SAVI技术简介.docVIP

SAVI技术简介 　　通常说IPv6比IPv4更安全，这种观点来源于IPv6最初的定义 RFC2401 对IPSec的强制使用，由于这种观点的存在促进了IPv6得到应用。虽然这种强制IPSec的特征阻挡了一些攻击的入侵之机，但是IPv6并不是万能的，各种攻击漏洞也必定存在，特别是IPv6在许多特性上与IPv4存在共同之处，许多在IPv4上存在的攻击特性像ARP攻击在IPv6中也会存在类似的攻击。作为国内IPv6技术最先进的厂商，神州数码网络公司的路由交换机提供了多种IPv6安全防范技术：IPv6 SAVI技术、基于NDP的安全技术、基于IPv6路由的安全技术、基于IPv6三层以上的访问控制的安全技术、IPv6受控组播技术 分专题呈现 。通过这些技术，可以保障部署安全可靠的IPv6园区网。 　　随着互联网技术的迅速发展，安全问题日益严重，而问题的根源大多是与非法主机接入有关，针对IPv4、IPv6主机的安全合法接入问题，清华大学于2009年4月提出SAVI源址合法性检验 rfc草案，该草案主要讲述了ipv4/ipv6的CPS（Control Packet Snooping）原理，根据CPS原理在接入设备 交换机、AP 上建立基于源地址的绑定关系，从而可以判断从接入设备的指定端口接收到的报文的源地址的有效性。 　　神州数码网络公司与清华大学紧密合作，从该草案设计之初就密切跟踪其进展，根据草案进展逐步开发相应的功能配合清华大学测试，目前神州数码DCS-3950、DCRS-5950系列交换机支持SAVI草案中涉及的所有功能，可全面保证终端设备的安全接入。2009年7月在瑞典召开的IETF会议上，清华大学对比了各业界主流厂商接入设备对该草案涉及功能的支持情况，最终选择了神州数码的两台DCS-3950-28CT设备与一台DCRS-5950-28T设备做功能演示。 SAVI技术原理 　　CPS对于客户端是透明的，在客户端没有任何变化，也没有新增任何协议，所涉及的内容都是根据已有的协议操作流程，在接入设备上建立绑定关系，这种绑定关系一般都是临时的，有生存期，也有一些事件可以触发接入设备解除具体的绑定关系。 　　CPS绑定关系的建立是以重复地址检测为基础的 ipv4的gratuitous ARP报文，ipv6的DAD NS报文 ，如果主机使用没有进行重复检测的地址作为源地址来发送报文，则接入设备应将该报文作为欺骗报文来处理。接入设备根据客户端发出重复地址检测报文后在一定时间内没有收到应答报文而在接入端建立基于源地址的绑定关系，绑定关系建立后，从相应的端口收到的数据报文，根据其源地址是否在端口绑定关系表中有匹配来确定报文是否合法，从而对合法报文正常转发，非法报文则丢弃。 　　SAVI草案中关于IPv4的主机合法接入主要包括了ARP snooping与DHCP snooping两部分的内容，这部分内容请参考《高校校园网ARP攻击防御解决方案》；关于IPv6的主机合法接入主要包括了NDP snooping与DHCPv6 snooping两部分的内容，下面分别介绍。 NDP Snooping 功能 　　NDP snooping利用Control Packet Snooping CPS 机制，通过源IPv6地址和锚信息绑定的方式，对端口接入报文进行合法性检测，放行匹配绑定的报文，丢弃不匹配的报文，以达到对直连链路节点准入控制的目的。 　　全局启用NDP snooping功能，交换机所有端口上均可建立NDP snooping绑定，但不下硬件表项（即准入控制表项）。 　　端口上启用NDP snooping功能时，该端口上初始化拒绝所有ipv6报文（除了源地址为本地链路地址的IPv6报文和NS/NA报文）。当该端口上根据DAD NS报文建立一个状态为SAC_BOUND的NDP snooping绑定时，则下发一个（IPv6 address，MAC，Port Name，VLAN ID）四元组的准入控制表项，允许符合规则的IPv6报文通过。 　　关闭端口的NDP snooping功能时，不删除上层绑定表项，只删除下发的准入控制表项；关闭全局的NDP snooping功能时，删除所有的上层绑定表项，同时删除下发的所有准入控制表项。 　　如下图所示，NDP snooping功能启在接入交换机S2上，端口Ethernet0/0/27拒绝转发所有IPv6数据流量，汇聚交换机S1配置无状态地址自动配置协议，公告前缀2001::/64。当客户主机PC接收到来自S1的RA公告后，通过无状态地址自动配置协议自动获取前缀为2001::/64的IPv6地址，地址生成后会先发送DAD NS报文，探测在当前链路上该IPv地址是否可用。客户主机若收到DAD NA回应表示该地址不可用，反之表