ipv6详解_技术盛宴丨IPv6系列安全篇——SAVI技术解析

通过之前两期文章，相信大家对IPv6的基础知识有了一定的了解，当IPv6在办公网、IDC实际部署后，大家开始关注IPv6下的安全问题，例如接入终端的合法性。

清华大学2009年4月提出SAVI(Source Address Validation Improvements)源址合法性检验RFC(Request For Comments)草案，该草案描述通过源地址可以判断从指定端口接收到报文的合法性，本文将对SAVI技术进行详细的讲解。

注：当前SAVI技术涉及的3篇RFC分别是RFC8074、RFC7513、RFC6620。三个文件当前均为Proposed Standard状态(建议标准：基本成熟，但还需要进一步的试验证实其可行性)，尚未成为全球标准，在以下内容中将涉及SAVI技术的RFC文件统一描述为 RFC标准。

SAVI技术介绍

SAVI技术的工作机制

通过监听控制类报文(如ND、DHCPv6)，即CPS(Control Packet Snooping)，在接入设备上(AP或交换机)为终端建立基于IPv6源地址、源MAC地址及接入设备端口的绑定关系，进而对通过指定端口的IP报文进行源地址校验。只有报文源地址与绑定表项匹配时才可以转发，保证网络上数据报文源地址真实性。

CPS对于客户端是透明的，在客户端没有任何变化，也没有新增任何协议，所涉及的内容都是根据已有的协议操作流程。在接入设备上建立绑定关系，这种绑定关系一般都是临时的，有生存期，也有一些事件可以触发接入设备解除具体的绑定关系。

SAVI RFC标准中，关于IPv6的合法接入主要包括了ND Snooping与DHCPv6 Snooping两部分内容。

DHCPv6 Snooping和ND Snooping作为组件整合到了SAVI中， 通过SAVI-MIX整合，从而同时具备DHCPv6 Snooping和ND Snooping两个功能，按FCFS原则(First Come First Served ，先来先运行算法)实现其中任意一个功能，保证IPv6主机的合法接入。

接下来将对DHCPv6 Snooping和ND Snooping，结合不同安全问题分别介绍实现原理。

DHCPv6 Snooping功能解析

在使用DHCPv6方式获取IPv6地址的环境下，可以独立使用DHCPv6 Snooping在交换机上绑定用户，通过对用户的源地址进行有效的控制，实现禁止用户私自配置地址而访问网络的目的。

DHCPv6 Snooping功能的实现流程1

如图1所示，在接入交换机上开启DHCPv6 Snooping功能，将接入交换机上联端口默认为信任端口。接入交换机上联DHCP Server，下联客户主机A以及攻击主机B；

2

利用接入交换机的DHCPv6 Snooping功能监听客户主机A与DHCP Server之间交互的DHCPv6协议报文；

3

接入主机获取动态地址之前只能访问DHCP Server和使用本地链路地址fe80::/10访问本地资源，获取动态全球单播地址之后可以访问所有资源；

4

当用户在动态获取地址的过程中获得用户的IPv6 Address、MAC、Port绑定信息时，下发硬件表项，严格控制接入主机的报文。只有完全匹配IPv6 Address、MAC、Port的IPv6报文和本地链路报文才允许转发。

▲图1: DHCPv6 Snooping功能的实现流程

利用DHCPv6 Snooping在DHCPv6-Only场景下解决私设DHCP Server及DHCP Client攻击源问题

如下图2所示

1

私设DHCP Server及DHCP Client攻击源造成的问题：

• 私设DHCP Server：导致主机获取到虚假的IPv6地址，影响业务转发；

• DHCP Client攻击源：非法主机不断的向DHCP服务器发起请求，消耗DHCPv6资源，甚至造成无IP地址可以分配的情况，从而影响到其他合法主机获取IPv6地址。

2

SAVI技术解决私设DHCP Server问题的主要步骤：

• 开启SAVI功能，配置SAVI为DHCPv6-Only模式；

• SAVI的DHCPv6 Snooping组件在连接DHCP Server接口上配置Trust，其它端口默认为Untrust；

• 针对Untrust接口丢弃DHCPv6 Advertise报文及Reply报文。

3

SAVI技术解决DHCP Client攻击源问题的主要步骤：

• 开启SAVI功能，配置SAVI为DHCPv6-Only模式；

•类似于SLAAC(Stateless Address Autoconfiguration，无状态地址自动配置)场景下用户RS泛洪攻击，用户主机异常发出大量RS报文请求IPV6地址，消耗网段地址空间；

• 利用SAVI技术中DHCPv6 Snooping功能，限制接入交换机下联端口的MAC数量及单MAC分配IPv6地址数量，从而防止非法主机不断的向DHCP服务器发起请求，消耗DHCPv6资源。

▲图2:私设DHCP Server及DHCP Client攻击源拓扑图

ND Snooping功能解析

ND Snooping利用CPS机制，通过源IPv6地址和接口设备的端口绑定的方式，对端口接入报文进行合法性检测，放行匹配绑定的报文，丢弃不匹配的报文，以达到对直连链路节点准入控制的目的。

ND Snooping功能的实现流程

1

如图3所示，在接入交换机S2上开启ND Snooping功能，进行ND Snooping学习，但是不下发硬件表项(即准入控制表项)进行过滤控制；

2

在接入交换机S2下联端口启用ND Snooping功能，该端口拒绝转发所有IPv6报文(除了源地址为FE80::的IPv6报文和NS/NA报文)；

3

网关S1配置无状态地址自动配置协议，公告前缀2001::/64；

4

主机PC接收到来自S1的RA公告后，通过无状态地址自动配置协议自动获取前缀为2001::/64的IPv6地址，地址生成后会先发送DAD NS报文，探测在当前链路上该IPv6地址是否可用；

5

主机若收到DAD NA回应表示该地址不可用，反之表示可用；

6

接入交换机S2当收到来自主机的DAD NS报文后，会为该主机建立ND Snooping绑定，在规定时间内若未探测到回应的DAD NA报文，则根据该ND Snooping绑定下发一个IPv6 Address、MAC、Port、VLAN ID四元组的准入控制表项(即硬件表项)允许转发该源地址的IPv6报文。从而达到主机IPv6流量的控制接入目的。

▲图3: ND Snooping功能的实现流程

结合ND Snooping功能的基本实现流程，下面介绍一下在SLAAC-Only场景中，通过ND Snooping功能解决实际问题的实现步骤。

利用ND Snooping在SLAAC-Only场景下解决非法RA报文问题

由于ND协议扩展了ARP协议的功能，而没有对其进行安全性的扩展，所以在IPv6的网络中，ND协议仍然面临原有ARP协议的风险；同时，在ND协议中新增的RA、RS报文，虽然简化了网络管理的工作，但引入了新的风险。

1

非法RA报文(Router Advertisement，路由通告报文)造成的问题：

• 主机上线发送RS报文，攻击源会伪装成网关发送非法RA报文使得主机受到欺骗，获取到错误的网络配置信息。假如，RA携带的是伪造网络前缀列表，则会修改受害主机的路由表，造成受害主机无法上网。

2

SAVI技术解决非法RA报文问题的步骤：

• 在图4所示的SLAAC-Only场景下，受害主机和攻击源通过接入交换机B接入到业务网关A；

• 开启SAVI功能，配置 SAVI 为 SLAAC-Only模式；

• 利用SAVI技术中ND-Snooping功能将接入交换机上联端口默认为信任端口，设置为Trust。接入交换机只允许已绑定的无状态地址自动配置方式分配的地址发送的报文通过；

• 默认其它端口为非信任口Untrust，接入交换机不允许以DHCPv6方式分配的地址发送的报文通过。当收到该报文时直接丢弃。

▲图4:解决非法RA报文流程图

总 结

本文主要介绍了SAVI技术背景、原理以及两个关键功能分析，即DHCPv6 Snooping和ND Snooping。接入设备通过监听终端获取IPv6地址的过程并生成安全绑定表项,从而在接入设备上过滤非法终端的IPv6报文，有效地解决了非法IPv6用户接入的问题。

关于IPv6的安全话题，敬请期待后续的IPv6 SAVI技术在园区网中的应用篇文章。

本期作者：史永亮

锐捷网络互联网系统部行业咨询

往期精彩回顾  

▌ 【第一期】浅谈物联网技术之通信协议的纷争

▌ 【第二期】如何通过网络遥测(Network Telemetry)技术实现精细化网络运维？

▌ 【第三期】畅谈数据中心网络运维自动化

▌ 【第四期】基于Rogue AP反制的无线安全技术探讨

▌ 【第五期】流量可视化之ERSPAN的前世今生

▌ 【第六期】如何实现数据中心网络架构“去”堆叠

▌ 【第七期】运维可视化之INT功能详解

▌ 【第八期】浅析RDMA网络下MMU水线设置

▌ 【第九期】第七代无线技术802.11ax详解

▌ 【第十期】数据中心自动化运维技术探索之交换机零配置上线

▌ 【第十一期】浅谈数据中心100G光模块

▌ 【第十二期】数据中心网络等价多路径(ECMP)技术应用研究

▌ 【第十三期】如何为RDMA构建无损网络

▌ 【第十四期】基于EVPN的分布式VXLAN实现方案

▌ 【第十五期】数据中心自动化运维技术探索之NETCONF

▌ 【第十六期】一文读懂网络界新贵Segment Routing技术化繁为简的奥秘

▌ 【第十七期】浅谈UWB(超宽带)室内定位技术

▌ 【第十八期】PoE以太网供电技术详解

▌ 【第十九期】机框式核心交换机硬件架构演进

▌ 【第二十期】IPv6系列基础篇(上)——地址与报文格式

▌ 【第二十一期】IPv6系列基础篇(下)——邻居发现协议NDP

【技术盛宴】专栏

锐捷网络自2018年起精心打造《技术盛宴》专栏，围绕热点技术、行业趋势定期分享网络通信领域的技术干货。

从前沿理论到应用实践，从知识科普到深度解析，为您带来网络技术的饕餮盛宴。