《IPV6组网技术与实践》 课件 11：保护IPv6网络安全技术-2.pptx

单元11保护IPv6网络安全技术

【技术背景】IPv6技术带有天然安全优势，在可溯源性、邻居发现协议、安全邻居发现协议等方面，大大提升安全。但在IPv6网络运行过程中，仍面临IPv6地址欺骗，需要实施IPv6安全地址绑定；面临DHCPv6服务器被攻击，需要实施DHCPv6Snooping安全、IPv6SourceGuard安全防护；面临ND协议欺骗，需要实施NDSnooping安全等安全防护。在针对不同区域网络之间安全防护时，还需要实施ACL6安全。

【学习目标】1.知识目标（1）了解IPv6安全地址绑定技术。（2）了解DHCPv6Snooping安全技术。（3）了解NDSnooping安全、IPv6RAGuard安全防护技术。（4）了解中ACL6安全技术。

【学习目标】2.技能目标（1）实施IPv6安全地址。（2）实施DHCPv6Snooping安全。（3）实施NDSnooping安全安全防护。（4）实施ACL6安全技术。

【学习目标】3.素养目标（1）学会整理知识笔记，按照标准格式制作实训报告。（2）能保持工作环境干净，实现物料放置地整洁，遵守6S现场管理标准。（3）学会和同伴友好沟通，建立友好团队合作关系。（4）在实训现场具有良好安全意识，懂得安全操作知识，严格按照安全标准流程操作。

任务11.2实施DHCPv6Snooping安全

【技术介绍】1.什么DHCPv6Snooping窥探DHCPv6Snooping也叫DHCPv6窥探，黑客通过数据包捕获工具，对部署在IPv6网络中DHCPv6服务器通信窥探，实施DHCPv6攻击目的。通过部署DHCPv6Snooping技术，过滤非法DHCPv6报文，保护DHCPv6服务器安全。其中，记录在DHCPv6Snooping生成用户数据表项，为IPv6SourceGuard安全提供服务。11.2实施DHCPv6Snooping安全

【技术介绍】2.DHCPv6snooping应用场景（1）DHCPv6欺骗攻击。非法客户端伪造DHCPv6请求报文，向DHCPv6服务器申请IPv6地址，形成DHCPv6欺骗。大量伪造DHCPv6请求报文导致DHCPv6服务器资源耗尽，造成合法客户端也申请不到IPv6地址。11.2实施DHCPv6Snooping安全

【技术介绍】2.DHCPv6snooping应用场景安装在网络中DHCPv6服务器处于被动。意味着不论什么消息，只要DHCPv6服务器接收到，都立即做出响应。因此，很容易被网络中非法客户端利用，发生安全隐患。（2）伪造DHCPv6欺骗。安装非法DHCPv6服务器，干扰合法DHCPv6服务器工作，导致客户端地址申请，被发到伪DHCPv6服务器上，获取到IPv6地址不可用。11.2实施DHCPv6Snooping安全

【技术介绍】3.DHCPv6snooping安全内容通过DHCPv6snooping安全防护技术，实现DHCPv6服务器安全。（1）过滤非法报文。?丢弃非信任口收到的响应报文。?仅对来自非信任口的报文，进行合法性检查。?丢弃与snp数据库中信息不一致release、decline报文。?丢弃IP、mac地址等信息与数据库中不一致的请求报文。11.2实施DHCPv6Snooping安全

【技术介绍】3.DHCPv6snooping安全内容通过DHCPv6snooping安全防护技术，实现DHCPv6服务器安全。（2）隔离非法服务器。?连接在非信任端口的服务器均属于非法服务器，默认端口非法。?设备仅将客户端请求报文，转发至信任口。?设备仅转发从信任口接收的响应报文。11.2实施DHCPv6Snooping安全

【技术介绍】11.2.2掌握DHCPv6欺骗原理1.了解DHCPv6服务欺骗攻击过程网络中可能存在多台DHCPv6服务器，保证客户端只能从信任DHCPv6服务器获取配置参数。如图所示，客户端仅与信任DHCPv6服务器通信，只有信任DHCPv6服务器响应报文才允许传输给客户端。11.2实施DHCPv6Snooping安全

【技术介绍】2.开启DHCPv6Snooping安全防范为了保障DHCPv6服务器安全，在交换机上开启DHCPv6Snooping安全，监控网络中DHCPv6报文。把交换机连接DHCPv6服务器端口配为信任端口（DHCPv6TRUST），响应正常DHCPv6报文转发服务；其它端口都配为不可信端口（DHCPv6UNTRUST），过滤掉非法DHCPv6响应报文。11.2实施DHCPv6Snooping安全

【技术介绍】2.开启DHCPv6Snooping安全防范通过如下安全检测过程