澳门六合免费心水资料大全2020

  

  • 
    聯系我們

    台灣依致美實業有限公司

    辦事熱線

    營業征詢:400-899-

    技術辦事:400-899-

    征詢熱線

    公司前台:-588

    售前征詢:-558

    公司地址

    台灣市噴鼻洲區興華路212號動力大廈二樓

    行業消息
    以後地位 > 首頁 > 行業消息

    技術盛宴丨IPv6系列平安篇——園區網IPv6的接入平安戰略

    種別:行業消息宣布人:依致美宣布時光:2019-02-27

    園區網技術發展了這麽多年,想必人人關於IPv4場景下的接入平安成績曾經爛熟于心。隨著IPv6技術的發展和推行,將來園區網架構向IPv6演進曾經成爲弗成阻攔的趨向,而我們關於IPv6架構下的接入平安成績懂得若幹?好比,終端可以獲得到準確的IPv6地址嗎?拿到地址就能夠準確封裝報文信息嗎?報文封裝準確就能夠轉發正常嗎?等等。在IPv6情況下接入層還有哪些平安成績?我們又該若何處理?


    上一篇文章(IPv6系列平安篇——SAVI技術解析)爲人人引見了SAVI(Source Address Validation Improvements,源址正當性磨練) 的技術道理,本文將聚焦IPv6在園區網有線安排的場景,論述若何運用SAVI技術處理接入平安成績。


    IPv6園區網接入平安成績

    盡人皆知,終正直常訪問資本的條件是須要有一個可用的IP地址,那末若何獲得準確的地址是我們要評論辯論的一個成績。


    其次,爲了正常訪問網絡資本停止流量轉發,還須要準確解析對真個MAC地址或許網關的MAC地址(跨網段時),如許能力停止一個報文的完全封裝。在IPv4的場景中是經由過程ARP協定來解析地址,對應到IPv6場景是經由過程ND協定中的NS/NA報文交互來解析。


    除此以外,爲了給壹切終端分派地址資本,地址源可謂是“盡心極力”,是以它的資本是有限的,也須要額定存眷。


    看似平鋪直敘的過程當中隱藏著許多平安成績,上面我們來具體剖析一下這些成績是若何產生,和有何威逼。


    地址獲得誘騙

    在IPv6的場景中,地址獲得的方法有多種:

    1、DHCPv6:經由過程DHCPv6協定完成地址的獲得,全部流程和IPv4下的DHCP協定相似,但協定報文有部門差別,詳細可以參考DHCPv6的報文詳解。

    2、SLAAC(Stateless Address Auto Configuration,無狀況地址主動設置裝備擺設):依據網關設備公告RA(Router Advertisement,路由器公告)報文中攜帶的網絡前綴生成網絡ID,依據EUI-64算法生成接口ID,經由過程二者聯合生成一個IPv6地址。

    3、手動設置裝備擺設:某些營業辦事器須要固定IP,普通會手工靜態設置裝備擺設。但因為IPv6地址很長,所以設置裝備擺設起來比擬費事,通俗終真個話普通不推舉。


    地址獲得誘騙就是讓終端沒法獲得準確地址的進擊手腕。


    對應分歧的地址獲得方法,也有分歧的誘騙方法:

    1DHCPv6方法

    關於地址不抵觸的私設IP情形,因為DHCP Snooping表項中沒有對應的綁定表項,所以在源地址檢討的進程也會被以為不法從而過濾失落。

    SAVI的源地址檢討會校驗來自untrust口的IPv6報文,檢討報文源IPv6地址能否和DHCPv6分派的IPv6地址分歧。若紛歧致,則拋棄報文,避免了不法用戶私設IP誘騙。

    2SLAAC方法

    假如私設的IP沒有形成抵觸就比擬辣手了,由於經由過程RA生成的無狀況地址和用戶私設的地址都邑收回DAD-NS報文,而ND Snooping表項的生成也是基于在必定時光內收到DAD-NS報文來觸發的。是以無狀況下其實不能對私設IP做出斷定,會以為是新接入的正當終端。

    假如私設IP招致地址抵觸的話,在發送DAD報文檢測的時刻會收到正當用戶的應對報文,是以私設IP其實不能訪問網絡資本。

    3混雜方法

    混雜場景下,因為開啓了ND Snooping,所以情形與SLAAC方法分歧,沒法對私設IP做出斷定。


    地址解析誘騙

    上文也曾提到,IPv6的地址解析是經由過程NS/NA報文的交互來完成。在這個過程當中也會湧現相似IPv4中ARP誘騙的成績,招致終端流量轉發異常。


    進擊者經由過程發送不法NS/NA報文對正當終端發送的NS/NA報文停止毛病應對,不管是DHCPv6照樣SLAAC的場景都邑使終端解析到毛病的目的MAC地址。


    如許會招致終端報文封裝毛病,流量轉發異常,乃至能夠被進擊者截獲報文泄漏發送的秘密信息,平安性沒法保證。


    泛洪進擊

    後面我們提到的兩種平安成績都是針對終端,而地址分派源(DHCPv6 Server或許公告RA的網關)也長短法終真個進擊對象。


    泛洪進擊是經由過程模仿大批的終端向地址源發送要求的進擊方法。

    1、DHCPv6方法:進擊者可以模仿大批用戶發送DHCPv6要求報文,占用辦事器大批的地址資本,招致正當終端沒有地址資本可以分派。

    2、SLAAC方法:進擊者可以模仿大批用戶發送的RS報文,被網關應對RA後生成地址。然後發送DAD報文檢測地址能否有抵觸,無抵觸的話會生成ND表項。進擊者用如許的方法,占用網關設備大批的ND表項,如許就會使正當終端沒法生成ND表項,進而招致流量轉發異常。


    備注:SLAAC場景,網關僅僅公告網絡前綴,所以進擊者其實不會消費地址資本,然則進擊者會生成大批的IPv6地址,當發送DAD檢測發明地址可用後會在設備上生成許多的ND表項,從而完成對表項資本的不法占用。固然,銳捷網絡交流機的ND表項照樣比擬富余的,但在園區大範圍組網下照樣建議躲避這類工作的產生。


    總結看來兩種泛洪進擊都邑招致資本(地址資本或許表項資本)被進擊者占用,使得終端沒法獲得地址,也就沒法正常訪問網絡。


    小結

    看到這裏能夠會有許多讀者曾經眉頭緊皺了,IPv4場景裏會產生的成績在IPv6外面還會再次湧現,並且進擊方法加倍多樣,該若何處理呢?


    上面將爲人人引見以SAVI技術爲基本的平安戰略安排是若何水到渠成的。


    以SAVI爲基本的平安戰略安排建議

    SAVI技術的任務機制是經由過程監聽掌握類協定報文,爲接入設備樹立基于IPv6源地址、源MAC地址和接入設備端口的綁定關系。這個綁定關系平日是以DHCPv6 Snooping、ND Snooping或許二者的聯合作爲根據。設備依據綁定表對經由過程指定端口的IP報文停止校驗,今朝支撐端口下基于源IPv6地址過濾和基于源IPv6地址+MAC地址過濾。經由過程校驗後才可以轉發,如許就避免了歹意用戶捏造報文停止進擊。上面我們來看一下SAVI的平安戰略詳細是若何安排的。


    以一個簡略的園區網場景舉例。

     

    ▲圖1 園區網邏輯拓撲圖


    如上圖所示,焦點交流機到接入交流機采用大二層安排形式,壹切終真個網關都設置在兩台堆諜的焦點交流機上(邏輯上是一台)。焦點到出口之間經由過程靜態路由或動態路由完成互通。


    今朝市場上主流的PC終端對IPv6的支撐情形良莠不齊,特殊是關於地址的獲得才能,爲了知足大部門PC都能獲得到IPv6地址,建議分離采取DHCPv6和SLAAC兩種方法安排。

    1、DHCPv6分派完成:在焦點交流機上開啓DHCPv6 Server的功效,而且作爲終真個網關設備。

    2、SLAAC分派完成:在焦點交流機上設置裝備擺設發送RA新聞來公告網絡前綴,讓不支撐DHCPv6的終端經由過程SLAAC停止地址獲得,而且以焦點交流機作爲網關設備。


    備注:假如在一個網段下同時安排DHCPv6和SLAAC,大部門終端會依據RA報文中的M比特位來選擇一種方法停止地址獲得,但實測win7的終端會同時生成兩種地址,今朝看來是終真個行動,網絡設備廠家也暫無對策。別的,據懂得安卓體系的終端今朝是不支撐DHCPv6的,所以也須要靠SLAAC的方法獲得地址。


    以上是根本功效的設置裝備擺設,上面我們看一下平安戰略的安排:

    1、入交流機(DHCPv6)
    1. 全局開啓SAVI源地址檢討功效:開啓源地址/源地址+MAC的校驗功效;

    2. 上聯接口開啓DHCPv6 Snooping trust:放行信賴的地址源報文,拋棄弗成信的地址源報文;

    3. 全局開啓DHCPv6 Snooping:基于DHCPv6協定交互嗅探生成綁定表項;

    4. 全局開啓ND Snooping:基于ND表項進修的成果生成綁定表項,同時也是開啓ND-Check的條件;

    5. 下聯接口設置ND-Check:開啓基于ND Snooping表項的校驗機制,對端口吸收的報文基于ND Snooping表項停止比對,正當放行,不法拋棄;

    2、接入交流機(SLAAC)

    1. 全局開啓SAVI源地址檢討功效:停止源地址/源地址+MAC的校驗機制;

    2. 上聯接口開啓ND Snooping trust:放行信賴的地址源報文,拋棄弗成信的地址源報文;

    3. 下聯接口設置ND-Check :開啓基于ND Snooping表項的校驗機制,對端口吸收的報文基于ND Snooping表項停止比對,正當放行,不法拋棄;

    4. 限制端口下的IP數目:設置每壹個端口下可以獲得IP地址的數目;

    5. 端口掩護綁定接口下的MAC數目:設置每壹個端口下可以綁定的MAC數目,關於有線場景,假如終端沒有遷徙的需求普通建議設置1個MAC;

    3、焦點交流機(作爲網關)

    1. 焦點交流機須要承載DHCPv6終端和SLAAC終真個網關任務,所以屬于混雜場景;

    2. 須要同時開啓上述接入交流機的平安功效,好比DHCPv6 Snooping、ND Snooping和SAVI功效等;

    那末如許的平安安排詳細是若何任務的呢?


    地址獲得誘騙的處理之道

    進擊者仿冒網關設備歹意發送的RA報文可以以為長短法報文,擅自設置DHCPv6辦事器的行動稱作私設DHCPv6 Server。


    關於不法RA和私設DHCPv6 Server的處理辦法,其焦點在于直接拋棄不法設備發送過去的報文,從本源上處理成績。

     

    ▲圖2 地址獲得防護


    DHCPv6的場景:

    針對私設辦事器發送報文,因為在接入交流機上聯端口開啓了DHCPv6 Snooping trust,那末默許下聯端口爲非信賴口untrust,所以會直接拋棄DHCPv6 ADVERTISE及REPLY報文,包管了終端可以取得準確的地址。


    SLAAC的場景:

    因為在接入交流機上聯端口開啓了ND Snooping trust,那末默許下聯端口爲非信賴口untrust,從非信賴口發送過去的RA報文被以為長短法RA報文


    不法RA報文達到接入交流機後會被直接拋棄,避免了不法進擊源假裝網關發送RA,包管終端可以生成準確的地址。

    ▲圖3 避免私設IP


    私設IP的場景:

    處理該成績的焦點在于校驗源地址的正當性,對上送到交流機的報文做分歧性檢討,假如和平安表項中的IP和MAC對應關系分歧則正當放行,不然以為不法拋棄。但有的場景是不實用的,上面我們詳細來剖析一下。


    1DHCPv6方法

    關於地址不抵觸的私設IP情形,因為DHCP Snooping表項中沒有對應的綁定表項,所以在源地址檢討的進程也會被以為不法從而過濾失落。

    SAVI的源地址檢討會校驗來自untrust口的IPv6報文,檢討報文源IPv6地址能否和DHCPv6分派的IPv6地址分歧。若紛歧致,則拋棄報文,避免了不法用戶私設IP誘騙。

    2SLAAC方法

    假如私設的IP沒有形成抵觸就比擬辣手了,由於經由過程RA生成的無狀況地址和用戶私設的地址都邑收回DAD-NS報文,而ND Snooping表項的生成也是基于在必定時光內收到DAD-NS報文來觸發的。是以無狀況下其實不能對私設IP做出斷定,會以為是新接入的正當終端。

    假如私設IP招致地址抵觸的話,在發送DAD報文檢測的時刻會收到正當用戶的應對報文,是以私設IP其實不能訪問網絡資本。

    3混雜方法

    混雜場景下,因為開啓了ND Snooping,所以情形與SLAAC方法分歧,沒法對私設IP做出斷定。


    那末關於SLAAC場景下的私設IP終端該若何處理呢?既然SAVI技術沒法完整辨認管控,可以依附于身份認證的方法來處理。好比經由過程安排Radius v6的認證辦事器來對用戶的身份直接做准入治理,不法用戶不克不及經由過程身份認證也沒法訪問網絡資本。


    地址解析誘騙的處理之道 


    關於不法NS/NA報文進擊的應對辦法,癥結點在于對上送過去的報文做正當性校驗。起首須要有對應的平安綁定表項,然後要有正當性檢討機制。


     

    ▲圖4 地址解析防護


    1、DHCPv6場景

    須要開啓ND Snooping,把ND相幹的報文上送到CPU。正當性檢測須要依附ND Check功效,ND Check的正當表項可以由DHCPv6 Snooping或許ND Snooping供給,即SAVI-MIX整合的表項作爲ND Check的表項起源。DHCPv6場景中有DHCPv6 Snooping供給表項整合。

    2、SLAAC場景:

    不法NS/NA報文流經untrust端口時會被ND Snooping磨練正當性,經由過程檢討其(源IP地址/Target IP地址,VID,MAC地址,輸出接口)四元素的婚配關系剖斷,不法報文直接拋棄。

    3、混雜場景:

    混雜場景下,因為都開啓了ND Snooping和ND-Check,所以交流機遇依據ND Snooping的表項作爲根據去Check報文的正當性,以此確保地址解析準確。


    泛洪進擊的處理之道

    泛洪進擊的傷害在于進擊者經由過程模仿大批的終端發送要求報文對地址或許表項資本的消費,這類類型的要求報文可以以為長短法要求報文。


    處理該成績的焦點是掌握終端請求資本的數目,可以采用設定阈值的方法。

    ▲圖5 避免泛洪進擊


    1、DHCPv6場景

    經由過程在交流機上安排SAVI功效可以限制每壹個MAC地址要求的IPv6地址數目,默許爲10個。

    假如不法者模仿多個MAC地址停止地址請求,可以經由過程端口平安的機制限制端口下的MAC地址數目停止處理。

    2、SLAAC場景:

    DHCPv6處置方法相似,經由過程在交流機上安排SAVI的功效可以限制端口的IPv6地址數,而且經由過程端口平安設定端口下的MAC地址數目。跨越限制值後以為不法,拋棄報文而且不生成正當源地址綁定表項。

    3、混雜場景:

    混雜場景下,交流機依據端口下的限制戰略停止數目限制,並沒有抵觸。


    如許安排後,不管何種場景,不法終端停止泛洪進擊都邑被我們設置的MAC或許地址數目所限制。但假定不法者泛洪占用了這些預設的數目,也會招致正當用戶沒法獲得到地址,沒法訪問網絡,這類成績就暫無方法處理了。


    小結

    以上就是在園區有線場景中,基于SAVI技術爲基本的IPv6平安戰略安排建議。


    關於園區無線場景,須要AC(無線掌握器)和AP(無線接入點)設備支撐響應的IPv6平安功效。

    當地轉發形式中,平安戰略安排在AP上,不法報文直接在AP長進行處置。假如AP只是二層橋接不做認證,那末無線用戶的平安機制可以在交流機上做對應設置。


    集直達發形式中,平安戰略安排在AC上,不法報文上收到AC長進行處置。

    假如無線設備其實不支撐IPv6的平安功效,就須要借助于交流機的平安表項來做無線的接入平安。爲了完成遨遊後的可用性,須要把無線網關和平安戰略安排在焦點交流機上,接入交流機二層透傳報文,不法報文在焦點交流機上處置。


    總結

    本文以IPv6園區網有線場景爲例,引見了若何運用SAVI技術處理一些接入平安成績。


    銳捷網絡的園區網交流機RG-N1系列、RG-S5750-H系列均已支撐上述壹切的IPv6平安戰略。與此同時我們還在賡續地精進和優化,願望將來可以贊助更多的客戶搭建硬朗平安的IPv6網絡,敬請等待。


    
    客服1 客服2 客服3
    澳门六合免费心水资料大全2020