【YD通讯标准】 基于 IPv6 传输的 DHCPv4 技术要求

ICS33.040.40
中华人民共和国通信行业标准
YD/T3232—2017
基于IPv6传输的DHCPv4技术要求DHCPv4 over IPv6 transport technical requirements2017-04-12发布
中华人民共和国工业和信息化部2017-07-01实施
前言：
2规范性引用文件.
3术语、定义和缩略语
3.1术语和定义
3.2缩略语，
概述…
客户端中继IPv6地址子选项
6客户端中继（CRA）的行为..
7DHCPv4overIPv6服务器（TSV）行为8DHCPv4overIPv6中继（TRA）行为...9网络安全问题考虑
参考文献
YD/T3232—2017
YD/T3232—2017
本标准按照GB/T1.1—2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：清华大学、中国电信集团公司、中国信息通信研究院。本标准起草人：崔勇、吴建平、吴鹏、孙静文、孙琪、孙琼、解冲锋、陈运清、赵慧玲、区锋、马军锋。
1范围
基于IPV6传输的DHCPV4技术要求YD/T3232—2017
本标准规定了在IPv6接入网中，利用IPv4动态主机配置协议为IPv6网络中的IPv4用户分配IPv4地址资源的机制，实现跨异构网络地址资源下发。本标准适用于边缘网4over6技术、边缘网络轻量级4over6技术等IPv4-over-IPv6场景的过渡机制的地址分配。
2规范性引用文件
下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。IETFRFC2131
IETFRFC3046
IETFRFC3527
动态主机配置协议（DynamicHostConfigurationProtocol）DHCP中继代理信息选项（DHCPRelayAgentInformationOption）DHCPv4中继代理信息选项的链路选择子选项（LinkSelectionsub-optionfortheRelayAgentInformationOptionforDHCPv4)3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1DHCPv4overIPv6
IPv4地址动态主机配置服务器跨越IPv6网络为IPv4用户分配IPv4地址资源。3.1.2客户端中继
client relay agent
客户端中继用于对DHCP消息进行修改，以实现IPv4传输和IPv6传输间的互相转换。客户端中继既可与DHCPv4客户端部署在同一台具有IPv6连接的主机上，也可与具有IPv6连接的主机部署在同链路上。
3.1.3主机客户端中继
host client relay agent
与DHCPv4客户一同部署在具有IPv6连接的主机上的客户端中继。YD/T3232—2017
3.1.4链路客户端中继on-linkclientrelayagent与运行DHCPv4客户端的主机部署在同一链路上的客户端中继。3.1.5DHCPv4overIPv6服务器IPv6-transportserver支持IPv6传输的DHCPv4服务器。DHCPv4overIPv6服务器基于IPv6监听传入的DHCPv4信息通过IPv6数据包发送DHCPv4信息。3.1.6 DHCPv4overIPv6中继IPv6-transport relayagent支持IPv6的DHCPv4中继。DHCPv4overIPv6中继部署在具有IPv4和IPv6连接的设备上，并在CRA和通用DHCPv4服务器间进行DHCPv4信息的中继。与CRA不同的是，TRA部署在IPv6网络的远端，通过IPv4与DHCPv4服务器通信。3.1.7客户端中继IPv6地址子选项clientrelayagentIPv6addresssub-option本标准中新定义的关于DHCP中继信息选项[IETFRFC3046]的子选项。DHCPv4oVerIPv6中继使用CRA6ADDR子选项携带CRA的IPv6地址。3.2缩略语
下列缩略语适用于本文件。
CRA6ADDR
Sub-option
DHCPv4
4概述
客户端中继
客户端中继IPv6地址子选项
IPv4动态主机配置协议
主机上的客户端中继
链路上的客户端中继
DHCPv4overIPv6中继
DHCPv4overIPv6服务器
Client Relay Agent
Client Relay Agent IPv6 Address Sub-optionIPv4 Dynamic Host Configuration ProtocolHost Client Relay Agent
On-Link Client Relay Agent
IPv6-Transport Relay Agent
IPv6-Transport Server
DHCPv4overIPv6传输的场景如图1所示。DHCPv4客户端和DHCPv4服务器/中继被中间的IPv6网络分隔。客户端和服务器/中继之间的DHCP信息不能正常转发，因为这些信息是通过IPv4UDP包，以单播或广播的方式传播。为了弥合这一差异，客户端和服务器/中继端都需要支持DHCPv4overIPv6传输。更确切地说，它们应该支持IPv6的UDP包形成的DHCP消息包的传送和接收，从而跨越IPv6网络。
在客户端，客户端中继CRA与DHCP客户端部署在同一主机上，或部署在与主机相连的链路上。CRA被用于中继客户与服务器之间的DHCP消息。CRA通过单播IPv6UDP包的方式发送DHCPv4消息，并从服务器端接收单播的包含DHCPv4信息的IPv6UDP包。2
DHCPv4客户端
DHCPv4客户端
IPv6网络
DHCPv4服务器/中继
图1DHCPy4overIPv6场景
YD/T3232—2017
TSV能够接收CRA发送的IPv6UDP包，并使用IPv6UDP向CRA发送DHCP信息（图2）。TSV把DHCP信息单播发送至之前收到相应DHCP信息时的源IPV6地址。CRA与TRA交互的情况。TRA除了通过IPv6与CRA交互，还需要通过IPv4与常规DHCPv4服务器进行交互。因此，当TRA在CRA和DHCPv4服务器间中继DHCP消息时，它通过IPv6从CRA接收DHCP消息并通过IPv4将其送至DHCPv4服务器：TRA从IPv4域中的DHCPv4服务器获取DHCP信息，然后通过IPv6发送给CRA。TRA应使用DHCP代理信息选项（即82号选项）来记录CRA的IPv6地址，当TRA从DHCPv4服务器中继DHCP消息时，该地址将作为转发的目的地址。本标准定义了该子选项。在此情况下DHCPv4服务器必须支持CRA6ADDR子选项。DHCPV4
客户端
DHCPV4
客户端
(a）客户端
DHCPv4
客户端
DHCPv4
客户端
(b）客户端
一服务器情况
IPv6网络
TSV(DHCP
V4服务器）
IPv6网络
TSV(DHCP
v4服务器）
IPv6网络
IPv6网络下载标准就来标准下载网
服务器情况
IPv4网络
TSV(DHCP
V4服务器）
IPv4网络
TSV(DHCP
v4服务器）
DHCPv4overIPv6使用情况
YD/T3232—2017
5客户端中继IPv6地址子选项
客户端中继IPv6地址子选项（CRA6ADDR）是中继信息选项的子选项，其结构如图3所示，TRA会将由CRA发来的DHCPv4-in-IPv6的数据包的IPv6地址取出来，保存到这个子选项中。当TRA向IPv6网络中继DHCPv4回复时，TRA将会把编码在该子选项中的IPv6地址作为目的IPv6地址。CRA的IPv6地址在同一个IPv6域中应是唯一的。CRA6ADDR子选项长度为18个字节。子选项的值需要由IANA分配，长度域的值为16，接下来的16字节应为CRA的IPv6地址。
Subopt
6客户端中继（CRA）的行为
AgentRemotID
图3CRA6ADDR子选项结构
CRA可以部署在与DHCPv4客户端相同的主机上（HCRA），或与主机相连的链路上（LCRA）。CRA和客户端间的通信发生在IPv4本地网的最后一跳，CRA与TSV/TRA间通信在IPv6网络中进行。CRA需预先配置一个或多个TSV/TRA的IPv6地址。这个配置是在DHCPv4过程之前完成，可以通过DHCPv6选项或者其他方式实现，具体根据应用场景来确定。CRA在IPv4UDP端口67监听DHCP消息。当接收到bootpop域为1的DHCPv4报文时，它采用IPv6来传输标准DHCP消息，其中源端口为67、目的端口67。CRA将该报文单播发给每个配置的TSV或TRA。CRA如果获取了全球可达的IPv6地址，那么CRA应该使用此地址作为自已的IPv6地址。CRA也在IPv6的UDP端口68监听DHCP消息。当接收到任何bootpOp域为2的IPv6DHCP报文时，CRA检查其是否包含option82，如果包含则丢弃该消息。否则，使用IPv4将报文传递到DHCP客户端。
HCRA和LCRA的基本功能是相同的。差异在于当中继DHCP消息时，在HCRA应不能包含option82或修改DHCP消息的GIADDR字段，而在LCRA情况下，它通常不应该包含option82或修改DHCP消息的GIADDR字段。如果LCRA有包含option82或修改DHCP消息的GIADDR字段的需要，则参考文献[2]提供的方案处理LCRA和TRA共存的情况。HCRA应只能服务于在同一台主机内的客户端，而LCRA应该服务于链路上的任何客户。当TSV/TRA的IPv6地址被预配置在DHCP客户端主机时，它使用HCRA，否则使用LCRA。HCRA只服务一个链路，多个链路应由多个HCRA实体处理。LCRA并不需要IPv4地址，但它也有可能被配置IPv4地址。
CRA部署在DHCPv4客户端主机（HCRA）时，DHCPv6客户端（或者称为IPv6地址配置进程）DHCPv4客户端和CRA运行在同一个物理接口上。如果可能的话，运行DHCPv4和CRA的主机应该4
YD/T3232—2017
推迟操作系统的DHCPv4进程直到主机接口获得了IPv6地址和TSV/TRA的地址信息。否则，DHCPv4客户端可能发送很多信息，但是CRA不能中继，这样会在DHCPv4客户端获得IPv4地址之前造成很长的延迟。
7DHCPv4overIPv6服务器（TSV）行为为支持IPv6传输，DHCPv4服务器的行为需要扩展。TSV可以在IPv6的67号端口监听DHCPv4报文，并通过IPv6发送DHCPv4报文。TSV在IPv6UDP端口67和IPv4UDP端口67监听DHCP消息。当它从IPv6接收到DHCP消息时，它必需记录该消息的IPv6源地址直到TSV发出DHCP回复。当TSV需要发送回复时，它应使用该IPv6地址作为回复报文的自的地址，而目的端口为67TSV应发送服务器ID选项[IETFRFC2131]，该选项中包含一个可以与客户端通信的IPv4地址。这一过程遵循IETFRFC2131中的ServerIDoption要求。TSV其余的DHCP过程与普通的DHCPv4服务器相同。TSV也可以像普通的DHCPv4服务器一样监听IPv4UDP端口678DHCPv4overIPv6中继（TRA）行为TRA在CRA和处于IPv4域中的DHCPv4服务器间中继DHCPv4消息。CRA和TRA之间使用IPv6通信，而TRA和服务器间则使用IPv4。TRA监听IPv6UDP67端口中bootpop域为1的DHCP消息，同时听IPv4UDP68端口中bootpop域为2的DHCP消息。当TRA从CRA向服务器中继DHCP消息时，它应向option82中添加CRA6ADDR子选项。该子选项包含了该消息的IPv6源地址（CRA的IPv6地址），并将该地址保存。TRA也应在DHCP消息的GIADDR域中保存自身的IPv4地址。TRA可能包含了一个链路选择子选项[IETFRFC3527]来向DHCP服务器表明当选择一个IP地址时使用哪个链路。当从DHCP服务器接收DHCP报文时，如果报文中的option82不包含CRA6ADDR子选项，TRA应丢弃该报文。否则，依照IETFRFC3046和[ietf-dhc-dhcpv4-relay-encapsulation]中的要求处理，将其转发至记录在CRA6ADDR子选项中的IPv6地址，其中源端口为67，目的端口为67。9网络安全问题考虑
该机制可能引发对DHCP协议的新型攻击。IPv6域中的攻击者可以通过注入虚假的DHCPv4-in-IPv6信息干涉DHCPv4过程。但是这带来的影响与现有DHCPv4受到的攻击影响相同，只是攻击者在IPv6域中。
另一个影响是DHCP的过滤。有的防火墙可以滤除DHCP报文（DHCPv4报文或DHCPv6报文）。而DHCPv4-in-IPv6报文可能穿越防火墙。防火墙可以进行简单修改来识别这种新形式DHCPv4报文。5
YD/T32322017
参考文献
[1] Lemon, T., Deng,H., and L.Huang,\Relay Agent Encapsulation for DHCPv4\,IETF WG draft, July 2o11.ietf-dhc-dhcpv4-relay-encapsulation.6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。