ASA: Konfigurationsbeispiel für DHCPv6-Relay und Fehlerbehebung
Inhalt
Einführung
In diesem Dokument wird beschrieben, wie eine Cisco Adaptive Security Appliance (ASA) als DHCPv6 Relay Agent konfiguriert wird. Darüber hinaus werden einige grundlegende Problembehebungen behandelt. In ASA Code Version 9.0 und höher unterstützt die ASA
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Grundlegende IPv6-Konzepte
- IPv6-Adressierungsmechanismus
- DHCPv6-Paketfluss
- DHCP Relay-Konzepte
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der ASA 5500 Version 9.1.2.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Stateful/Stateless DHCPv6
Wenn Sie die verschiedenen Methoden zur Adresszuweisung in IPv6 verstehen, hilft Ihnen dies, die Funktionsweise der DHCPv6-Relay-Funktion auf der ASA zu verstehen. Eine Einführung in die Stateless Address Autoconfiguration (SLAAC) und DHCPv6 finden Sie unter Dynamische Adressenzuweisung in IPv6 mit SLAAC und DHCP.
Netzwerkdiagramm
In dieser Beispielkonfiguration wird beschrieben, wie die ASA als DHCPv6-Relay-Agent konfiguriert wird. In dieser Konfiguration ist CLIENT die Schnittstelle, über die der IPv6-Client verbunden ist. SERVER ist die Schnittstelle, über die der DHCPv6-Server 2001:db8:200:2/64 erreichbar ist.
DHCPv6 und DHCPv4-Nachrichtentypen
Stateless DHCPv6 Relay
Konfiguration
Nachfolgend finden Sie die grundlegende Konfiguration für die Stateless DHCPv6 Relay-Konfiguration auf der ASA:
interface GigabitEthernet0/1
nameif CLIENT
security-level 100
ipv6 address 2001:db8:100::1/64
ipv6 enable
ipv6 nd other-config-flag
!
interface GigabitEthernet0/0
nameif SERVER
security-level 0
ipv6 address 2001:db8:200:1/64
ipv6 enable
!
ipv6 dhcprelay server 2001:db8:200:2 inside
ipv6 dhcprelay enable outside
Paketfluss
Bei Stateless DHCPv6 gibt es den Paketfluss vom Client:
Die ASA fängt diese Pakete ab und bindet sie in das DHCP-Relay-Format ein:
Überprüfung
Debugger
Wenn Sie debug ipv6 dhcprelay und debug ipv6 dhcp aktivieren, werden relevante Ausgaben auf dem Bildschirm ausgegeben. Diese Ausgabe stammt aus einem Arbeitsszenario:
IPv6 DHCP: Received INFORMATION-REQUEST from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::c671:feff:fe93:b51a (CLIENT)
dst ff02::1:2
type INFORMATION-REQUEST(11), xid 1588088
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option ORO(6), len 6
DNS-SERVERS,DOMAIN-LIST,UNKNOWN
IPv6 DHCP_RELAY: Relaying INFORMATION-REQUEST from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP_RELAY: Creating relay binding for fe80::c671:feff:fe93:b51a at interface CLIENT
IPv6 DHCP_RELAY: to 2001:db8:200::2 via 2001:db8:200::2 using SERVER
IPv6 DHCP: Sending RELAY-FORWARD to 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::1
dst 2001:db8:200::2 (SERVER)
type RELAY-FORWARD(12), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 34
type INFORMATION-REQUEST(11), xid 1588088
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option ORO(6), len 6
DNS-SERVERS,DOMAIN-LIST,UNKNOWN
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP: Received RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::2 (SERVER)
dst 2001:db8:200::1
type RELAY-REPLY(13), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 67
type REPLY(7), xid 1588088
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option DNS-SERVERS(23), len 16
2001:db8:1000::1
option DOMAIN-LIST(24), len 11
cisco.com
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP_RELAY: Relaying RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP_RELAY: relayed msg: REPLY
IPv6 DHCP_RELAY: to fe80::c671:feff:fe93:b51a
IPv6 DHCP: Sending REPLY to fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::219:7ff:fe24:2e44
dst fe80::c671:feff:fe93:b51a (CLIENT)
type REPLY(7), xid 1588088
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option DNS-SERVERS(23), len 16
2001:db8:1000::1
option DOMAIN-LIST(24), len 11
cisco.com
Im Anforderungspaket INFORMATION-REQUEST fordert der Client nur DNS-Server und Domäne an, was erwartet wird, da der Client für Stateless DHCPv6 konfiguriert ist.
Wireshark-Snapshots
DHCP-Client-Anfrage
DHCP-Anfrage von ASA aktualisiert
DHCP-Antwort vom Server
An Client weitergeleitete Antwort
Stateful DHCPv6
Konfiguration
Nachfolgend finden Sie die grundlegende Konfiguration für die Stateful DHCPv6-Relay-Konfiguration auf der ASA:
interface GigabitEthernet0/1
nameif CLIENT
security-level 100
ipv6 address 2001:db8:100::1/64
ipv6 enable
!
interface GigabitEthernet0/0
nameif SERVER
security-level 0
ipv6 address 2001:db8:200:1/64
ipv6 enable
!
ipv6 dhcprelay server 2001:db8:200:2 inside
ipv6 dhcprelay enable outside
Paketfluss
Mit Stateful DHCPv6 ist hier der Paketfluss vom Client:
Die ASA fängt diese Pakete ab und bindet sie in das DHCP-Relay-Format ein:
Überprüfung
Debugger
IPv6 DHCP: Received SOLICIT from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::c671:feff:fe93:b51a (CLIENT)
dst ff02::1:2
type SOLICIT(1), xid 2490681
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option ORO(6), len 4
DNS-SERVERS,DOMAIN-LIST
option IA-NA(3), len 12
IAID 0x00040001, T1 0, T2 0
IPv6 DHCP_RELAY: Relaying SOLICIT from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP_RELAY: Creating relay binding for fe80::c671:feff:fe93:b51a at interface CLIENT
IPv6 DHCP_RELAY: to 2001:db8:200::2 via 2001:db8:200::2 using SERVER
IPv6 DHCP: Sending RELAY-FORWARD to 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::1
dst 2001:db8:200::2 (SERVER)
type RELAY-FORWARD(12), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 48
type SOLICIT(1), xid 2490681
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option ORO(6), len 4
DNS-SERVERS,DOMAIN-LIST
option IA-NA(3), len 12
IAID 0x00040001, T1 0, T2 0
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP: Received RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::2 (SERVER)
dst 2001:db8:200::1
type RELAY-REPLY(13), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 111
type ADVERTISE(2), xid 2490681
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option IA-NA(3), len 40
IAID 0x00040001, T1 43200, T2 69120
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
option DNS-SERVERS(23), len 16
2001:db8:1000::1
option DOMAIN-LIST(24), len 11
cisco.com
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP_RELAY: Relaying RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP_RELAY: relayed msg: ADVERTISE
IPv6 DHCP_RELAY: to fe80::c671:feff:fe93:b51a
IPv6 DHCP: Sending ADVERTISE to fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::219:7ff:fe24:2e44
dst fe80::c671:feff:fe93:b51a (CLIENT)
type ADVERTISE(2), xid 2490681
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option IA-NA(3), len 40
IAID 0x00040001, T1 43200, T2 69120
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
option DNS-SERVERS(23), len 16
2001:db8:1000::1
option DOMAIN-LIST(24), len 11
cisco.com
IPv6 DHCP: Received REQUEST from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::c671:feff:fe93:b51a (CLIENT)
dst ff02::1:2
type REQUEST(3), xid 2492842
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option ORO(6), len 4
DNS-SERVERS,DOMAIN-LIST
option SERVERID(2), len 10
00030001002414a33c94
option IA-NA(3), len 40
IAID 0x00040001, T1 0, T2 0
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
IPv6 DHCP_RELAY: Relaying REQUEST from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP_RELAY: to 2001:db8:200::2 via 2001:db8:200::2 using SERVER
IPv6 DHCP: Sending RELAY-FORWARD to 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::1
dst 2001:db8:200::2 (SERVER)
type RELAY-FORWARD(12), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 90
type REQUEST(3), xid 2492842
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option ORO(6), len 4
DNS-SERVERS,DOMAIN-LIST
option SERVERID(2), len 10
00030001002414a33c94
option IA-NA(3), len 40
IAID 0x00040001, T1 0, T2 0
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP: Received RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::2 (SERVER)
dst 2001:db8:200::1
type RELAY-REPLY(13), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 111
type REPLY(7), xid 2492842
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option IA-NA(3), len 40
IAID 0x00040001, T1 43200, T2 69120
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
option DNS-SERVERS(23), len 16
2001:db8:1000::1
option DOMAIN-LIST(24), len 11
cisco.com
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP_RELAY: Relaying RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP_RELAY: relayed msg: REPLY
IPv6 DHCP_RELAY: to fe80::c671:feff:fe93:b51a
IPv6 DHCP: Sending REPLY to fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::219:7ff:fe24:2e44
dst fe80::c671:feff:fe93:b51a (CLIENT)
type REPLY(7), xid 2492842
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option IA-NA(3), len 40
IAID 0x00040001, T1 43200, T2 69120
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
option DNS-SERVERS(23), len 16
2001:db8:1000::1
option DOMAIN-LIST(24), len 11
cisco.com
Wireshark-Snapshots
SOLIKIT (1)
Ein DHCPv6-Client sendet eine Anfrage zur Suche nach DHCPv6-Servern.
Die ASA leitet die Nachricht erneut ein.
WERBUNG (2)
Ein Server sendet eine Werbenachricht, um anzuzeigen, dass er für den DHCP-Dienst verfügbar ist, als Reaktion auf eine von einem Client empfangene Aufforderung.
ANTRAG (3)
Ein Client sendet eine Anforderungsmeldung, um Konfigurationsparameter, die IP-Adressen oder delegierte Präfixe enthalten, von einem bestimmten Server anzufordern.
ANTWORT (7)
Ein Server sendet eine Antwortnachricht, die zugewiesene Adressen und Konfigurationsparameter als Antwort auf eine von einem Client erhaltene Aufforderung, Anfrage, Verlängerung oder Neukennzeichnung enthält. Ein Server sendet eine Antwortnachricht, die Konfigurationsparameter als Antwort auf eine Informationsanforderungsmeldung enthält. Ein Server sendet als Antwort auf eine Bestätigungsmeldung eine Antwortnachricht, die bestätigt oder verweigert, dass die dem Client zugewiesenen Adressen für den Link geeignet sind, mit dem der Client verbunden ist. Ein Server sendet eine Antwortnachricht, um den Empfang einer Release- oder Ablehnungsnachricht zu bestätigen.
Fehlerbehebung
Die Verbindung mit dem DHCPv6-Server bestätigen.
ciscoasa# show ipv6 neighbor
IPv6 Address Age Link-layer Addr State Interface
2001:db8:200::2 0 0024.14a3.3c98 REACH SERVER
Bestätigen Sie, dass Sie Pakete vom Client erhalten, wenn dieser eine IPv6-Adresse anfordert. Das vom Client gesendete Paket hängt von den Adressenzuweisungseinstellungen ab (Stateful vs. Stateless).
Wenn der Client mit dem DHCPv6-Prozess beginnt, sendet er eine Router-Anfrage, um das Vorhandensein von IPv6-Routern auf der Verbindung zu erkennen. Es sendet eine Multicast Router Solicitation-Nachricht, um die IPv6-Router zur Reaktion aufzufordern. Im Ethernet-Header der Router Solicitation-Meldung werden folgende Felder angezeigt:
- Das Feld "Quelladresse" ist die MAC-Adresse des Hosts, der die IPv6-Adresse anfordert.
- Das Feld "Zieladresse" ist auf 33-33-00-00-00-02 festgelegt.
Im IPv6-Header der Router Solicitation-Meldung werden diese Felder angezeigt.
- Das Feld Quelladresse wird entweder auf eine der sendenden Schnittstelle zugewiesene lokale IPv6-Adresse oder auf die nicht angegebene IPv6-Adresse (::) gesetzt.
- Das Feld "Destination Address" (Zieladresse) ist auf die Multicast-Adresse des Bereichs "Link-Local Scope All-Router" (FF02::2) eingestellt.
- Das Feld "Hop Limit" ist auf 255 eingestellt.
Als Antwort senden die IPv6-Router unerwünschte Router-Werbenachrichten. Die Router-Werbebotschaft enthält die Informationen, die Hosts benötigen, um die Link-Präfixe, die Link Maximum Transmission Unit (MTU) und bestimmte Routen zu bestimmen.
ciscoasa(config)# show capture capin detail
fe80::c671:feff:fe93:b51a.546 > ff02::1:2.547: [udp sum ok] udp 42
[hlim 255] (len 100)---->Request from client
fe80::219:7ff:fe24:2e44.547 > fe80::c671:feff:fe93:b51a.546: [udp sum ok]
udp 75 [class 0xe0] (len 133, hlim 255)
ciscoasa(config)# show capture capout detail
2 packets captured
1: 12:06:52.700799 2001:db8:200:1.547 > 2001:db8:200:2.547: udp 88
[class 0xe0]---->ASA forwards request to DHCPv6 router
2: 12:06:53.289047 2001:db8:200:2.547 > 2001:db8:200:1.547: udp 121
[class 0xe0]----> Reply from DHCPV6 server.
DHCP-Relay-Ausgaben
ciscoasa# show ipv6 dhcprelay binding
1 in use, 1 most used
Client: fe80::c671:feff:fe93:b51a (CLIENT)
DUID: 00030001c471fe93b516, Timeout in 56 seconds
IPv6 DHCP_RELAY: Deleting binding for fe80::c671:feff:fe93:b51a at interface CLIENT
ciscoasa# show ipv6 dhcprelay statistics
Relay Messages:
SOLICIT 2
ADVERTISE 2
REQUEST 2
CONFIRM 0
RENEW 0
REBIND 0
REPLY 9
RELEASE 1
DECLINE 0
RECONFIGURE 0
INFORMATION-REQUEST 6
RELAY-FORWARD 11
RELAY-REPLY 11
Relay Errors:
Malformed message: 0
Block allocation/duplication failure: 0
Hop count limit exceeded: 0
Forward binding creation failure: 0
Reply binding lookup failure: 0
No output route: 0
Conflict relay server route: 0
Failed to add server input rule: 0
Unit or context is not active: 0
Total Relay Bindings Created: 8
Freigabeadressen
Clients können ihre DHCPv6-zugewiesene Adresse freigeben, nachdem sie sie für das Netzwerk verwendet haben. Im nächsten Abschnitt wird die Debug-Ausgabe dargestellt, die der Adressfreigabe in Stateful DHCPv6 zugeordnet ist.
Debugger
IPv6 DHCP: Received RELEASE from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::c671:feff:fe93:b51a (CLIENT)
dst ff02::1:2
type RELEASE(8), xid 3180815
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option SERVERID(2), len 10
00030001002414a33c94
option IA-NA(3), len 40
IAID 0x00040001, T1 0, T2 0
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
IPv6 DHCP_RELAY: Relaying RELEASE from fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP_RELAY: Creating relay binding for fe80::c671:feff:fe93:b51a at interface CLIENT
IPv6 DHCP_RELAY: to 2001:db8:200::2 via 2001:db8:200::2 using SERVER
IPv6 DHCP: Sending RELAY-FORWARD to 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::1
dst 2001:db8:200::2 (SERVER)
type RELAY-FORWARD(12), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 82
type RELEASE(8), xid 3180815
option ELAPSED-TIME(8), len 2
elapsed-time 0
option CLIENTID(1), len 10
00030001c471fe93b516
option SERVERID(2), len 10
00030001002414a33c94
option IA-NA(3), len 40
IAID 0x00040001, T1 0, T2 0
option IAADDR(5), len 24
IPv6 address 2001:db8:300:0:48ae:5f5d:8290:e926
preferred INFINITY, valid INFINITY
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP: Received RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP: detailed packet contents
src 2001:db8:200::2 (SERVER)
dst 2001:db8:200::1
type RELAY-REPLY(13), hop 0
link 2001:db8:100::1
peer fe80::c671:feff:fe93:b51a
option RELAY-MSG(9), len 45
type REPLY(7), xid 3180815
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option STATUS-CODE(13), len 9
status code SUCCESS(0)
status message: SUCCESS
option INTERFACE-ID(18), len 4
0x00000015
IPv6 DHCP_RELAY: Relaying RELAY-REPLY from 2001:db8:200::2 on SERVER
IPv6 DHCP_RELAY: relayed msg: REPLY
IPv6 DHCP_RELAY: to fe80::c671:feff:fe93:b51a
IPv6 DHCP: Sending REPLY to fe80::c671:feff:fe93:b51a on CLIENT
IPv6 DHCP: detailed packet contents
src fe80::219:7ff:fe24:2e44
dst fe80::c671:feff:fe93:b51a (CLIENT)
type REPLY(7), xid 3180815
option SERVERID(2), len 10
00030001002414a33c94
option CLIENTID(1), len 10
00030001c471fe93b516
option STATUS-CODE(13), len 9
status code SUCCESS(0)
status message: SUCCESS
Zugehörige Informationen
Konfigurationsbeispiel für ASA DHCP-Relay
Konfigurieren der ASA für die Weiterleitung von IPv6-Datenverkehr
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)