單元11保護IPv6網(wǎng)絡(luò)安全技術(shù)【技術(shù)背景】IPv6技術(shù)帶有天然安全優(yōu)勢，在可溯源性、鄰居發(fā)現(xiàn)協(xié)議、安全鄰居發(fā)現(xiàn)協(xié)議等方面，大大提升安全。但在IPv6網(wǎng)絡(luò)運行過程中，仍面臨IPv6地址欺騙，需要實施IPv6安全地址綁定；面臨DHCPv6服務(wù)器被攻擊，需要實施DHCPv6Snooping安全、IPv6SourceGuard安全防護；面臨ND協(xié)議欺騙，需要實施NDSnooping安全等安全防護。在針對不同區(qū)域網(wǎng)絡(luò)之間安全防護時，還需要實施ACL6安全?！緦W(xué)習(xí)目標】1.知識目標（1）了解IPv6安全地址綁定技術(shù)。（2）了解DHCPv6Snooping安全技術(shù)。（3）了解NDSnooping安全、IPv6RAGuard安全防護技術(shù)。（4）了解中ACL6安全技術(shù)?！緦W(xué)習(xí)目標】2.技能目標（1）實施IPv6安全地址。（2）實施DHCPv6Snooping安全。（3）實施NDSnooping安全安全防護。（4）實施ACL6安全技術(shù)?！緦W(xué)習(xí)目標】3.素養(yǎng)目標（1）學(xué)會整理知識筆記，按照標準格式制作實訓(xùn)報告。（2）能保持工作環(huán)境干凈，實現(xiàn)物料放置地整潔，遵守6S現(xiàn)場管理標準。（3）學(xué)會和同伴友好溝通，建立友好團隊合作關(guān)系。（4）在實訓(xùn)現(xiàn)場具有良好安全意識，懂得安全操作知識，嚴格按照安全標準流程操作。任務(wù)11.2

實施DHCPv6Snooping安全【技術(shù)介紹】1.什么DHCPv6Snooping窺探DHCPv6Snooping也叫DHCPv6窺探，黑客通過數(shù)據(jù)包捕獲工具，對部署在IPv6網(wǎng)絡(luò)中DHCPv6服務(wù)器通信窺探，實施DHCPv6攻擊目的。通過部署DHCPv6Snooping技術(shù)，過濾非法DHCPv6報文，保護DHCPv6服務(wù)器安全。其中，記錄在DHCPv6Snooping生成用戶數(shù)據(jù)表項，為IPv6SourceGuard安全提供服務(wù)。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.DHCPv6snooping應(yīng)用場景（1）DHCPv6欺騙攻擊。非法客戶端偽造DHCPv6請求報文，向DHCPv6服務(wù)器申請IPv6地址，形成DHCPv6欺騙。大量偽造DHCPv6請求報文導(dǎo)致DHCPv6服務(wù)器資源耗盡，造成合法客戶端也申請不到IPv6地址。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.DHCPv6snooping應(yīng)用場景安裝在網(wǎng)絡(luò)中DHCPv6服務(wù)器處于被動。意味著不論什么消息，只要DHCPv6服務(wù)器接收到，都立即做出響應(yīng)。因此，很容易被網(wǎng)絡(luò)中非法客戶端利用，發(fā)生安全隱患。（2）偽造DHCPv6欺騙。安裝非法DHCPv6服務(wù)器，干擾合法DHCPv6服務(wù)器工作，導(dǎo)致客戶端地址申請，被發(fā)到偽DHCPv6服務(wù)器上，獲取到IPv6地址不可用。11.2實施DHCPv6Snooping安全【技術(shù)介紹】3.DHCPv6snooping安全內(nèi)容通過DHCPv6snooping安全防護技術(shù)，實現(xiàn)DHCPv6服務(wù)器安全。（1）過濾非法報文。丟棄非信任口收到的響應(yīng)報文。僅對來自非信任口的報文，進行合法性檢查。丟棄與snp數(shù)據(jù)庫中信息不一致release、decline報文。丟棄IP、mac地址等信息與數(shù)據(jù)庫中不一致的請求報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】3.DHCPv6snooping安全內(nèi)容通過DHCPv6snooping安全防護技術(shù)，實現(xiàn)DHCPv6服務(wù)器安全。（2）隔離非法服務(wù)器。連接在非信任端口的服務(wù)器均屬于非法服務(wù)器，默認端口非法。設(shè)備僅將客戶端請求報文，轉(zhuǎn)發(fā)至信任口。設(shè)備僅轉(zhuǎn)發(fā)從信任口接收的響應(yīng)報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.2掌握DHCPv6欺騙原理1.了解DHCPv6服務(wù)欺騙攻擊過程網(wǎng)絡(luò)中可能存在多臺DHCPv6服務(wù)器，保證客戶端只能從信任DHCPv6服務(wù)器獲取配置參數(shù)。如圖所示，客戶端僅與信任DHCPv6服務(wù)器通信，只有信任DHCPv6服務(wù)器響應(yīng)報文才允許傳輸給客戶端。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.開啟DHCPv6Snooping安全防范為了保障DHCPv6服務(wù)器安全，在交換機上開啟DHCPv6Snooping安全，監(jiān)控網(wǎng)絡(luò)中DHCPv6報文。把交換機連接DHCPv6服務(wù)器端口配為信任端口（DHCPv6TRUST），響應(yīng)正常DHCPv6報文轉(zhuǎn)發(fā)服務(wù)；其它端口都配為不可信端口（DHCPv6UNTRUST），過濾掉非法DHCPv6響應(yīng)報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.開啟DHCPv6Snooping安全防范通過如下安全檢測過程，開啟開啟DHCPv6Snooping安全防范。首先，在接入交換機上開啟DHCPv6Snooping服務(wù)，實現(xiàn)DHCPv6監(jiān)控。然后，把交換機連接DHCPv6服務(wù)器口配置為可信任端口（DHCPv6TRUST），響應(yīng)正常DHCPv6報文轉(zhuǎn)發(fā)。在交換機連接用戶口配置為不可信端口（DHCPv6UNTRUST），過濾掉非法DHCPv6響應(yīng)報文。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全通過實施如下命令，在IPv6網(wǎng)絡(luò)中，保護DHCPv6服務(wù)器安全。（1）啟動DHCPv6Snooping功能。在全局配置模式下，使用如下命令開啟DHCPv6Snooping安全防護。Switch(config)#ipv6dhcpsnooping使用“showipv6dhcpsnooping”命令查看DHCPv6Snooping功能是否打開。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（2）啟動DHCPv6請求報文過濾功能。Switch(config-if)#ipv6dhcpsnoopingfilter-dhcp-pkt在接口模式下，通過該命令拒絕該端口下所有DHCPv6請求報文。（3）配置指定VLAN的DHCPv6Snooping功能。Switch(config)#ipv6dhcpsnoopingvlan{vlan-rng|{vlan-min[vlan-max]}}11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全通過實施如下命令，在IPv6網(wǎng)絡(luò)中，保護DHCPv6服務(wù)器安全。（其中，各項參數(shù)說明如下。vlan-rng：DHCPv6Snooping功能生效vlan范圍。vlan-min：DHCPv6Snooping功能生效vlan下限。vlan-max：DHCPv6Snooping功能生效vlan上限。如：Switch(config)#ipv6dhcpsnoopingvlan1-311.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（4）配置DHCPv6SnoopingTRUST口。Switch(config-if)#ipv6dhcpsnoopingtrust通過配置該命令將連接合法DHCPv6服務(wù)器口配為TRUST口，TRUST口到DHCPv6響應(yīng)報文正常轉(zhuǎn)發(fā)；UNTRUST口收到DHCPv6響應(yīng)報文被丟棄。11.2實施DHCPv6Snooping安全【技術(shù)介紹】11.2.3配置DHCPv6Snooping安全（5）查看DHCPv6服務(wù)運行情況。Switch#showipv6dhcpsnooping//顯示DHCPv6Snooping配置Switch#showipv6dhcpsnoopingvlan//顯示DHCPv6Snooping沒有生效vlanSwitch#showipv6dhcpsnoopingbinding//顯示綁定數(shù)據(jù)庫動態(tài)綁定表項Switch#showipv6sourcebinding//顯示手工添加所有靜態(tài)綁定表項和DHCPv6Snooping綁定數(shù)據(jù)庫中動態(tài)綁定表項11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全如圖為某企業(yè)DHCPv6服務(wù)器，在接入交換機上實施DHCPv6Snooping安全，保障客戶端通過交換機連接到合法DHCPv6服務(wù)器，動態(tài)獲取IPv6地址。11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全實施DHCPv6Snooping安全措施，保障DHCPv6服務(wù)器安全11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全11.2實施DHCPv6Snooping安全【技術(shù)介紹】【案例2】實施DHCPv6Snooping安全11.2實施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全為保護DHCPv6服務(wù)器安全，在交換機上實施IPv6SourceGuard安全綁定，對交換機轉(zhuǎn)發(fā)IPv6報文中的源IPv6字段檢查，檢查網(wǎng)絡(luò)中來自DHCPv6客戶端發(fā)送IPv6報文。其中，IPv6報文源地址字段必須和DHCPv6分配IPv6地址匹配。數(shù)據(jù)幀中源MAC地址和交換機上DHCPv6Snooping下發(fā)給硬件過濾表里MAC地址匹配。11.2實施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全通過交換機硬件對轉(zhuǎn)發(fā)IPv6報文過濾，保證交換機的IPv6報文過濾數(shù)據(jù)庫中存在對應(yīng)信息用戶，才能正常轉(zhuǎn)發(fā)，防止偽造IPv6攻擊事件發(fā)生。如圖所示。11.2實施DHCPv6Snooping安全【技術(shù)介紹】1.什么是IPv6SourceGuard安全需要注意的是：Ipv6SourceGuard安全是在DHCPv6Snooping安全基礎(chǔ)上，實施的進一步安全檢查。也就是說基于端口Ipv6SourceGuard安全，僅在DHCPv6Snooping控制網(wǎng)絡(luò)內(nèi)的非信任端口上生效。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全首先，在接入交換機上開啟DHCPv6Snooping安全功能，實施DHCPv6報文監(jiān)控。接下來，設(shè)置接入交換機所有連接終端主機口為DHCPv6非信任口。并在接入交換機上開啟Ipv6SourceGuard安全，實現(xiàn)Ipv6報文過濾。最后，在接入交換機上設(shè)置Ipv6SourceGuard匹配模式為“Ipv6+MAC”，讓交換機針對MAC字段與Ipv6字段的綜合檢查防范。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全此外，在安全端口上匹配的方式有以下兩種。一是基于源Ipv6地址過濾，要求三層IP報文中的源Ipv6字段，屬于綁定用戶記錄中的Ipv6地址集合，可以通過端口。二是基于Ipv6+MAC地址過濾，要求報文中源MAC與源Ipv6都必須和合法用戶表中的某條記錄完全匹配上，才能通過端口。11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全（1）啟動端口上Ipv6SourceGuard功能。在接口模式下，啟動接口上IPv6SourceGuard功能Switch(config-if)#ipv6verifysourceport-security然后，配置該端口為信任安全信任端口。Switch(config-if)#ipv6verifysourcetrust11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全（2）把靜態(tài)用戶信息綁定到IPv6源地址數(shù)據(jù)庫中。在全局模式下，通過此命令允許部分用戶通過IPv6SourceGuard檢測。Switch(config)#ipv6sourcebindingmac-addressvlanvlan-idipv6-address{interfaceinterface-id|ip-mac|ip-only}11.2實施DHCPv6Snooping安全【技術(shù)介紹】2.配置Ipv6/MAC欺騙攻擊安全其中，各項參數(shù)信息室說明如下。mac-address：靜態(tài)添加的用戶的MAC地址。vlan-id：靜態(tài)添加的用戶的vlanid。ipv6-address：靜態(tài)添加的用戶的IPv6地址。interface-id：靜態(tài)添加的用戶所屬的有線接入接口。