目录
SAVI功能简介
一、SAVI技术简介
通常说IPv6比IPv4更安全,这种观点来源于IPv6最初的定义(RFC2401)对IPSec的强制使用,由于这种观点的存在促进了IPv6得到应用。虽然这种强制IPSec的特征阻挡了一些攻击的入侵之机,但是IPv6并不是万能的,各种攻击漏洞也必定存在,特别是IPv6在许多特性上与IPv4存在共同之处,许多在IPv4上存在的攻击特性像ARP攻击在IPv6中也会存在类似的攻击。作为国内IPv6技术最先进的厂商,神州数码网络公司的路由交换机提供了多种IPv6安全防范技术:IPv6 SAVI技术、基于NDP的安全技术、基于IPv6路由的安全技术、基于IPv6三层以上的访问控制的安全技术、IPv6受控组播技术(分专题呈现)。通过这些技术,可以保障部署安全可靠的IPv6园区网。
随着互联网技术的迅速发展,安全问题日益严重,而问题的根源大多是与非法主机接入有关,针对IPv4、IPv6主机的安全合法接入问题,清华大学于2009年4月提出SAVI源址合法性检验 rfc草案,该草案主要讲述了ipv4/ipv6的CPS(Control Packet Snooping)原理,根据CPS原理在接入设备(交换机、AP)上建立基于源地址的绑定关系,从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。
神州数码网络公司与清华大学紧密合作,从该草案设计之初就密切跟踪其进展,根据草案进展逐步开发相应的功能配合清华大学测试,目前神州数码DCS-3950、DCRS-5950系列交换机支持SAVI草案中涉及的所有功能,可全面保证终端设备的安全接入。2009年7月在瑞典召开的IETF会议上,清华大学对比了各业界主流厂商接入设备对该草案涉及功能的支持情况,最终选择了神州数码的两台DCS-3950-28CT设备与一台DCRS-5950-28T设备做功能演示。
二、SAVI技术原理
1.SAVI原理
CPS对于客户端是透明的,在客户端没有任何变化,也没有新增任何协议,所涉及的内容都是根据已有的协议操作流程,在接入设备上建立绑定关系,这种绑定关系一般都是临时的,有生存期,也有一些事件可以触发接入设备解除具体的绑定关系。
CPS绑定关系的建立是以重复地址检测为基础的( ipv4的gratuitous ARP报文,ipv6的DAD NS报文),如果主机使用没有进行重复检测的地址作为源地址来发送报文,则接入设备应将该报文作为欺骗报文来处理。接入设备根据客户端发出重复地址检测报文后在一定时间内没有收到应答报文而在接入端建立基于源地址的绑定关系,绑定关系建立后,从相应的端口收到的数据报文,根据其源地址是否在端口绑定关系表中有匹配来确定报文是否合法,从而对合法报文正常转发,非法报文则丢弃。
SAVI草案中关于IPv4的主机合法接入主要包括了ARP snooping与DHCP snooping两部分的内容,这部分内容请参考《高校校园网ARP攻击防御解决方案》;关于IPv6的主机合法接入主要包括了NDP snooping与DHCPv6 snooping两部分的内容,下面分别介绍。
2.NDP Snooping功能
NDP snooping利用Control Packet Snooping(CPS)机制,通过源IPv6地址和锚信息绑定的方式,对端口接入报文进行合法性检测,放行匹配绑定的报文,丢弃不匹配的报文,以达到对直连链路节点准入控制的目的。
全局启用NDP snooping功能,交换机所有端口上均可建立NDP snooping绑定,但不下硬件表项(即准入控制表项)。
端口上启用NDP snooping功能时,该端口上初始化拒绝所有ipv6报文(除了源地址为本地链路地址的IPv6报文和NS/NA报文)。当该端口上根据DAD NS报文建立一个状态为SAC_BOUND的NDP snooping绑定时,则下发一个(IPv6 address,MAC,Port Name,VLAN ID)四元组的准入控制表项,允许符合规则的IPv6报文通过。
关闭端口的NDP snooping功能时,不删除上层绑定表项,只删除下发的准入控制表项;关闭全局的NDP snooping功能时,删除所有的上层绑定表项,同时删除下发的所有准入控制表项。
如下图所示,NDP snooping功能启在接入交换机S2上,端口Ethernet0/0/27拒绝转发所有IPv6数据流量,汇聚交换机S1配置无状态地址自动配置协议,公告前缀2001::/64。当客户主机PC接收到来自S1的RA公告后,通过无状态地址自动配置协议自动获取前缀为2001::/64的IPv6地址,地址生成后会先发送DAD NS报文,探测在当前链路上该IPv地址是否可用。客户主机若收到DAD NA回应表示该地址不可用,反之表示可用。接入交换机S2当收到来自客户主机的DAD NS后,会为该主机建立NDP snooping绑定,在规定时间内若未探测到回应的DAD NA报文,则根据该NDP snooping绑定下发驱动表项,允许转发该源地址的IPv6报文,从而达到客户主机IPv6流量的控制接入目的。
3.DHCPv6 Snooping功能
在用户不需要认证和使用DHCPv6方式获取IPv6地址的环境之下,可以独立使用DHCPv6 SNOOPING在交换机上绑定用户,用户的(ipv6 address, mac, port)绑定信息可以是通过DHCPv6 SNOOPING在用户动态获取地址的过程中获得。接入主机获取动态地址之前只能访问DHCP SERVER和使用本地链路地址fe80::/10访问本地资源;获取动态全球单播地址之后可以访问所有资源。在这种模式下,接入交换机能够严格控制接入主机的报文,只有完全匹配IPv6 address、MAC、PORT的IPv6报文和本地链路报文才允许转发,可以对用户的源地址进行性有效控制,禁止用户私自配置地址而访问网络。
如下图所示,DHCPv6 snooping功能启在接入交换机上,接入交换机配置上联DHCPv6 snooping信任端口,上联DHCPv6服务器,下联客户主机。接入交换机的DHCPv6 snooping功能会监控客户机的DHCPv6协议行为,为完成DHCPv6协议流程而获取的IPv6地址建立绑定项,并下发驱动表项,允许转发该源地址的IPv6报文,从而达到客户主机IPv6流量的控制接入目的。
SAVI DHCP-Only模式典型配置
一、组网说明
网络中存在DHCPv6 Server,在接入交换机上配置SAVI功能,模式为DHCP-Only。自动绑定接入交换机下通过DHCPv6方式获得IPv6地址的的信息。
二、组网图
三、配置步骤
DHCPv6 server的配置(略,见手册DHCPv6 Server配置部分)
SAVI-DHCP-Only的配置
#全局开启SAVI功能,配置为DHCP-Only模式
Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-only enable
#进入端口模式,配置dhcpv6信任端口
Switch(config)#interface ethernet 1/24
Switch(config-if-ethernet1/24)#ipv6 dhcp snooping trust
Switch(config-if-ethernet1/24)#exit
#配置下联端口的源地址检查,并配置SAVI端口绑定数目限制功能
Switch(config)#interface ethernet 1/2
Switch(config-if-ethernet1/2)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/2)#savi ipv6 binding num 4
Switch(config-if-ethernet1/2)#exit
四、注意事项
1.开启SAVI功能会占用设备ACL表项,具体型号的设备是否支持SAVI功能,可绑定多少用户请咨询400-810-9119
2.使用DHCP-Only模式时,一台PC会绑定两条表项(1条本地链路地址,1条DHCPv6获得的地址)
SAVI SLAAC-Only模式典型配置
一、组网说明
在接入层交换机上启动SAVI功能,模式为SLAAC方式(只绑定根据路由器公告,PC机自动生成的无状态地址)
二、组网图
三、配置步骤
SAVI-SLAAC-Only的配置
#全局开启SAVI功能,配置为SLAAC-Only模式
Switch(config)#savi enable
Switch(config)#savi ipv6 slaac-only enable
#进入端口模式,配置ND信任端口
Switch(config)#interface ethernet 1/24
Switch(config-if-ethernet1/24)#ipv6 nd snooping trust
Switch(config-if-ethernet1/24)#exit
#配置下联端口的源地址检查,并配置SAVI端口绑定数目限制功能
Switch(config)#interface ethernet 1/2
Switch(config-if-ethernet1/2)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/2)#savi ipv6 binding num 4
Switch(config-if-ethernet1/2)#exit
四、注意事项
1.开启SAVI功能会占用设备ACL表项,具体型号的设备是否支持SAVI功能,可绑定多少用户请咨询400-810-9119
2.使用SLAAC-Only模式时,一台PC会绑定三到四条表项
SAVI DHCP-SLAAC模式典型配置
一、组网说明
在接入层交换机上配置SAVI功能,模式为DHCP-SLAAC模式。既绑定DHCPv6获得的IP地址也绑定通过路由器公告PC机自己生成的IPv6地址。
二、组网图
三、配置步骤
SAVI-DHCP-SLAAC的配置
#全局开启SAVI功能,配置为DHCP-SLAAC模式
Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-slaac enable
#进入端口模式,配置信任端口
Switch(config)#interface ethernet 1/24
Switch(config-if-ethernet1/24)#ipv6 dhcp snooping trust
Switch(config-if-ethernet1/24)#ipv6 nd snooping trust
Switch(config-if-ethernet1/24)#exit
#配置下联端口的源地址检查,并配置SAVI端口绑定数目限制功能
Switch(config)#interface ethernet 1/2
Switch(config-if-ethernet1/2)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/2)#savi ipv6 binding num 4
Switch(config-if-ethernet1/2)#exit
四、注意事项
1.开启SAVI功能会占用设备ACL表项,具体型号的设备是否支持SAVI功能,可绑定多少用户请咨询400-810-9119
2.使用DHCP-SLAAC模式时,和之前两种模式相比,一台PC机会占用更多的表项
扫一扫
1607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
