《IPV6組網(wǎng)技術(shù)與實踐》 課件 單元11 保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)

單元11保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護(hù)；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護(hù)。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護(hù)時，還需要實施ACL6安全?！緦W(xué)習(xí)目標(biāo)】1.知識目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護(hù)技術(shù)。（4）了解中ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護(hù)。（4）實施ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會整理知識筆記，按照標(biāo)準(zhǔn)格式制作實訓(xùn)報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標(biāo)準(zhǔn)。（3）學(xué)會和同伴友好溝通，建立友好團(tuán)隊合作關(guān)系。（4）在實訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.1實施IPv6安全地址綁定【技術(shù)介紹】1.什么是交換機端口安全功能默認(rèn)情況下，交換機的所有端口都是完全敞開，不提供任何安全檢查措施，允許所有的IPv6數(shù)據(jù)流通過。為保護(hù)IPv6網(wǎng)絡(luò)內(nèi)的用戶安全，對接入交換機的端口增加安全功能，有效保護(hù)接入網(wǎng)絡(luò)安全，如圖所示。11.1實施IPv6安全地址綁定【技術(shù)介紹】1.什么是交換機端口安全功能交換機的端口安全是在二層端口上實施安全特性，實現(xiàn)以下功能。（1）只允許特定MAC地址接入到IPv6網(wǎng)絡(luò)，防止未授權(quán)設(shè)備接入。（2）限制端口接入設(shè)備數(shù)量，防止將過多設(shè)備接入到IPv6網(wǎng)絡(luò)。大部分網(wǎng)絡(luò)攻擊行為都采用欺騙源IP或源MAC地址方法，對網(wǎng)絡(luò)進(jìn)行連續(xù)數(shù)據(jù)包攻擊，達(dá)到耗盡核心設(shè)備資源目的，如MAC攻擊、DHCPv6攻擊。這些針對交換機端口產(chǎn)生攻擊，通過啟用交換機端口安全防范。11.1實施IPv6安全地址綁定【技術(shù)介紹】2.交換機端口安全檢測原理通常把實施端口安全功能端口稱安全端口。端口安全通過檢查收到幀中源MAC地址，限定報文是否進(jìn)入交換機。為了增強IPv6接入安全，將MAC地址和IPv6地址綁定作為安全地址，也可以只綁定MAC地址，或者IPv6地址，實施訪問限制，如圖所示。11.1實施IPv6安全地址綁定【技術(shù)介紹】3.限制交換機端口最大連接數(shù)當(dāng)端口上連接安全地址數(shù)目達(dá)到允許個數(shù)，或端口收到一個不屬于該端口地址，交換機產(chǎn)生一個違例通知：如丟棄接收到IPv6數(shù)據(jù)包；發(fā)送違例通知或關(guān)閉端口等。11.1實施IPv6安全地址綁定【技術(shù)介紹】4.配置交換機端口安全（1）設(shè)置端口安全功能。Switch(config-if)#switchportport-security（2）設(shè)置端口最多安全地址個數(shù)。Switch(config-if)#switchportport-securitymaximumvalue（3）設(shè)置處理違例方式。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}其中，protect：發(fā)現(xiàn)違例，則丟棄違例的報文。restrict：發(fā)現(xiàn)違例，則丟棄違例的報文并且發(fā)送trap。shutdown：發(fā)現(xiàn)違例，則丟棄報文、并關(guān)閉接口。【技術(shù)介紹】（4）配置安全端口上的安全地址。在接口模式下，為安全端口添加安全地址。Switch(config-if)#switchportport-securitymac-addressmac-address（5）為安全端口添加IPv6安全地址綁定。在全局模式下，為安全端口添加IPv6安全地址綁定。Switch(config)#switchportport-securityinterfaceinterface-idbinding[mac-addressvlanvlan_id][ipv6-address]在接口模式下，為安全端口添加安全I(xiàn)Pv6地址綁定。Switch(config-if)#switchportport-securitybinding[mac-addressvlanvlan_id][ipv6-address]【技術(shù)介紹】（6）顯示安全地址。顯示所有安全地址，或者指定接口的安全地址。Switch#showport-securityaddress[interfaceinterface-id]顯示所有生效的端口安全地址和端口安全綁定記錄。Switch#showport-securityall【技術(shù)介紹】【案例】配置安全端口為辦公網(wǎng)中接入交換機Gigabitethernet0/1口配置安全地址。安全MAC地址為00d0.f800.073c；安全I(xiàn)Pv6地址為2012::1。如下示例配置安全端口功能。11.1實施IPv6安全地址綁定THANKS

單元11保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護(hù)；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護(hù)。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護(hù)時，還需要實施ACL6安全?！緦W(xué)習(xí)目標(biāo)】1.知識目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護(hù)技術(shù)。（4）了解中ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護(hù)。（4）實施ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會整理知識筆記，按照標(biāo)準(zhǔn)格式制作實訓(xùn)報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標(biāo)準(zhǔn)。（3）學(xué)會和同伴友好溝通，建立友好團(tuán)隊合作關(guān)系。（4）在實訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.2

實施DHCPv6Snooping安全【技術(shù)介紹】1.什么DHCPv6Snooping窺探DHCPv6Snooping也叫DHCPv6窺探，黑客通過數(shù)據(jù)包捕獲工具，對部署在IPv6網(wǎng)絡(luò)中DHCPv6服務(wù)器通信窺探，實施DHCPv6攻擊目的。通過部署DHCPv6Snooping技術(shù)，過濾非法DHCPv6報文，保護(hù)DHCPv6服務(wù)器安全。其中，記錄在DHCPv6Snooping生成用戶數(shù)據(jù)表項，為IPv6SourceGuard安全提供服務(wù)。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.DHCPv6snooping應(yīng)用場景（1）DHCPv6欺騙攻擊。非法客戶端偽造DHCPv6請求報文，向DHCPv6服務(wù)器申請IPv6地址，形成DHCPv6欺騙。大量偽造DHCPv6請求報文導(dǎo)致DHCPv6服務(wù)器資源耗盡，造成合法客戶端也申請不到IPv6地址。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.DHCPv6snooping應(yīng)用場景安裝在網(wǎng)絡(luò)中DHCPv6服務(wù)器處于被動。意味著不論什么消息，只要DHCPv6服務(wù)器接收到，都立即做出響應(yīng)。因此，很容易被網(wǎng)絡(luò)中非法客戶端利用，發(fā)生安全隱患。（2）偽造DHCPv6欺騙。安裝非法DHCPv6服務(wù)器，干擾合法DHCPv6服務(wù)器工作，導(dǎo)致客戶端地址申請，被發(fā)到偽DHCPv6服務(wù)器上，獲取到IPv6地址不可用。11.2實施DHCPv6Snooping安全【技術(shù)介紹】3.DHCPv6snooping安全內(nèi)容通過DHCPv6snooping安全防護(hù)技術(shù)，實現(xiàn)DHCPv6服務(wù)器安全。（1）過濾非法報文。丟棄非信任口收到的響應(yīng)報文。僅對來自非信任口的報文，進(jìn)行合法性檢查。丟棄與snp數(shù)據(jù)庫中信息不一致release、decline報文。丟棄IP、mac地址等信息與數(shù)據(jù)庫中不一致的請求報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】3.DHCPv6snooping安全內(nèi)容通過DHCPv6snooping安全防護(hù)技術(shù)，實現(xiàn)DHCPv6服務(wù)器安全。（2）隔離非法服務(wù)器。連接在非信任端口的服務(wù)器均屬于非法服務(wù)器，默認(rèn)端口非法。設(shè)備僅將客戶端請求報文，轉(zhuǎn)發(fā)至信任口。設(shè)備僅轉(zhuǎn)發(fā)從信任口接收的響應(yīng)報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.2掌握DHCPv6欺騙原理1.了解DHCPv6服務(wù)欺騙攻擊過程網(wǎng)絡(luò)中可能存在多臺DHCPv6服務(wù)器，保證客戶端只能從信任DHCPv6服務(wù)器獲取配置參數(shù)。如圖所示，客戶端僅與信任DHCPv6服務(wù)器通信，只有信任DHCPv6服務(wù)器響應(yīng)報文才允許傳輸給客戶端。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.開啟DHCPv6Snooping安全防范為了保障DHCPv6服務(wù)器安全，在交換機上開啟DHCPv6Snooping安全，監(jiān)控網(wǎng)絡(luò)中DHCPv6報文。把交換機連接DHCPv6服務(wù)器端口配為信任端口（DHCPv6TRUST），響應(yīng)正常DHCPv6報文轉(zhuǎn)發(fā)服務(wù)；其它端口都配為不可信端口（DHCPv6UNTRUST），過濾掉非法DHCPv6響應(yīng)報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.開啟DHCPv6Snooping安全防范通過如下安全檢測過程，開啟開啟DHCPv6Snooping安全防范。首先，在接入交換機上開啟DHCPv6Snooping服務(wù)，實現(xiàn)DHCPv6監(jiān)控。然后，把交換機連接DHCPv6服務(wù)器口配置為可信任端口（DHCPv6TRUST），響應(yīng)正常DHCPv6報文轉(zhuǎn)發(fā)。在交換機連接用戶口配置為不可信端口（DHCPv6UNTRUST），過濾掉非法DHCPv6響應(yīng)報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全通過實施如下命令，在IPv6網(wǎng)絡(luò)中，保護(hù)DHCPv6服務(wù)器安全。（1）啟動DHCPv6Snooping功能。在全局配置模式下，使用如下命令開啟DHCPv6Snooping安全防護(hù)。Switch(config)#ipv6dhcpsnooping使用“showipv6dhcpsnooping”命令查看DHCPv6Snooping功能是否打開。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（2）啟動DHCPv6請求報文過濾功能。Switch(config-if)#ipv6dhcpsnoopingfilter-dhcp-pkt在接口模式下，通過該命令拒絕該端口下所有DHCPv6請求報文。（3）配置指定VLAN的DHCPv6Snooping功能。Switch(config)#ipv6dhcpsnoopingvlan{vlan-rng|{vlan-min[vlan-max]}}11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全通過實施如下命令，在IPv6網(wǎng)絡(luò)中，保護(hù)DHCPv6服務(wù)器安全。（其中，各項參數(shù)說明如下。vlan-rng：DHCPv6Snooping功能生效vlan范圍。vlan-min：DHCPv6Snooping功能生效vlan下限。vlan-max：DHCPv6Snooping功能生效vlan上限。如：Switch(config)#ipv6dhcpsnoopingvlan1-311.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（4）配置DHCPv6SnoopingTRUST口。Switch(config-if)#ipv6dhcpsnoopingtrust通過配置該命令將連接合法DHCPv6服務(wù)器口配為TRUST口，TRUST口到DHCPv6響應(yīng)報文正常轉(zhuǎn)發(fā)；UNTRUST口收到DHCPv6響應(yīng)報文被丟棄。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（5）查看DHCPv6服務(wù)運行情況。Switch#showipv6dhcpsnooping//顯示DHCPv6Snooping配置Switch#showipv6dhcpsnoopingvlan//顯示DHCPv6Snooping沒有生效vlanSwitch#showipv6dhcpsnoopingbinding//顯示綁定數(shù)據(jù)庫動態(tài)綁定表項Switch#showipv6sourcebinding//顯示手工添加所有靜態(tài)綁定表項和DHCPv6Snooping綁定數(shù)據(jù)庫中動態(tài)綁定表項11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全如圖為某企業(yè)DHCPv6服務(wù)器，在接入交換機上實施DHCPv6Snooping安全，保障客戶端通過交換機連接到合法DHCPv6服務(wù)器，動態(tài)獲取IPv6地址。11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全實施DHCPv6Snooping安全措施，保障DHCPv6服務(wù)器安全11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全11.2實施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全為保護(hù)DHCPv6服務(wù)器安全，在交換機上實施IPv6SourceGuard安全綁定，對交換機轉(zhuǎn)發(fā)IPv6報文中的源IPv6字段檢查，檢查網(wǎng)絡(luò)中來自DHCPv6客戶端發(fā)送IPv6報文。其中，IPv6報文源地址字段必須和DHCPv6分配IPv6地址匹配。數(shù)據(jù)幀中源MAC地址和交換機上DHCPv6Snooping下發(fā)給硬件過濾表里MAC地址匹配。11.2實施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全通過交換機硬件對轉(zhuǎn)發(fā)IPv6報文過濾，保證交換機的IPv6報文過濾數(shù)據(jù)庫中存在對應(yīng)信息用戶，才能正常轉(zhuǎn)發(fā)，防止偽造IPv6攻擊事件發(fā)生。如圖所示。11.2實施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全需要注意的是：Ipv6SourceGuard安全是在DHCPv6Snooping安全基礎(chǔ)上，實施的進(jìn)一步安全檢查。也就是說基于端口Ipv6SourceGuard安全，僅在DHCPv6Snooping控制網(wǎng)絡(luò)內(nèi)的非信任端口上生效。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全首先，在接入交換機上開啟DHCPv6Snooping安全功能，實施DHCPv6報文監(jiān)控。接下來，設(shè)置接入交換機所有連接終端主機口為DHCPv6非信任口。并在接入交換機上開啟Ipv6SourceGuard安全，實現(xiàn)Ipv6報文過濾。最后，在接入交換機上設(shè)置Ipv6SourceGuard匹配模式為“Ipv6+MAC”，讓交換機針對MAC字段與Ipv6字段的綜合檢查防范。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全此外，在安全端口上匹配的方式有以下兩種。一是基于源Ipv6地址過濾，要求三層IP報文中的源Ipv6字段，屬于綁定用戶記錄中的Ipv6地址集合，可以通過端口。二是基于Ipv6+MAC地址過濾，要求報文中源MAC與源Ipv6都必須和合法用戶表中的某條記錄完全匹配上，才能通過端口。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全（1）啟動端口上Ipv6SourceGuard功能。在接口模式下，啟動接口上IPv6SourceGuard功能Switch(config-if)#ipv6verifysourceport-security然后，配置該端口為信任安全信任端口。Switch(config-if)#ipv6verifysourcetrust11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全（2）把靜態(tài)用戶信息綁定到IPv6源地址數(shù)據(jù)庫中。在全局模式下，通過此命令允許部分用戶通過IPv6SourceGuard檢測。Switch(config)#ipv6sourcebindingmac-addressvlanvlan-idipv6-address{interfaceinterface-id|ip-mac|ip-only}11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全其中，各項參數(shù)信息室說明如下。mac-address：靜態(tài)添加的用戶的MAC地址。vlan-id：靜態(tài)添加的用戶的vlanid。ipv6-address：靜態(tài)添加的用戶的IPv6地址。interface-id：靜態(tài)添加的用戶所屬的有線接入接口。ip-mac：全局綁定的類型為IPv6+MAC綁定。ip-only：全局綁定的類型為僅IPv6綁定。（3）查看IPv6源地址綁定數(shù)據(jù)庫的信息。Switch#showipv6sourcebinding【技術(shù)介紹】【案例3】打開交換機IPv6SourceGuard安全檢測如下應(yīng)用案例，打開交換機上IPv6SourceGuard安全檢測功能。11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例3】打開交換機IPv6SourceGuard安全檢測11.2實施DHCPv6Snooping安全THANKS

單元11保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護(hù)；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護(hù)。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護(hù)時，還需要實施ACL6安全。【學(xué)習(xí)目標(biāo)】1.知識目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護(hù)技術(shù)。（4）了解中ACL6安全技術(shù)。【學(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護(hù)。（4）實施ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會整理知識筆記，按照標(biāo)準(zhǔn)格式制作實訓(xùn)報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標(biāo)準(zhǔn)。（3）學(xué)會和同伴友好溝通，建立友好團(tuán)隊合作關(guān)系。（4）在實訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.3

NDSnooping安全【技術(shù)介紹】NDSnooping安全是針對IPv6中的ND協(xié)議，在二層交換網(wǎng)中實施安全。通過偵聽用戶重復(fù)地址檢測DAD（DuplicateAddressDetection）中鄰居請求報文NS（NeighborSolicitation），建立NDSnooping動態(tài)綁定表，記錄報文源IPv6地址、源MAC地址、所屬VLAN、入口等信息，防止后續(xù)用戶實施網(wǎng)關(guān)欺騙。11.3實施NDSnooping安全【技術(shù)介紹】11.3.1了解NDSnooping安全ND協(xié)議沒有安全防范機制，容易被攻擊者利用。常見ND攻擊有兩種情況。1.地址欺騙攻擊攻擊者仿冒其它用戶IPv6地址，發(fā)送鄰居請求報文NS、鄰居通告報文NA、路由器請求報文RS，改寫網(wǎng)關(guān)地址等欺騙?；蛘呔W(wǎng)絡(luò)中用戶ND表項被仿冒，造成無法正常接收報文。11.3實施NDSnooping安全【技術(shù)介紹】11.3.1了解NDSnooping安全2.RA攻擊攻擊者仿冒網(wǎng)關(guān)設(shè)備，向用戶發(fā)送路由器通告報文RA，改寫用戶設(shè)備上ND表項，導(dǎo)致合法用戶記錄錯誤，造成用戶無法通信。如圖所示。11.3實施NDSnooping安全【技術(shù)介紹】11.3.2掌握NDSnooping安全原理NDSnooping通過偵聽基于ND報文，建立前綴管理表、NDSnooping動態(tài)綁定表，使設(shè)備根據(jù)前綴管理表，管理用戶IPv6地址。交換機根據(jù)NDSnooping動態(tài)綁定表，過濾從非信任端口上收到的非法ND報文，防止ND攻擊事件發(fā)生。11.3實施NDSnooping安全【技術(shù)介紹】11.3.2掌握NDSnooping安全原理1.區(qū)分Snooping信任端口/非信任端口NDSnooping安全將連接IPv6交換機口分為兩種角色。（1）NDSnooping信任端口。信任口連接網(wǎng)絡(luò)中信任的IPv6主機，從該接口上收到ND報文正常轉(zhuǎn)發(fā)。同時，交換機根據(jù)收到的RA報文，建立前綴管理表。11.3實施NDSnooping安全【技術(shù)介紹】1.區(qū)分Snooping信任端口/非信任端口（2）NDSnooping非信任端口非信任接口連接網(wǎng)絡(luò)中不信任IPv6主機，從該接口上收到RA報文，交換機認(rèn)為是非法報文，直接丟棄。交換機根據(jù)NDSnooping動態(tài)綁定表，對NA/NS/RS報文進(jìn)行綁定表匹配檢查。11.3實施NDSnooping安全【技術(shù)介紹】2.什么是前綴管理表通過無狀態(tài)地址自動配置方式，用戶設(shè)備獲取IPv6地址。其中，IPv6地址根據(jù)路由器發(fā)送RA報文中網(wǎng)絡(luò)前綴，自動生成。配置NDSnooping安全檢查后，交換機偵聽從NDSnooping信任端口上收到RA報文，自動生成前綴管理表，供網(wǎng)絡(luò)管理員查看，靈活管理用戶IPv6地址。11.3實施NDSnooping安全【技術(shù)介紹】3.更新和老化NDSnooping動態(tài)綁定表在交換機上配置NDSnooping動態(tài)綁定表，包括源IPv6地址、源MAC地址、所屬VLAN信息，幫助交換機從非信任端口上，對收到NA/NS/RS報文進(jìn)行綁定表匹配檢查，過濾非法NA/NS/RS報文。通過配置NDSnooping安全檢查，檢查DAD檢測中NS報文信息，建立NDSnooping動態(tài)綁定表；通過檢查NS報文、NA報文內(nèi)容，更新NDSnooping動態(tài)綁定表。11.3實施NDSnooping安全【技術(shù)介紹】4.NDSnooping動態(tài)綁定表應(yīng)用場景如圖所示，黑客Attacker仿冒合法用戶UserA，向交換機發(fā)送偽造NA/NS/RS報文，導(dǎo)致交換機上ND表中記錄UserA設(shè)備錯誤地址映射，黑客Attacker獲到外部網(wǎng)絡(luò)通過網(wǎng)關(guān)原來要發(fā)往合法UserA設(shè)備上數(shù)據(jù)?！炯夹g(shù)介紹】4.NDSnooping動態(tài)綁定表應(yīng)用場景為了防止地址欺騙和攻擊事件發(fā)生，在交換機Switch的Gi0/1和Gi0/3接口上部署NDSnooping安全檢查，將Switch與網(wǎng)關(guān)相連接口Gi0/3置為信任接口；在連接用戶接口Gi0/1上開啟ND安全檢查。從交換機的Gi0/1口收到的NA/NS/RS報文，Switch根據(jù)生成NDSnooping動態(tài)綁定表，匹配檢查到非法報文直接丟棄，避免偽造的NA/NS/RS報文帶來危害。【技術(shù)介紹】11.3.3配置NDSnooping安全通過如下配置，完成NDSnooping安全配置操作。（1）開啟NDSnooping功能。在接口模式下，使用如下命令開啟NDSnooping功能。Switch(config-if)#ipv6ndsnoopingenable//開啟NDSnooping功能（2）配置NDSnooping信任口。在接口模式下，使用如下命令完成信任口配置。Switch(config-if)#ipv6ndsnoopingtrust//配置該接口為信任口【技術(shù)介紹】11.3.3配置NDSnooping安全（3）配置ND協(xié)議報文合法性檢查。在接口模式下，使用如下命令完成ND協(xié)議報文合法性檢查配置。Switch(config-if)#ipv6ndsnoopingcheckaddress-resolution//開啟報文合法性檢查在接口模式下，使用如下命令開啟NDSnooping綁定表檢查告警功能。Switch(config-if)#ipv6ndsnoopingbindwarning-threshold15-100//開啟綁定表檢查告警（4）查看配置結(jié)果。查看ND用戶的前綴管理表項。Switch#Showipv6ndsnooping[binding|log|prefix|packet]THANKS

單元11保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護(hù)；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護(hù)。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護(hù)時，還需要實施ACL6安全。【學(xué)習(xí)目標(biāo)】1.知識目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護(hù)技術(shù)。（4）了解中ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護(hù)。（4）實施ACL6安全技術(shù)?！緦W(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會整理知識筆記，按照標(biāo)準(zhǔn)格式制作實訓(xùn)報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標(biāo)準(zhǔn)。（3）學(xué)會和同伴友好溝通，建立友好團(tuán)隊合作關(guān)系。（4）在實訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.4

實施ACL6安全【技術(shù)介紹】11.4.1什么是ACL6ACL6即IPv6ACL，指在IPv6網(wǎng)絡(luò)中過濾IPv6報文的訪問控制列表技術(shù)。ACL6對進(jìn)出IPv6網(wǎng)絡(luò)中IPv6報文控制，阻止或允許特定IPv6報文進(jìn)入網(wǎng)絡(luò)，控制IPv6網(wǎng)絡(luò)中特定的用戶訪問網(wǎng)絡(luò)目的。ACL6通過配置規(guī)則對特定IPv6數(shù)據(jù)包過濾。根據(jù)設(shè)定策略，允許或禁止相應(yīng)IPv6數(shù)據(jù)包通過。和IPv4網(wǎng)絡(luò)中實施ACL規(guī)則一樣，ACL6規(guī)則對IPv6數(shù)據(jù)包分類，網(wǎng)絡(luò)設(shè)備根據(jù)這些規(guī)則，判斷哪些IPv6數(shù)據(jù)包可以接收，哪些IPv6數(shù)據(jù)包被拒絕。11.4

在IPv6網(wǎng)絡(luò)中實施ACL6安全【技術(shù)介紹】1.ACL6匹配內(nèi)容ACL6匹配順序與過濾IPv4中ACL規(guī)則相同，也使用IPv6數(shù)據(jù)包中組成元素，控制IPv6數(shù)據(jù)包通過與否。如圖所示5元素組合，能標(biāo)識某數(shù)據(jù)包來龍（即源地址、源端口）、去脈（即目的地址、目的端口）和通信方式（協(xié)議號），唯一標(biāo)識某一個IPv6數(shù)據(jù)包。11.4在IPv6網(wǎng)絡(luò)中實施ACL6安全【技術(shù)介紹】2.ACL6匹配的順序如下創(chuàng)建一條ACL6規(guī)則，允許所有IPv6數(shù)據(jù)通過，后面語句將不被檢查。Router(config)#ipv6access-listipv6_acl_name//創(chuàng)建名稱為ipv6_acl規(guī)則Router(config-ipv6-nacl)#permitipv6anyany//允許所有ipv6報文通過Router(config-ipv6-nacl)#denyipv6host200::1any//拒絕2001::1報文通過第一條規(guī)則允許所有IPv6報文通過，從主機200::1上發(fā)出IPv6報文無法和后面那條deny規(guī)則匹配。設(shè)備在檢查到報文和第一條規(guī)則匹配，便不再檢查后面規(guī)則。11.4在IPv6網(wǎng)絡(luò)中實施ACL6安全【技術(shù)介紹】11.4.3配置ACL6規(guī)則（1）創(chuàng)建ACL6訪問控制列表。在配置模式下，使用如下命令創(chuàng)建一個ACL6列表。Router(config)#ipv6access-listacl-name//進(jìn)入ACL6配置模式（2）配置ACL6訪問控制列表匹配規(guī)則。在ACL6訪問控制列表模式下，使用如下命令配置一條規(guī)則。Router(config-ipv6-nacl)#[sn]{permit|deny}protocol{src-ipv6-prefix/prefix-len|hostsrc-ipv6-addr|any}{dst-ipv6-pfix/pfix-len|hostdst-ipv6-addr|any}[opdstport|rangelowerupper][dscpdscp][flow-labelflow-label][fragment][time-rangetm-rng-name]【技術(shù)介紹】11.4.3配置ACL6規(guī)則其中，各項參數(shù)說明如下。sn：規(guī)則表序號，取值范圍為[1~2147483647]。permit：表示規(guī)則允許通過。deny：表示規(guī)則禁止通過。protocol：IPv6協(xié)議，包括icmp、ipv6、tcp、udp。src-ipv6-prefix/prefix-len：表示匹配某一個IPv6網(wǎng)段內(nèi)主機發(fā)出報文。hostsrc-ipv6-addr：表示要匹配源IP為某一臺主機發(fā)出IPv6報文。any：表示要匹配任意主機發(fā)出的IPv6報文。dst-ipv6-pfix/pfix-len：表示匹配某一IPv6網(wǎng)段內(nèi)主機IPv6報文。hostdst-ipv6-addr：表示要匹配某一臺主機IPv6報文。any：表示匹配發(fā)往任意主機IPv6報文?！炯夹g(shù)介紹】11.4.3配置ACL6規(guī)則opdstport：表示要匹配TCP或UDP報文中目的端口，op參數(shù)可以是eq、neq、gt、lt，對應(yīng)等于、不等于、大于、小于四個不同操作。rangelowerupper：表示匹配TCP或UDP報文中某個范圍內(nèi)端口。dscpdscp：表示要匹配IPv6報文頭部dscp域。flow-labelflow-label：表示要匹配IPv6報文頭部流標(biāo)簽域。fragment：表示匹配非首片的IPv6分片報文。time-rangetime-range-name：在指定時間區(qū)間內(nèi)該規(guī)則才生效?！炯夹g(shù)介紹】11.4.3配置ACL6規(guī)則（3）應(yīng)用ACL6訪問控制列表。在接口模式下，使用如下命令讓ACL6在指定接口上生效。Router(config-if)#ipv6traffic-filteracl-name{in|out}其中，各項參數(shù)說明如下。acl-name：ACL6訪