ND Snooping配置.docxVIP

18???????????? ND Snooping配置18.1??????? 理解ND Snooping18.1.1? 概述在IPv6网络中，网络节点使用ND（Neighbor Discovery，邻居发现）协议进行路由器发现与自动配置，重复地址探测，链路层地址解析，邻居可达性探测，链路层地址改变通告和路由重定向等操作。由于ND协议缺乏内在的安全性，因此其面临地址解析攻击和路由信息攻击问题，而通过部署外在的加密认证体系来增加安全性又很复杂。IPv6使用ND协议实现的无状态地址自动配置机制在带来更易用的网络的时，使得无法对网络用户进行有效的监管。ND snooping技术的提出就是为了解决上述问题。其通过监听网络中的ND报文，过滤非法的地址解析报文和路由信息报文，监听网络中的IPv6用户，并将监听到的IPv6用户绑定到接口，以防止IP地址盗用。ND snooping技术还利用了IPv6无状态自动地址配置特性，结合802.1X认证技术和端口安全技术，提供一种接入设备IPv6地址认证手段，且与IPv4安全技术平滑透明的兼容。从而打造一个安全可信的IPv6网络。18.1.2? ND防攻击在使用无状态地址自动配置时，IPv6节点使用路由器公告信息配置接口IPv6地址，并获取直连网段前缀，网关IP地址，链路MTU等信息。路由器还可使用ND重定向报文修改主机路由表中相关路由的下一跳信息。因此攻击者可发送非法的RA报文和重定向报文，修改被攻击主机的路由表信息（例如网关IP地址），从而达到拒绝服务攻击、中间人攻击等目的。此类以欺骗主机路由信息为目的的攻击，我们称之为“路由信息攻击”。IPv6节点单播通讯时，首先使用ND协议进行地址解析，以获取邻居节点的链路层地址，然后再用解析到的链路层地址封装帧发送。ND协议中的5类报文都可携带链路层地址信息，且接收节点认为其都是可信的，因此攻击者可发送欺骗性ND报文，修改被攻击节点的邻居表中的IP地址与链路层地址对应关系，从而达到拒绝服务攻击、中间人攻击等目的。此类以欺骗节点IP地址与链路层地址对应关系为目的的攻击，我们称之为“地址解析攻击”。为了解决上述两类攻击问题，ND Snooping特性将网络设备的接口划分为trust接口和untrust接口。trust接口用于接Router或服务器等可信节点，untrust接口用于接用户PC等不可信任节点。对于trust接口接收到的ND报文可任意通过，而对于untrust接口上接收到的重定向报文和RA报文一律丢弃，这样就防止了路由信息攻击。对于untrust接口上接收到的RS/NS/NA报文,则要检查其合法性。对于不合法的RS/NS/NA报文则一律丢弃，这样就防止了地址解析攻击。RS/NS/NA报文合法性通过检查其（源IP地址/Target IP地址，VID，MAC地址，输入接口）四元素的匹配关系判定。主机节点四元素的匹配关系由“IPv6+MAC绑定”，“DHCPv6 Snooping”和下文提到的“无状态配置用户监听”几个特性共同提供。即若要进行防ND地址解析攻击，需开启上述几个特性中至少一个。若从Untrust接口上接收到NA报文中携带路由器才能设置的信息（R位被设置），也认为其是非法的。对所有主机节点的ND报文进行安全性检查自然就防御了网关地址解析攻击，若您只想防网关地址解析攻击，请参见“ND自动防网关攻击”章节。防ND路由信息攻击则与上述几个特性无关。您可以通过命令开关ND防地址解析攻击功能，但ND防路由信息攻击随ND Snooping特性的开启而始终开启。18.1.3? ND自动防网关攻击对网关的地址解析欺骗是最常见的攻击手段，且造成的影响是最大的，因此解决了网关的地址解析欺骗攻击问题，就解决网络中的绝大多数地址解析攻击问题。同时，仅进行防网关攻击，可有效的节省系统资源。为了方便使用，ND Snooping特性除了支持手动配置网关信息，还支持自动获取网关信息。网关是网络中的关键节点之一，ND snooping功能支持“ND仅防关键节点地址解析攻击”特性，即对untrust口上接收到的ND报文，仅检查其是否是假冒关键节点的ND报文，不检查其是否是假冒非关键节点的ND报文，对于假冒报文一律丢弃，从而可以大大减轻网络设备的CPU负载，并减少设备资源消耗和对其它安全特性的依赖性（如“ND防攻击”中所提到的几个特性）。网关信息的获取有自动方式和手动方式，获取的网关信息会自动的成为关键节点信息，从而可实现ND仅防网关地址解析攻击。在使用自动获取网关信息时，ND Snooping特性可通过监听网络中的RA报文，自动学习到得网关信息，若网关发生改变，ND Snooping可自动更新，整个过程对网络管理员透明，不需要特殊配置。若您使用手工配置IPv6网络，则可手工添加网关