IP para a interface VLAN 2 no Switch A.

<SwitchA> system-view
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.1 25
[SwitchA-Vlan-interface2] quit

• Configure o servidor DHCP:

# Criar o pool de endereços DHCP 0.

[SwitchA] dhcp server ip-pool 0

# Configure uma ligação estática para o Switch B.

[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.5 25 client-identifier
0030-3030-662e-6532-3030-2e30-3030-322d-4574-6865-726e-6574

# Configure uma ligação estática para o Switch C.

[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.6 25 hardware-address
000f-e200-01c0

# Especifique o endereço do servidor DNS e o endereço do gateway.

[SwitchA-dhcp-pool-0] dns-list 10.1.1.2
[SwitchA-dhcp-pool-0] gateway-list 10.1.1.126
[SwitchA-dhcp-pool-0] quit
[SwitchA]

# Habilite o DHCP.

[SwitchA] dhcp enable

# Habilite o servidor DHCP na interface VLAN 2.

[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] dhcp select server
[SwitchA-Vlan-interface2] quit

Verificação da configuração

# Verifique se o Switch B pode obter o endereço IP 10.1.1.5 e todos os outros parâmetros de rede do Switch A. (Os detalhes não são mostrados).

# Verifique se o Switch C pode obter o endereço IP 10.1.1.6 e todos os outros parâmetros de rede do Switch A. (Os detalhes não são mostrados).

# No servidor DHCP, exiba os endereços IP atribuídos aos clientes.

[SwitchA] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.5 0030-3030-662e-6532- Jan 21 14:27:27 2014 Static(C)
3030-2e30-3030-322d-
4574-6865-726e-6574
10.1.1.6 000f-e200-01c0 Unlimited Static(C)

Exemplo: Configuração da atribuição dinâmica de endereços IP

Configuração de rede

Conforme mostrado na Figura 9, o servidor DHCP (Switch A) atribui endereços IP a clientes na sub-rede 10.1.1.0/24, que é subdividida em 10.1.1.0/25 e 10.1.1.128/25.

Configure o servidor DHCP no Switch A para implementar o seguinte esquema de atribuição.

Tabela 2 Esquema de atribuição

Figura 9 Diagrama de rede

Procedimento

• Especifique os endereços IP para as interfaces de VLAN. (Detalhes não mostrados).
• Configure o servidor DHCP:

# Excluir o endereço do servidor DNS, o endereço do servidor WINS e os endereços de gateway da alocação dinâmica.

<SwitchA> system-view
[SwitchA] dhcp server forbidden-ip 10.1.1.2
[SwitchA] dhcp server forbidden-ip 10.1.1.4
[SwitchA] dhcp server forbidden-ip 10.1.1.126
[SwitchA] dhcp server forbidden-ip 10.1.1.254

# Configure o pool de endereços DHCP 1 para atribuir endereços IP e outros parâmetros de configuração a clientes na sub-rede 10.1.1.0/25.

[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.128
[SwitchA-dhcp-pool-1] expired day 10 hour 12
[SwitchA-dhcp-pool-1] domain-name aabbcc.com
[SwitchA-dhcp-pool-1] dns-list 10.1.1.2
[SwitchA-dhcp-pool-1] gateway-list 10.1.1.126
[SwitchA-dhcp-pool-1] nbns-list 10.1.1.4
[SwitchA-dhcp-pool-1] quit

# Configure o pool de endereços DHCP 2 para atribuir endereços IP e outros parâmetros de configuração

para clientes na sub-rede 10.1.1.128/25.

[SwitchA] dhcp server ip-pool 2
[SwitchA-dhcp-pool-2] network 10.1.1.128 mask 255.255.255.128
[SwitchA-dhcp-pool-2] expired day 5
[SwitchA-dhcp-pool-2] domain-name aabbcc.com
[SwitchA-dhcp-pool-2] dns-list 10.1.1.2
[SwitchA-dhcp-pool-2] gateway-list 10.1.1.254
[SwitchA-dhcp-pool-2] quit

# Habilite o DHCP.

[SwitchA] dhcp enable

# Habilite o servidor DHCP na interface VLAN 10 e na interface VLAN 20.

[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] dhcp select server
[SwitchA-Vlan-interface10] quit
[SwitchA] interface vlan-interface 20
[SwitchA-Vlan-interface20] dhcp select server
[SwitchA-Vlan-interface20] quit

Verificação da configuração

# Verifique se os clientes das sub-redes 10.1.1.0/25 e 10.1.1.128/25 conseguem obter os endereços IP corretos e todos os outros parâmetros de rede do Switch A. (Os detalhes não são mostrados).

# No servidor DHCP, exiba os endereços IP atribuídos aos clientes.

[SwitchA] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.3 0031-3865-392e-6262- Jan 14 22:25:03 2015 Auto(C)
3363-2e30-3230-352d-
4745-302f-30
10.1.1.5 0031-fe65-4203-7e02- Jan 14 22:25:03 2015 Auto(C)
3063-5b30-3230-4702-
620e-712f-5e
10.1.1.130 3030-3030-2e30-3030- Jan 9 10:45:11 2015 Auto(C)
662e-3030-3033-2d45-
7568-6572-1e
10.1.1.131 3030-0020-fe02-3020- Jan 9 10:45:11 2015 Auto(C)
7052-0201-2013-1e02
0201-9068-23
10.1.1.132 2020-1220-1102-3021- Jan 9 10:45:11 2015 Auto(C)
7e52-0211-2025-3402
0201-9068-9a
10.1.1.133 2021-d012-0202-4221- Jan 9 10:45:11 2015 Auto(C)
8852-0203-2022-55e0
3921-0104-31

Exemplo: Configuração da classe de usuário DHCP

Requisitos de rede

Conforme mostrado na Figura 10, o agente de retransmissão DHCP (Switch A) encaminha pacotes DHCP entre os clientes DHCP e o servidor DHCP (Switch B). Habilite o switch A para suportar a Opção 82, de modo que o switch A possa adicionar a Opção 82 nas solicitações de DHCP enviadas pelos clientes DHCP.

Configure o esquema de alocação de endereços da seguinte forma:

Para clientes na sub-rede 10.10.1.0/24, o endereço do servidor DNS é 10.10.1.20/24 e o endereço do gateway é 10.10.1.254/24.

Figura 10 Diagrama de rede

Procedimento

• Especificar endereços IP para interfaces no servidor DHCP e no agente de retransmissão DHCP. (Detalhes não mostrados).
• Configurar serviços DHCP:

# Crie a classe de usuário DHCP tt e configure uma regra de correspondência para corresponder às solicitações do cliente com a Opção 82.

<SwitchB> system-view
[SwitchB] dhcp class tt
[SwitchB-dhcp-class-tt] if-match rule 1 option 82
[SwitchB-dhcp-class-tt] quit

# Crie a classe de usuário DHCP ss e configure uma regra de correspondência para corresponder às solicitações de DHCP nas quais o endereço de hardware tem seis bytes e começa com aabb-aabb-aab.

[SwitchB] dhcp class ss
[SwitchB-dhcp-class-ss] if-match rule 1 hardware-address aabb-aabb-aab0 mask
ffff-ffff-fff0
[SwitchB-dhcp-class-ss] quit

# Criar o pool de endereços DHCP aa.

[SwitchB] dhcp server ip-pool aa

# Especifique a sub-rede para alocação dinâmica.

[SwitchB-dhcp-pool-aa] network 10.10.1.0 mask 255.255.255.0

# Especifique o intervalo de endereços para alocação dinâmica.

[SwitchB-dhcp-pool-aa] address range 10.10.1.2 10.10.1.100

# Especifique o intervalo de endereços para a classe de usuário tt.

[SwitchB-dhcp-pool-aa] class tt range 10.10.1.2 10.10.1.10

# Especifique o intervalo de endereços para a classe de usuário ss.

[SwitchB-dhcp-pool-aa] class ss range 10.10.1.11 10.10.1.26

# Especifique o endereço do gateway e o endereço do servidor DNS.

[SwitchB-dhcp-pool-aa] gateway-list 10.10.1.254
[SwitchB-dhcp-pool-aa] dns-list 10.10.1.20
[SwitchB-dhcp-pool-aa] quit

# Habilite o DHCP e configure o servidor DHCP para lidar com a Opção 82.

[SwitchB] dhcp enable
[SwitchB] dhcp server relay information enable

# Habilite o servidor DHCP na interface VLAN 10.

[SwitchB] interface vlan-interface 10
[SwitchB-Vlan-interface10] dhcp select server
[SwitchB-Vlan-interface10] quit

Verificação da configuração

# Verifique se os clientes que correspondem às classes de usuários podem obter endereços IP nos intervalos especificados e todos os outros parâmetros de configuração do servidor DHCP. (Detalhes não mostrados).

# Exibir o endereço IP atribuído pelo servidor DHCP.

[SwitchB] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
10.10.1.2 0031-3865-392e-6262- Jan 14 22:25:03 2015 Auto(C)
3363-2e30-3230-352d-
4745-302f-30
10.10.1.11 aabb-aabb-aab1 Jan 14 22:25:03 2015 Auto(C)

Exemplo: Configuração da lista branca de classes de usuários DHCP

Configuração de rede

Conforme mostrado na Figura 11, configure a lista de permissões da classe de usuário DHCP para permitir que o servidor DHCP atribua endereços IP a clientes cujos endereços de hardware tenham seis bytes e comecem com aabb-aabb.

Figura 11 Diagrama de rede

Procedimento

• Especifique os endereços IP para as interfaces no servidor DHCP. (Detalhes não mostrados).
• Configurar DHCP:

# Crie a classe de usuário DHCP ss e configure uma regra de correspondência para corresponder às solicitações de DHCP nas quais o endereço de hardware tem seis bytes e começa com aabb-aabb.

<SwitchB> system-view
[SwitchB] dhcp class ss
[SwitchB-dhcp-class-ss] if-match rule 1 hardware-address aabb-aabb-0000 mask
ffff-ffff-0000
[SwitchB-dhcp-class-ss] quit

# Criar o pool de endereços DHCP aa.

[SwitchB] dhcp server ip-pool aa

# Especifique a sub-rede para alocação dinâmica.

[SwitchB-dhcp-pool-aa] network 10.1.1.0 mask 255.255.255.0

# Habilite a lista branca de classes de usuários DHCP.

[SwitchB-dhcp-pool-aa] verify class

# Adicione a classe de usuário DHCP ss à lista de permissões da classe de usuário DHCP.

[SwitchB-dhcp-pool-aa] valid class ss
[SwitchB-dhcp-pool-aa] quit

# Habilite o DHCP.

[SwitchB] dhcp enable

# Habilite o servidor DHCP na interface VLAN 2.

[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] dhcp select server
[SwitchB-Vlan-interface2] quit

Verificação da configuração

# Verifique se os clientes que correspondem à classe de usuário DHCP podem obter endereços IP na sub-rede 10.1.1.0/24 do servidor DHCP. (Detalhes não mostrados.)

# No servidor DHCP, exiba os endereços IP atribuídos aos clientes.

[SwitchB] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.2 aabb-aabb-ab01 Jan 14 22:25:03 2015 Auto(C)

Exemplo: Configuração de sub-redes primárias e secundárias

Configuração de rede

Conforme mostrado na Figura 12, o servidor DHCP (Switch A) atribui dinamicamente endereços IP a clientes na LAN.

Configure duas sub-redes no pool de endereços no servidor DHCP: 10.1.1.0/24 como a sub-rede primária e 10.1.2.0/24 como a sub-rede secundária. O servidor DHCP seleciona endereços IP da sub-rede secundária quando a sub-rede primária não tem endereços atribuíveis.

O switch A atribui os seguintes parâmetros:

• O gateway padrão 10.1.1.254/24 para clientes na sub-rede 10.1.1.0/24.
• O gateway padrão 10.1.2.254/24 para clientes na sub-rede 10.1.2.0/24.

Figura 12 Diagrama de rede

Procedimento

# Criar o pool de endereços DHCP aa.

lt;SwitchA>  system-view
[SwitchA] dhcp server ip-pool aa

# Especifique a sub-rede primária e o endereço do gateway para alocação dinâmica.

[SwitchA-dhcp-pool-aa] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-aa] gateway-list 10.1.1.254

# Especifique a sub-rede secundária e o endereço do gateway para alocação dinâmica.

[SwitchA-dhcp-pool-aa] network 10.1.2.0 mask 255.255.255.0 secondary
[SwitchA-dhcp-pool-aa-secondary] gateway-list 10.1.2.254
[SwitchA-dhcp-pool-aa-secondary] quit
[SwitchA-dhcp-pool-aa] quit

# Habilite o DHCP.

[SwitchA] dhcp enable

# Configure os endereços IP primário e secundário da interface VLAN 10.

[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ip address 10.1.1.1 24
[SwitchA-Vlan-interface10] ip address 10.1.2.1 24 sub

# Habilite o servidor DHCP na interface VLAN 10.

[SwitchA-Vlan-interface10] dhcp select server
[SwitchA-Vlan-interface10] quit

Verificação da configuração

# Verifique se o servidor DHCP atribui aos clientes endereços IP e endereço de gateway da sub-rede secundária quando nenhum endereço está disponível na sub-rede primária. (Detalhes não mostrados.)

# Exibir os endereços IP de sub-rede primária e secundária que o servidor DHCP atribuiu. A seguir, parte da saída do comando.

[SwitchA] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.2 0031-3865-392e-6262- Jan 14 22:25:03 2015 Auto(C)
3363-2e30-3230-352d-
4745-302f-30
10.1.2.2 3030-3030-2e30-3030- Jan 14 22:25:03 2015 Auto(C)
662e-3030-3033-2d45-
7568-6572-1e

Exemplo: Personalização da opção DHCP

Configuração de rede

Conforme mostrado na Figura 13, os clientes DHCP obtêm endereços IP e endereços de servidor PXE do servidor DHCP (Switch A). A sub-rede para alocação de endereços é 10.1.1.0/24.

Configure o esquema de alocação de endereços da seguinte forma:

O servidor DHCP atribui endereços de servidor PXE a clientes DHCP por meio da Opção 43, uma opção personalizada. O formato da Opção 43 e o da subopção de endereço do servidor PXE são mostrados na Figura 5 e na Figura 7. Por exemplo, o valor da Opção 43 configurado no pool de endereços DHCP é 80 0B 00 00 02 01 02 03 04 02 02 02 02 02.

• O número 80 é o valor do tipo de subopção.
• O número 0B é o valor do comprimento da subopção.
• Os números 00 00 00 são o valor do tipo de servidor PXE.
• O número 02 indica o número de servidores.

• Os números 01 02 03 04 02 02 02 02 indicam que os endereços do servidor PXE são 1.2.3.4 e 2.2.2.2.

Figura 13 Diagrama de rede

Procedimento

• Especifique os endereços IP para as interfaces. (Detalhes não mostrados).
• Configure o servidor DHCP:

# Crie a classe de usuário DHCP ss e configure uma regra de correspondência para corresponder às solicitações de DHCP nas quais o endereço de hardware tem seis bytes e começa com aabb-aabb.

<SwitchA> system-view
[SwitchA] dhcp class ss
[SwitchA-dhcp-class-ss] if-match rule 1 hardware-address aabb-aabb-0000 mask
ffff-ffff-0000
[SwitchA-dhcp-class-ss] quit

# Crie o grupo de opções 1 do DHCP e personalize a opção 43.

[SwitchA] dhcp option-group 1
[SwitchA-dhcp-option-group-1] option 43 hex 800B0000020203040503030303

# Habilite o servidor DHCP na interface VLAN 2.

[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] dhcp select server
[SwitchA-Vlan-interface2] quit

# Criar o pool de endereços DHCP 0.

[SwitchA] dhcp server ip-pool 0

# Especifique a sub-rede para alocação dinâmica de endereços.

[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0

# Personalize a opção 43.

[SwitchA-dhcp-pool-0] option 43 hex 800B0000020102030402020202

# Associe a classe de usuário DHCP ss ao grupo de opções 1.

[SwitchA-dhcp-pool-0] class ss option-group 1
[SwitchA-dhcp-pool-0] quit

# Habilite o DHCP.

[SwitchA] dhcp enable

Verificação da configuração

# Verifique se o Switch B pode obter um endereço IP na sub-rede 10.1.1.0/24 e os endereços de servidor PXE correspondentes do Switch A. (Detalhes não mostrados).

# No servidor DHCP, exiba os endereços IP atribuídos aos clientes.

[SwitchA] display dhcp server ip-in-use
IP address Client-identifier/ Lease expiration Type
Hardware address
10.1.1.2 aabb-aabb-ab01 Jan 14 22:25:03 2015 Auto(C)

Não obtenção de um endereço IP não conflitante

Sintoma

O endereço IP de um cliente obtido do servidor DHCP entra em conflito com um endereço IP de outro host.

Solução

Outro host na sub-rede pode ter o mesmo endereço IP. Para resolver o problema:

• Desative o adaptador de rede do cliente ou desconecte o cabo de rede do cliente. Faça ping no IP

do cliente de outro host para verificar se há um host usando o mesmo endereço IP.

• Se for recebida uma resposta de ping, o endereço IP foi configurado manualmente em um host. Execute o comando dhcp server forbidden-ip no servidor DHCP para excluir o endereço IP da alocação dinâmica.
• Ative o adaptador de rede ou conecte o cabo de rede, libere o endereço IP e obtenha outro no cliente. Por exemplo, para liberar o endereço IP e obter outro em um cliente DHCP do Windows XP:
• No ambiente Windows, execute o comando cmd para entrar no ambiente DOS.
• Digite ipconfig /release para liberar o endereço IP.
• Digite ipconfig /renew para obter outro endereço IP.

Operação do agente de retransmissão DHCP

O servidor e o cliente DHCP interagem entre si da mesma forma, independentemente da existência ou não do agente de retransmissão. Para obter detalhes sobre a interação, consulte "Processo de alocação de endereços IP". A seguir, descrevemos apenas as etapas relacionadas ao agente de retransmissão DHCP:

• Depois de receber uma mensagem de difusão DHCP-DISCOVER ou DHCP-REQUEST de um cliente DHCP, o agente de retransmissão DHCP processa a mensagem da seguinte forma:
• Preenche o campo giaddr da mensagem com seu endereço IP.
• Unicasts a mensagem para o servidor DHCP designado.
• Com base no campo giaddr, o servidor DHCP retorna um endereço IP e outros parâmetros de configuração em uma resposta.
• O agente de retransmissão transmite a resposta ao cliente.

Figura 15 Operação do agente de retransmissão DHCP

Suporte do agente de retransmissão DHCP para a Opção 82

A opção 82 registra as informações de localização sobre o cliente DHCP. Ela permite que o administrador execute as seguintes tarefas:

• Localize o cliente DHCP para fins de segurança e contabilidade.
• Atribuir endereços IP em um intervalo específico aos clientes.

Para obter mais informações sobre a Opção 82, consulte "Opção de agente de retransmissão (Opção 82)".

Se o agente de retransmissão DHCP for compatível com a Opção 82, ele tratará as solicitações de DHCP seguindo as estratégias descritas na Tabela 3.

Se uma resposta retornada pelo servidor DHCP contiver a Opção 82, o agente de retransmissão DHCP removerá a Opção 82 antes de encaminhar a resposta ao cliente.

Tabela 3 Estratégias de manuseio do agente de retransmissão DHCP

Especificação de servidores DHCP em um agente de retransmissão

Sobre a especificação de servidores DHCP em um agente de retransmissão

Para aumentar a disponibilidade, você pode especificar vários servidores DHCP no agente de retransmissão DHCP. Quando a interface recebe mensagens de solicitação de clientes, o agente retransmissor as encaminha a todos os servidores DHCP.

Restrições e diretrizes

O endereço IP de qualquer servidor DHCP especificado não deve residir na mesma sub-rede que o endereço IP da interface de retransmissão. Caso contrário, os clientes poderão não conseguir obter endereços IP.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Especifique um endereço de servidor DHCP no agente de retransmissão.

dhcp relay server-address ip-address [ class class-name ]

Por padrão, nenhum endereço de servidor DHCP é especificado no agente de retransmissão.

Para especificar vários endereços de servidor DHCP, repita esta etapa. Você pode especificar um máximo de oito servidores DHCP.

Especificação de servidores DHCP em um pool de endereços de retransmissão DHCP

Sobre a especificação de servidores DHCP em um pool de endereços de retransmissão DHCP

Os pools de endereços DHCP criados em um agente de retransmissão DHCP são chamados de pools de endereços de retransmissão DHCP. Você pode criar um pool de endereços de retransmissão e especificar servidores DHCP nesse pool de endereços. Esse recurso permite que os clientes DHCP do mesmo tipo obtenham endereços IP e outros parâmetros de configuração dos servidores DHCP especificados no pool de endereços de retransmissão DHCP correspondente.

Aplica-se a cenários em que o agente de retransmissão DHCP se conecta a clientes do mesmo tipo de acesso, mas classificados em tipos diferentes por suas localizações. Nesse caso, a interface de retransmissão normalmente não tem endereço IP configurado. Você pode usar o comando gateway-list para especificar endereços de gateway para clientes que correspondam ao mesmo pool de endereços de retransmissão de DHCP e vincular os endereços de gateway ao endereço MAC do dispositivo.

Ao receber um DHCP DISCOVER ou REQUEST de um cliente que corresponde a um pool de endereços de retransmissão DHCP, o agente de retransmissão processa o pacote da seguinte forma:

• Preenche o campo giaddr do pacote com um endereço de gateway especificado.
• Encaminha o pacote para todos os servidores DHCP no pool de endereços de retransmissão DHCP correspondente. Os servidores DHCP selecionam um pool de endereços de retransmissão DHCP de acordo com o endereço do gateway.

Procedimento

• Entre na visualização do sistema.

system-view

• Crie um pool de endereços de retransmissão DHCP e entre em sua visualização.

dhcp server ip-pool pool-name

• Especifique os gateways no pool de endereços de retransmissão DHCP.

gateway-list ip-address&<1-64>

Por padrão, nenhum endereço de gateway é especificado.

• Especifique os servidores DHCP no pool de endereços de retransmissão DHCP.

remote-server ip-address&<1-8>

Por padrão, nenhum servidor DHCP é especificado no pool de endereços de retransmissão DHCP.

É possível especificar um máximo de oito servidores DHCP em um pool de endereços de retransmissão DHCP para alta disponibilidade.

Especificação do algoritmo de seleção do servidor DHCP

Sobre o algoritmo de seleção do servidor DHCP

O agente de retransmissão DHCP é compatível com os algoritmos de seleção de servidor DHCP de polling e master-backup.

Por padrão, o agente de retransmissão DHCP usa o algoritmo de sondagem. Ele encaminha solicitações de DHCP a todos os servidores DHCP. Os clientes DHCP selecionam o servidor DHCP do qual vem a primeira resposta DHCP recebida.

Se o agente de retransmissão DHCP usar o algoritmo mestre-backup, ele encaminhará as solicitações de DHCP primeiro para o servidor DHCP mestre. Se o servidor DHCP mestre não estiver disponível, o agente de retransmissão encaminha as solicitações DHCP subsequentes para um servidor DHCP de backup. Se o servidor DHCP de backup não estiver disponível, o agente de retransmissão seleciona o próximo servidor DHCP de backup e assim por diante. Se nenhum servidor DHCP de backup estiver disponível, o processo será repetido a partir do servidor DHCP mestre.

O servidor DHCP mestre é determinado de uma das seguintes maneiras:

• Em uma rede comum em que vários endereços de servidor DHCP são especificados na interface de retransmissão DHCP, o primeiro servidor DHCP especificado é o mestre. Os outros servidores DHCP são backups.
• Em uma rede em que os pools de endereços de retransmissão DHCP estão configurados no agente de retransmissão DHCP, o primeiro servidor DHCP especificado em um pool de endereços de retransmissão DHCP é o mestre. Os outros servidores DHCP no pool de endereços de retransmissão DHCP são backups.

A seleção do servidor DHCP suporta as seguintes funções:

• Tempo limite de resposta do servidor DHCP - O agente de retransmissão DHCP determina que um servidor DHCP não está disponível se não receber nenhuma resposta do servidor dentro do tempo limite de resposta do servidor DHCP. O tempo limite de resposta do servidor DHCP é configurável e o padrão é 30 segundos.
• Comutação de servidor DHCP - Se o agente de retransmissão DHCP selecionar um servidor DHCP de backup, ele não alterna de volta para o servidor DHCP mestre por padrão. Você pode configurar o agente de retransmissão DHCP para retornar ao servidor DHCP mestre após um atraso. Se o servidor DHCP mestre estiver disponível, o agente de retransmissão DHCP encaminhará as solicitações de DHCP para o servidor DHCP mestre. Se o servidor DHCP mestre não estiver disponível, o agente de retransmissão DHCP ainda usará o servidor DHCP de backup.

Especificação do algoritmo de seleção do servidor DHCP na visualização da interface

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Especifique o algoritmo de seleção do servidor DHCP.

dhcp relay server-address algorithm { master-backup | polling }

Por padrão, é usado o algoritmo de sondagem. O agente de retransmissão DHCP encaminha as solicitações de DHCP para todos os servidores DHCP.

• (Opcional.) Defina o tempo limite de resposta do servidor DHCP para a troca de servidor DHCP.

dhcp relay dhcp-server timeout time

Por padrão, o tempo limite de resposta do servidor DHCP é de 30 segundos.

• (Opcional.) Ative o retorno ao servidor DHCP mestre e defina o tempo de atraso.

dhcp relay master-server switch-delay delay-time

Por padrão, o agente de retransmissão DHCP não alterna de volta para o servidor DHCP mestre.

Especificar o algoritmo de seleção do servidor DHCP na visualização do pool de endereços de retransmissão DHCP

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços de retransmissão DHCP.

dhcp server ip-pool pool-name

• Especifique o algoritmo de seleção do servidor DHCP.

dhcp relay server-address algorithm { master-backup | polling }

Por padrão, o algoritmo de sondagem é usado. O agente de retransmissão DHCP encaminha solicitações de DHCP a todos os servidores DHCP.

• (Opcional.) Defina o tempo limite de resposta do servidor DHCP para a troca de servidor DHCP.

dhcp-server timeout time

Por padrão, o tempo limite de resposta do servidor DHCP é de 30 segundos.

• (Opcional.) Ative o retorno ao servidor DHCP mestre e defina o tempo de atraso.

master-server switch-delay delay-time

Por padrão, o agente de retransmissão DHCP não alterna de volta para o servidor DHCP mestre.

Ativação do agente de retransmissão DHCP para registrar entradas de retransmissão

Sobre como habilitar o agente de retransmissão DHCP para registrar entradas de retransmissão

Execute esta tarefa para permitir que o agente de retransmissão DHCP registre automaticamente as associações de IP para MAC dos clientes (entradas de retransmissão) depois que eles obtiverem endereços IP por meio do DHCP.

Alguns recursos de segurança usam as entradas de retransmissão para verificar os pacotes recebidos e bloquear os pacotes que não correspondem a nenhuma entrada. Dessa forma, os hosts ilegais não conseguem acessar redes externas por meio do agente de retransmissão. Exemplos de recursos de segurança são verificação de endereço ARP, ARP autorizado e proteção de origem IP.

Restrições e diretrizes

O agente de retransmissão DHCP não registra as associações de IP a MAC para clientes DHCP executados em interfaces seriais síncronas/assíncronas.

Procedimento

• Entre na visualização do sistema.

system-view

• Habilite o agente de retransmissão a registrar entradas de retransmissão.

dhcp relay client-information record

Por padrão, o agente de retransmissão não registra entradas de retransmissão.

Ativação da atualização periódica de entradas de retransmissão dinâmica

Sobre como ativar a atualização periódica de entradas de retransmissão dinâmica

Um cliente DHCP envia uma mensagem DHCP-RELEASE para o servidor DHCP para liberar seu endereço IP. O agente de retransmissão DHCP transmite a mensagem ao servidor DHCP e não remove a entrada IP-para-MAC do cliente.

Com esse recurso, o agente de retransmissão DHCP usa o endereço IP de uma entrada de retransmissão para enviar periodicamente uma mensagem DHCP-REQUEST para o servidor DHCP.

O agente de retransmissão mantém as entradas de retransmissão dependendo do que recebe do servidor DHCP:

• Se o servidor retornar uma mensagem DHCP-ACK ou não retornar nenhuma mensagem em um intervalo, o agente de retransmissão DHCP removerá a entrada de retransmissão. Além disso, ao receber a mensagem DHCP-ACK, o agente de retransmissão envia uma mensagem DHCP-RELEASE para liberar o endereço IP.
• Se o servidor retornar uma mensagem DHCP-NAK, o agente de retransmissão manterá a entrada de retransmissão.

Procedimento

• Entre na visualização do sistema.

system-view

• Ativar a atualização periódica das entradas de retransmissão dinâmica.

dhcp relay client-information refresh enable

Por padrão, a atualização periódica das entradas de retransmissão dinâmica está ativada.

• (Opcional.) Defina o intervalo de atualização.

dhcp relay client-information refresh [ auto | interval interval ]

Por padrão, o intervalo de atualização é automático, que é calculado com base no número total de entradas do relé .

Ativação da proteção contra ataques de inanição de DHCP

Sobre a proteção contra ataques de inanição de DHCP

Um ataque de inanição de DHCP ocorre quando um invasor envia constantemente solicitações forjadas de DHCP usando diferentes endereços MAC no campo chaddr para um servidor DHCP. Isso esgota os recursos de endereço IP do servidor DHCP, de modo que os clientes DHCP legítimos não conseguem obter endereços IP. O servidor DHCP também pode deixar de funcionar devido ao esgotamento dos recursos do sistema. Os métodos a seguir estão disponíveis para aliviar ou impedir esses ataques.

• Para aliviar um ataque de inanição de DHCP que usa pacotes DHCP encapsulados com diferentes endereços MAC de origem, você pode usar um dos métodos a seguir:
• Limite o número de entradas ARP que uma interface de Camada 3 pode aprender.
• Defina o limite de aprendizado de MAC para uma porta da Camada 2 e desative o encaminhamento de quadros desconhecidos quando o limite de aprendizado de MAC for atingido.
• Para evitar um ataque de inanição de DHCP que usa solicitações de DHCP encapsuladas com o mesmo endereço MAC de origem, você pode ativar a verificação de endereço MAC no agente de retransmissão DHCP. O agente de retransmissão DHCP compara o campo chaddr de uma solicitação DHCP recebida com o endereço MAC de origem no cabeçalho do quadro. Se eles forem iguais, o agente de retransmissão DHCP encaminhará a solicitação ao servidor DHCP. Caso contrário, o agente de retransmissão descarta a solicitação.

Habilite a verificação de endereço MAC somente no agente de retransmissão DHCP diretamente conectado aos clientes DHCP. Um agente de retransmissão DHCP altera o endereço MAC de origem dos pacotes DHCP antes de enviá-los.

Uma entrada de verificação de endereço MAC tem um tempo de envelhecimento. Quando o tempo de envelhecimento expira, ocorrem as duas situações a seguir:

• A entrada envelhece.

• O agente de retransmissão DHCP verifica novamente a validade das solicitações DHCP enviadas do endereço MAC na entrada.

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o tempo de envelhecimento das entradas de verificação de endereço MAC.

dhcp relay check mac-address aging-time time

O tempo de envelhecimento padrão é de 30 segundos.

Esse comando só tem efeito depois que você executa o comando dhcp relay check mac-address

comando.

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar a verificação de endereço MAC.

dhcp relay check mac-address

Por padrão, a verificação de endereço MAC está desativada.

Ativação do proxy do servidor DHCP no agente de retransmissão DHCP

Sobre a ativação do proxy do servidor DHCP no agente de retransmissão DHCP

O recurso de proxy de servidor DHCP isola os servidores DHCP dos clientes DHCP e protege os servidores DHCP contra ataques.

Ao receber uma resposta do servidor, o proxy do servidor DHCP modifica o endereço IP do servidor como o endereço IP da interface de retransmissão antes de enviar a resposta. O cliente DHCP considera o agente de retransmissão DHCP como o servidor DHCP.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar o agente de retransmissão DHCP e o proxy do servidor DHCP na interface.

dhcp select relay proxy

Por padrão, a interface opera no modo de servidor DHCP depois que o DHCP é ativado.

Ativação da detecção off-line do cliente no agente de retransmissão DHCP

Sobre a detecção de cliente off-line no agente de retransmissão DHCP

A detecção de cliente off-line no agente de retransmissão DHCP detecta o status on-line do usuário com base no envelhecimento da entrada ARP. Quando uma entrada ARP se esgota, o recurso de detecção de cliente DHCP off-line exclui a entrada de retransmissão do endereço IP e envia uma mensagem RELEASE ao servidor DHCP.

Se o agente de retransmissão DHCP e o DHCP snooping estiverem configurados no mesmo dispositivo, o módulo de DHCP snooping excluirá suas entradas de DHCP snooping depois de obter as mensagens RELEASE do módulo de agente de retransmissão.

Restrições e diretrizes

O recurso não funcionará se uma entrada ARP for excluída manualmente.

Procedimento

• Entre na visualização do sistema.

system-view

• Habilite o agente de retransmissão a registrar entradas de retransmissão.

dhcp relay client-information record

Por padrão, o agente de retransmissão não registra entradas de retransmissão.

Sem entradas de retransmissão, a detecção off-line do cliente não pode funcionar corretamente.

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar o agente de retransmissão DHCP.

dhcp select relay

Por padrão, quando o DHCP está ativado, uma interface opera no modo de servidor DHCP.

• Ativar a detecção off-line do cliente.

dhcp client-detect
                        

Por padrão, a detecção off-line do cliente está desativada no agente de retransmissão DHCP.

Especificar manualmente o endereço do agente de retransmissão DHCP para o campo giaddr

Sobre a especificação manual do endereço do agente de retransmissão DHCP para o campo giaddr

Essa tarefa permite que você especifique os endereços IP a serem encapsulados no campo giaddr das solicitações DHCP. Se você não especificar nenhum endereço de agente de retransmissão DHCP, o endereço IP primário da interface de retransmissão DHCP será encapsulado no campo giaddr das solicitações DHCP.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Especifique o endereço do agente de retransmissão DHCP a ser encapsulado nas solicitações DHCP retransmitidas.

dhcp relay gateway ip-address

Por padrão, o endereço IP primário da interface de retransmissão de DHCP é encapsulado nas solicitações de DHCP retransmitidas.

Configuração de retransmissão inteligente para especificar o endereço do agente de retransmissão DHCP para o campo giaddr

Sobre o smart relay

Por padrão, o agente de retransmissão encapsula apenas o endereço IP primário no campo giaddr de todas as solicitações antes de retransmiti-las ao servidor DHCP. Em seguida, o servidor DHCP seleciona um endereço IP na mesma sub-rede que o endereço no campo giaddr. Se nenhum endereço atribuível na sub-rede estiver disponível, o servidor DHCP não atribuirá nenhum endereço IP. O recurso de retransmissão inteligente de DHCP foi introduzido para permitir que o agente de retransmissão de DHCP encapsule endereços IP secundários quando o servidor DHCP não enviar de volta uma mensagem DHCP-OFFER.

O agente de retransmissão inicialmente encapsula seu endereço IP primário no campo giaddr antes de encaminhar uma solicitação ao servidor DHCP. Se nenhum DHCP-OFFER for recebido, o agente de retransmissão permitirá que o cliente envie no máximo duas solicitações ao servidor DHCP usando o endereço IP primário. Se nenhum DHCP-OFFER for retornado após duas tentativas, o agente de retransmissão mudará para um endereço IP secundário. Se o servidor DHCP ainda não responder, o próximo endereço IP secundário será usado. Depois que todos os endereços IP secundários forem tentados e o servidor DHCP não responder, o agente de retransmissão repetirá o processo começando pelo endereço IP primário.

Procedimento

• Entre na visualização do sistema.

system-view

• Habilite o recurso de retransmissão inteligente de DHCP.

dhcp smart-relay enable

Por padrão, o recurso de retransmissão inteligente de DHCP está desativado.

Exemplo: Configuração do agente de retransmissão DHCP básico

Configuração de rede

Conforme mostrado na Figura 16, configure o agente de retransmissão DHCP no Switch A. O agente de retransmissão DHCP permite que os clientes DHCP obtenham endereços IP e outros parâmetros de configuração do servidor DHCP em outra sub-rede.

O agente de retransmissão DHCP e o servidor estão em sub-redes diferentes. Configure o roteamento estático ou dinâmico para torná-los acessíveis um ao outro.

Realize a configuração no servidor DHCP para garantir a comunicação cliente-servidor. Para obter informações sobre a configuração do servidor DHCP, consulte "Exemplos de configuração do servidor DHCP".

Figura 16 Diagrama de rede

Procedimento

# Especifique os endereços IP para as interfaces. (Detalhes não mostrados.) # Habilite o DHCP.

<SwitchA>  system-view
    [SwitchA] dhcp enable
    

# Habilite o agente de retransmissão DHCP na interface VLAN 10.

[SwitchA] interface vlan-interface 10
    [SwitchA-Vlan-interface10] dhcp select relay
    

# Especifique o endereço IP do servidor DHCP no agente de retransmissão.

[SwitchA-Vlan-interface10] dhcp relay server-address 10.1.1.1
    

Verificação da configuração

# Verifique se os clientes DHCP podem obter endereços IP e todos os outros parâmetros de rede do servidor DHCP por meio do agente de retransmissão DHCP. (Detalhes não mostrados.)

# Exibir as estatísticas dos pacotes DHCP encaminhados pelo agente de retransmissão DHCP.

[SwitchA] display dhcp relay statistics

# Exibir entradas de retransmissão se você tiver ativado o registro de entrada de retransmissão no agente de retransmissão DHCP.

[SwitchA] display dhcp relay client-information

Exemplo: Configuração da opção 82

Configuração de rede

Conforme mostrado na Figura 16, o agente de retransmissão DHCP (Switch A) substitui a Opção 82 nas solicitações DHCP antes de encaminhá-las ao servidor DHCP (Switch B).

• A subopção de ID do circuito é company001.
• A subopção Remote ID é device001.

Para usar a Opção 82, você também deve habilitar o servidor DHCP para lidar com a Opção 82.

Procedimento

# Especifique os endereços IP para as interfaces. (Detalhes não mostrados.) # Habilite o DHCP.

<SwitchA>  system-view
    [SwitchA] dhcp enable
    

# Habilite o agente de retransmissão DHCP na interface VLAN 10.

[SwitchA] interface vlan-interface 10
    [SwitchA-Vlan-interface10] dhcp select relay
    

# Especifique o endereço IP do servidor DHCP.

[SwitchA-Vlan-interface10] dhcp relay server-address 10.1.1.1
    

# Configure as estratégias de manuseio e o conteúdo de preenchimento da Opção 82.

[SwitchA-Vlan-interface10] dhcp relay information enable
    [SwitchA-Vlan-interface10] dhcp relay information strategy replace
    [SwitchA-Vlan-interface10] dhcp relay information circuit-id string company001
    [SwitchA-Vlan-interface10] dhcp relay information remote-id string device001

Exemplo: Configuração da seleção do servidor DHCP

Configuração de rede

Conforme mostrado na Figura 17, o cliente DHCP e os servidores DHCP estão em sub-redes diferentes. Tanto o servidor DHCP 1 quanto o servidor DHCP 2 têm um pool de endereços DHCP que contém endereços IP na sub-rede 22.22.22.0/24, mas nenhum deles tem o DHCP ativado.

Configure o agente de retransmissão DHCP para que o cliente DHCP obtenha um endereço IP na sub-rede 22.22.22.0/24 e outros parâmetros de configuração de um servidor DHCP. O agente de retransmissão DHCP está conectado ao cliente DHCP por meio da interface VLAN 2, ao servidor DHCP 1 por meio da interface VLAN 3 e ao servidor DHCP 2 por meio da interface VLAN 4.

Figura 17 Diagrama de rede

Procedimento

• Atribua endereços IP às interfaces nos switches. (Detalhes não mostrados).
• Configure o Switch B e o Switch C como servidores DHCP. (Detalhes não mostrados.)
• Configure o agente de retransmissão DHCP no Switch A: # Habilite o DHCP.

<SwitchA>  system-view
    [SwitchA] dhcp enable

# Habilite o agente de retransmissão DHCP na interface VLAN 2.

[SwitchA] interface vlan-interface 2
    [SwitchA-Vlan-interface2] dhcp select relay

# Especifique os endereços IP dos servidores DHCP.

[SwitchA-Vlan-interface2] dhcp relay server-address 1.1.1.1
    [SwitchA-Vlan-interface2] dhcp relay server-address 2.2.2.2

# Especifique o algoritmo de seleção do servidor DHCP como master-backup.

[SwitchA-Vlan-interface2] dhcp relay server-address algorithm master-backup

# Configure o agente de retransmissão DHCP para voltar ao servidor DHCP mestre 3 minutos depois de mudar para o servidor DHCP de backup.

[SwitchA-Vlan-interface2] dhcp relay master-server switch-delay 3

Verificação da configuração

# Verifique se o cliente DHCP não consegue obter um endereço IP e se o seguinte registro é gerado em cerca de 30 segundos.

DHCPR/3/DHCPR_SWITCHMASTER:
    Switched to the master DHCP server at 1.1.1.1.

# Habilite o DHCP no servidor DHCP em 1.1.1.1. (Detalhes não mostrados.)

# Verifique se o cliente DHCP não consegue obter um endereço IP e se o seguinte registro é gerado em cerca de 3 minutos.

DHCPR/3/DHCPR_SWITCHMASTER:

Comutado para o servidor DHCP mestre em 1.1.1.1.

# Verifique se o cliente DHCP obtém um endereço IP. (Detalhes não mostrados.)

Falha dos clientes DHCP em obter parâmetros de configuração por meio do agente de retransmissão DHCP

Sintoma

Os clientes DHCP não podem obter parâmetros de configuração por meio do agente de retransmissão DHCP.

Solução

Alguns problemas podem ocorrer com o agente de retransmissão DHCP ou com a configuração do servidor.

Para localizar o problema, ative a depuração e execute o comando display no agente de retransmissão DHCP para visualizar as informações de depuração e as informações de estado da interface.

Verifique isso:

• O DHCP está ativado no servidor DHCP e no agente de retransmissão.
• O servidor DHCP tem um pool de endereços na mesma sub-rede que os clientes DHCP.
• O servidor DHCP e o agente de retransmissão DHCP podem se comunicar entre si.
• O endereço do servidor DHCP especificado na interface de retransmissão DHCP conectada aos clientes DHCP está correto.

Exemplo: Configuração do cliente DHCP

Configuração de rede

Conforme mostrado na Figura 19, em uma LAN, o Switch B entra em contato com o servidor DHCP por meio da interface VLAN 2 para obter um endereço IP, um endereço de servidor DNS e informações de rota estática. O endereço IP do cliente DHCP reside na sub-rede 10.1.1.0/24. O endereço do servidor DNS é 20.1.1.1. O próximo salto da rota estática para a sub-rede 20.1.1.0/24 é 10.1.1.2.

O servidor DHCP usa a Option 121 para atribuir informações de rota estática aos clientes DHCP. A Figura 18 mostra o formato da Option 121. O campo descritor de destino contém as seguintes partes: comprimento da máscara de sub-rede e endereço de rede de destino, ambos em notação hexadecimal. Neste exemplo, o descritor de destino é 18 14 01 01 (o comprimento da máscara de sub-rede é 24 e o endereço de rede é

20.1.1.0 em notação decimal com pontos). O endereço do próximo salto é 0A 01 01 02 (10.1.1.2 em notação decimal pontilhada ).

Figura 18 Formato da opção 121

Figura 19 Diagrama de rede

Procedimento

• Configure o Switch A:

# Especifique um endereço IP para a interface VLAN 2.

<SwitchA> system-view
    [SwitchA] interface vlan-interface 2
    [SwitchA-Vlan-interface2] ip address 10.1.1.1 24
    [SwitchA-Vlan-interface2] quit

# Excluir um endereço IP da alocação dinâmica.

[SwitchA] dhcp server forbidden-ip 10.1.1.2

# Configure o pool de endereços DHCP 0. Especifique a sub-rede, a duração da concessão, o endereço do servidor DNS e uma rota estática para a sub-rede 20.1.1.0/24.

[SwitchA] dhcp server ip-pool 0
    [SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
    [SwitchA-dhcp-pool-0] expired day 10
    [SwitchA-dhcp-pool-0] dns-list 20.1.1.1
    [SwitchA-dhcp-pool-0] option 121 hex 18 14 01 01 0A 01 01 02
    [SwitchA-dhcp-pool-0] quit

# Habilite o DHCP.

[SwitchA] dhcp enable

• Configure o Switch B:

# Configure a interface VLAN 2 para usar o DHCP para aquisição de endereços IP.

<SwitchB> system-view
    [SwitchB] interface vlan-interface 2
    [SwitchB-Vlan-interface2] ip address dhcp-alloc
    [SwitchB-Vlan-interface2] quit

Verificação da configuração

# Exibir o endereço IP e outros parâmetros de rede atribuídos ao Switch B.

[SwitchB-Vlan-interface2] display dhcp client verbose
    Vlan-interface2 DHCP client information:
    Current state: BOUND
    Allocated IP: 10.1.1.3 255.255.255.0
    Allocated lease: 864000 seconds, T1: 331858 seconds, T2: 756000 seconds
    Lease from May 21 19:00:29 2012 to May 31 19:00:29 2012
    DHCP server: 10.1.1.1
    Transaction ID: 0xcde72232
    Classless static routes:
    Destination: 20.1.1.0, Mask: 255.255.255.0, NextHop: 10.1.1.2
    DNS servers: 20.1.1.1
    Client ID type: acsii(type value=00)
    Client ID value: 000c.29d3.8659-Vlan2
    Client ID (with type) hex: 0030-3030-632e-3239-
    6433-2e38-3635-392d-
    4574-6830-2f30-2f32
    T1 will timeout in 3 days 19 hours 48 minutes 43 seconds

# Exiba as informações de rota no Switch B. A saída mostra que uma rota estática para a sub-rede 20.1.1.0/24 foi adicionada à tabela de roteamento.

[SwitchB] display ip routing-table
    Destinations : 11 Routes : 11
    Destination/Mask Proto Pre Cost NextHop Interface
    10.1.1.0/24 Direct 0 0 10.1.1.3 Vlan2
    10.1.1.3/32 Direct 0 0 127.0.0.1 InLoop0
    20.1.1.0/24 Static 70 0 10.1.1.2 Vlan2
    10.1.1.255/32 Direct 0 0 10.1.1.3 Vlan2
    127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
    127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
    127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
    127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
    224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
    224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
    255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0

Aplicação de portas confiáveis e não confiáveis

Configure as portas voltadas para o servidor DHCP como portas confiáveis e configure outras portas como portas não confiáveis.

Conforme mostrado na Figura 20, configure a porta do dispositivo de DHCP snooping que está conectada ao servidor DHCP como uma porta confiável. A porta confiável encaminha mensagens de resposta do servidor DHCP para o cliente. A porta não confiável conectada ao servidor DHCP não autorizado descarta as mensagens de resposta DHCP recebidas.

Figura 20 Portas confiáveis e não confiáveis

Em uma rede em cascata, conforme mostrado na Figura 21, configure as portas dos dispositivos de snooping DHCP voltadas para o servidor DHCP como portas confiáveis. Para economizar recursos do sistema, você pode habilitar apenas as portas não confiáveis diretamente conectadas aos clientes DHCP para registrar entradas de snooping DHCP.

Figura 21 Portas confiáveis e não confiáveis em uma rede em cascata

Suporte a DHCP snooping para a Opção 82

A opção 82 registra as informações de localização sobre o cliente DHCP para que o administrador possa localizar o cliente DHCP para fins de segurança e contabilidade. Para obter mais informações sobre a Opção 82, consulte "Opção de agente de retransmissão (Opção 82)".

A subopção 9 (específica do fornecedor) na Opção 82 é suportada somente em dispositivos DHCP snooping. Cada dispositivo DHCP snooping com a estratégia de manipulação append Option 82 adiciona as seguintes informações à subopção na solicitação DHCP recebida:

 Identificador de nó do dispositivo DHCP snooping atual.

 Informações sobre a interface do lado do cliente.

∙ VLAN do cliente DHCP.

Depois que o dispositivo de gerenciamento recebe a solicitação DHCP, ele pode determinar a topologia de rede que a solicitação percorreu e localizar o cliente DHCP.

O snooping DHCP usa as mesmas estratégias que o agente de retransmissão DHCP para lidar com a Opção 82 para mensagens de solicitação DHCP, conforme mostrado na Tabela 4. Se uma resposta retornada pelo servidor DHCP contiver a Opção 82, o snooping DHCP removerá a Opção 82 antes de encaminhar a resposta ao cliente. Se a resposta não contiver nenhuma Opção 82, o snooping DHCP a encaminhará diretamente.

Tabela 4 Estratégias de manuseio

Configuração de recursos básicos de DHCP snooping em uma rede comum

Sobre os recursos básicos de DHCP snooping em uma rede comum

Os recursos básicos do DHCP snooping referem-se ao seguinte:

∙ Ativação do DHCP snooping.

∙ Configuração de portas confiáveis do DHCP snooping.

∙ Ativação do registro de informações do cliente em entradas de DHCP snooping.

Se você ativar o DHCP snooping globalmente, o DHCP snooping será ativado em todas as interfaces do dispositivo.

Você também pode ativar o snooping DHCP para VLANs específicas. Depois de ativar o DHCP snooping para uma VLAN, você pode configurar os outros recursos básicos do DHCP snooping na VLAN.

Restrições e diretrizes

Se os recursos básicos do DHCP snooping estiverem configurados globalmente, você só poderá usar a forma undo dos comandos de configuração global para desativar as configurações globalmente. Os comandos de configuração específicos da VLAN não podem desativar as configurações.

Se os recursos básicos do DHCP snooping estiverem configurados em uma VLAN, você só poderá usar a forma undo dos comandos de configuração específicos da VLAN para desativar as configurações na VLAN. O comando de configuração global não pode desativar as configurações.

Configuração dos recursos básicos do DHCP snooping globalmente

• Entre na visualização do sistema.

system-view

• Ativar o DHCP snooping globalmente.

dhcp snooping enable

Por padrão, o DHCP snooping é desativado globalmente.

• Entre na visualização da interface.

interface interface-type interface-number

Essa interface deve se conectar ao servidor DHCP.

• Especifique a porta como uma porta confiável.

dhcp snooping trust

Por padrão, todas as portas são portas não confiáveis depois que o DHCP snooping é ativado.

• (Opcional.) Habilite o registro de entradas de DHCP snooping.
• Retornar à visualização do sistema.

quit

• Entre na visualização da interface.

interface interface-type interface-number

Essa interface deve se conectar ao cliente DHCP.

• Habilite o registro de entradas de DHCP snooping.

dhcp snooping binding record

Por padrão, o registro de entradas de DHCP snooping está desativado.

Configuração de recursos básicos do DHCP snooping para VLANs

• Entre na visualização do sistema.

system-view

• Habilite o DHCP snooping para VLANs.

dhcp snooping enable vlan vlan-id-list

Por padrão, o DHCP snooping está desativado para todas as VLANs.

• Entrar na visualização de VLAN

vlan vlan-id

Certifique-se de que o DHCP snooping esteja ativado para a VLAN.

• Configure uma interface na VLAN como uma porta confiável.

dhcp snooping trust interface interface-type interface-number

Por padrão, todas as interfaces da VLAN são portas não confiáveis.

• (Opcional.) Habilite o registro das informações do cliente nas entradas do DHCP snooping.

dhcp snooping binding record

Por padrão, o registro das informações do cliente nas entradas do DHCP snooping está desativado.

Ativação da proteção contra ataques de inanição de DHCP

Sobre a proteção contra ataques de inanição de DHCP

Um ataque de inanição de DHCP ocorre quando um invasor envia constantemente solicitações de DHCP forjadas que contêm endereços MAC de remetente idênticos ou diferentes no campo chaddr para um servidor DHCP. Esse ataque esgota os recursos de endereço IP do servidor DHCP para que os clientes DHCP legítimos não possam obter endereços IP. O servidor DHCP também pode deixar de funcionar devido ao esgotamento dos recursos do sistema. Para obter informações sobre os campos do pacote DHCP, consulte "Formato da mensagem DHCP".

Você pode evitar ataques de inanição de DHCP das seguintes maneiras:

∙ Se as solicitações forjadas de DHCP contiverem endereços MAC de remetentes diferentes, use o comando mac-address max-mac-count para definir o limite de aprendizado de MAC em uma porta da Camada 2. Para obter mais informações sobre o comando, consulte Referência de comandos de comutação da camada 2-LAN.

∙ Se as solicitações forjadas de DHCP contiverem o mesmo endereço MAC do remetente, execute esta tarefa para ativar a verificação de endereço MAC para o DHCP snooping. Esse recurso compara o campo chaddr de uma solicitação DHCP recebida com o campo de endereço MAC de origem no cabeçalho do quadro. Se eles forem iguais, a solicitação será considerada válida e encaminhada ao servidor DHCP. Caso contrário, a solicitação será descartada.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar a verificação de endereço MAC.

dhcp snooping check mac-address

Por padrão, a verificação de endereço MAC está desativada.

Ativação da proteção contra ataques DHCP-REQUEST

Sobre a proteção contra ataques DHCP-REQUEST

As mensagens DHCP-REQUEST incluem pacotes de renovação de concessão de DHCP, pacotes DHCP-DECLINE e pacotes DHCP-RELEASE. Esse recurso impede que clientes não autorizados que falsificam as mensagens DHCP-REQUEST ataquem o servidor DHCP.

Os invasores podem forjar pacotes de renovação de concessão de DHCP para renovar concessões para clientes DHCP legítimos que não precisam mais dos endereços IP. Essas mensagens forjadas impedem que o servidor DHCP da vítima libere os endereços IP.

Os invasores também podem forjar pacotes DHCP-DECLINE ou DHCP-RELEASE para encerrar concessões para clientes DHCP legítimos que ainda precisam dos endereços IP.

Para evitar esses ataques, você pode ativar a verificação DHCP-REQUEST. Esse recurso usa entradas do DHCP snooping para verificar as mensagens DHCP-REQUEST recebidas.

∙ Se for encontrada uma entrada correspondente a uma mensagem, esse recurso comparará a entrada com as informações da mensagem.

⚪ Se forem consistentes, a mensagem será considerada válida e encaminhada ao servidor DHCP.

⚪ Se forem diferentes, a mensagem é considerada forjada e é descartada.

∙ Se não for encontrada nenhuma entrada correspondente, a mensagem será considerada válida e encaminhada ao servidor DHCP.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar a verificação de DHCP-REQUEST.

dhcp snooping check request-message

Por padrão, a verificação DHCP-REQUEST está desativada.

Configuração de uma porta de bloqueio de pacotes DHCP

Sobre a porta de bloqueio de pacotes DHCP

Execute esta tarefa para configurar uma porta como uma porta de bloqueio de pacotes DHCP. Essa porta de bloqueio descarta todas as solicitações DHCP de entrada.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Configure a porta para bloquear solicitações de DHCP.

dhcp snooping deny

Por padrão, a porta não bloqueia solicitações de DHCP.

Para evitar falhas na aquisição de endereços IP, configure uma porta para bloquear pacotes DHCP somente se nenhum cliente DHCP estiver conectado a ela.

Exemplo: Configuração global dos recursos básicos do DHCP snooping

Configuração de rede

Conforme mostrado na Figura 22, o Switch B está conectado ao servidor DHCP autorizado por meio da GigabitEthernet 1/0/1, ao servidor DHCP não autorizado por meio da GigabitEthernet 1/0/3 e ao cliente DHCP por meio da GigabitEthernet 1/0/2.

Configure somente a porta conectada ao servidor DHCP autorizado para encaminhar as respostas do servidor DHCP. Habilite o dispositivo DHCP snooping para registrar as associações de IP para MAC dos clientes lendo as mensagens DHCP-ACK recebidas da porta confiável e as mensagens DHCP-REQUEST.

Figura 22 Diagrama de rede

Procedimento

# Habilite o DHCP snooping globalmente.

<SwitchB> system-view
    [SwitchB] dhcp snooping enable

# Configure a GigabitEthernet 1/0/1 como uma porta confiável.

[SwitchB] interface gigabitethernet 1/0/1
    [SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
    [SwitchB-GigabitEthernet1/0/1] quit

# Habilite o registro das associações de IP para MAC dos clientes na GigabitEthernet 1/0/2.

[SwitchB] interface gigabitethernet 1/0/2
    [SwitchB-GigabitEthernet1/0/2] dhcp snooping binding record
    [SwitchB-GigabitEthernet1/0/2] quit

Verificação da configuração

# Verifique se o cliente DHCP pode obter um endereço IP e outros parâmetros de configuração somente do servidor DHCP autorizado. (Detalhes não mostrados.)

# Exibir a entrada de DHCP snooping registrada para o cliente.

[SwitchB] display dhcp snooping binding

Exemplo: Configuração de recursos básicos de DHCP snooping para uma VLAN

Configuração de rede

Conforme mostrado na Figura 23, o Switch B está conectado ao servidor DHCP autorizado por meio da GigabitEthernet 1/0/1, ao servidor DHCP não autorizado por meio da GigabitEthernet 1/0/3 e ao cliente DHCP por meio da GigabitEthernet 1/0/2.

Configure apenas a porta na VLAN 100 conectada ao servidor DHCP autorizado para encaminhar as respostas do servidor DHCP. Habilite a porta na VLAN 100 para registrar as associações de IP para MAC dos clientes lendo as mensagens DHCP-ACK recebidas da porta confiável e as mensagens DHCP-REQUEST.

Figura 23 Diagrama de rede

Procedimento

# Atribuir GigabitEthernet 1/0/1, GigabitEthernet 1/0/2 e GigabitEthernet 1/0/3 à VLAN 100.

<SwitchB>  system-view
    [SwitchB] vlan 100
    [SwitchB-vlan100] port gigabitethernet 1/0/1 to gigabitethernet 1/0/3
    [SwitchB-vlan100] quit

# Habilite o DHCP snooping para a VLAN 100.

[SwitchB] dhcp snooping enable vlan 100

# Configure a GigabitEthernet 1/0/1 como porta confiável de DHCP snooping.

[SwitchB] vlan 100
    [SwitchB-vlan100] dhcp snooping trust interface gigabitethernet 1/0/1

# Habilite o registro das associações de IP para MAC dos clientes na VLAN 100.

[SwitchB-vlan100] dhcp snooping binding record
    [SwitchB-vlan100] quit

Verificação da configuração

# Verifique se o cliente DHCP pode obter um endereço IP e outros parâmetros de configuração somente do servidor DHCP autorizado. (Detalhes não mostrados.)

# Exibir a entrada de DHCP snooping registrada para o cliente.

[SwitchB] display dhcp snooping binding

Exemplo: Configuração do suporte do DHCP snooping para a Opção 82

Configuração de rede

Conforme mostrado na Figura 24, ative o DHCP snooping e configure a Opção 82 no Switch B da seguinte forma:

∙ Configure a estratégia de tratamento das solicitações DHCP que contêm a Opção 82 como substituta.

∙ Na GigabitEthernet 1/0/2, configure o conteúdo de preenchimento da subopção Circuit ID como

company001 e para a subopção Remote ID como device001.

∙ Na GigabitEthernet 1/0/3, configure o modo de preenchimento da subopção Circuit ID como verbose, o identificador do nó de acesso como sysname e o formato de preenchimento como ascii. Configure o conteúdo de preenchimento da subopção Remote ID como device001.

Figura 24 Diagrama de rede

Procedimento

# Habilite o DHCP snooping.

<SwitchB> system-view
    [SwitchB] dhcp snooping enable

# Configure a GigabitEthernet 1/0/1 como uma porta confiável.

[SwitchB] interface gigabitethernet 1/0/1
    [SwitchB-GigabitEthernet1/0/1] dhcp snooping trust
    [SwitchB-GigabitEthernet1/0/1] quit

# Configure a opção 82 na GigabitEthernet 1/0/2.

[SwitchB] interface gigabitethernet 1/0/2
    [SwitchB-GigabitEthernet1/0/2] dhcp snooping information enable
    [SwitchB-GigabitEthernet1/0/2] dhcp snooping information strategy replace
    [SwitchB-GigabitEthernet1/0/2] dhcp snooping information circuit-id string company001
    [SwitchB-GigabitEthernet1/0/2] dhcp snooping information remote-id string device001
    [SwitchB-GigabitEthernet1/0/2] quit

# Configure a opção 82 na GigabitEthernet 1/0/3.

[SwitchB] interface gigabitethernet 1/0/3
    [SwitchB-GigabitEthernet1/0/3] dhcp snooping information enable
    [SwitchB-GigabitEthernet1/0/3] dhcp snooping information strategy replace
    [SwitchB-GigabitEthernet1/0/3] dhcp snooping information circuit-id verbose
    node-identifier sysname format ascii
    [SwitchB-GigabitEthernet1/0/3] dhcp snooping information remote-id string device001
    

Verificação da configuração

# Exibir informações de configuração da Option 82 na GigabitEthernet 1/0/2 e na GigabitEthernet 1/0/3 no dispositivo DHCP snooping.

[SwitchB] display dhcp snooping information
    

Aplicativo cliente BOOTP

Uma interface que atua como cliente BOOTP pode usar o BOOTP para obter informações (como endereço IP) do servidor BOOTP.

Para usar o BOOTP, o administrador deve configurar um arquivo de parâmetros BOOTP para cada cliente BOOTP no servidor BOOTP. O arquivo de parâmetros contém informações como o endereço MAC e o endereço IP de um cliente BOOTP. Quando um cliente BOOTP envia uma solicitação ao servidor BOOTP, o servidor BOOTP procura o arquivo de parâmetros BOOTP e retorna as informações de configuração correspondentes.

O BOOTP é normalmente usado em ambientes relativamente estáveis. Em ambientes de rede que mudam com frequência, o DHCP é mais adequado.

Como um servidor DHCP pode interagir com um cliente BOOTP, você pode usar o servidor DHCP para atribuir um endereço IP ao cliente BOOTP. Não é necessário configurar um servidor BOOTP. O servidor DHCP atribuirá um endereço IP ao cliente BOOTP com base na sequência de alocação de endereços IP.

Obtenção de um endereço IP dinamicamente

Um cliente BOOTP obtém dinamicamente um endereço IP de um servidor BOOTP da seguinte forma:

• O cliente BOOTP transmite uma solicitação BOOTP, que contém seu próprio endereço MAC.
• Ao receber a solicitação, o servidor BOOTP procura no arquivo de configuração o endereço IP e outras informações de acordo com o endereço MAC do cliente BOOTP.
• O servidor BOOTP retorna uma resposta BOOTP para o cliente BOOTP.
• O cliente BOOTP obtém o endereço IP a partir da resposta recebida.

Um servidor DHCP pode substituir o servidor BOOTP na seguinte aquisição de endereço IP dinâmico.

Protocolos e padrões

∙ RFC 951, Protocolo de bootstrap (BOOTP)

∙ RFC 2132, Opções de DHCP e extensões de fornecedor de BOOTP

∙ RFC 1542, Esclarecimentos e extensões para o protocolo Bootstrap

Exemplo: Configuração do cliente BOOTP

Configuração de rede

Conforme mostrado na Figura 9, a porta do Switch B pertencente à VLAN 10 está conectada à LAN. A interface VLAN 10 obtém um endereço IP do servidor DHCP usando BOOTP.

Para fazer com que o cliente BOOTP obtenha um endereço IP do servidor DHCP, você deve executar a configuração no servidor DHCP. Para obter mais informações, consulte "Configuração do servidor DHCP examples".

Procedimento

A seguir, descrevemos a configuração no Switch B, que atua como cliente.

# Configure a interface VLAN 10 para obter dinamicamente um endereço IP do servidor DHCP.

<SwitchB> system-view
    [SwitchB] interface vlan-interface 10
    [SwitchB-Vlan-interface10] ip address bootp-alloc

Verificação da configuração

# Exibir o endereço IP atribuído ao cliente BOOTP.

[SwitchB] display bootp client

Tipos de serviços de DNS

Os serviços de DNS podem ser estáticos ou dinâmicos. Depois que um usuário especifica um nome, o dispositivo verifica se há um endereço IP na tabela de resolução de nomes estáticos. Se nenhum endereço IP estiver disponível, ele entrará em contato com o servidor DNS para resolução dinâmica de nomes, o que leva mais tempo do que a resolução estática de nomes. Para aumentar a eficiência, você pode colocar os mapeamentos de nome para endereço IP consultados com frequência na tabela local de resolução de nomes estáticos .

Resolução estática de nomes de domínio

Resolução estática de nomes de domínio significa criar manualmente mapeamentos entre nomes de domínio e endereços IP. Por exemplo, você pode criar um mapeamento de DNS estático para um dispositivo de modo que possa fazer Telnet no dispositivo usando o nome de domínio.

Resolução dinâmica de nomes de domínio

Arquitetura

A Figura 1 mostra a relação entre o programa do usuário, o cliente DNS e o servidor DNS. O cliente DNS inclui o resolvedor e o cache. O programa do usuário e o cliente DNS podem ser executados no mesmo dispositivo ou em dispositivos diferentes. O servidor DNS e o cliente DNS geralmente são executados em dispositivos diferentes.

Figura 1 Resolução dinâmica de nomes de domínio

O dispositivo pode funcionar como um cliente DNS, mas não como um servidor DNS.

Se um alias estiver configurado para um nome de domínio no servidor DNS, o dispositivo poderá resolver o alias para o endereço IP do host.

Processo de resolução

O processo de resolução dinâmica de nomes de domínio é o seguinte:

• Um programa de usuário envia uma consulta de nome para o resolvedor do cliente DNS.

Armazenamento em cache

• O resolvedor de DNS procura uma correspondência no cache de nomes de domínio local. Se o resolvedor encontrar uma correspondência, ele envia de volta o endereço IP correspondente. Caso contrário, ele envia uma consulta ao servidor DNS.
• O servidor DNS procura o endereço IP correspondente ao nome de domínio em seu banco de dados DNS. Se nenhuma correspondência for encontrada, o servidor envia uma consulta a outros servidores DNS. Esse processo continua até que um resultado, bem-sucedido ou não, seja retornado.
• Depois de receber uma resposta do servidor DNS, o cliente DNS retorna o resultado da resolução para o programa do usuário.

A resolução dinâmica de nomes de domínio permite que o cliente DNS armazene as entradas de DNS mais recentes no cache do DNS. O cliente de DNS não precisa enviar uma solicitação ao servidor de DNS para uma consulta repetida dentro do tempo de envelhecimento. Para garantir que as entradas do servidor DNS estejam atualizadas, uma entrada de DNS é removida quando o tempo de envelhecimento expira. O servidor DNS determina por quanto tempo um mapeamento é válido, e o cliente DNS obtém as informações de envelhecimento das respostas do DNS.

Sufixos DNS

Você pode configurar uma lista de sufixos de nome de domínio para que o resolvedor possa usar a lista para fornecer a parte ausente de um nome incompleto.

Por exemplo, você pode configurar com como o sufixo de aabbcc.com. O usuário só precisa digitar aabbcc para obter o endereço IP de aabbcc.com. O resolvedor adiciona o sufixo e o delimitador antes de passar o nome para o servidor DNS.

O resolvedor de nomes trata as consultas com base nos nomes de domínio que o usuário insere:

∙ Se o usuário inserir um nome de domínio sem um ponto (.) (por exemplo, aabbcc), o resolvedor considerará o nome de domínio como um nome de host. Ele adiciona um sufixo DNS ao nome do host antes de executar a operação de consulta. Se nenhuma correspondência for encontrada para qualquer combinação de nome de host e sufixo, o resolvedor usará o nome de domínio inserido pelo usuário (por exemplo, aabbcc) para a consulta de endereço IP.

∙ Se o usuário inserir um nome de domínio com um ponto (.) entre as letras (por exemplo, www.aabbcc), o resolvedor usará diretamente esse nome de domínio para a operação de consulta. Se a consulta falhar, o resolvedor adicionará um sufixo de DNS para outra operação de consulta.

∙ Se o usuário digitar um nome de domínio com um ponto (.) no final (por exemplo, aabbcc.com.), o resolvedor considerará o nome de domínio como um FQDN e retornará o resultado da consulta com êxito ou com falha. O ponto no final do nome de domínio é considerado um símbolo de terminação.

Proxy DNS

O proxy DNS executa as seguintes funções:

∙ Encaminha a solicitação do cliente DNS para o servidor DNS designado.

∙ Transmite a resposta do servidor DNS para o cliente.

O proxy de DNS simplifica o gerenciamento da rede. Quando o endereço do servidor DNS é alterado, você pode alterar a configuração apenas no proxy DNS em vez de em cada cliente DNS.

A Figura 2 mostra o aplicativo proxy de DNS típico.

Figura 2 Aplicativo de proxy DNS

Um proxy DNS funciona da seguinte forma:

• Um cliente de DNS considera o proxy de DNS como o servidor de DNS e envia uma solicitação de DNS ao proxy de DNS. O endereço de destino da solicitação é o endereço IP do proxy de DNS.
• O proxy de DNS pesquisa a tabela de resolução de nomes de domínio estático local e o cache de resolução de nomes de domínio dinâmico após receber a solicitação. Se as informações solicitadas forem encontradas, o proxy de DNS retornará uma resposta de DNS ao cliente.
• Se as informações solicitadas não forem encontradas, o proxy DNS enviará a solicitação ao servidor DNS designado para resolução do nome de domínio.
• Depois de receber uma resposta do servidor DNS, o proxy DNS registra o mapeamento de endereço IP para nome de domínio e encaminha a resposta para o cliente DNS.

Se nenhum servidor DNS for designado ou se nenhuma rota estiver disponível para o servidor DNS designado, o proxy DNS não encaminhará solicitações de DNS.

Falsificação de DNS

Conforme mostrado na Figura 3, a falsificação de DNS é aplicada à rede dial-up.

∙ O dispositivo se conecta a uma rede PSTN/ISDN por meio de uma interface dial-up. O dispositivo aciona o estabelecimento de uma conexão dial-up somente quando os pacotes devem ser encaminhados pela interface dial-up.

∙ O dispositivo atua como um proxy de DNS e é especificado como um servidor de DNS nos hosts. Depois que a conexão dial-up é estabelecida, o dispositivo obtém dinamicamente o endereço do servidor DNS por meio de DHCP ou outro mecanismo de autoconfiguração.

Figura 3 Aplicativo de falsificação de DNS

O proxy DNS não tem o endereço do servidor DNS ou não consegue acessar o servidor DNS após a inicialização. Um host acessa o servidor HTTP nas seguintes etapas:

• O host envia uma solicitação de DNS ao dispositivo para resolver o nome de domínio do servidor HTTP em um endereço IP.
• Ao receber a solicitação, o dispositivo pesquisa as entradas locais de DNS estático e dinâmico em busca de uma correspondência. Como nenhuma correspondência é encontrada, o dispositivo falsifica o host respondendo com um endereço IP configurado. O dispositivo deve ter uma rota para o endereço IP com a interface dial-up como interface de saída.

O endereço IP configurado para falsificação de DNS não é o endereço IP real do nome de domínio solicitado. Portanto, o campo TTL é definido como 0 na resposta do DNS. Quando o cliente de DNS recebe a resposta, ele cria uma entrada de DNS e a envelhece imediatamente.

• Ao receber a resposta, o host envia uma solicitação HTTP para o endereço IP respondido.
• Ao encaminhar a solicitação HTTP por meio da interface dial-up, o dispositivo executa as seguintes operações:
• Estabelece uma conexão dial-up com a rede.
• Obtém dinamicamente o endereço do servidor DNS por meio de DHCP ou outro mecanismo de autoconfiguração.
• Como a entrada de DNS se esgota imediatamente após a criação, o host envia outra solicitação de DNS ao dispositivo para resolver o nome de domínio do servidor HTTP.
• O dispositivo funciona da mesma forma que um proxy de DNS. Para obter mais informações, consulte "Proxy DNS".
• Depois de obter o endereço IP do servidor HTTP, o host pode acessar o servidor HTTP.

Sem falsificação de DNS, o dispositivo encaminha as solicitações de DNS do host para o servidor DNS se não conseguir encontrar uma entrada de DNS local correspondente. No entanto, o dispositivo não pode obter o endereço do servidor DNS, pois não há conexão discada estabelecida. Portanto, o dispositivo não pode encaminhar ou responder às solicitações do cliente. A resolução de DNS falha e o cliente não consegue acessar o servidor HTTP.

Configuração da resolução estática de nomes de domínio

Restrições e diretrizes

Cada nome de host é mapeado para apenas um endereço IPv4 e um endereço IPv6. É possível configurar um máximo de 2048 entradas de DNS.

Procedimento

• Entre na visualização do sistema.

system-view

• Configure um mapeamento de nome de host para endereço. Escolha as opções para configurar conforme necessário: IPv4:

ip host host-name ip-address

IPv6:

ipv6 host host-name ipv6-address

Configuração da resolução dinâmica de nomes de domínio

Restrições e diretrizes

∙ O limite do número de servidores DNS no dispositivo é o seguinte:

⚪ Na visualização do sistema, você pode especificar um máximo de seis endereços IPv4 de servidor DNS.

⚪ Na visualização do sistema, você pode especificar um máximo de seis endereços IPv6 de servidor DNS.

⚪ Na visualização da interface, você pode especificar no máximo seis endereços IPv4 de servidor DNS.

∙ É necessário um endereço de servidor DNS para que as consultas de DNS possam ser enviadas a um servidor correto para resolução. Se você especificar um endereço IPv4 e um endereço IPv6, o dispositivo executará as seguintes operações:

⚪ Envia uma consulta de DNS IPv4 primeiro para os endereços IPv4 do servidor DNS. Se a consulta falhar, o dispositivo se voltará para os endereços IPv6 do servidor DNS.

⚪ Envia uma consulta de DNS IPv6 primeiro para os endereços IPv6 do servidor DNS. Se a consulta falhar, os dispositivos se voltam para os endereços IPv4 do servidor DNS.

∙ Um endereço de servidor DNS especificado na visualização do sistema tem prioridade sobre um endereço de servidor DNS especificado na visualização da interface. Um endereço de servidor DNS especificado anteriormente tem prioridade mais alta. Um endereço de servidor DNS especificado manualmente tem prioridade sobre um endereço de servidor DNS obtido dinamicamente, por exemplo, por meio de DHCP. O dispositivo envia primeiro uma consulta de DNS para o endereço de servidor DNS de maior prioridade. Se a primeira consulta falhar, ele enviará a consulta de DNS para o endereço de servidor DNS de segunda prioridade mais alta e assim por diante.

∙ É possível configurar um sufixo DNS que o sistema adiciona automaticamente ao nome de domínio incompleto inserido por um usuário.

⚪ Você pode configurar um máximo de 16 sufixos de DNS.

⚪ Um sufixo DNS configurado manualmente tem prioridade sobre um sufixo DNS obtido dinamicamente, por exemplo, por meio de DHCP. Um sufixo DNS configurado anteriormente tem uma prioridade mais alta. O dispositivo usa primeiro o sufixo que tem a prioridade mais alta. Se a consulta falhar, o dispositivo usará o sufixo com a segunda prioridade mais alta, e assim por diante.

Procedimento

• Entre na visualização do sistema.

system-view

• (Opcional.) Configure um sufixo DNS.

dns domain domain-name

Por padrão, nenhum sufixo DNS é configurado e somente o nome de domínio inserido pelo usuário é resolvido.

• Especifique um endereço de servidor DNS. IPv4:

dns server ip-address

IPv6:

ipv6 dns server ipv6-address [ interface-type interface-number ]s

Em versões anteriores à versão 6348P01, nas configurações padrão de fábrica, nenhum endereço de servidor DNS é especificado.

Na versão 6348P01 e posteriores:

• Na configuração inicial, nenhum endereço de servidor DNS é especificado.
• Nas configurações padrão de fábrica, é especificado um servidor DNS com endereço IP 114.114.114.114.

Para obter mais informações sobre a configuração inicial e as configurações padrão de fábrica, consulte o gerenciamento de arquivos de configuração no Guia de Configuração Básica.

Exemplo: Configuração da resolução estática de nomes de domínio

Configuração de rede

Conforme mostrado na Figura 4, o host em 10.1.1.2 tem o nome de host.com. Configure o DNS IPv4 estático no dispositivo para que ele possa usar o nome de domínio fácil de lembrar em vez do endereço IP para acessar o host.

Figura 4 Diagrama de rede

Procedimento

# Configure um mapeamento entre o nome do host host.com e o endereço IP 10.1.1.2.

<Sysname> system-view
    [Sysname] ip host host.com 10.1.1.2
    

# Verifique se o dispositivo pode usar a resolução de nome de domínio estático para resolver o nome de domínio host.com

no endereço IP 10.1.1.2.

[Sysname] ping host.com
    Ping host.com (10.1.1.2): 56 data bytes, press CTRL_C to break
    56 bytes from 10.1.1.2: icmp_seq=0 ttl=255 time=1.000 ms
    56 bytes from 10.1.1.2: icmp_seq=1 ttl=255 time=1.000 ms
    56 bytes from 10.1.1.2: icmp_seq=2 ttl=255 time=1.000 ms
    56 bytes from 10.1.1.2: icmp_seq=3 ttl=255 time=1.000 ms
    56 bytes from 10.1.1.2: icmp_seq=4 ttl=255 time=2.000 ms
    --- Ping statistics for host.com ---
    5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms

Exemplo: Configuração da resolução dinâmica de nomes de domínio

Configuração de rede

Conforme mostrado na Figura 5, configure o servidor DNS para armazenar o mapeamento entre o nome de domínio host do host e o endereço IPv4 3.1.1.1/16 no domínio com. Configure o DNS IPv4 dinâmico e o sufixo DNS com no dispositivo para que ele possa usar o nome de domínio host para acessar o host.

Figura 5 Diagrama de rede

Procedimento

Antes de realizar a configuração a seguir, certifique-se de que:

∙ O dispositivo e o host podem se comunicar entre si.

∙ Os endereços IP das interfaces são configurados conforme mostrado na Figura 5.

• Configure o servidor DNS:

A configuração pode variar de acordo com o servidor DNS. A configuração a seguir é realizada em um PC com Windows Server 2008 R2.

• Selecione Iniciar > Programas > Ferramentas administrativas > DNS.

A página de configuração do servidor DNS é exibida, conforme mostrado na Figura 6.

• Clique com o botão direito do mouse em Forward Lookup Zones, selecione New Zone e siga o assistente para criar uma nova zona chamada com.

Figura 6 Criação de uma zona

• Na página de configuração do servidor DNS, clique com o botão direito do mouse na zona com e selecione New Host.

Figura 7: Adição de um host

• Na página que aparece, digite o nome do host e o endereço IP 3.1.1.1.
• Clique em Add Host.

O mapeamento entre o endereço IP e o nome do host é criado.

Figura 8: Adição de um mapeamento entre o nome de domínio e o endereço IP

• Configure o cliente DNS:

# Especifique o servidor DNS 2.1.1.2.

<Sysname> system-view
    [Sysname] dns server 2.1.1.2
    

Verificação da configuração

# Verifique se o dispositivo pode usar a resolução dinâmica de nome de domínio para resolver o nome de domínio

[Sysname] ping host
    Ping host.com (3.1.1.1): 56 data bytes, press CTRL_C to break
    56 bytes from 3.1.1.1: icmp_seq=0 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=1 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=4 ttl=255 time=2.000 ms
    --- Ping statistics for host ---
    5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms
    

Exemplo: Configuração do proxy DNS

Configuração de rede

Conforme mostrado na Figura 9, configure o Dispositivo A como proxy de DNS para encaminhar pacotes de DNS entre o cliente de DNS (Dispositivo B) e o servidor de DNS em 4.1.1.1.

Figura 9 Diagrama de rede

Procedimento

Antes de realizar a configuração a seguir, certifique-se de que:

∙ O dispositivo A, o servidor DNS e o host podem se comunicar entre si.

∙ Os endereços IP das interfaces são configurados conforme mostrado na Figura 9.

• Configure o servidor DNS:

A configuração pode variar de acordo com o servidor DNS. Quando um PC que executa o Windows Server 2008 R2 atua como servidor DNS, consulte "Exemplo: Configuração da resolução dinâmica de nomes de domínio" para obter informações de configuração.

• Configure o proxy DNS:

# Especifique o servidor DNS 4.1.1.1.

<DeviceA> system-view
    [DeviceA] dns server 4.1.1.1
    

# Habilite o proxy DNS.

[DeviceA] dns proxy enable

• Configure o cliente DNS:

<DeviceB>  system-viewe

# Especifique o servidor DNS 2.1.1.2.

[DeviceB] dns server 2.1.1.2

Verificação da configuração

# Verifique se o proxy DNS no dispositivo A funciona.

[DeviceB] ping host.com
    Ping host.com (3.1.1.1): 56 data bytes, press CTRL_C to break
    56 bytes from 3.1.1.1: icmp_seq=0 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=1 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=2 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=3 ttl=255 time=1.000 ms
    56 bytes from 3.1.1.1: icmp_seq=4 ttl=255 time=2.000 ms
    --- Ping statistics for host.com ---
    5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 1.000/1.200/2.000/0.400 ms

Exemplo: Configuração da resolução estática de nomes de domínio

Configuração de rede

Conforme mostrado na Figura 10, o host em 1::2 tem o nome de host.com. Configure o DNS IPv6 estático no dispositivo para que ele possa usar o nome de domínio fácil de lembrar em vez do endereço IPv6 para acessar o host.

Figura 10 Diagrama de rede

Procedimento

# Configure um mapeamento entre o nome do host host.com e o endereço IPv6 1::2.

<Device> system-view
    [Device] ipv6 host host.com 1::2

# Verifique se o dispositivo pode usar a resolução de nome de domínio estático para resolver o nome de domínio host.com

no endereço IPv6 1::2.

[Sysname] ping ipv6 host.com
    Ping6(56 data bytes) 1::1 --> 1::2, press CTRL_C to break
    56 bytes from 1::2, icmp_seq=0 hlim=128 time=1.000 ms
    56 bytes from 1::2, icmp_seq=1 hlim=128 time=0.000 ms
    56 bytes from 1::2, icmp_seq=2 hlim=128 time=1.000 ms
    56 bytes from 1::2, icmp_seq=3 hlim=128 time=1.000 ms
    56 bytes from 1::2, icmp_seq=4 hlim=128 time=0.000 ms
    --- Ping6 statistics for host.com ---
    5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
    

Exemplo: Configuração da resolução dinâmica de nomes de domínio

Configuração de rede

Conforme mostrado na Figura 11, configure o servidor DNS para armazenar o mapeamento entre o nome de domínio host do host e o endereço IPv6 1::1/64 no domínio com. Configure o DNS IPv6 dinâmico e o sufixo DNS com no dispositivo para que ele possa usar o nome de domínio host para acessar o host.

Figura 11 Diagrama de rede

Procedimento

Antes de realizar a configuração a seguir, certifique-se de que:

∙ O dispositivo e o host podem se comunicar entre si.

∙ Os endereços IPv6 das interfaces são configurados conforme mostrado na Figura 11.

• Configure o servidor DNS:

A configuração pode variar de acordo com o servidor DNS. A configuração a seguir é realizada em um PC com o Windows Server 2008 R2. Certifique-se de que o servidor DNS ofereça suporte ao DNS IPv6 para que o servidor possa processar pacotes DNS IPv6 e suas interfaces possam encaminhar pacotes IPv6.

• Selecione Iniciar > Programas > Ferramentas administrativas > DNS.

A página de configuração do servidor DNS é exibida, conforme mostrado na Figura 12.

• Clique com o botão direito do mouse em Forward Lookup Zones, selecione New Zone e siga o assistente para criar uma nova zona chamada com.

Figura 12 Criação de uma zona

• Na página de configuração do servidor DNS, clique com o botão direito do mouse na zona com e selecione New Host.

Figura 13 Adição de um host

• Na página que aparece, digite o nome do host e o endereço IPv6 1::1.
• Clique em Add Host.

O mapeamento entre o endereço IPv6 e o nome do host é criado.

Figura 14: Adição de um mapeamento entre o nome de domínio e o endereço IPv6

• Configure o cliente DNS:

# Especifique o servidor DNS 2::2.

<Device> system-view
    [Device] ipv6 dns server 2::2

# Configure com como o sufixo DNS.

[Device] dns domain com

Verificação da configuração

# Verifique se o dispositivo pode usar a resolução dinâmica de nomes de domínio para resolver o nome de domínio

host.com no endereço IP 1::1.

[Device] ping ipv6 host
    Ping6(56 data bytes) 3::1 --> 1::1, press CTRL_C to break
    56 bytes from 1::1, icmp_seq=0 hlim=128 time=1.000 ms
    56 bytes from 1::1, icmp_seq=1 hlim=128 time=0.000 ms
    56 bytes from 1::1, icmp_seq=2 hlim=128 time=1.000 ms
    56 bytes from 1::1, icmp_seq=3 hlim=128 time=1.000 ms
    56 bytes from 1::1, icmp_seq=4 hlim=128 time=0.000 ms
    --- Ping6 statistics for host ---
    5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
    

Exemplo: Configuração do proxy DNS

Configuração de rede

Conforme mostrado na Figura 15, configure o Dispositivo A como proxy de DNS para encaminhar pacotes de DNS entre o cliente de DNS (Dispositivo B) e o servidor de DNS em 4000::1.

Figura 15 Diagrama de rede

Procedimento

Antes de realizar a configuração a seguir, certifique-se de que:

∙ O dispositivo A, o servidor DNS e o host podem ser acessados entre si.

∙ Os endereços IPv6 das interfaces são configurados conforme mostrado na Figura 15.

• Configure o servidor DNS:

Essa configuração pode variar de acordo com o servidor DNS. Quando um PC que executa o Windows Server 2008 R2 atua como servidor DNS, consulte "Exemplo: Configuração da resolução dinâmica de nomes de domínio" para obter informações de configuração.

• Configure o proxy DNS:

# Especifique o servidor DNS 4000::1.

<DeviceA> system-view
    [DeviceA] ipv6 dns server 4000::1
    

# Habilite o proxy DNS.

[DeviceA] dns proxy enable

• Configure o cliente DNS:

# Especifique o servidor DNS 2000::2.

<DeviceB>  system-viewe
    [DeviceB] ipv6 dns server 2000::2
    

Verificação da configuração

# Verifique se o proxy DNS no dispositivo A funciona.

[DeviceB] ping host.com
    Ping6(56 data bytes) 2000::1 --> 3000::1, press CTRL_C to break
    56 bytes from 3000::1, icmp_seq=0 hlim=128 time=1.000 ms
    56 bytes from 3000::1, icmp_seq=1 hlim=128 time=0.000 ms
    56 bytes from 3000::1, icmp_seq=2 hlim=128 time=1.000 ms
    56 bytes from 3000::1, icmp_seq=3 hlim=128 time=1.000 ms
    56 bytes from 3000::1, icmp_seq=4 hlim=128 time=0.000 ms
    --- Ping6 statistics for host.com ---
    5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 0.000/0.600/1.000/0.490 ms
    

Falha na resolução de endereços IPv4

Sintoma

Depois de ativar a resolução dinâmica de nomes de domínio, o usuário não consegue obter o endereço IP correto.

Solução

Para resolver o problema:

• Use o comando display dns host ip para verificar se o nome de domínio especificado está no cache.
• Se o nome de domínio especificado não existir, verifique se o cliente DNS pode se comunicar com o servidor DNS.
• Se o nome de domínio especificado estiver no cache, mas o endereço IP estiver incorreto, verifique se o cliente DNS tem o endereço IP correto do servidor DNS.
• Verifique se o mapeamento entre o nome de domínio e o endereço IP está correto no servidor DNS.

Falha na resolução de endereços IPv6

Sintoma

Depois de ativar a resolução dinâmica de nomes de domínio, o usuário não consegue obter o endereço IPv6 correto.

Solução

Para resolver o problema:

• Use o comando display dns host ipv6 para verificar se o nome de domínio especificado está no cache.
• Se o nome de domínio especificado não existir, verifique se a resolução dinâmica de nomes de domínio está ativada e se o cliente DNS pode se comunicar com o servidor DNS.
• Se o nome de domínio especificado estiver no cache, mas o endereço IPv6 estiver incorreto, verifique se o cliente DNS tem o endereço IPv6 correto do servidor DNS.
• Verifique se o mapeamento entre o nome de domínio e o endereço IPv6 está correto no servidor DNS.

Sobre o encaminhamento de transmissões destinadas à rede diretamente conectada

Um pacote de difusão direcionada é destinado a todos os hosts em uma rede específica. No endereço IP de destino do broadcast direcionado, o ID da rede identifica a rede de destino e o ID do host é composto de todos os uns.

Se uma interface tiver permissão para encaminhar transmissões direcionadas destinadas à rede diretamente conectada, os hackers poderão explorar essa vulnerabilidade para atacar a rede de destino. Em alguns cenários, entretanto, uma interface deve enviar esses pacotes de broadcast direcionado para oferecer suporte aos seguintes recursos:

∙ UDP helper - Converte os broadcasts direcionados em unicasts e os encaminha para um servidor específico.

 Wake on LAN - Envia as transmissões direcionadas para despertar os hosts na rede de destino.

Você pode configurar essa função para permitir que a interface encaminhe pacotes de difusão direcionada destinados à rede diretamente conectada.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Habilite a interface para encaminhar broadcasts direcionados para a rede diretamente conectada.

ip forward-broadcast [ acl acl-number ]

Por padrão, uma interface não pode encaminhar transmissões direcionadas destinadas à rede diretamente conectada.

Exemplo: Habilitação de uma interface para encaminhar transmissões direcionadas destinadas à rede diretamente conectada

Configuração de rede

Conforme mostrado na Figura 1, o gateway padrão do host é o endereço IP 1.1.1.2/24 da interface VLAN 3 do Switch A.

O switch B pode receber broadcasts direcionados do host para o endereço IP 2.2.2.255.

Figura 1 Diagrama de rede

Procedimento

• Configure o Switch A:

# Especifique os endereços IP para a interface VLAN 3 e a interface VLAN 2.

<SwitchA> system-view
                        [SwitchA] interface vlan-interface 3
                        [SwitchA-Vlan-interface3] ip address 1.1.1.2 24
                        [SwitchA-Vlan-interface3] quit
                        [SwitchA] interface vlan-interface 2
                        [SwitchA-Vlan-interface2] ip address 2.2.2.2 24
                        

# Habilite a interface VLAN 2 para encaminhar broadcasts direcionados para a rede diretamente conectada.

[SwitchA-Vlan-interface2] ip forward-broadcast

• Configurar o Switch B:

# Configure uma rota estática para o host.

<SwitchB> system-view
                        [SwitchB] ip route-static 1.1.1.1 24 2.2.2.2

Especifique um endereço IP para a interface VLAN 2.

[SwitchB] interface vlan-interface 2
                        [SwitchB-Vlan-interface2] ip address 2.2.2.1 24

Verificação da configuração

Após a conclusão das configurações, se você fizer ping no endereço de broadcast direcionado à sub-rede 2.2.2.255 no host, a interface VLAN 2 do Switch B poderá receber os pacotes de ping. Se você excluir a configuração ip forward-broadcast em qualquer switch, a interface não poderá receber os pacotes de ping.

Sobre o envio de mensagens de erro ICMP

As mensagens ICMP são usadas pelos protocolos da camada de rede e da camada de transporte para comunicar atualizações e erros a outros dispositivos, facilitando o gerenciamento da rede.

O envio excessivo de mensagens ICMP aumenta o tráfego da rede. O desempenho do dispositivo será prejudicado se ele receber muitas mensagens ICMP mal-intencionadas que o levem a responder com mensagens de erro ICMP. Para evitar esses problemas, o envio de mensagens de erro ICMP é desativado por padrão. Você pode ativar o envio de mensagens de erro ICMP de diferentes tipos, conforme necessário.

As mensagens de erro ICMP incluem mensagens de redirecionamento, mensagens de tempo excedido e mensagens de destino inalcançável.

Ativação do envio de mensagens de redirecionamento ICMP

Sobre as mensagens de redirecionamento ICMP

Um host que tenha apenas uma rota padrão envia todos os pacotes para o gateway padrão. O gateway padrão envia uma mensagem de redirecionamento ICMP para informar o host sobre o próximo salto correto, seguindo estas regras:

∙ As interfaces de recebimento e envio são as mesmas.

∙ O endereço IP de origem do pacote e o endereço IP da interface de recebimento do pacote estão no mesmo segmento.

∙ Não há opção de rota de origem no pacote recebido.

As mensagens de redirecionamento ICMP simplificam o gerenciamento do host e permitem que os hosts otimizem gradualmente sua tabela de roteamento.

Procedimento

• Entre na visualização do sistema.

system-view

• Ativar o envio de mensagens de redirecionamento ICMP.

ip redirects enable

Por padrão, o envio de mensagens de redirecionamento ICMP está desativado.

Ativação do envio de mensagens ICMP de tempo excedido

Sobre as mensagens ICMP de tempo excedido

Um dispositivo envia mensagens ICMP de tempo excedido seguindo estas regras:

∙ O dispositivo envia à origem uma mensagem ICMP TTL exceeded in transit quando as seguintes condições são atendidas:

⚪ O pacote recebido não é destinado ao dispositivo.

⚪ O campo TTL do pacote é 1.

∙ Quando o dispositivo recebe o primeiro fragmento de um datagrama IP destinado a ele, inicia um cronômetro. Se o cronômetro expirar antes que todos os fragmentos do datagrama sejam recebidos, o dispositivo enviará uma mensagem ICMP fragment reassembly time exceeded para a origem.

Restrições e diretrizes

Se o envio de mensagens ICMP de tempo excedido estiver desativado, o dispositivo não enviará mensagens ICMP de TTL excedido em trânsito. No entanto, ele ainda pode enviar mensagens ICMP de tempo excedido de remontagem de fragmento.

Procedimento

• Entre na visualização do sistema.

system-view

• Habilita o envio de mensagens ICMP de tempo excedido.

ip ttl-expires enable

Por padrão, o envio de mensagens ICMP de tempo excedido está desativado.

Ativar o envio de mensagens ICMP de destino inalcançável

Sobre as mensagens ICMP de destino inalcançável

Um dispositivo envia mensagens ICMP de destino inalcançável seguindo estas regras:

∙ O dispositivo envia à origem uma mensagem ICMP de rede inacessível quando as seguintes condições são atendidas:

⚪ O pacote não corresponde a nenhuma rota.

⚪ Não existe rota padrão na tabela de roteamento.

∙ O dispositivo envia à origem uma mensagem de protocolo ICMP inacessível quando as seguintes condições são atendidas:

⚪ O pacote é destinado ao dispositivo.

⚪ O protocolo da camada de transporte do pacote não é compatível com o dispositivo.

∙ O dispositivo envia à origem uma mensagem ICMP de porta inalcançável quando as seguintes condições são atendidas:

⚪ O pacote UDP é destinado ao dispositivo.

⚪ O número da porta do pacote não corresponde ao processo correspondente.

∙ O dispositivo envia à origem uma mensagem ICMP source route failed quando as seguintes condições são atendidas:

⚪ A origem usa o Strict Source Routing para enviar pacotes.

⚪ O dispositivo intermediário descobre que o próximo salto especificado pela origem não está diretamente conectado.

∙ O dispositivo envia à origem uma mensagem ICMP fragmentation needed e DF set quando as seguintes condições são atendidas:

⚪ O MTU da interface de envio é menor do que o pacote.

⚪ O pacote tem DF definido.

Restrições e diretrizes

Se um dispositivo habilitado para DHCP receber uma resposta de eco ICMP sem enviar nenhuma solicitação de eco ICMP, o dispositivo não enviará nenhuma mensagem de protocolo ICMP inalcançável para a origem. Para obter mais informações sobre o DHCP no site , consulte o Guia de configuração de serviços de IP de camada 3.

Procedimento

• Entre na visualização do sistema.

system-view

• Ativar o envio de mensagens ICMP de destino inalcançável.

ip unreachables enable

Por padrão, o envio de mensagens ICMP de destino inalcançável está desativado.

Exemplo: Configuração do auxiliar UDP para converter broadcast em unicast

Configuração de rede

Conforme mostrado na Figura 1, configure o UDP helper para converter broadcast em unicast na interface VLAN 1 do Switch A. Esse recurso permite que o Switch A encaminhe pacotes de broadcast com porta de destino UDP número 55 para o servidor de destino 10.2.1.1/16.

Figura 1 Diagrama de rede

Procedimento

Certifique-se de que o Switch A possa acessar a sub-rede 10.2.0.0/16. # Habilite o auxiliar UDP.

[SwitchA] System-view
    [SwitchA] udp-helper enable

# Habilite a porta UDP 55 para o auxiliar UDP.

[SwitchA] udp-helper port 55

# Especifique o servidor de destino 10.2.1.1 para o auxiliar UDP para converter broadcast em unicast na interface VLAN 1.

[SwitchA] interface vlan-interface 1
    [SwitchA-Vlan-interface1] ip address 10.110.1.1 16
    [SwitchA-Vlan-interface1] udp-helper server 10.2.1.1

Verificação da configuração

# Exibir informações sobre a conversão de broadcast em unicast pelo auxiliar UDP na interface VLAN 1.

[SwitchA-Vlan-interface1] display udp-helper interface vlan-interface 1
    Interface Server VPN instance Server address Packets sent
    Vlan-interface1 N/A 10.2.1.1 5

Exemplo: Configuração do auxiliar UDP para converter broadcast em multicast

Configuração de rede

Conforme mostrado na Figura 2, a interface VLAN 1 do Switch B pode receber pacotes multicast destinados a 225.1.1.1.

Configure o UDP helper para converter broadcast em multicast na interface 1 da VLAN do Switch A. Esse recurso permite que o Switch A encaminhe pacotes de broadcast com porta de destino UDP número 55 para o grupo multicast 225.1.1.1 do site .

Figura 2 Diagrama de rede

Procedimento

Certifique-se de que o Switch A possa acessar a sub-rede 10.2. 0.0/16.

• Configure o Switch A:

# Habilite o auxiliar UDP.

<SwitchA> system-view
    [SwitchA] udp-helper enable

# Habilite a porta UDP 55 para o auxiliar UDP.

[SwitchA] udp-helper port 55

# Configure o UDP helper para converter pacotes de broadcast em pacotes multicast destinados a 225.1.1.1.

[SwitchA] interface vlan-interface 1
    [SwitchA-Vlan-interface1] ip address 10.110.1.1 16
    [SwitchA-Vlan-interface1] udp-helper broadcast-map 225.1.1.1
    [SwitchA-Vlan-interface1] quit

# Habilite o roteamento multicast de IP globalmente.

[SwitchA] multicast routing
    [SwitchA-mrib] quit

Habilite o PIM-DM na interface VLAN 1.

[SwitchA] interface vlan-interface 1
    [SwitchA-Vlan-interface1] pim dm
    [SwitchA-Vlan-interface1] quit

# Habilite o PIM-DM e o IGMP na interface VLAN 2.

[SwitchA] interface vlan-interface 2
    [SwitchA-Vlan-interface2] pim dm
    [SwitchA-Vlan-interface2] igmp enable
    

# Configure a interface VLAN 2 como um membro estático do grupo multicast 225.1.1.1.

[SwitchA-Vlan-interface2] igmp static-group 225.1.1.1
    

• Configurar o Switch B:

# Habilite o roteamento multicast de IP globalmente.

<SwitchB> system-view
    [SwitchB] multicast routing
    [SwitchB-mrib] quit

# Habilite o PIM-DM e o IGMP na interface VLAN 1.

[SwitchB] interface vlan-interface 1
    [SwitchB-Vlan-interface1] pim dm
    [SwitchB-Vlan-interface1] igmp enable

# Configure a interface VLAN 1 como um membro estático do grupo multicast 225.1.1.1.

[SwitchB-Vlan-interface1] igmp static-group 225.1.1.1
    

Verificação da configuração

Verifique se você pode capturar pacotes multicast do Switch A no Switch B.

Recursos do IPv6

Formato de cabeçalho simplificado

O IPv6 remove vários campos do cabeçalho IPv4 ou os move para os cabeçalhos de extensão IPv6 para reduzir o comprimento do cabeçalho básico do pacote IPv6. O cabeçalho básico do pacote IPv6 tem um comprimento fixo de 40 bytes para simplificar o manuseio do pacote IPv6 e melhorar a eficiência do encaminhamento. Embora o tamanho do endereço IPv6 seja quatro vezes maior que o tamanho do endereço IPv4, o tamanho do cabeçalho do pacote IPv6 básico é apenas duas vezes maior que o tamanho do cabeçalho do pacote IPv4 sem opções.

Figura 1 Formato do cabeçalho do pacote IPv4 e formato básico do cabeçalho do pacote IPv6

Espaço de endereço maior

O IPv6 pode fornecer 3,4 x 1038 endereços para atender aos requisitos de atribuição hierárquica de endereços para redes públicas e privadas.

Estrutura hierárquica de endereços

O IPv6 usa uma estrutura de endereços hierárquicos para acelerar a pesquisa de rotas e reduzir o tamanho da tabela de roteamento IPv6 por meio da agregação de rotas.

Autoconfiguração de endereços

Para simplificar a configuração do host, o IPv6 oferece suporte à autoconfiguração de endereços com e sem estado.

∙ A autoconfiguração de endereço com estado permite que um host adquira um endereço IPv6 e outras informações de configuração de um servidor (por exemplo, um servidor DHCPv6). Para obter mais informações sobre o servidor DHCPv6, consulte "Configuração do servidor DHCPv6".

∙ A autoconfiguração de endereço sem estado permite que um host gere automaticamente um endereço IPv6 e outras informações de configuração usando seu endereço de camada de link e as informações de prefixo anunciadas por um roteador.

Para se comunicar com outros hosts no mesmo link, um host gera automaticamente um endereço local de link com base em seu endereço de camada de link e no prefixo de endereço local de link (FE80::/10).

Segurança incorporada

O IPv6 define cabeçalhos de extensão para dar suporte ao IPsec. O IPsec oferece segurança de ponta a ponta e aprimora a interoperabilidade entre diferentes aplicativos IPv6.

Suporte a QoS

O campo Flow Label (rótulo de fluxo) no cabeçalho do IPv6 permite que o dispositivo rotule os pacotes de um fluxo específico para tratamento especial.

Mecanismo aprimorado de descoberta de vizinhos

O protocolo de descoberta de vizinhos IPv6 usa um grupo de mensagens ICMPv6 para gerenciar a troca de informações entre nós vizinhos no mesmo link. O grupo de mensagens ICMPv6 substitui as mensagens ARP, as mensagens ICMPv4 de descoberta de roteador e as mensagens ICMPv4 de redirecionamento e oferece uma série de outras funções.

Cabeçalhos de extensão flexíveis

O IPv6 elimina o campo Opções no cabeçalho e introduz cabeçalhos de extensão opcionais para oferecer escalabilidade e aumentar a eficiência. O campo Opções no cabeçalho do pacote IPv4 contém no máximo 40 bytes, enquanto os cabeçalhos de extensão IPv6 estão restritos ao tamanho máximo dos pacotes IPv6.

Endereços IPv6

Formato de endereço IPv6

Um endereço IPv6 é representado como um conjunto de hexadecimais de 16 bits separados por dois pontos (:). Um endereço IPv6 é dividido em oito grupos, e cada grupo de 16 bits é representado por quatro números hexadecimais, por exemplo, 2001:0000:130F:0000:0000:0000:09C0:876A:130B.

Para simplificar a representação de endereços IPv6, você pode lidar com zeros em endereços IPv6 usando os seguintes métodos:

∙ Os zeros à esquerda em cada grupo podem ser removidos. Por exemplo, o endereço acima pode ser representado em um formato mais curto como 2001:0:130F:0:0:0:9C0:876A:130B.

 Se um endereço IPv6 contiver um ou mais grupos consecutivos de zeros, eles poderão ser substituídos por dois pontos (::). Por exemplo, o endereço acima pode ser representado no formato mais curto como 2001:0:130F::9C0:876A:130B.

Os dois pontos duplos podem aparecer uma vez ou não aparecer em um endereço IPv6. Esse limite permite que o dispositivo determine quantos zeros os dois pontos representam e os converta corretamente em zeros para restaurar um endereço IPv6 de 128 bits.

Um endereço IPv6 consiste em um prefixo de endereço e um ID de interface, que são equivalentes ao ID de rede e ao ID de host de um endereço IPv4.

Um prefixo de endereço IPv6 é escrito na notação IPv6-address/prefix-length. O comprimento do prefixo é um número decimal que indica quantos bits mais à esquerda do endereço IPv6 estão no prefixo do endereço.

Tipos de endereços IPv6

Os endereços IPv6 incluem os seguintes tipos:

∙ Endereço unicast - Um identificador para uma única interface, semelhante a um endereço IPv4 unicast. Um pacote enviado para um endereço unicast é entregue à interface identificada por esse endereço.

∙ Endereço multicast - Um identificador para um conjunto de interfaces (normalmente pertencentes a nós diferentes), semelhante a um endereço multicast IPv4. Um pacote enviado para um endereço multicast é entregue a todas as interfaces identificadas por esse endereço.

Os endereços de difusão são substituídos por endereços multicast no IPv6.

∙ Endereço anycast - Um identificador para um conjunto de interfaces (normalmente pertencentes a nós diferentes). Um pacote enviado a um endereço anycast é entregue à interface mais próxima entre as interfaces identificadas por esse endereço. A interface mais próxima é escolhida de acordo com a medida de distância do protocolo de roteamento.

O tipo de um endereço IPv6 é designado pelos primeiros bits, chamados de prefixo de formato.

Tabela 1 Mapeamentos entre tipos de endereço e prefixos de formato

Endereços unicast

Os endereços unicast incluem endereços unicast globais, endereços unicast link-local, o endereço de loopback e o endereço não especificado.

∙ Endereços unicast globais - Equivalentes aos endereços IPv4 públicos, os endereços unicast globais são fornecidos para os provedores de serviços de Internet. Esse tipo de endereço permite a agregação de prefixos para restringir o número de entradas de roteamento global.

∙ Endereços link-local - Usados para comunicação entre nós link-local para descoberta de vizinhos e autoconfiguração sem estado. Os pacotes com endereços de origem ou destino link-local não são encaminhados para outros links.

∙ Um endereço de loopback-0:0:0:0:0:0:0:0:0:1 (ou ::1). Ele tem a mesma função que o endereço de loopback no IPv4. Não pode ser atribuído a nenhuma interface física. Um nó usa esse endereço para enviar um pacote IPv6 para si mesmo.

∙ Um endereço não especificado-0:0:0:0:0:0:0:0:0:0:0 (ou ::). Não pode ser atribuído a nenhum nó. Antes de adquirir um endereço IPv6 válido, um nó preenche esse endereço no campo de endereço de origem dos pacotes IPv6 . O endereço não especificado não pode ser usado como endereço IPv6 de destino.

Endereços multicast

Os endereços multicast IPv6 listados na Tabela 2 são reservados para fins especiais.

Tabela 2 Endereços multicast IPv6 reservados

Os endereços multicast também incluem endereços de nós solicitados. Um nó usa um endereço multicast de nó solicitado para adquirir o endereço da camada de link de um nó vizinho no mesmo link e para detectar

endereços duplicados. Cada endereço IPv6 unicast ou anycast tem um endereço de nó solicitado correspondente. O formato de um endereço multicast de nó solicitado é FF02:0:0:0:0:0:1:FFXX:XXXX. FF02:0:0:0:0:0:1:FF é fixo e consiste em 104 bits, e XX:XXXX são os últimos 24 bits de um endereço IPv6 unicast ou anycast.

Identificadores de interface baseados em endereços EUI-64

Um identificador de interface tem 64 bits de comprimento e identifica exclusivamente uma interface em um link.

Em uma interface IEEE 802 (como uma interface VLAN), o identificador de interface é derivado do endereço da camada de link (normalmente um endereço MAC) da interface. O endereço MAC tem 48 bits de comprimento.

Para obter um identificador de interface baseado em endereço EUI-64, siga estas etapas:

• Insira o número binário de 16 bits 1111111111111110 (valor hexadecimal de FFFE) atrás do 24º bit de ordem alta do endereço MAC.
• Inverter o bit universal/local (U/L) (o sétimo bit de ordem alta). Essa operação faz com que o identificador de interface tenha o mesmo significado local ou global que o endereço MAC.

Figura 2 Conversão de um endereço MAC em um identificador de interface baseado em endereço EUI-64

Descoberta de MTU de caminho IPv6

Os links pelos quais um pacote passa de uma origem para um destino podem ter MTUs diferentes, entre os quais o MTU mínimo é o MTU do caminho. Se um pacote exceder o MTU do caminho, a extremidade da origem fragmenta o pacote para reduzir a pressão de processamento nos dispositivos intermediários e para usar os recursos da rede de forma eficaz.

Uma extremidade de origem usa a descoberta de MTU de caminho para encontrar o MTU de caminho para um destino, conforme mostrado na Figura 3.

• O host de origem envia um pacote não maior que sua MTU para o host de destino.
• Se o MTU da interface de saída de um dispositivo intermediário for menor que o pacote, o dispositivo executará as seguintes operações:

• Descarta o pacote.
• Retorna uma mensagem de erro ICMPv6 contendo o MTU da interface para o host de origem.
• Ao receber a mensagem de erro ICMPv6, o host de origem executa as seguintes operações:

• Usa o MTU retornado para limitar o tamanho do pacote.
• Executa a fragmentação.
• Envia os fragmentos para o host de destino.
• As etapas 2 e 3 são repetidas até que o host de destino receba o pacote. Dessa forma, o host de origem encontra o MTU mínimo de todos os links no caminho para o host de destino.

Figura 3 Processo de descoberta do Path MTU

Tecnologias de transição para o IPv6

As tecnologias de transição do IPv6 permitem a comunicação entre redes IPv4 e IPv6.

Pilha dupla

A pilha dupla é a abordagem de transição mais direta. Um nó de rede compatível com IPv4 e IPv6 é um nó de pilha dupla. Um nó de pilha dupla configurado com um endereço IPv4 e um endereço IPv6 pode encaminhar pacotes IPv4 e IPv6. Um aplicativo compatível com IPv4 e IPv6 prefere o IPv6 na camada de rede.

A pilha dupla é adequada para a comunicação entre nós IPv4 ou entre nós IPv6. Ela é a base de todas as tecnologias de transição. No entanto, ela não resolve o problema de esgotamento de endereços IPv4 porque cada nó de pilha dupla deve ter um endereço IPv4 globalmente exclusivo.

NAT-PT

O NAT-PT (Network Address Translation - Protocol Translation) permite a comunicação entre nós IPv4 e IPv6 por meio da tradução entre pacotes IPv4 e IPv6. Ele realiza a tradução de endereços IP e, de acordo com diferentes protocolos, realiza a tradução semântica dos pacotes. Essa tecnologia é adequada apenas para a comunicação entre um nó IPv4 puro e um nó IPv6 puro.

Protocolos e padrões

∙ RFC 1881, Gerenciamento de alocação de endereços IPv6

∙ RFC 1887, Uma arquitetura para alocação de endereços unicast IPv6

∙ RFC 1981, Path MTU Discovery para IP versão 6

∙ RFC 2375, Atribuições de endereços IPv6 Multicast

∙ RFC 2460, Especificação do Protocolo da Internet, Versão 6 (IPv6)

∙ RFC 2464, Transmissão de pacotes IPv6 em redes Ethernet

∙ RFC 2526, Endereços Anycast de sub-rede IPv6 reservados

∙ RFC 3307, Diretrizes de alocação para endereços IPv6 multicast

∙ RFC 4191, Preferências do roteador padrão e rotas mais específicas

∙ RFC 4291, Arquitetura de endereçamento IP versão 6

∙ RFC 4443, Protocolo de Mensagens de Controle da Internet (ICMPv6) para a Especificação do Protocolo da Internet Versão 6 (IPv6)

Sobre o endereço unicast global do IPv6

Use um dos métodos a seguir para configurar um endereço unicast global IPv6 para uma interface:

∙ Endereço IPv6 EUI-64 - O prefixo do endereço IPv6 da interface é configurado manualmente e o ID da interface é gerado automaticamente pela interface.

∙ Configuração manual - O endereço unicast global IPv6 é configurado manualmente.

∙ Autoconfiguração de endereço sem estado - O endereço unicast global IPv6 é gerado automaticamente com base nas informações de prefixo de endereço contidas na mensagem RA.

∙ Autoconfiguração de endereço específico de prefixo - O endereço unicast global IPv6 é gerado automaticamente com base no prefixo especificado por seu ID. O prefixo pode ser configurado manualmente ou obtido por meio do DHCPv6.

É possível configurar vários endereços unicast globais IPv6 em uma interface.

Os endereços globais unicast configurados manualmente (inclusive os endereços IPv6 EUI-64) têm precedência sobre os gerados automaticamente. Se você configurar manualmente um endereço global unicast com o mesmo prefixo de endereço que um endereço global unicast existente em uma interface, o endereço configurado manualmente entrará em vigor. Entretanto, ele não substitui o endereço gerado automaticamente. Se você excluir o endereço global unicast configurado manualmente , o dispositivo usará o endereço gerado automaticamente.

Geração de um endereço IPv6 EUI-64

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Configure um endereço IPv6 EUI-64 na interface.

ipv6 address { ipv6-address prefix-length |
                        ipv6-address/prefix-length } eui-64

Por padrão, nenhum endereço IPv6 EUI-64 é configurado em uma interface.

Atribuição manual de um endereço IPv6 global unicast

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Atribuir um endereço unicast global IPv6 à interface.

ipv6 address { ipv6-address prefix-length |
                        ipv6-address/prefix-length }
                        

Por padrão, nenhum endereço unicast global IPv6 é configurado em uma interface.

Autoconfiguração de endereço sem estado

Sobre a autoconfiguração de endereço sem estado e o endereço temporário

A autoconfiguração de endereço sem estado permite que uma interface gere automaticamente um endereço unicast global IPv6 usando o prefixo do endereço na mensagem RA recebida e o ID da interface. Em uma interface IEEE 802 (como uma interface Ethernet ou uma interface VLAN), a ID da interface é gerada com base no endereço MAC da interface e é globalmente exclusiva. Um invasor pode explorar essa regra para identificar facilmente o dispositivo de envio.

Para corrigir a vulnerabilidade, você pode configurar o recurso de endereço temporário. Com esse recurso, uma interface IEEE 802 gera os seguintes endereços:

∙ Endereço IPv6 público-Inclui o prefixo do endereço na mensagem RA e uma ID de interface fixa gerada com base no endereço MAC da interface.

∙ Endereço IPv6 temporário - Inclui o prefixo do endereço na mensagem RA e um ID de interface aleatório gerado por MD5.

Você também pode configurar a interface para usar preferencialmente o endereço IPv6 temporário como endereço de origem dos pacotes enviados. Quando o tempo de vida válido do endereço IPv6 temporário expira, a interface exclui o endereço e gera um novo. Esse recurso permite que o sistema envie pacotes com diferentes endereços de origem pela mesma interface. Se o endereço IPv6 temporário não puder ser usado devido a um conflito de DAD, será usado o endereço IPv6 público.

O tempo de vida preferencial e o tempo de vida válido para um endereço IPv6 temporário são determinados da seguinte forma:

∙ O tempo de vida preferencial de um endereço IPv6 temporário assume o menor dos seguintes valores:

⚪ O tempo de vida preferido do prefixo de endereço na mensagem RA.

⚪ O tempo de vida preferencial configurado para endereços IPv6 temporários menos DESYNC_FACTOR (um número aleatório no intervalo de 0 a 600 segundos).

∙ O tempo de vida válido de um endereço IPv6 temporário assume o menor dos seguintes valores:

⚪ O tempo de vida válido do prefixo do endereço.

⚪ O tempo de vida válido configurado para endereços IPv6 temporários.

Restrições e diretrizes

Se o prefixo IPv6 na mensagem RA não tiver 64 bits, a autoconfiguração de endereço stateless não conseguirá gerar um endereço IPv6 global unicast.

Para gerar um endereço temporário, uma interface deve estar ativada com a autoconfiguração de endereço sem estado. Os endereços IPv6 temporários não substituem os endereços IPv6 públicos, portanto, uma interface pode ter vários endereços IPv6 com o mesmo prefixo de endereço, mas com IDs de interface diferentes.

Se uma interface não conseguir gerar um endereço IPv6 público devido a um conflito de prefixo ou a outros motivos, ela não gerará nenhum endereço IPv6 temporário.

A execução do comando undo ipv6 address auto em uma interface exclui todos os endereços IPv6 unicast globais e endereços link-local gerados automaticamente na interface.

Ativação da autoconfiguração de endereços sem estado

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ative a autoconfiguração de endereço sem estado em uma interface, para que ela possa gerar automaticamente um endereço unicast global.

ipv6 address auto

Por padrão, o recurso de autoconfiguração de endereço sem estado está desativado em uma interface.

Configurar o recurso de endereço temporário e usar preferencialmente o endereço IPv6 temporário como o endereço de origem dos pacotes de saída

• Entre na visualização do sistema.

system-view

• Habilite o recurso de endereço IPv6 temporário.

ipv6 temporary-address [ valid-lifetime preferred-lifetime ]
                        

Por padrão, o recurso de endereço IPv6 temporário está desativado.

• Habilite o sistema para usar preferencialmente o endereço IPv6 temporário como o endereço de origem dos pacotes de saída.

ipv6 prefer temporary-address

Por padrão, o sistema não usa preferencialmente o endereço IPv6 temporário como endereço de origem dos pacotes de saída.

Configuração da autoconfiguração de endereços específicos de prefixo

• Entre na visualização do sistema.

system-view

• Configure um prefixo IPv6. Escolha uma opção conforme necessário:
• Configurar um prefixo IPv6 estático.

ipv6 prefix prefix-number ipv6-prefix/prefix-length

Por padrão, não existem prefixos IPv6 estáticos.

• Use o DHCPv6 para obter um prefixo IPv6 dinâmico.

Para obter mais informações sobre a aquisição de prefixos IPv6, consulte "Configuração do cliente DHCPv6".

• Entre na visualização da interface.

interface interface-type interface-number

• Especifique um prefixo IPv6 para que uma interface gere automaticamente um endereço unicast global IPv6 e anuncie o prefixo.

ipv6 address prefix-number sub-prefix/prefix-length

Por padrão, nenhum prefixo IPv6 é especificado para que a interface gere automaticamente um endereço unicast global IPv6.

Sobre o endereço IPv6 link-local

Configure os endereços IPv6 link-local usando um dos métodos a seguir:

∙ Geração automática - O dispositivo gera automaticamente um endereço local de link para uma interface de acordo com o prefixo do endereço local de link (FE80::/10) e o endereço da camada de link da interface.

∙ Atribuição manual - Configure manualmente um endereço IPv6 link-local para uma interface.

Restrições e diretrizes

Depois que você configura um endereço unicast global IPv6 para uma interface, a interface gera automaticamente um endereço local de link. Esse endereço de link-local é o mesmo gerado com o uso do comando ipv6 address auto link-local. Se um endereço link-local for atribuído manualmente a uma interface, esse endereço link-local atribuído manualmente entrará em vigor. Se o endereço link-local atribuído manualmente for excluído, o endereço link-local gerado automaticamente entrará em vigor.

O uso do comando undo ipv6 address auto link-local em uma interface exclui apenas o endereço link-local gerado pelo comando ipv6 address auto link-local. Se a interface tiver um endereço unicast global IPv6, ela ainda terá um endereço link-local. Se a interface não tiver um endereço unicast global IPv6, ela não terá um endereço link-local.

Uma interface pode ter apenas um endereço local de link. Como prática recomendada, use o método de geração automática para evitar conflitos de endereços link-local. Se forem usados os métodos de geração automática e de atribuição manual, a atribuição manual terá precedência.

∙ Se você usar primeiro a geração automática e depois a atribuição manual, o endereço link-local atribuído manualmente substituirá o gerado automaticamente.

∙ Se você usar primeiro a atribuição manual e depois a geração automática, ocorrerão as duas situações a seguir:

⚪ O endereço local do link ainda é o atribuído manualmente.

⚪ O endereço local de link gerado automaticamente não entra em vigor. Se você excluir o endereço atribuído manualmente, o endereço local de link gerado automaticamente entrará em vigor.

Configuração da geração automática de um endereço IPv6 link-local para uma interface

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Configure a interface para gerar automaticamente um endereço IPv6 link-local.

ipv6 address auto link-local

Por padrão, nenhum endereço link-local é configurado em uma interface.

Depois que um endereço unicast global IPv6 é configurado na interface, um endereço local de link é gerado automaticamente.

Atribuição manual de um endereço IPv6 link-local a uma interface

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Atribuir manualmente um endereço IPv6 link-local à interface.

ipv6 address { ipv6-address [ prefix-length ] |
                        ipv6-address/prefix-length } link-local

Por padrão, nenhum endereço link-local é configurado em uma interface.

Configuração do MTU da interface para pacotes IPv6

Sobre o MTU da interface para pacotes IPv6

Se o tamanho de um pacote exceder a MTU da interface de envio, o dispositivo descartará o pacote. Se o dispositivo for um dispositivo intermediário, ele também enviará ao host de origem uma mensagem ICMPv6 Packet Too Big com o MTU da interface de envio. O host de origem fragmenta os pacotes de acordo com o MTU. Para evitar essa situação, defina um MTU de interface adequado.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Defina o MTU da interface para pacotes IPv6.

ipv6 mtu size
                        

Por padrão, nenhum MTU de interface é definido.

Definição de um MTU de caminho estático para um endereço IPv6

Sobre o MTU de caminho estático para um endereço IPv6

Você pode definir uma MTU de caminho estático para um endereço IPv6. Antes de enviar um pacote para o endereço IPv6, o dispositivo compara a MTU da interface de saída com a MTU do caminho estático. Se o tamanho do pacote exceder a

menor um dos dois valores, o dispositivo fragmenta o pacote de acordo com o valor menor. Depois de enviar os pacotes fragmentados, o dispositivo encontra dinamicamente o MTU do caminho para um host de destino (consulte "Descoberta de MTU de caminho IPv6").

Procedimento

• Entre na visualização do sistema.

system-view

• Defina um MTU de caminho estático para um endereço IPv6.

ipv6 pathmtu ipv6-address value

Por padrão, nenhum MTU de caminho é definido para qualquer endereço IPv6.

Configuração do tempo de envelhecimento para MTUs de caminho dinâmico

Sobre o tempo de envelhecimento para MTUs de caminho dinâmico

Depois que o dispositivo descobre dinamicamente o MTU do caminho para um host de destino (consulte "Descoberta de MTU de caminho IPv6"), ele executa as seguintes operações:

∙ Envia pacotes para o host de destino com base nesse MTU de caminho.

∙ Inicia o cronômetro de envelhecimento para esse MTU de caminho.

Quando o cronômetro de envelhecimento expira, o dispositivo remove o MTU de caminho dinâmico e descobre o MTU de caminho novamente.

Restrições e diretrizes

O tempo de envelhecimento é inválido para uma MTU de caminho estático.

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o tempo de envelhecimento para MTUs de caminho dinâmico.

ipv6 pathmtu age age-time

A configuração padrão é 10 minutos.

Configuração do limite de taxa para mensagens de erro ICMPv6

Sobre o limite de taxa para mensagens de erro ICMPv6

Para evitar o envio de mensagens de erro ICMPv6 excessivas em um curto período, o que pode causar congestionamento na rede, é possível limitar a taxa de envio de mensagens de erro ICMPv6. Um algoritmo de token bucket é usado com um token representando uma mensagem de erro ICMPv6.

Um token é colocado no balde em intervalos até que o número máximo de tokens que o balde pode conter seja atingido.

Um token é removido do compartimento quando uma mensagem de erro ICMPv6 é enviada. Quando o compartimento está vazio, as mensagens de erro ICMPv6 não são enviadas até que um novo token seja colocado no compartimento.

Procedimento

• Entre na visualização do sistema.

system-view

• Defina o tamanho do compartimento e o intervalo para que os tokens cheguem ao compartimento para mensagens de erro ICMPv6.

ipv6 icmpv6 error-interval interval [ bucketsize ]

Por padrão, o compartimento permite um máximo de 10 tokens. Um token é colocado no compartimento em um intervalo de 100 milissegundos.

Para desativar o limite de taxa de ICMPv6, defina o intervalo como 0 milissegundos.

Ativação da resposta a solicitações de eco multicast

• Entre na visualização do sistema.

system-view

• Habilitar a resposta a solicitações de eco multicast.

ipv6 icmpv6 multicast-echo-reply enable

Por padrão, esse recurso está desativado.

Ativação do envio de mensagens ICMPv6 de destino inalcançável

Sobre o envio de mensagens ICMPv6 de destino inalcançável

O dispositivo envia à origem as seguintes mensagens ICMPv6 de destino inalcançável:

∙ Mensagem ICMPv6 No Route to Destination - Um pacote a ser encaminhado não corresponde a nenhuma rota.

∙ Mensagem ICMPv6 Communication with Destination Administratively Prohibited - Uma proibição administrativa está impedindo a comunicação bem-sucedida com o destino. Normalmente, isso é causado por um firewall ou uma ACL no dispositivo.

∙ Mensagem ICMPv6 Beyond Scope of Source Address (Além do escopo do endereço de origem) - O destino está além do escopo do endereço IPv6 de origem. Por exemplo, o endereço IPv6 de origem de um pacote é um endereço local de link e o endereço IPv6 de destino é um endereço unicast global.

∙ Mensagem ICMPv6 Address Unreachable - O dispositivo não consegue resolver o endereço da camada de link para o endereço IPv6 de destino de um pacote.

∙ Mensagem ICMPv6 Port Unreachable - Não existe nenhum processo de porta no dispositivo de destino para um pacote UDP recebido.

Restrições e diretrizes

Uma mensagem ICMPv6 destination unreachable indica que o destino não pode ser acessado pelo dispositivo de origem. Os invasores podem lançar ataques maliciosos para fazer com que o dispositivo gere mensagens ICMPv6 de destino inalcançável incorretas, o que afetará a função da rede. Para proteger a rede contra ataques mal-intencionados e reduzir o tráfego de rede desnecessário, você pode desativar o envio de mensagens ICMPv6 de destino inalcançável.

Procedimento

• Entre na visualização do sistema.

system-view

• Habilite o envio de mensagens ICMPv6 de destino inalcançável.

ipv6 unreachables enable

Por padrão, esse recurso está desativado.

Ativação do envio de mensagens ICMPv6 de tempo excedido

Sobre o envio de mensagens ICMPv6 de tempo excedido

O dispositivo envia as mensagens ICMPv6 de origem com tempo excedido da seguinte forma:

∙ Se um pacote recebido não for destinado ao dispositivo e seu limite de salto for 1, o dispositivo enviará uma mensagem ICMPv6 hop limit exceeded in transit (limite de salto excedido em trânsito) para a origem.

∙ Ao receber o primeiro fragmento de um datagrama IPv6 destinado ao dispositivo, o dispositivo inicia um cronômetro. Se o cronômetro expirar antes que todos os fragmentos cheguem, o dispositivo enviará uma mensagem ICMPv6 fragment reassembly time exceeded para a origem.

Restrições e diretrizes

Se o dispositivo receber um grande número de pacotes maliciosos, seu desempenho será bastante prejudicado porque ele precisará enviar de volta mensagens ICMP de tempo excedido. Para evitar esses ataques, desative o para enviar mensagens ICMPv6 de tempo excedido.

Procedimento

• Entre na visualização do sistema.

system-view

• Ativar o envio de mensagens ICMPv6 de tempo excedido.

ipv6 hoplimit-expires enable

Por padrão, o envio de mensagens ICMPv6 de tempo excedido está ativado.

Ativação do envio de mensagens de redirecionamento ICMPv6

Sobre o envio de mensagens de redirecionamento ICMPv6

Ao receber um pacote de um host, o dispositivo envia uma mensagem de redirecionamento ICMPv6 para informar ao host sobre um próximo salto melhor quando as seguintes condições forem atendidas:

∙ A interface que recebe o pacote é a interface que encaminha o pacote.

∙ A rota selecionada não é criada ou modificada por nenhuma mensagem de redirecionamento ICMPv6.

∙ A rota selecionada não é uma rota padrão.

∙ O pacote encaminhado não contém o cabeçalho de extensão de roteamento.

O recurso de redirecionamento ICMPv6 simplifica o gerenciamento de hosts, permitindo que os hosts com poucas rotas otimizem sua tabela de roteamento gradualmente. No entanto, para evitar a adição de muitas rotas nos hosts, esse recurso é desativado por padrão.

Procedimento

• Entre na visualização do sistema.

system-view

• Ativar o envio de mensagens de redirecionamento ICMPv6.

ipv6 redirects enable

Por padrão, o envio de mensagens de redirecionamento ICMPv6 está desativado.

Especificação do endereço IPv6 de origem para pacotes ICMPv6 não solicitados

Sobre a especificação do endereço IPv6 de origem para pacotes ICMPv6 não solicitados

Execute esta tarefa para especificar o endereço IPv6 de origem para solicitações de eco de ping de saída e mensagens de erro ICMPv6. É uma boa prática especificar o endereço IPv6 de uma interface de loopback como o endereço IPv6 de origem. Esse recurso ajuda os usuários a localizar facilmente o dispositivo de envio.

Restrições e diretrizes

Para solicitações de eco ICMPv6, o endereço IPv6 de origem especificado no comando ping ipv6 tem prioridade mais alta do que o endereço IPv6 de origem especificado no comando ipv6 icmpv6 source.

Procedimento

• Entre na visualização do sistema.

system-view

• Especifique um endereço IPv6 de origem para pacotes ICMPv6 não solicitados.

ipv6 icmpv6 source ipv6-address

Por padrão, nenhum endereço de origem é especificado para pacotes ICMPv6 não solicitados.

Exemplo: Configuração de definições básicas de IPv6

Configuração de rede

Conforme mostrado na Figura 4, um host, o Switch A e o Switch B estão conectados por meio de portas Ethernet. Adicione as portas Ethernet às VLANs correspondentes. Configure endereços IPv6 para as interfaces de VLAN e verifique se elas estão conectadas. O Switch B pode acessar o host.

Habilite o IPv6 no host para obter automaticamente um endereço IPv6 por meio do IPv6 ND.

Figura 4 Diagrama de rede

Procedimento

Este exemplo pressupõe que as interfaces de VLAN tenham sido criadas nos switches.

• Configure o Switch A:

# Especifique um endereço unicast global para a interface VLAN 2.

<SwitchA> system-view
    [SwitchA] interface vlan-interface 2
    [SwitchA-Vlan-interface2] ipv6 address 3001::1/64
    [SwitchA-Vlan-interface2] quit

# Especifique um endereço unicast global para a interface VLAN 1 e permita que ela anuncie mensagens RA (nenhuma interface anuncia mensagens RA por padrão).

[SwitchA] interface vlan-interface 1
    [SwitchA-Vlan-interface1] ipv6 address 2001::1/64
    [SwitchA-Vlan-interface1] undo ipv6 nd ra halt
    [SwitchA-Vlan-interface1] quit

• Configurar o Switch B:

# Configure um endereço unicast global para a interface VLAN 2.

<SwitchB>  system-view
    [SwitchB] interface vlan-interface 2
    [SwitchB-Vlan-interface2] ipv6 address 3001::2/64
    [SwitchB-Vlan-interface2] quit

# Configure uma rota estática IPv6 com o endereço IPv6 de destino 2001::/64 e o endereço do próximo salto 3001::1.

[SwitchB] ipv6 route-static 2001:: 64 3001::1

• Configure o host:

Habilite o IPv6 para que o host obtenha automaticamente um endereço IPv6 por meio do IPv6 ND.

# Exibir informações de vizinhança para GigabitEthernet 1/0/2 no Switch A.

[SwitchA] display ipv6 neighbors interface gigabitethernet 1/0/2
    Type: S-Static D-Dynamic O-Openflow R-Rule IS-Invalid static
    IPv6 address MAC address VID Interface State T Aging
    FE80::215:E9FF:FEA6:7D14 0015-e9a6-7d14 1 GE1/0/2 STALE D 1238
    2001::15B:E0EA:3524:E791 0015-e9a6-7d14 1 GE1/0/2 STALE D 1248

Verificação da configuração

# Exibir as configurações da interface IPv6 no Switch A. São exibidos todos os endereços unicast globais IPv6 configurados na interface.

[SwitchA] display ipv6 interface vlan-interface 2
    Vlan-interface2 current state: UP
    Line protocol current state: UP
    IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:2
    Global unicast address(es):
    3001::1, subnet is 3001::/64
    Switch A Switch B
    Vlan-int2
    3001::1/64
    Vlan-int2
    3001::2/64
    Vlan-int1
    2001::1/64
    GE1/0/2 GE1/0/1 GE1/0/1
    17
    Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:1
    FF02::1:FF00:2
    MTU is 1500 bytes
    ND DAD is enabled, number of DAD attempts: 1
    ND reachable time is 30000 milliseconds
    ND retransmit interval is 1000 milliseconds
    Hosts use stateless autoconfig for addresses
    IPv6 Packet statistics:
    InReceives: 25829
    InTooShorts: 0
    InTruncatedPkts: 0
    InHopLimitExceeds: 0
    InBadHeaders: 0
    InBadOptions: 0
    ReasmReqds: 0
    ReasmOKs: 0
    InFragDrops: 0
    InFragTimeouts: 0
    OutFragFails: 0
    InUnknownProtos: 0
    InDelivers: 47
    OutRequests: 89
    OutForwDatagrams: 48
    InNoRoutes: 0
    InTooBigErrors: 0
    OutFragOKs: 0
    OutFragCreates: 0
    InMcastPkts: 6
    InMcastNotMembers: 25747
    OutMcastPkts: 48
    InAddrErrors: 0
    InDiscards: 0
    OutDiscards: 0
    [SwitchA] display ipv6 interface vlan-interface 1
    Vlan-interface1 current state: UP
    Line protocol current state: UP
    IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:1C0
    Global unicast address(es):
    2001::1, subnet is 2001::/64
    Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:1
    FF02::1:FF00:1C0
    MTU is 1500 bytes
    ND DAD is enabled, number of DAD attempts: 1
    ND reachable time is 30000 milliseconds
    ND retransmit interval is 1000 milliseconds
    ND advertised reachable time is 0 milliseconds
    ND advertised retransmit interval is 0 milliseconds
    ND router advertisements are sent every 600 seconds
    ND router advertisements live for 1800 seconds
    Hosts use stateless autoconfig for addresses
    IPv6 Packet statistics:
    InReceives: 272
    InTooShorts: 0
    InTruncatedPkts: 0
    InHopLimitExceeds: 0
    InBadHeaders: 0
    InBadOptions: 0
    ReasmReqds: 0
    ReasmOKs: 0
    InFragDrops: 0
    InFragTimeouts: 0
    OutFragFails: 0
    InUnknownProtos: 0
    InDelivers: 159
    OutRequests: 1012
    OutForwDatagrams: 35
    InNoRoutes: 0
    InTooBigErrors: 0
    OutFragOKs: 0
    OutFragCreates: 0
    InMcastPkts: 79
    InMcastNotMembers: 65
    OutMcastPkts: 938
    InAddrErrors: 0
    InDiscards: 0
    OutDiscards: 0

# Exibir as configurações da interface IPv6 no Switch B. São exibidos todos os endereços unicast globais IPv6 configurados na interface.

[SwitchB] display ipv6 interface vlan-interface 2
    Vlan-interface2 current state :UP
    Line protocol current state :UP
    IPv6 is enabled, link-local address is FE80::20F:E2FF:FE00:1234
    Global unicast address(es):
    3001::2, subnet is 3001::/64
    Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:2
    FF02::1:FF00:1234
    MTU is 1500 bytes
    19
    ND DAD is enabled, number of DAD attempts: 1
    ND reachable time is 30000 milliseconds
    ND retransmit interval is 1000 milliseconds
    Hosts use stateless autoconfig for addresses
    IPv6 Packet statistics:
    InReceives: 117
    InTooShorts: 0
    InTruncatedPkts: 0
    InHopLimitExceeds: 0
    InBadHeaders: 0
    InBadOptions: 0
    ReasmReqds: 0
    ReasmOKs: 0
    InFragDrops: 0
    InFragTimeouts: 0
    OutFragFails: 0
    InUnknownProtos: 0
    InDelivers: 117
    OutRequests: 83
    OutForwDatagrams: 0
    InNoRoutes: 0
    InTooBigErrors: 0
    OutFragOKs: 0
    OutFragCreates: 0
    InMcastPkts: 28
    InMcastNotMembers: 0
    OutMcastPkts: 7
    InAddrErrors: 0
    InDiscards: 0
    OutDiscards: 0
    

# Pingue o Switch A e o Switch B no host e pingue o Switch A e o host no Switch B para verificar se estão conectados.

OBSERVAÇÃO:

Quando você fizer ping em um endereço local de link, use o parâmetro -i para especificar uma interface para o endereço local de link.

[SwitchB] ping ipv6 -c 1 3001::1
    Ping6(56 data bytes) 3001::2 --> 3001::1, press CTRL_C to break
    56 bytes from 3001::1, icmp_seq=0 hlim=64 time=4.404 ms
    --- Ping6 statistics for 3001::1 ---
    1 packet(s) transmitted, 1 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 4.404/4.404/4.404/0.000 ms
    [SwitchB] ping ipv6 -c 1 2001::15B:E0EA:3524:E791
    Ping6(56 data bytes) 3001::2 --> 2001::15B:E0EA:3524:E791, press CTRL_C to break
    56 bytes from 2001::15B:E0EA:3524:E791, icmp_seq=0 hlim=64 time=5.404 ms
    --- Ping6 statistics for 2001::15B:E0EA:3524:E791 ---
    1 packet(s) transmitted, 1 packet(s) received, 0.0% packet loss
    round-trip min/avg/max/std-dev = 5.404/5.404/5.404/0.000 ms

Mensagens ICMPv6 usadas pela descoberta de vizinhos IPv6

O processo de descoberta de vizinhos (ND) do IPv6 usa mensagens ICMP para resolução de endereços, verificação de acessibilidade de vizinhos e rastreamento de dispositivos vizinhos.

A Tabela 3 descreve as mensagens ICMPv6 usadas pelo protocolo IPv6 ND.

Tabela 3 Mensagens ICMPv6 usadas pelo ND

Resolução de endereços

Essa função é semelhante ao ARP no IPv4. Um nó IPv6 adquire os endereços da camada de link dos nós vizinhos no mesmo link por meio de mensagens NS e NA.

A Figura 5 mostra como o host A adquire o endereço da camada de link do host B no mesmo link. O procedimento de resolução do endereço é o seguinte:

• O host A envia uma mensagem NS por multicasts. O endereço de origem da mensagem NS é o endereço IPv6 da interface de envio do Host A. O endereço de destino é o endereço multicast do nó solicitado do Host B. O corpo da mensagem NS contém o endereço da camada de link do Host A e o endereço IPv6 de destino .
• Após receber a mensagem NS, o host B determina se o endereço de destino do pacote é seu endereço IPv6. Se for, o host B descobre o endereço da camada de link do host A e, em seguida, unicausa uma mensagem NA contendo seu endereço da camada de link.
• O host A adquire o endereço da camada de link do host B a partir da mensagem NA.

Figura 5 Resolução de endereços

Detecção de acessibilidade do vizinho

Depois que o host A adquire o endereço da camada de link do host B vizinho, o host A pode usar as mensagens NS e NA para testar a acessibilidade do host B da seguinte forma:

• O host A envia uma mensagem NS cujo endereço de destino é o endereço IPv6 do host B.
• Se o host A receber uma mensagem NA do host B, o host A decide que o host B está acessível. Caso contrário, o host B não pode ser acessado.

Detecção de endereços duplicados

Depois que o host A adquire um endereço IPv6, ele executa a detecção de endereços duplicados (DAD) para verificar se o endereço está sendo usado por outro nó. Isso é semelhante ao ARP gratuito no IPv4. A DAD é realizada por meio de mensagens NS e NA.

O procedimento do DAD é o seguinte:

• O host A envia uma mensagem NS. O endereço de origem é o endereço não especificado e o endereço de destino é o endereço multicast de nó solicitado correspondente do endereço IPv6 a ser detectado. O corpo da mensagem NS contém o endereço IPv6 detectado.
• Se o host B usar esse endereço IPv6, o host B retornará uma mensagem NA que contém seu endereço IPv6.
• O host A sabe que o endereço IPv6 está sendo usado pelo host B depois de receber a mensagem NA do host B. Se não receber nenhuma mensagem NA, o host A decide que o endereço IPv6 não está em uso e usa esse endereço.

Figura 6 Detecção de endereços duplicados

Descoberta de roteador/prefixo e autoconfiguração de endereço sem estado

A descoberta de roteador/prefixo permite que um nó IPv6 encontre os roteadores vizinhos e aprenda o prefixo e os parâmetros de configuração da rede a partir do recebimento de mensagens RA.

A autoconfiguração de endereço sem estado permite que um nó IPv6 gere automaticamente um endereço IPv6 com base nas informações obtidas por meio da descoberta de roteador/prefixo.

Um nó executa a descoberta de roteador/prefixo e a autoconfiguração de endereço sem estado da seguinte forma:

• Na inicialização, um nó envia uma mensagem RS para solicitar informações de configuração de um roteador.
• O roteador retorna uma mensagem RA contendo a opção Prefix Information e outras informações de configuração. (O roteador também envia periodicamente uma mensagem RA).
• O nó gera automaticamente um endereço IPv6 e outros parâmetros de configuração de acordo com as informações de configuração na mensagem RA.

A opção Informações de prefixo contém um prefixo de endereço e o tempo de vida preferido e válido do prefixo de endereço. Um nó atualiza o tempo de vida preferido e o tempo de vida válido ao receber uma mensagem RA periódica.

O endereço IPv6 gerado é válido dentro do tempo de vida válido e se torna inválido quando o tempo de vida válido expira.

Após a expiração do tempo de vida preferencial, o nó não poderá usar o endereço IPv6 gerado para estabelecer novas conexões, mas poderá receber pacotes destinados ao endereço IPv6. O tempo de vida preferencial não pode ser maior que o tempo de vida válido.

Redirecionamento

Ao receber um pacote de um host, o gateway envia uma mensagem de redirecionamento ICMPv6 para informar ao host sobre um próximo salto melhor quando as seguintes condições forem atendidas:

∙ A interface que recebe o pacote é a mesma que encaminha o pacote.

∙ A rota selecionada não é criada ou modificada por uma mensagem de redirecionamento ICMPv6.

∙ A rota selecionada não é uma rota padrão no dispositivo.

∙ O pacote IPv6 encaminhado não contém o cabeçalho de extensão de roteamento.

Protocolos e padrões

∙ RFC 4861, Descoberta de vizinho para IP versão 6 (IPv6)

∙ RFC 4862, Autoconfiguração de endereços sem estado do IPv6

∙ RFC 8106, Opções de anúncio de roteador IPv6 para configuração de DNS

Sobre os parâmetros da mensagem RA

Você pode habilitar uma interface para enviar mensagens RA e configurar o intervalo para o envio de mensagens RA e os parâmetros nas mensagens RA. Após receber uma mensagem RA, um host pode usar esses parâmetros para executar as operações correspondentes. A Tabela 4 descreve os parâmetros configuráveis em uma mensagem RA.

Tabela 4 Parâmetros em uma mensagem RA e suas descrições

Restrições e diretrizes

O intervalo máximo para o envio de mensagens RA deve ser menor (ou igual) ao tempo de vida do roteador nas mensagens RA. Dessa forma, o roteador pode ser atualizado por uma mensagem RA antes da expiração.

Os valores do timer de retransmissão NS e o tempo alcançável configurado para uma interface são enviados em mensagens RA para hosts. Essa interface envia mensagens NS no intervalo do timer de retransmissão NS e considera um vizinho alcançável dentro do tempo alcançável.

Ativação do envio de mensagens RA

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar o envio de mensagens RA.

undo ipv6 nd ra halt
                        

A configuração padrão é desativada.

• Defina os intervalos máximo e mínimo para o envio de mensagens RA.

ipv6 nd ra interval max-interval min-interval

Por padrão, o intervalo máximo para o envio de mensagens RA é de 600 segundos, e o intervalo mínimo é de 200 segundos.

O dispositivo envia mensagens RA em intervalos aleatórios entre o intervalo máximo e o intervalo mínimo.

O intervalo mínimo deve ser menor ou igual a 0,75 vezes o intervalo máximo.

Configuração de parâmetros para mensagens RA

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Configurar as informações de prefixo nas mensagens RA.

ipv6 nd ra prefix { ipv6-prefix prefix-length |
                        ipv6-prefix/prefix-length } [ valid-lifetime preferred-lifetime
                        [ no-autoconfig | off-link | prefix-preference level ] * |
                        no-advertise ]

Por padrão, nenhuma informação de prefixo é configurada para mensagens RA, e o endereço IPv6 da interface que envia mensagens RA é usado como informação de prefixo. Se o endereço IPv6 for configurado manualmente, o prefixo usará um tempo de vida válido fixo de 2592000 segundos (30 dias) e um tempo de vida preferencial de 604800 segundos (7 dias). Se o endereço IPv6 for obtido automaticamente, o prefixo usará o tempo de vida válido e o tempo de vida preferencial configurados para o endereço IPv6.

• Configurar as definições padrão para prefixos anunciados em mensagens RA.

ipv6 nd ra prefix default [ valid-lifetime preferred-lifetime
                        [ no-autoconfig | off-link ] * | no-advertise ]
                        

Por padrão, nenhuma configuração padrão é definida para os prefixos anunciados nas mensagens RA.

• Desative a opção MTU nas mensagens RA.

ipv6 nd ra no-advlinkmtu
                        

Por padrão, as mensagens RA contêm a opção MTU.

• Especificar hops ilimitados nas mensagens RA.

ipv6 nd ra hop-limit unspecified

Por padrão, o número máximo de saltos nas mensagens RA é 64.

• Especifique o URL do arquivo de inicialização nas mensagens RA.

ipv6 nd ra boot-file-url url-string

Por padrão, as mensagens RA não contêm o URL do arquivo de inicialização.

• Defina o bit do sinalizador M como 1.

ipv6 nd autoconfig managed-address-flag

Por padrão, o bit do sinalizador M é definido como 0 nos anúncios RA. Os hosts que receberem os anúncios obterão endereços IPv6 por meio de autoconfiguração sem estado.

• Defina o bit do sinalizador O como 1.

ipv6 nd autoconfig other-flag

Por padrão, o bit do sinalizador O é definido como 0 nos anúncios RA. Os hosts que receberem os anúncios adquirirão outras informações de configuração por meio da autoconfiguração sem estado.

• Definir o tempo de vida do roteador em mensagens RA.

ipv6 nd ra router-lifetime time

Por padrão, o tempo de vida do roteador é três vezes maior que o intervalo máximo para anunciar mensagens RA.

• Defina o cronômetro de retransmissão NS.

ipv6 nd ns retrans-timer value

Por padrão, uma interface envia mensagens NS a cada 1.000 milissegundos, e o valor do campo Retrans Timer nas mensagens RA é 0.

• Definir a preferência do roteador nas mensagens RA.

ipv6 nd router-preference { high | low | medium }

Por padrão, a preferência do roteador é média.

• Defina o tempo de alcance.

ipv6 nd nud reachable-time time

Por padrão, o tempo de alcance do vizinho é de 1.200.000 milissegundos, e o valor do campo Reachable Time nas mensagens RA enviadas é 0.

Especificação de informações do servidor DNS em mensagens RA

Sobre a especificação de informações do servidor DNS em mensagens RA

As opções do servidor DNS nas mensagens RA fornecem informações do servidor DNS para hosts IPv6. As mensagens RA permitem que os hosts obtenham seus endereços IPv6 e o servidor DNS por meio de autoconfiguração sem estado. Esse método é útil em uma rede em que a infraestrutura DHCPv6 não é fornecida.

Uma opção de servidor DNS contém um servidor DNS. Todas as opções de servidor DNS são classificadas em ordem crescente do número de sequência do servidor DNS.

Depois que você executa o comando ipv6 nd ra dns server, o dispositivo envia imediatamente uma mensagem RA com as informações do servidor DNS existente e recém-especificado.

Depois que você executa o comando undo ipv6 nd ra dns server, o dispositivo envia imediatamente duas mensagens RA.

∙ A primeira mensagem RA contém informações sobre todos os servidores DNS, inclusive os servidores DNS especificados no comando undo com o tempo de vida definido como 0 segundos.

∙ A segunda mensagem RA contém informações sobre os servidores DNS restantes.

Sempre que o dispositivo envia uma mensagem RA de uma interface, ele atualiza imediatamente o intervalo de anúncio da mensagem RA para essa interface.

Restrições e diretrizes

É possível configurar um máximo de oito servidores DNS em uma interface.

O tempo de vida padrão de um servidor DNS é três vezes o intervalo máximo para anunciar mensagens RA. Para definir o intervalo máximo, use o comando ipv6 nd ra interval.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Especifique as informações do servidor DNS a serem anunciadas nas mensagens RA.

ipv6 nd ra dns server ipv6-address [ seconds | infinite ] sequence
                        seqno

Por padrão, nenhuma informação de servidor DNS é especificada e as mensagens RA não contêm opções de servidor DNS.

Especificação de informações de sufixo DNS em mensagens RA

Sobre a especificação de informações de sufixo DNS em mensagens RA

A opção DNSSL nas mensagens RA fornece informações de sufixo para hosts IPv6. As mensagens RA permitem que os hosts obtenham seus endereços IPv6 e o sufixo DNS por meio de autoconfiguração sem estado. Esse método é útil em uma rede em que a infraestrutura DHCPv6 não é fornecida.

Uma opção DNSSL contém um sufixo DNS. Todas as opções DNSSL são classificadas em ordem crescente do número de sequência do sufixo DNS.

Depois que você executa o comando ipv6 nd ra dns search-list, o dispositivo envia imediatamente uma mensagem RA com as informações de sufixo DNS existentes e recém-especificadas.

Depois que você executa o comando undo ipv6 nd ra dns search-list, o dispositivo envia imediatamente duas mensagens RA.

∙ A primeira mensagem RA contém informações sobre todos os sufixos DNS, inclusive os sufixos DNS especificados no comando undo com o tempo de vida definido como 0 segundos.

∙ A segunda mensagem RA contém informações sobre os sufixos DNS restantes.

Sempre que o dispositivo envia uma mensagem RA de uma interface, ele atualiza imediatamente o intervalo de anúncio da mensagem RA para essa interface.

Restrições e diretrizes

É possível configurar um máximo de oito sufixos DNS em uma interface.

O tempo de vida padrão de um sufixo de DNS é três vezes o intervalo máximo para anunciar mensagens RA. Para definir o intervalo máximo, use o comando ipv6 nd ra interval.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Especifique as informações de sufixo DNS a serem anunciadas nas mensagens RA.

ipv6 nd ra dns server ipv6-address [ seconds | infinite ] sequence
                        seqno

Por padrão, nenhuma informação de sufixo DNS é especificada e as mensagens RA não contêm sufixo DNS opções.

Supressão da publicidade de informações de DNS em mensagens RA

Sobre a supressão da publicidade de informações de DNS em mensagens RA

Execute esta tarefa para impedir que o dispositivo anuncie informações sobre endereços de servidores DNS e sufixos DNS em mensagens RA.

O fato de a ativação desse recurso em uma interface acionar o envio imediato de mensagens RA para atualização do servidor DNS depende da configuração da interface:

∙ Se a interface tiver sido configurada com informações do servidor DNS ou tiver obtido um

Se o endereço do servidor DNS autorizado por AAA, o dispositivo envia imediatamente duas mensagens RA. Na primeira mensagem, o tempo de vida dos endereços de servidor DNS é de 0 segundos. A segunda mensagem RA não contém nenhuma opção de servidor DNS.

∙ Se a interface não tiver nenhuma informação de servidor DNS especificada ou nenhum endereço de servidor DNS autorizado pelo AAA atribuído, nenhuma mensagem RA será acionada.

∙ você especificar um novo servidor DNS ou remover um servidor DNS, o dispositivo enviará imediatamente uma mensagem RA sem nenhuma opção de endereço de servidor DNS.

O fato de a desativação desse recurso em uma interface acionar o envio imediato de mensagens RA para atualização do servidor DNS depende da configuração da interface:

∙ Se a interface tiver sido configurada com as informações do servidor DNS ou tiver obtido um

endereço de servidor DNS autorizado pelo AAA, o dispositivo envia imediatamente uma mensagem RA com as informações do servidor DNS.

∙ Se a interface não tiver nenhuma informação de servidor DNS especificada ou nenhum endereço de servidor DNS autorizado pelo AAA atribuído, nenhuma mensagem RA será acionada.

Sempre que o dispositivo envia uma mensagem RA de uma interface, ele atualiza imediatamente o intervalo de anúncio da mensagem RA para essa interface.

O mesmo mecanismo de supressão se aplica quando você ativa ou desativa a supressão de sufixo DNS em mensagens RA.

Procedimento

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar a supressão do servidor DNS nas mensagens RA.

ipv6 nd ra dns server suppress
                        

Por padrão, a supressão do servidor DNS nas mensagens RA está desativada.

• Ativar a supressão do sufixo DNS nas mensagens RA.

ipv6 nd ra dns search-list suppress

Por padrão, a supressão do sufixo DNS nas mensagens RA está desativada.

Sobre o ND snooping em uma VLAN

O recurso de snooping ND é usado em redes de comutação da Camada 2. Ele aprende os endereços MAC de origem, os endereços IPv6 de origem, as interfaces de entrada e as VLANs das mensagens ND e dos pacotes de dados que chegam para criar a tabela de snooping ND.

As entradas de snooping de ND podem ser usadas pela detecção de ND para evitar ataques de spoofing.

A detecção de ND processa as mensagens ND recebidas em interfaces ND confiáveis e não confiáveis da seguinte forma:

 A detecção de ND encaminha todas as mensagens ND recebidas em uma interface ND confiável.

∙ A detecção de ND compara todas as mensagens ND recebidas em uma interface ND não confiável com as entradas do ND snooping, exceto as mensagens RA e de redirecionamento.

Você pode usar o comando ipv6 nd detection trust para especificar uma porta agregada ou Ethernet de camada 2 como uma interface confiável de ND. Para obter mais informações sobre o comando ipv6 nd detection trust, consulte Referência de comandos de segurança.

As entradas do ND snooping podem ser usadas pelo IPv6 source guard para evitar ataques de spoofing. Para obter mais informações sobre o IPv6 source guard, consulte o Security Configuration Guide.

O snooping ND fornece rastreamento da atividade do dispositivo para que a tabela de snooping ND possa ser atualizada em tempo hábil. Depois que o snooping ND é ativado para uma VLAN, o dispositivo usa os seguintes mecanismos para criar, atualizar e excluir entradas de snooping ND. O exemplo a seguir usa mensagens ND para fins ilustrativos.

Criação de entradas de ND snooping

Ao receber uma mensagem ND ou um pacote de dados de uma fonte desconhecida, o dispositivo cria uma entrada de snooping ND no status INVALID e executa o DAD para o endereço IPv6 de origem. O dispositivo envia mensagens NS das interfaces confiáveis ND na VLAN receptora duas vezes. O intervalo de envio é definido pelo comando ipv6 nd snooping dad retrans-timer.

∙ Se o dispositivo não receber uma mensagem NA dentro do tempo de vida da entrada inválida (definido pelo comando ipv6 nd snooping lifetime invalid), a entrada se tornará válida.

 Se o dispositivo receber uma mensagem NA dentro do tempo de vida da entrada inválida, ele excluirá essa entrada.

Atualização de entradas do ND snooping

Quando a interface não confiável ND que recebe uma mensagem ND é diferente da que está na entrada de um endereço IPv6, o dispositivo executa o DAD para a entrada. Ele envia mensagens NS duas vezes. O intervalo de envio é definido pelo comando ipv6 nd snooping dad retrans-timer.

 Se o dispositivo não receber uma mensagem NA dentro do tempo de vida da entrada inválida, ele atualizará a entrada com a nova interface de recebimento.

∙ Se o dispositivo receber uma mensagem NA dentro do tempo de vida da entrada inválida, a entrada do ND snooping permanecerá inalterada.

Exclusão de entradas do ND snooping

∙ Quando uma interface ND confiável na VLAN recebe uma mensagem ND do endereço IPv6 em uma entrada ND snooping aprendida, ela executa o DAD para a entrada. O dispositivo envia mensagens NS duas vezes. O intervalo de envio é definido pelo comando ipv6 nd snooping dad retrans-timer.

⚪ Se o dispositivo não receber uma mensagem NA dentro do tempo de vida da entrada inválida, ele excluirá a entrada.

⚪ Se o dispositivo receber uma mensagem NA dentro do tempo de vida da entrada inválida, a entrada do ND snooping permanecerá inalterada.

∙ Se uma entrada do ND snooping não tiver mensagens ND correspondentes dentro do tempo de vida válido da entrada (definido pelo comando ipv6 nd snooping lifetime valid), a entrada se tornará inválida. Em seguida, o dispositivo executa o DAD para a entrada enviando duas vezes mensagens NS para fora da interface da entrada. O intervalo de envio é definido pelo comando ipv6 nd snooping dad retrans-timer.

⚪ Se o dispositivo não receber uma mensagem NA dentro do tempo de vida da entrada inválida, ele excluirá a entrada.

⚪ Se o dispositivo receber uma mensagem NA dentro do tempo de vida da entrada inválida, a entrada do ND snooping permanecerá inalterada e se tornará válida.

Ativação do snooping ND

• Entre na visualização do sistema.

system-view

• Entre na visualização de VLAN.

vlan vlan-id

• Habilite o snooping ND para endereços IPv6. Escolha as opções para configurar conforme necessário:
• Habilite o snooping ND para endereços unicast globais.

ipv6 nd snooping enable global

• Habilite o snooping de ND para endereços link-local.

ipv6 nd snooping enable link-local

Por padrão, o snooping ND está desativado para endereços unicast globais IPv6 e endereços link-local.

• (Opcional.) Ative o snooping ND para pacotes de dados de fontes desconhecidas.

ipv6 nd snooping glean source

Por padrão, o snooping ND é desativado para pacotes de dados de fontes desconhecidas.

Antes de executar esse comando em uma VLAN, você deve configurar o IPv6 source guard em todas as interfaces não confiáveis na mesma VLAN. Essa operação garante o encaminhamento correto dos pacotes de dados recebidos por todas essas interfaces.

• Retornar à visualização do sistema.

quit

Configuração do número máximo de entradas do ND snooping

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface agregada da Camada 2 ou Ethernet da Camada 2.

interface interface-type interface-number

• (Opcional.) Defina o número máximo de entradas de ND snooping que uma interface pode aprender.

ipv6 nd snooping max-learning-num max-number

Por padrão, uma interface pode aprender um máximo de 1024 entradas de ND snooping.

Configuração dos parâmetros relacionados à entrada do ND snooping

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface agregada da Camada 2 ou Ethernet da Camada 2.

interface interface-type interface-number

• (Opcional.) Configure a porta como uma porta de uplink de snooping ND. A porta de uplink do ND snooping não pode aprender entradas do ND snooping.

ipv6 nd snooping uplink

Por padrão, a porta não é uma porta de uplink de snooping ND. Depois que o ND snooping é ativado, a porta pode aprender entradas de ND snooping.

• Retornar à visualização do sistema.

quit

• (Opcional.) Defina temporizadores de tempo limite para entradas do ND snooping.

ipv6 nd snooping lifetime { invalid invalid-lifetime | valid
                        valid-lifetime }

As configurações padrão são as seguintes:

• O cronômetro de tempo limite para entradas do ND snooping em status INVALID (TENTATIVE, TESTING_TPLT ou TESTING_VP) é de 500 milissegundos.
• O cronômetro de tempo limite para entradas de ND snooping no status VALID é de 300 segundos.
• (Opcional.) Defina o intervalo para retransmissão de uma mensagem NS para DAD.

ipv6 nd snooping dad retrans-timer interval

O valor padrão é 250 milissegundos.

Sobre o proxy ND

O proxy ND permite que um dispositivo responda a uma mensagem NS solicitando o endereço de hardware de um host em outra rede. Com o proxy ND, os hosts em diferentes domínios de broadcast podem se comunicar entre si como se estivessem na mesma rede.

O proxy ND inclui o proxy ND comum e o proxy ND local.

Proxy ND comum

Conforme mostrado na Figura 7, a Interface A com endereço IPv6 4:1::99/64 e a Interface B com endereço IPv6 4:2::99/64 pertencem a sub-redes diferentes. O host A e o host B residem na mesma rede, mas em domínios de broadcast diferentes .

Figura 7 Ambiente de aplicativo do proxy ND

Como o endereço IPv6 do Host A está na mesma sub-rede que o do Host B, o Host A envia diretamente uma mensagem NS para obter o endereço MAC do Host B. No entanto, o host B não pode receber a mensagem NS porque eles pertencem a domínios de broadcast diferentes.

Para resolver esse problema, ative o proxy ND comum na Interface A e na Interface B do dispositivo. O dispositivo responde à mensagem NS do Host A e encaminha os pacotes de outros hosts para o Host B.

Proxy ND local

Conforme mostrado na Figura 8, o Host A pertence à VLAN 2 e o Host B pertence à VLAN 3. O host A e o host B se conectam à porta B1 e à porta B3, respectivamente.

Figura 8 Ambiente de aplicativos do proxy ND local

Como o endereço IPv6 do Host A está na mesma sub-rede que o do Host B, o Host A envia diretamente uma mensagem NS para obter o endereço MAC do Host B. No entanto, o host B não pode receber a mensagem NS porque eles pertencem a VLANs diferentes.

Para resolver esse problema, ative o proxy ND local na Interface A do Dispositivo A para que o Dispositivo A possa encaminhar mensagens entre o Host A e o Host B.

O proxy ND local implementa a comunicação da Camada 3 para dois hosts nos seguintes casos:

∙ Os dois hosts se conectam a portas do mesmo dispositivo e as portas devem estar em VLANs diferentes.

∙ Os dois hosts se conectam a portas isoladas da Camada 2 no mesmo grupo de isolamento de uma VLAN.

∙ Se a VLAN privada for usada, os dois hosts deverão pertencer a VLANs secundárias diferentes.

Habilitação de proxy ND comum

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Habilitar o proxy ND comum.

proxy-nd enable

Por padrão, o proxy ND comum está desativado.

Ativação do proxy ND local

• Entre na visualização do sistema.

system-view

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar o proxy ND local.

local-proxy-nd enable

Por padrão, o proxy ND local está desativado.

Exemplo: Configuração do snooping ND

Configuração de rede

Conforme mostrado na Figura 9, o Host A e o Host B estão conectados ao gateway por meio do Dispositivo B. Ative o snooping de ND no Dispositivo B para obter entradas de snooping de ND sobre o Host A e o Host B.

Figura 9 Diagrama de rede

Procedimento

• Configure o dispositivo A: # Crie a VLAN 10.

<DeviceA>  system-view
    [DeviceA] vlan 10
    [DeviceA-vlan10] quit

# Configure a GigabitEthernet 1/0/3 para a VLAN 10 do tronco.

[DeviceA] interface gigabitethernet 1/0/3
    [DeviceA-GigabitEthernet1/0/3] port link-type trunk
    [DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 10
    [DeviceA-GigabitEthernet1/0/3] quit

# Atribuir o endereço IPv6 10::1/64 à interface VLAN 10.

[DeviceA] interface vlan-interface 10
    [DeviceA-Vlan-interface10] ipv6 address 10::1/64
    [DeviceA-Vlan-interface10] quit

• Configurar o dispositivo B:

# Criar a VLAN 10.

[DeviceB] vlan 10
    [DeviceB-vlan10] quit

# Configure a GigabitEthernet 1/0/1, a GigabitEthernet 1/0/2 e a GigabitEthernet 1/0/3 para a VLAN 10 do tronco.

[DeviceB] interface gigabitethernet 1/0/1
    [DeviceB-GigabitEthernet1/0/1] port link-type access
    [DeviceB-GigabitEthernet1/0/1] port access vlan 10
    [DeviceB-GigabitEthernet1/0/1] quit
    [DeviceB] interface gigabitethernet 1/0/2
    [DeviceB-GigabitEthernet1/0/2] port link-type access
    [DeviceB-GigabitEthernet1/0/2] port access vlan 10
    [DeviceB-GigabitEthernet1/0/2] quit
    [DeviceB] interface gigabitethernet 1/0/3
    [DeviceB-GigabitEthernet1/0/3] port link-type trunk
    [DeviceB-GigabitEthernet1/0/3] port trunk permit vlan 10
    [DeviceB-GigabitEthernet1/0/3] quit

# Habilite o snooping ND para endereços unicast globais e endereços link-local na VLAN 10.

[DeviceB] vlan 10
    [DeviceB-vlan10] ipv6 nd snooping enable global
    [DeviceB-vlan10] ipv6 nd snooping enable link-local

# Habilite o snooping ND para pacotes de dados de fontes desconhecidas na VLAN 10.

[DeviceB-vlan10] ipv6 nd snooping glean source
    [DeviceB-vlan10] quit

# Configure a GigabitEthernet 1/0/3 como interface confiável ND.

[DeviceB] interface gigabitethernet 1/0/3
    [DeviceB-GigabitEthernet1/0/3] ipv6 nd detection trust
    [DeviceB-GigabitEthernet1/0/3] quit

# Configure a GigabitEthernet 1/0/1 para aprender um número máximo de 200 entradas de ND snooping.

[DeviceB] interface gigabitethernet 1/0/1
    [DeviceB-GigabitEthernet1/0/1] ipv6 nd snooping max-learning-num 200
    [DeviceB-GigabitEthernet1/0/1] quit

# Configure a GigabitEthernet 1/0/2 para aprender um número máximo de 200 entradas de ND snooping.

[DeviceB] interface gigabitethernet 1/0/2
    [DeviceB-GigabitEthernet1/0/2] ipv6 nd snooping max-learning-num 200
    [DeviceB-GigabitEthernet1/0/2] quit

Verificação da configuração

# Verifique se o dispositivo B aprendeu as entradas de snooping ND para o host A e o host B.

[DeviceB] display ipv6 nd snooping vlan 10
    IPv6 address MAC address VID Interface Status Age
    10::5 0001-0203-0405 10 GE1/0/1 VALID 157
    10::6 0001-0203-0607 10 GE1/0/2 VALID 105

Atribuição rápida envolvendo duas mensagens

Conforme mostrado na Figura 1, a atribuição rápida funciona nas seguintes etapas:

• O cliente DHCPv6 envia ao servidor DHCPv6 uma mensagem Solicit que contém uma opção Rapid Commit para preferir a atribuição rápida.
• Se o servidor DHCPv6 suportar a atribuição rápida, ele responderá com uma mensagem de resposta contendo o endereço/prefixo IPv6 atribuído e outros parâmetros de configuração. Se o servidor DHCPv6 não for compatível com a atribuição rápida, será realizada uma atribuição que envolve quatro mensagens.

Figura 1 Atribuição rápida envolvendo duas mensagens

Atribuição envolvendo quatro mensagens

Conforme mostrado na Figura 2, a atribuição de quatro mensagens funciona usando as seguintes etapas:

• O cliente DHCPv6 envia uma mensagem Solicit para solicitar um endereço/prefixo IPv6 e outros parâmetros de configuração.
• O servidor DHCPv6 responde com uma mensagem Advertise que contém o endereço/prefixo atribuível e outros parâmetros de configuração se houver uma das seguintes condições:
• A mensagem Solicit não contém uma opção Rapid Commit.
• O servidor DHCPv6 não oferece suporte à atribuição rápida, mesmo que a mensagem Solicit contenha uma opção Rapid Commit.
• O cliente DHCPv6 pode receber várias mensagens Advertise oferecidas por diferentes servidores DHCPv6. Ele seleciona uma oferta de acordo com a sequência de recebimento e a prioridade do servidor e envia uma mensagem Request ao servidor selecionado para confirmação.
• O servidor DHCPv6 envia uma mensagem de resposta ao cliente, confirmando que o endereço/prefixo e outros parâmetros de configuração foram atribuídos ao cliente.

Figura 2 Atribuição envolvendo quatro mensagens

Opção 18

A opção 18, também chamada de opção interface-ID, é usada pelo agente de retransmissão DHCPv6 para determinar a interface a ser usada para encaminhar a mensagem RELAY-REPLY.

O dispositivo snooping DHCPv6 adiciona a Opção 18 à mensagem de solicitação DHCPv6 recebida antes de encaminhá-la ao servidor DHCPv6. Em seguida, o servidor atribui o endereço IP ao cliente com base nas informações do cliente na Opção 18.

Figura 6 Formato da opção 18

A Figura 6 mostra o formato da Opção 18, que inclui os seguintes campos:

∙ Código da opção - Código da opção. O valor é 18.

∙ Comprimento da opção-Tamanho dos dados da opção.

∙ Índice da porta - Porta que recebe a solicitação DHCPv6 do cliente.

∙ VLAN ID - ID da VLAN externa.

∙ Segunda VLAN ID - ID da VLAN interna. Esse campo é opcional. Se a solicitação DHCPv6 recebida não contiver uma segunda VLAN, a Opção 18 também não a conterá.

∙ DUID-DUID do cliente DHCPv6.

Opção 37

A opção 37, também chamada de opção remote-ID, é usada para identificar o cliente.

O dispositivo snooping DHCPv6 adiciona a Opção 37 à mensagem de solicitação DHCPv6 recebida antes de encaminhá-la ao servidor DHCPv6. Essa opção fornece informações ao cliente sobre a alocação de endereços.

Figura 7 Formato da opção 37

A Figura 7 mostra o formato da Opção 37, que inclui os seguintes campos:

∙ Código da opção - Código da opção. O valor é 37.

∙ Comprimento da opção-Tamanho dos dados da opção.

∙ Número da empresa - Número da empresa.

∙ Índice da porta - Porta que recebe a solicitação DHCPv6 do cliente.

∙ VLAN ID - ID da VLAN externa.

∙ Second VLAN ID - ID da VLAN interna. Esse campo é opcional. Se a solicitação DHCPv6 recebida não contiver uma segunda VLAN, a Opção 37 também não a conterá.

∙ DUID-DUID do cliente DHCPv6.

Opção 79

A opção 79, também chamada de opção de endereço da camada de link do cliente, é usada para registrar o endereço MAC do cliente DHCPv6. O primeiro agente de retransmissão pelo qual passa uma solicitação DHCPv6 descobre o endereço MAC do cliente e encapsula esse endereço na Opção 79 na mensagem Relay-Forward da solicitação. O servidor DHCPv6 verifica o cliente ou atribui endereço/prefixo IPv6 ao cliente com base no endereço MAC do cliente.

Figura 8 Formato da opção 79

A Figura 8 mostra o formato da Opção 79, que inclui os seguintes campos:

∙ Código da opção - Código da opção. O valor é 79.

∙ Comprimento da opção-Tamanho dos dados da opção.

∙ Link-layer type-Tipo de endereço de camada de link do cliente.

∙ Link-layer address-Endereço de camada de link do cliente.

Protocolos e padrões

∙ RFC 3736, Serviço de protocolo de configuração dinâmica de host (DHCP) sem estado para IPv6

∙ RFC 3315, Protocolo de configuração dinâmica de host para IPv6 (DHCPv6)

∙ RFC 2462, Autoconfiguração de endereço sem estado do IPv6

∙ RFC 3633, Opções de prefixo IPv6 para DHCP (Dynamic Host Configuration Protocol) versão 6

∙ RFC 6939, Opção de endereço da camada de link do cliente no DHCPv6

Atribuição de endereços IPv6

Conforme mostrado na Figura 9, o servidor DHCPv6 atribui endereços IPv6, sufixos de nome de domínio, endereços de servidor DNS e outros parâmetros de configuração aos clientes DHCPv6.

Os endereços IPv6 atribuídos aos clientes incluem os seguintes tipos:

∙ Endereços IPv6 temporários: alterados com frequência sem renovação do contrato de aluguel.

∙ Endereços IPv6 não temporários - usados corretamente por clientes DHCPv6, com renovação de leasing.

Figura 9 Atribuição de endereços IPv6

Atribuição de prefixo IPv6

Conforme mostrado na Figura 10, o servidor DHCPv6 atribui um prefixo IPv6 ao cliente DHCPv6. O cliente anuncia as informações do prefixo em uma mensagem RA multicast para que os hosts da sub-rede possam configurar automaticamente seus endereços IPv6 usando o prefixo.

Figura 10 Atribuição de prefixo IPv6

Conceitos

Endereços multicast usados pelo DHCPv6

O DHCPv6 usa o endereço multicast FF05::1:3 para identificar todos os servidores DHCPv6 locais. Ele usa o endereço multicast FF02::1:2 para identificar todos os servidores DHCPv6 locais de link e agentes de retransmissão.

DUID

Um identificador exclusivo DHCP (DUID) identifica exclusivamente um dispositivo DHCPv6 (cliente DHCPv6, servidor ou agente de retransmissão ). Um dispositivo DHCPv6 adiciona seu DUID em um pacote enviado.

Figura 11 Formato DUID-LL

O dispositivo é compatível com o formato DUID baseado no endereço da camada de link (DUID-LL) definido na RFC 3315. A Figura 11 mostra o formato DUID-LL, que inclui os seguintes campos:

• Tipo de DUID - O dispositivo suporta o tipo de DUID de DUID-LL com o valor de 0x0003.
• Tipo de hardware - O dispositivo suporta o tipo de hardware Ethernet com o valor 0x0001.
• Endereço da camada de link - Assume o valor do endereço MAC da ponte do dispositivo.

Identificada por um IAID, uma associação de identidade (IA) fornece uma estrutura por meio da qual um cliente gerencia os endereços obtidos, os prefixos e outros parâmetros de configuração. Um cliente pode ter várias IAs, por exemplo, uma para cada uma de suas interfaces.

Um IAID identifica de forma exclusiva um IA. Ele é escolhido pelo cliente e deve ser exclusivo no cliente.

O servidor DHCPv6 cria uma delegação de prefixo (PD) para cada prefixo atribuído para registrar os seguintes detalhes:

• Prefixo IPv6.
• DUID do cliente.
• IAID.
• Vida útil válida.
• Vida útil preferida.
• Prazo de validade do aluguel.
• Endereço IPv6 do cliente solicitante.

Pool de endereços DHCPv6

O servidor DHCP seleciona endereços IPv6, prefixos IPv6 e outros parâmetros de um pool de endereços e os atribui aos clientes DHCP.

Mecanismos de alocação de endereços

O DHCPv6 oferece suporte aos seguintes mecanismos de alocação de endereços:

• Alocação estática de endereços - Para implementar a alocação estática de endereços para um cliente, crie um pool de endereços DHCPv6 e vincule manualmente o DUID e o IAID do cliente a um endereço IPv6 no pool de endereços DHCPv6. Quando o cliente solicita um endereço IPv6, o servidor DHCPv6 atribui ao cliente o endereço IPv6 na associação estática.
• Alocação dinâmica de endereços - Para implementar a alocação dinâmica de endereços para clientes, crie um pool de endereços DHCPv6, especifique uma sub-rede para o pool e divida a sub-rede em intervalos de endereços IPv6 temporários e não temporários. Ao receber uma solicitação DHCP, o servidor DHCPv6 seleciona um endereço IPv6 do intervalo de endereços IPv6 temporários ou não temporários com base no tipo de endereço na solicitação do cliente.

Mecanismos de alocação de prefixos

O DHCPv6 oferece suporte aos seguintes mecanismos de alocação de prefixo:

• Alocação estática de prefixo - Para implementar a alocação estática de prefixo para um cliente, crie um pool de endereços DHCPv6 e vincule manualmente o DUID e o IAID do cliente a um prefixo IPv6 no pool de endereços DHCPv6. Quando o cliente solicita um prefixo IPv6, o servidor DHCPv6 atribui ao cliente o prefixo IPv6 na associação estática.
• Alocação dinâmica de prefixos - Para implementar a alocação dinâmica de prefixos para clientes, crie um pool de endereços DHCPv6 e um pool de prefixos, especifique uma sub-rede para o pool de endereços e aplique o pool de prefixos ao pool de endereços. Ao receber uma solicitação de DHCP, o servidor DHCPv6 seleciona dinamicamente um prefixo IPv6 do pool de prefixos no pool de endereços.

Seleção do pool de endereços

O servidor DHCPv6 observa os seguintes princípios ao selecionar um endereço ou prefixo IPv6 para um cliente:

• Se houver um pool de endereços em que um endereço IPv6 esteja estaticamente vinculado ao DUID ou IAID do cliente, o servidor DHCPv6 selecionará esse pool de endereços. Ele atribui o endereço ou prefixo IPv6 vinculado estaticamente e outros parâmetros de configuração ao cliente.
• Se a interface receptora tiver uma política de DHCP e o cliente DHCP corresponder a uma classe de usuário, o servidor DHCP selecionará o pool de endereços vinculado à classe de usuário correspondente. Se não for encontrada nenhuma classe de usuário correspondente, o servidor atribuirá um endereço IP e outros parâmetros do pool de endereços DHCP padrão. Se nenhum pool de endereços padrão for especificado ou se o pool de endereços padrão não tiver endereços IP atribuíveis, a atribuição de endereços falhará.
• Se a interface receptora tiver um pool de endereços aplicado, o servidor DHCP selecionará um endereço ou prefixo IPv6 e outros parâmetros de configuração desse pool de endereços.
• Se as condições acima não forem atendidas, o servidor DHCPv6 selecionará um pool de endereços dependendo da localização do cliente.
• Cliente na mesma sub-rede que o servidor - O servidor DHCPv6 compara o endereço IPv6 da interface receptora com as sub-redes de todos os pools de endereços. Ele seleciona o pool de endereços com a sub-rede correspondente mais longa.
• Cliente em uma sub-rede diferente da do servidor - O servidor DHCPv6 compara o endereço IPv6 da interface do agente de retransmissão DHCPv6 mais próxima do cliente com as sub-redes de todos os pools de endereços. Ele também seleciona o pool de endereços com a sub-rede correspondente mais longa.

Para garantir que a alocação de endereços IPv6 funcione corretamente, mantenha a sub-rede usada para atribuição dinâmica consistente com a sub-rede em que reside a interface do servidor DHCPv6 ou do agente de retransmissão DHCPv6.

Sequência de alocação de endereços/prefixos IPv6

O servidor DHCPv6 seleciona um endereço/prefixo IPv6 para um cliente na seguinte sequência:

• Endereço/prefixo IPv6 vinculado estaticamente ao DUID e IAID do cliente e esperado pelo cliente.

• Endereço/prefixo IPv6 vinculado estaticamente ao DUID e IAID do cliente.
• Endereço/prefixo IPv6 vinculado estaticamente ao DUID do cliente e esperado pelo cliente.
• Endereço/prefixo IPv6 vinculado estaticamente ao DUID do cliente.
• Endereço IPv6 EUI-64 gerado com base no endereço MAC do cliente se a alocação de endereços EUI-64 estiver ativada.
• Endereço/prefixo IPv6 atribuível no pool de endereços/prefixo esperado pelo cliente.
• Endereço/prefixo IPv6 que já foi atribuído ao cliente.
• Endereço/prefixo IPv6 atribuível no pool de endereços/prefixo.
• Endereço/prefixo IPv6 que estava em conflito ou que ultrapassou a duração da concessão. Se não for possível atribuir nenhum endereço/prefixo IPv6, o servidor não responderá.

Se um cliente mudar para outra sub-rede, o servidor DHCPv6 selecionará um endereço/prefixo IPv6 do pool de endereços que corresponda à nova sub-rede.

Os endereços IPv6 conflitantes podem ser atribuídos a outros clientes DHCPv6 somente depois que os endereços estiverem em conflito por uma hora.

Sobre a atribuição de parâmetros de rede

Além dos prefixos IPv6 e dos endereços IPv6, você pode configurar os seguintes parâmetros de rede em um pool de endereços:

• Um máximo de oito endereços de servidor DNS.
• Um nome de domínio.
• Um máximo de oito endereços de servidor SIP.
• Um máximo de oito nomes de domínio de servidor SIP.

Você pode configurar os parâmetros de rede em um servidor DHCPv6 usando um dos métodos a seguir:

• Configure os parâmetros de rede em um pool de endereços DHCPv6.
• Configure os parâmetros de rede em um grupo de opções DHCPv6 e especifique o grupo de opções para um pool de endereços DHCPv6.

Os parâmetros de rede configurados em um pool de endereços DHCPv6 têm precedência sobre aqueles configurados em um grupo de opções DHCPv6.

Configuração de parâmetros de rede em um pool de endereços DHCPv6

• Entre na visualização do sistema.

system-view

• Entre na visualização do pool de endereços DHCPv6.

ipv6 dhcp pool pool-name
                        

• Especifique uma sub-rede IPv6 para atribuição dinâmica.

network { prefix/prefix-length | prefix prefix-number
                        [ sub-prefix/sub-prefix-length ] } [ preferred-lifetime
                        preferred-lifetime valid-lifetime valid-lifetime ]

Por padrão, nenhuma sub-rede IPv6 é especificada.

As sub-redes IPv6 não podem ser as mesmas em pools de endereços diferentes.

Se você especificar um prefixo IPv6 por sua ID, verifique se o prefixo IPv6 está em vigor. Caso contrário, a configuração não terá efeito.

• Especifique um endereço de servidor DNS.

dns-server ipv6-address
                        

Por padrão, nenhum endereço de servidor DNS é especificado.

• Especifique um nome de domínio.

domain-name domain-name

Por padrão, nenhum nome de domínio é especificado.

• Especifique um endereço de servidor SIP ou nome de domínio.

sip-server { address ipv6-address | domain-name domain-name }
                        

Por padrão, nenhum endereço de servidor SIP ou nome de domínio é especificado.

• Configurar uma opção DHCPv6 autodefinida.

option code hex hex-string
                        

Por padrão, nenhuma opção DHCPv6 autodefinida é configurada.

Configuração de parâmetros de rede em um grupo de opções DHCPv6

Sobre a atribuição de parâmetros de rede em um grupo de opções DHCPv6

Um grupo de opções DHCPv6 pode ser criado usando os seguintes métodos:

• Crie um grupo de opções DHCPv6 estático usando o comando ipv6 dhcp option-group. O grupo de opções estático do DHCPv6 tem precedência sobre o grupo de opções dinâmico do DHCPv6.
• Quando o dispositivo atua como um cliente DHCPv6, ele cria automaticamente um grupo de opções DHCPv6 dinâmico para salvar os parâmetros obtidos. Para obter mais informações sobre a criação de um grupo de opções dinâmico DHCPv6, consulte "Configuração do cliente DHCPv6".

Procedimento

• Entre na visualização do sistema.

system-view

• Crie um grupo de opções DHCPv6 estático e entre em sua visualização.

ipv6 dhcp option-group option-group-number

• Especifique um endereço de servidor DNS.

dns-server ipv6-address
                        

Por padrão, nenhum endereço de servidor DNS é especificado.

• Especifique um sufixo de nome de domínio.

domain-name domain-name

Por padrão, nenhum sufixo de nome de domínio é especificado.

• Especifique um endereço de servidor SIP ou nome de domínio.

sip-server { address ipv6-address | domain-name domain-name }
                        

Por padrão, nenhum endereço de servidor SIP ou nome de domínio é especificado.

• Configurar uma opção DHCPv6 autodefinida.

option code hex hex-string
                        

Por padrão, nenhuma opção DHCPv6 autodefinida é configurada.

• Retornar à visualização do sistema.

quit

• Entre na visualização do pool de endereços DHCPv6.

ipv6 dhcp pool pool-name
                        

• Especifique um grupo de opções DHCPv6.

option-group option-group-number

Por padrão, nenhum grupo de opções DHCPv6 é especificado.