單元11保護(hù)IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運(yùn)行過程中，仍面臨IPv6地址欺騙，需要實(shí)施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實(shí)施DHCPv6Snooping安全、IPv6SourceGuard安全防護(hù)；面臨ND協(xié)議欺騙，需要實(shí)施NDSnooping安全等安全防護(hù)。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護(hù)時，還需要實(shí)施ACL6安全?！緦W(xué)習(xí)目標(biāo)】1.知識目標(biāo)（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護(hù)技術(shù)。（4）了解中ACL6安全技術(shù)。【學(xué)習(xí)目標(biāo)】2.技能目標(biāo)（1）實(shí)施IPv6安全地址。（2）實(shí)施DHCPv6Snooping安全。（3）實(shí)施NDSnooping安全安全防護(hù)。（4）實(shí)施ACL6安全技術(shù)。【學(xué)習(xí)目標(biāo)】3.素養(yǎng)目標(biāo)（1）學(xué)會整理知識筆記，按照標(biāo)準(zhǔn)格式制作實(shí)訓(xùn)報告。（2）能保持工作環(huán)境干凈，實(shí)現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標(biāo)準(zhǔn)。（3）學(xué)會和同伴友好溝通，建立友好團(tuán)隊(duì)合作關(guān)系。（4）在實(shí)訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴(yán)格按照安全標(biāo)準(zhǔn)流程操作。任務(wù)11.1實(shí)施IPv6安全地址綁定【技術(shù)介紹】1.什么是交換機(jī)端口安全功能默認(rèn)情況下，交換機(jī)的所有端口都是完全敞開，不提供任何安全檢查措施，允許所有的IPv6數(shù)據(jù)流通過。為保護(hù)IPv6網(wǎng)絡(luò)內(nèi)的用戶安全，對接入交換機(jī)的端口增加安全功能，有效保護(hù)接入網(wǎng)絡(luò)安全，如圖所示。11.1實(shí)施IPv6安全地址綁定【技術(shù)介紹】1.什么是交換機(jī)端口安全功能交換機(jī)的端口安全是在二層端口上實(shí)施安全特性，實(shí)現(xiàn)以下功能。（1）只允許特定MAC地址接入到IPv6網(wǎng)絡(luò)，防止未授權(quán)設(shè)備接入。（2）限制端口接入設(shè)備數(shù)量，防止將過多設(shè)備接入到IPv6網(wǎng)絡(luò)。大部分網(wǎng)絡(luò)攻擊行為都采用欺騙源IP或源MAC地址方法，對網(wǎng)絡(luò)進(jìn)行連續(xù)數(shù)據(jù)包攻擊，達(dá)到耗盡核心設(shè)備資源目的，如MAC攻擊、DHCPv6攻擊。這些針對交換機(jī)端口產(chǎn)生攻擊，通過啟用交換機(jī)端口安全防范。11.1實(shí)施IPv6安全地址綁定【技術(shù)介紹】2.交換機(jī)端口安全檢測原理通常把實(shí)施端口安全功能端口稱安全端口。端口安全通過檢查收到幀中源MAC地址，限定報文是否進(jìn)入交換機(jī)。為了增強(qiáng)IPv6接入安全，將MAC地址和IPv6地址綁定作為安全地址，也可以只綁定MAC地址，或者IPv6地址，實(shí)施訪問限制，如圖所示。11.1實(shí)施IPv6安全地址綁定【技術(shù)介紹】3.限制交換機(jī)端口最大連接數(shù)當(dāng)端口上連接安全地址數(shù)目達(dá)到允許個數(shù)，或端口收到一個不屬于該端口地址，交換機(jī)產(chǎn)生一個違例通知：如丟棄接收到IPv6數(shù)據(jù)包；發(fā)送違例通知或關(guān)閉端口等。11.1實(shí)施IPv6安全地址綁定【技術(shù)介紹】4.配置交換機(jī)端口安全（1）設(shè)置端口安全功能。Switch(config-if)#switchportport-security（2）設(shè)置端口最多安全地址個數(shù)。Switch(config-if)#switchportport-securitymaximumvalue（3）設(shè)置處理違例方式。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}其中，protect：發(fā)現(xiàn)違例，則丟棄違例的報文。restrict：發(fā)現(xiàn)違例，則丟棄違例的報文并且發(fā)送trap。shutdown：發(fā)現(xiàn)違例，則丟棄報文、并關(guān)閉接口?！炯夹g(shù)介紹】（4）配置安全端口上的安全地址。在接口模式下，為安全端口添加安全地址。Switch(config-if)#switchportport-securitymac-addressmac-address（5）為安全端口添加IPv6安全地址綁定。在全局模式下，為安全端口添加IPv6安全地址綁定。Switch(config)#switchportport-securityinterfaceinterface-idbinding[mac-addressvlanvlan_id][ipv6-address]在接口模式下，為安全端口添加安全I(xiàn)Pv6地址綁定。Switch(config-if)#switchportport-securitybinding[mac-addressvlanvlan_id][ipv6-address]【技術(shù)介紹】（6）顯示安全地址。顯示所有安全地址，或者指定接口的安全地址。Switch#showport-securityaddress[interfaceinterface-id]顯示所有生效的端口安全地址和端口安全綁定記錄。Switch#showport-securityall【技術(shù)介紹】【案例】配置安全端口為辦公網(wǎng)中接入交