用于逻辑系统的 DHCP
了解 DHCP 对逻辑系统的支持
从 Junos OS 18.4R1 版开始,逻辑系统支持 DHCP 客户端功能,以学习分配给逻辑系统的接口的 IP 地址。此外,从 Junos OS 18.4R1 版开始,逻辑系统支持 DHCP 中继功能。DHCP 中继代理在 DHCP 客户端和 DHCP 服务器之间转发 DHCP 请求和响应。
DHCP 服务器分配 IP 地址,并为逻辑系统接口服务的子网上的客户端主机提供 DNS 服务器和默认网关等 IP 配置设置。DHCP 允许网络管理员集中管理主机之间的 IP 地址池,并自动在逻辑系统内的网络中分配 IP 地址。IP 地址在有限时间内租给主机,从而允许 DHCP 服务器在不需要永久 IP 地址的主机组之间共享有限的 IP 地址。
作为 DHCP 客户端操作的 SRX 系列防火墙接口从外部 DHCP 服务器接收 TCP 或 IP 设置和 IP 地址。
作为逻辑系统的 DHCP 中继代理运行的 SRX 系列防火墙会将来自 DHCP 客户端的传入请求转发到指定的 DHCP 服务器。客户端请求通过逻辑系统上的接口。
逻辑系统的最低 DHCPv6 中继代理配置
以下示例介绍了将 SRX 系列防火墙配置为逻辑系统的 DHCPv6 中继代理所需的最低配置。
开始之前,确定以下内容:
DHCPv6 中继组和用于逻辑系统的 DHCP 活动服务器组。
要为逻辑系统在路由实例中配置 DHCP 中继代理,请在 dhcp-relay 层次结构级别中 edit logical-systems LSYS1 routing-instances R1 配置语句。
示例:为逻辑系统配置 DHCPv6 客户端
此示例说明如何将 SRX 系列防火墙配置为逻辑系统的 DHCPv6 客户端。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 18.4R1 版
开始之前:
阅读 了解 DHCP 对逻辑系统的支持 ,了解此过程如何及在什么位置适合 DHCP 的整体支持。
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,主管理员将 SRX 系列防火墙配置为逻辑系统的 DHCPv6 客户端。
用于逻辑系统的 DHCPv6 客户端包含以下功能:
非临时地址 (IA_NA) 的身份关联
前缀委托的身份关联 (IA_PD)
自动配置或有状态模式
DHCP 唯一标识符 (DUID)
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-systems LSYS1 security zones security-zone trust host-inbound-traffic system-services all set logical-systems LSYS1 security zones security-zone trust host-inbound-traffic protocols all set logical-systems LSYS1 security zones security-zone trust interfaces ge-0/0/0.0 set logical-systems LSYS1 routing-instances r1 instance-type virtual-router set logical-systems LSYS1 routing-instances r1 interface ge-0/0/0.0 set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-type autoconfig set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-type stateful set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-ia-type ia-na set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-ia-type ia-pd set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client client-identifier duid-type duid-ll set logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client req-option dns-server set protocols router-advertisement interface ge-0/0/0.0
在逻辑系统中配置 DHCPv6 客户端
程序
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
配置安全区域以允许逻辑系统的流量。
[edit logical-systems LSYS1 security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust host-inbound-traffic protocols all user@host# set security-zone trust interfaces ge-0/0/0.0
创建路由实例并为逻辑系统分配路由实例类型。
[edit logical-systems LSYS1] user@host# set routing-instances r1 instance-type virtual-router
指定路由实例的接口名称。
[edit logical-systems LSYS1] user@host# set routing-instances r1 interface ge-0/0/0.0
配置 DHCPv6 客户端类型。客户端类型可以是
autoconfig逻辑系统,也可以stateful是逻辑系统的客户端类型。要启用 DHCPv6 自动配置模式,请将客户端类型配置为
autoconfig。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-type autoconfig
对于有状态地址分配,请将客户端类型配置为
stateful。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-type stateful
指定身份关联类型。
要为非临时地址 (IA_NA) 分配配置身份关联,请将指定
client-ia type为ia-na。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-ia-type ia-na
要为前缀委托 (IA_PD) 配置身份关联,请将指定为
client-ia-typeia-pd。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-ia-type ia-pd
通过为逻辑系统指定 DHCP 唯一标识符 (DUID) 类型,配置 DHCPv6 客户端标识符。支持以下 DUID 类型:
链路层地址 (duid-ll)
[edit tlogical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set client-identifier duid-type duid-ll
将 DHCPv6 客户端请求的选项指定为
dns-server逻辑系统。[edit logical-systems LSYS1 interfaces ge-0/0/0 unit 0 family inet6 dhcpv6-client] user@host# set req-option dns-server
配置路由器通告。
[edit] user@host# set protocols router-advertisement interface ge-0/0/0.0
结果
在配置模式下,输入命令以确认
show logical-systems LSYS1您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。user@host# show logical-systems LSYS1 interfaces { ge-0/0/0 { unit 0 { family inet6 { dhcpv6-client { client-type stateful; client-ia-type ia-na; client-ia-type ia-pd; client-identifier duid-type duid-ll; req-option dns-server; } } } } } routing-instances { r1 { instance-type virtual-router; interface ge-0/0/0.0; } } security { zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/0.0; } } } }在配置模式下,输入命令以确认
show protocols您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。user@host# show protocols router-advertisement { interface ge-0/0/0.0; }
完成设备配置后,请从配置模式进入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证用于逻辑系统的 DHCPv6 客户端
目的
验证是否已配置 DHCPv6 客户端信息。
行动
在操作模式下,输入 show dhcpv6 client binding logical-systems LSYS1 命令。
user@host> show dhcpv6 client binding logical-systems LSYS1
IP/prefix Expires State ClientType Interface Client DUID
2000::17/128 67762 BOUND STATEFUL ge-0/0/6.0 LL0x3-10:0e:7e:49:25:86
2000:100::/64 67762 BOUND STATEFUL ge-0/0/6.0 LL0x3-10:0e:7e:49:25:86
意义
输出显示逻辑系统的地址绑定信息。
验证逻辑系统的 DHCPv6 客户端绑定
目的
验证是否已配置 DHCPv6 客户端绑定信息。
行动
在操作模式下,输入 show dhcpv6 client binding detail logical-systems LSYS1 命令。
user@host> show dhcpv6 client binding detail logical-systems LSYS1
Client Interface/Id: ge-0/0/6.0
Hardware Address: 10:0e:7e:49:25:86
State: BOUND(DHCPV6_CLIENT_STATE_BOUND)
ClientType: STATEFUL
Lease Expires: 2018-11-09 07:11:47 UTC
Lease Expires in: 67760 seconds
Lease Start: 2018-11-08 07:11:47 UTC
Bind Type: IA_NA IA_PD
Preferred prefix length 0
Sub prefix length 0
Client DUID: LL0x3-10:0e:7e:49:25:86
Rapid Commit: Off
Server Identifier: fe80::46f4:77ff:fed6:670a
Client IP Address: 2000::17/128
Client IP Prefix: 2000:100::/64
DHCP options:
Name: server-identifier, Value: VENDOR0x00000583-0x34343a34
意义
输出显示逻辑系统的详细客户端绑定信息。
验证逻辑系统的 DHCPv6 客户端统计信息
目的
验证是否已配置 DHCPv6 客户端统计信息。
行动
在操作模式下,输入 show dhcpv6 client statistics logical-systems LSYS1 命令。
user@host> show dhcpv6 client statistics logical-systems LSYS1
Dhcpv6 Packets dropped:
Total 3
Bad Send 3
Messages received:
DHCPV6_ADVERTISE 1
DHCPV6_REPLY 1
DHCPV6_RECONFIGURE 0
Messages sent:
DHCPV6_DECLINE 0
DHCPV6_SOLICIT 1
DHCPV6_INFORMATION_REQUEST 0
DHCPV6_RELEASE 0
DHCPV6_REQUEST 1
DHCPV6_CONFIRM 0
DHCPV6_RENEW 0
DHCPV6_REBIND 0
意义
输出显示有关被丢弃的数据包数、接收的消息数以及 DHCP 客户端为逻辑系统发送的消息数的信息。
示例:为逻辑系统配置 DHCPv6 服务器选项
此示例说明如何在逻辑系统 SRX 系列防火墙上配置 DHCPv6 服务器选项。
要求
此示例使用以下硬件和软件组件:
SRX 系列防火墙
Junos OS 18.4R1 版
开始之前,确定以下内容:
IPv6 地址池范围和逻辑系统的 IPv6 前缀。
概述
在此示例中,您将所有 DHCPv6 组的默认客户端限制设置为 200。然后,创建一个名为 my-group 的组,其中包含至少一个接口。在这种情况下,接口为 ge-0/0/2.0。您可以使用命令设置一个接口 upto 范围,并将覆盖默认限制的组 my-group 的自定义客户端限制设置为 200。最后,使用 IPv6 地址 2001:db8:1/64 配置接口 ge-0/0/2.0,并为接口 ge-0/0/2.0 设置路由器通告。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-systems LSYS1 system services dhcp-local-server dhcpv6 group my-group overrides interface-client-limit 200 set logical-systems LSYS1 system services dhcp-local-server dhcpv6 group my-group interface ge-0/0/2.0 set logical-systems LSYS1 interfaces ge-0/0/2 unit 0 family inet6 address 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 prefix 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 range r1 low 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 range r1 high 2001:db8::1/64 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 dhcp-attributes maximum-lease-time 200 set logical-systems LSYS1 access address-assignment pool my-pool family inet6 dhcp-attributes option 21 string sip1.net set logical-systems LSYS1 protocols router-advertisement interface ge-0/0/2.0 prefix 2001:db8::1/64
程序
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要为逻辑系统配置 DHCPv6 服务器选项,
配置 DHCP 本地服务器。
[edit logical-systems LSYS1] user@host# set system services dhcp-local-server dhcpv6
为所有 DHCPv6 组设置默认限制。
[edit logical-systems LSYS1 system services dhcp-local-server dhcpv6] user@host# set group my-group overrides interface-client-limit 200
指定组名称和接口。
[edit logical-systems LSYS1 system services dhcp-local-server dhcpv6] user@host# set group my-group interface ge-0/0/2.0
配置一个具有 IPv6 地址的接口。
[edit logical-systems LSYS1 interfaces] user@host# set ge-0/0/2 unit 0 family inet6 address 2001:db8::1/64
配置地址池并指定 IPv6 系列。
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 prefix 2001:db8::1/64
为 DHCPv6 客户端配置 IPv6 前缀、范围名称和 IPv6 范围
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 range r1 low 2001:db8::1/64 user@host# set address-assignment pool my-pool family inet6 range r1 high 2001:db8::1/64
配置最长租用时间的 DHCPv6 属性。
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 dhcp-attributes maximum-lease-time 200
配置用户定义选项。
[edit logical-systems LSYS1 access] user@host# set address-assignment pool my-pool family inet6 dhcp-attributes option 21 string sip1.net
为接口配置路由器通告。
[edit logical-systems LSYS1 protocols] user@host# set router-advertisement interface ge-0/0/2.0 prefix 2001:db8::1/64
结果
在配置模式下,输入命令以确认 show logical-systems LSYS1 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
user@host# show logical-systems LSYS1
interfaces {
ge-0/0/2 {
unit 0 {
family inet6 {
address 2001:db8::1/64;
}
}
}
}
protocols {
router-advertisement {
interface ge-0/0/2.0 {
prefix 2001:db8::1/64;
}
}
}
system {
services {
dhcp-local-server {
dhcpv6 {
group my-group {
overrides {
interface-client-limit 200;
}
interface ge-0/0/2.0;
}
}
}
}
}
access {
address-assignment {
pool my-pool {
family inet6 {
prefix 2001:db8::1/64;
range r1 {
low 2001:db8::1/64;
high 2001:db8::1/64;
}
dhcp-attributes {
maximum-lease-time 200;
option 21 string sip1.net;
}
}
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证 DHCPv6 本地服务器配置
目的
显示扩展 DHCPv6 本地服务器上的客户端表中的地址绑定。
行动
在操作模式下,输入 show dhcpv6 server binding summary 命令以显示 DHCPv6 本地服务器上的客户端表中的地址绑定。
user@host> show dhcpv6 server binding summary 5 clients, (0 init, 5 bound, 0 selecting, 0 requesting, 0 renewing, 0 releasing)
意义
输出显示有关 DHCPv6 本地服务器地址绑定摘要的信息。