我们有一个带有多个交换机和一个防火墙 (pfsense) 的中型网络设置。我们现在有两个月以来的 IPv6,有时可以观察到,防火墙上有大量流量(~800MBit/s)。我运行了 ethdump,它显示网络被 DHCPv6 发送垃圾邮件 - 打包的请求 XID(约 200k 在 1 秒内),这会减慢网络甚至破坏它。
我能看到的是,我只看到了微软的产品(Windows 7、Windows Server 2012 和一台 Surface Tablet),目前还没有涉及 Android 或 Linux 服务器。
有没有人有类似经历或者有什么建议?我试图在防火墙中阻止它(IPv6 UDP dest.port 456-457,但它不起作用)
我以前见过这种行为。当您在 RA(路由器广告)中设置 M(托管)标志但有一个不为客户端提供 IA_NA 的 DHCPv6 服务器(基本上是一个不分配地址的 DHCPv6 服务器)时,往往会发生这种情况。客户端将进入一个循环,一遍又一遍地请求地址。
如果您不使用 DHCPv6 分配地址,那么您应该确保 RA 没有设置 M 标志。如果某些客户端需要 M 标志,则通常有助于限制其他客户端的速率。当他们收到一个没有给他们想要的东西的 DHCPv6 广告时,他们会立即重试,但是当他们根本没有收到响应时,他们会等待超时。
我不知道为什么防火墙不起作用,它应该。但请记住,客户端将使用多播来访问服务器(组 ff02::1:2),因此您可能需要调整过滤器以将其考虑在内。