《IPV6组网技术与实践》 课件 11：保护IPv6网络安全技术-3.pptx

单元11保护IPv6网络安全技术

【技术背景】IPv6技术带有天然安全优势，在可溯源性、邻居发现协议、安全邻居发现协议等方面，大大提升安全。但在IPv6网络运行过程中，仍面临IPv6地址欺骗，需要实施IPv6安全地址绑定；面临DHCPv6服务器被攻击，需要实施DHCPv6Snooping安全、IPv6SourceGuard安全防护；面临ND协议欺骗，需要实施NDSnooping安全等安全防护。在针对不同区域网络之间安全防护时，还需要实施ACL6安全。

【学习目标】1.知识目标（1）了解IPv6安全地址绑定技术。（2）了解DHCPv6Snooping安全技术。（3）了解NDSnooping安全、IPv6RAGuard安全防护技术。（4）了解中ACL6安全技术。

【学习目标】2.技能目标（1）实施IPv6安全地址。（2）实施DHCPv6Snooping安全。（3）实施NDSnooping安全安全防护。（4）实施ACL6安全技术。

【学习目标】3.素养目标（1）学会整理知识笔记，按照标准格式制作实训报告。（2）能保持工作环境干净，实现物料放置地整洁，遵守6S现场管理标准。（3）学会和同伴友好沟通，建立友好团队合作关系。（4）在实训现场具有良好安全意识，懂得安全操作知识，严格按照安全标准流程操作。

任务11.3NDSnooping安全

【技术介绍】NDSnooping安全是针对IPv6中的ND协议，在二层交换网中实施安全。通过侦听用户重复地址检测DAD（DuplicateAddressDetection）中邻居请求报文NS（NeighborSolicitation），建立NDSnooping动态绑定表，记录报文源IPv6地址、源MAC地址、所属VLAN、入口等信息，防止后续用户实施网关欺骗。11.3实施NDSnooping安全

【技术介绍】11.3.1了解NDSnooping安全ND协议没有安全防范机制，容易被攻击者利用。常见ND攻击有两种情况。1.地址欺骗攻击攻击者仿冒其它用户IPv6地址，发送邻居请求报文NS、邻居通告报文NA、路由器请求报文RS，改写网关地址等欺骗。或者网络中用户ND表项被仿冒，造成无法正常接收报文。11.3实施NDSnooping安全

【技术介绍】11.3.1了解NDSnooping安全2.RA攻击攻击者仿冒网关设备，向用户发送路由器通告报文RA，改写用户设备上ND表项，导致合法用户记录错误，造成用户无法通信。如图所示。11.3实施NDSnooping安全

【技术介绍】11.3.2掌握NDSnooping安全原理NDSnooping通过侦听基于ND报文，建立前缀管理表、NDSnooping动态绑定表，使设备根据前缀管理表，管理用户IPv6地址。交换机根据NDSnooping动态绑定表，过滤从非信任端口上收到的非法ND报文，防止ND攻击事件发生。11.3实施NDSnooping安全

【技术介绍】11.3.2掌握NDSnooping安全原理1.区分Snooping信任端口/非信任端口NDSnooping安全将连接IPv6交换机口分为两种角色。（1）NDSnooping信任端口。信任口连接网络中信任的IPv6主机，从该接口上收到ND报文正常转发。同时，交换机根据收到的RA报文，建立前缀管理表。11.3实施NDSnooping安全

【技术介绍】1.区分Snooping信任端口/非信任端口（2）NDSnooping非信任端口非信任接口连接网络中不信任IPv6主机，从该接口上收到RA报文，交换机认为是非法报文，直接丢弃。交换机根据NDSnooping动态绑定表，对NA/NS/RS报文进行绑定表匹配检查。11.3实施NDSnooping安全

【技术介绍】2.什么是前缀管理表通过无状态地址自动配置方式，用户设备获取IPv6地址。其中，IPv6地址根据路由器发送RA报文中网络前缀，自动生成。配置NDSnooping安全检查后，交换机侦听从NDSnooping信任端口上收到RA报文，自动生成前缀管理表，供网络管理员查看，灵活管理用户IPv6地址。11.3实施NDSnooping安全

【技术介绍】3.更新和老化NDSnooping动态绑定表在交换机上配置NDSnooping动态绑定表，包括源IPv6地址、源MAC地址、所属VLAN信息，帮助交换机从非信任端口上，对收到NA/NS/RS报文进行绑定表匹配检查，过滤非法NA/NS/RS报文。通过配置NDSnooping安全检查，检查DAD检测中NS报文信息，建立NDSnooping动态绑定表；通过检查NS报文、NA报文内容，更新NDSnooping动态绑定表。11.3