SAVI 技术(二)

（2）DHCPv6 snooping功能

一、首先介绍一下DHCP工作原理:

DHCP的工作流程如下图：

DHCP 工作流程详解：

①DHCP客户端主动发起DHCP Discover包，用来寻找DHCP服务器，其中：

源MAC是自己的MAC地址，目的MAC是FFFF.FFFF.FFFF的广播

源IP是0.0.0.0（现在还没有IP，就用全0地址），目的IP是255.255.255.255的三层广播

因为DHCP服务器在哪里还不知道，所以使用广播来寻找，广播会泛洪到整个网段中；

②DHCP服务器收到客户端发的DHCP Discover之后，会在自己的地址池中拿出一个没有分配的地址以及配套的参数（如：掩码、DNS、网关、域名、租期……），然后以一个DHCP Offer包发送出去。
这个DHCP Offer数据包的地址如下：

源MAC是DHCP服务器的MAC，目的MAC是FFFF.FFFF.FFFF的广播

源IP是DHCP服务器的IP，目的IP是255.255.255.255的广播

这时客户端还没有获得IP，DHCP服务器端现在还无法定位客户端，所以用广播来回应。

③客户端收到这个DHCP Offer后，会再发出一个DHCP Request给服务器来申请这个Offer中包含的地址。
这个时候，客户端还没有正式拿到地址，所以还需要向DHCP服务器申请。

这时客户端的源IP还是0.0.0.0，目的IP还是255.255.255.255

源MAC是客户端的MAC，目的MAC是FFFF.FFFF.FFFF广播包

④服务器收到客户端的请求后，会发出一个DHCP ACK用来确认这个IP地址可以分配给这个客户端。
客户端收到第四个DHCP ACK数据包才算正式拿到了这个IP。

二、DHCPv6 snooping功能

在用户不需要认证和使用 DHCPv6 方式获取 IPv6 地址的环境之下，可以独立使用 DHCPv6 SNOOPING 在交换机上绑定用户，用户的（ipv6 address，mac，port）绑

定信息可以是通过 DHCPv6 SNOOPING 在用户动态获取地址的过程中获得。接入主机获取动态地址之前只能访问 DHCP SERVER 和使用本地链路地址 fe80： ：/10 

访问本地资源；获取动态全球单播地址之后可以访问所有资源。在这种模式下，接入交换机 能 够 严 格 控 制 接 入 主 机 的 报 文 ， 只 有 完 全 匹 配 IPv6address、

MAC、PORT 的 IPv6 报文和本地链路报文才允许转发，可以对用户的源地址进行性有效控制，禁止用户私自配置地址而访问网络。如下图所示，DHCPv6 snooping 功

能启在接入交换机上，接入交换机配置上联 DHCPv6 snooping 信任端口，上联DHCPv6 服务器，下联客户主机。接入交换机的 DHCPv6snooping 功能会监控客户机

的 DHCPv6 协议行为，为完成DHCPv6 协议流程而获取的 IPv6 地址建立绑定项，并下发驱动表项，允许转发该源地址的 IPv6 报文，从而达到客户主机IPv6 流量的控制

接入目的。