中国IPv6全面启动

IPv6培训与认证相关资讯

SAVI源址合法性检验RFC草案

    日期:2011-2-16 13:44:12    来源:中国教育和科研计算机网 【

通常说IPv6IPv4更安全,这种观点来源于IPv6最初的定义(RFC2401)IPSec的强制使用,由于这种观点的存在促进了IPv6得到应用。虽然这种强制IPSec的特征阻挡了一些攻击的入侵之机,但是IPv6并不是万能的,各种攻击漏洞也必定存在,特别是IPv6在许多特性上与IPv4存在共同之处,许多在IPv4上存在的攻击特性像ARP攻击在IPv6中也会存在类似的攻击。作为国内IPv6技术最先进的厂商,神州数码网络公司的路由交换机提供了多种IPv6安全防范技术:IPv6 SAVI技术、基于NDP的安全技术、基于IPv6路由的安全技术、基于IPv6三层以上的访问控制的安全技术、IPv6受控组播技术(分专题呈现)。通过这些技术,可以保障部署安全可靠的IPv6园区网。

随着互联网技术的迅速发展,安全问题日益严重,而问题的根源大多是与非法主机接入有关,针对IPv4IPv6主机的安全合法接入问题,清华大学于20094月提出SAVI源址合法性检验 rfc草案,该草案主要讲述了ipv4/ipv6CPSControl Packet Snooping)原理,根据CPS原理在接入设备(交换机、AP)上建立基于源地址的绑定关系,从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。

神州数码网络公司与清华大学紧密合作,从该草案设计之初就密切跟踪其进展,根据草案进展逐步开发相应的功能配合清华大学测试,目前神州数码DCS-3950DCRS-5950系列交换机支持SAVI草案中涉及的所有功能,可全面保证终端设备的安全接入。20097月在瑞典召开的IETF会议上,清华大学对比了各业界主流厂商接入设备对该草案涉及功能的支持情况,最终选择了神州数码的两台DCS-3950-28CT设备与一台DCRS-5950-28T设备做功能演示。

SAVI技术原理

CPS对于客户端是透明的,在客户端没有任何变化,也没有新增任何协议,所涉及的内容都是根据已有的协议操作流程,在接入设备上建立绑定关系,这种绑定关系一般都是临时的,有生存期,也有一些事件可以触发接入设备解除具体的绑定关系。

CPS绑定关系的建立是以重复地址检测为基础的( ipv4gratuitous ARP报文,ipv6DAD NS报文),如果主机使用没有进行重复检测的地址作为源地址来发送报文,则接入设备应将该报文作为欺骗报文来处理。接入设备根据客户端发出重复地址检测报文后在一定时间内没有收到应答报文而在接入端建立基于源地址的绑定关系,绑定关系建立后,从相应的端口收到的数据报文,根据其源地址是否在端口绑定关系表中有匹配来确定报文是否合法,从而对合法报文正常转发,非法报文则丢弃。

SAVI草案中关于IPv4的主机合法接入主要包括了ARP snoopingDHCP snooping两部分的内容,这部分内容请参考《高校校园网ARP攻击防御解决方案》;关于IPv6的主机合法接入主要包括了NDP snoopingDHCPv6 snooping两部分的内容,下面分别介绍。

NDP Snooping 功能

NDP snooping利用Control Packet Snooping(CPS)机制,通过源IPv6地址和锚信息绑定的方式,对端口接入报文进行合法性检测,放行匹配绑定的报文,丢弃不匹配的报文,以达到对直连链路节点准入控制的目的。

全局启用NDP snooping功能,交换机所有端口上均可建立NDP snooping绑定,但不下硬件表项(即准入控制表项)。

端口上启用NDP snooping功能时,该端口上初始化拒绝所有ipv6报文(除了源地址为本地链路地址的IPv6报文和NS/NA报文)。当该端口上根据DAD NS报文建立一个状态为SAC_BOUNDNDP snooping绑定时,则下发一个(IPv6 addressMACPort NameVLAN ID)四元组的准入控制表项,允许符合规则的IPv6报文通过。

关闭端口的NDP snooping功能时,不删除上层绑定表项,只删除下发的准入控制表项;关闭全局的NDP snooping功能时,删除所有的上层绑定表项,同时删除下发的所有准入控制表项。

如下图所示,NDP snooping功能启在接入交换机S2上,端口Ethernet0/0/27拒绝转发所有IPv6数据流量,汇聚交换机S1配置无状态地址自动配置协议,公告前缀2001::/64。当客户主机PC接收到来自S1RA公告后,通过无状态地址自动配置协议自动获取前缀为2001::/64IPv6地址,地址生成后会先发送DAD NS报文,探测在当前链路上该IPv地址是否可用。客户主机若收到DAD NA回应表示该地址不可用,反之表示可用。接入交换机S2当收到来自客户主机的DAD NS后,会为该主机建立NDP snooping绑定,在规定时间内若未探测到回应的DAD NA报文,则根据该NDP snooping绑定下发驱动表项,允许转发该源地址的IPv6报文,从而达到客户主机IPv6流量的控制接入目的。

DHCPv6 Snooping 功能

在用户不需要认证和使用DHCPv6方式获取IPv6地址的环境之下,可以独立使用DHCPv6 SNOOPING在交换机上绑定用户,用户的(ipv6 address, mac, port)绑定信息可以是通过DHCPv6 SNOOPING在用户动态获取地址的过程中获得。接入主机获取动态地址之前只能访问DHCP SERVER和使用本地链路地址fe80::/10访问本地资源;获取动态全球单播地址之后可以访问所有资源。在这种模式下,接入交换机能够严格控制接入主机的报文,只有完全匹配IPv6 addressMACPORTIPv6报文和本地链路报文才允许转发,可以对用户的源地址进行性有效控制,禁止用户私自配置地址而访问网络。

如下图所示,DHCPv6 snooping功能启在接入交换机上,接入交换机配置上联DHCPv6 snooping信任端口,上联DHCPv6服务器,下联客户主机。接入交换机的DHCPv6 snooping功能会监控客户机的DHCPv6协议行为,为完成DHCPv6协议流程而获取的IPv6地址建立绑定项,并下发驱动表项,允许转发该源地址的IPv6报文,从而达到客户主机IPv6流量的控制接入目的。

  • 全球IPv6测试中心
  • 支持IPv6网站列表
  • IPv6高峰会议

通过IPv6Enabled国际认证的运营商

   中关村下一代互联网产业联盟  版权所有  京ICP备09059086号
        联系我们  |  关于我们  |  网站地图