园区网技术发展了这么多年
，想必各人对于IPv4场景下的接入安全问题已经烂熟于心
。随着IPv6技术的发展和推广
，将来园区网架构向IPv6演进已经成为不成反对的趋向
，而我们对于IPv6架构下的接入安全问题相识几多？好比
，终端能够获取到正确的IPv6地址吗？拿到地址就能够正确封装报文信息吗？报文封装正确就能够转发正常吗？等等
。在IPv6环境下接入层还有哪些安全问题？我们又该若何解决？

上一篇文章（IPv6系列安全篇——SAVI技术解析）为各人介绍了SAVI(Source Address Validation Improvements
，源址合法性检验) 的技术道理
，本文将聚焦IPv6在园区网有线部署的场景
，论述若何利用SAVI技术解决接入安全问题
。

IPv6园区网接入安全问题

多所周知
，终端正常接见资源的前提是必要有一个可用的IP地址
，那么若何获取正确的地址是我们要会商的一个问题
。

其次
，为了正常接见网络资源进行流量转发
，还必要正确解析对端的MAC地址或者网关的MAC地址（跨网段时）
，这样能力进行一个报文的齐全封装
。在IPv4的场景中是通过ARP和谈来解析地址
，对应到IPv6场景是通过ND和谈中的NS/NA报文交互来解析
。

除此之表
，为了给所有终端分配地址资源
，地址源可谓是“尽心极力”
，因而它的资源是有限的
，也必要额表关注
。

看似清淡无奇的过程中暗藏着好多安全问题
，下面我们来具体分析一下这些问题是若何产生
，以及有何威胁
。

地址获取糊弄

在IPv6的场景中
，地址获取的方式有多种：

1、DHCPv6：通过DHCPv6和谈实现地址的获取
，整个流程和IPv4下的DHCP和谈类似
，但和谈报文有部门差距
，具体能够参考DHCPv6的报文详解
。

2、SLAAC（Stateless Address Auto Configuration
，无状态地址自动配置）：凭据网关设备公告RA（Router Advertisement
，路由器公告）报文中携带的网络前缀天生网络ID
，凭据EUI-64算法天生接口ID
，通过两者结合天生一个IPv6地址
。

3、手动配置：某些业务服务器必要固定IP
，通常会手工静态配置
。但由于IPv6地址很长
，所以配置起来比力麻烦
，通常终端的话通常不推荐
。

地址获取糊弄就是让终端无法获取正确地址的攻击伎俩
。

对应分歧的地址获取方式
，也有分歧的糊弄方式：

1、DHCPv6方式：犯法用户通过私设DHCPv6服务器
，糊弄终端获取到谬误的IPv6地址
，这个问题在IPv4场景中也时时遇到
。

2、SLAAC方式：犯法用户私设网关设备
，通过公告犯法的RA报文来误导终端天生谬误的地址
，好比：

• 公告犯法的网络前缀
  ，导致终端获取到谬误的网络前缀
  。
• 公告谬误M比特位
  ，导致终端本应通过SLAAC方式天生地址
  ，却改成通过DHCPv6方式获取地址
  。了局由于DHCPv6服务器不存在或存在犯法的DHCPv6服务器
  ，造成终端无法获取到地址或获取到犯法地址
  。

3、私设IP方式：用户通过手工配置IPv6地址的方式接入网络
。好比：

• 当私设IP与现网IP存在矛盾时
  ，会导致私设IP的用户无法使用该地址进行通讯
  。
• 当现网某个静态IP终端（好比某个服务器）临时离线时
  ，用户能够使用这个私设IP进行通讯
  。但该服务器再次入网时会导致服务器无法接见网络
  ，而批改服务器的IP会导致业务产生调换
  ，影响领域较大
  。
• 当私设的IP在现网没有矛盾时
  ，也会导致网络工程师预先规划的地址被这些私设终端所占用
  ，无法对其进行接入管控
  ，造成犯法用户的接入
  。

不论哪种方式
，其主题了局都是使终端不能依照我们预期的方式拿到正确的地址
， 导致终端无法正常接见网络
，甚至是业务中断
。

地址解析糊弄

上文也曾提到
，IPv6的地址解析是通过NS/NA报文的交互来实现
。在这个过程中也会出现类似IPv4中ARP糊弄的问题
，导致终端流量转发异常
。

攻击者通过发送犯法NS/NA报文对合法终端发送的NS/NA报文进行谬误应答
，无论是DHCPv6还是SLAAC的场景城市使终端解析到谬误的指标MAC地址
。

这样会导致终端报文封装谬误
，流量转发异常
，甚至可能被攻击者截获报文泄露发送的机密信息
，安全性无法保险
。

泛洪攻击

前面我们提到的两种安全问题都是针对终端
，而地址分配源（DHCPv6 Server或者公告RA的网关）也长短法终端的攻击对象
。

泛洪攻击是通过仿照大量的终端向地址源发送要求的攻击方式
。

1、DHCPv6方式：攻击者能够仿照大量用户发送DHCPv6要求报文
，占用服务器大量的地址资源
，导致合法终端没有地址资源能够分配
。

2、SLAAC方式：攻击者能够仿照大量用户发送的RS报文
，被网关应答RA后天生地址
。而后发送DAD报文检测地址是否有矛盾
，无矛盾的话会天生ND表项
。攻击者用这样的方式
，占用网关设备大量的ND表项
，这样就会使合法终端无法天生ND表项
，进而导致流量转发异常
。

备注：SLAAC场景
，网关仅仅公告网络前缀
，所以攻击者并不会亏损地址资源
，但是攻击者会天生大量的IPv6地址
，当发送DAD检测发现地址可用后会在设备上天生好多的ND表项
，从而实现对表项资源的犯法占用
。当然
，j9国际厅网络互换机的ND表项还是比力丰裕的
，但在园区大规模组网下还是建议躲避这种事件的产生
。

总结看来两种泛洪攻击城市导致资源（地址资源或者表项资源）被攻击者占用
，使得终端无法获取地址
，也就无法正常接见网络
。

幼结

看到这里可能会有好多读者已经眉头紧皱了
，IPv4场景里会产生的问题在IPv6里面还会再次出现
，并且攻击方式越发多样
，该若何解决呢？

下面将为各人介绍以SAVI技术为基础的安全战术部署是若何迎刃而解的
。

以SAVI为基础的安全战术部署建议

SAVI技术的工作机造是通过监听节造类和谈报文
，为接入设备成立基于IPv6源地址、源MAC地址和接入设备端口的绑定关系
。这个绑定关系通常是以DHCPv6 Snooping、ND Snooping或者两者的结合作为凭据
。设备凭据绑定表对通过指定端口的IP报文进行校验
，目前支持端口下基于源IPv6地址过滤以及基于源IPv6地址+MAC地址过滤
。通过校验后能力够转发
，这样就预防了恶意用户伪造报文进行攻击
。下面我们来看一下SAVI的安全战术具体是若何部署的
。

以一个单一的园区网场景举例
。

▲图1 园区网逻辑拓扑图

如上图所示
，主题互换机到接入互换机采取大二层部署模式
，所有终端的网关都设置在两台堆叠的主题互换机上（逻辑上是一台）
。主题到出口之间通过静态路由或动态路由实现互通
。

目前市场上主流的PC终端对IPv6的支持情况参差不齐
，出格是对于地址的获取能力
，为了满足大部门PC都能获取到IPv6地址
，建议别离选取DHCPv6和SLAAC两种方式部署
。

1、DHCPv6分配实现：在主题互换机上开启DHCPv6 Server的职能
，并且作为终端的网关设备
。

2、SLAAC分配实现：在主题互换机上配置发送RA新闻来公告网络前缀
，让不支持DHCPv6的终端通过SLAAC进行地址获取
，并且以主题互换机作为网关设备
。

备注：若是在一个网段下同时部署DHCPv6和SLAAC
，大部门终端会凭据RA报文中的M比特位来选择一种方式进行地址获取
，但实测win7的终端会同时天生两种地址
，目前看来是终端的行为
，网络设备厂家也暂无对策
。另表
，据相识安卓系统的终端目前是不支持DHCPv6的
，所以也必要靠SLAAC的方式获取地址
。

以上是根基职能的配置
，下面我们看一下安全战术的部署：

1、接入互换机（DHCPv6）：

• 全局开启SAVI源地址查抄职能：开启源地址/源地址+MAC的校验职能；
• 上联接口开启DHCPv6 Snooping trust：放行信赖的地址源报文
  ，抛弃不成信的地址源报文；
• 全局开启DHCPv6 Snooping：基于DHCPv6和谈交互嗅探天生绑定表项；
• 全局开启ND Snooping：基于ND表项进建的了局天生绑定表项
  ，同时也是开启ND-Check的前提；
• 下联接口设置ND-Check：开启基于ND Snooping表项的校验机造
  ，对端口接管的报文基于ND Snooping表项进行比对
  ，合法放行
  ，犯法抛弃；

2、接入互换机（SLAAC）：

• 全局开启SAVI源地址查抄职能：进行源地址/源地址+MAC的校验机造；
• 上联接口开启ND Snooping trust：放行信赖的地址源报文
  ，抛弃不成信的地址源报文；
• 下联接口设置ND-Check ：开启基于ND Snooping表项的校验机造
  ，对端口接管的报文基于ND Snooping表项进行比对
  ，合法放行
  ，犯法抛弃；
• 限度端口下的IP数量：设置每个端口下能够获取IP地址的数量；
• 端口；ぐ蠖ń涌谙碌腗AC数量：设置每个端口下能够绑定的MAC数量
  ，对于有线场景
  ，若是终端没有迁徙的需要通常建议设置1个MAC；

3、主题互换机（作为网关）：
主题互换机必要承载DHCPv6终端以及SLAAC终端的网关工作
，所以属于混合场景；
必要同时开启上述接入互换机的安全职能
，好比DHCPv6 Snooping、ND Snooping以及SAVI职能等；

那么这样的安全数署具体是若何工作的呢？

地址获取糊弄的解决之路

攻击者仿冒网关设备恶意发送的RA报文能够以为长短法报文
，私下设置DHCPv6服务器的行为称作私设DHCPv6 Server
。

对于犯法RA以及私设DHCPv6 Server的解决措施
，其主题在于直接抛弃犯法设备发送过来的报文
，从本原上解决问题
。

▲图2 地址获取防护

1、DHCPv6的场景：

针对私设服务器发送报文
，由于在接入互换机上联端口开启了DHCPv6 Snooping trust
，那么默认下联端口为非信赖口untrust
，所以会直接抛弃DHCPv6 ADVERTISE及REPLY报文
，保障了终端能够获得正确的地址
。

2、SLAAC的场景：

由于在接入互换机上联端口开启了ND Snooping trust
，那么默认下联端口为非信赖口untrust
，从非信赖口发送过来的RA报文被以为长短法RA报文

犯法RA报文达到接入互换机后会被直接抛弃
，预防了犯法攻击源假装网关发送RA
，保障终端能够天生正确的地址
。

▲图3 预防私设IP

3、私设IP的场景：

解决该问题的主题在于校验源地址的合法性
，对上送到互换机的报文做一致性查抄
，若是和安全表项中的IP和MAC对应关系一致则合法放行
，不然以为犯法抛弃
。但有的场景是不合用的
，下面我们具体来分析一下
。

1）DHCPv6方式：

• 对于地址不矛盾的私设IP情况
  ，由于DHCP Snooping表项中没有对应的绑定表项
  ，所以在源地址查抄的过程也会被以为犯法从而过滤掉
  。
• SAVI的源地址查抄会校验来自untrust口的IPv6报文
  ，查抄报文源IPv6地址是否和DHCPv6分配的IPv6地址一致
  。若不一致
  ，则抛弃报文
  ，预防了犯法用户私设IP糊弄
  。

2）SLAAC方式：

若是私设的IP没有造成矛盾就比力辣手了
，由于通过RA天生的无状态地址和用户私设的地址城市发出DAD-NS报文
，而ND Snooping表项的天生也是基于在一按功夫内收到DAD-NS报文来触发的
。因而无状态下并不能对私设IP做出判断
，会以为是新接入的合法终端
。
若是私设IP导致地址矛盾的话
，在发送DAD报文检测的时辰会收到合法用户的应答报文
，因而私设IP并不能接见网络资源
。

3）混合方式：

混合场景下
，由于开启了ND Snooping
，所以情况与SLAAC方式一致
，无法对私设IP做出判断
。

那么对于SLAAC场景下的私设IP终端该若何解决呢？既然SAVI技术无法齐全鉴别管控
，能够依赖于身份认证的方式来解决
。好比通过部署Radius v6的认证服务器来对用户的身份直接做准入治理
，犯法用户不能通过身份认证也无法接见网络资源
。

地址解析糊弄的解决之路

对于犯法NS/NA报文攻击的应对措施
，关键点在于对上送过来的报文做合法性校验
。首先必要有对应的安全绑定表项
，而后要有合法性查抄机造
。

▲图4 地址解析防护

1、DHCPv6场景：

必要开启ND Snooping
，把ND有关的报文上送到CPU
。合法性检测必要依赖ND Check职能
，ND Check的合法表项能够由DHCPv6 Snooping或者ND Snooping提供
，即SAVI-MIX整合的表项作为ND Check的表项起源
。DHCPv6场景中有DHCPv6 Snooping提供表项整合
。

2、SLAAC场景：

犯法NS/NA报文流经untrust端口时会被ND Snooping检验合法性
，通过查抄其（源IP地址/Target IP地址
，VID
，MAC地址
，输入接口）四元素的匹配关系判定
，犯法报文直接抛弃
。

3、混合场景：

混合场景下
，由于都开启了ND Snooping和ND-Check
，所以互换机遇凭据ND Snooping的表项作为凭据去Check报文的合法性
，以此确保地址解析正确
。

泛洪攻击的解决之路

泛洪攻击的风险在于攻击者通过仿照大量的终端发送要求报文对地址或者表项资源的亏损
，这种类型的要求报文能够以为长短法要求报文
。

解决该问题的主题是节造终端申请资源的数量
，能够采取设定阈值的方式
。

▲图5 预防泛洪攻击

1、DHCPv6场景：

• 通过在互换机上部署SAVI职能能够限度每个MAC地址要求的IPv6地址数量
  ，默以为10个
  。
• 若是犯法者仿照多个MAC地址进行地址申请
  ，能够通过端口安全的机造限造端口下的MAC地址数量进行解决
  。

2、SLAAC场景：

与DHCPv6处置方式类似
，通过在互换机上部署SAVI的职能能够限造端口的IPv6地址数
，并且通过端口安全设定端口下的MAC地址数量
。超过限度值后以为犯法
，抛弃报文并且不天生合法源地址绑定表项
。

3、混合场景：

混合场景下
，互换机凭据端口下的限度战术进行数量限度
，并无矛盾
。

这样部署后
，无论何种场景
，犯法终端进行泛洪攻击城市被我们设置的MAC或者地址数量所限度
。但如果犯法者泛洪占用了这些预设的数量
，也会导致合法用户无法获取到地址
，无法接见网络
，这种问题就暂无法子解决了
。

幼结

以上就是在园区有线场景中
，基于SAVI技术为基础的IPv6安全战术部署建议
。

对于园区无线场景
，必要AC（无线节造器）和AP（无线接入点）设备支持相应的IPv6安全职能
。

本地转发模式中
，安全战术部署在AP上
，犯法报文直接在AP上进行处置
。若是AP只是二层桥接不做认证
，那么无线用户的安全机造能够在互换机上做对应设置
。
集中转发模式中
，安全战术部署在AC上
，犯法报文上收到AC上进行处置
。

若是无线设备并不支持IPv6的安全职能
，就必要借助于互换机的安全表项来做无线的接入安全
。为了实现周游后的可用性
，必要把无线网关和安全战术部署在主题互换机上
，接入互换机二层透传报文
，犯法报文在主题互换机上处置
。

总结

本文以IPv6园区网有线场景为例
，介绍了若何利用SAVI技术解决一些接入安全问题
。

j9国际厅网络的园区网互换机RG-N18000系列、RG-S5750-H系列均已支持上述所有的IPv6安全战术
。与此同时我们还在不休地精进和优化
，但愿将来能够援手更多的客户搭建壮实安全的IPv6网络
，敬请等待
。

本期作者：刘洋

j9国际厅网络互联网系统部行业征询

往期杰出回首  

• 【第一期】浅谈物联网技术之通讯和谈的纷争
• 【第二期】若何通过网络遥测（Network Telemetry）技术实现精密化网络运维？
• 【第三期】畅谈数据中心网络运维自动化
• 【第四期】基于Rogue AP反造的无线安全技术探求
• 【第五期】流量可视化之ERSPAN的前世今生
• 【第六期】若何实现数据中心网络架构“去”堆叠
• 【第七期】运维可视化之INT职能详解
• 【第八期】浅析RDMA网络下MMU水线设置
• 【第九期】第七代无线技术802.11ax详解
• 【第十期】数据中心自动化运维技术索求之互换机零配置上线
• 【第十一期】 浅谈数据中心100G光？
• 【第十二期】数据中心网络等价多蹊径（ECMP）技术利用钻研
• 【第十三期】若何为RDMA构建无损网络
• 【第十四期】基于EVPN的散布式VXLAN实现规划
• 【第十五期】数据中心自动化运维技术索求之NETCONF
• 【第十六期】一文读懂网络界新贵Segment Routing技术化繁为简的奥秘
• 【第十七期】浅谈UWB（超宽带）室内定位技术
• 【第十八期】PoE以太网供电技术详解
• 【第十九期】机框式主题互换机硬件架构演进
• 【第二十期】 IPv6基础篇（上）——地址与报文体式
• 【第二十一期】IPv6系列基础篇（下）——邻居发现和谈NDP
• 【第二十二期】IPv6系列安全篇——SAVI技术解析