特性描述-ip业务v100r005c

技 特性描述-IP业 前

文档版本01(2010-09- 前 特性描述-IP业斜斜体[{x|y|...[x|y|...{x|y|...[x|y|...#文档版本01(2010-09- 文档版本01(2010-09-特性描述-IP业 前 1介 2 2原理描 2DHCP 3DHCP 5DHCPSnoo...............................................................................................................................1-应 10 13 1介 2 2原理描 3 3 6 10 11 11ND原 12ND........................................................................................................................................2- 15 1介 2 2原理描 2TCP原理描 2UDP原理描 4RawIP原理描 4 4 5文档版本01(2010-09- 信 特性描述-IP 介 原理描 静态 动态 信 文档版本01(2010-09-特性描述-IP业 插图1-1中间人........................................................................................................................................1-图1-2IP/MACSpoofing.......................................................................................................................1-图1-3DHCPSnoo丢弃报 8图1-4DHCPServer仿 9图1-5在Untrusted口上丢弃DHCPResponses报 9图1-6DHCP服务器典型组网应 11图1-7DHCP中继的典型组网应 11 12 13图2-1DHCPv6基本构架示意 4 7 8图2-4T1时刻地址租约更新过 9图2-5T2时刻地址租约更新过 9图2-6DHCPv6中继工作原理 10 11图3-1层次式结 3图3-2TCP连接建立和拆除过 3图3-3UDP协议报文格 4图3-4Socket分层模 5图4-1动态 3特性描述-IP业 表表1-1定时器的缺省 01(2010-09- 信特性描述-IP业 101(2010-09- 信

定DHCPDynamicHostConfigurationProtocol的简称，又被称为动态主机配置协议(以下简称DHCP)，是一种用于集中的对用户进行动态管理和配置的技术。目变化（如便携机或无线网络）IP地址的情况，需要使用动态主机配置协议DHCP解决这些问题。地获取IP地址，而不是静态为每台主机指定地址。DHCPOptionsandBOOTPVendorInteroperationBetweenDHCPandDynamicHostConfigurationDHCPOptionsandBOOTPVendorDHCPRelayAgentInformationDHCPDHCP1- 文档版本01(2010-09-特性描述-IP业 1DHCPDHCPDHCPServerDHCPIP地址的分配。客户端向服务器发送配置相应配置信息的报文，请求报文和回应报采用UDP进行封装。DHCP与服务器交互的三种模 DHCPDISCOVERIPIP地址分配给IPDHCPOFFER报文。DHCPOFFERDHCPOFFER报DHCPDHCPREQUEST报文，该信息中包含向所选定的DHCP服务器请求IP地址的内容。DHCPIPDHCP服务器收到IPDHCPACK确认报文。然后，DHCPTCP/IP用于其他客户端的IP地址申请。 IPDHCPREQUESTDHCPDISCOVER报DHCPDHCPREQUEST报文后，如果客户端申请的地址没有被分DHCPACKDHCPIP地DISCOVER报文请求新的IP地址。DHCPIP地址通常有一定的租借期限，期满后服务器延长IP地址租约）。文档版本01(2010-09- 31

IP地址的静态和动态分IP地址的占用时间，不同主机有不同的需求：对于服务器，可能需要长期使某些个人则可能只在需要时分配一个临时的IP地址就可以了。lIP地址分配的优先次求IP地址选项的地址；的IP地址，如果找到可用的IP地址，则进行分配，否则报告错误。防止IP地址重复分配的方得到应答，则继续发送报文，直到发送包的数量达到最大值。如果仍然超的IP地址是唯一的。DHCPIP地址给客户端，预留的IP地址可以是地址池中的地址，也可以不去的地址一般用于某个DNS服务器的IP地址。支持Option自定义选DHCPOption，DHCPIP地址的时候，会通DHCPOption字段中的配置信息。DHCPOption选项的取值范围为0-255，可以自定义Option选项。地址池的

1- 文档版本01(2010-09-特性描述-IP业 1DHCPIP地址通常有一定的租借期限，期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址，需要更新IP租约（如延长IPDHCPIP3个定时器，分别用来控制租期更新、重绑定和判断是否已经到达租期。DHCPIP地址时，时器的缺省值如表1-1所示。IPDHCPDHCPREQUEST报文，此IPDHCPDHCPACK报收到DHCP服务器返回的DHCPNAK报文，则进入到初始化状态。当客户端发送延长租期的DHCPREQUEST报文后，保持在更新状态等待响应。若直服务器不可用，并开始发送广播的DHCPREQUEST报文。DHCPACK报文，就返回到绑定状态，且重新设置“租期更新和重绑定定时器”，如果客户端收到的都DHCPNAK报文，就返回到初始化状态。此时客户端停止使用此IP地址，并且返回到初始化状态，重新申请新的IP地址。址，并且返回到初始化状态，重新申请新的IP地址。DHCPDHCPDHCP客户端的广播报文透明地传送DHCPDHCP服务器端的广播报文透明地传送到其它网段的DHCP客户端。该接口配置IP中继地址，用来指定DHCP服务器。文档版本01(2010-09- 51

之间转发DHCP报文，就需要DHCPRelay支持 （或者公网），DHCPRelay将把该客户端的DHCP请求报文发往本 Server，并把DHCP回应报文发送给该客户端。的IP地址。 端发起Release请求。 DHCPDHCPSnoo是一种DHCP安全特性，可以防止 者仿冒IP和MAC利用ARP、IP、DHCP报文对服务器端和客户端进行。这些 是部署DHCPSnoo特性的交换机，DHCPServer可以不解析该字段，但要将Option82信息在DHCP回应报文中原封带回，在部署DHCPSnoo特性的设备接收到携带本机的Option82信息的DHCPReply报文时，将Optin82信息剥离。l配置Option82的功能时，如果接口收到的DHCP报文中带有option82选项，并且不包含REMOTE-ID则REMOTE-ID，否则不处理该选项；如果接口收到的DHCP报文中没有Option82选项，则在DHCP报文中Option82选项。 则在DHCP报文中Option82选项；如果原来的DHCP报文中有Option82选项，则删除DHCP报文中原有的Option82选项，新的Option82选项。1- 文档版本01(2010-09-特性描述-IP业 1DHCPSnoo绑定llDHCPServerIP地址、MAC地址、VLANIPIP报文、ARP报文、DHCP续租报文时，通过绑定表信息，检查该端口接收到的报文的，对报文进行过滤并统计，如果报文丢弃计数超DHCPSnoo部署在DHCPRelay设备上时，需要和DHCPRelay功能配套使用。l中间人－者充当中间MAC地址和服务器IPARP报文，让客户IPMACARP表项，达到仿冒服务器的目学到包含客户端IP地址和自己MAC地址的ARP表项，达到仿冒客户端的目 1-1DHCP DHCP 文档版本01(2010-09- 71

1-2IP/MACSpoofingDHCP

DHCP定关系）ARP、IP报文进行User图1-3DHCPSnoo丢弃报UserISPL3 DHCPsnooL2 DHCP “信任”和“不信任”端口模DHCP请求报文以广播形式发送，DHCPServer仿冒者可以侦听到，并且回应仿冒信1-1- 信01(2010-09-特性描述-IP业 11-4DHCPServerDHCP

DHCPx DHCPx xDHCPpseudo没有使能DHCPSnoo时，设备上所有接口缺省都是Trusted状态；使能DHCPSnoo功能后所有口缺省都是Untrusted状态。只有与运营商网络相连的接口才止了DHCPServer的仿冒。ISPISPL3DHCPL2DHCPDHCPResponses(offer,ack,User在网络中，如果有私自架设的DHCP服务器，当其他用户申请IP地址时，这台DHCP服务器就会与DHCP客户端进行交互，导致用户获得错误IP地址，无法正常上网，这种私设的DHCP服务器称为伪DHCP服务器。01(2010-09- 信1

CHADDR的检查功DHCPSnoo提供以太帧中源MAC地址与DHCP请求报文中CHADDR的一致性检查，如果不一致，丢弃该DHCP请求报文。DHCPSnoo与ARP联动功在DHCP报文使用过程中可能会出现用户异常下线的情况，此时DHCPServer分配给用IPDHCPSnoo绑定表DHCPRelayDHCPSnoo功能时，可以配置ARP联动功能。DHCPSnoo利用ARP表项定时检查动态用户是否下线，如果用户已经下线，发送ServerDHCPSnoo的用户规格。报文统计及告 的ARP报文、 的IP报文、的DHCP报文。当设备收到的报文时， 警的频率。用户也可以关闭告警，这时DHCPSnoo系统检测到报文时仍然丢 ACKDHCPNAK报文。

机），如图1-6所示。1- 文档版本01(2010-09-特性描述-IP业 1DHCP DHCPDHCPllIP地址数量，无法给每个主机分配一个固定的IPDHCPIP地址，而且，对并发用lIPIPDHCP中

DHCP

DHCPDHCPDHCPPPP网段内的情况，不能跨网段。因此，为进行动态主机配置，需要在每个网段置一个DHP01(2010-09- 信1DHCP

DHCP中继（DHCPRelay）DHCP中继与其他网段的DHCP服务器通信，最终取得合法的IP地址。这样，多个网段的DHCP客户端可以使用同一个DHCP服务器，既节省了成本，又便于进行集中管理。组网图。DHCPSnoo部署在三层网络上时，需要依赖DHCPRelay功能。ISPISPL3DHCPL2DHCPUser1-1- 信01(2010-09-特性描述-IP业 1ISPISPDHCPDHCPUser术无缩略DynamicHostConfigurationAddressResolutionClienthardware特性描述-IP业 201(2010-09- 信

定l灵活的配置功能l强大的可管理性l可扩展性目 InternetProtocol,Version6(IPv6)-ClientDynamicHostConfigurationProtocolforIPv6(DHCPv6)RelayAgentRemote-IDOption-StaessDynamicHostConfigurationProtocol(DHCP)ServiceforIPv6-2- 文档版本01(2010-09-特性描述-IP业 2IPv6 essAddress-NDNDDHCPv6DHCPv6IPv4DHCP一样，所有的报文，客户端也无需配置服务器的IPv6地址。DHCPv6

DHCPv6方式获取地址和其他网络配置信息（DNS、NIS、SNTP服务器等参数）。有状态DHCPv6方式可以通过DHCPv6两步交互和DHCPv6四 DHCPv6文档版本01(2010-09- 32

DHCPv6 DHCPv6relayDHCPv6DHCPv6 DHCPv6 DHCPv6RelayDHCPv6IPv6地址和其他 DHCPv6DHCPv6服务器，负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求，为客户端分配IPv6地址和其他网络配置信息。接通过单播交互完成地址分配或信息配置的情况下，是不需要DHCPv6中继参与端和DHCPv6服务器无法单播交互的情况下，才需要DHCPv6中继的参与。DHCPv6lDHCPv6DHCPv6ServerIP地址，而是发送目的地址为组播地址的Solicit报文来定位DHCPv6服务器。lDHCPv4协议中，客户端发送广播报文来定位服务器。为避免广播风暴，在IPv6中，已经没有了广播类型的报文，而是采用组播报文。DHCPv6用到的组2- 文档版本01(2010-09-特性描述-IP业 2继的组播地址，这个地址是链路范围的，用于客户端和相邻的服务器及中继之间通信。所有DHCP服务器和中继都是该组的成员。FF05::1:3（All_DHCP_Servers）：DHCP服务器多播地址，这个地址是UDPlDHCPv6报文承载在UDPv6上 客户端的UDP端是546 12告自己能够提供DHCPv6服务。34前获得的IP地址是否适用与它所连接的链路。56如果Renew报文没有得到应答，客户端向任意可达的服务器发送Rebind7从客户端收到的Solicit、Request、Renew、Rebind报8901(2010-09- 信2

信息，但是不请求IP地址。lDUIDDHCP设备唯一标识符，每个服务器或客户端有且只有一个唯一标识符，服务器使用DUID来识别不同的客户端，客户端则使用DUID来识别服务lDUIDClientIdentifierServerIdentifier选项option-codeClientIdentifier还是ServerIdentifier选项。 l（简称IA）是使得服务器和客户端能够识别、分组和管理一系列相关IPv6地址的结构。每个IA包括一个IAID和相关联的配置信息。lIPv6IA。IAIA必须明确关联到lIA的由IAID唯一确定，同一个客户端的IAID不能出现重复。IAID不应因lIAIPv6T1T2生存期组成。IA中的每lIAIAIA可以包含一个或多lIDIDDHCPv6Solicit/lIDID具有一定的随机 M/OlMRAM标记置位时，表示链的IPv6主机采用有状态地址分配方式获取地址和配置参数。lORAO标记置位时，表示链的IPv6主机采用有状态方式获取配置参数。DHCPv62- 文档版本01(2010-09-特性描述-IP业 2DHCPv6端的Solicit报文后，为其分配地址和配置信息，直接回应Reply报文，完成地址申请和分DHCPv6DHCPv6服务器的网络中，因为说明lDHCPv6服务器端如果配置使能了两步交互，并且客户端报文中也包RapidCommit选项，lDHCPv6IPv6地址和其(1)Solicit(containsaRapidCommit(1)Solicit(containsaRapidCommitDHCPv6息的服务器，接着通过Request/Reply报文交互完成地址申请和分配过程。 文档版本01(2010-09- 72

Solicit报文中没有携带RapidCommitSolicitRapidDHCPv6客户端接收到多个服务器回复的AdvertiseAdvertise报Request报DHCPv6地址租约优先生命期和有效生命期构成）和续租时间点（IAT1、T2）构成。地址有效生命期IARenewIAIA地址选项。如果DHCPv6客户端一直没有收到T1时刻续租报文的回应报文，那么在T2时刻，DHCPv6客户端通过RebindDHCPv6服务器继续续租地址。T12-42- 文档版本01(2010-09-特性描述-IP业 22-4T1 lDHCPv6DHCPv6lDHCPv6DHCPv6服务器回应续约失败的Reply报文，通知DHCPv6客户端不能获得新的租约。T22-52-5T2 DHCPv6客户端在T1时刻发送RenewDHCPv6服务务器组播发送Rebind报文请求更新租约。01(2010-09- 信2

lDHCPv6DHCPv6lDHCPv6DHCPv6服务器回应续约失败的Reply报文，通知DHCPv6客户端不能获得新的租约。说明DHCPv62-6所示。DHCPv6ClientDHCPv6RelayAgent转发报文，获取IPv6地址和其他网络配置参数（例如DNS等）。 (1)DHCPv6message(1)DHCPv6messagefrom(4)DHCPv6messageto项（RelayMessageOption）Relay-forwardDHCPv6Server。ClientIPv6Relay-reply报文的中继消息选项中，并将Relay-reply报文发送给DHCPv6RelayAgent。从该DHCPv6Server分配地址和其他参数。2- 文档版本01(2010-09-特性描述-IP业 2DHCPv6在地址分配前，IPv6DAD通过后，首先有一个链路路由器式获取地址和其他配置参数（DNSserver的地址等），DHCPv6方式的工作过程请参见DHCPv6两步交互和DHCPv6四步交互地址分配过程。在地址分配前，IPv6DAD通过后，首先有一个链路路由器IPv6节点收到RAM标记0，O标记1，则IPv6节点通过无状态DHCPv6方式获取配置参数（包DNS、SIP、SNTP等服务器配置信息，不包括地 includesanincludesanOptionRequestincludestherequestedDHCPv6DHCPv6Information-request报文，该报文中OptionRequest选项，指DHCPv6DHCPv6服务器获取的DHCPv6Information-requestDHCPv6客户端分配网络配置参数，并单播发送Reply报文，将网络配置参数返回给DHCPv6客户端。DHCPv6ReplyInformation-request报文中请求的配置参数相符，则按照Reply报文中提供的参数进行网络配置，否则忽略该报文中提供的参数完成DHCPv6客户端无状态配置。DHCPv6文档版本01(2010-09- 112

Remote-id选 责添加remote-id选项。 Interface-id选link-address字段无法标识接收客户端报文的接口时，才需要包含Interface-id选项。目前实现统一添加Interface-id选项。何其他类型的DHCPv6报文中。 id选项。 NDNDP即邻居发现协议（NeighborDiscoveryProtocol）ND。NDIPv6的一个基础性协议，它是IPv4某些协议在IPv6中综合升级和改进，如ARP、ICMP路由器发现和ICMP重定向等协议。作为IPv6的关键协议，ND还提供了其他功能，如前 路由器发现（Router 2- 文档版本01(2010-09-特性描述-IP业 2 路由器发

数限制（HopLimit）、地址配置方式等信息。lRS报文，触发链路路由器响应RA报文。主机发现本地链的路由器后，自动配置缺省路由器，建立缺l路由器周期性的发送RA报文，使主机发现本地链的路由器及其配置信息，主IPv4ARP。NDNSNAIPv6地址到链路层ANSNodeB对应的被请求节点组播地址，选项字段中带上NodeA的链路层地址。BNS报文后，由于报文的目的地址属于自己被请求节点的组播地址，处NANS，同时在消息的目标链路层地址选项中带上项（类似于IPv4的ARP表），可以相互通信了。 文档版本01(2010-09- 132

邻居不可达检ND协议用NS和NA报文来验证邻居节点的可达性。节点在确定邻居的链路层地址值为30秒）不能接收或者发送返回的报文，则删除此邻居缓存表项。相邻节点并不一定就是数据包的最终目标。NUD检测仅仅验证了到目标路径上第一跳重复地址

IPv6节点在本地链路范围内组播发送NS报文，如果在规定时间内没有NA报文进行应ND

地

者可以使用RS/NS/NAMAC者能够RS/NS/NA报文，发送给网关或受害主机，通过这种方式来对网关MACMAC地址进行修改，这样就造成 DAD当受害主机进行DAD查询的时候，者通过NS或NA报文进行干扰，使得受害主机的DAD过程失败，无法获取到IP地址，这种的概率和NS/NA的以NA报文，应答受害者的NS报文。这两种情况，受害主机都无法获取地 RA服务器进行有状态地址分配等网络配置的关键信息。如果受害者接收了虚RA–不存在的前缀，修改受害主机的路由表–DHCPv6服务器，同时RA中的M标记，造成受害主机使用 2- 文档版本01(2010-09-特性描述-IP业 2 ND防

的思路是：通过NDSNOO 模式与手工配置的方式，获取到合法用户的IP-在局域网中ND的根本原因是无法对ND报文进行验证，从而无法获知正确的使得网络中可能发生/ND。S5700交换机通过NDsnoo、手工配置等方式异常的ND报文进行过滤，达到防止ND的效果。过ND协议的DAD交互过程，获取用户的IP、MAC、VLAN、Port的对应lRA缩略DynamicHostConfigurationProtocolforIPv6RouterStaessAddressIdentityIdentityAssociationNeighbor文档版本01(2010-09- 152

2- 文档版本01(2010-09-特性描述-IP业 301(2010-09- 信

定

IPv4（InternetProtocolVersion4）是TCP/IP协议族中最为的协议。它工作在TCP/IPOSI参考模型的网络层相对应。IP层提供了无连接数据传目TransmissionControlUserDatagramTCP传输控制协议（TCP）RFC793定义，用于在主机间实现高可靠性。TCP协议为用户3-1表示了TCPIP协议，TCPIP协议3- 文档版本01(2010-09-特性描述-IP业 3TCPIP协议，上层接口包括一系列类似于操作系统中断的对于上层应用程序，TCPIP协议接口。为了在并不可靠的网络上实现面向连接的可靠的传送数据，TCP必须：l解决可靠性、流量控制的问题l为上层应用程序提供多个接口l为多个应用程序提供数据l解决连接问l调用

并调用

文档版本01(2010-09- 33

UDP数据传送应该使用传输控制协议（TCP）。数据报格式如图3-3所示。3-3UDP.3.3RawIPRawIPIP首部的有限几个字段，但它允许应用进程提供自己的IP首部。它与连接的，即在主机间传输数据时，不需要任何类型的电路。RawIPUDP的区别在SocketSocket是一组编程接口（API），介于传输层与应用层之间，传输层差异，向应用TCP/