...

DHCPv6简介

IPv6动态主机配置协议DHCPv6(Dynamic Host Configuration Protocol for IPv6)是针对IPv6编址方案设计,为主机分配IPv6地址/前缀和其他网络配置参数。

tcpdump: ether proto 0x86dd and udp and port 547 or port 546

wireshark: dhcpv6 && dhcpv6.msgtype==

IA(Identity Association):一组分配给DHCPv6主机客户端的地址集合。IA又分为IA-NA(Identity Association-Prefix Delegation)前缀集合。

UDP-server:546,UDP-client:547

采用多播地址FF02::1:2来表示链路范围内所有的DHCPv6服务器和中继

消息包含Solicit、Advertise、Request、Conform、Renew、Rebind、Reply、Release、Decline、Reconfig、Information-request、Relay-forw和Relay-repl等13种

报文格式有两种,在客户端和服务器之间使用的消息格式和在中继和服务器之间使用的报文格式

 

 

 各个字段意义。。。

工作机制

DHCP实现由状态地址配置和其他信息的配置(路由器公告中的M和O标记均设置为1),其工作机制如下图

  1. 终端客户多播发送DHCPv6 Solicit报文,携带客户端DHCP唯一标识选项(DUID)和用于配置客户端的选项等选项信息,并定位DHCPv6服务器。
  2. DHCP服务器收到Solicit报文后,添加服务器DHCP唯一标识选项(DUID)和优先级选项,响应Advertise消息,表明自身可用性。
  3. 客户端根据DHCP服务器优先级和能提供的服务,选择一台DHCP服务器。多播发送Request报文,该报文携带客户端DUID、选定服务器的DUID和相关配置选项。
  4. 拥有相同DUID的服务器回送Reply报文,携带配置选项。
  5. 客户端根据Reply报文中的选项信息完成自动配置

DHCPv6客户端通过链路范围内的多播地址与DHCPv6服务器通信。如果服务器和客户端不再用一个链路范围内,则需要通过DHCPv6中继来转发报文。DHCPv6中继和DHCPv6服务器之间交互两种报文:Relay-forw和Relay-repl。DHCPv6客户端通过DHCPv6中继转发报文,获取IPv6地址和其他网络配置参数的过程如下图:

 

 

  1. DHCPv6客户端向所有DHCPv6服务器和中继的多播地址FF02::1:2发送请求。
  2.  DHCPv6中继接收到请求后,将其封装在Relay-forw报文的中继消息选项(Relay Message Option)中,并将Relay-forw报文发送给DHCPv6服务器
  3. DHCPv6服务器从Relay-forw报文中解析出客户端的请求,为客户端选取IPv6地址和其他参数,构造应答消息,将应答消息封装在Relay-repl报文的中继消息选项中,并将Relay-repl报文发送给DHCPv6中继。
  4. DHCPv6中继从Relay-repl报文中解析出服务器的应答,转发给DHCPv6客户端
  5. 客户端根据DHCPv6服务器分配的IPv6地址和其他参数进行网络配置

无状态地址配置能够实现终端地址的自动配置,但其他信息的配置,如DNS/NTP等服务器信息的配置(ND机制新定义了一个Option25选项,在RA报文携带DNS配置信息,实现主机DNS配置,但大多数主机不支持该选项),通常还需要借助DHCP机制(路由器公告中的M设置为0,O设置为1),其工作机制如图:

 

 

客户端通过无状态地址配置方式实现地址配置,即客户端 由自身MAC根据EUI-64生成64位接口ID。

链路本地路由器多播发送RA报文,并携带前缀选项

客户端根据前缀和接口ID形成完整IPv6地址

为获得其他配置信息,客户端多播发送Information-request报文,请求配置信息。

中继路由器将报文封装到Relay-forw报文,发送给DHCPv6服务器(通常单播发送)

服务器响应发送携带相应配置信息的Relay-repl报文

中继解析出Reply报文,并发送给客户端。

客户端根据Reply报文中提供的参数完成客户端无状态配置(若接收到多个Reply报文,客户端将选择最先收到的Reply报文)

 

 

目的:

IPv6协议具有地址空间巨大的特点,但同时长达128比特的IPv6地址又要求高效合理的地址自动分配和管理策略。IPv6无状态地址配置方式(参看协议RFC2462)是目前广泛采用的IPv6地址自动配置方式。配置了该协议的主机只需相邻设备开启IPv6路由通告功能,即可以根据通告报文包含的前缀信息自动配置本机地址。

无状态地址配置方案中设备并不记录所连接的IPv6主机的具体地址信息,可管理性差。而且当前无状态地址配置方式不能使IPv6主机获取DNS服务器的IPv6地址等配置信息,在可用性上有一定缺陷。对于互联网服务提供商来说,也没有相关的规范指明如何向设备自动分配IPv6前缀,所以在部署IPv6网络时,只能采用手动配置的方法为设备配置IPv6地址。

DHCPv6技术解决了这一问题。DHCPv6属于一种有状态地址自动配置协议。

与其他IPv6地址分配方式(手工配置、通过路由器通告消息中的网络前缀无状态自动配置等)相比,DHCPv6具有以下优点:

  • 更好地控制IPv6地址的分配。DHCPv6方式不仅可以记录为IPv6主机分配的地址,还可以为特定的IPv6主机分配特定的地址,以便于网络管理。
  • DHCPv6支持为网络设备分配IPv6前缀,便于全网络的自动配置和网络层次性管理。
  • 除了为IPv6主机分配IPv6地址/前缀外,还可以分配DNS服务器IPv6地址等网络配置参数。

DHCPv6原理描述

DHCPv6概述:

DHCPv6是一种运行在客户端和服务器之间的协议,与IPv4中的DHCP一样,所有的协议报文都是基于UDP的。但是由于在IPv6中没有广播报文,因此DHCPv6使用组播报文,客户端也无需配置服务器的IPv6地址。

IPv6地址分配类型:

IPv6协议具有地址空间巨大的特点,但同时长达128比特的IPv6地址又要求高效合理的地址自动分配和管理策略。

  • 手动配置。手动配置IPv6地址/前缀及其他网络配置参数(DNS、NIS、SNTP服务器地址等参数)。
  • 无状态自动地址分配。由接口ID生成链路本地地址,再根据路由通告报文RA(Router Advertisement)包含的前缀信息自动配置本机地址。
  • 有状态自动地址分配,即DHCPv6方式。DHCPv6又分为如下两种:
    • DHCPv6有状态自动分配。DHCPv6服务器自动分配IPv6地址/PD前缀及其他网络配置参数(DNS、NIS、SNTP服务器地址等参数)。
    • DHCPv6无状态自动分配。主机IPv6地址仍然通过路由通告方式自动生成,DHCPv6服务器只分配除IPv6地址以外的配置参数,包括DNS、NIS、SNTP服务器等参数。

DHCPv6基本架构:

DHCPv6基本架构

 

图:DHCPv6基本架构

 

DHCPv6基本协议架构中,主要包括以下三种角色:

  • DHCPv6 Client:

    DHCPv6客户端,通过与DHCPv6服务器进行交互,获取IPv6地址/前缀和网络配置信息,完成自身的地址配置功能。

  • DHCPv6 Relay:

    DHCPv6中继代理,负责转发来自客户端方向或服务器方向的DHCPv6报文,协助DHCPv6客户端和DHCPv6服务器完成地址配置功能。一般情况下,DHCPv6客户端通过本地链路范围的组播地址与DHCPv6服务器通信,以获取IPv6地址/前缀和其他网络配置参数。如果服务器和客户端不在同一个链路范围内,则需要通过DHCPv6中继代理来转发报文,这样可以避免在每个链路范围内都部署DHCPv6服务器,既节省了成本,又便于进行集中管理。

    DHCPv6基本协议架构中,DHCPv6中继代理不是必须的角色。如果DHCPv6客户端和DHCPv6服务器位于同一链路范围内,或DHCPv6客户端和DHCPv6服务器直接通过单播交互完成地址分配或信息配置的情况下,是不需要DHCPv6中继代理参与的。只有当DHCPv6客户端和DHCPv6服务器不在同一链路范围内,或DHCPv6客户端和DHCPv6服务器无法单播交互的情况下,才需要DHCPv6中继代理的参与。

  • DHCPv6 Server:

    DHCPv6服务器,负责处理来自客户端或中继代理的地址分配、地址续租、地址释放等请求,为客户端分配IPv6地址/前缀和其他网络配置信息。

DHCPv6基本概念:

组播地址

  • 在DHCPv6协议中,客户端不用配置DHCPv6 Server的IPv6地址,而是发送目的地址为组播地址的Solicit报文来定位DHCPv6服务器。
  • 在DHCPv4协议中,客户端发送广播报文来定位服务器。为避免广播风暴,在IPv6中,已经没有了广播类型的报文,而是采用组播报文。DHCPv6用到的组播地址有两个:
    • FF02::1:2(All DHCP Relay Agents and Servers):所有DHCPv6服务器和中继代理的组播地址,这个地址是链路范围的,用于客户端和相邻的服务器及中继代理之间通信。所有DHCPv6服务器和中继代理都是该组的成员。
    • FF05::1:3(All DHCP Servers):所有DHCPv6服务器组播地址,这个地址是站点范围的,用于中继代理和服务器之间的通信,站点内的所有DHCPv6服务器都是此组的成员。

UDP端口号

  • DHCPv6报文承载在UDPv6上。
  • 客户端侦听的UDP目的端口号是546。
  • 服务器、中继代理侦听的UDP端口号是547。

DHCP唯一标识符(DUID)

DHCP设备唯一标识符DUID(DHCPv6 Unique Identifier),每个服务器或客户端有且只有一个唯一标识符,服务器使用DUID来识别不同的客户端,客户端则使用DUID来识别服务器。

客户端和服务器DUID的内容分别通过DHCPv6报文中的Client Identifier和Server Identifier选项来携带。两种选项的格式一样,通过option-code字段的取值来区分是Client Identifier还是Server Identifier选项

身份联盟(IA)

  • 身份联盟IA(Identity Association)是使得服务器和客户端能够识别、分组和管理一系列相关IPv6地址的结构。每个IA包括一个IAID和相关联的配置信息。
  • 客户端必须为它的每一个要通过服务器获取IPv6地址的接口关联至少一个IA。客户端用给接口关联的IA来从服务器获取配置信息。每个IA必须明确关联到一个接口
  • IA的身份由IAID唯一确定,同一个客户端的IAID不能出现重复。IAID不应因为设备的重启等因素发生丢失或改变。
  • IA中的配置信息由一个或多个IPv6地址以及T1和T2生存期组成。IA中的每个地址都有首选生存期和有效生存期。
  • 一个接口至少关联一个IA,一个IA可以包含一个或多个地址信息。

DHCPv6报文类型

DHCPv6报文格式:

DHCPv6报文格式

 

图:DHCPv6的报文格式

 

字段长度含义
msg-type 1字节 表示报文的类型,取值为1~13,具体请参见DHCPv6报文类型
transaction-ID 3字节 DHCPv6交互ID,也叫事务ID,用来标识一个来回的DHCPv6报文交互。例如Solicit/Advertise报文为一个交互。Request/Reply报文为另外一个交互,两者有不同的事务ID。交互ID特点如下:交互ID是DHCPv6客户端生成的一个随机值,DHCPv6客户端应当保证交互ID具有一定的随机性。对于DHCPv6服务器响应报文和相应的请求报文,两者交互ID保持一致。如果是DHCPv6服务器主动发起的会话报文,则交互ID为0。
Options 可变 表示DHCPv6的选项字段。此字段包含了DHCPv6服务器分配给IPv6主机的配置信息,如DNS服务器的IPv6地址等信息。

DHCPv6报文类型:

目前DHCPv6定义了如下十三种类型报文,DHCPv6服务器和DHCPv6客户端之间通过这十三种类型的报文进行通信。

DHCPv6和DHCPv4报文对比:

报文类型DHCPv6报文DHCPv4报文说明
1 SOLICIT DHCP DISCOVER DHCPv6客户端使用Solicit报文来确定DHCPv6服务器的位置。
2 ADVERTISE DHCP OFFER DHCPv6服务器发送Advertise报文来对Solicit报文进行回应,宣告自己能够提供DHCPv6服务。
3 REQUEST DHCP REQUEST DHCPv6客户端发送Request报文来向DHCPv6服务器请求IPv6地址和其它配置信息。
4 CONFIRM - DHCPv6客户端向任意可达的DHCPv6服务器发送Confirm报文检查自己目前获得的IPv6地址是否适用与它所连接的链路。
5 RENEW DHCP REQUEST DHCPv6客户端向给其提供地址和配置信息的DHCPv6服务器发送Renew报文来延长地址的生存期并更新配置信息。
6 REBIND DHCP REQUEST 如果Renew报文没有得到应答,DHCPv6客户端向任意可达的DHCPv6服务器发送Rebind报文来延长地址的生存期并更新配置信息。
7 REPLY DHCP ACK/NAK DHCPv6服务器在以下场合发送Reply报文:DHCPv6服务器发送携带了地址和配置信息的Reply消息来回应从DHCPv6客户端收到的Solicit、Request、Renew、Rebind报文。DHCPv6服务器发送携带配置信息的Reply消息来回应收到的Information-Request报文。用来回应DHCPv6客户端发来的Confirm、Release、Decline报文。
8 RELEASE DHCP RELEASE DHCPv6客户端向为其分配地址的DHCPv6服务器发送Release报文,表明自己不再使用一个或多个获取的地址。
9 DECLINE DHCP DECLINE DHCPv6客户端向DHCPv6服务器发送Decline报文,声明DHCPv6服务器分配的一个或多个地址在DHCPv6客户端所在链路上已经被使用了。
10 RECONFIGURE - DHCPv6服务器向DHCPv6客户端发送Reconfigure报文,用于提示DHCPv6客户端,在DHCPv6服务器上存在新的网络配置信息。
11 INFORMATION-REQUEST DHCP INFORM DHCPv6客户端向DHCPv6服务器发送Information-Request报文来请求除IPv6地址以外的网络配置信息。
12 RELAY-FORW - 中继代理通过Relay-Forward报文来向DHCPv6服务器转发DHCPv6客户端请求报文。
13 RELAY-REPL - DHCPv6服务器向中继代理发送Relay-Reply报文,其中携带了转发给DHCPv6客户端的报文。

DHCPv6报文抓包:

tcpdump -iany ether proto 0x86dd -w ipv6.cap

wireshark过滤条件 dhcpv6 && dhcpv6.msgtype==1/2/3/4...:

---------------------------------------------------------------------------------------------------------------------------

Solicit报文(类型1):

DHCPv6客户端使用Solicit报文来确定DHCPv6服务器的位置。

Solicit

图:Solicit报文抓包示例

Advertise报文(类型2):

DHCPv6服务器发送Advertise报文来对Solicit报文进行回应,宣告自己能够提供DHCPv6服务。

Advertise

图:Advertise报文抓包示例

Request报文(类型3):

DHCPv6客户端发送Request报文来向DHCPv6服务器请求IPv6地址和其它配置信息。

Request

图:Request报文抓包示例

Confirm报文(类型4):

客户端发送给server的确认信息

Renew报文(类型5):

DHCPv6客户端向给其提供地址和配置信息的DHCPv6服务器发送Renew报文来延长地址的生存期并更新配置信息。

Renewbaow

图:Renew报文抓包示例

Rebind报文(类型6):

如果Renew报文没有得到应答,DHCPv6客户端向任意可达的DHCPv6服务器发送Rebind报文来延长地址的生存期并更新配置信息。

Rebind

图:Rebind报文抓包示例

Reply报文(类型7):

DHCPv6服务器在以下场合发送Reply报文:DHCPv6服务器发送携带了地址和配置信息的Reply消息来回应从DHCPv6客户端收到的Solicit、Request、Renew、Rebind报文。

DHCPv6服务器发送携带配置信息的Reply消息来回应收到的Information-Request报文。用来回应DHCPv6客户端发来的Confirm、Release、Decline报文。

Reply

图:Reply报文抓包示例

Release(类型8);

DHCPv6客户端向为其分配地址的DHCPv6服务器发送Release报文,表明自己不再使用一个或多个获取的地址。

Release

图:Release报文抓包示例

Reply-forw报文(类型12):

中继代理通过Relay-Forward报文来向DHCPv6服务器转发DHCPv6客户端请求报文。

Relay-Forwarding

图:Relay-Forw报文抓包示例

Relay-reply报文(类型13):

DHCPv6服务器向中继代理发送Relay-Reply报文,其中携带了转发给DHCPv6客户端的报文。

Relay-reply

图:Relay-Reply报文抓包示例

DHCPv6工作原理:

DHCPv6自动分配分为DHCPv6有状态自动分配和DHCPv6无状态自动分配。

  • DHCPv6有状态自动分配。DHCPv6服务器自动配置IPv6地址/前缀,同时分配DNS、NIS、SNTP服务器等网络配置参数。
  • DHCPv6无状态自动分配。主机IPv6地址仍然通过路由通告方式自动生成,DHCP服务器只分配除IPv6地址以外的配置参数,包括DNS、NIS、SNTP服务器地址等参数。

DHVPv6有状态自动分配:

IPv6主机通过有状态DHCPv6方式获取IPv6地址和其他配置参数(例如DNS服务器的IPv6地址等)。

DHCPv6服务器为客户端分配地址/前缀的过程分为两类:

  • DHCPv6四步交互分配过程
  • DHCPv6两步交互快速分配过程

DHCPv6四步交互

四步交互常用于网络中有多个DHCPv6服务器的情况。DHCPv6客户端首先通过组播发送Solicit报文来定位可以为其提供服务的DHCPv6服务器,在收到多个DHCPv6服务器的Advertise报文后,根据DHCPv6服务器的优先级选择一个为其分配地址和配置信息的服务器,接着通过Request/Reply报文交互完成地址申请和分配过程。

DHCPv6服务器端如果没有配置使能两步交互,无论客户端报文中是否包含Rapid Commit选项,服务器都采用四步交互方式为客户端分配地址和配置信息。

DHCPv6四步交互地址分配过程如下:

四步分配

 

图:DHCPv6四步交互地址分配过程

 

DHCPv6四步交互地址分配过程如下:

  1. DHCPv6客户端发送Solicit报文,请求DHCPv6服务器为其分配IPv6地址和网络配置参数。
  2. 如果Solicit报文中没有携带Rapid Commit选项,或Solicit报文中携带Rapid Commit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复Advertise报文,通知客户端可以为其分配的地址和网络配置参数。
  3. 如果DHCPv6客户端接收到多个服务器回复的Advertise报文,则根据Advertise报文中的服务器优先级等参数,选择优先级最高的一台服务器,并向所有的服务器发送Request组播报文,该报文中携带已选择的DHCPv6服务器的DUID。
  4. DHCPv6服务器回复Reply报文,确认将地址和网络配置参数分配给客户端使用。

DHCPv6两步交互

两步交互常用于网络中只有一个DHCPv6服务器的情况。DHCPv6客户端首先通过组播发送Solicit报文来定位可以为其提供服务的DHCPv6服务器,DHCPv6服务器收到客户端的Solicit报文后,为其分配地址和配置信息,直接回应Reply报文,完成地址申请和分配过程。

两步交换可以提高DHCPv6过程的效率,但在有多个DHCPv6服务器的网络中,多个DHCPv6服务器都可以为DHCPv6客户端分配IPv6地址,回应Reply报文,但是客户端实际只可能使用其中一个服务器为其分配的IPv6地址和配置信息。为了防止这种情况的发生,管理员可以配置DHCPv6服务器是否支持两步交互地址分配方式。

  • DHCPv6服务器端如果配置使能了两步交互,并且客户端报文中也包含Rapid Commit选项,服务器采用两步交互方式为客户端分配地址和配置信息。
  • 如果DHCPv6服务器不支持快速分配地址,则采用四步交互方式为客户端分配IPv6地址和其他网络配置参数。

DHCPv6两步交互地址分配过程如下图:

两步交互

 

图:DHCPv6两步交互地址分配过程

 

DHCPv6两步交互地址分配过程如下:

  1. DHCPv6客户端在发送的Solicit报文中携带Rapid Commit选项,标识客户端希望服务器能够快速为其分配地址和网络配置参数。
  2. DHCPv6服务器接收到Solicit报文后,将进行如下处理:
    • 如果DHCPv6服务器支持快速分配地址,则直接返回Reply报文,为客户端分配IPv6地址和其他网络配置参数,Replay报文中也携带Rapid Commit选项。
    • 如果DHCPv6服务器不支持快速分配过程,则采用四步交互方式为客户端分配IPv6地址/前缀和其他网络配置参数。

DHCPv6无状态自动分配:

IPv6节点可以通过DHCPv6无状态方式获取配置参数(包括DNS、SIP、SNTP等服务器配置信息,不包括IPv6地址)。

DHCPv6无状态工作过程如下图所示:

无状态

 

图:DHCPv6无状态工作过程

 

DHCPv6无状态工作过程如下:

  1. DHCPv6客户端以组播方式向DHCPv6服务器发送Information-Request报文,该报文中携带Option Request选项,指定DHCPv6客户端需要从DHCPv6服务器获取的配置参数。
  2. DHCPv6服务器收到Information-Request报文后,为DHCPv6客户端分配网络配置参数,并单播发送Reply报文,将网络配置参数返回给DHCPv6客户端。DHCPv6客户端根据收到Reply报文提供的参数完成DHCPv6客户端无状态配置。

DHCPv6 PD工作原理:

DHCPv6前缀代理DHCPv6 PD(Prefix Delegation)是由Cisco公司提出的一种前缀分配机制,并在RFC3633中得以标准化。在一个层次化的网络拓扑结构中,不同层次的IPv6地址分配一般是手工指定的。手工配置IPv6地址扩展性不好,不利于IPv6地址的统一规划管理。

通过DHCPv6前缀代理机制,下游网络设备不需要再手工指定用户侧链路的IPv6地址前缀,它只需要向上游网络设备提出前缀分配申请,上游网络设备便可以分配合适的地址前缀给下游设备,下游设备把获得的前缀(一般前缀长度小于64)进一步自动细分成64前缀长度的子网网段,把细分的地址前缀再通过路由通告(RA)至与IPv6主机直连的用户链路上,实现IPv6主机的地址自动配置,完成整个系统层次的地址布局。

DHCPv6 PD工作过程下图所示:

PD

 

图:DHCPv6 PD工作原理

 

DHCPv6 PD四步交互地址分配过程如下:

  1. DHCPv6 PD客户端发送Solicit报文,请求DHCPv6 PD服务器为其分配IPv6地址前缀。
  2. 如果Solicit报文中没有携带Rapid Commit选项,或Solicit报文中携带Rapid Commit选项,但服务器不支持快速分配过程,则DHCPv6服务器回复Advertise报文,通知客户端可以为其分配的IPv6地址前缀。
  3. 如果DHCPv6客户端接收到多个服务器回复的Advertise报文,则根据Advertise报文中的服务器优先级等参数,选择优先级最高的一台服务器,并向该服务器发送Request报文,请求服务器确认为其分配地址前缀。
  4. DHCPv6 PD服务器回复Reply报文,确认将IPv6地址前缀分配给DHCPv6 PD客户端使用。

DHCPv6中继工作原理:

DHCPv6客户端通过DHCPv6中继转发报文,获取IPv6地址/前缀和其他网络配置参数(例如DNS服务器的IPv6地址等)。

DHCPv6中继工作过程如下图所示:

DHCP 中继

 

图:DHCPv6中继工作原理

 

DHCPv6中继工作交互过程如下:

  1. DHCPv6客户端向所有DHCPv6服务器和DHCPv6中继发送目的地址为FF02::1:2(组播地址)的请求报文。
  2. 根据DHCPv6中继转发报文有如下两种情况:
    • 如果DHCPv6中继和DHCPv6客户端位于同一个链路上,即DHCPv6中继为DHCPv6客户端的第一跳中继,中继转发直接来自客户端的报文,此时DHCPv6中继实质上也是客户端的IPv6网关设备。DHCPv6中继收到客户端的报文后,将其封装在Relay-Forward报文的中继消息选项(Relay Message Option)中,并将Relay-Forward报文发送给DHCPv6服务器或下一跳中继。
    • 如果DHCPv6中继和DHCPv6客户端不在同一个链路上,中继收到的报文是来自其他中继的Relay-Forward报文。中继构造一个新的Relay-Forward报文,并将Relay-Forward报文发送给DHCPv6服务器或下一跳中继。
  3. DHCPv6服务器从Relay-Forward报文中解析出DHCPv6客户端的请求,为DHCPv6客户端选取IPv6地址和其他配置参数,构造应答消息,将应答消息封装在Relay-Reply报文的中继消息选项中,并将Relay-Reply报文发送给DHCPv6中继。
  4. DHCPv6中继从Relay-Reply报文中解析出DHCPv6服务器的应答,转发给DHCPv6客户端。如果DHCPv6客户端接收到多个DHCPv6服务器的应答,则根据报文中的服务器优先级选择一个DHCPv6服务器,后续从该DHCPv6服务器获取IPv6地址和其他网络配置参数。

IPv6地址/前缀的分配与更新原则:

IPv6地址分配的优先次序:

DHCPv6服务器按照如下次序为DHCPv6客户端选择IPv6地址/前缀。

  1. 选择IPv6地址池

    DHCPv6服务器的接口可以绑定IPv6地址池,DHCPv6服务器将选择该IPv6地址池为接口下的DHCPv6客户端分配地址/前缀。对于存在中继的场景,DHCPv6服务器的接口可以不绑定IPv6地址池,而是根据报文中第一个不为0的“link-address”字段(标识DHCPv6客户端所在链路范围),选择与地址池中已配置的网络前缀或IPv6地址前缀属于同一链路范围的地址池。

  2. 选择IPv6地址/前缀

    确定地址池后,DHCPv6服务器将按照下面步骤为DHCPv6客户端分配IPV6地址/前缀:

    1. 如果地址池中为客户端指定了地址/前缀,优先从地址池中选择与客户端DUID匹配的地址/前缀分配给客户端。
    2. 如果客户端报文中的IA选项携带了有效的地址/前缀,优先从地址池中选择该地址/前缀分配给客户端。如果该地址/前缀在地址池中不可用,则另外分配一个空闲地址/前缀给客户端。如果IPV6前缀长度比指定分配长度大,则按指定分配长度来分配。
    3. 从地址池中选择空闲地址/前缀分配给客户端,保留地址(例如RFC 2526中定义的任播地址)、冲突地址、已被分配的地址不能再分配给客户端。
    4. 如果没有合适的IPv6地址/前缀可以分配,则分配失败。

DHCPv6地址租约更新:

DHCPv6服务器为DHCPv6客户端分配的地址是有租约的,租约由生命期(包括地址的首选生命期和有效生命期构成)和续租时间点(IA的T1、T2)构成。地址有效生命期结束后,DHCPv6客户端不能再使用该地址。在有效生命期到达之前,如果DHCPv6客户端希望继续使用该地址,则需要更新地址租约。

DHCPv6客户端为了延长其与IA关联的地址的有效生命期和首选生命期,在T1时刻,发送包含IA选项的Renew报文给服务器,其中IA选项中携带需要续租的IA地址选项。如果DHCPv6客户端一直没有收到T1时刻续租报文的回应报文,那么在T2时刻,DHCPv6客户端通过Rebind报文向DHCPv6服务器继续续租地址。

T1时刻地址租约更新过程如下:

  1. DHCPv6客户端在T1时刻(推荐值为优先生命期的0.5倍)发送Renew报文进行地址租约更新请求。
  2. DHCPv6服务器回应Reply报文。
    • 如果DHCPv6客户端可以继续使用该地址,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址租约。
    • 如果该地址不可以再分配给该DHCPv6客户端,则DHCPv6服务器回应续约失败的Reply报文,通知DHCPv6客户端不能获得新的租约。

T2时刻地址租约更新过程如下:

  1. DHCPv6客户端在T1时刻发送Renew请求更新租约,但是没有收到DHCPv6服务器的回应报文。

  2. DHCPv6客户端在T2时刻(推荐值为优先生命期的0.8倍),向所有DHCPv6服务器组播发送Rebind报文请求更新租约。

  3. DHCPv6服务器回应Reply报文。

    • 如果DHCPv6客户端可以继续使用该地址,则DHCPv6服务器回应续约成功的Reply报文,通知DHCPv6客户端已经成功更新地址/前缀租约。
    • 如果该地址不可以再分配给该DHCPv6客户端,则DHCPv6服务器回应续约失败的Reply报文,通知DHCPv6客户端不能获得新的租约。

    如果DHCPv6客户端没有收到DHCPv6服务器的应答报文,则到达有效生命期后,DHCPv6客户端停止使用该地址。

IP地址预留:

DHCPv6服务器支持预留IPv6地址,即保留部分IPv6地址不参与动态分配。比如预留的IPv6地址可作为DNS服务器的IPv6地址。

 

DHCPv6

 

DHCPv6除了工作模式与DHCP类似以外,与DHCP也不兼容,它的协议内容也进行了重新定义。

 

因为IPv6中没有广播的概念,所以不像DHCP基于广播地址255.255.255.255来发现DHCP Server,DHCPv6中,有两个保留的组播地址,用来发现网络中的DHCP Server:

 

  • All_DHCP_Relay_Agents_and_Servers (ff02::1:2)
    • DHCPv6 client使用这个地址将DHCP请求发送给所有的DHCPv6 relay(中继)agent和DHCPv6 server,这样可以发现网络中的DHCPv6 Server
  • All_DHCP_Servers (ff05::1:3)
    • DHCPv6 relay agent通过这个地址将DHCP请求转发给所有的DHCPv6 server

 

DHCPv6仍然是基于UDP协议,但是使用的是UDP的547(Server监听端口)和546(Client监听端口)。

 

IPv6协议下,每个网卡都默认带一个link-local地址,这个地址是fe80::/10的前缀加上(一般情况下)网卡的MAC地址生成[RFC4291]。IPv6的link-local用来在一个二层链路中唯一标识一块网卡,并且可以在有限场景下在一个二层链路中用来通信。

 

在DHCP(IPv4)协议下,DHCP Client在发起请求的时候,因为还没有IP地址,所以源IP只能是Unspecified Address(0.0.0.0)。而DHCPv6 Client在发起请求的时候,网卡已经有IPv6地址了,所以源IPv6地址就是网卡的link-local地址,目的地址是DHCPv6保留的组播地址ff02::1:2

 

DHCPv6 Server在收到请求之后,将IPv6地址在单播回给Client网卡的link-local地址。其中IPv6地址包含在Advertise和Reply中,这个过程与DHCP类似。

 

两个协议,三种模式

 

IPv6的动态地址配置主要依赖两个协议,一个是DHCPv6(RFC8415),另一个是IPv6 Stateless Address Autoconfiguration(RFC4862)

 

实际应用中通常将DHCP Server配置在路由器上,或者路由器作为一个DHCP relay agent。如果没有路由器,网络只是一个二层网络,作用有限。因此,这两个设备本身可以只是一个设备,并且它们之中,路由器占主导地位。

 

基于这个背景,IPv6的动态地址配置有三种模式:

 

  • SLAAC,Stateless Auto Address Configuration
  • Stateless DHCPv6
  • Stateful DHCPv6

 

这里的Stateful,指的就是DHCP Server管理的IP地址,因为这些地址存在一个分配关系,需要一个程序去管理这个状态。Stateless Address是指这个地址就是分配给某一个确定的主机使用,没有其他状态。

 

SLAAC

 

SLAAC基于协议RFC4861和RFC4862。在SLAAC的世界里,没有DHCPv6。SLAAC协议由路由器来通告配置IPv6地址所需要的信息。具体工作流程是这样:支持IPv6的网卡启动的时候会发送一条RS(Router Solicitation)消息,源IP是网卡的link-local地址,目的IP是ff02::2。ff02::2也是保留的组播地址,用来表示所有的路由器。这条消息用来查找当前网络中的路由器。

 

路由器收到这条消息之后,会回传一条RA(Router Advertisement)。一般情况下,RA的源IP地址是Router的link-local地址,目的地址是ff02::1。ff02::1也是一个保留的组播地址,用来表示所有的主机。也就是说任意网卡发起的RS消息,都会引起路由器将RA消息在整个网络中发送给所有的主机。除此之外,就算没有任何RS消息,路由器也应当定期向所有主机发送RA。

 

RA可以发送给网络中所有主机的基础就是,不像DHCP消息,RA是无状态的,任何主机接收到了RA消息之后,都能根据其中的信息完成IP地址配置。RA的options中通常包括:

 

MTU 主机可以根据这个MTU值配置自己的MTU 路由器的MAC地址 0或者N个prefix(网段)
 

 

如果RA中一个prefix的auto标志位是1,那相当于告诉网卡,可以自己从这个prefix中生成一个IPv6的地址。网卡只需要使用一个局域网中唯一的标识符,再加上这个prefix,就能生成一个IPv6地址。网卡在局域网中的天然唯一标识符就是MAC地址,因此一般情况下,SLAAC协议中,网卡是通过RA中的prefix和自身的MAC地址,再根据EUI-64格式生成一个IPv6地址。SLAAC协议的基础就是IPv6地址长度足够大,能支持这样的配置。

 

RA消息还能带来一个潜在的配置,主机会将IPv6的默认网关,指向RA的源IP地址,也就是Router的link-local地址。生成的默认路由是有时效的,时间是Router Lifetime。所以需要路由器定时发布RA(类似于心跳),更新主机的默认路由。这个机制讲道理是合理的,默认路由只有在路由器还活着的时候才有意义。但是这个机制增加了管理的复杂度,尤其在SDN场景,虚拟路由器下定时发布RA。

 

SLAAC协议有两个问题,一个是IPv6的地址不可控了,一般情况下与主机的MAC地址相关;另一个是RA格式比较简单,能传递的配置有限,一些复杂的主机配置无法通过RA传递。

 

但是好处是简单,只用路由器,不需要DHCPv6的介入,就可以完成简单的IP地址配置;另外无状态地址能简化管理,只需要一些简单的程序就能完成Prefix分发,不需要集中的管理地址,处理多节点数据同步,这有点像分布式架构。SLAAC的配置过程如下如所示:

 

 

Stateless DHCPv6

 

Stateless DHCPv6就是结合了SLAAC和DHCPv6。其中IPv6地址配置通过SLAAC下发,其他配置通过DHCPv6下发。这样能弥补SLAAC模式下,RA所能传递配置有限的问题。

 

Stateful DHCPv6

 

这里就是纯纯的DHCPv6了,但是前面说过,DHCPv6不支持子网掩码长度,路由,和默认路由。这样就导致通过DHCPv6获得的IPv6地址,因为没有掩码长度,地址的掩码都是128位。而路由和默认网关,还是需要依赖RA。因为在IPv6中,动态配置路由和默认网关的唯一方式就是使用Router Advertisement消息。所以,就算使用了DHCPv6,也不能完全摆脱RA消息。只是说DHCPv6下,IPv6地址变得可控了。所以,在IPv6动态地址配置中,Router Advertisement是必不可少的,因为它控制了主机路由和默认路由。同时Router Advertisement还控制了IPv6的动态地址配置模式。在RA的数据中,有两个标志位M(Managed)和O(Other)。

 

  • 当M=0,O=0时,IPv6地址工作在SLAAC模式下
  • 当M=0,O=1时,IPv6地址工作在Stateless DHCPv6模式下
  • 当M=1时,IPv6地址工作在Stateful DHCPv6模式下

 

 

 

深入研究自动分配IPv6地址的Stateless(无状态)与Stateful(有状态)方式

 

 

 


 

目录

 

▪ 一. Link-Local Address的生成方式

 

▪ 二. Global Address的生成方式

 

▪ 三. RA报文中3个关键的Flag

 

▪ 四. 流程示意图

 

▪ 五. 测试获得IP效果

 

▪ 六. 应用场景(选择无状态还是有状态)

 

▪ 七. 后续内容

 

▪ 附. 参考文档

 


 

一. Link-Local Address的生成方式

 

生成“链路本地地址”,有2种方式

 

▷ 手动配置

 

▷ 自动配置

 

其中“自动配置”根据算法,又分为

 

▷ eui64:根据mac地址换算而来

 

▷ stable_secret:跟随网络环境的变化而变化,处于固定网络环境时其值将固定

 

▷ random:随机生成

 


 

二. Global Address的生成方式

 

生成“全球单播地址”(或者“唯一本地地址”),有2种方式

 

▷ 手动配置

 

▷ 自动配置

 

其中“自动配置”根据获取方式,又分为

 

▷ 无状态(Stateless):根据路由通告报文RA(Router Advertisement)包含的prefix前缀信息自动配置IPv6地址,组成方式是Prefix + (EUI64 or 随机)。Stateless也可以称为SLAAC(Stateless address autoconfiguration)

 

▷ 有状态(Stateful):通过DHCPv6方式获得IPv6地址

 

其中“有状态”又分为2种

 

▷ 有状态DHCPv6(Stateful DHCPv6):IPv6地址、其他参数(如DNS)均通过DHCPv6获取

 

▷ 无状态DHCPv6(Stateless DHCPv6):IPv6地址依然通过路由通告RA方式生成,其他参数(如DNS)通过DHCPv6获取

 

为了避免混淆,在此解释下有状态、无状态到底是什么意思:首先,请明确一点,有状态、无状态仅针对于IPv6地址分配方式,并不包含其他参数

 

▷ 有状态:可控、可管理。在网络中存在一个IP地址管理者,它能够识别客户端,根据不同的客户端,分配对应的IPv6地址,客户端与服务端之间需要维护IP地址的租期及续约。目前实现这种效果的,就是DHCPv6协议,IP地址管理者就是DHCPv6 Server

 

▷ 无状态:不可控、难管理。在网络中只有网关,没有IP地址管理者。因此无人去识别客户端,每个客户端根据网关发送的相同的RA报文内容,自行配置IPv6地址

 


 

三. RA报文中3个关键的Flag

 

RA报文中存在3个关键的flag bit:

 

 

▷ Autonomous flag(简称A flag):表示是否配置无状态IP。在一个RA报文中,可存在多个prefix,比如2401::/64、2402::/64、2403::/64,每个prefix都可以独立配置A flag

 

▪ 为on时(对应bit位为1):表示客户端应当在该prefix范围内自动生成IPv6地址(客户端通过DAD自行保证地址可用),并配置子网路由条目、网关

 

▪ 为off时(对应bit位为0):表示客户端不应当在该prefix范围内自动生成IPv6地址,但是可以配置子网路由条目、网关

 

▷ Managed flag(简称M flag):表示是否配置有状态IP。M flag是RA报文的全局参数,一个RA报文只有一个M flag

 

▪ 为on时(对应bit位为1):表示在stateless流程结束后开始stateful流程,也就是告诉客户端可以通过DHCPv6来获得IPv6地址和其他参数(如DNS列表)

 

▪ 为off时(对应bit位为0):表示不通过DHCPv6来获得IPv6地址。

 

▷ Other flag(简称O flag):表示是否通过DHCPv6获得除IP以外的其他参数(如DNS列表)。O flag也是RA报文中的全局参数,一个RA报文只有一个O flag。注意:仅当M flag为off时,该参数才会被读取。

 

▪ 为on时(对应bit位为1):当M flag为on,或者M flag为off且至少有一个A flag为on时,将通过DHCPv6获得其他参数

 

▪ 为off时(对应bit位为0):当M flag为on时,依然将通过DHCPv6获得其他参数;当M flag也为off时,将不通过DHCPv6获得其他参数

 


 

四. 流程示意图

 

无状态和有状态并不是相互对立的,他们可以同时存在,也就是一张网卡上可以同时出现通过RA生成的IP以及通过DHCPv6获得的IP。通过下面这张笔者绘制的流程图可知晓其中奥秘。

 

 

从图中可以看到,顺序为:

 

1️⃣ Stateless自动配置“链路本地地址”

 

2️⃣ Stateless自动配置“全球地址”(或“唯一本地地址”)

 

3️⃣ Stateful自动配置“全球地址”(或“唯一本地地址”)和其他参数,其中Stateful阶段中存在Stateful DHCPv6或Stateless DHCPv6

 

注意:部分客户端操作系统或网络管理器当Stateless阶段没有收到RA报文后,就到此结束,不会走Stateful阶段,比如CentOS 7、Ubuntu 17的默认逻辑都是这样,而windows server 2012就会继续走Stateful阶段。

 


 

五. 测试获得IP效果

 

测试环境:客户端基于CentOS 7+NetworkManager(即系统默认的网络管理方式)进行测试

 

▪ 网关会发送RA报文,包含一个prefix

 

▪ DHCPv6 Server会分配IP、DNS

 

测试内容:测试M、O、A flag在所有排列组合的情况下

 

▪ 客户端是否会通过RA报文配置无状态IP

 

▪ 客户端是否会通过RA报文配置prefix子网路由

 

▪ 客户端是否会通过RA报文配置gateway

 

▪ 客户端是否会通过DHCPv6获得有状态IP

 

▪ 客户端是否会通过DHCPv6获得DNS

 

测试结果

 

 


 

六. 应用场景(选择无状态还是有状态)

 

何时采用无状态、何时采用有状态,关键看应用场景。核心在于是否需要控制IP地址,比如保持IP不变,如果需要控制,就采用有状态;如果无需控制,就采用无状态。

 

▷ 服务端领域:如对外提供服务,通常需要采用有状态IP。因为业务IP的突然变化容易导致业务中断(除非做好服务发现)

 

▷ 客户端领域:如移动设备、办公室内PC机,只需要上IPv6互联网,并不需要对外提供服务,可以采用无状态IP

 

 

 

posted on 2019-12-23 14:45  wddblog  阅读(4323)  评论(0编辑  收藏  举报